今日もどこかで情報漏えい 第4回「2022年9月の情報漏えい」

　今日もどこかで情報漏えいは起きている。

　大きいところでは誰もが社名を耳にしたことがある東証プライムの上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

　本稿は「1973年のピンボール」「1976年のアントニオ猪木」という二つの名著にちなんで「○○年の情報漏えい」と副題がつけられており、大事なものを見落としたかもしれない過去に思いを馳せる意図で、前の月に配信した本誌公式メルマガに掲載された事故・インシデント記事について、件数で見た被害規模が大きい順の「月間ワースト 3」「記事閲覧数ベスト 3」、情報漏えい被害でも特にエンドユーザーに影響がある「クレジットカード情報漏えい」など、複数の角度から「 202x 年 n 月の情報漏えい」をふりかえり、そして馳せる（「 202x 年 n 月」は誤記載ではなく、凡例としてこう記している）。

　なお、あくまで本誌が記事として取りあげ掲載した事故・インシデントが対象となるため、（1）日本国内で発生した事象をすべて網羅している訳ではないこと、及び集計の実務的理由によって n 月に配信した公式メルマガに掲載された事故・インシデントを対象としているため、たとえば前月の下旬に公表された事故・インシデントについて言及されていたり（例： n 月のふり返りに n - 1 月の事象が出てくる）、あるいはあまりこういうことを記事の冒頭で申し上げることは大いに憚られるのだが、いわゆる編集部の「補足漏れ」などによって記事にすることが遅れた等の理由から、（2）ピックアップされる事故・インシデントの発生あるいは公表年月日が、当該月のついたちから末日までとは必ずしもなっていない、このふたつの点をあしからずご了承いただきたい。

　さて、2022 年 9 月に取り上げた事故・インシデント記事は全 27 本だった。9 月に取り上げた記事の原因の最多は「不正アクセス」で 17 件（ 65 ％）を占め、次いで「誤送信ほか操作ミス」が 4 件（ 15 ％）、「システム管理上のミス」が 2 件（ 8 ％）、「紛失」が 2 件（ 8 ％）、「その他」の原因が 1 件（ 4 ％）だった。

　情報漏えい原因別記事一覧：不正アクセス
　https://scan.netsecurity.ne.jp/special/3359/recent/
　情報漏えい原因別記事一覧：メール誤送信
　https://scan.netsecurity.ne.jp/special/3358/recent/
　情報漏えい原因別記事一覧：設定ミス
　https://scan.netsecurity.ne.jp/special/3457/recent/

　くり返すが上記の数値をもって「 n 月は『○○』が原因による事故・インシデントが多かった」等の判断をすることは間違っている場合がある。なぜなら本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性があるであろうという推定が行われているからであり、取捨選択に明確な編集方針があるからである。

　ここで簡潔にその編集方針とやらの一部を要約するなら、不正アクセスとクレジットカードの情報漏えいは規模やブランドの大小を問わずなるべくすべて記事として取りあげる編集方針があり、一方で BCC でメール送信しようとしたがヒューマンエラーで TO あるいは CC で送信したような誤送信は、そのエラー発生プロセスに、第三者が知って（たとえば自社内の既存の運用ルール見直し等に）役に立つような新奇性や独自性が何ら無いと判断される場合は、記事として取りあげることは少ない。

　本文に戻るが、9 月で最も被害規模が大きかったのは、株式会社物語コーポレーションによる「焼肉きんぐなどを運営する物語コーポレーションで個人情報を誤削除、契約終了までに新規サーバに移行作業を行わず」の被害規模 143,876 件で、外部事業者とのサーバの契約終了に際し、顧客情報のデータの移行作業を行わなかったためにデータが削除されてしまったという珍しい事例だった。

　その他、パスワードリスト型攻撃やランサムウェア攻撃の被害件数が上位にランクインしている。

【 2022 年 9 月ワーストトップ 3 】
1 位：焼肉きんぐなどを運営する物語コーポレーションで個人情報を誤削除、契約終了までに新規サーバに移行作業を行わず
原因：紛失
件数：14 万 3,876 件
URL：https://scan.netsecurity.ne.jp/article/2022/09/08/48158.html

2 位： 「ニトリアプリ」にパスワードリスト型攻撃、約13万2,000アカウントが閲覧された可能性
原因：不正アクセス
件数：約 13 万 2,000 アカウント
URL：https://scan.netsecurity.ne.jp/article/2022/09/22/48226.html

3 位： 婦人服販売のクロスプラスサーバへのランサムウェア攻撃、個人情報の一部が漏えいした可能性を否定できない状況
原因：不正アクセス
件数：8 万 1,318 件
URL：https://scan.netsecurity.ne.jp/article/2022/09/20/48212.html

　次に 9 月に多く閲覧された事故・インシデント記事のベスト 3 は下記の通りである。2 位となった島根県立中央病院での電子カルテ用端末の紛失事件では、病院と業者のやり取りで平行線が続いており、お互いに記録を残すことの重要性を痛感させられる。

　なお「たった千や二千のページビューで上位にランクインするとは、なんて ScanNetSecurity という媒体は規模が小さいのか」と言う方がいたとしたら「おっしゃる通り」と言わざるを得ない。本誌は仕事を大切にするビジネスパーソンがその精度や質を高めるために読む媒体である。たとえば従業員が 1 万名規模の企業に情報システム部門が 50 名いるとして、その中にセキュリティを専らとする担当者が何名いるか、その中に ScanNetSecurity を読む人は何名いるかと考えて欲しい。答は「ほぼゼロ」とは言わないにせよ大きい数字であることはまずないだろう。また、ScanNetSecurity を読んで仕事を深めるより、DX（デジタルトランスフォーメーション）だなんだの領域で仕事をしているふりをした方が出世の近道でもある。

　さて、閲覧数ベスト 3 は以下の通りである。