平素は弊法人の運営に格別のご支援を賜り、感謝申し上げます。
弊法人ウェブサイトにおいて、オンラインセミナーなどへの参加申込フォームの入力情報が履歴として保存されており、975名分の氏名・メールアドレス・所属先に関する情報にアクセスをされた可能性について、第2報に続き、追加的な調査・対策を行いましたので、その内容についてご報告申し上げます。
【1.会員個人情報漏えいの可能性ついて(続報)】
第2報で報告させていただきました通り、外部のセキュリティ専門事業者の協力のもとで、弊法人のウェブサイトがハッキングされた被害発生日(2023年7月29日)以降の期間にて、継続的にダークウェブ上で商取引等を行うダークネット・マーケット(以下、「ダークマーケット」)を対象として、該当する会員個人情報の漏えい有無を調査しております。
その結果、現時点においても、幣法人の事案が直接原因となる情報漏えいは見当たっておらず、当初懸念された情報漏えいのリスクは極めて低いと考えております。
【2.再発防止策について(追加施策)】
第2報でお伝えした、幣法人ウェブのドメイン(m-isac.jp)を対象とした脆弱性診断等の取組に加え、ウェブサイトをCDN(Contents Delivery Network)上へ移行し、外部からの不適切なアクセスの制限設定を講じるとともに、管理画面へのアクセス管理対策の強化をあわせて行いました。
また、加えて参加申込フォームの入力情報についてもウェブサイト上には保存しない設定・運用を実施しております。
以上の報告を持ちまして、本事案の最終報告とさせていただきますので、何卒ご理解くださいますようお願い申し上げます。
この度はご迷惑をおかけして大変申し訳ございませんでした。
今後とも、弊法人の活動への変わらぬご協力をお願い申し上げます。
令和5年9月25日
一般社団法人 医療ISAC
代表理事 深津 博