イセトー、ランサムウェア攻撃についての調査結果を発表 委託元データをどう守るか
事件の概要
2024年10月4日、株式会社イセトーは5月に発生した自社へのランサムウェア攻撃についてのフォレンジック調査が完了したことを発表しました。同社は5月に一部のサーバーやPC内のファイルがランサムウェアによって暗号化されたことを公表していましたが、その後の報告で、複数の顧客から預かった個人情報などの機密データが漏えいし、リークサイトに公開されたことを公表していました。※1 ※2 ※3 ※4
イセトーは全国の自治体や企業から業務委託されていたため、この被害によって大量のデータが漏えいしています。特に漏えい件数の多い豊田市や徳島県は、この事件でそれぞれ約15万件、約20万件の個人情報が漏洩したことを自身のウェブサイトで公表しています。さらにその後、公文教育研究会が80万件超の漏えいがあったことを公表しました。※5 ※6 ※7
なお、この事件の影響により、イセトーは取得していた情報セキュリティマネジメントシステム認証(ISO27001認証)及びクラウドセキュリティ認証(ISO27017認証)の一時停止したことを報告しています。※8
10月4日時点では、リークサイトにおいてダウンロードファイルは消失しており、ダウンロードできないことが確認されています。イセトーは今後、侵入経路となったVPNを使用しない体制とし、さらに認証強化を図ることで不正アクセスが起こらない環境を構築することなどを再発防止策として打ち出しています。
事件の経緯
イセトーに加え徳島県や豊田市などが公表している情報をまとめると、事件の経緯は下記のようになります。
- 5月26日 イセトーの複数のサーバー、PC端末がランサムウェア被害を受ける
- 5月29日 イセトーのサイトにてランサムウェア被害を公表(各委託元にデータ漏えいはない旨を報告)
- 6月6日 イセトーのサイトにて続報。情報漏えいについては調査中だが一部流出の恐れがあるとした
- 6月10日 イセトーが攻撃元をランサムウェア「8base」と特定したと委託先に報告
- 6月18日 イセトーがデータ漏えいを確認、委託先に報告(リークサイト上にダウンロードURLの出現を確認)
- 6月19日 イセトーがダウンロードファイルの消失を確認、委託先に報告
- 6月20日 イセトーが外部からの侵入経路を特定したと委託先に報告
- 7月3日 イセトーのサイトにて2度目の続報。情報漏えいの事実を公表し、継続的な監視を行うとした
- 9月9日 イセトーのサイトにてISO27001認証及びISO27017認証の一時停止を公表
- 10月4日 イセトーのサイトにてフォレンジック調査の完了を報告
流出の原因
7月3日の徳島県の報告によると、今回の流出の原因として、イセトーの社内ネットワークは
- 個人情報を扱っていい業務系ネットワーク
- 個人情報を扱ってはいけない基幹系ネットワーク
に分離されており、ランサムウェア攻撃を受けたのは基幹系ネットワークだけでしたが、本来取り扱ってはいけないはずの委託元の個人情報データがサーバー内に保管されていたため、流出の被害に遭ってしまったことが記されています。
さらに、個人情報データは受託業務終了後に削除すべきものであり、削除した旨の報告書を提出していたにも関わらず、実際は削除されていなかったとのことです。これは委託元との契約に違反しています。
なお、10月4日の報告にて、イセトーはネットワークへの侵入経路をVPNとし、さらに基幹系ネットワークにデータが保管されていた理由は作業の効率を図るものだったと説明しています。
再発防止策
本件における再発防止策として、イセトーは下記を実施し信頼回復に努めるとしています。
- 侵入経路となったVPNを使用しない体制とし、さらに認証強化を図り不正アクセスが起こらない環境を構築
- 前述の環境を構築するまでは外部ネットワークとの接続を制限
- 受託業務におけるデータは管理区域外へ移送できない環境を構築し、業務上必要なデータは取り扱いルールに従い業務終了後に削除
- ルールが遵守されるような監査の徹底
- 情報セキュリティ教育とルール遵守に関する研修の実施
委託先に求められるセキュリティはより高度に
近年は外部の委託先やパートナーとの業務分担やアウトソーシングが進み、企業間のデータ共有が必然的に増加しています。企業はサプライチェーンや委託先に重要なデータを共有し、管理してもらうことが多くなていますが、外部組織で発生するリスクに対しても責任を負わなければならないことから、外部組織に対しても、強固なセキュリティ対策を求める必要が出てきています。
2024年4月、経産省は企業のサイバー攻撃への対応力を5段階に格付けする制度を2025年度にも導入するという政策案を公表しました。この格付け制度が導入されると、企業のセキュリティ対策の強度が外部から可視化され、委託元の企業はセキュリティレベルの高い企業を委託先として選定することが可能になります。しかし、逆に言えば、委託先の企業は委託元と新規に取り引きを行うあるいは取り引きを継続するために自社のセキュリティ対策の見直しを迫られることになります。そして、そのことがサプライチェーン全体のサイバー攻撃対策につなかっていくと予想されています。※9
このような状況の中、企業に求められるのが暗号化によるデータセキュリティ戦略です。
データセキュリティの基礎としての暗号化
イセトーの事件は、ネットワークが分離されていたにもかかわらず、適切ではないサーバーに個人情報が保管されていたことが原因となりました。ネットワーク分離は、理論上、漏えいを防ぐ手段として効果的です。しかし、現実的にはネットワーク間でデータ共有が必要となるケースもあり、業務効率性が落ちるのが実情です。イセトーも業務効率を優先した結果、個人情報データが不適切なサーバーに保管されていました。
従来のVPNやネットワーク分離といった境界型防御には限界があり、今後は「ゼロトラストモデル」への移行が求められると予想されます。ゼロトラストモデルでは、データの保管場所にかかわらず、すべてのデータアクセスが常に検証されます。これを実現するのがIRM(情報権限管理)による暗号化と権限制御です。
IRMでは、ファイルが暗号化され、アクセスするたびに認証が必要になります。今回の事件のように、誤ったネットワークに機密データが流出してしまったとしても、IRMによる暗号化が施されていれば、データ自体が保護されるため、漏洩を防ぐことができたはずです。このように、今後はデータそのものを単位として保護する「データセキュリティ」が非常に重要になります。
さらに、委託先企業が預かったデータを守るだけでなく、委託元の企業がデータを委託先に送る際、事前に暗号化しておくことで、委託先での被害を防ぐことができます。このように、データの保護は、サプライチェーン全体のセキュリティ強化に繋がるため、今後、データセキュリティは必須のものとなっていくでしょう。
最後に、弊社の暗号化ソフト『DataClasys(データクレシス)』は、個人情報だけでなく、3DCADや動画などの大容量データもすべて暗号化可能なIRMシステムです。データ単位でのセキュリティ対策にご興味のある方は是非お気軽にお問い合わせ下さい。
カタログ・資料ダウンロードはこちら
参考
※1 ランサムウェア被害の発生について | 株式会社イセトー 2024年5月29日
※2 ランサムウェア被害の発生について(続報)| 株式会社イセトー 2024年6月6日
※3 ランサムウェア被害の発生について(続報2)| 株式会社イセトー 2024年7月3日
※4 不正アクセスによる個人情報漏えいに関するお詫びとご報告 | 株式会社イセトー 2024年10月4日
※5 委託業者のランサムウェア被害に伴う個人情報の漏えいについて | 豊田市 2024年10月1日
※6 印刷業務委託先のランサムウェア被害について(第2報)| 徳島県 2024年7月3日
※7 【お詫びとご報告】業務委託先へのランサムウェア攻撃による個人情報の漏えいについて(第三報)| 2024年8月20日