奈良県の生協・ならコープ(奈良市)は1月18日、2022年10月に受けたサイバー攻撃により、組合をすでに脱退した人を含む約49万人の個人情報が漏えいした可能性があると発表した。18日時点では、実際の漏えいや不正利用は確認していないとしている。
漏えいの可能性があるのは、2022年10月8日までに加入した48万9085人の組合員番号、氏名、住所、電話番号、生年月日、性別、メールアドレス、引き落とし口座情報、購入履歴、出資金情報。クレジットカード情報は含まれていないという。
攻撃を受けたのは22年10月9日。基幹システムのサーバなどに不正に侵入され、内部のデータをほとんど暗号化されたという。組合員の情報も対象だった。これにより、当時は商品の個人配達やクレジットカード決済の中止といったトラブルが起こっていた。
影響範囲の判明を受け、ならコープは23日から情報が漏えいした可能性のある人への連絡を開始する。住所が分かっている人に、郵送で告知するという。
攻撃から漏えいした可能性のある情報の発表まで、3カ月以上かかった理由については「不確定な情報により混乱を避けるため、慎重に調査していた。調査に時間を要したことをおわびする」としている。
今後の再発防止策も発表した。多要素認証やアクセス制御によってVPNへの不正侵入を防止する他、従業員が使う端末を監視し、不審な動きがあれば通知する「EDR」(Endpoint Detection and Response)を採用し、セキュリティを強化するという。従業員への教育や、バックアップの保護といった対策も講じる。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR