九州電力株式会社は、1,000万人以上の顧客の個人情報に影響する物理的なセキュリティインシデントを公表しました。
同社の公式発表によると、IT担当者はサーバーのストレージ容量を管理するため、定期的にバックアップ作業を実施しています。容量の制約から、4月27日には外部記憶装置を使用してバックアップが行われました。
その後、当該ドライブは複数の物理的セキュリティ対策が施されたサーバールームのキャビネットに保管されましたが、5月26日にIT担当者が取り出しに行ったところ、キャビネットの鍵が開いたままになっており、ドライブが見当たらないことが判明しました。
九州電力は日本の主要な地域電力会社の一つで、福岡・佐賀・長崎・熊本・大分・宮崎・鹿児島の各県を含む九州全域に電力を供給しています。
九州地方の総人口は1,260万人であり、同社は今回のインシデントが最大1,090万件のアカウントに影響すると説明しています。
紛失した記憶媒体に含まれていたデータは以下のとおりです。
- 顧客氏名
- 需要場所の住所
- 電力使用量データ
- 電話番号
- 小売電気事業者名
- その他の関連情報
同社は、当該ドライブに銀行口座情報やクレジットカード情報は保存されていなかったと説明しており、今後、影響を受けた顧客に対して個別に連絡するとしています。
ハードドライブの紛失後、同社はサーバールームへ入室したすべての関係者に聞き取り調査を行い、調査を進めましたが、現時点でも発見には至っていません。
各メディアの報道によると、当該サーバールームへの入室権限を持つ人物は57人おり、九州電力は誰かがドライブを持ち出した可能性があるとして、6月4日に警察へ被害届を提出しました。
NHK Webの報道では、経済産業省が同社に対し、インシデントの詳細と再発防止策について7月8日までに報告するよう求めているとのことです。
「当社は機器の不正持ち出しを含むあらゆる可能性について調査中ですが、現時点ではまだ発見されていません」と、同社の公表文書には記されています。
本インシデントは、個人情報保護委員会および関係省庁にも報告済みです。
攻撃者より先に、防御の全層をテストする
セキュリティチームが検知できているのは攻撃の成功事例のうち54%に過ぎず、アラートが上がるのはそのうちわずか14%です。残りの脅威は検知されることなく環境内を移動し続けています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMやEDRのルールを検証し、脅威の検知漏れを防ぐ方法を解説しています。
