企業の情報漏洩事例

近年、企業における情報漏洩は業種・規模を問わず発生しており、その手口は年々巧妙化しています。特に2025年には大手企業を狙ったランサムウェア攻撃や、システム設定不備、内部不正による漏洩など、深刻な被害が相次いで報告されました。この記事では、企業情報漏洩事例を具体的に紹介し、それらから見えてくる主な原因や被害の影響、そして再発を防ぐために企業が取るべき対策について詳しく解説します。

企業の情報漏洩事例

事例1：KADOKAWAのランサムウェア攻撃

2024年6月8日に発生したKADOKAWAグループへのランサムウェア攻撃では、犯行グループ「Black Suit」が約1.5TBもの社内データを窃取し、身代金交渉と同時にデータ公開を示唆しました。ニコニコ動画など主要サービスは長期停止を余儀なくされ、顧客・従業員双方の個人情報が流出した可能性が高いと公表されています。

攻撃の影響は出版・動画配信・物流まで及び、紙書籍の出荷遅延や公式ECサイトの停止などグループ全体の売上に直結する業務停滞が続きました。復旧には約2か月を要し、対策費や機会損失など巨額のコストが発生したと見られます。

原因調査では、社内ファイルサーバーの脆弱箇所が標的になった可能性が指摘され、ゼロトラスト移行と多層バックアップ体制の強化が再発防止策として進められています。

事例2：ファーストリテイリングのシステム設定不備

ファーストリテイリングでは2023年6月から2024年1月にかけ、監視用システムの誤設定により本来個人情報を扱わない委託先でも顧客データが閲覧可能な状態になっていました。影響はECサイト利用者の氏名や住所など複数項目に及び、情報保護委員会へ報告されています。

同社は外部流出や不正使用は確認されていないと説明する一方、要件定義とモニタリング不足を原因に挙げ、開発・運用プロセス全体の再点検を実施しました。大手企業でも設定ミス一つで漏洩リスクが顕在化する典型例となっています。

再発防止策として、権限管理の一元化と不要データの収集禁止を明文化し、委託先との契約見直しや監査強化を表明しています。

事例3：SNKRDUNKのSQLインジェクション

CtoCマーケットプレイス「SNKRDUNK」は2022年6月、データベースへのSQLインジェクション攻撃により会員約275万件の個人情報が流出した恐れがあると公表しました。漏洩範囲は氏名・住所・生年月日・ハッシュ化パスワードなど広範囲で、口座情報も一部含まれていました。

同社は直ちに脆弱性診断とアプリケーション改修を実施し、警察・個人情報保護委員会へ報告するとともに全会員へパスワード変更を要請しました。

多層防御を欠いた旧式システムが狙われたとみられ、定期的な脆弱性診断とWAF導入の重要性を示す事例です。

事例4：矢野経済研究所のフィッシング被害

2022年6月、矢野経済研究所の社員が誤ってフィッシングサイトに認証情報を入力し、Microsoft 365アカウントが乗っ取られました。その結果、約10万件超の会員メールアドレスが流出した可能性が生じ、同アカウントから不審メールが多数送信されました。

被害拡大を防ぐため全関連サイトの一時閉鎖とパスワード強制初期化が行われ、関係者への個別連絡と注意喚起が実施されました。

本件はフィッシング耐性訓練や多要素認証を怠った場合、単一アカウントでも広範な情報漏洩に繋がることを示しています。

事例5：森永製菓の脆弱性悪用による不正アクセス

森永製菓は2024年4月にサーバ機器への不正アクセスを検知し、同社およびグループ役職員4,882件分の氏名・社内ID・ハッシュ化パスワードなどが流出した可能性を公表しました。

侵入経路は特定・遮断済みですが、二次被害が確認できない段階でも対象者へ個別通知を行う慎重な対応を採っています。

社内システムの脆弱性が突かれたことから、レガシーサーバーの定期パッチ適用とログ監視体制の整備が急務であると示されました。

事例6：ベネッセホールディングス事件

2014年のベネッセホールディングス事件では、業務委託先元社員による内部不正で約2,895万件の顧客情報が名簿業者へ転売されました。事件後、同社は特別損失約260億円を計上し、会員数も大幅減となるなど長期的なブランド毀損に直面しました。

この事件は内部犯行対策と大容量データ書き出し制御の重要性を世に知らしめ、現在のDLP（情報漏洩防止）製品普及の契機ともなりました。

情報漏洩の主な原因と手口

外部からのサイバー攻撃

IPAが発表した「情報セキュリティ10大脅威 2025」でも、ランサムウェア被害とWebサイトの脆弱性悪用は組織部門の上位を占め、KADOKAWAやSNKRDUNKの事例が示すように被害規模は年々拡大しています。

攻撃者は二重恐喝型や脅迫型を組み合わせ、バックアップ破壊と機密データ窃取を同時に行うため、検出後の対応コストが跳ね上がります。SLA遵守のためにもEDRとNDRの連携による早期封じ込めが不可欠です。

ヒューマンエラー

ファーストリテイリングのケースが示す通り、システム設定ミスや誤送信など人為的な確認不足は重大な漏洩誘因となります。クラウド化が進むほど設定範囲は拡大し、DevSecOpsによる自動チェックと権限最小化が鍵となります。

内部不正）

ベネッセ事件では内部者がUSBメモリで大量データを持ち出したことが発端であり、Yano Researchでもシングルサインオンの不正利用が被害拡大を招きました。退職者・委託先を含むIDライフサイクル管理とデータアクセスの振る舞い分析が不可欠です。

情報漏洩が企業と利用者に与える影響

企業への経済的・信用的ダメージ

IBMの「Cost of a Data Breach 2024」によれば、世界平均の漏洩コストは過去最高を更新し4.88百万米ドルに達しています。日本企業でもシステム復旧費に加え、訴訟費用・ブランド毀損・株価下落が複合的に表面化する傾向が強まっています。

利用者への被害と二次被害リスク

漏洩した個人情報はフィッシングやなりすまし詐欺に再利用され、長期的に利用者を脅かします。KADOKAWAやYano Researchが追加の注意喚起を続けるのは、被害届出後も不審メールが波及し続けるためです。

企業が取るべき情報漏洩対策

技術的対策

エンドポイント暗号化や秘密分散、DLP、そしてゼロトラストアーキテクチャの導入は、外部攻撃と内部不正の両面を抑止します。特にクラウドとオンプレを跨ぐ環境では、アクセス制御と脅威検知を統合的に可視化するプラットフォームが必須です。

組織的対策）

ファーストリテイリングの設定ミスや矢野経済研究所のフィッシング事案は、社員教育とガバナンスの欠如が直接要因となりました。最新の攻撃手法を踏まえた継続的なセキュリティ訓練と、持ち出し・書き出し制御を含む運用ポリシー徹底が必要です。

運用的対策

森永製菓の事例に見るように、ログ監視と脆弱性管理が機能しないと攻撃を早期検知できません。EDR・SIEM連携による行動分析と第三者監査で運用を評価し続ける仕組みが、長期的なリスク低減に直結します。

新たなソリューション: ZENMU Virtual Drive

秘密分散技術の仕組みと強み

ZENMU Virtual Drive（ZVD）は、独自の秘密分散技術でデータを無意味化・分割し、端末とクラウド（またはスマートフォン等）に分散保管することで、単一媒体の喪失では情報が復元できない設計になっています。

オフライン利用と高パフォーマンス

ZVDはオンライン時と同等の速度でオフライン編集を可能にし、再接続時に分散片が自動統合されます。2025年6月にはスマートリングを分散先として活用する新技術の開発も発表され、可搬性と利便性を両立しています。

導入コストと価格プラン

2025年2月リリースの「ZENMU Virtual Drive Limited Edition」はVDI向けに機能を絞り、1ライセンス月額500円（年契約）で提供されています。既存VDI環境に追加構築不要で導入できる点が大企業のコスト圧縮に寄与しています。

無料トライアルと導入手順

同製品では9月末まで初期導入支援を無償提供するキャンペーンを実施しており、オンラインセミナーやPoCを通じて現場環境に合わせたチューニングが可能です。短期間で効果を検証できるため、情報漏洩対策のファーストステップとして導入する企業が増えています。

まとめ

2025年に発生した複数の情報漏洩事例は、企業の業種や規模に関係なくリスクが存在し、被害が経営やブランド価値に深刻な影響を及ぼすことを改めて浮き彫りにしました。情報漏洩のコストが世界的に上昇し続ける中、攻撃者に先んじて脆弱性を特定・対処できる体制の構築が急務です。

その中でも、ZENMU Virtual Driveのような秘密分散型の新たなセキュリティソリューションは、従来の暗号化技術に加え、オフライン環境での利便性やデータ復旧性の高さを両立し、低コストで導入可能な点で注目されています。今後、ゼロトラスト環境下における堅牢な情報管理を実現する上で、有効な選択肢の一つとなるでしょう。