株式会社シーエーシーは2月12日、1月5日に公表した同社提供の寄附金Web申請クラウドサービス「Academic Support Navi」への不正アクセスについて、第3報を発表した。
同社では2025年12月25日に、「Academic Support Navi」を構成するサーバで不審な挙動を確認したため同サービスを停止するとともに、社内セキュリティチームに加え、外部の専門機関によるフォレンジック調査を実施していた。
調査結果によると、Academic Support Naviで利用していたWebサーバへの外部からの不正なプログラムの設置と実行を確認しているが、同社環境内の他システム、データベース、他サービスへの不正アクセスの痕跡は確認されていない。
同社では、不正アクセスの主目的はサーバリソースの不正利用(暗号資産のマイニング等)と推定しており、主目的以外の具体的な活動の痕跡は確認されなかったという。また、同サービスの個人情報、機密情報および申請データの参照または外部流出を目的とした具体的な活動の痕跡も確認されていない。
不正アクセスが行われた期間は、不正なプログラムが設置された2025年12月18日深夜から、同社が当該サーバで不審な挙動を把握してシステム停止とネットワーク遮断を行った12月25日夕刻まで。
個人情報および機密情報の参照・外部流出を示す具体的な痕跡が確認されず、攻撃者の目的がリソースの不正利用だったと推定されることなどから、外部専門機関では「実際に機密情報の窃取に至った可能性は低いと推定されます」との見解を示している。
同社では、実際に情報漏えい等が発生した可能性は極めて低いと判断しているが、不正アクセス者が一定期間技術的に同サービスの全ての情報にアクセス可能な状態であったと推定されるため、法律上の解釈についても専門家に確認し、本件を個人データの漏えい等が「発生したおそれがある事態」として個人情報保護法に基づく対応を進める。
漏えい等が発生したおそれがある個人データは下記の通り。
・「Academic Support Navi」の利用企業に対して寄附や助成を申請した申請者
アカウント情報:氏名、メールアドレス、性別、生年月日、所属団体・機関の情報(名称、所属部署等、所在地および連絡先等)
申請時に入力のあった情報(アカウント登録後、実際に申請を行った場合)
・「Academic Support Navi」利用企業の管理者
アカウント情報:氏名、メールアドレス
同社では申請者に対し、同サービスの利用企業と協力して連絡を行う。
同社では調査結果を踏まえ、一層強固なセキュリティ対策を実施した上でサービスを再開する予定とのこと。
