今日もどこかで情報漏えい 第7回「2022年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」 | ScanNetSecurity
2023.02.03(金)

今日もどこかで情報漏えい 第7回「2022年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」

監視資本主義時代の人間は、情報漏えい事故で過去をふり返るという習慣を知らず知らず身につけつつある。誠に嫌な時代になった。

インシデント・事故
今日もどこかで情報漏えい 第7回「2022年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」
  • 今日もどこかで情報漏えい 第7回「2022年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」

 今日もどこかで情報漏えいは起きている。

 大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

 今回は 2023 年最初の月の特別編として、昨年記事として配信したセキュリティインシデントや情報漏えい、各種事件事故に関連する記事のうち、被害件数ワースト 10、そして 2022 年に最も読まれた記事ランキング等をページビュー数の実数とあわせて紹介する。セキュリティ管理者や経営管理層の方の年次報告書等作成時の、参考情報として活用いただきたい。

●インシデント原因内訳

 2022 年に取り上げたセキュリティ事故やインシデント記事の総件数は 568 本であった。ちなみに 568 本すべてを筆者が執筆した。参考までに 2021 年は 639 本である。すべてを筆者が執筆した。2020 年 514 本すべて筆者が執筆。2019 年 675 本すべて筆者が執筆…(以下略)。

 2022 年に取り上げたインシデント記事の原因についても見てみたい。2022 年に取り上げた記事の最多は「不正アクセス」が 369 件( 65 %)を占め、次いで「誤送信ほか操作ミス」が76 件( 13 %)、「システム管理上のミス」が 49 件( 9 %)と続いている。

 これは毎回のくり返しになるが、上記の数値をもって「202x 年は『○○』が原因による事故・インシデントが多かった」等の判断はできない。本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性がある、なんらかの事故を減らすための示唆がその情報の中に含まれている、という推定が行われており、取捨選択に明確な編集方針があるからである。

 すなわち不正アクセスは優先的に取り上げ、またクレジットカードの情報漏えいも同様である。反対に USB メモリ紛失やメール誤送信などは、管理者の想定の斜め上をいくような原因であったり、一般的に知られていない発生プロセスを経たような、ある意味オリジナリティの高い事案でなければ記事にはならない。

●被害規模ワースト

 さて、2022 年で最も被害規模が大きかったのは、株式会社SODA のフリマアプリ「SNKRDUNK」への不正アクセスによる顧客情報流出(の可能性)の 275 万 3,400 件だった。同社運営サービスへの不正なリクエストに対し DB データを含めたレスポンスを返したことで、一部顧客の氏名、生年月日、メールアドレス、住所、電話番号、購入情報、口座情報、パスワード(ハッシュ化された状態)を含む個人情報が漏えいした可能性があるという。2022 年において漏えい件数 200 万件超えは本事案のみ。

 2022 年に被害が発生した(あるいは発生した可能性がある)、件数によるワースト 10 は下記の通りである。10 件中 7 件を「不正アクセス」が占めた。

【 2022 年 被害件数ワースト 10 】

10 位: 日能研WebサイトにSQLインジェクション攻撃、28万件のメールアドレス流出
原因:不正アクセス
件数:最大 28 万 106 件
https://scan.netsecurity.ne.jp/article/2022/02/01/47051.html
 進学塾大手の公式 Web サイトが SQL インジェクション攻撃脆弱性を看過。保護者はセキュリティやプライバシーより「合格率」か。

9 位: トヨタ「T-Connect」登録情報が漏えいの可能性、GitHub上でデータサーバーへのアクセスキーを公開
原因:システム管理上のミス
件数:29 万 6,019 件
https://scan.netsecurity.ne.jp/article/2022/10/11/48309.html
 「T-Connect」開発委託先企業が取り扱い規則に反しソースコードの一部を誤って公開設定のままGitHubアカウントへアップロードしたことが原因。

8 位: 「キャリタス資格検定」のサーバへのSQLインジェクションによる不正アクセス、最大298,826件のメールアドレスが漏えい
原因:不正アクセス
件数:最大 29 万 8,826 件
https://scan.netsecurity.ne.jp/article/2022/08/05/48018.html
 さまざまな資格とその申込等を紹介する資格のポータルサイト。海外から SQLインジェクションの脆弱性を突かれた。同サイトの資格一覧には情報セキュリティ関連資格も散見された。

7 位: ダイナムジャパンホールディングスのサーバにランサムウェア攻撃、情報流出の可能性を否定できず
原因:不正アクセス
件数:33 万 4,690 件
https://scan.netsecurity.ne.jp/article/2022/11/11/48479.html
 9 月 2 日に不正アクセスを把握し、第一報を 9 月 14 日に、明確に流出が確認された件数を含む第二報を 9 月 30 日に、第三報を 11 月 1 日に公表したのは、ユーザーやステークホルダーに顔を向けた迅速な情報共有。

6 位: 尼崎市全市民の住民基本台帳を記録したUSBメモリ、再々委託先が紛失
原因:紛失
件数:46 万 517 人
https://scan.netsecurity.ne.jp/article/2022/06/30/47819.html
 情報漏えい事故のインパクトは、流出情報の機微度・深刻度と、件数=規模によって決まるが、「ひとつの自治体まるごと」「全市民の情報紛失」という点で強い印象を残したインシデント。その後、ベンダーと自治体それぞれから報告書が出されており、それぞれの報告書の書きっぷりも大いに話題となった。一種高村薫的な「精緻な露悪的文章」が連ねられており必読。

5 位: メタップスペイメントへの不正アクセス、半年間にわたる複合的な攻撃で460,395件のカード情報他が流出
原因:不正アクセス
件数:46 万 1,026 件
https://scan.netsecurity.ne.jp/article/2022/03/01/47211.html
 前年暮れからユーザー企業によって騒がれはじめようやく 2 月末に調査報告書が出された。

4 位: ディスクユニオンのオンラインショップで最大約70万件の個人情報が漏えいした可能性
原因:不正アクセス
件数:最大約 70 万 1,000 件
https://scan.netsecurity.ne.jp/article/2022/07/01/47832.html
 音楽ファンにおなじみの同社が運営するふたつのオンラインショップが被害にあった可能性が報告された。

3 位: Emotet感染でメールアドレス95,393件が流出の可能性、新たにドメインも取得
原因:不正アクセス
件数:95 万 3,239 件
https://scan.netsecurity.ne.jp/article/2022/05/11/47574.html
 Emotet 感染端末から流出した可能性のあるデータとして、メール総数 857,846 件、メールアドレス 95,393 件と記載されている。具体的数値が報告されることは少なく貴重な情報。

2 位:JFRグループで共同利用の個人情報、対象外の項目を誤ってデータ送信
原因:誤送信ほか操作ミス
件数:191 万 3,854 人
https://scan.netsecurity.ne.jp/article/2022/12/01/48574.html
 共同利用している顧客情報 DB にデータを送信するにあたって、社内規定に定める承認プロセスを経ずに送信開始したことが原因とされている。

1 位: フリマアプリ「SNKRDUNK」に不正アクセス、275万件の顧客情報が流出した可能性
原因:不正アクセス
件数: 275 万 3,400 件
https://scan.netsecurity.ne.jp/article/2022/06/17/47759.html
 漏えいした可能性があるのは 275 万 3,400 件。パスワードはハッシュ化されていた模様。

● 2022 年に最も読まれた記事

 2022 年の記事閲覧数ベスト 10 は下記の通りである。3 位、8 位、10 位がメタップスペイメントへの不正アクセス。2 位の「MONCLER」はダウンジャケットなどの海外高級アパレルブランドである。

【 2022 年 閲覧数ベスト 10 】

10 位:メタップスペイメント「会費ペイ」「イベントペイ」への不正アクセス、不正利用が疑われるケースが複数発生
4,608 ページビュー
https://scan.netsecurity.ne.jp/article/2022/01/18/46963.html
 サービス提供元からリリースが出る前にユーザー企業から利用者向けに相次いで報告が出されたものをまとめた。「日本集中治療医学会」「NSフィットネス」の報告。メタップスペイメントからの正式な報告がなされたのは 1 月下旬。

9 位:研磨材製造のフジミインコーポレーテッドに不正アクセス、社内システム停止し生産と出荷を見合わせ
4,757 ページビュー
https://scan.netsecurity.ne.jp/article/2022/02/25/47187.html
 本社と台湾子会社への攻撃が発生。


《高杉 世界》

編集部おすすめの記事

特集

インシデント・事故 アクセスランキング

  1. チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

    チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害

  2. フルノシステムズへのSQLインジェクション攻撃、問合せ入力フォームに入力された10年分のメールアドレスが流出

    フルノシステムズへのSQLインジェクション攻撃、問合せ入力フォームに入力された10年分のメールアドレスが流出

  3. 個人情報目的外利用 佐川急便の従業員が複数の顧客に電話

    個人情報目的外利用 佐川急便の従業員が複数の顧客に電話

  4. 全日本スキー連盟の会員管理システムに不具合、管理下にない会員情報の閲覧が可能に

  5. 東証プライム上場 タカミヤグループにランサムウェア攻撃、リークサイトへの掲載確認

  6. アフラック「新がん保険」「スーパーがん保険」「スーパーがん保険Vタイプ」加入者情報漏えい、1月7日に外部業者に不正アクセス

  7. 「TOKYO FM公式ショッピングサイト」に不正アクセス、再決済要求する不審メールに注意呼びかけ

  8. 「COLORFUL CANDY STYLE 公式オンラインショップ」他2サイトへ不正アクセスでカード情報漏えい、複雑性から調査に1年要す

  9. 病院内の音声をスマホアプリで配信、懲戒処分を行うも同日中に依願退職

  10. ダブルチェックもれた理由は件名欄にメールアドレス記載、再犯防止の研修会で案内メール誤送信

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×