情報セキュリティの強化を図るためには、実際にどのようなインシデントが発生しているのかを知ることが近道です。

事件が起きる経緯や、その後の対応などへの理解を深め、自社にとって最適なセキュリティ対策を実施しましょう。

本記事では、情報セキュリティ事件の実例を解説するとともに、事件を引き起こす要因をまとめています。

情報セキュリティ事件の現状

株式会社東京商工リサーチの「上場企業の個人情報漏えい・紛失事故調査（2024年）」によると、2024年に発生した上場企業およびその子会社が公表した個人情報の漏えい、紛失事故は、前年比8%増の189件でした。

これは調査が始まった2012年以降最多であり、6年連続で増加しています。

また、社数は151社で、過去最多を更新しています。

また、流出した個人情報は約1,586万人分で、これは前年よりも減少しているものの、依然深刻な問題であるといえるでしょう。

このうち、東証プライム市場に上場する企業が約7割となっており、大企業でもセキュリティ対策に不備があることが浮き彫りになりました。

このような状況から、企業には迅速なセキュリティ強化が求められています。

情報セキュリティ事件を引き起こす原因

情報セキュリティ事件を引き起こす原因には、大きく以下3つの原因が考えられます。

• 外部攻撃
• 内部不正
• 人的ミス

原因ごとに取るべき対策が異なるため、それぞれ把握しておく必要があります。

自社の業務内容や、セキュリティ状況などと照らし合わせながら確認していきましょう。

外部攻撃

近年は、クラウド環境が標的になる事例が増加しており、次のような被害が多発しています。

• クラウドサービスの停止
• 情報漏えい　
• データの消失
• スパムメールの踏み台化
• Webサイトの改ざん

東京商工リサーチの「上場企業の個人情報漏えい・紛失事故調査（2024年）」によれば、これらの情報セキュリティ事件のおよそ6割が、「ウイルス感染・不正アクセス」をはじめとする外部からの攻撃に起因しています。

とくに、ランサムウェアによる被害、不正アクセスの増加は著しく、オンラインサービスがターゲットになるケースは後を絶ちません。

通販サイトが不正アクセスを受け、家電メーカーや大手コーヒーチェーンから顧客の個人情報が流出した事例もあります。

また、ターゲットへの直接的な攻撃だけでなく、取引先や関連企業など、サプライチェーンの脆弱性を利用して不正侵入されることで、被害が拡大するケースも増えています。

内部不正

内部不正による情報漏えいも、警戒すべきセキュリティインシデントの一つです。

これは、企業や組織の従業員、委託業務員、元スタッフなどが、意図的に情報を流出させたり、売却したりするケースを指します。

このような不正利用では、金銭目的や競合他社への転職、恨みによる報復などが動機になっていることが少なくありません。

過去には、ある企業の元社員が退職時に顧客情報を持ち出し、転職先企業の営業活動で一部を利用していたケースが発覚しています。

たとえ社員との間で誓約書を交わしていた場合でも、こういった事件が発生する可能性があるため、十分な注意が必要です。

人的ミス

意図的な情報の持ち出しではなく、自社サーバーやクラウドサービスの設定ミスなどによって、インシデントが発生することも少なくありません。

過去には、ある企業の委託事業者が、業務範囲を超えた個人情報にアクセスできる状態になっていたケースも報告されています。

これは、本来保存されるはずのない個人情報が、誤設定により保管されてしまったために生じた事例です。

このほか、次のような単純なミスも、重大なセキュリティインシデントにつながる可能性があります。

• メールの誤送信
• USBメモリの紛失
• セキュリティ設定の不備
• デバイスの置き忘れ
• パスワード管理の不備

こうした事態を防ぐためには、管理体制の見直しやセキュリティ教育など、事前の対策を徹底する必要があります。

 

【原因別】情報セキュリティ事件の事例

ここでは、前述した3つの原因ごとに、実際に起きた情報セキュリティ事件の例を解説していきます。

それぞれ何が原因になったのか、具体的にどのような対応をしたのかなどを見ていきましょう。

また、被害の範囲や影響の大きさを確認し、自社の情報セキュリティ強化につなげてください。

外部攻撃による被害事例4選

まずは、外部攻撃による被害事例を4つ紹介します。

外部攻撃による情報漏えいは、その件数が膨大になる傾向にあり、迅速な対応を求められます。また、システムダウンや状況の確認などで、業務が停止するケースも珍しくありません。

今回取り上げた事案では、システムの脆弱性を悪用され、サイバー攻撃の対象になっているケースが目立ちます。

 

大手出版企業A社における学生情報の流出事例

2024年6月、大手出版企業A社が大規模なサイバー攻撃を受け、子会社の動画配信サービスを含む複数のサービスが停止しました。

グループが運営する通信教育機関に関連した個人情報（住所、氏名、連絡先など）が流出したと見られ、同社は該当する顧客らに通知を行っています。

依然として原因は明らかになっていませんが、子会社の従業員のアカウント情報が、フィッシング攻撃などによって窃取された可能性が高いと推測されています。

同グループは、被害拡大を防止するため、流出した情報の拡散行為に対して法的措置を講じる旨を公表するとともに、被害のサポートとして専用窓口を設置するなどの対応を行いました。

このサイバー攻撃により、2ヶ月におよぶサービスの停止、また業務の遅延・停止を余儀なくされ、その影響は株価にも反映されています。

 

大手雑貨店を展開するB社における不正アクセス事例

2025年1月、大手雑貨店を展開するB社の運営するアプリケーションが不正アクセスを受け、12万件を超える個人情報が漏えいした可能性があると発表されました。

アプリへのログイン回数の異常増加が前月に検知されており、調査の結果、アプリシステムに使用されていたソフトウェアの脆弱性を突いた不正アクセスが発覚しています。

この件では、以下の個人情報が流出したと見られています。

• 氏名
• 会員番号
• ログインパスワード
• メールアドレス
• 住所
• 電話番号
• 性別
• 生年月日 など

同社は、このインシデントを受けて緊急のセキュリティ対策を実施するとともに、個人情報保護委員会への報告、警察署への相談を行いました。被害状況の解明と再発防止策を進めています。

 

大手電機メーカーC社におけるクレジットカード情報流出事例

2025年1月、大手電機メーカーC社の子会社が運営する通販サイトがランサムウェア攻撃を受け、社内業務用に保管していた一部のデータが流出したことを確認しました。

流出した情報には、同社従業員の個人情報をはじめ、一部、取引先や顧客データも含まれています。

詳細な原因は公表されていませんが、ランサムウェア攻撃を受けたサーバーを中心に、データが流出したことが確認されたようです。

不正アクセスの発覚を受け、同社は直ちにサイトの修正を行って安全性を確認するとともに、情報セキュリティの専門会社と協力し、被害の有無や範囲について調査を進めています。

この攻撃により、同社のシステムが一部使用できなくなり、業務に影響が出たほか、個人情報が流出したことで関係者への影響が懸念されます。

 

プログラミングサービスを展開するD社における情報流出事例

2024年12月、プログラミングサービスを展開するD社サーバーが不正アクセスを受け、ユーザーの個人情報および重要情報が流出した可能性が判明しました。

これにより、約4万5千人のユーザー情報と、600を超える組織の情報が流出したと見られています。

攻撃者は、同サーバー内のデータベースを破壊し、機密データの公開に対して身代金を要求する文面を残していたことが明らかになりました。

この攻撃は、開発用サーバーのアクセス制御設定に不備があり、本番データベースのデータを開発用に利用していたのが原因とされています。

同社は、このサーバーを直ちに隔離するとともにユーザーへのパスワード再設定を依頼し、再発防止策として、運用体制の見直しや開発環境での実データ使用の廃止などを実施しています。

内部不正による被害事例3選

内部不正による被害事例では、従業員や元従業員、委託先のスタッフなどによって不正に情報が持ち出されます。

動機はさまざまですが、場合によっては、売却したデータの悪用や業務への不正利用によって、企業が多大な損害を被る可能性があります。

このような事案を防ぐため、企業にはコンプライアンスの遵守やセキュリティ教育の実施などが求められます。

 

通信教育事業を展開するE社における個人情報流出事例

2014年6月、通信教育事業を展開するE社において、大規模な情報漏えい事件が発生しました。

同社のグループ企業が業務委託をしていた企業の元社員が、およそ3500万件の個人情報を不正に取得し、名簿業者3社へ売却していたことが発覚しています。

当該社員は、事件発覚まで約6ヶ月にわたり、社内サーバーの顧客情報を不正に引き出し、私用スマートフォンに転送して持ち出していたとみられます。

これを受けて、同社は緊急対策本部を設置、社内調査を開始し、翌月に業務委託先の元社員が逮捕されました。

この事件により、E社は顧客からの信用失墜や企業イメージの悪化を招いたほか、損害賠償請求によって総額1,100万円の支払い命令が下っています。

 

大手飲食店運営会社F社における営業秘密持ち出し事例

大手飲食店運営会社F社の前社長は、前職の在籍中に得た営業秘密を不正に持ち出し、2020年9月から12月にかけて、F社における仕入れ原価との比較などに使用したとされています。

当該人物は、2022年9月に不正競争防止法違反の疑いで逮捕・起訴され有罪判決が下されました。

この件では、当該人物だけでなくF社も法人として同容疑で起訴され、罰金3,000万円の判決が言い渡されています。

これを受け、情報を持ち出された側の企業は、不正行為によって63億円以上の損害を受けたとし、F社と前社長、関連会社に対して5億円の損害賠償と使用差し止め、廃棄を求める訴訟を提起しています。

この事件は、転職者が前職の営業秘密を持ち出すリスクと、受け入れ企業の管理体制の重要性を浮き彫りにしました。

 

大手商社G社における機密情報の持ち出し事例

2023年、大手商社G社は、同社の元社員が機密情報を不正に持ち出した疑いで逮捕されたことを公表しました。
この元社員は、G社に入社する前に在籍していた企業から、機密情報を不正に持ち出したとされています。

一部報道によると、元同僚のIDなどを用いて不正侵入し、機密データを自身のパソコンにダウンロードしたとされています。

しかし、具体的な情報の内容や持ち出した手口などは公表されておらず、G社は組織としての関与を否定しています。

元社員の逮捕を受け、G社は内部調査を進めるとともに、情報管理体制の強化やコンプライアンス教育を徹底する方針です。

この持ち出し事件による取引先や顧客への被害は報告されていませんが、同社では速やかな対応と情報開示を行っています。

人的ミスによる被害事例4選

最後に、人的ミスによる被害事案を4つ紹介します。

たとえ意図的でなくても、インシデントは発生してしまうものです。

その多くは、チェック体制やルールの不備によって引き起こされるため、未然に防ぐためのルールづくりなどが求められます。

事例を確認し、自社におけるヒューマンエラーの可能性を把握しておきましょう。

 

自治体における個人情報を含むメールの誤送信事例

2024年12月、自治体における個人情報の流出事案が発生しました。この事案では、宛先の設定ミスによって、意図しない第三者に個人情報が送信されています。

メール送信時の宛先入力のミスが直接の原因とされており、本来BCCで送信すべきところを、Toで送信したために、すべてのメールアドレスが見える状態で送られたということです。

この自治体は、その後受信者らに対して謝罪と事実関係の説明を行い、当該メールの削除を依頼しています。

この誤送信によって、およそ2,000人のメールアドレスや氏名が他の受信者に露見する形となりましたが、実害などは報告されていません。​

同自治体は、この事案を受けて公に謝罪するとともに、再発防止に努めると発表しています。

 

教育系サービスを展開するH社におけるCSVデータの誤送信事例

2024年11月、教育系サービスを提供するH社において、誤送信による大規模な個人情報漏えい事案が発生しています。

この件では、担当者が特定の会員約50名に対してメールを送信する際、誤って2.3万人分の個人情報が記載されたCSVファイルを、パスワード保護のない状態で送信しています。

これには、氏名や連絡先のほか、一部には銀行口座の支店名や名義といった情報も含まれており、顧客らに不安と混乱を招きました。

同社は、誤送先の会員に対し個別に連絡をとり、当該メールと添付ファイルの削除を依頼しています。

また、再発防止策として、メール送信時のチェック体制や手順を見直し、個人情報管理システムの再点検、従業員に対するセキュリティ教育の徹底を直ちに実行するとしています。

 

自動車ディーラーI社におけるUSBメモリの紛失事例

2024年11月、自動車ディーラーI社の従業員が、業務のために顧客情報をUSBメモリに保存し、社外に持ち出した際に紛失しました。

その後、このUSBメモリは回収に至りましたが、パスワード保護が施されていたかは不明で、回収までの間に流出した可能性があると報告されています。

当該USBメモリには、以下の情報を含む約3,000件の個人情報が記録されていたといいます。

• 氏名
• 住所
• 電話番号
• 生年月日
• メールアドレス
• 国籍

従業員や退職者、入社希望の学生のデータなどが入っていましたが、これらが悪用されたとの報告はありません。

同社は、個人情報保護委員会および警察署に報告を行い、影響を受ける可能性のある人に対して謝罪と注意喚起を行っています。

 

人材派遣サービスを展開するJ社におけるシステム不備事例

2024年9月、人材サービスを展開するJ社のシステムに不備があり、およそ54万人の法人顧客情報が、閲覧権限のない代理店で閲覧可能になっていたことが明らかになりました。

本来、代理店において必要のない採用担当者の情報が、6年にわたり代理店および委託先1,164社で閲覧できる状態でした。

発覚後、同社は直ちに当該システムの改修を行い、現在、代理店からこれらの個人情報は閲覧できなくなっています。

また、対象となる法人企業の採用担当者に対して個別に連絡をとり、謝罪と説明を行いました。

このほか、再発防止策として、システムのセキュリティ強化や、情報管理体制の見直しを図るとともに、関係者への周知徹底を図るとしています。

過去の事例を知って適切なセキュリティ対策を

個人情報の漏えい、紛失事故の件数は年々増加しており、企業には情報セキュリティの強化が求められています。

これらのインシデントは、主に外部攻撃や内部不正、人的ミスによって引き起こされるため、原因によって適切に対処しなければなりません。

例えば、人的ミスを防ぐためには、情報セキュリティ教育を実施したり、業務におけるルールの策定を行ったりするとよいでしょう。

また、サイバー攻撃に対してはセキュリティシステムの導入、強化などが有効になり、内部不正には、情報管理システムの見直しやアクセス権限の再設定が効果的です。

FLESPEEQ UTMは、サイバー攻撃や不正アクセスに対応するため、複数のセキュリティ機能を1つにまとめたセキュリティシステムです。

インターネット接続とクラウドUTMがセットになった【クラウド型】は、現代のビジネスシーンに欠かせない安全な通信環境を実現します。

また、導入から保守管理まで、お客様のご要望に合わせて幅広い支援が可能なため、リソースが不足している企業様でも安心してご利用いただけます。

セキュリティ対策をしていない、自社のセキュリティ状況を判断してもらいたいなど、どのようなご相談でもお受けしております。

まずは、オンライン無料相談、メールフォーム、お電話から、お気軽にお問い合わせください。

日本通信ネットワークは、企業ごとに、企画立案から構築・運用までワンストップで、ICTソリューションサービスを提供しています。
IT担当者様が、ビジネス拡大や生産性向上のための時間を確保できるよう、全面的に支援します。
お問い合わせ・ご相談・お見積りは無料ですので、お気軽にお問い合わせください。