平素は弊法人の運営に格別のご支援を賜り、感謝申し上げます。
弊法人ウェブサイトにおいて、オンラインセミナーなどへの参加申込フォームの入力情報が履歴として保存されており、975名分の氏名・メールアドレス・所属先に関する情報にアクセスをされた可能性について、第1報に続き、追加的な調査・対策を行いましたので、その内容についてご報告申し上げます。
【1.会員個人情報漏えいの可能性ついて】
外部のセキュリティ専門事業者の協力のもと、弊法人のウェブサイトがハッキングされた被害発生時点(2023年7月29日)以降において、ダークウェブ上で商取引等を行うダークネット・マーケット(以下、『ダークマーケット』))を対象として、該当する会員個人情報の漏えい状況を調査いたしました。
その結果、被害発生時点以降で、本件に関する会員個人情報が漏えいしている事態は見受けられない状況であり、本報告時点では幣法人の事案が直接原因となる情報漏えいのリスクは非常に低いと考えております。
一方、被害発生以前の時点で、ダークマーケットにおいて、本件とは全く関係のない経路を通して、一部会員のメールアドレス等が共有されている状況も把握しました。
該当する会員の皆様には別途個別に事務局より連絡を差し上げる予定です。
【2.ウェブサイトのセキュリティ対策の見直し】
本事案を受け、幣法人ウェブのドメイン(m-isac.jp)を対象として、外部のセキュリティ専門事業者の協力の下で、脆弱性診断等のセキュリティ評価を改めて実施しました。
その結果、深刻な課題は存在しないものの、一部のウェブ脆弱性に関する問題が発覚したため、当該問題についてはすでに対策を完了いたしました。
なお、2023年8月6日以降ウェブサイトは正常に機能しております。
また、現時点での個人情報被害の状況からは、個人情報保護委員会への届け出は予定しておりません。
今後も引き続き状況を監視分析し、今後1,2か月後を目途に、再発防止対策も含め、最終報告を行わせて頂く予定です。
ご迷惑をおかけして大変申し訳ございません。
何卒ご理解くださいますようお願い申し上げます。
令和5年8月21日
一般社団法人 医療ISAC