今日もどこかで情報漏えい 第8回「2023年1月の情報漏えい」

　今日もどこかで情報漏えいは起きている。

　大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

　本稿は「万延元年のフットボール」「2001年宇宙の旅」という二つの名著にちなんで「○○年の情報漏えい」と副題がつけられており、大事なものを見落としたかもしれない過去に思いを馳せる意図で、前の月に配信した本誌公式メルマガに掲載された事故・インシデント記事について、件数で見た被害規模が大きい順の「月間ワースト 3」、そして「記事閲覧数ベスト 3」、情報漏えい被害でも特にエンドユーザーに影響がある「クレジットカード情報漏えい」など、複数の角度から「 202x 年 n 月の情報漏えい」をふりかえり、そして馳せる（「 202x 年 n 月」は誤記載ではなく、凡例としてこう記している）。

　なお、あくまで本誌が記事として取りあげ掲載した事故・インシデントが対象となるため、（1）日本国内で発生した事象をすべて網羅している訳ではないこと、及び集計の実務的理由によって n 月に配信した公式メルマガに掲載された事故・インシデントを対象としているため、たとえば前月の下旬に公表された事故・インシデントについて言及されていたり（例： n 月のふり返りに n - 1 月の事象が出てくる）、あるいはあまりこういうことを記事の冒頭で申し上げることは大いに憚られるのだが、いわゆる編集部の「補足漏れ」などによって記事にすることが遅れた等の理由から、（2）ピックアップされる事故・インシデントの発生あるいは公表年月日が、当該月のついたちから末日までとは必ずしもなっていない、このふたつの点をあしからずご了承いただきたい。

●インシデント原因内訳

　さて、2023 年 1 月に取り上げた事故・インシデント記事は 2022 年 12 月の 49 本から 10 本多い全 59 本だった。1 月に取り上げた記事の原因の最多は「不正アクセス」で 36 件（ 61.0 ％）を占め、次いで「紛失」が7 件（ 11.9 ％）、「システム管理上のミス」が 5 件（ 8.5 ％）と続いている。

情報漏えい原因別記事一覧：不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧：メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧：設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

　なお、上記の数値をもって「 n 月は『○○』が原因による事故・インシデントが多かった」等の判断をすることは正しくない。なぜなら本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性がある、なんらかの事故を減らすための示唆がその情報の中に含まれている、という推定が行われており、取捨選択に明確な編集方針があるからである。

●被害規模ワースト

　さて、1 月で最も被害規模が大きかったのは、アフラック生命保険株式会社による「アフラック「新がん保険」「スーパーがん保険」「スーパーがん保険Vタイプ」加入者情報漏えい、1月7日に外部業者に不正アクセス」の 132 万 3,468 人だった。2 位も同業となるチューリッヒ保険会社の「チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害」が最大 75 万 7,463 人と、こちらも大規模で、両社ともに情報漏えいサイトに顧客情報が掲載されていた。

　アフラックは 1 月からいきなり 100 万の大台を突破しており 2023 年の情報漏えいオブザイヤーがいきなり登場したと言っても過言ではない。参考までに 2022 年に 100 万件超のインシデントはトップ 2 のみであった。共同利用の個人情報を誤ってデータ送信した操作ミスと、フリマアプリへの不正アクセスである。

参考：今日もどこかで情報漏えい 第7回「2022年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」
https://scan.netsecurity.ne.jp/article/2023/01/19/48792.html

　なお 1 月は、被害件数ワースト 3 全てを不正アクセス事案が占めてもいる。

【 2023 年 1 月ワーストトップ 3 】
3 位： ならコープにサイバー攻撃、組合員の個人情報が流出した可能性を完全に否定できず
原因：不正アクセス
件数：48 万 9,085 人
https://scan.netsecurity.ne.jp/article/2023/01/23/48809.html

2 位： チューリッヒ「スーパー自動車保険」加入者の情報が漏えい、外部委託業者が不正アクセス被害
原因：不正アクセス
件数：最大 75 万 7,463 人
https://scan.netsecurity.ne.jp/article/2023/01/12/48756.html

1 位：アフラック「新がん保険」「スーパーがん保険」「スーパーがん保険Vタイプ」加入者情報漏えい、1月7日に外部業者に不正アクセス
原因：不正アクセス
件数：132 万 3,468 人
https://scan.netsecurity.ne.jp/article/2023/01/12/48758.html

●よく読まれた記事

　次に 1 月の記事閲覧数ベスト 3 は下記の通りである。1 位となった「奈良県総合医療センター職員のインスタグラムが乗っ取り被害」では、職員のインスタグラムの投稿内容に他人の写真を追加するなどの加工がされたという。

【 2023 年 1 月閲覧数ベスト 3 】
3 位：富士通 FENICS のネットワーク機器に不正な通信、「ニフクラ レンタルサーバー」にも影響
2,002 ページビュー
https://scan.netsecurity.ne.jp/article/2023/01/10/48737.html

2 位：富士通 FENICS のネットワーク機器に不正な通信、TKC 提供メールサービスに影響も
2,377 ページビュー
https://scan.netsecurity.ne.jp/article/2022/12/29/48712.html

1 位：奈良県総合医療センター職員のインスタグラムが乗っ取り被害
5,063 ページビュー
https://scan.netsecurity.ne.jp/article/2023/01/11/48748.html

●クレジットカード情報漏えい

　次はクレジットカードの情報漏えいである。公表された漏えい件数／漏えい可能性のある件数を並記する。1 月は 5 件のカード情報漏えい事件が本誌公式メルマガに掲載された。そのうち 3 件が、2022 年 11 月にも取り上げた株式会社ショーケースへの不正アクセスを発端とする漏えいであった。11 月で一段落したかに見えたが、ユーザーからみればいわば“第二波”襲来である。

「つの食品webショップ」へ不正アクセスでカード情報漏えい、1ヶ月で調査終了 スピード公表
件数：2, 086 名
https://scan.netsecurity.ne.jp/article/2022/12/29/48711.html

化粧品取り扱い 旧「SHIGETA PARIS公式オンラインストア」に不正アクセス、7,024名のカード情報流出
件数：7,024 名
https://scan.netsecurity.ne.jp/article/2023/01/17/48779.html

ショーケース社への不正アクセス、「カバーマーク公式オンラインショップ」でもカード情報漏えい
件数：2, 259 件
https://scan.netsecurity.ne.jp/article/2023/01/16/48776.html

ショーケース社への不正アクセス、長寿乃里運営「あっとよか」でもカード情報が漏えい
件数：37 件
https://scan.netsecurity.ne.jp/article/2023/01/25/48818.html

ショーケース社への不正アクセス、レンタルWi-Fi「e-ca公式サイト」でもカード情報が漏えい
件数：15 名
https://scan.netsecurity.ne.jp/article/2023/01/20/48798.html

　余談だがショーケース社のサービスを利用していたカバーマーク社のリリースは、細かく分割された画像ファイルとなっていた（註）。情報漏えい等のセキュリティ事故に伴うリリースが JPEG 画像になっている怪現象は日頃見かける光景だが、新種出現である。

（註：記事掲載当時少なくとも 6 つ以上の png ファイルに分割して掲載されていた同社リリースだが 2023 年 2 月 21 日 22 時現在、通常のHTMLファイルとして公開されており、変更がなされたタイミングは定かではないが 1 月 17 日 (火) 20:35 時点で HTML ファイルに変更されていたことは判明している）

　2022 年 11 月の振り返りでも触れたが、漏えいの原因となったショーケース社のプレスリリースでは、不正アクセスがあったことについては明言しているものの、その被害規模については記してはおらず、また、結果としてカード情報が漏えいしたことへの言及もない。下記に本件に起因するカード情報の漏えい件数の総計を求めてみる。

2022年11月記事掲載分
・エービーシーマート：2,298 件
・出光クレジット：件数記載なし
・富士フイルムイメージングシステムズ「フジフイルムモール」：519 件
・富士フイルムイメージングシステムズ「FUJIFILMプリント＆ギフト」：851 件
・ユーキャン：200 件
・カクヤス：8,094 件
・エスビー食品：164 件
・日本出版販売：424 件

2023年1月記事掲載分
・カバーマーク株式会社：2, 259 件
・株式会社 長寿乃里：37 件
・ベストリンク株式会社：15 名
―――――――――――
Σ＝ 14,861 件

　漏えいしたカード件数の総数は 2022 年 11 月時点での 12,550 件から 2,311 件増えた 14,861 件となった。

● 1 月の「二度見案件」～ リリースはどこへ消えた？

　筆者は仕事柄、平日は毎日 10 数件、あるいは 20 件を超える情報漏えいや不正アクセスの報告書やリリースを精読している。そんな筆者が思わずリリースを二度見してしまう案件が存在しており、1 月に関してもそんなインシデントを幾つか取り上げてみたい。

　前半ふたつはケアレスミスが偶発的に生む独創性であり、インシデント発生においてはどんなことも起こりうることを感じさせてくれる。

　まずは誤送信事案から見てみよう。1 件目は、「ダブルチェックもれた理由は件名欄にメールアドレス記載、再犯防止の研修会で案内メール誤送信」だ。タイトル通り、メール作成時に誤って件名欄にメールアドレスを入力してしまったというものだ。誤送信でよくあるのは BCC 欄と間違えて TO 欄、または CC 欄にアドレスを入力してしまったというものだが、間違って件名欄に入力というのはありそうで無かった原因である。件名欄はアドレスを入力する場所では無い、そんな常識、人間のケアレスミスの前には通用しない。

ダブルチェックもれた理由は件名欄にメールアドレス記載、再犯防止の研修会で案内メール誤送信
https://scan.netsecurity.ne.jp/article/2023/01/27/48839.html

　2 件目の誤送信事案として「Cc欄でなくTo欄にメールアドレスを入力、1ヶ月後に訂正報告」を挙げよう。これこそよくある、BCC 欄ではなく TO 欄にアドレスを入力したというものだが、この報告の素晴らしいところは、「2022 年 11 月 11 日の公表時にはメールアドレスを CC 欄に入力した、と発表していたが実は To 欄に入力していました。正確な発表でなくて申し訳ない」と言わんばかりに、わざわざ 1 ヶ月も経った 12 月 15 日に、訂正情報を発信していることだ。TO 欄でも CC 欄でも被害に差が出るわけではないが、こうして報告の正確さを重視した姿勢には感じ入るものがあった。

　そもそも情報漏えい事故のリリースの多くは（近年減りつつはあるものの）エンドユーザーやステークホルダーだけでなく、社会まで馬鹿にしているのかと思うような木で鼻をくくったような内容のものすら少なくない。そんな中で「実は CC ではなくて TO だったんだ。ごめんな」と語るかのような誠実な本リリースは、少なからず筆者の心に響いたと言わざるをえない。

　考えるに CC に誤って入力するよりも TO に誤って入力する方が、作業実施者のリテラシーは確かに後者の方がより低い気がしないでもない。もし 2022 年 11 月 11 日から 12 月 15 日の間にその可能性に気づいたのだとしたら、そこには真摯な反省と成長への足がかりがあるかもしれない。本事案は「再犯防止研修会」で起こった誤送信だが、誤送信が今後再発する可能性は、ひょっとしたら低いかもしれない。

Cc欄でなくTo欄にメールアドレスを入力、1ヶ月後に訂正報告
https://scan.netsecurity.ne.jp/article/2023/01/06/48728.html