【セキュリティ事件簿#2024-040】株式会社日刊工業新聞社 求職情報サイトにおける個人情報流出の可能性について調査結果のご報告 2024/4/2


当社が運営する求職情報ウェブサイト「ホワイトメーカーズ」 (URL:https://kyujinnikkan.com/)がサイト改ざん被害を受け、お客さまの個人情報(氏名・メールアドレス・暗号化されたパスワード)が外部流出した可能性を否定できないことにつきまして、2024年2月9日にお知らせ致しました。(以下、既報)

この度、外部専門機関の協力のもと進めてまいりましたフォレンジック調査が完了致しましたので、調査結果および再発防止に向けた取り組みにつきましてご報告申しあげます。

流出した可能性のあるお客さまをはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

1.調査結果概要

既報のとおり、「ホワイトメーカーズ」において利用しているCMS(コンテンツ・マネジメント・システム)のプラグインの脆弱性を悪用され、侵害を受けた可能性があります。その影響に伴い、遠隔操作を可能とする複数の不審なプログラムが設置され、不正に操作されていたと考えられます。

また、圧縮形式のファイルのダウンロードが確認されたことから、情報漏えいが発生していると考えられます。しかし、ダウンロード対象のファイルにおいて、データの詳細は判明しておりません。ただし、データベースへのアクセスが可能であったことを鑑みると、データベースの内容が漏えいしていた可能性は否定できません。

2.再発防止のための措置

(1)実施済みの措置

①パスワードの変更

データベースへのアクセスが可能であったことから、情報漏えいの可能性があると考えられるため、漏えいした情報が悪用される可能性を考慮し、以下の対策を実施致しました。

 ・管理者パスワードの変更
 ・データベースのパスワード変更
 ・該当サーバへのメンテナンス接続(FTP 等)の際に利用するID におけるパスワード変更
 ・レンタルサーバの管理コンソールへのログインパスワードの変更

②ソフトウェア、プラグインのバージョンアップ

脆弱性の対策を行うため、ソフトウェアやプラグインのバージョンアップを実施致しました。

③WAF(Web Application Firewall)の設定強化

Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するため、WAFの設定を強化しました。

(2)今後実施予定の措置

①脆弱性診断の定期的な実施

脆弱性対策を行うため、第三者による脆弱性診断を実施するプロセスを確立し、定着した運用として遂行してまいります。

②ソフトウェアの定期的なバージョンアップ運用の実施

脆弱性対策を行うため、ソフトウェアやプラグイン等を含めたバージョンアップを実施するプロセスを確立し、定着した運用として遂行してまいります。

③セキュリティ対策製品の導入

侵入検知システムなどのセキュリティ対策製品の導入を進めてまいります。また、必要に応じてセキュリティ監視等も行い、早期対処を可能とする体制構築を検討してまいります。

④ログ取得対象の見直しと外部保管

現状、当該サイトではアクセスログのみを保管しておりましたが、アプリケーションログ等、他のログも取得してまいります。併せて、サーバ内に保管するだけでなく、長期間の保管を想定し、外部保管も検討致します。

⑤改ざん検知システムの導入

改ざん被害を早期に検出するために、改ざん検知システムの導入を検討致します。

3.流出した可能性のある個人情報および対象人数(既報)

 ・個人情報:氏名、メールアドレス、暗号化済みパスワード
 ・対象人数:250人

4.お客さまへのお願い(既報)

身に覚えのない不審なメールが届いた場合、開封やリンク先へのアクセスはしないようご注意くださいますようお願い申し上げます。


【2024/2/9リリース文】