1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. セキュリティインシデント 事例【2024年】

セキュリティインシデント 事例【2024年】

セキュリティニュース

投稿日時: 更新日時:

セキュリティインシデントの事例【2024年】

過去の記事において2022年2023年のサイバー攻撃やランサムウェア攻撃、メール誤送信やUSB紛失などで発生したセキュリティ インシデントの事例を紹介しました。

今回の記事では2024年のセキュリティインシデントの事例を紹介していきます。最新の内容も記載しておりますのでぜひご覧ください。

目次

セキュリティインシデントとは?

セキュリティ インシデントとは不正アクセスによる情報漏洩の他に、システムの設計ミスや意図しないシステム動作により情報セキュリティに関する重大事故につながる事例の事を意味します。

2024年のセキュリティインシデントの動向

トレンドマイクロの調査によると、2024年の上半期の被害傾向の特徴の一つとして、クラウド環境への侵害事例が過去に比べて多かったことを挙げています。

被害の内容としては、クラウドサービスの停止や情報漏えい、データの削除、スパムメールの踏み台、Web改ざん、など多岐に渡るとしています。

被害が増えている要因としては、業務において使用するクラウドサービスやアカウントの数が増加していることが挙げられ、クラウド環境への攻撃の要因としては、不正ログインの増加がその一因を担っているとのことです。

サイバー攻撃によるセキュリティインシデント

以下特徴的なサイバー攻撃によるセキュリティインシデントの事例です。

2024年のサイバー攻撃によるセキュリティインシデントの事例は下記の記事で採り上げていますので、ご参照ください。

KADOKAWA「ニコニコ動画」へのサイバー攻撃によるセキュリティインシデント 事例

2024年6月14日 ニコニコ動画やKADOKAWAグループ会社へサイバー攻撃とランサムウェア攻撃が行われ、N高生の一部個人情報が漏洩しました。

その後ランサムウェア攻撃グループのBlackSuit(ブラックスーツ)が関わっており、同グループのリークサイトで摂取した個人情報を公開しました。

KADOKAWA「ニコニコ動画」へのサイバー攻撃によるセキュリティインシデントで漏洩した個人情報

BlackSuit(ブラックスーツ)によると以下個人情報を窃取したとしています。

・Vtuberの個人情報(本名、住所、電場番号)

・ニコニコ超会議の振り込み履歴

・ニコニコ動画のNGワードリスト

・有名配信者への依頼書・企画書

・業務マニュアル

・契約書

・N高に関する契約書類や業務書類、N高の学生と思われる個人情報(電話番号、住所、保証人の名前や住所)と保護者の情報

・ドワンゴ従業員のマイナンバーや免許証情報を含む個人情報

関連記事

ランサムウェア BlackSuit (ブラックスーツ)とは 概要や事例、国などを解説

モバイルSuicaのセキュリティインシデント 事例

2024年5月10日JR東日本は、10日午後5時半ごろから、運賃の支払いなどを行う「モバイルSuica」でアプリでのチャージがしにくくなるなどの障害が起きてました。後日のプレスリリースでサイバー攻撃によるインシデントであることが発表されました。

太陽工業株式会社のセキュリティ インシデント 事例

2024年7月1日 太陽工業株式会社がサイバー攻撃の被害にあい、個人情報漏えいの可能性を発表しました。このサイバー攻撃・ランサムウェア攻撃は「8Base」が犯行声明を出しています。

2024年7月1日時点では、内容を特定することは出来ておらず、その後の調査により情報漏洩の可能性があるため、個人情報保護委員会への届出を行うとともに、本件を徹底的に調査し、早期の解明と、再発防止にむけての、今後のあらゆる予防措置を講じて対応中とのこと。 

ニデックのグループ会社「ニデックインスツルメンツ株式会社」のセキュリティ インシデント 事例

2024年6月10日 ニデックのグループ会社「ニデックインスツルメンツ株式会社」が5月にサイバー攻撃を受け、ランサムウェアの被害を受けた事を発表しました。

ランサムウェアグループの「8Base」は自身のリークサイトで、株式会社イセトーとニデックのグループ会社「ニデックインスツルメンツ株式会社」への不正アクセスとランサムウェア攻撃を行ったとする主張を発表しています。

岸和田スポーツが運営するECサイト「Kemari87KISHISPO」のセキュリティインシデント 事例

2024年5月14日 株式会社岸和田スポーツが運営するECサイト「Kemari87KISHISPO」が不正アクセスにより13,879名分のクレジットカード情報と38,664名分の顧客情報が漏洩した事を発表しました。

個人情報漏洩の原因

「Kemari87KISHISPO」のシステムの一部の脆弱性を利用するために第三者が2021年2月21日から2021年2月24日にかけて不正注文を行い、注文データの参照が行われたことを起点として不正なスクリプトが実行されたとしています。

なお、ECサイトの注文フォームを利用した不正アクセスはXSSなどの脆弱性を突く、クロスサイトスクリプティングの可能性が高いです。

内部不正によるセキュリティインシデント 事例

プルデンシャル生命保険 元社員による顧客情報の持ち出し

概要

プルデンシャル生命保険株式会社の横浜支社に在籍していた元社員が、退職時に個人情報の持出しが無いことについて誓約書へ署名していたにもかかわらず、業務引継ぎの際に使用した顧客管理リストを印刷し、退職後も不正に自宅にて保管をしていたことが判明。2023 年 9 月にプルデンシャル生命保険の契約者から本件個人情報漏えいの疑いに関する問合せがあり、プルデンシャル生命保険にて調査をしたところ、当該元社員が転職先企業に本件顧客管理リストを持ち込み、当該企業の営業活動に一部使用していたことが判明。

漏えいが発生した個人データの項目

契約に関する以下の情報
・契約者の氏名、電話番号、住所、加入商品名、証券番号、団体名(団体加入がある場合)、ご加入商品のステータス、被保険者さまの氏名。

・顧客数 979 名(契約者・被保険者)

二次被害の有無

プルデンシャル生命保険による確認では、本件個人情報漏えいに伴う二次被害の発生は確認されておらず。元社員の転職先企業は本件顧客管理リストから、計8名のプルデンシャル生命保険の顧客にに対して営業電話の架電を実施したが、その後、当該顧客管理リストはすべて廃棄処分がなされたことを確認。

対応方法

本件発覚後、速やかに金融庁ならびに個人情報保護委員会に本件を報告し、警察にも相談。また、該当する顧客のうち、プルデンシャル生命保険から連絡が可能な顧客に個別に郵送等にて連絡を実施。

当社元社員によるお客さまの個人情報の漏えいに関するお詫びとお知らせ

NTT西日本 900万件を超える個人情報流出

概要

NTTビジネスソリューションズ(以降、「BS」と記載)に派遣されていた運用保守業務従事者(元派遣社員)がシステム管理者アカウントを悪用し、業務端末等からサーバにアクセスし、NTTマーケティングアクトProCX(以降、「ProCX」と記載)の複数のクライアントの顧客情報(顧客数:928万件 クライアント数:69)を約10年にわたり、不正に持ち出し、第三者に流出させていたことが判明。

なお、元派遣社員は情報を名簿業者へ売却し、2,000万円以上を受け取っていた疑いがもたれている。

経緯

  • 2013年7月-2022年4月 BSに派遣されていた元派遣社員による顧客の不正持ち出し(2023年2月頃まで)。クライアントの1社からProCXに対し、「自社のお客さま情報が流出している可能性あるので、社内調査を実施いただきたい」旨の依頼を受け、ProCX及びBSにおいて調査を実施。当時の不適切な調査により、漏えいに関する事実を把握することができず、流出の問題がない旨、当該クライアントへ報告 (以降、当時の不適切な調査を「過去調査」と記載)。
  • 2023年7月13日 元派遣社員の勤務先(BS拠点)に対し、警察が捜査を実施
  • 同年10月17日 ProCX、BS「クライアントさまのお客さま情報の流出について」公表。NTT西日本 「当社のお客さま情報の流出について」公表
  • 同年12月19日 ProCX、BS「クライアントさまのお客さま情報の流出について」続報公表。(クライアントさまへの紐づけ作業の結果)
  • 2024年1月24日 (個人情報保護委員会)ProCX、BSに対する勧告および指導
  • 同年1月31日 BSに派遣されていた元派遣社員の逮捕 (2024年2月21日起訴)
  • 同年2月9日 (総務省)NTT西日本に対する行政指導
  • 同年2月29日 ProCX、BS 個人情報保護委員会の勧告に対する報告

「過去調査」検証結果の詳細内容

過去の不適切な調査(「過去調査」)において、顧客に提出するエクスポートログの一部のカラムをSEの判断で削除するなどの改変をしていたり、顧客に虚偽の回答をしていたりといった行為を行っていたことが判明。しかし、2023年7月からの調査では、ヒアリングでの供述内容に食い違いがみられるなどで十分な解明に至らなかった。

本件による影響

総務省は流出した900万件以上の個人情報にNTT西の顧客情報の約120万件が含まれていた点について、電気通信事業法とNTT法上、適切でないと判断。子会社を含めた個人データの委託先に対する監督の強化なども求めた。また、同問題の責任を取る形でNTT西日本の森正彰社長が辞任。

お客さま情報の不正持ち出しを踏まえたNTT西日本グループの情報セキュリティ強化に向けた取組みについて

調査報告書

メール誤送信による セキュリティ インシデント 事例

大塚商会 メール誤送信

概要

大塚商会の社員が「たよれーるサービス」および複合機保守の顧客にエンジニアを円滑にアサインする社内システムを構築する目的で使用した業務上必要なファイルをメールに添付し送信する際に、添付ファイルの内容および宛先の確認を怠り、社外の特定の1名に誤って送信。

経緯

  • 送信日時:2024年2月14日 17:25
  • 誤送信発覚日時:2024年2月19日 11:00
  • 漏えいした個人情報の数:2,687名分
  • 漏えいした個人情報の項目:顧客氏名
  • ※顧客住所、電話番号、メールアドレス、取引内容等の記載は無し

原因

大塚商会社員がファイルに個人情報が記載されているシートが含まれていることに気付かなかったこと、宛先のメールアドレスを手入力した際に誤入力し、送信前に宛先のメールアドレスの確認を怠り、ファイルを添付して送信したことによるもの。

対応状況

個人情報が漏えいした2,687名の顧客に対して、メールおよび郵送にて個別に謝罪のご連絡を行う。そのうち2,451名の顧客とは直接連絡が取れているが、236名の顧客には連絡が取れていない。4月19日時点での二次漏えいは確認されていない。

メール誤送信に関するお詫びとお知らせ

SBJ銀行 メール誤送信

概要

2024年4月19日(金)12:30頃にSBJ銀行から顧客に送信したEメールについて、誤送信の発生を確認。

対象のEメール

発信日時:2024 年 4 月 19 日(金) 12:30 頃 発信。 タイトル:『★残り 11 日★~一度でも優勝すれば金利年 0.55%!~スポーツ選手応援定期預金キャンペーン実施中[SBJ 銀行からのお知らせ]』

経緯

2024 年 4 月 19 日(金)12:40 頃、当行コールセンター宛に誤った氏名の記載されたE メールを受信した旨の申し出があり、行内調査の結果、誤送信の発生(宛先 8,386 件)が発覚。

原因

対象の E メールリスト作成の際の誤作業

誤送信内容

E メール本文の「お客さま氏名」に、誤ってEメールを受信された顧客とは異なる氏名を記載して発信。

対応状況

2024 年 4 月 19 日(金)、誤った E メールを受信した顧客に、本件に対するお詫びおよび 対象E メールの削除を依頼する内容でEメールを発信。

E メール誤送付についてのお詫び(続報)

何をすれば誤送信対策になるか

メール誤送信対策ツールを提供するオレンジソフトによると、

メール誤送信の防止策としては、送信ボタンをクリックする前に、メールアドレスを二重チェックすることが重要です。人為的ミスがサイバーセキュリティインシデントの主な原因です。米国セキュリティ会社の調査によると、サイバーセキュリティ侵害の74%は人為的ミスによると言われています。

すべてのエラーが壊滅的な結果につながるわけではありませんが、重大な損害をもたらす可能性はあります。そのため、電子メール通信の細部に注意を払うことは、データ セキュリティを維持する上で不可欠な要素となります。

と記載しており、誤送信対策ツールの導入やメールのオートコンプリート設定の停止が一般的な対策となります。

USBの紛失による セキュリティ インシデント 事例

神奈川県川崎市 個人情報入りUSBメモリの紛失

概要

2024年5月27日、神奈川県川崎市は個人情報100件以上を含む画像データを収録したUSBメモリ2個を紛失したと発表。

経緯

まちづくり局交通政策室では、ペーパレス化や過去の申請資料の検索を迅速化するため、過年度(平成5年度、平成17年度~平成28年度)に申請された駐車施設附置届出書等(紙資料)1,660件(同一の者からの申請を除くと664件)をスキャンしてハードディスクに保存するとともにバックアップのためUSB メモリに一時的に保存。令和6年5月16日(木)、担当職員がスキャンしたデータを保存するため、交通政策室内(本庁舎内執務室)の保管場所を確認したところ、USB メモリが保管されておらず、捜索の結果、USB メモリ2個(USB メモリ①、USB メモリ②)の所在不明が判明。

  • 3月 7日(木):担当者が USB メモリ①にスキャンデータを保存(最終使用日)
  • 5月16日(木):15時半頃、USB メモリ①の所在不明を覚知したことから担当者が上司へ報告し、交通政策室内での捜索に着手。また、当室所管の USB 台帳と現物を突合したところ、新たに USB メモリ②が所在不明であることが判明し、合わせて捜索に着手
  • 5月17日(金):引き続き所在不明の USB メモリ①②の捜索を継続。
  • ~5月24日(金):令和6年4月1日付けで当室から他部署へ異動した職員を含め、当室所属の全職員(30名)に対し聞き取り調査を実施。USB メモリ②については、最終使用者から、
    1月23日に使用後、データを削除して保管場所へ戻したことを確認。職員への聞き取りの結果、所在不明となっている USB メモリ①②の外部への持ち出しは確認されていない。
  • 5月27日(月):対象となる申請者へ今回の事案とお詫びを記載した通知を発送

所在不明の USB メモリに含まれる個人情報

〇USB メモリ①に保存しているもの

:申請総数1,660件(同一の者からの申請を除くと664件)、個人による申請件数:143件
・駐車施設附置(変更)届出書に記載の申請者情報(氏名、住所、電話番号)34件
・総合調整条例の事業概要書及び協議書に記載の申請者情報(氏名、住所、電話番号)100件
・大規模小売店舗立地法の規定による届出に記載の申請者情報(氏名、住所、電話番号)9件
・なお、上記のうち、同一個人の申請(変更)による重複を除いた件数は、128件
法人による申請件数:1,517件
・駐車施設附置(変更)届出書に記載の申請者情報(法人の代表者の氏名等)1,111件
・総合調整条例の事業概要書及び協議書に記載の申請者情報(法人の代表者の氏名等)326件
・大規模小売店舗立地法の規定による届出に記載の申請者情報(法人の代表者の氏名等)80件
・なお、上記のうち、同一法人の申請(変更)による重複等を除いた件数536件
※上記全て、届出書等をスキャンした「画像ファイル」として保存

〇USB メモリ②は庁舎移転時のデータ転送用で使用していたため、保存しているデータはなし。

原因

バックアップを目的に一時的に USB メモリにデータを保存していたが、USB メモリの利用記録を作成し、貸出返却を確実に行う管理を不注意により怠ったため所在不明となったもの。

個人情報を含むUSBメモリの所在不明について

NEXCO西日本関西支社によるUSBメモリの紛失

概要

  • 令和6年2月13日(火曜)10時頃に、USBメモリ(1個)が見当たらないことにNEXCO西日本関西支社社員が気づき、速やかに周辺を捜索したものの、発見に至らず。
  • 社内システムのログ等の解析の結果、紛失したUSBメモリには、個人情報が保存されていた可能性があることが令和6年3月5日(火曜)に判明。
  • USBメモリは暗号化していたものの、パスワードを当該USBメモリに貼付。
  • 本件については令和6年3月11日(月曜)に個人情報保護委員会に報告。

保存されていた可能性のある個人情報

  • 原因者負担金に関する情報 191名分(氏名、住所、法人名(法人に請求する場合)等)
    (※原因者負担金:事故等により道路を損傷させた方にその復旧費用の負担を求めるもの)

個人情報が保存されていた可能性のある記録媒体の紛失についてのお詫び

グーグルフォーム誤設定によるセキュリティインシデント 事例

阪神タイガースによる個人情報漏洩の可能性

2024年5月17日 株式会社阪神タイガースが、株式会社YTEに管理を委託するデータの一部が、クラウドサービス環境の誤設定により閲覧が可能な状態となっていたことにより、外部に漏えいした可能性を公表しました。

なお本インシデントで8,452件の個人情報が漏洩しました。

四国大学 「第24回ほいくまつり」申込フォームの誤設定による個人情報漏洩

2024年5月29日 四国大学は学内で開催された「第24回ほいくまつり」の申込フォームの誤設定で、個人情報を閲覧できる状態であった事を発表しました。

以下の89名の個人情報が漏洩しました。

・予約代表者名

・携帯電話番号

・メールアドレス

株式会社あわわ グーグルフォームの設定ミスによる情報漏洩の可能性

2024年3月8日 子育て情報誌「ワイヤー」を運営する株式会社あわわが、グーグルフォームの設定ミスにより95名の個人情報が漏洩した可能性があると発表しました。

松竹 グーグルフォームの誤設定で個人情報が閲覧できる状態

2024年6月17日 松竹株式会社が「大阪松竹座『船乗り込み』開催と乗船者募集のお知らせ」の応募に用いたグーグルフォームの誤設定で、外部から閲覧できる状態であったことを公表しました。

サーバの誤設定によるセキュリティインシデント 事例

ワークスタイルテック(カオナビ子会社) アクセス権限誤設定による個人情報漏えいの可能性

概要

ワークスタイルテック社のクラウドストレージに対するアクセス権限の誤設定により、2020年1月5日から2024年3月22日までの間、特定の条件下において、顧客がワークスタイルテック社のサービスを通じてアップロードしたファイルが外部からの閲覧およびダウンロードが可能な状態となっており、実際に2023年12月28日から同年12月29日の間において、第三者からの不正アクセスによりファイルのダウンロードが行われたいたことが発覚。

経緯

  • 2024年3月22日 セキュリティ調査の実施過程でクラウドストレージへのアクセス権限の誤設定が発覚。なお、当該誤設定については同日中に直ちに是正
  • 2024年3月28日 追加調査の結果、第三者からの不正アクセスにより、クラウドストレージ内のファイルがダウンロードされた痕跡を確認
  • 2024年3月29日 ワークスタイルテック社ウェブサイトで本事案について公表。また、個人情報保護法に従い個人情報保護委員会に対する漏えい等報告を行い、加えて、警察署へ相談。あわせて、契約先企業への通知を実施。エンドユーザーの顧客向けに、お客様相談窓口を設置し、公表または個別の連絡により漏えいないようについて順次通知。
  • 2024年4月11日 外部専門機関に二次被害に関するダークウェブ調査を依頼。
  • 2024年4月26日 外部専門機関によるサーバー設定の再点検を実施。
  • 2024年5月24日 個人情報保護委員会に対して漏えい等報告(確報)を実施
  • 2024年5月31日 個人情報保護委員会に対して追加の情報提供

漏えいした内容

個人データが漏えいした人数(総数):158,929人

Brave groupがVtuber オーディションでの個人情報 漏洩

株式会社Brave group のグループ会社である株式会社バーチャルエンターテイメントが運営する、「ぶいすぽっ!JP オーディション」の応募情報が漏洩しました。さらに、Brave groupの運営する「Brave group総合オーディション」および株式会社ENILISの運営する「HareVare VLiverオーディション」においても同様の個人情報漏洩の可能性を発表しました。 7月30日に調査結果が公表されました。

漏洩の原因

対象のオーディションにおけるGoogle Formsの編集用URLの閲覧範囲が「このリンクを知っているインターネット上の全員が閲覧できます」に誤って誤設定

影響範囲

「ぶいすぽっ!JP オーディション」
「Brave group総合オーディション」(グローバル向けの「Brave group総合オーディション」を含む)
「HareVare VLiverオーディション」
「ぶいすぽっ!切り抜き動画」のチャンネル許諾申請用Google Forms

まとめ

今回の記事では2024年のセキュリティインシデントの事例を紹介しました。皆さまも参考になると幸いです。

関連記事

BlackSuitがKADOKAWA(ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報を公開BlackSuitがKADOKAWA(ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報を公開 Default Thumbnail岸和田スポーツが運営するECサイト「Kemari87KISHISPO」が不正アクセスによる個人情報漏洩を発表 Brave groupがVtuber オーディションでの個人情報 漏洩に関する調査結果を公表|セキュリティインシデントの事例Brave groupがVtuber オーディションでの個人情報 漏洩に関する調査結果を公表|セキュリティインシデントの事例 ランサムウェア攻撃グループBlackSuit(ブラックスーツ)の犯行声明BlackSuitが犯行声明 KADOKAWA(ニコニコ動画)へのサイバー攻撃・ランサムウェア攻撃に関与か ランサムウェア 事例 【2024年】ランサムウェアの事例 【2024年】 Brave groupの関連会社が運営する「ぶいすぽっ!JP オーディション」個人情報漏洩Brave groupの関連会社が運営する「ぶいすぽっ!JP オーディション」個人情報漏洩|セキュリティインシデントの事例 KADOKAWAが悪質な473件の情報拡散を確認し削除要請を開始KADOKAWAが悪質な473件の情報拡散を確認し削除要請を開始 KADOKAWAがBlackSuitのデータ公開に関して声明を発表KADOKAWAがBlackSuitのデータ公開に関して声明を発表 KADKAWA グループのニコニコ動画が8/5に再開