お知らせ お知らせをご覧いただけます。

小平市環境家計簿ご利用者様への重要なお知らせ3

(2018年7月5日)

 ご心配とご迷惑をおかけしていること、大切な情報を漏洩してしまったことを深くお詫び申し上げます。
 有限会社ひのでやエコライフ研究所(以下「ひのでや」という。)より、これまでの調査に基づく現時点での報告を受け、中間のとりまとめにつきまして、お知らせいたします。
 これまでのお知らせと重なる部分もございますが、ご容赦ください。
 
1 経緯
 6月25日午後4時頃、ひのでやに対し、小平市環境家計簿と同様のサイト(以下「原因サイト」という。)の保守管理を委託している他自治体から「当自治体サイトに登録している登録者の登録情報が漏えいしている可能性がある。」との連絡が入り、ひのでやにおいて調査を行いました。
その結果、3月19日15時9分から20日12時2分にかけてひのでやのウェブサーバーで運営している原因サイトが不正アクセスを受け、小平市環境家計簿の登録者情報も漏えいしたことが判明しました。
このことについて、ひのでやから6月26日午前8時30分頃、市が報告を受けました。

2 漏えいの内容
 3月20日時点で小平市環境家計簿に登録があった1,516名分であり、小平市環境家計簿の登録時に入力する下記の項目です。
・利用区分(家庭・事業者)  ※入力必須項目
・ニックネーム ※入力必須項目
・メールアドレス
・通知を受け取るかどうか
・パスワード(暗号化により元のパスワードが推測できないもの) ※入力必須項目
・住宅(戸建てか集合住宅か) ※入力必須項目
・お住まいの地域(町名まで) ※入力必須項目
・同居人数 ※入力必須項目
・ガスの種類
・自動車の燃料
・新エネルギー機器設置モニター助成を受けるかどうか
・お名前(新エネルギー機器設置モニター助成を受けている方のみ)
・新エネルギー機器設置モニター整理番号
・ログインID
・登録日
・最終ログイン日時

3 漏えいの原因
 原因サイトのプログラムに、「SQLインジェクション」(※)のセキュリティホールがあり不正アクセスを受けました。また、データベースの権限設定に問題があり、同じサーバーで運営していた小平市環境家計簿を含む他のサイトのデータベースにアクセスできる状態でした。
※SQLインジェクション
インターネット上に公開しているサイトにアクセスし、不正な要求文を入力欄に書き込み、利用者の登録情報を表示させる手法

4 現段階における再発防止対策
(1)「ウェブ・アプリケーション・ファイアーウォール(※)」を導入しました。
  ※不正な要求文のアクセスを拒否し、攻撃の検出がメールで通知されるもの
(2) 各サイトのデータベース権限が、そのサイト用のデータベースに限定される設定を行いました。

5 予想される被害と対応のお願い
(1)パスワードについて
パスワードは暗号化(ハッシュ化)されていますが、もしメールアドレスとパスワードの同じ組み合わせで、他のサイトで利用されている場合には、なりすましが起こる可能性があります。
環境家計簿で利用していたパスワードを、他のサイト等で利用されている場合には、そのパスワードの変更をしていただくようお願いいたします。
(2)メールアドレスについて
メールアドレスが漏洩しているため、皆様のメールソフトに迷惑メールなどが届く可能性があります。あやしいメール、身に覚えのないメールは開かないようにしてください。特に、知らない発信者から送られてくる添付メールは開かないようにしてください。

多大なるご負担をおかけしますことを、重ねてお詫び申し上げます。

6 今後の市の対応
 ひのでやからの今後の報告を踏まえ、小平市環境家計簿の運用の方向性を検討します。その間、小平市環境家計簿を停止します。
今後の方向性が決まり次第、皆様にお知らせいたします。

 この度は、ご心配・ご迷惑をおかけしまして申し訳ございません。
 
【本件に関する問合せ】
小平市環境部環境政策課
電話:042-346-9818
メール:kankyoseisaku@city.kodaira.lg.jp