最大888社のPマーク審査関連資料が流出した可能性 - 複数ランサムの痕跡も

プライバシーマーク制度を運営する日本情報経済社会推進協会（JIPDEC）は、プライバシーマークの審査員より審査関連資料が外部に流出した問題で経緯などを明らかにした。申請とは異なる環境で作業を行っており、複数のランサムウェアによる攻撃を受けた痕跡なども見つかったという。

審査員1人が、審査業務後に廃棄すべき審査関連資料を規程に反して外部記憶媒体などに保管して自宅へ持ち出し、その後外部へ流出したもの。JIPDECでは8月10日に事態を公表するとともに外部協力のもと調査を進めていた。

過去にプライバシーマークを取得していた事業者1社から、インターネット上で自社に関するプライバシーマークの審査関連資料と思われるファイルが閲覧可能な状態にあるとの連絡が8月8日にあり、調査を行ったところ判明した。

同審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料と審査員名簿が、現状判明しているだけでも2020年7月から2023年8月にかけてインターネット上で閲覧できる状態だった。期間中に少なくとも3種類のランサムウェアによる攻撃を受け、暗号化されたファイルがあることも確認されているという。

流出の可能性があるのは、同協会や日本印刷産業連合会が審査業務を委託していたプライバシーマーク取得事業者最大888社に関する情報。事業者名、所在地、電話番号にくわえて、代表者、個人情報保護管理者、個人情報保護監査責任者、担当者の氏名、部署、役職および一部メールアドレスなど個人情報が含まれる。同協会委託分を約3500人分としており、日本印刷産業連合会の委託分については調査を進めている。

また個人情報保護の運用体制などの状況を示した審査報告書や関連資料のほか、プライバシーマーク審査員669人に関する氏名、住所、電話番号、メールアドレスが記載された名簿なども流出した可能性がある。

（Security NEXT - 2023/11/14 ） ツイート

PR

関連記事

脆弱性「Dirty Frag」が製品に与える影響を調査 - Fortinet
「Cisco Catalyst SD-WAN Manager」にゼロデイ脆弱性 - 悪用も確認
「Progress Kemp LoadMaster」にRCE脆弱性 - WAF回避のおそれも
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
「Chrome」最新版で脆弱性429件を修正 - クリティカルは22件
「OpenStack Mistral」に脆弱性 - API認証ユーザーがコード実行可能
個人情報含む教員マニュアルを一時紛失、空港トイレで - 大阪府
許可のもと持ち帰った全校児童名簿が所在不明に - 東かがわ市
ECサイトの複数ページで改ざん被害、外部サイトへ誘導 - 健康器具販売サイト
ランサム攻撃で情報流出、詳細は調査中 - 中央紙器工業