市営住宅の指定管理者におけるランサムウェア被害について（第2報）

令和6年10月に発生した本事案について調査及び報告を(株)別大興産（以下、指定管理者）に求めたところ、以下の通り報告を受けましたので、お知らせいたします。

※本事案の詳細につきましては以下のリンクよりご確認いただけます。

市営住宅の指定管理者におけるランサムウェア被害について

(株)別大興産HP ランサムウェア被害に伴う情報漏えいのおそれに関するお知らせ【第四報（24.12.26）】

事案発生の経緯と原因

指定管理者より、以下の通り報告を受けました。

指定管理者が管理するデータベースに対して、外部よりサイバー攻撃が行われ、サーバ等が使用できない状態となりました。端末スクリーン上には不正アクセスによってデータを使用できなくしたこと、個人情報を含むデータを複製したこと、金銭を支払わなければデータを第三者に売却する内容が表示されていました。

また、本事案発生の原因としては、指定管理者が業務委託を行った委託事業者が納入したセキュリティ機器の設定不備であることが判明しました。

被害状況について

指定管理者が実施したダークウェブ調査の結果、個人情報の持ち出しの証跡はなく、漏えい等の事実確認ができないという報告を受けました。

現時点では、情報漏えいおよびそれに伴う二次被害は確認されておりませんが、指定管理者が現在も調査を継続しております。

指定管理者の再発防止策

指定管理者より以下の通り実施したとの報告を受けました。

・委託事業者に指導を行い、セキュリティ機器の設定不備を解消。

・被害にあったサーバ等の再構築、ID及びパスワード変更などのセキュリティ対策を実施。

本市の対応

以下の通り実施しました。

・本事案について指定管理者に対して厳重注意を行うとともに、個人情報の取り扱いについて見直しを行うよう業務改善指示を実施。

・再発防止のため、本市及び指定管理者（大分県住宅供給公社を含む）の本市市営住宅管理業務従事者全員に対し、本事案の経過記録の共有を行い、個人情報の取り扱いに関する規定やインシデント発生時の対応手順についての理解を再度徹底。