個人情報漏えいについて(第二報)


2020年3月31日

いつもお世話になっております。
チーム株式会社です。

2020年3月3日に公開した個人情報漏えいの可能性について(第一報)のとおり、当社が運営を委託していた委託先の電子誓約書のサーバーに対し、外部の第三者からクラッキング攻撃を受けた事件について、第三者機関からの調査報告を受けた結果、誓約された方(手続き中の方を含む)の個人情報が流出したことが確定いたしました。

皆さまに多大なるご心配とご迷惑をお掛けいたしますことを、心よりお詫び申し上げます。
今後は再発防止に努め、二度とこのような事態が生じないように努めます。
途中経過報告でございますが、詳細を下記のとおりご案内します。



1.不正アクセスによる情報流出の状況(途中報告)

2020年3月2日に、アイルランドのIPアドレスから、電子誓約書のサービスを委託している委託先のサーバーに対して、外部の第三者よりクラッキング攻撃が実施され、誓約された方(手続き中の方を含む)の個人情報がダウンロードされました。
パスワード攻撃によりパスワードが不正取得されたものと考えられます。

2.流出が確定した情報(電子誓約書サーバーに格納されていた情報)

2020年3月2日以前に、電子誓約書を締結された方の漏えいした項目
 氏名、住所、電話番号、メールアドレス

同じ期間で電子誓約書の手続き中の方(未締結の方)の漏えいした項目
 氏名、メールアドレス

※なお、チームサイトにて登録いただいた情報(身分証情報・クレジット情報等)は、電子誓約書サーバーに格納されていないため、本件の対象外です。

3.対応の経緯

2020年3月3日午後1時54分以降、クラッキングを受けたサーバーはネットワークから遮断しており、現在も外部からアクセスすることはできません。現在、第三者機関に依頼して詳細な調査を行っています。

3月3日 委託先から電子誓約書のサーバーに外部からクラッキングを受けた痕跡を発見したとの連絡を受ける
     委託先が電子誓約書サーバーを停止
     高輪警察署、JAPHICに今後の対応方法を相談
     情報漏えいの可能性がある方に向けて第一報の送付
     自社サーバーの調査開始
4日   JAPHICを通し、個人情報保護委員会に事故報告書提出
     電子誓約書と関連する自社サーバーを停止
9日   第三者機関(セキュリティ診断会社)による脆弱性診断開始
10日  委託先から第三者機関(事故原因調査会社)に原因調査を開始したと連絡を受ける
16日  第三者機関(セキュリティ診断会社)より脆弱性診断最終報告を受ける
22日  脆弱性診断の改修対応完了
23日  上記改修に対し第三者機関(セキュリティ診断会社)の再診断を受け脆弱性が除外されたことを確認
24日  停止していた自社サーバーを再開
30日  委託先から第三者機関(事故原因調査会社)による情報漏えいの調査経過報告を受領したと連絡受ける

4.今後の対応

第一報から本日にかけて、セキュリティの管理ルールを見直すとともに、外部アクセスに関するネットワーク設定の強化を行いました。
今後、情報流出の可能性に発展する原因となった情報管理ポリシーおよび手順全体の点検を行い、不正アクセスへの対策として、委託先の選定方法の見直し、アクセス制御のポリシーの見直し、継続的な脆弱性調査を速やかに実施し、それらの順守を徹底してまいります。

今後改めて、委託先からの事故調査の最終報告を確認し、弊社にて対応を検討した上で、皆様へご報告をさせていただきます。

5.本件に関するお問い合わせ先のご案内
チーム株式会社 セキュリティ対応本部(9:00〜18:00)
security@team-project.jp


<< 個人情報漏えいの可能性について(第一報)
>> 個人情報漏えいの可能性について(最終報)