本年2月22日に、本機構が管理している「がん治療認定医変更届システム」
(以下、「本システム」)より登録情報の一部が流出している可能性が判明したことから、
本機構では外部の民間調査機関に委託し、流出した情報の調査と把握を行いました。
このたびその結果について報告書を受領し、所轄警察署に被害届を提出いたしましたので、
以下のとおりご報告申し上げます。
がん治療認定医および関係者の皆さま方に多大なるご迷惑とご心配を
おかけいたしましたことを深くお詫び申し上げます。
1.流出した期間
2017年6月初旬から2018年2月22日
2. 原因
本システムの一部に脆弱性(アプリケーションのセキュリティ上の不備)があり、
この脆弱性に対して外部の第三者が不正な攻撃を行い、情報流出が発生しました。
また、この不正な攻撃による情報流出は、その後上記期間内に複数回にわたって
発生していたことが判明いたしました。
3.流出した情報 (外部の民間調査機関より得たデータを分析)
メールアドレスとログインパスワードの組合せ29,678件(計24,599名分)。
内訳は以下のとおりです。
なお、メールアドレスとログインパスワード以外の登録情報につきましては
本データに含まれておりませんでした。
1)認定期間中の「がん治療認定医」:18,378件(うち、11,395件は初期パスワードのまま)
2)認定期間終了となった「がん治療認定医」:699件(うち、615件は初期パスワードのまま)
3)「がん治療認定医」ではないが、過去にセミナーまたは試験に申し込んだ一部の方:5,522件(全て初期パスワードのまま)
4)上記1)のうち、最初に流出した後にメールアドレスあるいはパスワードを変更した方:5,079件
なお、2017年度に初めてセミナーまたは試験に申し込んだ方のデータは含まれておりませんでした。
また、「暫定教育医」、「認定研修施設」、「認定医更新申請」、「セミナー聴講」、
「テキスト販売」の情報につきましては、本システムとは別のシステムで運営しており、
情報は流出しておりません。
4.お願い
本システムに登録されていたパスワードを他のサービスでもご使用になられている方は、
すみやかにご変更くださいますようお願いいたします。
5.本機構の対応
本年2月22日に情報流出の可能性が判明したことにより、以下の対応を実施しております。
2月22日 「変更届システム」をクローズ(ネットワークから隔離)し、ホームページ(トップページ)にて公表
2月23日 情報処理推進機構(IPA)の標的型サイバー攻撃特別相談窓口に報告・相談
現委託先が管理するサーバ下にある全てのシステムに対して脆弱性診断および改修依頼
3月中旬~ 所轄警察署に相談
3月22日 「認定医名簿」をクローズ(ネットワークから隔離)
ホームページに「不正アクセスによる登録情報の流出に関するご報告とお願い」を掲載し、
3月末から4月初めにかけて、情報流出の可能性のある方全員にメールで周知
4月初旬~ 外部の民間調査機関に相談・調査依頼
5月末~ 外部の民間調査機関から調査報告を受領し、データ解析開始
6月中旬 システムセキュリティ専門会社に脆弱性診断実施を委託、報告書受領
新しい委託先に新システム(認定医申込・申請・管理)を構築することを決定
被害件数が確定し、所轄警察署に「不正アクセス被疑事件」として再度相談
7月中旬 所轄警察署に「被害届」提出(データは提出しておりません。)
6.再発防止への取り組み
現在、新しい委託先とセキュリティ強化および定期的な脆弱性診断実施を含めた
新システム構築に向けて取り組んでおります。
このたびの情報流出につきましては、未然にこのような事態を防ぐことができず、
多くの方々にご迷惑とご心配をおかけしましたこと、深くお詫び申し上げます。
また、事実確認とデータ解析に時間を要し、最終的なご報告が遅くなりましたこと、
重ねてお詫び申し上げます。
今後は新しいシステムおよびウェブサイトの構築につきまして、セキュリティ強化・管理を
徹底していく所存でございます。完成までご不便をおかけいたしますが、
何とぞご高配賜りますようお願い申し上げます。
本件に関するお問い合わせは、下記までお願いいたします。
お問い合わせ窓口(受付時間 平日 9:00~17:00)
一般社団法人日本がん治療認定医機構 事務局
電話番号 03-5361-7105 メールアドレス c-info@imic.or.jp