今日もどこかで情報漏えい第41回「2025年9月の情報漏えい」不正持ち出し情報を入手して特殊詐欺グループに提供上流下流すべて真っ黒

　今日もどこかで情報漏えいは起きている。

　大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

　頼まれもしないのに月ごとの情報漏えいの動向を勝手にウォッチしている三面記事的な本連載、今月もコソコソと平常運転である。

●インシデント原因内訳
　さて、先月 2025 年 9 月に本誌が取り上げた事故・インシデント記事は 2025 年 8 月の 71 本から 2 本増となる全 73 本だった。事故原因最多は「不正アクセス」で 48 件（ 65.8 ％）を占め、「システム管理上のミス」と「誤送信ほか操作ミス」が 7 件（ 9.6 ％）で続いた。なお、記事として取りあげるインシデントは媒体方針（公知にすることで類似インシデントの発生低減に寄与する可能性の多寡ほか）に基づいているため、これらの比率は全体傾向を示すものではない。

情報漏えい原因別記事一覧：不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/

情報漏えい原因別記事一覧：メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/

情報漏えい原因別記事一覧：設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

●被害規模ワースト
　9 月に最も件数換算の被害規模が大きかったのは、スーパーを運営している株式会社良知経営による「良知経営に不正アクセス、企業情報及び個人情報が流出した可能性」の最大 45 万件だった。ここ最近の SCAN 読者は 100 万オーバーの景気の良い数字を見慣れているから、45 万件という数には物足りなさを感じるかもしれないが、うどん県である香川の県庁所在地高松市の人口 407,174 人をも上回る凄い数字である。

　2 位となったのは、チケットぴあやローソンチケット、イープラスなどに比べると露出が少ないかも知れないが、「CNプレイガイド」を運営するコミュニティ・ネットワーク株式会社への不正アクセスだ。なお、CNプレイガイドには、株式会社キョードー東京や株式会社TBSテレビなども業務を委託しており、これら委託元の情報がそのまま流出したようだ。

CNプレイガイドへの不正アクセス、キョードー東京と TBSチケット会員も対象に
https://scan.netsecurity.ne.jp/article/2025/09/16/53617.html

　因みに筆者は、キョードー東京に会員登録していたため、2025 年 3 月に取り上げた株式会社快活フロンティアによる「個別の補償は予定せず～『快活 CLUB』不正アクセス」以来、半年ぶりに情報漏えい被害の当事者となった。本連載をはじめてから 2 度目の被害で、もう誰にも「情報漏えい陸サーファー」とは呼ばせない。そんな筆者のもとに、リリース発表日と同じ 9 月 10 日にキョードー東京から心のこもったお便りが届いたので、SCAN 会員限定で公開している。

キョードー東京から心のこもったお便り
https://scan.netsecurity.ne.jp/article/img/2025/09/16/53617/49937.html

参考：快活フロンティアからの心のこもったSMS
https://scan.netsecurity.ne.jp/article/2025/04/23/52737.html

【 2025 年 9 月被害規模ワーストトップ 3 】
3 位：三浦工業に海外グループ会社を経由した不正アクセス、提供停止した一部サービスを 8 月 16 日復旧
原因：不正アクセス
件数：191,609 件
https://scan.netsecurity.ne.jp/article/2025/09/09/53585.html

2 位：CNプレイガイドに不正アクセス、236,323 件のメールアドレス流出した可能性
原因：不正アクセス
件数：236,450 件
https://scan.netsecurity.ne.jp/article/2025/09/16/53616.html

1 位：良知経営に不正アクセス、企業情報及び個人情報が流出した可能性
原因：不正アクセス
件数：最大 45 万件
https://scan.netsecurity.ne.jp/article/2025/09/12/53606.html

●よく読まれた記事
　9 月の記事閲覧数ベスト 3 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて掲載している。3 ヶ月連続で、トップ 3 の上位 2 件が堂々の 1 万ページビュー超え、3 位もあとちょっとで 1 万に手が届く数字と、10 月も終わりそうな時期なのに SCAN の夏祭りは継続している。

　圧巻の 3 万超えのページビューで 1 位となった「10 億円の解決金支払いで合意～大阪急性期・総合医療センターでのランサムウェア感染による大規模システム障害」は、そもそもが 2022 年 10 月 31 日に公表された大阪急性期・総合医療センターでのランサムウェア感染による大規模システム障害の続報で、経過した時間からも本件の被害の深刻さが改めて窺える。セキュリティの記事を書いて早十余年。「解決金」という禍々しい文字を見たのは筆者初めての経験である。大阪急性期・総合医療センターでは 2023 年 3 月 28 日に、被害額として調査・復旧費用で数億円以上、診療制限に伴う逸失利益として十数億円以上を見込むと公表しているので、10 億円という高額の解決金も妥当なものなのであろう。

大阪急性期・総合医療センターへのランサムウェア攻撃に関する報告書「誤った閉域網神話によるセキュリティ意識の薄れ」指摘
https://scan.netsecurity.ne.jp/article/2023/04/21/49249.html

　2 位の「たとえ緊急でも今後メールを一人で送れなくなった県委託業」は、静岡県が事務局を務める第 9 回世界お茶まつり実行委員会の委託で運営業務を行う委託先事業者が、イベント出展者にメールで一斉に資料送付を行う際に、誤って全ての受信者のメールアドレスが表示される方法（To）で送信したというものだ。本連載のタイトル通り、今日も日本中のどこかで起きているであろうありふれた誤送信だが、静岡県の再発防止策はひと味違っていた。委託先事業者に対し、「個人情報が含まれるメール送信時のダブルチェックを徹底するなどの再発防止策を講じるよう指導するとともに、緊急の連絡事項が生じた場合であっても、複数人で対応できない時間外等にはメール送信を行わないことを徹底」と指導したとのことだ。どこまでも根性論のダブルチェックの徹底で問題の解決を図る姿勢にはいっそすがすがしささえ覚えるが、再度記すが「複数人で対応できない時間外等にはメール送信を行わないことを徹底」という部分に、ダブルチェックにかける安全神話的なものを感じた。これでチェック漏れがなくなるという保証は何もないからだ。いずれにせよ、メール 1 通発送するにも、複数人の人員の確保や時間帯にまで制限が生じるところが実に「日本の DX ここに極まれり」といった趣である。

　3 位の「迷惑メール送信元として悪用された一般財団法人に起こったこと」は、一般財団法人札幌市環境事業公社の一部のメールアドレスが第三者によって不正に乗っ取られ、迷惑メールの送信元として悪用されたことで、同社のドメイン名が複数の迷惑メールブラックリストサイトに登録され、メール送受信が正常に行えない状況になったというものだ。SCAN でも時々、メールアカウントが乗っ取られて迷惑メール送信に利用されたという記事を配信しているが、一部あるいはひとつのメールアドレスが乗っ取られるだけで、これほど大きく組織全体に影響を与えるという一例であろう。札幌市環境事業公社では、メールアカウントがどのように乗っ取られたかについては詳細を公表していないが、改めてメールアカウントの管理には気をつけようと思った。

【 2025 年 9 月閲覧数ベスト 3】
3 位：迷惑メール送信元として悪用された一般財団法人に起こったこと
8,620 ページビュー
https://scan.netsecurity.ne.jp/article/2025/09/08/53576.html

2 位：たとえ緊急でも今後メールを一人で送れなくなった県委託業
10,088 ページビュー
https://scan.netsecurity.ne.jp/article/2025/09/17/53629.html

1 位：10 億円の解決金支払いで合意～大阪急性期・総合医療センターでのランサムウェア感染による大規模システム障害
31,057 ページビュー
https://scan.netsecurity.ne.jp/article/2025/09/01/53540.html

● 9 月のカード情報漏えい
　9 月は 2 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。

「AKAISHI公式通販サイト」に不正アクセス、クレジットカードを使用した顧客に利用履歴確認を呼びかけ
件数：不明
https://scan.netsecurity.ne.jp/article/2025/08/27/53515.html

「ビジフォン舗」に不正アクセス、カード支払い顧客に利用履歴の確認呼びかけ
件数：不明
https://scan.netsecurity.ne.jp/article/2025/09/11/53598.html

　1 件目の株式会社AKAISHI が運営する「AKAISHI公式通販サイト」では、サーバ内に不正プログラムが設置され、2025 年 7 月 16 日午後 4 時半頃から 7 月 22 日午後 5 時半頃までにクレジット番号を入力した顧客のカード情報が漏えいした可能性があり、クレジットカードによる支払いをした顧客に身に覚えのない利用履歴がないか確認するよう呼びかけている。

　2 件目の株式会社オフィスバスターズが運営する「ビジフォン舗」では、不正アクセスによる個人情報の一部流出が懸念されるため、クレジットカードによる支払いを行った顧客に身に覚えのない利用履歴がないか確認するよう呼びかけているが、まだ外部専門機関が調査している段階とのことだ。

　2 社ともまだ、外部専門機関による調査の最中にも関わらず、いち早く顧客に告知する等、明確に顧客ファーストの対応を行っていると感じた。本連載で筆者がたびたび口にしているが「カード情報漏えいの新潮流」の訪れを実感している。

● 9 月の逮捕・懲戒案件
　9 月は情報漏えいに伴う各種処分、逮捕、懲戒、行政指導等にまつわるニュース記事は 8 件だった。今月取り上げたニュース全 73 本の約 1 割を占める大豊作であった。数が多いので箇条書きの記事一覧に通し番号を記す。