卒業アルバム作成のや印刷業を行う株式会社イシクラは、2024年5月に発生した同社が提供するレイアウトシステム 「WebLAYLA」へのランサムウェアによるサイバー攻撃と不正アクセスにより約7.4万件の個人情報漏洩の可能性を発表しました。
目次
不正アクセスの概要
「WebLAYLA」は、同社が写真館や卒業アルバム制作担当者向けの画像アップロードおよび紙面レイアウト指示を行うクラウドサービス。
2024年、WebLAYLAのサーバー保守を行っている委託会社が外部機器の交換を別の企業へ依頼したところ、機器交換を実施した会社の設定に不備がありその脆弱性からサイバー攻撃を受ける。
イシクラ社は、このシステムを通じてアルバム制作に必要なデータを受領し、制作業務を進めている。
なお、同社のインシデントを受けて愛知県立刈谷工科高等学校も報告を発表
不正アクセスの影響範囲
- 不正アクセスによりWebLAYLAサーバー内のデータが一部毀損
- サーバー内のデータが外部から閲覧された可能性
- システム会社の調査により、データの抜き取り(持ち出し)は確認されていない
今回の被害は、卒業アルバムの入稿データのうち約9%が「WebLAYLA」を利用していたため、限定的な影響にとどまる可能性があると同社は説明しています。
アルバム制作については影響なし
アルバム作成や政策データのバックアップはWebLAYLAとは別環境の為、サイバー攻撃による影響はなし
漏洩の可能性のある個人情報の項目と件数
システム会社の調査により、データの抜き取り(持ち出し)は確認されていないが、外部から閲覧された可能性があり以下件数の個人情報が漏洩した可能性。
件数:漏えい等のおそれ 7万4238件(2025年2月24日時点)
漏洩した可能性のある個人情報の項目は以下
2024年5月18日までに WebLAYLA 上にアップロードされた画像データ(スナップ、個人写真)、氏名
- 画像データ(スナップ、個人写真)、氏名
- 画像データ(スナップ、個人写真)のみ
- 画像データ(スナップ)のみ
- 画像データ(個人写真)のみ
- 画像データ(個人写真)、氏名
- 画像データ(スナップ)、氏名
※前述の通り WebLAYLA サーバーは卒業アルバムの紙面レイアウトツールでもあるため、いわゆる個人写真データにおいても、紙面レイアウト指示の作成で当サーバーを利用していた場合、氏名も漏えいのおそれのある情報に該当するとのこと
サイバー攻撃の原因
- WebLAYLA サーバーの保守管理を行なう、システム会社から委託された修理業者が外部機器を交換した際、外部機器の閉鎖設定がされず脆弱性が生じ、不正アクセスの被害を受け。
- 同社内部ルールでは、WebLAYLA のデータ保管期間を「制作期間終了から1年(納品から1年)」とする規定があったが、保管期限を過ぎたデータの削除が徹底できず、弊社規定より古いデータも一部が WebLAYLA サーバーに残された状態になっていたこと。
報告の遅延について
セキュリティインシデント発生後、イシクラ社は個人情報保護委員会およびJIPDECへ事故報告を行い、情報照会対応を実施。
2024年5月には、自社HPでお客様および関係者に向けた公表を行い、委託先の監督や再発防止策の策定を進めていたものの、同社は学校への報告義務を認識していませんでした。
同年12月に個人情報保護委員会から学校への報告が必要であるとの指導を受け、初めて報告義務の未履行を認識。
その後、委員会と協議しながら具体的な対応を検討し、2025年2月に各委託元へ事故通知を郵送。
柏市立柏高等学校がイシクラのサイバー攻撃 で卒業アルバムの情報が漏洩
2025年3月7日、柏市教育委員会は株式会社イシクラのセキュリティインシデントにより、柏市立柏高等学校に関連する卒業アルバムの個人情報が漏えいした可能性が明らかになりました。
