今日もどこかで情報漏えい第29回「2024年9月の情報漏えい」怒りの官僚作文

　今日もどこかで情報漏えいは起きている。

　大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

●インシデント原因内訳

　さて、先月 2024 年 9 月に本誌が取り上げた事故・インシデント記事は 2024 年 8 月の 43 本から 11 本増となる全 54 本だった。事故原因最多は「不正アクセス」で 43 件（ 79.6 ％）を占め、「システム管理上のミス」が 4 件（ 7.4 ％）と続いている。なお、記事として取りあげるインシデントは媒体方針（公知にすることで類似インシデントの発生低減に寄与する可能性の多寡ほか）に基づいているため、これらの比率は全体傾向を示すものではない。

情報漏えい原因別記事一覧：不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/

情報漏えい原因別記事一覧：メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/

情報漏えい原因別記事一覧：設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

●被害規模ワースト

　9 月に最も件数換算の被害規模が大きかったのは、株式会社公文教育研究会と株式会社イセトーによる「イセトーへのランサムウェア攻撃、公文教育研究会の会員 739,714 名の漏えい新たに判明」の 761,873 名だった。7 月 5 日時点では被害件数を 4,678 名と公表していたのが 761,873 名とは、まさに「大きくなったね」ひさしぶりに甥や姪に会った心境である。

　逆に 3 位となった豊田市は当初、推定 42 万人分が流出した可能性があるとしていたが 3 分の 1 程度に萎んだ。「速報では最大値」の見本となるような好対応である。

　それにしても 9 月のトップ 3 の二つをイセトーが占めるとは圧倒的である。しかもイセトーへのランサムウェア攻撃は委託元の公文教育研究会や豊田市等が被害件数を公表しているが、大元のイセトーでは被害規模を明らかにしていないのだ。いったいどれほどの情報が漏えいしてしまったのか明らかになることはないのだろうか。

【 2024 年 9 月被害規模ワーストトップ 3 】
3 位：費用をイセトーへ損害賠償請求予定～豊田市の個人情報漏えい 19人編成の対策室コールセンター 30回線
原因：不正アクセス
件数：14 万8,620 人
https://scan.netsecurity.ne.jp/article/2024/08/30/51556.html

2 位：契約即時解除～業務委託コンサルタントの PC がマルウェア感染
原因：不正アクセス
件数：735,210 人
https://scan.netsecurity.ne.jp/article/2024/09/05/51586.html

1 位：イセトーへのランサムウェア攻撃、公文教育研究会の会員 739,714 名の漏えい新たに判明
原因：不正アクセス
件数：761,873 名
https://scan.netsecurity.ne.jp/article/2024/08/29/51549.html

●よく読まれた記事

　9 月の記事閲覧数ベスト 3 は下記の通りである。今月も 2 位までが 1 万ページビュー超えで SCAN 編集部では、大谷選手が 50-50 を達成した時以上のお祭り状態であった。

　1 位となったサノフィ株式会社の「契約即時解除～業務委託コンサルタントの PC がマルウェア感染」は、被害規模でも 2 位につけており、一粒で二度おいしいグリコのような漏えい事件であった。委託先で何かあった場合の再発防止策では「委託先の指導を徹底する」等のまるで官僚作文のような、具体性を欠くばかりか情報量もゼロの記述が多いが、サノフィでは「業務委託コンサルタントとの契約の即時解除とアカウント停止」という、主語・動詞・目的語が明確な圧倒的具体策を「再発防止策」として挙げている。

　ここで改めてことわっておくが「即時解除」とはサノフィ株式会社のリリースに記載された文言である。サノフィ株式会社の CSIRT（やそれに準じる組織や人員）が作文したであろう原稿を、経営企画と取締役会、社長、顧問弁護士等の複数名及び複数組織のステークホルダーによるチェックという長い道のりを経て公開されたリリースに「即時解除」とあった訳で、強い怒りを感じさせることを厭わないこんなワードが再発防止策として記載されたのを目にしたのは、年間 1,000 本は情報漏えいのリリースを読んでいる筆者にとってもめったにない経験であることを記しておく。

【 2024 年 9 月閲覧数ベスト 3 】
3 位：ニチイグループにランサムウェア攻撃、20台のPCを経由し約2.6万件のファイルが暗号化
9,679 ページビュー
https://scan.netsecurity.ne.jp/article/2024/09/11/51611.html

2 位：ヒロケイにランサムウェア攻撃、金銭要求メッセージ確認
12,501 ページビュー
https://scan.netsecurity.ne.jp/article/2024/09/09/51599.html

1 位：契約即時解除～業務委託コンサルタントの PC がマルウェア感染
30,881 ページビュー
https://scan.netsecurity.ne.jp/article/2024/09/05/51586.html

● カード情報の漏えいを異例のスピード公表

　9 月は 3 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。

「JFおさかなマルシェギョギョいち」への不正アクセス、11,844 件のカード情報が漏えいした可能性
件数：11,844 件
https://scan.netsecurity.ne.jp/article/2024/08/29/51551.html

洋菓子販売「アンテノールオンラインショップ」へ不正アクセス、7,018 名のカード情報漏えいの可能性
件数：7,018 名
https://scan.netsecurity.ne.jp/article/2024/09/05/51587.html

洋菓子販売「ヴィタメールオンラインショップ」へ不正アクセス、45,355 名のカード情報漏えいの可能性
件数：45,355 名
https://scan.netsecurity.ne.jp/article/2024/09/05/51588.html

　本連載の第 25 回でも取り上げた全国漁業協同組合連合会が運営する「JFおさかなマルシェギョギョいち」への不正アクセスであるが、5月17日に公表した第 1 報の 3 ヶ月後に調査結果の発表となった。発覚から半年、遅いと1年以上の公表がざらにあるカード情報の漏えいにしては、調査結果の報告まで含めて異例のスピード対応であった。

今日もどこかで情報漏えい第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰
https://scan.netsecurity.ne.jp/article/2024/06/21/51179.html

　「アンテノールオンラインショップ」と「ヴィタメールオンラインショップ」はともに株式会社エーデルワイスが運営しているが、それぞれ漏えい期間は「アンテノールオンラインショップ」が 2021 年 6 月 17 日から 2024 年 5 月 19 日、「ヴィタメールオンラインショップ」が 2020 年 4 月 27 日から 2024 年 5 月 21 日とスタートに差があった。この約 1 年間が件数の違いに現れたのであろうか。