公文から75万人分の情報漏えい 【セキュリティニュースまとめ】：週刊セキュリティニュース

2024年8月19日週は、公文がランサムウェア攻撃による情報漏えいについて発表した。ただし、公文が攻撃を受けたのではなく、業務委託先からの漏えいだ。

[畑陽一郎，キーマンズネット]

　2024年8月19日週は、公文教育研究会（公文）からの情報漏えいの他、トヨタ自動車の米国法人から240GBのデータが窃取された事件が関心を集めた。同週の主要なセキュリティニュースをまとめて紹介する。

ランサム攻撃の被害が拡大中　セキュリティニュースまとめ読み

　2024年8月19日週で特に大きな話題となったのが、公文の情報漏えいだ。生徒や指導者の個人情報が70万件以上漏えいした。原因は公文が業務を委託していたイセトーがランサムウェア攻撃を受けたためだ。イセトーは多数の企業や自治体から印刷業務などを請け負っており、これまで公文を含め約150万件の個人情報が漏えいした恐れがある。以下、1週間分のニュースをまとめて紹介する。

---

●2024年8月19日

　トヨタ自動車の米国法人（Toyota Motor North America）がサイバー攻撃を受け、240GBのデータを盗み出された結果、ダークWebに流出したと「BleepingComputer」が報じた。同社のシステムに侵入して、従業員や顧客の写真やメール、パスワードを窃取したという。

　JPCERT/CCは「TSUBAMEレポート Overflow（2024年4〜6月）」を発表した。2024年8月9日に公開した「JPCERT/CC インターネット定点観測レポート［2024年4月1日〜2024年6月30日］」に記されていないTP-LINK製のルーターからtelnetを探索する動きなどについてまとめた。

---

●2024年8月20日

　公文教育研究会（公文）は75万人分の情報漏えいが新たに発覚したと発表した。2023年2月時点で算数や数学、英語、国語を学習していた会員の氏名や会員番号、学習教材、教室名、学年、入会年月、在籍月数など72万4998人分だ。この他、公文認定テストの受験資格を満たした会員7万1446人分の氏名なども合わせて73万9714人分が漏えいし、さらに、公文の指導者1万7481人の氏名、教室名、住所、銀行口座番号の一部も漏えいした。6月29日と7月5日に状況を公開しており、その時点では4678人分の漏えいが分かっていた。漏えいの原因は公文が書類の印刷や送付を委託していたイセトーがランサムウェア攻撃を受けたことだ。

　マクアケは運営する購入サービス「Makuake」で一部のユーザーのログイン状態が他のアカウントに入れ替わる不具合が発生したと発表した。2024年8月19日15時13分〜16時1分の間に発生し、3916人が影響を受けた。氏名や電話番号、住所、「Makuakeメッセージ」内の送受信情報、登録済みクレジットカードの下4桁や有効期限を閲覧された可能性があるという。内部の認証フローを変更した際に不具合が生じたことが原因だという。

---

●2024年8月21日

　フィッシング対策協議会は月次報告書「2024/07 フィッシング報告状況」を発表した。2024年7月に報告を受けた件数は17万7855件で、過去最多を更新した。

---

●2024年8月23日

　幸和製作所はランサムウェア被害を受けたことを発表した。8月21日に不正アクセスを受けてサーバに保存されていたファイルが暗号化されていることを8月22日に確認した。サーバに保存していた各種業務データ、業務用ソフトウェアが暗号化されてアクセス不能になっているという。同社は福祉用具や介護用品を製造、販売する企業だ。