【セキュリティ事件簿#2023-468】株式会社大西 不正アクセス発生による情報流出の可能性とお詫びについて


株式会社大西は、当社グループの情報システムに対する2023年7月の外部からの不正な攻撃(以下「本件」といいます。)により当社サーバのアクセス障害が発生し、保存されている関係者の情報が外部に流出した可能性のあることが判明しましたので、お知らせします。このたび、当社や外部機関などによる調査の結果がまとまりましたので、公表させていただくことといたしました。

当社や第三者機関などによる調査の結果、現時点で情報の不正使用などの二次被害は確認されておりません。関係者の皆様におかれましては、多大なご迷惑とご心配をおかけしますことをお詫び申し上げます。

1.流出した可能性のある情報

・グループ各社のお客様にかかる情報(電話番号、住所、事業者名・店名、代表者氏名・担当者氏名、メールアドレスなど)
・グループ各社のお取引先様にかかる情報(受注情報、請求情報、仕入先情報など)

※当社グループのECサイトにおけるクレジットカード情報につきましては、決済代行会社のシステムを利用しているため今回の対象外でございます。

2.事案発生と調査の経緯

当社グループのサーバが2023年7月21日、外部からの不正アクセスを受け、ファイルサーバに脅迫文が置かれた上でファイルの毀損が発生していることを確認しました。

発生直後に初期対応を行うとともに、原因の究明と対策を進めるため、当社グループの情報システム部門と契約するITシステム開発事業者、さらに第三者機関が慎重に調査を実施してまいりました。

このたびまとまった調査の結果 、VPN接続やウェブサーバの脆弱性を悪用して侵入された可能性が高く、管理権限を持つサーバを改ざんされたことで被害が拡大したとみられることが判明しました。

現時点では、当社グループの保有する個人情報を含む各種情報が外部へ流出した痕跡や、外部の攻撃者による当社情報の公開は確認しておりません。また、本件に起因する情報の不正利用など二次被害にかかる報告も受けておりません。

こうした状況も踏まえて、各種情報にかかるデータの外部流出の可能性は極めて低いと考えられます。しかしながら、情報流出の可能性を完全に否定すること、また流出の可能性がある情報の特定については、困難な状況となっております。

3.対応策

調査結果を受けて、システム侵入経路を封鎖するとともに、監視体制の強化をはじめとするセキュリティ対策を講じております。PCスキャンチェックなどを行い、再発防止のための措置を講じております。個人情報保護委員会にも報告しており、対応策について助言を受けているほか、警察にも相談しております。

4.今後の対応

当社グループはこれまでも、不正アクセス防止措置を講じてまいりましたが、今回の事態を重く受け止め、本件にかかる調査結果や外部機関の助言を踏まえた、さらなる管理体制の強化に努めてまいります。