- 元記事:不正アクセスによる個人情報漏洩のお詫びとご報告
- HP : マルミミ
| 会社名 | 株式会社マルミミ |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | メール配信システム |
| 漏洩場所 | 社外 |
| 漏洩内容 | メールアドレス |
| 漏洩件数 | 613件 |
| 漏洩日時 | 2023/12/12 |
| 発表日時 | 2023/12/15 |
マルミミにてメールマガジン配信システムへの不正アクセスにより個人情報が流出。同社が委託されて運用している「千葉県立君津亀山青少年自然の家」のWebサイトのWebサーバにインストールしていたメールマガジン配信システムが不正アクセスを受け、システムに登録されていたメールアドレスがCSVファイル形式でダウンロードされたことにより個人情報が流出した。
「千葉県立君津亀山青少年自然の家」から、メールマガジンが不正操作されて、メールが配信された旨の連絡があり、同社にてアクセスログの解析などを行った結果、メールマガジン配信システムへの不正アクセスと不正操作されていたことが発覚。不正操作によりユーザーパスワードや配信元、件名などが書き換えられて同社が配信しているきみかめ通信として配信されていたことが判明した。また、メールアドレスがダウンロードされた形跡も確認された。なお、当該システムにメールアドレス以外の住所、氏名などの個人情報は含まれておらず、個人情報の不正利用や被害などは現時点では確認されていない。
事態発覚後、同社はパスワード変更を行うとともに、Webサーバから当該メールマガジン配信システムを削除した。当該システムは2010年に運用開始したが、2023年2月1日の配信を最後に終了していたが、システムをWebサーバ上に配信可能な状態で保存し、さらに当該システムの開発会社から脆弱性の報告とアップデートの案内があったにもかかわらず当該システムのアップデートを行わずに未使用のままシステムを放置していたことが原因としている。
同社は千葉県立君津亀山青少年自然の家及び千葉県教育庁教育振興部生涯学習課に不正アクセスについての詳細報告を行った。今後は外部開発システムを利用する際にはクライアントへの運用確認、開発会社からの情報提供の確認と最新版への状態保持、個人情報や機密情報の取り扱いに関するセキュリティ対策、定期的なバックアップや更新などの再発防止に取り組むとしている。