情報漏えいは、企業の信頼性を低下させるほか、被害者への損害賠償の支払いを必要とするなど、大きな損害をもたらします。
このような脅威から企業を守るためには、過去の情報漏えい事例を理解することが効果的な対策を講じるうえで重要です。
本記事では、大きな損害につながった情報漏えいの事例を原因別に詳細に解説しています。
- 1000種以上のログによって強固な情報漏えい対策を実現するCWATの概要資料を請求する
情報漏えい対策をご検討の方
目次
情報漏えいに関する有名事例の一覧
以下の表は、サイバーインシデントや情報漏えい事案を「発生原因」に着目し、同じ原因ごとにまとめる形で一覧化しています。
| 発覚時期 | 企業情報 | 被害内容 | 発生原因 | 詳細情報 |
|---|---|---|---|---|
| 2019年7月 | 金融サービス企業 | 約1億人以上の信用情報の流出 | 外部攻撃 | セキュリティ対策の設定不備を悪用した不正アクセスにより、約1億人以上の信用情報が流出*1 |
| 2021年5月 | エネルギー関連企業 | 一時的な稼働停止と情報窃取 | 外部攻撃 | マルウェア攻撃を受け一時的に稼働停止に陥る事件が発生*2 |
| 2022年8月 | SNSサービス企業 | 約540万人分の個人情報が流出 | 外部攻撃 | システムの脆弱性を利用したサイバー攻撃により約540万人分の個人情報が流出*3 |
| 2023年6月 | ファイル転送サービス運営企業 | サービスを利用した複数の企業に不正アクセスの被害、機密情報の窃取 | 外部攻撃 | ファイル転送サービスを運営する企業がサイバー攻撃を受け、そのサービスを利用した医薬品メーカーなど、1000社以上に影響*4 |
| 2024年6月 | 病理検査機関 | 患者の個人情報漏えい、3000件以上の医療活動の中止 | 外部攻撃 | マルウェア攻撃を受け、複数のサービスが停止し、同機関に検査を依頼する病院の医療活動にも影響*5 |
| 2024年7月 | 通信サービス企業 | 約1億人以上の通話履歴と通信履歴が漏えい | 外部攻撃 | 企業が運営するクラウドサービスがサイバー攻撃を受け、約1億人以上の通話履歴と通信履歴が漏えい*6 |
| 2017年10月 | 航空会社 | 空港内のセキュリティに関するデータ漏えいの疑い | ヒューマンエラー | 空港会社のセキュリティデータが含まれたUSBが路上で発見される事態が発覚*7 |
| 2018年6月 | 大手データ取引企業 | 3億4000万件の個人情報 | ヒューマンエラー | アクセス制限の不備が原因で3億4000万件の個人情報が流出した可能性が発覚*8 |
| 2022年3月 | 航空会社 | 約2300万件のデータファイルが漏えいした疑い | ヒューマンエラー | 航空会社のクラウド設定ミスが原因で乗員と乗客の個人情報が漏えいした疑いが発生*9 |
| 2023年3月 | 慈善団体 | 個人情報の漏えい | ヒューマンエラー | メールの送信設定ミスにより、感染症患者の個人情報が漏えい*10 |
| 2022年4月 | 金融系企業 | 約820万人の顧客データの漏えい | 内部不正 | 元社員が企業への報復を目的に、約820万名分の顧客の個人情報を流出*11 |
| 2023年4月 | 国防総省 | 国防に関する内容を含む100件以上の機密情報の漏えい | 内部不正 | 兵員によって国防の機密情報を含む文書がSNS上に流出してしまう事件が発生*12 |
マルウェアなどのサイバー攻撃による情報漏えいの事例
マルウェアなどのサイバー攻撃による情報漏えいについて、以下の事例を紹介していきます。
- 金融サービス企業から約1億人以上の信用情報が流出*1
- エネルギー関連企業がランサムウェア攻撃を受け、一時的に稼働停止*2
- SNSサービス企業から約540万人分の個人情報が流出*3
- ファイル転送サービス運営企業の攻撃により、利用企業から個人情報が漏えい*4
- 病理検査機関がランサムウェア攻撃を受け、患者情報が漏えい*5
- 通信サービス企業から約1億人以上の通話履歴と通信履歴が漏えい*6
これらの事例は、様々な業種や規模の企業がサイバー攻撃のリスクに直面していることを示しています。特に、個人情報の大規模な流出やランサムウェア攻撃による業務停止など、深刻な被害が報告されています。
不正アクセスを受けた金融サービス企業から、約 1億人以上の信用情報漏えいの疑いが発生
2019年 7月、金融サービス企業は、約 1億人以上の信用情報が漏えいした可能性について明らかにしました。
サイバー攻撃を実行した犯人は、同企業のセキュリティ対策の設定不備を悪用して、複数のシステムに不正アクセスをしたと考えられています。
これにより 2005年から 2019年までの期間で、 約1億人以上のクレジットカードの審査に必要な信用情報や、個人情報などが漏えいした可能性が示唆されています。
ランサムウェア攻撃を受けたエネルギー関連企業が、一時的に稼働停止に陥る事件が発生
2021年 5月、ランサムウェア攻撃の標的となったインフラ系企業が、一時的に稼働の停止を強いられる事件が起きました。
この事件のサイバー攻撃を実行したグループは、何らかの方法で知り得た社員の IDとパスワードを悪用して同企業のネットワーク環境に不正アクセスし、データを窃盗したとされています。
また、この悪用された IDとパスワードは、別のウェブサイトから流出した情報の可能性がある、という意見も見られました。
このサイバー攻撃の影響により、 同企業はシステムの稼働をやむを得ず停止する事態に陥りました。
加えて、同企業の稼働停止に伴い、地域社会へのエネルギー供給が追い付かない事態が発生しました。
その結果、給油所は休業に追い込まれ、燃料の値段が上昇するなど日常生活にも影響が生じたことが報告されています。
結果的に、同企業は盗まれた情報の対価として、約 4億 8000万円をサイバー攻撃集団に支払ったとされています。
その後、同企業は支払った身代金の大部分は回収できたとされていますが、損害を被った給油所の経営者らによって訴訟を起こされる事態となりました。
サイバー攻撃によって、 SNSサービス企業から約 540万人分の個人情報が漏えい
2022年 8月に、大手 SNSサービスを展開する企業がサイバー攻撃を受けたことにより、個人情報が漏えいする事案が発生しました。
この事件は、同企業がシステムのアップデートを行った際に生じた脆弱性を標的としたサイバー攻撃によって引き起こされたとされています。
この攻撃により、企業が運営する SNSサービス内のメールアドレス、電話番号などを含んだ 540万人分の個人情報が漏えいする事態となりました。
さらに、漏えいした個人情報がウェブ上に公開され、誰でもその情報を閲覧できてしまう状態だったとされています。
また、その 情報が別のサイバー攻撃者に渡ることで、この事件を利用したなりすまし詐欺などの二次的な被害が広がる可能性があったことも指摘されています。
ファイル転送サービスを運営する企業がサイバー攻撃を受け、サービスを利用した企業から個人情報漏えいの疑いが発生
2023年 6月にファイル転送サービスを運営する企業が、サイバー攻撃を受けたことを公表しました。
この事件は、ソフトウェアに存在する深刻な脆弱性を狙ったマルウェア攻撃によって引き起こされたと考えられています。
実際に同サービスを利用した医薬品メーカーでは、従業員の個人情報や、ウェブサイトに登録されているユーザーの個人情報が漏えいした可能性が指摘されています。
加えて、この事件により医薬品メーカー以外に各国の 1000社以上にも情報漏えいのリスクが及んだ可能性があります。
このサイバー攻撃を行ったとされる集団は、 盗んだ情報を人質として、サービスを利用している企業に対して身代金を要求していたとの報告もあります。
病理検査機関がランサムウェア攻撃を受け、患者の情報が漏えい
2024年 6月、病理検査機関は、サイバー攻撃集団によって患者の個人情報が窃取されたことを発表しました。
この事件発生の経緯として、 同機関のコンピュータシステムがランサムウェア攻撃を受け、それに伴って同機関が提供する複数のサービスが停止したとされています。
実際に、同機関のサービスを利用していた病院では、予定していた外科治療や外来診療を延期や変更せざるを得ないケースが複数発生したと報告されています。
このサイバー攻撃を実行したグループは同機関に対して、患者の個人情報を人質に金銭を要求しましたが、同機関は支払い要求に応じず、結果的に患者の個人情報がダークウェブ上に公開される事態となりました。
通信サービス企業がサイバー攻撃を受け、約 1億人以上の通話履歴と通信履歴漏えいの疑いが発生
2024年 7月、約 1億人以上の通話履歴とメッセージ機能の利用による通信履歴が漏えいしたことを、被害を受けた大手通信サービス企業が公表しました。
この事件は、同社が提供するデータ管理のクラウドサービスを狙ったサイバー攻撃によって起こったとされています。
このサイバー攻撃により、通話や送付文などの詳細までは漏えいしていないものの、携帯の電話番号が漏えいした可能性が高いとのことです。
また、 2024年 3月にも約 7300万名分の同社の顧客情報がサイバー攻撃によって漏えいしていたことが判明しました。
人的ミス(ヒューマンエラー)による情報漏えいの事例
人的ミス(ヒューマンエラー)による情報漏えいの事例として、以下の 4例を解説します。
- 航空会社のセキュリティデータが含まれたUSBが、路上で発見される事件が発生*7
- 米大手データ取引企業の管理不備により、個人情報漏えいの可能性が発覚*8
- 航空会社のクラウド設定ミスにより、乗務員と乗客の個人情報漏えいの疑いが発生*9
- メールの送信設定ミスにより、保健委員会から感染症患者の個人情報が漏えい*10
航空会社のセキュリティデータが含まれた USBが、路上で発見される事件が発生
2017年10月、航空会社のセキュリティデータが含まれたUSBが路上で発見されるという事態が明らかになりました。
この事態が発覚したのは、市民の一人がUSBを路上で見つけ、報道機関に渡したことがきっかけとされています。
USB内のデータには、要人が空港を利用する際の経路や巡回警備の予定表、非常時の避難経路など、空港のセキュリティに関する機密情報が含まれていたとされています。
ダークウェブ上でテロ行為を企てる犯罪者に渡った可能性を危惧する声も上がっています。
また、この事件に関連し、同社の従業員の大半が適切な情報保護に関する訓練を受けていなかったことが指摘されました。
その結果、同社は 個人情報の保護が不適切 だったとして、政府の情報保護機関から罰金処分を受けることとなりました。
米大手データ取引企業の管理不備により、個人情報漏えいの可能性が発覚
2018年 6月、米大手のデータ収集やマーケティングを行う企業にて、個人情報が漏えいした可能性が発覚しました。
同企業が管理する企業や顧客のデータが、アクセス制限のない状態のサーバーに保存されていたことが原因だとされています。
このサーバーに保存されていたデータは 3億 4000万件以上にも及ぶとのことです。
また、データの中には個人の性別や家族構成などの情報も含まれていました。
この事件が発覚したことにより、 漏えいした個人情報が、なりすまし詐欺などの別の犯罪行為に悪用される危険性が指摘されています。
航空会社のクラウド設定ミスにより、乗員と乗客の個人情報漏えいの疑いが発生
2022年 3月、航空会社の乗務員と乗客の個人情報が漏えいした疑いが発生した事例です。
この事件の主な原因は、 IT部門でのアクセス権限の設定不備により、社内のクラウドに適切なアクセスコントロールがなされておらず、膨大なデータが誰でも閲覧可能な状態であったことだとされています。
また、適切な情報マネジメントを実行するために必要な教育が、IT部門の担当者に行われていなかった疑いも指摘されています。
このような事態により、数千人分の乗務員と乗客の個人情報が漏えいした可能性があるほか、航行に関するデータなどの機密情報も漏えいした可能性があります。
メールの送信設定ミスにより、感染症患者の個人情報が漏えい
2023年 3月、ヘルスケアサービスを提供する団体にてメールの送信設定ミスにより、感染症患者の個人情報が漏えいしたことが判明しました。
同団体の担当者が、感染症のサポートを受ける可能性がある患者に対して、メールの宛先を BCCではなく CCで設定したことが原因だとされています。
これにより、 メールを受け取った全員が宛先に含まれている患者のメールアドレスを確認できてしまう事態が発生しました。
本来慎重に取り扱うべきである機密情報の漏えいが発覚したことで、同団体は、政府の情報保護を管轄する規制当局から懲役処分を受けたとされています。
組織関係者による作為的な情報漏えいの事例
組織関係者による作為的な情報漏えいに関する2つの事例を解説します。
- 金融系企業の元社員によって約820万人の顧客データが漏えい*11
- アクセス権を悪用した軍の関係者によって国防の機密情報を含む文書がSNS上に流出*12
金融系企業の元社員によって約820万人の顧客データが漏えい
2022年 4月に発生した、金融系企業の元社員の不正行為による情報漏えいの事例です。
事件の背景として、解雇された元社員が、同社に対する報復を目的に犯行を行ったと見られています。
さらに、当時の状況として 元社員が退職後にもかかわらず、社内の機密情報にアクセスできていた可能性が高かったとされています。
顧客の名前や証券取引に関する記録、証券口座の番号なども含まれた約 800万名分以上の顧客情報が漏えいしたとされています。
加えて、同企業の対応の遅れによって、漏えいした情報が悪用され、顧客を標的とした犯罪が発生する危険性が高まったとする見方もあります。
そのような個人情報の漏えいや対応の遅れにより、同企業とその親会社は集団訴訟を起こされる事態になりました。
アクセス権を悪用した軍の関係者によって国防の機密情報を含む文書が SNS上に流出
2023年4月、軍の内部関係者による国防機密情報を含む文書がSNS上に流出する事件が明らかになりました。
犯行を行った人物は、情報部門に配属されていたため、階級は下級でしたが国防に関する機密情報を閲覧できる権限を持っていました。
流出した情報には、諸外国の状況に関する機密情報などが含まれていたとのことです。犯行を行った人物はスパイ行為の疑いで逮捕され、禁錮15年の有罪判決が言い渡されました。
【リスクマネジメント】企業が講じるべき情報漏えい対策
前述の事例を踏まえ、企業が講じるべき情報漏えい対策について詳しく解説します。
技術的対策
多要素認証の導入
ログイン時に複数の認証方法を利用する仕組みを取り入れることで、不正アクセスのリスクを低減できます。
マルウェア対策の強化
未知の脅威も防止可能なアンチウイルスソフトウェアの導入や、定期的なスキャンの実施により、マルウェアによる情報漏えいを防ぎます。
ネットワークセキュリティの強化
ファイアウォールや IDS/IPSなどを含む統合脅威管理( UTM)システムの導入により、多層防御を実現します。
定期的なソフトウェアの更新
OSやアプリケーションを常に最新の状態に保つことで、既知の脆弱性を利用した攻撃を防ぎます。
組織的対策
アクセス権限の適切な管理
必要最小限のアクセス権限を付与し、定期的に見直すことで、内部不正のリスクを軽減します。
情報の持出し制限
機密情報の社外持出しに関する明確なルールを設け、適切に管理します。
定期的な資産の棚卸し
情報資産の把握と管理を徹底することで、情報の不正な持出しを防ぎます。
運用面での対策
メール誤送信防止ルールの策定
送信前の確認手順や、機密情報を含むメールの暗号化など、具体的なルールを設けます。
ユーザー操作ログの取得・監視
不正アクセスや情報漏えいの兆候を早期に発見するため、ログを取得し定期的に監視します。
- 1000種以上のログによって強固な情報漏えい対策を実現するCWATの概要資料を請求する
情報漏えい対策をご検討の方
情報漏えい対策ソリューションの導入
情報漏えい対策ソリューション などを導入し、機密情報の不正な持出しを防止します。
情報の取り扱いガイドラインの制定と徹底
情報の取扱いに関する明確なガイドラインを策定し、全従業員に継続的に周知し、徹底を図ります。
情報漏えい対策について、詳しくは下記記事をご確認ください。
「情報漏えいの対策で企業が取り組むべきことは?セキュリティ対策例を用いて解説」
出典 (参考文献一覧)
※1 ITmedia NEWS|米金融大手Capital One、1億人超の顧客情報流出か 米紙は「過去最大規模」と報道 (参照日:2025-04-16)
※2 BBCニュース|サイバー被害の米パイプライン、身代金4.8億円の支払い認める 米紙報道 (参照日:2025-04-16)
※3 ITmedia NEWS |Twitter 、ゼロデイ脆弱性悪用の約540 万アカウントデータ漏えいを正式に認める( 参照日:2025-04-16)
※4 日経クロステック(xTECH) | MOVEitの脆弱性を突いた情報窃取で英シェルなどを脅迫、日本企業への影響は (参照日:2025-04-16)
※5 ITmedia NEWS| 英医療機関へのランサムウェア攻撃、交渉決裂で患者データがダークウェブに (参照日:2025-04-16)
※6 日本経済新聞 | 米AT&T、1億1000万人分の顧客情報が漏洩 今年2度目 (参照日:2025-04-16)
※7 BBC | Heathrow fined for USB stick data breach (参照日:2025-04-16)
※8 WIRED | Marketing Firm Exactis Leaked a Personal Info Database With 340 Million Records (参照日:2025-04-16)
※9 BBC | NHS Highland reprimand for HIV patient email data breach (参照日:2025-04-16)
※10 Cyber Security Hub | IOTW: Turkish-based airline leaves 6.5 TB of sensitive data exposed (参照日:2025-04-16)
※11 Yahoo Tech | Cash App users can claim thousands of dollars in a data breach settlement (参照日:2025-04-16 )
※12 BBCニュース|米国防機密の文書流出、空軍州兵に禁錮15年 (参照日:2025-04-16)
監修者プロフィール
靜間 隆二(セキュリティイノベーション本部 CWAT製品企画部 部長)
当社入社から20年以上、情報セキュリティの事業に携わる。サイバー攻撃からの対策、内部不正による情報漏えい対策の両側面で専門知識を有する。中小~国内を代表する上場企業まで幅広いセキュリティ対策を支援した実績あり。
株式会社RE-HEART 代表取締役CEO
小山雄太
Webシステム開発とITコンサルティングを中心に、要件定義から設計・開発、および運用支援まで多様な経験を持つ。近年はAWSを基盤としたクラウドインフラの設計・構築に注力し、
クライアント企業様に向けたセキュリティ対策やDevOps推進を支援する。
