サイバー攻撃関連
今週のセキュリティニュース - 2024年10月11日
今週のセキュリティニュースへようこそ!
ここでは、国内・国外で過去数日間に起こったサイバーセキュリティ関連のニュースやレポートなど、知っておくべきことをお伝えします。 ぜひご覧ください。
国内
金融分野におけるサイバーセキュリティに関するガイドライン - 金融庁
金融庁は、金融分野におけるサイバーセキュリティに関するガイドラインを2024年10月4日から適用しました。このガイドラインは「1.基本的考え方」「2.サイバーセキュリティ管理態勢」「3. 金融庁と関係機関の連携強化」の3つで構成されています。
その中のサイバーセキュリティ管理態勢のパートでは、認証・アクセス管理についても言及されています。特権アカウントや重要なシステムへのリモートアクセスには、多要素認証を使用することも、基本的な対応事項のうちの一つとして挙げられています。
また、サードパーティリスク管理についての記載もあります。サプライチェーンに由来するサイバーインシデントも大きな問題となっている現在、金融分野に限らず委託先のセキュリティリスクも適切に管理する必要がありそうです。
参照:金融庁ウェブサイト「金融分野におけるサイバーセキュリティに関するガイドライン」
損害調査業務会社がランサムウェア被害、委託元にも影響
2024年10月7日、大手損害保険企業を含む複数の会社から業務委託を受けている損害調査業務会社がランサムウェアの被害が発生したことを公表しました。
当該被害企業は、この事実を認識したのは8月末とのことですが現在も情報漏洩に関して調査中で、終了予定は11月以降とのことです。現時点では情報の流出や第三者による不正利用の事実は確認されていないとしています。
委託元のある企業は、対象となる情報は約72,000件に上るとしており、情報漏洩のおそれがある情報等について特定を進めているとのことです。
参照:産経新聞社「損保大手3社で契約情報漏洩か 同一委託先に不正アクセス、不正利用確認されず」
国外
医療機関の約7割がサイバー攻撃による患者ケアの中断を経験 - Proofpoint、Ponemon調査
サイバーセキュリティおよびコンプライアンスソリューションを提供するProofpointと、ITセキュリティ研究機関であるPonemon Instituteは、ヘルスケア分野におけるサイバーセキュリティの影響に関する第3回年次調査の結果を発表しました。
レポートによると、調査対象となった医療機関の92%が過去12か月間に少なくとも1件のサイバー攻撃を経験しており、これは2023年の88%から増加しています。また、69%の医療機関が、サイバー攻撃により患者ケアが中断されたと報告しています。
調査では、クラウド侵害、ランサムウェア、サプライチェーン、BEC(ビジネスメール詐欺)の4つの主要な攻撃タイプについても分析され、これらの攻撃を受けた医療機関のうち、56%が手続きや検査の遅延により患者の予後が悪化したと報告しました。さらに、53%が医療処置の合併症の増加を経験し、28%が患者死亡率の上昇を報告しています。
ITRC、第3四半期の米国データ侵害件数は8%減少と報告 - ITRC調査
アイデンティティ犯罪の被害者支援を目的に設立された全米で広く知られる非営利団体、Identity Theft Resource Center(ITRC)は、2024年第3四半期(Q3)の米国におけるデータ侵害に関する調査結果を発表しました。
2024年第3四半期のデータ侵害調査報告書の分析によると、公開されたデータ侵害件数は672件で、今年第2四半期の732件から8%減少しました。年初来の侵害件数は2,242件に達しており、2024年に過去最多の侵害件数が発生する可能性は低いと見られています。
ITRCの社長兼最高経営責任者(CEO)は今回の調査における興味深い傾向として、「特に、過去12か月間に複数のデータ侵害を報告した企業が増加していることや、1億人以上に影響を与える大規模なデータ侵害が再発していることが注目されます。これらの傾向は、企業が引き続きデータとアイデンティティの保護を最優先課題とし、消費者が犯罪者にとって自身の情報を価値のないものにするための必要な措置を取ることの重要性を示しています」と述べています。
参照:Identity Theft Resource Center「ITRC Q3 Data Breach Analysis」