【セキュリティ事件簿#2023-253】【ご報告】シェアオフィス「Lieffice」公式ウェブサイトへの 不正アクセスに関する調査結果(お客さま情報の漏えいはありませんでした) 2023年9月20日

 

7月3日、当社が運営するシェアオフィス「Lieffice」の公式ウェブサイトに対し、外部からの不正アクセスがあり、7月7日付の報道発表にて、不正アクセスの発生及びお客さま情報の漏えいの可能性がある旨を公表しました。

その後、同サイトにご登録いただいたお客さま情報について、外部への漏えいの有無を調査した結果、漏えいの事実がなかったことを確認しましたのでお知らせいたします。同サイトにご登録いただいたお客さまをはじめ関係される皆さまに、ご迷惑とご不安をおかけしましたことを、改めて深くお詫び申し上げます。

なお、非公開としていた同サイトは、不正アクセスの再発防止策を講じ、お客さまに安心してご利用いただけることを確認しましたので、9月20日(水)から、サイトの公開および「Lieffice」全3店舗の営業を再開しました。

1.不正アクセスの概要

7月3日17時ごろ、当社社員が「Lieffice」の公式ウェブサイトにアクセスしたところ、無関係のウェブサイトへ自動転送される状態になっていることを確認しました。

調査の結果、同日16時ごろ、何者かによって不正にアクセスされ、公式ウェブサイトのHTMLファイルの情報が書き換えられていたことが判明しました。

2.お客さま情報の漏えいがなかったと判断した理由

 調査の結果、公式ウェブサイトとお客さま情報データベースは、システムの構造上分離しており、公式ウェブサイトへの不正アクセスでは、お客さま情報データベースに到達することは不可能なため、情報は漏えいしていないと判断しました。

3.不正アクセスが発生した原因

公式ウェブページの管理システムであるソフトウェア(以下、CMS)において「管理者アカウントのID及びパスワード設定が簡易だったため、比較的容易に不正アクセスできる状態となっていたこと」「一般的に広く普及しているCMSを使用していたが故に、攻撃対象になりやすかったこと」の二点が原因だと考えています。

4.再発防止策
 
MSを安全性が十分に確認されたソフトウェアに変更いたしました。また、パスワードについても直ちに複雑化いたしました。

加えて、Liefficeウェブサイトに対して、その他の問題がないかを調査するため、第三者による脆弱性診断を実施いたしました。診断において脆弱性の懸念があると指摘を受けた箇所については、改修を実施し、安全性を確保いたしました。