今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

　今日もどこかで情報漏えいは起きている。

　大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

●インシデント原因内訳

　さて、先月 2024 年 6 月に本誌が取り上げた事故・インシデント記事は 2024 年 5 月の 39 本から 8 本増となる全 47 本だった。事故原因最多は「不正アクセス」で 31 件（ 66.0 ％）を占め、「システム管理上のミス」が 5 件（ 10.6 ％）、「紛失」が 4 件（ 8.5 ％）と続いている。なお、記事として取りあげるインシデントは媒体方針に基づいているため、これらの比率は全体傾向を示すものではない。

情報漏えい原因別記事一覧：不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/

情報漏えい原因別記事一覧：メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/

情報漏えい原因別記事一覧：設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

●被害規模ワースト

　6 月に最も件数換算の被害規模が大きかったのは、積水ハウス株式会社による「積水ハウス Net オーナーズクラブにサイバー攻撃、現在は運用していないページのセキュリティ設定に不備」の 82 万 8,168 人 だった。前月の株式会社イズミの最大 778 万 4,999 件という途方もない数字に比べると、桁が一つ落ちてしまうことになったが、それでも 82 万 8,168 人は膨大な数である。内訳を見てみると、漏えいが確定した・可能性がある顧客情報の合計が 57 万 2,384 名とあるが、こんなにも積水ハウス Net オーナーズクラブ会員がいまの日本に居ることに、（ローンが組めない）賃貸住まいの筆者は驚いた。

　2 位の短期人材サービス事業を行う株式会社ネクストレベルへの不正アクセスであるが、49 万 6,119 件という件数も引けを取らない数字であるが、漏えいした情報が「ワーカー」に関する個人情報であるというのが見逃せない。因みに漏えいの発覚は、2023 年 7 月 14 日と約 1 年前だったそうだが、4 ヶ月後の 2023 年 11 月からメールアドレスを把握している「ワーカー」に通知を開始、しかし、その他の「ワーカー」への通知方法の検討に時間を要してしまったために、公表が 2024 年 5 月 24 日と約 10 ヶ月も後になってしまったとのことだ。

【 2024 年 5 月 被害規模ワーストトップ 3 】
3 位：埼玉県立学校の健康診断業務委託先にランサムウェア攻撃、データ窃取の有無を完全に断定することはできず
原因：不正アクセス
件数：264,568 名
https://scan.netsecurity.ne.jp/article/2024/05/30/51074.html

2 位：「ネクストレベル」に不正アクセス、496,119 件のワーカーの個人情報流出
原因：不正アクセス
件数：496,119 件
https://scan.netsecurity.ne.jp/article/2024/06/04/51096.html

1 位：「積水ハウス Net オーナーズクラブ」にサイバー攻撃、現在は運用していないページのセキュリティ設定に不備
原因：不正アクセス
件数：828,168 人
https://scan.netsecurity.ne.jp/article/2024/05/31/51080.html

●よく読まれた記事

　6 月の記事閲覧数ベスト 3 は下記の通りである。先月のように TOP 3 全て 1 万ページビュー超えとはならなかったが、それでも SCAN 的には大豊作で編集部も活気に満ちていた。

　1 位の KADOKAWA、3 位のイセトーは、ともに続報や取引先からの公表も相次いでおり、まさに SCAN 誌面を席巻したといっても過言ではないだろう。なお、イセトーのリリースでは触れられていないが、同社に業務を発注していた取引先のリリースでは「契約終了後も個人情報の削除を怠っていたこと」を問題視していることも見逃せないポイントである。ただし顧客の便宜等のためにしばらく保存しているという運用の可能性もあるかもしれない。

【 2024 年 6 月閲覧数ベスト 3 】
3 位：イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害
8,439 ページビュー
https://scan.netsecurity.ne.jp/article/2024/06/06/51111.html

2 位：グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開
10,912 ページビュー
https://scan.netsecurity.ne.jp/article/2024/06/18/51160.html

1 位：発覚後も繰り返し攻撃が行われる ～ KADOKAWA グループへのランサムウェア攻撃
37,226 ページビュー
https://scan.netsecurity.ne.jp/article/2024/06/24/51185.html

●クレジットカード情報漏えいの新潮流

　6 月は 5 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。

インテンス運営「fofo」に不正アクセス、15,198 件のカード情報が漏えい
件数：15,198 件
https://scan.netsecurity.ne.jp/article/2024/05/27/51056.html

「タリーズ オンラインストア」への不正アクセス、イオン銀行ではカードの不正利用早期に発見体制を整備
件数：不明
https://scan.netsecurity.ne.jp/article/2024/06/07/51118.html

「タリーズ オンラインストア」への不正アクセスでシステム侵害が発生
件数：不明
https://scan.netsecurity.ne.jp/article/2024/06/07/51117.html

「伊勢醤油本舗オンラインショップ」に不正アクセス、2,727 名のカード情報が漏えいした可能性
件数：2,727 名
https://scan.netsecurity.ne.jp/article/2024/06/05/51102.html

「ｅ-ながさきどっとこむ」に不正アクセス、カード情報漏えいのおそれ
件数：不明
https://scan.netsecurity.ne.jp/article/2024/06/04/51097.html

　さて、先月も述べたが、カード情報の漏えいに関しては、発覚から発表まで早くて数ヶ月、下手をしたら 1 年以上経ってから公開という、被害者を置いてけぼりにする「安全運転」もザラだが、今月は一般社団法人長崎県物産振興協会が運営する「ｅ-ながさきどっとこむ」が、発覚から 5 日後の 5 月 26 日にスピード公開という英断に踏み切っている。調査中のため件数は定かではないが、漏えいした可能性がある期間を示し顧客に注意を促している。先月の「JFおさかなマルシェ ギョギョいち」に続き、カード情報漏えいの新潮流が来ていることを実感した。こういう事業やサービスは、事故をきっかけにむしろ信頼を獲得していくのかもしれない。

　カード情報漏えいではさらにもう 1 件紹介したい事案がある。それは「タリーズ オンラインストア」でのインシデントである。同ストア運営元のタリーズコーヒージャパン株式会社は、個人情報流出の懸念があること、カード支払いをした顧客は利用明細を確認するよう呼びかけてはいるが、恐らく調査段階ということもありカード情報が漏えいしたとの明言は避けていた。下手な動きをするとサウンドハウスのように終生クレジットカードを事業で使えなくなる報復を受けることもあるからその気持ちも充分わかる。

　しかしそんなタリーズコーヒージャパンを横目に、株式会社イオン銀行がなんとなんと「タリーズコーヒージャパン株式会社『タリーズ オンラインストア』におけるカード情報流出について」と、リリースのタイトルからして、タリーズコーヒージャパンが言及していないカード情報の流出についてすでにタイトルで言い切ってしまう男気を見せた。これにはまるで、映画のタイトルに「主人公は死んでいる」とあるような強烈なインパクトを感じた。カード情報漏えいリリースのお約束文言である「発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました」に反するイオン銀行のファインプレーに拍手を送りたい。

● 6 月の懲戒・損害賠償案件

　6 月は情報漏えいに伴う逮捕、懲戒処分、行政指導等にまつわるニュース記事は 1 件だった。しかも厳密に言えば、まだ処分は決まっていない段階である。ここ最近、豊作が続いていたため、ちょっと寂しい結果となった。