piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

イセトーのランサムウエア感染についてまとめてみた

2024年5月29日、イセトーは社内サーバーなどがランサムウエアにより暗号化される被害が発生したと公表しました。またその後には取引先の個人情報流出の恐れがあることも明らかにしています。ここでは関連する情報をまとめます。

委託後一部データ消されず影響を受けたケースも

  • ランサムウエアによりデータ暗号化の被害にあったのはイセトー社内で使用されているサーバー、PCの一部。被害が確認されたのは2024年5月26日。不正アクセスにつながった原因やランサムウエアの種類などの情報はいずれも特定済みではあるが公表していない。一方で同社に委託していた徳島県によれば今回の不正アクセスは8baseランサムギャングによるものであったことが明らかにされた。
  • 6月6日時点で情報窃取について調査中であり流出の事実を確認していないとするが、ファイルサーバー等から取引先の個人情報の流出の恐れが判明していると説明している。6月3日に8baseランサムギャングの公開するリークサイト上で同社の名前が掲載されており、その後6月18日にファイルが公開された。この公開されたファイルについて同社が調査を行ったところ、このファイルは同社から窃取されたデータであり、さらに取引先の顧客情報が含まれていることが判明した。
  • 当初(5月28日)の時点では今回被害にあった基幹系ネットワークとは別である業務系のネットワーク上のサーバーに保存されているとの報告であった(そのため流出被害はなしと報告を受けている組織も複数あった)が、その後に基幹系ネットワークのサーバー上でも一部顧客情報が保存されていることが確認されたと被害報告を受けたことが報道や被害組織からの公表で明らかにされた。*1
  • 横須賀市のケースにおいては封入・封緘を行った際に破損した投票案内を再印刷する際に、宛名券面を撮影し画像データを電子メールでイセトーへ送信していたが、その画像データがPCに残ったままとなっており影響を受けた。藤沢市、茅ケ崎市はともに委託契約終了後にデータを消去することとなっていたが、一部が保存されたままとなっていた。*2 徳島県は、同社とは委託業務が完了した後に提供した個人情報を削除する契約となっており削除したとの報告を受けていたが、実際には削除されていなかったことを明らかにした。
  • インシデント対応のため社内に対策本部を設置し、イントラネット及び感染の疑いのあるサーバー、PCをシャットダウンした。これにより生産体制に影響が及んだが、取引先からの預託データを被害を受けた領域とは別で業務を行う体制としたことで、6月6日の時点で徐々に復旧に向かっているとしている。

影響を受けた複数の委託元が公表

イセトーへ業務委託を行っていたとして、当該事案による影響を受けた可能性があると公表している組織は以下の通り。

公表日 委託元組織 委託内容等 感染環境に保管等されていた情報 件数等
2024/6/6 徳島県 納税通知書等作成 令和5年度自動車税種別割納税通知書
(氏名、住所自動車登録番号、自動車車台番号、年税額)
96件(88名)
2024/6/6 阿波銀行 顧客へのアンケート用紙発送等(マネロン・テロ資金供与対策一環) 顧客情報の一部 記載なし
2024/6/7 神奈川県茅ケ崎市 投票所入場整理券作成 令和5年4月統一地方選挙投票所入場整理券の宛名データ
(氏名、住所)
47件(詳細調査中)
2024/6/7 神奈川県藤沢市(第2報) 選挙時の投票所入場整理券作成発送 令和6年2月藤沢市長選挙に係る投票所入場整理券の画像データ
(氏名、住所)
76名
2024/6/7 神奈川県横須賀市 令和5年統一地方選挙投票案内作成 封入・封緘時に破損した案内の券面撮影をした画像データ
(氏名、住所)
18人
2024/6/7報道 愛知県豊橋市*3 2023年度高齢者インフルエンザ予防接種予診票作成 公表なし 34人
2024/6/7 三井住友海上あいおい生命保険 委託先とのみ説明 顧客データ
(氏名、住所、郵便番号等)
記載なし
2024/6/7 香川銀行 顧客へのアンケート用紙発送等(マネロン・テロ資金供与対策一環) 顧客情報の一部 記載なし
2024/6/8 愛媛県第2報 自動車税種別割の納税通知書の印刷 令和5年度自動車税種別割納税通知書の画像データ
(住所、氏名等)
80件
2024/6/10 茨城県後期高齢者医療広域連合 同連合事業委託先 医療費通知書
(氏名、住所、被保険者番号、受診医療機関名、医療費額)
32件
2024/6/10 大阪府岸和田市 市議会議員一般選挙に伴う投票所入場整理券・封筒の印刷及び封入封緘 投票所入場整理券データ 5名
2024/6/11 神奈川県横浜市 軽自動車税種別割の納税通知書の印刷等 令和5年度軽自動車税種別割の納税通知書画像データ 1名
2024/6/11 神奈川県平塚市 市民税・県民税および固定資産税・都市計画税(土地・家屋)の納税通知書作成 令和5年度および令和6年度市民税・県民税
(住所・氏名・税額・振替口座情報の一部)
192件
2024/6/11 神奈川県平塚市 市民税・県民税および固定資産税・都市計画税(土地・家屋)の納税通知書作成 令和5年度および令和6年度固定資産税・都市計画税(土地・家屋)
(住所・氏名・税額・振替口座情報の一部および共有代表者の氏名
94件
2024/6/11 兵庫県西宮市 固定資産税・都市計画税納税通知書の封入封緘 固定資産税・都市計画税納税通知書データ
(氏名、住所、課税情報等)
78件
2024/6/13 東京都大田区 がん検診等案内帳票類印刷、封入及び発送 令和6年度がん検診受診券の画像データ
(氏名、住所等)
46名
2024/6/17 東京都教育庁 就学支援金受給資格認定審査等 生徒保護者情報
(生徒氏名、在籍校、課程、学年、就学支援金審査結果、保護者住所、氏名等)
生徒19名、保護者18名
2024/6/26 西京信用金庫(しんきん情報サービス委託先) 出資配当金支払通知書の作成・発送(再委託先) 出資配当金支払通知書画像データ
(氏名、住所、郵便番号、出資金額等)
18件
2024/6/27 パナソニック健康保険組合第2報 各種通知・発送 ジェネリック差額通知データ情報
(氏名、住所、保険証記号・番号、医療機関名、医薬品等)
13,150 名
2024/6/28 吉備信用金庫 帳票等印刷・発送 顧客情報(氏名・住所・郵便番号・顧客番号) 22名
2024/6/29 公文教育研究会(第2報) 委託先とのみ説明 会員情報
(氏名、住所、電話番号、会員番号、iKUMONサイト認証コード・セキュリティコード、教室名、学年)
4,678名
2024/7/1 クボタクレジット 利用明細等の印刷・発送 2022 年 9 月度の利用明細・請求書印刷用データ
(氏名、住所、利用・請求明細(商品名、金額、支払回数等)、引落口座情報一部(金融機関名、名義、特定できないように数ケタを伏字に加工した口座番号))
61,424件
2024/7/1 備前日生信用金庫 帳票等の印刷や発送等 顧客情報の一部(氏名、住所) 17名
2024/7/4 愛知県豊田市 納税通知書などの印刷 市県民税、軽自動車税、固定資産税、都市計画税及び国民健康保険税の各納税通知書、市営住宅使用料等納付通知書、介護保険料納入通知書等、後期高齢者医療保険料納入通知書、新型コロナ予防接種券、非課税世帯等給付金確認書、子育て世帯臨時特別給付金申請書
(氏名、住所、税額、生年月日、保険料、口座情報(マスキング済)等)
約42万人
2024/7/2 山口県(第2報) 自動車税種別割の納税通知書の印刷等 令和4年度自動車税種別割の催告書PDFファイル
(調査中のため内容詳細不明)
14件
2024/7/2 日本生命保険相互会社 委託先とのみ説明 拠出型企業年金保険加入者情報
(氏名、生年月日、性別、加入内容等)
1団体11名
2024/7/2 マニュライフ生命 発送業務の一部 2022年9月末から10月初旬までに電子申込手続きをした契約者等情報の一部
(氏名、住所、生年月日、電話番号、申込番号、および入力をしていた場合はメールアドレス、預金口座番号、年収情報)
1,082件
2024/7/2 京都商工会議所 各種帳票作成・発送 2022年度1号議員選挙および2022年度下期会費請求にかかるデータ
(会議所登録番号(会員番号)、会社名・屋号、代表者役職、代表者氏名、郵便番号、文書送付先、会費請求金額、口座情報一部(金融機関名、支店名、口座種別、口座番号の下3桁))
延べ41,819件
2024/7/2 広島県 個人事業税等納税通知書などの印刷 令和5年度個人事業税と自動車税種別割に係る事業者提供データ
(氏名、住所等)
101件
2024/7/3 徳島県 納税通知書等作成 令和4年度還付充当通知書・送金通知書
(氏名、住所、還付額)
個人1名
2024/7/3 徳島県 納税通知書等作成 令和5年度自動車税印刷データ
(氏名、住所、税額、登録番号(車のナンバー))
個人132,503名(149,797件)
法人7,691名(46,022件)
2024/7/3 徳島県 納税通知書等作成 令和4年度減免自動車の現況報告書
(氏名、住所、登録番号(車のナンバー))
個人4,260名(4,260件)
2024/7/3 東大阪市 介護保険の決定通知書などの印刷等 帳票封入等委託業務における個人情報が含まれる画面スクリーンショット
(氏名、住所)
75名
2024/7/3 伊予銀行 各種帳票の作成・発送 顧客情報(氏名、住所、電話番号、口座番号、取引金額等流出の可能性) 記載なし
2024/7/3 香川県高松市 印刷 令和4年度分個別避難計画に関するデータ
(氏名、住所等)
1,595人
2024/7/3 和歌山県和歌山市 市・県民税特別徴収税額決定通知書の封入封緘 令和5年度分市・県民税特別徴収税額決定通知書データ
(氏名、住所、課税情報)
151,421件
2024/7/3 京都市 新型コロナウイルス感染症ワクチン接種事業に係る接種券作成 令和4年度作成接種券の画像データ
(氏名、住所、生年月日、接種券番号、接種記録(接種日、接種を受けたワクチンの種類))
9名
2024/7/4 東濃信用金庫 顧客向けハガキ帳票作成再委託先 ダイレクトメール作成時に出力ログデータ
(氏名および金融機関コード、支店コードは流出可能性)
5,008件
2024/7/4 大垣西濃信用金庫 顧客向けハガキ帳票作成再委託先 ダイレクトメール作成時に出力ログデータ
(氏名および金融機関コード、支店コードは流出可能性)
延べ3,879件
2024/7/4 ソニー損保 書類作成・発送 契約者(過去契約分含む)情報
(氏名、住所、郵便番号、顧客番号)
延べ19名
2024/7/4 静清信用金庫 顧客向けハガキ帳票作成再委託先 ダイレクトメール作成時に出力ログデータ
(氏名および金融機関コード、支店コードは流出可能性)
2,713件
2024/7/4 島田掛川信用金庫 顧客向けハガキ帳票作成再委託先 ダイレクトメール作成時に出力ログデータ
(氏名および金融機関コード、支店コードは流出可能性)
3,771件
2024/7/4 三井住友信託銀行 各種帳票類の作成・発送 顧客情報 記載なし
2024/7/4 中日信用金庫 各種案内帳票帳票作成再委託先 顧客情報 記載なし
2024/7/4 しずおか焼津信用金庫 顧客向けハガキ帳票作成再委託先 ダイレクトメール作成時に出力ログデータ
(氏名および金融機関コード、支店コードは流出可能性)
4,653件
2024/7/4 遠州信用金庫 顧客向けハガキ帳票作成再委託先 ダイレクトメール作成時に出力ログデータ
(氏名および金融機関コード、支店コードは流出可能性)
2,509件
2024/7/5 北伊勢上野信用金庫 顧客向けハガキ帳票作成再委託先 ダイレクトメール作成時に出力ログデータ
(氏名および金融機関コード、支店コードは流出可能性)
1,430件
2024/7/5 三島信用金庫 顧客向けハガキ帳票作成再委託先 ダイレクトメール作成時に出力ログデータ
(氏名および金融機関コード、支店コードは流出可能性)
4,606件
2024/7/5 知多信用金庫 顧客向けハガキ帳票作成再委託先 ダイレクトメール作成時に出力ログデータ
(氏名および金融機関コード、支店コードは流出可能性)
2,704件
2024/7/5 豊川信用金庫 顧客向けハガキ帳票作成再委託先 ダイレクトメール作成時に出力ログデータ
(氏名および金融機関コード、支店コードは流出可能性)
1,971件
2024/7/10 モンベル 発送業務 モンベルクラブ会員情報
(氏名、住所、顧客番号)
203件
公表日記載なし 京都府 自動車税種別割の納税通知書作成等(再委託先) 納税通知書再プリントの委託先依頼に作成していた一覧表データ(納税義務者氏名、車両番号) 令和5年度分176件
平成31年度分1件
(159名)
公表日記載なし 三菱UFJ信託銀行 確定拠出年金にかかる記録関連(NRKへ委託) 顧客データ
(氏名、住所、郵便番号)
記載なし

同社へ委託を行っていたが、公表時点で流出等の報告を受けていないと公表した組織は以下の通り。

委託元組織 委託内容等
徳島大正銀行 顧客情報の定期的な確認目的のアンケート用紙発送等
高知銀行 顧客へのアンケート用紙発送等(マネロン・テロ資金供与対策一環)
ローソン銀行 帳票等の印刷や発送等
沼津信用金庫(東海信金ビジネス委託先) 各種案内帳票の作成・発送
岡崎信用金庫 業務再委託先
瀬戸信用金庫 顧客向け帳票作成再委託先
碧海信用金庫 ダイレクトメール作成再委託先
岐阜信用金庫 各種案内帳票の作成・発送
埼玉縣信用金庫 顧客向け帳票作成再委託先

またイセトーの名前の掲載はされていないが、公表内容及びタイミング、委託内容から当該事案との関連があるとpiyokangoが判断した事案については以下の通り。

関連タイムライン

日時 出来事
2024年5月26日 イセトーの基幹系ネットワークが8baseランサムギャングによって被害を受ける。
2024年5月29日 イセトーがランサムウエアの被害発生を公表。
2024年6月6日 イセトーが不正アクセスにより一部取引先の個人情報流出を確認したと公表。
2024年6月10日 徳島県がイセトーから不正アクセスが8baseランサムギャングと特定したとの報告を受領。
2024年6月18日 8baseランサムギャングのリークサイト上でイセトーから窃取した情報公開。
同日 22時20分頃 8baseランサムギャングのリークサイトからファイル消失。
2024年6月20日 徳島県がイセトーから外部からの侵入経路を特定したと報告を受領。
2024年7月1日 徳島県がイセトーから公開されたファイルに個人情報流出が判明したデータが存在するとの報告を受領。
2024年7月3日 イセトーがランサムギャングの公開した情報に顧客情報が含まれていたと公表。
  • 徳島県がイセトー社の対応について詳細なタイムラインを公表しているため併記しています。

更新履歴

  • 2024年6月15日 AM 新規作成
  • 2024年6月15日 PM 記事修正(岡山県を高松市に修正)
  • 2024年6月17日 AM 影響対象の組織等を追記
  • 2024年7月4日 PM イセトー第2報の追記、影響等受けた組織等を加筆修正
  • 2024年7月5日 AM 影響を受けた組織等の順序を公表日順に並べ替え、表記ゆれを修正