今日もどこかで情報漏えい 第7回「2022年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」 | ScanNetSecurity
2024.04.16(火)

今日もどこかで情報漏えい 第7回「2022年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」

監視資本主義時代の人間は、情報漏えい事故で過去をふり返るという習慣を知らず知らず身につけつつある。誠に嫌な時代になった。

インシデント・事故
今日もどこかで情報漏えい 第7回「2022年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」

 今日もどこかで情報漏えいは起きている。

 大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

 今回は 2023 年最初の月の特別編として、昨年記事として配信したセキュリティインシデントや情報漏えい、各種事件事故に関連する記事のうち、被害件数ワースト 10、そして 2022 年に最も読まれた記事ランキング等をページビュー数の実数とあわせて紹介する。セキュリティ管理者や経営管理層の方の年次報告書等作成時の、参考情報として活用いただきたい。

●インシデント原因内訳

 2022 年に取り上げたセキュリティ事故やインシデント記事の総件数は 568 本であった。ちなみに 568 本すべてを筆者が執筆した。参考までに 2021 年は 639 本である。すべてを筆者が執筆した。2020 年 514 本すべて筆者が執筆。2019 年 675 本すべて筆者が執筆…(以下略)。

 2022 年に取り上げたインシデント記事の原因についても見てみたい。2022 年に取り上げた記事の最多は「不正アクセス」が 369 件( 65 %)を占め、次いで「誤送信ほか操作ミス」が76 件( 13 %)、「システム管理上のミス」が 49 件( 9 %)と続いている。

 これは毎回のくり返しになるが、上記の数値をもって「202x 年は『○○』が原因による事故・インシデントが多かった」等の判断はできない。本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性がある、なんらかの事故を減らすための示唆がその情報の中に含まれている、という推定が行われており、取捨選択に明確な編集方針があるからである。

 すなわち不正アクセスは優先的に取り上げ、またクレジットカードの情報漏えいも同様である。反対に USB メモリ紛失やメール誤送信などは、管理者の想定の斜め上をいくような原因であったり、一般的に知られていない発生プロセスを経たような、ある意味オリジナリティの高い事案でなければ記事にはならない。

●被害規模ワースト

 さて、2022 年で最も被害規模が大きかったのは、株式会社SODA のフリマアプリ「SNKRDUNK」への不正アクセスによる顧客情報流出(の可能性)の 275 万 3,400 件だった。同社運営サービスへの不正なリクエストに対し DB データを含めたレスポンスを返したことで、一部顧客の氏名、生年月日、メールアドレス、住所、電話番号、購入情報、口座情報、パスワード(ハッシュ化された状態)を含む個人情報が漏えいした可能性があるという。2022 年において漏えい件数 200 万件超えは本事案のみ。

 2022 年に被害が発生した(あるいは発生した可能性がある)、件数によるワースト 10 は下記の通りである。10 件中 7 件を「不正アクセス」が占めた。

【 2022 年 被害件数ワースト 10 】

10 位: 日能研WebサイトにSQLインジェクション攻撃、28万件のメールアドレス流出
原因:不正アクセス
件数:最大 28 万 106 件
https://scan.netsecurity.ne.jp/article/2022/02/01/47051.html
 進学塾大手の公式 Web サイトが SQL インジェクション攻撃脆弱性を看過。保護者はセキュリティやプライバシーより「合格率」か。

9 位: トヨタ「T-Connect」登録情報が漏えいの可能性、GitHub上でデータサーバーへのアクセスキーを公開
原因:システム管理上のミス
件数:29 万 6,019 件
https://scan.netsecurity.ne.jp/article/2022/10/11/48309.html
 「T-Connect」開発委託先企業が取り扱い規則に反しソースコードの一部を誤って公開設定のままGitHubアカウントへアップロードしたことが原因。

8 位: 「キャリタス資格検定」のサーバへのSQLインジェクションによる不正アクセス、最大298,826件のメールアドレスが漏えい
原因:不正アクセス
件数:最大 29 万 8,826 件
https://scan.netsecurity.ne.jp/article/2022/08/05/48018.html
 さまざまな資格とその申込等を紹介する資格のポータルサイト。海外から SQLインジェクションの脆弱性を突かれた。同サイトの資格一覧には情報セキュリティ関連資格も散見された。

7 位: ダイナムジャパンホールディングスのサーバにランサムウェア攻撃、情報流出の可能性を否定できず
原因:不正アクセス
件数:33 万 4,690 件
https://scan.netsecurity.ne.jp/article/2022/11/11/48479.html
 9 月 2 日に不正アクセスを把握し、第一報を 9 月 14 日に、明確に流出が確認された件数を含む第二報を 9 月 30 日に、第三報を 11 月 1 日に公表したのは、ユーザーやステークホルダーに顔を向けた迅速な情報共有。

6 位: 尼崎市全市民の住民基本台帳を記録したUSBメモリ、再々委託先が紛失
原因:紛失
件数:46 万 517 人
https://scan.netsecurity.ne.jp/article/2022/06/30/47819.html
 情報漏えい事故のインパクトは、流出情報の機微度・深刻度と、件数=規模によって決まるが、「ひとつの自治体まるごと」「全市民の情報紛失」という点で強い印象を残したインシデント。その後、ベンダーと自治体それぞれから報告書が出されており、それぞれの報告書の書きっぷりも大いに話題となった。一種高村薫的な「精緻な露悪的文章」が連ねられており必読。

5 位: メタップスペイメントへの不正アクセス、半年間にわたる複合的な攻撃で460,395件のカード情報他が流出
原因:不正アクセス
件数:46 万 1,026 件
https://scan.netsecurity.ne.jp/article/2022/03/01/47211.html
 前年暮れからユーザー企業によって騒がれはじめようやく 2 月末に調査報告書が出された。

4 位: ディスクユニオンのオンラインショップで最大約70万件の個人情報が漏えいした可能性
原因:不正アクセス
件数:最大約 70 万 1,000 件
https://scan.netsecurity.ne.jp/article/2022/07/01/47832.html
 音楽ファンにおなじみの同社が運営するふたつのオンラインショップが被害にあった可能性が報告された。

3 位: Emotet感染でメールアドレス95,393件が流出の可能性、新たにドメインも取得
原因:不正アクセス
件数:95 万 3,239 件
https://scan.netsecurity.ne.jp/article/2022/05/11/47574.html
 Emotet 感染端末から流出した可能性のあるデータとして、メール総数 857,846 件、メールアドレス 95,393 件と記載されている。具体的数値が報告されることは少なく貴重な情報。

2 位:JFRグループで共同利用の個人情報、対象外の項目を誤ってデータ送信
原因:誤送信ほか操作ミス
件数:191 万 3,854 人
https://scan.netsecurity.ne.jp/article/2022/12/01/48574.html
 共同利用している顧客情報 DB にデータを送信するにあたって、社内規定に定める承認プロセスを経ずに送信開始したことが原因とされている。

1 位: フリマアプリ「SNKRDUNK」に不正アクセス、275万件の顧客情報が流出した可能性
原因:不正アクセス
件数: 275 万 3,400 件
https://scan.netsecurity.ne.jp/article/2022/06/17/47759.html
 漏えいした可能性があるのは 275 万 3,400 件。パスワードはハッシュ化されていた模様。

● 2022 年に最も読まれた記事

 2022 年の記事閲覧数ベスト 10 は下記の通りである。3 位、8 位、10 位がメタップスペイメントへの不正アクセス。2 位の「MONCLER」はダウンジャケットなどの海外高級アパレルブランドである。

【 2022 年 閲覧数ベスト 10 】

10 位:メタップスペイメント「会費ペイ」「イベントペイ」への不正アクセス、不正利用が疑われるケースが複数発生
4,608 ページビュー
https://scan.netsecurity.ne.jp/article/2022/01/18/46963.html
 サービス提供元からリリースが出る前にユーザー企業から利用者向けに相次いで報告が出されたものをまとめた。「日本集中治療医学会」「NSフィットネス」の報告。メタップスペイメントからの正式な報告がなされたのは 1 月下旬。

9 位:研磨材製造のフジミインコーポレーテッドに不正アクセス、社内システム停止し生産と出荷を見合わせ
4,757 ページビュー
https://scan.netsecurity.ne.jp/article/2022/02/25/47187.html
 本社と台湾子会社への攻撃が発生。


《高杉 世界》

編集部おすすめの記事

特集

インシデント・事故 アクセスランキング

  1. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  2. マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

    マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出

  3. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  4. チラシ記載の QR コードを誤って管理者用 URL から作成、申込者の個人情報が閲覧可能に

  5. 委託事業者が回収処理した国民健康保険証、拾得物として警察署に届く

  6. 「落ちていたので」と手紙が届く ~ 中学校の教育相談アンケート票を紛失

  7. 日水コン コーポレートサイトに不正アクセス、個人情報一部流出の可能性

  8. 日本信用情報機構、第三者に信用情報を開示 ~ 本人確認書類偽造によるなりすまし

  9. 位置情報 SNS「NauNau」で個人情報が閲覧可能な状態に、子会社 代表取締役を訴訟提起

  10. レンズの受注や製造を停止 ~ HOYAグループで不正アクセスに起因する可能性が高いシステム障害

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×