ClassPad.net不正アクセスによる
個人情報漏えいの経緯と対策状況について
更新日:2024年03月27日
カシオ計算機は、当社のICT教育アプリ「ClassPad.net(クラスパッド ドット ネット)」のシステムへの不正アクセスにより、「ClassPad.net」に登録されている国内外の一部のお客様の個人情報が外部に漏えいした件(2023年10月18日公表)について、本日までに実施した対策と、実施済みのセキュリティ対策についてご報告いたします。
お客様をはじめ関係者の皆様にご迷惑とご心配をおかけしておりますこと、改めて深くお詫び申し上げます。
当社は、今回の事態を深刻に受け止めて、社員一同、信頼の回復に全力を尽くし、システム面の強化、情報管理の徹底をはじめとした対応を実施し、再発防止に努めてまいります。
本件に関する公表済みの概要、経緯、原因、漏えい件数、対応状況につきましては、下記の通りです。
不正アクセスによる個人情報漏えいのお詫びとご報告(10月18日公表)
https://www.casio.co.jp/release/2023/1018-incident/
不正アクセスによる個人情報漏えいに関するご質問とご回答(10月18日公表/10月23日更新)
https://classpad.net/jp/news/040/
▷概要
当社が管理運用する「ClassPad.net」の「開発用に用意していたサーバー環境(以下、開発環境)」のデータベースに対して、外部からサイバー攻撃が行われ、開発環境のデータベースに含まれていた国内外の一部のお客様の個人情報が漏えいしました。
なお、ClassPad.netのサービスを提供しているサーバー環境(以下、商用環境)については、外部からの侵入を防御、検知する複数の仕組みを取り入れていることや、定期的に第三者専門機関による脆弱性監査を実施し安全性を確認しております。
▷本件発覚の経緯とその後の対応
2023年10月11日(水)夕方、担当者が開発環境での作業を試みた際に、データベースに障害が発生していることが発覚し、事態を把握しました。
事態の解析を進める中で、海外在住者の個人情報の外部漏えいの事実については、10月12日(木)夕方に確認しました。
| 経過 | 詳細 | |
|---|---|---|
| 10月11日(水) | 17:30頃 開発担当者が開発環境のデータベースに障害が発生していることを確認 外部からのサイバー攻撃を把握 18:00頃 サイバー攻撃の対象となった開発環境を停止させ、インターネットから遮断 社内監査組織(情報セキュリティインシデント対応事務局)への一次連絡 19:00以降 商用環境のデータべースに不正な操作が行われていないことを確認 個人情報漏えいの可能性があることを確認 |
|
| 10月12日(木) | 社内監査組織(情報セキュリティインシデント対応事務局/個人情報保護事務局)と対策協議を開始 個人情報漏えい件数が、海外ユーザーも含め10万件以上になる可能性が夕方に判明 |
|
| 10月13日(金) | 侵入経路の社内調査完了 個人情報漏えい件数の概算調査完了 外部専門機関によるセキュリティ調査開始 欧州GDPR(General Data Protection Regulation:一般データ保護規則)当局など、各国法律に基づく報告を14日以降、順次実施 |
|
| 10月16日(月) | 総務省および個人情報保護委員会へ報告 日本情報システムユーザー協会(プライバシーマーク審査機関)へ報告 |
|
| 10月17日(火) | 所轄警察署へ相談 | |
| 10月18日(水) | プレスリリースにて対外発表を実施 https://www.casio.co.jp/release/2023/1018-incident/ ClassPad.net webサイト内にFAQページを設置 https://classpad.net/jp/news/040/ 専用お問い合わせ窓口開設 国内ユーザー(学校管理者/個人の利用者)へ本件に関するご報告のメール発信完了および、ユーザーへの対応を開始 国内ユーザーからの新規利用お申し込みの停止 |
|
| 10月19日(木) | 学校/教育委員会等への個別説明を順次開始 | |
| 10月27日(金) | 外部専門機関による攻撃対象となった開発環境へのセキュリティ調査完了 →侵入経路・攻撃手法の調査完了 →ClassPad.netの欠陥が原因ではなく、人的要因であることを再確認 |
|
| 10月28日(土) | 外部専門機関の協力のもと、商用環境のセキュリティ設定を再確認 | |
| 1月31日(水) | 商用環境へのアクセスは2名に制限しワークフローシステムの活用 商用環境のシステム変更を検知するシステムを導入 システム開発運用セキュリティガイドライン作成、運用開始 |
|
| 2月29日(木) | データ取り扱い規則の見直し 個人情報を削除/マスキングするツールの導入 |
|
▷外部漏えいの可能性のあるデータ件数
2023年7月17日以前にClassPad.netサービスに登録されたデータ
<国内>個人と1,108の教育機関の計91,921件
<海外>148の国と地域のお客様の計35,049件 ※2023年10月18日時点
▷漏えい対象となる情報の内容(日本国内のお客様向け)
| 学校IDでご利用の場合 | CASIO IDでご利用の場合 | |
|---|---|---|
| ①氏名 | 漏えい対象(管理者名/管理者が登録した先生名/管理者が登録した生徒名) ※先生・生徒名を氏名以外で管理している場合、氏名は漏えいしておりません) |
漏えい対象(ID作成時に入力した氏名) |
| ②メールアドレス | 漏えい対象(管理者メールアドレス/SSO連携している場合は連携先サービスのメールアドレス/個人IDとしてメールアドレスを使用している場合はそのメールアドレス) ※個人IDにメールアドレス以外を使用している場合、メールアドレスは漏えいしておりません。 |
漏えい対象(ID作成時に入力したメールアドレス / SNSアカウントでログインしている場合は、当該SNSのID) |
| ③国/地域 | 漏えい対象(「日本」扱い) | 漏えい対象 |
| ④学校名・学年・クラス名・出席番号(学籍番号) | 漏えい対象(学校名/学校ID/所属クラス名/出席番号) ※クラス名および出席番号は任意設定項目のため、未設定の場合は漏えいしておりません。 |
学校IDをご利用でないお客様は漏えいしておりません。 |
| ⑤購買に関する情報(注文明細、決済手段、ライセンスコードなど) | コンテンツの購入方法により、漏えい対象情報が異なります(下記別表にて記載)。なお、クレジットカード情報は保持しておりません。 | |
| ⑥本サービスの利用履歴やニックネームなど | ClassPad.net内のツール「ClassPad Math」で生成したデータが漏えいしましたが、アプリの内部的に扱われる情報であり、サムネイルを除き、お客様の描画したグラフや図形等がそのまま見える状態ではありません。その他のデジタルノートやふせんに関しては、2021年7月13日以前に作成したデータが漏えいしましたが、2021年7月14日以降に作成したデジタルノートやふせんの内容の漏えいはございません。 | |
⑤購買に関する情報について(別表)
| 学校一括でコンテンツを購入した場合 | 学校専用サイトで個人でコンテンツを購入した場合 | 個人がClassPad.net Storeで コンテンツを購入した場合 |
|---|---|---|
●漏えいした情報 |
●漏えいした情報 ・購入した商品IDや、商品詳細 ・購入したコンテンツの利用開始時に、ClassPad.netに入力されたライセンスコード ・購入したコンテンツの利用開始日/利用期限 ◎漏えいしていない情報 ・購入時に学校専用サイトで入力された名前や住所 ・決済手段、クレジットカード情報など ※学校専用サイトはClassPad.netから独立したシステムのため、学校専用サイトで入力する上記情報は対象外です |
●漏えいした情報 ・購入された商品IDや、商品詳細 ・利用開始日/利用期限 ・決済日時/決済手段/支払い回数 ・オーダーID など ◎漏えいしていない情報 ・クレジットカード番号や暗証番号、名義情報など ・PayPayやLINE PayのID |
なお、お客様のアカウントのパスワード情報は不可逆な形で暗号化されて保管されています。
今回の漏えいにより、お客様のパスワードが第三者に伝わることはありません。また、漏えいした情報を入力することでお客様のアカウントにログインすることもできません。
▷本件の原因
今回の個人情報漏えいは、ClassPad.net開発環境のネットワークセキュリティ設定の一部が設定ミスにより解除状態であったことに起因した、開発環境のデータベースに対しての外部からのサイバー攻撃によるものです。
本件の問題は、「①外部からのサイバー攻撃を許したこと」、「②個人情報が漏えいしたこと」の2点です。
①外部からのサイバー攻撃を許した原因
開発環境のネットワークセキュリティ設定の一部が設定ミスにより解除状態であったこと
● システム面での対策不足
開発環境において、人的ミスを抑止するシステムが整備されていなかったため、セキュリティホールとなった設定ミスを許し、外部からの開発環境への侵害を許してしまったこと。
②個人情報が漏えいした原因
開発環境のデータベースにお客様の個人情報が混入していたこと
● 情報管理の不徹底
商用環境に保管されている個人情報を含んだデータを使用して別途用意しているテスト環境で検証を実施した際に、データの取扱いルールが不明確であり本来検証完了後に速やかに削除されるはずの個人情報がテスト環境に残ったままとなったこと。その後さらに運用上のミスが重なり誤ってテスト環境から開発環境に個人情報が混入してしまったこと。
● セキュリティや個人情報取扱いに関するスキルと意識の不足
従業員の情報セキュリティや個人情報管理に関するスキルや意識が不足していたため、個人情報の開発環境への混入およびセキュリティ上の設定ミスが発生し、さらにその状態にその業務の担当者だけでなく周辺で業務に当たっていた管理者や担当者も速やかに気付くことができなかったこと。
▷即時対応内容
● 不正アクセスを確認後ただちに開発環境を停止させ、ネットワークを遮断し、外部からのアクセスができない状態にしております。従ってサイバー攻撃が行われた開発環境のデータベースに対して今後不正アクセスをすることはできず、今回の情報漏えいの原因となった開発環境からのClassPad.netに関する個人情報漏えいの可能性はございません。なお、本件の詳細調査目的のみでこの開発環境は存置しますが、当該調査の完了後にこの開発環境は全て廃棄いたします。
● 漏えい対象のお客様(学校単位で導入いただいている学校様に関しては、学校の管理者様)へ、メールや電話などにより連絡をさせていただいております。
● 総務省 個人情報保護委員会をはじめ各行政機関への報告を実施しております。
▷ClassPad.netの安全性 / サービス継続判断の背景
● ClassPad.netの商用環境と、開発環境はネットワーク的に遮断されており、例え開発環境に不正アクセスがあったとしても商用環境には侵入できないシステム構成となっております。
● また、商用環境には従前より外部からの侵入を防御、検知する複数の仕組みを取り入れております。
● 更に、機能アップデートのリリースの度(これまで3か月に1回程度)に、第三者専門機関による脆弱性監査を実施し安全性を確認しております。
● 不正アクセス発覚後、すぐにClassPad.netの商用環境の各種ログの確認およびセキュリティ設定の確認を実施し、商用環境の安全性を確認しております。
● 外部セキュリティ専門家による詳細調査でも、不正アクセスされた開発環境を経由した商用環境へのサイバー攻撃の痕跡は発見されておりません。さらに、外部セキュリティ専門家と協力して、セキュリティレベルを検査するツール等を使用しながら商用環境の安全性を再確認しております。
以上のようにClassPad.netの商用環境の安全性を再確認したうえで、サービスの提供を継続しております。
なお、お客様には、登録されているメールアドレス宛に迷惑メールが届く可能性があることを踏まえ、パスワードの確認および推測されにくいパスワードへの変更を推奨し、連絡させていただいております。
▷実施済みのセキュリティ対策
①システム面での対策強化
□ 商用環境にアクセスできる管理者を2名に制限するとともに、設定変更を検知するツールを2024年1月に導入。ルールに合わない設定の抑止ツール導入を引き続き計画中
□ 監査システムを強化し、各種システムログ設定を徹底するとともに、定常的なシステム監視と定期的なシステム監査を実施し、セキュリティ上の安全性を確保
□ システムの定常的な監視と定期的な監査のために、「システム開発運用セキュリティガイドライン」を策定し、2024年1月に運用を開始
②情報管理の徹底
□ データ取り扱い規則を見直し、商用環境からの個人情報の持ち出しを禁止。個人情報削除/マスキングツールを2024年2月に導入し、開発にあたりやむを得ず商用環境に準じたデータによる検証が必要な場合は、個人情報部分を削除/マスキングして使用
□ データ管理者を任命し責任者を明確にするとともに、ワークフローシステムを導入し、個人情報を取扱う場合には商用環境の使用前後に管理者の承認を必須としてデータ取り扱い運用を徹底
□ 商用環境のデータへアクセスできる管理者を2名に制限し、申請ごとのデータへのアクセス権の付与をすることで、データ取り扱いを必要最小限に留めることを徹底
③セキュリティや個人情報取扱いに関するスキルと意識の向上
□ セキュリティ教育と意識向上のために、社員に対して教育を2023年11月、12月に実施しスキルと意識を向上、今後も定期的に実施予定
▷お客様への対応
● 現時点においては、個人情報漏えいの可能性のある全てのお客様を対象に、メールなどを通じて、別途その旨ご連絡差し上げております。
● また、下記の窓口にてお客様からのお問い合わせに対応しております。
◎本件に関する対象のお客様からのお問い合わせ先
お客様情報相談窓口:0120-302346
(フリーダイヤル、受付時間:平日9:00~17:30)
カシオホームページ窓口:
https://www.casio.com/jp/information/1018-incident/
▷最後に
このたびは、お客様ならびに関係者の皆様へ多大なご迷惑とご心配をおかけしておりますこと、重ねて深くお詫び申し上げます。
当社は今回の事案を重く受け止め、お客様に安心・信頼してアプリをご利用していただけるように、お客様情報を適切に取扱うとともに、
より安全な情報セキュリティの整備に継続して努めてまいります。
