弊社が提供するレイアウトサービスのシステムサーバーが外部からの不正アクセスを受け、一部データが破損し、個人情報が漏えいしたおそれがある事案について、お客様並びに関係者の方々には多大なるご心配とご迷惑をおかけしますことを深くお詫び申し上げます。また委託元へのご報告が大幅に時間が経過した後となり、結果、ご本人様への通知の遅れに繋がり誠に申し訳ございません。重ねてお詫び申し上げます。
この不正アクセス被害により、当該システムサーバー上の個人情報の一部で破損(毀損)が確認されましたが、情報漏えいおよび二次被害の事実は確認されておりません。しかし一時的に第三者が個人情報を閲覧した可能性が否定できないため、被害状況としては前述のとおり「一部データの毀損」と「漏えいのおそれ」となります。本事案に関する概要および、本件のお問合せ窓口につきまして、下記の通りご報告申し上げます。
1. 不正アクセスの概要
不正アクセスの被害にあったレイアウトシステム WebLAYLA について
WebLAYLA は弊社顧客である写真館様、卒業アルバム制作御坦当者様など (以下、 顧客) が画像のアップロードと紙面レイアウト指示の作成が行えをるサービスとして弊社が提供しており、弊社はアルバム紙面制作に必要なデータを受け取る日的で利用しております。 弊社では WebLAYLA を含めた媒体を通して顧客からアルバムの紙面制作に必要なデータを受け取ることをアルバム制作の工程上「入稿」と定義しており、「入稿」には WebLAYLA だけでなく、クラウドストレージの boxや DVD 等複数の手段を用いております。なお、2023 年度の卒業アルバムにおいて WebLAYLA を利用し「入稿」された学校数は受注全体に対して約 9%程度になります。
また下図通り得意先より WebLAYLA 上にアップロードされたデータは、弊社がダウンロードし制作上上程で加工されて社内のサーバーに保管されます。 今回唆損の被害にあったデータは弊社でダウンロードが完了しており、制作工程等を経て社内のサーバーに格納された状態にありました。その為、アルバム納品業務の遂行において影響を及ばすことはございませんでした。
図 1 : 株式会社イシクラ データの取り扱い状況とセキュリティ対策概略図
被害にあったサーバーについて
2024 年 5 月、WebLAYLA サーバーの保守管理を行なっているシステム会社が、外部機器の交換を修理業者に依頼したところ、修埋業者が行った外部機器の設定に不備があり、その脆弱性から攻撃をうけました。システム会社で不正アクセスを認知後、通信遮断等の措置を行いましたが、サーバーに保存された写真データ等の 一部が明損する被害が発生いたしました。
その後、システム会社による通信ログの調査 (後述) により、外部からの情報の抜き取りはないことが確認されました。
図 2 : 本事案に関する弊社とンステム会社との関係図
2. 被害について
本件事案による被害は下記の通りです。
・WebLAYLA 上に格納された一部データ の暴損
・不正アクセモスの際に webLAYLA 上に格納されているデータが閲覧された可能性
※システム会社の調査結果によりデータの抜き取りがないことが確認されています。
漏えい等のおそれのある個人情報の項目と件数
2024 年5月 is 日までに WebLAYLA 上にアップロードされた画像データ (スナップ、個人写真) 、氏名
・画像データ (スナップ、個人写真) 、氏名
・画像データ (スナップ、個人写真) のみ
・画像データ (スナップ) のみ
・画像データ (個人写真) のみ
・画像データ (個人写真) 、氏名
・画像データ (スナップ) 、氏名
・氏名のみ
※前述の通り WebLAYLA サーバーは卒業アルバムの紙面レイアウトツールでもあるため、いわゆる個人写真ページにおいても、紙面レイアウト指示の作成で当サーバーを利用していた場合は、氏名も漏えいのおそれのある情報に該当します。
件数: 漏えい等のおそれ7万 4238 件 (2025 年2月 24 日時点)
不正アクセスの経緯 (システム会社の報告より)
<2024 年5 月10 日 (金) >
・システム会社から作業依頼を受けた修理業者が webLAyLA サーバー (以下、サーバー)の外部機器交換を行なった際、外部機器のセキュリティ設定が不完全なまま作業を終えてしまった。
※本件発覚後 zo にシステム会社が点検を行い設定の不備を確認
<2024 年5月15日 (土) >
・不正プログラム (ランサムウェア※ュ1) による攻撃を受ける
・サーバーにアクセスできないことから、システム会社が異常を認知し、初期対応として、ネットワークからの遮断とサーバーシャットダウンを行なう
その後、サーバーを再起動させる
<2024 年5月20 日 (月) >
・システム会社がサーバーのログを調査した結果、so 以降の履歴には株式会社イシクラのIPアドレス以外からデータがダウンロードされた記録は確認されなかった
これにより、システム会社は漏えいが無いと判断した
外部機関への報告について
1, システム会社がデジタルフォレンジックサービス提供会社※zへの相談
・ロックが掛けられた画像の復元について相談した結果、復元不可能との回答がある。
2, システム会社が個人情報保護委員会への報告および、相談
・事故報告書届出日 : 2o24 年5 月24 日
受付番号 : 438435lo9007
3, システム会社が警察庁サイバー警察局販察本部サイバー事案担当部署への被害届の提出および、相談
・被害届届出日 : 2o24 年6 月4 日
申請・届出管理番号 : 20240604300on8o393
・本件はサイバー犯罪記録として登録され、警察が今後ダークウェブサイトの監視を行っていくにあたり、届け出のあったデータがダークウェブサイト※3上で確認された場合は、システム会社へ連絡されることになった
2025 年3年3日現在、警察からの連絡はなし
なお犯行声明や金銭等の要求は確認されておりません
※1ランサムウェアとは、感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復元する対価 (金銭や暗号資産) を要求する不正プログラムです。
(警察庁 Hp より)
※ 2不正アクセス等のセキュリティインシデントが発生した際に、 PC やサーバー・ネットワーク機器等のログファイルなどを分析 し、原因を調査するサービスです。
※3ダークウェブとは不正な情報等の取引が行われている web サイトの集まりで、一般的なサイトと異なり、検索サイトの検索結果から見つけることができず、専用のツールを使わないとアクセスできません。
3. 事故原因について
・WebLAYLA サーバーの保守管理を行なう、システム会社から委託された修理業者が外部機器を交換した際、外部機器の閉鎖設定がされず脆弱性が生じ、不正アクセスの被害を受けたこと。
・弊社の内部ルールでは、WebLAYLA のデータ保管期間を「制作期間終了から1 年 (納品から 1 年) 」とする規定があったが、保管期限を過ぎたデータの削除が徹底できず、弊社規定より古いデータ も一部が webLAYLA サーバーに残された状態になっていたこと。
4. 弊社から委託元様へのご報告が遅れた経緯について
事故発生から委託元様へのご報告に至るまでの期間は、個人情報保護委員会※4 とJIPDEC※5への事故報告を行った後、両機関からの情報照会対応を行っておりました。
また、個人情報保護要員会への照会をもとに、2024 年 5 月 23 日および5月 31日に、お客様並びに関係各位向けに弊社 HP 上で本件について公表を行いました。 公表後は、個人情報保護委員会と協議しつつ、委託先の監督や再発防止策の策定を進めておりました。
弊社HP上での公表をもってお客様および関係各位への報告義務を果たしたと誤認しておりましたが、2024 年12月中旬に、個人情報保護委員会より学校様への報告が必要である旨の指導を受け、初めて委託元への報告義務を果たしていないことを認識いたしました。
上記の指導を受けてから、個人情報保護委員会へ問合せを行ないながら、委託元への報告に関する具体的な手続きを行ない、2025 年 2 月に各委託元へ通知文書の郵送というかたちで事故通知を行ないました。
本件連絡が遅延したのは、最新の個人情報保護法への理解が不足していたことが原因でございます。お客様並びに関係者の方々には、不正アクセスの発生より大幅に時間が経過したのちのご連絡となったこと深くお詫び申し上げます。
※4 一般財団法人日本情報経済社会推進協会 (英文名称 : JIPDEC)
…プライバシーマーク付与機関
※5 個人情報保護委員会
…個人情報保護法の遵守やマイナンバーの運用などを監督・指導する行政機関
5. 今回の不正アクセスに対する対応と、今後の対策について
システム会社での再発防止策
・被害にあった機器の入れ替え
・被害該当箇所のセキュリティの再設定 (管理者ID・パスワードを強度の高いものに変更、該当外部機器のポート閉鎖)
・新たなセキュリティシステム 「Acronis Cyber Protect」 を導入、24時間のフル監視を行う。
商社から システム会社へ、下記の再発防止策を実施するよう指示
・委託業務にて使用するサーバーのメンテナンス計画及び実績をシステム会社にて毎月記録し、1か月に1度、弊社へ報告すること。
・システム会社にて新たに導入したセキュリティソフトによるサーバーの常時監視を実施すること。
・セキュリティソフトによる状態報告をシステム会社で確認すること。また、状態報告は1か月に1度、弊社へ報告すること。ただし、エラーなど同題が発生した場合は、上直ちに弊社に連絡を行うこと。
弊社社内での再発防止策
・弊社社内での個人情報保護に関わるルールの周知徹底
6. 弊社からの外部機関への報告について
個人情報保護委員会への報告 (時系列)
・2024年5月23日 速報 提出
・2024 年7月19日 確報 提出
・2025 年2月17日 確報・続報 提出
・届出番号 : 482107548280
JIPDEC への報告
・2024 年5月23日 速報 提山
・2024 年7月19 日 確報 提出
7. 対象となるエンドユーザー様、顧客(学校様、写真館様)への対応について
個人情報保護保護委員会からの指導を受け、委託元である、学校様、写真館様へ文書郵送による事案通知を行なうとともに、エンドユーザー様向けのご報告として、弊社ホームページでの事案報告を行っております。
・2024 年5月23日 本件公表 〈1同目)
・2024 年5月31日 本件公表 (2回目)
・2025 年2月7日 本件公表 (3回目)
・2025 年3月4日 本件公表 (4回目) ※本報告
8.本事案への対応経緯
9.本人通知の代替措置(事案の公表)について
委託元による本人通知が困難な場合、委託元の依頼があった場合のみ代替措置としての事案の公表を当社ホームページで行っています。
この度の件でお客様並びに関係者の方々には、多大なるご心配とご迷惑をおかけしますことを深くお詫び申し上げます。本件を厳粛に受け止め、今後同様の事象が発生しないよう、委託先のシステム会社と連携して再発防止と情報セキュリティ体制の強化に取り組んでまいります。
リリース文(アーカイブ)
