ニュース・リリース

• 
  2026.05.15
  決済額情報漏洩後に「回復」しても油断できない理由と情シスが取るべき打ち手
  決済額情報漏洩の評価軸決済額情報はカード番号などに比べ「直ちに不正決済に使いにくい」と見られがちです。しかし実務では、単体の危険度よりも他データとの結合可能性で評価します。会員IDや配送先、購入カテゴリ、端末情報と組み合わされると、標的型詐欺やアカウント乗っ取り（ATO）の精度を上げる材料になり得ます。特にECでは購買頻度や高額購入のタイミングが推測でき、偽メール送信や高価値ユーザーへの集中的なフ...
• 
  2026.05.14
  CAMPFIRE個人情報漏えい疑いが示す、プラットフォーム運用と利用企業の備え
  事案概要と「漏えいの可能性」が示すリスククラウドファンディング大手CAMPFIREで、プロジェクトオーナーおよび支援者の個人情報が漏えいした可能性があると報告されました。報道では最大約22万件規模で、氏名や口座情報など決済・本人確認に結びつく情報が含まれる可能性が指摘されています。確証前の「可能性」表現であっても、不正閲覧や情報持ち出しの懸念が残る以上、二次被害は現実的に想定すべきです。情シスとし...
• 
  2026.05.13
  AIエージェント導入で増える攻撃面：予約・決済自動化に必要な統制ポイント
  「実行するAI」がもたらす権限リスクAIエージェントは会話に答えるだけでなく、外部サービスや社内ツールと連携して予約・申請・決済まで“代理実行”します。利便性の裏返しとして、認証（誰として動くか）と認可（何を許すか）が曖昧だと、過大な権限が一気に付与されます。結果として誤操作や誘導が、金銭・個人情報・業務継続に直結する新たなアタックサーフェスになります。情シスが想定すべき被害シナリオ第一に情報漏洩...
• 
  2026.05.13
  内部不正が複合化する時代の自治体セキュリティ再設計
  複合型内部不正のリスク認識 自治体の事故は外部攻撃だけでなく、内部者による脅迫・名誉毀損・個人情報漏洩・虚偽通報が連鎖する「複合型」として発生し得ます。内部者は業務権限、システム知識、人間関係を持つため、短期間で被害を拡大させやすいです。発覚回避や自己正当化が働くと、追加漏洩や虚偽通報など行動がエスカレートします。 情シス・セキュリティ担当者は、個人の資質問題に矮小化せず、権限設計・ログ・通報制度...
• 
  2026.05.12
  銀行員のSNS不適切投稿から考える、映り込み情報漏洩の実務対策
  SNS投稿がインシデント化する構造SNS起点の漏洩は、削除してもスクリーンショットや転載で残存し、拡散も速い点が厄介です。さらに写真・動画は、投稿者が意図しない情報を大量に含みやすく、後から「映り込み」に気づいても手遅れになりがちです。情シスとしては、技術対策が進んだ環境ほど“人の行動”が最後の穴になる前提で管理策を組み直す必要があります。特に金融・個人情報を扱う現場では、名札、伝票、端末画面、ホ...
• 
  2026.05.11
  約1万5000人分漏えい事案に学ぶ、不正アクセス対策の実務要点
  漏えい情報の危険性と想定すべき二次被害 沖縄総合事務局で、不正アクセスにより約1万5000人分の住所・氏名・生年月日・電話番号が漏えいしたと報じられました。これらは単体でも個人特定に直結し、組み合わせで本人同定の精度が一気に上がります。生年月日など変更できない属性情報を含む点は、被害が長期化しやすく特に重い論点です。結果として、なりすましによる手続き突破、還付金・未納を騙る詐欺、ボイスフィッシング...
• 
  2026.05.08
  個人情報漏えい「疑い」でも動くべき理由と、委託先管理・初動対応の実務要点
  「漏えい疑い」段階でのリスク認識 個人情報は、漏えいが確定してから対応するものではありません。最初は不審なアクセス、設定不備の発見、外部通報など「兆候」から始まり、判断が遅れるほど被害拡大と説明責任リスクが増えます。小売や会員ビジネスでは属性情報と購買関連情報が組み合わさり、なりすましやフィッシングに転用されやすい点も要注意です。 情シスとしては「確証がないから待つ」ではなく、事実確認・被害抑止・...
• 
  2026.05.07
  「毎日3件」の漏洩が示す常態化：情シスが備えるべき実務優先順位
  データ漏洩の常態化と前提変更 フランスでデータ漏洩が「毎日3件」起きるという事実は、侵害が例外ではなく通常リスクになったことを示します。攻撃は脆弱性悪用や認証情報窃取、取引先経由を組み合わせ、侵入後に横展開と権限昇格を経て情報窃取や暗号化に至ります。境界防御だけで止める発想から、早期検知・封じ込め・迅速復旧までを含むレジリエンス重視へ転換が必要です。 件数の多さ自体より、検知までの時間や復旧速度が...
• 
  2026.05.01
  偽警告からの遠隔操作被害に備えるサポート詐欺対策
  利用者操作を悪用する侵入手口 偽のセキュリティ警告で不安をあおり、電話やチャットで手順を指示して遠隔操作ソフトを入れさせるのがサポート詐欺です。マルウェアの自動感染ではなく「本人に操作させる」ため、実行履歴上は正規操作に見えやすいのが厄介です。遠隔操作ツール自体が正規製品の場合も多く、単純なウイルス検知やブラックリストでは防ぎ切れません。 情シスとしては、端末単体の問題で終わらず、資格情報の窃取や...
• 
  2026.04.28
  不開示と黒塗り提出が示す、説明責任と情報保全の設計課題
  「不開示」になりやすい情報の性質捜査資料は、情報公開制度の対象であっても不開示になりやすい領域です。理由は、捜査手法や照会先が露呈すると実効性が損なわれ、証拠隠滅や逃走を誘発し得るためです。さらに被疑者・被害者・参考人の個人情報が大量に含まれ、断片情報の組み合わせで特定に至る二次被害も起こり得ます。通報者や協力者の秘匿も不可欠で、出所に触れる情報は慎重な扱いが求められます。審査会への黒塗り提出が突...