画像:スポーツクラブNAS株式会社より引用
大和ハウス工業の子会社であるスポーツクラブNAS株式会社は2021年6月16日、同社が運営するサーバーがランサムウェアに感染したことにより、スポーツクラブ会員15万84人分の情報を管理するシステムが使用不能に陥ったと明らかにしました。
発表によると、ランサムウェアへの感染が発覚したのは2021年4月2日で、突如同社システムが使用不能に陥り、内部データが暗号化されるなどの事象が発生。同社が外部調査機関を通じて調査を進めるなどしたところ、外部とのアクセスのために設けていた暗号鍵が何らかの方法により特定され、攻撃を受けた事実が判明したとのことです。
同社は感染判明後、システムの復旧を進めようと試みました。しかし、最終的に復旧は困難との結論に至ったとのことです。
クレジットカード情報が暗号化されるも有効期限切れ
スポーツクラブNAS株式会社によると、今回ランサムウェアにより暗号化されたサーバーには、東京や大阪など合計9店舗の会員情報が含まれていました。
同社の調査によると、対象データは氏名や住所のほか、銀行口座情報やクレジットカード情報も記録されていたとのこと。ただし、記事発表時点でこれらのデータが外部に公開された形跡は確認されていないほか、クレジットカード情報については2014年時点で同社が新システムへ以降したため、2021年4月時点ですべて有効期限切れになっているとの認識を公表しています。
なお、同社は現在、把握している会員に対して個別に報告を進めている状況です。今後はファイアーフォール等のセキュリティに加えて、異常を検出した場合にネットワークを遮断し、被害を抑止する新システムを導入すると発表。さらに調査専門会社からの報告を踏まえた、セキュリティ対策を講じていくとしています。