2025.12.06(土)
- 注目検索ワード
10 月に最も件数換算の被害規模が大きかったのは、スターバックスコーヒージャパン株式会社とBlue Yonder社による「新たに約 40,700 名分の従業員 ID 漏えいが判明 ~ スターバックスが利用するシフト作成ツールへ不正アクセス」の約 72,200 名だった。
ありふれたメール誤送信だが静岡県の再発防止策はひと味違っていた。委託先事業者に対し「緊急の連絡事項が生じた場合であっても、複数人で対応できない時間外等にはメール送信を行わないことを徹底」したとのことだ。ダブルチェックにかける安全神話的なものを感じる。これでチェック漏れがなくなるという保証など何もないからだ。
2 件目はジブラルタ生命保険株式会社の奈良支社に所属していた元営業社員が、在籍時に担当していた顧客情報を持ち出した疑いが判明したというものだ。この元営業社員は、持ち出した顧客情報を金銭貸借の担保として無登録の金融業者に提供した疑いもあるとのこと。
1 件目は、奈良市 道路維持課 主務の技術職員(35歳)が、少なくとも計 31 回にわたって人事課などの職員になりすまし、人事データやメールのやり取りなどを閲覧する不正アクセス行為を行ったことへの処分だ。本連載でも何度もくり返し取り上げているが、やはり同僚の人事情報というのは、停職処分を喰らってでも覗きたい抗いがたい魅力があるものなのだろう。
6 月に最も件数換算の被害規模が大きかったのは、損害保険ジャパン株式会社による「損害保険ジャパンへの不正アクセス、顧客や代理店のデータが漏えいした可能性を否定できず」の 約 9,040,000 件 だった。日本の首都である東京23区の人口 973 万人に迫り、あと少しで大台の 1,000 万人に手が届きそうな、まさに日本一と言っても過言ではない立派な数字である。
5 月に最も件数換算の被害規模が大きかったのは、株式会社保険見直し本舗グループによる「保険見直し本舗グループへのランサムウェア攻撃、約 510 万件の顧客情報が漏えいした可能性」の 約 510 万件 だった。
4 月に最も件数換算の被害規模が大きかったのは、インターネットイニシアティブ(IIJ)による「「IIJセキュアMXサービス」に不正アクセス、4,072,650 件のメール情報が漏えいした可能性」の 4,072,650 件だった。しかし、IIJ ではその後情報漏えいの事実が確認されたのは、最初に漏えいの可能性があるとしたメールアカウント 4,072,650 件のうち 311,288 件が該当すると大幅に下方修正した。最大値を速報。インシデント情報共有の見本である。
岡山県精神科医療センターへはランサムウェア攻撃の調査を専門家に依頼するにあたり、その目的を「つまびらかに事実を記載し、ひとえに今後の対策にとって重要な情報を正確に把握して、公表すること」とし「一切の忖度なしで事実と責任の所在を明確にし、今後の警鐘とすることをお願いし」たとのことだ。
いろいろ考えさせられる文言である。それは、基本的には、あらゆるフォレンジック調査依頼とはこうした趣旨で行われなければおかしいからだ。とはいえわざわざこんなことを冒頭に書くのは明確に意志を感じた。
さて、この 700 万という全盛期の『週刊少年ジャンプ』の部数をも上回る数字だが、そもそも快活CLUB の会員がこんなにも居たことに改めてびっくりした。SCAN の有料会員もこれだけ居たら、筆者の晩ご飯のおかずが一品増えるのにと悔しさで涙溢れた。それにしても 700 万人という圧倒的な数字の暴力には絶句してしまう。日本の人口の 6 %近くを占め、学校の 1 クラスに 2 人くらいはいる計算だ。
1 月に最も件数換算の被害規模が大きかったのは、株式会社三恵による「三恵通販サイトに不正アクセス、71,943 名のカード情報が漏えいした可能性」の 292,707 名だった。
2024 年に取り上げたセキュリティ事故やインシデント記事の総件数は 607 本であった。ちなみに 607 本のほぼすべてを筆者が執筆した。月あたり 50本 程度の漏えい記事が SCAN を彩った訳だ。参考までに 2023 年は 621 本であった。
なお、まったくの余談だが、筆者は日産自動車の記事とトヨタモビリティ東京株式会社の記事を同日に執筆しており、さながら「レスポンス(Response.jp)」の記者になった気分だった。レスポンスとは ScanNetSecurity を運営する企業、株式会社イードの旗艦媒体である自動車専門誌で、ありとあらゆる点で ScanNetSecurity と段違いの差がある花形部署である。ScanNetSecurity が冷蔵庫マンだとしたら、レスポンスは M-1グランプリを二度制覇した令和ロマンといったところか。
これだけだとよくある事務作業が出来ない職員の話だが、SCAN的に引っかかったのは「通知書の送付を失念したため未送付が発覚しないようシステムに不正アクセスし納期限を勝手に変更した」という点だ。「事務作業をするくらいならシステムへの不正アクセスすら辞さない」という間違った方向への全振りがいっそすがすがしい。
ここで改めてことわっておくが「即時解除」とはサノフィ株式会社のリリースに記載された文言である。複数名及び複数組織のステークホルダーによるチェックという長い道のりを経て公開されたリリースに「即時解除」とあった訳で、強い怒りを感じさせることを厭わないこんなワードが再発防止策として記載されたのを目にしたのは、年間 1,000 本は情報漏えいのリリースを読んでいる筆者にとってもめったにない経験であることを記しておく。
クレディセゾンとe-ながさきどっとこむ、何か背中合わせに銃を構えて敵と対峙するような、信頼し合うバディの連携をも感じさせるプレスリリース発信である。何よりもユーザーのメリットを重視せんとする意志を感じるこうした事例を本連載は今後も積極的に紹介し称賛していく所存だ。
7 月に最も件数換算の被害規模が大きかったのは、東京ガス株式会社と東京ガスエンジニアリングソリューションズ株式会社(TGES)による「東京ガスエンジニアリングソリューションズのネットワークに不正アクセス、約 416 万人分の個人情報が流出した可能性」の約 416 万人だった。
6 月に最も件数換算の被害規模が大きかったのは、積水ハウス株式会社による「「積水ハウス Net オーナーズクラブ」にサイバー攻撃、現在は運用していないページのセキュリティ設定に不備」の828,168 人 だった。
5 月に最も件数換算の被害規模が大きかったのは、株式会社イズミによる「ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入」の最大 7,784,999 件だった。
4 月に最も件数換算の被害規模が大きかったのは、株式会社エムケイシステムによる「エムケイシステムへのランサムウェア攻撃、個人情報保護委員会が行政指導」の7,496,080 人だった。
今回は毛色が違う。営業DXサービス「Sansan」を利用中の顧客に対し、不正にIDやパスワードを入手しログインしたとして、不正アクセス禁止法違反の疑いで会社員が逮捕された旨の報道があったと、その社員とは無関係の「Sansan」を提供するSansan株式会社が公表を行ったことだ。感覚的には「Gmail アカウントが乗っ取られスパムメール送信に利用された件について犯人が逮捕された」と Google が発表するようなものだろうか。
2 月に最も件数換算の被害規模が大きかったのは、株式会社大藤つり具による「大藤つり具にランサムウェア攻撃、過去にダイレクトメールを送付した顧客情報が流出した可能性」の最大 約20 万件だった。
