日本個資外洩創歷史新高！民眾個人編號外洩暴增6倍，MKSystem資安事件成關鍵破口

日本2024年個資外洩暴增58%！日本國民身分系統「個人編號(My Number)」外洩量年增6倍，其中1,700多件與MKSystem供應商系統資安事件有關。本文將解析此報告的關鍵數據、潛藏資安風險，並提供民眾與企業必學防駭對策。

在2025年6月10日，日本個人情報保護委員會（Personal Information Protection Commission, PPC）指出日本於2024會計年度（截至2025年3月）共通報21,007起個人資料外洩事件，創下史上最高紀錄。這較上一年度大幅成長58％，揭示出公共與民間部門在資料保護方面仍存在嚴重漏洞。

其中，來自民間單位的個資外洩案件較往年增加57%，多達19,056起，這是自2017年啟動調查以來的最高值，同時，公部門個資外洩通報也增加68%，達1,951件，常見原因為人為因素，包括文件誤發及資料寄送錯誤。

其中最受矚目的，是「個人編號(My Number)」國民身分識別系統相關資料外洩，通報數從334件暴增至2,052件，增幅達6.1倍。這顯示政府核心個資系統的安全面臨重大壓力。

報告指出，2,052件外洩事件中有1,726件與「MKSystem」公司所提供的勞務與社會保險系統遭未經授權入侵有關。MKSystem 為一家日本公司，主要從事提供雲端服務及銷售系統產品，雲端服務提供ASP服務，其配套軟體可支援社會保險、勞工保險相關議題、以及系統建造服務，使用者可創造簡易的網站。這家公司成為此次My Number系統資料外洩的主要來源。

相關新聞: <Japan personal data leaks double in FY 2024 to record 21,000 cases>

個資外洩潛藏的深遠風險

1. 個資被惡意利用

身分證明資料、地址、出生年月、健保與年金資訊等被盜後，可能被用於詐騙、系統冒領、開設假帳戶、信用資料盜用等犯罪活動。

2. 精準釣魚攻擊

駭客可依據洩漏的 email 與帳號平台，精準寄送仿冒信件或簡訊，誘騙用戶點擊惡意連結，要求重新登入、重設密碼或提供更多個資。

3. 身分冒用詐騙

若駭客取得政府機關信箱或社群帳號，可冒名寄信、發文，散播詐騙資訊或惡意檔案，擴大受害範圍。

4. 金融帳戶盜用

資料庫中疑似包含金融帳戶相關資料，駭客可能盜取金融帳號，進行轉帳、盜刷等金融犯罪。

5. 社群帳號盜用

當駭客具有你的帳號密碼，而你正好沒有設定額外的登入驗證機制，那他們很可能會入侵你的 Facebook、Instagram、Discord 等社群帳號，並用來散佈詐騙連結、假投資廣告，或冒用身份騙取親友財物。

6. 憑證填充攻擊

憑證填充攻擊意指駭客透過你已外洩的帳號密碼，試圖使用同組帳號密碼登入各個機構或平台，萬一使用者在不同的平台間使用一樣的帳號和密碼，並且沒有開啟雙重因素驗證(2FA)或多因素驗證(MFA)，則駭客可能一次盜取使用者大量的帳戶。

7. 社交工程攻擊

駭客可透過掌握受害者個資與歷史紀錄，假冒銀行客服、IT 技術支援，與你核對資料並進行電話或視訊詐騙。

8. 廠商與系統連鎖風險

若服務鏈條中的一家遭駭，往往帶動其他使用者通報或被波及，使整體事件成為「連鎖式資安風暴」。

9. 信任危機與經濟損失

企業與政府信譽受損，並且導致民眾對造成個資外洩的企業與政府信任降低。

資安建議與防範措施

針對本次日本資料外洩事件暴增現象，以下提供數個民眾與企業都適用的資安防護建議，避免任何人成為下一個受害者：

一般民眾應該怎麼做？

1. 啟用多重驗證（MFA）

建議所有涉及個人敏感資料的平台，包含金融機構、電商、社群網站，務必開啟多重驗證（MFA/2FA）。即使帳號密碼被盜，沒有手機驗證碼或App授權，駭客也無法登入。根據美國網路安全暨基礎設施安全局（CISA）觀察指出，啟用多因素身分驗證可以預防 99% 的駭客攻擊。

Keypasco 多因素身分認證解決方案，只有經過授權的使用者，能從綁定裝置、於指定位置和時間登入。該系統採用獨家專利的雙通道認證架構，登入與認證加密通道分離設計，能有效防堵中間人攻擊（MiTM）、瀏覽器中間人攻擊（MiTB）、釣魚詐騙與帳戶接管（ATO）。此外，用戶也能透過 NFC 裝置快速、安全地移轉認證設備，並透過 Keypasco 應用程式 APP 上完成「所見即所簽」簽署，提供更簡便且高效的驗證方式。相較傳統 SMS OTP，不僅安全性更高，也能有效降低成本。 

2. 定期檢查個資是否外洩

建議可以透過 Have I Been Pwned 或 資安防護軟體內建的帳號安全檢查功能，確認 email 與帳號是否曾遭外洩，如果有外洩情形，盡快更改帳號密碼。 

3. 不隨便提供個資

無論是線上問卷、抽獎、廣告活動、或網路帳號註冊，都需確認該單位是否值得信任，避免在來路不明網站留下真實資料。 

4. 謹慎辨識釣魚訊息

目前大多數詐騙與駭客攻擊仍依靠社交工程與釣魚簡訊/Email為入侵手段，建議收到任何異常訊息或登入連結時，先透過官方客服確認，切勿直接點擊或輸入資料。

企業資安強化建議

1. 導入零信任架構（Zero Trust Network Access）
   過往多仰賴防火牆、內外網隔離等傳統防禦模式，但現代駭客攻擊多從內部員工帳號突破。因此建議企業採行零信任機制，不預設任何人或設備的信任，所有存取請求都需驗證，並實施最小權限原則，限制用戶存取權限，並且持續監控用戶的行為模式，一旦有異常立即登出。
   
   「Keypasco ZTNA」是一款基於零信任架構的資安解決方案，該產品參考了美國NIST、CISA標準以及台灣政府的零信任技術架構，通過國家資通安全研究院驗證，透過身分鑑別、裝置鑑別和信任推斷技術致力於幫助各類企業和公私部門提供全面而強大的資安防護。
   • 身分鑑別: 提供多因素身分驗證，及FIDO U2F、FIDO2解決方案。
   • 裝置鑑別: 掃描設備特徵與軟體訊息，並儲存於Keypasco伺服器進行設備認證。
   • 信任推斷: 透過人工智慧分析行為，持續評估風險並觸發新的驗證。
     
     

2. 強化供應鏈資安管理
   此次MKSystem事件也突顯供應鏈資安薄弱風險。企業應針對合作系統商、外包廠商進行定期資安稽核，確認其資安機制符合標準，事先評估資安等級，看是否需要分散風險，或共同制定危機處理方針，以免駭客只要駭入其中一環就可以擊破整條供應鏈。

3. 定期進行資安演練與教育訓練
   定期對員工進行資安培訓，提高對釣魚郵件和社交工程攻擊的警覺性，防止因人為疏忽導致資安事件。

Keypasco 符合各國法規與實務需求，目前已導入國內外政府機關、金融服務、醫療院所、智慧建築、高科技等產業，我們將持續協助企業強化資安合規能力，滿足各種場域的需求。