本件発覚後、8月8日付で国の「個人情報保護委員会」に対し、「個人情報の保護に関する法律(平成15年法律第57号)」第26条第1項の規定に基づき、所定の届け出を行いました。
本件に該当する患者様に対し、9月27日付で一連の経緯説明とお詫びの書面をお送りしました。
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
本件発覚後、8月8日付で国の「個人情報保護委員会」に対し、「個人情報の保護に関する法律(平成15年法律第57号)」第26条第1項の規定に基づき、所定の届け出を行いました。
本件に該当する患者様に対し、9月27日付で一連の経緯説明とお詫びの書面をお送りしました。
当センターの業務委託している社会保険労務士法人が社会保険等の手続きに使用するクラウドサービスについて、ランサムウェアによる第三者からの不正アクセス(以下、「本事案」)を受け、サービス提供の停止を余儀なくされておりました。
このたび、当該社会保険労務士法人よりクラウドサービス提供会社の停止していたシステムの復旧連絡とともに、調査の結果、情報漏洩の事実は確認されなかった旨の説明を受けました。しかし、個人情報の漏えいを完全に否定できる状況にはないため、不審な照会電話や郵便物等にご注意いただきますようお願い申し上げます。
1.事態の概要
2023年6月13日(火)に、当センターが業務委託している社会保険労務士法人より次の報告を受けました。
①社会保険等の手続きに使用するクラウドサービス提供会社である株式会社エムケイシステム(以下、「エムケイシステム社」)社から2023年6月5日(月)に本事案に関する連絡を受けた。
②2023年6月6日(火)に、本事案の原因がランサムウェアによる第三者からの不正アクセスである旨の連絡を受領した。
③個人情報保護委員会宛本事案の速報を行った。
その後、2023年8月8日(火)に当該社会保険労務士法人から、エムケイシステム社が外部専門機関を通じて調査した結果、システム内の登録されていたデータが外部に転送された痕跡は確認されなかった旨の連絡を受領いたしました。
不正アクセスによる侵害のため、登録データの「漏えいのおそれ(可能性)」を完全に否定することはできませんが、現在の技術水準において可能な限りの調査を、外部専門機関を通じて実施した結果、漏えいの事実は確認されていない旨の報告を受けています(詳細は2023年7月19日付のエムケイシステム社のリリース(https://www.mks.jp/company/topics/)をご参照ください)。
なお、社会保険労務士法人との事実関係確認等に時間がかかり、本件連絡が遅くなりましたが、当事案に関しまして不明な点等ございましたら、エムケイシステム社が設置している末尾記載の【当件に関するお問い合わせ先】にて対応いたします。
2.対象となり得る方
当センターと雇用契約を締結したことのある方ならびにその被扶養者
3.対象となるデータの項目
氏名、生年月日、住所、性別、電話番号、基礎年金番号、被保険者整理番号、雇用保険被保険者番号(左記の項目について、その一部又は全部)
(注)なお、マイナンバーは流出の恐れの情報範囲には含まれていません。
4.原因
エムケイシステム社サーバに対するランサムウェアによる第三者からの不正アクセスによるものです。
5.二次被害又はそのおそれの有無及びその内容
エムケイシステム社がシステムの診断調査を専業とするセキュリティ専門会社に依頼し、精密な調査を実施しておりましたが、調査の結果、システム内の登録されていたデータが外部に転送された痕跡は確認されず、また、登録されていたデータがダークウェブ等に掲載されていないか調査を実施してきましたが、当該データの掲載や公開は確認されませんでした。このことを裏付けるように、本報告時点までに不正利用など二次被害の報告も寄せられておりません。
この度、弊社においてECC学習支援システム「インターセクション」開発サーバーへの不正アクセスが確認されました。2023年9月12日に第三者による不正アクセスを確認し、改めて事実関係を調査いたしましたところ、同5月16日以降、複数回の不正アクセスにより、本システム利用者のうち1,249名の生徒様の情報および教材情報の一部が流出した可能性があることが判明いたしました。
流出した可能性のある情報には、個人情報(氏名、ID、一部受講情報)が含まれておりました。情報流出の対象となった皆様、関係者の皆様には、大変なご迷惑とご心配をおかけしておりますことを心よりお詫び申し上げます。
※メールアドレス、性別、生年月日、住所、電話番号、クレジットカード情報は含まれておりません。
弊社では、これまでも個人情報取り扱い業務にあたっては、厳格な管理・運用を求め、情報管理の徹底に努めてまいりましたが、このような事態が発生したことを踏まえ、通信制限などセキュリティ強化を実施し、アカウントのID/パスワードにつきましてもより強固なものに変更するなど、再発防止策をすでに講じております。
本件につきましては、弊社内の開発サーバーの運用体制が不十分だったと重く受け止め、健全な開発運営が行えるよう改善に努めてまいります。
この度は生徒様・関係者の皆様に多大なご迷惑、ご心配をおかけしますこと、重ねて深くお詫び申し上げます。
いつも助成金クラウドをご利用くださり誠にありがとうございます。
2023年9月25日に発生した不正アクセスによるWebサイト改ざんに関する報告書を以下ページに掲載いたしました。
https://joseikin-cloud.jp/mypage/manuals/download/report_20230929.pdf
※脆弱性対策についての記載があるため、ログイン必須とさせていただいております。
第一報より詳細なご報告内容となりますが、これまでのご報告内容と異なる要素はございません。翌日9月26日に実施した脆弱性対策により今回の不正アクセス対策は完了しておりますが、引き続き脆弱性対策、認証強化等の再発防止に取り組んでまいります。
今般の事態に至りましたこと、重ねて深くお詫び申し上げます。
平素は格別のご高配を賜り、厚く御礼申し上げます。
2023年9月20日13時30分~17時09分の間に、 弊社社員を装った「迷惑メール」が不正に送信されているという事実を確認いたしました。
該当のメールを受信された皆様には多大なご迷惑をおかけしましたこと深くお詫び申し上げます。
件名や記載の問合せ先等を確認すると、弊社社員から送信されたメールに見えますが、 実際は無関係の第三者が送信したメールです。
●日時 2023年9月20日13時30分~17時09分
●不正利用されたメールアドレス fukuda@s-yamada.jp
●送信されたメールの件名
「署名済みドキュメント 09/19/2023」
「署名済みドキュメント」
「Signed Documents 09/19/2023」
この件に関しましては既に広島県警に通報、 広島県警察本部サイバー犯罪対策課で捜査をしていただいております。
また、心当たりのないメールや、本文の記載がない等、不審な点があるメールにつきましては、 ウイルス感染、フィッシングサイトへの誘導、不正アクセス等のリスクが高いため、 メールの開封、添付ファイルのダウンロード、あるいはメール本文中の URL のクリック等を行わず、速やかにメールごと削除して頂きますようによろしくお願いいたします。
弊社におきましては、不正アクセスの防止など情報セキュリティには十分注意しておりますが、引き続き対策を強化して参ります。
ご理解とご協力をいただきますようよろしくお願い申し上げます。
当社の子会社である株式会社ワコールヨーロッパ(本社:英国、社長:Geoff Embley、以下「ワコールヨーロッパ」)において、社内ネットワークへの第三者による不正アクセスを受け、正常なシステム稼働に支障が生じたことを、9 月 19 日(火)(日本時間)に確認いたしました。
ワコールヨーロッパでは、現在、外部専門家の助言を受けながら全容に関する調査、システムの復旧対応、事業活動に対する障害への対処などを行っています。同時に、取引先等の関連者に対して、システム障害の影響について適切な通知を実施しました。
また、今回の不正アクセスはワコールヨーロッパにとどまり、ワコールヨーロッパ傘下の事業所を除く、当社グループのシステムへの影響がないことを外部の専門家とともに確認しています。
関係する皆さまにご迷惑とご心配をおかけしていることにつきまして、深くお詫び申し上げます。
なお、本件が当社グループの当期の業績予想に及ぼす影響については現在精査中です。
NHKは最近、東京・渋谷区の放送センターの業務用サーバーが外部からの不正アクセスを受けたことを公表しました。この不正アクセスの結果、従業員やスタッフを含む2万3,435人の個人情報が漏えいした可能性があるとのこと。漏えいの恐れがある情報には、氏名、メールアドレス、部署名、役職名、内線番号、ユーザーID、ハッシュ化されたパスワードなどが含まれています。
NHKの調査によると、2023年7月31日にシステムへの侵害の可能性が判明し、速やかに外部の調査機関に協力を依頼していたとのこと。その結果、情報が外部へ明確に流出した証拠は確認できなかったものの、情報漏えいの可能性を完全に否定することはできないとされています。
NHKは、この件に関して「関係者の皆様にご心配、ご迷惑をおかけし、深くお詫び申し上げます」とのコメントを発表。今後、セキュリティ対策の強化に努めていくとの立場を明らかにしました。