卒業アルバムの写真など17万件漏えいのおそれで印刷会社が経緯説明　侵入はVPN経由、公表の遅れは「納期を守る措置を優先してしまった」

　卒業アルバムに使用した生徒の写真や氏名など個人情報が漏えいした可能性がある問題で、不正アクセスを受けた斎藤コロタイプ印刷（宮城県仙台市）が4月24日付で調査結果を報告した。VPN経由でランサムウェア攻撃を受けていた。
　漏えいの可能性があるのは、2023年度（24年3月卒業）に制作した卒業・卒園アルバムのために入稿された写真や個人名を含むテキストなど。該当する学校の数や人数については触れていないが、4月11日時点の各社報道では、30都道府県の約2000校、約17万3000件とされている。
　事態が発覚したのは24年7月。工場でネットワーク接続の異常を確認し、関連システムを停止して内部調査を行ったところ、ランサムウェア攻撃の可能性が浮上した。
　同年9月から11月にかけて専門業者によるデジタルフォレンジック調査を実施したところ、第三者がVPN接続機器を経由し、工場の「業務系ネットワーク」に不正アクセスしていたことが分かった。何らかの原因で漏えいしたパスワードが利用されたか、機器の脆弱性をついて不正侵入されたかのいずれかとみている。
　その後、共用しているログオン認証サーバ内のユーザー情報を用いてアルバム制作業務を行う「制作系ネットワーク」にも侵入され、全体の約2.5％に相当するデータが暗号化された。これらデータのダウンロードは確認していないが、サーバ上の個人情報を第三者が閲覧した可能性は残るという。
　同社は対策として、原因となった業務系ネットワークに対するVPN接続を廃止。リモート作業が必要な制作系ネットワークはVPN接続にハードウェアトークンによる2要素認証を導入した。
　この他、1）パスワードポリシーをより複雑な条件に変更し全ユーザーで変更、2）UTM（ファイアウォールなど複数のセキュリティ機能を提供する機器）の脆弱性対策、3）UTMのアクセスログを外部へ保存する体制を構築、4）接続回線のグローバルIPアドレスを変更、5）社内教育の刷新などの対策を挙げている。
　なお、事態が発覚してから公表までに約10カ月を要した点については「翌年度（24年度）のアルバム制作作業を出来得る限り安全な環境で進めるための対応と、その納期を厳守するための措置を優先させてしまった」と説明している。