大和ハウス工業の子会社でフィットネスクラブ事業を手掛けるスポーツクラブNAS(東京都千代田区)は6月16日、会員情報の管理に使っていたサーバがランサムウェアに感染し、個人情報など15万544件が暗号化されたと発表した。何らかの方法で認証を突破され、サーバに不正アクセスされたという。同日時点では情報が流出し、悪用された例は確認していないとしている。
暗号化された可能性があるのは、2001年9月から21年4月にかけて「スポーツクラブNAS中山」など同社が運営するフィットネスクラブ9店舗に入会・利用した顧客15万84人の氏名、住所、生年月日、メールアドレス、口座情報、勤務先の住所など。うち3万4920人はクレジットカード情報も暗号化された。従業員460人の氏名や生年月日も被害に遭った。
ただしクレジットカード情報については、14年2月11日以降は同サーバとは別のシステムに登録していたため、情報が暗号化されたものは全て有効期限が切れていたという。セキュリティコードも暗号化されなかったとしている。
スポーツクラブNASによれば、不正アクセスを行ったとみられる人物からデータを復旧するには専用ツールの購入が必要とのメッセージを受け取ったものの、6月16日時点では身代金の要求などは受けていないという。
同社は再発防止策として、端末に異常を検知したときに、ネットワークを遮断して被害を抑えるセキュリティソフトを導入。今後は個人情報が暗号化された顧客への説明を進める他、専門会社のアドバイスを受けつつセキュリティの強化に努めるとしている。
同社が攻撃に気付いたのは4月2日。同日午前8時ごろに会員情報の管理システムに障害が発生し、調査したところ、ランサムウェアに感染した可能性が発覚。サーバをネットワークから切断し、状況を調査したところ、保存していたデータが暗号化されたことが分かった。
その後は14日に詳細を個人情報委員会に報告。5月28日には過去に使っていたサーバのバックアップなどを基に被害の規模を特定し、6月4日に警察に相談した。発表が遅れた理由は、情報漏えいの有無や被害状況の確認に時間がかかったためとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR