大分県大分市は3月31日、2024年10月31日に公表した市営住宅の指定管理者へのランサムウェア攻撃について、第2報を発表した。
同市の市営住宅の指定管理者である株式会社別大興産では、同社のサーバおよびその周辺機器で、第三者からのランサムウェア攻撃による被害が確認され、別大興産が保有する個人情報を含むデータが複製され外部へ持ち出された可能性が判明していた。
別大興産では大分市に、同社が管理するデータベースに外部からサイバー攻撃が行われ、サーバ等が使用できない状態となり、端末スクリーン上には不正アクセスによってデータを使用できなくしたこと、個人情報を含むデータを複製したこと、金銭を支払わなければデータを第三者に売却する内容が表示されていた旨を報告している。また、同社が業務委託を行った委託事業者が納入したセキュリティ機器の設定不備が原因であることが判明したとのこと。
別大興産が実施したダークウェブ調査の結果、個人情報の持ち出しの証跡はなく、漏えい等の事実確認ができないと報告があり、現時点で情報漏えいおよび二次被害は確認されていないが、同社では現在も調査を継続している。
別大興産では下記を実施している。
・委託事業者に指導を行い、セキュリティ機器の設定不備を解消
・被害にあったサーバ等の再構築、ID及びパスワード変更などのセキュリティ対策を実施
同市では下記を実施している。
・指定管理者に厳重注意を行うとともに、個人情報の取り扱いについて見直しを行うよう業務改善指示を実施
・再発防止のため、大分市及び指定管理者(大分県住宅供給公社を含む)の同市市営住宅管理業務従事者全員に対し、本事案の経過記録の共有を行い、個人情報の取り扱いに関する規定やインシデント発生時の対応手順についての理解を再度徹底
