2025.02.27(木)
- 注目検索ワード
1 月に最も件数換算の被害規模が大きかったのは、株式会社三恵による「三恵通販サイトに不正アクセス、71,943 名のカード情報が漏えいした可能性」の 292,707 名だった。
2024 年に取り上げたセキュリティ事故やインシデント記事の総件数は 607 本であった。ちなみに 607 本のほぼすべてを筆者が執筆した。月あたり 50本 程度の漏えい記事が SCAN を彩った訳だ。参考までに 2023 年は 621 本であった。
なお、まったくの余談だが、筆者は日産自動車の記事とトヨタモビリティ東京株式会社の記事を同日に執筆しており、さながら「レスポンス(Response.jp)」の記者になった気分だった。レスポンスとは ScanNetSecurity を運営する企業、株式会社イードの旗艦媒体である自動車専門誌で、ありとあらゆる点で ScanNetSecurity と段違いの差がある花形部署である。ScanNetSecurity が冷蔵庫マンだとしたら、レスポンスは M-1グランプリを二度制覇した令和ロマンといったところか。
これだけだとよくある事務作業が出来ない職員の話だが、SCAN的に引っかかったのは「通知書の送付を失念したため未送付が発覚しないようシステムに不正アクセスし納期限を勝手に変更した」という点だ。「事務作業をするくらいならシステムへの不正アクセスすら辞さない」という間違った方向への全振りがいっそすがすがしい。
ここで改めてことわっておくが「即時解除」とはサノフィ株式会社のリリースに記載された文言である。複数名及び複数組織のステークホルダーによるチェックという長い道のりを経て公開されたリリースに「即時解除」とあった訳で、強い怒りを感じさせることを厭わないこんなワードが再発防止策として記載されたのを目にしたのは、年間 1,000 本は情報漏えいのリリースを読んでいる筆者にとってもめったにない経験であることを記しておく。
クレディセゾンとe-ながさきどっとこむ、何か背中合わせに銃を構えて敵と対峙するような、信頼し合うバディの連携をも感じさせるプレスリリース発信である。何よりもユーザーのメリットを重視せんとする意志を感じるこうした事例を本連載は今後も積極的に紹介し称賛していく所存だ。
7 月に最も件数換算の被害規模が大きかったのは、東京ガス株式会社と東京ガスエンジニアリングソリューションズ株式会社(TGES)による「東京ガスエンジニアリングソリューションズのネットワークに不正アクセス、約 416 万人分の個人情報が流出した可能性」の約 416 万人だった。
6 月に最も件数換算の被害規模が大きかったのは、積水ハウス株式会社による「「積水ハウス Net オーナーズクラブ」にサイバー攻撃、現在は運用していないページのセキュリティ設定に不備」の828,168 人 だった。
5 月に最も件数換算の被害規模が大きかったのは、株式会社イズミによる「ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入」の最大 7,784,999 件だった。
4 月に最も件数換算の被害規模が大きかったのは、株式会社エムケイシステムによる「エムケイシステムへのランサムウェア攻撃、個人情報保護委員会が行政指導」の7,496,080 人だった。
今回は毛色が違う。営業DXサービス「Sansan」を利用中の顧客に対し、不正にIDやパスワードを入手しログインしたとして、不正アクセス禁止法違反の疑いで会社員が逮捕された旨の報道があったと、その社員とは無関係の「Sansan」を提供するSansan株式会社が公表を行ったことだ。感覚的には「Gmail アカウントが乗っ取られスパムメール送信に利用された件について犯人が逮捕された」と Google が発表するようなものだろうか。
2 月に最も件数換算の被害規模が大きかったのは、株式会社大藤つり具による「大藤つり具にランサムウェア攻撃、過去にダイレクトメールを送付した顧客情報が流出した可能性」の最大 約20 万件だった。
「日本情報漏えい年鑑2024」刊行記念連載 第 3 回の今回は、より具体的にこの年鑑が自社の業務にどの程度資するのかを判断していただく一助として、「日本情報漏えい年鑑2024」に収録されたインシデントの内訳を、デモグラフィックデータ的に項目別に数字として一覧にしました。
「社員や同僚は家族」という、日本企業に普及する性善説に強烈な一撃を与える「内部からの不正アクセス」という非倫理的なインシデント一覧が抽出できました。
以上ふたつしかなくて恐縮ですが「日本情報漏えい年鑑2024」を無料(タダ)で読む方法をお届けしました。「編集部にバイトとして入る」「漏えい年鑑を活用した記事企画を持ち込んで原稿の発注を受ける際、年鑑全データの貸与を受ける」などの方法もあるのですが、こじつけで数を増やすのは読者が最も嫌悪し唾棄(だき)することだと思います。やろうと思えばできました。そう「『日本情報漏えい年鑑2024』を無料で読む 5 つの方法」といった、山手線に広告が出ている読むはしから内容を忘れていくビジネス書のようなタイトルです。
1 月に最も件数換算の被害規模が大きかったのは、株式会社エイチームによる「Googleドライブの閲覧範囲の設定誤り、935,779人の個人情報が閲覧可能な状態に」の 935,779 人だった。
2023 年に取り上げたセキュリティ事故やインシデント記事の総件数は 621 本、最も被害規模が大きかったのは「内部調査で判明、アカウント連携システムの不備で「出前館」アカウント情報が閲覧された可能性」
11 月に最も件数換算の被害規模が大きかったのは、Suishow株式会社による「位置情報SNS「NauNau」で200万人以上の個人情報が閲覧可能な状態にとの報道、第三者機関も交えて調査」の 200 万人だった。
10 月に最も件数換算の被害規模が大きかったのは、株式会社NTTマーケティングアクトProCX と NTTビジネスソリューションズ株式会社による「NTTマーケティングアクトProCX 元派遣社員 約900万件の顧客情報を不正に持ち出し、一部カード情報も含む」の 約 900 万件だった。
筆者の勝手な推測だが、恐らくこれらのページはすでに更新が終わり、誰が管理しているのかもよく分からないまま、長年放置された結果、被害に遭ったのであろう。2020 年に「撤去予定サーバ」からNTTコミュニケーションズ株式会社に不正アクセスが行われた件も想起させる。
今日もどこかで情報漏えいは起きている。
