今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
頼まれもしないのに月ごとの情報漏えいの動向を勝手にウォッチしている売れ残りのクリスマスケーキのような本連載、年末も低空飛行である。
●インシデント原因内訳
さて、先月 2025 年 11 月に本誌が取り上げた事故・インシデント記事は 2025 年 10 月の 66 本から 11 本減となる全 55 本だった。事故原因最多は「不正アクセス」で 39 件( 70.9 %)を占め、「システム管理上のミス」が 5 件( 9.1% )で続いた。なお、記事として取りあげるインシデントは媒体方針(公知にすることで類似インシデントの発生低減に寄与する可能性の多寡 ほか)に基づいているため、これらの比率は全体傾向を示すものではない。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
● 被害規模ワースト
11 月に最も件数換算の被害規模が大きかったのは、アクサ損害保険株式会社による「アクサのペット保険のシステムに不正アクセス、第三者が情報を抜き取ろうとしていた可能性」の約 553,199 件だった。目の肥えたSCAN読者には、55 万件でも物足りなさを感じるかもしれないが、これは鳥取県の人口 523,768 人を上回る凄い数字である。今回、アクサ損保が不正アクセスの被害に遭ったのはペット保険のシステムの一部とのことだが、ペット保険の契約者や資料を取り寄せた顧客だけで約 55 万件もいることに驚きを感じた。もし大手の人間向け保険システムへの不正アクセスだったら、被害はもっと甚大であったことだろう。
2 位は、スーパーでお馴染みの株式会社西友が利用していたBlue Yonder社のシフト作成ツールへの不正アクセスで、西友従業員の個人情報の一部が漏えいしたというものだ。Blue Yonder 社がサイバー攻撃を受けたのは 2024 年 10 月 15 日から 2024 年 10 月 24 日だったそうなので、約 1 年の沈黙を経ての日本初公開である。なお、10 月の本連載では、同じくBlue Yonder社のシフト作成ツールを利用していたスターバックスの従業員情報の漏えいが、見事に被害規模 1 位を獲得していた。いずれのプレスリリースもリリースの冒頭に「Blue Yonder」と大書してあるのが印象に残った。ふつうこんな書き方をしない。それどころか品のいい自治体などは「委託先企業」などと和服で正座しているような控えめな書き方をする場合すらある。にもかかわらず西友もスターバックスも「Blue Yonder」「Blue Yonder」とリリースのタイトルを社名ではじめており、消せない印象が残った。ちなみにそのBlue Yonder発の情報は何も存在しない。
新たに約 40,700 名分の従業員 ID 漏えいが判明 ~ スターバックスが利用するシフト作成ツールへ不正アクセス
https://scan.netsecurity.ne.jp/article/2025/10/15/53803.html
3 位の「不正アクセスの入口となったネットワーク機器の廃止ほか ~ はるやまホールディングス 不正アクセス最終報」では、タイトルにネタバレがある通り、調査結果を踏まえ、対策として不正アクセスの入口となったネットワーク機器を廃止したそうだ。シンプルだが確実な対策であるように感じた。
【 2025 年 11 月 被害規模ワーストトップ 3 】
3 位:不正アクセスの入口となったネットワーク機器の廃止ほか ~ はるやまホールディングス 不正アクセス最終報
原因:不正アクセス
件数:18,053 件
https://scan.netsecurity.ne.jp/article/2025/11/11/53999.html
2 位:Blue Yonder社のシフト作成ツールへの不正アクセスで西友従業員の個人情報が漏えい
原因:不正アクセス
件数:30,508 名
https://scan.netsecurity.ne.jp/article/2025/11/17/54042.html
1 位:アクサのペット保険のシステムに不正アクセス、第三者が情報を抜き取ろうとしていた可能性
原因:不正アクセス
件数:約 553,199 件
https://scan.netsecurity.ne.jp/article/2025/11/11/53998.html
● よく読まれた記事
11 月の記事閲覧数ベスト 5 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて掲載している。先月に引き続き今月も(零細メディアSCANとしては)あまりにもレベルが高かったので、いつもは 3 位までしか紹介しないところ、2 ヶ月連続の出血大サービスでベスト 5 まで公開する。先月に引き続き、読者の情報漏えいへの高い関心がうかがえ、2025 年の「今年の漢字」が「漏」でないことが不思議でならないSCAN編集部であった。
2 位の「差出人不明の郵便「駅のトイレで病院の封筒に入ったUSBを拾得し 個人情報が含まれていた」」は、地方独立行政法人東京都立病院機構東京都立多摩総合医療センターの患者情報が流出した旨の差出人不明の文書が同機構及び同センターの受診歴がある都民に届き、確認した結果、計 188 件の個人情報の流出が判明したというものだ。駅のトイレに病院の封筒に入ったUSBメモリがあったことも不思議だが、同センターで管理しているUSBメモリに亡失したものはないというところもまた不思議である。そして、これらが判明したのが差出人不明の文書という点も含めて、まるで至高のミステリー小説を読んでいるような気持ちになった筆者であった。
4 位の「飲酒し川崎市路上でGO TO SLEEP、午前3時 警官に起こされ HDD, USB, GIGA端末等の紛失を覚知した中学校教員」は、タイトルだけで全てを察し、お腹いっぱいの読者もいるかとは思うが、昭和の時代ならいざ知らず、中学校の教員が個人情報を抱えたまま路上で寝るほどの飲酒をしたことにまず驚いた。まるでゆうひが丘の総理大臣の時代にタイムスリップしたような気分である。普段幾重にも抑圧されている教師や警察官などの業種の人が酒席で羽目をはずしがちであるという説を聞いたことがあるが、この教師は勤務校で何か辛いことでもあっただろうかと思わず心配になってしまった。そして、飲酒して路上で寝ていても(荷物はともかくとして)身体的には安全な川崎市の治安の良さに改めて感心してしまった。
【 2025 年 11 月閲覧数ベスト 5】
5 位:飲酒し川崎市路上でGO TO SLEEP、午前3時 警官に起こされ HDD, USB, GIGA端末等の紛失を覚知した中学校教員
13,711 ページビュー
https://scan.netsecurity.ne.jp/article/2025/11/04/53945.html
4 位:医師 サポート詐欺被害
13,888 ページビュー
https://scan.netsecurity.ne.jp/article/2025/11/04/53946.html
3 位:国勢調査指導員 業務パソコンから自身所有の携帯端末へメールを送信したが届かず
15,425 ページビュー
https://scan.netsecurity.ne.jp/article/2025/11/14/54032.html
2 位:差出人不明の郵便「駅のトイレで病院の封筒に入ったUSBを拾得し 個人情報が含まれていた」
31,520 ページビュー
https://scan.netsecurity.ne.jp/article/2025/10/31/53936.html
1 位:テインにランサムウェア攻撃、グループ各社にも影響
33,214 ページビュー
https://scan.netsecurity.ne.jp/article/2025/11/17/54045.html
● 11 月のカード情報漏えい
11 月は 4 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。
作業服通販サイトに不正アクセス、12,630 件のカード情報が漏えい
件数:12,630 件
https://scan.netsecurity.ne.jp/article/2025/10/30/53926.html
「ナチュレ片山オンラインストア」に不正アクセス、1,049 件のカード情報が漏えい
件数:1,049 件
https://scan.netsecurity.ne.jp/article/2025/11/10/53984.html
東証上場企業 クレジットカード情報流出 88 日後公表
件数:96 名
https://scan.netsecurity.ne.jp/article/2025/11/18/54053.html
「レンタル wifi カシモバ」への不正アクセスで 9 名のカード情報が漏えい、改ざんから1日で発覚
件数:9 名
https://scan.netsecurity.ne.jp/article/2025/11/21/54074.html
1 件目は、株式会社フクヨシが運営する作業服通販サイト「フクヨシショッピングサイト」への不正アクセスによるカード情報漏えいだ。神奈川県警サイバー犯罪課から 2024 年 7 月 16 日に、「フクヨシショッピングサイト」に悪性ファイルが存在する疑いに関する通報があり、2024 年 8 月 19 日に神奈川県警サイバー犯罪課による調査結果を受け、2024 年 8 月 20 日に当該サイトを閉鎖し、第三者調査機関による調査を開始したそうだ。リリースの情報だけではサイト運営者側の事情は分かりかねるが、 2024 年 7 月 16 日に悪性ファイルが存在する疑いに関する通報があった時点で、約 1 ヶ月間放置せずに、何らかの対応を取らなかったのかがやはり気になってしまう。カード情報漏えいの対象期間は 2021 年 3 月 31 日から 2024 年 8 月 9 日と、2024 年 7 月 16 日以降も含まれているが、少しでも被害を少なくできたのではなかろうか。ここらは、第三者調査機関による調査は 2024 年 11 月 19 日に完了したが、約 11 ヶ月間温め続けて 2025 年 10 月 20 日に本件を公表した、フクヨシの安全運転ぷりからも察せられる。
2 件目は、片山商事株式会社が運営する「ナチュレ片山オンラインストア」への不正アクセスによるカード情報漏えいだ。一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)から 2024 年 11 月 22 日に、「ナチュレ片山オンラインストア」を利用した顧客のカード情報の漏えい懸念について連絡があり、2024 年 12 月 5 日に当該サイトを停止し、第三者調査機関による調査を行ったそうだ。こちらもフクヨシ同様、 2024 年 11 月 22 日の漏えい懸念から、当該サイトの停止まで約 2 週間ほど間隔が空いており、残念ながらこの期間もカード情報漏えいの対象期間となっている。JPCERT/CCから連絡があった時点で当該サイトを閉鎖しておけば、少しでも被害は減らせたのではないだろうか。片山商事の社内事情は筆者には分かりかねるが、ショップを閉鎖するには、偉い人のハンコを幾つも貰わなければならず、時間を要してしまったのであろうか。
4 件目の記事は、株式会社ヒッツカンパニーが運営する「レンタル wifi カシモバ」への不正アクセスによるカード情報漏えいだ。SCAN読者にとっては耳にタコであろうが、カード情報漏えいは通常、警察やカード会社、決済代行会社からカード情報流出懸念についての連絡があり発覚することが大半なのだが、ヒッツカンパニーでは 7 月 14 日に、「レンタル wifi カシモバ」決済ページのデザインの一部が不正に変更されていることに自ら気付き、同日中に当該サイトでのカード決済を停止するというミラクル対応を行っている。第三者機関の調査によると、漏えいした可能性があるのは 2025 年 7 月 13 日から 7 月 14 日の期間中に「レンタル wifi カシモバ」でクレジットカード決済を利用した顧客 9 名のカード情報とのことで、ヒッツカンパニーは決済フォームの改ざんが行われた翌日にはそのことに気付き、即時カード決済を停止するという、まるで新幹線のようなスピード対応を行ったことで、被害を最小限に抑えたといっても良いだろう。
● 11 月の逮捕・懲戒案件
11 月は情報漏えいに伴う各種処分、逮捕、懲戒、行政指導等にまつわるニュース記事は 1 件だった。
