丸紅株式会社は2021年1月18日、同社の子会社である丸紅パワー&インフラシステムズ株式会社(丸紅パワー)のファイルサーバーが何者かのサイバー攻撃を受けたことにより、同社に所属する従業員や退職者のマイナンバー情報や取引先担当者の個人情報など、複数の情報について流出の可能性が生じたと明らかにしました。
発表によると、同社では2020年7月3日ごろより被害サーバーから異常が検出されていたとのこと。このため、同社が外部アクセスを遮断した上でセキュリティ業者と連携して調査を進めたところ、被害サーバーに脆弱性が内在しており、攻撃者に利用された形跡が見つかりました。
なお、同社が攻撃者のものと見られる通信量を調査したところ、盗まれた可能性のあるデータは全体の一部とのこと。全3テラバイトのうち、数百メガバイト相当のデータが持ち去られた可能性があり、今回の流出が明らかになったデータが含まれていたものと見られます。
現職から元従業員、取引先まで多数の流出可能性
丸紅パワーによりますと、不正アクセスにより流出した可能性のある情報は、現職従業員から元従業員、取引先の担当者に至るまで様々な人の情報が対象です。
内訳もマイナンバー情報から金融機関情報に加え、健康保険情報や採用関係情報まで多種多様。このため、同社は流出の可能性がある情報の種類に応じて、個別に対応を進めています。
流出情報の内訳
被害者 | 件数 | 内訳 |
---|---|---|
2018年に同社に在籍した従業員及び一部その家族、2018年以降退職及び入社した従業員 | 132件 | マイナンバー情報 |
2018年以降同社に在籍した従業員 | 117件 | 金融機関情報 |
2018年以降同社に在籍した従業員(元従業員、出向社員を含む。) | 256名 | 年齢、生年月日、学歴、健康保険番号等 |
2019年から2021年卒(予定者を含む。)の新卒採用候補者 | 2,107名+810名 | 履歴書及びエントリーシート記載の氏名、住所、生年月日、電話番号、メールアドレス等 |
2008年以降の丸紅株式会社 | 375名 | 電力本部及び同社の従業員に関する住所録 |
2011年以降同社が挨拶状を送付した取引先の担当者 | 1,027名 | 氏名、所属会社の名称、役職、電話番号等 |
同社がVISA申請等を行った取引先の担当者 | 241名 | 氏名、パスポート番号、生年月日等 |
なお、同社はセキュリティ対策としてシステムの入れ替えを実施しています。現在は既に新しいシステムへの移行を完了しており、流出はないものと見られます。
参照不正アクセスによる情報流出の可能性に関するお詫びとお知らせ