卒業アルバムの写真など17万件漏えいのおそれで印刷会社が経緯説明 侵入はVPN経由、公表の遅れは「納期を守る措置を優先してしまった」
卒業アルバムに使用した生徒の写真や氏名など個人情報が漏えいした可能性がある問題で、不正アクセスを受けた斎藤コロタイプ印刷が24日付で調査結果を報告した。
卒業アルバムに使用した生徒の写真や氏名など個人情報が漏えいした可能性がある問題で、不正アクセスを受けた斎藤コロタイプ印刷(宮城県仙台市)が4月24日付で調査結果を報告した。VPN経由でランサムウェア攻撃を受けていた。
漏えいの可能性があるのは、2023年度(24年3月卒業)に制作した卒業・卒園アルバムのために入稿された写真や個人名を含むテキストなど。該当する学校の数や人数については触れていないが、4月11日時点の各社報道では、30都道府県の約2000校、約17万3000件とされている。
事態が発覚したのは24年7月。工場でネットワーク接続の異常を確認し、関連システムを停止して内部調査を行ったところ、ランサムウェア攻撃の可能性が浮上した。
同年9月から11月にかけて専門業者によるデジタルフォレンジック調査を実施したところ、第三者がVPN接続機器を経由し、工場の「業務系ネットワーク」に不正アクセスしていたことが分かった。何らかの原因で漏えいしたパスワードが利用されたか、機器の脆弱性をついて不正侵入されたかのいずれかとみている。
その後、共用しているログオン認証サーバ内のユーザー情報を用いてアルバム制作業務を行う「制作系ネットワーク」にも侵入され、全体の約2.5%に相当するデータが暗号化された。これらデータのダウンロードは確認していないが、サーバ上の個人情報を第三者が閲覧した可能性は残るという。
同社は対策として、原因となった業務系ネットワークに対するVPN接続を廃止。リモート作業が必要な制作系ネットワークはVPN接続にハードウェアトークンによる2要素認証を導入した。
この他、1)パスワードポリシーをより複雑な条件に変更し全ユーザーで変更、2)UTM(ファイアウォールなど複数のセキュリティ機能を提供する機器)の脆弱性対策、3)UTMのアクセスログを外部へ保存する体制を構築、4)接続回線のグローバルIPアドレスを変更、5)社内教育の刷新などの対策を挙げている。
なお、事態が発覚してから公表までに約10カ月を要した点については「翌年度(24年度)のアルバム制作作業を出来得る限り安全な環境で進めるための対応と、その納期を厳守するための措置を優先させてしまった」と説明している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
JAXA、23年の不正アクセス詳細公表 VPN機器の脆弱性突かれ、Microsoft 365のアカウント情報など盗まれていた
JAXAが昨年の不正アクセスについて説明。VPN機器の脆弱性を狙った攻撃による不正アクセスを受け、職員の個人情報を含む一部の情報が漏えいしていたと発表した。
JT流通子会社のシステム障害、公表から5日経過も復旧できず 販売店は在庫減少か
日本たばこ産業子会社のTSネットワークで、4月中旬に発生した物流システムの障害が長引いている。たばこ販売店では、在庫の減少から販売個数を制限する例も出てきた。
届くはずのコメが半分に? 返金を選ぶと追徴課税の可能性──吉備中央町ふるさと納税で起きたこと
岡山県吉備中央町のふるさと納税で、返礼品としてお米を受け取る予定だった人たちが、理不尽にもみえる二択を迫られて憤っている。
アスキー創業者の西和彦さん、破産手続きの終了を報告
アスキーを創業し、米Microsoftの副社長も務めた西和彦さんが23日、破産手続きが終了したと報告した。
ゲオの「PS5レンタル」絶好調 物価高の時代に“昔のビデオレンタル屋さんスキーム”が光明に?
ゲオが2月末に始めたPS5のレンタルサービスが好調だ。開始1カ月時点で「およそ半数の店舗でほぼ100%稼働」しているという。サービスを始めたきっかけや背景について担当者に話を聞いた。