はじめに
この度は、発達障害当事者協会のメールマガジン配信システムにおいて、第三者による不正アクセスにより、メールマガジン登録者の皆様の個人情報が流出する事態が発生いたしました。
メールマガジン登録者の皆様には、多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
この度の事案に関する詳細と対応について、以下にご報告いたします。
メールマガジン登録者の皆様には、ご不安やご不便をおかけしておりますが、何卒ご理解とご協力を賜りますようお願い申し上げます。
事案の概要
発生日時:2023年09月20日 15:00
発覚日時:2023年09月20日 16:00
発生場所:発達障害当事者協会(以下、当会)のメールマガジン配信システム「acmailer」
発生原因:acmailerの脆弱性を利用した第三者による不正アクセス
影響範囲:当会のメールマガジン配信リストに登録されている約800人のメールマガジン登録者の個人情報(氏名、メールアドレス)
流出した情報の種類と件数:メールマガジン登録者の個人情報約800件
事案の詳細
不正アクセスの手口:acmailerには、管理画面の認証機能に存在するセキュリティーホール (CVE-2021-20617) と、管理者権限を取得できる権限昇格の脆弱性 (CVE-2021-20618) が存在していた。第三者は、これらの脆弱性を組み合わせて、管理画面に不正にログインし、管理者権限を取得した。その後、メールマガジン配信リストに含まれるメールマガジン登録者の個人情報をダウンロードすることができた。
参考:JVN#35906450: acmailer における複数の脆弱性
流出した情報の詳細
流出した情報は、以下のような内容であった。
氏名:例)佐藤花子
メールアドレス:例)hanako.sato@example.com
被害の状況:流出した情報は、第三者によってインターネット上に公開された。また、流出した情報を利用して、メールマガジン登録者に対して不正な請求や詐欺などの被害が発生したとの報告が複数寄せられた。さらに、流出した情報を元に発達障害者であることを知られてしまったり、知られたことで職場で不利益な扱いを受けるのではないかとの不安を与えてしまった。
その後、報道機関等によって、ハッカー集団による事件が報道される度に、迷惑メールが送信されている。
事案への対応
- 被害の抑止や拡大防止のための措置:不正アクセスが発覚した後、以下の措置を行った。
- acmailerの利用をただちに停止し、不正なメールを送信できないようにサーバーごと設定を変更した。
- 原因調査おおよび犯人追跡に必要な資料を収集した後、ただちにサーバーからacmailerシステムそのものを削除した。
- メールマガジン配信システムであるがacmailer攻撃を受けたため、メールマガジン登録者に対して連絡を行い、かつ本件漏洩事件の窓口とするためのメールアカウントを新規に設置した。
- メールマガジン登録者に対して、個人情報の流出とお詫びについてメールで通知し、不審な連絡や請求に注意するよう呼びかけた。
- 関係者への報告や連絡:以下の関係者に対して、事案の発生と対応について報告や連絡を行った。
- 当会の運営幹部
- 対応を依頼する技術者や弁護士
- 警察および個人情報保護委員会
- 法的な対応や協力:以下の法的な対応や協力を行った。
- 不正アクセスの犯人を特定するために技術者と協力し、警察に証拠となる資料を提出した。
- メールマガジン登録者に対して、不正な請求や詐欺などの被害に遭った場合には、警察に届け出るよう促した。
- メールマガジン登録者への謝罪
- メールマガジン登録者に対して、個人情報の流出によってご迷惑をおかけしたことをお詫びした。
- メールマガジン登録者に対して、今後の信頼回復のために、当時の状況を可能な限り説明した。
- 事案の分析:事案の原因や背景、脆弱性の特定、再発防止のための改善策について、以下に分析した。
- 事案の原因や背景:事案の原因や背景は、以下の通り。
- acmailerの管理画面のURLやパスワードは、予測しやすいものであった。
- acmailerのメールマガジン配信リストは、暗号化されていなかった。
- acmailerのメールマガジン配信リストは、ダウンロードすることが容易であった。
- システム管理者の一部はacmailerに脆弱性があるのを承知していながら、更新に必要な管理情報がなかったため放置していた。
- 障害という極めてデリケートなテーマを扱う団体として個人情報の取得や保持についての意識があまりに低かった。
- 脆弱性の特定:不正アクセスによって明らかになった脆弱性は、以下のように特定されました。
- acmailerの脆弱性は、管理画面の認証機能に存在するセキュリティーホール (CVE-2021-20617) と、管理者権限を取得できる権限昇格の脆弱性 (CVE-2021-20618) が存在していた。
- 再発防止のための改善策:不正アクセスの再発を防ぐために、以下のような改善策を実施した。
- acmailerの利用を停止し、捜査に必要な情報を警察に提供した後はサーバーからシステムごと削除した。
- 事案の原因や背景:事案の原因や背景は、以下の通り。
- 事案の分析:事案の原因や背景、脆弱性の特定、再発防止のための改善策について、以下に分析した。
- 事案の教訓:事案から得られた教訓や反省点、今後の方針や目標については以下の通り。
- 教訓や反省点:事案から得られた教訓や反省点は、以下の通り。
- acmailerのセキュリティーに対する意識や管理が甘かった。
- acmailerの利用に関するリスクや対策を十分に把握していなかった。
- システムのアップデートに必要な管理情報が適切に引き継がれておらず、システムの定期的な更新が行えない状態にあった。
- システム管理者の一部がacmailerに脆弱性があるのを承知していながら、更新に必要な管理情報がなかったため放置していた。
- 障害という極めてデリケートなテーマを扱う団体として個人情報の取得や保持についての意識があまりに低かった。
- 本件を把握した時点での初動で、愉快犯であることを把握せず、犯人を刺激するようなSNS発信を行なってしまい、メールマガジン登録者に対する迷惑メールの送信を誘発してしまった。
- 同じく、初動で不正アクセスに動揺してしまい、本来はまずは被害に遭ったメールマガジン登録者に対してお詫びをすべきところを、被害を訴えるような発信を行い責任を犯人に転嫁するような発信を行なってしまった。
- メールマガジン登録者に対する通知や謝罪が遅れたことで、メールマガジン登録者の不信感や不安を増幅させてしまった。
- メールマガジン登録者に対する補償の内容や方法が不十分であったことで、メールマガジン登録者の満足度や信頼度を低下させてしまった。
- 今後の方針や目標:事案から学んだ教訓や反省点を踏まえて、以下のような方針や目標を設定した。
- ITシステムの管理責任者を明確に定め、セキュリティの実施に責任を負う体制を構築する。
- システムのアップデートに必要な管理情報を適切にIT管理責任者に引き継ぎ、システムの定期的な更新を行える体制を構築する。
- 当会で扱うシステムは可能な限り最新のセキュリティー対策を行い、最悪でも全システムに足して定期的なセキュリティの見直しを行うルールを導入する。
- システムに関する脆弱性の情報を得たものは速やかに報告し、管理責任者がその対策を実施する。
- 障害という極めてデリケートなテーマを扱う団体として個人情報の取得や保持についての意識を高め、具体的な取扱い要項を制定し、遵守する。
- 何らかのIT関連事案が発生した場合には、広報担当者が単独で発信せず、IT管理責任者と協議の上、初動と連動した情報発信を行う。
- 何らかのインシデントが発生した場合には、動揺せず、当会よりも当会のステークホルダーの利益や心情を優先した行動を心がける。具体的には、事態の収拾だけにとらわれず、まずは被害に遭ったステークホルダーへの報告・謝罪などの対応を検討する。
- 教訓や反省点:事案から得られた教訓や反省点は、以下の通り。
この件について、ご不安を感じている方への相談先のご案内
【技術面】
[国の機関である個人情報保護委員会の「個人情報保護法相談ダイヤル」] 03-6457-9849
[独立行政法人 国民生活センター 個人情報保護窓口] 03-3443-6555
[都道府県警察本部のサイバー犯罪相談窓口一覧]
【心理面】
[厚生労働省 まもろうよこころ] 電話だけでなくSNSによる相談窓口もあります。
[厚生労働省 全国の精神保健福祉センター]
以上
