piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

個人利用クラウドへのアップロードも行われた再委託先従業員による情報持ち出しについてまとめてみた

2021年8月5日、村田製作所は再委託先企業の従業員が取引先情報や個人情報などを含むデータを無許可でダウンロードした上、外部のクラウドサービスへアップロードを行っていたとして不適切な取り扱いの発生を公表しました。ここでは関連する情報をまとめます。

外部流出ないが状況鑑み公表

  • 不適切な取り扱いを行ったのは再委託先であるIBM中国法人のIBM Dalian Global Delivery Co., Ltd.(以後IBM DGD社と表記)で現地採用されたエンジニア。村田製作所は業務効率化として進めている会計システムの移行プロジェクトを日本IBMへ業務委託をしており、日本IBMからIBM DGD社へ再委託が行われていた。
  • 会計システムは従業員の給与支払いや取引先への代金支払いに利用しており、システムへの反映を行うためクラウド上で当該データの保管が行われていた。IBM DGD社の従業員はデータにアクセスできる権限を持っていた。*1
  • 無許可でダウンロードされたプロジェクト管理データには72,460件の取引先情報、従業員関連情報が含まれていた。対象となる国は複数で対象国ごとに情報が異なる。日本、中国、フィリピン、マレーシア、シンガポール、米国、EUが対象国・地域で、この内シンガポールは取引先情報のみ、顧客情報の対象となるのは中国とフィリピンのみと村田製作所は説明している。
対象情報 件数 項目(国ごとに異なる)
取引先情報 30,555件 会社名、住所、氏名、電話番号、メールアドレス、銀行口座
村田製作所従業員情報 41,905件 従業員番号、所属会社名、氏名、メールアドレス、銀行口座
  • 今回はIBM DGD社従業員による不適切な取り扱いが行われたというもので、日本IBMからは従業員以外のアクセスやデータ取得の他、悪用された事実はなく、アップロードが行われたクラウドストレージサービスの事業者からも外部流出は確認されていないと報告を受けたとしている。その上で公表に至った理由は①データ対象範囲が広いこと、②取引先情報と個人情報がデータに含まれていたことの2点を踏まえたものと説明している。またこの件に関連したマルウエアの感染やサイバー攻撃の発生は否定した。
  • 村田製作所は委託先の日本IBMに対して、契約解除は検討中とし、損害賠償請求も実損発生の際は行うとしている。

クラウドストレージはノウハウ整理で利用か

  • IBM DGD社従業員が取引先情報や個人情報を含むプロジェクト管理データをダウンロードしてから2日後に、IBM DGD社の監視システムでセキュリティアラートが発報されたことで調査が行われ、ダウンロードから6日後に今回の件が発覚した。さらに同従業員へのヒアリングから個人アカウントで利用している中国国内のクラウドストレージサービスへアップロードを行っていたことも判明。業務用PCやクラウドストレージ上から既にデータは削除済みとしている。
  • 今回の件について、IBM DGD社の当該従業員はシステム設計などを学ぶ目的で自身のノウハウを個人利用のクラウドサービスに保管、整理していた。今回その中に偶然問題となったプロジェクト管理データが含まれていたと話している。*2

関連タイムライン

日時 出来事
2021年6月28日 IBM DGD社従業員(再委託先)がプロジェクト管理データを業務用PCへダウンロード。
2021年6月30日 IBM DGD社内の監視システムがセキュリティアラートを発報。
2021年7月4日 調査を行った結果、プロジェクト管理データのダウンロードを行っていたことをIBM DGD社が把握。
2021年7月8日 当該従業員へのヒアリングより、ダウンロード後に個人利用のクラウドサービスへアップロードを行っていたことが判明。IBM DGS社の監視の元、アップロードが行われたデータを削除。
2021年7月20日 日本IBMより村田製作所へ不適切な取り扱いの発生について報告。
2021年8月3日 クラウドストレージサービス事業者からアップロードされたデータの外部流出の形跡がないことを確認したと村田製作所へ報告。
2021年8月5日 日本IBMより順次開示された解析データを村田製作所でも分析、検証。影響範囲の特定とリスク評価を行った上、公表。

更新履歴

  • 2021年8月10日 AM 新規作成