今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
●インシデント原因内訳
さて、先月 2024 年 2 月に取り上げた事故・インシデント記事は 2024 年 1 月の 48 本から 4 本減となる全 44本だった。事故原因最多は「不正アクセス」で 28 件( 63.6 %)を占め、次いで「システム管理上のミス」が 7 件( 15.9 %)と続いている。なお、記事として取りあげるインシデントは媒体方針に基づいているため、これらの比率が全体傾向を示すものではない。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
●被害規模ワースト
2 月に最も件数換算の被害規模が大きかったのは、株式会社大藤つり具による「大藤つり具にランサムウェア攻撃、過去にダイレクトメールを送付した顧客情報が流出した可能性」の最大 約20 万件だった。前月トップの 935,779人 と比べると小粒だが、筆者の出身県で人口 20 万人を超えているのは 1 市だけである。(しかもそれは県庁所在地ではない。)
ところで今回 1 位となった大藤つり具はランサムウェアの被害に遭ったということだが、筆者は第一報を聞いたとき条件反射的に、つい "フィッシング" 攻撃でないのかと思ってしまった。
【 2024 年 2 月 被害規模ワーストトップ 3 】
3 位:グラントマトへのランサムウェア攻撃、個人情報が外部流出した可能性は極めて低いと判断
原因:不正アクセス
件数:最大45,561件
https://scan.netsecurity.ne.jp/article/2024/01/29/50516.html
2 位:モニタリング強化で発覚、LINEヤフーの委託先のアカウントに不正アクセス
原因:不正アクセス
件数: 57,611件
https://scan.netsecurity.ne.jp/article/2024/02/21/50620.html
1 位:大藤つり具にランサムウェア攻撃、過去にダイレクトメールを送付した顧客情報が流出した可能性
原因:不正アクセス
件数:最大 約20万件
https://scan.netsecurity.ne.jp/article/2024/02/14/50587.html
●よく読まれた記事
2 月の記事閲覧数ベスト 3 は下記の通りである。1 位は「ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ」がSCANのページビューとしては 1 位確定といっても良い 6,482 ページビューであった。2 位のイズミは筆者の実家近くでゆめタウンを運営しているので、親から電話が会った時に食品売場で品薄が発生していないか聞いてしまった。
【 2024 年 2 月閲覧数ベスト 3 】
3 位:ダイキン工業の再々委託先の作業者が仕入先情報を不正にダウンロード
2,475 ページビュー
https://scan.netsecurity.ne.jp/article/2024/02/27/50639.html
2 位:ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も
4,599 ページビュー
https://scan.netsecurity.ne.jp/article/2024/02/27/50638.html
1 位:ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ
6,482 ページビュー
https://scan.netsecurity.ne.jp/article/2024/02/26/50632.html
●クレジットカード情報漏えい事故一覧
2 月は 2 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。この連載を始めてから、カード情報漏えいは毎月数件は取り上げていたので、先月の 0 件はまさに奇跡というべきだ。なお下記に取り上げた件数は全てカード情報のみである。
「健康いきいきライフスタイル」に不正アクセス、5,193 名のカード情報が漏えい
件数:5,193 名
https://scan.netsecurity.ne.jp/article/2024/02/07/50564.html
「東京ヴェルディ公式オンラインストア」に不正アクセス、2,726名のカード情報が漏えい
件数:2,726 名
https://scan.netsecurity.ne.jp/article/2024/02/16/50601.html
● 2 月の懲戒・損害賠償案件
2 月は情報漏えいに伴う逮捕、懲戒処分、行政指導等のニュース記事が 3 件あった。うち 2 件は昨年の王者「NTTマーケティングアクトProCX 元派遣社員による不正持ち出し」に関わるものであった。遂に行政指導&元派遣社員の逮捕に至ったのだが、逮捕については「まだだったの?」感すらあった。
【 2024 年 2 月の逮捕・行政指導】
NTTマーケティングアクトProCX 元派遣社員による不正持ち出し、個人情報保護委員会が行政指導
https://scan.netsecurity.ne.jp/article/2024/02/01/50541.html
NTTマーケティングアクトProCX 元派遣社員による不正持ち出し、岡山県警が1月31日付で逮捕
https://scan.netsecurity.ne.jp/article/2024/02/21/50619.html
「ぷらら」「ひかりTV」の顧客情報 約 596 万件持ち出し ~ NTTドコモと NTTネクシアに行政指導
https://scan.netsecurity.ne.jp/article/2024/02/22/50622.html
● 2 月の「画像」リリース等
筆者のように毎日何件もの漏えいに関するリリースを精読していると、新製品・新サービスの発売等の通常のお知らせは Web ページにテキストで公開するのに、情報漏えいについてのお詫び文書だけは何故か画像ファイルで公開するという怪しい現象をまれに目撃する。ここではそんな珍現象を備忘録として紹介する。
画像ファイルではないが、2 月は文字のコピーができないPDFファイルで公開している事案が 1 件あった。
プラズマ・核融合学会の会員名簿 Web 検索可能
https://scan.netsecurity.ne.jp/article/2024/01/30/50526.html
プラズマ・核融合学会が1/16に掲載したPDFファイルも確認してみたが、こちらは通常通り文字のコピーが可能であった。
SCAN で取り上げていない情報をお持ちの方は https://www.iid.co.jp/contact/media_contact.html?recipient=scan への連絡をお待ちしている。
● 狙われた Twitter アカウント
1 月は Instagram アカウントの乗っ取り被害が立て続けに 3 件あったが、2 月はX(旧 Twitter ) アカウントの乗っ取り被害が 2 件あった。なお筆者は、今でも頑なに Twitter と言い続けている。
「攻殻機動隊」公式Xアカウントに一種のサイバー攻撃が行われたと考えると、まるで現実では無いような不思議な感覚を覚える。同アカウントを運営する講談社も、「このたびは作品性と被害を受けた時期も相まって作品のプロモーション施策のような誤解を招くご報告となり、ファンの皆さまには大変なご迷惑とご心配をおかけしました。」と、通常のインシデントでは見られないようなコメントを遺している。
