株式会社ダイヤモンド社(以下、「当社」といいます。)は、2023年12月11日付「当社サーバーへの不正アクセスについて」にて公表したとおり、当社の一部サーバー及びデスクトップPCに対し、第三者からのランサムウェアによる不正アクセス攻撃を受けました。
当社にて調査した結果、現時点では、当社が保有するデータベースに含まれていたお客様やお取引先様の個人情報が外部へ流出した事実は確認されておりません。しかし、不正アクセスの形跡が確認され、ランサムウェアによって一部のファイルが暗号化された事態を踏まえ、当社が保有する約70,000件の個人情報が漏えいしたおそれがあるものとしてお知らせいたします。なお、不正アクセスを受けたサーバー等には、クレジットカード情報のほか、各誌定期購読者情報、各種オンラインサービス等のWEB会員情報は一切含まれておりません。
お客様をはじめ関係者の皆様に多大なご迷惑とご心配をお掛けすることになり、深くお詫び申し上げます。
1. 発覚の経緯及びこれまでの対応状況
2023年12月7日、ランサムウェアにより当社の一部のサーバー及びデスクトップPCに保存していた一部のファイルが暗号化され、ファイルを開くことができなくなったことを確認しました。本件発覚後、対策本部を設置し、速やかにネットワークの遮断やPCの隔離措置を講じて被害の拡大を防止するとともに、外部専門機関に調査協力を依頼して全容解明を進めました。また、個人情報保護委員会及び所轄警察署へ報告・相談を行っております。なお、フォレンジック調査により判明した事実は以下のとおりです。
・外部の第三者による侵入経路の特定
・不正アクセスの影響を受けたサーバー機器等の特定
・侵害状況及び流出のおそれがある情報の範囲の特定
2. 漏えいのおそれがある個人情報
これまでの調査では、お客様やお取引先様の情報を利用した二次被害の報告は受けておりませんが、漏えいのおそれがある情報は以下のとおりです。引き続き調査を行い、新たな漏えいの事実が判明した場合には、速やかに対応してまいります。
・お客様の氏名、住所、メールアドレス等(クレジットカード情報は含まれておりません。)
・お取引先様の会社名、代表者様名、担当者様名、住所、メールアドレス等
3. お客様、お取引先様へのお願い
差出人や件名に心当たりのない不審なメールを受信した場合は、メールに添付されているファイルは開封せず、またメール内に記載されたリンク先へもアクセスせずに、メール自体を消去していただくようお願いいたします。
4. 今後の対策と再発防止策
今回の事態を重く受け止め、以後このような事態が再び発生しないよう、引き続き外部専門家等の第三者の助言をもとに、以下の5点に改めて取り組んでまいります。
・脆弱性管理の徹底
・エンドポイントセキュリティ対策の強化
・強固で堅牢な認証方式の利用
・適切なIT運営や体制の見直し
・BCP(事業継続計画)サイクルの運用強化
5. お客様、お取引先様への対応
個人情報漏えいのおそれのあるお客様、お取引先様を対象に、メールや郵便などを通じて、個別にご連絡させていただきます。可能な限り、個別に対応を進めてまいりますが、ご連絡できない方々へは、本発表をもって、通知とさせていただきます。
この度は皆様に多大なご迷惑ご心配をお掛けしますこと、改めて深くお詫び申し上げます。