今日もどこかで情報漏えい 第30回「2024年10月の情報漏えい」50-50 ならぬ NTT西日本グループの 100-100 | ScanNetSecurity
2025.02.27(木)
コンテンツ
注目検索ワード
ホーム 特集 コラム 記事

今日もどこかで情報漏えい 第30回「2024年10月の情報漏えい」50-50 ならぬ NTT西日本グループの 100-100

 これだけだとよくある事務作業が出来ない職員の話だが、SCAN的に引っかかったのは「通知書の送付を失念したため未送付が発覚しないようシステムに不正アクセスし納期限を勝手に変更した」という点だ。「事務作業をするくらいならシステムへの不正アクセスすら辞さない」という間違った方向への全振りがいっそすがすがしい。

特集
1660 views
(イメージ画像)

 今日もどこかで情報漏えいは起きている。

 大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。

 こんなことを言い続けた本連載も遂に 30 回である。某東証一部上場企業(当時)からクレームを受けたり、SCAN 発行人の高橋のカード情報が漏えいしたり、川崎市の野球大好きおじさんの動向をおっかけたりと、古いアルバムには思い出がいっぱいだ。

SCAN 発行人の高橋のカード情報が漏えい
https://scan.netsecurity.ne.jp/article/2022/08/03/48004.html

川崎市の野球大好きおじさん
https://scan.netsecurity.ne.jp/article/2023/08/23/49853.html

●インシデント原因内訳
 さて、先月 2024 年 10 月に本誌が取り上げた事故・インシデント記事は 2024 年 9 月の 54 本から 8 本減となる全 46 本だった。事故原因最多は「不正アクセス」で 40 件( 86.9 %)を占め、その他は各 1 件と不正アクセスの一人勝ちであった。なお、記事として取りあげるインシデントは媒体方針(公知にすることで類似インシデントの発生低減に寄与する可能性の多寡 ほか)に基づいているため、これらの比率は全体傾向を示すものではない。

情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/

情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/

情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/

●被害規模ワースト
 10 月に最も件数換算の被害規模が大きかったのは、パーソルキャリア株式会社による「doda 販売代理店向けシステムに不備、549,195 名の個人情報が閲覧された可能性」の 549,195 名だった。これは石破首相のお膝元である鳥取県の 2024 年 10 月 1 日時点の人口 531,085 人よりも多い数字だ。本件は同社が運営する転職サービス「doda」求人広告の販売代理店向けに提供しているシステムで、本来は閲覧の必要性がない採用担当者の名刺情報に準ずる個人情報が、代理店・代理店の委託先 1,164 社から閲覧できる状態になっていたというものだ。よくCMを見かける企業となると、漏えい規模は勿論のこと、閲覧可能であった代理店も1,164 社となかなかの数で二度びっくりする。なお、同社と代理店は秘密保持契約を締結しており、当該システムから得た情報の目的外利用を禁止しているそうだ。

 2 位の健美家のデータベースへの不正アクセスも当初公表していた 217,953 名から追加調査で 60,153 名を上積みし首位の座を狙ったが、dodaにダブルスコアをつけられてしまった。

【 2024 年 10 月 被害規模ワーストトップ 3 】
3 位:「タリーズ オンラインストア」への不正アクセス、92,685 名の会員情報と 52,958 名のカード情報が漏えいの可能性
原因:不正アクセス
件数:145,643 名
https://scan.netsecurity.ne.jp/article/2024/10/16/51767.html

2 位:健美家のデータベースに不正アクセス、新たに 60,153 名分の情報が対象となることが判明
件数:278,106 名
https://scan.netsecurity.ne.jp/article/2024/10/11/51752.html

1 位:「doda」販売代理店向けシステムに不備、549,195 名の個人情報が閲覧された可能性
原因:不正アクセス
件数:549,195 名
https://scan.netsecurity.ne.jp/article/2024/10/01/51689.html

●よく読まれた記事
 10 月の記事閲覧数ベスト 3 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて算出している。今月は遂にトップ 3 が 1 万ページビュー超え、しかも 1 位のイセトーは堂々の 59,044 ページビューで、セ・リーグ 3 位からの下剋上で 26 年ぶりの日本一となった横浜DeNAベイスターズ以上に盛り上がった SCAN 編集部であった。

 1 位となった株式会社イセトーの「再発防止策『VPNを使用しない』株式会社イセトー」は、タイトルが示す通り、情報漏えいの原因を根本から絶とうとする画期的な再発防止策である。また聞きの話で恐縮だが、BCCとTO、CCを誤ったことによるメール誤送信を防ぐため、そもそもBCC送信というものをシステム的に無くしてしまった会社があるそうだが、その話を思い出した。

 2 位の「サーバ管理会社が旧バージョンの WordPress を利用し脆弱性悪用される」は 10 月 28 日と月末まであと僅かというタイミングでの配信にもかかわらず 10 月全体で 2 位のページビューを獲得と大健闘だ。因みに今回、改ざん被害にあったホリーズ・カフェを運営する株式会社ホリーズだが、旧バージョンのWordPressシステムは同社の管理範囲外のものと公言している。

【 2024 年 10 月閲覧数ベスト 3 】
3 位:三井住友信託銀行の情報も漏えいした可能性 ~ 高野総合コンサルティングへのランサムウェア攻撃
10,953 ページビュー
https://scan.netsecurity.ne.jp/article/2024/10/07/51729.html

2 位:サーバ管理会社が旧バージョンの WordPress を利用し脆弱性悪用される
13,168 ページビュー
https://scan.netsecurity.ne.jp/article/2024/10/28/51823.html

1 位:再発防止策「VPNを使用しない」株式会社イセトー
59,044 ページビュー
https://scan.netsecurity.ne.jp/article/2024/10/15/51760.html

 トップ 3 には遠く及ばないが、茨城県稲敷市の介護認定審査会委員が駐車中の車内に携帯型タブレット端末を置いたままにしていたところ車両盗難にあったインシデントが 2,053 ページビューとまずまずの数字であった。

車ドロ 車内にあったタブレット
https://scan.netsecurity.ne.jp/article/2024/10/07/51728.html

 編集会議では、記事タイトルが「車ドロ 車内にあったタブレット」と 5・7・5であった語呂の良さが勝因かなどと分析を行っていたが、実はしばらくの間、「車内」が「社内」と間違った状態で掲載されていた(現在は修正済み)。筆者としては「車ドロなのになんで社内やねん」というツッコミ含めてチェックしに行った人が多数いた説を推したいところである。

● これからのカード情報漏えいはスピード公表が増える?
 10 月は 1 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。

「タリーズ オンラインストア」への不正アクセス、92,685 名の会員情報と 52,958 名のカード情報が漏えいの可能性
件数:52,958 名
https://scan.netsecurity.ne.jp/article/2024/10/16/51767.html

 過去に本連載でも言及しているが今回、被害を公表したタリーズコーヒージャパン株式会社は、カード情報の漏えいには触れていないものの 5 月 30 日に第 1 報を公表しており、株式会社イオン銀行でもカード情報が流出した可能性がある旨について触れていた。

「タリーズ オンラインストア」への不正アクセスでシステム侵害が発生
https://scan.netsecurity.ne.jp/article/2024/06/07/51117.html

「タリーズ オンラインストア」への不正アクセス、イオン銀行ではカードの不正利用早期に発見体制を整備
https://scan.netsecurity.ne.jp/article/2024/06/07/51118.html

今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか
https://scan.netsecurity.ne.jp/article/2024/07/25/51369.html

 カード情報漏えい事故では、どこもかしこも「公表が遅れた経緯」という項目を設け、金太郎飴のように「不確定な情報の公開はいたずらに混乱を招き~ カード会社との連携を待ってから~ 」とお決まりのフレーズで断りを入れるのが定番であったが、今年になって少し流れが変わってきたように感じる。連携するはずのカード会社が先にユーザーメリットを考慮してか公表したのだ。実際に「キャッシュレスセキュリティレポート(2024年4-6月版)」では、今後、フォレンジック調査未了での公開が、より増える可能性があると言及している。

インシデント発覚から公表まで 調査未了での公開が増える可能性「キャッシュレスセキュリティレポート(2024年4-6月版)」公開
https://scan.netsecurity.ne.jp/article/2024/11/14/51914.html

● 10 月の逮捕・懲戒・損害賠償案件
 10 月は情報漏えいに伴う各種処分、逮捕、懲戒、行政指導等にまつわるニュース記事は 2 件だった。


《リーク・東郷》

関連記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×