今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
頼まれもしないのに月ごとの情報漏えいの動向を勝手にウォッチしている居酒屋のお通しのような本連載、今月も低空飛行である。
●インシデント原因内訳
さて、先月 2025 年 10 月に本誌が取り上げた事故・インシデント記事は 2025 年 9 月の 73 本から 7 本減となる全 66 本だった。事故原因最多は「不正アクセス」で 42 件( 63.6 %)を占め、「誤送信ほか操作ミス」が 6 件( 9.1 %)、「システム管理上のミス」と「不正持ち出し」が 5 件( 7.6% )で続いた。なお、記事として取りあげるインシデントは媒体方針(公知にすることで類似インシデントの発生低減に寄与する可能性の多寡 ほか)に基づいているため、これらの比率は全体傾向を示すものではない。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
● 被害規模ワースト
10 月に最も件数換算の被害規模が大きかったのは、スターバックスコーヒージャパン株式会社と Blue Yonder社による「新たに約 40,700 名分の従業員 ID 漏えいが判明 ~ スターバックスが利用するシフト作成ツールへ不正アクセス」の約 72,200 名だった。これはスタバが利用する Blue Yonder社のシフト作成ツール「Work Force Management」にサイバー攻撃があり、従業員情報が漏えいしてしまったというものだ。流石、全国に展開しているスタバともなると漏えいする従業員数も約 72,200 名と膨大だなと感心したが、過去に取り上げた数百万規模の漏えいと比較すると、どうしても格が落ちた感は拭えない。後に取り上げるが、10 月のページビューはドッカンドッカンのお祭り状態だったので、必ずしも漏えい規模の大きさがページビューには結びつかないという知見を得たSCAN編集部であった。
2 位の「日本セラミックへのランサムウェア攻撃、新たに取引先・関係者に関する情報流出が判明」では、日本セラミック株式会社が、ランサムウェア感染被害によるシステム障害に係る外部専門家への調査依頼並びにコンサルタント費用、システムの復旧作業等のシステム障害対応費用として 3,700 万円を特別損失に計上した旨を 8 月 1 日に公表している。 SCAN が 100 年運営できてしまいそうな途方もない金額で、大きい数字に慣れていない筆者は、何度も指折り、桁数に誤りが無いかを確認してしまった。
【 2025 年 10 月 被害規模ワーストトップ 3 】
3 位:約 30,000 名の個人情報が漏えいした可能性 宮城学院へのランサムウェア攻撃
原因:不正アクセス
件数:約 30,009 名
https://scan.netsecurity.ne.jp/article/2025/10/07/53757.html
2 位:日本セラミックへのランサムウェア攻撃、新たに取引先・関係者に関する情報流出が判明
原因:不正アクセス
件数:40,350 件
https://scan.netsecurity.ne.jp/article/2025/10/09/53773.html
1 位:新たに約 40,700 名分の従業員 ID 漏えいが判明 ~ スターバックスが利用するシフト作成ツールへ不正アクセス
原因:不正アクセス
件数:約 72,200 名
https://scan.netsecurity.ne.jp/article/2025/10/15/53803.html
● よく読まれた記事
10 月の記事閲覧数ベスト 5 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて掲載している。今月は(零細メディアSCANとしては)あまりにもレベルが高かったので、いつもは 3 位までしか紹介しないのだが、大盤振る舞いでベスト 5 まで公開する。因みに7 位の記事までがページビュー 1 万超えを達成している大確変で、SCAN編集部では、大入袋が配られかねない大騒ぎであった。
2 位の「関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得」は、大阪府にある高槻郵便局で顧客から預かった保険商品の契約に関する申込書の写し等、合計 632 枚が京都市内で拾得されたというものだ。日本郵便では、書類の取扱いに関与していた元社員への接触を試みているが、未だ連絡がつかず、発覚からの時間経過を考慮し、警察への相談のうえで公表したとのことだ。発生原因についても、元社員に連絡がつかないことからも当然であろうが、当時の関係者への聴取が完了しておらず、現在も引き続き調査を行っているそうだ。まるでミステリー小説のような漏えい事件であるが、元社員が無事に発見され、原因が解明されることを願ってやまない。
4 位の「銀行内部の顧客格付け情報が漏えい 常陽銀行」は、常陽銀行取手支店の担当者が 2020 年 6 月に、営業推進目的に推進対象となる顧客のリストを紙媒体で携帯し外訪していた中で、対象となる顧客の 1 社に訪問提案した際に、誤って当該リストを残置してしまったというものだ。かれこれ 5 年も前の事件だが、2025 年 9 月に、匿名の封書が届いたことを受けて行内調査を行った結果、発覚したそうだ。ただの顧客の個人情報ではなく、常陽銀行が独自に顧客を格付けした情報が漏えいしたということで、貸付先なりを評価するのはあたりまえのことではあるがこうして文字として表記されると一定のインパクトを禁じ得ない。常陽銀行が顧客をどう評価しているのかが丸わかりで、担当者は生きた心地がしなかったであろう。「全役職員が一丸となって信頼回復」に取り組むそうだが、単なる漏えい以上に信頼回復が大変そうであると感じた。
【 2025 年 10 月閲覧数ベスト 5】
5 位:業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員
12,958 ページビュー
https://scan.netsecurity.ne.jp/article/2025/10/02/53726.html
4 位:銀行内部の顧客格付け情報が漏えい 常陽銀行
14,882 ページビュー
https://scan.netsecurity.ne.jp/article/2025/10/10/53782.html
3 位:諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい
18,755 ページビュー
https://scan.netsecurity.ne.jp/article/2025/09/30/53702.html
2 位:関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得
27,558 ページビュー
https://scan.netsecurity.ne.jp/article/2025/10/23/53867.html
1 位:誤って全従業員に閲覧権限設定 ~ デンソーで Microsoft Power BI を利用したデータ分析
32,841 ページビュー
https://scan.netsecurity.ne.jp/article/2025/10/20/53836.html
● 10 月のカード情報漏えい
10 月は 2 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。
「パッケージショップ.jp」に不正アクセス、クレジットカード支払の顧客に利用履歴確認呼びかけ
件数:不明
https://scan.netsecurity.ne.jp/article/2025/09/30/53703.html
笹だんご「田中屋本店」に不正アクセス カード情報漏えいの可能性
件数:不明
https://scan.netsecurity.ne.jp/article/2025/10/06/53753.html
1 件目は、株式会社山元紙包装社が運営する「パッケージショップ.jp」への第三者からの不正アクセスによるシステム侵害が判明し、個人情報の一部流出が懸念されたため、クレジットカード決済機能を停止したというものだ。山元紙包装社では、クレジットカードによる支払いを行った顧客に対し、身に覚えのない利用履歴がないか確認するよう呼びかけている。
本連載で何度も言及しているが、外部専門機関による調査中にもかかわらず、いち早く顧客に告知する等、明確に顧客ファーストの対応を行っていると感じた。
2 件目は、株式会社田中屋本店が運営するオンラインショップ「田中屋本店」に第三者から不正アクセスがあり、クレジットカード情報を含む個人情報が漏えいした可能性が判明したというものだ。これだけだと、いつものカード情報漏えいのリリースなのだが、田中屋本店では 8 月 12 日に、当該サイトに不正プログラムが組み込まれている可能性があると連絡があり、即座に当該サイトを一時閉鎖し、同日中にシステムの修正を完了し、当該サイトが問題なく使用できることを確認し、リリースを公表した 9 月 25 日時点ではサイト利用に問題はないとして、通常通りの運営を再開したとのことだ。
筆者はあくまでも「情報漏えい丘サーファー」として、情報漏えいや不正アクセスの現場には立ち会わず、フォレンジック調査やその他の対応にもあたったことはないが、カード情報漏えいが疑われる事案で、外部機関による詳細な調査も無しにここまで迅速に再開して良いものなのか、カード会社や決済代行会社はこれを許しているのか、とても疑問に思いつつも記事化したのだが、本記事執筆後の 9 月 30 日に、田中屋本店ではクレジットカード決済を一時停止する旨のリリースを発表していた。やはりあかんかったようである。
田中屋本店 / クレジットカード決済一時停止のお知らせ
https://www.dangoya.com/news/news_20250930
カード情報漏えいに関するリリースは、日時、社名・サイト名、発覚の経緯、漏えい件数等を置き換えただけの金太郎飴のようなテンプレート通りのものが大半であるが、今回みたいなイレギュラーなものに出会えると、ニュース記事を書き続けてきて良かったと心から思った。
余談となるが、今月はもう 1 件、過去にカード情報漏えいの可能性があると公表し、注意を呼びかけていたが、やはりカード情報漏えいは無かったと続報を発表した変わりダネがあった。何故、カード情報の漏えいがないと判断したのか、その経緯については不明なのだが、こういうこともあるものなんだと、狐につままれたような気分である。
カード情報の漏えいは無し「AKAISHI公式通販サイト」へ不正アクセス
https://scan.netsecurity.ne.jp/article/2025/10/03/53740.html
「AKAISHI公式通販サイト」に不正アクセス、クレジットカードを使用した顧客に利用履歴確認を呼びかけ
https://scan.netsecurity.ne.jp/article/2025/08/27/53515.html
● 10 月の逮捕・懲戒案件
10 月は情報漏えいに伴う各種処分、逮捕、懲戒、行政指導等にまつわるニュース記事は 4 件だった。先月の 8 件に比べれば半減であるが、本来は豊作といって良い件数である。
