9 月 26 日に第1報(*第1報.pdf)、10 月 24 日に第 2 報(*第 2 報.pdf)としてお知らせいたしました不正アクセス事案について、調査が完了いたしましたので、確報としてご報告申し上げます。
加入法人、事業所、会員個人の皆様に心配をおかけしており、心より深くお詫び申し上げますとともに、委託先の監督を含む情報セキュリティ対策の徹底を図り、再発防止に全力を尽くしてまいります。
1. 概要
9 月 22 日 12 時頃、当ソウェルクラブの会員管理システムの移行作業中に不正アクセスが発生し、会員情報データベースが消去される被害を受けました。
委託先企業による新サーバへの移行作業において、不適切な設定等によりデータベースが一時的にインターネット上からアクセスができる状況となり、攻撃者による不正アクセスが発生いたしました。
専門業者によるフォレンジック調査の結果、データ流出については明確な痕跡は確認されておりません。一方で、攻撃者によりデータベースへのアクセスが可能な状況であったことを鑑みると閲覧を含む情報漏洩の可能性は否定できないものとなります。
専門業者によるダークウェブ調査の結果では、現時点で情報の不正流通は確認されておりません。
本事案について、個人情報保護委員会への報告及び警察署への届出を実施しております。
2. 影響を受けた情報
不正アクセスにより消去され、漏洩の可能性が否定できない情報は、以下のとおりです。
①情報の項目
・加入法人の情報(法人名、代表者名、法人住所、電話番号、FAX 番号、暗号化済メールアドレス、金融機関、口座番号、口座名義人 等)
・事業所の情報(事業所名、事業所住所、電話番号、FAX 番号、暗号化済メールアドレス 等)
・会員個人の情報(氏名、生年月日、性別、会員番号、サービス利用履歴、自動車任意保険加入者の住所(2001 年度から 2003 年度に実施していたもの)等)
注記 ・ 退会された法人、事業所、会員個人の情報を含んでおります。
・ 会員個人の電話番号、メールアドレス、マイナンバー、クレジットカード情報、自動車任意保険加入者以外の住所については、会員管理システムのデータに含まれておりません。
(ソウェルクラブは、法人が加入し、その役職員が会員個人としてサービスを利用する仕組み)
・ 法人及び事業所のメールアドレスについては暗号化がほどこされています。
・ 金融機関口座番号等については法人の代表口座のほかに一部サービスにおける指定口座(事業所等の口座)を含んでいます。
②データへの影響
会員情報データベースには、個人データ約 136 万件※が存在し、不正アクセスによりデータが消去される被害を受けました。現在データは完全に復旧され、通常業務への影響はありません。
専門業者によるフォレンジック調査の結果、データ流出については明確な痕跡は確認されておりません。一方で、攻撃者によりデータベースへのアクセスが可能な状況であったことを鑑みると閲覧を含む情報漏洩の可能性は否定できないものとなります。
専門業者によるダークウェブ調査の結果では、現時点で情報の不正流通は確認されておりません。
※ 会員本人、法人代表者、出産・入学祝の対象児童、自動車任意保険加入者(会員本人以外の者)のデータ数の合計(重複計上を含んでいます)
3. 原因
委託先企業による新サーバへの移行作業において、ファイアウォール機能が有効化されておらず外部からの接続を制御できない状態で、データベース接続設定に関する不適切な構成が実施されました。これらにより、データベースが一時的にインターネット上からアクセスができる状況となり、攻撃者による不正アクセスが発生いたしました。
4. 二次被害又はそのおそれの有無
本件の影響により、加入法人、事業所及び会員個人の情報が不正利用された事実は現時点では確認されておりません。
5. 再発防止策
新サーバについては、本事案発生後に外部からのアクセスを遮断する措置を実施済みです。また、データを復旧し、安全確保の措置を講じた上で業務を継続しております。
サーバ移行を含む今後のシステム構築につきましては、委託先企業による安全管理措置の徹底を確認の上、ソウェルクラブとしても委託先企業とのリスクコミュニケーション強化など、適切に監督をするための取組を進めてまいります。
ソウェルクラブは本件を重く受け止め、委託先の監督を含む情報セキュリティ対策の徹底を図り、再発防止に全力を尽くしてまいります。
本件につきましては、ソウェルクラブで住所管理ができている法人に対しては、個別にご連絡をさせていただいており、そのほかの皆様には、本公表をもってご連絡に代えさせていただきます。
リリース文(アーカイブ)
【2025/9/26リリース分】
