事故から学ぶ

外部からの不正アクセスにより関係者のメールアドレスおよびパスワードの流出 日本国際協力センター(続報)

事故概要

業種 社団法人
発生時期 2015/1-2020/6/12
漏えい人数 718
事故概要

当センターのホームページにて、当センターが開発・運用しているABEイニシアティブポータルサイトに対して、外部より不正なアクセスがあり、改めて、同サイトの開設当初の2015年1月にさかのぼり、他にも不正なアクセスがないか解析を行いました結果、さらに合計44回の不正なアクセスがあったことが判明しました。
その結果、アフリカからの留学生10名のログイン用ID、パスワード、メールアドレス、及び日本における住所等の情報、ならびに大学のご関係者17名のメールアドレスおよび104名のログイン用ID及びパスワードの情報が流出したことが確認されました。また、窃取されたログイン用IDとパスワードを悪用することで同サイトに不正ログインすることが可能であり、留学生10名の要配慮個人情報を含む個人情報、および大学関係者718名の個人情報に不正にアクセスされた可能性があることが判明しました。
このような重大な事態を招いたことを重く受け止め、同様のことが発生しないよう、同サイトのセキュリティ強化を徹底し、再発防止に努める所存でございます。
1 本件にかかる経緯等
(1) 当センターは、2020年4月下旬より、多様化する外部からのセキュリティリスクに対応するため、ABEイニシアティブポータルサイトのセキュリティ強化のため、脆弱性診断テストを開始しました。
(2) 脆弱性診断テストの過程で、同サイトへのアクセスが可能になってしまう脆弱性が発見され、ログ解析の結果、外部より不正アクセスがあったことが分かりました。アフリカからの留学生1,225名、大学のご関係者652名、過去に本事業への応募にご関心を持たれ当方までお問合せいただいたアフリカの方々102名、JICA職員3名、JICE職員2名のメールアドレス、及びパスワードが流出したことが判明しましたが、この時点でのログ解析の結果では、同アドレスとパスワード以外の情報の流出はないことを確認しました。
(3) 同年6月12日、上記(2)に該当するご関係者に対して、本件経緯のご説明、及びお詫びのメールを送信いたしました。
(4) その後、同サイトの開設当初の2015年1月までさかのぼり、不正なアクセスの解析を行った結果、冒頭に記載したとおり、ログイン用IDとパスワードが流出したことにより、アフリカ人留学生10名の要配慮個人情報を含む個人情報、受入大学の関係者718名の個人情報に不正にアクセスされた可能性があることが判明しました。
(5) 同年6月30日、上記(4)に該当するご関係者に対して、本件経緯のご説明、及びお詫びのご連絡を行いました。
(6) 現在は同サイトを一時的に閉鎖しておりますので、当該サイトへのアクセスはできない状況です。
2 再発防止策
ポータルサイトの再開に向けて、現在のサイトの修正、サイトの再構築の双方を視野に入れたうえで、以下の対策を講じます。
(1) 今後の再発防止に向けて、同サイトのさらなるセキュリティ強化のため、定期的に脆弱性診断を行うとともに、不正アクセスを常時監視し、不正アクセスがあれば遮断する仕組みを導入します。
(2) サイト再開の際には、ご関係者の皆様には、現在設定されているパスワードの変更、及び定期的なパスワードの変更をお願いする所存です。

引用元 一般財団法人 日本国際協力センター

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?

システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?

■ 推奨対策

対策:

5年前までさかのぼって調べたら44回も不正アクセスされていた、というのはお粗末にもほどがある。
自社管理なのかアウトソーシングか、あるいはその組み合わせなのか不明だが、5年間で44回という数字だけを見ると、例えば個人使用のパソコンをサーバとして公開利用していた、というレベルのセキュリティーである。
組織としての対応がまるでできていない。

具体例:

安全管理の重要性をマネジメント層が理解できていない可能性もあるので、組織の再編から行うべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。