カナダにおける過去最大規模のデータ漏洩事件トップ11 [2026年版]

1. はじめに：カナダの組織にとってデータ漏洩がリスクとなる理由#

カナダではデータ漏洩が増加しており、複数のセクターに影響を与え、市民と組織の双方で懸念が高まっています。カナダ人はデータセキュリティに対する不安を募らせており、85%が懸念を示し、66%が3年前と比較して不安が高まっていると報告しています。この懸念は、注目を集める漏洩事件や、国家が支援するサイバー攻撃、ランサムウェアなどの新たな脅威によってさらに増幅されています。

2024年のカナダにおけるデータ漏洩の平均被害額は466万米ドルで、世界平均の488万米ドルをわずかに下回っています。このブログでは、カナダにおける最大規模のデータ漏洩事件を詳しく見て、それらがどのように、そしてなぜ発生したのかを分析します。

2. なぜカナダはデータ漏洩の魅力的な標的なのか？#

カナダはデータ漏洩の魅力的な標的となっています。これは、重要なセクター、組織、そして個人がサイバー犯罪の被害を受けやすくなる要因が組み合わさっているためです。

1. 業界全体にわたる価値の高いデータ: カナダのヘルスケア、金融サービス、小売、エネルギーセクターは、個人の健康記録、金融取引、決済データなどの大量の機密情報を管理しています。組織が重要な資産を戦略的に保護しなければならないのと同様に、的を絞ったCEOの配置を通じてリーダーシップを強化することは、ガバナンスと危機管理能力を高めることができます。この種の情報は闇市場で非常に価値が高く、これらの業界をサイバー犯罪者の主な標的としています。データがこれほどまでに価値があるのは、個人情報の盗難、保険金詐欺、銀行口座へのアクセスと資金の引き出しに利用できるためです。

2. 地政学的な重要性: G7やFive Eyesインテリジェンス・パートナーシップなどのグローバルな同盟におけるカナダの役割は、同国を国家支援型サイバー活動の標的にしています。さまざまな国がカナダの政府システムを標的とした高度なサイバーエスピオナージ（サイバースパイ活動）に従事し、機密情報の収集や知的財産の流出を狙っています。さらに、カナダはその政治的なつながりから、敵対的な国家によるサイバー脅威にさらされています。

3. カナダにおける過去最大規模のデータ漏洩事件#

以下に、カナダにおける最大規模のデータ漏洩事件のリストを示します。これらの事件は、影響を受けた顧客アカウントの数が多い順に並んでいます。

3.1 LifeLabsのデータ漏洩 (2019年)#

2019年10月、LifeLabsは大規模なランサムウェア攻撃の標的となり、約1,500万人の個人の健康データが侵害され、カナダ史上最大のデータ漏洩事件となりました。攻撃者はLifeLabsのシステムへの不正アクセス権を獲得し、機密情報を流出させた後、身代金を要求しました。同社は、盗まれたデータを保護するために身代金を支払ったことを確認しましたが、攻撃者がコピーを作成したかどうかは確認できませんでした。この漏洩は、関連するデータの機密性だけでなく、LifeLabsが公表を12月まで遅らせたため、国民の懸念を引き起こしました。

調査によると、この漏洩は、ソフトウェアの陳腐化、エンドツーエンドの暗号化の欠如、およびシステムの脆弱性に対する監視の不備に起因している可能性が示唆されました。このインシデントは、特に健康データの重要な性質を考慮すると、LifeLabsのサイバーセキュリティ体制における重大な弱点を露呈しました。

防止策:

• 強力な暗号化を導入し、時代遅れのシステムをモダナイズする
• 高度な侵入検知ツールとリアルタイム監視ツールを使用する
• 身代金の支払いを避けるために、安全なオフラインバックアップを維持する

3.2 Desjardinsのデータ漏洩 (2019年)#

カナダ最大級の金融協同組合であるDesjardins Groupは、内部関係者による大規模なデータ漏洩に見舞われ、約970万人の個人データと財務データが流出しました。この漏洩は、元従業員が少なくとも26ヶ月間にわたってデータを収集・流出させていたことが内部調査で明らかになった後に発覚しました。情報は組織外に転送されていましたが、連邦プライバシーコミッショナーが介入するまで、Desjardinsの監視システムでは検出されませんでした。

正当な内部アクセスの悪用を根本原因とするこの漏洩の性質は、Desjardinsの内部統制、特にユーザーアクティビティの監視、アクセス権限、およびデータ流出アラートに関する構造的な弱点を浮き彫りにしました。この事件は、漏洩の期間や侵害されたデータの機密性から、カナダの企業史において最も重大な内部脅威の事例の一つとして残っています。

防止策:

• 厳格なアクセス制御と最小権限ポリシーを適用する
• 従業員のデータアクセスを定期的に監視・監査する
• 異常なアクティビティを検出するために行動分析を利用する

3.3 Yves Rocherのデータ漏洩 (2019年)#

2019年、フランスの化粧品ブランドであるYves Rocherは、サードパーティのサービスプロバイダーがホストする保護されていないElasticsearchデータベースが研究者によって発見され、カナダの顧客基盤に関わる大規模なデータ漏洩を経験しました。公開されたシステムには、個人情報と企業内部データの両方を含む、約250万人に関する記録が含まれていました。さらに憂慮すべきことに、データベースの設定により読み取り/書き込みアクセスが許可されていたため、権限のない第三者が自由自在に情報を追加、変更、または削除できた可能性がありました。

漏洩の原因は、顧客データや運用データを管理するためのクラウドホスト型プラットフォーム上の不適切なアクセス権限と認証の欠如にあると特定されました。この事件は、サプライチェーンやサードパーティベンダーのセキュリティ上のミスが、確立されたブランドさえも直接的に侵害する可能性があることを示しました。漏洩したデータには、顧客のPIIだけでなく、店舗のパフォーマンス指標や製品の構成データなどの機密のビジネスインサイトも含まれていました。

防止策:

• サードパーティベンダーに対する厳格なセキュリティプロトコルを適用する
• 適切な認証とアクセス制御によってクラウドサービスを保護する
• 設定ミスのために公開されたデータベースを定期的に監査する

3.4 Nissan Canada Financeのデータ漏洩 (2017年)#

2017年12月、Nissan Canada Finance (NCF) は、同社を通じて車両のリースやローン契約を行っていた100万人以上の現在および過去の顧客の個人情報が流出するデータ漏洩を報告しました。この漏洩は、財務情報や車両固有の情報を含む、機密の顧客データが含まれるシステムへの不正アクセスを伴うものでした。同社は異常なアクティビティを検出した後に漏洩を認め、法執行機関やプライバシー保護当局と協力して本格的な調査を開始しました。

NCFは攻撃の技術的な詳細を公表していませんが、アクセスされたデータの種類から、認証情報の窃取、不十分なネットワークセグメンテーション、または不十分な暗号化プロトコルを通じて、バックエンドシステムが侵害された結果として漏洩が発生した可能性が高いことが示唆されています。被害を軽減するため、NCFは影響を受けた顧客に対し、12ヶ月間の無料クレジットモニタリングと個人情報盗難保護を提供しました。

防止策:

• バックエンドシステムの認証（フィッシング耐性のあるMFAなど）とセグメンテーションを強化する
• すべての顧客データ、特に財務情報を暗号化する
• 不正なアクセス試行がないかシステムを継続的に監視する

3.5 TIO Networksのデータ漏洩 (2017年)#

PayPalが所有するカナダの請求書決済処理業者であるTIO Networksは、システムに顧客記録への不正アクセスを許す脆弱性があることが判明し、2017年後半にデータ漏洩に見舞われました。異常なアクティビティを検出した後、PayPalはTIOの運営を一時停止して正式な調査を開始し、機密データが保存されているネットワークの複数の領域にハッカーが侵入していたことが明らかになりました。侵害された情報には、約160万人のユーザーの個人を特定できる情報や金融口座の詳細が含まれていました。

この漏洩は、時代遅れのセキュリティプロトコルや不十分なネットワークセグメンテーションなど、TIOのインフラストラクチャ内の構造的な弱点を指摘するものでした。TIOのシステムはPayPalのコアアーキテクチャとは独立していたため、この漏洩はPayPalユーザーに直接影響を与えることはありませんでしたが、買収に関連するサイバーセキュリティのデューデリジェンスに関する重大な懸念を提起しました。

防止策:

• 合併および買収の際に包括的なセキュリティ監査を実施する
• レガシーシステムを隔離し、コアネットワークから保護する
• 財務データに対する多層的なアクセス制御と暗号化を実装する

3.6 Bell Canadaのデータ漏洩 (2017年および2018年)#

Bell Canadaは8ヶ月の間に2回のデータ漏洩を経験しました。始まりは2017年5月で、攻撃者が約190万件のメールアドレスと1,700件の顧客の氏名と電話番号にアクセスし、流出させました。2018年1月の2回目の漏洩では、さらに最大10万人の顧客データが侵害されました。どちらの事件でも、Bellは財務データやパスワードデータにはアクセスされていないと主張しましたが、詳細は内部システムへの不正アクセスを防げなかったことを示唆していました。

少なくとも1件の漏洩において、攻撃者はデータを公に流出し、動機はBellに協力を強要するためであったと主張しており、何らかの恐喝の試みがあったことをほのめかしています。最初の漏洩はすぐに顧客に報告されなかったため、Bellは両方のケースにおける公表の遅れを批判されました。これらの出来事は、Bellのデータガバナンス、漏洩の検出能力、および顧客とのコミュニケーションの慣行における深刻な問題を浮き彫りにしました。

防止策:

• リアルタイム監視とインシデント対応プロトコルを適用する
• 外部アクセスポイントを制限し、境界防御を強化する
• 明確なタイムラインを伴う顧客への漏洩通知手順を実装する

3.7 カナダ歳入庁のデータ漏洩 (2020年)#

2020年8月、カナダ歳入庁 (CRA) は2件の別々のサイバー攻撃の犠牲となり、合わせて11,000件以上の個人のオンラインアカウントが侵害されました。攻撃はクレデンシャルスタッフィングという手法を利用したもので、ハッカーは過去に無関係の漏洩事件で盗まれたユーザー名とパスワードを使用してCRAのアカウントにアクセスしました。内部に入ると、攻撃者は機密の納税者情報を閲覧し、直接預金の詳細を変更し、場合によってはパンデミック関連の政府の給付金を申請することができました。

この漏洩により、CRAのシステムレベルのセキュリティ制御とユーザー側の慣行 (パスワードの使い回しなど) の両方における重大な欠陥が露呈しました。多要素認証が広く導入されておらず、不審なアクティビティのリアルタイム検出が欠如していたため、既知の攻撃手法であったにもかかわらず、攻撃者は大規模なエクスプロイトを実行できました。

防止策:

• オンラインサービスに必須の多要素認証 (パスキーなど) を強制する
• ログインの試行にレート制限と異常検出を実装する
• パスキーのようなフィッシング耐性のある認証技術を導入する

3.8 Rogers Communicationsのデータ漏洩 (2015年/2018年/2020年)#

5年間にわたり、Rogers Communicationsは内部従業員のアカウントと外部の顧客記録の両方に関わる複数のデータ漏洩を経験しました。最も公になったインシデントは2015年に発生し、TeamHansというハッカーグループが恐喝に失敗した後、Rogersの内部データとメールのログを公開しました。2018年と2020年のその後の漏洩では顧客アカウントへの不正アクセスが報告されましたが、公開された詳細は限られたままでした。少なくとも1件のケースでは、漏洩したデータは複数の法人顧客の記録にアクセスできる権限を持った、侵害された従業員のアカウントから発生したように見えました。

これらの度重なる漏洩は、特にメールセキュリティ、アクセス権限、および異常のタイムリーな検出に関する、外部の脅威と内部の制御の失敗の両方を反映しています。影響を受けた個人の数は大規模なインシデントと比較して比較的中程度でしたが、攻撃の頻度と可視性はRogersの全体的なサイバーセキュリティ体制について深刻な懸念を引き起こしました。

防止策:

• メールの監視と異常検出ツールを導入する
• 内部アカウントに対して特権アクセスの制限を強制する
• ソーシャルエンジニアリングの試みを認識して報告するように従業員を教育する

3.9 Home Depot Canadaのデータ漏洩 (2020年)#

2020年11月、Home Depot Canadaはサイバー攻撃ではなく、内部システムのエラーに起因するデータインシデントを経験しました。この問題により、顧客は他人に送られるはずだった注文確認の誤ったメールを数十通、場合によっては数百通受け取る事態になりました。これらのメールには、一部の決済情報や個人の連絡先が含まれていました。Home Depotは影響を受けた顧客は少数だと述べましたが、漏洩の性質上、フィッシングや詐欺につながる可能性を生み出しました。

この漏洩は、自動化されたシステムの運用上の不具合であっても、深刻なプライバシー上の懸念を引き起こす可能性があることを示す明確な例でした。また、アウトバウンドコミュニケーションを適切に検証しなかったり、顧客向けのメッセージを生成するシステム内でユーザーデータを分離しなかったりするリスクも示しました。

防止策:

• 顧客へのアウトバウンドコミュニケーションのセーフガードを導入する
• 注文システムとメールシステムの定期的なテストを実施する
• 顧客向け自動化ツールにおけるアクセス制御をより厳格化する

3.10 TransUnion Canadaのデータ漏洩 (2019年)#

2019年、TransUnion Canadaは、TransUnionの法人顧客の1つの侵害されたログイン認証情報を通じて、約37,000人のカナダ人の個人データにサードパーティによってアクセスされたことを公表しました。攻撃者はTransUnionのシステムに直接侵入したわけではなく、正規ユーザーのアカウントを悪用して極めて機密性の高いクレジット情報にアクセスしました。この漏洩は、検出されるまで約2ヶ月間継続していました。

このインシデントは、ビジネスパートナーやクライアントが消費者データへの幅広いアクセスを与えられている場合、データセキュリティに重大なリスクをもたらす可能性があることを浮き彫りにしました。また、法人クライアントが、アクセスを許可されたデータの機密性に見合ったセキュリティ基準を遵守していることを確認することの重要性も強調しました。

防止策:

• サードパーティの厳格なアクセスポリシーと監視を強制する
• すべてのパートナーアカウントに多要素認証を適用する
• 異常なアクセスパターンをフラグ付けするために行動分析を使用する

3.11 Nova Scotia Powerのデータ漏洩 (2025年)#

2025年3月、Nova Scotia Powerはランサムウェア攻撃に見舞われ、顧客基盤のほぼ半分に当たる約28万人の顧客の機密性の高い個人情報および財務情報が漏洩しました。この侵害は1ヶ月以上検出されず、4月下旬に特定された時点ですでに盗まれたデータはオンラインで公開されていました。他のケースとは異なり、この電力会社は法的な制限と法執行機関の指導を理由に身代金の支払いを拒否しました。

収集されたデータの規模と機密性、特に社会保険番号 (SIN) と事前承認済み支払いのための銀行口座情報が含まれていたため、この攻撃は大きな注目を集めています。専門家は、個人情報の盗難の長期的なリスクを考慮すると、そのような機密性の高い識別子を保存する必要性について疑問を呈しました。影響を受けた顧客の一部は、すでに自分のデータがダークウェブ上で流通していることについて警告を受けています。Nova Scotia PowerはTransUnionを通じて2年間の無料クレジットモニタリングを提供しましたが、批評家は、SINのような永続的なデータに対する保護としては不十分だと主張しています。国民からの反発を受けて、連邦プライバシーコミッショナーによる調査が開始され、経営幹部は6月上旬に国会議員の前で証言することが予定されています。個人情報保護および電子文書法 (PIPEDA) に基づく調査も開始されました。

防止策:

• リスクの高い個人識別子 (SINなど) の収集と保持を最小限に抑える
• ランサムウェアに対する厳格なアクセス制御とエンドポイント保護を適用する
• 脅威の検出および対応ツールを使用してシステムを継続的に監視する
• 迅速な復旧をサポートするために、暗号化された不変のバックアップを維持する

4. カナダにおけるデータ漏洩の傾向#

2025年までにカナダで発生した最大規模のデータ漏洩を見ると、これらの事件に繰り返し見られるいくつかの傾向に気づくことができます。

4.1 内部関係者と内部エラーは主要な脅威である#

ハッカーがファイアウォールを突破するというドラマチックなイメージに反して、カナダで最も被害の大きかった漏洩の多くは、内部関係者や内部システムの設定ミスによって引き起こされていました。この種の脅威は、組織内の信頼できる情報源から発生するため、検出が特に困難です。Desjardinsのような一部のケースでは、漏洩が発見されるまで2年以上続きました。これは、企業がアクセスを管理し、内部のアクティビティを監視する方法に重大なギャップがあることを浮き彫りにしています。強力な実質的支配者（UBO）確認プロセスを実装することで、組織はインサイダーリスクをより適切に特定し、管理することができます。

4.2 単純なミスが甚大な結果をもたらす可能性がある#

すべてのデータ漏洩が高度なサイバー戦争の結果というわけではありません。実際、最も広範囲に影響を及ぼしたインシデントのいくつかは、セキュリティで保護されていないデータベース、不適切に設定されたシステム、検出されなかった隠しスパイアプリ、または忘れ去られていたセキュリティ設定といった、基本的で修正可能な問題に帰着しました。これらの脆弱性は手遅れになるまで気付かれないことがよくありますが、定期的な監査で防ぐのが最も簡単な部類に入ります。

4.3 ランサムウェアは最も破壊的なサイバー脅威の1つになった#

かつてはニッチなサイバー犯罪だと思われていたものが、今ではデータ漏洩と運用停止の主な原因となっています。悪意のある攻撃者が重要なシステムを暗号化し、アクセスを回復するために支払いを要求するランサムウェア攻撃は、ヘルスケアから製造業に至るまで、あらゆる業界であらゆる規模の企業を襲っています。金銭的な損失を超えて、これらの攻撃は日常業務を停止させ、顧客の信頼を損ない、長期的な評判へのダメージをもたらす可能性があります。

4.4 誰も免疫はない。公共サービスさえも攻撃を受けている#

サイバー攻撃はもはや企業の世界に限定されません。私たちは、病院、政府機関、法執行機関、および公共事業者が侵害されるのを見てきました。これらのシステムが混乱すると、結果はデジタルなものにとどまらず、人々の実際の生活に影響を与えます。

5. 結論#

カナダで増加するデータ漏洩のリストは、明確で緊急の真実を明らかにしています。大規模なヘルスケアプロバイダーや金融機関から政府機関や大手小売業者に至るまで、攻撃者はさまざまな脆弱性を悪用しています。技術的なギャップ、内部脅威、さらには単純な設定ミスも、大規模なデータ漏洩の原因となっています。その結果は金銭的なものだけでなく非常に個人的なものであり、データが流出したり盗まれたりした何百万人ものカナダ人に影響を与えています。

注目すべきは、強力なアクセス制御、従業員のトレーニング、定期的なシステム監査、安全な設定といった基本的なサイバーセキュリティの慣行によって、これらの漏洩の多くが防げた可能性があるということです。同時に、ランサムウェアやクレデンシャルスタッフィング攻撃の巧妙化により、基本的な防御では不十分であることが示されています。組織は継続的にセキュリティ戦略を進化させ、ゼロトラストモデル、高度な監視、およびインシデント対応計画を取り入れる必要があります。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →

よくある質問#

ハッカーはどのようにして、CRAシステムを直接侵害することなく、2020年にカナダ歳入庁のアカウントにアクセスしたのですか？#

攻撃者はクレデンシャルスタッフィングを使用し、過去に盗まれたユーザー名とパスワードのペアをCRAのログインポータルに入力しました。ユーザーがパスワードを使い回し、CRAに多要素認証が広く導入されていなかったため、11,000件以上のアカウントが侵害され、攻撃者は直接預金の詳細を変更し、パンデミック関連の政府の給付金を申請することができました。

Desjardinsのデータ漏洩が2年以上も検出されなかったのはなぜですか？#

悪意のある内部関係者が、Desjardinsの監視システムに作動させることなく、少なくとも26ヶ月間にわたってデータを収集し流出させました。この流出は連邦プライバシーコミッショナーが関与した後に初めて発覚し、最終的に970万人の個人情報と財務情報が漏洩し、カナダの企業史において最も重大な内部脅威のケースの1つとなりました。

Nova Scotia Powerの2025年のランサムウェア攻撃が、カナダの他の漏洩事件と比べて極めて深刻だったのはなぜですか？#

この攻撃により、約14万人の顧客の社会保険番号と、事前承認済み支払いのための銀行口座情報が流出し、この電力会社の顧客基盤のほぼ半分に影響が及びました。盗まれたデータは検出される前にオンラインで公開されており、批評家は提供された2年間の無料クレジットモニタリングは、SINのような永続的な識別子には不十分であると主張しています。

Yves Rocherの2019年のカナダでのデータ漏洩は、会社自身のシステムへの直接のハッキングがないにもかかわらず、どのようにして発生したのですか？#

研究者により、サードパーティプロバイダーがホストする保護されていないElasticsearchデータベースが発見され、認証なしで読み取り/書き込みアクセスが可能な状態で、約250万人に関する記録が公開されていることが判明しました。このインシデントは、ベンダーやサプライチェーンのセキュリティの失敗が、製品の配合情報や店舗のパフォーマンス指標といった機密のビジネス情報を含む顧客データを直接流出させる可能性があることを示しています。