住宅ローンの「フラット35」を取り扱う優良住宅ローンは2016年10月26日、同社のメール管理サーバーから顧客情報が漏えいした可能性が高いと発表した。対象となるのは、9月10日から30日に受信したメールに含まれる、3万7247人分の顧客情報。外部からの不正アクセスによって、役職員が受信したメールを外部に転送する設定に変更されていた。メールが含む情報を開示しないことと引き換えに、金銭を要求されていたことも明らかにしている。

優良住宅ローンのWebサイト
優良住宅ローンのWebサイト
(出所:優良住宅ローン)
[画像のクリックで拡大表示]

 同社は10月6日、9月30日にメール管理サーバーに対して不正アクセスを確認していたことを発表していた。

 漏えいした可能性が高い主な顧客情報は次の通り。返済口座の氏名、金融機関名、支店名、口座科目、口座番号など。加えて、借入手続きを実施した顧客の氏名、住所、生年月日、国籍、電話番号、勤務先、年収など。抵当権設定登記を実施した顧客や、問い合わせや資料請求を実施した顧客の氏名や住所も含まれるという。

漏えいした可能性のある顧客情報
漏えいした可能性のある顧客情報
(出所:優良住宅ローンが2016年10月26日に発表した資料より抜粋)
[画像のクリックで拡大表示]

 優良住宅ローンが明らかにしている経緯は以下である。9月30日午後6時ごろ、同社のシステム管理責任者がメール管理サーバーへの不正なアクセスを発見。役職員5人のメールアカウントが受信したメールを、外部のメールアドレスに転送する設定に変更されていた。発見後、同社は転送設定を削除し、管理者権限のパスワードを変更した。

 10月3日に、メールを含む情報を開示しないことと引き換えに金銭を要求するメールを、システム管理責任者が受信した。同日に、優良住宅ローンは警察と顧問弁護士に相談。メール管理サーバーを運営する企業にアクセスログの開示を要求した。

 優良住宅ローンは10月4日、セキュリティベンダーに調査を依頼。5日に、メールが漏えいした可能性があると報告を受けた。優良住宅ローンはフラット35の業務委託元である住宅金融支援機構(旧住宅金融公庫)と監督官庁に報告。メールを含む社内システム全てのパスワードを変更した。

 10月17日には、メール管理サーバーの運営企業が開示したアクセスログを解析し、9月10日から30日に役職員が受信したメールの情報が漏えいした可能性が高いと判明。10月25日から、対象となる顧客にダイレクトメールを発送している。

 優良住宅ローンは10月26日時点で、漏えいした可能性のある「個人情報が悪用されたといった相談は無い」としている。同日、専用窓口として「お客様特別相談室」を開設した。メール管理サーバーに対する不正アクセスの手法や原因については調査中。