不正アクセスによる一部データ流出の可能性に関するお詫びとお知らせ(第一報)
お知らせ 2018.06.26
各位
株式会社スタディスト
代表取締役 鈴木悟史
この度、弊社サーバーへの不正アクセスにより、弊社で管理しているデータの一部が外部に流出した可能性のあることが判明いたしました。お客様および関係者の皆様に多大なるご心配とご迷惑をおかけいたしますことを、深くお詫び申し上げます。
現在のところ当該情報を悪用された被害は確認されておりませんが、下記に詳細をご報告いたします。
■流出の可能性がある情報
・『Teachme Biz』でお客様により作成されたマニュアルの動画/静止画に対する補足文章の一部
■流出していないことが確定している情報
・表示用氏名、メールアドレス等のお客様情報
・『Teachme Biz』のログインに使用するID/パスワード
・マニュアルを構成するメインコンテンツ(動画/静止画)
■対象となりうるお客様
・2017年11月5日までにご利用開始いただき、現在もご利用中のお客様(最大1,071社)
なお、2018年6月26日午後1時現在、流出した情報の第三者による不正使用の事実は確認されておりません。
2. 経緯
本件の経緯は以下の通りです。
| 2018/06/21 19:37 | サーバーダウンによりサービスが停止。 ほぼ同時にサーバーダウンを検知し原因調査と復旧作業を開始。 |
| 2018/06/21 19:46 | サービス復旧を確認し、サーバーダウンの原因調査を継続。 |
| 2018/06/22 12:55 | 以下の不正アクセスの形跡を認識、調査を継続。 ・2018/06/21 18:19 一度目の不正アクセスが実行 ・2018/06/21 19:27 二度目の不正アクセスが実行 |
| 2018/06/22 15:00 | 認証キーを作成し直し、外部からのアクセスを制限。調査を継続。 |
| 2018/06/25 17:00 | 一部データ流出の可能性が発覚。 |
当該サーバーへのアクセスには、IPアドレスの制限、秘密鍵の設定、第三者機関による脆弱性診断等を実施、外部接続の場合はVPN接続、セキュリティ運用体制としては、情報セキュリティマネジメントシステム(ISMS)の国際規格である「ISO27001」およびISMSクラウドセキュリティ「ISO27017」に基づいた管理が行われてきましたが、今回のような事態が発生いたしました。原因等の詳細につきましては引き続き調査しております。
3.考えられる原因
現在調査をしております。
4. 対応
・サーバーに不正なファイルが埋め込まれた可能性を考慮し、サーバーを新設し、運用環境を再構築いたしました。
・サーバーへの認証キーを作成し直し、従来の認証キーを無効としました。
・通信に関するセキュリティルールを以前のものよりさらに厳格に設定することで不正アクセスの可能性を低減させました。
・ネットワーク監視をより強化し、要件を詳細に設定して、不正や異常を検知しやすくしました。
・今後、当月中に改ざん検知の仕組みを導入するなど、更なるセキュリティ強化を行っていきます。
5. 今後の対策
原因等の詳細に関しては、引き続き調査を行い、詳細が判明次第公表する予定です。調査結果をお待ちくださいますようお願い申し上げます。弊社では、このたびの事態を厳粛に受け止め、現状の総点検と再発防止の対策を速やかに講じる所存です。捜査機関にも相談し、原因の究明および対策に努めてまいります。
皆様にはご心配とご迷惑をおかけしておりますことを改めてお詫びするとともに、本件に関するお問い合わせにつきましては、以下の専用窓口へお問い合わせくださいますようお願いいたします。
<本件に関するお問い合わせ>
お客様各位
本件に関するお問い合わせ窓口
TEL:03-6206-9330 専用番号:080-1010-3622
https://biz.teachme.jp/question/contact/
報道関係各位
広報室 朝倉慶子
TEL:03-6206-9330
E-mail:info@studist.jp