キンコーズ・ジャパン株式会社 当社サーバーへの不正アクセスに関するお知らせ（最終報） お客様情報流出に関するお詫びと調査結果のご報告 2022年07月28日

当社が管理運用するサーバー内のお客様の印刷用データが、外部から不正アクセスを受け、一部の印刷用データが消失したこと、印刷用データには名刺など個人情報を含む内容も含まれていたことを2022年7月4日、7月15日（以下、既報）にご報告させていただきました。この度、外部の専門機関の協力のもと進めてまいりましたデジタルフォレンジック調査*が完了しましたので、当該調査を踏まえた結果および再発防止に向けた取り組みにつきましてご報告申しあげます。

お客様をはじめ関係者の皆様に多大なるご迷惑、ご心配をお掛けする事態となりましたことを深くお詫び申し上げます。

■調査で判明した事実

１）不正アクセス履歴があったお客様情報範囲

・不正アクセスされた情報

プリントサービスで使用した名刺やチラシ等の印字内容

なお、お客様のクレジットカード情報等の支払、決済情報は弊社では保持しておりません。

・ご注文期間

2020年4月20日～2022年5月12日

既報で対象となるご注文期間を2020年1月～2022年4月とご報告させていただきましたが、詳細調査により2022年5月ご注文分3件についても不正アクセス履歴があったことが判明しました。お詫びしてご報告申し上げます。

・ご注文件数

該当パソコンの詳細調査から、不正アクセス履歴があったご注文件数は960件と判明しました。既報では明確に対象外と判明しない場合は対象とするよう範囲を広げてご報告をしておりましたが、詳細調査により、この度対象注文件数が確定しました。

・個人情報数

対象となった印刷用データのうち、個人情報を含むご注文数（名刺、挨拶状、社員証作成等のサービス名称から算出）は804件、そこに印字されていた個人情報数は922名と判明しました。

２）不正アクセス元

不正アクセスはマルウェア等による攻撃ではなく、当社システムに関するパートナー企業のパソコンから、契約業務外でのアクセスであったことが判明しました。不正なアクセスを行ったパソコンは一台であったことをパートナー企業の協力のもと特定し、該当パソコンのデジタルフォレンジック調査から、パソコンが外部から侵入されマルウェアなどのコンピュータウィルスに感染した形跡や、第三者が攻撃の踏み台として同端末を利用した形跡は見つかりませんでした。

不正アクセス概要図

なお、該当パソコンは当社ネットワーク、パートナー企業ネットワークから遮断し、第三者管理下において物理的隔離をしております。

３）二次流出調査結果

デジタルフォレンジック調査から、不正アクセス履歴があったお客様の印刷用データや印刷用データに含まれていた個人情報において、該当パソコンから他端末やネットワークへ流出した形跡は確認されませんでした。またプリントアウト履歴調査からも外部へ持ち出された形跡は確認されませんでした。

■お客様へのご報告

１）公式ホームページによるご報告

公式ホームページ上にて2022年7月4日に「当社サーバーへの不正アクセスに関するお知らせ（第一報）お客様の個人情報流出可能性のお知らせとお詫び」を掲載、7月15日に追加情報を掲載いたしました。

２）電話、電子メール、郵送による個別のご連絡

2022年7月4日から、印刷内容の確認ができたお客様から順次、情報の流出の可能性のある方へご連絡をしております。今回、お客様毎の印刷データにおける印字内容確認に多くの時間がかかり、ご連絡に時間を要していることをあらためて深くお詫び申し上げます。

３）最終ご報告

2022年7月28日に本ご報告を公式ホームページへ公表いたしました。

■再発防止策

当社は、以下の通り、本件を踏まえ再発防止に向けた種々のセキュリティ強化策を講じてまいります。

１）技術的対策

【対策済】

・当社サーバーの認証IDの無効化を実施

・当社サーバーの認証IDの再作成を実施

・当社サーバーへの接続ルート、IDを必要最小限に限定

・不正アクセス元パソコンの通信遮断、物理的遮断

【対策予定】

・社外との通信、サーバーやシステムへのアクセスに対する監視と管理の強化

専門機関と協力して上記再発防止策を実施してまいります。

２）組織的・その他対策

【対策予定】

• 従業員に対する社内セキュリティ再教育、コンプライアンス再教育
• BCP（事業継続計画）のアップデート（危機管理パート／セキュリティパート）
• データ保管期間の明確な掲示、告知（WEBサイト／店頭）
• お客様情報を取り扱う新規又は既存のシステムに対する専門機関によるセキュリティ診断の実施
• 委託先の情報管理体制、セキュリティ対策に対する監査
• 情報セキュリティ委員会を設置し、再発防止計画を策定、遂行

この度は、貴社ならびにお取引先様、関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを、心より深くお詫び申し上げます。

今回の事態を厳粛に受け止め、あらためて情報セキュリティ対策及び監視体制のさらなる強化を行い、再発防止に向け全力を尽くしてまいります。

リリース文（アーカイブ）

【キンコーズ・ジャパン株式会社　当社サーバーへの不正アクセスに関するお知らせ（第二報） お客様の個人情報流出に関するお詫びとご報告　2022年07月15日】

当社は、2022年7月4日（月）付け「当社サーバーへの不正アクセスに関するお知らせ（第一報）」にて公表したとおり、不正アクセスの確認後、当社サーバーへの外部からのアクセス制限、認証IDの変更など必要な対策を講じるとともに、緊急調査委員会を立ち上げ、外部の専門機関の協力も得て調査を進め、全容解明と再発防止に取り組んでまいりました。またあわせて個人情報保護委員会への報告を実施しております。その後の調査において判明した事実と、当社の対応について、以下のとおりお知らせいたします。

本件に関して、お客様、関係する皆様に多大なご迷惑とご心配をおかけしており、誠に申し訳ございません。あらためて心よりお詫び申し上げます。

■調査で判明した事実

・不正アクセス元の特定

当社は、外部の専門機関の協力を得て、原因の究明や被害の内容について調査を進めております。今回、不正アクセス元のIPアドレス特定により、不正アクセスはマルウェア等による攻撃ではなく、当社パートナー企業のパソコンからの契約外目的でのアクセスであったことが判明しました。不正アクセスを行ったパソコンは一台であったことを特定し、ネットワークから遮断し外部専門機関管理下にあります。対象パソコンに対し外部専門機関によるフォレンジック調査を行い、調査結果からパソコンが外部から侵入されマルウェアなどのコンピュータウィルスに感染した形跡は見つかりませんでした。

・二次流出の可能性は現時点ではない

外部専門機関のフォレンジック調査から、現時点では不正にアクセスされたお客様の印刷データが、該当パソコンから外部流出の確証を得る事実は見つかっておりません。引き続き外部機関調査を継続し、新たにお知らせすべき重要事項が判明した場合は、速やかに開示してまいります。外部機関からの最終報告は7月末を予定しております。

・該当するご注文期間の絞り込み　　2020年1月～2022年4月

第一報で対象となるご注文期間を2017年1月～2022年4月とご報告させていただきましたが、その後の社内調査で2017年～2019 年の注文件数15件は、不正アクセス対象ではないことが判明し、ご注文期間を絞り込みさせていただきました。

■お客様へのご連絡状況について

7月４日よりデータ消失の対象となるお客様に連絡を開始しております。今回、お客様毎の印刷印字内容確認に時間がかかり、ご連絡に時間を要していることを深くお詫び申し上げます。

■対策および今後の対応

当社は、不正アクセスを検知後、セキュリティ強化を実施し、当社が管理している全サーバーへの接続ルート、IDを必要最小限に限定し、サーバーの認証IDの2段階更新を行いました。

上記対策後、不正アクセスは再発していませんが、今後、第三者機関による脆弱性診断を実施し、脆弱性対策を行ってまいります。

今回の不正アクセス元パソコンの特定を踏まえ、外部専門機関による対象パソコン内の調査を引き続き行ってまいります。新たにお知らせすべき重要事項が判明した場合は、速やかに開示してまいります。

引き続き、情報セキュリティ対策、セキュリティ監視体制の強化を行い、再発防止に取り組んでまいります。

この度は、お客様ならびにお取引先様、関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを、心より深くお詫び申し上げます。

プレスリリース（アーカイブ）

【サイバー攻撃で注文情報が消失や流出の可能性 - キンコーズ】2022/7/6

キンコーズ・ジャパンは、管理運用するサーバがサイバー攻撃を受け、顧客の個人情報なども含む受注情報が消失したり、流出した可能性があることを明らかにした。

対象となるのは、2017年1月1日から2022年4月26日にかけて、キンコーズオンラインや、九州や中四国地区以外の直営店で扱った名刺や宛名印刷、チラシの注文に関する情報2438件。

このうち1741件の注文については個人情報が含まれる。名刺に印字されている氏名や会社名、住所、電話番号、挨拶状や年賀状に印字されている差出人や宛名の氏名、住所などで、これら注文における個人情報の合計件数については調査中だという。

同社によれば、6月に顧客がオンラインで再注文しようとしたところエラーが発生。当初プログラムの誤作動とみて調査していたが、サイバー攻撃の可能性も視野に入れて調べたところ、6月24日に痕跡を発見した。

さらに原因や経緯の調査を進めたところ、サーバ内部より顧客の個人情報が流出した可能性があることを確認。6月28日に個人情報保護委員会へ報告した。

同社では、外部のセキュリティ事業者をまじえて、原因や影響の範囲など詳細について調査を進めている。脅迫については現状確認されていない。調査結果を踏まえて顧客に順次案内するとしている。

プレスリリース（アーカイブ）

出典：サイバー攻撃で注文情報が消失や流出の可能性 - キンコーズ