今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
頼まれもしないのに月ごとの情報漏えいの動向を勝手にウォッチしていた本連載、2024 年最後の更新である。
●インシデント原因内訳
さて、先月 2024 年 11 月に本誌が取り上げた事故・インシデント記事は 2024 年10 月の 46 本から 3 本増となる全 49 本だった。事故原因最多は「不正アクセス」で 33 件( 67.3 %)を占め、「システム管理上のミス」「不正持ち出し」がそれぞれ 4 件( 8.2 %)で続いた。なお、記事として取りあげるインシデントは媒体方針(公知にすることで類似インシデントの発生低減に寄与する可能性の多寡 ほか)に基づいているため、これらの比率は全体傾向を示すものではない。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
●被害規模ワースト
11 月に最も件数換算の被害規模が大きかったのは、ヤマトホールディングス株式会社とシンガポールヤマト運輸株式会社(YTS)による「シンガポールヤマト運輸に不正アクセス、個人情報の不正持ち出しが判明」の約 320,450 件だった。数百万といった景気の良い数字を見慣れ、感覚の麻痺した「情報漏えいジャンキー」は物足りなさを感じるかもしれないが、この数字は何とバヌアツ共和国の人口 約 30 万人をも上回るものとなる。
2 位、3 位はともにオンラインショップでの情報漏えいだが、個人情報以外にカード情報も結構な数が漏えいしていてびっくりする。筆者は 2000 年代に地方のオンラインショップで週に 1 回、アルバイトをしていたが、繁忙期でなければ 1 日 1 件注文があるかどうかというのどかなサイトであった。何千件もの顧客を集めている時点で、とてもうらやましいものに感じてしまう。
【 2024 年 11 月 被害規模ワーストトップ 3 】
3 位:「博文栄光堂オンラインショップ」に不正アクセス、15,986 名のカード情報漏えいの可能性
原因:不正アクセス
件数:66,324 名
https://scan.netsecurity.ne.jp/article/2024/11/12/51900.html
2 位:「カレルチャペック紅茶店公式通販サイト」に不正アクセス、延べ 58,407 名のカード情報を漏えい懸念対象と結論付ける
原因:不正アクセス
件数:161,696 名
https://scan.netsecurity.ne.jp/article/2024/11/07/51882.html
1 位:シンガポールヤマト運輸に不正アクセス、個人情報の不正持ち出しが判明
原因:不正アクセス
件数:約 320,450 件
https://scan.netsecurity.ne.jp/article/2024/11/18/51925.html
●よく読まれた記事
11 月の記事閲覧数ベスト 3 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて算出している。トップ 3 が 1 万ページビュー超えだった 10 月から一変し、1 位のバーガーキングでもギリギリ 1 万に届かず、 2 位、3 位は 5,000 以下という、いつもの「地下芸人的ニュースサイト」SCAN が戻ってきたと感じた筆者であった。
2 位の「メール誤配信ツール導入を検討 ~ 日産自動車 メール誤送信」は「nissan-global.com」と URL に「グローバル」と入っているくらいのグローバル企業、日産自動車での誤送信だ。誰もが知る日産で、どんな誤送信をやっちゃったのか、誰もが気になるところであろう。
日産自動車株式会社:メール誤送信のお詫び
https://www.nissan-global.com/JP/CONSULTING/PDF/20241021.pdf
日産から発表されたリリースを見て、筆者は二度びっくりした。
一つ目の驚きは、日産ほどの超有名企業でウェビナーの案内をメール送信する際に「Bcc」送信していたということだ。恐らくこういったウェビナーの案内が初めてということはないであろうから、これまでも同様の方法で案内メールを送っており、たまたま今回、事故が起きてしまったのではと推察される。従業員 10 名程度の中小企業や予算の少ないであろう地方自治体で案内メールを「Bcc」送信していたら、まあ仕方ないよねという気持ちにもなるが、日産ほどの、くりかえすが URL にグローバルと入っているくらいのグローバル企業で、毎回 1 送信あたり約 50 名もの規模でちまちまと「Bcc」送信で案内メールを送っていたと聞くと、何か別の方法があるのではとツッコミを入れてしまいたくなる。
二つ目は、再発防止策として導入を検討しているという「メール誤配信ツール」というワードの破壊力だ。このツールを言葉の通りに受け取ったら、想定していた通りにメール送信せずに誤配信するという、ドラえもんに出てきた「さすと雨がふる傘」を連想させるような不条理なツールだ。それはどんなアルゴリズムで動くソフトウェアなのか。グローバル企業になると、ちょっとしたリリースひとつ出すにも偉いひとたちのハンコを沢山貰ってからになると思うが、誰もこれにツッコまなかったのか、よそ事ながら社内体制がとても気になる。
なお、まったくの余談だが、筆者は日産自動車の記事と下記のトヨタモビリティ東京株式会社の記事を同日に執筆しており、さながら「レスポンス(Response.jp)」の記者になった気分だった。ちなみに「レスポンス」とは ScanNetSecurity を運営する企業、株式会社イードの旗艦媒体である自動車専門誌で、編集スタッフの数も使える経費もエンジニアのバックアップも社長のおぼえも ScanNetSecurity とは段違いの花形部署である。ScanNetSecurity が冷蔵庫マンだとしたら、レスポンスは M-1グランプリを二度制覇した令和ロマンといったところか。
トヨタモビリティ従業員 データをダウンロードした私物USBメモリを紛失
https://scan.netsecurity.ne.jp/article/2024/11/20/51936.html
【 2024 年 10 月閲覧数ベスト 3 】
3 位:東京電機大学の学生の不適切行為SNS上に掲載、大学として厳重に対処
1,571 ページビュー
https://scan.netsecurity.ne.jp/article/2024/11/14/51913.html
2 位:メール誤配信ツール導入を検討 ~ 日産自動車 メール誤送信
3,021 ページビュー
https://scan.netsecurity.ne.jp/article/2024/11/19/51930.html
1 位:不正アクセスでバーガーキング公式アプリの会員情報が漏えい
9,435 ページビュー
https://scan.netsecurity.ne.jp/article/2024/10/31/51845.html
● カード情報漏えいの当たり月
11 月は 8 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。カード情報漏えいの当たり月といってもよいだろう。下記で件数として挙げているのは全てカード情報のみである。
「スローヴィレッジオンラインショップ」に不正アクセス、4,494 人のカード情報が漏えいした可能性
件数:4,494 人
https://scan.netsecurity.ne.jp/article/2024/11/01/51853.html
「カレルチャペック紅茶店公式通販サイト」に不正アクセス、延べ 58,407 名のカード情報を漏えい懸念対象と結論付ける
件数:58,407 名
https://scan.netsecurity.ne.jp/article/2024/11/07/51882.html
シャープ公式オンラインストア「COCORO STORE」への不正アクセス、4,257人のカード情報漏えいの可能性
件数:4,257 人
https://scan.netsecurity.ne.jp/article/2024/11/08/51889.html
ランドセル販売「ふわりぃ公式オンラインショップ」に不正アクセス、16,396 名のカード情報が漏えい
件数:16,396 名
https://scan.netsecurity.ne.jp/article/2024/11/07/51881.html
入院患者のクレジットカード 45 万円不正使用 ~ 秋田大学医学部附属病院 2 件の懲戒処分
件数:不明
https://scan.netsecurity.ne.jp/article/2024/11/06/51868.html
「博文栄光堂オンラインショップ」に不正アクセス、15,986 名のカード情報漏えいの可能性
件数:15,986 名
https://scan.netsecurity.ne.jp/article/2024/11/12/51900.html
「下鴨茶寮オンラインショップ」への不正アクセスで 16,682 名のカード情報漏えいの可能性
件数:16,682 名
https://scan.netsecurity.ne.jp/article/2024/11/11/51893.html
「こども栄養バランスmog オンラインストア」に不正アクセス、2,153 件のカード情報漏えいの可能性
件数:2,153 件
https://scan.netsecurity.ne.jp/article/2024/11/20/51937.html
そのうち、株式会社カレルチャペック、シャープ株式会社、「ふわりぃ公式オンラインショップ」、株式会社下鴨茶寮、「こども栄養バランスmog オンラインストア」の 5 件では、11 月以前に調査結果を待たずに情報公開を行っていた。本連載でもたびたび言及してきたが、カード情報漏えいについて、企業側での迅速な公表が進んでいると肌で感じた。
その他、カード情報漏えいの変わり種を 2 件ほど取り上げてみたい。「スローヴィレッジオンラインショップ」でのカード情報漏えいは、手口こそいつも通りのものだが、同社決済画面のクレジットカード情報の入力欄にランダムな数字の組み合わせが入力される事態が発生し、最大で23,466件の有効なクレジットカード情報が入力された可能性があるとのことだ。カード情報が漏えいした上に、カードの有効性チェックまでされたというのは、星の数ほどカード情報漏えいのニュースを見てきた筆者にとっても恐らく初めての出来事だった。
もう 1 件は、秋田大学医学部附属病院の事例だ。厳密にはカード情報の漏えいではないかもしれないが、同院の看護師(20代・男性)が、入院している患者のクレジットカードを「拾得」後に 45 万円相当を不正使用し、一部の購入品を転売していたそうだ。たとえば病院での USB メモリ紛失は「漏えいあるある」だったが、これまで意外にもカードを紛失しさらに悪用された例は取り上げたことが無かった気がする。秋田大学医学部附属病院がきちんと懲戒処分を行ってくれたおかげで日の目を見ることができた。
● 11 月の逮捕・懲戒・損害賠償案件
11 月は情報漏えいに伴う各種処分、逮捕、懲戒、行政指導等にまつわるニュース記事は 4 件だった。
