manaableテスト環境における会員情報漏えいのおそれ発生に関するお知らせとお詫び
事象
manaable株式会社(旧:ITRA株式会社 / 以下、弊社)の運営する生涯教育DXプラットフォームmanaableで利用しているテスト環境サーバーにおいて、弊社が実施したセキュリティ設定に誤りがあり、manaableをご利用中の一般社団法人日本家族計画協会(以下、日本家族計画協会)の会員情報が漏えいしたおそれがあることが判明いたしましたので、下記の通りご報告申し上げます。
お客様ならびに関係者の皆様には多大なるご心配とご迷惑をおかけいたしますことを、深くお詫び申し上げます。
なお、現在のところ、本件に関する個人情報が不正に使用された事実は確認・報告されておりません。
また、8月18日、25日、9月1日に実施いたしました第三者機関によるダークウェブを含むインターネット上の流出調査においても、個人情報の流出の事実は確認されませんでした。今後も引き続き、継続的なモニタリングを実施していく予定です。
1. 概要
2023年7月25日、弊社において、不具合調査用に使用しているテスト環境サーバーの設定変更を行いました。
ここで人為的なミスがあり、外部からデータベースへアクセスが可能な状況になっておりました。その設定のまま日本家族計画協会の会員情報等をコピーして不具合調査作業を実施したため、調査開始の2023年7月26日(火)19:00から7月27日(水)19:00にデータを削除するまでの24時間、会員の情報が外部から接続可能な状態となっておりました。
なお当事象は、独立したテスト環境サーバーのみで発生した事象で、各クライアントにご利用いただいている本番環境サーバーに影響はございません。
2. 対象
7月26日(火)19:00までに日本家族計画協会研修申込サイトmanaableにご登録いただいた皆様
(旧会員システムから現在のシステムに自動移行された方も含みます。)
3. 漏えいのおそれがある個人データの項目
※クレジットカード等の情報は含まれておりません
※ハッシュ化とは、特定の計算手法に基づいて、元のデータを不規則な文字列に置換する処理を指します。ハッシュ化されたデータは不可逆であるため、第三者が特定するリスクを軽減でき、パスワードを保管する際などに使用されます。
4. 発生した問題の経緯
- 日時
- 概要
- 2023/07/25 (火) 10:00
- テスト環境manaableのサーバースペック変更、再立ち上げ
※この時にサーバーの設定において人為的なミスが発生
- 2023/07/26 (水) 19:00
- 日本家族計画協会から依頼された不具合調査実施のため、弊社にて環境及び会員情報をテスト環境サーバーにコピーし、不具合再現と調査を開始
- 2023/07/27 (⽊) 01:38
- 日本家族計画協会会員のご所属先が提携している、外部セキュリティ企業の情報漏えいデータ検出ソリューションが事態を検知
- 2023/07/27 (木) 19:00
- 調査完了、テスト環境サーバーにおいて調査環境・データの削除
- 2023/07/31 (月) 16:00
- 上記事態が検知された旨が、セキュリティ企業から会員の所属先セキュリティ部門担当者、その後、会員本人に伝えられ、会員本人より個人情報漏えいが発生しているおそれがある旨のお電話を日本家族計画協会にいただく
- 2023/07/31 (月) 16:18
- ご連絡いただいた内容を日本家族計画協会から弊社へ連絡
状況調査開始
- 2023/08/01 (火) 17:30
- 発生原因や対象サーバーを特定
5. これまでの対応内容と今後の対応予定
- 日時
- 概要
- 2023/08/01 (火) 17:30
- テスト環境サーバーの設定を修正し、外部からの接続方法を遮断完了
調査開始
- 2023/08/02 (水) 15:28
- 影響範囲がテスト環境サーバーであるということ、かつデーターベースへの直接のアクセスについてのログを取得していないことが判明
- 2023/08/02 (水) 15:39
- 弊社が利用しているサーバー管理会社にアクセス状況把握の調査協力依頼
- 2023/08/04 (金) 05:44
- サーバー管理会社より、当該サーバーへのアクセス状況を把握できるデータがない旨のご連絡をいただく
- 2023/08/04 (金) 13:30
- 事象検証とアクセス可能性の調査のために、当該テスト環境サーバーの状況を再現したダミーデータ入りのデータベースを新たに立ち上げ。アクセスログ取得開始
- 2023/08/08 (火) 22:41
- 個人情報保護委員会へ報告
- 2023/08/08 (火) 22:45
- 事象検証用データベースにて約105時間の検証を完了
本件の状況を検知した情報漏えいデータ検出ソリューション以外のアクセスは発生していないことを確認
- 2023/08/15 (火) 15:47
- 日本家族計画協会様より対象の会員様へメールで本件のご報告とお詫びを送付
- 2023/08/18 (金) 08:50
- 第三者機関によるダークウェブを含めたインターネット上の流出調査を実施
- 2023/08/21 (月) 10:00
- 第三者機関より調査レポートを受領。8月18日時点での個人情報流出の事実は認められず
- 2023/08/28 (月) 10:00
- 第三者機関より調査レポートを受領。8月25日時点での個人情報流出の事実は認められず
- 2023/09/04 (月) 10:00
- 第三者機関より調査レポートを受領。9月1日時点での個人情報流出の事実は認められず
【ダークウェブを含むインターネット上の流出調査の概要】
◆調査範囲
※ダークウェブとは、特定のネットワークやアプリケーションでしかアクセスできないネットワークで、個人情報の売買などの犯罪行為が行われる場所として知られています。
※サーフェスウェブとは、アクセスするために特別なブラウザが必要なダークウェブに対する概念で、誰でもアクセスできる一般的なインターネットコンテンツを指します。サーフェスウェブは検索エンジンからアクセス可能で、閲覧する際にも特殊なブラウザや設定等を必要としません。
6. お客様への対応
お問い合わせについては、manaableサポートセンターにて承っております。
現在のところ、本件に関する個人情報が不正に使用された事実は確認・報告されておりません。ご不明点、ご質問等がございましたら、下記のmanaableサポートセンターまでお問い合わせください。
manaableサポートセンター
電話番号:03-5489-7128(平日10:00-19:00)
メール:jfpa-support@ml.manaable.com