南アフリカにおける10大データ漏洩インシデント [2026年版]

1. はじめに#

南アフリカの組織は、急速に拡大するデータ漏洩の蔓延に直面しています。2024年の第1四半期だけで3,450万件以上の国内アカウントが侵害され、南アフリカはサイバーインシデントの影響をアフリカで2番目に多く受けている国となりました。過去2年間でデータ漏洩の報告件数は3倍に増加しており、2022年の約500件に対し、2023年には1,700件以上のインシデントが報告されています。

同国の情報規制当局（Information Regulator）には現在、毎月150件以上のデータ漏洩通知が寄せられており、前年の月間わずか56件から劇的に増加しています。これらのインシデントの背後には懸念すべきパターンが存在します。データ漏洩の95%は人為的ミスによって引き起こされており、多くの場合、フィッシング、ソーシャルエンジニアリング、脆弱なパスワードや使い回されたパスワードなど、回避可能なミスが原因となっています。

経済的な損害も非常に甚大です。2024年、1件のデータ漏洩による平均コストは5,300万ランドに達し、最も深刻なインシデントでは最大3億6,000万ランドの損害が発生しました。国家レベルでは、科学産業研究評議会（CSIR）がデータ漏洩による年間損失を22億ランドと推定しています。

リスクが高まっているにもかかわらず、多くの組織では準備が不足しています。2025年に向けてサイバーセキュリティ予算を大幅に増額する予定の組織はわずか29%にとどまっており、保護対策に大きなギャップが生じています。

本ブログでは、南アフリカにおける過去最大かつ最も被害の大きかった10件のデータ漏洩インシデントを取り上げ、それらがなぜ発生したのか、そして今後のインシデントを防ぐためにどのようなパターンから学べるのかを詳しく見ていきます。

2. 南アフリカがデータ漏洩の魅力的な標的となる理由#

デジタルおよび経済のリーダーとしてアフリカ大陸で南アフリカの果たす役割が大きくなるにつれ、サイバー攻撃の優先的な標的にもなっています。国としてのいくつかの特徴が、データ漏洩の増加とその影響の深刻化に寄与しています。この傾向を牽引する4つの主要な要因は以下の通りです。

2.1 高いデジタル普及率と経済的地位#

南アフリカの高度なデジタルインフラは、金銭目的のサイバー犯罪者や国家支援の攻撃者にとって格好の標的となっています。金融サービスや通信から、Eコマースや公共部門に至るまで、南アフリカの多くのセクターがデジタルプラットフォームに大きく依存しており、混乱、スパイ活動、または金銭的利益を狙う脅威アクターに対する攻撃対象領域（アタックサーフェス）を広げています。

2.2 大量の個人データの収集と共有#

公共および民間セクターの組織は、しばしば必要以上に広範な個人データを収集および処理しています。この過剰なデータ収集は、サードパーティとの広範なデータ共有や複雑なオプトアウトの仕組みと相まって、データ露出のリスクを高めています。ユーザーの1回の操作が、複数のシステム間でデータが共有される結果を招き、侵害の可能性のあるポイントを複数作り出してしまいます。

2.3 人為的ミスとサイバー意識の欠如#

南アフリカにおけるデータ漏洩の最大の要因は依然として人為的ミスであり、インシデントの最大95%が回避可能なミスに関連しています。これらには、偶発的なデータ流出、脆弱なパスワード、および成功したフィッシング攻撃が含まれます。多くの企業では依然として、適切なサイバーセキュリティのトレーニング、インシデント対応プロトコル、および従業員や経営幹部の基本的なセキュリティ意識が欠如しており、手間のかからない簡単な攻撃に対しても脆弱な状態にあります。

2.4 法的枠組みと執行の課題#

南アフリカではPOPIA（個人情報保護法）やサイバー犯罪法などの重要なデータ保護法が施行されていますが、その執行は依然として一貫していません。限られたリソース、断片化された責任範囲、および制度的な対応の遅れが、説明責任のギャップを生み出しています。

3. 南アフリカの10大データ漏洩インシデント#

この章では、南アフリカでこれまで発生した最も重大なデータ漏洩について詳しく見ていきます。これらのインシデントはそれぞれ大量の機密データを流出させ、長期的な評判の低下や経済的損害をもたらし、他の組織が教訓とすべき重大なセキュリティ上の弱点を浮き彫りにしました。インシデントは影響度の大きい順に紹介され、主要な事実、発生した事象の概要、および各インシデントをどのように防ぐことができたかについての実践的な洞察を提供します。

3.1 Master Deeds / Jigsaw Holdings データ漏洩 (2017年)#

2017年10月、あるサイバーセキュリティ研究者が、保護されていないWebサーバー上に膨大な量の個人記録を発見しました。このサーバーは南アフリカの不動産データ会社のものであり、後にMaster Deedsの親会社であるJigsaw Holdingsに関連付けられました。この漏洩は南アフリカ史上最大と考えられており、6,000万件以上の個人記録が流出しました（故人、未成年者、著名な公人のデータも含まれていました）。

流出したデータベースには、ID番号、職歴、収入の推定額、住宅所有の詳細、不動産評価額などの詳細な情報が含まれていました。驚くべきことに、このサーバーにはパスワード保護が一切なく、直接のURLを知っていれば誰でもアクセス可能な状態でした。データは平文で保存され、検索エンジンにもインデックスされていたため、発見される何ヶ月も前から公開状態にあった可能性があります。

報告後すぐにサーバーはオフラインにされましたが、すでに被害は発生していました。セキュリティ専門家は、このデータセットが今後何年にもわたって個人情報の盗難、金融詐欺、標的型フィッシング詐欺に悪用される可能性があると警告しました。このインシデントは国民の怒りを引き起こし、当時はまだ施行されていなかった南アフリカのデータ保護法（POPIA）の導入を加速させるよう、政府当局に圧力をかける結果となりました。

防止策：

• 外部に公開されているすべてのサーバーに対して、厳格なアクセス制御とパスワード保護を実施する。

• 設定ミスや公開リスクがないか、インフラストラクチャを定期的に監査する。

• 機密データを保存時に暗号化し、万が一漏洩が発生した場合の影響を軽減する。

3.2 Experian データ漏洩 (2020年)#

2020年8月、世界的な信用情報機関であるExperianは、約2,400万人の南アフリカの個人と約80万社の地元企業の個人情報および企業情報を流出させる重大なデータ漏洩を公表しました。攻撃者は正規のクライアントになりすまし、Experianを騙して大量の消費者データおよび商業データを引き渡させることに成功しました。

漏洩した情報には氏名、ID番号、連絡先が含まれていましたが、Experianは財務データや信用に関するデータは侵害されていないと主張しました。それでもなお、漏洩したデータはフィッシング、個人情報の盗難、企業のなりすまし詐欺に利用される可能性があるため、詐欺師にとっては価値の高いものでした。

その後攻撃者は特定され、データは広く拡散される前に確保されたと報告されていますが、非技術的な手段で機密データがどれほど容易に流出してしまうかについての懸念を呼び起こしました。このインシデントをきっかけに、金融セクターにおけるクライアントの本人確認プロセスへの監視が強化され、大量の消費者データセットへのアクセスに関する管理を強化する声が高まりました。

防止策：

• クライアントに機密データを提供する前に、厳格な本人確認手順を実施する。

• ソーシャルエンジニアリングの試みを認識し、対応するための定期的な従業員トレーニングを提供する。

• 1回のトランザクションで共有またはエクスポートできるデータの量を制限する。

3.3 Cell C データ漏洩 (2024年)#

2024年初頭、南アフリカのモバイルネットワークオペレーターであるCell Cはデータ漏洩の被害に遭い、ハッカーが770万人の顧客ベースに紐づく約2テラバイトの機密データを持ち出しました。盗まれたデータには、ID番号、銀行口座の詳細、SIMメタデータなど、個人情報、連絡先情報、財務情報の危険な組み合わせが含まれていました。

内部システムへの不正アクセスを得た後、攻撃者はデータの一部をオンラインに流出させ、一般社会および規制当局の注目を即座に集めました。漏洩の全貌は数週間後に公表され、調査の結果、この攻撃はおそらくCell Cの内部ネットワークセキュリティの脆弱性と、機密データの不十分なセグメンテーションを悪用したものであることが明らかになりました。

漏洩した情報の量と機密性を考慮すると、この漏洩は個人情報の盗難、SIMスワッピング、銀行詐欺の深刻なリスクをもたらしました。Cell Cは情報公開の遅れに対する批判に直面し、通信セクターにおけるデータ漏洩の通知に関する法律やサイバーセキュリティの説明責任についての議論が再燃しました。

防止策：

• 内部システムをセグメント化し、機密性の高い財務データおよび個人識別データへのアクセスを制限する。

• コアインフラストラクチャ全体に侵入検知ツールやデータ持ち出し監視ツールを展開する。

• リスクの高いすべての顧客データを保存時および転送時に暗号化し、漏洩時の影響を最小限に抑える。

3.4 Dis-Chem データ漏洩 (2022年)#

2022年5月、南アフリカ第2位の薬局チェーンであるDis-Chemは、360万人の顧客に影響を与えるデータ漏洩を公表しました。この漏洩は、Dis-Chemに代わって顧客コミュニケーションの処理を担当するサードパーティのサービスプロバイダーを通じて発生しました。

権限のない第三者が、顧客の氏名、メールアドレス、電話番号を含むデータベースにアクセスしました。医療記録や財務データは含まれていなかったと報告されていますが、流出した情報の性質上、顧客は依然としてフィッシング、詐欺、個人情報の盗難の危険にさらされていました。

このインシデントは、強力な監視なしに外部ベンダーに依存することのリスクと、すべての顧客データを保護することの重要性を浮き彫りにしました。Dis-Chemはこのインシデントを情報規制当局（Information Regulator）に報告し、漏洩の全容を評価するために内部および外部の調査を開始しました。

防止策：

• 顧客データにアクセスできるサードパーティベンダーに対するセキュリティ評価を定期的に実施する。

• 契約上のデータ保護要件を義務付け、ベンダーのコンプライアンス監視を実施する。

• 一見リスクが低そうなデータフィールドであっても、暗号化とアクセス制御を適用する。

3.5 ViewFines データ漏洩 (2018年)#

2018年後半、南アフリカのドライバーがオンラインで交通違反の罰金を照会するために使用するプラットフォームViewFinesが、保護されていないバックアップサーバーを公開状態のまま放置し、約100万件のユーザー記録を流出させていたことを研究者が発見しました。このサーバーには、氏名、連絡先、ハッシュ化されたパスワードなどの機密情報が含まれていました。

流出したデータベースには認証や暗号化が一切設定されておらず、サーバーのIPアドレスを知っていれば誰でも情報をダウンロードできました。パスワードは暗号化されていましたが、特に脆弱なパスワードが使用されていた場合、一般的な手法で解読される可能性があるとセキュリティ専門家は警告しました。

この漏洩は、市民データを扱う公共部門関連のサービスのセキュリティについて懸念を呼び起こしました。特に、行政関連の手続きにおいてデジタルポータルへの依存度が高まっている状況を考慮すると、その影響は重大です。同社は後にサーバーを保護し、データ保護の慣行を改善することを約束しました。

防止策：

• バックアップサーバーを強力な認証で保護し、パブリックインターネットへのアクセスを制限する。

• クラウドおよびオンプレミスのインフラストラクチャにおける公開リスクを定期的に監査・監視する。

• 強力なパスワードハッシュ化の基準（例：bcrypt）を適用し、ユーザーに安全な認証情報の利用を促す。

3.6 司法・憲法開発省 データ漏洩 (2021年)#

2021年9月、南アフリカの司法・憲法開発省がランサムウェア攻撃を受け、主要な行政業務に深刻な支障をきたしました。この攻撃により内部システムが暗号化され、数週間にわたってメール、裁判所のファイリングシステム、支払い処理などのサービスが機能不全に陥りました。

データ流出の全貌が公式に確認されることはありませんでしたが、調査担当者は1,200件以上の機密ファイルがアクセスされた可能性があると指摘しました。これらの多くには、機密性の高い個人および財務データや、進行中の法的手続きに関する情報が含まれていました。

このインシデントは、不十分なエンドポイント保護やオフラインシステムの冗長性の欠如など、重要な政府インフラにおける脆弱性を浮き彫りにしました。裁判の手続きや社会福祉給付金の支払いが遅れ、南アフリカのデジタル公共サービスの回復力に対する国家的な懸念を引き起こしました。

防止策：

• 重要なインフラストラクチャ向けに、安全なオフラインバックアップとディザスタリカバリシステムを実装する。

• すべてのデバイスにエンタープライズレベルのエンドポイント保護とランサムウェア対策ソフトウェアを展開する。

• リスクの高い公共部門の環境では、定期的なペネトレーションテストとシステムの堅牢化を実施する。

3.7 Ster-Kinekor データ漏洩 (2017年)#

2017年初頭、Ster-Kinekorのオンラインプラットフォームにおける深刻な脆弱性により、平文のパスワードを含む最大700万人分の顧客の個人データが流出しました。この欠陥は、映画館チェーンの予約システムから認証なしでユーザー記録にアクセスできる、安全でないAPIエンドポイントで発見されました。

セキュリティ研究者は、データベースにはメールアドレスやユーザー名だけでなく、暗号化されていない平文の形式で保存されたパスワードも含まれていたと報告しました。Ster-Kinekorは脆弱なシステムを迅速にシャットダウンする措置を講じましたが、このインシデントは、特にパスワードの取り扱いやAPI保護といった基本的なセキュリティ対策がいかに見落とされていたかを浮き彫りにしました。

このデータ漏洩は、消費者向けアプリケーション、特に小売やエンターテインメント分野におけるデータ取り扱いの改善を求める南アフリカにおける初期の警鐘の一つとなりました。

防止策：

• すべてのパスワードをbcryptやArgon2などの強力なハッシュアルゴリズムを使用して保存する。

• APIおよびWebアプリケーションについて、認証や承認の欠陥がないか定期的にテストする。

• ユーザー向けのすべてのエンドポイントに対して、厳格な入力検証、レート制限、およびアクセス制御を実装する。

3.8 Eskom データ漏洩 (2020年)#

2020年初頭、南アフリカの国営電力会社であるEskomは、ITシステムでのマルウェア感染を確認しました。これにより運用に支障をきたし、大規模なデータ漏洩の懸念が生じました。Eskomは当初、このインシデントは封じ込められたと報告しましたが、サイバーセキュリティ研究者たちは後に、Eskomに関連していると思われる公開フォルダがオンライン上に存在していることを特定しました。そこには、機密性の高い内部文書、従業員の記録、および顧客情報が含まれていました。

Eskomは重要なインフラ事業者であるため、この漏洩は国民の注目を集め、国家のエネルギー供給の安定性や漏洩したデータの悪用に対する懸念が高まりました。同社は流出の全容を認めませんでしたが、マルウェアと不適切な社内データ管理の組み合わせにより、エンドポイント保護やアクセスガバナンスの弱点が示唆されました。

このインシデントは、特にレガシーシステムや資金不足のサイバーセキュリティプログラムが導入されている場合、公益企業を標的としたサイバー攻撃のリスクが高まっていることを強調しました。

防止策：

• すべての企業システムにおいて、堅牢なエンドポイントの検知と対応（EDR）ツールを実装する。

• ロールベースのアクセス制御と定期的な権限監査により、内部のデータ流出を制限する。

• ファイル共有サービスを保護・監視し、データの不正な外部公開を防ぐ。

3.9 eThekwini Municipality データ漏洩 (2016年)#

2016年末、eThekwini自治体のオンライン請求システムのセキュリティ上の欠陥により、約10万人分のアカウント保有者の個人情報が流出しました。地元の研究者によって発見されたこの脆弱性により、誰でもURLを操作することで、認証なしに他のユーザーの自治体請求データにアクセスすることが可能になっていました。

流出した情報には氏名、ID番号、住所、連絡先の詳細が含まれており、問題が対処されるまでの数ヶ月間、プラットフォームが一般公開されていたことから、プライバシーに関する懸念が高まりました。この漏洩は、政府発行の記録に影響を及ぼしたこと、また市民向けのシステムにおいて基本的なセキュリティ・ハイジーン（衛生管理）が欠如していることを示したため、特に深刻とみなされました。

自治体は影響を受けたシステムをオフラインにし、後に修正プログラムを実装しましたが、この事例は、政府のデジタルプラットフォームにおける不十分なアクセス制御と脆弱性テストのリスクを浮き彫りにしました。

防止策：

• 公開されているすべてのアプリケーションに対し、定期的な脆弱性スキャンとペネトレーションテストを実施する。

• セキュアなコーディング・プラクティスを実装し、機密性の高いエンドポイントに認証を義務付ける。

• 直接オブジェクト参照（IDOR）攻撃を防ぐため、入力検証とアクセス制御メカニズムを使用する。

3.10 Pam Golding Properties データ漏洩 (2025年)#

2025年4月、南アフリカの主要な高級不動産会社の1つであるPam Golding Propertiesは、同社の顧客データベースへの不正アクセスを伴うデータ漏洩に見舞われました。影響を受けた人数の正確な数は公表されませんでしたが、この漏洩は、著名なビジネスリーダー、政治家、国際的な投資家などを含む顧客層の極秘性から、全国的な注目を集めました。

侵害されたデータには、連絡先、個人識別子、不動産取引履歴、および顧客の不動産ポートフォリオに関連する機密のビジネス情報が含まれていました。この漏洩は、特に高額な取引や個人の資産データを扱うセクターにおいて、標的型詐欺、不動産詐欺、および評判リスクに関する深刻な懸念を引き起こしました。

Pam Goldingは漏洩の事実を認め、調査を開始し、規制当局に報告するとともに、影響を受けた顧客への通知を開始したと述べました。しかし、このインシデントは、不動産プラットフォーム（特に富裕層の顧客を扱うプラットフォーム）が、適切なアクセス制御やデータベース保護を欠いている場合、サイバー犯罪の格好の標的になり得ることを浮き彫りにしました。

防止策：

• すべての顧客データ、特に不動産および財務記録を、保存時と転送時の両方で暗号化する。

• 機密データベースにアクセスするすべてのスタッフに多要素認証を義務付ける。

• 定期的なアクセス監査と異常検知を実施し、データへの不正アクセスを早期に特定する。

4. 南アフリカのデータ漏洩における共通のパターン#

南アフリカの主要なデータ漏洩を振り返ると、これらのインシデントがどのように、そしてなぜ発生したのかについて明確なパターンが見えてきます。それぞれのケースには技術的な特徴がありますが、多くのケースで同様の根本原因が共有されており、セクターを超えたより広範な構造的問題を示しています。以下は、組織が特に認識しておくべき3つの反復的なテーマです。

4.1 セキュリティ基盤の脆弱性#

多くの漏洩に共通する要因は、基礎となるITシステムにおける基本的なセキュリティ・ハイジーンの欠如です。設定ミスのあるサーバー、公開されたAPI、そして時代遅れの認証メカニズムは、攻撃者に扉を開いたままにする結果を招くことがよくあります。多くの場合、機密データは暗号化されずに保存されているか、デフォルトの認証情報で保護されており、一度発見されれば簡単に悪用されてしまいます。これらの弱点は、多くの組織が依然としてセキュリティをコア設計の原則としてではなく、後付けのオプションとして扱っていることを示唆しています。

4.2 個人データの過度な露出#

南アフリカの組織はしばしば、必要以上の個人情報を収集して保持しています（名前、ID番号、連絡先、財務記録を中央システムに頻繁に保存しています）。この過剰な収集は、不適切なデータ最小化ポリシーと相まって、攻撃対象領域（アタックサーフェス）を大幅に拡大させます。部分的な記録しか侵害されなかった場合でも、流出したデータは詐欺やなりすましを可能にするのに十分な情報を含んでいることが多くあります。収集するデータの内容や保存期間に関するより厳格な制限がなければ、漏洩リスクは高いままとなります。

4.3 プロアクティブ（予防的）ではなくリアクティブ（事後的）なセキュリティ文化#

多くのインシデントは、南アフリカのサイバーセキュリティが依然として大部分においてリアクティブ（事後的）であることを示しています。組織には正式なインシデント対応計画、リアルタイム監視、および定期的なセキュリティテストが欠けていることがよくあります。データ漏洩は、内部の監視システムではなく、セキュリティ研究者やジャーナリストなどの外部の第三者によって発見されるケースが頻繁にあります。このような事後的な姿勢は、封じ込めを遅らせ、被害を拡大させます。成熟したセキュリティ文化を構築するには、技術的な制御だけでなく、経営幹部の意識向上、継続的なリスク評価、およびすべての部門にわたる定期的なトレーニングが必要です。

5. 結論#

南アフリカにおけるデータ漏洩は、数だけでなく、深刻度、巧妙さ、および経済的影響の面でも増大しています。不動産や通信から政府機関や小売業に至るまで、安全なセクターは存在しません。本記事で取り上げたデータ漏洩事件は、より優れたデジタル・ハイジーン、より厳格なデータ慣行、およびよりプロアクティブなセキュリティ意識があれば、これらのインシデントの多くは回避できたことを示しています。

サイバー脅威が進化し続ける中、南アフリカの組織は、コンプライアンスだけでは不十分であることを認識しなければなりません。真のレジリエンス（回復力）は、セキュリティを継続的なプロセスとして扱い、それを基礎段階からシステム、人材、およびポリシーに組み込むことによってもたらされます。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →

よくある質問#

2024年に発生したCell Cのデータ漏洩が、南アフリカの消費者にとって特に危険だったのはなぜですか？#

Cell Cの2024年の漏洩では、770万人の顧客からID番号、銀行口座の詳細、SIMカードのメタデータを含む約2テラバイトのデータが流出しました。金融データと通信データが組み合わさることで、SIMスワッピングや銀行詐欺の直接的なリスクが生じ、また情報公開の遅れによりCell Cはさらなる批判に直面しました。

Experian南アフリカ法人のデータ漏洩では、技術的なハッキングなしにどのようにして2,400万人もの人々が情報漏洩の被害に遭ったのでしょうか？#

攻撃者は正規のクライアントになりすまし、Experianを説得して、約2,400万人の南アフリカ人と793,749の企業を網羅する大量の消費者データを引き渡させました。システムが技術的に侵害されたわけではありません。この漏洩は、データを提供する際のクライアントの不十分な本人確認プロセスを悪用したものでした。

南アフリカの最大規模のデータ漏洩において、最も頻繁に見られるセキュリティ上の失敗は何ですか？#

南アフリカの大規模な漏洩事件では、3つのパターンが支配的です。1つ目は、データを公開状態のままにしてしまうサーバーの設定ミスや公開API。2つ目は、巨大な集中標的を作り出す個人データの過剰収集。そして3つ目は、漏洩が内部の監視ではなく外部の研究者によって発見されるという事後的なセキュリティ文化です。2025年に向けてサイバーセキュリティ予算の大幅な増額を計画している組織は、わずか29%にとどまっています。

2021年に発生した司法省へのランサムウェア攻撃が、南アフリカでこれほど広範な混乱を引き起こしたのはなぜですか？#

このランサムウェア攻撃により内部システムが暗号化され、数週間にわたって裁判所のファイリング、メール、支払い処理が機能不全に陥り、1,200件以上の機密ファイルがアクセスされた可能性があります。この混乱により、重要な政府のサービスにオフラインのバックアップシステムやランサムウェアに対する適切なエンドポイント保護が欠如していることが露呈しました。