2021-05-06
お知らせ

「Skill Shift」不正アクセスによる情報流出に関する調査結果およびサービス再開のお知らせ(第三報)

平素より、当社のサービスをご利用いただき、誠にありがとうございます。

このたび、当社が運営する「Skill Shift」(以下「本件Webサイト」といいます)におきまして、悪意ある第三者による不正アクセスにより、個人会員様に関する情報の流出の可能性が判明し、皆様にご迷惑とご心配をおかけいたしておりますこと心よりお詫び申し上げます。

2021年4月9日の第一報後、本件について、外部の情報セキュリティ専門機関による原因調査および再発防止策の検討を行ってまいりました。また、2021年4月23日付「Skill Shift」不正アクセスによる情報流出に関するお知らせとお詫び(第二報)にて、調査結果および再発防止策について、暫定的にご報告いたしました。

本件について、予定しておりました全ての原因調査が完了するとともに、再発防止策を実施いたしました。さらに、サービス再開に向けて、外部の情報セキュリティ専門機関によるセキュリティ診断等を行い、情報管理の安全性が確認できましたので、本日サービスの再開をお知らせいたします。

1.経緯について

(1)本件Webサイトについて

本件Webサイトは、副業をお探しの個人の会員様(以下「個人会員様」といいます)の方々にご登録をいただき、運営させていただいております。

このたびの第三者による不正アクセスにより、個人会員様が本件Webサイトにご登録および掲載された情報につき、サーバー内の画像データおよび各種ファイルを格納するフォルダが削除されました。またそれに伴い、情報が流出した可能性があります。なお、削除されたファイル等の復旧を試みましたが、完全に復旧することが不可能であると判明致しました。

 

(2)これまでの経緯

悪意ある第三者の不正アクセスが判明したことに関する経緯は以下のとおりでございます。いずれも2021年の事象でございます。

・4月5日 

悪意ある第三者(属性不明)が、本件Webサイトに対し不正アクセスを実行。

※後日の調査により、不正アクセスは、3月19日から4月5日の間の期間において5回実行されており、4月5日のアクセスにより、不正に当社が保有する情報にアクセスされていることが判明。

・4月6日

当社において、本件Webサイトのデータの一部が欠損していることを確認し、ただちに、本件Webサイトを停止。社内調査を行ったところ、以下の流出の可能性が疑われるファイル等を格納する箇所において、第三者による不正アクセスされたことの痕跡があることが判明。

社内において、不正アクセスによる情報流出可能性を調査。

悪意ある第三者による不正アクセスの可能性が高いことから、所轄警察署、個人情報保護委員会および関係各所に対し、第一報を相談、報告。

  

・4月8日 

外部の情報セキュリティ専門機関によるフォレンジック調査を依頼。

外部の情報セキュリティ専門機関によるセキュリティ診断を依頼。

  

・4月9日 

「不正アクセスによる情報流出に関するお知らせとお詫び」を開示。

  

・4月19日 

外部の情報セキュリティ専門機関によるセキュリティ診断完了。

診断結果に基づく対応を開始。

  

・4月22日 

外部の情報セキュリティ専門機関によるフォレンジック調査完了。

  

・4月23日

「「Skill Shift」不正アクセスによる情報流出に関するお知らせとお詫び(第二報)」を開示

・4月24日~5月5日

再発防止策の実施およびサービス再開に向け、本件Webサイトの外部の情報セキュリティ専門機関によるセキュリティ再診断を実施

不正アクセスの判明いたしました4月6日以降、当社は、更なる被害拡大の防止および調査の実施のため、本件Webサイトを停止しておりました。再発防止策の実施、外部の情報セキュリティ専門機関によるセキュリティ診断等を行い、情報管理の安全性が確認できましたので、本日よりサービスを再開いたします。

 

2.流出の可能性が疑われる情報

対象者:

個人会員様 2,456名分

対象となる情報:

・副業求人に応募する際の「応募フォーム」上において、個人会員様が企業側に提出される際にご利用いただく「職務経歴書やポートフォリオなどの添付ファイル」欄にアップロードされたファイル(例:履歴書、職務経歴書など) 1,053名分

・個人会員様がご登録プロフィールとして設定された画像 1,965名分

 

なお、本件Webサイトにご登録時に入力いただきましたお名前、生年月日、メールアドレス、携帯連絡先、パスワード等の情報については、情報流出の可能性はございません。

 

3.原因について

外部の情報セキュリティ専門機関の調査の結果、本件Webサイト内において、流出の疑いのある情報が格納されていた領域(以下「対象領域」といいます)のセキュリティ設定および権限設定に不備があったため、悪意ある第三者が不正アクセスできる状況でありました。なお、外部の情報セキュリティ専門機関の調査の結果、対象領域以外からの情報流出の可能性がないことを確認しております。

 

4.対象の会員様について

情報流出の疑いがある個人会員様に対しましては、個別にご連絡申し上げております。個人会員様におかれましては、誠に恐縮ではございますが、不審なメールや連絡等にご注意いただきますようお願い申し上げます。

 

5.再発防止策について

当社では、今後、同様の事態の再発を防止するために、外部の情報セキュリティ専門機関によるセキュリティ診断を実施し、セキュリティ強化措置を実行するとともに、再発防止策として以下の措置を実施致しております。

(1)情報管理体制の強化

  ・情報管理規程の見直しによる情報種別に応じた情報格納体制の強化

  ・情報の秘密管理指針の明確化(付与アカウントの精査、アクセス権限設定の見直しなど)

  ・保有情報のバックアップ体制の強化(バックアップポリシー・復旧計画の策定)

  ・内部監査体制の強化

(2)早期検知・対処の強化

  ・サービスの運用監視体制の整備

  ・定期的なシステムセキュリティ診断の実施

  ・セキュリティツールを活用した監視体制の強化 

このたびは、個人会員様および関係者様にご心配、ご迷惑をおかけすることになり、重ねてお詫び申し上げます。

 

6.本件Webサイトの再開について

本件の事象を受け、本件Webサイトの運営を停止しておりましたが、上記の再発防止策を実施し、サービス再開に向けて、外部の情報セキュリティ専門機関によるセキュリティ診断等を行いました。これらを経て、情報管理の安全性が確認できましたので、本日、本件Webサイトの運営を再開させていただきます。

  

 再開日  2021年5月6日

 再開時刻 16時00分

なお、本件Webサイトの運営を再開いたしましても、引き続き本件事象のお問合せにつきましては、以下の窓口にて、ご対応をさせていただきますのでご安心いただければと存じます。

 

【本件に関するお問い合わせ先】

専用相談窓口

受付時間:10:00~18:00(土日祝除く)

メールアドレス(個人会員様):ss_usersupport@mirai-works.co.jp

メールアドレス(企業会員様およびパートナー様):ss_clsupport@mirai-works.co.jp

電話番号:03-5860-1837

第一報のお知らせについて
https://www.mirai-works.co.jp/pressrooms/news416


第二報のお知らせについて
https://www.mirai-works.co.jp/pressrooms/news420