今日もどこかで情報漏えい 第18回「2023年10月の情報漏えい」千葉県のSDカード“伊達直人”

　今日もどこかで情報漏えいは起きている。

　大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

●インシデント原因内訳

　さて、2023 年 10 月に取り上げた事故・インシデント記事は 2023 年 9 月の 38 本から26 本増となる全 64 本だった。事故原因最多は「不正アクセス」で 27 件（ 42.2 ％）を占め、次いで「システム管理上のミス」が 8 件（ 12.5 ％）、「不正持ち出し」と「誤送信ほか操作ミス」が 7 件（ 10.9 ％ ）と続いている。不正持ち出しが当月急成長を遂げているのは NTTマーケティングアクトProCX 元派遣社員による情報不正持ち出しが大いに影響している。

情報漏えい原因別記事一覧：不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/

情報漏えい原因別記事一覧：メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/

情報漏えい原因別記事一覧：設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

●被害規模ワースト

　さて、10 月に最も件数換算の被害規模が大きかったのは、株式会社NTTマーケティングアクトProCX と NTTビジネスソリューションズ株式会社による「NTTマーケティングアクトProCX 元派遣社員 約900万件の顧客情報を不正に持ち出し、一部カード情報も含む」の 約 900 万件だった。 900 万とは世界最大発行部数としてギネスブックに登録された読売新聞の最盛期に匹敵する数字である。

　情報漏えいの戦国時代と言っても過言ではない 2023 年においても、数字の上では暫定 1 位の出前館の 924 万 4,553 件 と肩を並べる。出前館の数字があくまでシステム不備の対象となるアカウント数であることを考えれば、NTTマーケティングアクトProCX と NTTビジネスソリューションズは不正持ち出しであるだけに重大さは実質 No.1 だろう。

内部調査で判明、アカウント連携システムの不備で「出前館」アカウント情報が閲覧された可能性
https://scan.netsecurity.ne.jp/article/2023/07/03/49613.html

　1 位が余りにも桁外れなためどうしても見劣りしてしまうが、2 位、3 位も 10 万件を超えており、通常ならランキングの最上位となりうる数字となっている。

【 2023 年 10 月 被害規模ワーストトップ 3 】
3 位：カシオの ICT教育アプリ「ClassPad.net」開発環境データベースに不正アクセス、国内外の顧客の個人情報漏えい
原因：不正アクセス
件数：126,970 件
https://scan.netsecurity.ne.jp/article/2023/10/26/50152.html

2 位：北陸電力報告「再エネ業務管理システム」への不適切なアクセス
原因：その他
件数：200,253 件
https://scan.netsecurity.ne.jp/article/2023/10/13/50079.html

1 位：NTTマーケティングアクトProCX 元派遣社員 約900万件の顧客情報を不正に持ち出し、一部カード情報も含む
原因：不正持ち出し
件数：約 900 万件
https://scan.netsecurity.ne.jp/article/2023/10/25/50146.html

●よく読まれた記事

　10 月の記事閲覧数ベスト 3 は下記の通りである。1 位は「マツダへの不正アクセスで104,732件のアカウント情報が流出した可能性」の 4,728 ページビューで、9月の「神奈川県 委託事業者に不正アクセス、バックアップはなくデータ復旧困難」の 22,390 ページビューや、8月の鹿児島県日置市での「全員懲戒 ～ 三人の市職員がのべ 967 回不正ログイン」の 142,854 ページビューというSCAN にとってのお祭りが終わり、ようやく日常が戻ってきたかのような数値であった。要は監視資本主義の創始者にして覇者 Google の「Google Discover」にニュースがピックアップされて、セキュリティ管理などとはほど遠い一般ユーザーが物見遊山的にニュースを閲覧することで 14 万などという数字が生まれる。インシデントへの感心が社会的に高まること自体は媒体の目的として悪いことではないものの、必ずしもうれしい事態ではない。

　2 位の「リコーのクラウドストレージサービス「RICOH Drive」に不正アクセス」も、多くの注目を集めた。IPA は、リコーが本件を公表した 1 週間後に、オンラインストレージの脆弱性対策について「未だ適切な対応がなされていない運用組織が多く存在している」と懸念を示していた。

IPA、オンラインストレージの脆弱性対策呼びかけ
https://scan.netsecurity.ne.jp/article/2023/10/26/50149.html

【 2023 年 10 月閲覧数ベスト 3 】
3 位：「ETC利用照会サービス」が不正ログイン被害、海外 IP アドレスから大量のアクセス
3,032 ページビュー
https://scan.netsecurity.ne.jp/article/2023/10/16/50088.html

2 位：リコーのクラウドストレージサービス「RICOH Drive」に不正アクセス
3,514 ページビュー
https://scan.netsecurity.ne.jp/article/2023/10/23/50131.html

1 位：マツダへの不正アクセスで104,732件のアカウント情報が流出した可能性
4,728 ページビュー
https://scan.netsecurity.ne.jp/article/2023/10/04/50030.html

●クレジットカード情報漏えい事故一覧

　10 月は 3 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお下記に取り上げた件数は全てカード情報のみである。

　今月の変わり種はやはり、被害規模ワーストでも取り上げた「NTTマーケティングアクトProCX 元派遣社員 約900万件の顧客情報を不正に持ち出し、一部カード情報も含む」であろう。SCAN 読者にとっては耳にタコだろうが、カード情報漏えいの大半は、ECサイトの脆弱性をついた不正アクセスでペイメントアプリケーションが改ざんされた云々というものだ。ところが本件では、元派遣社員がカード情報を含む個人情報を持ち出したということだ。稀なカード情報漏えいのケースである。

　また、対象となるのは 2 クライアントの 81 件の顧客情報とのことだが、現時点で SCAN が取り上げた NTTマーケティングアクトProCX のクライアント各社、各組織の発表ではカード情報の漏えいについて触れられたものはない。いったいどこの組織が、カード情報を持ち出されてしまったのか、気になって夜も眠れない。

カレンダーや生写真取り扱い「NICO ONLINE SHOP」へ不正アクセス 13,084件のカード情報漏えい
件数：13,084 件
https://scan.netsecurity.ne.jp/article/2023/10/20/50124.html

社会人教育「MHJストア」に不正アクセス、23,309名のカード情報漏えいの可能性
件数：23,309 名
https://scan.netsecurity.ne.jp/article/2023/10/20/50123.html

NTTマーケティングアクトProCX 元派遣社員 約900万件の顧客情報を不正に持ち出し、一部カード情報も含む
件数：81 件
https://scan.netsecurity.ne.jp/article/2023/10/25/50146.html

● 10 月の懲戒・損害賠償案件

　10 月は情報漏えいに伴う逮捕、懲戒処分、行政指導のニュース記事が 5 件と豊作であった。日本山村硝子から機密情報を持ち出した元社員は、逮捕に先立って 2022 年 11 月に懲戒解雇処分も行われている。

　また、鹿児島県薩摩川内市では、水道局の職員が市民の個人情報を業務外で不適切に閲覧したことで戒告処分が行われている。情報を持ち出すのは論外だが、閲覧するだけでももちろんアウトである。

2022年11月に懲戒解雇された日本山村硝子の元社員を逮捕
https://scan.netsecurity.ne.jp/article/2023/10/19/50118.html

兼松の元従業員、不正競争防止法違反容疑で逮捕
https://scan.netsecurity.ne.jp/article/2023/10/05/50033.html

水道局職員 市民の個人情報を不適切閲覧 戒告の懲戒処分
https://scan.netsecurity.ne.jp/article/2023/10/19/50116.html

北陸電力報告「再エネ業務管理システム」への不適切なアクセス
https://scan.netsecurity.ne.jp/article/2023/10/13/50079.html

デジタル庁と国税庁に行政指導 ～ 公金受取口座の誤登録事案
https://scan.netsecurity.ne.jp/article/2023/10/11/50059.html

● 10 月の「画像」リリース他

　筆者のように毎日何件もの漏えいに関するリリースを精読していると、新製品・新サービスの発売等の通常のお知らせはテキストで公開するのに、情報漏えいについてのお詫び文書だけは何故か画像ファイルで公開するという怪しい現象をまれに目撃する。ここではそんな珍現象を備忘録として紹介する。

　先月に引き続き 10 月も 0 件と寂しい限りだ。SCAN で取り上げていない情報をお持ちの方は https://www.iid.co.jp/contact/media_contact.html?recipient=scan への連絡をお待ちしている。

●「日本警察が要求に従わない場合は…」

　SCAN では数多くのランサムウェア感染記事を取り上げているが、被害組織が脅迫内容について具体的に触れることはあまり多くはないため、公表された場合は出来るだけ紹介するようにしている。

　仕事旅行社への攻撃については、ランサムウェアであると明言はしていないが、攻撃者から同社に「弊社と日本警察が一定の要求に従わない場合『データが公開される』」とメールで連絡があったという。「日本警察」という、まるで子供向けドラマを見ているような言葉遣いが堪らない。

仕事旅行社のサーバに不正アクセス「日本警察が要求に従わない場合データ公開」
https://scan.netsecurity.ne.jp/article/2023/09/28/50002.html

● 今月の情報漏えいヒヤリハット

　ところで、情報漏えい事故のリリースを 1 日 10 件以上精読していると、誰もがうっかりやってしまいそうな操作ミスを毎週のように発見する。ここで共有することで自らへの戒めとしたい。

　情報漏えいの鉄板ネタで、しかも、その原因が BCC 送信ではなく TO 送信（または CC 送信）してしまうメール誤送信はサイバーセキュリティの有史以来ずっと続いているが、これまでありそうでなかった事件を 10 月に取り上げた。埼玉県立特別支援学校坂戸ろう学園のスクールバス運行業務を受託している丸大観光の添乗員が、業務用携帯電話の操作を誤り、41 件のメールアドレスが表示される状態でメールを一斉送信したというものだが、携帯電話からのメール誤送信（を公表した）というのはこれまでなかったケースである。

スクールバス添乗員、業務用携帯電話からメール誤送信
https://scan.netsecurity.ne.jp/article/2023/10/11/50057.html

　タッチする場所を間違えた、手が思わぬところに触れてしまった等の誤操作はよくある話だ。業務上、携帯電話からメール送信する場合はパソコン以上に気をつけるべきかもしれない。

　誤送信についてもう一つ、三重県宇治山田高校での個人メールアドレスの再漏えいについて紹介したい。三重県のリリースそのままの「個人メールアドレスの "再" 漏えい」というワード自体がとても目を引く。和月伸宏の「武装錬金」に、そもそも一度しかできない殺すという行為を再度同じ相手に行う「再殺」という言葉が出てくるが、メール誤送信はそれと違って、そう何度も繰り返すものではない。「"再" 漏えい」という言葉には、「再殺」にも通じる不可解さを感じた。（※因みに「再殺」の元ネタは大槻ケンヂの小説とのことである）

　肝心の "再" 漏えいに至る経緯だが、同校の教頭がメール誤送信をした後日、メール機能について十分に理解しないままに、誤送信メールを削除する目的で「メッセージの取り消し」機能を使用したところ、同機能では送信済みのメールは削除できないため、誤送信メールの送信先全員に「このメールを取り消します」というメッセージが自動的に送信されたとのことだ。これが「個人メールアドレスの "再" 漏えい」の顛末である。よく分からない機能については、機能名称を信じて無闇に実行せずに、どのような効果があるか確認してから行うようにしたい。

教頭 理解不足「メッセージ取消」機能 メールアドレス再度漏えい
https://scan.netsecurity.ne.jp/article/2023/10/17/50099.html

　鹿児島県鹿児島市が公表した電話対応時の個人情報の漏えいも興味深い。A 市役所 B 課 ○○ を名乗る者から鹿児島市市民税課に確認の電話があり、相手方が対象者の具体的な情報を伝えたため、信じ切って質問に回答したというものだ。

別の市役所の職員騙る電話、市民税課職員 折り返し確認せず回答
https://scan.netsecurity.ne.jp/article/2023/10/11/50058.html

　電話での情報詐取といえば、過去には名刺管理システムの運営会社を名乗る担当者から電話とメールで連絡があり ID とパスワードを口頭でまんまと盗まれてしまうソーシャルエンジニアリング事件もあった。

名刺管理システムへの不正アクセス ～ 当の名刺管理システム会社名乗り電話とメールでIDパスワード詐取
https://scan.netsecurity.ne.jp/article/2023/04/12/49197.html

　鹿児島市では原則、電話照会には折り返しの回答としているそうだが、役所名や課名、名前まで出された上で対象者の具体的な情報について提示されたら、忙しい現場なら信じてしまいそうになる。電話での対応には気をつけたい。

　紛失ネタでも 1 件の「うっかり」を紹介する。埼玉県立大宮南高等学校で職員が課題テストを採点をした際に答案用紙 1 枚が見当たらないことに気付いたが、生徒 1 名が欠席したものと捉え、答案用紙を返却するまで紛失に気付かなかったというものだ。

高校で答案用紙紛失、採点時に気付くも生徒の欠席と捉える
https://scan.netsecurity.ne.jp/article/2023/10/11/50056.html

　筆者は大学院生時代に試験監督のバイトをしたことがあるが、テスト終了時点で出席者と答案用紙の数が一致するかの確認を必ず行っていた。

　また筆者の親族が教員をしていた際の話によれば、テスト終了後に答案用紙が 1 枚行方不明となった際に、それこそ水洗トイレの水タンクの中まで調べる捜索を行ったそうである。

　こうした経験があっただけに、答案用紙が 1 枚無いことを生徒 1 名が欠席したものと捉えた自分十分の仕事っぷりには、ずいぶんと牧歌的な学校だなと感心してしまった。ひょっとしたら決して悪い先生ではないのかもしれない。

●親切な第三者からの通報

　これは特に役所などの公的機関に多いが、個人情報を含む USB メモリや SD カードを紛失した際に、名前も名乗らず郵送してくれる伊達直人的親切な人物が全国各地に存在する。10 月も 1 件あった。（伊達 直人（だて なおと）：善意の動機のもと、匿名で寄付を行ったり、何かを贈る人物を総称するスラング）

教育委員会に郵送され発覚、小学校教諭が個人情報含むSDカード紛失
https://scan.netsecurity.ne.jp/article/2023/10/06/50045.html

　千葉市の教育委員会宛てに SD カードが郵送されたため中身を確認したところ、立小学校の教諭が個人情報を含む SD カードを紛失したことが判明したというものだ。千葉県の SD カード伊達直人。世の中捨てたもんじゃない。

　以上、駆け足で前月 2023 年 10 月の情報漏えいをふり返った。

　今月もどこかで情報漏えいは起きるだろう。

新着記事一覧：インシデント・事故
https://scan.netsecurity.ne.jp/category/incident/

新着記事一覧：不正アクセス
https://scan.netsecurity.ne.jp/special/229/recent/

新着記事一覧：個人情報漏えい
https://scan.netsecurity.ne.jp/special/1607/recent/