外部サーバーを利用した「作図受発注システム」に対する外部からの
不正なアクセスの発生について
東京ガス株式会社
広 報 部
平成17年8月22日
東京ガス株式会社は、お客さまからご要望いただいた※東京ガス温水システムの設置に関する作図業務を、協力企業(計5社)に委託しております。また、業務の委託に際しては、平成14年11月から弊社独自のシステムである「作図受発注システム」を使用して、協力企業への作図指示書の受渡しを行っておりますが、このたび、同システムに外部から不正にアクセスされる事態が発生し、本日、独立行政法人
情報処理推進機構セキュリティーセンターに被害情報の届出を提出いたしました。
なお、同システムは弊社のネットワークシステムと連係しない独立したシステムであることから、他のシステムへの影響も一切ないことを確認しております。
弊社といたしまして、お客さまに大変ご迷惑、ご心配をおかけすることになりましたことを心からお詫び申し上げます。
※東京ガス温水システム・・温水を利用して床暖房を含む暖房、風呂追い炊き、給湯などを行なうシステム。
「作図受発注システム」は、その運営管理を関係会社である株式会社ティージー情報ネットワーク(東京ガス100%出資子会社、本社:東京都新宿区)に委託しており、外部レンタルサーバーの一部を利用し運用しているシステムです。通常業務においては、弊社が同システムに入力した作図指示書を、受注先である各協力企業が同サーバーにアクセスして受取り、作図を行っております。
弊社ならびに潟eィージー情報ネットワークが調査を行い、このたびの不正アクセスによりプログラムの破壊や保管データの改ざん等の被害が発生していないことを確認いたしました。なお同システムには、建物の名称や仮称工事名等で管理された2,885件の作図指示書(床暖房・浴室暖房設置状況、温水配管状況等)が登録されており、その中に27人分のお客さま情報(住所、氏名、作図指示内容)が含まれておりました。該当するお客さま情報の不正なアクセスによる閲覧等の発生については、アクセス状況、登録データの内容からその可能性はきわめて低いと判断しておりますが、完全に否定することができない状況です。
なお、これまでに該当するお客さま情報が外部に流出し利用された事実は確認されておりません。
弊社は、本日までに該当される27人のお客さまに個別に連絡し、このたびの事情を説明するとともに、お詫びさせていただきました。
弊社といたしましては、お客さま情報の保護ならびに情報セキュリティの確保をきわめて重要な事項と認識しており、このたびの事態の発生を真摯に受け止め、委託先企業とも連携して再発の防止に努めてまいります。
お客さまには大変なご迷惑、ご心配をおかけすることになりましたことを重ねてお詫び申し上げますとともに、ご理解を賜りますようお願い申し上げます。
1.「作図受発注システム」に登録されていた件数
(1)お客さまの住所、氏名を含む登録件数
: 27件
(2)建物名称、仮称工事名等による登録件数
: 2,858件
合計
: 2,885件
2.経緯
(1)平成17年8月11日(木)、「作図受発注システム」の管理業務委託先である潟eィージー情報ネットワークから、同システムに以下のとおり同社の管理する管理者IDとパスワードを利用した不正なアクセスが発生した旨の報告を受けました。
<1>8月10日(水)21:11〜21:35の間に1回の不正なアクセスを確認。システム上でチャットを稼動するプログラムをダウンロードして実行したため、システムの稼動を停止した。
(2)平成17年8月15日(月)、潟eィージー情報ネットワークからその後の調査の結果、以下の不正なアクセスが発生していた旨の報告を受けました。
<1>8月3日(水)、8月4日(木)、8月9日(火)にも不正なアクセスが発生していたことを確認。いずれも管理者IDを利用しており、アクセスの行為のみで、プログラムの実行等も行われていないため、その時点で不正とは判断できずシステムの停止等の措置も行っていなかった。 <2>本年6月26日(日)に外部レンタルサーバー本体への不正なアクセスが発生し、弊社も6月27日(月)には「作図受発注システム」への被害は発生していない旨の報告を受けていた。このたびの調査により、当時、外部レンタルサーバー全体の管理者権限が1時間程度奪われていたことが判明し、その間にサーバー利用者の管理者IDの情報が盗まれ、解読された上で8月の不正なアクセスに至った可能性が高いことを推察した。
3.不正なアクセスと確認した根拠
8月10日に発生した不正なアクセスについては、その時間帯に、本来の管理者による管理者IDの利用が行われていないこと。アクセス後、「作図受発注システム」内でチャットプログラムの実行が行われていたこと。また、同システムは、弊社の業務上での利用に限定されることからアクセスルートは限定された範囲で記録されます。不正と確認されたアクセスは、管理者IDとパスワードを利用しておりましたが、いずれもアクセスルートが海外の同一プロバイダー経由と記録されていたことから不正なアクセスであると判断いたしました。
4.不正なアクセスの発生に至った要因
6月26日に発生したレンタルサーバー全体への不正なアクセスによる影響の予測等、事態の認識が不十分であり、その後の適切な防護措置を講じることができなかったため。
5.被害の状況
このたびの不正なアクセスによりプログラムの破壊や保管データの改ざん等の被害が発生していないことを確認しました。また、登録内容の閲覧等については、アクセス状況、登録データの内容からその可能性はきわめて低いと判断しました。なお、これまでに該当するお客さま情報が外部に流出し利用された事実は確認されておりません。
6.今後の対応
(1)再発の防止策
以下のとおり再発の防止策に取り組み、早急に実施してまいります。
<1>入力内容の徹底
同システムに住所・氏名等の情報の入力を行わないよう周知徹底を図る。
<2>利用する外部レンタルサーバーの変更
利用する外部レンタルサーバーの再選定を行い、セキュリティレベルのより高いサーバーへの変更を実施する。また、「作図受発注システム」本体のセキュリティの再構築を行い、セキュリティレベルの向上を図る。(11月から変更予定)
(2)当面の対応
再発の防止策が完了するまでの間、「作図受発注システム」の稼動を停止するとともに、登録されているデータの消去を行いました。なお、作図委託業務における指示書の受渡しについては、メー
ル・FAXを利用した方法により対応してまいります。
|