自治体や企業のIT関連業務を請け負うイセトーで5月26日、複数のサーバーやPCがランサムウェアに感染したことが判明。6月18日には攻撃者のウェブサイトで流出したデータの一部が公開されたことで、同社や、同社に業務を委託していた事業者が対応に追われている。
7月5日現在の被害状況
7月5日現在、イセトーに業務委託している自治体や企業のうち、情報の流出を確認済み、または流出した可能性があると発表しているのは以下のとおり。
■7月5日現在の影響範囲(件数のないものは調査中または未発表)
●都道府県
東京都
・令和5年度の就学支援金受給資格認定審査等に係る個人情報(生徒の氏名・在籍高校・課程・学年・就学支援金審査結果、保護者の住所・氏名等)……生徒19名/保護者18名分
京都府
・自動車税種別割の納税通知書作成再プリント用の一覧表データ(納税義務者氏名、車両番号)……令和5年度分176件/平成31年度分1件
広島県
・個人事業税と自動車税種別割に係る住所、氏名等の情報……101件
徳島県
・令和5年度自動車税の印刷データ(氏名、住所、税額、車のナンバー)……個人14万9797件/法人4万6022件
・令和4年度減免自動車の現況報告書(氏名、住所、税額、車のナンバー)……個人4260件
・令和4年度還付充当通知書・送金通知書(氏名、住所、還付額)……個人1名
愛媛県
・令和5年度の自動車税種別割納税通知書の画像データ(住所、氏名等)……80件(推計)
・令和4年度の個人事業税督促状(氏名、住所、税額等)
・令和5年度の自動車税種別割納税通知書(氏名、住所、税額等)
・令和5年度の自動車税種別割督促状(氏名、住所、税額等)
・令和5年度の個人事業税納税通知書(氏名、住所、税額等)
・令和5年度の全税目一斉催告書(氏名、住所、税額等)
●市区町村
大田区
・令和6年度がん検診受診券の画像データ(対象者の氏名、住所等)……46名分
横浜市
・令和5年度分軽自動車税種別割の納税通知書の画像データ(氏名、課税区分、標識番号)……1名分
横須賀市
・令和5年執行統一地方選挙投票案内の住所、氏名情報……18人分
藤沢市
・詳細確認中
茅ヶ崎市
・令和5年4月執行の統一地方選挙における投票所入場整理券の宛名データ(氏名、住所)……47件(推計)
平塚市
・令和5年度および令和6年度市民税・県民税の住所、氏名、税額、振替口座情報の一部……192件(推計)
・令和5年度および令和6年度固定資産税・都市計画税の住所、氏名、税額、振替口座情報の一部および共有代表者の氏名……94件(推計)
豊田市
・市県民税、軽自動車税、固定資産税、都市計画税及び国民健康保険税の各納税通知書、市営住宅使用料等納付通知書、介護保険料納入通知書等、後期高齢者医療保険料納入通知書、新型コロナ予防接種券、非課税世帯等給付金確認書、子育て世帯臨時特別給付金申請書の氏名、住所、税額、生年月日、保険料、口座情報等……延べ約42万人分(推計)
和歌山市
・令和5年度分市県民税特別徴収税額決定通知書データ(給与天引き分) の住所、氏名、課税情報……15万1421件
東大阪市
・介護保険料帳票封入等委託業務における個人情報(氏名、住所等)が含まれるスクリーンショット……75名分
岸和田市
・投票所入場整理券のデータ……5名分
西宮市
・固定資産税・都市計画税納税通知書の宛名情報(住所、氏名、課税情報等)……78件
高松市
・令和4年度分の個別避難計画に関するデータ(住所、氏名等)……1595人分
●民間企業
公文教育研究会
・会員の氏名、住所、電話番号、会員番号、「iKUMONサイト」の初回ログイン用認証コード/セキュリティコード
クボタクレジット
・2022年9月度の利用明細・請求書印刷用データ(氏名、住所、利用・請求明細、引落口座情報の一部)……6万1424名
三井住友信託銀行
・顧客情報
三菱UFJ信託銀行
・企業型確定拠出年金の顧客情報(主に郵便番号、住所、氏名)
ソニー損保
・郵便番号、住所、氏名、顧客番号……1名分
・証券番号……18名分(過去の契約者分を含む)
日本生命相互会社
・拠出型企業年金保険の加入者情報(名前、生年月日、性別、加入内容等)……1団体11名分
マニュライフ生命
・契約者、被保険者、受取人の氏名、生年月日、住所、電話番号、申込番号、メールアドレス、預金口座情報、年収情報など……1082件
三井住友海上あいおい生命保険株式会社
・顧客情報(主に郵便 番号、住所、氏名)
中日信用金庫
・詳細確認中
東濃信用金庫
・顧客情報(氏名)、金融機関コード、支店コード……5008件
大垣西濃信用金庫
・顧客情報(氏名)、金融機関コード、支店コード……延べ3879件
西京信用金庫
・出資配当金支払通知書の画像データ(氏名、住所、郵便番号、出資金額等)……18件
備前日生信用金庫
・顧客情報(氏名、住所)……17名分
伊予銀行
・顧客情報(氏名、住所、電話番号、口座番号、取引金額等)
●その他
京都商工会議所
・会議所登録番号、会社名または屋号、代表者の役職、代表者氏名、郵便番号、文書送付先、会費請求金額、口座情報の一部、選挙権個数……延べ4万1819件(推計)
茨城県後期高齢者医療広域連合
・医療費通知書(住所、氏名、被保険者番号、受診医療機関名、医療費の額)……32件
パナソニック健康保険組合
・ジェネリック差額通知データ情報(住所、被保険者名、受診者名、保険証番号、事業所名、診療年月、医療機関名/調剤薬局名、 医療機関名/調剤薬局名での負担額、医薬品名)……1万3150名分
都道府県や市区町村といった地方自治体だけでなく、民間企業でも金融や保険関連を中心に複数の企業や団体が影響を受けている。イセトー、委託元ともに詳細の確認を進めている最中で、被害の全容解明には至っていない。
イセトーの情報管理体制に問題か
今回の事件で影響を受けた委託元の一部は、イセトーの情報管理体制に問題があった点を指摘している。
例えば市・県民税の情報が流出した和歌山市は本件の原因として、同市との契約期間終了後も、イセトー側が社内で保管したデータの削除を怠っていたと発表。横須賀市や豊田市なども、イセトーが本来削除すべきデータを削除していなかったことを明らかにしている。
また、徳島県によると、イセトーは同県から提供されたデータを社内で使用、保存する際、個人情報の取り扱いを禁じている社内ネットワークを利用。受託業務完了後は個人情報を削除した旨の報告書を同県に提出していたが、実際には削除されていなかったという。
なお、今回の情報流出について徳島県は、イセトーからランサムウェアグループ「8Base」の攻撃によるものと報告を受けたとしている。
イセトー側は7月5日現在、一連の管理体制不備の指摘についての発表はしていない。
今回の被害の大きさからもわかるとおり、同社は国内で多くの自治体や企業等から業務を請け負っている。業務を委託する側としても、今後、委託先の選定が難しくなることは否定できない。