福島県郡山市は4月1日、2024年12月9日に公表した「Out of KidZania in こおりやま 2024 事業」における再委託先事業者のサーバへの不正アクセスについて、最終報告を発表した。
同市の「Out of KidZania in こおりやま 2024 事業」の運営業務を委託している株式会社東北博報堂福島支社の再委託先である、株式会社エクシードコネクトの委託先の株式会社イーエックスディーのサーバのデータが暗号化されるランサムウェア被害を受けたことに伴い、エクシードコネクトが当該サーバ内を調査した結果、同事業に係る個人情報が保管されていたことが判明しており、外部専門機関による調査を行っていた。
イーエックスディーによると、影響範囲は下記の通り。
・法人等に所属する方の個人情報:
氏名、メールアドレス等業務上の連絡先
・委託元の業務に付随する個人情報:
氏名、住所、電話番号、年齢、所属先等(イベント参加者等の情報)
・イーエックスディーグループ従業員・アルバイト登録者、法定保存期間内の退職者、株主:
氏名、住所、電話番号、年齢、家族、口座番号、給与関連情報、マイナンバー等の労務・税務管理上の情報
・取引のある個人事業主の情報:
氏名、住所、口座番号、報酬、マイナンバー等
専門調査機関による調査結果によると、機密情報を持ち出される経路としてVPNとインターネットの2経路が存在するが、いずれもトラフィック量から判断して大量アップロードは発生しておらず、ファイルサーバで管理されているデータをまとめて持ち出した可能性は極めて低いとのこと。
イーエックスディーでは、侵害のあったサーバを遮断の上で分析を行っており、復旧に向けては対策を講じた上で新サーバで再構築し、高い強度の認証パスワード、二要素認証の導入、攻撃のモニタリングやログ管理の更なる強化を行うとのこと。
なお、東北博報堂では4月9日現在、本件について同社Webサイトで特に触れていない。
