この度、第三者からのランサムウェアによる不正アクセス攻撃を受け、弊社が保有する個人情報の一部が暗号化されたこと(以下「本件」といいます。)が判明し、当該不正アクセスの事実から、当該個人情報が外部に流出した可能性を完全に否定しきれないものと考え、以下のとおり、お知らせいたします。ただし、現時点では、本件に基づく個人情報の不正利用等の事実は確認されておりません。
本件の対象となった皆様には、個別にご連絡をさせていただきました。また、以下のとおり、お問い合わせ窓口を設置いたします。なお、弊社からのご連絡がないお客様においては、本件の対象ではございませんので、ご安心ください。この度は、お客様はじめ多くのご関係先にご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
現時点で確認できている状況および弊社対応は以下のとおりであり、現在も調査を継続していますが、今後新たな事実等が判明した場合には、必要に応じて、弊社ホームページ等でご報告させていただきます。
1.本件の概要
2022年12月21日早朝、社内一部システムにおいて障害が発生したことから、調査を行った結果、ランサムウェアによる弊社PCへの不正アクセスおよび当該PCのデータが暗号化されていることが判明いたしました。
なお、今回不正アクセスを受けたPCは、特定の業務に必要な顧客情報の一部(氏名〔社名〕、住所、電話番号)が格納されていたサブPCに限定されており、弊社が保有する全ての顧客情報に不正アクセスされたものではないことが確認されています。
また、現在確認されている事象としては、当該PCにおいて「情報が暗号化された」というものであり、情報が外部に流出したことが確認されたものではございませんが、弊社としては、本件が個人情報に関わる重要な事象であることと、不正アクセスの事実から、外部流出の可能性を完全に否定しきれないものと考えたことから、今般公表させていただくに至ったものです。もっとも、現時点で、本件に基づく個人情報の不正利用等の二次被害の事実は確認されていません。
2.本件発覚後の対応
2022 年 12月 21 日午前11時頃に不正アクセスが確認されたPCのネットワークを遮断し、以下に述べる侵入経路の特定及び再発防止策を実施しました。
3.今回の事案の原因及びその対策について
今回の不正アクセスは、サーバーの脆弱性を利用した攻撃であり、弊社のネットワーク設定やパスワードの強度の問題により発生したものと考えております。
そこで、弊社管理ネットワークにおいて、設定や運用の変更等、必要と考えられる対策を実施いたしました。
このような対策の実施により、同種事案の再発可能性は低いと考えております。
4.外部流出した可能性のある情報
(1)個人・法人顧客情報(6,184件)
・氏名又は会社名、住所、電話番号
なお、弊社はインターネット販売等における決済は全て外部委託しておりますので、クレジットカード情報を保有しておらず、クレジットカード情報の流出はございません。
5.個人情報の流出の可能性がある方々への対応
情報流出の可能性がある方々には、個別にメールにてご連絡を差し上げております。
なお、弊社にご登録いただいているメールアドレス宛に、弊社からの個別のメール連絡が届いていないお客様におかれましては、情報流出の可能性はございません。
弊社は、不正アクセス把握後、事案公表によるさらなる攻撃を防止するため、十分なセキュリティ対策を講じたうえで公表することが望ましいと考え、まずは、原因把握及び再発防止策の実施に努めました。また、捜査機関、個人情報保護委員会及び顧問弁護士とも連携を図りつつ、お客様の権利保護のために必要な措置がないかの確認等を行っていたため、結果として、公表が本日となりましたことをお詫び申し上げます。
弊社では今回の事態を重く受け止め、引き続き二次被害発生状況の監視を行うとともに、再発防止に向けたセキュリティの強化等の対応をして継続してまいります。また、本件に関し二次被害等の新たな情報が発覚した場合は、弊社ホームページにてご報告いたします。
なお、弊社の事業運営との関係におきましては、本件による影響はありませんので、その点はご安心ください。
関係者の皆様へは多大なるご迷惑とご心配をおかけすることとなり、重ねて深くお詫び申し上げます。