9月 9日付けで資料提供 した標記の件につきまして、 原因等の確認ができたことから、下記のとおり対応してまいります。
1 事案の概要及び不正アクセスに至った原因
(1 ) 事案の概要
- 何者かが、センターホームページの管理ページにログインするための1ID及びパスワードを探り当て不正に侵入。ホームページの新着情報欄に英文表記による改ざんを実施したもの (9/8 19時22分ログイン, 19時24分改ざん)。
- これまでの調査により、管理ベージのアクセス制限を解除 した8/1以降、4つの不審なIPアドレスから改ざんに至らない不正なログインを確認した。
- なお、内部情報が漏えいした事実は確認されていない。
(2) 不正アクセスに至った原因
①不適切なパスワード設定
管理ベージにログインするための 1 D及びパスワードが同一であり、センターの名称等から類推 しやすいものであった。
②システム管理ベページヘへのアクセモス制限の不適切な設定
- 本年8/1、センターにおいて、ホームページを編集できる端末を増やすため(1 台つ計2台) 、ホームページの保守・管理を委託している業者に依頼 し、管理ページへのアクセス制限を解除の上、対象端末を登録。
- その後、アクセス制限を再度設定することを失念し、8/1以降、登録端末以外でも泡理ベージのURLを探り当てアクセス可能な状態となっていた。
2 再発防止策
(1) ID及びパスワードを容易に類推されない複雑なものに設定
(2) アクセス制限の解除・設定等セキュリティに係る作業項目のチェックリストを設け、複数人で進捗状況の確認を徹底するとともに、管理ベページのURLを類推されにくい文字列に設定
3 今後の対応