今日もどこかで情報漏えい 第11回「2023年4月の情報漏えい」誤送信 三度あることは四度ある ほか

　今日もどこかで情報漏えいは起きている。

　大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

　本稿は「1973年のピンボール」「1976年のアントニオ猪木」という二つの名著にちなんで「○○年の情報漏えい」と副題がつけられており、大事なものを見落としたかもしれない過去に思いを馳せる意図で、前の月に配信した本誌公式メルマガに掲載された事故・インシデント記事について、件数で見た被害規模が大きい順の「月間ワースト 3」、そして「記事閲覧数ベスト 3」、情報漏えい被害でも特にエンドユーザーに影響がある「クレジットカード情報漏えい」など、複数の角度から「 202x 年 n 月の情報漏えい」をふりかえり、そして馳せる（「 202x 年 n 月」は誤記載ではなく、凡例としてこう記している）。

　なお、あくまで本誌が記事として取りあげ掲載した事故・インシデントが対象となるため、（1）日本国内で発生した事象をすべて網羅している訳ではないこと、及び集計の実務的理由によって n 月に配信した公式メルマガに掲載された事故・インシデントを対象としているため、たとえば前月の下旬に公表された事故・インシデントについて言及されていたり（例： n 月のふり返りに n - 1 月の事象が出てくる）、あるいはあまりこういうことを記事の冒頭で申し上げることは大いに憚られるのだが、いわゆる編集部の「補足漏れ」などによって記事にすることが遅れた等の理由から、（2）ピックアップされる事故・インシデントの発生あるいは公表年月日が、当該月のついたちから末日までとは必ずしもなっていない、このふたつの点をあしからずご了承いただきたい。

●インシデント原因内訳

　さて、2023 年 4 月に取り上げた事故・インシデント記事は 2023 年 3 月の 45 本から3 本減となる全 42 本だった。4 月に取り上げた記事の事故原因最多は「不正アクセス」で 27 件（ 64.3 ％）を占め、次いで「誤送信ほか操作ミス」が6 件（ 14.3 ％）、「システム管理上のミス」が 4 件（ 9.5 ％）と続いている。

情報漏えい原因別記事一覧：不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/

情報漏えい原因別記事一覧：メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/

情報漏えい原因別記事一覧：設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

　なお、上記の数値をもって「 n 月は『○○』が原因による事故・インシデントが多かった」等の判断をすることは正しくない。なぜなら本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性がある、なんらかの事故を減らすための示唆がその情報の中に含まれている、という推定が行われており、取捨選択に明確な編集方針があるからである。

●被害規模ワースト

　さて、4 月に最も被害規模が大きかったのは、株式会社NTTドコモによる「NTTドコモ「ぷらら」「ひかりTV」業務の委託先パソコンから最大 約529万件の個人情報が流出」の 最大 約 529 万 件だった。なんとも大規模なサプライチェーンリスクの顕在化である。

　2 位の「カジュアルファッション取り扱いアダストリアのサーバへ不正アクセス、新たに約37万件の流出が判明」は、本稿が 2 月の被害規模ワーストとして取り上げたニュースの続報である。新たに約 37 万件が積み増されている。

　1 位、2 位の影に隠れてしまいがちだが、3 位の「「エン転職」にパスワードリスト型攻撃、255,765名分のWeb履歴書に不正ログインされた可能性」の 255,765 名も小さくない数字である。不正ログイン被害があったのは、2000 年から現在までに「エン転職」に登録された Web 履歴書と、なんと 20 年以上の個人情報が対象である。老舗だからこその規模である。

【 2023 年 4 月ワーストトップ 3 】
3 位：「エン転職」にパスワードリスト型攻撃、255,765名分のWeb履歴書に不正ログインされた可能性
原因：不正アクセス
件数：255,765 名
https://scan.netsecurity.ne.jp/article/2023/04/04/49157.html

2 位：カジュアルファッション取り扱いアダストリアのサーバへ不正アクセス、新たに約37万件の流出が判明
原因：不正アクセス
件数：1,414,751 件
https://scan.netsecurity.ne.jp/article/2023/04/06/49175.html

1 位：NTTドコモ「ぷらら」「ひかりTV」業務の委託先パソコンから最大 約529万件の個人情報が流出
原因：不正アクセス
件数：最大 約 529 万 件
https://scan.netsecurity.ne.jp/article/2023/04/04/49156.html

●よく読まれた記事

　4 月の記事閲覧数ベスト 3 は下記の通りである。こちらも1位は「NTTドコモ「ぷらら」「ひかりTV」業務の委託先パソコンから最大 約529万件の個人情報が流出」となった。

【 2023 年 4 月閲覧数ベスト 3 】
3 位：マイナンバーカードの申請者50名の個人情報記載された帳票を誤交付、報道機関からの情報提供で発覚
5,469 ページビュー
https://scan.netsecurity.ne.jp/article/2023/04/10/49182.html

2 位：「強制BCCシステム」停止 メールアドレス 652 件流出、ライセンス更新怠る
12,057 ページビュー
https://scan.netsecurity.ne.jp/article/2023/04/13/49206.html

1 位：NTTドコモ「ぷらら」「ひかりTV」業務の委託先パソコンから最大 約529万件の個人情報が流出
12,309 ページビュー
https://scan.netsecurity.ne.jp/article/2023/04/04/49156.html

●クレジットカード情報漏えい事故一覧

　次はクレジットカードの情報漏えいである。公表された漏えい件数／漏えい可能性のある件数を並記する。4 月は 4 件のカード情報漏えい事件が本誌公式メルマガに掲載された。なお、下記に取り上げている件数はカード情報のみである。

　カード情報漏えいは、Web サイトの脆弱性を突いてペイメントアプリケーションの改ざんが行われた事案が大多数を占めているが、今回、取り上げた日本盛株式会社はそれとは異なるものであった。なんと電話注文があった一部顧客のカード情報を記載した注文書やメモの画像がランサムウェアで暗号化されたデータの中に含まれており、漏えいした可能性があるというのだ。何故この情報を電子化して保存したのか。ひとつだけ言えることは平成昭和の時代ならば良心的な仕事ぶりと言えたのは間違いないということである。

日本盛へのランサムウェア攻撃 カード情報漏えい可能性 運用の不備
件数：23 名
https://scan.netsecurity.ne.jp/article/2023/04/06/49174.html

「ECサイト ベビーランド」への不正アクセスで5,246名のカード情報が漏えい
件数：5,246 名
https://scan.netsecurity.ne.jp/article/2023/04/03/49148.html

「FRAGRANCYオンラインショップ」への不正アクセスで個人情報とカード情報が漏えい
件数：4,387 名
https://scan.netsecurity.ne.jp/article/2023/04/04/49154.html

「TRINUS STORE」への不正アクセスでカード情報が漏えい、「Adminer」の設置でDB内の顧客情報も被害の可能性
件数：402 名
https://scan.netsecurity.ne.jp/article/2023/03/03/49004.html

● 4 月の懲戒案件

　4 月は情報漏えいに伴う懲戒処分のニュース記事が 1 件あった。

　三重県の紀南福祉事務所及び紀北福祉事務所で職員が、公文書の保存期間に対する認識が誤っていたことが原因で保存期間満了前の公文書ファイルを廃棄したというものだ。誤廃棄は二回目だったということである。思い込みは恐ろしい。

保存期間満了と思い公文書ファイル二度目の誤廃棄、71歳女性職員に戒告の懲戒処分
https://scan.netsecurity.ne.jp/article/2023/04/12/49198.html