最大888社のPマーク審査関連資料が流出した可能性 - 複数ランサムの痕跡も

プライバシーマーク制度を運営する日本情報経済社会推進協会（JIPDEC）は、プライバシーマークの審査員より審査関連資料が外部に流出した問題で経緯などを明らかにした。申請とは異なる環境で作業を行っており、複数のランサムウェアによる攻撃を受けた痕跡なども見つかったという。

審査員1人が、審査業務後に廃棄すべき審査関連資料を規程に反して外部記憶媒体などに保管して自宅へ持ち出し、その後外部へ流出したもの。JIPDECでは8月10日に事態を公表するとともに外部協力のもと調査を進めていた。

過去にプライバシーマークを取得していた事業者1社から、インターネット上で自社に関するプライバシーマークの審査関連資料と思われるファイルが閲覧可能な状態にあるとの連絡が8月8日にあり、調査を行ったところ判明した。

同審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料と審査員名簿が、現状判明しているだけでも2020年7月から2023年8月にかけてインターネット上で閲覧できる状態だった。期間中に少なくとも3種類のランサムウェアによる攻撃を受け、暗号化されたファイルがあることも確認されているという。

流出の可能性があるのは、同協会や日本印刷産業連合会が審査業務を委託していたプライバシーマーク取得事業者最大888社に関する情報。事業者名、所在地、電話番号にくわえて、代表者、個人情報保護管理者、個人情報保護監査責任者、担当者の氏名、部署、役職および一部メールアドレスなど個人情報が含まれる。同協会委託分を約3500人分としており、日本印刷産業連合会の委託分については調査を進めている。

また個人情報保護の運用体制などの状況を示した審査報告書や関連資料のほか、プライバシーマーク審査員669人に関する氏名、住所、電話番号、メールアドレスが記載された名簿なども流出した可能性がある。

（Security NEXT - 2023/11/14 ） ツイート

PR

関連記事

ウェブフレームワーク「Qwik」に深刻な脆弱性 - 修正版が公開
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
メルアカに不正ログイン、フィッシングの踏み台に - じほう
個人情報含む書類を異なる金融機関へ誤送付 - 愛知のケーブルTV局
ブラウザ「MS Edge」にセキュリティ更新 - 脆弱性3件を修正
就職相談会の応募フォームに設定ミス、個人情報を閲覧可能に - 練馬区
システムから個人情報流出の可能性 - JAあきた北ライフサービス
医療機器保守用VPN経由でランサム攻撃、DB窃取 - 日医大武蔵小杉病院
「Langflow」にプロンプトインジェクションによるRCE脆弱性
「PTXシリーズ」搭載の「Junos OS Evolved」に深刻な脆弱性