東証グロース上場企業のブティックス株式会社は2月27日、同社子会社のサーバへの不正アクセスについて発表した。
これは2月25日午後1時20分頃に、同社子会社の株式会社リアライブの作業用サーバにて、リアライブ従業員がデータベースの移行作業を行っていたところ、午後2時30頃に当該サーバに保存していた個人情報を含むデータの消失が発覚し、同時に当該サーバに第三者から不正アクセスされたと推測される痕跡を発見したというもの。リアライブが保有する個人情報が一部漏えいした可能性があるという。
漏えいした可能性があるのは、リアライブの新卒向け情報プラットフォーム「ジョブトラアカデミー(旧名称:Rebe)」にて2015年4月22日から2023年5月18日までの間に新規登録した約35万件の会員の氏名、メールアドレス、電話番号、性別、大学名、学部名、文系理系内訳、卒業年度を含む個人情報。
なお、移行作業中のデータベースについては、予めバックアップしていたため、消失などの被害はない。また、不正アクセスのあった作業用サーバは、リアライブがデータの移行作業やテスト等で使用している独立サーバで、顧客へのサービス提供用に使用している、いわゆる「本番用」のサーバと分離して管理しているため、ブティックス並びにリアライブの平常業務に影響はない。
リアライブでは下記の対策を実施したとのこと。
・不正アクセスのあった作業用サーバの利用を停止し、作業に使用していたPCをインターネット並びに社内ネットワーク環境から遮断
・情報セキュリティ対策を行う外部の専門会社の支援を受けながら、不正アクセスを受けた可能性・経緯について調査を行い、対応策について協議
・ブティックス内に対策本部を設置し、原因の特定、被害状況の確認、二次被害の防止策の実施、情報漏えいした可能性がある情報の特定、再発防止策の策定
・警察に連絡するとともに個人情報保護委員会に報告
