今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報 | ScanNetSecurity
2024.06.26(水)

今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

 4 月に最も件数換算の被害規模が大きかったのは、株式会社エムケイシステムによる「エムケイシステムへのランサムウェア攻撃、個人情報保護委員会が行政指導」の7,496,080 人だった。

特集 コラム
facebookLINE
今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報
今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報 全 1 枚 拡大写真

 今日もどこかで情報漏えいは起きている。

 大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

●インシデント原因内訳

 さて、先月 2024 年 4 月に本誌が取り上げた事故・インシデント記事は 2024 年 3 月の 48 本から 13 本増となる全 61 本だった。事故原因最多は「不正アクセス」で 42 件( 68.9 %)を占め、次いで「システム管理上のミス」が 8 件( 13.1 %)と続いている。なお、記事として取りあげるインシデントは媒体方針に基づいているため、これらの比率は全体傾向を示すものではない。

情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/

情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/

情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

●被害規模ワースト

 4 月に最も件数換算の被害規模が大きかったのは、株式会社エムケイシステムによる「エムケイシステムへのランサムウェア攻撃、個人情報保護委員会が行政指導」の7,496,080 人だった。同社が 2023 年 6 月に公表したインシデントであるが、今回の個人情報保護委員会による行政指導にあたり、同会が 2023 年 6 月 6 日から2025年3月25日までに受領したエムケイシステムを除く報告を取りまとめた数字が 7,496,080 人だが、第一報から約 9 ヶ月経って、ようやくその被害規模が明らかになった。

 3 位となった、ワークスタイルテック株式会社のクラウド労務管理「WelcomeHR」にて顧客の個人データが外部から閲覧可能な状態であった事案も興味深い。こういったサービス運営者側の誤設定が原因となるインシデントでは、あくまでも「閲覧可能な状態」であっただけで、極僅かな人のみが気付いて指摘しすぐにクローズしたというものも沢山あるが、本件では誤設定によりファイル一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者が 154,650 人分のマイナンバーカード、運転免許証、パスポート等の身分証明書や履歴書等の画像を含む個人データをダウンロードしたことが判明している。

【 2024 年 4 月 被害規模ワーストトップ 3 】
3 位:クラウド労務管理「WelcomeHR」の個人データが閲覧可能な状態に、154,650 人分のダウンロード確認
原因:システム管理上のミス
件数:162,830 人
https://scan.netsecurity.ne.jp/article/2024/04/09/50844.html

2 位:X線画像読影システムへランサムウェア攻撃、データ窃取の有無を完全に断定できず
原因:不正アクセス
件数: 約 94 万人
https://scan.netsecurity.ne.jp/article/2024/04/08/50838.html

1 位:エムケイシステムへのランサムウェア攻撃、個人情報保護委員会が行政指導
原因:不正アクセス
件数:7,496,080 人
https://scan.netsecurity.ne.jp/article/2024/04/03/50811.html

●よく読まれた記事

 4 月の記事閲覧数ベスト 3 は下記の通りである。1 位は「山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化」が( SCAN としては圧巻の) 1 万ページビュー超えで文句なしの 1 位であった。3 位には最近は珍しくなった「SQL インジェクション攻撃」によるインシデントがランクインしている。因みに SCAN が昨年、取り上げた「SQL インジェクション攻撃」は 2 件であった。

【 2024 年 4 月閲覧数ベスト 3 】
3 位:マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出
3,380 ページビュー
https://scan.netsecurity.ne.jp/article/2024/04/12/50868.html

2 位:東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
4,316 ページビュー
https://scan.netsecurity.ne.jp/article/2024/04/15/50877.html

1 位:山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
11,424 ページビュー
https://scan.netsecurity.ne.jp/article/2024/04/11/50860.html

●クレジットカード情報漏えい事故一覧

 4 月は 1 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。カード情報以外にも、サイトオープンから 2023 年 11 月 13 日までに「マルカワみそ公式サイト」で購入した顧客、またはマイページで登録した顧客 89,673 名の個人情報が漏えいしている。

「マルカワみそ公式サイト」に不正アクセス、4,851名分のカード情報が漏えい
件数:4,851 件
https://scan.netsecurity.ne.jp/article/2024/04/09/50842.html

● 4 月の懲戒・損害賠償案件

 4 月は情報漏えいに伴う逮捕、懲戒処分、行政指導にまつわるニュース記事が 8 件もあった。今月もお腹いっぱいで胸焼けしそうである。

《リーク・東郷》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 発覚後も繰り返し攻撃が行われる ~ KADOKAWA グループへのランサムウェア攻撃

    発覚後も繰り返し攻撃が行われる ~ KADOKAWA グループへのランサムウェア攻撃

  2. Google フォームの設定を「誤って認識」イベント参加申込者の個人情報が閲覧可能に

    Google フォームの設定を「誤って認識」イベント参加申込者の個人情報が閲覧可能に

  3. ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

    ID リンク・マネージャーおよびFUJITSU Software TIME CREATORに複数の脆弱性

  4. 綜研化学にランサムウェア攻撃、子会社からも個人情報が流出した可能性

    綜研化学にランサムウェア攻撃、子会社からも個人情報が流出した可能性

  5. ISOG-J「脆弱性トリアージガイドライン作成の手引き」公開

    ISOG-J「脆弱性トリアージガイドライン作成の手引き」公開

ランキングをもっと見る
PageTop
ホーム 特集 コラム 記事
TOP