今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
本稿は「1973年のピンボール」「1976年のアントニオ猪木」という二つの名著にちなんで「○○年の情報漏えい」と副題がつけられており、大事なものを見落としたかもしれない過去に思いを馳せる意図で、前の月に配信した本誌公式メルマガに掲載された事故・インシデント記事について、件数で見た被害規模が大きい順の「月間ワースト 3」、そして「記事閲覧数ベスト 3」、情報漏えい被害でも特にエンドユーザーに影響がある「クレジットカード情報漏えい」など、複数の角度から「 202x 年 n 月の情報漏えい」をふりかえり、そして馳せる(「 202x 年 n 月」は誤記載ではなく、凡例としてこう記している)。
なお、あくまで本誌が記事として取りあげ掲載した事故・インシデントが対象となるため、(1)日本国内で発生した事象をすべて網羅している訳ではないこと、及び集計の実務的理由によって n 月に配信した公式メルマガに掲載された事故・インシデントを対象としているため、たとえば前月の下旬に公表された事故・インシデントについて言及されていたり(例: n 月のふり返りに n - 1 月の事象が出てくる)、あるいはあまりこういうことを記事の冒頭で申し上げることは大いに憚られるのだが、いわゆる編集部の「補足漏れ」などによって記事にすることが遅れた等の理由から、(2)ピックアップされる事故・インシデントの発生あるいは公表年月日が、当該月のついたちから末日までとは必ずしもなっていない、このふたつの点をあしからずご了承いただきたい。
●インシデント原因内訳
さて、2023 年 3 月に取り上げた事故・インシデント記事は 2023 年 2 月の 46 本から1本減となる全 45 本だった。3 月に取り上げた記事の事故原因最多は「不正アクセス」で 25 件( 55.6 %)を占め、次いで「紛失」が5 件( 11.1 %)、「誤送信ほか操作ミス」が 4 件( 8.9 %)と続いている。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
なお、上記の数値をもって「 n 月は『○○』が原因による事故・インシデントが多かった」等の判断をすることは正しくない。なぜなら本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性がある、なんらかの事故を減らすための示唆がその情報の中に含まれている、という推定が行われており、取捨選択に明確な編集方針があるからである。
●被害規模ワースト
さて、3 月に最も被害規模が大きかったのは、株式会社トマトによる「生地・布の通販サイト「トマトオンラインショップ」へ不正アクセス、14,256名のカード情報が漏えい」の 62,575 名だった。タイトルにもある 14,256 名はカード情報の漏えい件数のみで、実際の被害は、1度でも「トマトオンラインショップ」で会員登録、購入をしたことのある顧客 62,575 名が対象となっている。
1 月 2 月と 立て続けに 100 万件の大台を突破していたため、筆者の感覚が麻痺しているところがあったが、カード情報の漏えい件数で 1 万超というのは少なくない数だ。そもそも 1 万件のカード情報が漏えいするためには、一定期間に 1 万件以上の売上がないと不可能だからだ。
日々これだけ沢山の漏えい事案を見ていると、中には不正アクセスによるカード情報の漏えい件数が 100 件以下というのもまま見かけるのだが、こういったインシデントを見る度に、売上や利益よりも、漏えいによる被害(対応コスト含む)のコストの方が高いのではないかと推測することもある。DX のダークサイドである。
【 2023 年 3 月ワーストトップ 3 】
3 位:浜松ケーブルテレビのモデム制御サーバに不正アクセス、「XorDDoS」が不特定のサイトにDDos攻撃
原因:不正アクセス
件数:最大 22,671 件
https://scan.netsecurity.ne.jp/article/2023/02/28/48974.html
2 位:「三京商会 公式ショップ」への不正アクセスで8,794名のカード情報が漏えい
原因:不正アクセス
件数:最大 58,124 名
https://scan.netsecurity.ne.jp/article/2023/03/24/49101.html
1 位:生地・布の通販サイト「トマトオンラインショップ」へ不正アクセス、14,256名のカード情報が漏えい
原因:不正アクセス
件数:62,575 名
https://scan.netsecurity.ne.jp/article/2023/03/06/49014.html
なお、三京商会 公式ショップへの不正アクセス案件でも「トマトオンラインショップ」と同様に、カード情報(名義、番号、有効期限、セキュリティコード) 8,794 名分に加え、以前、当該サイトで購入または会員登録した顧客 最大 46,614 名の個人情報、さらにオマケで Web サイトとはなんら関係ないであろう電話注文を行った顧客 2,716 名の個人情報についても漏えいの可能性があるとされていた。
●よく読まれた記事
3 月の記事閲覧数ベスト 3 は下記の通りである。1 位~3 位を富士通 FENICS のネットワーク機器での不正通信が占める結果となった。富士通は 2021 年から 2022 年にかけて公表された、プロジェクト情報共有ツール「ProjectWEB」への不正アクセスでも多数の顧客企業を巻き込んでしまっている。積極的情報公開の姿勢には頭が下がる。
【 2023 年 3 月閲覧数ベスト 3 】
3 位:富士通 FENICS のネットワーク機器での不正通信、東京海上日動火災保険のメールデータが流出した可能性
4,777 ページビュー
https://scan.netsecurity.ne.jp/article/2023/03/15/49063.html
2 位:富士通 FENICS のネットワーク機器での不正通信、京セラのメールデータの一部が外部流出した可能性
6,367 ページビュー
https://scan.netsecurity.ne.jp/article/2023/03/15/49064.html
1 位:富士通 FENICS のネットワーク機器での不正通信、調査結果を公表
8,365 ページビュー
https://scan.netsecurity.ne.jp/article/2023/03/02/48992.html
●クレジットカード情報漏えい事故一覧
次はクレジットカードの情報漏えいである。公表された漏えい件数/漏えい可能性のある件数を並記する。3 月は 3 件のカード情報漏えい事件が本誌公式メルマガに掲載された。なお、下記に取り上げている件数はカード情報のみである。先述の通り「三京商会 公式ショップ」への不正アクセスでは、カード情報以外の漏えいもあったため 3 月のワースト 2 の座を獲得している。
「三京商会 公式ショップ」への不正アクセスで8,794名のカード情報が漏えい
件数:8,794 名
https://scan.netsecurity.ne.jp/article/2023/03/24/49101.html
「PARTY DRESS STYLE」に不正アクセス、8,604名のカード情報が漏えい
件数:8,604名
https://scan.netsecurity.ne.jp/article/2023/03/24/49101.html
コーヒー通販サイトに不正アクセス、4,215件のカード情報が漏えい
件数:4,215 件
https://scan.netsecurity.ne.jp/article/2023/03/03/49004.html
● 3 月の懲戒案件
3 月は情報漏えいに伴う懲戒処分のニュース記事が 1 件あった。
これは宮城県柴田町の職員が 2022 年 12 月に、町職員同士のトラブルが原因で相手職員(同僚職員)の個人情報を不正に取得し利用したことが判明したため、停職 1 月の処分を決定したというものだ。お堅い役所のリリースなので、経緯については淡々と表現しているが、それでも人間の感情の軋轢が透けて見えるようであった。当該職員が個人情報の不正取得に至る原因となった「町職員同士のトラブル」とやらへの興味は尽きない。ちなみに処分されたのは 60 歳代女性である。磯野波平のじつに 6 歳以上も年上ながら、職務の用以外で住民情報システムを使用とは、まさに暴走 IT 老人である。
なおリリースが公表されたのは 2 月 1 日だが、SCAN 編集部では 2 月 18 日時点で閲覧できなくなっているのを確認している。公務員らしからぬ迅速な仕事ぷりである。
● 3 月の画像リリース
筆者は、営業日は毎日 10 件以上、年に換算すると 2,000 件以上の情報漏えいのリリースを精読(通読ではない)する業務を 5 年以上続けているが、内容ではなく公表の仕方に「?(疑問符)」が付く場合がある。それは、新製品の発表などはテキストで行うが、インシデントなどの不祥事案件は画像ファイルで公表するというものだ。
中には複数の画像ファイルをパズルのように組み合わせてインシデントの報告を行っている例も見たことがある。ご丁寧にも問い合わせ先のメールアドレス部分だけ独立した画像ファイルにして、そこにタグでリンクを貼るといった念の入れようだ。
筆者にはこれが何の意味があるのかとんと分からないのだが、PPAP に似て何かまじないの一種なのかもしれない。呪術 IT 国家日本万歳。今月はこうした「呪術 IT 案件」がなんと 3 件もあったので取り上げてみたい。
