建設業界では、施主の個人情報をはじめ契約内容、工程表、材料・燃料の仕入情報、安全管理や品質管理に関わる記録、技術情報や設計図、知財情報など多くの機密情報を扱っています。そしてこれらの情報交換はメールやインターネットにより行われています。
一方、IT情報ツールの普及に伴いランサムウェアなどのサイバー攻撃による、現場写真や機密情報の暗号や漏えいなどの情報セキュリティリスクも増大しています。特に建設業界の99%※を占める中小企業では、セキュリティ対策の専任者を雇用しづらい環境にありセキュリティ対策が遅れがちです。
このような現状はサプライチェーンとして構成されている建設業界全体のネックとなっています。
情報漏えいなどセキュリティインシデントを発生させた企業は、クライアントからの信用を失墜するだけでなく、サプライチェーンで結ばれている全ての企業にウイルスを拡大し、業界全体に大きなサイバー被害をもたらす可能性があります。
※国土交通省 「建設業許可業者数調査の結果について」(2023年3月末現在)より資本金3億円以下の法人を算出(個人は除く)
2020年に鉄道関連ゼネコンで発生したランサムウェアによる被害では、9割以上のサーバが暗号化され、さらに社員のパソコンからアンチウイルスソフトがアンインストールされたほか、データの窃取などの被害も確認されました。
2023年においても建設業界でのセキュリティインシデントは数多く発生しています。
| 公表日 | 企業概要 | 被害状況 |
|---|---|---|
| 2023年 1月23日 | 仮設機材の製造・販売 | ベトナム拠点のサーバーが不正アクセスを受け、同社と複数の子会社がランサムウェア(身代金要求型ウイルス)の「LockBit」に感染したと発表した。個人情報を含む顧客情報とグループ全社の従業員情報が漏えい。 |
| 2023年 2月15日 | 不動産情報サービス | クラウド型システムに保管されている3,378件の個人情報が、アクセス権の設定不備で第三者からアクセス可能な状態になっていた。3月19日深夜に、利用者から指摘があり発覚。 |
| 2023年 3月10日 | 突板・建材メーカー | 同社従業員を名乗る不審メールが複数の宛先に送信されている事実を確認。添付ファイル(ExcelやWord形式)の開封や、本文中のURLのクリックを控え、当該メールごと削除するよう呼びかけ。 |
| 2023年 3月13日 | 工務店 | 工務店の元従業員が同社に資料請求等を行った顧客情報を転職先に不正持ち出し。同社顧客情報流出について外部から情報提供により発覚。 |
| 2023月 4月6日 | 建設会社 | 同社が運用するサーバーに記録されていたデータの一部がランサムウェアにより暗号化され、使用できない状況になった。VPN機器の管理アカウントのパスワードが推測可能なものだったため、VPN機器を経由して社内サーバーに不正アクセスされた。 |
| 2023年 4月11日 | 建設情報サイト | 社内の共有ファイル管理用パソコンにアクセスできない事象を確認し調査したところ、当該パソコンを含む一部パソコンがウイルス感染したことが判明、データ流出の可能性について発表した。 |
| 2023年 5月9日 | コンクリート製品メーカー | ランサムウェア感染被害、復旧を断念し新システムに移行。「ファイアウォールVPN機能」の脆弱性を突いた不正アクセスによるもの。サーバーは15台のうち11台が感染。業務システムの大部分が暗号化されデータを復元できないため、完全復旧は困難と判断し、新システムに移行。 |
| 2023年 12月8日 | 住宅メーカー | 外部委託をしているサーバーが、外部からの不正アクセスを受け、顧客の個人情報など約3万件が漏えいした可能性があることを発表。このうち2件は氏名、建築地住所、図面が漏えいしていることが明らかになっている。 |
| 公表日 | 企業概要 | 被害状況 |
|---|---|---|
| 2023 1/23 | 仮設機材の製造・販売 | ベトナム拠点のサーバーが不正アクセスを受け、同社と複数の子会社がランサムウェア(身代金要求型ウイルス)の「LockBit」に感染したと発表した。個人情報を含む顧客情報とグループ全社の従業員情報が漏えい。 |
| 2023 2/15 | 不動産情報サービス | クラウド型システムに保管されている3,378件の個人情報が、アクセス権の設定不備で第三者からアクセス可能な状態になっていた。3月19日深夜に、利用者から指摘があり発覚。 |
| 2023 3/10 | 突板・建材メーカー | 同社従業員を名乗る不審メールが複数の宛先に送信されている事実を確認。添付ファイル(ExcelやWord形式)の開封や、本文中のURLのクリックを控え、当該メールごと削除するよう呼びかけ。 |
| 2023 3/13 | 工務店 | 工務店の元従業員が同社に資料請求等を行った顧客情報を転職先に不正持ち出し。同社顧客情報流出について外部から情報提供により発覚。 |
| 2023 4/06 | 建設会社 | 同社が運用するサーバに記録されていたデータの一部がランサムウェアにより暗号化され、使用できない状況になった。VPN機器の管理アカウントのパスワードが推測可能なものだったため、VPN機器を経由して社内サーバに不正アクセスされた。 |
| 2023 4/11 | 建設情報サイト | 社内の共有ファイル管理用パソコンにアクセスできない事象を確認し調査したところ、当該パソコンを含む一部パソコンがウイルス感染したことが判明、データ流出の可能性について発表した。 |
| 2023 5/09 | コンクリート製品メーカー | ランサムウェア感染被害、復旧を断念し新システムに移行。「ファイアウォールVPN機能」の脆弱性を突いた不正アクセスによるもの。サーバーは15台のうち11台が感染。業務システムの大部分が暗号化されデータを復元できないため、完全復旧は困難と判断し、新システムに移行。 |
| 2023 12/8 | 住宅メーカー | 外部委託をしているサーバが、外部からの不正アクセスを受け、顧客の個人情報など約3万件が漏えいした可能性があることを発表。このうち2件は氏名、建築地住所、図面が漏えいしていることが明らかになっている。 |
建設業界では多くの会社が協力して、業務を遂行します。また、仮設事務所やJVでの運営など、環境的にも情報セキュリティリスクが高い状態にあります。そのような建設業での情報セキュリティレベル向上に向け、日本建設業連合会が中心となり各種のセキュリティガイドラインが公開されています。
協力会社において、ランサムウェアへの最低限の予防と対処など、確実に実施すべき情報セキュリティ対策を解説したもの
特に会社数が多い中小企業においては、協力会社における情報セキュリティガイドラインに沿ったセキュリティ対策が重要です。
このガイドラインには、具体的な情報セキュリティ対策として①管理体制の構築、②情報セキュリティ施策とルール、③教育、④事故発生時の対応 についてチェックシートにより、自社のセキュリティ対策に活用できるようになっています。
※1 AV-Test 2021 の平均スコア、Sophos Managed Threat Response の現在のパフォーマンス指標
※2 サイバーソリューション大手顧客レビューサイトG2の2023年冬で、総合評価1位を獲得
AXIS総合セキュリティパックは、
経済産業省の政策実施機関であるIPA(独立行政法人情報処理推進機構)が支援する
「サイバーセキュリティお助け隊」認定サービスです
ご希望の日程でご要望や状況についてお伺いさせていただきます。オンラインミーティングもご用意しています。
お打ち合わせ内容を基に、最適なコースとお見積り金額をご提案いたします。
ご契約後、システム導入となります。
