HOYAのランサムウエア被害、内視鏡検査受診者1000人分の個人情報が流出していた

今回は、HOYAのランサムウエア被害による個人情報流出と、サーキットデザインのランサムウエア被害、住友林業クレストのサポート詐欺被害を取り上げる。

4つの医療機関の内視鏡検査受診者が対象

大手レンズメーカーのHOYAは2025年4月14日、2024年3月に発生したサイバー攻撃を調査した結果、個人情報の一部が外部に流出したことが判明したと発表した。

ニュースリリース

サイバー攻撃による個人情報の外部流出について

2025.04.14

2024年4月1日付け「当社グループにおけるシステム障害について」、同年4月4日付け「当社グループにおけるシステム障害について」、同年4月23日付け「当社グループにおけるシステム障害について（続報）」及び同年5月15日付け「当社グループにおけるシステム障害について（続報）」でお知らせいたしましたとおり、害意ある第三者からのサイバー攻撃により、当社にてシステム障害が発生いたしましたが、調査の結果、当社が管理する個人情報の一部が外部へ漏洩したことが判明しました。漏洩の事実につきましては改めて個人情報保護委員会へ報告を行っております。深くお詫び申し上げますとともに、確認された外部流出等の概要について、下記のとおりご報告いたします。

記

1. 事実の概要及び経緯

2024年3月30日、当社のシステムが害意ある第三者からのサイバー攻撃を受け、調査復旧作業を開始しました。その後、当社は、外部の専門家と協力して被害の詳細の調査を開始いたしましたが、同年4月2日に、漏洩したと思われるファイルに個人情報が含まれている可能性があることが発覚し、その後も更に調査を進めて参りました。かかる調査の結果、以下のシステムに保管されていた以下の個人情報が外部へ漏洩したことが判明いたしました。

攻撃を受けたシステム：ＰＥＮＴＡＸライフケア事業部（内視鏡）及びメディカル（眼内レンズ）事業部の一部のシステム

流出した個人データ：

（１）2016年から2022年までに広域関東圏の4つの医院・クリニックでＰＥＮＴＡＸライフケア事業部の製品にて内視鏡検査を受診された方の氏名、性別及び年齢：約1,000名
なお、漏洩対象となった上記４つの医院・クリニックには、別途その旨を当社からご連絡差し上げております。

（２）2024年3月末までにＰＥＮＴＡＸライフケア事業部（内視鏡）へお送りいただいた履歴書等の採用関連情報：約500名

（３）2024年3月時点でＰＥＮＴＡＸライフケア事業部（内視鏡）とお取引のあった会社名、代表者氏名、住所、電話番号及び銀行口座：約2,000名

（４）2024年3月末時点までに上記システムで保管されていた当社グループの従業員及び退職者、ご家族の氏名、社員番号、銀行口座、身分証明書及び給与情報等の雇用関連情報：約3,000名

現時点で流出した個人情報が悪用されたという報告は受けておりません。また、クレジットカード情報の流出は確認されておりませんが、本件の状況に鑑み、予期せぬ第三者からの連絡等を受けた場合には、慎重な対応をお願い申し上げます。

本件の影響を受けた可能性のある皆様におかれまして、不審な連絡を受けたり、お気になる点がございましたら、以下の連絡先までご連絡ください。

コールセンター電話番号：0120-344-012

再発防止策等

2024年3月31日以後、迅速に当社システムをネットワークから遮断し、システムの分析、安全確保及び復旧作業を実施いたしました。また、不正アクセス防止のため、セキュリティ対策ソフトの導入やパスワードの強化を含む、システム強化や監視体制の強化を行っております。また、従来の個人情報管理を再点検し、個人情報の管理の徹底を行ってまいります。

同社が受けたのは、ランサムウエア攻撃だったと見られる。サーバー内のファイルの一部が窃取されたため、外部の企業にファイルに個人情報が含まれるかどうかの調査を依頼したと、2024年4月23日に説明していた。

調査の結果、被害があったのはPENTAXライフケア事業部（内視鏡）とメディカル（眼内レンズ）事業部の一部のシステムで、流出したファイルには2016年から2022年までに広域関東圏にある4つの医療機関で内視鏡検査を受診した約1000人分の個人情報（氏名や性別、年齢）が含まれていた。この他、採用関連の履歴書などが約500人分、取引先の代表者名や住所、電話番号、銀行口座情報が約2000件、同社グループの従業員（退職者を含む）やその家族の個人情報約3000人分が含まれていた。

流出情報の悪用については、発表時までに報告を受けていないという。また、流出情報にクレジットカード情報が含まれていないことを改めて説明している。

無線モジュールを手掛けるサーキットデザインがランサムウエア被害

IoT機器などに使う無線モジュールの設計開発を行うサーキットデザインは2025年4月7日、2024年7月22日に発生した不正アクセス被害の調査結果を報告した。

（出所：サーキットデザイン）

[画像のクリックで拡大表示]

不正アクセスでは、同社のネットワークに存在した脆弱性を悪用されたと説明。一部のサーバーがランサムウエアに感染し、データが暗号化されたという。被害に遭ったサーバーには取引先の会社名や担当者名、連絡先などが保存されていた。外部の専門機関の調査では、これらの情報が外部に流出した事実は確認されなかった。

今回の不正アクセスを受け、再発防止策として、ネットワークの再構築やEDRなどのセキュリティー対策の導入、アクセス権限の見直し、従業員教育などを実施した。

https://drive.google.com/file/d/14vn1liWP56djBzR7HbvdlmR73PhuEuQN/view

端末に遠隔操作ソフトをインストールされる

住友林業クレストは2025年4月15日、2025年3月24日に従業員がサポート詐欺被害に遭ったと報告した。

（出所：住友林業クレスト）

[画像のクリックで拡大表示]

詐欺により、遠隔操作ソフトがインストールされ、端末内の情報が流出した可能性があるという。当該端末は既にネットワークから隔離した。

顧客の氏名は約500人分、従業員の顔写真などが約300人分、その他に顧客情報を含む図面や見積書が端末に保存されていた。影響を受ける対象者には、同社より連絡を取っているという。