【セキュリティ事件簿#2023-110】株式会社地元カンパニー 不正アクセス発生に関するお詫びとご報告 2023年3月31日


この度、弊社委託先においてPCへの不正アクセスを受ける被害が発生いたしました。

関係者の皆様へ多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。
なお、現時点で情報漏洩の有無を特定することが困難な状況であるため、漏洩の可能性がわずかでもある全てのお客様に本日より電子メールまたは封書にてご連絡を申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1,事象の概要
  • 弊社委託先PCにおいて、2023年3月16日11時頃、インターネット閲覧中に何らかのソフトウェアのインストールに誘導されたと思われる事象が発生いたしました
  • 当該ソフトウェアを使用し第三者がPC上に保存されたデータに不正にアクセスを行った可能性があります
  • 弊社システム上やクラウド上のデータへの不正なアクセスは確認されておりません
  • 現時点で個人情報の不正利用などの二次被害は確認されておりません
2,被害発覚後の対応

事象判明後、2023年3月16日13時頃までに以下の対応を完了しております
    • 当該PCをすべてのネットワークから遮断し、攻撃者からのアクセスを防止
    • 委託先のアカウントから弊社システム及びデータへのアクセスを停止
    • 委託先に貸与していた弊社システムのアカウントを停止
その後、以下の対応を実施しております
  • 委託先が使用していたPCやアカウントから弊社システム及びデータへのアクセス履歴を確認
  • 専門業者による調査を実施(現在調査中)
3,PC上に保存されていた個人情報
  • 受け取り日の指定が必要な商品のお届け先様の情報(荷届先名・郵便番号・住所・電話番号・メールアドレス)ならびにギフト贈り主様の情報(贈り主氏名)
4,再発防止策
  • PC上に個人情報を残さず、クラウド上で情報を扱う運用の徹底をおこないます
  • 情報セキュリティに関する業務委託先選定の基準を見直します
  • 委託先および社員に対し、情報セキュリティについての研修を実施いたします
なお、本件は警察にも被害届を提出しており、現在までに個人情報の不正利用等に関する報告は受けておりません。

当社では今回の事態を重く受け止め、引き続き二次被害発生状況の監視を行うとともに、再発防止に向けたセキュリティの強化等の対応をしてまいります。

また、本件に関する二次被害等の新たな情報に関しましては、弊社ホームページにてご報告いたします。

皆様へは多大なるご迷惑とご心配をおかけすることとなり、重ねて深くお詫び申し上げます。