当社が管理運用するサーバー内のお客様の印刷用データが、外部から不正アクセスを受け、一部の印刷用データが消失したこと、印刷用データには名刺など個人情報を含む内容も含まれていたことを2022年7月4日、7月15日(以下、既報)にご報告させていただきました。この度、外部の専門機関の協力のもと進めてまいりましたデジタルフォレンジック調査*が完了しましたので、当該調査を踏まえた結果および再発防止に向けた取り組みにつきましてご報告申しあげます。
お客様をはじめ関係者の皆様に多大なるご迷惑、ご心配をお掛けする事態となりましたことを深くお詫び申し上げます。
■調査で判明した事実
1)不正アクセス履歴があったお客様情報範囲
・不正アクセスされた情報
プリントサービスで使用した名刺やチラシ等の印字内容
なお、お客様のクレジットカード情報等の支払、決済情報は弊社では保持しておりません。
・ご注文期間
2020年4月20日~2022年5月12日
既報で対象となるご注文期間を2020年1月~2022年4月とご報告させていただきましたが、詳細調査により2022年5月ご注文分3件についても不正アクセス履歴があったことが判明しました。お詫びしてご報告申し上げます。
・ご注文件数
該当パソコンの詳細調査から、不正アクセス履歴があったご注文件数は960件と判明しました。既報では明確に対象外と判明しない場合は対象とするよう範囲を広げてご報告をしておりましたが、詳細調査により、この度対象注文件数が確定しました。
・個人情報数
対象となった印刷用データのうち、個人情報を含むご注文数(名刺、挨拶状、社員証作成等のサービス名称から算出)は804件、そこに印字されていた個人情報数は922名と判明しました。
2)不正アクセス元
不正アクセスはマルウェア等による攻撃ではなく、当社システムに関するパートナー企業のパソコンから、契約業務外でのアクセスであったことが判明しました。不正なアクセスを行ったパソコンは一台であったことをパートナー企業の協力のもと特定し、該当パソコンのデジタルフォレンジック調査から、パソコンが外部から侵入されマルウェアなどのコンピュータウィルスに感染した形跡や、第三者が攻撃の踏み台として同端末を利用した形跡は見つかりませんでした。
不正アクセス概要図
なお、該当パソコンは当社ネットワーク、パートナー企業ネットワークから遮断し、第三者管理下において物理的隔離をしております。
3)二次流出調査結果
デジタルフォレンジック調査から、不正アクセス履歴があったお客様の印刷用データや印刷用データに含まれていた個人情報において、該当パソコンから他端末やネットワークへ流出した形跡は確認されませんでした。またプリントアウト履歴調査からも外部へ持ち出された形跡は確認されませんでした。
■お客様へのご報告
1)公式ホームページによるご報告
公式ホームページ上にて2022年7月4日に「当社サーバーへの不正アクセスに関するお知らせ(第一報)お客様の個人情報流出可能性のお知らせとお詫び」を掲載、7月15日に追加情報を掲載いたしました。
2)電話、電子メール、郵送による個別のご連絡
2022年7月4日から、印刷内容の確認ができたお客様から順次、情報の流出の可能性のある方へご連絡をしております。今回、お客様毎の印刷データにおける印字内容確認に多くの時間がかかり、ご連絡に時間を要していることをあらためて深くお詫び申し上げます。
3)最終ご報告
2022年7月28日に本ご報告を公式ホームページへ公表いたしました。
■再発防止策
当社は、以下の通り、本件を踏まえ再発防止に向けた種々のセキュリティ強化策を講じてまいります。
1)技術的対策
【対策済】
・当社サーバーの認証IDの無効化を実施
・当社サーバーの認証IDの再作成を実施
・当社サーバーへの接続ルート、IDを必要最小限に限定
・不正アクセス元パソコンの通信遮断、物理的遮断
【対策予定】
・社外との通信、サーバーやシステムへのアクセスに対する監視と管理の強化
専門機関と協力して上記再発防止策を実施してまいります。
2)組織的・その他対策
【対策予定】
・従業員に対する社内セキュリティ再教育、コンプライアンス再教育
・BCP(事業継続計画)のアップデート(危機管理パート/セキュリティパート)
・データ保管期間の明確な掲示、告知(WEBサイト/店頭)
・お客様情報を取り扱う新規又は既存のシステムに対する専門機関によるセキュリティ診断の実施
・委託先の情報管理体制、セキュリティ対策に対する監査
・情報セキュリティ委員会を設置し、再発防止計画を策定、遂行
この度は、貴社ならびにお取引先様、関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを、心より深くお詫び申し上げます。
今回の事態を厳粛に受け止め、あらためて情報セキュリティ対策及び監視体制のさらなる強化を行い、再発防止に向け全力を尽くしてまいります。
*デジタルフォレンジック調査:パソコン内の記憶装置に格納されたデータや、削除の履歴データを解析することで、パソコン上の操作履歴やアクセス情報を調査保全することです。
【お客様相談窓口】
下記の窓口で、お客様からのお問合せに対応致します。
キンコーズ・ジャパン株式会社 お客様相談センター
フリーコール 0120-001-966
受付:平日 午前9時~午後6時まで
【報道機関からのお問合せ先】
キンコーズ・ジャパン株式会社 広報・サステナビリティ推進室
TEL 03-6324-1000
受付:平日 午前9時~午後6時まで
MAIL: koho@kinkos.co.jp
会社名 : キンコーズ・ジャパン株式会社
所在地 : 東京都港区芝浦1-1-1 浜松町ビルディング27階
代表者 : 代表取締役社長 渡辺浩基
設立 : 1991年12月24日
資本金 : 100,000千円
従業員数: 762名(2022年4月1日現在)
URL : https://www.kinkos.co.jp/corporate/