McAfee Enterpriseは、本日、

2021年の10大セキュリティ事件を発表しました。

これは、日本国内の経営層や情報システム部門などの

ビジネスパーソンを対象に実施した

「2021年のセキュリティ事件に関する意識調査

（調査対象：2020年12月～2021年11月迄に報道された事件）」の

結果を基にしています。

今回は、第1位に電子決済サービスを開発・提供する企業が

管理するサーバーが不正アクセスの被害を受け、

加盟店や従業員の情報など2,000万件以上の情報が

流出したとされる事件がランクインしました。

この事件は、クラウド上に機密情報を有する事業者にとって、

サービスを提供するシステム全体の監査と、

セキュリティ脅威に関する継続的な

情報収集及び対策の重要性について

改めて考えるきっかけとなりました。

またその他にも、国内の大手企業や米国の

重要インフラ事業者を狙ったランサムウェア攻撃など、

収益化を狙った脅威に注目が集まりました。

しかしながら全体的に認知度は低い結果となり、

世間を大きく賑わせた大型のセキュリティ事件は

例年と比較すると少ない印象の1年となりました。

2021年の10大セキュリティ事件ランキングに関する

McAfee Enterpriseの主な見解

■昨年に引き続き、コロナ禍において

オンラインサービスの利用が増加し、ニーズが多様化しました。

さまざまなサービスがオンラインで提供されることで

利便性は高まりますが、利用者が安全に利用できるよう、

サービスを運営する事業者は包括的な対策を取る必要があります。

また、1位の事件以外にもクラウドサービス利用時の設定不備を突いた

不正アクセス事案がいくつか見られ、企業の信頼性を維持するためにも、

セキュリティ観点でのガバナンスの確立、自社の脆弱な点を監査する組織や

仕組みの導入等の重要性がますます高まると考えられます。

■今年は国内の大企業や米国の重要インフラ事業者を狙った

ランサムウェア攻撃にも注目が集まりました。

攻撃の手口は、データの暗号化に加えて

事前に重要データを手元に収めておいて、

暗号化データの復号のための身代金交渉が上手く行かない場合は、

重要データを漏えいさせると脅しをかける2重脅迫型が主流になりました。

また、RaaS（Ransomware-as-a-service）のプラットフォームを使用し、

データの暗号化や情報搾取のための手法が洗練されたことも特徴です。

このようにランサムウェア攻撃の手法は日々巧妙化し悪質化する傾向で、

ターゲットも変化しているため、企業や組織は以前から有効とされていた

データのバックアップだけではなく、攻撃者の侵入・横展開・重要データの

搾取という一連のフェーズを多層的に防御する対策に加えて、

万が一攻撃が成功してしまった場合であっても、

迅速に検知し対応を行うための対策を実施していくことが求められています。

調査結果を基にランク付けした

2021年の10大セキュリティ事件は以下の通りです。

なお、当ランキングは、昨年の調査後（2020年12月）から

今回の調査を開始した2021年11月までに報道されたセキュリティ事件に対する

ビジネスパーソンの認知度（複数回答）を調査した結果によるものです。

---------------------------

・順位（認知度）

セキュリティ事件（時期）

---------------------------

1位(43.0%)：電子決済サービスを開発・提供する企業が管理する

サーバーが不正アクセスの被害を受け、加盟店の名称など

2,000万件以上の情報が流出した恐れがあると発表した。（2020年12月）

2位(27.2%)：東京オリンピック・パラリンピックの期間中、

大会運営に関わるシステムやネットワークに、

合計4億回を超えるサイバー攻撃があったことが判明。

対策の結果、全てブロックし大会運営への影響はなかった。（10月）

3位(23.1%)：人材情報サービスのポータルサイトの運営企業は、

同社が運営する転職情報サイトで、外部で不正に入手されたとみられる

パスワードを使った不正ログインが発生したと発表した。（2月）

4位(17.5%)：政府機関や当該機関の職員らが使用する

ファイル共有ストレージに不正アクセスがあり、

231人の個人情報が外部に流出したと発表した。（4月）

4位(17.5%)：米石油パイプライン最大手企業は、

ランサムウェア攻撃を受けて全ての業務を停止したと発表した。（5月）

6位(15.1%)：婚活など交際相手を探すマッチングアプリのサーバーが

不正アクセスを受け、最大で会員171万人分の運転免許証などの

画像データが流出した可能性が高いことが判明した。（5月）

7位(14.4%)：官公庁や企業で使われている総合電機メーカーの

情報共有ソフトに不正アクセスがあり、ソフトを利用している

国土交通省や内閣官房で情報漏洩があったことが判明した。（5月）

8位(14.3%)：国立大学に対する外部からの不正なログインによって、

学生2人のメールアドレスから約3万5,000件の迷惑メールが

送信されていたと発表した。（1月）

9位(11.4%)：精密化学メーカーがランサムウェアとみられる攻撃を受け、

グローバルネットワークの一部停止を余儀なくされた。（6月）

10位(11.3%)：私立大学の会議室予約システムに存在していた

脆弱性を突いた不正アクセスにより、

個人情報が漏洩した可能性があると発表した。（5月）

■この1年間を代表する事件“電子決済サービスへの不正アクセス”

今回の調査対象期間を代表する事件としてランキングの

第1位に登場したのは、電子決済サービスを開発・提供する企業が

管理するサーバーが不正アクセスの被害にあい、

加盟店の名称など2,000万件以上の情報が流出した事件でした。

非接触で利便性の高い決済手法である電子決済サービスが浸透し、

利用がますます増加しています。

加盟店に関する情報へのアクセス権限設定の不備を狙われて

発生したとされるこの事件は、世間に大きな衝撃を与えました。

■日々進化するランサムウェア攻撃の脅威

今年のランキングの第4位にランクインした

米国の重要インフラ事業者を狙った攻撃、

第9位の精密化学メーカーを狙った攻撃、

またランクインはしなかったものの、

11月末の医療機関への攻撃に関する報道などもあり、

2021年はランサムウェアによる攻撃が大きなインパクトを残しました。

攻撃手法が日々進化、巧妙化する中、企業や組織も後手に回ることなく、

対策を行うことが求められます。警察庁から9月に発表された

今年の上半期の脅威情勢*によると、ランサムウェアの報告件数は

2020年下半期から約3倍と大きく増加しており、

企業や団体の被害件数は事実増加していることがうかがえます。

弊社代表取締役である田中 辰夫は次のように述べています。

「新型コロナウイルス感染症の影響が継続する中、

新たな常識として非接触の考え方などが浸透し、

多様化するニーズに対応したオンラインサービスが多く利用された一年でした。

また、私たちの生活と密接に関わる企業や重要インフラを狙った

ランサムウェア攻撃も発生しました。セキュリティにおける脅威は

決して他人事ではありません。それぞれが当事者意識を持ち、

これまでに増して理解を深め、対策を強化していくことが不可避であり、

ますます重要になると考えています」。

*警察庁広報資料

「令和３年上半期におけるサイバー空間をめぐる脅威の情勢等について」

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf

【調査概要】

調査名： 「2021年のセキュリティ事件に関する意識調査」

調査対象者： 日本国内に在住する企業経営者、

企業に勤務する情報システム担当者、一般従業員など22歳以上の男女1,000人

調査方法： インターネットによるアンケート調査

調査項目： 前回調査後の2020年12月から今回の調査を開始した

2021年11月までに報道されたセキュリティ事件に対する認知度（複数回答）

調査期間： 2021年11月26日～2021年11月30日

調査主体： McAfee Enterprise（アスマーク モニタを利用）

■McAfee Enterpriseについて

McAfee Enterpriseは、法人向けサイバーセキュリティの専業企業です。

世界トップクラスのソリューションから成るポートフォリオにより、

変化するセキュリティ需要を満たし、世界中の主要な企業、

団体、政府のニーズに対応しています。

詳細については、www.mcafee.com/enterprise をご覧ください。