ホワイトエッセンス株式会社は4月17日、3月6日に公表した同社運営の歯科衛生士転職サイト「メグリー」への不正アクセスについて、続報を発表した。
同社では2月18日に、当該サイトの運用サーバへの外部からの不正アクセスで、システムの一部に不審なファイルが設置されていることが発覚したため、外部専門家を交えて調査を進めていた。
同社では調査の結果、当該サイトの運用サーバに保存されていたデータベース内のデータが窃取された可能性が高いことを確認している。漏えいしたおそれのある個人データの項目は下記の通り。なお、LINE IDとログインパスワードは暗号化している。
氏名、歯科医院名(事業者名)
顔写真
生年月日
住所、最寄り駅
メールアドレス、電話番号、LINE ID、「メグリー」へのログインパスワード
学歴(学校名、学部、卒業年)
勤続期間や雇用条件等も含めた職歴
転職に関する希望条件、求人活動指標、求人企業とのマッチング履歴
「メグリー」のサービス内でのポイントの購入・使用に関する履歴、問合せ内容
同社では原因について、「メグリー」ではWebアプリケーションの開発を効率化するためのツールを用いていたが、その脆弱性を悪用されたものと推測している。
同社では不正アクセスの発覚後に、当該サイトのサービスを停止する措置を講じ、攻撃者のIPアドレスをブロックし、その後も追加的な漏えい防止のため、データベースへの接続情報(パスワード)やAWS(Amazon Web Services)の認証情報の変更、アクセス制御の強化等の対策を段階的に実施、導入している。
同社では引き続き、外部専門機関、外部弁護士と相談しながら再発防止に向けた取り組みを継続するとのこと。
