徳島県、委託先サーバへの不正アクセスで個人情報が流出
| 会社名 | 徳島県 |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | サーバ |
| 漏洩場所 | 社外 |
| 漏洩内容 | 住所/氏名/自動車登録番号 |
| 漏洩件数 | |
| 漏洩日時 | 2024/5/26 |
| 発表日時 | 2024/6/6 |
徳島県の業務委託先にてランサムウェア感染により個人情報が流出。同県が納税通知書等作成業務を委託している株式会社イセトーにて、同社サーバがランサムウェア感染し、同県の個人情報が流出した。
当該委託先から、サーバやパソコンがランサムウェア感染した旨の連絡はあったが、当初は個人情報含むデータはランサムウェア感染したネットワークには保存していないため情報の流出は確認されていないと報告されたが、調査を進めたところ、当該ネットワークに同県の個人情報含む画像データの保存が確認された。現在外部専門家の協力のもと調査を行っており、個人情報含むデータ流出の有無を含め、現在確認を行っている。
同県の委託先事業者のサーバがランサムウェア感染した件で、その後の被害調査の結果、攻撃者グループのダークウェブ上にダウンロードURLが確認され、内容の解析を行った結果、約20万件の個人情報流出が確認された。
同委託先の社内ネットワークには個人情報を取り扱うことができる業務系ネットワークと個人情報を取り扱ってはならない基幹系ネットワークがあり、被害にあったのは基幹系ネットワークで、本来内個人情報を取り扱ってはいけなかったが同県が提供した個人情報含むデータを取り扱って保存し、業務委託終了後は削除することになっていたが、終了後も削除されていなかった。(2024年7月3日追加)
同県の委託先がランサムウェア感染した件で、個人情報の流出が確認された対象者が特定できたとして、委託先のイセトーと同県の連名で「おわびとお知らせ」の文書を送付すると公表した。また、イセトーにてコールセンターを設置し、不明点や困りごとなどに対応するとしている。なお、現時点では情報の悪用などは確認されていない。(2024年7月31日追加)
Tweet