カオナビ子会社で15万件を超える個人情報が漏えい　再発防止策を発表

株式会社カオナビ（所在地：東京都渋谷区）の子会社であるワークスチルテック株式会社（所在地：東京都港区、以下：WST）は、2024年3月に公表した個人情報漏えいについて、調査結果と再発防止に向けた取り組みを発表した。

クラウドストレージでのアクセス権限の誤設定

今回の事案については、WSTのクラウドストレージに対するアクセス権限の誤設定により起こったものであると、WSTは説明。2020年1月5日から2024年3月22日まで、WSTのサービスを通じて顧客がアップロードしたファイルは、特定の条件下において外部から閲覧・ダウンロードが可能な状態になっていたという。

漏えいしたデータについての不正利用や二次被害などは確認されていないというが、2023年12月28日〜29日には、第三者からの不正アクセスによってファイルのダウンロードが行われたことが発覚している。実際に個人情報が漏えいした人数は15万8929人に及ぶという。そのうち4万6329人は個人番号情報、8073人はクレジットカードまたはデビットカード情報が含まれていた。

WSTはこの不正アクセスについて、WSTと直接契約している顧客の環境に対して行われたものであり、OEM契約または再使用権許諾契約に基づく顧客のデータについては不正アクセスを受けていないこと、情報漏えいが起こっていないことを報告した。

現在も外部専門機関による二次被害に関する調査は継続しており、情報漏えいが確認された企業及びエンドユーザーに対してWSTは、順次個別に連絡している状況だという。

再発防止に向けた3つの取り組み

原因となったアクセス権限の誤設定については、発覚時に是正済みであるとして、WSTは再発防止に向けたさらなる取り組みについて発表した。

システム管理体制の強化
WSTはクラウド設定の設計及び変更に関してダブルチェック体制を整備し、不正アクセス等の異常に即時対応できるよう監視体制を強化する。また、万が一の不正アクセスに備え、被害拡大を防ぐために顧客のファイル保管先を分離し、アクセス制限の厳格化を併せて実施するという。今後の運用体制や対策については外部専門機関と連携し、定期的な見直し・改善を図るとしている。

脆弱性診断の強化
WSTは2024年4月26日に、本事案の原因以外にセキュリティ面での不備がないか把握するため、クラウド設定状況に関する点検を実施。外部専門機関の診断により「情報漏えいのリスクがある」と指摘された箇所について、同日中に是正を行っている。リスクのない軽微な指摘箇所については、対応計画に基づき順次是正していると報告した。WSTではこのクラウド設定状況に関する点検や、これまでも実施していたアプリケーション及びネットワークに対する脆弱性診断を、今後も継続して定期的に実施する。

情報セキュリティに関する従業員への再教育
WSTは、個人情報保護や情報セキュリティに関する従業者への再教育についても、外部専門機関と連携して実施する計画だ。

まとめ

WSTで起きた個人情報漏えいは、2024年3月に発覚。これまでも定期的に脆弱性診断は行っていたようだが、2020年1月から2024年3月と長期間において情報漏えいのリスクが高い状態が持続されていた。実際に不正アクセスも発覚しており、15万人以上の個人情報が漏えい。企業としての信頼を大きく失う事案となったことは明白だ。

独立行政法人情報処理推進機構の情報セキュリティ対策支援サイトでは、5分でできる自社診断が受けられる。自社のセキュリティ対策について見直すきっかけとして、活用してみてはいかがだろうか。

５分でできる！自社診断 《設問に回答》（情報セキュリティ対策支援サイト）