事故から学ぶ

2022年7月8日に発生した不正アクセスに関する調査結果及び確報について

事故概要

業種 民間企業
発生時期 2022/7/15
漏えい人数 40600
事故概要

2022年7月15日に当WEBサイトにて掲載した“悪意ある第三者からの不正アクセスによる個人情報流出の可能性”につきまして、外部専門機関による分析調査(フォレンジック調査)が完了いたしました。その結果、お客様の情報を含むデータが外部に流出した痕跡や証拠は一切無いことが判明いたしました。また実際に情報流出が発生したという事実及び当件に起因する可能性のある被害は確認されておりません。
これらの結果を踏まえ、当社は今回の不正アクセスに伴い個人情報が外部に流出した可能性は極めて低いと判断しております。詳細と合わせて、当件の確報として下記の通りご報告いたします。

■フォレンジック調査により判明した事実と結果
7月15日に情報セキュリティ専門機関にフォレンジック調査を依頼いたしました。
その結果、過去にVPN機器の脆弱性により流出したと考えられる当社社員の認証情報を利用し、7月1日~8日未明にかけて、特定の第三者が断続的に当社の社内ネットワークへアクセスした履歴が確認されました。その際に複数のプログラムが実行されましたが、外部へのデータ流出の可能性を示す痕跡は一切無いことが確認されました。また調査によって特定したマルウェアのタイプからも、データ流出につながるプログラムが実行された可能性は極めて低いことが判明しております。

■外部に流出した可能性があった情報
対象:当社オンラインストア及び自社で直接商品を出品している楽天、Amazon、Yahooショッピングにおいて、2016年5月11日~2022年7月7日までにご注文頂いたお客様
項目:ご注文者様及び配送先の氏名、住所、電話番号、ご注文商品
件数:最大40,600件

※各サイトのIDやパスワード情報及びクレジットカード情報は当社では保持しておらず、当初より流出の可能性は決してございません。
※不正アクセスが発覚した時点より、業務フローを変更し、社内サーバーにお客様の個人情報を保存しない運用に変更しております。

■経緯
7月8日 社内システムへのアクセスができないことを当社従業員が発見、複数のサーバーでデータが暗号化されていることを確認。
当該サーバーのネットワークからの切断、各デバイスのウィルスチェック、業務フローの変更を実施。
7月11日 所轄警察へ被害届を提出。
復元した社内サーバー内にお客様への出荷情報を記録したデータが保存されていることを確認。
個人情報が外部に流出した可能性があることを個人情報保護委員会へ報告。
7月15日 当社HP及び各オンラインストアに当件に関する第一報を掲載。
該当する可能性のあるお客様への個別連絡を開始。
外部の情報セキュリティ専門機関にフォレンジック調査を依頼。
8月26日 外部専門機関よりフォレンジック調査結果を受領。
9月5日 個人情報保護委員会への確報を提出。

■対策
外部専門機関のアドバイス及び当社グループ企業の支援を受けつつ、セキュリティレベルの向上に努めております。
合わせて、お客様の大切な情報をお預かりする責任を改めて重く受け止め、情報管理体制の強化に取り組んでおります。

(1)ITセキュリティ体制の強化
・ハードウェア・ソフトウェアの変更・更新による脆弱性対策
・セキュリティツールを活用した監視体制の強化

(2)情報管理体制の強化
・業務フロー変更による各種情報へのアクセス権限変更
・外部専門機関の指導のもとでの情報管理規定の整備

引用元 クリーンテックス・ジャパン株式会社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストにある要求ルール:

■ 推奨対策

対策:

具体例:

タグ

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。