今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
頼まれもしないのに月ごとの情報漏えいの動向を勝手にウォッチしているお節介な本連載、年度末も平常運転である。
●インシデント原因内訳
さて、先月 2025 年 2 月に本誌が取り上げた事故・インシデント記事は 2025 年1 月の 60 本から 12 本減となる全 48 本だった。事故原因最多は「不正アクセス」で 39 件( 81.3 %)を占め、「システム管理上のミス」が 3 件( 6.3 %)で続いた。なお、記事として取りあげるインシデントは媒体方針(公知にすることで類似インシデントの発生低減に寄与する可能性の多寡 ほか)に基づいているため、これらの比率は全体傾向を示すものではない。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
●被害規模ワースト
2 月に最も件数換算の被害規模が大きかったのは、株式会社快活フロンティアによる「「快活 CLUB」に不正アクセス、729 万 87 件の会員情報が漏えいした可能性」の 729 万 87 件だった。2025 年の情報漏えいオブザーイヤー待ったなしといっても過言ではない圧巻の 700 万超えで、これには審査員もスタンディングオペレーションせざるを得ない。
さて、この 700 万という全盛期の『週刊少年ジャンプ』の部数をも上回る数字だが、そもそも快活CLUBの会員がこんなにも居たことに改めてびっくりした。SCAN の有料会員もこれだけ居たら、筆者の晩ご飯のおかずが一品増えるのにと悔しさで涙溢れた。
それにしても 700 万人という圧倒的な数字の暴力には絶句してしまう。日本の人口の 6 %近くを占め、学校の 1 クラスに 2 人くらいはいる計算だ。何といっても、日々、情報漏えいについて思いを巡らせていながらも、漏えい経験が覚束ない情報漏えい丘サーファーだった筆者の個人情報が遂に漏えいしてしまったくらいだから、その影響力の凄さは計り知れない。
そして、700 万という圧倒的な数字に隠れてしまっているが 2 位のサンリオエンターテイメントへのランサムウェア攻撃も約 200 万件と本来なら年間チャンプも狙える立派な数字だ。イチローと同世代に生まれてしまったがために首位打者になれなかったような悲哀を感じる。
【 2025 年 2 月 被害規模ワーストトップ 3 】
3 位:SQLインジェクション攻撃 413,867人分の個人情報が漏えいしたと結論づける ~「玄海町ふるさと納税特設サイト」
原因:不正アクセス
件数:413,867 人
https://scan.netsecurity.ne.jp/article/2025/02/19/52357.html
2 位:サンリオエンターテイメントにランサムウェア攻撃、最大約 200 万件の個人情報が漏えいした可能性
原因:不正アクセス
件数:最大約 200 万件
https://scan.netsecurity.ne.jp/article/2025/02/10/52303.html
1 位:「快活 CLUB」に不正アクセス、729 万 87 件の会員情報が漏えいした可能性
原因:不正アクセス
件数:729 万 87 件
https://scan.netsecurity.ne.jp/article/2025/01/29/52233.html
●よく読まれた記事
2 月の記事閲覧数ベスト 3 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて算出している。1 月のトップ 3 が全て 2 万ページビュー超えに比べると、少し盛り下がってしまったが、それでも 1 位の「SQLインジェクション攻撃 413,867人分の個人情報が漏えいしたと結論づける ~「玄海町ふるさと納税特設サイト」」は堂々の 1 万ページビュー超えで貫禄を見せた。
1 位の玄海町は、いまでも年に数回程度は見かけるSQLインジェクション攻撃による漏えいだ。SQLインジェクション攻撃は、対策が確立しているので、サイト管理者はもうちょっと頑張ってくれよとツッコみたくなる。そして玄海町はページビューで王座を獲得するだけでは飽き足らず、被害規模のランキングでも 413,867 人で堂々の 3 位につけており、総合力の高い情報漏えいといえる。
安全なウェブサイトの作り方 - 1.1 SQLインジェクション
https://www.ipa.go.jp/security/vuln/websecurity/sql.html
2 位の東北芸術工科大学での Microsoft Teams の設定ミスは、プライバシー設定についての知識が不十分で、一部のチームにて「プライベート」とすべきプライバシー設定を「パブリック」としていたことが原因だそうだ。対策として「新規にチーム作成を行う場合は「パブリック」を選択できないよう設定を変更」し、根本的解決を図っているのも GJ だ。
【 2025 年 2 月閲覧数ベスト 3 】
3 位:日本無線の社員アカウントから 994 通の標的型攻撃メールを送信
5,974 ページビュー
https://scan.netsecurity.ne.jp/article/2025/02/20/52365.html
2 位:Microsoft Teams の設定ミス、東北芸術工科大学で要配慮個人情報がチーム外から閲覧可能に
6,809 ページビュー
https://scan.netsecurity.ne.jp/article/2025/02/04/52265.html
1 位:SQLインジェクション攻撃 413,867人分の個人情報が漏えいしたと結論づける ~「玄海町ふるさと納税特設サイト」
11,312 ページビュー
https://scan.netsecurity.ne.jp/article/2025/02/19/52357.html
● 2 月のカード情報漏えい
2 月は 1 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。
「ほっともっとネット注文」に不正アクセス、カード情報含む個人情報漏えいの可能性
件数:不明
https://scan.netsecurity.ne.jp/article/2025/02/12/52314.html
「ほっともっと」を運営する株式会社プレナスでは、1 月 26 日 午後 4 時 30 分頃に同社サーバへの 2 回目の不正アクセスを検知し、その調査過程でクレジットカード情報を含む個人情報の一部が外部に漏えいした可能性が判明したため、被害規模等の詳細については調査中ながらも 4 日後となる 1 月 30 日にスピード公表に踏み切った。本連載で何度も取り上げているが「不確定な情報の公開はいたずらに混乱を招き、顧客に迷惑がかかる」と称して安全運転な対応を美徳としてきたこれまでの流れとは違うユーザー本意なベクトルを明確に感じる動きだった。
● 2 月の逮捕・懲戒・損害賠償案件
2 月は情報漏えいに伴う各種処分、逮捕、懲戒、行政指導等にまつわるニュース記事は 0 件だった。寂しさで死にそうだ。
