本件について、アクセスログの解析結果から詳細な影響範囲等が明らかとなったため、お知らせ内容を更新しました。
概要
東村山市(市長:渡部尚)が株式会社両備システムズ(岡山市。以下、「受託事業者」)に運営・管理を委託している公式アプリ「東村山防災navi」(以下、「同アプリ」)が、第三者からの意図しないアクセスを受け、1件の個人情報が参照された可能性があることが判明しました。
データが参照された可能性がある1名の方に対しては個別にお詫びのご連絡をさせていただき、二次被害等が生じていないことを確認しました。
原因となったシステムの設定変更は令和3年2月1日に完了しており、現在は問題のある状態は解消されています。
同アプリをご利用の皆さまにご迷惑をおかけしましたことを深くお詫び申し上げます。
- 令和元年5月運用開始
- ユーザー登録者数:10,620人(令和3年2月1日現在)
- 防災情報の周知や災害時のレポート機能等を備える
原因
同アプリの運用にあたり、受託事業者が利用しているクラウド管理システムのセキュリティ設定に不備があったため。
なお、本件は、「Salesforce」(株式会社セールスフォース・ドットコム社 提供)を活用したシステムを利用している企業や自治体において、令和2年12月末ごろから相次いで判明しているものと同様の事象です。
- 本件について受託事業者株式会社両備システムズの公表内容(外部リンク)
https://www.ryobi.co.jp/news/notification20210210
アクセスログの解析により判明したこと
- 平成30年9月22日(開発時点)から令和3年3月1日
- 令和2年11月8日22:32から令和3年1月14日13:19
- 総接続回数 390回
- 総データ参照回数 162回(取得失敗も含む)
- 令和2年11月8日から令和3年1月14日までの期間において、第三者からの意図しないデータ参照(検索)が162回あり、同アプリのユーザー情報が記録されている領域については、100件のデータが参照された可能性があることがわかりました。
- そのうち、実際に個人情報がデータとして登録されていた件数は1件でした。
- この1件のデータには、ユーザー登録の際にご登録いただいた、メールアドレス、市町村名、郵便番号が含まれていました。対象の利用者には、個別にお詫びのご連絡をさせていただき、二次被害等が生じていないことを確認しました。
- その他のデータについては、ニックネーム等のみの登録となっており、個人を特定できる情報は含まれていませんでした。
- 同アプリのログインに必要なIDやパスワードに対する参照はありませんでした。
経緯
令和3年1月20日
- 内閣サイバーセキュリティセンター(以下、NISC)から総務省経由で自治体向けに「Salesforceの設定不備による意図しない情報が外部から参照される可能性」について注意喚起があったことを受け、市から受託事業者に対し状況の確認を指示。
令和3年1月21日
- 受託事業者から市に対し、「設定変更は不要である旨」回答あり。
令和3年1月21日
- NISCから総務省経由で市に対し、「当市の同アプリについて、意図しない情報が外部から参照される可能性が極めて高い旨」、改めて注意喚起あり。
令和3年1月22日
- 市から受託事業者に対し、NISCからの注意喚起を踏まえ再度状況を確認し報告するよう指示。
令和3年1月27日
- 受託事業者から市に対し、改めて「設定変更は不要である旨」回答あり。
令和3年2月1日
- 受託事業者において、「Salesforce」の設定を変更する対策を実施。
令和3年2月9日
- 受託事業者から市に対し、「第三者からのアクセスが確認された旨」の報告があり、本件事案の発生が判明。
令和3年2月10日
令和3年2月15日
- 受託事業者から市に対し、「アクセスログの解析により、個人情報が含まれる情報への参照が確認された旨、詳細な影響範囲については継続調査中である旨」報告あり。
- 市ホームページにおいて第二報を公表。
令和3年4月9日
- 受託事業者から市に対し、アクセスログの解析結果について報告あり。
- 受託事業者において、NISCが今回の事象に対する対策として提示しているSalesforce設定等の全面見直しを実施し、システム環境の再整備を完了。
令和3年4月16日
再発防止策について
受託事業者に対してセキュリティ対策の徹底を求めるとともに、本市におきましても、セキュリティ対策の一層の強化を図り、再発防止に努めてまいります。
