東京ガスの子会社が不正アクセスを受けて個人情報約416万人分が漏洩した可能性がある問題を巡り、侵入経路はVPN(仮想私設網)装置経由であったことが日経クロステックの取材で2024年7月18日までに分かった。現在は外部との接続を遮断するなど対策を講じた上で、被害範囲や原因などについて調査を進めている。2024年7月18日午前10時時点で情報の不正利用は確認されていないという。
不正アクセスを受けたのは、ガスや電力の営業を手掛ける東京ガスエンジニアリングソリューションズ(TGES)。2024年6月26日に、同社ネットワークへの不正アクセスを検知したという。同社は即日、外部との接続を遮断した上で専門機関による協力を受けて調査を進めたところ、特定のファイルサーバーへのアクセスに必要な従業員のIDとパスワードが複数窃取されていたことが、2024年7月9日に判明したという。
窃取されたIDとパスワードは、TGESが顧客情報を保管するファイルサーバーのほか、東京ガスが持つ法人顧客の情報を保管するファイルサーバーにもアクセス可能だった。ただ、実際に窃取したIDとパスワードを使ってサーバーにアクセスした形跡は見つかっていないという。
「何者かによるファイルの暗号化や身代金要求などはない」(東京ガス広報)といい、ランサムウエア(身代金要求型ウイルス)の可能性については否定した。侵入経路はTGESが持つVPN装置経由であることが分かっているが、脆弱性の有無などについては「セキュリティーの関係で回答は控える」(同)とした。
今回の不正アクセスに関しては、TGESへガスや水道などのインフラ情報管理システムの運用業務を委託している顧客に被害が及んでいる。TGESの顧客である神奈川県が2024年7月17日に、県営水道の顧客情報約3万7000件がTGESへの不正アクセスによって流出した可能性があると発表した。このほかTGESの顧客である金沢エナジーも同日、顧客情報が流出した可能性があると発表している。