ダイソー個人情報漏洩事件から学ぶ｜5年間で1万件の情報が丸見え状態だった恐怖の実態

2025年6月18日、100円ショップ大手「ダイソー」を運営する大創産業が、約1万件もの個人情報が外部に漏洩した可能性があると発表しました。しかも、その期間は2019年12月から2025年4月まで、なんと5年4ヶ月間にも及んでいたのです。

この事件は、私たちフォレンジックアナリストにとって典型的な「設定ミス」による情報漏洩事例として注目すべき案件です。今回は現役CSIRTの視点から、この事件の詳細と、私たち個人や中小企業が学ぶべき教訓について解説していきます。

事件の概要：Googleグループの設定ミスが招いた大規模漏洩

今回の事件の原因は、大創産業が利用していたGoogleグループの設定ミスでした。本来なら社内だけでアクセスできるはずの57個のグループが、外部からも閲覧可能な「公開設定」になっていたのです。

漏洩した情報の内訳は以下の通りです：

私がこれまでに関わった類似事例でも、Googleワークスペースやその他のクラウドサービスの設定ミスによる情報漏洩は珍しくありません。特に中小企業では、IT担当者が兼任で業務を行っているケースが多く、細かな権限設定まで手が回らないことがよくあります。

実際に調査した事例では、ある中小企業で3年間にわたって顧客データが検索エンジンに引っかかる状態になっていたケースもありました。幸い悪用された形跡はありませんでしたが、競合他社が顧客リストを把握していた可能性は否定できませんでした。

漏洩した個人情報は、サイバー犯罪者にとって「宝の山」です。特に今回のダイソー事件で注目すべきは以下の点です：

漏洩した顧客情報や従業員情報は、フィッシングメールの作成に悪用される可能性があります。「ダイソーからの重要なお知らせ」と称したメールで、さらなる個人情報の詐取やマルウェア感染を狙う攻撃が考えられます。

氏名、住所、電話番号の組み合わせがあれば、クレジットカードの不正利用や各種サービスへの不正登録が可能になってしまいます。

取引先情報が漏洩したことで、ビジネスメール詐欺（BEC）の標的になる可能性もあります。取引先になりすまして請求書を送付し、振込先を変更させる手口です。

このような大規模な情報漏洩事件を受けて、私たち個人レベルでできる対策を考えてみましょう。

漏洩した個人情報を悪用したフィッシングサイトやマルウェア攻撃から身を守るため、信頼性の高いアンチウイルスソフトの導入は必須です。最新の脅威データベースを持つソフトウェアなら、新しい詐欺サイトにも対応できます。

個人情報が漏洩した状況では、インターネット上での行動も監視される可能性があります。VPN を使用することで、IPアドレスを隠し、通信内容を暗号化して、追加の保護層を構築できます。

クレジットカードの利用明細や銀行口座の入出金履歴を定期的にチェックし、不審な取引がないか確認しましょう。

今回の事件は、大企業でも起こりうる問題であることを示しています。中小企業の経営者の方は、以下の点を見直してみてください：

ダイソーの情報漏洩事件は、どんなに大きな企業でも人的ミスによるセキュリティインシデントが発生することを改めて示しました。私たちにできることは、このような事件が起きた時に被害を最小限に抑える準備をしておくことです。

個人レベルでのアンチウイルスソフトとVPN の活用は、もはや「あったら便利」ではなく「必須のインフラ」と考えるべき時代になっています。特に、今回のように長期間にわたって情報が露出していた可能性がある場合、その情報を悪用した攻撃はこれから本格化する可能性もあります。

デジタル社会で安全に生活するためには、適切なセキュリティツールの導入と、常に最新の脅威情報にアンテナを張っておくことが重要です。今回の事件を教訓として、自分自身のデジタルセキュリティを見直してみてはいかがでしょうか。