ワークスタイルテック、設定不備により個人情報が流出

会社名ワークスタイルテック株式会社
株式情報非上場
漏洩種別流出
漏洩対象サーバ
漏洩場所社外
漏洩内容氏名/住所/電話番号/マイナンバーカード/運転免許証パスポート等
漏洩件数162,830件 158,929件
漏洩日時2020/1/5~2024/3/22
発表日時2024/3/29

ワークスタイルテックにて設定不備により個人情報が流出。同社サービス「WelcomeHR」にて、ストレージサーバのアクセス権限設定の誤りにより、当該サーバに保存されていた個人情報を含むデータが2020年1月5日から2024年3月22日の期間中、外部から閲覧可能状態であり、また、2023年12月28日から2023年12月29日の期間中に第三者により不正ダウンロードされていたことが判明した。

セキュリティ調査の実施中にアクセス権の誤設定が指摘され、直ちに修正するとともに調査を開始。調査の結果、OEM契約および再使用許諾契約に基づく顧客を除く、同社と直接契約していた顧客情報の不正ダウンロードが発覚した。同社は当該顧客にお詫びと説明を行った。なお、現時点で二次被害は確認されていないが、引き続き調査中であるとしている。

同社は不正アクセスを受けた件で、調査の結果、漏洩した人数の総数が158,929件、ダウンロードされた数が150,445件であったことを公表。また、閲覧およびダウンロード可能となっていたファイルは、誰にでもおオープンな状態ではなく、特定の操作を行うことで閲覧およびダウンロードが可能であったしている。なお、現時点において不正利用の事実は確認されていないが、ダークウェブ調査を外部機関へ依頼し現在も調査中である。同社は再発防止策として、クラウド設定の設計および変更時のダブルチェック体制ならびに不正アクセス時の監視体制の強化とアクセス制限の厳格化を実施し、定期的な脆弱性診断を行うとしている。(2024年5月31日追加)