今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
●インシデント原因内訳
さて、先月 2024 年 8 月に本誌が取り上げた事故・インシデント記事は 2024 年 7 月の 91 本から半減となる全43 本だった。これはこの1ヶ月で情報漏えいを取り巻く状況が著しく好転したわけでなく、先月が異常だっただけである。事故原因最多は「不正アクセス」で 30 件( 69.8 %)を占め、「システム管理上のミス」が 4 件( 9.3 %)と続いている。なお、記事として取りあげるインシデントは媒体方針(公知にすることで類似インシデントの発生低減に寄与する可能性の多寡 ほか)に基づいているため、これらの比率は全体傾向を示すものではない。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
●被害規模ワースト
8 月に最も件数換算の被害規模が大きかったのは、三菱電機ホーム機器株式会社による「三菱電機ホーム機器の約 231 万名分の顧客情報が保管しているサーバに 13 秒・12 秒と 2 回アクセス」の約 231 万名だった。日本で 4 番目に人口が多い名古屋市の約 230 万人とほぼ同等の桁違いの数字だ。ただしこれは、情報流出の痕跡がないサーバに 2 回のアクセス( 13 秒と 12 秒)があり、個人情報を閲覧された可能性を否定できないと公表した最大値であった。三菱電機ホーム機器では、アクセスのあった時間では個人情報が特定された状態で閲覧された可能性は極めて低いと考えているが、対象者への連絡を行うとともに、問い合わせ窓口も用意したそうだ。丁寧な対応だと筆者は感じた。
長い間、情報漏えい界隈を賑わせてきた KADOKAWAグループへのランサムウェア攻撃が 254,241 人で2位につけている。普通に考えると 25 万人という数字はかなり大きなものであるが、最盛期のニコニコ動画の有料会員数を知っている古参の筆者から見るとグループ全体で 254,241 人 で済んだというのは少し意外であった。
【 2024 年 8 月 被害規模ワーストトップ 3 】
3 位:システム設定ミスが原因 ~「Wantedly」で200,578 名の個人情報が閲覧可能に
原因:システム管理上のミス
件数:200,578 名
https://scan.netsecurity.ne.jp/article/2024/08/13/51465.html
2 位:KADOKAWA グループへのランサムウェア攻撃、254,241人の個人情報漏えいを確認
原因:不正アクセス
件数:254,241 人
https://scan.netsecurity.ne.jp/article/2024/08/14/51468.html
1 位:三菱電機ホーム機器の約 231 万名分の顧客情報が保管しているサーバに 13 秒・12 秒と 2 回アクセス
原因:不正アクセス
件数:約 231 万名
https://scan.netsecurity.ne.jp/article/2024/08/16/51479.html
●よく読まれた記事
8 月の記事閲覧数ベスト 3 は下記の通りである。今月も 2 位までが 1 万ページビュー超えで SCAN 編集部では盆と正月が一緒に来たような騒ぎであった。
7 月はタイトルに「イセトー」が入った記事を 9 件配信し、そのページビューの合計は 37,961 ページビューとまさにイセトーのためにあったような 1 ヶ月であったが、今月もニュース本数こそ減ったもののページビューではしっかり 3 位にランクインしている。ところで先月はあれだけイセトーに関する記事を取り上げたが、筆者が見た限り今回の対応に係る費用はイセトーに損害賠償請求を行う予定であると明言したのは、豊田市が初めてであった。因みに豊田市は、回線数が 30 回線のコールセンターを用意し、対応しているそうだ。
【 2024 年 8 月閲覧数ベスト 3 】
3 位:費用をイセトーへ損害賠償請求予定 ~ 豊田市の個人情報漏えい 19人編成の対策室 コールセンター 30回線
2,285 ページビュー
https://scan.netsecurity.ne.jp/article/2024/08/30/51556.html
2 位:CTC 業務委託先にランサムウェア攻撃、個人情報含むファイル 閲覧・持ち出しの可能性
10,385 ページビュー
https://scan.netsecurity.ne.jp/article/2024/08/22/51511.html
1 位:再発防止策「Google Forms を使わない」
25,061 ページビュー
https://scan.netsecurity.ne.jp/article/2024/08/07/51439.html
●企業が従業員のカード情報を保持する理由とは
8 月は 3 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。
「東京玉子本舗公式オンラインショップ」への不正アクセスで 65,387 件のカード情報が漏えい、発覚から 2 ヶ月で公表
件数:65,387 件
https://scan.netsecurity.ne.jp/article/2024/08/06/51432.html
「e-ながさきどっとこむ」への不正アクセスによるカード情報漏えい、クレディセゾンが不正利用状況監視中
件数:4,324 名
https://scan.netsecurity.ne.jp/article/2024/08/20/51491.html
「e-ながさきどっとこむ」に不正アクセス、18,746 名分のカード情報漏えい
件数:18,746 名
https://scan.netsecurity.ne.jp/article/2024/08/20/51490.html
記事タイトルにもある通り、株式会社東京玉子本舗でのカード情報漏えいは 5 月 28 日発覚で 7 月 31 日公表と、半年から1年以上経過しての発表もザラにある安全運転なカード情報漏えい事案の中では群を抜いて早かった。
一般社団法人長崎県物産振興協会が運営する通販サイト「e-ながさきどっとこむ」への不正アクセスについて、同協会はカード情報漏えいのインシデントにしては非常に珍しく、調査結果を待たずして 5 月 26 日に第一報を公表した。第一報の速報も好印象であったが 5 月 21 日の発覚から 8 月 7 日で調査結果公表というのも東京玉子本舗に迫る早さである。
e-ながさきどっとこむへの不正アクセスでは、株式会社クレディセゾンが同社発行のカードについて、本件に起因する不審な売上の有無を確認中である旨を公表している。クレディセゾンとe-ながさきどっとこむ、何か背中合わせに拳銃を構えて敵と対峙する二人の刑事のような、信頼し合うバディの連携をも感じさせるプレスリリース発信である。2024 年現在、一社の努力でなんとかなる時代はとっくに過ぎており、こうした複数のステークホルダーで協調して対応するアプローチは先進的でもある。何よりもユーザーのメリットを重視せんとする意志を感じるこうした事例を、本連載は今後も積極的に紹介していく所存だ。
以前もイオン銀行がカードの不正利用の早期発見体制を整備している旨を公表していたが、カード会社のこういった体制はユーザーにとっては心強いだろう。SCAN発行人の高橋潤哉は過去、漏えいの報告があったのにも関わらずカードを止めるのを正常性バイアスで怠けていたところ、日本時間の午前 4 時に海外のカジノサイトとおぼしきサービスでなんと 35 秒の間に日本円にして 5,000 円の決済を 4 回走らせられるという自業自得の憂き目に遭遇したが、カード会社(ビュー・スイカカード)の監視に救われていた。
参考:「タリーズ オンラインストア」への不正アクセス、イオン銀行ではカードの不正利用の早期発見体制を整備
https://scan.netsecurity.ne.jp/article/2024/06/07/51118.html
今日もどこかで情報漏えい 第3回「クレジットカード情報漏えい顛末記」
https://scan.netsecurity.ne.jp/article/2022/08/03/48004.html
● 8 月の逮捕・懲戒・損害賠償案件
