「イセトー」にサイバー攻撃 委託元の約150万件の情報漏えいか

情報処理サービスなどを展開する京都市の「イセトー」は、ことし5月に社内の一部のサーバーやパソコンのファイルが暗号化され身代金要求型のコンピューターウイルス＝ランサムウエアによるサイバー攻撃を受けたと発表しました。

複数のセキュリティー会社によりますと、6月には「8Base（エイトベース）」を名乗るハッカー集団が犯行声明を発表した上で、盗み取ったとするデータを公開しました。

イセトーが調べたところ、公開された情報は社内から流出したもので、中には顧客の情報も含まれていることが判明したということです。

これを受けて、イセトーに業務を委託していた全国の自治体や企業などが被害を相次いで発表しています。

このうち自治体では、
▼愛知県豊田市が、新型コロナの予防接種券や軽自動車税の納税者などの個人情報、103万5000件余り、
▼徳島県は、自動車税の納税者などの個人情報が、およそ20万件、
▼和歌山市は、住民税の納税者の個人情報、15万1000件余りが、
流出したと発表しています。

また企業や団体では、
▼大手機械メーカー「クボタ」が、顧客の利用・請求明細など、6万1000件余り、
▼京都商工会議所が、会員企業の個人情報4万1000件余りの
流出を公表しているほか、
▼公文教育研究会、
▼三菱UFJ信託銀行、
▼三井住友海上あいおい生命、
▼伊予銀行なども、
被害を公表しています。

NHKがまとめたところ、一連の事案で漏えいしたおそれのある個人情報は、少なくとものべ150万件近くに上っています。

イセトーは、NHKの取材に対して「お客様対応を最優先に対応しているので、取材や問い合わせは遠慮していただくようご理解をお願いする」などとコメントしています。

三輪さんは、今回の事件について「個人情報を大量に委託していた先、すなわちサプライチェーンからの漏えいがこれほど大きなものになったことは、非常に珍しい」と指摘し、サイバー攻撃によって取引先などほかの組織にも被害が及ぶサプライチェーンのリスクが浮き彫りになったという認識を示しました。

対策については、三輪さんによりますと、委託先のセキュリティー対策を確認することはすでに広く行われているものの、形骸化していることも多いということで、「結局は自分に被害が来ることになってしまう。本当に対策をどこまでやっているのか。個人情報の取り扱いだけでなく、システムも含めて、より踏み込んで委託先のセキュリティーの状況を監督していくことが重要だ」と指摘しています。

三輪さんは、今回被害が拡大した要因の一つにデータの保管方法にも問題がある可能性を指摘していて、「顧客の個人情報を大量に扱うネットワークは、基本的に独立したものにするのが常識だ。できれば顧客ごとにコンピューターをしっかり分けてアクセス制御まで行ってほしい。仮に別の端末が感染しても被害が広がらないよう、慎重な取り扱いをすべきだ。しっかりとネットワークを分けていれば、ここまでの被害にはならなかったのではないか」としています。

三輪さんは、今回情報が漏えいした被害者はさらなる攻撃の標的になる可能性があるとしていて、「8Baseはフィッシングメールを得意としているグループなので、個人情報とメールアドレスが漏れていた場合は悪用される可能性は高いと思う。個人情報が加わることで、より引っかかりやすい詐欺メールを送ることが可能になるので、より一段と注意が必要だ」と話しています。