|
【状況】
2018年2月22日に、機構が管理している「がん治療認定医変更届システム」から登録情報が流出
【期間】
2017年6月初旬〜2018年2月22日
【原因】
システムの脆弱性に対して外部の第三者による不正攻撃で複数回にわたって情報流出が発生
【流出情報】
メールアドレスとログインパスワードの組合せ29,678件(計24,599名分)。
内訳は以下のとおり
1)認定期間中の「がん治療認定医」:18,378件(うち、11,395件は初期パスワードのまま)
2)認定期間終了となった「がん治療認定医」:699件(うち、615件は初期パスワードのまま)
3)「がん治療認定医」ではないが、過去にセミナーまたは試験の申込者:5,522件(全て初期パスワードのまま)
4)上記1)のうち、最初に流出した後にメールアドレスあるいはパスワードを変更した方:5,079件
【ユーザへの対応依頼】
本システムの登録パスワードを他のサービスで使い回している場合は、すみやかに変更
【機構の対応】
2月22日:「変更届システム」を隔離し、ホームページで公表
2月23日:情報処理推進機構(IPA)の標的型サイバー攻撃特別相談窓口に報告・相談
委託先が管理するサーバの全てのシステムに対して脆弱性診断および改修依頼
3月中旬〜:所轄警察署に相談
3月22日:「認定医名簿」をネットワークから隔離
ホームページに「不正アクセスによる登録情報の流出に関するご報告とお願い」を掲載
3月末から4月初めにかけて、情報流出の可能性のある方全員にメールで周知
4月初旬〜:外部の民間調査機関に相談・調査依頼
5月末〜:外部の民間調査機関から調査報告を受領し、データ解析開始
6月中旬:システムセキュリティ専門会社に脆弱性診断実施を委託、報告書受領
新しい委託先に新システム(認定医申込・申請・管理)を構築することを決定
被害件数が確定し、所轄警察署に「不正アクセス被疑事件」として再度相談
7月中旬:所轄警察署に「被害届」提出
【再発防止策】
セキュリティ強化および定期的な脆弱性診断実施を含めた新システム構築
|