NTT西日本子会社、不正持ち出しにより約900万件の顧客情報が流出

事件の概要

2023年10月17日、NTT西日本子会社の株式会社NTTマーケティングアクトProCX（以下、NTTマーケティングアクトProCX）及びNTTビジネスソリューションズ株式会社（以下、NTTビジネスソリューションズ）は、自社のウェブサイトにて顧客情報約900万件が不正持ち出しにより流出したことを公表しました。^{※1 ※2}

NTTビジネスソリューションズはNTTマーケティングアクトProCXが利用するコールセンターシステムの運用保守業務を担当していましたが、NTTビジネスソリューションズの元派遣社員が、システムの管理者アカウントを悪用しサーバーへアクセス、保管されていた顧客情報を不正にダウンロードし、USBメモリーを使って持ち出してしまったとのことです。なお、不正な持ち出しは、持ち出されたファイルの更新日時情報などから、恐らく2013年7月頃から約10年間に渡り行われていたと想定されています。

持ち出された情報は会社・自治体などのクライアント数59、顧客情報の件数は約900万件にのぼり、これは東京商工リサーチが調査を開始した2012年以降の上場企業（子会社含む）の漏えい・紛失事案で上から4番目の規模となります（過去最多は14年のベネッセコーポレーションの3504万件）^※3 。顧客情報の内容には氏名、住所、電話番号などが含まれており、2クライアントの81件の顧客情報についてはクレジットカード情報が含まれていることが確認されています。

社内調査に対し、元派遣社員は名簿の買い取り業者に情報を渡したと話しているとのことです。警察は不正競争防止法違反容疑で捜査を進めています。

事件の経緯

上記のNTT西日本子会社2社がサイトで公表した資料によると、事件の経緯は下記となります。

2022年4月：あるクライアントから「自社の顧客情報が流出している可能性があるため社内調査を実施してほしい」との依頼があり、調査を行ったが漏えいに関する事実は確認できず。
2023年7月13日：NTTビジネスソリューションズに対して情報漏えいの疑いで警察による捜査が実施される。これを契機に社内調査等を継続し、顧客情報が持ち出されたクライアントの特定を進める。
2023年9月28日、10月9日：不正に顧客情報が持ち出されたクライアントが特定される。
2023年10月17日：事件の公表を行う。

事件の主な原因および対処策

前述の資料では、事件が起きた主な原因として下記を挙げています。

保守作業端末にダウンロードが可能になっていた。
保守作業端末に外部記録媒体を接続し、データを持ち出すことが可能になっていた。
セキュリティリスクが大きいと想定される振る舞いをタイムリーには検知できていなかった。
各種ログ等の定期的なチェックが十分でなかった。

報道によると、保守業務は基本的に社員2人と派遣社員2人の計4人で行い、サーバーに入るIDとパスワードは共有だったとのことです。USBメモリーなど外部記録媒体持ち込み禁止のルールもありましたが、実行されていませんでした。^※4

これらへの緊急的な対処策として、①中継サーバを新設し、そちらにダウンロードされたデータにリモートデスクトップ接続することで保守作業を行う（保守作業端末へのダウンロードを不要化・不可化する）こと、②保守作業端末への外部記録媒体の接続を不可化し、持ち出しが必要な業務の場合は相互チェックを行うことをシステムで必須にすること、③振る舞い検知を実施しタイムリーにアラーム検知できるようにすること、④定期的なログチェックを徹底することなどを講じたと資料で説明されています。今後、抜本的な対処を検討しているとのことです。

被害を公表している業務委託元

2023年10月19日現在、情報流出の可能性があることを公表している業務委託元（前述の「クライアント」と同義）は下記です。^※5

NTT西日本：約120万件
NTTドコモ：約7.2万件
フォーマルクライン：約19万件
ソニーネットワークコミュニケーションズ：約14万件
TOKAIコミュニケーションズ：件数記載なし（2015年3月～2016年6月にTNCインターネット接続サービス「フレッツ光対応サービス」を利用されていた一部のお客様の情報）
WOWOW：約4万人
MXモバイリング：約1,2万件
岐阜県国民健康保険団体連合会：約18万件（26市町、1国保組合）
福岡県：約14万件
沖縄県：約6.6万件
千葉県千葉市：約5万件
静岡県浜松市：約5万件
愛知県小牧市：約3万件
愛知県豊橋市：約3万件
大阪府岸和田市：約1.5万件
東京都足立区：約7,000件
福井県福井市：約5,000件
大阪府河内長野市：約4,400件
愛知県みよし市：約4,000件
大阪府豊中市：約3,000件
富山県射水市：約3,000件
徳島県鳴門市：約3,000件
石川県加賀市：約3,000件
愛知県稲沢市：約2,000件
富山県氷見市：約2,000件
福井県鯖江市：約1,300件
富山県砺波市：約900件
石川県能美市：約700件

なお、福岡県はNTT側に対して県発注事業の指名停止などの行政処分や、対策費用の請求なども視野に入れていると報道されています。^※6

内部関係者による持ち出しをどう防ぐか

今回のような内部関係者による意図的な持ち出しは、外部からの攻撃とは異なり対策が非常に困難です。特に今回のように直接業務に携わる人物はリソースに対して正当なアクセス権を持っており、単純な境界型のセキュリティでは持出しを防ぐことができません。

本事案ではUSBメモリーなど外部記録媒体持ち込み禁止のルールが存在していましたが、これは全ての人間がルールを守るだろうという「性善説」に基づいた仮定であり、セキュリティ的には不十分です。「性悪説」に基づき、意図的にルールを破る人の存在を認めた上でセキュリティを考慮するにはルールだけでなくシステムとして持ち出せない仕組みを構築する必要があります。

システムで持ち出しを防ぐためには、適切な権限設定が不可欠です。これは単にサーバへのアクセス権現にとどまらず、ダウンロード権限やデータの利用権限（閲覧、更新、印刷等）などを含みます。特に機密情報を扱う業務においては、関係者に対して業務遂行に必要な最低限の権限のみ与えることが極めて重要です。なお、この考え方を「Need To Knowの原則」といいます。

また権限設定の強化に加え、検知の仕組みとしてXDR、EDRおよびログ監視システムを強化が必要です。これらのセキュリティ対策を多層的に組み合わせることで内部関係者による情報漏えいリスクに対策することが可能です。

ファイル単位で権限設定を行うことで強固な漏えい対策を

内部関係者による持ち出しに対する有効な対策の一つにIRM（Information Rights Management）があります。IRMはファイルを暗号化し利用権限を設定することで、組織が定めた

強固な漏えい対策を行うことが可能です。

IRMのメリットは、ファイルそのものにセキュリティ保護を施すことが可能であることです。セキュリティの観点からファイルをPCへダウンロードすることを制限していても、業務上、どうしてもファイルを外部に持ち出す必要性が生じる場合があります。そのような状況でも、ファイルがIRMによって暗号化されていれば、権限制御が適用された状態でファイルが持ち出されるため、持ち出した先でファイルの漏えいを防ぐことができます。また、ファイル自体が暗号化されていれば、持ち出される経路（USBメモリーやメール送信、クラウドへのアップロードなど）に依らずセキュリティ対策が可能です。

特に弊社のIRMシステム『DataClasys』は、PCで開いたファイルを自動で暗号化する機能を持っており、内部関係者による意図的なファイル持ち出しのリスクを低減することが可能です。

もしご興味のある方は、是非お気軽にお問い合わせ下さい。