2024/01/31

【セキュリティ事件簿#2024-005】独立行政法人教職員支援機構 電子メール関連システムへの不正アクセスに伴う個人情報等漏洩のおそれについて

今般、独立行政法人教職員支援機構の利用していた電子メール関連システムに対し、不正アクセスがあり、個人情報を含む電子メールデータ(電子メールアドレス及び電子メールの内容)の一部が外部へ漏洩したおそれがあることが確認されました。

これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されております。

当機構では、個人情報は、個人情報保護に関する法律等に則り適切な管理を行ってまいりましたが、本事案により、メールアドレス等の個人情報が漏洩した可能性を排除できない方に対して個別に連絡するとともに、事案の公表を行うこととしたところです。

関係者の皆様には、御迷惑をおかけすることになり、お詫び申し上げます。再発防止に努めて参ります。

1. 経緯

令和5年6月13日 保守運用事業者から脆弱性に関する情報を受ける
令和5年6月17日 当該製品の切り離しを行う
令和5年7月5日 不正アクセスの確認
令和5年10月31日 職員にて当該製品を調査した結果、マルウェアを発見

2. 漏洩のおそれがある情報と期間

令和4年10月31日~令和5年6月16日17:00までに当機構(@nits.go.jp又は@ml.nits.go.jp)へ電子メールを送信された方の電子メールデータ(電子メールアドレス及び電子メールの内容)

3. 二次被害又はそのおそれの有無及びその内容

現時点で、漏洩の事実や情報の悪用等による二次被害は確認されておりませんが、念のため、不審な連絡、訪問者等には御注意いただきますとともに、万が一何かございましたら、下記の問い合わせ先まで御連絡ください。

4. 再発防止

当機構では令和5年6月16日に当該製品の利用を停止するとともに、セキュリティ対策を強化した電子メール関連システムの製品への契約の変更を行っております。今後もセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層のセキュリティ対策に努めてまいります。