茨城県 産業技術イノベーションセンター・ホームページの改ざんへの対応について 2022年9月20日



9月 9日付けで資料提供 した標記の件につきまして、 原因等の確認ができたことから、下記のとおり対応してまいります。

1 事案の概要及び不正アクセスに至った原因
(1 ) 事案の概要
  • 何者かが、センターホームページの管理ページにログインするための1ID及びパスワードを探り当て不正に侵入。ホームページの新着情報欄に英文表記による改ざんを実施したもの (9/8 19時22分ログイン, 19時24分改ざん)。
  • これまでの調査により、管理ベージのアクセス制限を解除 した8/1以降、4つの不審なIPアドレスから改ざんに至らない不正なログインを確認した。
  • なお、内部情報が漏えいした事実は確認されていない。
(2) 不正アクセスに至った原因
①不適切なパスワード設定
管理ベージにログインするための 1 D及びパスワードが同一であり、センターの名称等から類推 しやすいものであった。
②システム管理ベページヘへのアクセモス制限の不適切な設定
    • 本年8/1、センターにおいて、ホームページを編集できる端末を増やすため(1 台つ計2台) 、ホームページの保守・管理を委託している業者に依頼 し、管理ページへのアクセス制限を解除の上、対象端末を登録。
    • その後、アクセス制限を再度設定することを失念し、8/1以降、登録端末以外でも泡理ベージのURLを探り当てアクセス可能な状態となっていた。
2 再発防止策
(1) ID及びパスワードを容易に類推されない複雑なものに設定
(2) アクセス制限の解除・設定等セキュリティに係る作業項目のチェックリストを設け、複数人で進捗状況の確認を徹底するとともに、管理ベページのURLを類推されにくい文字列に設定

3 今後の対応
  • 事案発生以降、県警と継続して相談・協議しているところであり、9/20 以降(日程調整中) に水戸警祭者へ彼害届の提出を予定しております。
  • サーバを再構築し、9月30日までにホームページの復旧を予定しております。