セイコーグループ株式会社(東京都中央区)が今年7月に受けたランサムウェア攻撃により6万件の個人データが外部に流出したことを明らかにしました。同社は「EDR(Endpoint Detection and Response)の全サーバ及び全 PC への導入を早急に進め、多要素認証等により不正アクセスを防止する措置を講じている」としています。
採用応募者の電話番号や学歴も
セイコーグループ株式会社が10月25日に発表したプレスリリースによると、漏えいが確認された個人データは、①セイコーウオッチ株式会社の顧客の氏名、住所、電話番号、メールアドレス等②セイコーグループ株式会社、セイコーウオッチ株式会社及びセイコーインスツル株式会社の取引先担当者の氏名、会社名、役職名、会社住所、会社電話番号、会社メールアドレス等③セイコーグループ株式会社及びセイコーウオッチ株式会社の採用応募者の氏名、住所、電話番号、メールアドレス、学歴等④セイコーグループ株式会社及び同グループ会社の従業員及び退職者の氏名、人事情報、メールアドレス等で、漏えいした個人データは計6万件に及ぶということです。
セイコーグループ株式会社は7月28日に一部サーバに対する不正アクセスを検知したことからデータセンターのサーバの緊急点検を実施するとともに、セキュリティ専門会社に対応支援を依頼したということです。その後、ランサムウェア攻撃と判明したことから対策本部を設置して被害拡大の防止に努めるとともに被害の全容解明、システム復旧の対応を進めてきたということです。また、個人情報保護委員会に報告をするとともに警察にも相談をしているということです。
セイコーへのランサムウェア攻撃をめぐっては、セイコーが8月10日にプレスリリースを発表し、7月28日に不正アクセスを受けたことを明らかにしましたが、その際はランサムウェア攻撃とは明らかにしていませんでした。その後、8月21日にBlackCat(別名ALPHV)ランサムウェアのリークサイトが更新され、被害者リストにセイコーグループが追加されたことがBlackCat(別名ALPHV)ランサムウェアのリークサイトを監視しているサイバーセキュリティの研究者らによって発信されました。セイコーは8月22日に第2報となるプレスリリースを発表してランサムウェア攻撃であったことを明らかにするとともに情報漏えいについても認めました。そして、10月25日に第3報となるプレスリリースを発表して漏えいした個人データの詳細と件数を発表したのがこれまでの経緯です。
サーバ、PCへのEDR導入を早急に進める
リークサイトにはセイコーの特許技術や内部構造を示す図面、デザインなどを含むサンプルデータの一部など製品や製品開発に関わるデータも投稿されているとの報道もありますが、今回のセイコーの発表では漏えいした個人データの中身と個人データの漏えいは6万件ということで、個人データ以外のデータの漏えいがあったのかどうかについて明らかでなく不明です。また、個人データが漏えいした顧客に対しては個別に対応することを明らかにしていますが、個人データの漏えいから顧客をどのように保護するのかについて具体的な記載はありません。海外では企業が漏えいした個人データの監視をするプログラムを顧客に無償で提供して対応するようなケースも見受けられます。
セイコーグループ株式会社では今後の対応として、引き続き外部専門家等の第三者の助言のもと、①IT 機器の脆弱性調査、②情報漏えい範囲の特定、③原因の追究等、本件不正アクセス被害の全容解明を行うとともに、④セキュリティ強化及び監視、⑤IT 運営や体制の見直し、⑥全グループでのガバナンスの強化、⑦BCP(事業継続計画)の見直し、⑧第三者評価の実施等を行い、再発防止に向けた取り組みを進めていくとしています。また、EDRの全サーバ及び全 PC への導入を早急に進め、多要素認証等により不正アクセスを防止する措置を講じているとしています。
■出典
https://www.seiko.co.jp/information/202310251000.html