当社は、2024年1月26日に公表いたしました「第三者による当社サーバーへの不正アクセス被害のお知らせ」及び2024年3月1日に公表いたしました「(開示事項の経過)当社サーバーへの不正アクセス被害に関する調査結果のご報告」のとおり、当社サーバーが第三者による不正アクセス被害を受けたことを確認し、外部専門家や警察と連携のうえ、調査・対応し、再発防止に努めてまいりました。その後、個人情報保護委員会への報告・相談を進める中で、個人情報が外部に流出した可能性が完全には払拭できないと判断しました。つきましては、追加の対応を進めることといたしましたので、以下のとおりご報告いたします。
関係各位の皆様にご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。
※フォレンジック調査とは、デジタル機器の記憶装置から証拠となるデータを抽出し、サーバーや通信機器等に蓄積されたログ等の証跡情報から発生事象を明らかにする手段や技術のこと。
1.発覚の経緯及びこれまでの対応状況
2024年1月16日、当社サーバーへのアクセス障害が発生し、再起動により復旧いたしました。
2024年1月16日~23日まで、当社のIT担当部署にて調査した結果、当社サーバーへのパスワード改ざん、不明なファイルの生成及び大量アクセスを確認いたしました。これらの状況から、第三者による当社サーバーへの不正アクセスがなされたと判断し、当該サーバーに対してパスワード変更やサーバー停止等の措置を実施いたしました。
2024年1月24日、外部専門家を交えて、原因の特定、被害情報の確認、情報流出の有無等の調査を実施いたしました。その過程で、第三者による不正アクセス被害があったものと断定し、同日に対策本部の設置及び警察への通報等を行いました。
2024年1月25日、情報流出のおそれの可能性を考慮し、個人情報保護委員会へ報告いたしました。
2024年1月29日から、外部専門家によるフォレンジック調査を開始するとともに、被害を受けたサーバーの再構築やネットワーク環境の見直し等を直ちに実施いたしました。
2024年2月27日、外部専門家によるフォレンジック調査が完了し、調査報告を受領いたしました。
2024年3月19日、個人情報保護委員会へフォレンジック調査結果を報告いたしました。
2024年4月19日、個人情報保護委員会の見解をもとに調査結果の再精査を開始いたしました。
2024年5月27日、内容を精査する過程で、個人情報が外部に流出した可能性が完全には払拭できないという判断に至りました。
なお、2024年5月27日現在まで個人情報の流出は確認されておりません。
2.流出等のおそれがある対象者及び個人情報の項目
対象者
・「対象のグループ企業」の利用履歴があるお客様
・当社グループの従業員
対象のグループ企業
・こころネット株式会社
・株式会社たまのや
・カンノ・トレーディング株式会社(石のカンノ)
・株式会社With Wedding
・株式会社北関東互助センター
項目
以下の項目のいずれか複数項目
・氏名
・生年月日
・性別
・住所
・電話番号
・メールアドレス
3.二次被害のおそれの有無及び内容
現時点においては不正使用等の二次被害が発生した事実は確認されておりません。
関係各位の皆様におかれましては、不審な問合せに十分ご注意いただきますようお願いいたします。万が一、第三者の悪用を確認した場合は、「4.お問合窓口」にご連絡ください。
4.お問合窓口
(略)
5.再発防止策及び今後の対応
上記の追加対応を進めるとともに、外部専門家のアドバイスを受けながら、システム・ネットワーク・デバイスのセキュリティ対策、情報セキュリティインシデントに対する体制の強化及び従業員に対するセキュリティ教育を図り再発防止に努めてまいります。
また、引き続き、警察への捜査協力及び個人情報保護委員会への報告等を行ってまいります。
なお、本件による当社の2025年3月期連結業績に与える影響は軽微であると判断しておりますが、公表すべき事項が生じた場合には、速やかにお知らせいたします。
【2024年1月26日リリース分】