個人情報を含むノートパソコンの紛失に関するお詫びとご報告

2014.5.23
サイボウズ株式会社
代表取締役社長 青野 慶久

 この度、弊社におきまして、お客様、お取引企業様の氏名・電話番号を含む業務用ノートパソコンの紛失事故が発生いたしました。平素よりご愛顧いただいております弊社のお客様およびお取引先企業様、関係者の皆様に多大なご心配、ご迷惑をおかけすることとなりましたことを心より深くお詫びいたします。

本件に関する経緯および対応について、以下のとおりご報告申し上げます。
なお、紛失したノートパソコンは翌日回収しております。

変更履歴
2014年6月24日:セキュリティ対策ソフトの不具合と対応状況について、7~9を追記しました。

1.紛失の経緯

 平成26年5月13日18時50分頃
弊社の従業員が列車で移動中、業務用ノートパソコンを入れた紙袋を列車内に置き忘れ、紛失いたしました。
その後、直ちに列車の遺失物センターに連絡、追って警察に紛失届を提出いたしました。

 同日21時43分頃~58分頃
弊社の情報システム部にて、当該ノートパソコンから社内システムにアクセス可能なアカウントの停止処理が完了いたしました。

 平成26年5月14日16時30分頃
JR東日本の遺失物センターより、当該ノートパソコンは、前日に駅係員が発見し、JR府中本町駅にて保管されている旨の連絡を受けました。

 同日19時00分頃
JR府中本町駅にて当該ノートパソコンを回収いたしました。

2.調査方法および状況

 弊社のセキュリティ対策チームおよび情報システム部にて、回収した当該ノートパソコンを調査いたしましたところ、1) パスワード入力をせずにログインできる状態であったこと、2) 発見されるまでの間に第三者が複数回当該ノートパソコンにログインした形跡があったことが判明し、十分なセキュリティ対策が施されていない状態となっておりました。
 この点、1) パスワード入力をせずにログインできる状態であったこと、につきましては、弊社では、通常スリープからの復旧時にパスワードを求めるというOS設定にてセキュリティ対策を実施しておりました。しかし、セキュリティ対策のため導入されている、パソコンに保存されているデータの暗号化ソフトウェアの不具合により、当該OS設定が書き換えられ、無効化されてしまうことが確認されました(※)。また 2)発見されるまでの間に第三者が当該ノートパソコンに複数回ログインした形跡があったこと につきましてはパソコン内に保存されている情報が閲覧された可能性があることを確認しております。

3.閲覧された可能性のある情報の内容

 当該ノートパソコン内には、以下の情報が保存されておりましたことを確認しております。

  • ご発注情報(連絡先、発注製品、キャンセル情報等)
  • 見積書、注文書情報
  • 特定のお取引先企業の担当者様情報、価格/販売実績情報
  • 特定製品のサービス提供状況
  • お客様の要件情報
  • お取引先企業様の販売リスト
  • 弊社セミナーへのお申込みリスト
4.事故原因

 お客様情報等、重要情報が多く保存されております業務用ノートパソコンの取扱いについて、セキュリティ意識が不十分であったことに加え、ソフトウェアの不具合によって重複統制も効かなかったことが原因であります。

5.再発防止策

 このような事態を招きましたことを真摯に受け止め、セキュリティ教育およびセキュリティルールの周知徹底を強化してまいります。また、社内のセキュリティ強化チームにて端末管理をはじめとするセキュリティ統制を検討し、速やかに全社に実施いたします。

6.今後の対応策

 ご心配、ご迷惑をおかけしたお客様およびお取引先企業様の皆様に対し、お詫び等適切な対応をさせていただく所存であります。
今後、再び同様の事故が発生しないよう全社をあげてセキュリティ意識向上に取り組み、引き続き皆様からの信頼回復に努めてまいります。

7.暗号化ソフトについて(※)

 弊社では端末の暗号化ソフトウェアとして、Sophos Disk Encryption(以下、SDE)を利用しております。また各端末の設定を集中管理することを目的として、Sophos Enterprise Console(以下、SEC)を利用しております。
各製品の詳細につきましては、以下の Sophos 社ホームページをご覧ください。
http://www.sophos.com/ja-jp/medialibrary/PDFs/factsheets/sophosdataprotectionsuitedsna.pdf?la=ja-JP

8.発生原因

 SEC から SDE を管理する場合に、SEC の不具合により OSの電源設定「スリープ解除時のパスワード保護」のレジストリ値が意図せず変更されていました。このため SDE を導入した各端末で、スリープ状態から復帰する際に Windows のログオン画面が表示されませんでした。

詳細につきましては、以下の Sophos 社ホームページをご覧ください。
http://www.sophos.com/ja-jp/support/knowledgebase/121066.aspx

9.対応履歴

2014 年 5 月 15 日:弊社より、Sophos 社へ障害の報告
2014 年 5 月 19 日:Sophos 社にて事象の再現を確認
2014 年 5 月 21 日:Sophos 社から弊社へ回避策を提示いただく
2014 年 5 月 21 日:Sophos 社にて、本事象を脆弱性として取り扱うことを決定
2014 年 5 月 23 日:弊社よりプレスリリースを公開
2014 年 6 月 05 日:Sophos 社から IPA 様へ自社製品届出
2014 年 6 月 23 日:Sophos 社からパッチおよび、アドバイザリの公開
2014 年 6 月 24 日:IPA 様より脆弱性情報の公開
2014 年 6 月 24 日:本プレスリリースに追記

10.問い合わせ窓口(本件事故に関する連絡先)

secmaster@cybozu.co.jp
サイボウズ株式会社 セキュリティ強化チーム 宛

以上