オーストラリア情報コミッショナー事務局の最新の通知義務のあるデータ侵害報告書によると、2024年の最初の6か月間に通知義務のあるデータ侵害が全国的に急増しており、2023年の下半期と比較して9%増加し、通知件数は2020年以来最多となっている。
9月に発表された報告書は、1,290万人のオーストラリア人に影響を与えた医療処方箋サービス「MediSecure」の不正アクセスを含む最近のデータ侵害が、OAIC(オーストラリア情報保護委員会)による強力な対応を促したことを示しています。OAICは、データプライバシーと侵害に対する姿勢をより強硬にすると警告し、組織はデータ運用においてプライバシーを最優先にする必要があることを強調しました。
どの業界が最も多くのデータ侵害を経験したのでしょうか?
OAICは、2018年にオーストラリアでデータ侵害通知制度が開始されて以来、データ侵害通知に関する統計情報を公表しています。最新の報告書では、以下のことが明らかになりました。
- 2024年1月から6月にかけて合計527件の通知が行われ、2023年7月から12月にかけて受信した485件の通知と比較して9%増加しました。
- 直近の6か月間には、世界的なCOVID-19パンデミックの真っ只中であった2020年7月から12月以来、最も多くの通知が受信されました。
- データ侵害の被害が最も大きかった上位5つのセクターは、医療サービス提供者(102件)、オーストラリア政府(63件)、金融(58件)、教育(44件)、小売(29件)でした。
- 外部および内部からの悪意のある攻撃や犯罪による攻撃が、データ侵害全体の 67% の原因となっており、続いて人為的ミス (30%)、システム障害 (3%) となっています。
- 悪意のある攻撃や犯罪的攻撃には、サイバーインシデント(57%)、ソーシャルエンジニアリング/なりすまし(27%)、書類やデータストレージの盗難(8%)、不正な従業員/内部脅威(8%)が含まれます。
- 報告された侵害の大半(63%)は100人以下が関与していたが、オーストラリア史上最大規模のMediSecure侵害など、10万人以上が影響を受けた大規模な侵害が8件あった。
参照: オーストラリアの組織はデータ侵害率が最も高い
オーストラリアではサイバーインシデントが悪意のある犯罪的攻撃の主流となっている
サイバーインシデントは依然としてデータ侵害の主な原因であり、全体の38%を占めています。サイバーインシデントとは、フィッシング、ランサムウェア、認証情報の侵害または盗難(手法不明)、ブルートフォース攻撃、ハッキング、マルウェアなどを指しますが、ソーシャルエンジニアリング型の攻撃は含まれません。
様々な悪意のある攻撃や犯罪行為の中でも、サイバーインシデントは個人に最も大きな影響を与えました。201件のサイバーインシデントにより平均107,123人が影響を受け、不正な従業員や内部脅威によるインシデントにより平均4,709人が影響を受けました。
オーストラリアのプライバシーコミッショナー、カーリー・カインド氏は報告書の中で、OAICに報告されたデータ漏洩件数においてサイバーインシデントが引き続き増加しているのは、「デジタルツールやオンラインサービスへの依存度が高まり、悪意のあるサイバー犯罪者に個人情報がより頻繁にさらされているため」だと述べた。
しかし、人為的ミスは依然として報告義務のあるデータ侵害の30%を占めています。人為的ミスの主なカテゴリーは次のとおりです。
- 個人情報が間違ったメール受信者に送信される(38%)。
- 情報の不正な開示、または意図しないリリースや公開(24%)。
- 電子メールの送信時に Bcc (ブラインド コピー) オプションを使用しない (10%)。
データ侵害の急増でオーストラリア政府機関が注目を浴びる
OAICは、オーストラリア政府が報告したデータ侵害件数は全セクター中2位で、これは過去最高の数字だと指摘した。ただし、同政府はこれまでもデータ侵害件数上位5位以内に入っていた。報告書によると、
- 政府機関は2024年1月から6月にかけて63件のデータ侵害を報告しており、これはオーストラリアにおけるデータ侵害通知全体の12%を占めています。
- ソーシャルエンジニアリングまたはなりすましによるデータ侵害は、政府によるものが最も多く、全体の42%を占めています。OAICによると、これらの侵害では、通常、脅威アクターが顧客になりすまし、正規の認証情報を使用してアカウントにアクセスするという手法が用いられています。
- 政府の対応も遅く、政府機関が事件発生後30日以上経過してから事件を特定した通知の割合が最も高く(87%)、一方、政府通知の78%は、政府機関が事件を認識してから30日以上経過してから行われた。
参照: オーストラリアの公共部門は、大規模なサイバーセキュリティインシデントに備えていますか?
組織はどのようにしてデータ侵害を阻止できるでしょうか?
セキュリティ専門家は、基本的なサイバーセキュリティ対策を実施することで、多くのデータ侵害やサイバー攻撃を防げる可能性があると、組織に繰り返し警告しています。OAICは、データ侵害データの傾向に基づいて、いくつかの提言を発表しました。
サイバー脅威の軽減
OAICは、サイバー脅威を阻止するための最優先事項として多要素認証を導入することを推奨しました。多要素認証が利用できない場合は、強力なパスワード管理ポリシーと実践を導入することも推奨しました。また、以下の点も推奨しました。
- 単一障害点を回避するためにレイヤー セキュリティ制御を実装します。
- 役割と責任に基づいて情報へのアクセス レベルを適用します。
- セキュリティ監視を活用して、インシデントや異常なアクティビティを検出し、対応し、報告します。
OAICは、実践の改善を導くための手段として、オーストラリアのエッセンシャル8項目、オーストラリア信号局の情報セキュリティマニュアル、米国国立標準技術研究所のサイバーセキュリティフレームワーク、国際標準化機構のISO 27001およびISO 27002情報セキュリティ管理規格などの枠組みを挙げた。
拡張サプライチェーンのリスク
OAICによると、MediSecure社を襲った侵害やOutabox社を巻き込んだ別のインシデントのように、サプライチェーンの侵害が大規模なデータ侵害の原因となっているケースもある。OAICは、個人情報の取り扱いを第三者にアウトソーシングすることは依然として大きなリスクであると付け加えた。
同庁は、企業は調達の初期段階で、クラウドプロバイダーを含む個人情報の取り扱いをアウトソーシングすることのリスクを検討すべきだと述べた。また、組織に対し、より強固なセキュリティ対策に加え、強固なサプライヤーリスク管理の枠組みを構築することを推奨した。
人的要因への対処
OAICは、個人がプライバシー慣行の強化にとって依然として重大な脅威であることを強調しました。これらの脅威には、人為的ミスによる情報漏洩や、従業員がフィッシングに騙されることなどが含まれます。
当局は、組織に対し、エラーを削減するための技術的対策を実施するよう促し、職員がプライバシーとセキュリティに関する義務を理解できるよう教育することが不可欠であると強調した。また、安全な情報取り扱いに関する職員研修を優先的に実施することを推奨した。
クラウドベースのデータ保有の誤った構成
OAICは、一部の組織がデジタル変革を進める中でクラウドセキュリティを「軽視」していると指摘した。今四半期中に複数のデータ侵害が発生したのは、オーストラリアのある組織が人為的ミスによりセキュリティ設定を誤っていたためであり、個人情報が不正アクセスや公開の危険にさらされた。
OAICは、組織はクラウドセキュリティの責任をプロバイダーに負わせるべきではないと述べた。同庁は、クラウドのセキュリティと管理を優先すべきだと指摘し、多要素認証(MFA)、IPアクセス制御、暗号化による安全なアクセス制御といった対策の重要性を強調した。
