本記事は、2024年4月28日に東急のネットワークが第三者からの不正アクセス被害を受け、東急の連結子会社のファイルサーバーから個人情報1万件以上が漏洩した可能性がある件について、プレスリリースや報道記事などの情報をもとに専門家目線で解説しています。

出典:東急公式リリース

東急のネットワークに不正アクセスが発生

2024年4月28日に東急のネットワークが第三者からの不正アクセス被害にあったことを、2024年5月9日に東急株式会社が発表しました。

この不正アクセスを受け、個人情報保護委員会に報告を行い、ログ等の調査から発生原因を突き止め、拡大防止の処置を行ったそうです。

また、東急の連結子会社である東光食品株式会社のファイルサーバー等のデータが一部不正に読みだされたことも発表されています。

出典：東急公式リリース

子会社ファイルサーバーの全データが持ち出された可能性

東急では詳細調査を進めていく中で、調査結果を2024年8月20日に発表しました。

不正アクセスによって読みだされたデータについては特定ができなかったそうです。

東急では、東光食品株式会社が管理していたファイルサーバーに含まれるデータ全てが持ち出された想定で、流出した可能性のある個人データを発表しました。

出典：東急公式リリース

東急ネットワークにて本件が発生した原因

東急では3つの原因を公表したうえで、検証用環境を含めネットワーク全体のセキュリティ管理強化を行うこと、さらに個人情報の管理ルールについて従業員へ徹底することを明言しています。

今回の犯行手口は、東急（親会社）のネットワーク基盤の脆弱性を突いて既存ネットワーク環境に不正に侵入されたのち、同一ネットワーク内にある東光食品株式会社（子会社）管理のファイルサーバーからデータが持ち出されたというものでした。

子会社ｰ親会社間で情報セキュリティの管理基準や現場への浸透度が異なることは珍しくありませんが、情報管理の基準が統一できない中での情報のやり取りにはリスクが伴うため、十分に注意する必要があります。

今回の事故を受けて、最初に侵入された検証用環境を含めたネットワーク全体のセキュリティ管理強化と原因となったファイルサーバーの入れ替えは既に対応済であるとのことです。しかし、たった1人社員の設定ミスなどで重大なセキュリティインシデントに繋がる事例は少なくないため、現場レベルでの情報セキュリティ管理水準の向上が重要です。

個人情報を漏洩した場合の報告義務とは？

2022年4月に施行された「改正個人情報保護法」では、情報漏えいが発生した際に、企業は個人情報保護委員会へ2回報告する義務があります。

それぞれ報告内容と報告期限が定められているため、注意しましょう。違反した企業には最大1億円以下の罰金が科せられる可能性もあります。

1. 漏えい等の事実が発覚したら、3〜5日以内に個人情報保護委員会へ通報
2. 発覚から30日以内に被害を調査して個人情報保護委員会へ報告

データ漏えいが発生した場合は、外部の調査専門業者に調査を依頼することが重要です。

フォレンジック調査会社は、デジタル機器のデータ保全やアクセス調査に関する専門技術から情報漏洩の原因や影響範囲を的確に把握し、再発防止策を十分に講じることができます。

また、調査報告書も作成してもらえるため、個人情報保護委員会へそのまま報告することも可能です。

サイバー攻撃のリスクに備えてフォレンジック調査業者を事前に選定しておくこともお勧めします。

まとめ

本記事は、プレスリリースや報道記事などの情報をもとに専門家が解説しました。

個人情報の流出は社会的問題として大きく取り上げられることが多くなってきました。個人情報の取り扱いには細心の注意を払うようにしましょう。

個人情報や不正アクセスなど詳しい記事は下記にありますのでお読みください

関連記事

【最新】個人情報漏えい時における対応方法とフォレンジック調査について紹介個人情報漏えいに対する対応策と、実際に発生した被害事例を網羅的に紹介します。フォレンジック調査は、情報漏えいやセキュリティ侵害の発生時に重要な役割を果たす専門的な手法です。当サービスはデータ復旧専門業者14年連続データ復旧国内売上No.1、ご相談件数約2.4万件、データ復旧率95.2%の実力を活かしたフォレンジックサービスです。...