6563 M-みらいワークス 2021-05-06 16:00:00
不正アクセスによる情報流出に関する調査結果およびサービス再開のお知らせ [pdf]
2021 年 5 月 6 日
各 位
会社名 株式会社みらいワークス
代表者名 代表取締役社長 岡本 祥治
(コード番号:6563 東証マザーズ)
不正アクセスによる情報流出に関する調査結果およびサービス再開のお知らせ
このたび、当社が運営する「Skill Shift」(以下「本件 Web サイト」といいます)におきまして、
悪意ある第三者による不正アクセスにより、個人会員様に関する情報の流出の可能性が判明し、皆様に
ご迷惑とご心配をおかけいたしておりますこと心よりお詫び申し上げます。
2021 年 4 月 9 日の第一報後、本件について、外部の情報セキュリティ専門機関による原因調査および
再発防止策の検討を行ってまいりました。また、別添の 2021 年 4 月 23 日付「Skill Shift」不正アク
セスによる情報流出に関するお知らせとお詫び(第二報)にて、調査結果および再発防止策について、
暫定的にご報告いたしました。
本件について、予定しておりました全ての原因調査が完了するとともに、再発防止策を実施いたしま
した。さらに、サービス再開に向けて、外部の情報セキュリティ専門機関によるセキュリティ診断等を
行い、情報管理の安全性が確認できましたので、本日サービスの再開をお知らせいたします。
記
1. 経緯について
⑴ 本件 Web サイトについて
本件 Web サイトは、副業をお探しの個人の会員様(以下「個人会員様」といいます)の方々にご登
録をいただき、運営させていただいております。
このたびの第三者による不正アクセスにより、個人会員様が本件 Web サイトにご登録および掲載さ
れた情報につき、サーバー内の画像データおよび各種ファイルを格納するフォルダが削除されまし
た。またそれに伴い、情報が流出した可能性があります。なお、削除されたファイル等の復旧を試み
ましたが、完全に復旧することが不可能であると判明致しました。
⑵ これまでの経緯
悪意ある第三者の不正アクセスが判明したことに関する経緯は以下のとおりでございます。いずれ
も 2021 年の事象でございます。
・4 月 5 日 悪意ある第三者(属性不明)が、本件 Web サイトに対し不正アクセスを実行。
※後日の調査により、不正アクセスは、3 月 19 日から 4 月 5 日の間の期間において 5
回実行されており、4 月 5 日のアクセスにより、不正に当社が保有する情報にアク
セスされていることが判明。
・4 月 6 日 当社において、本件 Web サイトのデータの一部が欠損していることを確認し、ただち
に、本件 Web サイトを停止。社内調査を行ったところ、以下の流出の可能性が疑われ
るファイル等を格納する箇所において、第三者による不正アクセスされたことの痕跡
があることが判明。
社内において、不正アクセスによる情報流出可能性を調査。
悪意ある第三者による不正アクセスの可能性が高いことから、所轄警察署、個人情報
保護委員会および関係各所に対し、第一報を相談、報告。
・4 月 8 日 外部の情報セキュリティ専門機関によるフォレンジック調査を依頼。
外部の情報セキュリティ専門機関によるセキュリティ診断を依頼。
・4 月 9 日 「不正アクセスによる情報流出に関するお知らせとお詫び」を開示。
・4 月 19 日 外部の情報セキュリティ専門機関によるセキュリティ診断完了。
診断結果に基づく対応を開始。
・4 月 22 日 外部の情報セキュリティ専門機関によるフォレンジック調査完了。
・4 月 23 日 「「Skill Shift」不正アクセスによる情報流出に関するお知らせとお詫び(第二
報)」を開示
・4 月 24 日~5 月 5 日 再発防止策の実施およびサービス再開に向け、本件 Web サイトの外部の情
報セキュリティ専門機関によるセキュリティ再診断を実施
不正アクセスの判明いたしました 4 月 6 日以降、当社は、更なる被害拡大の防止および調査の実施
のため、本件 Web サイトを停止しておりました。再発防止策の実施、外部の情報セキュリティ専門機
関によるセキュリティ診断等を行い、情報管理の安全性が確認できましたので、本日よりサービスを
再開いたします。
2. 流出の可能性が疑われる情報
対象者 :個人会員様 2,456 名分
対象となる情報:・副業求人に応募する際の「応募フォーム」上において、個人会員様が企業側に
提出される際にご利用いただく「職務経歴書やポートフォリオなどの添付ファ
イル」欄にアップロードされたファイル(例:履歴書、職務経歴書など)
1,053 名分
・個人会員様がご登録プロフィールとして設定された画像
1,965 名分
なお、本件 Web サイトにご登録時に入力いただきましたお名前、生年月日、メールアドレス、携帯
連絡先、パスワード等の情報については、情報流出の可能性はございません。
3.原因について
外部の情報セキュリティ専門機関の調査の結果、本件 Web サイト内において、流出の疑いのある情
報が格納されていた領域(以下「対象領域」といいます)のセキュリティ設定および権限設定に不備
があったため、悪意ある第三者が不正アクセスできる状況でありました。なお、外部の情報セキュリ
ティ専門機関の調査の結果、対象領域以外からの情報流出の可能性がないことを確認しております。
4.対象の会員様について
情報流出の疑いがある個人会員様に対しましては、個別にご連絡申し上げております。個人会員様
におかれましては、誠に恐縮ではございますが、不審なメールや連絡等にご注意いただきますようお
願い申し上げます。
5.再発防止策について
当社では、今後、同様の事態の再発を防止するために、外部の情報セキュリティ専門機関によるセ
キュリティ診断を実施し、セキュリティ強化措置を実行するとともに、再発防止策として以下の措置
を実施致しております。
⑴ 情報管理体制の強化
・情報管理規程の見直しによる情報種別に応じた情報格納体制の強化
・情報の秘密管理指針の明確化(付与アカウントの精査、アクセス権限設定の見直しなど)
・保有情報のバックアップ体制の強化(バックアップポリシー・復旧計画の策定)
・内部監査体制の強化
⑵ 早期検知・対処の強化
・サービスの運用監視体制の整備
・定期的なシステムセキュリティ診断の実施
・セキュリティツールを活用した監視体制の強化
このたびは、個人会員様および関係者様にご心配、ご迷惑をおかけすることになり、重ねてお詫び
申し上げます。
6.本件 Web サイトの再開について
本件の事象を受け、本件 Web サイトの運営を停止しておりましたが、上記の再発防止策を実施し、
サービス再開に向けて、外部の情報セキュリティ専門機関によるセキュリティ診断等を行いました。
これらを経て、情報管理の安全性が確認できましたので、本日、本件 Web サイトの運営を再開させて
いただきます。
再開日 2021 年 5 月 6 日
再開時刻 16 時 00 分
なお、本件が当社の業績に与える影響は軽微です。
本件 Web サイトの運営を再開いたしましても、引き続き本件事象のお問合せにつきましては、以下の
窓口にて、ご対応をさせていただきますのでご安心いただければと存じます。
【本件に関するお問い合わせ先】
専用相談窓口
受付時間:10:00~18:00(土日祝除く)
メールアドレス(個人会員様):ss_usersupport@mirai-works.co.jp
メールアドレス(企業会員様およびパートナー様):ss_clsupport@mirai-works.co.jp
電話番号:03-5860-1837
以上
別添
2021 年4月 23 日
お知らせ
「Skill Shift」不正アクセスによる情報流出に関するお知らせとお詫び(第二報)
平素より、当社のサービスをご利用いただき、誠にありがとうございます。
このたび、当社が運営する「Skill Shift」(以下「本件 Web サイト」といいます)におきまして、
悪意ある第三者による不正アクセスにより、個人会員様に関する情報の流出の可能性が判明し、皆様に
ご迷惑とご心配をおかけいたしておりますこと心よりお詫び申し上げます。
2021 年 4 月 9 日の第一報後、本件について、外部の情報セキュリティ専門機関による原因調査及び再
発防止策の検討を行ってまいりました。その結果につきまして、以下のとおりご報告申し上げます。
1. 経緯について
⑴ 本件 Web サイトについて
本件 Web サイトは、副業をお探しの個人の会員様(以下「個人会員様」といいます)の方々にご登
録をいただき、運営させていただいております。
このたびの第三者による不正アクセスにより、個人会員様が本件 Web サイトにご登録及び掲載され
た情報につき、サーバー内の画像データ及び各種ファイルを格納するフォルダが削除されました。ま
たそれに伴い、情報が流出した可能性があります。なお、削除されたファイル等の復旧を試みました
が、完全に復旧することが不可能であると判明致しました。
⑵ これまでの経緯
悪意ある第三者の不正アクセスが判明したことに関する経緯は以下のとおりでございます。いずれ
も 2021 年の事象でございます。
・4 月 5 日 悪意ある第三者(属性不明)が、本件 Web サイトに対し不正アクセスを実行。
※後日の調査により、不正アクセスは、3 月 19 日から 4 月 5 日の間の期間において 5
回実行されており、4 月 5 日のアクセスにより、不正に当社が保有する情報にアク
セスされていることが判明。
・4 月 6 日 当社において、本件 Web サイトのデータの一部が欠損していることを確認し、ただち
に、本件 Web サイトを停止。社内調査を行ったところ、以下の流出の可能性が疑われ
るファイル等を格納する箇所において、第三者による不正アクセスされたことの痕跡
があることが判明。
社内において、不正アクセスによる情報流出可能性を調査。
悪意ある第三者による不正アクセスの可能性が高いことから、所轄警察署、個人情報
保護委員会及び関係各所に対し、第一報を相談、報告。
・4 月 8 日 外部の情報セキュリティ専門機関によるフォレンジック調査を依頼。
外部の情報セキュリティ専門機関によるセキュリティ診断を依頼。
・4 月 9 日 「不正アクセスによる情報流出に関するお知らせとお詫び」を開示。
・4 月 19 日 外部の情報セキュリティ専門機関によるセキュリティ診断完了。
診断結果に基づく対応を開始。
・4 月 22 日 外部の情報セキュリティ専門機関によるフォレンジック調査完了。
不正アクセスの判明いたしました 4 月 6 日以降、当社は、更なる被害拡大の防止及び調査を実
施のため、本件 Web サイトを停止しております。そのため、現在、本件 Web サイトをご利用でき
ない状況となっております。ご利用されておられます皆様におかれまして、ご迷惑をおかけして
おりますこと心よりお詫び申し上げます。
現在、本件 Web サイトの個人会員様に対し、本件に関して個別にご連絡させていただいてお
ります。
2. 流出の可能性が疑われる情報
対象者 :個人会員様 2,456 名分
対象となる情報:・副業求人に応募する際の「応募フォーム」上において、個人会員様が企業側に
提出される際にご利用いただく「職務経歴書やポートフォリオなどの添付ファ
イル」欄にアップロードされたファイル(例:履歴書、職務経歴書など)
1,053 名分
・個人会員様がご登録プロフィールとして設定された画像
1,965 名分
なお、本件 Web サイトにご登録時に入力いただきましたお名前、生年月日、メールアドレス、携帯
連絡先、パスワード等の情報については、情報流出の可能性はございません。
3.原因について
外部の情報セキュリティ専門機関の調査の結果、本件 Web サイト内において、流出の疑いのある情
報が格納されていた領域(以下「対象領域」といいます)のセキュリティ設定及び権限設定に不備が
あったため、悪意ある第三者が不正アクセスできる状況でありました。なお、外部の情報セキュリテ
ィ専門機関の調査の結果、対象領域以外からの情報流出の可能性がないことを確認しております。
4.対象の会員様について
情報流出の疑いがある個人会員様に対しましては、個別にご連絡申し上げております。個人会員様
におかれましては、誠に恐縮ではございますが、不審なメールや連絡等にご注意いただきますようお
願い申し上げます。
5.再発防止策について
当社では、今後、同様の事態の再発を防止するために、外部の情報セキュリティ専門機関によるセ
キュリティ診断を実施し、セキュリティ強化措置を実行するとともに、再発防止策として以下の措置
を実施いたします。
⑴ 情報管理体制の強化
・情報管理規程の見直しによる情報種別に応じた情報格納体制の強化
・情報の秘密管理指針の明確化(付与アカウントの精査、アクセス権限設定の見直しなど)
・保有情報のバックアップ体制の強化(バックアップポリシー・復旧計画の策定)
・内部監査体制の強化
⑵ 早期検知・対処の強化
・サービスの運用監視体制の整備
・定期的なシステムセキュリティ診断の実施
・セキュリティツールを活用した監視体制の強化
既に上記再発防止策を実行済のものもございます。これらの施策を実行し、二度と同様の事象が発
生しないように万全な情報管理を行う所存です。
このたびは、個人会員様及び関係者様にご心配、ご迷惑をおかけすることになり、重ねてお詫び申
し上げます。
6.本件 Web サイトの再開予定について
本件の事象を受け、本件 Web サイトの運営を停止しておりましたが、上記の再発防止策を実行のも
と、個人会員様の情報管理体制を強化いたしましたことから、本件 Web サイトの運営については、以
下の日程で、再開をさせていただくことを予定しております。
再開予定日 2021 年 5 月 6 日
再開予定時刻 16 時 00 分
なお、本件 Web サイトの運営を再開いたしましても、引き続き本件事象のお問合せにつきまして
は、以下の窓口にて、ご対応をさせていただきますのでご安心いただければと存じます。
【本件に関するお問い合わせ先(専用窓口)】
[受付時間] 10:00~18:00(土日祝除く)
[メールアドレス(個人会員様)] ss_usersupport@mirai-works.co.jp
[メールアドレス(企業会員様およびパートナー様)] ss_clsupport@mirai-works.co.jp
[電話番号] 03-5860-1837