社労士向けクラウド「社労夢」が不正アクセスに関する調査結果を発表
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止していた件に関して、同システムを運営しているエムケイシステム(本社:大阪市)は、7月19日付で、これまでの調査で明確になった事実を取りまとめて正式に発表しました。

結果的には「一切の情報漏えいは確認できなかった」ということになりました。特にマイナンバーは別管理をしていたから漏えいの可能性は一切ないという発表です。

以下、同社の公表内容を要約します。

6月5日 同社の複数のサーバー上のデータが暗号され、システムが停止
   (ユーザー数3400)
    ランサムウェアによる被害と判明、ネットワークを遮断して対処
    外部の情報セキュリティ専門会社に対応要請
6月6日 大阪府警に連絡
    Webサイトに情報を掲載
6月8日 個人情報保護委員会へ速報
6月9日 Webサイトに情報を掲載
6月21日 Webサイトに情報を掲載
6月30日 一部サービスを再開
7月19日 個人情報保護委員会へ確報
    Webサイトに情報を掲載

外部の第三者による侵入経路、不正アクセスの影響を受けたサーバー機器、侵害状況と漏えいの恐れのある情報範囲については、いずれも調査の結果判明しているとのことですが、「今後のことを考慮して」非公表としています。

また、情報が外部に漏えいした可能性は完全には否定できないものの、これまでの調査の結果では漏えいの痕跡は確認できておらず、またダークウェブなどにも掲載されていないとのことです。

エムケイシステム社
「当社サーバへの不正アクセスに関する調査結果のご報告(第3報) 」
https://contents.xj-storage.jp/xcontents/AS97180/813d570f/5138/4bc7/a113/f4837598df38/140120230719524126.pdf

(以前の記事)
6月13日付 社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面障害〜1000万人マイナンバーは無事か?〜
6月20日付 社労士向けクラウド「社労夢」不正アクセス事件の続報〜1000万人マイナンバーは無事と弁明〜
7月6日付 社労士向けクラウド「社労夢」がサービス再開〜情報流出はなかったらしい〜

(私のコメント)
「1000万人マイナンバーが危機にさらされているのかも知れない」と、大きな危惧を持ってこの事件に注目してきましたが、一応の収束を得ました。情報漏えいはなかった、特にマイナンバーに関しては漏えいは確実になかったとのことで、ホッとしました。(侵入してデータ暗号化までしておいて、持ち出さなかったとは、攻撃者が初心者でミスしたのかもしれません)

そして、同社は事件発覚から1か月半で、個人情報保護委員会への確報までたどり着いていて、振り返ってみると意外と短い期間で収束させたということになります。しかし、その過程において、今回の事件ほど混乱と不透明性が伴ったことはないという感想を持ちました。これは何だったのでしょうか?

それは同社の広報体制が「最低限のことしか公表しない」「報道機関の取材にも協力しない」というスタンスであったことにあると思います。

「これは事件であり、捜査にも影響するから今は言えません」「マイナンバーは別システムで管理しており、今のところ攻撃された痕跡は確認されていません」というようなことだけでも対外的にきちんと説明していれば、もう少し不安は解消されたと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。




週に一回程度、更新情報をお届けします

こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)

メンバー募集

オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!

✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報

興味がある方、ぜひこちらからご連絡ください!