今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
頼まれもしないのに月ごとの情報漏えいの動向を勝手にウォッチしているお節介な本連載、2025 年も平常運転である。
●インシデント原因内訳
さて、先月 2025 年 1 月に本誌が取り上げた事故・インシデント記事は 2024 年12 月の 37 本から 13 本増となる全 60 本だった。これは 1 月に漏えい事件が多発したというよりは、年末年始を挟んだため 2024 年 12 月に SCAN でニュース配信が減ったことによる反動であろう。事故原因最多は「不正アクセス」で 48 件( 80.0 %)を占め、「システム管理上のミス」が 5 件( 8.3 %)で続いた。なお、記事として取りあげるインシデントは媒体方針(公知にすることで類似インシデントの発生低減に寄与する可能性の多寡 ほか)に基づいているため、これらの比率は全体傾向を示すものではない。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
●被害規模ワースト
1 月に最も件数換算の被害規模が大きかったのは、株式会社三恵による「三恵通販サイトに不正アクセス、71,943 名のカード情報が漏えいした可能性」の 292,707 名だった。因みに 292,707 名という数字はカード情報以外の個人情報も含めた数字である。本連載をマメにチェックしている情報漏えいマニアの方には物足りない数字に思うかも知れないが、これは茨城県の県庁所在地である水戸市の人口 約 27 万人を上回る、黄門様も印籠を放り出して逃げ出す数値である。
今回、被害規模ワースト 1 ~ 3 位全てが、リリース自体は昨年公表されたが編集部都合で SCAN での掲載が 2025 年となったもの、或いは第 1 報が昨年に公表されていたものの続報で、フレッシュさに欠けるランキングとなったが、NHK紅白歌合戦をはじめとする年末の音楽番組の影響で前年のヒット曲が年明けに改めてランクインする現象を筆者は思い出してしまった。
【 2025 年 1 月 被害規模ワーストトップ 3 】
3 位:井関農機のグループ会社にランサムウェア攻撃、個人情報流出の可能性を否定できず
原因:不正アクセス
件数:約 55,700 件
https://scan.netsecurity.ne.jp/article/2025/01/23/52211.html
2 位:ZACROS へのランサムウェア攻撃、取引先や役職員等 157,203 人の個人情報が流出懸念
原因:不正アクセス
件数:157,203 人
https://scan.netsecurity.ne.jp/article/2025/01/21/52192.html
1 位:三恵通販サイトに不正アクセス、71,943 名のカード情報が漏えいした可能性
原因:不正アクセス
件数:292,707 名
https://scan.netsecurity.ne.jp/article/2024/12/23/52075.html
●よく読まれた記事
1 月の記事閲覧数ベスト 3 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて算出している。トップ 3 が 2 万ページビュー超えと SCAN とは思えない盛り上がりだ。1990 年代にテレビ東京の「なんでも鑑定団」の視聴率が好調すぎて、「テレ東でこんな高視聴率は困る」的なことを番組で言ってたことを記憶しているが、それに近い感情を筆者も味わうことになるとは夢にも思わなかった。
そんな大盛り上がりだった 1 月のランキングで、何と 60,557 ページビューという年に一度お目にかかれるかどうかという有り難い数字を叩き出して見事 1 位となったのは、山形県大石田町の職員が不正アクセスで懲戒処分を受けたというものだ。
同町の主事職級職員( 20 歳代・男性)が、人事異動後の 2023 年 4 月から 2024 年 3 月までの約 1 年間で、人事異動前に業務上知り得た管理者権限のアカウントとパスワードを使用し、サーバ内の共有フォルダへ 93 日にわたり不正アクセスを繰り返し、個人アカウントではアクセスできない業務に関係のない所属課以外のファイルを開き、興味本位で人事関係や職員情報などを閲覧していたそうだ。
注目すべきは約 1 年間で「93 日にわたり」という箇所であろう。公務員の年間休日は 125 日くらいなので、実際に出勤したのは 240 日程度として、月曜から金曜の 5 日間のうち 2 日くらいは不正アクセスをしていた計算になる。週に 2 回、仕事を頑張った自分へのご褒美的なものとして不正アクセスをエンジョイしてたのであろうか? 関心が尽きない。
【 2025 年 1 月閲覧数ベスト 3 】
3 位:フジクラへの不正アクセス、委託先 NTTコミュニケーションズによる VPN 装置の管理不備 [2024.12.25]
24,574 ページビュー
https://scan.netsecurity.ne.jp/article/2025/01/15/52160.html
2 位:責任取り廃業 ~ 代表取締役の X 不適切投稿
28,396 ページビュー
https://scan.netsecurity.ne.jp/article/2025/01/17/52175.html
1 位:不正アクセス93日、町職員20歳代男性 懲戒 停職2月
60,557 ページビュー
https://scan.netsecurity.ne.jp/article/2025/01/23/52210.html
● 1 月のカード情報漏えい
1 月は 4 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。
「エデュワードプレスオンライン」に不正アクセス、身に覚えのないカード利用履歴がないか確認を呼びかけ
件数:不明
https://scan.netsecurity.ne.jp/article/2024/12/26/52101.html
三恵通販サイトに不正アクセス、71,943 名のカード情報が漏えいした可能性
件数:71,943 名
https://scan.netsecurity.ne.jp/article/2024/12/23/52075.html
クレディセゾン カード不正使用監視中 ~ 三恵通販サイトのカード情報流出
件数:71,943 件
https://scan.netsecurity.ne.jp/article/2024/12/23/52074.html
「ミートガイ本店オンラインストア」に不正アクセス、身に覚えのないカード利用履歴確認呼びかけ
件数:不明
https://scan.netsecurity.ne.jp/article/2025/01/07/52123.html
4 件のうち 2 件は三恵通販サイトに関するものであった。なお、三恵通販サイトではクレジットカード情報以外の個人情報も含め 292,707 名分が流出した可能性があり、1 月の被害規模ワーストを獲得している。三恵通販サイトでのカード情報漏えいに際し、クレディセゾンでは本件に起因する不審な売上の有無を確認中である旨を公表している。急なカード情報漏えいで不安に怯える被害者にとって、クレディセゾンの発表は心強いものであろう。
「エデュワードプレスオンライン」「ミートガイ本店オンラインストア」ともに、不正アクセス発覚後に、外部専門機関の調査結果を待たずに迅速に公表を行っている。本連載でもたびたび言及しているが、カード情報漏えいについて、企業側での迅速な公表が進んでいると肌で感じた。
● 1 月の逮捕・懲戒・損害賠償案件
1 月は情報漏えいに伴う各種処分、逮捕、懲戒、行政指導等にまつわるニュース記事は 2 件だった。
