今日もどこかで情報漏えい第39回「2025年7月の情報漏えい」同僚の人事情報を盗み見る対価

　今日もどこかで情報漏えいは起きている。

　大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

　頼まれもしないのに月ごとの情報漏えいの動向を勝手にウォッチしている下世話な本連載、今月もささやかに平常運転である。

●インシデント原因内訳

　さて、先月 2025 年 7 月に本誌が取り上げた事故・インシデント記事は 2025 年 6 月の 76 本から 22 本減となる全 54 本だった。事故原因最多は「不正アクセス」で 42 件（ 77.8 ％）を占め、「システム管理上のミス」が 5 件（ 9.3 ％）、「誤送信ほか操作ミス」が 4 件（ 7.4 ％）で続いた。なお、記事として取りあげるインシデントは媒体方針（公知にすることで類似インシデントの発生低減に寄与する可能性の多寡ほか）に基づいているため、これらの比率は全体傾向を示すものではない。

情報漏えい原因別記事一覧：不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/

情報漏えい原因別記事一覧：メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/

情報漏えい原因別記事一覧：設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

●被害規模ワースト

　7 月に最も件数換算の被害規模が大きかったのは、学悠出版株式会社による「SQLインジェクション約 32 万件の個人情報流出の可能性～愛知全県模試」の約 322,000 件だった。前月の損害保険ジャパン株式会社の約 904 万件の約 3.6 ％程度の数字であるが、それでも中核都市の指定要件（20万人以上）を満たす立派な数字であるし、筆者の出身県には人口 30 万人以上の町は存在しない。

　2 位の「「PAL CLOSET」に 1,722,379 件の不正ログイン試行」は、株式会社パルが運営するオンライン通販サイト「PAL CLOSET」に対し、リスト型アカウントハッキング（リスト型攻撃）によるものと推測される不正なログイン操作があったというもので、不正ログイン試行回数は驚愕の 1,722,379 件にも及んでいる。そのうち実際に不正ログインされたものが 194,307 件とのことなので、成功率は約 11.3 ％といったところであろうか。本件だけで結論づけるつもりはないが、10 人に 1 人くらいはIDとパスワードを使い回している一つのサンプルと言っても良いだろう。なんにせよ、不正ログイン試行回数と成功件数どちらも公表している例はそう多くないから参考値となるだろう。

　3 位の東海大学へのランサムウェア攻撃は、4 月 17 日 (木) 午前中に湘南キャンパス内にあるWebサイトの内容が見えなくなる事象が発生したため調査したところ、ランサムウェアによると推測される被害が判明したというものだ。前月の損害保険ジャパン株式会社の約 904 万件をはじめとした漏えい件数数百万件といった情報漏えいのバーゲンセールに慣らされた本連載の読者にとって、件数だけで言ったら驚きはないかもしれないが、大学のウェブサイトが閲覧できないことやメール利用への制限、学内の PC ルームが数ヶ月単位で利用できないといった安くない学費を払っている教育機関の不便さは、当事者とその支払い元の親や保護者にとってもインパクトがあっただろう。何より学生にとっては情報漏えい以上の災難であったに違いない。

【 2025 年 7 月被害規模ワーストトップ 3 】

3 位：学園関係者の認証情報が暗号化～東海大学へのランサムウェア攻撃
原因：不正アクセス
件数：43,451 件
https://scan.netsecurity.ne.jp/article/2025/07/23/53266.html

2 位：「PAL CLOSET」に 1,722,379 件の不正ログイン試行
原因：不正アクセス
件数：194,307 件
https://scan.netsecurity.ne.jp/article/2025/06/30/53128.html

1 位：SQLインジェクション約 32 万件の個人情報流出の可能性～愛知全県模試
原因：不正アクセス
件数：約 322,000 件
https://scan.netsecurity.ne.jp/article/2025/07/10/53197.html

●よく読まれた記事

　7 月の記事閲覧数ベスト 3 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて掲載している。7 月のトップ 3 は上位 2 件が堂々の 1 万ページビュー超え、3 位もあとちょっとで 1 万と、夏の気温とともに SCAN のページビューもうなぎ登りであった。

　1 位となった「誤送信が発覚して 10 分未満で委託元の宮城県に報告」は、宮城県と令和7年度危険物取扱者保安講習の委託契約を締結している一般社団法人宮城県危険物安全協会連合会によるメール誤送信だ。誤送信が行われたのが 7 月 9 日午後 2 時 33 分、当該メールを受信した受講者が宮城県危険物安全協会連合会に連絡したのが同日午後 2 時 44 分、宮城県危険物安全協会連合会が宮城県に報告したのが同日午後 2 時 54 分と、おそるべくスピーディーに事が運んだのが印象的な事案だ。筆者は一般社団法人に在籍した経験がないので勝手な想像だが、これは現場に責任者が臨場しており、誤送信発覚から報告までの判断を当該責任者が行っていたからなのかなと妄想してしまった。でないと、上司や責任者に報告して判断を仰ぐだけですぐ 1 時間や 2 時間は経ってしまいそうだ。

　2 位は株式会社新興出版社啓林館による「令和に SQLインジェクション、今後「総力を挙げて」再発防止」、3 位は学悠出版株式会社による「SQLインジェクション約 32 万件の個人情報流出の可能性～愛知全県模試」とともにSQLインジェクションに関する漏えい事案だった。3 位の「SQLインジェクション約 32 万件の個人情報流出の可能性～愛知全県模試」は前述の被害規模ワーストトップ 1 であり、ページビューの高さから読者の関心の高さも伺え、まさに「SQLインジェクション」時代の到来と言っても良いだろう。

　なお、3 位の学悠出版では、流出の可能性がある項目に対し暗号化を行っているとのことであった。ある程度対策が確立されている SQL インジェクションの攻撃を許しつつも、個人情報は暗号化済みという、準備が万全なのかそうでないのかよく分からない事件だった。

【 2025 年 7 月閲覧数ベスト 3】

3 位：SQLインジェクション約 32 万件の個人情報流出の可能性～愛知全県模試
9,091 ページビュー
https://scan.netsecurity.ne.jp/article/2025/07/10/53197.html

2 位：令和に SQLインジェクション、今後「総力を挙げて」再発防止
24,291 ページビュー
https://scan.netsecurity.ne.jp/article/2025/07/28/53301.html

1 位：誤送信が発覚して 10 分未満で委託元の宮城県に報告
35,996 ページビュー
https://scan.netsecurity.ne.jp/article/2025/07/22/53255.html

● 7 月のカード情報漏えい

　7 月は 2 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。

東京ヴェルディ公式オンラインストアへの不正アクセスで逮捕～「容疑者と直接の雇用業務委託関係はない」
件数：2,726 件
https://scan.netsecurity.ne.jp/article/2025/07/09/53188.html

警察からの情報提供で発覚～麻生総合病院職員クレジットカード情報不正利用
件数：不明
https://scan.netsecurity.ne.jp/article/2025/07/18/53245.html

　1 件目は、2024 年 2 月に公表のあった「東京ヴェルディ公式オンラインストア」でのカード情報漏えいに関する続報だ。筆者が「情報漏えいの花形」と言って止まないカード情報の漏えいであるが、被害企業が調査結果公表から 1 年以上も経ってから新たに続報を発表するのは大変珍しい。しかもそれが、警察関係者への謝辞にとどまらず、同サイトを攻撃した容疑者が「直接の雇用関係および業務委託関係はない」と詳細にコメントしたことがレアである。

　2 件目は、医療法人社団総生会麻生総合病院の職員がカード情報を不正利用したというものだ。リリースでも具体的な手口や被害者について言及されていないので、本記事も奥歯に物が挟まったようなもどかしさを感じるものになっているが、恐らく病院の職員が物理的に患者のカード情報をなんらかの方法で知り、不正利用したのであろう。

　2024 年には秋田大学医学部附属病院で看護師が、入院している患者のクレジットカードを拾得後に不正使用し購入品を転売していたという事案も報告されており、これらはすべて氷山の一角かもしれない。