ハウステンボス株式会社は12月12日、8月29日に公表した同社システムへの不正アクセスについて、調査結果を発表した。
同社では8月29日に、同社システムの一部に不正アクセスがあり、業務管理システム等のサーバ内のファイルの一部が暗号化されたことを確認しており、被害拡大防止のために当該サーバおよび関連システムを停止し、ネットワークの遮断など緊急措置を行い、外部の専門家による調査と復旧対応を開始していた。
外部専門家による調査の結果、同社が利用しているリモートアクセス機器を経由して第三者が不正にネットワークへ侵入したこと、複数のサーバおよびパソコン端末で暗号化が行われていたこと、同社が保有している個人情報の一部が外部に漏えいした可能性があることが判明している。
漏えいした可能性がある個人情報は下記の通り。
・顧客に関する情報:約1,499,300人分
項目:氏名、生年月日、性別、住所、電話番号、メールアドレスなど
・ハウステンボス役職員(退職者含む)および家族に関する情報:約37,300人分
項目:氏名、生年月日、性別、住所、電話番号、メールアドレス、マイナンバー情報、健康診断結果、障がいに関する情報など
・取引先に関する情報:約9,400人分
項目:氏名、社名、住所、電話番号、メールアドレス、マイナンバー情報など
同社では対象者に順次、個別に連絡を行う。
同社では、本件に伴い、一部システムに影響が生じ、ハウステンボス公式アプリのアトラクション待ち時間表示の休止や一部発注システムの利用制限等が発生したが、10月1日までに復旧している。
同社では再発防止策として、下記の取り組みを実施および強化しているとのこと。
・通信経路および用途別通信の再設計と厳格化
・各種アカウントのセキュリティポリシーおよび認証方式の見直し
・デバイス管理ポリシーの強化
・セキュリティ監視体制の再構築
・バックアップ体制および事業継続計画(BCP)の再整備
・従業員への情報セキュリティ教育の強化
