東洋証券株式会社(本社:東京都中央区、代表取締役社長:小川憲洋)は2025年10月29日、2020年度に実施した「お客さま満足度についてのアンケート」に関し、外部委託先の再委託先で不正アクセス被害が発生し、調査データの一部が流出した可能性が判明したと発表しました。お客さまならびに関係者の皆さまに対し、同社は深く謝罪しています。
事案の概要
同アンケート業務は、同社から株式会社野村総合研究所(NRI)へ委託され、NRIがNRIフィナンシャル・グラフィックス株式会社(NRI-FG)および日本アスペクトコア(NAC)へ一部を再委託していました。
2025年9月25日、データ入力業務を担当したNACで使用していたローレルバンクマシン(LBM)の入力補助ツール「Jijilla」が、身代金要求を伴う不正アクセス(ランサム型)を受けました。発生当日、関係各社の連携によりLBM側でツールへのアクセス遮断が実施されたことをNRIが確認しています。
その後の調査で、10月15日に調査データの流出の可能性を示す痕跡が確認されました。現時点で二次被害の報告は公表されていません。
影響範囲(流出の可能性があるデータ)
対象は郵送回答を電子化した3,681件で、内容は次の通りです。
-
アンケート管理用に連番付与した「ご回答者様ID」
-
アンケートの回答内容
なお、氏名・住所などの個人情報はアンケート回答内容と分離管理され、発送業務完了時点で委託先から削除済みであることを同社は確認しています。これにより、同社は二次被害の可能性は極めて低いとみています。
同業他社のインシデント
同業他社でも既にインシデントを発表しています。第一フロンティア生命やみずほ証券と丸三証券も同じ委託・再委託の流れの中で、日本アスペクトコアが利用していた LBM 構築の入力補助ツール(Jijilla)で不正アクセスがあり情報流出の可能性を発表しています。
関連記事
ローレルバンクマシンのJijillaへの不正アクセスでみずほ証券と丸三証券も情報流出の可能性を発表
ローレルバンクマシンのJijillaへの不正アクセスで広島銀行が情報流出の可能性を発表
パーソル 総合研究所、委託先が利用したローレルバンクマシンのJijillaへの不正アクセスで情報流出の恐れ
ローレルバンクマシンのAI-OCR Jijilla 不正アクセスで情報流出の可能性-第一フロンティア生命保険や野村證券、NRIフィナンシャル・グラフィックスもインシデント 発表
ローレルバンクマシンのJijillaへの不正アクセスで慶應義塾大・通信教育部が情報流出の可能性を発表
伊予銀行、アンケートの情報流出、ローレルバンクマシンのJijillaへの不正アクセスが原因
DDoS攻撃とは?攻撃事例や防御策を解説
トロイの木馬とは-情報システム担当者が知るべき脅威の実態と対策
ランサムウェアの事例を解説
