敢えて自治体名は伏せさせて頂きますが、某市の雇用情報ポータルサイトのメールマガジン管理サーバーに不正アクセスがあり、2022年10月10日に約8万件もの迷惑メールを送信される事件が発生したとの報道がありました。同時に約200件の個人情報漏洩もあったとのことです。漏洩した情報はメールアドレス、氏名、フリガナ、性別、生年月日、最終学歴、希望職種、電話番号、住所との事です。ちなみに、当方で調査したところ住所に関しては都道府県+市区町村のみを登録するように登録フォームに記載があったことから、その範囲に限定されている可能性はありそうです。但し、自由記載の形を取っている為、詳細な住所を登録した方もいらっしゃるかもしれません。
さて、原因ですが「公式には」調査中となっていますが、その公式発表の中には「当該メールマガジン配信システムの管理者用画面では、IDとパスワードでログインすることでメールマガジン登録者の情報が閲覧可能であり、不正ログインにより登録情報(個人情報)が流出いたしました」との記載があることや、迷惑メールの大量送信をされたことから、少なくとも「管理者権限を奪われた」可能性はありそうです。
弊社の調査では2017年のサイト開設以来メールマガジンの運用は続けているようで、使用しているメールマガジンのシステムは「acmailer」であると推定されています。その「acmailer」ですが、2021年1月14日に脆弱性が公開されています。その脆弱性とは「アクセス制限不備」と「権限昇格」という非常に危険な脆弱性で、影響としては「管理者権限の取得による機微な情報の窃取」と「任意のOSコマンドが実行可能」とされています。前者はまさしく個人情報の漏洩に、後者は迷惑メールの大量送信に繋がります。
恐らく、脆弱性に対応したバージョンにアップデートしていなかった為に発生した事件と推定されるわけです。
情報セキュリティの基本として繰り返し言われているのは「ソフトウェアは最新に」です。この原則が守られていれば事件は防げた可能性が高いと思われます。
御社のサイトは全てのソフトウェアを最新にしていますか?最新にしていないようであれば「改竄」や「情報漏洩」に繋がりますので非常に危険な状況であると言えます。早急に調査して対応することを強く推奨致します。