【重要】不正アクセスによる個人情報流出に関する調査結果のご報告(最終報)

第一報、第二報についてはこちらをご確認ください
第三報についてはこちらをご確認ください
第四報についてはこちらをご確認ください

弊社が運営するクラウドサービス「NarSuS」に関わるサーバへの不正アクセスによる個人情報流出につきまして、外部専門機関とともに詳細な調査を進めてまいりました。

以下に、調査結果につきましてご報告申し上げますとともに、NarSuSサービスの再開目処につきましてご案内申し上げます。

お客様をはじめ関係者の皆様に多大なるご心配とご迷惑をおかけいたしたこと、また、調査に大変時間を要しましたこと、深くお詫び申し上げます。

不正アクセス及び個人情報流出の原因につきまして

本年5月7日に、NarSuSテスト用サーバ(以下、テスト用サーバ)において不正アクセスを受けていることを確認し、本年5月8日に弊社ホームページにてお知らせさせていただきました。(経緯の詳細につきましては、本文末をご確認いただけますようお願いいたします。)

その後、外部専門機関の協力の下、不正アクセスログ、システム構成ファイルの調査、影響範囲等の調査を行ってまいりました。

本年5月8日~6月3日までの期間において、NarSuSに関わる全てのサーバを調査した結果、テスト用サーバの他、付随するサーバ1台にも第三者による不正アクセスの痕跡を確認いたしました。

これらのサーバへの不正アクセスの原因としましては、以下のとおり、セキュリティ設定等が不足しており、結果として攻撃者から不正アクセスが発生しておりました。

  • 外部ネットワークアクセス対策が適切ではなかったこと
  • 当該アカウントのパスワードが脆弱だったこと
  • 外部からの不正アクセスに対し、監視が不十分であったこと

また、テスト用サーバにおきましては、構築する際、一連のオペレーションの中でご登録者様情報(個人情報)を完全に削除できておらず、当該サーバ内に残されていた状態にあったことを確認いたしました。

これらのサーバにおいて、NarSuSサービスご登録者様に関する情報が流出した痕跡は確認できなかったものの、第三者からの不正アクセスがあったことから、流出件数は全ご登録者様情報である61,942件としてご報告させていただきました。

※第三報にてお知らせいたしましたとおり、NarSuSサービスご登録者情報は、以下のとおりとなります。

メールアドレス、氏名、郵便番号、住所、電話番号、FAX番号、会社名、部署名、製品型番、MACアドレス、製品シリアルナンバー

通信はNASからNarSuSへの一方通行であり、NASに保存されたお客様のデータにはアクセスすることができません。
そのため、お客様が現在ご利用いただいているNASに保存されているデータが流出する恐れはございません。
また、ご利用いただいておりますNASならびにお客様のネットワークに対する第三者による不正侵入の恐れもございません。

本件調査と平行して、この間に弊社内のその他のシステムにつきましても総点検を行い、不正アクセスがないことを確認いたしました。

対処及び今後の再発防止対策

NarSuSに関わるサーバの不正アクセス防止、及び個人情報漏洩に対するこれまでの対処、及び今後の再発防止対策は以下のとおりです。

不正アクセス防止に対して

  1. 不正アクセスを受けたサーバを停止しました。
  2. 外部ネットワークアクセス制限を厳格化しました。
  3. 今後ID、パスワードの管理強化を行ってまいります。
  4. 当該サーバ以外のNarSuSに関わる全てのサーバに対し、不正アクセスログ等がないかを確認しました。今後、不正アクセス監視強化を図ってまいります。

個人情報漏洩に対して

  1. 個人情報の取り扱い・管理を総点検・見直しを行い、全社員に対し、再教育いたします。
  2. テスト用サーバの構築ルールの見直しを行ってまいります。

今後は、このような事故の再発を防止すべく、引き続き社内のルールと運用の改善を行うと共に、プライバシーポリシーにつきましても、見直しし、改善に努めてまいります。

NarSuSサービス再開目処、及び再開にあたってのお願い

2020年6月中旬の再開を予定しております。

また、再開に伴い、セキュリティ強化のために全てのNarSuSサービス登録アカウントに対しまして、パスワードのリセットを行わせていただきます。

お客様には大変お手数をおかけすることになり申し訳ございませんが、再開時にはパスワードの再設定をお願いいたします。

なお、誠に恐縮ではございますが、引き続き不審なメールや連絡等にご注意いただきますようお願い申し上げます。

今後、更なるセキュリティ強化に努めてまいりますので、何卒ご協力のほど、お願い申し上げます。


これまでの経緯

2020年5月7日 NarSuSテスト用サーバに第三者による不正アクセスを受けた形跡を確認。
NarSuSテスト用サーバを速やかにネットワークから遮断し、調査を開始。
2020年5月8日 外部専門機関と共に、NarSuSテスト用サーバの調査を開始。
弊社ホームページに「NarSuSテスト用サーバへの不正アクセスによる個人情報流出について(第一報)」を公開、及びNarSuSご登録者様へ個別にご連絡。 また、NarSuS公開サーバを停止。
2020年5月10日 弊社ホームページの「NarSuSテスト用サーバへの不正アクセスによる個人情報流出について(第二報)」を更新及びNarSuSご登録者様へ個別にご連絡。
2020年5月11日 本件について警察へ相談。
2020年5月12日 NarSuSに関わる全てのサーバへ範囲を広げて調査を開始。
また、他サービスのサーバへも範囲を広げて調査を開始。
2020年5月13日 弊社ホームページに「不正アクセスによる個人情報流出についてのお知らせ(第三報)」を公開、及びNarSuSご登録者様へ個別にご連絡。
個人情報保護委員会へ報告。
2020年5月22日 弊社ホームページに「不正アクセスによる個人情報流出についてのお知らせ(第四報)」を公開、及びNarSuSご登録者様へ個別にご連絡。
2020年6月4日 弊社ホームページに「不正アクセスによる個人情報流出に関する調査結果のご報告(最終報)」を公開、及びNarSuSご登録者様へ個別にご連絡。

<本件に関するお問合せ先>

株式会社アイ・オー・データ機器 お客様相談窓口
TEL 0120-977-345
受付時間/9:30~12:00 13:00~17:00
受付曜日/月~金曜日

このページのトップへ
PC版を表示