2024年7月17日、東京ガスおよびグループ子会社の東京ガスエンジニアリングソリューションズは、不正アクセスにより同社が保有する顧客情報などが流出した可能性があると公表しました。流出の可能性のある情報には委託元より提供を受けている情報も対象となっていることが明らかにされています。これを受け委託元の組織からも相次ぎ関連する公表が行われています。ここでは関連する情報をまとめます。
VPN機器を介して不正アクセス
- 不正アクセスが確認されたのは東京ガスエンジニアリングソリューションズ(以降TGES社と表記)の社内ネットワーク。TGES社ネットワーク上での不正アクセスを検知し調査を進めていたところ、特定のファイルサーバーへアクセスが可能な複数の従業員のクレデンシャル情報(IDとパスワード)が窃取されていた事実が判明した。(不正アクセスがいつ頃から行われていたのかは調査中ためか2社公表での説明はない。)
- さらにそのクレデンシャルを用いると東京ガスの法人事業分野の情報を保管するサーバーにもアクセスが可能であった。東京ガスは複数の委託元より業務上必要な一般消費者の個人情報の提供を受けており、これらの情報が同社のサーバー上に保管されていたことからこれらも外部に流出した可能性があることが判明した。ただし、盗まれたクレデンシャルを使用して東京ガスのサーバーにアクセスした形跡は確認されていない。
- 今回の不正アクセスはTGES社の運用するVPN機器を介して行われていたが、VPN機器の脆弱性有無を含め詳細については「セキュリティの関係で回答を控える」方針と取材に対して回答している。*1
- ファイルの暗号化や身代金の要求といったランサムウエアに関連する状況は確認されておらず、同社の広報担当者はその可能性を否定している。情報流出に関連した痕跡のほか、対象となっている流出可能性のある情報の不正利用については確認されていないとしている。
- 不正アクセス検知後は、TGES社のネットワークに対して外部から接続する経路は遮断されている。外部アクセスを不可とする対策を講じたと2社は説明するが、対策後に業務への影響が生じているかは説明がなく不明。
委託元提供の情報も流出可能性の対象
- 不正アクセスによる情報流出を完全に否定できないとして、東京ガスおよびTGES社が流出可能性のある個人情報として列挙しているものは以下の通り。なお、TGES社が提供する法人向けサービスは「都市ガス・電気」「オンサイトエネルギーサービス」「地域冷暖房」「受注エンジニアリング(LNG 基地・再生可能エネルギー発電等)」「インフラ情報管理システム」等がある。
| 対象 | 流出可能性のある個人情報 | 影響件数 |
|---|---|---|
| 51の取引先法人等所属者 ・東京ガスまたはTGES社提供の「法人用の都市ガス、電気、サービス」の顧客等。家庭用分野のみ取引先等含まず。 |
氏名、メールアドレス等業務上の連絡先、個人名義の金融機関口座番号情報(85 件)、マイナンバー情報(5 件) 等 (クレジットカード情報は含まず) |
件数調査中 |
| 業務上必要な情報として業務委託元提供の一般消費者 東京ガスの「家庭用の都市ガス、電気等の契約情報」は含まず。 |
氏名、住所、連絡先等 (金融機関口座情報やクレジットカード情報は含まず。) |
約416万人 |
| TGES社従業員等(退職者等を含む) | 氏名、住所、金融機関口座番号情報(約 1,000 件)、クレジットカード情報(8 件) 等 | 約3,000人 |
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2024年6月26日 | TGES社が社内ネットワーク上の不正アクセスを検知。 |
| 2024年7月1日 | TGES社が外部専門機関へ不正アクセスに関する調査を依頼。 |
| 2024年7月9日 | 調査結果よりTGES社従業員のクレデンシャルが窃取されていたことが判明。 |
| 2024年7月17日 | 東京ガス及びTGES社が不正アクセスによる情報流出の可能性について公表。 |
業務委託元公表
| 公表日 | 影響のあった業務委託元 | 対象件数 |
|---|---|---|
| 2024年7月17日 | 神奈川県営水道 (管路情報システム委託) |
約37,000件 |
| 2024年7月17日 | 金沢エナジー (マッピングシステム保守運用委託) |
記載なし |
| 2024年7月18日 | 京葉ガス(第2報) | 約810,000件 |
| 2024年7月18日 | 越谷・松伏水道企業団 (マッピングシステム保守運用委託) |
約193,000件 |
| 2024年7月18日 | 岡山ガス(第2報) | 約120,000件 |
| 2024年7月18日 | 長浜水道企業団 | 65,849件 |
| 2024年7月18日 | さいたま市水道局(第2報) (管路情報システム保守運用委託) |
6,349件 |
| 2024年7月18日 | 横浜市水道局 (マッピングシステム委託) |
約14,000件 |
| 2024年7月18日 | かずさ水道広域連合企業団 (管網管理システム保守運用委託) 君津市 |
記載なし |
| 2024年7月18日 | 松江市ガス局 (マッピングシステム保守運用委託) |
記載なし |
| 2024年7月18日 | 長岡市水道局 (水道管路情報マッピングシステム保守運用委託) |
約142,000件 |
| 2024年7月18日 | 東京都下水道サービス | 約88,000件 |
| 2024年7月18日 | 奈良市企業局 (第2報) (第3報) (第4報) | 2,959件 |
| 2024年7月19日 | 石巻地方広域水道企業団 (図面管理システム保守運用委託) |
記載なし |
| 2024年7月19日 | 東京ガス山梨 (第2報) | 約65,000件 |
| 2024年7月19日 | 北陸ガス (マッピングシステム保守運用委託) |
記載なし |
| 2024年7月19日 | 防府市上下水道局 | 記載なし |
| 2024年7月19日 | 三郷市 (水道管路情報システム保守運用委託) |
約78,000件 |
| 2024年7月19日 | 白根ガス | 65件 |
| 2024年7月19日 | 福岡市水道局 | 約224,000件 |
| 2024年7月19日 | 日本ガス | 約61,000件 |
| 2024年7月19日 | 国分隼人ガス | 約2,200件 |
| 2024年7月19日 | 水道マッピングシステム | 約178,000件 |
| 2024年7月19日 | 武州ガス | 415件 |
| 2024年7月19日 | 静岡ガス | 約43,000件 |
| 2024年7月19日 | 北海道ガス(第2報)(第3報) | 約690,000件 |
| 2024年7月19日 | 妙高市上下水道局 (水道解析システム保守運用委託) |
約40,000件 |
| 2024年7月19日 | 長野都市ガス (第2報) | 約60,000件 |
| 2024年7月22日 | 福岡市水道局 | 約224,000件 |
| 2024年7月22日 | 八千代市上下水道局 (上下水道施設管理マッピングシステム保守運用委託) |
記載なし |
| 2024年7月22日 | 熊本市(第2報) | 約37,000件 |
| 2024年7月22日 | 由利本荘市企業局 (ガス・水道導管網システム保守運用委託) |
38,139件 |
| 2024年7月22日 | 新座市 (水道マッピングシステム社委託) |
88,627件 |
| 2024年7月22日 | 宇部市水道局 (第2報) (水道施設情報管理システム保守運用委託) |
記載なし (76,000件と報道 *2) |
| 2024年7月22日 | 岩見沢ガス | 約7,600件 |
| 2024年7月22日 | 松戸市水道部 (第2報) | 約48,000件 |
| 2024年9月30日 | 江別市 | 約1,027人 |
- この一覧にはTGES社へ再委託をしていた水道マッピングシステム社への委託元も含まれている。
東京ガス、TGES社の公表
東京ガス
- 2024年7月17日 不正アクセスによるお客さま等に関する情報流出の可能性についてお詫びとお知らせ
東京ガスエンジニアリングソリューションズ
- 2024年7月17日 [PDF] 不正アクセスによるお客さま等に関する情報流出の可能性についてお詫びとお知らせ
更新履歴
- 2024年7月23日 AM 新規作成
*1:東京ガス子会社への不正アクセスは「VPN装置経由」、個人情報約416万人分漏洩か,日経クロステック,2024年7月18日
*2:宇部市水道局が7万6000件の個人情報流出を発表…ネットワークに不正アクセスか,日テレNEWS,2024年7月22日
