コンピューターウィルス「ランサムウェア」の被害拡大
先日来、出版・メディア事業を手掛ける「カドカワ」がコンピューターウィルス「ランサムウェア」を使った攻撃を受け、社内のデータが使えない状態に陥っていると報じられていました。悪質なハッカー集団が企業に「ランサムウェア」を仕込んだメールを送信し、社員がこのメールを開くとコンピューターを介して社内ネットワークに感染が広がり、ネットワークそのものが麻痺したり、データを取り出せなくなる被害が発生します
ハッカー集団は「ランサムウェア」の被害を除去したければ金を払え、と脅し大金をせしめるわけで、さまざまな企業・病院・公的機関がこれまでにも被害に遭っています
病院の場合は電子カルテ情報が取り出せなくなり、診療はもちろん患者の命に関わる事態となります
各事業所ともコンピューターウィルスの被害について研修を実施し、「あやしいメールは開かない。添付ファイルを開かない」と繰り返し教えているはずです。それでも従業員が300人、400人といればメールを開いてしまい、コンピューターウィルスの感染を招いてしまう者が1人や2人いて、感染被害を完全に防ぐのは難しいのが現実です
また、インターネット経由で直接、企業内のコンピューターネットワークに侵入を図り、データを管理するサーバーにコンピューターウィルスを植え付ける手口も増加しています
京都にある情報処理企業「イセトー」がランサムウェアに感染し、顧客から預かっていた個人情報が大量に流出したと報じられています
徳島県は3日、自動車税の納税通知書などの印刷業務を委託している「イセトー」(京都市)のサーバーがランサムウェア(身代金ウイルス)による攻撃を受け、自動車登録に関する約14万5千件の個人情報などが外部に流出したと発表した。
県によると、流出したのは、2023年度の自動車税の印刷データ(個人13万2503人、法人7691事業所)や、22年度の減免自動車の現況報告書(個人4260人)など。普通自動車など県に登録された27万9千台の約7割にあたる。
いずれも氏名・事業所名と住所が記され、税額や自動車登録番号なども一部記載されているという。県は対象者におわびの文書を送る。
県はイセトーに対し、11年から納税通知書や自動車税の督促状などの作成を委託。今年5月に同社がサイバー攻撃を受けて88人分の情報流出が判明。さらに調査した結果、今回の大量流出が判明した。
■業務後に個人情報の削除怠る
同社が業務後、個人情報の削除を怠るなど不適切な対応があったことも確認され、県は損害賠償など法的措置を含め検討する。記者会見した上田紘嗣・企画総務部長は「大変申し訳ないことで、情報管理の一層の徹底を図る」と述べた。
(朝日新聞の記事から引用)
この他、「イセトー」から個人情報が流出したのは和歌山市、高松市といった地方自治体に加え、いくつもの民間企業の名前が挙がっています。「イセトー」が預かっていた数百万人分の個人情報が流出したものと推測されます
地方自治体から納税通知のデータを受けた後、これを帳票に印刷出力したらデータを確実に削除するのが手順なのでしょう。手順を怠り(面倒だと思ったのか)、そのままサーバーにデータを残して次の作業に取り掛かるのが常態化していたものと考えられます
「イセトー」について調べると、2019年に公正取引委員会から、「日本年金機構が発注する帳票作成業務等の入札に関して、独占禁止法違反の疑いがある」と調査を受け、不当な取引制限を実施したとの理由で2300万円の課徴金支払いを命じられています
もともとコンプライアンスに問題のある会社だったのかもしれません。そのような曰く付きの会社に徳島県や和歌山市が業務を委託していたのもどうか、と思ってしまいます
https://03pqxmmz.seesaa.net/article/201805article_22.html
個人情報流出 年金機構の釈明がウソだらけ
https://03pqxmmz.seesaa.net/article/201506article_16.html
年金機構にウィルス 個人情報流出
https://03pqxmmz.seesaa.net/article/201506article_2.html
住基ネットで個人情報覗き見 市職員懲戒処分
https://03pqxmmz.seesaa.net/article/202207article_26.html
ベネッセ情報流出問題 200億円の補償を検討
https://03pqxmmz.seesaa.net/article/201407article_16.html
ベネッセから顧客情報2070万件流出か
https://03pqxmmz.seesaa.net/article/201407article_9.html
ネットバンキングを狙った新種ウィルス2万件
https://03pqxmmz.seesaa.net/article/201409article_11.html
世界的ハッカー集団 日本攻撃で大失態
https://03pqxmmz.seesaa.net/article/201206article_41.html
不倫サイトの顧客情報流出 ハッカーの仕業
https://03pqxmmz.seesaa.net/article/201507article_28.html
もともとコンプライアンスに問題のある会社だったのかもしれません。そのような曰く付きの会社に徳島県や和歌山市が業務を委託していたのもどうか、と思ってしまいます
「イセトー」の対応としては各取引先に謝罪して回り、幕引きを図るのでしょう。自治体や民間企業から賠償を請求されたら裁判で争うのか?
契約時、顧客から預かったデータは慎重に保管し、外部に流出させないとの注意義務が明記されているはずです
それでも「イセトー」は、「十分に注意を払っていたが、悪意のあるハッカーの攻撃を受けるという想定外の事態によって流出してしまった」と会社側に過失はなかったと言い張るのかもしれません
いずれにしても、「イセトー」が各取引先から契約を打ち切られ、経営が立ち行かなくなれば倒産して終わりです。倒産した会社に何かを請求したところで得られるものはないので。当然、流出した個人データはそのまま出回り、回収など不可能です
(関連記事)
年金事務丸投げ会社倒産 社長は雲隠れhttps://03pqxmmz.seesaa.net/article/201805article_22.html
個人情報流出 年金機構の釈明がウソだらけ
https://03pqxmmz.seesaa.net/article/201506article_16.html
年金機構にウィルス 個人情報流出
https://03pqxmmz.seesaa.net/article/201506article_2.html
住基ネットで個人情報覗き見 市職員懲戒処分
https://03pqxmmz.seesaa.net/article/202207article_26.html
ベネッセ情報流出問題 200億円の補償を検討
https://03pqxmmz.seesaa.net/article/201407article_16.html
ベネッセから顧客情報2070万件流出か
https://03pqxmmz.seesaa.net/article/201407article_9.html
ネットバンキングを狙った新種ウィルス2万件
https://03pqxmmz.seesaa.net/article/201409article_11.html
世界的ハッカー集団 日本攻撃で大失態
https://03pqxmmz.seesaa.net/article/201206article_41.html
不倫サイトの顧客情報流出 ハッカーの仕業
https://03pqxmmz.seesaa.net/article/201507article_28.html