実際にあった情報漏えいの被害事例まとめ

実際にあった情報漏えいの被害事例まとめ Damage-case-of-information-leakage

情報漏えいは企業だけでなく、個人レベルでも力を入れなければならない状況になってきています。情報漏えいの具体的な対策を考えるにあたっては、実際にどのような情報漏えいのトラブルが起きているか知ることが重要です。
では、サイバー犯罪で頻発する情報漏えいとはどのようなものがあるのでしょうか。実際にあった情報漏えいの被害を知ることで、企業の担当者は周りに伝えることができます。
今回は、インターネットニュースやセキュリティ会社・日本ネットワークセキュリティ協会の公表するものから、今後知っておいて損のない多大な被害を出したアクシデント及び大惨事になる可能性があった情報漏えいのインシデント事例とその原因について紹介します。

Webセキュリティにおける情報漏洩とは？
1.IDやパスワード使いまわしが原因の情報漏えい
2.200億円が解決に必要？2000万人以上の情報漏洩インシデント
3.2011年には7000万件越えの情報が漏えい！電気メーカーの悲劇
4.人為的なミスが原因！情報持ち出しによる漏えい被害
5.銀行での資料紛失！口座番号も！のべ4万人近い情報漏えい
6.婚活が周囲に知られる情報漏えい！地方自治体のミスが原因
7.車上荒らしが原因で情報漏えいに発展したケースも
8.大阪大学にサイバー攻撃！7万人の情報が漏えい
9.3300人分の情報漏えい！NHK職員による落ち度？
10.クレジットカード会社の派遣社員による悪用が原因の情報漏えい
11.1万人以上のクレジットカード情報が漏えいしたアクシデント
12.会員アカウント約30万件に不正ログイン
13.脆弱性診断がきっかけで情報漏えいが発覚
14.偽決済フォームへ誘導されたことによる情報漏えい
情報漏えいを防ぐには何を意識すればよいのか
- 15-1.情報漏えいの多くが人災によるもの
- 15-2.仮に情報漏えいが発生しても素早く対応する
過去の事例から学ぶことで強い情報漏えい対策につながる
おすすめの情報漏えい対策

Webセキュリティにおける情報漏洩とは？

企業が意識すべきwebセキュリティの目的は、「情報漏えい」を防ぐことにつきます。企業が保管している顧客データは、犯罪者が悪用してお金に換えることができる情報にあふれています。顧客の住所や性別、勤務先に限らず、場合によって銀行口座やクレジットカード等の重要な情報が漏えいするリスクがインターネット上に潜んでいます。

1.IDやパスワード使いまわしが原因の情報漏えい

銀行口座やクレジットカードの情報を預かっていない企業では特に、webセキュリティは重要です。近年トラブルが多くなっている「なりすまし」という不正ログインの事件があります。実は、この原因も情報漏えいによるものが多いです。関係ないサイトや企業HPから漏えいしたIDやパスワードが、他サイトで犯罪者が用いることで発生するトラブルです。顧客自身のID・パスワードの使いまわしが原因ですが、注意が必要です。メディアで報道されている情報漏えいのニュースは、この危険をはらんでいるものだという認識が求められます。

2.200億円が解決に必要？2000万人以上の情報漏洩インシデント

2014年に教育サービスを提供している企業ベネッセコーポレーションが、顧客の情報を漏えいした事件があります。同社のグループ企業に務める派遣社員による故意の犯行でした。システムエンジニアとして働いていたため、職務上、扶養されていた権限を悪用して顧客情報を盗み出しました。事件発覚後は、この教育サービスを提供する企業は顧客にお詫びをするための対策費用に200億円を要すると報道されました。

https://www.nikkei.com/article/DGXNASDZ17074_X10C14A7000000/

3.2011年には7000万件越えの情報が漏えい！電気メーカーの悲劇

2011年には、世界規模で暗躍しているハッカー集団のサイバー攻撃により、電機メーカーソニー株式会社と株式会社ソニー・コンピュータエンタテインメントが7700万件以上の顧客情報を漏えいしたアクシデントがありました。システムの脆弱性をついたサイバー攻撃で、情報漏えいによる被害は2兆円以上と報道されました。さらにイメージダウンを恐れたソニーは、被害の情報公開を遅らせたことも発覚し、批判を集める結果にもなりました。

https://internet.watch.impress.co.jp/docs/news/443979.html

4.人為的なミスが原因！情報持ち出しによる漏えい被害

2014年には、顧客情報を多く抱えている企業の職員が引き起こした情報漏えいがあります。コミュニティサイトの委託業務を行っているワイモバイル社員が業務用のパソコンを紛失しました。ロックがかけられているパソコンでしたが、1000人以上の顧客情報がパソコンには含まれていました。同年に同様の事件として、亀田総合病院に勤める職員が、入院患者のカルテデータを紛失したという騒ぎもありました。職員がUSBメモリにデータを入れて持ち出したことが原因です。またUSBメモリにパスワード設定がなされていなかったことも非難が集中しました。ともにインシデント案件で表立った被害にはつながりませんでした。

https://www.rbbtoday.com/article/2014/08/15/122496.html

5.銀行での資料紛失！口座番号も！のべ4万人近い情報漏えい

2013年には、地方銀行でも情報漏えいのアクシデントが発生したと日本ネットワークセキュリティ協会（JNSA）により公表されています。誤って情報が記載されている資料を破棄した可能性が高いと報道されています。資料にはおよそ3万8千人近い顧客情報が記載されていました。住所や電話番号だけではなく、利用している銀行口座の番号まで網羅されていたこともあり、反響は小さくありませんでした。

6.婚活が周囲に知られる情報漏えい！地方自治体のミスが原因

2014年には鳥取県の地方自治体主催の婚活イベントが悲劇を呼ぶことになりました。通常であれば申込者に対するメールは、BCCで送信することが一般的です。BCCにすることで、届いたメールが自分以外の誰に届いたかはわかりません。しかし、そのまま宛先に個人メールアドレスを入力した為、参加者の情報がお互いに分かることとなりました。

http://db.pref.tottori.jp/pressrelease.nsf/0/42FE582F10B90FCF49257CB40023CFE6

7.車上荒らしが原因で情報漏えいに発展したケースも

住宅の賃貸を請け負う企業の大和リビングは、車上荒らしのアクシデントがあったことから顧客情報の漏えいのインシデントに発展する事態となりました。同企業に勤める職員が、ランチタイムの休憩時に飲食店まで顧客資料を置いたまま出かけたことが原因でした。車上荒らしに遭い、被害を調べたところ100人近い顧客の情報が記載されている書類が紛失されていることが判明しました。

https://scan.netsecurity.ne.jp/article/2013/06/28/31965.html

8.大阪大学にサイバー攻撃！7万人の情報が漏えい

2017年には知名度の高い国立大学の一つ、大阪大学でも情報漏えいによる規模が大きなインシデントが起きてしまいました。大阪大学では6週間にわたり、海外サーバーを経由して大学サーバーがサイバー攻撃を仕掛けられていました。その攻撃による被害として、不正アクセスにより7万人の個人情報を盗み出されてしまいました。名前が知られる施設や企業は、サイバー攻撃の対象になりやすいです。

9.3300人分の情報漏えい！NHK職員による落ち度？

NHKでは委託先従業員による個人情報の紛失インシデントがありました。2017年の秋に、同従業員が顧客情報について記載されていた書類を紛失したと報道されました。紛失した書類には3300人分の個人情報が記載されていました。住所や氏名、電話番号、さらには支払いに用いるクレジットカードの情報もあったことから事の深刻度は低くはありません。

10.クレジットカード会社の派遣社員による悪用が原因の情報漏えい

クレジットカード会社のコールセンター「ベルシステム」に勤める契約社員が、顧客の情報を不正に使用する犯罪もありました。コールセンターの業務で知り得た顧客のクレジットカード番号とセキュリティコードなどを、悪用目的で盗み出したというものです。顧客のクレジットカードにより購入した商品の額は900万円近くにのぼりました。情報セキュリティ部門に関連する部署の職員犯行により、社会的にも大きく騒がれました。

https://ja.wikipedia.org/wiki/ベルシステム24事件

11.クレジットカード情報が1万人以上漏えいしたアクシデント

2017年の夏には、盗まれたクレジットカード情報で不正利用される事件もありました。ECサイトのサービス提供を行っているジェネシス・イーシーが一万人以上の顧客クレジットカード情報を盗まれました。有効期限やセキュリティコードも含まれており、実際にはカードを不正利用される被害者も出ました。さらに、情報公開や対策を二週間近く遅らせた対応にも大きな波紋が広がりました。

https://www.jcb.jp/topics/oshirase_genesis-ec_20170829.html

12.会員アカウント約30万件に不正ログイン

任天堂株式会社が提供するサービスの「ニンテンドーネットワークID（NNID）」のユーザーアカウント約30万件が不正ログインされ、個人情報が第三者に閲覧された可能性がある事件もありました。個人情報などを閲覧されただけでなく、不正な取引を行われる被害も出てしまいました。

https://www.nintendo.co.jp/support/information/2020/0424.html

13.脆弱性診断がきっかけで情報漏えいが発覚

独立行政法人国際協力機構（JICA）が一般財団法人日本国際協力センター（JICE）に運営業務を委託していた「ABEイニシアティブポータルサイト」に対して、脆弱性診断を実施したところ、過去に不正アクセスがあったことが確認される事件もありました。この不正アクセスによって、1984名の個人情報が漏えいしてしまいました。

https://www.jica.go.jp/information/info/2020/20200612_10.html

14.偽決済フォームへ誘導されたことによる情報漏えい

一般財団法人蔵王酪農センターが運営する「蔵王チーズオンラインショップ」において2019年12月、不正アクセスによってクレジットカード情報が漏えいしていることが判明しました。この情報漏えいの被害は「蔵王チーズオンラインショップ」で商品を購入しようとしたユーザが正規の決済フォームではなく偽決済フォームへ誘導され、クレジットカード情報を入力させることによって、情報を抜き取る手法の攻撃でした。

15.情報漏えいを防ぐには何を意識すればよいのか

情報漏えいに関する事件報道は毎年行われています。インターネットを活用するサービスやパソコンを使っていく以上、なくすことは難しいとも考えられます。しかし、ネットサービスの提供、ネットでの情報発信を行っている企業や人は取り組むべき問題です。それでは情報漏えいを防ぐには何をすればよいのでしょうか。情報漏えいを防ぐポイントについて紹介します。