セイコー、ランサムウェアで約6万件の個人情報漏えい 取引先や採用応募者の情報も：セキュリティニュースアラート

セイコーグループはランサムウェア攻撃に遭い、約6万件の個人情報が漏えいしたと発表した。グループ内の個人情報に加え、取引先や採用応募者の情報なども漏えいしたと説明している。

[後藤大地，有限会社オングス]

　セイコーグループは2023年10月25日、同社を標的に実行されたランサムウェア攻撃について第3報を発表し、詳細な情報を公開した。

　同社は、2023年7月28日に第三者による自社サーバへの不正アクセス被害を確認しており、同年8月10日にはその事実を公表していた。

セイコーグループはランサムウェア攻撃被害について詳細な情報を公開した（出典：セイコーグループのWebサイト）

グループの個人情報約6万件が漏えい　取引先や採用応募者情報も

　セイコーグループは2023年7月28日、グループ内の一部のサーバに第三者による不正アクセスが確認されたとし、データセンターに設置されたサーバに対して緊急点検を実施、同年8月2日に外部のセキュリティ専門機関に調査を依頼した。その結果、不正アクセスを受けたサーバに保管されていたセイコーグループの情報の一部が流出した可能性があると説明した。

　同社は2023年8月22日に、インシデントに関する第2報を発表し、原因がランサムウェア攻撃によるものだと公表した。不正侵入を受けてセイコーグループの従業員や関係者の一部情報が漏えいしたという。セイコーグループは対策本部を設置するとともに、複数の外部の専門家に対応支援を依頼し、個人情報保護委員会への報告および警察への相談を実施している。

　今回のランサムウェア攻撃によって漏えいしたデータは以下の通りだ。

• セイコーグループやセイコーウオッチ、セイコーインスツルが保有する約6万件の個人情報。個人情報には顧客の氏名や住所、電話番号、電子メールアドレスなどが含まれる。報告によるとクレジットカード情報は含まれていない
• セイコーグループやセイコーウオッチ、セイコーインスツルの取引先担当者の氏名や会社名、役職名、会社住所、会社電話番号、会社の電子メールアドレス
• セイコーグループやセイコーウオッチ、セイコーインスツルの採用応募者の氏名や住所、電話番号、メールアドレス、学歴など
• セイコーグループ及び同社グループ会社の従業員や退職者の氏名、人事情報、メールアドレスなど

　セイコーグループは不正アクセスを受けた後、外部との通信を遮断し、EDR（Endpoint Detection and Response）を全てのサーバおよびPCに早急に導入したのに加え、多要素認証による不正アクセス防止措置を取ったとしている。

　今後もIT機器の脆弱（ぜいじゃく）性調査や情報漏えい範囲の特定、原因の追究、セキュリティ強化および監視、IT運営や体制の見直し、全グループでのガバナンスの強化、事業継続計画（BCP）の見直し、第三者評価を実施し、再発防止に向けた取り組みを進める計画だ。