今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
本稿は「1973年のピンボール」「1976年のアントニオ猪木」「万延元年のフットボール」という三つの名著にちなんで「○○年の情報漏えい」と副題がつけられており、大事なものを見落としたかもしれない過去に思いを馳せる意図で、前の月に配信した本誌公式メルマガに掲載された事故・インシデント記事について、件数で見た被害規模が大きい順の「月間ワースト 3」、そして「記事閲覧数ベスト 3」、情報漏えい被害でも特にエンドユーザーに影響がある「クレジットカード情報漏えい」など、複数の角度から「 202x 年 n 月の情報漏えい」をふりかえり、そして馳せる(「 202x 年 n 月」は誤記載ではなく、凡例としてこう記している)。
また、月によって異なるが「懲戒案件」「報告のプレスリリースを JPEG 画像などで公開している案件」も適宜掲載する。
なお、あくまで本誌が記事として取りあげ掲載した事故・インシデントが対象となるため、(1)日本国内で発生した事象をすべて網羅している訳ではないこと、及び集計の実務的理由によって n 月に配信した公式メルマガに掲載された事故・インシデントを対象としているため、たとえば前月の下旬に公表された事故・インシデントについて言及されていたり(例: n 月のふり返りに n - 1 月の事象が出てくる)、あるいはあまりこういうことを記事の冒頭で申し上げることは大いに憚られるのだが、いわゆる編集部の「補足漏れ」などによって記事にすることが遅れた等の理由から、(2)ピックアップされる事故・インシデントの発生あるいは公表年月日が、当該月のついたちから末日までとは必ずしもなっていない、このふたつの点をあしからずご了承いただきたい。
●インシデント原因内訳
さて、2023 年 8 月に取り上げた事故・インシデント記事は 2023 年 7 月の 76 本から28 本減となる全 48 本だった。8 月に取り上げた記事の事故原因最多は「不正アクセス」で 25 件( 52.1 %)を占め、次いで「システム管理上のミス」が 7 件( 14.6 %)、「誤送信ほか操作ミス」が 5 件( 10.4 %)と続いている。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
なお、上記の数値をもって「 n 月は『○○』が原因による事故・インシデントが多かった」等の判断をすることは正しくない。なぜなら本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性がある、なんらかの事故を減らすための示唆がその情報の中に含まれている、という推定が行われており、取捨選択に明確な編集方針があるからである。
●被害規模ワースト
さて、8 月に最も件数換算の被害規模が大きかったのは、株式会社HUGE による「レストラン会員制ポイントシステム「The HUGE CLUB」に不正アクセス、個人情報流出の可能性を完全に否定することは難しいと判断」の 96,938 人だった。普通に考えると約 10 万人という数字は大きい規模であるのだが、先月の株式会社出前館による 924 万件という途方もない数字と比べてしまうと、桁が二つも下がり 1 % 程度の値になった。ジンバブエもびっくりのデノミである。
3 位の「チエル「ExtraConsole ID Manager」システムプログラムに個人情報混入、36 の教育委員会・大学に展開」は原因を「その他」に分類しているが、これまでに例を見ない事案であったので紹介してみたい。
本事案は、ネットワンシステムズ株式会社が葛飾区から受託した学校教育総合システム案件のメーカーサポート先であるチエル株式会社の ID 連携システム「ExtraConsole ID Manager」のシステムプログラムに、葛飾区立の小学校児童及び中学校生徒の個人情報が混入したというものだ。
何故、個人情報が混入してしまったかというと、チエルで 2021 年 1 月に ExtraConsole ID Manager の不具合対応のためメンテナンス作業を行った際に、児童及び生徒の個人情報が含まれたファイルが修正後のシステムプログラムに残存していたがこれに気付けず、本件修正後にプログラムを自社へ持ち出し、その後 2021 年 1 月から 2023 年 4 月にかけて、最大で 36 の教育委員会・大学(ユーザー団体)の ID 連携システムに適用させてしまい、その結果 ExtraConsole ID Manager で当該個人情報を閲覧することができるようになってしまったというのだ。本リリースを精読した時、筆者の脳裏にはなぜか、手塚治虫の「ブラック・ジャック」で患者の体内にメスを置き忘れてしまうエピソードが浮かんだ。
【 2023 年 8 月 被害規模ワーストトップ 3 】
3 位:チエル「ExtraConsole ID Manager」システムプログラムに個人情報混入、36の教育委員会・大学に展開
原因:その他
件数:23,508件
https://scan.netsecurity.ne.jp/article/2023/08/01/49752.html
2 位:「倉敷帆布オンラインストア」に不正アクセス、8,655名のカード情報漏えいの可能性
原因:不正アクセス
件数:40,869名
https://scan.netsecurity.ne.jp/article/2023/08/24/49859.html
1 位:レストラン会員制ポイントシステム「The HUGE CLUB」に不正アクセス、個人情報流出の可能性を完全に否定することは難しいと判断
原因:不正アクセス
件数:96,938人
https://scan.netsecurity.ne.jp/article/2023/08/25/49865.html
●よく読まれた記事
8 月の記事閲覧数ベスト 3 は下記の通りである。鹿児島県日置市で、三人の市職員が他の職員の ID とパスワードを推測し物凄い回数の不正ログインを繰り返した記事が 142,854 ページビューという、ここ 10 年を振り返っても例を見ない途方もない数字を叩き出し 1 位となった。月間の 1 位どころか創刊以来 25 年間の 1 位である可能性も否定できないという。公務員ハッカーにして公務員アクセスブローカーとは侮れない時代になった。
![AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/44553.jpg)
