弊会Webサイトに対する不正アクセス事案の発生及び
個人情報流出のおそれについて
(第1報)
平成30年2月28日
一般社団法人公開経営指導協会
2018年(平成30年)2月17日、弊会Webサイトに対する外部からの不正なアクセスがあったことを確認しました。そのため現在、弊会Webサイトの公開を停止しております。
お客様、関係者の皆様にはご心配とご迷惑をお掛けしており、深くお詫び申し上げます。
不正なアクセスの確認後、Webサイトの公開を停止し、現在外部の情報セキュリティ対策事業者にも協力を依頼して原因究明に努めているところです。
現在判明している情報につき、以下の通りお知らせ致します。
※2018/03/08追記
3/6より、サイトの一部暫定運用を再開しました。サイトの暫定復旧については3/20頃を予定しております。
1. 事案の概要
2018年2月17日、弊会Webサイトに設置しているCMS(コンテンツマネジメントシステム)であるWordpressに対し海外より攻撃が行われ、不正なログインが行われている履歴を確認しました。
本事象は重大なセキュリティインシデントであると判断、直ちに対応を開始、外部からのログインを遮断すると共に影響範囲の調査を開始しました。
初動対応において、不正なログインが行われたこと、引き続き外部からの攻撃が継続していることを確認できたため、CMSを含めたWebサイト全体の閉鎖を決定し、同日 20:37頃、Webサイトの閉鎖作業を完了しました。
現在、弊会理事長を本部長とする情報セキュリティ対策本部を設置、外部の情報セキュリティ対策事業者に依頼して原因及び影響範囲の調査を行っております。
また、当該Webサイトでは2018年2月1日よりEコマース(通信教育の個人受講申込受付)を行っており、個人情報流出のおそれがあるため、現在その事実の有無の確認を行っております。
なお、本事案については既に関係機関及び警察への報告・届出・相談を行っております。
2. 事案の発生及び対応状況
| 2月17日(土) | 午前3:20頃、2月7日頃より弊会Webサイトに対し海外より攻撃が行われ、CMSへの不正ログインが行われていることを確認。 |
|---|---|
| 直ちに対応を開始し、緊急調査の結果、外部からの攻撃が継続していることを確認。外部からのログインを遮断する作業を行うとともに、影響範囲の調査を開始。 | |
| 暫定的な原因調査の結果、不正ログイン発生の原因はWebリニューアル作業を委託した外部事業者が、弊会に無断でCMSへのアクセス制限を解除したことによるものと推定。(弊会側の問い合わせに対し、委託事業者よりアクセス制限の解除を無断で実行した旨の申告あり) | |
| 重大セキュリティインシデントと認定し、Webサイトの閉鎖を決定。 | |
| 同日20:37頃、Webサイト閉鎖作業を完了。 | |
| 2月19日(月) | 外部の情報セキュリティ専門事業者に対し対応依頼。 |
| 暫定措置として情報セキュリティ対策委員会を設置し、第1回緊急セキュリティ対策会議を実施。早急に原因究明と影響範囲の調査を行い、結果を公表することを決定。 | |
| 2月22日(木) | 第2回緊急セキュリティ対策会議を実施。情報セキュリティ対策委員会を格上げし、弊会理事長を本部長とする情報セキュリティ対策本部を設置。 |
| (以後、メール・電話等による対策協議を継続) | |
| 2月23日(金) | 警視庁及び(独)情報処理推進機構に対し不正アクセス事案発生を届出。 |
| 2月26日(月) | 個人情報保護委員会に個人情報流出のおそれの発生を報告。 |
| 2月27日(火) | 個人情報保護委員会からの問い合わせに対し、状況の詳細を報告。 |
3. 保有個人情報流出のおそれについて
上記不正アクセスの発生に伴い、弊会保有の個人情報が一部流出したおそれがありますので、以下に現時点で判明している情報についてお知らせします。
弊会Webサイトにおいては、2018年2月1日よりEコマース(通信教育講座の個人受講の申込受付)を行っており、Webサイト内に当該申込データが保存されておりましたため、当該個人情報が外部に流出したおそれがあります。
また、同Webサイト内には弊会に対し2013年11月27日から2018年1月31日まで及び2018年2月1日から2月17日までにお問い合わせ・資料請求を行われた方の個人情報が保存されていた可能性があり、当該個人情報が保存されていた場合、この個人情報についても流出のおそれがあります。
個人情報流出のおそれのある個人の数及び保存されていた個人情報の内容については、個人情報流出の有無を含め現在調査中です。
なお、上記受講申込に使用されたクレジットカード情報その他の決済に関する情報については、弊会では情報を保有しておりませんので流出の危険性はありません。 (クレジットカード情報は暗号化の上決済代行会社に送信されており、弊会では保存しておりません)
現在、外部のセキュリティ対策事業者と共同で不正アクセス状況の確認と個人情報流出の有無について調査を行っておりますが、調査終了までにはしばらく時間がかかる見込みです。
不正アクセスの被害確認を確実に行うため、現在当該不正アクセスのあったCMSを停止しております関係上、現時点では流出したおそれのある個人情報の特定には至っておりません。
個人情報流出の有無を含め、新しい事実が判明し次第随時公表するとともに、個人情報流出の事実があった場合、該当する個人の情報が特定でき次第該当のお客様には個別にご連絡致します。
上記お申込み、お問い合わせを行われた皆様につきましては、個人情報流出のおそれを生じさせたことにつき、深くお詫び申し上げます。
【法人お取引先の個人情報について】
弊会の通信教育講座を法人受講(ご勤務先を通じてのお申込)で受講されているお客様の個人情報につきましては、弊会Webサイトには保存しておらず、情報処理については外部委託を行っておりますため、個人情報流出のおそれはないものと考えております。
こちらの詳細につきましても調査の結果が判明し次第、随時公表致します。
4. 現時点で判明しているその他の影響
本件不正アクセスが行われた弊会Webサイト以外の弊会が業務に利用しているシステム等につきましては、本件Webサイトとは異なるネットワークに存在するか情報処理を外部に委託しているため、現時点では本件不正アクセスによる影響は確認されておりません。
また、弊会の社内ネットワークについても、現時点で不正なアクセスは確認できておりません。
5. 今後の対応
Webサイト上のコンテンツの改竄や保有個人情報の流出の可能性についても懸念されることから、引き続き早急に外部のセキュリティ専門事業者と協力の上、原因及び影響範囲等の調査に努めます。
Webサイトの再公開につきましては、安全が確認されたコンテンツが準備でき次第順次公開する予定ですが、再公開までにはしばらくの時間を要する見込みです。これにより業務に支障が生じております。
業務の遅延等により関係各所の皆様にはご迷惑をおかけしており、深くお詫び申し上げます。
また、繰り返しになりますが、個人情報流出のおそれを生じさせたことにつき、該当するお客様にはご迷惑をお掛けしておりますこと、ご不安を生じさせましたことについて、改めて深くお詫び申し上げるとともに、今後このような事態を生じさせないよう管理体制の整備をより一層進め、再発防止に努めてまいります。
今後、新しい事実が判明し次第、本Webサイト上にて随時公表いたします。
6. 本件に関するお問い合わせ先
情報セキュリティ対策本部 広報担当
(迷惑メール防止のため、画像にて表示しております。お手数ですが手動でのご入力をお願い致します。)
※本件に対応可能な職員が限られておりますため、お電話による取材・お問い合わせ等はご遠慮下さいますようお願い申し上げます。大変お手数をおかけいたしますが、ご理解とご協力をお願い申し上げます。
以 上