BPOサービスを提供しているイセトーが今年5月にランサムウェア攻撃を受けたが、その被害が国内の企業・官公庁に広がっている。同社に業務を委託するため提供していた個人情報が流出の危機にさらされているのだ。
イセトーは5月29日、5月26日に同社の複数のサーバとPCがランサムウェアの被害を受け、データが暗号化されていることを確認したと発表。その後、7月3日、攻撃者グループのリークサイトにおいて公開された情報が、同社のサーバから流出したものであること、流出した情報の中に取引先の顧客の個人情報が含まれていることを確認したが、ダウンロードファイルは消失しており、ダウンロードができない状態となっていることを確認したと発表した。
イセトーがランサムウェア攻撃を受けたことで、同社に業務を委託していた企業のデータも漏出の被害を受けた格好だ。中には、自社が委託していた業者がイセトーにさらに業務を下請けのイセトーに委託していたことで、被害を受けている企業もある。自社のセキュリティがいかに安全だったとしても、サイバー攻撃の被害を受ける可能性があるという、サプライチェーンのリスクを突かれた攻撃といえる。以下、イセトーのランサムウェア攻撃に伴う被害について発表を行った企業だ。
日本生命
7月2日、拠出型企業年金保険の加入者(1 団体・11 名)の名前、生年月日、性別、加入内容などが漏えいしていることが判明したと発表された。企業型確定拠出年金のご加入者情報も漏洩の可能性があるが、同日時点で、漏洩は確認されていない。
公文教育研究会
公文教育研究会は6月29日、委託先であるイセトーが、ランサムウェアによるサーバ攻撃を受けて個人情報が漏洩したと発表。氏名、 住所、 電話番号、会員番号、「iKUMONサイト」の認証コード、セキュリティコードといった会員情報が漏洩したという。
クボタ
クボタは7月1日、同社グループの信販会社であるクボタクレジットが利用明細等の印刷・発送を委託しているイセトーがランサムウェアに感染し、顧客の個人情報が漏えいしたことが判明したと発表。
6万1,424名の顧客の氏名、住所、利用・請求明細(商品名、金額、支払回数等)、引落口座情報の一部(金融機関名、名義、特定できないように数ケタを伏字に加工した口座番号が含まれているという。
三菱UFJ信託銀行
三菱UFJ信託銀行は確定拠出年金に関する記録関連業務の委託先である日本レコード・キーピング・ネットワークから帳票等の印刷・発送業務を委託しているイセトーがランサムウェア被害を受けたことが判明したと発表。
暗号化され、窃取された疑いのあるデータの一部に、同社の顧客情報(主に郵便番号、住所、氏名)が含まれている可能性があるとの報告を受けたという。
マニュライフ生命
マニュライフ生命は7月2日、顧客を対象とした発送業務の一部を委託しているイセトーが受けたランサムウェア攻撃により、2022年9月末から同年10月初旬に、電子申込で手続きしたデータの一部(1,082件)が漏洩したと発表した。
三井住友海上あいおい生命保険
三井住友海上あいおい生命保険は6月7日、業務委託先であるイセトーから、データを暗号化・窃取された疑いがあるデータの一部に、同社の顧客情報(主に郵便番号、住所、氏名)が含まれている可能性があるとの報告を受けたと発表した。
東京都教育委員会
東京都教育委員会は6月17日、教育庁から「就学支援金受給資格認定審査等に係る運用業務委託」を受託している事業者の再委託先であるイセトーにおいて、ランサムウェア被害が発生し、生徒等の個人情報が流出した可能性があると発表。
流出の可能性がある個人情報は、令和5年度の就学支援金受給資格認定審査等に係る生徒19名およびその保護者18名の個人情報(生徒の氏名・在籍高校・課程・学年・就学支援金審査結果、保護者の住所・氏名等)とのこと。
徳島県、広島県、山口県
徳島県は6月6日、納税通知書等作成業務を委託しているイセトーから令和5年度自動車税種別割納税通知書96件(88名)が漏洩した恐れがあると発表。
広島県は7月2日、流出の恐れがある個人情報として、令和5年度に印刷用に事業者に提供した個人事業税と自動車税種別割に係る住所・氏名等のデータ101件を発表。
山口県は7月2日、イセトーのランサムウェア攻撃により、令和4年度自動車税種別割の催告書のPDFファイル(14件)が流出したと発表。住所、氏名等詳細は不明とのこと。
