先日米国の金融関連企業「キャピタル・ワン社」が、自社が保管していた約1億600万人もの個人情報が漏洩したことを発表しました。
Webアプリケーションファイアウォール(WAF)の設定ミスに起因する、SSRF攻撃と呼ばれる、サーバの脆弱性を悪用した不正アクセスによる漏洩とのこと。

>Capital One プレス発表記事(英語)

個人情報漏洩の報告は、小さいものまで含めると頻繁になった印象ですが、大規模な漏洩の報告も珍しくなくなってきた気がしてので、ちょっと調べてみました。
数千万人以上の規模の個人情報漏洩、こちらで調べただけで、こんなにありました。

<日本国内での大規模漏洩インシデント>

2017年 NHK 3,300万人 委託先従業員による個人情報の紛失
2014年 ベネッセ 3,500万件 関係者による不正持ち出し
2011年 ソニー 7,700万件以上 ハッカー集団のサイバー攻撃

<世界での大規模漏洩インシデント>

2019年7月 キャピタル・ワン
(米国・金融関連企業)
約1億600万人 設定ミスと不正アクセス
2019年4月 Cultura Colectiva(メキシコ)
+アプリAt the Pool
5億4000万件以上
(facebookユーザーデータ)
設計ミス
2018年12月 Google+ 5,250万人 APIのバグと不正アクセス
2018年11月 マリオット 3億3,900万人 不正アクセス
2018年9月 facebook 5,000万人 複数のバグと不正アクセス
2018年4月 facebook 8,700万人 設計ミス
2017年12月 Equifax(米国) 1億4,450万人 不正アクセスと設計ミス
2013年8月
(2017年発表)
Yahoo!(米国) 30億人以上 不正アクセス

さて、いかがですか。
過去最大となるYahoo!での漏洩を含めて、錚々たる大企業での漏洩がリストアップされました。
これらの企業もセキュリティ対策はしていたはずですが、それでも不正アクセスを許してしまったり、または関係者によるデータの不正持ち出しや紛失などの人災も含めて、実際に流出は起きてしまっているのです。

いくら私たちが気をつけても、手の及ばないところで流出は起きてしまうのか、と思うとゲンナリしてしまいますね・・・。
(今回はオチのないネタで失礼しました)