新規記事の投稿を行うことで、非表示にすることが可能です。
2023年11月15日
国立環境研究所のオンラインストレージ「Proself」における不正アクセス事案
国立環境研究所(国環研)が使用していた「Proself」の脆弱性を突いたサイバー攻撃により、個人情報を含むデータの外部流出の可能性が浮上。
システムで何が起きたか
国環研が使用するオンラインストレージサービス「Proself」に対して、9月15日から28日にかけて不正アクセスが発生しました。この攻撃は、未知の脆弱性(CVE-2023-45727)を利用したもので、国環研は10月5日にその痕跡を発見しました。
原因
この脆弱性は「XML外部実体参照(XXE)」の一種で、Proselfの提供元ノースグリッドも当初は把握していませんでした。この攻撃により、アカウントのリストやパスワードのハッシュ値が盗まれ、それを利用した不正アクセスが行われました。
被害状況
不正アクセスにより、国環研職員の健康診断受診者名簿や外部機関の委員会名簿、研究所Webサイトからのデータダウンロードに使用されたメールアドレスなどの個人情報が流出した可能性があります。ただし、これらの情報の悪用は現時点で確認されていません。
対応
国環研は10月5日にProselfの使用を停止し、詳細な調査を開始しました。同時に、個人情報保護委員会に報告し、関係者への個別通知を進めています。さらに、ノースグリッドは10月4日に脆弱性を確認し、10月17日からセキュリティアップデートを提供しました。国環研は今後、セキュリティ対策の強化に努めると共に、関連機関と連携して状況把握に努めています。
株式会社ライトオン公式オンラインショップでの個人情報流出事件
株式会社ライトオンのオンラインショップが不正アクセスを受け、約24万7千人の個人情報が流出。クレジット情報は無事。
システムで何が起きたか
2021年10月末、同社のオンラインショップは外部からの不正アクセスを受けました。このアクセスは断続的に行われ、同社のセキュリティシステムが脆弱であったことが露見しました。
原因
不正アクセスの原因は、第三者による積極的な攻撃であり、同社のセキュリティ対策がこれを防ぐには不十分であったことが指摘されています。
被害状況
流出した情報には、氏名、電話番号、住所、生年月日、性別、メールアドレスが含まれていましたが、幸いにもクレジットカード情報やオンラインショップのパスワードは含まれていませんでした。影響を受けた顧客は約24万7千人に上ります。
対応
同社は不正アクセス発覚後、迅速にセキュリティ強化措置を実施しました。また、警察への通報、個人情報保護委員会への報告、顧客への個別連絡といった対応を行い、今後のセキュリティ体制の見直しと再発防止策の実施を約束しています。
