Cyber Security Intelligence Vox

RocketBoysによると『松戸市教育委員会はは株式会社イシクラへのサイバー攻撃と不正アクセスにより、松戸市立小学校26校において卒業アルバム制作に関連した個人情報の漏洩のおそれがあることを公表しました。』と報道した。

報道では『卒業アルバムの作成を受注していた会社の再受注先である株式会社イシクラが運用するWebサーバーが不正アクセスの被害を受けました。』と報じた。

典型的なサプライチェーンサイバーセキュリティインシデントであるという点がトピックです。先日も書いた通り、サプライチェーン攻撃に対しては委託先の委託先が弱点となる事があることになります。

具体的弱点は「（委託先である）イシクラが運用するWebサーバーにおいて、外部機器の交換時の設定不備により脆弱性が発生。」という典型的な形式です。

委託先の委託先などの把握も、委託先に任せきりに出来ないという例になると思います。

https://rocket-boys.co.jp/security-measures-lab/matsudo-elementary-schools-ishikura-cyberattack-5000-data-breach/

千葉県松戸市の小学校26校、合計5,000人の個人情報がイシクラの不正アクセスとサイバー攻撃で卒業アルバムの情報漏洩か

https://www.ishikura.co.jp/news/386

不正アクセスによる情報漏えいのおそれがある事案の発生に関するご報告とお詫び