今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
●インシデント原因内訳
さて、先月 2024 年 3 月に本誌が取り上げた事故・インシデント記事は 2024 年 2 月の 44 本から 4 本増となる全 48 本だった。事故原因最多は「不正アクセス」で 36 件( 75.0 %)を占め、次いで「システム管理上のミス」が 5 件( 10.4 %)と続いている。なお、記事として取りあげるインシデントは媒体方針に基づいているため、これらの比率は全体傾向を示すものではない。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
●被害規模ワースト
3 月に最も件数換算の被害規模が大きかったのは、株式会社ダイヤモンド社による「ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ」の約 70,000 件だった。1 月トップの 935,779人、2月トップの最大 約 20 万件と今年はだんだんと減少傾向にある。しかし、この約 70,000 件という数字は、区内に皇居もあり日本の中心地と言っても過言ではない東京都千代田区の人口約 68,000 人を上回っている。侮れない。
【 2024 年 3 月 被害規模ワーストトップ 3 】
3 位:淀川河川公園施設予約システム「よどいこ!」で不正通信、個人情報流出の可能性
原因:不正アクセス
件数:約 34,000 件
https://scan.netsecurity.ne.jp/article/2024/03/15/50730.html
2 位:美容品取り扱い「クレイツ公式オンラインショップ」に不正アクセス、4,583名のカード情報漏えい
原因:不正アクセス
件数: 65,520 名
https://scan.netsecurity.ne.jp/article/2024/03/04/50666.html
1 位:ダイヤモンド社にランサムウェア攻撃、約70,000件の個人情報が漏えいしたおそれ
原因:不正アクセス
件数:約 70,000 件
https://scan.netsecurity.ne.jp/article/2024/02/26/50632.html
●よく読まれた記事
3 月の記事閲覧数ベスト 3 は下記の通りである。1 位は「富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に」が SCAN としては圧巻の 1 万ページビュー超えで文句なし堂々の 1 位であった。2 位のイズミは 2 月末の掲載だったとは言え、なんと今月もランクインしている。筆者地元のスーパーであるためとても馴染み深いが、漏えいニュースへの世間の関心は熱しやすく冷めやすい中で2ヶ月にわたって多くの PV を獲得するとは前代未聞である。
【 2024 年 3 月閲覧数ベスト 3 】
3 位:テレビ新潟放送網にサイバー攻撃、データが暗号化被害
4,658 ページビュー
https://scan.netsecurity.ne.jp/article/2024/03/18/50738.html
2 位:ゆめタウン運営イズミにランサムウェア攻撃、発注システムに支障あり一部品薄状態も
5,353 ページビュー
https://scan.netsecurity.ne.jp/article/2024/02/27/50638.html
1 位:富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に
10,276 ページビュー
https://scan.netsecurity.ne.jp/article/2024/03/25/50760.html
●クレジットカード情報漏えい事故一覧
3 月は 4 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。カンコーオンラインショップ原宿セレクトスクエアを除いた他の 3 件はカード情報以外に氏名や住所等の個人情報もそれぞれ 1 万件以上漏えいしている。なお、下記で件数として挙げているのは全てカード情報のみである。
鹿児島くみあい食品運営の「クミショクファーム」に不正アクセス、2,114 件のカード情報漏えい
件数:2,114 件
https://scan.netsecurity.ne.jp/article/2024/02/29/50652.html
美容品取り扱い「クレイツ公式オンラインショップ」に不正アクセス、4,583名のカード情報漏えい
件数:4,583 名
https://scan.netsecurity.ne.jp/article/2024/03/04/50666.html
「なかほら牧場オンラインストア」旧サイトに不正アクセス、5,069 件のカード情報が漏えい
件数:5,069 件
https://scan.netsecurity.ne.jp/article/2024/03/07/50686.html
「カンコーオンラインショップ原宿セレクトスクエア」に不正アクセス、3,827名のカード情報が漏えい
件数:3,827 名
https://scan.netsecurity.ne.jp/article/2024/03/11/50706.html
● 3 月の懲戒・損害賠償案件
3 月は情報漏えいに伴う逮捕、懲戒処分、行政指導にまつわるニュース記事が 6 件あった。
逮捕は 1 件だけだが、これがなかなか興味深い、これまでの不正アクセスによる逮捕案件といえば、公務員がシステムに不正アクセスして同僚や市民の情報を盗み見る等、内部犯行者が内部に向けて行う犯罪を被害組織が公表することが多かった。
しかし今回は毛色が違う。営業DXサービス「Sansan」を利用中の顧客に対し、不正にIDやパスワードを入手しログインしたとして、不正アクセス禁止法違反の疑いで会社員が逮捕された旨の報道があったと、その社員とは無関係の「Sansan」を提供するSansan株式会社が公表を行ったことだ。感覚的には「Gmail アカウントが乗っ取られスパムメール送信に利用された件について犯人が逮捕された」と Google が発表するようなものだろうか。詳細は不明だが、こういう個人情報の集積によって価値が生まれるサービスを柱とする事業を運営する会社の「なめんなよ」「ここまで追うぞ」「猛烈に捜査協力するぞ」という決意めいたものを感じさせる行動である。このリリースで筆者はサービスとしての Sansan への信頼がむしろ深まった。
【 2024 年 3 月の逮捕】
不動産の GRANDCITY 社員、不正アクセス禁止法違反容疑で逮捕
https://scan.netsecurity.ne.jp/article/2024/03/08/50693.html
行政指導も 3 件とお腹いっぱいになりそうである。
【 2024 年 3 月の行政指導他】
LINEヤフー委託先への不正アクセス、総務省が行政指導
https://scan.netsecurity.ne.jp/article/2024/03/08/50697.html
四谷大塚に行政指導 ~ 講師が小学生児童個人データを SNS に掲載
https://scan.netsecurity.ne.jp/article/2024/03/07/50689.html
教育委員会へ行政指導、長野県の高校教師のサポート詐欺被害で
https://scan.netsecurity.ne.jp/article/2024/03/05/50672.html
NTT西日本、情報セキュリティ強化の取り組みと代表取締役社長退任を発表
https://scan.netsecurity.ne.jp/article/2024/03/07/50687.html
総務省からの行政指導を受けたLINEヤフー株式会社では、懲戒ではないが、代表取締役3名が報酬の一部を自主返上する旨を公表している。
塾講師による教え子児童盗撮で世間を騒がせた株式会社四谷大塚も、個人情報保護委員会から行政指導を受けている。破廉恥事件のインパクトに目を奪われ、塾講師が小学生児童の個人データをSNSアカウントに載せていたことについては、行政指導の内容を見るまで筆者は知らなかった。
四谷大塚への指導内容も興味深いので取り上げてみたい。同社では 2023 年 8 月 10 日の発覚から約 2 ヶ月後の 10 月 6 日に「速報」、10 月 13 日に「確報」を提出と、「速報」の「速」の意味を小学生向けの国語辞典でひいてみたくなるような牛歩戦術を行っていたが、これには流石の個人情報保護委員会も漏えい等事案が発生した場合の報告体制が機能していないと問題視、行政指導の根拠となった。
3 月は日本放射線技術学会で 個人情報含む CSV ファイルへのリンクが公開されたインシデントを取り上げているが、こちらは事件発生が 2023 年 8 月 17 日から 8 月 18 日にかけてであるにもかかわらず、半年ほど経過した「2024 年 2 月 16 日」に情報公開しており、筆者も記事作成時に不思議に思っていたのだが、ページを再訪するといつの間にか「2024 年 2 月 16 日」が「2023 年 8 月 21 日」公開になっていた。日本放射線技術学会ではいったいどのタイミングで個人情報保護委員会に報告を行ったのか、いろいろ気になって夜も寝られない筆者であった。
日本放射線技術学会のメルマガ登録者の CSV ファイルへのリンクがインターネットで公開
https://scan.netsecurity.ne.jp/article/2024/02/28/50647.html
[画像] 2024 年 2 月 16 日の日付が記載された日本放射線技術学会のリリース
https://scan.netsecurity.ne.jp/article/img/2024/02/28/50647/44070.html
2023.08.21 と記載のある日本放射線技術学会のリリース
https://jsrt-hokkaido.jp/archives/7859
NTT西日本では、株式会社NTTマーケティングアクトProCX、NTTビジネスソリューションズ株式会社での顧客情報の不正持ち出しを踏まえたNTT西日本グループの情報セキュリティ強化に向けた取り組みについて公表したのと同日に、代表取締役社長 社長執行役員の森林正彰氏が退任予定である旨を公表している。
そういえば 2022 年の株式会社メタップスペイメントへの不正アクセスによるカード情報の漏えいでも、代表取締役社長の和田洋一氏が代表取締役社長の辞任と役員報酬の一部返上を申し出ていた。大規模な漏えいが起きた組織はいずれも民間会社だから、トップの責任について政治家のように「国民と党員に判断してもらう」と言い逃げするわけにはいかなかったのであろう。
メタップスペイメントへの不正アクセスによる情報流出、代表取締役社長 和田洋一氏が辞任
https://scan.netsecurity.ne.jp/article/2022/08/04/48006.html
● 3 月の「画像」リリース等
筆者のように毎日何件もの漏えいに関するリリースを精読していると、新製品・新サービスの発売等の通常のお知らせは Web ページにテキストで公開するのに、情報漏えいについてのお詫び文書だけは何故か画像ファイルで公開するという怪しい現象をまれに目撃する。ここではそんな珍現象を備忘録として紹介する。
画像ファイルではないが、3 月は文字のコピーができないPDFファイルで公開している事案が 1 件あった。
やまぐちサッカー交流広場のパソコンがサポート詐欺被害
https://scan.netsecurity.ne.jp/article/2024/03/12/50713.html
こちらのPDFファイルであるが、思わず体を右に倒したくなるくらい斜めに傾いている。恐らくパソコンで作成したファイルを一度、印刷した上でスキャンしてPDFファイルにし、それをUPしたのだろう。この一連の動作に何の意味があるのか、想像力の乏しい筆者では思いつかないが、何かクラフトマンシップをも感じさせる味わい深い逸品である。
リリース(やまぐちサッカー交流広場における個人情報漏えいの可能性のある事案の発生について)
https://scan.netsecurity.ne.jp/article/img/2024/03/12/50713/44255.html
SCAN で取り上げていない情報をお持ちの方は https://www.iid.co.jp/contact/media_contact.html?recipient=scan への連絡をお待ちしている。
● 引き続き狙われる SNS アカウント
前月は X(旧 Twitter ) アカウントの乗っ取り被害が 2 件あったが、3 月もその勢い衰えず 2 件あった。補足して記事にしていない事案もあるので実際はもっと多い。なお筆者は、今でも頑なに、DeNAベイスターズではなく大洋ホエールズよろしく、Twitter と言い続けている。
株式会社オートバックスセブンでは、委託先のNGM株式会社が使用・管理するGoogleアカウントに不正アクセスがあり、JEGT公式 X(旧 Twitter)に加え、YouTube も乗っ取り被害に遭っている。
日経SDGsフェス公式 X(旧ツイッター)アカウントが乗っ取り被害
https://scan.netsecurity.ne.jp/article/2024/03/08/50696.html
オートバックスセブン主催の e モータースポーツ公式X(旧Twitter)と YouTube が乗っ取り被害
https://scan.netsecurity.ne.jp/article/2024/03/08/50695.html
● 多発するサポート詐欺
