この度、2024 年 7 月 8 日付で第三者調査機関(外部セキュリティ専門家)による不正アクセスの原因等を特定するためのフォレンジック調査とダウンロードされたメールの特定を行うための追加調査が完了いたしました。
それらの調査結果を踏まえ弊社により漏えいした個人情報の項目等の特定を行うための内部調査が2024 年 11 月 15 日に完了いたしましたので、以下の通りお知らせいたします。
お客様に多大なご心配とご迷惑をおかけする事態となりましたことを深くお詫び申し上げます。弊社では今回の事態を厳粛に受け止め、再発防止策の実施に全力を尽くしてまいります。
また調査対象が多岐にわたり、最終報告まで時間がかかりましたことを、重ねてお詫び申し上げます。
1.概要
2024 年 5 月 13 日、811 通の投資を促すスパムメールが弊社の特定の社員(以下、「当該社員」)から顧客等へ送信され、弊社でもスパムメールを受信し当該事態の発生を確認いたしました。当該事態を確認したことで被害拡大防止措置として当該社員のパスワードの変更を同日実施いたしました。
当該事態は、当該社員のクラウド e メールサービスのメールサーバーに保存されていたメール約 2年分が 2024 年 4 月 28 日から 5 月 13 日にかけ複数回の不正アクセスによりダウンロードされ漏えいしたことが 2024 年 5 月 15 日に発覚、同日、スパムメールを受信された顧客等へお詫びのメールを送らせていただきました。
2.漏えい等が発生し、又は発生したおそれがある個人情報の人数と漏えい等が発生した個人情報の項目
調査により 2,540 人の個人情報が漏えいしたことが判明いたしました。なお、漏えいした個人情報の項目と人数の詳細は以下の通りとなります。
(1)金融商品取引業者としての弊社の顧客等
金融商品取引業として契約等を締結している弊社の顧客となります。
◆漏えいした個人情報項目
契約先個人名、メールアドレス、法人名、所属部署・役職、住所(個人)、生年月日、電話番号(法人、個
人)、国籍、性別、顔写真等、パスポート番号、略歴、銀行口座、免許証番号
◆漏えいした個人情報の人数
顧客としての個人情報が漏えいした数は 94 人。
(2)金融商品取引業者としての顧客以外の顧客に準じる取引先等
①:上記、弊社顧客には該当しませんが、ファンドの投資家等として今回調査を行った顧客に準じる取引先となります。
◆漏えいした個人情報項目
担当者名、メールアドレス、法人名、所属部署・役職、電話番号等
◆漏えいした個人情報の人数
個人情報が漏えいした数は 135 人。
②:①に該当しない取引先として今回調査を行った先は以下の通りとなります。
②-1:弊社が金融商品取引契約の顧客となっている取引先
◆漏えいした個人情報項目
担当者名、メールアドレス、法人名、所属部署・役職、電話番号等
◆漏えいした個人情報の人数
個人情報が漏えいした数は 36 人。
②-2:②-1 以外の弊社が金融商品取引契約の顧客であり業務委託を受けている取引先とその関係先
◆漏えいした個人情報項目
個人名、メールアドレス、法人名、所属部署・役職、住所、電話番号、家族の個人名、生年月日(本人以
外)、電話番号(本人以外)、続柄、住所(本人以外)
◆漏えいした個人情報の人数
個人情報が漏えいした数は 48 人。
(3)顧客、顧客に準じる取引先以外の関係先及び取引先等
金融商品取引法における契約を締結している(1)弊社顧客、(2)顧客以外の顧客に準じる取引先等以外で個人情報が漏えいした関係先及び取引先は下記の通りとなります。
③-1:ファンドを運営する関係者で弊社もしくはファンドの顧客等(証券会社、アドミニストレータ、弁護士事務所等ファンドの運営にかかわる者)
◆漏えいした個人情報項目
担当者名、メールアドレス、法人名、所属部署・役職、電話番号、会計士番号等
◆漏えいした個人情報の人数
個人情報が漏えいした数は 689 人。
③-2:投資家候補、同業者、投資先、投資先関係者等
◆漏えいした個人情報項目
担当者名、メールアドレス、法人名、所属部署・役職、電話番号、パスポート番号、住所、年齢等
◆漏えいした個人情報の人数
個人情報が漏えいした数は 1,103 人。
③-3:物販業者、情報ベンダー、人材紹介会社等弊社が利用している業者等
◆漏えいした個人情報項目
担当者名、メールアドレス、法人名、所属部署・役職、電話番号、住所、銀行口座等
◆漏えいした個人情報の人数
個人情報が漏えいした数は 178 人。
③-4:プロバイダーのドメインや知人、採用申込者等
◆漏えいした個人情報項目
名前、メールアドレス、法人名、所属部署・役職、電話番号等
さらに、採用申込者については、性別、住所、電話番号、生年月日、年齢、略歴、顔写真、趣味
◆漏えいした個人情報の人数
個人情報が漏えいした数は 148 人。
③-5:その他(上記に分類出来ないもの)
上記のいずれの分類にも属さないが、弊社または弊社宛て業務委託先と業務上の関連がある先。
◆漏えいした個人情報項目
担当者名、メールアドレス、法人名、所属部署・役職、電話番号、略歴、写真等
◆漏えいした個人情報の人数
個人情報が漏えいした数は 47 人。
③-6:監督省庁、行政機関、協会等
◆漏えいした個人情報項目
担当者名、メールアドレス、法人名、所属部署・役職、住所等
◆漏えいした個人情報の人数
個人情報が漏えいした数は 62 人。
3.発生原因
定期的なパスワードの変更がなされていなかったこと、二段階認証の導入を検討するものの対応せずにいたことで弊社のセキュリティ対策が脆弱な状態となっていたことが原因となります。
また、フォレンジック調査によると、漏えいした原因の可能性として、当該社員が外部サイトに登録しているパスワードが漏えいした可能性を指摘されています。パスワードが洩れた原因については特定出来ませんでした。
4. 二次被害又はそのおそれの有無及びその内容
弊社、内部調査では、スパムメールに添付されていたファイルは開封が可能でしたので、開封しても何かしらのウィルスを有するものではなくランサムウエア、マルウエアでは無かったことを確認しています。(弊社で開封したユーザーの PC においてウィルス検査を行った限りとなります。)
今後、漏えいしたメールアドレスや個人情報を利用し第三者から投資を促すようなメール等が送られてくる可能性がございますので不審なメールを受信した際にはご注意いただきますようお願い申し上げます。
5. 個人情報が漏えいした方への対応の実施状況
当該事態発生後、速やかに顧客の方に対して説明をさせていただきました。今回、最終報告にあたり改めて弊社顧客の方へ漏えいした個人情報の項目等につきご説明をさせていただきました。
6. 公表の実施状況
2024 年 5 月 31 日付で第 1 報、6 月 14 日付で第 2 報となるプレスリリースを行い、今回が最終報告となります。
7. 再発防止のための措置
再発防止策として以下の通り対応を行いました。
① 定期的なパスワード変更の実施:三ヶ月に一度、パスワード変更を行うことで、今回の発生原因となったセキュリティ対策の脆弱性を改善するため実施いたしました。
② 二段階認証の導入:通常の ID とパスワードによる認証に加え、本人確認のステップを追加させることで、なりすましを防止するように全役職員が対応いたしました。(兼務をしている者については所属会社の規定に従います。)
③ パスワード使いまわしの禁止:フォレンジック調査では、外部サイトへ登録している認証情報が漏えいした可能性が示されています。今後は、全役職員に対してパスワードの使いまわしを禁止するよう注意喚起を行いました。
④ 個人情報、サイバーセキュリティに対するリテラシー向上:グループ会社のアイザワ証券と協力し、研修等を通じて個人情報、サイバーセキュリティに対するリテラシー向上に努めます。
8. その他参考となる事項
弊社顧客の個人情報以外に弊社役職員(退職者を含む)及びその扶養家族の方の特定個人情報 9 人が漏えいし、こちらは個人情報保護委員会へ 2024 年 7 月 10 日付で届出を完了しております。
【2024年5月31日リリース分】