2024年7月3日付当社ホームページにて公表いたしましたとおり、2024年6月18日に攻撃者グループのリークサイトにおいて公開された当社より流出した情報の中に、一部のお取引先様の顧客の大切な個人情報が含まれていることが判明しました。お取引先様をはじめご本人様におかれましても多大なるご迷惑とご心配をおかけすることになり、深くお詫び申し上げます。
今般、外部専門家によるフォレンジック調査が完了いたしましたので、下記のとおり事態の概要及び原因、ならびに再発防止に向けた取り組みについてお知らせいたします。
概要
2024年5月26日、悪意のある攻撃者による不正アクセスを受け、当社の情報処理センター及び全国営業拠点の端末やサーバがランサムウェアによって暗号化された事を確認いたしました。2024年6月18日には攻撃者グループのリークサイトで、攻撃者が窃取したとされる情報を公開するためのダウンロード用URLが掲載されました。
ダウンロード用URLから公開された情報は調査の結果、当社のサーバから流出したものであり、一部のお取引先様の顧客に関する個人情報が含まれている事が判明しました。ダウンロードファイルは2024年10月4日現在消失しており、ダウンロードができないことを確認しております。
原因
VPNからの不正アクセスにより当社ネットワークに侵入した攻撃者によって、当社が一部のお取引先様の受託業務の作業工程で発生した帳票データや検証物の一部の情報が窃取されました。当該情報を取り扱ってはならないサーバに作業の効率を図るため便宜的に保管し、また業務終了後には速やかに削除すべきデータを削除することができておりませんでした。当社の情報の取り扱いが原因で、攻撃者によるデータの窃取を許すこととなり、多大なご迷惑をおかけすることになりましたこと、重ねてお詫び申し上げます。
なお、現時点で、本件に起因する個人情報を用いた不正利用等の二次被害については、確認されておりません。引き続きお取引先様名、または当社名を騙る不審な電話や郵便物等による勧誘や詐欺には十分にご注意いただき、不審に思われた場合は最寄りの警察にご相談いただくようにお願い申し上げます。
再発防止策
侵入経路となりましたVPNを使用しない体制とし、さらに認証強化を図り不正アクセスが起こらない環境を構築いたします。環境構築までの間は外部ネットワークとの接続を制限し業務対応を行います。
受託業務におけるデータの取り扱いについては管理区域外へデータの移送ができない環境を構築し、業務上必要なデータについては、保管期限など取り扱いルールを明確に定め業務終了後にデータを確実に削除します。そして、これらのルールが遵守されるよう監査を徹底してまいります。
また、社員に対して個人情報を含む情報セキュリティに関する教育とルール遵守に関する研修を行い、再発防止の徹底を行います。
この度のサイバー攻撃を受け、個人情報の漏洩と被害が拡大してしまったことを深くお詫び申し上げます。当社の対応により、皆様に多大なご迷惑とご心配をおかけしたことを心より反省しております。再発防止に向けて、全社を挙げて情報セキュリティ体制の構築と強化徹底を図り、信頼回復に努めてまいります。
【2024年9月2日リリース分】
【2024年7月3日リリース分】
【2024年5月29日リリース分】