ジブラルタ生命、社内ネットワークへの不正アクセスにより社員等の情報が流出

ジブラルタ生命では、同社の特定サーバー（モバイルデバイス管理サーバー）が第三者によって脆弱性を悪用され、不正アクセスを受け、一部の社員等の個人情報（氏名、ユーザーID、会社メールアドレス）が流出したことが判明した。なお、モバイルデバイス管理サーバーに顧客情報は含まれておらず、顧客情報の流出はない。
同社は、この事態を把握後、直ちに原因となったモバイルデバイス管理サーバーをインターネットから遮断し、脆弱性を解消するための必要な対策を講じた。これにより、さらなる流出等の被害が発生することはない。また、関係機関への報告も完了している。引き続き、セキュリティ専門機関等の協力を得ながら再発防止策を講じていく。
1.概要（発生原因・発覚経緯）
同社では、電子メールおよびモバイルアプリケーションへアクセスするために、モバイルデバイス管理サーバーを利用していた。脆弱性解消のための対策を実施し、攻撃の有無を確認するためログ調査を行った結果、5月16日に外部の第三者によって不正アクセスが行われ、一部の社員等の個人情報が窃取されたことが、5月22日に判明した。不正アクセスは5月16日にのみ発生したことを確認している。
※モバイルデバイス管理サーバーには2015年から2023年に同社に在籍していた一部の社員等の情報が登録されていた。また、退職者については、退職時に本サーバー上から登録情報を削除する運用を行っていたが、削除した情報が論理的にサーバー内に残留する製品仕様であったため、流出対象に含まれていた。
2.流出した情報
流出した情報は、5月16日時点で同社のモバイルデバイス管理サーバーに登録されていた2015年から2023年に同社に在籍をしていた一部の社員等の以下の項目である。
・氏名
・ユーザーID
・会社メールアドレス
3.情報流出した社員等の数
・550件
※対象者：同社社員、退職者、一部の委託先社員　等
※対象となった方に個別の通知を実施している。
4.本件による影響
現時点で、本件による流出情報がインターネット上で公開された事実や不正利用などの二次被害は確認されていない。
同社は、今後とも情報セキュリティの強化に努め、同様の事案防止に全力を尽くしていく。