【セキュリティ事件簿#2022】株式会社フルノシステムズ 不正アクセス発生による個人情報流失に関する調査結果 [対象範囲確定]のお知らせと今後の対応について 2023年1月27日


株式会社フルノシステムズは、2022年12月19日にお知らせした、「不正アクセス発生による個人情報流失の可能性に関するお詫びとお知らせ」に関して、外部専門機関によるフォレンジック調査の最終報告書を受領し、対象範囲が確定しましたので、下記の通り調査結果のご報告及び今後の対応についてお知らせ致します。

お客様をはじめ多くの関係者の皆様にご迷惑と心配をおかけいたしますこと、深くお詫び申し上げます。

1.調査で判明した事実

サポートセンターで運営しているii-desk専用のサーバーにおいて、2022年11月18日から2022年11月20日にかけて、海外の送信元IPアドレスより不正アクセスを受けたことが判明しました。SQLインジェクションによる攻撃であり、個人情報が流出されたことが判明しました。

①流出した個人情報

2012年7月3日から2022年11月20日の間にACERA製品サポートサイトのお問合せ入力フォームより、ご入力いただいた個人情報1068件。(なお、当該1068件には弊社社員のメールアドレスも一部含まれております)

流出した個人情報はメールアドレスのみであり、お問合せいただいたお客様の会社名、部署名、氏名、住所、電話番号、お問合せ内容などは含まれておりません。
なお、有償契約ユーザ様向けサポートセンターは対象ではありません。

②その他

流出した個人情報は①のみであり、当該サーバーに対して、その他攻撃、サーバーの改変等は確認されませんでした。

2.個人情報が流失したお客様への対応

メールアドレスが流出したお客様全員に個別のご連絡を差し上げました。
なお、個人情報保護委員会への報告、及び所轄警察への届け出も完了しております。

3.サポートセンターの復旧状況と今後の対策、再発防止

現在、サポートセンター専用サーバーは停止しておりますが、サポートセンターから利用されていた、マニュアルダウンロード等は他のサーバで利用可能な状態となっております。

外部専門機関の協力を得ながら再開に向けた準備を行っています。本事象の対策および、再発防止に向けてセキュリティー対策の強化を行います。サポートセンター復旧につきましては、改めてお知らせ致します。


----

【株式会社フルノシステムズ 不正アクセス発生による個人情報流失の可能性に関する お詫びとお知らせ  2022年12月19日】

株式会社フルノシステムズ(本社:東京都墨田区、代表取締役社長:中谷聡志、古野電気(株)関連会社)は、当社が運用管理するサポートセンター用サーバに対する不正アクセスにより、サポートサイト(ii-desk)ご利用の一部のお客様の個人情報(メールアドレス)が外部流失した可能性が否定できないことがわかりましたのでお知らせいたします。

お客様をはじめ多くの関係者の皆様にご迷惑と心配をおかけいたしますこと、深くお詫び申し上げます。

1.概要

①発生
12月14日、月次アクセス数を集計していた時、月次平均値より数値が高いことを発見いたしました。
これらを調査した結果、サポ―トセンターにおいて、不正アクセスを受けたことを確認いたしました。当社では、拡大を防ぐため、15日に対策本部を立ち上げ、外部専門機関の協力のもとで不正アクセスを受けたサーバの範囲と状況・原因等の調査および復旧の検討を開始いたしました。

②調査の経緯
不正アクセスされたサーバは、サポートセンターで運営しているii-desk専用のサーバであることを確認しました。サーバの月間アクセス数の平均が200件のところ、11月度データにおいて9500件のアクセス数があったことを確認し、異常が発生していることに気づきました。それを元に、調査を開始し、不正アクセスにより侵入され、メールアドレスが外部に流失している可能性を確認しました。現在外部専門機関により詳細な事実確認を進めております。2次被害を防ぐことを最優先と考え、今回お知らせすることといたしました。

③現在の対応
サポートセンターのサーバ停止を行い、利用できない旨ご案内しております。また、個人情報保護委員会へは報告完了しており、併せて所轄の警察署への届け出の準備を進めている段階です。

2.流失した可能性のある個人情報とお客様への対応

①対象
2012年7月3日から2022年11月20日の間にACERA製品サポートサイトのお問合せ入力フォームよりお問合せ頂いたユーザ様(1068人)。なお、契約ユーザ様向けサポートセンターは対象ではありません。

②情報
サポートセンター(ii-desk)のQ&Aカテゴリーから質問された方のメールアドレスのみ
(会社名、部署名、質問者名は含みません)

③対象のお客様への対応
12月19日より順次対象のお客様へメールでご連絡してまいります。

3.社内システムの復旧状況と今後の対策、再発防止

サポートセンター専用サーバにおいては、現在外部の専門機関にて解析しており、原因追及、および改善策を検討しています。復旧時期は未定であり、進展あり次第、随時ご案内させていただきます。なお、サポートセンターから利用されていた、マニュアルダウンロード等は、別サーバでご利用できるように、現在準備を進めております。

当社では、今回の事態を重く受け止め、外部専門機関の協力を得ながら、原因究明を進めるとともに、今まで以上に情報セキュリティ体制を強化し、再発防止に取り組んでまいります。

このたびは、お客様ならびに関係者の皆様へ、多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。