今日もどこかで情報漏えいは起きている。
昨年の記事が好評だったのかは知らないが、2025 年最初の本連載は昨 2024 年に記事として配信したセキュリティインシデントや情報漏えい、各種事件事故に関連する記事のうち、被害件数ワースト 10、そして 2024 年に最も読まれた記事ランキング等をページビュー数の実数とあわせて紹介するという、新年の浮かれた気持ちを吹き飛ばす、他誌の追随を許さないものだ。他誌が追随したいかどうかは神のみぞ知るところではあるが……。
セキュリティ管理者や経営管理層の方の年次報告書等作成等、参考情報としてご活用いただきたい。
●インシデント原因内訳
2024 年に取り上げたセキュリティ事故やインシデント記事の総件数は 607 本であった。ちなみに 607 本のほぼすべてを筆者が執筆した。月あたり 50本 程度の漏えい記事が SCAN を彩った訳だ。参考までに 2023 年は 621 本であった。
2024 年に取り上げたインシデント記事の原因についても見てみたい。2024 年に取り上げた記事の最多は「不正アクセス」が 429 件( 70.7 %)を占め、次いで「システム管理上のミス」が67 件( 11.0 %)、「不正持ち出し」が 26 件( 4.3 %)と続いている。
これは毎回のくり返しになるが、上記の数値をもって「202x 年は『○○』が原因による事故・インシデントが多かった」等の判断はできない。本誌が記事として取りあげる時点で、その事故・インシデントについての情報が記事として配信され広く共有されることが、社会全体の未来の事故を減らすことに資する可能性がある、なんらかの事故を減らすための示唆がその情報の中に含まれている、という推定が行われており、取捨選択に明確な編集方針があるからである。不正アクセスは優先的に取り上げ、またクレジットカードの情報漏えいも同様である。反対に USB メモリ紛失やメール誤送信などは、管理者の想定の斜め上をいくような原因であったり、一般的に知られていない発生プロセスを経たような、ある意味オリジナリティの高い事案でなければ記事にはならない。
●被害規模ワースト
2024 年に被害が発生した(あるいは発生した可能性がある)、件数によるワースト 10 は下記の通りである。
【 2024 年 被害件数ワースト 10 】
10 位: 契約即時解除 ~ 業務委託コンサルタントの PC がマルウェア感染
原因:不正アクセス
件数:735,210 人
https://scan.netsecurity.ne.jp/article/2024/09/05/51586.html
海外の業務委託コンサルタントがサノフィ株式会社のデータベースへのアクセスIDを個人用ノートパソコンに保存していたところ、マルウェアに感染し、2024年7月10日から14日にかけて同社データベースの一部に不正アクセスがあったとのこと。コンサルタントは、サノフィの IT セキュリティポリシーに違反して、アクセス ID 等を保存していた。
9 位: イセトーへのランサムウェア攻撃、公文教育研究会の会員 739,714 名の漏えい新たに判明
原因:不正アクセス
件数:761,873 名
https://scan.netsecurity.ne.jp/article/2024/08/29/51549.html
2024 年の情報漏えい界隈を騒がせた株式会社イセトーへのランサムウェア攻撃、株式会社公文教育研究会の委託分だけで堂々のトップ 10 入りである。イセトーからの発表がないため、被害の全容は未だ不明だが、他社や他自治体分を全て足せば 2024 年のチャンピオンを狙えたのでは?
8 位: 「積水ハウス Net オーナーズクラブ」にサイバー攻撃、現在は運用していないページのセキュリティ設定に不備
原因:不正アクセス
件数:828,168 人
https://scan.netsecurity.ne.jp/article/2024/05/31/51080.html
「積水ハウス Net オーナーズクラブ」のアクセス数が急激に増加し、高負荷の状況が続いていると委託先業者から連絡があり、サイバー攻撃が発覚している。
7 位: Googleドライブの閲覧範囲の設定誤り、935,779人の個人情報が閲覧可能な状態に
原因:システム管理上のミス
件数:935,779 人
https://scan.netsecurity.ne.jp/article/2023/12/27/50409.html
株式会社エイチームのグループ全体で導入を検討しているセキュリティ製品の精度を検証したレポートで、リスクのあるファイルとして検知されたことで発覚したそうだ。
6 位: X線画像読影システムへランサムウェア攻撃、データ窃取の有無を完全に断定できず
原因:不正アクセス
件数:約 94 万人
https://scan.netsecurity.ne.jp/article/2024/04/08/50838.html
埼玉県越生町や埼玉県鶴ヶ島市など、公益財団法人埼玉県健康づくり事業団に集団がん検診を委託している自治体でも被害を公表している。
5 位: 三菱電機ホーム機器の約 231 万名分の顧客情報が保管しているサーバに 13 秒・12 秒と 2 回アクセス
原因:不正アクセス
件数:約 231 万名
https://scan.netsecurity.ne.jp/article/2024/08/16/51479.html
流出の痕跡がないサーバにも対象を拡大して調査したところ、顧客情報 約 231 万名分を保管しているサーバに2回のアクセス( 13 秒と 12 秒)があったため、個人情報が閲覧された可能性を否定できないと判断している。
4 位: 東京ガスエンジニアリングソリューションズのネットワークに不正アクセス、約 416 万人分の個人情報が流出した可能性
原因:不正アクセス
件数:約 416 万人
https://scan.netsecurity.ne.jp/article/2024/07/25/51367.html
東京ガスエンジニアリングソリューションズに業務を委託していた神奈川県や金沢エナジー株式会社、京葉ガス株式会社、埼玉県さいたま市、岡山ガス株式会社、かずさ水道広域連合企業団、横浜市、長岡市水道局、埼玉県三郷市でも被害を公表している。
3 位: エムケイシステムへのランサムウェア攻撃、個人情報保護委員会が行政指導
原因:不正アクセス
件数:7,496,080 人
https://scan.netsecurity.ne.jp/article/2024/04/03/50811.html
2023 年の情報漏えい界隈を震撼させたエムケイシステムへのランサムウェア攻撃だが、公式からの規模の公表は行われなかった。しかし後日、個人情報保護委員会が行政指導を行ったことで、ようやくその被害規模が明らかになった。
2 位:ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入
原因:不正アクセス
件数:最大 7,784,999 件
https://scan.netsecurity.ne.jp/article/2024/05/16/51008.html
中国地方に住んでいた筆者には馴染みが深いゆめタウンだが、ランサムウェア攻撃で発注システムにも支障があり食品売場で一部品薄状態が発生していたそうだ。
1 位: 位置情報 SNS「NauNau」で個人情報が閲覧可能な状態に、GMOイエラエが調査
原因:システム管理上のミス
件数: 11,448,280 件
https://scan.netsecurity.ne.jp/article/2023/12/25/50397.html
株式会社モバイルファクトリーではその後、同社 100 %子会社で位置情報 SNS「NauNau」を提供する Suishow株式会社の元株主で現代表取締役の片岡夏輝氏に訴訟提起を行っている。
位置情報 SNS「NauNau」で個人情報が閲覧可能な状態に、子会社 代表取締役を訴訟提起
https://scan.netsecurity.ne.jp/article/2024/04/08/50834.html
2024 年で最も被害規模が大きかったのは、Suishow株式会社が提供する位置情報 SNS「NauNau」で個人情報が閲覧可能な状態であったというものだ。厳密には 2023 年に発覚した事案だが、被害規模まで明らかになった記事が 2024 年に掲載されたため 2024 年の扱いとしている。だから、2 位のゆめタウン運営イズミへのランサムウェア攻撃が、実質的には 2024 年に起きた事案のトップとして扱って良いだろう。
それにしても、こうして 1 年分を振り返ってみると、1 位 1,000 万人、2 位、 3 位は 700 万人、4 位は 400 万人、5 位は 200 万人を超えるという大盤振る舞いに、身が引き締まる筆者であった。
● 2024 年に最も読まれた記事
2024 年の記事閲覧数ベスト 10 は下記の通りである。
【 2024 年 閲覧数ベスト 10 】
10 位:護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
16,320 ページビュー
https://scan.netsecurity.ne.jp/article/2024/05/07/50956.html
海上自衛隊の護衛艦いなづまの艦長(当時)が、特定秘密の情報を取り扱う資格のない隊員 1 名を特定秘密取扱職員に指名し、戦闘指揮所(CIC)で特定秘密の情報を取り扱わせていたというものだが、防衛省がこういった懲戒事案をウェブサイト上で公表することが筆者にとっては驚きだった。
9 位:イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい
18,278 ページビュー
https://scan.netsecurity.ne.jp/article/2024/07/17/51316.html
2024 年を代表する情報漏えいと言っても過言ではない株式会社イセトーへのランサムウェア攻撃に関する記事がベスト 9 にランクイン。日本生命保険相互会社では拠出型企業年金保険の加入者1団体・11名の個人情報が漏えいの対象となっている。
8 位:「ミニストップオンライン」で顧客の個人情報が閲覧可能に
20,519 ページビュー
https://scan.netsecurity.ne.jp/article/2024/01/04/50424.html
店頭受取商品の受注確定時におけるデータ加工ミスが原因で、「ミニストップオンライン」のマイページにログイン後に、他の顧客の購買履歴を閲覧できたというものだ。ミニストップ株式会社では事象確認後に当該サイトを閉鎖し、復旧作業を完了させて一部ページの公開を再開したが、今度は店頭受取クリスマス商品のリマインドメールに記載されたURLに誤りがあり、「マイページ」アドレスをクリックすると他の顧客の購入情報が閲覧できる状態であったことが判明し、再度「ミニストップオンライン」を一時閉鎖している。
7 位:富士通の複数の業務パソコンに高度な手法で攻撃を行うマルウェア、複製指示のコマンドを実行し拡大
24,211 ページビュー
https://scan.netsecurity.ne.jp/article/2024/07/23/51351.html
富士通株式会社の業務パソコン1台にマルウェアが蔵置された後、当該パソコンを起点に他の業務パソコンに影響を広げるマルウェアの挙動を確認しているそうだ。当該マルウェアはランサムウェアではないが、様々な偽装を行って検知されにくくするなど高度な手法で攻撃を行う類のもので、発見が非常に困難な攻撃であったとのこと。富士通を攻撃するために準備されたマルウェアででもあったのか。
6 位:再発防止策「Google Forms を使わない」
25,466 ページビュー
https://scan.netsecurity.ne.jp/article/2024/08/07/51439.html
株式会社Brave groupでは今後、個人情報を含む情報を取得するアンケートでは、Google Formsではない、メンバーを限定した利用が可能な外部サービスの利用を検討するとのことだ。
5 位:契約即時解除 ~ 業務委託コンサルタントの PC がマルウェア感染
30,881 ページビュー
https://scan.netsecurity.ne.jp/article/2024/09/05/51586.html
被害件数ワースト 10 位に読者の注目が集まった。
4 位:発覚後も繰り返し攻撃が行われる ~ KADOKAWA グループへのランサムウェア攻撃
38,666 ページビュー
https://scan.netsecurity.ne.jp/article/2024/06/24/51185.html
一般紙誌でも話題となった KADOKAWA グループへのランサムウェア攻撃に関する記事が 4 位にランクイン。
3 位:急増するイオンカード不正利用、被害顧客への対応が十分に追いつかず
44,007 ページビュー
https://scan.netsecurity.ne.jp/article/2024/12/06/52009.html
株式会社イオン銀行では、急増するイオンカードの不正利用に対し、セキュリティ体制の強化や専用相談窓口「詐欺被害相談ダイヤル」の開設などの対応を進めているが、被害に遭った顧客への対応が十分に追いついていないと謝罪している。
2 位:再発防止策「VPNを使用しない」株式会社イセトー
59,829 ページビュー
https://scan.netsecurity.ne.jp/article/2024/10/15/51760.html
2024 年を代表する情報漏えいと言っても過言ではない株式会社イセトーへのランサムウェア攻撃に関する記事が堂々の 2 位に。侵入経路となった VPN を使用しない体制とし、さらに認証強化を図り不正アクセスが起こらない環境を構築予定とのことだ。
1 位:データ消去装置による消去が SSD には効果がないことを知らず廃棄先事業者に引き渡し
72,432 ページビュー
https://scan.netsecurity.ne.jp/article/2024/12/05/52001.html
南医療生活協同組合 総合病院 南生協病院では、担当者がデータ消去装置によるデータ消去作業を行ったが、同装置が HDD に対して有効なもので、SSD には効果がないことを知らず、SSD のデータ消去が適切に行われないまま廃棄先事業者に引き渡してしまったというものだ。担当者は恐らく、院内のマニュアル的なものに従って、真面目に粛々とデータ消去作業を行った上で廃棄先事業者に引き渡したのであろう。もっといい加減な事例が沢山あることを思うと、少し気の毒に思ってしまう。
1 位の「データ消去装置による消去が SSD には効果がないことを知らず廃棄先事業者に引き渡し」は、本稿で取り上げている情報漏えいというカテゴリを飛び出し、ScanNetSecurity 全体の記事ランキングでも堂々の 2 位であった。また、ベスト 10 の記事は全て 1 万ページビュー超えで、零細媒体 Scan ではその月の 1 位となってもおかしくない数字であった。
● ランサムウェア攻撃
2024 年に SCAN で取り上げたランサムウェア感染に関する記事は同一法人の続報も含めて 145 件で 23.9 %を占めた。2023 年は 69 件で 11.1 %、2022 年は 50 件で 8.8 %、2021 年は 43 件で 6.7 %であった。筆者としても「まるでランサムウェア攻撃のバーゲンセールだな」と感じていたが、まさか SCAN の漏えい記事の 4 分の 1 近くを占めるにまで至っているとは思いもしなかった。こうして 1 年を振り返ってみると色々な発見がある。
● 2024 年のカード情報漏えいの新潮流
