キャリアインキュベーションは当社で運用しているWebサイトが第三者による不正アクセスを受けたことを2021年11月24日に確認し、2021年11月26日に公表、2021年12月24日 に調査結果をご報告いたしました。
この度、外部の専門企業の協力のもと進めてまいりました調査の最終報告と、改めて当該調査および再発防止に向けた取り組みにつきましてご報告申し上げます。
弊社は、この度の不正アクセスについて重く受け止め、セキュリティ対策をより一層強化してまいります。ご利用いただいている皆さまにご心配とご迷惑をおかけいたしましたこと、重ねて深くお詫び申し上げます。
【最終のご報告】 2022年1月13日 11:00
本サーバーは攻撃者により不正な改ざんが行われ、サーバー内の情報についてアクセス可能な状態であったと思われます。そのため、サーバー内に存在していた情報が第三者に渡ってしまった可能性を否定できない状況です。
ただし現状確認できるログを調査した結果、不正な改ざんが確認できたのみで、実際に情報漏えいが発生したかの痕跡は確認できませんでした。
調査結果に基づき、今回の不正アクセスによる情報流出の可能性は極めて低いと判断しております。
しかしながら、一部の個人情報を6074件 程度webサーバー内へ保有しており、攻撃者が上記情報に到達できる経路が存在している状況でありました。これらの情報を攻撃者が取得したという明確な痕跡は確認されておりませんが、対象となる方へ改めてメールにてご報告させていたく予定です。メールは2022年1月中旬に送付予定です。
1.【確認された事象/原因】
当社Webサイトを運用するためのソフトウェアに脆弱性があり、そちらを経由して外部から不正アクセスを受けたことがわかりました。この不正アクセスによりWebサイトに改竄が行われ、一部のページがアクセス不能となる現象が発生しておりました。
<本インシデントのタイムライン>
2021年11月22日 16:21~ 不正アクセスが開始
2021年11月24日 03:10~ Webサイト改ざん開始
2021年11月24日 ~17:28 不正ファイル削除に伴い、改ざんを修正
<該当ページ>
https://www.careerinq.com
2.【想定される影響範囲】
本サーバーは攻撃者により不正な改ざんが行われ、サーバー内の情報についてアクセス可能な状態であったと思われます。そのため、サーバー内に存在していた情報が第三者に渡ってしまった可能性を否定できない状況です。ただし現状確認できるログを調査した結果、不正な改ざんが確認できたのみで、実際に情報漏えいが発生したかの痕跡は確認できませんでした。
3.【今後の対応/再発防止策】
情報セキュリティポリシー及び運用体制・方針の見直しを行い、再発防止に努めてまいります。
ご利用いただいている皆さまにおかれましては、ご迷惑およびご心配おかけいたしましたことを、重ねて深くお詫び申し上げます。
※現在、稼働中のサービスへの不正アクセスは確認されておらず、サービス運営への影響等はございません。
※今後は、外部のセキュリティ専門家の知見等も活用しながら、さらなるセキュリティ強化策の実施と本件に関する調査を継続し、新たにお知らせすべき内容が判明した場合は、速やかにご報告いたします。
※本件については所轄警察署へも状況を報告しております。
また、外部のセキュリティ専門家の協力のもと進めてまいりました最終報告が終了した2022年 1月13日時点で、個人情報保護委員会へも届け出をしております。
4.【本件に関するお問い合わせ】
本件に関しまして、ご不明な点等ございましたら、下記までご連絡くださいますよう、お願い申し上げます。
キャリアインキュベーション株式会社
[Mail]info@careerinq.com
※お問い合わせいただいた内容を確認・検討のうえ回答いたしますのでお時間をいただく場合がございます。
あらかじめご了承ください。
また今回の事象に関するご質問についての回答を用意させて頂きました。下記FAQをご確認頂けますと幸いでございます。
5.【FAQ】
Q.対象者は?
A.
[1]2016年10月2日〜2021年11月24日までにキャリアインキュベーションホームページ(https://www.careerinq.com)の応募フォームから登録いただいた方
※各種セミナー・相談会への応募も含まれます
[2]2014年5月〜7月開催の商社相談会に申し込まれた方
※[1][2]合わせて6074名となります。
※エグゼクティブサーチ専用WEBサイトからのご登録は対象外となります。
Q.サーバー内に保管されていた情報は何ですか?
A.以下の情報となります
・氏名
・生年月日
・卒業大学/大学院
・MBAスクール名/卒業年度/学費
・現在の社名/職種/入社年月
・資格
・携帯電話番号
・メールアドレス
・語学レベル
・第1希望職種
・第2希望職種
・現職年収
・ご質問/お問合せなど
・希望会社/希望職種
※2014年5月〜7月開催の商社相談会に申し込まれた方のみ上記に加えて以下情報が保管されております。
・性別
・年齢
・住所
・前職の職務経歴(会社名/所属部署/担当職務内容/入社年月/退職年月)
・上記以外の職歴
Q.個人情報を抹消してください
A.お手数をおかけしますが、下記メールアドレスにその旨をお知らせくださいますようお願い申し上げます。
[Email]info@careerinq.com
Q.何をどのように対応したらよいですか?
A.ご心配をおかけしており大変申し訳ございません。
念の為下記、ご注意くださいますようお願い申し上げます。
不審なメールを受信した場合は十分にご注意ください。
・受信したフィッシングメールは開封せずに削除
・メールを開かない
・添付ファイルを開かない
・メール内URLをクリックしない
Q.公表が遅れた理由は何ですか?
A.調査会社による「情報漏えいの有無」「原因」「影響範囲」が特定される前の不確定な情報の公開はいたずらに混乱を招いてしまう為、お客様へのご迷惑を最小限に食い止める為の対応準備を整えてからの告知が重要であると考え、調査結果を待ってから行うこととなりました。
今回の公表までお時間を要しましたこと、重ねてお詫び申し上げます。