今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
頼まれもしないのに月ごとの情報漏えいの動向を勝手にウォッチしているお節介な本連載、今月も快調である。
●インシデント原因内訳
さて、先月 2025 年 3 月に本誌が取り上げた事故・インシデント記事は 2025 年2 月の 48 本から 18 本増となる全 66 本だった。事故原因最多は「不正アクセス」で 53 件( 80.3 %)を占め、「システム管理上のミス」が 7 件( 10.6 %)で続いた。なお、記事として取りあげるインシデントは媒体方針(公知にすることで類似インシデントの発生低減に寄与する可能性の多寡 ほか)に基づいているため、これらの比率は全体傾向を示すものではない。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
●被害規模ワースト
3 月に最も件数換算の被害規模が大きかったのは、日本郵政グループによる「役員報酬を減額 ~ 日本郵政グループ、クロスセル同意を得ない非公開金融情報利用」の 998 万人だった。人口減が叫ばれて久しい日本の人口の 8 %にも匹敵する数字で、日本人の郵便局への信仰がうかがえる物凄い数字だ。先月は、被害件数 700 万超えの快活CLUBが 2025 年の情報漏えいオブザーイヤー待ったなしと口走ってしまったが、たった1 ヶ月で覆されてしまい、長年、情報漏えい動向をウオッチしてる筆者も寝耳に水であった。
本来ならぶっちぎりの 1 位でもおかしくない 307 万 6,477 人という数字を叩き出しながらも 2 位となったのは、昨年から SCAN 誌面を賑わせていた株式会社イセトーへのランサムウェア攻撃だ。
イセトー社は 2024 年 5 月 29 日に第一報を発表した後、6 月 6 日に続報を、7 月 3 日に続報 2 を、10 月 4 日にはフォレンジック調査完了後の報告を行っているが、それらでは最後まで被害規模について語られることが一切なく、イセトー社に業務を委託していた豊田市をはじめとする委託元の発表から推測するしかなかった。
費用をイセトーへ損害賠償請求予定 ~ 豊田市の個人情報漏えい 19人編成の対策室 コールセンター 30回線
https://scan.netsecurity.ne.jp/article/2024/08/30/51556.html
いつになったらイセトー社の被害規模が明らかになるのだろうと、情報漏えいマニアの筆者は一日千秋の思いで待ち続けていたところ、今年になって個人情報保護委員会がイセトー社に行政指導を行ったことで、遂にその数字が白日の下にさらされることになった。
個人情報保護委員会によると、イセトー社の漏えいは合計 3,076,477 人で、うち民間事業者委託分は 2,509,886 人、行政機関等委託分は 566,561 人、要配慮個人情報が含まれるのは 13,150 人とのことだ。どこに出しても恥ずかしくない立派な数字だが、イセトー社では 4 月 20 日現在、個人情報保護委員会には報告できた被害規模について、何故か同社ウェブサイトでは触れていない、どこまでも奥ゆかしいシャイボーイであった。
ちなみにイセトー社は、何故か同社アルバイト従業員 440 名の個人情報が漏えいしたことだけは、2025 年 2 月 4 日に公表している。
【 2025 年 3 月 被害規模ワーストトップ 3 】
3 位:三菱UFJニコスでのシステム改修時の誤設定が原因 ~ 業務端末で自社以外の顧客カード情報閲覧可能に
原因:システム管理上のミス
件数:約 40 万名
https://scan.netsecurity.ne.jp/article/2025/02/25/52386.html
2 位:ようやく全容明らかに ~ 個人情報保護委員会が株式会社イセトーへの行政上の対応を発表
原因:不正アクセス
件数:307 万 6,477 人
https://scan.netsecurity.ne.jp/article/2025/03/24/52542.html
1 位:役員報酬を減額 ~ 日本郵政グループ、クロスセル同意を得ない非公開金融情報利用
原因:その他
件数:998 万人
https://scan.netsecurity.ne.jp/article/2025/03/27/52563.html
●よく読まれた記事
3 月の記事閲覧数ベスト 3 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて算出している。1 月のトップ 3 は全て 2 万ページビュー超えには及ばなかったが、3月は 1 位・2 位が 2 万ページビュー超えと絶好調で、SCAN 春の珍事として業界を賑わせている。
快活CLUBとの接戦を制し 1 位となったのは株式会社イシクラの「ホームページ公表をもって委託元への報告義務を果たしたと誤認 ~ 卒業アルバム制作企業へのランサムウェア攻撃」だった。
結論が記事タイトルにある出オチ芸人のような記事になったが、イシクラでは 2024 年 5 月 23 日及び 5 月 31 日に同社ホームページ上での公表をもって、顧客や関係者への報告義務を果たしたと誤認していたそうだ。そんなウッカリさんなイシクラが間違いに気付いたのは、2024 年 12 月中旬に個人情報保護委員会から学校への報告が必要である旨の指導があったからだそうで、その時に委託元への報告義務を果たしていないことを「初めて」認識したとのことだ。ここから見えてくるのは「個人情報保護委員会、仕事をしている」ということである。
恐らく同社と委託元の間で、2024 年 5 月から 12 月までの間に何度か担当者間で、メールや電話、打ち合わせ等の業務上のやり取りがあってもおかしくないんじゃないかと素人ながらに思ってしまうのだが、その時にイシクラの担当者は全く本件を話題にしなかったのであろうか。だとしたら、なかなかの強メンタルで羨ましい限りである。あるいは話題にするほどたいしたことではないという認識だったのか。そうだとしたら相当な器である。
惜しくも 2 位となったのは、株式会社快活フロンティアの「個別の補償は予定せず ~「快活 CLUB」不正アクセス」だ。情報漏えいの可能性のある対象者に個別の補償は予定していないとのことだが、先月書いた通り、本インシデントはようやく筆者が「被害者」として情報漏えい被害に遭遇し、情報漏えい被害における「陸サーファー(おかさーふぁー)」の汚名を返上できた事案である。しかし、729 万 87 人もの被害者に 500 円のQUOカードを配ったら、その実費だけで 3,645,043,500 円と数十億円のお金がかかってしまい、やむを得ないところであろう。快適さと安さで定評がある 快活 CLUB なのだから、サービス継続をこそ望むユーザーも少なくないはずだ。
なお、快活フロンティアでは情報漏えいの対象者に「+81 50 5538 4008」の番号からSMSを送信しているのだが、本記事内では下記の通り、この案内をSCAN 会員だけに限定公開している。勿論、被害当事者である筆者の iPhone に届いたものだ。NHKのニュースで時々「通勤中の NHK 社員が撮影」的な映像が流れる時があるが、筆者の気持ちとしては、まさにそれである。
SMS((株)快活フロンティア(快活CLUB)から個人情報漏えいの可能性がある会員様へのお詫びとお知らせ1)
https://scan.netsecurity.ne.jp/article/img/2025/03/03/52424/47649.html
SMS((株)快活フロンティア(快活CLUB)から個人情報漏えいの可能性がある会員様へのお詫びとお知らせ2)
https://scan.netsecurity.ne.jp/article/img/2025/03/03/52424/47650.html
SMS((株)快活フロンティア(快活CLUB)から個人情報漏えいの可能性がある会員様へのお詫びとお知らせ3)
https://scan.netsecurity.ne.jp/article/img/2025/03/03/52424/47651.html
● 2025 年 3 月閲覧数ベスト 3
3 位:UTM 機器へのブルートフォース攻撃後に RDP 接続で侵入 ~ 東京損保鑑定へのランサムウェア攻撃
6,329 ページビュー
https://scan.netsecurity.ne.jp/article/2025/03/03/52425.html
2 位:個別の補償は予定せず ~「快活 CLUB」不正アクセス
27,636 ページビュー
https://scan.netsecurity.ne.jp/article/2025/03/03/52424.html
1 位:ホームページ公表をもって委託元への報告義務を果たしたと誤認 ~ 卒業アルバム制作企業へのランサムウェア攻撃
28,516 ページビュー
https://scan.netsecurity.ne.jp/article/2025/03/13/52491.html
● 3 月のカード情報漏えい
3 月は 6 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。
三菱UFJニコスでのシステム改修時の誤設定が原因 ~ 業務端末で自社以外の顧客カード情報閲覧可能に
件数:約 40 万名
https://scan.netsecurity.ne.jp/article/2025/02/25/52386.html
「一撃オフィシャルショップ」に不正アクセス 7,455 名のカード情報漏えいの可能性
件数:7,455 名
https://scan.netsecurity.ne.jp/article/2025/02/28/52417.html
「柏崎青果オンラインショップ」に不正アクセス、カード情報 1,348 件が漏えいした可能性
件数:1,348 件
https://scan.netsecurity.ne.jp/article/2025/03/05/52441.html
「トータル WEB SHOP」に不正アクセス、2,460 名のカード情報が漏えい
件数:2,460 名
https://scan.netsecurity.ne.jp/article/2025/03/12/52481.html
楽天カードは 24 時間 365 日の監視体制でモニタリング「はたけなかオンラインショップ」でのカード情報流出
件数:824 名
https://scan.netsecurity.ne.jp/article/2025/03/26/52554.html
「はたけなかオンラインショップ」に不正アクセス 824 名のカード情報が漏えい
件数:824 名
https://scan.netsecurity.ne.jp/article/2025/03/26/52555.html
三菱UFJニコス株式会社でのカード情報漏えいは、いつもの不正アクセスによるペイメントアプリケーションの改ざんではなく、システム改修時の誤設定が原因で、MUFGカードフランチャイジー各社と同業務受託先の計 16 社が保有する一部顧客のカード情報が、自社以外の 15 社の業務端末で閲覧可能になっていたという変わりダネだ。
はたけなか製麺株式会社でのカード情報漏えいは、2024 年 7 月 17 日に宮城県警から「はたけなかオンラインショップ」のプログラムが改ざんされており個人情報漏えい懸念がある旨の連絡があり、同県警の指示に従い当該サイトを停止したが、不正プログラムを除去した上で 2 日後の 7 月 19 日に再開するという、これまでの同様の事例ではお目にかかれなかった英断をしているところに侠気を感じてしまった。
案の定、同社は 8 月 22 日に再度当該サイトを停止したうえで、第三者機関による調査を行っているのだが、その結果、2021 年 4 月 20 日から 2024 年 8 月 22 日の期間中のカード情報が漏えいしたことが判明している。サイトを再開しなければ、被害のあった期間は 2021 年 4 月 20 日から 2024 年 7 月 17日までと 1ヶ月強短縮でき、幾らか被害に遭わないで済んだ人もいたのでは? と思わずにはいられない。宮城県警も 2 日後に再開を知っていたとしたら思うところはあったかもしれない。だが警察はコンサルタントでもセキュリティベンダでもない。やれることは限られている。
● 3 月の逮捕・懲戒・損害賠償案件
3 月は情報漏えいに伴う各種処分、逮捕、懲戒、行政指導等にまつわるニュース記事は 5 件だった。前月の 0 件から怒濤の盛り返しだ。
