クラウド型システムへの第三者によるアクセスの可能性について

Posted by
WaterAid Japan
on
22 February 2021

平素よりウォーターエイドジャパンの活動にご理解、ご支援を賜り、厚く御礼申し上げます。このたび当団体のご支援者様の情報を管理している社外のクラウド型顧客管理システムに第三者によるアクセスがあったことが判明いたしました。 

ここにご報告をするとともに、当団体の活動に共感いただき、信頼し、ご支援くださった皆さまにご心配をおかけし、心よりお詫び申し上げます。 

本件につきましては、後記のお問い合わせ専用窓口を開設いたしました。また、外部の第三者からのアクセスが可能であった情報に該当する方々には、本年2月22日にメールを送信しご報告しております。 

 

【経緯】 

昨年末以降、当団体と同じクラウド型管理システムを使用している複数の大手企業や全国の自治体等の公的機関において、セキュリティシステムの設定に関する問題によって外部の第三者からのアクセスが確認されたとの報道がありました。 

そこで、当団体が依頼したシステム事業者が調査を実施したところ、本年1月6日、当団体のご支援者様の情報の一部につき、外部の第三者が特殊な方法によりアクセスできる状態であったことが判明しました。そのため、当団体は直ちに外部からのアクセスを防止する対応措置を実施しました。 

現時点までの詳しい調査の結果、以下のとおり、実際にアクセスされた可能性を確認しています。 

 

【第三者からアクセスの可能性があった情報】 

・アクセスが可能であった件数:5151件 

*この5151件は、2016年9月5日から2020年7月19日の間に、当団体のオンライン寄付申込フォームから寄付を申し込んだ方々に関する情報です。寄付申込フォームからのお申込み後、ご寄付の払込みをされていない方も含まれます。
*この5151件に該当するご支援者様に2021年2月22日付けでご報告のメールをお送りいたしました。 
*当団体のイベントにご参加くださった方々、お問合せや資料請求をいただいた方々、オンライン寄付フォームを使わずに金融機関の振り込みや郵便振替用紙でご寄付くださった方々、ボランティア・スピーカークラブの方々、メールマガジンご登録者様の各情報はアクセスの対象外であることを確認しています。 

・実際にアクセスが確認された件数:1000件 

*技術上の問題のため、実際にアクセスされたご支援者様を具体的に特定するには至っておりません。 

・アクセスを確認した期間:2020年12月24日20時53分から25日0時25分(海外のIPアドレスからアクセス) 

・アクセスの可能性がある情報:氏名、住所、電話番号、メールアドレス、生年月日、ご寄付の履歴

*クレジットカード情報、金融機関情報は、決済代行会社のシステムで管理されており、アクセスを受けていません。 

 

【原因】 

システム利用におけるセキュリティ仕様・設定に関する不具合

*内閣官房内閣サイバーセキュリティセンターの注意喚起に関連するものです。 
https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf 

 

【現時点で実施している対応と再発防止策】 

・ご支援者様の情報が、外部の第三者からアクセスできる状態であったことが判明した後、直ちに外部からのアクセスを防止する対応措置を実施いたしました。 

・当団体より、個人情報保護委員会を含めた関係各所への報告を随時実施しております。 

・再発防止のため、クラウド管理システム全般のセキュリティチェックを実施して他に問題がないことを確認しました。今後も最新のセキュリティ情報の収集に努め、適切なセキュリティ対策を実施いたします。 

 

【ご支援者様へのお願い】 

・本日までに、本件の影響によるご支援者様への被害等は確認されておりませんが、不審な電話・メールにご注意ください。 

・万一、不審なメールを受信した場合、「メールを開かない・添付ファイルを開かない・メール内URLをクリックしない」などのご対応をお願いいたします。 

・下記の警察庁のウェブサイトでは不審な電話の手口や対策が紹介されていますので、こちらもご参照ください。 

http://www.npa.go.jp/bureau/safetylife/sos47/case/

 

当団体では、今回の事態を真摯に受け止め、システム利用のセキュリティ管理の強化により一層努めてまいります。このたびは、ご支援くださった皆さまに多大なご迷惑、ご心配をおかけしてしまいましたこと、重ねて深くお詫び申し上げます。 

 

2021年2月22日 

特定非営利活動法人ウォーターエイドジャパン 

 

<本件に関する問い合わせ窓口 >  

特定非営利活動法人ウォーターエイドジャパン 

専用お問い合わせ窓口 

TEL  03-6555-2707(受付時間 平日10:00~18:00) 

お問い合わせフォーム 

*ご支援者様のお問い合わせへの対応に専念いたしたく、ご支援者様ではない方からのお問い合わせはお控えくださいますようお願いいたします。