今日もどこかで情報漏えいは起きている。
2026 年最初の本連載は、昨 2025 年に記事として配信したセキュリティインシデントや情報漏えい、各種事件事故に関連する記事のうち、被害件数ワースト 10、そして 2025 年に最も読まれた記事ランキング等をページビュー数の実数とあわせて紹介するという、新春のさわやかな気持ちを吹き飛ばす他誌の追随を許さないものだ。他誌が追随したいかどうかは神のみぞ知るところではあるが……。
何時からこのような年一の風習をしているのか振り返ってみたところ、何と 2021 年 12 月に 2021 年の振り返りをしていることが判明した。ニッチ媒体である SCAN に相応しい、今回で 5 回目となる年に一度の奇祭である。
セキュリティ管理者や経営管理層の方の年次報告書等作成等、参考情報としてご活用いただきたい。
●インシデント原因内訳
2025 年に取り上げたセキュリティ事故やインシデント記事の総件数は 784 本であった。ちなみに 784 本のほぼすべてを筆者が執筆している。月あたり 65本 程度の漏えい記事が SCAN を彩った訳だ。参考までに 2024 年は 607 本、2023 年は 621 本と横ばいであったが 2025 年になって、いきなりの急上昇である。改めて数字を見ると、2025 年の筆者は頑張りすぎではないだろうか……。
2025 年に取り上げたインシデント記事の原因についても見てみたい。2025 年に取り上げた記事の最多は「不正アクセス」が 570 件( 72.7 %)を占め、次いで「システム管理上のミス」が 63 件( 8.0 %)、「誤送信ほか操作ミス」が 51 件( 6.5 %)と続いている。
これは毎回のくり返しになるが、上記の数値をもって「202x 年は『○○』が原因による事故・インシデントが多かった」等の判断はできない。本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性がある、なんらかの事故を減らすための示唆がその情報の中に含まれている、という推定が行われており、取捨選択に明確な編集方針があるからである。不正アクセスは優先的に取り上げ、またクレジットカードの情報漏えいも同様である。反対に USB メモリ紛失やメール誤送信などは、管理者の想定の斜め上をいくような原因であったり、一般的に知られていない発生プロセスを経たような、ある意味オリジナリティの高い事案でなければ記事にはならない。
因みに 2019 年に関しては、筆者が補足することができた漏えいにまつわるリリースをほとんど全て記事化しているにも関わらずそれでも 675 件だったのだが、2025 年は上述の通り、編集部である程度、取捨選択しているにもかかわらず 784 件であったことを改めて記しておく。やはり 2025 年の「今年の漢字」は今からでも「漏」に変更すべきだ。
●被害規模ワースト
2025 年に被害が発生した、あるいは発生した可能性がある、件数によるワースト 10 は下記の通りである。
【 2025 年 被害件数ワースト 10 】
10 位:新サーバ移行中にファイアウォール機能が有効化されていなかったことが原因 ~ ソウェルクラブの会員管理システムに不正アクセス
原因:不正アクセス
件数:約 136 万件
https://scan.netsecurity.ne.jp/article/2025/12/12/54218.html
フォレンジック調査の結果、データ流出については明確な痕跡は確認されなかったが、個人データ約 136 万件が存在する会員情報データベースへのアクセスが攻撃者により可能な状況であったことを鑑みて、閲覧を含む情報漏えいの可能性は否定できないとしている。
9 位:ハウステンボスへの不正アクセス、サーバ内のファイルの一部が暗号化
原因:不正アクセス
件数:約 154 万 6,000 件
https://scan.netsecurity.ne.jp/article/2025/12/18/54272.html
顧客に関する情報が約 1,499,300 人分で、ハウステンボス役職員(退職者含む)および家族に関する情報が約 37,300 人分、取引先に関する情報が約 9,400 人分だそうだ。ハウステンボスくらい大きな施設になると、従業員や取引先などに関する情報もちょっとした規模で改めてびっくりだ。
8 位:191.4万件の個人情報が漏えいした可能性 ~ アサヒグループホールディングスへのランサムウェア攻撃
原因:不正アクセス
件数:191.4 万件
https://scan.netsecurity.ne.jp/article/2025/12/05/54174.html
アスクルとともに、2025 年下半期のランサムウェア事案を担ったアサヒグループは 8 位にランクイン。191.4 万件のうち、祝電や弔電などの慶弔対応を実施した社外の関係先だけで 11.4 万件もあるそうだ。人との繋がりが稀薄になりがちな現代において、会社としてこれだけの慶弔対応をしていたことに、ブラック企業の PR ではない本当の「アットホームな職場です」を感じた。スーパードライを今までよりも美味しく感じることができそうな情報である。
7 位: サンリオエンターテイメントにランサムウェア攻撃、最大約 200 万件の個人情報が漏えいした可能性
原因:不正アクセス
件数:最大約 200 万件
https://scan.netsecurity.ne.jp/article/2025/02/10/52303.html
200 万件突破である。漏えいの対象となる顧客情報は、主にサンリオピューロランドやハーモニーランドを利用していた顧客だそうだ。被害件数ワースト 9 位のハウステンボスもそうだが、テーマパークを利用する顧客の多さを改めて感じ、SCAN も地味くさいメルマガなどではなく情報セキュリティランドとか開園すれば良いのにと無責任に思う筆者であった。
6 位:「Fujisan.co.jp」と顧客を特定しての不正アクセス、「マイページ」にログインされた形跡
原因:不正アクセス
件数:最大 252 万 8,500 人
https://scan.netsecurity.ne.jp/article/2025/06/27/53118.html
筆者が過去に 1 度だけ『月刊シナリオ』という専門誌のバックナンバーを購入したことがある「Fujisan.co.jp」への不正アクセスが 6 位にランクイン。筆者が購入した雑誌がマイナーすぎたため、当時は「Fujisan.co.jp」がそこまでメジャーなサービスとは認識しておらず、サンリオやアサヒグループ、ハウステンボスよりも漏えい規模が大きくなるとは思わなかった。ひょっとしたらニッチ媒体である SCAN にも実は会員が 252 万人くらいいるのかもしれない。
5 位: ようやく全容明らかに ~ 個人情報保護委員会が株式会社イセトーへの行政上の対応を発表
原因:不正アクセス
件数:307 万 6,477 人
https://scan.netsecurity.ne.jp/article/2025/03/24/52542.html
300 万件突破。実際に株式会社イセトーへのランサムウェア攻撃があったのは 2024 年だが、その被害規模が当事者のイセトーではなく第三者である個人情報保護委員会によって明らかになったのが 2025 年のため今回ランクインとなった。イセトーが窃取され個人データを含むファイルがダークウェブ上に公開されたことで漏えい及び毀損が生じた件数が合計 307 万 6,477 人、うち要配慮個人情報が含まれるのは 1 万 3,150 人だそうだ。影響を受けた委託元は 41 団体で、委託元に委託していた再委託元を含めると、影響を受けた団体数は約 100 団体と、その規模は他を圧倒している。
4 位: 保険見直し本舗グループへのランサムウェア攻撃、約 510 万件の顧客情報が漏えいした可能性
原因:不正アクセス
件数: 約 510 万件
https://scan.netsecurity.ne.jp/article/2025/05/15/52846.html
一足飛びに 500 万件を超えた。対象となったのは、保険見直し本舗グループを通じて保険を申し込みした顧客の情報、保険見直し本舗グループが協業先企業から預かった顧客の情報、保険見直し本舗グループに保険の相談をした顧客の情報とのことだが、2 位にランクインした損害保険ジャパンといい、なるべくたくさん人を集めて、なるべく長期間、できれば最後の日まで契約を継続させたいという強力な動機を持つ保険業界には、やはり膨大な個人情報が集まるものだと改めて感心した。
3 位: 「快活 CLUB」に不正アクセス、729 万 87 件の会員情報が漏えいした可能性
原因:不正アクセス
件数:729 万 87 件
https://scan.netsecurity.ne.jp/article/2025/01/29/52233.html
700 万件突破。筆者は情報漏えいのリリースを毎日探しており、見つけたら記事を書き、その数通算で年間 800 本近いという記者生活を続けている。計算したら一日の稼働時間を 8 時間と換算すると 3 時間 19 分に一本情報漏えいの記事を執筆していることになる。常在戦場ならぬ常在漏洩。このように情報漏えいについて 24 時間 365 日体制で思いを巡らせていながらも、自分自身が漏えいの被害者になった経験が決して豊かとはいえない点がコンプレックスであり、自虐的に自身を「情報漏えい陸(おか)サーファー」と呼んでいた。しかし、しかしである。快活 CLUB への不正アクセスでとうとう筆者の個人情報は堂々漏えい被害に遭うことができた。しかもかなりの大規模インシデント。嬉しくてつい、届いた快活CLUB から届いたお詫びの SMS メッセージのスクリーンショットを記事に掲載してしまったことを昨日のように思い出す。
2 位:損害保険ジャパンへの不正アクセス、顧客や代理店のデータが漏えいした可能性を否定できず
原因:不正アクセス
件数:約 9,040,000 件
https://scan.netsecurity.ne.jp/article/2025/06/23/53087.html
900 万件を超えた。漏えいしたのは、ここで件数として挙げられている約 9,040,000 件の個人情報以外に、損害保険ジャパンのデータベースと照合しなければ個人を特定することができない、証券番号や事故番号のみのデータ 約 844 万件もあるそうだ。改めて、その桁違いの規模感にびっくりで、0.001 %で良いから SCAN の有料会員になってはくれないだろうか。
1 位: 役員報酬を減額 ~ 日本郵政グループ、クロスセル同意を得ない非公開金融情報利用
原因:その他
件数:9,980,000 人
https://scan.netsecurity.ne.jp/article/2025/03/27/52563.html
日本郵政、日本郵便株式会社、株式会社かんぽ生命保険、株式会社ゆうちょ銀行ら日本郵政グループにて、郵便局で事前にクロスセル同意を得ないまま顧客の貯金の非公開金融情報等を利用し、保険募集を目的とした来局案内を行った事例を確認したというものだ。どんな僻地にもある郵便局ネットワークの桁違いの会員数の多さを思い知らされた。因みに筆者は、旅行先で簡易郵便局を見かけたら写真に収めるのをひそかな趣味にしている。
本連載でも度々言及していたが、2025 年は情報漏えいの言い方は注意が必要だが「大豊作」といって良い年で、ワースト10すべてがミリオン超え、さらに 7 位からはWミリオン超えという、1990 年代半ばの CD セールスのような好景気であった。「情報漏えい丘サーファー」の筆者の個人情報が漏えいしてしまうのも止むなしであろう。
● 2025 年に最も読まれた記事
2025 年の記事閲覧数ベスト 10 は下記の通りである。
【 2025 年 閲覧数ベスト 10 】
10 位:関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得
27,728 ページビュー
https://scan.netsecurity.ne.jp/article/2025/10/23/53867.html
SCAN らしい記事である。大阪府の高槻郵便局が顧客から預かった保険商品の契約に関する申込書の写し等、合計 632 枚が京都市内で拾得されたことで紛失が発覚したが、同書類の取扱いに関与していた元社員への連絡がつかないとのことで、警察に相談のうえで公表に踏み切っている。これが松本清張のミステリー小説だったら元社員は GHQ の手によって静かな眠りについている可能性が高いが、果たして無事に見つかったのか、続報が気になるところである。
9 位:個別の補償は予定せず ~「快活 CLUB」不正アクセス
28,225 ページビュー
https://scan.netsecurity.ne.jp/article/2025/03/03/52424.html
「2025 年 被害件数ワースト 10」でも触れた「快活CLUB」への不正アクセスについて、運営元の快活フロンティアが公表した FAQ に関する記事が 9 位につけている。筆者も長年、情報漏えいに関するニュースを追っかけているが、漏えい元の企業・組織が「個別の補償は予定していない」と断言したのは珍しいと感じた。そして本記事には、筆者の元に届いた快活フロンティアからのお詫びメールのスクショが SCAN 会員限定で掲載されている。必見だ。
8 位:公開サーバのファイルと同じ ~ サイバー攻撃グループ名乗る人物が「IIJ からソースコードを盗み出した」とファイルを添付し投稿
30,394 ページビュー
https://scan.netsecurity.ne.jp/article/2025/11/18/54054.html
はた迷惑な話だが、大嘘にもこのぐらいピリピリした対応をする日本企業の現状を浮き彫りにする出来事である。サイバー攻撃グループを名乗る人物が「IIJ からソースコードを盗み出した」という趣旨の投稿を行ったが、その投稿に添付されたファイルは、IIJ の公開 ftp サーバにある、同社以外の開発グループが作成したファイルと同一であったというものだ。サイバー攻撃グループを名乗る人物の狙いは何だったのか、天然だった可能性も高いものの、未だに謎に包まれている。
7 位:10 億円の解決金支払いで合意 ~ 大阪急性期・総合医療センターでのランサムウェア感染による大規模システム障害
31,616 ページビュー
https://scan.netsecurity.ne.jp/article/2025/09/01/53540.html
2022 年 10 月 31 日に公表された大阪急性期・総合医療センターでのランサムウェア感染による大規模システム障害について、複数の民間事業者と和解が成立したとの記事が 7 位にランクイン。2022 年 10 月のランサムウェア被害発生から3 年近くの月日を経て、ようやくクローズになったと思うと、改めて事件の大きさを思い知る。それにしても、複数の民間事業者が連帯して支払う解決金 10 億円という、SCAN では聞き慣れない数字の大きさに、6 桁以上の数字が数えられない筆者は驚くばかりだ。
6 位:テインにランサムウェア攻撃、グループ各社にも影響
33,300 ページビュー
https://scan.netsecurity.ne.jp/article/2025/11/17/54045.html
自動車サスペンションをはじめとする自動車用品の製品開発、設計、製造、販売等を行う株式会社テインへのランサムウェア攻撃の記事が 6 位にランクイン。
5 位:誤って全従業員に閲覧権限設定 ~ デンソーで Microsoft Power BI を利用したデータ分析
33,478 ページビュー
https://scan.netsecurity.ne.jp/article/2025/10/20/53836.html
株式会社デンソーにて、情報可視化・共有ツール Microsoft Power BI を利用したデータ分析の際に、本来は閲覧権限を業務上必要な者のみに制限すべきところ、誤って同社グループ内の全従業員に閲覧権限が設定されていたというものだ。
