ランサムウェア攻撃で業務委託先から個人情報流出 自治体や金融機関が持つ150万件：週刊セキュリティニュース

2024年7月1日週に起きた国内や海外の主要セキュリティニュースを中心に紹介する。

[畑陽一郎，キーマンズネット]

　2024年6月29日〜7月5日に報じられた主要セキュリティニュースをまとめて紹介する。日付は発表日に基づく。なお、ニュースソースが複数あるものはそのうちの一つを示した。

委託先がランサム攻撃　個人情報が漏れる

　7月1日の週は3000社と取引があるというイセトーが受けたランサムウェア攻撃の衝撃が各社に広がった。地方自治体や金融業はもちろん、さまざまな組織が委託した個人情報がイセトーから流出したからだ。イセトーが2024年5月29日にランサムウェア被害の発生について発表した後、徐々に流出規模の数字が拡大しており、合計すると約150万に達する。7月1日週には新たに発表していないものの、三菱UFJ銀行やローソン銀行、横浜市や横須賀市もイセトーに関する情報漏えいの可能性について発表済みだ。

　この他、ガートナーによる身代金支払いに関する調査発表やPHPの脆弱（ぜいじゃく）性についての発表があった。

---

●2024年7月1日
　クボタとクボタクレジットはクボタクレジットの顧客情報のうち、6万1424人分の個人情報が漏えいしたと発表した。クボタクレジットの利用明細印刷を委託しているイセトーのサーバ（2024年7月3日の項を参照）がランサムウェア攻撃を受けた結果、個人や法人、団体などの2022年9月度の利用者の氏名や住所、金融機関名、口座番号の一部が流出したという。

　ガートナージャパンは日本国内のランサムウェア対策状況に関する調査結果を発表した。それによれば、バックアップからの復旧体勢を準備しているという回答は36.0％に過ぎず、それ以外の対策の準備はさらに低い割合しか回答がなかったという。ランサムウェア感染時の身代金要求への対応については「身代金の支払いは行わない方針だが、ルール化はしていない」（29.9％）、「身代金は支払わない方針で、ルール化している」（22.9％）だった。

---

●2024年7月2日
　京都商工会議所は帳票の作成や発送などの業務を委託していたイセトーへのランサムウェア攻撃により、管理していた企業情報のうち、延べ4万1819件が2024年6月28日に漏えいしたことが判明したと発表した。

　広島県は個人事業税などの納税通知書といった印刷業務を委託しているイセトーから個人情報が流出したという報告を受けたと発表した。2023年度に印刷用としてイセトーに提供した個人事業税と自動車税種別割に関連する住所氏名など101件が流出した。

　山口県は自動車税種別割の納税通知書の印刷業務を委託しているイセトーから個人情報が流出したという報告を受けたと発表した。2022年度の自動車税種別割の催告書のPDFファイル14件が流出したという。

　日本生命保険は業務委託先のイセトーからランサムウェア攻撃により顧客の情報が漏えいしたという報告を受けたと発表した。漏えい内容は1団体11人の氏名と生年月日、性別、加入内容などだという。

---

●2024年7月3日
　KADOKAWAは2024年6月8日に発覚したランサムウェア攻撃によってドワンゴが保有する情報の一部が漏えいした可能性があり、角川ドワンゴ学園の在校生や卒業生、保護者に重大な影響が及ぶ可能性があると発表した。角川ドワンゴ学園が接地した学校にはN高等学校やS高等学校が含まれる。

　警察庁のWebサイトを模倣した偽サイトに対する注意韓国を警察庁が発表した。「www.npa.go.jp」でないものは偽サイトだという。

　イセトーは2024年5月26日に発覚したランサムウェア攻撃について発表した。2024年6月18日にイセトーから窃取されたと思われる情報について、攻撃者グループのリークサイトにダウンロードURLの出現を確認したという。なお、2024年5月29日の1回目の発表では複数のサーバとPCが暗号化されたことを発表。2024年6月6日の2回目の発表でも、情報の流出は確認できていなかった。

　伊予銀行は各種帳票の作成や発送業務を委託していたイセトーから顧客情報の漏えいについて報告を受けたと発表した。住所氏名や電話番号、口座番号、取引金額などの情報が漏えいしている可能性があるという。

　徳島県は納税通知書などの印刷業務を委託していたイセトーに対するランサムウェア攻撃により、約14万5000人の個人情報約20万件が漏えいしたと発表した。2023年度の自動車税に関連する住所、氏名、税額、車のナンバーなどが漏えいした。徳島県は情報漏えいの原因はランサムウェアだが、イセトーが2点、不適切な事務処理を行ったことも原因として挙げた。イセトーの社内ネットワークは個人情報を取り扱うことができる業務ネットワークとそれができない基幹系ネットワークの2種類に分かれており、サイバー攻撃を受けたのは基幹系ネットワークだけだった。しかし、徳島県の提供した個人情報を含むデータを基幹系で扱っていた。さらに委託業務完了後に個人情報を削除する契約になっており、削除したことを記した報告書も受領していたが、実際には削除されていなかった。なお、徳島県は2024年6月6日にもイセトーからの報告を受けたことを発表している。その時点では88人の個人情報について流出した可能性があるとしていた。徳島県は2024年6月10日にイセトーからランサムウェアの種類は「8Base」だという報告を受けたという。

　NTTデータはNTTデータルーマニアへ2024年6月14日に不正アクセスがあり、ランサムェア攻撃だった可能性があると発表した。nttdata.roドメイン環境を対象とした攻撃であるため、ルーマニアの拠点での事業の情報以外には影響がないという。

---

●2024年7月4日
　三井住友信託銀行は各種帳票類の作成と発送業務を委託しているイセトーへのランサムウェア攻撃により、提供している個人情報が流出していることが判明したと発表した。流出した件数や内容については明らかにしていない。

　豊田市は納税通知書などの印刷業務を委託していたイセトーがランサムウェア攻撃を受けた結果、103万5603件（推計41万9254人分）の個人情報が流出したと発表した。市県民税や軽自動車税、固定資産税などについて、住所氏名や税額、生年月日、マスキング済みの講座情報などが流出した。イセトーの担当者が業務終了後に消去すべきだったデータを消去しなかったために流出したという。

---

●2024年7月5日
　JAXAは2023年に発生し、2024年6月に外部に明らかになったサイバー攻撃による情報漏えいについて調査結果を発表した。まず、2023年10月に警察からの指摘があり、それ以前にJAXAの業務イントラサーバへ不正アクセスが起こっていたことが判明した。外部の機関と業務を共同で実施する際に必要な情報や個人情報が漏えいしたという。ただし、件数などは公開していない。2024年に入り複数回の不正アクセスが続いたが、その際には情報漏えいはなかったという。2023年、2024年ともにVPN機器の脆弱（ぜいじゃく）性が足掛かりとなってサーバや端末に侵入され、横展開の後、アカウント情報などを摂取され、その結果「Microsoft 365」の正規アカウントを使った不正アクセスに至ったという。

　IPAはプログラミング言語PHPの脆弱性（CVE-2024-4577）を狙った攻撃の日本国内での被害を確認したと発表した。インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃の一種だという。リモートからのコード実行が可能であり、CISAが公開するKEV（Known Exploited Vulnerabilities Catalog）カタログにも、悪用された脆弱性として掲載されている。

　和歌山市は2023年度の市民税と県民税の特別徴収税額決定通知書の封入封かん業務を委託していたイセトーから、サイバー攻撃によって15万1421件の情報が窃取されたという報告があったと発表した。イセトー内において、複写したデータを別部門のサーバに保管し、2023年度の契約終了後もデータの削除を怠り保存していたことが原因だという。

　公文教育研究会は委託先であるイセトーから4678人の個人情報が漏えいしたと発表した。住所氏名と電話番号、「iKUMON」サイトの認証コードとセキュリティコードなどが漏えいしたという。