テレワークに伴う個人情報漏えい事案に関する注意事項

テレワークに伴う個人情報漏えい事案に関する注意事項

令和2年9月23日
個人情報保護委員会事務局

新型コロナウイルスの影響でテレワークの利用が広がる中で、当委員会が実際に確認した個人情報漏えい事案の個別事例をご紹介します。個人情報取扱事業者の皆様には発生した内容と考えられる対策を参考にしていただきたいと思います。

事例1

テレワーク中の社員がSNSで知り合った第三者からウイルスが添付された電子メールを受領したことがきっかけでPCがウイルスに感染し、出勤時にそのPCを社内ネットワークに接続したことで、社内システムの情報が外部に漏えいした事例

  • 攻撃手法のイメージ図
    • ①従来は見られなかった巧妙なソーシャルエンジニアリング(※1)× 標的型攻撃(※2)
    •  ③ウイルス活動により内部情報が攻撃者に漏えい
    •      
      SNSを通じた攻撃手法の手順です。テレワーク時の攻撃①で②の出勤時に感染が拡大し、③で内部情報が漏洩する手順を表しています。
    • ②出勤時にウイルス感染したPCを社内ネットワークに接続し、感染が拡大
    • ※1 本人しか知らない重要な情報を、人間心理の性質などを利用して盗み出す方法のこと。
      一見相談に乗るような手口で近づくことで信頼させ、ログインパスワードや連絡先を聞き出す等。
    • ※2 狙いを定めた組織に対して情報の窃取や削除を目的に行われるサイバー攻撃のこと。
      その組織の従業員宛てにウイルスが添付された電子メールを送り付ける等。
    • 対策例
      • テレワーク環境ではVPN機器(※3)へ接続しない限りインターネットを利用できない仕組みを導入することで社内と同等のセキュリティ対策を適用する。 (※3 インターネット上に安全なセキュリティ経路を作るためのネットワーク装置)
      • 少しでも不審に感じたメールに添付されているファイルやリンクは絶対にクリックしない、テレワークの場合でも一人で判断せず誰かに相談する等、従業員の方のセキュリティに対する意識を高める。
      • テレワーク特有の職場とは異なる環境に則したセキュリティ確保のためのルールや相談体制を整備する。

    事例2

    脆弱性があるVPN機器への不正アクセスにより社員の認証情報等が外部に漏えいした事例

    • 攻撃手法のイメージ図
      テレワークで増大した負荷への対策として急遽遊休のVPN機器を稼働させたとき、脆弱性対策が行われていないと攻撃者によりVPN機器への攻撃を受け、ID/パスワードを不正に入手し社員になりすました攻撃者が社内ネットワークに侵入し、機密情報・個人情報が漏洩することを説明した図
    • 対策例
      • 利用システムは稼働する前にソフトウェア・セキュリティプログラムのアップデートを行う等、セキュリティの検証を十分に行う。
      • VPN機器経由にてリモート環境から社内システムへアクセスする際には、多要素認証を導入することで、万が一IDとパスワードが漏えいした場合であっても、なりすましによる不正アクセス被害を防ぐ。