2021年10月~12月に報道されたニュースの中から「情報漏洩」に関連したニュースをピックアップしてご紹介します。
エヴァンゲリオンシリーズの公式ECサイト、顧客のクレジットカード情報17,828件が流出
2021年12月2日: livedoorニュースより
有名なアニメ作品「エヴァンゲリオン」のECサイトを運営するグランドワークスが、顧客のクレジットカード情報が流出した可能性を発表しました。サイトを利用したことがある方はカードの利用明細をチェックするなど、不正利用に対する確認が必要です。不安があればカード会社に対応方法を相談しましょう。
グランドワークスは、同社が運営するエヴァンゲリオンシリーズのオフィシャル通販サイト「EVANGELION STORE(オンライン)」において、顧客のクレジットカード情報17,828件が流出した可能性があると発表しました。
出典:livedoorニュース
グラウンドワークスによると、2021年7月12日に一部のクレジットカード会社がEVANGELION STORE(オンライン)におけるカード情報流出の可能性を指摘していました。
その後の調査の結果、同社システムへの不正アクセスにより、2020年6月8日~2021年6月30日の期間に決済した顧客のクレジットカード情報が外部に流出し、第三者によりカードが不正利用された可能性が確認されています。
情報流出の被害にあった顧客は17,828名に達しており、以下の情報が漏洩した可能性があります。
https://news.livedoor.com/article/detail/21292066/
パナソニックのファイルサーバに不正アクセス、機密情報流出の恐れ
2021年11月30日:マイナビニュースより
外部からの不正アクセスによって、ファイルサーバに保存されていたデータの一部が盗み出されたというニュースです。
パナソニックは11月26日、自社の社内ネットワークが外部からの不正アクセスを受け、ファイルサーバに保存されていたデータの一部が盗み出された可能性があると発表した。流出しデータの中に、顧客の個人情報や社会インフラに関する機微な情報が含まれていないかについては、外部の専門機関の協力を得て調査中だという。
パナソニックによるプレスリリースは次のページで確認できる。ただし、不正アクセスの経緯や流出したデータなどに関する詳細は記載されていない。パナソニックの広報担当者の発表によると、最初に異常が検出されたのは2021年11月11日だが、調査の結果、不正アクセスは同6月22日から11月3日までの間に複数回にわたって行われた可能性があるという。侵害されたファイルサーバには会社の技術情報や取引先に関する情報、従業員の個人情報などが保管されていたとのことだが、そのうちのどのデータが流出したのかなどは調査中とのことだ。
出典:マイナビニュース
https://news.mynavi.jp/article/20211130-2208699/
デジタル庁メールを“CC”で一斉送信する初歩的ミスで情報漏洩
2021年11月25日:MONEY VOICEより
典型的な人的ミスによる情報漏洩です。どんなにセキュリティシステムが高度になっていっても、それを利用する人材に対する教育や研修が重要であることがわかります。
国や地方行政のIT化やDX推進を目的として設立されたデジタル庁が、報道機関に向けてメールを一斉送信しようとした際に、送信先のアドレスを“CC”に記載してしまうというミスをしてしまい、アドレス400件を外部流出させていたことが判明した。
出典:MONEY VOICE
報道によると、誤送信は24日午後2時40分ごろに発生。牧島かれんデジタル相がデンマークとデジタル分野における協力覚書を締結したという内容のプレスリリースを送信した際に、上記のミスによって、報道各社の担当者約400人分のアドレスが同庁のメーリングリストの登録者には閲覧できるようになっていたという。
https://www.mag2.com/p/money/1128989
経済同友会事務局に不正アクセス。メールなど計4千件流出か
2021年11月19日
経済同友会は昨年8月から計3回、身代金要求型のコンピューターウイルス「ランサムウェア」によるサイバー攻撃を受けていたそうです。クラウド型などのサーバーで不正アクセスが起きた可能性を知らせる警報が鳴り、今月15日に不正アクセスをされた可能性が高いという調査結果が公表されました。
経済同友会は19日、事務局の情報システムに不正アクセスがあったと発表した。会員の経営者や、事務局職員、行政関係者らの個人情報が流出した可能性が高いとしている。
流出した可能性があるのは、職員のノートパソコン数台に入っていた会議の案内状や議事録といった文書ファイルや、メールなど計約4000件。経営者や行政関係者らの氏名や年齢、電話番号、メールアドレスなどが含まれていた。出典:読売新聞オンライン
情報システムの保守委託会社などの指摘により、15日に情報が流出している可能性があると判明。19日に警視庁などに連絡した。
https://www.yomiuri.co.jp/economy/20211119-OYT1T50214/
杏林堂薬局のオンラインショップが個人情報6882件流出。サイト委託先に不正アクセス
2021年11月13日:静岡新聞社より
サイト運用の委託先が不正アクセスを受け、個人情報が流出したというニュースです。オンラインショップで個人情報が流出した場合、クレジットカードの不正利用等、被害が拡大してしまう恐れがあります。
ドラッグストアの杏林堂薬局(浜松市中区)は12日までに、「杏林堂オンラインショップ」の運営委託先が不正アクセスを受け、顧客のクレジットカード情報322件、個人情報6882件が流出した可能性があると明らかにした。一部のクレジットカード情報は不正利用された可能性があるという。
同社によると、流出や不正利用の可能性があるのは3~8月に同オンラインショップでクレジットカード決済をした顧客のカード情報のほか、2011年3月~21年8月に同サイトを利用した顧客の氏名や住所、メールアドレスなど。
サイトの管理は、東芝テック(東京都)に委託して導入したジーアール(京都市)のシステムで運用していた。21年9月3日に同じシステムを使う他の事業者で流出した可能性が分かり、調査を経て判明した。
杏林堂薬局はオンラインショップを閉鎖し、対象の顧客には個別に連絡している。同社のポイントカードや他の通販サイトなどは別のシステムで運用しているために影響はないという。
同じシステムを使っていた企業としては、県内を含む1都14県でスーパーなどを展開するベイシア(群馬県)が約25万件の個人情報が流出した可能性があると発表している。
出典:静岡新聞社
https://news.yahoo.co.jp/articles/6c7cc65ead3dfc0a50e8ee18e43a21892474dfc9
ライトオンに不正アクセス、24万7600人分の顧客情報流出
2021年11月5日:日経クロステックより
ライトオンのオンラインショップが不正アクセスを受け、24万人の個人情報が流出しました。不正アクセスを断続的に受けていた形跡があったようです。
サイバーセキュリティクラウド の調査結果によれば、 「小売」業界での被害事案が多い傾向が報告されています。担当者はとりわけ注意が必要です。
カジュアル衣料のライトオンは、同社が運営する公式オンラインショップが不正アクセスを受け、24万7600人分の顧客情報が流出したと2021年11月4日に発表した。同社によると、流出した顧客情報を不正に流用するといった二次被害は現時点で確認していないという。
外部に流出したのは、公式オンラインショップなどの利用に当たって、会員登録フォームから登録されたライトオンメンバーズ情報の一部。具体的には、名前や電話番号、住所、生年月日、性別、メールアドレスが流出した。クレジットカード情報は含まれていない。
同社が不正アクセスを確認したのは2021年10月27日。調査を進めたところ、10月23日以降、第三者による不正アクセスを断続的に受けていた形跡を確認した。
10月28日にセキュリティー強化に向けた対策を実行したが、翌日に不正アクセスを再び確認したため、アクセス元からの通信遮断といった対策を施した。11月3日に警察に通報し、個人情報保護委員会にも報告した。情報流出を確認した顧客には個別に案内している。
出典: 日経クロステック
https://xtech.nikkei.com/atcl/nxt/news/18/11590/
三菱電機に不正アクセス 顧客情報の一部流出
2021年10月22日: 時事通信社 より
流出したと発表された情報は、 三菱電機インフォメーションシステムズの日本国内顧客の情報の一部とのことです。
三菱電機は22日、グループ共通のネットワークが不正アクセスを受け、情報システム子会社の三菱電機インフォメーションシステムズ(東京)の国内顧客情報の一部が外部に流出したと発表した。顧客への影響はないが、三菱電機は「ご迷惑とご心配をかけ深くおわびする」としている。
【引用元】https://www.jiji.com/jc/article?k=2021102201108&g=eco
三菱電機によると、今月8日に通常とは異なる海外からのアクセスを検知、15日には流出した情報を特定した。顧客には報告済みで、アクセス遮断などの対策も実施した。
テレビゲーム実況配信サービス「Twitch(ツイッチ)」で情報漏洩
2021年10月7日:日本経済新聞の記事より
流出したとされる情報は、 テレビゲーム実況配信サービス「Twitch(ツイッチ)」 のソースコードや未発売のゲーム、ゲーム実況動画の配信者が2019年以降に稼いだ金額のリストなど。
米アマゾン・ドット・コム傘下のテレビゲーム実況配信サービス「Twitch(ツイッチ)」で大規模な情報漏洩が起きたことが6日、分かった。米メディアによるとツイッチ自体のソースコードや配信者がサービス上で稼いだ金額のリストなどが含まれる。同サービスは1日に平均3000万人超が利用するとされ、アマゾンにとっても信頼が揺らぐ事態となりかねない。
情報漏洩はハッカーとみられる匿名の人物による画像掲示板サイト「4chan」への投稿で発覚した。米メディアによると、この人物は投稿の中でツイッチを「うんざりするような有害な巣窟だ」と批判。アマゾン創業者のジェフ・ベゾス氏をからかうような画像を加えつつ、大量のデータを流出させたと主張した。
引用元:https://www.nikkei.com/article/DGXZQOGN06F4P0W1A001C2000000/
流出したファイルにはツイッチのソースコードや未発売のゲーム、ゲーム実況動画の配信者が2019年以降に稼いだ金額のリストなどが含まれるとされる。ユーザーのパスワードや電子メールアドレスなどの個人情報は含まれていないもよう。ただ、匿名の投稿者は今回流出させたデータは漏洩済みの情報の一部にすぎないと主張しているとも報じられている。
「Twitch(ツイッチ)」 は1日に平均3000万人が利用するサービスで、流出した情報の中にユーザーの個人情報は含まれていないようです。
クレカ情報流出19万件
2021年10月5日:日本経済新聞の記事より
不正検知サービスのかっこ株式会社が実施した調査で、2021年1~8月に国内で発覚したクレジットカードの情報流出件数が約19万件と前年同期比で約10倍に増えたことが分かった。電子商取引(EC)を手がける中小企業の被害が増加。新型コロナウイルスの流行に伴う経済活動の停滞で20年は減少したが、不正行為が再び活発化している。
引用元:https://www.nikkei.com/article/DGKKZO76329000U1A001C2TEB000/
2021年3月には一般社団法人日本クレジット協会から最新のクレジットカード不正利用被害状況も公開されていますが、かっこ株式会社の調査によれば、2021年1~8月の8か月間で19万件ものクレジットカード情報が流出していたようです。
前年同期比で10倍とは驚きですね。クレジットカードの情報流出には、大きく分けて2つのケースがあります。
1つ目は、企業やSNSなどに預けた個人情報が何らかの原因で漏洩するケースです。2つ目は、フィッシング詐欺などで ユーザー自身がクレジットカード情報を盗み取られるケースです。
1つ目については、個人ができる対策はありませんが、日ごろから情報流出のニュースや企業からのお知らせをチェックし、被害が発生する前に早期対応することが重要です。
2つ目のフィッシングについては、 巧妙なスパムメールによってAmazonやメルカリ、銀行等のニセモノWebサイトへ誘導され、カード番号やパスワードを入力させられてしまうものです。
「有効期限が切れました」「緊急のご連絡」など、人を急かすようなタイトルのメールには、特にご注意ください。
同様の手口としてチェックしておいてほしいのが、ファーミングと呼ばれるものです。
ファーミングとは、ユーザーのコンピュータに直接侵入してhostsファイルを書き換えたり、サーバに虚偽の情報を書き込むなどの方法で、ユーザーが正しいURLを入力しても自動的に偽サイトに誘導するという手口です。
警戒心なく情報を入力してしまう可能性が高く、より危険度の高い手法です。このファーミングの手口を用いた詐欺も近年増加傾向にありますので、知識として把握しておいた方がよいでしょう。
