このたび、弊社のサーバが第三者による不正アクセスを受け、ランサムウェアを使用した攻撃により、弊社が管理する弊社および弊社取引先の社員等に関する個人情報が漏えいした可能性があることを確認いたしました(以下「本事象」)。これを受け、弊社は、対策チームを設置の上、専門業者および弁護士等外部の専門家の助言を受け、原因特定、被害状況の調査および再発防止策等の策定に取り組んで参りました。
調査の結果判明した本事象の概要等につきまして、下記のとおりお知らせいたします。なお、本件につきましては個人情報保護委員会に法令上の報告を行っておりますとともに、法令上の通知対象となる方には順次個別にご案内差し上げております。
弊社お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになりましたこと、また、本事象の詳細調査に時間を要したことにより、この段でのお知らせとなりましたことを深くお詫び申し上げます。
1.本事象の概要および原因
2024年8月25日、弊社のサーバ上のファイルへのアクセスが不可能となっていることが確認されました。
その後速やかに、弊社のシステム構築とシステム運営を委託しているベンダーへ緊急対応を依頼するとともに、外部専門業者による調査を開始しました。
調査の結果、2024年8月22日から同年8月25日にかけて、何らかの方法で認証情報を窃取した第三者が、弊社のサーバに対して不正アクセスを行った上で、ランサムウェアを実行し、ファイルの暗号化を行ったことが判明しました。また、不正アクセスにより、弊社および弊社取引先の社員等の情報が漏えいした可能性があることが判明しました。
2.発覚の経緯および現在までの対応状況
2024年8月25日夜、弊社従業員が、サーバ上のファイルについて、暗号化によりアクセスが不可能となっていることを確認しました。
8月26日早朝、本事象の発生を弊社のシステム構築と運営を委託しているベンダーへ連絡し、緊急対応を行うよう依頼しました。また、外部専門業者との間で、調査実施に向けた協議を開始し、その後、遅滞なく調査が開始されました。
8月28日、サイバーセキュリティを専門とする外部の弁護士に相談し、助言を得るとともに、今後の対応について連携を開始いたしました。
8月29日、個人情報保護委員会に対する速報を行いました。
同日以降、警察、外部専門業者および弁護士との協議、情報連携、社内調査等を行いました。
10月9日、外部専門業者から、本事象の原因等に関する調査結果報告を受けました。
3.漏えいした可能性のある個人情報
本事象の対象となり、漏えいした可能性のある個人情報は、弊社の社員(退職者および採用応募者を含む)および弊社取引先の社員に関する以下の情報です
弊社の社員に関する個人情報
氏名・会社名・生年月日・性別・住所・電話番号・メールアドレス(個人用・会社用)・銀行口座情報・学歴・職歴・要配慮個人情報
弊社取引先の社員に関する個人情報
氏名・会社名・生年月日・性別・住所・電話番号・メールアドレス(個人用・会社用)
4.二次被害について
本事象に起因して発生した二次被害は現時点では確認されておりません。
なお、本件による弊社業務への影響はなく、弊社は日本郵船および日本郵船グループ会社のネットワークには接続していないため、日本郵船および日本郵船グループ会社の業務への影響もありません。
5.今後の対応
本事象の発生を厳粛に受け止め、認証情報に対するセキュリティ対策を含め、弊社の委託先管理を含めた管理体制の一層の強化に努めるとともに、不正アクセス等の犯罪行為には厳正に対処してまいります。