大和ハウス工業株式会社の100%子会社であるスポーツクラブNAS株式会社は6月16日、同社サーバに外部から不正アクセスがあり、同社の一部店舗で運用する会員管理システムに障害が発生したと発表した。
同社では当該サーバにファイアウォールを設定していたが、4月2日に外部とのアクセスのために設けていた暗号化されたキー(鍵)を第三者が何らかの手口によって特定し、不正アクセスしたことでサーバがランサムウェアに感染、当該サーバに保管していたデータがすべて暗号化され、同社の一部店舗(計9店舗)で運用していたシステムが使用不能となった。
同社では4月2日午前8時55分頃に、店舗からシステム保守会社に対しシステムが使用できない旨を連絡、午前9時30分頃にシステム保守会社が遠隔操作によりデータセンターに置いている当該サーバの状態を確認したところ、ファイルが文字化けしランサムウェアに感染した疑いがあることを確認、午前10時10分頃にシステム保守会社から同情報部門に報告を行い、同社情報部門からシステム保守会社に対し、データセンターでのサーバの状態を確認を依頼。同社情報部門からデータセンターに対し当該サーバのLANケーブルの引き抜きを依頼し、ネットワーク接続を遮断した。
同日午後1時頃にシステム保守会社がデータセンターに到着し当該サーバの状態を確認したところ、4月2日午前2時頃に、ランサムウェアによって当該サーバ内のデータが暗号化されたことが判明した。
同社によると今回、不正アクセスを行った第三者から暗号化された当該サーバ内のデータ復旧のために復号ツールの購入が必要であるとのメッセージを受領しているが、個人情報等を窃取したとの記載はなく、現在まで身代金の要求等の脅迫行為は行われておらず、また調査専門会社の調査によれば、2021年5月18日時点で顧客等の情報が、ダークウェブ上の情報公開サイトには存在しておらず、「無差別型ランサムウェア」である可能性が高いという。
当該サーバには、氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち1つ以上の項目を含む150,084人分の会員情報(内クレジットカード情報を含む34,920人)と氏名、生年月日を含む460人分の従業員情報が保管されていた。
会員管理システムを運用していた店舗の詳細は以下の通りで、同システムの運用期間中に入会・利用した顧客等の個人情報が登録されていた。なお同社では、新会員管理システムへの移行に伴い、2014年2月11日以降は、当該システムへのクレジットカード情報の新規および更新情報の登録を停止していたため、登録されていたクレジットカード情報は全て有効期限切れとなっている。
・スポーツクラブNASリバーシティ21
運用期間:2001年9月~2014年2月
・スポーツクラブNAS新川崎
運用期間:2011年4月~2013年9月
・スポーツクラブNAS姪浜
運用期間:2011年6月~2014年2月
・スポーツクラブNAS中山
運用期間:2012年3月~2013年9月
・スポーツクラブNAS西日暮里
運用期間:2012年5月~2013年11月
・スポーツクラブNAS戸塚
運用期間:2013年3月~2013年5月
・スポーツクラブNAS稲沢
運用期間:2013年4月~2013年7月
※氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち1つ以上を含む店舗。
・スポーツクラブNAS博多
運用期間:2010年9月~2014年2月
※氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち1つ以上を含む。
運用期間:2014年3月~2021年4月
※氏名、生年月日、性別、会員番号
・スポーツクラブNAS大阪ドームシティ
運用期間:2011年4月~2014年2月
※氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち1つ以上を含む
運用期間:2014年3月~2021年4月
※氏名、生年月日、性別、会員番号
同社では6月21日を目途に、会員管理システムに個人情報が登録されていた会員等に対し、同社が把握している住所に書面を発送、宛先不明で戻ってきたものに関しては、他の方法を検討し可能な限り本人への連絡に努める。
同社では4月14日に個人情報保護委員会に報告を、6月15日に追加の報告を行うとともに、6月4日には警察署に本件を相談している。
同社では再発防止策として、従来のファイアウォール等によるセキュリティ対策に加え、今後は各端末の状況をリアルタイムで監視し、異常検知時はネットワーク通信を遮断し被害を最小限に抑える防御ソフトを導入したとのこと。
同社では当該サーバにファイアウォールを設定していたが、4月2日に外部とのアクセスのために設けていた暗号化されたキー(鍵)を第三者が何らかの手口によって特定し、不正アクセスしたことでサーバがランサムウェアに感染、当該サーバに保管していたデータがすべて暗号化され、同社の一部店舗(計9店舗)で運用していたシステムが使用不能となった。
同社では4月2日午前8時55分頃に、店舗からシステム保守会社に対しシステムが使用できない旨を連絡、午前9時30分頃にシステム保守会社が遠隔操作によりデータセンターに置いている当該サーバの状態を確認したところ、ファイルが文字化けしランサムウェアに感染した疑いがあることを確認、午前10時10分頃にシステム保守会社から同情報部門に報告を行い、同社情報部門からシステム保守会社に対し、データセンターでのサーバの状態を確認を依頼。同社情報部門からデータセンターに対し当該サーバのLANケーブルの引き抜きを依頼し、ネットワーク接続を遮断した。
同日午後1時頃にシステム保守会社がデータセンターに到着し当該サーバの状態を確認したところ、4月2日午前2時頃に、ランサムウェアによって当該サーバ内のデータが暗号化されたことが判明した。
同社によると今回、不正アクセスを行った第三者から暗号化された当該サーバ内のデータ復旧のために復号ツールの購入が必要であるとのメッセージを受領しているが、個人情報等を窃取したとの記載はなく、現在まで身代金の要求等の脅迫行為は行われておらず、また調査専門会社の調査によれば、2021年5月18日時点で顧客等の情報が、ダークウェブ上の情報公開サイトには存在しておらず、「無差別型ランサムウェア」である可能性が高いという。
当該サーバには、氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち1つ以上の項目を含む150,084人分の会員情報(内クレジットカード情報を含む34,920人)と氏名、生年月日を含む460人分の従業員情報が保管されていた。
会員管理システムを運用していた店舗の詳細は以下の通りで、同システムの運用期間中に入会・利用した顧客等の個人情報が登録されていた。なお同社では、新会員管理システムへの移行に伴い、2014年2月11日以降は、当該システムへのクレジットカード情報の新規および更新情報の登録を停止していたため、登録されていたクレジットカード情報は全て有効期限切れとなっている。
・スポーツクラブNASリバーシティ21
運用期間:2001年9月~2014年2月
・スポーツクラブNAS新川崎
運用期間:2011年4月~2013年9月
・スポーツクラブNAS姪浜
運用期間:2011年6月~2014年2月
・スポーツクラブNAS中山
運用期間:2012年3月~2013年9月
・スポーツクラブNAS西日暮里
運用期間:2012年5月~2013年11月
・スポーツクラブNAS戸塚
運用期間:2013年3月~2013年5月
・スポーツクラブNAS稲沢
運用期間:2013年4月~2013年7月
※氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち1つ以上を含む店舗。
・スポーツクラブNAS博多
運用期間:2010年9月~2014年2月
※氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち1つ以上を含む。
運用期間:2014年3月~2021年4月
※氏名、生年月日、性別、会員番号
・スポーツクラブNAS大阪ドームシティ
運用期間:2011年4月~2014年2月
※氏名、住所、生年月日、性別、電話番号、会員番号、メールアドレス、緊急連絡先、クレジットカード情報、口座情報、勤務先(名称、住所、電話番号)のうち1つ以上を含む
運用期間:2014年3月~2021年4月
※氏名、生年月日、性別、会員番号
同社では6月21日を目途に、会員管理システムに個人情報が登録されていた会員等に対し、同社が把握している住所に書面を発送、宛先不明で戻ってきたものに関しては、他の方法を検討し可能な限り本人への連絡に努める。
同社では4月14日に個人情報保護委員会に報告を、6月15日に追加の報告を行うとともに、6月4日には警察署に本件を相談している。
同社では再発防止策として、従来のファイアウォール等によるセキュリティ対策に加え、今後は各端末の状況をリアルタイムで監視し、異常検知時はネットワーク通信を遮断し被害を最小限に抑える防御ソフトを導入したとのこと。
