高専カンファレンスin首都実行委員会(以下、当団体)における情報漏えいについて、協賛企業様ならびに参加者様をはじめとする関係者の皆様に多大なるご迷惑をおかけしておりますことを、深くお詫び申し上げます。
当団体は現在も調査を継続しているところですが、現在までに判明した公表すべき事項について、下記の通り公表いたします。
概要
漏えいした情報
当団体のXの認証情報
個人情報の漏えいについて
現在のところ、協賛いただいた方や参加者の個人情報が漏えいしたという事実は確認されておりません。
経緯
- 2025/1/26 (時間不明)
実家から毒キノコ(@homekinoko)のスマートフォンがロックのかかっていない状態で放置されていたため、A氏がこれを利用して首都カンファのDiscordサーバーにアクセス。パスワードが記載されていたチャンネルを見つけ、スマートフォンの画面を撮影した - 2025/1/27 14:20ごろ
A氏からの情報提供により、当団体のXの認証情報が漏えいしたことを確認
この際、A氏に情報の入手方法を尋ねるも回答されず - 2025/1/27 14:34
実家から毒キノコ(@homekinoko)が、代表に本件について相談。情報の入手方法が不明であるため、運営メンバーには本件を通達せずにパスワード変更・セキュリティ強化作業を開始 - 2025/1/27 15:30ごろ
A氏より、「如月さん(X(旧Twitter)を削除済み)からDMで送られてきた」と情報の提供を受ける
この情報を代表に伝え(15:33)、一般に経緯を公開 - 2025/1/27 17:30ごろ
パスワード変更と2段階認証の設定が完了 - 2025/1/27 18:44
A氏より、以前の情報が虚偽であり、実家から毒キノコ(@homekinoko)の端末から漏えいしたものであることが告げられる
この際、情報を運営メンバーに伝えないようA氏から要請を受けたため、この時点では実家から毒キノコ(@homekinoko)は情報を伝えず - 2025/1/27 22:40実家から毒キノコ(@homekinoko)が改めて事実関係について整理し、一連の経緯に疑義が生じたために、A氏とDMを行う(~25:04)
このDMで和解が成立せず - 2025/1/27 25:00ごろ
A氏より代表に電話があり(~25:10ごろ)、詳細について当団体に伝えられる - 2025/1/28 7:33
実家から毒キノコ(@homekinoko)がB氏にここまでの経緯を説明
この時点で説明した文章 - 2025/1/28 11:01
今回の騒動についてのお詫び(第一報)を発表
当該のポスト - 2025/1/28 14:40
A氏から合意書が提出されるが、当団体はこれに同意せず - 2025/1/28 15:39
2025/1/28 7:33の文章が流出
再発防止に向けた対策
今回の漏えい事案を踏まえ、下記の対策を講じました。
- 全てのサービスのパスワードを変更
- Discordに認証情報を記載しないよう変更
- 可能なものについては2段階認証を設定(この際、一部のサービスの認証では、OTP*を要求したユーザーが分かるよう、メッセージに返信する形でOTPを伝える仕様でシステムを構築)
加えて、情報の検証を行い、お寄せいただいた情報の検証を徹底してまいります。
*OTP: ワンタイムパスワード。2段階認証の一種で、一定時間ごとに変化する。
様々な情報を取り扱う当団体として、管理方法が不適切でした。
また、当初公開した情報が誤りであり、みなさまに混乱を生じさせたことをお詫びします。 このような情報漏えいが発生したことを踏まえ、今後はセキュリティを強化し、再発防止に向け取り組んでまいります。