【セキュリティ事件簿#2023-400】発達障害当事者協会 メールアドレス流出に関する謝罪と対応について

このたび、当協会のメールマガジン配信システムが第三者による不正アクセスを受け、当協会メールマガジン登録者の皆様の「氏名及びメールアドレス」約800件の個人情報が漏えいし、また当協会メールマガジン登録者の皆様宛に「唐澤貴洋<karasawa@steadiness-law.jp>」や「松井威人 <info@itscorp.jp>」等の当協会と無関係の第三者を発信者とする不適切な内容の電子メールが送信される事件が発生しました。

メールマガジン登録者の皆様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

個人情報が漏えいした可能性のある皆様には、本電子メールにてお詫びとお知らせのご連絡を申し上げます。

当協会では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、以下の通りご報告いたします。

1.事案の概要

2023年9月20日午後、メールマガジン登録者の皆様宛に、「唐澤貴洋<karasawa@steadiness-law.jp>」や「松井威人 <info@itscorp.jp>」等の第三者を差出人として、「発達障害当事者協会ニュース」、「個人情報開示」、「個人情報なりをみんなもあらそう」、「【警告】有料アダルトサイトの未納料金について」、「○○を殺す」(○○は当該電子メール受信者氏名)、「松井威人から障害者の皆様へ」などと題する不適切な内容の電子メールが相次いで送信されているとの連絡がありました。

当協会において調査したところ、上記を含む多数の不適切な電子メールが確認され、また一部の電子メールにはメールマガジン登録者全員の氏名及びメールアドレス(あるいはこれらが掲載されたインターネット掲示板のリンク)が記載されている事実を確認しました。

このことから、当協会のメールマガジンを配信するメール配信CGI(acmailer)がインストールされたサーバーに不正アクセスが行われ、メールマガジン登録者の個人情報が漏えいし、さらにメールマガジン登録者の皆様宛にメールマガジン配信機能を使用した不適切な内容のメール送信がなされたことが判明しました。

2.漏えいした情報

個人情報の流出状況についてですが、当協会メールマガジン登録者の「メールアドレスと氏名」が不正侵入者の集うオンラインの掲示板で開示されてしまいました。

(現時点では、住所などその他の情報漏洩は確認できておりません)

なお、不正侵入の範囲はメールマガジン配信システムに限定されており、協会で使用している事務用PC及び外部のイベント管理システム(「こくちーずプロ」及び「Peatix」)には影響なく、各種イベントなどでお預かりした個人情報について安全に取り扱っております旨もあわせてお伝えいたします。

3.漏えいの原因

原因調査の結果、当協会のメールマガジンを配信するメール配信CGI(acmailer)について、その提供事業者であるエクストライノベーション株式会社より脆弱性(不正ログインの危険性)に関する注意喚起がなされていたにもかかわらず、当協会において、インストールサーバー上で適切なバージョンアップ(脆弱性の修正)を行っていなかったため、不正アクセスを受けたことが判明しました。

4.今後の対応

本件の判明後、当協会はメールマガジン配信システムの運用を停止しており、旧メールマガジン配信システムからの配信はございません。

つきましては、購読者の皆様に改めてメールマガジンの登録解除の手続きをしていただく必要はございません。

また、戸塚警察・野方警察・巣鴨警察をはじめとする捜査当局と対応を協議しつつ、捜査協力を行っております。

今後、法令上求められる報告を行うとともに、所轄警察署への被害申告を行う予定です。

さらに、再発防止のため、サーバー及びサーバー上のシステムのセキュリティ対策及び監視体制の強化に取り組んでまいります。

今後も、引き続き本件につきまして状況の変化がありましたら、改めてご報告いたします。

当協会の不手際により皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、改めて深くお詫び申し上げます。

リリース文アーカイブ