株式会社審調社は12月5日、7月11日に公表した同社サーバへの不正アクセスについて、最終報告を発表した。
同社では6月27日に、同社の一部サーバに第三者から不正アクセスがあり、同サーバ内に保存されていたファイルが暗号化されるランサムウェア被害が発生しており、対策本部を設置し、セキュリティ専門調査会社などの外部専門家の助言のもとで被害の全容把握、被害拡大防止、復旧対応と調査を進めていた。
外部のセキュリティ専門会社による調査の結果、第三者が同社のネットワーク機器の脆弱性を悪用して不正アクセスを行い、内部ネットワークに侵入したこと、導入していたセキュリティソフトが当該第三者により無効化されていたことが判明している。
調査結果によると、漏えいまたはそのおそれのある個人情報は下記の通り。なお、番号には、委託元で管理している事案管理番号(保険・共済の手続き等に利用する番号)または証券番号(保険・共済等の契約を管理する番号)、審調社で管理している案件番号のうちいずれかひとつ以上が含まれる。また、氏名等には氏名、生年月日、性別、住所、電話番号、メールアドレス等のうちいずれかひとつ以上が含まれる。
(1)委託元から受けた調査に関する個人情報
1.漏えいした個人情報
番号及び氏名等並びに要配慮個人情報:約1,200件
番号及び氏名等のみ(要配慮個人情報は無し):約12,500件
番号のみ(氏名等及び要配慮個人情報は無し):約89,000件
2.漏えいしたおそれのある個人情報
番号及び氏名(要配慮個人情報は無し):約30件
番号のみ(氏名等及び要配慮個人情報は無し):約1,000件
(2)漏えいまたはそのおそれのある業務委託者、採用応募者等に関する個人情報
氏名等のみ(要配慮個人情報は無し):約400件
氏名のみ(要配慮個人情報は無し):約50件
(3)漏えいまたはそのおそれのある審調社の従業員、退職した従業員に関する個人情報
氏名等のみ(要配慮個人情報は無し):約10件
氏名のみ(要配慮個人情報は無し):約140件
審調社または委託元では対象者に個別に連絡を行う。
同社では下記の再発防止策を講じるとのこと。
・セキュリティ関連規程等の見直し及び社内教育の推進
・悪用されたネットワーク機器の排除
・ネットワーク管理体制やアクセス制限の強化
・インシデント発生時の対応策の強化
・セキュリティ担当部門の強化
