HOYA株式会社は2025年4月14日、2024年3月末に発生したサイバー攻撃により、同社が保有する個人情報の一部が外部に流出していたことを正式に公表しました。
同社はこれまでも段階的に障害発生と復旧の状況を報告していましたが、今回のリリースでは、外部への情報流出が「確認された」として、詳細な被害の内容と再発防止策について明らかにしました。
目次
攻撃の概要と経緯
サイバー攻撃が確認されたのは2024年3月30日。
HOYAのPENTAXライフケア事業部(内視鏡関連)およびメディカル事業部(眼内レンズ)が運用する一部システムに対し、悪意のある第三者からの攻撃が行われたことで、システム障害が発生しました。
同社は直ちに外部のセキュリティ専門家と協力し、調査と復旧作業を進めてきました。4月2日には、一部の漏洩が疑われるファイル内に個人情報が含まれている可能性があることを確認。調査を継続した結果、具体的な情報流出が確認され、個人情報保護委員会への報告も実施されました。
流出した可能性のある個人情報(最大6,500件)
1. 医療機関の患者情報(約1,000名分)
2016年~2022年にかけて、関東圏の4つの医院・クリニックにてPENTAXの内視鏡製品を用いた検査を受けた患者の氏名・性別・年齢。
2. 採用関連書類(約500名分)
2024年3月末までに、同事業部へ送付された履歴書や職務経歴書などの応募者情報。
3. 取引先の法人情報(約2,000件)
取引先の会社名、代表者の氏名、住所、電話番号、銀行口座情報。
4. 社員およびその家族の雇用関連情報(約3,000名分)
社員番号、氏名、銀行口座情報、給与データ、身分証明書など。
なお、クレジットカード情報の流出は確認されておらず、現時点では不正利用の事実も確認されていないとしています。
HOYAへのサイバー攻撃でHunters Internationalが犯行声明
2024年7月にダークウェブ上でランサムウェアグループ Hunters International(ハンターズ インターナショナル)の被害者リストにHOYAを掲載し、推定2TB(1,771,224ファイル)を窃取したと主張していました。
※HOYAは攻撃元の詳細は発表していません。
