今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報 | ScanNetSecurity
2024.07.24(水)

今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

 4 月に最も件数換算の被害規模が大きかったのは、株式会社エムケイシステムによる「エムケイシステムへのランサムウェア攻撃、個人情報保護委員会が行政指導」の7,496,080 人だった。

特集
今日もどこかで情報漏えい 第24回「2024年4月の情報漏えい」虎屋? ヨックモック? 千疋屋? ~「手土産」は個人情報

 今日もどこかで情報漏えいは起きている。

 大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

●インシデント原因内訳

 さて、先月 2024 年 4 月に本誌が取り上げた事故・インシデント記事は 2024 年 3 月の 48 本から 13 本増となる全 61 本だった。事故原因最多は「不正アクセス」で 42 件( 68.9 %)を占め、次いで「システム管理上のミス」が 8 件( 13.1 %)と続いている。なお、記事として取りあげるインシデントは媒体方針に基づいているため、これらの比率は全体傾向を示すものではない。

情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/

情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/

情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

●被害規模ワースト

 4 月に最も件数換算の被害規模が大きかったのは、株式会社エムケイシステムによる「エムケイシステムへのランサムウェア攻撃、個人情報保護委員会が行政指導」の7,496,080 人だった。同社が 2023 年 6 月に公表したインシデントであるが、今回の個人情報保護委員会による行政指導にあたり、同会が 2023 年 6 月 6 日から2025年3月25日までに受領したエムケイシステムを除く報告を取りまとめた数字が 7,496,080 人だが、第一報から約 9 ヶ月経って、ようやくその被害規模が明らかになった。

 3 位となった、ワークスタイルテック株式会社のクラウド労務管理「WelcomeHR」にて顧客の個人データが外部から閲覧可能な状態であった事案も興味深い。こういったサービス運営者側の誤設定が原因となるインシデントでは、あくまでも「閲覧可能な状態」であっただけで、極僅かな人のみが気付いて指摘しすぐにクローズしたというものも沢山あるが、本件では誤設定によりファイル一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者が 154,650 人分のマイナンバーカード、運転免許証、パスポート等の身分証明書や履歴書等の画像を含む個人データをダウンロードしたことが判明している。

【 2024 年 4 月 被害規模ワーストトップ 3 】
3 位:クラウド労務管理「WelcomeHR」の個人データが閲覧可能な状態に、154,650 人分のダウンロード確認
原因:システム管理上のミス
件数:162,830 人
https://scan.netsecurity.ne.jp/article/2024/04/09/50844.html

2 位:X線画像読影システムへランサムウェア攻撃、データ窃取の有無を完全に断定できず
原因:不正アクセス
件数: 約 94 万人
https://scan.netsecurity.ne.jp/article/2024/04/08/50838.html

1 位:エムケイシステムへのランサムウェア攻撃、個人情報保護委員会が行政指導
原因:不正アクセス
件数:7,496,080 人
https://scan.netsecurity.ne.jp/article/2024/04/03/50811.html

●よく読まれた記事

 4 月の記事閲覧数ベスト 3 は下記の通りである。1 位は「山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化」が( SCAN としては圧巻の) 1 万ページビュー超えで文句なしの 1 位であった。3 位には最近は珍しくなった「SQL インジェクション攻撃」によるインシデントがランクインしている。因みに SCAN が昨年、取り上げた「SQL インジェクション攻撃」は 2 件であった。

【 2024 年 4 月閲覧数ベスト 3 】
3 位:マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出
3,380 ページビュー
https://scan.netsecurity.ne.jp/article/2024/04/12/50868.html

2 位:東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
4,316 ページビュー
https://scan.netsecurity.ne.jp/article/2024/04/15/50877.html

1 位:山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
11,424 ページビュー
https://scan.netsecurity.ne.jp/article/2024/04/11/50860.html

●クレジットカード情報漏えい事故一覧

 4 月は 1 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。カード情報以外にも、サイトオープンから 2023 年 11 月 13 日までに「マルカワみそ公式サイト」で購入した顧客、またはマイページで登録した顧客 89,673 名の個人情報が漏えいしている。

「マルカワみそ公式サイト」に不正アクセス、4,851名分のカード情報が漏えい
件数:4,851 件
https://scan.netsecurity.ne.jp/article/2024/04/09/50842.html

● 4 月の懲戒・損害賠償案件

 4 月は情報漏えいに伴う逮捕、懲戒処分、行政指導にまつわるニュース記事が 8 件もあった。今月もお腹いっぱいで胸焼けしそうである。


《リーク・東郷》

編集部おすすめの記事

特集

特集 アクセスランキング

  1. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

  2. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  3. 神奈川県警現役サイバー犯罪捜査官へ5つの質問

    神奈川県警現役サイバー犯罪捜査官へ5つの質問

  4. きみに読んでほしい3冊:セキュリティブックガイド 第二回 MBSD診断チーム「セキュリティ診断部門新人向け」

  5. 日本プルーフポイント増田幸美のセキュリティ情報プレゼンテーション必勝ノウハウ

  6. [インタビュー] 日本の総合セキュリティ企業の強味を生かした標的型攻撃対策(トレンドマイクロ)

  7. Non State Actor 図鑑(6)ニセ情報拡散に貢献「ファクトチェック機関」

  8. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  9. 現役ペンテスト技術者が選ぶ 使えるセキュリティツール(26) 「パスワードをリカバリーする −Cain & Abel」

  10. 朝日新聞で書ききれなかった「あの話」 第1回:日本年金機構へのサイバー攻撃(2015年)(1)取材ノート

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×