株式会社LITALICO及び株式会社LITALICOパートナーズは、2022年6月24日付「不正アクセスによる被害発生について」にて公表しました通り、第三者による一部の社内データの暗号化と、一部の社内サーバーに対する不正アクセスの被害を受けたことを確認しました。
当社は、被害発生を認識後、速やかに関係機関への報告を行うとともに、被害の拡大防止策を講じた上で、社内チーム及び外部専門機関による詳細な調査を行ってまいりました。
この度、外部専門機関による調査が完了しましたので、下記の通り、調査結果及び再発防止策を報告致します。
(1)調査結果について
外部専門機関による詳細な調査の結果、社内データが外部に持ち出された痕跡は確認されませんでした。また、外部において不正に公開されている事実や二次被害等についても現時点において確認されておりません。
外部専門機関の見解を踏まえ、当社と致しましては、社内データが外部に持ち出された可能性は極めて低いものであると判断しております。
また、調査の結果、攻撃者によって開かれた可能性のあるファイルが一部あることを確認しております。
開かれた可能性のあるファイルには、合計72名分の個人情報が含まれており、その内訳は顧客情報が67名分、従業員情報が5名分となります。
顧客情報67名分については、株式会社LITALICOパートナーズが運営するLITALICOジュニアスタンダードコースのお客様に関するものが56名分、株式会社LITALICOライフのお客様に関するものが11名分となります。
(2)対象となる方への対応
攻撃者により外部に持ち出された可能性を示す痕跡等は確認されなかったものの、個人情報を含むファイルが不正に開かれた可能性のある方には、順次、個別にお知らせを行い、今後、二次被害等の疑いがある場合には当社に連絡をいただくようご依頼しております。
(3)外部専門機関への調査依頼
当社が外部専門機関に依頼した調査内容は以下の通りです。
・不正アクセス被害を受けた可能性のある全ての機器に対する安全性確認
・被害を受けた全ての機器のフォレンジック及び各種ログの解析を通した被害の詳細・範囲の分析
・侵入経路の調査、及び安全性確認
・外部サイト等のモニタリング
(4)再発防止策について
当社は、2022年7月15日に、調査方針や再発防止策について助言を受けることを目的として、外部有識者から構成される情報セキュリティ特別委員会を設置いたしました。
情報セキュリティ特別委員会(五十音順)
・猪俣 敦夫 委員(大阪大学 サイバーメディアセンター 教授)
・神薗 雅紀 委員(デロイト トーマツ サイバー合同会社 執行役員CTO)
・北條 孝佳 委員(西村あさひ法律事務所 弁護士)
当社は、同委員会からの助言を踏まえ、以下の通り再発防止と情報セキュリティの強化に取り組んでまいります。
・従前から、全ての社内のPCにEDRを導入していましたが、これに加え、新たにサーバーに対するEDRを導入することといたしました
・外部専門機関によるセキュリティ診断の対象範囲を広げるとともに、実施頻度を向上させることとしました
・情報セキュリティ部門の人員増強を含めた体制の強化を図ることといたしました
・常設の社内委員会を新設し、情報セキュリティ規程等の周知及び遵守の徹底を図ることといたしました
今後、お知らせすべき事実が判明した際には、改めてホームページ等にて公表致します。
本件により関係する方々に多大なるご心配をおかけすることを深くお詫び申し上げます。
【不正アクセスによる被害発生について 2022年6月24日 株式会社LITALICO、株式会社LITALICOパートナーズ】
株式会社LITALICO及び株式会社LITALICOパートナーズは、2022年6月20日時点で第三者からの不正アクセスが行われたことを確認し、社内調査を行った結果、Phobosの亜種と推定されるランサムウェアによる一部の社内データの暗号化と、一部の社内サーバーに対する不正アクセスの被害を受けたことが判明致しました。
被害発生を認識後、速やかに警察への報告を行うとともに、被害の拡大防止策を講じた上で、社内チームと外部専門機関による調査・対応を行っております。詳細な調査結果が判明し次第、速やかにホームページ等にてお知らせいたします。
現時点では、お客様の個人情報等の外部への流出は確認されておりません。
また、本件による業務遂行における支障はございません。
本件により関係する方々に多大なるご心配をおかけすることを深くお詫び申し上げます。