2024/01/12

【セキュリティ事件簿#2023-490】株式会社マルミミ 不正アクセスによる個人情報漏洩のお詫びとご報告


この度、弊社が業務受託し運用おこなっております「千葉県立君津亀山青少年自然の家」Webサイトのウエブサーバーにインストールしておりましたメールマガジン配信システム(メールマガジンの名称は「きみかめ通信」。令和5年2月1日に配信を終了)に対して、外部より不正アクセスがあり、弊社にて調査した結果、令和5年12月11日、何者かにより(メールマガジンにご登録いただいています皆様)の個人情報(メールアドレス)がCSVファイル形式でダウンロードさたれことが判明いたしました。

本件でご登録いただいたお客様をはじめ関係各位の皆様に多大なるご迷惑とご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

また、令和5年12月12日の不正アクセス発覚から正確な被害状況の確認までに、お時間を要してしまいましたこと、重ねてお詫びを申し上げますとともに詳細につきましては、下記をご参照くださいますようお願いいたします。

弊社では、個人情報に関して厳重なセキュリティ対策を行ってまいりましたが、まだまだ不十分であったことを痛感し、以後このような事態が発生しないよう改めてセキュリティ対策の強化と抜本的見直しに取り組み、再発防止に努めてまいる所存です。

1)個人情報閲覧および取得操作が確認された個人情報

・ メールマガジン(きみかめ通信)登録者613名様分のメールアドレス

2)経緯

令和5年12月12日(火)9時頃、千葉県立君津亀山青少年自然の家様よりメールマガジン(以下きみかめ通信)が不正操作され配信されたとの連絡を受けました。

弊社でアクセスログ解析等の調査した結果、外部からのメールマガジン配信システム※への不正アクセスおよび不正操作が行われたことが判明しました。

不正操作により、ユーザーパスワード、配信元、件名等が書き換えられたうえで、メール配信システムより、きみかめ通信が1回配信されたことを確認しました。また、きみかめ通信登録者613名分のメールアドレスがCSVファイル形式でダウンロードされた形跡をアクセスログより確認しました。

上記以外の個人情報に関する不正利用等の被害の発生は確認されておりません。


3)発生後の対応

1.対応措置

12月12日午後、パスワード変更をおこない、ウエブサーバーよりメールマガジン配信システムを完全に削除しました。

2.各所への報告/届出

千葉県立君津亀山青少年自然の家様と千葉県教育庁教育振興部生涯学習課に不正アクセスの詳細を報告致しました。


4)不正アクセスの原因

メールマガジン配信システムは、「千葉県立君津亀山青少年自然の家」Webサイトのウエブサーバーに2010年にインストールし運用開始しました。2023年2月の終了後もシステムはウェブサーバーに配信可能の状態で保存されていました。また、メールマガジン配信システムの開発会社より脆弱性(https://www.acmailer.jp/info/de.cgi?id=103)の報告、システムのアップデートがアナウンスされておりました。弊社にてメールマガジン配信システムのアップデートを怠り、さらに未使用状態で配信システムを保存しておいたことにより、不正アクセスを招く結果となりました。

5)再発防止への取り組み

上記の発生原因を踏まえ、弊社において以下の通り再発防止策を実施します。

  1. 外部開発によるシステムの使用については、クライアント様へ運用に問題がないかを定期的に確認いたします。
  2. 外部開発によるシステムを使用する場合は、開発会社からの情報提供を定期的に確認し最新の状態保持に努めます。
  3. 外部開発システムに関わらず、Webサーバー内における個人情報・公的情報・企業情報の取り扱いにおいては、最新のセキュリティ対策を講じ、定期的にバックアップ、更新等の作業をおこないます。
あわせて、弊社が受託運用中の他のWebサイトの同様の事案がないかを確認し、問題がある場合には適切に対応いたします。