NAS監視サービス関連サーバへの不正アクセス、最終報告（アイ・オー・データ機器）

株式会社アイ・オー・データ機器は6月4日、5月8日に公表した「NarSuS」に関わるサーバへの不正アクセスによる個人情報流出について最終報を発表した。

これは5月7日に、同社のクラウド型NAS監視サービスであるNarSuSテスト用サーバに対し第三者からの不正アクセスを確認、5月8日から6月3日までの期間に、外部専門機関と協力しNarSuSに関わる全てのサーバを対象に不正アクセスログやシステム構成ファイル、影響範囲等の調査を行ったところ、テスト用サーバの他、付随するサーバ1台にも第三者からの不正アクセスの痕跡を確認、外部ネットワークアクセス対策が適切ではなかったこと、当該アカウントのパスワードが脆弱だったこと、外部からの不正アクセスに対し監視が不十分であったこと等のセキュリティ設定不足が原因であることが判明したというもの。

また同社によると、テスト用サーバを構築する際の一連のオペレーションの中で、登録者情報（個人情報）を完全に削除できておらず当該サーバ内に残された状態であったため、これらのサーバにてNarSuSサービス登録者情報が流出した痕跡は確認できなかったが、第三者からの不正アクセスがあったことから流出件数は全登録者61,942件として報告したとのこと。

流出した可能性があるのは、メールアドレス、氏名、郵便番号、住所、電話番号、FAX番号、会社名、部署名、製品型番、MACアドレス、製品シリアルナンバーを含むNarSuSサービス全登録者情報61,942件。但し、NASからNarSuSへの一方通行の通信はであるため、NASに保存された顧客のデータへのアクセスは不可能で、NASに保存されているデータの流出は無く、NAS並びに顧客のネットワークへの不正侵入も無い。

同社では5月11日に警察へ相談を、5月13日に個人情報保護委員会へ報告を行っており、また5月8日、5月10日、5月13日、5月22日、6月4日のリリース発表に合わせてNarSuS登録者へ個別に連絡を行っている。

同社ではNarSuSサービス再開について2020年6月中旬を予定しており、その際にセキュリティ強化のために全NarSuSサービス登録アカウントに対してパスワードリセットを実施、顧客にはサービス再開時にパスワードを再設定するよう依頼している。

同社では既に対策として、不正アクセスを受けたサーバの停止、外部ネットワークアクセス制限の厳格化を行っており、今後はID・パスワードの管理強化と不正アクセス監視強化、テスト用サーバの構築ルールの見直しを行い再発防止に努めるとのこと。