今日もどこかで情報漏えいは起きている。
大きいところでは誰もが社名を耳にしたことがある東証プライム上場企業や霞ヶ関の政府機関、小さなところでは従業員数名規模の企業や市町村役場に至るまで、毎日、あなたの知らないところで漏えい事件は起き続けている。
頼まれもしないのに月ごとの情報漏えいの動向を勝手にウォッチしているお節介ババアのような本連載、今月も元気である。
●インシデント原因内訳
さて、先月 2025 年 4 月に本誌が取り上げた事故・インシデント記事は 2025 年 3 月の 66 本から 3 本増となる全 69 本だった。事故原因最多は「不正アクセス」で 45 件( 65.2 %)を占め、「誤送信ほか操作ミス」が 8 件( 11.6 %)、「システム管理上のミス」が 6 件( 8.7 %)で続いた。なお、記事として取りあげるインシデントは媒体方針(公知にすることで類似インシデントの発生低減に寄与する可能性の多寡 ほか)に基づいているため、これらの比率は全体傾向を示すものではない。
情報漏えい原因別記事一覧:不正アクセス
https://scan.netsecurity.ne.jp/special/3359/recent/
情報漏えい原因別記事一覧:メール誤送信
https://scan.netsecurity.ne.jp/special/3358/recent/
情報漏えい原因別記事一覧:設定ミス
https://scan.netsecurity.ne.jp/special/3457/recent/
●被害規模ワースト
4 月に最も件数換算の被害規模が大きかったのは、インターネットイニシアティブ(IIJ)による「「IIJセキュアMXサービス」に不正アクセス、4,072,650 件のメール情報が漏えいした可能性」の 407 万 2,650 件だった。十年に一度の逸材がひしめきあう 2025 年の情報漏えい界隈では残念ながらトップにはなれないが、日本一人口の多い市である横浜市の人口 377 万人をも上回る立派な数字である。しかし、IIJ ではその後発表した調査結果で、情報漏えいの事実が確認されたのは、最初に漏えいの可能性があるとしたメールアカウント 4,072,650 件のうち 311,288 件が該当すると大幅に下方修正した。最大値を速報。インシデント情報共有の見本である。
「IIJセキュアMXサービス」への不正アクセス、「Active! mail」に存在するスタックベースのバッファオーバーフローの脆弱性を悪用
https://scan.netsecurity.ne.jp/article/2025/04/24/52741.html
【 2025 年 4 月 被害規模ワーストトップ 3 】
3 位:ミネベアミツミへの不正アクセス、最大約 16 万件の個人情報が流出した可能性
原因:不正アクセス
件数:最大約 16 万件
https://scan.netsecurity.ne.jp/article/2025/04/25/52755.html
2 位:損保ジャパンに行政処分 ~ 乗合代理店で顧客情報の不適切管理
原因:その他
件数:約 991,000 人
https://scan.netsecurity.ne.jp/article/2025/04/04/52616.html
1 位:「IIJセキュアMXサービス」に不正アクセス、4,072,650 件のメール情報が漏えいした可能性
原因:不正アクセス
件数:4,072,650 件
https://scan.netsecurity.ne.jp/article/2025/04/16/52691.html
●よく読まれた記事
4 月の記事閲覧数ベスト 3 は下記の通りである。なお下記の閲覧数は Google Analytics 4 の数値に基づいて算出している。4 月のトップ 3 は上位 2 件が 1 万ページビュー超え、しかも 1 位の「ノート PC 紛失した職員「個人情報は含まれていない」→ LANSCOPE ログを確認してみたら..」は SCAN にしては脅威の 7 万ページビュー超えと、4月に相応しく満開であった。
圧倒的な数字で 1 位をもぎ取った日本健康文化振興会でのノートPC紛失だが、職員は当初「個人情報等のデータは含まれていない」と回答していたが、PCのログ情報を LANSCOPE で確認した結果、実際には要配慮個人情報を含む個人情報の保存が判明したことも見逃せない。SCANのオーナー企業であるイードでも全社的に導入されているとかいないとか。日々、SCAN 編集部の PC を厳しく見守り監視する LANSCOPE がここでも大活躍であった。
ちなみに日本健康文化振興会では、PCを外に持ち出す際は事前申請が必要で、データ保存先も「ダイレクトクラウドボックス」に限定されていたが、当該職員はこれらを怠っていたそうだ。悪いことが露呈する時というものは、玉突きで全てさらけ出されてしまうものだが、本件も例に漏れない。
なお、後日談になるが、該当 PC は神奈川県横浜市店舗の地下精算機前で紙袋に入っている状態で発見され、神奈川県警 戸部警察署に届けられ保管されていたそうだ。日本健康文化振興会では、PC を改修後、すぐに LANSCOPE による検証を予定していたが、そもそも電源を入れることや充電すらもできず、メーカーに修理・修復の依頼をしたそうだ。
LANSCOPE でログ確認の紛失ノートPC、神奈川県警 戸部警察署が保管
https://scan.netsecurity.ne.jp/article/2025/05/07/52797.html
【 2025 年 4 月閲覧数ベスト 3】
3 位:TOPPANホールディングス海外グループ会社にランサムウェア攻撃、一部サーバが暗号化被害
5,401 ページビュー
https://scan.netsecurity.ne.jp/article/2025/04/22/52726.html
2 位:復旧には最短でも数週間かかると想定 ~ 東海大学にランサムウェア攻撃
14,483 ページビュー
https://scan.netsecurity.ne.jp/article/2025/04/28/52765.html
1 位:ノート PC 紛失した職員「個人情報は含まれていない」→ LANSCOPE ログを確認してみたら...
74,767 ページビュー
https://scan.netsecurity.ne.jp/article/2025/04/15/52683.html
● 4 月のカード情報漏えい
4 月は 5 件のクレジットカード情報漏えい事故が本誌メルマガに掲載された。なお、下記で件数として挙げているのは全てカード情報のみである。
「ミートガイ本店オンラインストア」に不正アクセス、6,929 名のカード情報が漏えい
件数:6,929 名
https://scan.netsecurity.ne.jp/article/2025/04/04/52614.html
「お茶の荒畑園公式サイト」に不正アクセス、6,342 名のカード情報が漏えい
件数:6,342 名
https://scan.netsecurity.ne.jp/article/2025/04/08/52634.html
「エデュワードプレスオンライン」に不正アクセス、13,193 件のカード情報が漏えい
件数:13,193 件
https://scan.netsecurity.ne.jp/article/2025/04/18/52705.html
「GAORAオンラインショップ」に不正アクセス、1,909 名のカード情報が漏えい
件数:1,909 名
https://scan.netsecurity.ne.jp/article/2025/04/14/52672.html
「ホットストラップ」に不正アクセス、690 名のカード情報が漏えい
件数:690 名
https://scan.netsecurity.ne.jp/article/2025/04/21/52718.html
今月の 5 件はどれもオーソドックスなものだが、「ミートガイ本店オンラインストア」と「エデュワードプレスオンライン」では情報漏えいが発覚した時点で第一報を公表し、顧客に身に覚えのない利用がないかカード履歴を確認するよう呼びかけていた。調査結果を待たずに公表するのは、今月だけで見るとまだ 5 分の 2 で傍流だが、この流れがいずれは主流になって欲しいものだ。
● 4 月の逮捕・懲戒・損害賠償案件
4 月は情報漏えいに伴う各種処分、逮捕、懲戒、行政指導等にまつわるニュース記事は 5 件だった。前月の高い水準をキープしている。
