東村山市公式アプリ「東村山防災navi」システムへの第三者によるアクセスについて

本件について、お知らせ内容を更新しました。

概要

東村山市（市長：渡部尚）が株式会社両備システムズ（岡山市。以下、「受託事業者」）に運営・管理を委託している公式アプリ「東村山防災navi」（以下、「同アプリ」）が、第三者からの不正アクセスを受けていたことが判明しました。
原因となったシステムの設定変更は令和3年2月1日に完了しており、現在は問題のある状態は解消されています。
同アプリをご利用の皆さまにご迷惑をおかけしましたことを深くお詫び申し上げます。

対象システム

東村山市公式アプリ「東村山防災navi」

• 令和元年5月運用開始
• ユーザー登録者数：10,620人（令和3年2月1日現在）
• 防災情報の周知や災害時のレポート機能等を備える

原因

同アプリの運用にあたり、受託事業者が利用しているクラウド管理システムのセキュリティ設定に不備があったため。
なお、本件は、「Salesforce」（株式会社セールスフォース・ドットコム社　提供）を活用したシステムを利用している企業や自治体において、令和2年12月末ごろから相次いで判明しているものと同様の事象です。

• 本件について受託事業者株式会社両備システムズの公表内容（外部リンク）

https://www.ryobi.co.jp/news/notification20210210

不正アクセスの状況

不正アクセスを受けた日時等

• 令和3年1月9日（土曜）午後8時23分から1月14日（木曜）午後1時19分
• 総接続回数：219回
• 総データ参照回数：100回

（注記）システムに保管された情報に対して不正な検索が実行された回数であり、実際には参照が失敗となった回数も含まれています。

同アプリに登録されている個人情報

• ユーザーID（必須）、氏名（必須）、居住地域・地区（必須）、メールアドレス（必須）、性別（任意）等。

（注記）アクセスログの解析により、これらの個人情報への参照があったことは明らかになっていますが、具体的な件数等の影響範囲については現在調査中です。詳細が判明し次第ご報告させていただきます。

経緯

令和3年1月20日

• 内閣サイバーセキュリティセンター（以下、NISC）から総務省経由で自治体向けに「Salesforceの設定不備による意図しない情報が外部から参照される可能性」について注意喚起があったことを受け、市から受託事業者に対し状況の確認を指示。

令和3年1月21日

• 受託事業者から市に対し、「設定変更は不要である旨」回答あり。

令和3年1月21日

• NISCから総務省経由で市に対し、「当市の同アプリについて、意図しない情報が外部から参照される可能性が極めて高い旨」、改めて注意喚起あり。

令和3年1月22日

• 市から受託事業者に対し、NISCからの注意喚起を踏まえ再度状況を確認し報告するよう指示。

令和3年1月27日

• 受託事業者から市に対し、改めて「設定変更は不要である旨」回答あり。

令和3年2月1日

• 受託事業者において、「Salesforce」の設定を変更する対策を実施。

令和3年2月9日

• 受託事業者から市に対し、「第三者からのアクセスが確認された旨」の報告があり、本件事案の発生が判明。

令和3年2月10日

• 市ホームページにおいて第一報を公表。

令和3年2月15日

• 受託事業者から市に対し、「アクセスログの解析により、個人情報が含まれる情報への参照が確認された旨、詳細な影響範囲については継続調査中である旨」報告あり。

今後の対応

• 引続き受託事業者と連携をとり、本件に関する調査を継続し、適宜、市ホームページ等でご報告いたします。
• 今後の調査結果も踏まえ、受託事業者に対してセキュリティ対策の徹底を指導するとともに、本市におきましても、セキュリティ対策の一層の強化を図り、再発防止に努めてまいります。

アプリをご利用の皆様へのお願い

• 本件に伴う二次被害は現時点では確認されていませんが、不審なメールや電話については、くれぐれもご注意いただきますようお願いいたします。