【セキュリティ事件簿#2023-022】株式会社アダストリア 不正アクセスに関する調査結果のご報告(第三報) 2023年3月31日


当社は、当社が管理運用するサーバー等が外部の第三者による不正アクセスを受け、一部のお客さまの個人情報が流出した可能性を否定できないこと(以下、本件)について、2023年1月19日付けおよび1月24日付けで公表(以下、既報※1、※2)いたしました。

この度、外部専門機関によるフォレンジック調査(※3)および社内調査が完了しましたので、調査結果および再発防止策についてご報告いたします。

なお、当社システムは現時点で復旧しており、本件判明時から現時点まで、本件に関わる情報流出は確認されておりません。また、流出可能性のある情報にクレジットカード情報などの決済情報、マイナンバー情報は含まれておりません。

お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

※1「当社サーバーへの不正アクセス発生について」https://www.adastria.co.jp/news/notice/entry-15640/

※2「お客さまの個人情報流出の可能性に関するお知らせとお詫び」https://www.adastria.co.jp/news/notice/entry-15641/

※3フォレンジック調査とは:デジタル機器の記憶装置から証拠となるデータを抽出したり、サーバーや通信機器などに蓄積された通信記録から違法行為の証拠となる活動記録を割り出し、記憶装置から証拠となるデータを割り出すなどの調査

1.    本件の対応経緯    

2023年1月18日早朝、当社が管理運用する一部の社内業務システムのサーバー等(以下、本件サーバー等)に対し、外部の第三者からの不正アクセスを受けたことを確認いたしました。当該事象の確認後、直ちに、被害拡大を防ぐためにネットワークの遮断、社内業務システムの停止などの対応を実施いたしました。同日午前に、対策本部を立ち上げ、外部専門機関の協力のもと、影響範囲の特定、原因や侵入経路の調査、復旧作業等の対応を開始。また、個人情報保護委員会への報告及び警察への相談を実施いたしました。

以後の対応経緯は以下の通りです。

  • 2023年1月19日(木)外部に対する公表(初報)
  • 2023年1月20日(金)~2023年2月17日(金)デジタルフォレンジックによる原因調査の実施
  • 2023年1月24日(火)外部に対する公表(第二報)
  • 2023年2月20日(月)外部専門機関よりフォレンジック調査の結果を受領
  • 2023年2月20日(月)~2023年3月20日(月)フォレンジック調査結果をもとに、社内調査を継続
  • 2023年3月20日(月)個人情報保護委員会へ確報を提出
  • 2023年3月31日(金)外部に対する公表(第三報)
2.    フォレンジック調査及び社内調査により判明した事実
  • 外部の第三者による侵入経路の特定
  • 不正アクセスの影響を受けた機器の特定
  • 流出の可能性が否定できない情報範囲の特定

3.    流出の可能性がある情報

前回のご報告後、新たに判明した流出の可能性がある情報は以下の通りです。

なお、クレジットカード情報などの決済情報、マイナンバー情報は含まれておりません。また、現時点で本件に関する情報流出は確認されておりません。

  • 2008年~2013年に、カスタマーサービスへ電話でお問い合わせをいただいた一部のお客さま情報
    (氏名・問い合わせ概要等)221,272件
  • 2008年以降に当社グループ(※4)に在籍した従業員情報(退職者含む)
    (氏名・住所・生年月日・人事情報等)94,435件
  • 2018年以降の新卒採用選考に参加された方のうち、一部の応募者情報
    (氏名・電話番号・メールアドレス等)22,063件
  • 2005年以降の中途採用・アルバイト採用選考に参加された方のうち、一部の応募者情報
    (氏名・電話番号・メールアドレス等)26,460件
  • 一部のお取引先さま情報
    (氏名・会社メールアドレス等)6,346件
※4 株式会社ゼットン、株式会社オープンアンドナチュラルは除きます。

4.    再発防止策

本件の調査結果を踏まえ、以下の対策をすでに実施しております。
  • 影響を受けた機器及びその可能性のある機器の利用停止
  • 各種アカウントのリセット、管理ポリシーの見直し、社内ネットワーク通信のセキュリティ強化
  • 最新のセキュリティ対策製品を活用した侵害調査、及び端末の不審プロセスの継続調査、監視、端末保護の実施 等
また、影響が確認されなかった機器においても、不正アクセスの影響を受けた痕跡がないことを確認し、セキュリティ対策ソフトを最新化した上でのフルスキャンの実施、アカウントのパスワードポリシーの強化、エンドポイント端末に対するリアルタイム監視体制の構築など、セキュリティの対策強化を実施いたしました。

今後も、外部専門機関との連携のもと、セキュリティと監視体制のさらなる強化を実施し、再発防止に努めてまいります。

5.    業績への影響
現時点で、本件にかかる業績予想等の変更はございません。今後開示すべき事項が発生した場合には速やかにお知らせいたします。

お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけいたしましたことを、重ねて深くお詫び申し上げます。