【セキュリティ事件簿#2024-571】444株式会社 不正アクセスによる個人情報流出に関するお詫びとお知らせ 2024/12/25

 

この度、弊社が運営する「TechFUL」において、サーバーへの不正アクセスにより、個人情報と重要情報の流出が疑われる事象が判明いたしました。

攻撃を受けたサーバーには、学生、学校、企業を含むTechFULユーザーの個人情報や重要情報が含まれていることが判明しております。

ユーザーおよび関係者の皆様には、多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

今後、このような事態が再発しないよう、セキュリティ対策を一層強化してまいります。

経緯

  • 2024年12月11日
    • クラウド管理会社よりネットワーク不正活動のアラートメールを受信し、TechFULシステムの調査を開始
  • 2024年12月12日
    • 開発用サーバーへの不正侵入を確認し隔離作業を完了。侵入原因の調査を開始
  • 2024年12月13日
    • 開発用サーバー内のデータベースが破壊されていることを確認。また、機密データを公開しないことを条件に身代金を要求する文面を発見
    • 影響と被害内容の調査を開始
  • 2024年12月18日
    • 個人情報保護委員会と日本情報経済社会推進協会に速報を提出

外部流出した個人情報 / 重要情報

  • 項目
    • ユーザー情報
      • ログインID
      • ハッシュ化済みパスワード
      • 氏名
      • ユーザー表示名
      • 誕生日・所属・学籍番号・現住所・休暇中住所
      • キャリア希望、キャリア情報 (学歴、職歴)
      • スキル情報、自己PR
      • ログイン履歴
      • セッション参加履歴、問題解答履歴
      • 求人応募情報
      • チャット履歴 
      • フォームからのお問い合わせ内容 (問い合わせ元メールアドレスを含む)
    • 学校情報
      • 学校名、学部学科名
      • 作成した問題コンテンツ
    • 企業情報
      • 企業名、HP など会社基本情報
      • 窓口担当者の連絡先メールアドレス
      • 出稿した求人情報
  • 流出対象となるユーザー
    • 2023年8月13日以前に ユーザー登録を行ったTechFULユーザー(データベース件数:45,576アカウント)
    • 2023年8月13日以前に TechFULと契約した学校(データベース件数:475アカウント)
    • 2023年8月13日以前に TechFULと契約した企業(データベース件数:264アカウント)

※ 流出したデータは、2023年8月13日までにTechFULに入力された情報です。それ以降の情報は流出しておりません。

原因

  • 本番データベースのデータを開発用途に利用しており、開発用サーバーのアクセス制御設定に不備があったため、外部から開発用サーバーに対し攻撃者による不正侵入を受けました

現状の対応

  • 不正侵入されたサーバーの隔離が完了しており、他サーバーや他システムへの被害拡大はありません
  • TechFULシステム内の他サーバーを調査し、不正侵入やデータ流出などの不審な形跡がないことを確認しました
  • 同様の不正侵入事故が発生しないよう、ネットワークやサーバーのアクセス設定を再確認しています

パスワード変更のお願い

今回のデータ外部流出により、お客様のパスワードを暗号化した情報(ハッシュ)が流出しています。

パスワードそのものが流出したわけではありませんが、悪意のある第三者が解読を試みる可能性があるため、

対象となる全てのユーザーに対してパスワードの再設定をお願いしております。

以下の手順に従って、速やかにパスワードの再設定をお願いいたします。

  1. TechFULにログイン
  2. 右上のアカウントボタンから「アカウント情報へ」をクリックし、アカウント情報ページを開く
  3. パスワード項目横 「変更はコチラ」リンクをクリックし、パスワードを変更するページを開く
  4. 「現在のパスワード」と「新しいパスワード」、「新しいパスワードの確認」を入力し、「更新する」ボタンをクリックする

対象となるユーザーは、2023年8月13日以前にユーザー登録を行い、2023年8月14日以降パスワードを変更していないユーザーとなります。

対象以外のユーザーはパスワードを変更する必要はありません。

今後の対応

弊社では、今回の事態を受け、以下の再発防止策を講じます。

  • 不備のあるアクセス設定が実施されないよう、インフラ運用体制を見直します
    • インフラ設定のレビュー体制の強化
    • インフラ・セキュリティ監視体制の強化
  • 開発用に使用するデータは、全て実データではなくダミーデータに差し替えます

相談窓口について

流出対象となるユーザー様につきましては、2024年12月25日16時に今回のデータ流出による影響を個別にメールにてお知らせしています。

弊社コーポレートサイト上に「お知らせ・お詫び文(https://techful.jp/info/4237)」を掲示いたしました。

本日より、ユーザー様相談窓口を設置し、WEBフォームでのお問い合わせ受付を開始しております。

リリース文アーカイブ

Labels: