本年(2024年)6月、KADOKAWAグループがランサムウェアを含むサイバー攻撃をうけて、
25万人以上の個人情報が漏洩する、という事故が発生しました。
概要としては、2024年6月8日、KADOKAWAグループの複数サーバにアクセスが出来ないという障害が発生。
かの有名なニコニコ動画に障害が出たというニュースを耳にした方も多いと思いますが、この障害も件のサイバー攻撃の影響です。
そうしたサービス群が中心に標的にされて、KADOKAWAグループデータセンター内の株式会社ドワンゴ専用ファイルサーバ等がサイバー攻撃を受けた、というものでした。
下記、KADOKAWAが公表した報告を一部抜粋します。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
◆外部漏洩が発生したことを確認した情報
1. 個人情報 合計: 254,241人
【社外情報】
- 株式会社ドワンゴ関連の下記情報
- - 同社および同社の一部関係会社の一部取引先(クリエイター、個人事業主含む)の個人情報(氏名、生年月日、住所、電話番号、メールアドレス、活動名、口座情報など)
- - 年月日、住所、電話番号、メールアドレス、学歴・口座情報などの属性情報、社員番号・勤怠などの人事情報など)
- - 同社および同社の一部関係会社の面接を受けた一部の方の個人情報(氏名、生年月日、住所、電話番号、メールアドレス、選考履歴など)
- N中等部・N高等学校・S高等学校の在校生・卒業生・保護者・出願者・資料請求者のうち、一部の方々の個人情報(氏名、生年月日、住所、電話番号、メールアドレス、学歴などの属性情報、入学年・担任・進学先などの学生情報など)
- 学校法人角川ドワンゴ学園の一部元従業員の個人情報(氏名、メールアドレス、口座情報などの属性情報、社員番号・所属組織などの人事情報など)
【社内情報】
- 株式会社ドワンゴ関連の下記情報
- - 同社全従業員(契約社員、派遣社員、アルバイト含む)の個人情報(氏名、生年月日、住所、電話番号、メールアドレス、学歴・口座情報などの属性情報、社員番号・勤怠などの人事情報など)
- - 同社の一部関係会社および同社の一部兄弟会社の一部従業員の個人情報(氏名、生年月日、住所、電話番号、メールアドレス、学歴・口座情報などの属性情報、社員番号・勤怠などの人事情報など)
- 学校法人角川ドワンゴ学園の一部従業員の個人情報(氏名、メールアドレス、口座情報などの属性情報、社員番号・所属組織などの人事情報など)
2.企業情報など
【社外情報】
- 株式会社ドワンゴ関連の下記情報
- - 同社の一部取引先との一部の契約書
- - 同社の過去および現在の一部関係会社における一部の契約書
- - 同社の一部の元従業員が運営する会社の情報
【社内情報】
- 株式会社ドワンゴの法務関連をはじめとした社内文書
ランサムウェア攻撃による情報漏洩に関するお知らせ 掲載開始日 2024年08月05日
https://www.kadokawa.co.jp/topics/12088/ より抜粋
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
原因については現在も調査中とされていますが、可能性のひとつにフィッシングなどの攻撃により従業員のアカウント情報が搾取されてしまい、
そこが侵入経路になったのではないかと推測しているようです。
概要としては上記になりますが、
KADOKAWAのような大手企業がセキュリティ対策を怠っていた、というのは考えづらいです。
憶測にはなりますが、むしろある程度のコストを掛けシステムを構築しているはずです。
たった1アカウントが侵入経路になる、ひとりの意識低下が大きな事故につながることがある、と思い知らされたニュースでした。
今回の件では大手で更に漏洩した情報も多く大きなニュースとして取り上げられましたが、
決して他人事ではない、と危機感を感じた経営者、個人情報保護・情報セキュリティ担当者の方々は多いのではないでしょうか。
また、このような報道が出ると世間もより情報セキュリティに敏感になるのは必然的な流れであり、
今後顧客要求や取引条件にセキュリティ対策を問われることが多くなる、ということも考えられます。
規模は関係なく、個人情報や情報資産を取り扱う組織として日ごろから何ができるか、今一度考える良い機会だと思います。
・従業員、関係各位への教育
・社内ルールの策定、見直し
・情報資産の棚卸
・セキュリティレベルの向上を検討
など今から動けることはいくつもあります。
更に事故発生時の手順、報告場所・方法等の策定がされていなかったとしたら、
万が一同じような事故が発生した際の初手が大幅に遅れてしまい、更なる被害拡大なども考えられます。
ISMSやプライバシーマークを取得するにあたっては
上記のような資産管理から教育、マニュアルが必須となります。
社内規則を見直すだけでも効果はありますが、ISMSやPマーク認証を受けることで
よりレベルの高いセキュリティ対策ができるのは言うまでもありません。
・セキュリティ対策の方法が知りたい
・なにも社内ルールが整備されていない
・社内ルールを策定してから数年経過している
・これから個人情報の取り扱いを行う新規事業を始めるが、
セキュリティ対策として具体的に何をすればよいかわからない
・顧客要求でISMSやPマークが必要と言われた
新規認証取得や運用は、なかなか本業の片手間に行うのは困難かと思います。
等々、些細なことでも構いません。まずはこちらからお問い合わせください! 
