「イセトー」個人情報漏えい１５０万件近くのおそれ

07月05日　17時13分

和歌山市など、全国の自治体や企業から印刷業務などを請け負っている京都市の「イセトー」がサイバー攻撃を受け、被害は委託元にも広がっています。
これまでに市民や企業の情報など、少なくとも１５０万件近くの個人情報が漏えいしたおそれがあることがわかりました。

情報処理サービスなどを展開する京都市の「イセトー」は、ことし５月に社内の一部のサーバーやパソコンのファイルが、暗号化され身代金要求型のコンピューターウイルス＝ランサムウエアによるサイバー攻撃を受けたと発表しました。
和歌山市もこの会社に、市民へ納税額などを知らせる通知書の印刷を委託していて、今月（７月）には、令和５年度の住民税の特別徴収の対象者の情報、１５万１４２１件が漏えいしていたことが会社からの連絡で分かっています。
複数のセキュリティー会社によりますと、先月には「８Ｂａｓｅ」を名乗るハッカー集団が犯行声明を発表したうえで、盗み取ったとするデータを公開しました。
イセトーが調べたところ、公開された情報は社内から流出したもので、中には、顧客の情報も含まれていることが判明したということです。
これを受けて、イセトーに業務を委託していた全国の自治体や企業などが被害を相次いで発表しています。
このうち自治体は▼和歌山市に加えて、▼愛知県豊田市、▼徳島県などで、さらに企業や団体も被害を公表していて、ＮＨＫがまとめたところ、一連の事案で漏えいしたおそれのある個人情報は、少なくとものべ１５０万件近くに上っています。
イセトーはＮＨＫの取材に対して「お客様対応を最優先に対応しているので、取材や問い合わせは、遠慮していただくようご理解をお願いする」などとコメントしています。

【健康保険委託も情報漏えいなしと報告】
和歌山市によりますと、この会社には、国民健康保険の保険証などの印刷業務も委託していましたが、会社からは、国民健康保険に関する情報の漏えいはなかったと報告があったということです。
和歌山市によりますと、イセトーには今回、個人情報の漏えいが明らかになった住民税の納税額の通知書に加えて、国民健康保険の被保険者証などの印刷業務も委託していたということです。
今回の問題が明らかになったあと市がイセトーに対し、改めて問い合わせたところ、国民健康保険に関する情報の漏えいはなかったと報告があったということです。

一方、和歌山市には市民などから５日午後３時までに３５件の問い合わせが寄せられたということです。
今のところ具体的な被害の報告はなく、苦情が大半だということです。
和歌山市では、問合せは、市民税課までお願いしたいとしています。
和歌山市市民税課の柳本真也課長は「多大なご心配とご迷惑をおかけし申し訳ありません。事業者の管理の徹底と個人情報の適正な管理につとめます」と話しています。

【専門家“委託先の監督を”】
セキュリティー会社「Ｓ＆Ｊ」によりますと、イセトーへの攻撃を主張している「８Ｂａｓｅ」を名乗るハッカー集団は、２０２２年に活動が確認されて以降、北アメリカや中南米などをターゲットとしてきましたが、最近になって日本の中小企業を相次いで攻撃しているということです。
８Ｂａｓｅは攻撃のとっかかりとして、主にフィッシングメールを使うことでも知られていて、アクセス権限を奪うなどしてネットワークに侵入。
最終的には身代金要求型のコンピューターウイルス、ランサムウエアを感染させ、データを暗号化します。
そして、解除と引き換えに身代金を要求します。
ときには、被害者への脅迫などを目的に盗んだデータをネット上の闇サイトで公開することもあります。
三輪信雄社長は「詳しい犯人像は明らかになっていないが旧ソ連の国々への攻撃は一切行っていないうえ、ロシア語を使っていることまではわかっており、ロシア語圏の犯罪グループと考えてもいい」と話しています。
また、三輪さんは今回の事件について「個人情報を大量に委託していた先、すなわちサプライチェーンからの漏えいがこれほど大きなものになったことは非常に珍しい」と指摘し、サイバー攻撃によって、取引先などほかの組織にも被害が及ぶサプライチェーンのリスクが浮き彫りになったという認識を示しました。
また、対策については、三輪さんによりますと、委託先のセキュリティー対策を確認することは、すでに広く行われているものの、形骸化していることも多いということで「結局は自分に被害がくることになってしまう。本当に対策をどこまでやっているのか。個人情報の取り扱いだけでなくシステムも含めてより踏み込んで委託先のセキュリティーの状況を監督していくことが重要だ」と指摘しています。
また、三輪さんは、今回被害が拡大した要因のひとつに、データの保管方法にも問題がある可能性を指摘していて「顧客の個人情報を大量に扱うネットワークは基本的に独立したものにするのが常識だ。できれば顧客ごとにコンピューターをしっかり分けてアクセス制御まで行ってほしい。仮に別の端末が感染しても被害が広がらないよう慎重な取り扱いをすべきだ。しっかりとネットワークを分けていればここまでの被害にはならなかったのではないか」としています。
また、三輪さんは今回、情報が漏えいした被害者はさらなる攻撃の標的になる可能性があるとしていて「８Ｂａｓｅはフィッシングメールを得意としているグループなので個人情報とメールアドレスが漏れていた場合は悪用される可能性は高いと思う。個人情報が加わることでよりひっかかりやすい詐欺メールを送ることが可能になるのでより一段と注意が必要だ」と話しています。