京都府の西脇知事が陳謝 自動車税の納税者の情報流出で

京都府の自動車税に関する納税通知書の作成を委託されていた京都市の会社のサーバーがコンピューターウイルスに感染し、個人情報が流出した問題で、京都府の西脇知事は記者会見で「このような事態が発生し、府民の皆さんにご心配をおかけして深くおわび申し上げる」と陳謝しました。

この問題は、情報処理サービスなどを手がける京都市の会社「イセトー」が「ランサムウエア」と呼ばれる身代金要求型のコンピューターウイルスに感染し、業務を委託していた自治体が情報の流出を相次いで発表しているものです。
京都府は、自動車税の納税通知書の作成を別の民間企業に委託していましたが、委託先の企業が「イセトー」に一部の業務を再委託し、１５９人分の氏名や車両番号が流出したおそれがあります。
これについて西脇知事は、５日の定例の記者会見で「このような事態が発生し、府民の皆さんにご心配をおかけして深くおわび申し上げる」と陳謝しました。
そのうえでこの会社に対して、情報管理の徹底や再発防止策などを求めたことを明らかにしました。

【「イセトー」個人情報漏えい１５０万件近くのおそれ】
全国の自治体や企業から印刷業務などを請け負っている京都市の「イセトー」がサイバー攻撃を受け、被害は委託元にも広がっています。
これまでに市民や企業の情報など、少なくとも１５０万件近くの個人情報が漏えいしたおそれがあることがわかりました。

情報処理サービスなどを展開する京都市の「イセトー」は、ことし５月に社内の一部のサーバーやパソコンのファイルが暗号化され身代金要求型のコンピューターウイルス＝ランサムウエアによるサイバー攻撃を受けたと発表しました。
複数のセキュリティー会社によりますと、先月（６月）には「８Ｂａｓｅ」を名乗るハッカー集団が犯行声明を発表したうえで、盗み取ったとするデータを公開しました。
イセトーが調べたところ、公開された情報は社内から流出したもので、中には、顧客の情報も含まれていることが判明したということです。
これを受けて、イセトーに業務を委託していた全国の自治体や企業などが被害を相次いで発表しています。
このうち自治体では、▼愛知県豊田市が、新型コロナの予防接種券や軽自動車税の納税者などの個人情報、１０３万５０００件余り、▼徳島県は自動車税の納税者などの個人情報がおよそ２０万件、▼和歌山市は住民税の納税者の個人情報１５万１０００件余りが流出したと発表しています。
また、企業や団体では、▼大手機械メーカー「クボタ」が顧客の利用・請求明細など、６万１０００件余り、▼京都商工会議所が会員企業の個人情報４万１０００件余りの流出を公表しているほか、▼公文教育研究会、▼三菱ＵＦＪ信託銀行、▼三井住友海上あいおい生命、▼伊予銀行なども被害を公表しています。
ＮＨＫがまとめたところ、一連の事案で漏えいしたおそれのある個人情報は、少なくとものべ１５０万件近くに上っています。
イセトーはＮＨＫの取材に対して「お客様対応を最優先に対応しているので、取材や問い合わせは、遠慮していただくようご理解をお願いする」などとコメントしています。

【専門家“委託先の監督を”】
セキュリティー会社「Ｓ＆Ｊ」によりますと、イセトーへの攻撃を主張している「８Ｂａｓｅ」を名乗るハッカー集団は、２０２２年に活動が確認されて以降、北アメリカや中南米などをターゲットとしてきましたが、最近になって日本の中小企業を相次いで攻撃しているということです。
８Ｂａｓｅは攻撃のとっかかりとして、主にフィッシングメールを使うことでも知られていて、アクセス権限を奪うなどしてネットワークに侵入。
最終的には身代金要求型のコンピューターウイルス、ランサムウエアを感染させ、データを暗号化します。
そして、解除と引き換えに身代金を要求します。
ときには、被害者への脅迫などを目的に盗んだデータをネット上の闇サイトで公開することもあります。
三輪信雄社長は「詳しい犯人像は明らかになっていないが旧ソ連の国々への攻撃は一切行っていないうえ、ロシア語を使っていることまではわかっており、ロシア語圏の犯罪グループと考えてもいい」と話しています。
また、三輪さんは今回の事件について「個人情報を大量に委託していた先、すなわちサプライチェーンからの漏えいがこれほど大きなものになったことは非常に珍しい」と指摘し、サイバー攻撃によって、取引先などほかの組織にも被害が及ぶサプライチェーンのリスクが浮き彫りになったという認識を示しました。
また、対策については、三輪さんによりますと、委託先のセキュリティー対策を確認することは、すでに広く行われているものの、形骸化していることも多いということで「結局は自分に被害がくることになってしまう。本当に対策をどこまでやっているのか。個人情報の取り扱いだけでなくシステムも含めてより踏み込んで委託先のセキュリティーの状況を監督していくことが重要だ」と指摘しています。
また、三輪さんは、今回被害が拡大した要因のひとつに、データの保管方法にも問題がある可能性を指摘していて「顧客の個人情報を大量に扱うネットワークは基本的に独立したものにするのが常識だ。できれば顧客ごとにコンピューターをしっかり分けてアクセス制御まで行ってほしい。仮に別の端末が感染しても被害が広がらないよう慎重な取り扱いをすべきだ。しっかりとネットワークを分けていればここまでの被害にはならなかったのではないか」としています。
また、三輪さんは今回、情報が漏えいした被害者はさらなる攻撃の標的になる可能性があるとしていて「８Ｂａｓｅはフィッシングメールを得意としているグループなので個人情報とメールアドレスが漏れていた場合は悪用される可能性は高いと思う。個人情報が加わることでよりひっかかりやすい詐欺メールを送ることが可能になるのでより一段と注意が必要だ」と話しています。