2023年に起きた10大サイバーセキュリティインシデント事例 ESET：「8億1500万人分の個人情報流出」や「被害額1億ドル」の事例など

ESETは2023年に発生したサイバーセキュリティインシデントの中で、最も影響の大きかった10個の事例を発表した。

[＠IT]

　ESETは2023年12月28日（米国時間）、2023年に発生したサイバーセキュリティインシデントの中でも、最も被害が大きかった10個の事例を発表した。

2023年に起きた10大サイバーセキュリティインシデント

MOVEitの事例

　ファイル転送アプリ「MOVEit」のゼロデイ脆弱（ぜいじゃく）性を悪用したランサムウェア攻撃が発生した。推定によると、2600以上の組織と8300万人以上の個人が影響を受けた可能性があるという。被害に遭った組織の多くがサプライヤーやサービスプロバイダーだったこともあり、関係先に被害が広まった。

　MOVEitの提供元であるProgress Softwareは2023年5月31日にパッチをリリースし、利用者にパッチを当てたり、対策を講じたりするよう促している。

英国選挙管理委員会の事例

　英国の選挙管理委員会は2023年8月、選挙人名簿に登録されている約4000万人の有権者の個人情報が2022年10月に起きたサイバー攻撃により盗まれたと明らかにした。発表後、選挙管理委員会の貧弱なセキュリティ体制や、英国国家サイバーセキュリティセンター（NCSC）のセキュリティ監査に不合格だったことなどが報じられた。

　ESETは同委員会がサイバー攻撃が起きたことを発表するまで10カ月も要したことに対して疑問を呈している。

北アイルランド警察庁の事例

　北アイルランド警察庁（PSNI）は2023年8月に、PSNIの従業員が情報公開要求サイト上で、誤って内部の機密データを投稿したことを明らかにした。この機密データには、監視および情報部門で働く1万人の警官と民間職員の氏名、階級、部署が含まれていた。投稿から2時間以内に削除されたが、非主流派リパブリカンの間で情報が拡散された。その後、データ流出を巡ってテロ行為として逮捕された2人が、釈放された。

　ESETは、内部関係者によるインシデントと、比較的少数の被害者が甚大な影響を被る事件の両方に該当する事例とした。

Darkbeamの事例

　デジタルリスクプラットフォーム「Darkbeam」のElasticsearchとKibanaの構成ミスにより、38億件の記録が流出した。ESETによると、2023年に起きた最大のデータ流出事例だという。セキュリティ研究者がDarkbeamに通知し、問題は修正されたが、どれくらいの期間にわたって流出していたのか、誰かが悪意を持ってアクセスしたかは判明していない。

　ESETは、システムの構成ミスを継続的に監視する必要性を示す事例とした。

インド医学研究評議会の事例

　2023年10月、サイバー攻撃者がダークWebで「8億1500万人分のインド人の個人情報を販売する」と投稿した。セキュリティ企業による調査の結果、インド医学研究評議会（ICMR）の新型コロナウイルス検査データベースからデータが流出したとみられることが分かった。8億1500万人分の名前、年齢、性別、住所、パスポート番号、Aadhaar（国民識別番号）のデータが流出した。

　ESETは、インドで最大規模のセキュリティインシデントであり、身元詐称攻撃に必要な情報が全て含まれるため、特に深刻なインシデントの一つとした。

23andMeの事例

　サイバー攻撃者が、バイオテクノロジー企業の23andMeから最大2000万件のデータを盗んだと主張し、23andMeの調査により明らかになった。過去に盗まれたユーザー名とパスワードを利用していた23andMeのユーザーアカウントにアクセスするクレデンシャルスタッフィング攻撃を利用したとされている。流出したデータには、プロフィール写真、性別、誕生年、出生地およびDNAの解析結果が含まれていた。

ラピッドリセット攻撃の事例

　Googleは2023年10月、HTTP/2プロトコルのゼロデイ脆弱性を悪用したDDoS攻撃が行われていたと明らかにした。Googleによると、過去最大規模となる毎秒3億9800万リクエストの攻撃を受けたとしている。

　ESETは、GoogleやCloudflareは脆弱性に対応したが、自社でインターネットプレゼンスを管理する企業にも、追随が求められるとした。

T-Mobileの事例

　米国の通信事業者であるT-Mobileは2023年1月に、3700万人分の顧客の住所、電話番号、生年月日がサイバー攻撃により盗まれたと明らかにした。2023年4月には、800人余りのアカウントのPIN、社会保障番号、国民識別番号、生年月日、関連サービスに使用する内部コードなど、より多くの情報が流出していたことも明らかになった。

MGM Resorts/Caesars

　ラスベガスで有名なリゾート企業のMGM Resorts International（以下、MGM Resorts）とCaesars Entertainment（以下、Caesars）が数日の間に同じサイバー攻撃を受けた。サイバー攻撃者はMGMのIT部門を装ってLinkedIn経由で従業員に連絡し、資格情報を電話で求めるVishing（ビッシング）攻撃を行い、ネットワークアクセスを得た。MGM Resortsは、主要ITシステムをシャットダウンし、スロットマシン、レストラン管理システム、部屋のキーカードシステムで数日間にわたって障害が発生した。MGM Resortsは被害額を1億ドルと見積もっている。Caesarsの損失額は不明だが、サイバー攻撃者に対して1500万ドルを支払ったと認めている。

米国国防総省の事例

　マサチューセッツ州空軍州兵の情報部門に所属していた21歳の隊員が、自身のDiscordコミュニティーで自慢するために、高度に機密性のある軍事文書を投稿した。軍事文書はその後、他のプラットフォームで共有され、ウクライナ戦争を追跡するロシア人により再投稿された。隊員は、最高機密の文書を印刷し、自宅に持ち帰って写真を撮り、Discordコミュニティーにアップロードしていた。

　ESETは、ロシアに対して軍事情報を与え、米国と同盟国の関係が損なわれた事例であり、悪意のある内部関係者による脅威を警戒する米軍やその他の大規模組織にとっての警鐘だとしている。