フィッシングサイトや偽サイトの注意喚起で載せるドメインについて

世の中には”例示用（掲載用）ドメイン”というものが存在する。

簡単に言うと、このドメインを例示用や掲載用に使って良いよ！ってもので、RFC（Request for Comments）で決められている。

https://www.nic.ad.jp/ja/newsletter/No24/090.html

フィッシング詐欺やサポート詐欺、偽サイトについて注意喚起を行う方は覚えておいた方が良い。

◆例示用(掲載用)ドメイン

• example.com
• example.net
• example.org
• example.jp
• example.co.jp
• example.ne.jp

これらのドメインついてはRFC6761やRFC2606、JPRSが例示用ドメインとして規定している。

RFC 6761 - Special-Use Domain Names

RFC 2606 - Reserved Top Level DNS Names

JPRS：例示に使用可能なドメイン名はありませんか？

例示用(掲載用)IPアドレス

IPv4

• 192.0.2.0/24（Test-Net-1）
• 198.51.100.0/24（Test-Net-2）
• 203.0.113.0/24（Test-Net-3）

IPv6

• 2001：DB8 ::/32

上記のIPアドレスついてはRFC5737やRFC3849で例示用IPアドレスとして規定されている。

RFC 5737 - IPv4 Address Blocks Reserved for Documentation

RFC 3849 - IPv6 Address Prefix Reserved for Documentation

出典：フィッシングサイトや偽サイトの注意喚起で載せる例示用ドメインについて知っておいてほしいコト

【セキュリティ事件簿#2024-341】日本データ通信協会 電子メールの誤送信に関するお知らせとお詫び 2024/7/19

 

一般財団法人日本データ通信協会では、電気通信主任技術者講習（※１）の受講者の関係者へお知らせを送信する際、個人の氏名が入った電子メールを該当者以外の方のメールアドレスに誤って送信してしまいました。

関係の方々にご迷惑をお掛けしましたことを深くお詫び申し上げます。

１ 誤送信の内容

令和６年 7 月 8 日（月）、電気通信主任技術者講習の受講者の(所属会社等における)申請責任者に対して、お知らせ「事前課題受講のお願い」を送信する際、氏名（申請責任者 1 名及び受講者 1 名）が入った電子メール 17 通を別会社の申請責任者のメールアドレスに誤って送信してしまいました。

２ 対応状況

同日、誤送信先である会社の申請責任者の方からの申告により事案が発覚したことを受け、ただちに当該誤送信先の方に該当メールの削除をお願いし、既に 17 通全て削除した旨の連絡をいただいております。これにより、拡散や 2 次被害などは生じないと考えております。

また、氏名等を誤送信してしまった受講者の関係者の方々に対して、事案のご説明とお詫びを申し上げております。

３ 今後の対応

今後このような事態が生じないよう、電子メール送信前に送信者以外の者が宛先と文書内容を再確認すること等、個人情報のより一層厳重かつ適正な管理に努めて参ります。

※１ 電気通信主任技術者講習：電気通信事業法第 49 条第４項で規定する講習。当協会は、電気通信事業法第 85 条の 2 の規定に基づく登録講習機関として講習を行っています。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-340】株式会社サインド 個人情報を含むノートパソコンの紛失に関するお詫びと報告 2024/8/1

 

この度、当社におきまして、個人情報が含まれた当社従業員の業務用ノートパソコン１台が紛失する事故が発生いたしました。このような事態を招き、お取引先様をはじめとする関係各位に多大なるご迷惑、ご心配をおかけすることとなり、深くお詫び申し上げます。

本件に関する経緯及び対応につきまして、以下のとおりご報告申し上げます。なお、紛失したパソコンは、紛失発覚後から当社内のセキュリティ監視システムを通じてリモート調査を継続しておりますが、現時点では第三者による不正使用などの事実は確認されておりません。

１．個人情報を含むノートパソコン紛失の経緯

2024年7月20日（土）の未明、当社社員が帰宅途中にパソコンが入ったカバンを紛失いたしました。紛失の発覚後、直ちに警察に遺失物届を提出するとともに、盗難の可能性も含めて関係各所への問い合わせ、並びにリモートロック等のセキュリティ施策と並行して捜索も継続しておりますが、現在までに紛失したパソコンの所在の確認、回収には至っておりません。

２．紛失したノートパソコンに保存されている個人情報等について

紛失したノートパソコンに新たにご契約いただきましたお客様（２社）から委託されましたシステム移行に伴う約6,000 人分の顧客情報（氏名、性別、Email アドレス等）が保存されておりました。なお、当社サービスの顧客情報、クレジットカード情報は含まれておりません。

３．今後の対応と再発防止策

引き続き関係各所からの情報収集に努めるとともに、当該パソコンの捜索に全力を尽くします。当社といたしましては、今回の紛失事案を重く受け止め、パソコンの社外持ち出し時の厳格な管理をより一層徹底するとともに、顧客情報移行フローの見直し及び個人情報の適切な取り扱いについても改めて周知徹底するなど、全従業員に対する教育・指導の再徹底を行い、再発防止に努めてまいります。

紛失したパソコンからの個人情報の流出につきましては、今後も継続してリモートによる調査及び監視を行うとともに、新しい事実が判明した際には、改めてご報告いたします。

なお、個人情報保護法に基づく報告及び委託元への報告は実施済みです。

リリース文（アーカイブ）

Kivaローンで社会貢献しながらマイルをゲットできるか検証（2024年8月号）※8か月目

 

1.融資済み案件の状況

全体としては360USD（前月比+50USD）の投資に対して、163USD（前月比+48USD）が返済されている感じ。

投資案件は全14件。

内2件が完済。内4件に何らかの遅延が発生している模様。

融資No：2705613号（https://www.kiva.org/lend/2705613）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：68%⇒100%

融資No：2707642号（https://www.kiva.org/lend/2707642）

• 融資国：ニカラグア
• Lending partner：FUNDENUSE
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：63%⇒100%

融資No：2716127号（https://www.kiva.org/lend/2716127）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：52%⇒88%　※遅延発生中

融資No：2718123号（https://www.kiva.org/lend/2718123）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：22%⇒22%　※遅延発生中

融資No：2737152号（https://www.kiva.org/lend/2737152）

• 融資国：タジキスタン
• Lending partner：Humo
• 期間：8か月
• 融資実行：2024年3月
• 融資額：25USD（≒3,933円）
• 返済率：47%⇒64%

融資No：2731801号（https://www.kiva.org/lend/2731801）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation (NWTF)
• 期間：8か月
• 融資実行：2024年3月
• 融資額：25USD（≒3,933円）
• 返済率：56%⇒72%　※遅延発生中

融資No：2751150号（https://www.kiva.org/lend/2751150）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年4月
• 融資額：25USD（≒3,952.5円）
• 返済率：0%⇒0%

融資No：2738778号（https://www.kiva.org/lend/2738778）

• 融資国：パラグアイ
• Lending partner：Fundación Paraguaya
• 期間：8か月
• 融資実行：2024年4月
• 融資額：25USD（≒3,952.5円）
• 返済率：48%⇒65%

融資No：2757831号（https://www.kiva.org/lend/2757831）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年5月
• 融資額：25USD（≒4,060.5円）
• 返済率：0%⇒0%

融資No：2771828号（https://www.kiva.org/lend/2771828）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年5月
• 融資額：25USD（≒4,060.5円）
• 返済率：16%⇒33%

融資No：2783502号（https://www.kiva.org/lend/2783502）

• 融資国：フィリピン
• Lending partner：NWTF
• 期間：8か月
• 融資実行：2024年6月
• 融資額：25USD（≒4,099円）
• 返済率：0%⇒28%　※遅延発生中

融資No：2778268号（https://www.kiva.org/lend/2778268）

• 融資国：フィリピン
• Lending partner：NWTF
• 期間：8か月
• 融資実行：2024年6月
• 融資額：25USD（≒4,099円）
• 返済率：0%⇒40%

融資No：2806766号（https://www.kiva.org/lend/2806766）

• 融資国：フィリピン
• Lending partner：NWTF
• 期間：8か月
• 融資実行：2024年7月
• 融資額：25USD（≒4,204円）
• 返済率：0%

融資No：2800157号（https://www.kiva.org/lend/2800157）

• 融資国：フィリピン
• Lending partner：NWTF
• 期間：8か月
• 融資実行：2024年7月
• 融資額：25USD（≒4,204円）
• 返済率：0%

2.新規融資案件 

融資条件

• LOAN LENGTH：8 mths or less
  
  
• RISK RATING：4-5
  星0.5はその団体の機関債務不履行リスクが相対的に高いことを意味し、5つ星の格付けは、その団体の債務不履行リスクが相対的に低いことを意味します。
  
  
• DEFAULT RATE：～1%
  返済に失敗した（もはや返済していない）終了ローンの割合。
  
  
• PROFITABILITY：4%～
  フィールド・パートナーの収益性を示す指標。

3.今月の新規融資先

融資No：2819918号（https://www.kiva.org/lend/2819918）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年8月
• 融資額：25USD（≒3,930円）
• 返済率：0%

融資No：2816348号（https://www.kiva.org/lend/2816348）

• 融資国：フィリピン
• Lending partner：NWTF
• 期間：8か月
• 融資実行：2024年8月
• 融資額：25USD（≒3,930円）
• 返済率：0%

4.返済パフォーマンス （9月より稼働予定）

国別

フィールドパートナー別

Airalo（海外eSIM）レビュー： 海外でのインターネット接続をゲット

最近では、海外旅行中のインターネット接続は特別なものではなく、普通になりつつある。

一昔前は海外用のポケットWi-Fiを持っていったり、現地でSIMを購入したりしていたが、最近はAiraloのeSIMを使っている。

Airaloは世界200カ国以上にeSIMを提供しており、事前に旅行先の国や地域のデジタルデータパックをダウンロードしてインストールするだけで、着陸した瞬間に接続できる。現地で物理的なSIMカードを購入したり、サービスを一時停止したり解除したりする必要はない。利便性という点では、まさに最先端である。

Airaloの利用に際してはいくつかの制限があるため、人によっては利用できないかもしれません。

まずSIMフリーのスマホが必要になります。SIMフリーか分からない場合は携帯会社に連絡して確認します。

もうひとつの注意点は、eSIM対応のスマホである必要がある点です。2018年以降に製造されたほとんどのスマートフォンはeSIMに対応していますが、お住まいの地域や携帯キャリアによって異なる場合があります。お使いのスマホがeSIMに対応しているかどうかわからない場合は、AiraloのeSIM対応デバイスのリストで確認することも可能です。

次回の海外旅行でAiraloを利用するために知っておく必要があることをこれからご紹介します。

eSIMパッケージの選択

Airaloはあらゆる旅行スタイルに対応するデータパッケージを用意しています。

まずはAiraloのウェブサイトにアクセスするか、App StoreまたはGoogle Playからアプリをダウンロードしよう。

ログインしたら、eSIMパッケージを購入します。Airaloでは、特定の国や地域のeSIMを選ぶことができます。世界一周をする人にはグローバルオプションもあります。

eSIMは、アクティベートするまで有効期限のカウントダウンは始まらないため、余裕をもった手配も可能です。

価格面について、旅行先が1カ国のみであれば、その国のローカルeSIMが最も安い選択肢となります。しかし、2カ国目や3カ国を周遊する場合は、複数国のeSIMを購入した方がよいでしょう。正確な料金は国や地域によって異なるが、一般的に、最低レベルのプランは1GBのデータと7日間の有効期限で5ドル弱から始まります。

複数国のeSIMは、1GBのデータと7日間の接続でわずか5ドルからのパッケージがあります。5GBのデータ通信を1ヶ月間利用した場合でも、20ドル程度で利用できます。

アジアのパッケージは18カ国をカバーしており、ほとんどの旅行者にとって堅実な選択肢となっています。

アフリカとラテンアメリカのサービス料金が最も高額です。

高額な地域では、対象地域の複数国パッケージではなく、グローバル・パッケージにした方がよいかもしれません。

グローバル・パッケージには126カ国への接続が含まれています。もしあなたの目的地がリストに載っているなら、現実的な選択肢です。グローバル・プランは、1GBのデータと7日間のアクセスでわずか9ドルから利用できます。

利用開始後、データ通信量が不足し始めたら、いつでもプランのデータ通信量を買い足し（トップアップ）することができます。アプリでいつでも使用量を確認でき、残り少なくなると通知が届きます。

通信量の感覚として、グーグルマップ、ソーシャルメディア、Eメール、LINEの通話などで1日あたり約0.5GBのデータ消費を見込んでおけばよいのではないだろうか。

eSIMのインストールとアクティベーション

データパッケージが決まったら、次のステップはeSIMのインストールとアクティベーションです。これには2つの方法があります。

アプリをインストールせずにAiraloのウェブサイトからeSIMを購入した場合、QRコードが送られてくるので、それをスキャンしてインストールプロセスを開始します。

アプリを通してデータパッケージを購入した場合、アプリの下部にある "My eSIMs "タブで新しいeSIMを見つけることができます。

どちらの方法でデータパッケージを購入しても、支払い確認とeSIMのインストール方法の詳細が記載された確認メールが届きます。

尚、アクティベーションには通信制限のないインターネットアクセス環境が必要です。

インターネットへの通信制限がある国でアクティベーションを行おうとすると、アクティベーション自体に失敗する可能性がありますので、アクティベーションは自国内で済ませておく事を推奨します。

※筆者の場合、カタールではアクティベーションができませんでした。

Airaloの長所と短所

これまでにローカルや地域のeSIMを購入し、複数国（タイ、マレーシア、ベトナム、スペイン、モロッコ、ハワイ）で使ってみました。一部の国ではアクティベーションに失敗するなど完璧とは言えないが、コストとオンラインの利便性を考えれば、ほとんどの旅行者にとってベストな選択肢となるのではないだろうか？金額的には実にリーズナブルな価格設定だと思います。

AiraloのeSIMでもうひとつ良い点は、スマホをアクセスポイントとして使えることだ。人によってはどうでもいいことかもしれないが、ノートパソコンで電子メールに返信したかったので、アクセスポイントをオンにし、他のデバイスと接続を共有することができた。この機能はeSIMベンダーによっては出来ないらしい。

Airaloを使った全体的な印象はポジティブなものだったが、欠点もいくつかある。

Airaloを使う上での潜在的な欠点は、パッケージによってはeSIMがデータ通信専用となることです。つまり、LINEのようなアプリを使う以外には、電話やテキストメッセージの送受信ができないということです。電話での通話が不要な人には問題ありませんが、通話に頼っている人にとっては、大問題になるかもしれません。

オトクな購入方法

Airaloはクーポンやらキャッシュバックやらをいろいろやっているので、必ずオトクに調達したい。

併用が難しいのだが、活用するとしたら以下の3パターンだろうか？

他にいい方法を思いついたら随時追記予定

①TopCashback

海外サイト。キャッシュバックを受けることが可能。Paypalアカウントが必要で、キャッシュバック通貨は当然米ドル。

②モッピー

有名なポイントサイト。獲得したポイントはJALマイルに移行可能。

③セゾンカードの優待

①と②はキャッシュバックだが、③は割引

注意点としては①②と③は併用できない。併用したとしてもクーポンを利用するとキャッシュバック対象から外れてしまう模様。

出典：Airalo eSIM Review: A Convenient (& Affordable) Way to Stay Connected Abroad

【セキュリティ事件簿#2024-339】宮崎県 県外ICT人材マッチング支援サイト「ひなターンみやざき」の改ざんについて 2024/7/30

 宮崎県企業振興課が管理するホームページ「ひなターンみやざき」について、アクセスすると当ホームページとは違うサイトが表示される事案が発生しました。

現在、「ひなターンみやざき」を閉鎖しています。

概要

インターネットの検索結果から「ひなターンみやざき」へアクセスすると、当ホームページとは関係のないサイトが表示される状況を、2024年7月30日に確認しました。当該状況の確認の後、「ひなターンみやざき」を閉鎖する対応を行い、改ざん内容の詳細な確認と原因究明をおこなっています。

「ひなターンみやざき」とは、県外ICT技術者と県内ICT企業とのマッチング支援のために、交流会の案内や県内ICT企業の紹介、移住情報などを提供するサイトです。当サイトにメールアドレス等を登録された方には、メールマガジンの配信をおこなっています。

内容

（1）判明日及び判明した経緯

2024年7月30日（火曜日）サイト管理業者の点検作業中に判明

7月26日（金曜日）のサイト管理業者による点検作業では問題がなかった事を確認しています。

（2）登録者データの漏えいの有無

現在、サーバー内の登録者（91名）の登録データについて、外部からの不正アクセスの有無を調査しています。

（登録データとは、ニックネーム・メールアドレス・性別・年齢・職種・出身地（「宮崎県」か「それ以外」の2択）・居住地（県単位で選択）・メールマガジン希望の有無・求人相談の有無・宮崎県とのつながり、です。）

（3）原因

現在、調査中です。

対応経過

• 2024年7月30日（火曜日）当該状況を確認
• 2024年7月30日（火曜日）「ひなターンみやざき」を閉鎖
• 2024年7月30日（火曜日）「ひなターンみやざき」登録者へ状況を連絡するメールを送付
• 2024年7月31日（水曜日）「ひなターンみやざき」登録者へサーバー内に登録データが含まれていること及び不正アクセスの有無について調査中であること等のメールを送付

今後の対応

原因が判明次第、今後改ざんされることのないよう適切な措置を講じるとともに、サーバー内に登録者データが残らないように改善した上で運用を再開することとしています。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-270】株式会社Brave group 個人情報流出に関する調査結果と再発防止につきまして 2024/7/31

 

2024年6月25日よりご報告させていただいておりました、当社グループが運営するオーディションにおける個人情報流出があった事案（※）につきまして、漏えい対象者の皆様をはじめ、ファンの皆様、関係者の皆様には大変なご迷惑、ご心配をおかけすることを心より深くお詫び申し上げます。

本事案における原因と影響範囲の特定に向けて、当社および外部機関によるログ情報の調査・分析、社内関係者へのヒアリングなどの詳細調査を実施しておりましたが、この度、調査及び精査が完了いたしましたので、当該調査結果及び再発防止に向けた取り組みについてご報告いたします。

（※）個人情報流出に関するお詫びとご報告

1. 調査結果

・原因の特定について

本事案の経緯としまして、まず対象のオーディションにおけるGoogle Formsの編集用URLの閲覧範囲が「このリンクを知っているインターネット上の全員が閲覧できます」と設定されていたことから、この編集用URLのリンクを知っていれば、誰でも、編集用URLにアクセスし、上記個人情報を閲覧できる状態でありました。

ただし、オーディション応募フォーム上に掲載されているURL（回答用URL）と、回答内容が確認できるURL（編集用URL）は別のものとなっており、オーディションページに掲載されているURLは回答用URLであったこと、さらには回答用URLから編集用URLを容易に推察できるものでなかったことから、個人情報を閲覧できるURLがオーディションページ上で一般公開されていたわけではありませんでした。

しかしながら、該当のフォームにて閲覧・回答を行ったユーザが、自身のGoogleアカウントのGoogleアプリからフォームに移動した際に、「最近使用したフォーム」の欄に回答したフォームが表示され、そこから申込者の情報が閲覧可能な画面に遷移が可能となっておりました。

なお、本事案に関して外部機関による調査を依頼した結果、外部からの意図しないアクセスが発生した2024年6月4日 当時には、Google Formsの予告・通知のない仕様変更により、回答用URL から編集用URL を特定可能となる手法が存在していた可能性が高いことが判明いたしました。

この事象については2024年6月4日前後から発生したと推定され、2024年6月26日時点では既に再現ができなくなっていたことも確認されました。

以上の経緯から、2024年6月4日から該当フォームの閲覧制限を行った2024年6月25日の期間において、当社が意図していない外部の第三者が閲覧できる状況であったことがわかりました。

・影響範囲の確認について

本件を受け、当該インシデントと類似したケースを想定し、当社グループ内のGoogleドキュメント全般について、外部の第三者からの意図しないアクセス（漏えいの可能性）がないか、外部機関によるアクセスログの調査も実施いたしました。

その結果、第三者からの意図しないアクセスが確認されるのは、既に皆様にお知らせした以下の4つのGoogle Formsのみであることが確認されました。

「ぶいすぽっ！JP オーディション」

「Brave group総合オーディション」（グローバル向けの「Brave group総合オーディション」を含む）

「HareVare VLiverオーディション」

「ぶいすぽっ！切り抜き動画」のチャンネル許諾申請用Google Forms

具体的には、

①漏洩開始したと考えられる6月4日～6月25日において外部からのアクセス数が多いファイル

②2024年6月中の外部からのアクセスの割合が高いファイル

③1日当たりのアクセスログが異常値としてみなされるファイル

以上3つの観点から外部調査を行ったところ、オーディションフォームの他に5つのファイルが該当いたしましたが、いずれも外部からのアクセスは、当社が社内ルールに従ってリンクを共有した外部ユーザーのものと推定できるものであり、意図しない不正なアクセスはなかったことを確認いたしました。

2. 対策・対処

本事案については、既に以下の施策を実施しております。

当社グループ内全てのGoogle Workspaceにおいて、作成されたGoogle Formsを洗い出し、権限を「制限付き」（当社のドメインによるアクセス又は当社の許可がなければアクセスできない）に変更。

3．再発防止

今後の再発防止策として、①ファイル共有設定・権限の見直しによる制御、②個人情報の取り扱いに関するルールの整備・及び運用、③個人情報が含まれる情報取得時のアンケートツールの検討を行って参ります。

なお、再発防止策は2024年9月を目途に完了する予定です。

①ファイル共有設定・権限の見直しによる制御

Google Formsを含む全てのGoogle Workspaceサービスについて、「リンクを知っている全員への共有」等、アクセス制限がない公開設定を無効化することにより外部共有の制御を実施いたします。

②個人情報の取り扱いルールの整備・運用

個人情報に関する管理体制の強化、規程やルール等の見直し及び社内への周知を徹底して行い、個人情報を含めた情報管理に関する役員及び全従業員の意識の向上に取り組んでまいります。

③オーディション等の個人情報が含まれるアンケートにおける外部サービス利用の検討

個人情報を含む情報を取得するアンケートにおいては、Google Formsではない、メンバーを限定した利用が可能な外部サービスの利用を検討してまいります。

4．オーディションの再開について

本事案後、一時閉鎖の対応を取らせていただいているオーディションにつきまして、順次再開してまいります。

外部サービスの導入以前におきましては、まずはご応募時に入力いただく情報から「ご本名」「お電話番号」等といった個人情報の取得を制限し、当社でご用意した独自フォームにてご応募を受け付けて参ります。

当社といたしましては今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化及び徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしましたこと、改めて心より深くお詫び申し上げます。

リリース文（アーカイブ）

【2024年6月25日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2023-338】⾧崎県立大学 本学が利用するｅ-ラーニングシステムへの不正アクセスに係る調査結果等について 2024/7/31

 

本学が利用しているｅ-ラーニングシステム（manabie：マナビー：以下、本システムと呼びます。）が第三者による不正アクセスを受けた件につきましては、令和５年８月２２日及び令和５年１２月７日にご報告しておりましたが、最終報告とし、下記のとおり対応についてお知らせいたします。

この度の不正アクセスにおいて、関係する皆様にご迷惑とご心配をおかけしましたことをあらためてお詫び申し上げます。なお、詳細は別添「ｅ-ラーニングシステム（manabie：マナビー）不正アクセス報告書」をご確認ください。

１．今回の不正アクセスについての概要

令和５年８月４日 9 時 16 分頃、大学の公式ホームページを通じて、本システムが不正アクセスを受けているとの情報提供があり、調査した結果、本システムが第三者による不正アクセスを受け、サーバーに保管されていた個人情報が流出したおそれがあることが判明しました。

本システムのプログラムは、一般公開されているプログラムを基に構築しています。今回の不正アクセスでは、一般公開されているプログラムに脆弱性が発見され、外部のハッカーがその脆弱性を悪用し本システムに侵入しました。そして、本システムの運用については外部に委託していましたが、本学の委託先に対する監督が不十分であったことなどが問題であったと考えます。

外部の専門機関の調査の結果、情報漏えい等の痕跡は確認されませんでした。また、個人情報漏えいのおそれがあることを在校生および卒業生に連絡し、個人情報漏えいが疑われる場合は連絡を依頼していますが、現時点までに連絡はありません。今後も継続的に対応してまいります。

２．対応について

 今回、不正アクセスを受けた本システムは、廃止しました。

また、今回の不正アクセスを可能にした要因を踏まえ、以下の対応を着実に実施してまいります。

• 一般利用されているプログラムの脆弱性情報収集と、本学で管理するシステムの定期的な脆弱性診断
  
  
• システムをより安全に運用していくための委託契約スキームの見直し及び委託業者の監督強化
  
  
• 不正アクセス等を早期に発見し、適切に対応して早期に回復するための初動マニュアルの整備や不正アクセス等の発生を想定した適切な体制づくり
  
  
• 全教職員を対象とした情報セキュリティに関する実効性のある教育・訓練の実施

この度の不正アクセスにおいて、関係する皆様にご迷惑とご心配をおかけしましたことを重ねてお詫び申し上げます。今回の事態を重く受け止め、必要な対策を講じ、再発防止に努めてまいります。 

リリース文（アーカイブ）

【2023年8月22日リリース分】

リリース文（アーカイブ）