弊社管理サイトからの個人情報流出の報告とお詫び その2

投稿者: | 2018-06-29

  弊社が管理をしております複数のサイトより、個人情報が漏洩したことが判明しました。ご利用いただいたみなさま、関係者のみなさまに深くお詫びいたします。弊社の管理が不十分であったためで、大変ご迷惑をおかけしております。
また二次被害をふせぐために、多くのサイトで一時停止をしており、万全な体制が整うまでしばらく、ご了承いただければ幸いです。

個人情報の流出が起こったことが確認されたサイトは以下の6サイトです。いずれも弊社が作成し、管理をしているもので、責任は弊社にあります。

  • 鳥取県環境家計簿「わが家のエコ録」
  • 埼玉版WEB家庭のエコ診断 
  • 小平市環境家計簿「楽しく省エネエコダイラーくらし宣言」
  • 滋賀県みるエコおうみ (閉鎖中)
  • 京都府地球温暖化防止活動推進センター エコドラナビゲータ
  • IGESうちエコ診断WEB(環境省のうちエコ診断とは別のサイトです。現在は閉鎖中)

漏洩については、外部の方より2018年6月25日に連絡をいただいたことから、サーバーの調査を行い判明しました。
2018年3月19日から20日にかけてSQLインジェクションを突いた攻撃があり、各サイトの全利用者のメールアドレス、パスワード等が流出しました。上記のうちの1つのサイトが攻撃されたのですが、データ・ベースの設定にも問題があり、全てのサイトのデータが閲覧できる状態となっていたため、各サイトの情報流出の事態を招きました。またみるエコおうみについては、すでに廃止されているサイトですが、サイトからの個人情報を削除していなかったために、漏洩を引き起こしてしまいました。
いずれも弊社の管理の問題と、不徳によるものです。大変申し訳ありませんでした。
セキュリティ会社の協力を得て、メールアドレスと暗号パスワードがセットとなって流出していることを確認しました。暗号化(ハッシュ化)はされていますが、もしメールアドレスとパスワードの同じ組み合わせで、他のサイトで利用されている方がありましたら、なりすましが起こる可能性がありますので、パスワードの変更をしていただくのが安全です。お手数をおかけしますが、よろしくおねがいします。なお、パスワードは暗号化されているため、弊社にパスワードをお尋ねいただいても、回答はできませんことをご了承ください。
現在、原因と影響について調査を進めるとともに、二度とこのようなことが起こらないよう、プログラムの見直し、セキュリティソフトの導入、体制の整備などを進めているところです。
 
大変ご迷惑をおかけしましたこと、深くお詫びいたします。
 
6月30日訂正:当初「報告を偽り」と記載していましたが、関係の方から、意図的にしていないのでその表現は違うのではないか、と指摘があり、削除しました。

コメントを残す