不正アクセスによる個人情報流出に関するお詫びとお知らせ

2024-12-25

444株式会社

この度、弊社が運営する「TechFUL」において、サーバーへの不正アクセスにより、個人情報と重要情報の流出が疑われる事象が判明いたしました。

攻撃を受けたサーバーには、学生、学校、企業を含むTechFULユーザーの個人情報や重要情報が含まれていることが判明しております。

ユーザーおよび関係者の皆様には、多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

今後、このような事態が再発しないよう、セキュリティ対策を一層強化してまいります。

アナウンス更新情報

  • 2024年12月25日 初回アナウンス
  • 2025年1月24日
    • 2025年1月17日までの経緯を追加
    • 外部流出した個人情報 / 重要情報に項目ごとの最大流出件数を追加
    • 外部流出した個人情報 / 重要情報に流出した情報の詳細へのリンクを追加
    • 「アンダーグラウンドサイト調査結果」を追加
  • 2025年2月19日
    • 「今後の対応」の章を「再発防止のための対応」に変更し、対応内容を修正
    • 「パスワード変更のお願い」の章に「一定期間ご利用がないユーザーの退会処理」の記載を追加

経緯

  • 2024年12月11日
    • クラウド管理会社よりネットワーク不正活動のアラートメールを受信し、TechFULシステムの調査を開始
  • 2024年12月12日
    • 開発用サーバーへの不正侵入を確認し隔離作業を完了。侵入原因の調査を開始
  • 2024年12月13日
    • 開発用サーバー内のデータベースが破壊されていることを確認。また、機密データを公開しないことを条件に身代金を要求する文面を発見
    • 影響と被害内容の調査を開始
  • 2024年12月18日
    • 個人情報保護委員会と日本情報経済社会推進協会に速報を提出
  • 2024年12月25日
  • 2025年1月24日
  • 2025年2月19日
    • 再発防止対応が完了

外部流出した個人情報 / 重要情報

  • 項目 (詳細はこちらをご参照ください)
    • ユーザー情報 (全45,576件)
      • ログインID (45,576件)
      • ハッシュ化済みパスワード (45,576件)
      • 氏名 (42,463件)
      • ユーザー表示名 (39,090件)
      • 誕生日 (35,837件)
      • 所属 (45,497件)
      • 学籍番号 (457件)
      • 現住所 (311件)
      • 現住所 都道府県 (40,653件)
      • 休暇中住所 (17件)
      • キャリア希望 (42,963件)
      • キャリア情報 学歴・職歴 (42,964件)
      • スキル情報 (61件)
      • 自己PR (1,779件)
      • ログイン履歴 (45,576件)
      • セッション参加履歴 (33,414件)
      • 問題解答履歴 (38,378件)
      • 求人応募情報 (3,270件)
      • チャット履歴 (7,714件) 
      • フォームからのお問い合わせ内容 ※問い合わせ元メールアドレスを含む (174件)
    • 学校情報
      • 学校名、学部学科名
      • 作成した問題コンテンツ
    • 企業情報
      • 企業名、HP など会社基本情報
      • 窓口担当者の連絡先メールアドレス
      • 出稿した求人情報
  • 流出対象となるユーザー
    • 2023年8月13日以前に ユーザー登録を行ったTechFULユーザー(データベース件数:45,576アカウント)
    • 2023年8月13日以前に TechFULと契約した学校(データベース件数:475アカウント)
    • 2023年8月13日以前に TechFULと契約した企業(データベース件数:264アカウント)

※ 流出したデータは、2023年8月13日までにTechFULに入力された情報です。それ以降の情報は流出しておりません。

外部調査会社による流出状況の調査結果

外部流出した情報が第三者によって悪用された形跡がないか、外部の専門セキュリティ会社によるアンダーグラウンドサイト調査を行いました。

調査の結果、流出した情報が第三者によって悪用された形跡は現時点で確認されておりません。

原因

  • 本番データベースのデータを開発用途に利用しており、開発用サーバーのアクセス制御設定に不備があったため、外部から開発用サーバーに対し攻撃者による不正侵入を受けました

現状の対応

  • 不正侵入されたサーバーの隔離が完了しており、他サーバーや他システムへの被害拡大はありません
  • TechFULシステム内の他サーバーを調査し、不正侵入やデータ流出などの不審な形跡がないことを確認しました
  • 同様の不正侵入事故が発生しないよう、ネットワークやサーバーのアクセス設定を再確認しています

パスワード変更のお願い

今回のデータ外部流出により、お客様のパスワードを暗号化した情報(ハッシュ)が流出しています。

パスワードそのものが流出したわけではありませんが、悪意のある第三者が解読を試みる可能性があるため、

対象となる全てのユーザーに対してパスワードの再設定をお願いしております。

以下の手順に従って、速やかにパスワードの再設定をお願いいたします。

  1. TechFULにログイン
  2. 右上のアカウントボタンから「アカウント情報へ」をクリックし、アカウント情報ページを開く
  3. パスワード項目横 「変更はコチラ」リンクをクリックし、パスワードを変更するページを開く
  4. 「現在のパスワード」と「新しいパスワード」、「新しいパスワードの確認」を入力し、「更新する」ボタンをクリックする

対象となるユーザーは、2023年8月13日以前にユーザー登録を行い、2023年8月14日以降パスワードを変更していないユーザーとなります。

対象以外のユーザーはパスワードを変更する必要はありません。

また、一定期間(※18ヶ月を想定中)TechFULにログインしていないなど、今後もTechFULを利用されないと弊社で判断したユーザーについては退会処理を進めてまいります。

TechFULを今後も利用される場合は、定期的にTechFULへのログインをお願いいたします。

退会対象となったユーザーへは事前に退会処理を実施する旨をメールでご案内予定です。 (メールが受信・閲覧できないユーザーに関しても退会処理を実行する運びとなります)

再発防止のための対応

弊社では、今回の事態を受け、再発防止のため以下の対応を行っています。

  • 不備のあるアクセス設定が実施されないよう、インフラ設定とインフラ運用体制の見直し
    • クラウドインフラ環境設定の再点検
    • インフラ設定のレビュー体制の強化
    • インフラ・セキュリティ監視体制の強化
  • 開発用に使用するデータを全て実データではなくダミーデータに差し替え

相談窓口について

  • 流出対象となるユーザー様につきましては、2024年12月25日16時に今回のデータ流出による影響を個別にメールにてお知らせいたしました
  • 弊社コーポレートサイト上に「お知らせ・お詫び文(https://techful.jp/info/4237)」を掲示しております
  • 2024年12月25日から、ユーザー様相談窓口を設置し、WEBフォームでのお問い合わせ受付を開始しております

【相談窓口】

掲載日 2024年12月25日
更新日 2025年02月19日