今日もどこかで情報漏えい第6回「2022年11月の情報漏えい」

　今日もどこかで情報漏えいは起きている。

　大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

　本稿は「万延元年のフットボール」「2001年宇宙の旅」という二つの名著にちなんで「○○年の情報漏えい」と副題がつけられており、大事なものを見落としたかもしれない過去に思いを馳せる意図で、前の月に配信した本誌公式メルマガに掲載された事故・インシデント記事について、件数で見た被害規模が大きい順の「月間ワースト 3」、そして「記事閲覧数ベスト 3」、情報漏えい被害でも特にエンドユーザーに影響がある「クレジットカード情報漏えい」など、複数の角度から「 202x 年 n 月の情報漏えい」をふりかえり、そして馳せる（「 202x 年 n 月」は誤記載ではなく、凡例としてこう記している）。

　なお、あくまで本誌が記事として取りあげ掲載した事故・インシデントが対象となるため、（1）日本国内で発生した事象をすべて網羅している訳ではないこと、及び集計の実務的理由によって n 月に配信した公式メルマガに掲載された事故・インシデントを対象としているため、たとえば前月の下旬に公表された事故・インシデントについて言及されていたり（例： n 月のふり返りに n - 1 月の事象が出てくる）、あるいはあまりこういうことを記事の冒頭で申し上げることは大いに憚られるのだが、いわゆる編集部の「補足漏れ」などによって記事にすることが遅れた等の理由から、（2）ピックアップされる事故・インシデントの発生あるいは公表年月日が、当該月のついたちから末日までとは必ずしもなっていない、このふたつの点をあしからずご了承いただきたい。

●インシデント原因内訳

　さて、2022 年 11 月に取り上げた事故・インシデント記事は 10 月の 34 本から 14 本多い全 48 本だった。11 月に取り上げた記事の原因の最多は「不正アクセス」で 31 件（ 65 ％）を占め、次いで「誤送信ほか操作ミス」が7 件（ 15 ％）、「紛失」が 4 件（ 8 ％）と続いている。

情報漏えい原因別記事一覧：不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧：メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧：設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

　なお、上記の数値をもって「 n 月は『○○』が原因による事故・インシデントが多かった」等の判断をすることは正しくない。なぜなら本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性がある、なんらかの事故を減らすための示唆がその情報の中に含まれている、という推定が行われており、取捨選択に明確な編集方針があるからである。

●被害規模ワースト

　さて、11 月で最も被害規模が大きかったのは、株式会社ダイナムジャパンホールディングスによる「ダイナムジャパンホールディングスのサーバにランサムウェア攻撃、情報流出の可能性を否定できず」の 33 万 4,690 件だった。不正アクセスのあったサーバに保存されていた同社グループ企業 7 社の「顧客」「地権者」「取引先」「採用応募者」「退職者」「従業員」に関する情報について、流出の可能性を否定できないとしている。

　この 33 万 4,690 件という数字は、前月 10 月の「トヨタ「T-Connect」登録情報が漏えいの可能性、GitHub上でデータサーバーへのアクセスキーを公開」の 29 万 6,019 件を超える規模であり、2022 年の大規模漏えい事案のひとつとなるのは間違いないだろう。

　11 月は被害件数ワースト 3 全てを不正アクセス事案が占めた。

【 2022 年 11 月ワーストトップ 3 】
1 位：ダイナムジャパンホールディングスのサーバにランサムウェア攻撃、情報流出の可能性を否定できず
原因：不正アクセス
件数：33 万 4,690 件
https://scan.netsecurity.ne.jp/article/2022/11/11/48479.html

2 位：「ワコムストア」への不正アクセスでカード情報が漏えい、4月まで使用していた旧システムの脆弱性を突かれる
原因：不正アクセス
件数：14 万 9,483 件
https://scan.netsecurity.ne.jp/article/2022/11/24/48534.html

3 位：東海国立大学機構にパスワード総当たり攻撃でアカウント情報流出の可能性、設定不備が原因
原因：不正アクセス
件数：最大4万人
https://scan.netsecurity.ne.jp/article/2022/11/21/48522.html

●よく読まれた記事

　次に 11 月の記事閲覧数ベスト 3 は下記の通りである。1 位となった大阪急性期・総合医療センターへのランサムウェア攻撃は、テレビでもニュースとして報道された。2 位のベルキッチンは、大阪急性期・総合医療センターに給食を提供しており、両社への攻撃の関連性について調査が行われている。

【 2022 年 11 月閲覧数ベスト 3 】
1 位：ランサムウェア攻撃で電子カルテに障害、通常診療行えず～大阪急性期・総合医療センター
5,744 ページビュー
https://scan.netsecurity.ne.jp/article/2022/11/02/48426.html

2 位：ベルキッチンへランサムウェア攻撃、給食提供時間に遅れ発生
3,587 ページビュー
https://scan.netsecurity.ne.jp/article/2022/11/09/48458.html

3 位：埼玉大学でドッペルゲンガードメイン「＠gmai.com」に自動転送、約10ヶ月間続く
2,790 ページビュー
https://scan.netsecurity.ne.jp/article/2022/11/24/48533.html

●クレジットカード情報漏えい

　次はクレジットカードの情報漏えいである。公表された漏えい件数／漏えい可能性のある件数を並記する。11 月は 10 月の 3 件から約 4 倍増となる 11 件のカード情報漏えい事件が公式メルマガに掲載された。そのうち 7 件が株式会社ショーケースへの不正アクセスを発端とする漏えいであった。

ショーケース社への不正アクセス、出光クレジットの会員情報漏えいの可能性
件数：不明
https://scan.netsecurity.ne.jp/article/2022/10/31/48410.html

「ワコムストア」への不正アクセスでカード情報が漏えい、4月まで使用していた旧システムの脆弱性を突かれる
件数：14 万 9,483 件
https://scan.netsecurity.ne.jp/article/2022/11/24/48534.html

化粧品取り扱い「akaran公式オンラインストア」に不正アクセス、8,483名分のカード情報が漏えい
件数：8,483 名
https://scan.netsecurity.ne.jp/article/2022/11/21/48520.html

ショーケース社への不正アクセス、「カクヤスネットショッピング」でカード情報が漏えい
件数： 8,094 件
https://scan.netsecurity.ne.jp/article/2022/11/04/48439.html

健康食品取り扱い「はつらつ堂ショッピングサイト」に不正アクセス、カード情報が漏えい
件数：4,636 名
https://scan.netsecurity.ne.jp/article/2022/11/04/48438.html

「ウイルダイレクト」へ不正アクセス、2,426名のカード情報やログイン情報漏えい
件数：2,426 名
https://scan.netsecurity.ne.jp/article/2022/11/01/48417.html

ショーケース社への不正アクセス「ABC-MART公式オンラインストア」利用者カード情報漏えい
件数：2,298 件
https://scan.netsecurity.ne.jp/article/2022/10/31/48412.html

ショーケース社への不正アクセス「FUJIFILMプリント＆ギフト」「フジフイルムモール」利用者のカード情報漏えい
件数：1,370 名
https://scan.netsecurity.ne.jp/article/2022/10/31/48409.html

ショーケース社への不正アクセス、「Honya Club.com」でカード情報が漏えい
件数：424 人
https://scan.netsecurity.ne.jp/article/2022/11/17/48498.html

ショーケース社への不正アクセス「生涯学習のユーキャン」利用者のカード情報漏えい
件数：200 名
https://scan.netsecurity.ne.jp/article/2022/10/31/48411.html

ショーケース社への不正アクセス、エスビー食品「お届けサイト」でカード情報が漏えい
件数：164 名
https://scan.netsecurity.ne.jp/article/2022/11/17/48499.html

　ところで漏えいの原因となったショーケース社のプレスリリースでは、不正アクセスがあったことについては明言しているものの、その被害規模については記されず、また、結果としてカード情報が漏えいしたことへの言及がなかった。そのため、ここで本件に起因するカード情報の漏えい件数の総計を試みてみよう。

・エービーシーマート：2,298 件
・出光クレジット：件数記載なし
・富士フイルムイメージングシステムズ「フジフイルムモール」：519 件
・富士フイルムイメージングシステムズ「FUJIFILMプリント＆ギフト」：851 件
・ユーキャン：200 件
・カクヤス：8,094 件
・エスビー食品：164 件
・日本出版販売：424 件
―――――――――――
　Σ＝ 12,550 件

　公表された情報によれば、漏えいしたカード件数の総数は 12,550 件となった。ショーケース社のソースコードが改ざんされた期間が 10 日間程度であったことを考えると、果たして多いのか少ないのか。

●逮捕 1 件、懲戒処分 2 件、懲戒手続き開始後の「調査妨害行為」も

　11 月は情報漏えいインシデントにまつわる逮捕が 1 件、懲戒処分が 2 件あった。

　逮捕案件とは、杉並区の職員が住民基本台帳ネットワークシステムを不正に検索して得た個人情報を外部に漏えいしていたもので、住民基本台帳法違反容疑での逮捕となった。逮捕された 32 歳男性職員は容疑をきっぱりと否認した。

住民基本台帳法違反容疑で杉並区職員逮捕「不正行為は一切行っていない」
https://scan.netsecurity.ne.jp/article/2022/11/10/48466.html

　次に懲戒案件の 1 件目は、琉球大学の教員が行った「代理受講行為」「他人名義での科研費申請」「調査妨害行為」であり、停職 3 月の懲戒処分が下った。当該教員は代理受講行為と他人名義での科研費申請による懲戒手続きが開始された後に、LINE や電話で口裏合わせを依頼したり、調査内容を聞き出そうとするなどの「調査妨害行為」を積極的に行い、自ら処分を重くした。

琉球大学教員代理受講行為や他人名義での科研費申請で懲戒処分、口裏合わせなど調査妨害も
https://scan.netsecurity.ne.jp/article/2022/11/17/48500.html

　懲戒処分の 2 件目は、福島県郡山市の職員が庁内グループウェアへの不正ログインを繰り返し、職員の個人情報を不正に閲覧したり、他の職員のプロフィール欄やスケジュール欄にいたずら書きのような書き込みをしたことなどに対し、地方公務員法第 33 条（信用失墜行為の禁止）、同法第 35 条（職務専念義務）に基づき行われた戒告処分であった。

庁内グループウェアへの不正ログインを繰り返した職員を戒告処分
https://scan.netsecurity.ne.jp/article/2022/11/25/48542.html

● 11月の「二度見案件」～異なる世界線に存在する企業と、触れられなかった無断再委託

　筆者は仕事柄、平日は毎日 10 数件、あるいは 20 件を超える情報漏えいや不正アクセスの報告書やリリースを精読している。そんな筆者が思わずリリースを二度見してしまう案件が存在する。今回はそんな中から 2 件を取り上げてみたい。

　1 件目はまるで「Ｋ」という名の主人公が登場する物語のような味わいを持つインシデントである。もちろん「Ｋ」とは「ブレードランナー２０４９」のＫではなく、フランツ・カフカの「審判」と「城」の主人公Ｋである。