不正アクセスの概要
2023年8月7日に一般社団法人医療ISAC(以下、同法人)は、自社の公式WEBサイトへの不正なアクセスがあり合計975名の個人情報が漏洩した可能性があることを発表しました。
不正アクセスの詳細と原因
今回漏えいした情報は、同法人がWEBサイト上で募集を行っていたオンラインセミナーの申込者975名分の氏名、メールアドレス、所属に関する情報であると公表しています。
ログの解析結果によれば、攻撃者は医療ISACが以前ウェブサイトの管理をしていた外部の委託企業していたアカウントを何らかの形で入手。そのアカウントを使用し、管理者権限を持つ怪しげなアカウントを新しく作成していました。加えて、攻撃者は2023年7月29日以降にWEBサイト上に不適切なファイルを追加・改ざんしていることが確認されています。
同法人によれば、通常ではウェブサイト上で一般の会員等の個人情報を保管しておらず、漏えいの疑いは否定したがオンラインセミナーへの参加申し込みフォームの入力情報が履歴として保存していたため、この情報を攻撃者にアクセスされた可能性があると公表しています。
今後の対応
同法人は一時的にウェブサイトを閉鎖して対応に当たり、既存のバックアップデータからウェブサイトを再構築し、各種のセキュリティ設定を再調整することを計画しています。さらに、外部の調査専門機関と連携して調査を継続し、結果については適宜公開していく意向を示しました。
まとめ「脆弱性の多いWordPressを使用する際はセキュリティ対策は必須」
今回、同法人のサイトはWordPressで構築されていたという話もあり、セキュリティ対策が万全に出来ておらず今回のような事件に発展しております。以前の記事にも書きましたが、WordPressは非常に便利なCMSであり広く普及しているからこそ狙われるリスクも多くなります。
WordPressでサイトを構築されている皆様は先ず自社のサイトの脆弱性が無いかを確認することをお薦め致します。
[この記事と関連する記事はコチラ]