個情委、ランサムウェアで約1カ月停止の社労士向けクラウド提供元に指導 「管理者権限のパスワード類推可能」「深刻な脆弱性が残存」【お詫びと訂正】
個人情報保護委員会が、社会保険労務士向けクラウドサービス「社労夢」を提供するエムケイシステム(大阪市)に対し、個人情報保護法に基づく指導を行ったと発表した。
個人情報保護委員会は3月25日、社会保険労務士向けクラウドサービス「社労夢」を提供するエムケイシステム(大阪市)に対し、個人情報保護法に基づく指導を行ったと発表した。
同社は2023年6月、ランサムウェア攻撃を受け、サービスが約1カ月停止するなどの被害に遭っていた。サービスを導入する社労士法人や民間企業からは、エムケイシステムから報告を受けての発表も相次いでいた。
【訂正:2024年3月28日午後3時48分 記事掲出当初、漏えいの事実があると受け取れるような記載をしていましたが、エムケイシステムから個人情報保護委員会への報告は「漏えいのおそれ」に基づくものであり、漏えいの事実は確認されておりませんでした。お詫びして訂正いたします。】
個人情報保護委員会によれば、漏えいのおそれがあるとして23年6月から24年3月25日までに受領した報告件数は3067件、人数にして749万6080人分に上るという。内訳は、社労士事務所などが2459件(672万4609人分)、顧問先事業者が404件(39万2125人分)、企業が204件(37万9346人分)。
個人情報保護委員会はエムケイシステムの安全管理措置に不備があったと指摘。例えば「ユーザーのパスワードルールが脆弱であったこと、また、管理者権限のパスワードも脆弱であり類推可能であったことから、アクセス者の識別と認証に問題があった」という。
さらに「また、ソフトウェアのセキュリティ更新が適切に行われておらず、深刻な脆弱性が残存されていただけでなく、ログの保管、管理及び監視が適切に実施されておらず、不正アクセスを迅速に検知するには至らなかったことから、外部からの不正アクセス等の防止のための措置についても問題があった」などの問題点を挙げている。
エムケイシステムに対しては、再発防止策の確実な実施と継続的な安全管理、さらにその実施情報を4月26日までに報告することを求めた。
関連記事
- 「復旧めど立たず」 クラウドベンダーがランサムウェア被害に 8サービスがダウン、約4日経過
クラウドベンダーのエムケイシステムが提供するサービスで障害が発生している。6月5日から9日午後6時半現在まで、8サービスが利用しにくい状況だ。原因はランサムウェア攻撃という。 - 「ユーザーの大半にサービス提供できない」 社労士向けシステムのランサムウェア被害、発生から2週間たつも完全復旧せず
社労士向けクラウドサービス「社労夢」を提供するエムケイシステムは6月21日、ランサムウェア攻撃による障害への対応状況を発表した。5日から複数のサービスで障害が発生しており、21日時点で完全復旧に至っていない。「当社の約3400ユーザーの大半にサービス提供できない状況」(同社)という。 - マイナンバー漏えいの可能性明かす企業も 社労士向けシステムへのランサムウェア攻撃、ユーザーへの影響広がる
影響が長引くエムケイシステムへのランサムウェア攻撃。社労士向けサービスや勤怠サービスを導入する企業や社労士法人からは、業務への影響や情報漏えいの可能性に関する発表が相次いでいる。 - Intel、nmではない新命名法でのロードマップを発表 次は「Intel 7」に
Intelがnm(ナノメートル)命名法をやめ、第12世代Alder Lakeは「Intel 7」になる。ゲルシンガーCEOがプロセッサのロードマップを発表した。Intel 7の4世代先の「Intel 20A」では新たなトランジスタアーキテクチャ「RibbonFET」を採用する。 - ランサムウェアで約1カ月停止の社労士向けクラウド、サービスを一部再開 開発中のAWS版を急きょ改修
社労士向けクラウドサービス「社労夢」を提供するエムケイシステムが、ランサムウェア攻撃によって停止していたサービスの提供を一部再開。AWS上で開発中だったバージョンを急きょ改修し、暫定版としてリリースした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.