医療機関・介護事業者向けサービスを提供するアクリーティブ株式会社は10月22日、8月25日に公表した同社ネットワークへの不正アクセスについて、調査結果を発表した。
同社では8月25日に、同社サーバへの第三者からの不正アクセスで、同社サーバの一部が暗号化され閲覧不能な状態となっていた。
同社では8月25日から9月12日にかけて、外部のセキュリティ専門会社によるフォレンジック調査で、データセンター内のサーバやファイアウォールなどの個別機器内に保存されているドキュメント、およびネットワーク上の流通経路でファイルデータが外部に持ち出された形跡が無いかを調査した結果、外部へのデータ流出の痕跡は確認されなかったとの報告を受けている 。
また同社では9月5日から、ダークウェブ上での情報流出有無の監視を行っているが、現時点でダークウェブ上でのデータ流出は確認されていない。
同社では調査結果から、データが外部に漏えいした事実は確認されていないが、漏えいの可能性を完全に否定できるものではないとしている。影響を受けた可能性がある個人データは下記の通り。
・アクリーティブの取引先に関する情報:約2,550件
氏名、商号・屋号、住所、電話番号、アクリーティブとの取引に関する情報
・アクリーティブの従業員(退職者含む)並びに従業員の家族に関する情報:約370件
氏名、住所、性別、生年月日、電話番号、メールアドレス、職歴、社会保険情報、口座情報、報酬等、障害者情報(障害者手帳情報)、病歴(傷病者診断書/傷病手当金申請書情報)等
同社では原因について、8月24日に実施した同社ネットワークにおけるファイアウォールの入替作業でのシステムベンダーの事前の設定ミスで、ファイアウォールの一部の機能が停止した状態のまま機器が設置された結果、外部からサイバー攻撃が行われ、サーバへの不正アクセスが発生したと推測している。
同社では再発防止策として、下記を実施するとのこと。
・システムベンダーに対し、セキュリティ体制の抜本的強化と再発防止策の策定を要請し、その内容を定期的に評価・確認を実施。
・セキュリティリスクを伴う作業を行う際は、アクリーティブによる作業確認に加えて第三者検証機関による検証を実施。
