不正アクセスに関するお知らせとお詫び
【2019年1月25日】
標記につきましては、2019年1月24日付けで株式会社ベーシック様より「第三者機関における調査の結果、お客様情報のファイルが流出した痕跡は確認されなかった」との報告がありましたことをご報告いたします。
https://ferret-one.com/notice/20190124
詳細につきましては、以下よりご確認いただけます。
弊協会ホームページをご利用のお客様には、ご心配をおかけしましたことを心よりお詫び申し上げます。【以下、2018年12月27日公表内容】
このたび、弊協会で利用しているferretOne(株式会社ベーシック運営 以下ベーシック社)に対する外部からの不正アクセスにより、不正アクセスを行った第三者(以下、攻撃者)に情報が流出した可能性があることが判明しました。さらなる不正アクセス、情報流出の可能性拡大を防ぐため、本件把握後直ちにベーシック社により不正アクセスの経路を遮断し、不正アクセスへのセキュリティ対策を講じています。なお、現在、ベーシック社からは第三者機関による調査を行っていると報告を受けております。詳細が判明次第、速やかに公表するとともに対応策を実施してまいります。
また、ベーシック社の見解としては、攻撃者の痕跡から情報収集ではなく仮想通貨採掘プログラムのインストールを目的とした攻撃と想定されるとの報告を受けております。
現在のところ、お客様情報の不正利用等の二次被害は確認されておりません。また、検定のお申込みを行っていただいているサイトは、ベーシック社の管理外(検定試験申込サイトである(株)CBTソリューションズの管理)となっておりますのでご安心ください。なお、万一不審なメール等の連絡がございましたら、大変お手数をおかけしますが、下記のお問い合わせ窓口までご一報いただけますようお願い申し上げます。
お客様ならびに関係者の皆様に多大なるご心配とご迷惑をおかけいたしますことを、深くお詫び申し上げます。
記
1.流出の可能性がある情報の詳細
一般社団法人日本栄養検定協会サイト(https://eiyokentei.or.jp/、検定申し込み関連部分を除く)をご利用いただいたお客様
2.経緯
弊協会で利用しているferretOneサービスにおいて、不正アクセスの形跡を確認し、調査した結果、実際に不正アクセスを受けていたことが判明しました。その後、ベーシック社にて調査を行った結果、2018年9月26日午前1時26分にクラウドサービスへの不正アクセスがあり、当該クラウドサービスにはバックアップデータ等で利用する顧客情報が格納されたファイルが存在することから、攻撃者がアクセス可能な状態にありました。そのため、さらなる不正アクセスによる情報流出可能性の拡大を防ぐため、認証キーの再作成と不正アクセスの経路を遮断するとともに、セキュリティ強化などの対策を講じたと報告を受けております。ベーシック社の対応経緯
| 日時 | 概要 |
| 2018年12月6日 10:39 | クラウドサービス内に不正なサーバーの構築を確認。対象サーバーを停止し、不正アクセスの可能性調査を開始 |
| 2018年12月6日 11:03 | 不正アクセスの原因となった認証キーを特定し、無効化 |
| 2018年12月6日 11:03 | 認証キーの再作成を実施 |
| 2018年12月6日 11:27 | 流出した認証キーが個人情報を含むファイルにアクセス可能な権限であることを確認、他に被害がないか調査開始 |
| 2018年12月7日 15:30 | 警視庁へ連絡、第三者機関の手配を開始 |
| 2018年12月10日 20:00 | IPA 不正アクセスについての届け出提出 |
| 2018年12月12日 11:10 | 個人情報保護委員会へ報告 |
3.対応 ※2018年12月20日現在
すべての認証キーを再作成
クラウドサーバの操作ログを監視
第三者調査機関によるフォレンジック調査*1 を実施
*1 サーバーのログファイルから不正アクセスの記録を見つけ出すことで、情報流出の有無や範囲を判断する調査
4.今後の対策
ベーシック社において原因等に関しては引き続き調査を行い、詳細が判明次第、弊協会において公表すると共に必要な対策を講じてまいります。
皆様にはご心配とご迷惑をおかけしますことをあらためてお詫び申し上げます。