2023/12/24

【セキュリティ事件簿#2023-318】独立行政法人日本学術振興会 不正アクセスによる個人情報漏えいのお詫びとご報告

今般、独立行政法人日本学術振興会が民間事業者提供のファイル転送サービスとして利用していたサービス(Proself)が何者かに不正アクセスされ、「Proself」に保存されている国内外の関係者の個人情報が、外部に漏えいしたことが判明いたしました。

関係者の皆様にご迷惑とご心配をおかけいたしますこと深くお詫び申し上げます。 

経緯

令和 5 年 10 月 5 日に上記民間事業者より Proself に脆弱性があるとの連絡がございました。それに基づいて、サービス開発業者に対し、調査を依頼いたしましたところ、令和 5 年 10月 25 日に調査結果の報告があり、一部ファイルが何者かに取得されたことが明らかになりました。

この報告によると、不正アクセスは令和 5 年 8 月 29 日~令和 5 年 9 月 20 日に行われ、Proself に保存されていたファイルの一部が取得されたことが判明いたしました。取得されたファイルを本会にて確認したところ、個人情報が含まれていたことを令和 5 年 10 月 26 日に確認いたしました。 

原因

サービス開発業者から、未知の脆弱性であった XXE 脆弱性(特殊な命令を送信することによって、本来表示されないファイルの内容を見ることができる脆弱性)を用いたサーバー内ファイル取得を目的とした不正アクセスであったとの報告を受けております。 

現在の対応

脆弱性が解消された Proself にアップデートし、既知の脆弱性に基づく攻撃の被害発生を防止しました。また、未知の脆弱性に基づく攻撃に対しても、ファイルの暗号化の強化等、運用管理方法を見直し、これらに基づいて本会情報セキュリティポリシーの改定を行い、周知徹底を図りました。

また、個人情報保護委員会にも報告し、警察にも相談しています。 

漏えいした個人情報

 現在、以下の情報を確認しております。
  • 海外との研究者交流事業の関係者 391 名
     氏名、所属先、役職、略歴、連絡先(メールアドレスを一部含む。)、活動計画、推薦理由等
  • 国内外の学術振興に係る行事・会議の参加者 569 名
    氏名、所属先、役職、略歴等
  • 本会役職員の氏名、メールアドレス等 312 名 

関係者の対応

現在、個人情報漏えいの可能性のある関係者の皆様を対象に、メールなどを通じて、別途その旨ご連絡しております。

今後の対策

情報セキュリティ運用ルールの不断の見直し、定期的な研修及び内部点検を通じて、さらなるセキュリティ強化を図ることとしています。

このたびは、関係者の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。