個人情報保護委員会、イセトーへのサイバー攻撃による約307万人の個人情報漏洩について行政指導を発表

2025年3月19日、個人情報保護委員会は、株式会社イセトーに対し、個人情報保護法第147条に基づく指導を行いました。

本件は、イセトーが受託していた個人情報がランサムウェア攻撃により漏えいし、ダークウェブ上に公開されるという重大なインシデントを受けての措置です。

イセトーのランサムウェア感染と情報漏洩の概要

2024年5月にランサムウェア感染をイセトー社は確認し発表。その後多数の企業がイセトー社のランサムウェア感染で個人情報漏洩を発表。

後述するランサムウェアグループ 「8Base」にもデータがリークされ、

2024年7月4日には豊田市、京都商工会議所、和歌山県、クボタ、徳島県、KUMON(公文)の6団体だけで約110万人の個人情報が漏洩しており、

最終的に合計 3,076,477 人（うち、民間事業者委託分2,509,886 人、行政機関等委託分 566,561 人）が漏洩しました

このことからイセトー社のセキュリティインシデントは、2024年でも非常に影響範囲の広いランサムウェアの事例となります。

漏えいした情報

影響を受けたのは約307万人分の個人情報で、特に以下のデータが含まれていました。

• 氏名、住所
• 確定拠出年金、ローン残高
• 納税額
• ジェネリック医薬品通知に関する情報（要配慮個人情報）

金融機関や健康保険組合のローンや医薬品通知業務を受託しており上記の通り、金融情報や医療情報など、極めてセンシティブな情報も含まれているため、二次被害のリスクが非常に高い情報も含まれています。

サイバー攻撃の侵入経路と原因

今回の不正アクセスは、VPN機器の脆弱性とパスワード管理の甘さを突かれたものと考えられています。

 VPN機器の未更新

イセトーは2021年4月以降、実質的に3年間VPN機器のセキュリティアップデートを適用していなかったため、既知の脆弱性が残った状態でした。

適切なログ管理も行っておらず、詳細が分からない状態だった。

個人情報の杜撰な管理

イセトー社内のルールでは「個人データは業務系ネットワークでのみ取り扱う」とされていましたが

イセトーの全 56 部署のうち３部署においては、部署内において、本来アクセス権限がない従業者と業務データを共有する目的や、通知書発送の有無等の業務管理を行う目的で、保管ルールを遵守せず、本件個人データを基幹系ネットワーク上のサーバへコピーの上、業務を行っていた事が指摘されています。

その結果、攻撃者が本来侵入できないはずの個人データを取得し、外部へ流出させる事態となりました。

弱いパスワードと長期間の未変更

基幹系ネットワークの管理者アカウントのパスワードは、7年間変更されておらずパスワードは英小文字のみの11桁で、ブルートフォース攻撃で破られやすいものでした。

また、多要素認証（MFA）が導入されておらず、パスワードのみでログインできる状態だったことも問題でした。

行政指導の内容

個人情報保護委員会は、イセトーのセキュリティ管理体制に複数の問題があったとして、以下の点を指摘しました。

① 技術的なセキュリティ対策の不備

• VPN機器の更新を怠り、脆弱性を放置していた。
• 強固なパスワードポリシーが適用されておらず、多要素認証（MFA）も導入していなかった。

② 組織的な管理体制の問題

• 個人データの管理ルール（業務系ネットワークでの運用）が明文化されておらず、一部部署で逸脱した運用が行われていた。
• セキュリティ監査の仕組みが不十分で、長期間にわたり不適切な運用を放置していた。

③ 教育・意識改革の欠如

• 従業員に対する情報セキュリティ教育が不十分で、組織全体としてデータ管理の重要性が浸透していなかった。

まとめ

イセトー社はPマークとISO27001認証及びISO27017を取得していましたが、ルールが守られず実質的に適切な運用が行われていませんでした。

さらに基本的なセキュリティ対策である

・VPNのアップデートを2021年4月以降アップデートしておらず実質3年間脆弱な状態を放置

・多要素認証(MFA)が導入されていない

・安全なパスワードを利用

などもされていません。

2025年の警察庁の発表では、2024のサイバー攻撃の原因はVPNが8割となります。

VPNに限らず利用ソフトや機器の定期的なアップデートや多要素認証(MFA)の導入は直ぐに出来て有効な対策となります。