1.概要
北海道支部では、メールマガジンの配信に市販のCGIプログラムを利用し運用しています。今回これの脆弱性をつかれ管理者アカウントが乗っ取られ、メルマガ購読者のメールアドレスが記載されたCSVファイルへのリンクがインターネット上に公開されてしまいました。なお、公開された期間は<8月17日20時ごろから18日14時ごろ>と推測されます。
このファイルには、メルマガに登録している方のメールアドレス278件が掲載されていました。このうち、29名については氏名、勤務先、メールアドレスが含まれています。
2.発生要因
- メールマガジン配信用に利用しているツールの脆弱性対策を怠っていました。
- 脆弱性に関する情報を入手した際の連絡および情報共有が不十分でした。
3.再発防止策
- メールマガジン配信用に利用しているツールなどの脆弱性対策を遅滞することなく実施いたします。
- 脆弱性に関する情報を入手した際には、遅滞することなく関係者で共有し対応いたします。
- 情報インシデントが生じた場合の連絡網について徹底いたします。
北海道支部 支部長 蝶野 大樹