委託先の委託先の委託先でランサムウェア被害
ScanNetSecurityは『福島県郡山市は4月1日、2024年12月9日に公表した「Out of KidZania in こおりやま 2024 事業」における再委託先事業者のサーバへの不正アクセスについて、最終報告を発表した。』と報道している。
加えて『「Out of KidZania in こおりやま 2024 事業」の運営業務を委託している株式会社東北博報堂福島支社の再委託先である、株式会社エクシードコネクトの委託先の株式会社イーエックスディーのサーバのデータが暗号化されるランサムウェア被害を受けたことに伴い、エクシードコネクトが当該サーバ内を調査した結果、同事業に係る個人情報が保管されていたことが判明しており、外部専門機関による調査を行っていた。』と報道している。
サプライチェーンセキュリティの難しさの典型例のようなインシデントです。
委託先に対する情報セキュリティに関するガバナンスは、契約条項や調達条件にいれるなどの対策が取れます。その対策に、さらに委託先に対する要件を入れるのは、かなり難しいでしょう。
サプライチェーンに関する情報セキュリティ上のガバナンスを効かせるためには、単なる丸投げでなく、例えば委託元が情報セキュリティリスクを担保し、結果的に委託先に対する情報セキュリティガバナンスを効かせるしかないのかも知れません。
つまり、元々の委託元(この場合は郡山市)が、委託先に対して情報セキュリティ要件を付与していないのが根本原因でしょう。
https://scan.netsecurity.ne.jp/article/2025/04/16/52690.html
委託先の委託先の委託先でランサムウェア被害「Out of KidZania in こおりやま 2024 事業」データをまとめて持ち出した可能性は極めて低い
https://www.city.koriyama.lg.jp/soshiki/119/133772.html
「Out of KidZania in こおりやま 2024事業」における電子メールの誤送信及びサーバーへの不正アクセスについて(最終報告)
« 不正アクセスを警察へ通報 | トップページ | Oracle Cloudへのサイバー攻撃による潜在的な情報漏洩について警告 »
「column」カテゴリの記事
- 求人サイトの管理パスワードが「123456」(2025.07.18)
- QRコードを利用したフィッシングは「クイッシング」(2025.07.16)
- 攻撃が予告されているのに...(2025.07.07)
- ドメインを勝手に放棄すると詐欺に加担する?(2025.07.03)
- 削除型ランサム(2025.06.16)
« 不正アクセスを警察へ通報 | トップページ | Oracle Cloudへのサイバー攻撃による潜在的な情報漏洩について警告 »
コメント