今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
本稿は「1973年のピンボール」「1976年のアントニオ猪木」という二つの名著にちなんで「○○年の情報漏えい」と副題がつけられており、大事なものを見落としたかもしれない過去に思いを馳せる意図で、前の月に配信した本誌公式メルマガに掲載された事故・インシデント記事について、件数で見た被害規模が大きい順の「月間ワースト 3」、そして「記事閲覧数ベスト 3」、情報漏えい被害でも特にエンドユーザーに影響がある「クレジットカード情報漏えい」など、複数の角度から「 202x 年 n 月の情報漏えい」をふりかえり、そして馳せる(「 202x 年 n 月」は誤記載ではなく、凡例としてこう記している)。
なお、あくまで本誌が記事として取りあげ掲載した事故・インシデントが対象となるため、(1)日本国内で発生した事象をすべて網羅している訳ではないこと、及び集計の実務的理由によって n 月に配信した公式メルマガに掲載された事故・インシデントを対象としているため、たとえば前月の下旬に公表された事故・インシデントについて言及されていたり(例: n 月のふり返りに n - 1 月の事象が出てくる)、あるいはあまりこういうことを記事の冒頭で申し上げることは大いに憚られるのだが、いわゆる編集部の「補足漏れ」などによって記事にすることが遅れた等の理由から、(2)ピックアップされる事故・インシデントの発生あるいは公表年月日が、当該月のついたちから末日までとは必ずしもなっていない、このふたつの点をあしからずご了承いただきたい。
●インシデント原因内訳
さて、2023 年 2 月に取り上げた事故・インシデント記事は 2023 年 1 月の 59 本から 13 本少ない全 46 本だった。2 月に取り上げた記事の事故原因最多は「不正アクセス」で 25 件( 54.3 %)を占め、次いで「誤送信ほか操作ミス」が8 件( 17.4 %)、「紛失」が 3 件( 6.5 %)と続いている。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
なお、上記の数値をもって「 n 月は『○○』が原因による事故・インシデントが多かった」等の判断をすることは正しくない。なぜなら本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性がある、なんらかの事故を減らすための示唆がその情報の中に含まれている、という推定が行われており、取捨選択に明確な編集方針があるからである。
●被害規模ワースト
さて、2 月に最も被害規模が大きかったのは、株式会社アダストリアによる「カジュアルファッション取り扱いアダストリアのサーバへ不正アクセス、100万件の個人情報が流出した可能性」の 104 万 4,175 件 だった。同社が運営するオンラインショップ「ドットエスティ」の EC サーバは不正アクセスの影響を受けておらず、カード情報が流出したという話も無いが、物流システムを停止したことで休止となっている。
2 月トップのアダストリアは 100 万の大台を突破した。2023 年の情報漏えい業界は、同じく100 万超えを記録した先月のアフラックに続き、90 年代の CD 売上枚数のような景気の良い数字がふた月連続で並んだ。参考までに 2022 年の 100 万件超のインシデントは、トップ 2 のJFRグループとフリマアプリ「SNKRDUNK」のみであった。2023 年は、2 月時点で件数において前年に並んだ。
参考:今日もどこかで情報漏えい 第7回「2022年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」
https://scan.netsecurity.ne.jp/article/2023/01/19/48792.html
【 2023 年 2 月ワーストトップ 3 】
3 位: 複数の条件満たすことでDBへの侵入許す恐れ、フォレンジック調査の結果を公表
原因:システム管理上のミス
件数:4 万 9,982 件
https://scan.netsecurity.ne.jp/article/2023/01/31/48846.html
2 位: ソースネクスト・サイトへ不正アクセス、112,132名のカード情報漏えい
原因:不正アクセス
件数:12 万 982 件
https://scan.netsecurity.ne.jp/article/2023/02/15/48922.html
1 位:カジュアルファッション取り扱いアダストリアのサーバへ不正アクセス、100万件の個人情報が流出した可能性
原因:不正アクセス
件数:104 万 4,175 件
https://scan.netsecurity.ne.jp/article/2023/01/31/48848.html
なお、ソースネクスト・サイトへの不正アクセス案件は、カード情報(名義、番号、有効期限、セキュリティコード)が 112,132 名分、当該サイトの購入者 120,982 名の個人情報(氏名、メールアドレス、郵便番号、住所、電話番号)それぞれに漏えいの可能性があり、前者は後者に含まれる。
●よく読まれた記事
2 月の記事閲覧数ベスト 3 は下記の通りである。1 位となった「大学病院の委託先が情報漏えい、社員は自主退職 業務委託契約も終了」では、近畿大学病院が病院受付業務を委託する株式会社エヌジェーシーの社員が、同院を受診した患者の診療情報を記載した電子カルテを私用スマホで動画撮影し、SNS を通じて共通の友人に送信したという事案。
本件は「情報を流出させた業務委託先社員」「被害に遭った患者」「情報流出先」三者がともに友人関係にあったという。リリースには、病院側が、被害者である患者の「代理人弁護士に謝罪を行った」と記載されている。個人情報漏えい被害の当事者個人が弁護士を立てた例はこれまでほとんど聞いたことがない。
【 2023 年 2 月閲覧数ベスト 3 】
3 位:帝国データバンクのネットワークに不正アクセス、一部商品が提供できない状況に
3,056 ページビュー
https://scan.netsecurity.ne.jp/article/2023/02/27/48969.html
2 位:ESXiを標的としたランサムウェア攻撃、2日間で3,195台の被害を確認
4,005 ページビュー
https://scan.netsecurity.ne.jp/article/2023/02/08/48882.html
1 位:大学病院の委託先が情報漏えい、社員は自主退職 業務委託契約も終了
6,661 ページビュー
https://scan.netsecurity.ne.jp/article/2023/02/24/48964.html
●クレジットカード情報漏えい事故一覧
次はクレジットカードの情報漏えいである。公表された漏えい件数/漏えい可能性のある件数を並記する。2 月は 4 件のカード情報漏えい事件が本誌公式メルマガに掲載された。ソースネクスト・サイトへの不正アクセスは、被害規模でも 2 月のワースト 2 であった。
ショーケース社への不正アクセス、「CHARLE WEB STORE」でもカード情報が漏えい
件数:605 名
https://scan.netsecurity.ne.jp/article/2022/12/29/48711.html
ソースネクスト・サイトへ不正アクセス、112,132名のカード情報漏えい
件数:12 万 982 件
https://scan.netsecurity.ne.jp/article/2023/01/17/48779.html
「丹野こんにゃくオンラインショップ」への不正アクセスでカード情報が漏えい
件数:861 件
https://scan.netsecurity.ne.jp/article/2023/01/16/48776.html
「TOMS Official Store」に不正アクセス、3,840件のカード情報が漏えい
件数:40,151 件
https://scan.netsecurity.ne.jp/article/2023/01/25/48818.html
● 2 月の懲戒案件
2 月は情報漏えいに伴う懲戒処分のニュース記事が 4 件あった。
