国際的に懸念されているセキュリティリスク

2026年2月号でもお伝えしたように、昨今のサイバー攻撃は特定の国・地域を標的にしたサイバー攻撃が増加中です。3月においても以下のような事例が発生しています。

イラン・イスラエル戦争におけるサイバー活動の活発化

米国による軍事介入で緊迫するイラン・イスラエル戦争。イラン側では脅威グループと連携し、中東地域の脆弱なIPカメラを悪用し、戦場監視やミサイル関連の情報収集を目的としたサイバー活動を強化しています。一方、イラン情報保安省（MOIS）もマルウェア・ボットネット・アクセスブローカーなどを活用して攻撃の迅速化・秘匿性向上を図っている。

ラテンアメリカでサイバー脅威が増加

急速なデジタル化とサイバーセキュリティ成熟度の低さを背景に、ラテンアメリカ諸国ではランサムウェア・バンキングマルウェア・ボットネットなどが急増している。医療分野への攻撃なども多発しており、地域社会・インフラを健全に保つためにもネットワーク監視などへのセキュリティ投資が必要といえる。

日系企業の海外現地法人への影響

3月には軍事的背景のある国家ぐるみのサイバー活動による影響が顕在化しました。イラン・イスラエル戦争の影響は中東地域だけでなく、日本を含む全世界に波及していることは特筆するべき点でしょう。

日本においては「ホルムズ海峡」の運航危機が要因となって、原油・半導体などエネルギー関連企業のビジネスに影響を及ぼしています。また、外務省によれば中東地域には1000弱もの日系企業の拠点があるとされ、非常時だからこそ日本本社と海外現地法人の連携が必要になっています。

データ収集と運用方法

いかなるグローバル企業でもデータの収集・保管方法を誤る場合があります。3月ではグローバル企業のデータ収集とセキュリティ運用に関する事例が発生しました。

セキュリティ観点から見る企業のデータ収集・保管の実情

まずはセキュリティ対策に関する示唆的な事例を紹介します。事例を参考にして「自社のセキュリティ体制は問題ないか？」という視点で考えていただけると幸いです。

MetaとTikTokが個人情報・金融情報を収集していた問題

InstagramやFacebookを運営するMeta社が、自社のマーケティングツール「Meta Pixel」を活用してユーザの同意前の段階で氏名・メールアドレス・位置情報・金融情報などを収集していることが判明した。この挙動はプライバシー法に抵触する可能性があり、重大なコンプライアンス違反が懸念されている。また、TikTokの運営元であるByteDance社に対しても、Meta社と同様の不適切なデータ収集について指摘されている。

スターバックスで約900件の個人情報が流出

スターバックスは「Partner Central HR プラットフォーム」が侵害されたと発表した。889名の従業員の氏名・生年月日・社会保障番号・銀行口座情報などが流出したとされる。攻撃者はスターバックスのログイン画面を模倣したフィッシングサイトを用いて資格情報を窃取し、1月19日にデータ侵害を実行した。被害を発見したのは実行から2週間以上経過した2月6日だとされる。

上記2つの事例は企業の個人情報収集・管理の重要性を示唆するものです。まず情報収集に関する事例はプライバシー問題が本筋なものの、SNSサービスなどで行われている過剰なデータ収集・蓄積によるセキュリティリスクも論点といえます。データ構造が多様かつ複雑なほど攻撃対象や影響範囲の拡大を招きます。「データは集めた瞬間からセキュリティ対象になる」ということを念頭に置いてください。

また、個人情報流出の事例は、攻撃者のシステム侵入後におけるセキュリティ設計の課題を浮き彫りにしています。本事例の経過を見る限り、攻撃者が認証突破後に数週間に渡り社内情報を閲覧できる状況だった可能性があります。つまり「認証後に閲覧・操作可能な範囲を制限する設計が不十分だった」のです。

セキュリティ体制を構築することで被害を最小化

上記のような重大なリスク・被害を伴うインシデントが断続的に発生する一方で、サイバー被害を侵入後のアクセス制御設計によって軽減した事例も見逃せません。

Auraで90万件の個人情報が流出

米国のデジタル企業・Auraの従業員がソーシャルエンジニアリングによる電話攻撃で騙され、攻撃者の約1時間にわたる不正アクセス被害を招いた。攻撃者はレガシーのマーケティングデータベースにアクセスし、約90万件の記録（主に氏名とメールアドレス）を閲覧したとされる。しかし、社会保障番号・決済情報などの個人情報のほとんどは、厳格なアクセス制御によって漏えいを免れている。

本事例で特筆すべきは、侵入を許してもアクセス制御によって、機密性の高い情報を保護できた点です。公開情報のみではセキュリティ体制の詳細はわかりかねますが、少なくとも以下のようなゼロトラスト思想に基づいたセキュリティ体制になっていたことは想像に難くありません。

1. 侵入を前提とした認証後・ログイン後の細かな制御設定
2. 特権ID管理による権限の最小化
3. ユーザ単位ではなくセッション単位による制御
4. 社内外からのアクセスに個別のポリシー・制御設定を実施

上記のようなセキュリティ体制はAura社独自のものではなく、国内外のセキュリティ意識の高い企業・組織で取り入れられているものです。認証前の防御はもちろんですが、認証による侵入後の制御機能も充実していることがわかるでしょうか。今回、取り上げた個人情報流出事例から学べるのは、セキュリティ対策で大切なのは「侵入そのものより、攻撃者が”認証後に何ができるか”」を意識することです。侵入を前提としたアクセス制御の設計が、被害範囲を大きく左右することは認識しておいてください。

IIJでは国内外のIT・セキュリティの情報を発信中

今回は数あるグローバルニュースから日系企業のビジネスに影響を及ぼした国際的なニュースや、日系企業のセキュリティ対策に参考となる海外インシデント事例を選びまとめました。

IIJでは後半に触れた「ゼロトラスト思想に基づいたセキュリティ体制」に関連したサービスを提供しています。例えば「IIJ Safous」は外部事業者のアクセスを制御・管理する、セキュリティ業界でも珍しいエージェントレスのサービスです。下記コンテンツではサービスの開発・企画担当が、現場レベルでよく挙げられる「外部事業者のアクセス管理」の課題と解決策について解説していますのでご参照ください。

また、ウェブ上のコンテンツに加えて、海外の最新トピックスをまとめた資料「グローバルセキュリティレポート」なども無料配布中です。ご自身の興味関心にあわせてお気軽に資料をダウンロードください。セキュリティやIIJのサービスに関するお問い合わせも随時受け付けておりますので、下記ボタンよりご相談いただけますと幸いです。