このたび、弊社の特定サーバー(モバイルデバイス管理サーバー)が第三者によって脆弱性を悪用され、不正アクセスを受けました。その結果、一部の社員等の個人情報(氏名、ユーザーID、会社メールアドレス)が流出したことが判明しました。なお、モバイルデバイス管理サーバーに顧客情報は含まれておらず、顧客情報の流出はございません。
弊社は、この事態を把握後、直ちに原因となったモバイルデバイス管理サーバーをインターネットから遮断し、脆弱性を解消するための必要な対策を講じました。これにより、さらなる流出等の被害が発生することはございません。また、関係機関への報告も完了しております。引き続き、セキュリティ専門機関等の協力を得ながら再発防止策を講じてまいります。
関係者の皆さまには、多大なるご迷惑とご心配をおかけしましたことを心よりお詫び申し上げます。以下に、本件の詳細を説明いたします。
1. 概要(発生原因・発覚経緯)
弊社では、電子メールおよびモバイルアプリケーションへアクセスするために、モバイルデバイス管理サーバーを利用しておりました。脆弱性解消のための対策を実施し、攻撃の有無を確認するためログ調査を行った結果、5月 16 日に外部の第三者によって不正アクセスが行われ、一部の社員等の個人情報が窃取されたことが、5月 22 日に判明いたしました。不正アクセスは 5 月 16 日にのみ発生したことを確認しております。
※ モバイルデバイス管理サーバーには 2015 年から 2023 年に弊社に在籍していた一部の社員等の情報が登録されておりました。また、退職者については、退職時に本サーバー上から登録情報を削除する運用を行っておりましたが、削除した情報が論理的にサーバー内に残留する製品仕様であったため、流出対象に含まれておりました。
2. 流出した情報
流出した情報は、5月 16 日時点で弊社のモバイルデバイス管理サーバーに登録されていた 2015 年から 2023 年に弊社に在籍をしていた一部の社員等の以下の項目です。
・氏名
・ユーザーID
・会社メールアドレス
3. 情報流出した社員等の数
・550 件
※対象者:弊社社員、退職者、一部の委託先社員 等
※対象となった方に個別の通知を実施しております。
4. 本件による影響
現時点で、本件による流出情報がインターネット上で公開された事実や不正利用などの二次被害は確認されておりません。
最後に、関係者の皆さまにご迷惑とご心配をおかけしましたことを改めて深くお詫び申し上げます。弊社は、今後とも情報セキュリティの強化に努め、同様の事案防止に全力を尽くしてまいります。今後とも変わらぬご支援を賜りますようお願い申し上げます。