個人情報保護委員会は3月19日、株式会社イセトーに対する個人情報の保護に関する法律に基づく行政上の対応について発表した。
イセトーでは2024年5月26日に悪意のある攻撃者から不正アクセスがあり、同社の情報処理センター及び全国営業拠点の端末やサーバがランサムウェアによって暗号化された事を確認しており、6月18日には攻撃者グループのリークサイトに窃取された情報を公開するためのダウンロード用URLが掲載され、一部の取引先の顧客に関する個人情報が含まれている事が判明していた。
個人情報保護委員会によると、イセトーが窃取され個人データを含むファイルがダークウェブ上に公開されたことで漏えい及び毀損が生じた件数は合計3,076,477人(うち民間事業者委託分2,509,886人、行政機関等委託分566,561人)で、このうち要配慮個人情報が含まれるのは13,150人。
漏えい等事態で影響を受けた委託元は41団体(民間事業者32団体、行政機関等9団体)で、委託元に委託していた再委託元(2以上の段階にわたる委託を含む)を含めると、影響を受けた団体数は約100団体。
外部調査機関によるフォレンジック調査で、攻撃者がVPN機器を経由し、同社の基幹系ネットワークに不正に侵入したことが判明しているが、イセトーにおけるログ取得が十分ではなかったため、同VPN機器の認証回避方法及び基幹系ネットワークへの侵入方法の詳細の確認には至っていない。
同会では侵入に関する問題点として、イセトーが2021年4月以降、VPN機器のアップデートを行っておらず脆弱性への対応が未了であったこと、不正利用された管理者アカウントのパスワードは2017年2月から変更がなく、推測がある程度容易な英小文字のみの11桁であったことを挙げ、不十分な脆弱性管理及びパスワード管理が原因となった可能性が高いとしている。なおイセトーでは多要素認証を導入していない。
なおイセトーでは3月20日現在、個人情報保護委員会からの行政指導について同社ウェブサイトで触れていない。
