KADOKAWA、個人情報漏洩は約25.4万件

KADOKAWAは5日、サイバー攻撃によるランサムウェア被害と情報漏洩について発表した。外部漏洩が確認されたのは個人情報合計254,241人で、ドワンゴ社員や取引先の個人情報などが含まれる。

6月に「ニコニコ」を中心としたサービス群を標的とし、KADOKAWAのグループデータセンター内のサーバーがランサムウェアを含む大規模なサイバー攻撃を受けた。現在も復旧作業を続けているが、多くの業務は正常化しつつある。その中で、今回のサイバー攻撃による個人情報漏洩について発表した。

漏洩した社外情報は、ドワンゴ関連では、同社と同社の一部関係会社の一部取引先(クリエイター、個人事業主含む)の個人情報(氏名、生年月日、住所、電話番号、メールアドレス、活動名、口座情報など)のほか、同社・同社の一部関係会社の面接を受けた一部の人の個人情報(氏名、生年月日、住所、電話番号、メールアドレス、選考履歴など)。

また、N中等部・N高等学校・S高等学校の在校生・卒業生・保護者・出願者・資料請求者のうち、一部の人の個人情報(氏名、学歴などの属性情報、入学年・担任・進学先などの学生情報など)と、学校法人角川ドワンゴ学園の一部元従業員の個人情報(氏名等の属性情報、社員番号・所属組織などの人事情報など)が含まれる。

社内情報は、ドワンゴの全従業員(契約社員、派遣社員、アルバイト含む)の個人情報(氏名、生年月日、住所、電話番号、メールアドレス、学歴・口座情報などの属性情報、社員番号・勤怠などの人事情報など)と、同社の一部関係会社および同社の一部兄弟会社の一部従業員の個人情報、学校法人角川ドワンゴ学園の一部従業員の個人情報(属性情報、氏社員番号・所属組織などの人事情報など)。

企業情報では、社外情報は、ドワンゴ関連の一部取引先との一部の契約書、同社の過去と現在の一部関係会社における一部の契約書、同社の一部の元従業員が運営する会社の情報。社内情報はドワンゴの法務関連をはじめとした社内文書。

「ニコニコ」サービスを含む同社グループの顧客のクレジットカード情報については、社内でデータを保有しておらず、グループからの情報漏洩は起こっていない。

外部漏洩が発生したことを確認した人に対しては、個別にお詫びとお知らせを送付。また、情報漏洩に関する問い合わせ専用窓口を設けて対応する。

漏洩情報の拡散は刑事告訴も

今回の被害について、社外の大手セキュリティ専門企業とともに調査を進めているが、「現時点ではその経路および方法は不明」とする。

ただし、フィッシングなどの攻撃により従業員のアカウント情報が窃取されてしまったことが本件の根本原因であると推測され、窃取されたアカウント情報によって、社内ネットワークに侵入されランサムウェアの実行および個人情報の漏洩につながったと見ている。

そのため、再発防止に向けた取り組みを強化する。

また、匿名掲示板やSNSなどで、サイバー攻撃を行なった組織が公開したものとして、情報を拡散する行為が確認されている。こうした行為に対し、運営者への申請を通じ、削除要請や情報開示請求を進めている。悪質と認識した情報拡散行為などは、8月2日時点でドワンゴ関連が896件、角川ドワンゴ学園が67件。悪質性の高い情報拡散者に対しては、証拠保全の上、削除済みの書き込みも含めて刑事告訴・刑事告発などの法的措置に向けた作業を進行する。

KADOKAWAでは、こうした情報漏洩行為や関連したフェイク情報の拡散などをやめるよう呼びかけている。