本記事は、2024年4月28日に東急のネットワークが第三者からの不正アクセス被害を受け、東急の連結子会社のファイルサーバーから個人情報1万件以上が漏洩した可能性がある件について、プレスリリースや報道記事などの情報をもとに専門家目線で解説しています。
出典:東急公式リリース
目次
東急のネットワークに不正アクセスが発生
2024年4月28日に東急のネットワークが第三者からの不正アクセス被害にあったことを、2024年5月9日に東急株式会社が発表しました。
この不正アクセスを受け、個人情報保護委員会に報告を行い、ログ等の調査から発生原因を突き止め、拡大防止の処置を行ったそうです。
また、東急の連結子会社である東光食品株式会社のファイルサーバー等のデータが一部不正に読みだされたことも発表されています。
出典:東急公式リリース
子会社ファイルサーバーの全データが持ち出された可能性
東急では詳細調査を進めていく中で、調査結果を2024年8月20日に発表しました。
不正アクセスによって読みだされたデータについては特定ができなかったそうです。
東急では、東光食品株式会社が管理していたファイルサーバーに含まれるデータ全てが持ち出された想定で、流出した可能性のある個人データを発表しました。
- 901件: 個人の顧客の【氏名・住所・電話番号・メールアドレス】
- 9,942件:取引先の【氏名・所属(会社、部署)・住所・電話番号、メールアドレス】
- 5,802件:従業員の【氏名・住所・電話番号・メールアドレス】
出典:東急公式リリース
東急ネットワークにて本件が発生した原因
東急では3つの原因を公表したうえで、検証用環境を含めネットワーク全体のセキュリティ管理強化を行うこと、さらに個人情報の管理ルールについて従業員へ徹底することを明言しています。
- 検証用環境が脆弱な状態となっていたこと
- 既存ネットワーク環境にあった東光食品が管理しているファイルサーバが脆弱な設定となっていたこと
- 個人データの削除を含む、管理ルールが徹底されていなかったこと
今回の犯行手口は、東急(親会社)のネットワーク基盤の脆弱性を突いて既存ネットワーク環境に不正に侵入されたのち、同一ネットワーク内にある東光食品株式会社(子会社)管理のファイルサーバーからデータが持ち出されたというものでした。
子会社ー親会社間で情報セキュリティの管理基準や現場への浸透度が異なることは珍しくありませんが、情報管理の基準が統一できない中での情報のやり取りにはリスクが伴うため、十分に注意する必要があります。
今回の事故を受けて、最初に侵入された検証用環境を含めたネットワーク全体のセキュリティ管理強化と原因となったファイルサーバーの入れ替えは既に対応済であるとのことです。しかし、たった1人社員の設定ミスなどで重大なセキュリティインシデントに繋がる事例は少なくないため、現場レベルでの情報セキュリティ管理水準の向上が重要です。
個人情報を漏洩した場合の報告義務とは?
2022年4月に施行された「改正個人情報保護法」では、情報漏えいが発生した際に、企業は個人情報保護委員会へ2回報告する義務があります。
それぞれ報告内容と報告期限が定められているため、注意しましょう。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。
- 漏えい等の事実が発覚したら、3〜5日以内に個人情報保護委員会へ通報
- 発覚から30日以内に被害を調査して個人情報保護委員会へ報告
データ漏えいが発生した場合は、外部の調査専門業者に調査を依頼することが重要です。
フォレンジック調査会社は、デジタル機器のデータ保全やアクセス調査に関する専門技術から情報漏洩の原因や影響範囲を的確に把握し、再発防止策を十分に講じることができます。
また、調査報告書も作成してもらえるため、個人情報保護委員会へそのまま報告することも可能です。
サイバー攻撃のリスクに備えてフォレンジック調査業者を事前に選定しておくこともお勧めします。
フォレンジック調査とは
フォレンジック調査とは、サイバー攻撃、情報漏えい、データ改ざんなどのセキュリティ関連インシデントが発生した際に、その原因を特定し、被害の範囲や影響を明らかにするための詳細な調査手法です。
もともとフォレンジック調査は、犯罪や事件が起きた時、その現場から犯行の手掛かりとなる「鑑識」を指していました。特にデジタルデータからの証拠収集・分析は「デジタル鑑識」あるいは「デジタル・フォレンジック」とも呼ばれます。
インシデントが起きた場合、特定の機関に報告義務が発生する場合があります。自社だけの調査では、調査報告をしても認められない場合があり、第三者機関で調査を行うのが一般的です。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応実績があり、IPAからも承認を得ています。
相談や見積もりを無料で受け付けています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。
\相談から最短30分でWeb打ち合わせを開催/
DDFは累計ご相談件数3.2万件以上のフォレンジック調査サービスです
まとめ
本記事は、プレスリリースや報道記事などの情報をもとに専門家が解説しました。
個人情報の流出は社会的問題として大きく取り上げられることが多くなってきました。個人情報の取り扱いには細心の注意を払うようにしましょう。
個人情報や不正アクセスなど詳しい記事は下記にありますのでお読みください
関連記事