当センターが管理するポータルサイトに対する外部からの不正アクセス、及び関係者のメールアドレスおよびパスワードの流出にかかるご報告及びお詫びについて(続報)
2020年6月12日(金)、当センターのホームページ(https://www.jice.org/info/2020/06/post-296.html)にて、当センターが開発・運用しているABEイニシアティブポータルサイトに対して、外部より不正なアクセスがあったことをご報告いたしました。
この度、改めて、同サイトの開設当初の2015年1月にさかのぼり、他にも不正なアクセスがないか解析を行いました結果、さらに合計44回の不正なアクセスがあったことが判明しました。その結果、アフリカからの留学生10名のログイン用ID、パスワード、メールアドレス、及び日本における住所等の情報、ならびに大学のご関係者17名のメールアドレスおよび104名のログイン用ID及びパスワードの情報が流出したことが確認されました。また、窃取されたログイン用IDとパスワードを悪用することで同サイトに不正ログインすることが可能であり、留学生10名の要配慮個人情報を含む個人情報、および大学関係者718名の個人情報に不正にアクセスされた可能性があることが判明しました。
この度、個人情報が流出してしまったご関係者の方々、及びその可能性のある方々には、すでに本件の経緯のご説明とお詫びに関するご連絡をしておりますが、本件に関し多大なご心配とご迷惑をおかけしましたことに深くお詫び申し上げます。
このような重大な事態を招いたことを重く受け止め、同様のことが発生しないよう、同サイトのセキュリティ強化を徹底し、再発防止に努める所存でございます。
1 本件にかかる経緯等
(1) 当センターは、2020年4月下旬より、多様化する外部からのセキュリティリスクに対応するため、ABEイニシアティブポータルサイトのセキュリティ強化のため、脆弱性診断テストを開始しました。
(2) 脆弱性診断テストの過程で、同サイトへのアクセスが可能になってしまう脆弱性が発見され、ログ解析の結果、外部より不正アクセスがあったことが分かりました。アフリカからの留学生1,225名、大学のご関係者652名、過去に本事業への応募にご関心を持たれ当方までお問合せいただいたアフリカの方々102名、JICA職員3名、JICE職員2名のメールアドレス、及びパスワードが流出したことが判明しましたが、この時点でのログ解析の結果では、同アドレスとパスワード以外の情報の流出はないことを確認しました。
(3) 同年6月12日、上記(2)に該当するご関係者に対して、本件経緯のご説明、及びお詫びのメールを送信いたしました。
(4) その後、同サイトの開設当初の2015年1月までさかのぼり、不正なアクセスの解析を行った結果、冒頭に記載したとおり、ログイン用IDとパスワードが流出したことにより、アフリカ人留学生10名の要配慮個人情報を含む個人情報、受入大学の関係者718名の個人情報に不正にアクセスされた可能性があることが判明しました。
(5) 同年6月30日、上記(4)に該当するご関係者に対して、本件経緯のご説明、及びお詫びのご連絡を行いました。
(6) 現在は同サイトを一時的に閉鎖しておりますので、当該サイトへのアクセスはできない状況です。
2 再発防止策
ポータルサイトの再開に向けて、現在のサイトの修正、サイトの再構築の双方を視野に入れたうえで、以下の対策を講じます。
(1) 今後の再発防止に向けて、同サイトのさらなるセキュリティ強化のため、定期的に脆弱性診断を行うとともに、不正アクセスを常時監視し、不正アクセスがあれば遮断する仕組みを導入します。
(2) サイト再開の際には、ご関係者の皆様には、現在設定されているパスワードの変更、及び定期的なパスワードの変更をお願いする所存です。
本事案の教訓を踏まえ、ご関係者様に安心して同サイトをご利用いただけるよう、一層の情報セキュリティ強化に取り組んでまいります。
3 本件にかかるお問い合わせ先:
一般財団法人日本国際協力センター
個人情報相談窓口
Tel.03-6838-2702
メールアドレス:privacy@jice.org