プルデンシャル生命、社内ネットワークへの不正アクセスにより社員等の情報が流出

プルデンシャル生命では、同社の特定サーバー（モバイルデバイス管理サーバー）が第三者によって脆弱性を悪用され、不正アクセスを受け、一部の社員等の個人情報（氏名、ユーザーID、会社メールアドレス）が流出したことが判明した。なお、モバイルデバイス管理サーバーに顧客情報は含まれておらず、顧客情報の流出はない。
同社はこの事態を把握後、直ちに原因となったモバイルデバイス管理サーバーをインターネットから遮断し、脆弱性を解消するための必要な対策を講じた。これにより、さらなる流出等の被害が発生することはない。また、関係機関への報告も完了している。引き続き、セキュリティ専門機関等の協力を得ながら再発防止策を講じていく。
1.概要（発生原因・発覚経緯）
同社では、電子メールおよびモバイルアプリケーションへアクセスするために、モバイルデバイス管理サーバーを利用している。脆弱性解消のための対策を実施し、攻撃の有無を確認するためログ調査を行った結果、5月16日に外部の第三者によって不正アクセスが行われ、一部の社員等の個人情報が窃取されたことが、5月20日に判明した。不正アクセスは5月16日にのみ発生したことを確認している。
※モバイルデバイス管理サーバーには、2014年以降に同社に在籍をしていた一部の社員等の情報が登録されていた。本サーバーは同社ドメイン情報と連動する仕組みであるため、未使用者の情報も一部登録されており、流出情報に含まれていた。また、退職者については、退職時に本サーバー上から登録情報を削除する運用を行っていたが、削除した情報が論理的にサーバー内に残留する製品仕様であったため、流出対象に含まれていた。
2.流出した情報
流出した情報は、5月16日時点で同社のモバイルデバイス管理サーバーに登録されていた2014年以降に同社に在籍をしていた一部の社員等の以下の項目である。
・氏名
・ユーザーID
・会社メールアドレス
3.情報流出した社員等の数
・11,919名
※対象者：同社社員、退職者、一部の委託先社員　等
※対象となった方に個別の通知を実施している。
4.本件による影響
現時点で、本件による流出情報がインターネット上で公開された事実や不正利用などの二次被害は確認されていない。
同社は今後とも情報セキュリティの強化に努め、同様の事案防止に全力を尽くしていく。