プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

タグ:個人情報漏えい

本ページは下記に移転しました。

https://www.optima-solutions.co.jp/support_article/samurai-20230926/

社労士向けクラウド「社労夢」が不正アクセスに関する調査結果を発表
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止していた件に関して、同システムを運営しているエムケイシステム(本社:大阪市)は、7月19日付で、これまでの調査で明確になった事実を取りまとめて正式に発表しました。

結果的には「一切の情報漏えいは確認できなかった」ということになりました。特にマイナンバーは別管理をしていたから漏えいの可能性は一切ないという発表です。

以下、同社の公表内容を要約します。

6月5日 同社の複数のサーバー上のデータが暗号され、システムが停止
   (ユーザー数3400)
    ランサムウェアによる被害と判明、ネットワークを遮断して対処
    外部の情報セキュリティ専門会社に対応要請
6月6日 大阪府警に連絡
    Webサイトに情報を掲載
6月8日 個人情報保護委員会へ速報
6月9日 Webサイトに情報を掲載
6月21日 Webサイトに情報を掲載
6月30日 一部サービスを再開
7月19日 個人情報保護委員会へ確報
    Webサイトに情報を掲載

外部の第三者による侵入経路、不正アクセスの影響を受けたサーバー機器、侵害状況と漏えいの恐れのある情報範囲については、いずれも調査の結果判明しているとのことですが、「今後のことを考慮して」非公表としています。

また、情報が外部に漏えいした可能性は完全には否定できないものの、これまでの調査の結果では漏えいの痕跡は確認できておらず、またダークウェブなどにも掲載されていないとのことです。

エムケイシステム社
「当社サーバへの不正アクセスに関する調査結果のご報告(第3報) 」
https://contents.xj-storage.jp/xcontents/AS97180/813d570f/5138/4bc7/a113/f4837598df38/140120230719524126.pdf

(以前の記事)
6月13日付 社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面障害〜1000万人マイナンバーは無事か?〜
6月20日付 社労士向けクラウド「社労夢」不正アクセス事件の続報〜1000万人マイナンバーは無事と弁明〜
7月6日付 社労士向けクラウド「社労夢」がサービス再開〜情報流出はなかったらしい〜

(私のコメント)
「1000万人マイナンバーが危機にさらされているのかも知れない」と、大きな危惧を持ってこの事件に注目してきましたが、一応の収束を得ました。情報漏えいはなかった、特にマイナンバーに関しては漏えいは確実になかったとのことで、ホッとしました。(侵入してデータ暗号化までしておいて、持ち出さなかったとは、攻撃者が初心者でミスしたのかもしれません)

そして、同社は事件発覚から1か月半で、個人情報保護委員会への確報までたどり着いていて、振り返ってみると意外と短い期間で収束させたということになります。しかし、その過程において、今回の事件ほど混乱と不透明性が伴ったことはないという感想を持ちました。これは何だったのでしょうか?

それは同社の広報体制が「最低限のことしか公表しない」「報道機関の取材にも協力しない」というスタンスであったことにあると思います。

「これは事件であり、捜査にも影響するから今は言えません」「マイナンバーは別システムで管理しており、今のところ攻撃された痕跡は確認されていません」というようなことだけでも対外的にきちんと説明していれば、もう少し不安は解消されたと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

社労士向けクラウド「社労夢」がサービス再開〜情報流出はなかったらしい〜
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止していた件に関して、同システムを運営しているエムケイシステム(本社:大阪市)は、サービス停止から約1か月の7月3日付で、一部サービスを再開すると発表しました。

このサービスは、国内の勤労者800万人以上(とその家族)の個人情報、給与支給情報、マイナンバーなどを管理する、国内有数の規模であり、その動向が心配されていました。

同社では、最低限の情報しか公表していないため、依然として全容がつかめていませんが、同社としては
・従来の環境ではなく、AWS(Amazonクラウド)上でシステムを構築した。
・サービス再開にあたり、セキュリティ面の強化を実施した。
・個人情報流出の痕跡は発見されていない。
・マイナンバーは、他の社労夢製品とは切り離した別環境で完全に暗号化されている。
と説明しており、情報流出はなかった模様です。

エムケイシステム社リリース
https://www.mks.jp/company/topics/20220703a

(以前の記事)
https://www.pmarknews.info/accident/52173171.html
https://www.pmarknews.info/accident/52173440.html

(私のコメント)
当初「1000万人マイナンバーが危機にさらされているのかも知れない」と、大きな危惧を持って注目手してきたこの事件ですが、今のところ収束に向かって動いているようです。ただし、同社の情報公開が不十分であることは変わりなく、同社にはどこかのタイミングでしっかりと外部に説明していただきたいと思います。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

unnamed
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

6月5日に、社労士向けクラウドサービス「社労夢」が不正アクセスを受け、サービスが停止してから既に2週間が経過しました。このサービスは、国内の勤労者800万人以上(とその家族)の個人情報、給与支給情報、マイナンバーなどを管理する、国内有数の規模を誇っていました。

しかし、本サービスを運営しているエムケイシステム(本社:大阪市)は、6月9日を最後に、Webサイト上で事件に関する情報を公開していません。

2023-06-20_14h13_01

顧客である社労士に対してはもう少し詳細な事情説明を行っているようで、Twitterなどではそれらの情報がちらほら見えますが、我々部外者には分からないことです。

驚いたことには、日経新聞の6月13日の記事によると、同社は記者の取材要請に対して「サイバー攻撃に関する問い合わせは受けない」と回答したそうです。

また、東京新聞が6月15日に「マイナンバー800万人分を扱う社労士支援システムにサイバー攻撃…情報集約とひも付けのリスクを考える」とのタイトルの記事で本事件に触れたことに対して、同社は「東京新聞に掲載された記事について」とのリリースをWebサイトに掲載。その中で「同記事は事実に基づかない全くの憶測にすぎず、(中略)東京新聞の発行元に抗議し、事実と異なる点につきまして訂正するように要請すべく、弁護士に相談している」と反発する姿勢を見せています。

ただし、その同じリリース文において、同社はようやく正式にマイナンバーの取扱いについて弁明を行いました。それによると「当社がお客様からお預かりしているマイナンバーは、他の社労夢製品とは切り離した環境で完全に暗号化されており、流用や悪用はできない仕組みとなっております。(中略)現時点では情報流出の事実は確認しておりません」としています。

同社の強硬な態度を見ると、マイナンバーの流出はないのかなあと推測できます。

(今のところはそういう風に理解するしかないのではないかと思います)

日経新聞の記事
https://www.nikkei.com/article/DGXZQOUF134VE0T10C23A6000000/

東京新聞の記事
https://www.tokyo-np.co.jp/article/256708

エムケイシステムの反論リリース
https://www.mks.jp/company/topics/20230616
(相変わらずWebサイトは重いままです)

(以前の記事)
https://www.pmarknews.info/accident/52173171.html

(私のコメント)
同社のWebサイトによると、「社労夢」は全国2754か所の社労士事務所で採用されており、約57万の顧問先事業所の826万人分のデータを取り扱っているとのことです。これを基に、家族分を含めれば、およそ1,000万人分以上のマイナンバーが含まれているのではないかと私は推測しています。

しかし、これまでのところ、エムケイシステムの対応は遅く、情報開示も十分にはされていないため、憶測が憶測を呼び、混乱を招いていると言わざるを得ません。
「もしかして1000万人分のマイナンバーが流出しているから何も言えないのかなあ」
「6月22日に株主総会があるからそれまでは公表しないのかなあ」
「国会のマイナンバー審議に影響があるから黙っているのかなあ」
「岸田首相はこの事実を知っているから解散しないと言い出したのかなあ」など、
もちろんこれらはどれも憶測に過ぎませんが、情報を隠すからこそ、このような状況になるのだと思います。

また、全国の社労士事務所、そしてその顧問先に与える影響は私の予想を超えるものだと思います。社会保険関係の手続きが急に紙ベースに戻り、標準報酬月額の見直しと労働保険の申告という年に一度のイベントを乗り切れるのか、不安に感じている関係者も多いことでしょう。

さらに、PPCへの事故報告やプライバシーマーク審査機関への事故報告をどうするのか、事故報告したくても情報がないため詳細不明のまま出すしかないというような状況も生じています。私たちの会社でも、複数のお客様から問い合わせを受けて対応しています。

私自身、過去18年間にわたり、国内の個人情報流出事件を綿密に追ってきましたが、これほど混乱と不透明性が伴う事件は初めてです。情報開示が極めて少なく、対応が不十分であると感じています。

とにかく、同社からの続報を待つことにしたいです。

繰り返しになりますが、私としては、大事件に発展せず、早急に解決されることを願っております。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

社労士向けクラウド「社労夢」が不正アクセスを受けサービス全面停止〜1000万人マイナンバーは無事か?〜
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

社労士向けクラウドサービス「社労夢」などを展開する株式会社エムケイシステム(本社:大阪市)は、同社が利用しているサーバーに不正アクセスがあり、サーバー上のデータが暗号化され、サーバーが動作を停止したと6月6日に発表しました。

今回、被害が発生したのは、
 ・社労夢V3.4
 ・社労夢V5.0
 ・社労夢Company Edition
 ・ネットde顧問
 ・MYNABOX
 ・MYNABOX CL
 ・ネットde事務組合
 ・DirectHR
であり、同社の主要サービスがほぼ全面停止したと言ってよいのではないかと思われます。

その後、同社が公表した内容によると、
6月5日早朝 データセンター上のサーバーがダウン
      外部専門家の協力の上、調査を開始
      インターネット回線を切断
      対策本部を設置
      警察への通報を実施
6月8日   個人情報保護委員会への報告(速報)
と、緊急対応を続けているようです。

同社ではバックアップしていたデータを復旧させることにより、一部のサービスの復旧を進めているとのことですが、6月12日現在、主要サービスの全面復旧には至っていないようです。

https://www.mks.jp/company/

(私のコメント)

同社のWebサイトによると、「社労夢」は全国2754か所の社労士事務所で採用されており、約57万の顧問先事業所の826万人分のデータを取り扱っているとしています。家族分を含めれば、およそ1,000万人分以上のマイナンバーが含まれている可能性があります。情報漏えいの可能性は現時点では確認されていないとのことですが、万が一の場合、被害は甚大となることが懸念されます。

なお、今回の事態については、現段階では詳細は不明ではありながらも、不正アクセスによる被害とされていますので、個人情報保護委員会(PPC)への「報告対象事態」に当たる可能性が高いと思われます。そのため、多くの社労士事務所ならびに顧問先事業所が、PPCへの事故報告を行ったか、またはその準備をしているものと思われます。

ただし、一件の事件に関して、全国2754か所の社労士事務所と、57万社の顧問先事業所から個別に報告が行われたとしても、PPCがすべてに対応することは困難であり、かえって混乱を招く恐れもあると思います。今回は大元のエムケイシステム社がすでに報告していることもあり、各事業者からのPPCへの報告は現段階では見送ってもいいのではないかと思います(これはあくまでも私の個人的意見です)。ただし、それとは別に本人通知は行う必要があると思います。

とにかく、もう少し詳細が明らかになれば、PPCへの報告ならびに本人通知の必要性や内容の検討などを行えるようになると思います。同社からの続報を待ちたいと思います。

私としては、大事件に発展せず、早急に解決されることを願っております。

(6月17日追記)
同社は東京新聞への抗議のリリースの中で、マイナンバーの流出の可能性はないと公表しました。もっと早く教えて欲しいですね。

https://www.mks.jp/company/topics/20230616

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

2023-02-17_10h40_08
(画像は同社のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

ソフトウェア大手のソースネクスト株式会社は、同社のWebサイトが不正アクセスを受け、カード情報を含む個人情報約12万件が漏えいした可能性があると2月14日に発表しました。

今回漏えいとされる情報は、下記の通り。

(1)2022年11月15日〜2023年1月17日の間に同社サイトで製品を購入した利用者
 個人情報120,982名分
 (氏名、メールアドレス、郵便番号、住所、電話番号 ※一部は任意入力)

(2)上記のうち、クレジットカード情報を登録した利用者
 カード情報112,132名分
 (カード名義人名、クレジットカード番号、有効期限、セキュリティコード)

今回の漏えいにより、実際にクレジットカードの不正利用が行われており、同社ではクレジットカード会社と連携してのモニタリング、カード再発行の手続き(費用は同社負担)などを進めているとのことです。

同社では、今回の原因について「サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため」 としています。さらにQ&Aページの中で「当社ではお客様のクレジットカード情報は一切保有しておりません。 本件では悪意のある第三者によりweb サーバ上に不正なコードが追加され、お客様が注文フォームに入力した情報を外部に送信する動作をしておりました」と記載しています。つまり同社はカード情報不保持の方針は遵守していたものの、Webサイトに何らかの変更が加えられたことにより、利用者がカード情報や個人情報を入力するたびに情報を吸い取られていたということのようです。

発覚から公表までの経緯をまとめておきます。

1月4日 クレジットカード会社から連絡を受ける
1月5日 Webサイトでのカード決済を停止
1月5日 第三者調査機関による調査を開始
1月6日 個人情報保護委員会に報告(速報と思われます)
1月10日 所轄警察署に被害申告
1月13日 総務省関東総合通信局に報告(電気通信事業者のため?)
1月17日 不正プログラムの特定と削除が完了
1月23日 調査機関による調査が完了
2月14日15時 本人へ通知メール発信
2月14日 公表

https://www.sourcenext.com/support/i/2023/0214_info/?i=gtnews

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいや、1000人以上の個人情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から約1カ月でした。

同社のリリースには「公表までに時間を要した経緯について」という項目があり、「漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。」との丁寧な言葉があります。

ただし、今回のような緊急事態に対し、同社の動きは適切なものであり、特に不正アクセスの対応の場合には、発覚から公表までは早くても1か月程度はかかると考えるべきなのではないかと考えます。

(過去の記事)
ワコム公式ストアからカード情報などが流出〜発覚から公表まで3カ月かかる〜
https://www.pmarknews.info/accident/52165607.html

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

ワコム公式ストアからカード情報などが流出〜公表まで3カ月かかる〜
(画像は同社のWebサイト)

皆さんこんにちは。
プライバシーザムライ中康二です。

タブレット製品で有名な株式会社ワコムが、同社の運営する「ワコムストア」において、不正アクセスを受けて、カード情報ほかが漏えいしたと11月21日に発表した。

今回漏えいとされる情報は、下記の通り。

(1)2022年2月19日〜4月19日の間の「ワコムストア」での購入者
 クレジットカード情報最大1,938件
 (名義人名、カード番号、有効期限、セキュリティコード、Eメールアドレス)

(2)2021年2月22日〜2022年4月19日の間の「ワコムストア」の利用者
 個人情報最大147,545名分
 (氏名、郵便番号、住所、電話番号、メールアドレス、性別、会員IDなど)

同社のリリースでは詳細が明確に書かれていないため、原因は不明ですが、どうもWebサイトに改ざんが加えられて、情報を吸い取られたような印象を受けます。またこの事件とは関係なく、同社では4月19日にシステムの全面入れ替えを行ったため、その日で漏えいが止まったということのようです。

そして、8月にクレジットカード会社からの連絡を受け、今回の発表に至ったとのことです。発表に至るまでの流れは下記の通り。

8月19日 クレジットカード会社から連絡を受ける
8月22日 「ワコムストア」での販売・カード決済を停止
8月22日 個人情報保護委員会に報告(速報と思われます)
8月30日 第三者調査機関による調査を依頼
9月30日 調査機関による調査が完了
10月3日 埼玉県警に被害申告
10月17日 個人情報保護委員会に報告(確報と思われます)
11月21日 公表

https://estore.wacom.jp/ja-JP/info/202211

(私のコメント)
4月から改正された個人情報保護法では、カード情報の漏えいに関しては本人通知が義務化され、それは「発覚後速やかに」行うこととされました。今回のケースでは発覚から3カ月を要しています。これは残念ながら「速やかに」とは言えないと思います。

実際にカード情報が漏えいし、不正利用されているのですから、これが放置されていたとしたら由々しき事態です。もしかしたらカード情報が漏えいした1,938件については、本人には漏えいなどの詳細は伝えられないまま、カード会社側で停止/再発行が行われたのかもしれないなと思います。そうでないと、二次被害がどんどん拡大しますからね。

この情報が皆様のお役に立てばと思います。
また、何か情報が入りましたら、シェアいたしますね。

住基ネットを不正に検索し、個人情報を知人に提供した杉並区職員が逮捕される
(画像は杉並区のWebサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

報道によりますと、杉並区の職員が知人の依頼に基づき、住民基本台帳ネットワークの端末を不正に操作し、業務に必要のない人の個人情報を検索し、知人に漏らしていたとのことで、警視庁に逮捕されたとのことです。

報道の内容と杉並区の発表を総合すると、今回の事件は下記のようになります。
・逮捕理由は、住民基本台帳法違反の疑い。
・検索されたのは都外に住む男性と女性
・漏えいしたのは氏名、生年月日、住所など
・その職員は区民課の主事で住基ネットにアクセスできる権限があった
・漏えいした本人から杉並区への投書がきっかけで事実が判明した。
・検索履歴から、過去1年間に20人の情報が不正に閲覧されていたとのこと。
・知人経由で暴力団関係者に個人情報が提供されていた疑いもあるとのこと。

杉並区長は、「再発防止の徹底に全力で取り組むとともに、事実関係が明らかになった時点で、厳正な処分を行う」とのコメントを出しています。

https://www.city.suginami.tokyo.jp/news/r0411/1078406.html

(私のコメント)
住基ネットの端末では、転入・転出の手続きを行うため、全国の住民の情報を検索できるとのことで、今回はそこが悪用されたことになります。

同様の大規模な個人情報データベースとしては、住基ネットのほかにも「年金機構のデータベース」「自動車運転免許データベース」「携帯電話加入者のデータベース」「車検証データベース」「クレジットカード加入者データベース」など様々なものがあります。これらのデータベースに業務でアクセスできる権限のある人は、いつも外部の反社会的勢力から狙われており、誘惑、買収、脅迫などの様々な手段でその情報を漏らすように誘導されます。そして実際にその手の漏えい事件が過去に何度も繰り返されています。

データベースを管理する組織としては、検索履歴を残し、定期的に監査する体制の構築が必須です。さらなる厳格な管理体制が求められていると思います。

皆様にも何かの参考になればと思います。

また、新しい情報が入りましたら、皆様にシェアいたしますね。

↑このページのトップヘ