卒業アルバム等の企画・制作・印刷を行う株式会社イシクラは3月4日、2024年5月23日及び5月27日に公表した同社運営のウェブ入稿システム「WebLAYLA」への不正アクセスについて、続報を発表した。詳細資料を文字の選択やコピーができないPDFファイルで公開している。
同社では2024年5月18日に、ウェブ入稿システム「WebLAYLA」の管理会社に設置されたサーバに第三者によるランサムウェア被害に遭い、一時的なサービスの停止及び一部データに損傷が生じ、修復不可能となる被害が発生していた。
同社によると、2024年5月にWebLAYLA サーバの保守管理を行っているシステム会社が外部機器の交換を修理業者に依頼したところ、修理業者が外部機器の閉鎖設定がされず脆弱性が生じ、5月18日にランサムウェアによる攻撃を受けたという。
WebLAYLAへの不正アクセスによる被害は下記の通り。システム会社がサーバのログを調査した結果、2024年5月10日以降の履歴にはイシクラのIPアドレス以外からデータがダウンロードされた記録は確認されていない。
・WebLAYLA上に格納された一部データの毀損
・不正アクセスの際にWebLAYLA上に格納されているデータが閲覧された可能性:74,238件
(2024年5月18日までにWebLAYLA上にアップロードされた画像データ(スナップ、個人写真)、氏名)
なお、同社の内部ルールでは、WebLAYLAのデータ保管期間を制作期間終了から1年とする規定があったが、保管期間を過ぎたデータの削除が徹底できておらず、同社規定よりも古いデータの一部がWebLAYLAサーバに残された状態になっていた。
システム会社では2024年5月24日に個人情報保護委員会に報告と相談を、2024年6月4日に警察庁サイバー警察局警察本部サイバー事案担当部署に被害届の提出と相談を行っている。
同社によると、本件はサイバー犯罪記録として登録され、警察が今後ダークウェブサイトの監視を行う際に届け出のあったデータが確認された場合はシステム会社に連絡されるとのこと。2025年3月3日時点で、警察からの連絡はない。
また、犯行声明や金銭等の要求は確認されていないという。
同社では、同社から委託元への報告が遅れた経緯について、2024年5月23日及び5月31日に顧客並びに関係者向けに行った同社ホームページ上での公表をもって報告義務を果たしたと誤認していたが、個人情報保護委員会から2024年12月中旬に学校への報告が必要である旨の指導があり、初めて委託元への報告義務を果たしていないことを認識したという。同社では2025年2月に各委託元に通知文書を郵送している。
システム会社では、被害にあった機器の入れ替えと被害該当箇所のセキュリティの再設定(管理者ID・パスワードを強度の高いものに変更、該当外部機器のポート閉鎖)、新たなセキュリティシステム「Acronis Cyber Protect」の導入を行い、24時間のフル監視を行っている。
同社では再発防止策として、同社社内での個人情報保護に関わるルールの周知徹底を行うとのこと。
