株式会社オプトは11月10日、業務委託先への不正アクセスについて発表した。
これは同社が一部業務を委託しているアクリーティブ株式会社が運用・管理するサーバに不正アクセスがあり、オプトの取引先情報を含むサーバ内のデータが暗号化される被害が判明したというもの。
アクリーティブでは8月24日に、システム業者によるファイアウォールの交換作業を実施したところ、その直後に当該サーバに外部からサイバー攻撃があり、翌8月25日にファイルサーバを含む一部のサーバ内のデータが暗号化され閲覧不能な状態となっていることを確認している。
対象となる可能性のある取引先の情報は、過去にオプトが業務を発注した取引先に関する口座番号、口座名義・屋号など1,206件。
アクリーティブでは8月25日から9月12日に、外部のセキュリティ専門会社によるフォレンジック調査を実施した結果、外部へのデータ流出の痕跡は確認されず、ダークウェブの監視を継続しているが、現時点で当該情報が流出した事実も確認されていない。
オプトでは「現時点でお取引先様の情報が漏えいした事実や本件に起因する情報の不正利用、二次的な被害が発生した事案は確認されなかった」とアクリーティブから報告を受けたことに触れつつ、「しかしながら、個人情報保護法の定めに基づき、個人情報漏えいのおそれがある事案であることから、下記の通り、ご報告申し上げます。」と公表を判断した経緯について述べている。
オプトでは今後、委託先を含め情報管理体制の見直しを図るとのこと。
