あいざわアセットマネジメントにて不正アクセスにより個人情報が流出

会社名	あいざわアセットマネジメント株式会社
株式情報	非上場
漏洩種別	流出
漏洩対象	サーバ
漏洩場所	社外
漏洩内容	氏名/電話番号/メールアドレス住所/生年月日/口座情報/パスポート番号/免許証番号（2024年12月6日追加）
漏洩件数	~~約1,000件~~　2,540件（2024年12月6日追加）
漏洩日時	2024/5/12～2024/5/13
発表日時	2024/5/31

あいざわアセットマネジメントにて不正アクセスにより個人情報が流出。同社にて社員のクラウドeメールサービスのメールサーバに対する外部からの不正アクセスにより、当該サーバに保存されていた投資一任契約顧客および同社が運営する組合等の投資家の個人情報を含む、約2年間のメールが不正ダウンロードされた恐れがあり、社外関係者へ約800通のスパムメールが送信されたことが判明した。

不正アクセス発覚後、当該社員のパスワード変更とともに全役職員のパスワードの変更ならびに多要素認証の導入が完了し、その他の再発防止策も全て対応完了する見込みである。同社による調査の結果、送信されたスパムメールはウイルスの添付は確認されていないが、BCCで一斉配信されたため影響範囲は特定できていないことから、不審なメールが届いた場合は開かずに削除するよう注意を呼び掛けている。同社はスパムメールが送信された関係者へお詫びと説明を行った。なお、原因等は現在も調査中であり、判明次第公表するとしている。

同社はこれまで社内で詳細調査を継続していたが、第三者調査機関によるフォレンジック調査を開始したことを公表。外部機関による調査結果については、判明次第公表するとしている。（2024年6月14日追加）

同社のメールサービスが外部からの不正アクセスを受けた件で、第三者調査機関による不正アクセスの調査が完了したとして最終的な調査結果を公表した。
報告によると、同社の特定の社員から5月13日に811通のスパムメールが顧客に送信され、同社もスパムメールを受信したことから不正アクセスが発覚。直ちに当該社員のパスワード変更を実施した。
今回の不正アクセスにより発生した個人情報流出の人数と項目についても判明し、契約先や取引先業者、投資先関係者や物販業者やベンダー、プロバイダーなど当初の推定を上回る2500人以上の個人情報の流出が判明した。
原因はパスワードが定期的に変更されておらず、二段階認証の導入も検討していたが対応しておらず、セキュリティ対策が脆弱であった。また、当該社員が外部サイトに登録していたパスワードが流出していた可能性があるが、パスワード流出の原因については特定はできなかった。
内部調査ではスパムメールに添付されていたファイルにウィルスはなく、ランサムウエアやマルウエアなどのウィルスは含まれていなかったことを確認した。
再発防止策としてパスワードは3ヶ月に一度変更を実施し、二段階認証を導入した。またパスワードの使いまわしを禁止するよう全役職員に注意喚起を行った。（2024年12月6日追加）