東京損保鑑定株式会社は2024年12月25日、10月7日に公表した第三者からの不正アクセスによる個人情報漏えいの可能性について、調査結果を発表した。
同社では2024年8月29日に、社内のサーバにアクセスできない状態であったためサーバ保守業者に確認を依頼したところ、暗号化されていることが判明しており、サーバ保守業者とセキュリティ専門会社に調査を依頼し、被害拡大防止措置と原因調査及び復旧対応に着手していた。
その後の調査で、要求に応じなければダークウェブに情報を公開する旨の攻撃者のメッセージが記載されたファイルがサーバに置かれていたことを9月2日に発見している。なお同社によると、現時点で情報の公開や新たな攻撃活動等の被害はなく、同社は攻撃者と一切接触していないとのこと。
セキュリティ専門会社の調査結果によると、UTM機器へのブルートフォース攻撃後にRDP接続で同社サーバに侵入され、ランサムウェアの実行でファイルの暗号化及びドライブの暗号化が行われたことが原因と考えられるという。
本件調査で、攻撃者によるファイル転送ツールによる情報の送出や同社のクラウドストレージへのアクセスは確認できなかったが、同社サーバの複数のローカルフォルダへの不正なアクセスが確認されたことや、本件事象のあった時間帯に係るログが削除された可能性があることから、攻撃者が情報を外部へ送出した可能性を完全に否定することはできないとしている。
漏えい、または漏えいした可能性がある個人データは下記の通り。
1.取引先から受託している個人データ
・保険契約者に関する個人データの項目
契約者及び被保険者の氏名・住所・電話番号等、証券番号、保険契約内容、事故概要等
損害鑑定に係る対象事故の関係者に関する個人データの項目
氏名、住所、電話番号、事故概要等
・その他損害保険業務の関係者等に関する個人データの項目
氏名、その他鑑定業務において東京損保鑑定に委託される情報
2.東京損保鑑定が保有している個人データ
・東京損保鑑定の従業員及び元従業員に関する情報:91名分
個人データの項目 氏名、住所、電話番号、メールアドレス、経歴、社員番号、金融口座情報、勤怠等の人事情報、健康診断情報、その他雇用管理に必要な情報
・採用候補者に関する情報:60名分
個人データの項目 氏名、住所、メールアドレス、電話番号、経歴、その他採用活動に必要な情報
・取引先担当者に関する情報: 約6,400名分
個人データの項目 氏名、所属会社名、肩書、勤務先メールアドレス、勤務先電話番号等
同社では、同社または同社取引先から対象者に個別に連絡を行う。
同社では、使用していたパソコンやシステム、ネットワーク環境の入れ替えを行い、UTMに多要素認証を導入したうえでアクセス制限を設け、EDRやクラウドのセキュリティ対策の導入、不正通信対策など、セキュリティ専門業者のアドバイスを受けてセキュリティ強化策を講じたとのこと。
