今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
本稿は「1973年のピンボール」「1976年のアントニオ猪木」「万延元年のフットボール」という三つの名著にちなんで「○○年の情報漏えい」と副題がつけられており、大事なものを見落としたかもしれない過去に思いを馳せる意図で、前の月に配信した本誌公式メルマガに掲載された事故・インシデント記事について、件数で見た被害規模が大きい順の「月間ワースト 3」、そして「記事閲覧数ベスト 3」、情報漏えい被害でも特にエンドユーザーに影響がある「クレジットカード情報漏えい」など、複数の角度から「 202x 年 n 月の情報漏えい」をふりかえり、そして馳せる(「 202x 年 n 月」は誤記載ではなく、凡例としてこう記している)。
また、月によって異なるが「懲戒案件」「報告のプレスリリースをJPEG画像などで公開している案件」も適宜掲載する。
なお、あくまで本誌が記事として取りあげ掲載した事故・インシデントが対象となるため、(1)日本国内で発生した事象をすべて網羅している訳ではないこと、及び集計の実務的理由によって n 月に配信した公式メルマガに掲載された事故・インシデントを対象としているため、たとえば前月の下旬に公表された事故・インシデントについて言及されていたり(例: n 月のふり返りに n - 1 月の事象が出てくる)、あるいはあまりこういうことを記事の冒頭で申し上げることは大いに憚られるのだが、いわゆる編集部の「補足漏れ」などによって記事にすることが遅れた等の理由から、(2)ピックアップされる事故・インシデントの発生あるいは公表年月日が、当該月のついたちから末日までとは必ずしもなっていない、このふたつの点をあしからずご了承いただきたい。
●インシデント原因内訳
さて、2023 年 5 月に取り上げた事故・インシデント記事は 2023 年 4 月の 42 本から24 本増となる全 66 本だった。5 月に取り上げた記事の事故原因最多は「不正アクセス」で 30 件( 45.5 %)を占め、次いで「システム管理上のミス」が 10 件( 15.2 %)、「誤送信ほか操作ミス」が 10 件( 15.2 %)と続いている。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
なお、上記の数値をもって「 n 月は『○○』が原因による事故・インシデントが多かった」等の判断をすることは正しくない。なぜなら本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性がある、なんらかの事故を減らすための示唆がその情報の中に含まれている、という推定が行われており、取捨選択に明確な編集方針があるからである。
●被害規模ワースト
さて、5 月に最も被害規模が大きかったのは、トヨタ自動車株式会社による「顧客情報 約215万人分 10年間閲覧可 ~ トヨタ自動車 クラウド誤設定」の 約 215 万人だった。但しこの数値は 5 月時点のもので、その後の調査で約 26 万人であったと下方修正している。ユーザーや取引先を考慮した情報共有の見本である。
トヨタ自動車でのクラウド誤設定による情報漏えい、調査結果を公表(2023年6月5日)
https://scan.netsecurity.ne.jp/article/2023/06/05/49469.html
3 位の「コンタクトレンズメーカー シードへ不正アクセス、ファミリーセール商品購入者の個人情報 最大 約70,700件漏えい可能性」も、従業員やその家族、取引先向け等と対象をかなり絞ったファミリーセールでの商品購入者の情報が約 70,700 件と考えると、かなりの規模である。一般的な EC サイトの規模をはるかに超えている。
【 2023 年 5 月ワーストトップ 3 】
3 位:コンタクトレンズメーカー シードへ不正アクセス、ファミリーセール商品購入者の個人情報 最大 約70,700件漏えい可能性
原因:不正アクセス
件数:約 70,700 件
https://scan.netsecurity.ne.jp/article/2023/04/24/49254.html
2 位:クレジットカード番号を表面に印字しダイレクトメール29万件送付 ~ 三井住友カード
原因:誤送信ほか操作ミス
件数:290,771 件
https://scan.netsecurity.ne.jp/article/2023/05/24/49404.html
1 位:顧客情報 約215万人分 10年間閲覧可 ~ トヨタ自動車 クラウド誤設定
原因:システム管理上のミス
件数:約 215 万人
https://scan.netsecurity.ne.jp/article/2023/05/16/49362.html
●よく読まれた記事
5 月の記事閲覧数ベスト 3 は下記の通りである。岩手県釜石市で昨 2022 年発生した情報漏えいから約 1 年を経て公開された調査結果への関心が、電子部品大手への不正アクセスよりも僅差で数字のうえでは上回る結果となった。
【 2023 年 5 月閲覧数ベスト 3 】
3 位:村田製作所のファイルサーバへ不正アクセス、データの不正読み出し可能性
6,126 ページビュー
https://scan.netsecurity.ne.jp/article/2023/05/02/49303.html
2 位:釜石市で発生した元市職員等による情報漏えい、調査結果を発表
6,582 ページビュー
https://scan.netsecurity.ne.jp/article/2023/05/29/49426.html
1 位:クレジットカード番号を表面に印字しダイレクトメール29万件送付 ~ 三井住友カード
18,827 ページビュー
https://scan.netsecurity.ne.jp/article/2023/05/24/49404.html
●クレジットカード情報漏えい事故一覧
次はクレジットカードの情報漏えいである。公表された漏えい件数/漏えい可能性のある件数を並記する。5 月は 3 件のカード情報漏えい事件が本誌公式メルマガに掲載された。なお、下記に取り上げている件数はカード情報のみである。
PCI DSS など独自の安全管理やセキュリティ対策の基準が設けられているだけあって、カード情報漏えいの原因はペイメントアプリケーション改ざんなどの不正アクセスが多い。当月で言えば、カドヤ公式オンラインショップと Beads&Parts 通販サイトがまさにそれだった。
ところが 5 月は、カード情報漏えい界にニューウェーブがやってきた。なんと、クレジットカード発行会社でもある三井住友カード株式会社が、ダイレクトメールのおもて面の宛先に、クレジットカード番号を印字した状態で送付したというのだ。カード会社自らが会員の番号を衆目に晒すというのも前代未聞であるが、宛先欄にカード番号を印字するというのは前代未聞である。しかもその数なんと 29 万件。
![AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/44553.jpg)
