2025年1月28日

 

関係各位

 

特定非営利活動法人CAN
代表理事　寺田　英司
（本件担当：理事　佐藤　立）

 

弊社ＷＥＢサーバへの不正アクセスと情報流出について（第１報）

 

　日頃からNPO法人CANの活動に対しご理解とご支援をいただきありがとうございます。今般、NPO法人CANのWEBサイトに不正アクセスがあり、メールアドレスを含むサーバ内の情報が流出いたしました。流出によりご迷惑をおかけした皆様に心よりお詫び申し上げます。これまでに確認できている状況と弊社の対応をご報告いたします。

 

　なお、現在運営されているカタリバ北海道は、弊社とは別法人のNPO法人いきたす様が運営されております。また、弊社は認定NPO法人カタリバ様とも別法人でございます。本件に関するお問い合わせは弊社宛お願いいたします。

 

確認されている被害
WEBサイトの改ざん
　弊社サーバ内のhtmlファイル、phpファイルが2025年1月25日19:15および19:16に改ざんされました。

メールの送信
　katariba@npocan.jpのメールアドレスからメールが2025年1月25日19:18および19:19に送信されました。メール文面には「NPO法人CANから貴殿の個人情報が流出しました　取り急ぎご連絡まで。ご質問は以下のメールアドレスへ。」等と記載されていました。なお氏名等の記載はありませんでした。

　また、メールの送信経路は現時点で確認できておりません。弊社メールサーバにはメール送信の記録は確認できませんでした。

流出したと思われる情報
旧カタリバ北海道カフェ（http://cafe.npocan.jp/）関係
　現在詳細を確認中ですが、侵入者が以下の情報にアクセスできたおそれがあります。なお、2025年1月25日に発信されたメールの送り先の1つがこのデータの中に含まれていることを確認しています。
　2011年11月～2014年6月までにNPO法人CANで実施したカタリ場に参加したキャスト（大学生）と高校生が利用していた旧カタリバ北海道カフェに投稿された、氏名、ニックネーム、メールアドレス（517件）、その他投稿された内容など

 

カタリバ北海道カフェとは
　大学生が高校に訪問して座談会形式で語り合うカタリ場という授業に参加した大学生と高校生が、後日連絡をとりあうための公開の掲示板です。すべてのやり取りが公開される形式のため、個人情報の記入は禁止されていて、投稿後にスタッフが内容を確認してから掲載されるものです。このため、直接個人を特定できる記載はありません。
　メールアドレスは公開されませんが、通知用を希望する場合はメールアドレスも登録することができました。

その他弊社WEBサーバ内のファイル
　具体的な流出は確認されていませんが、弊社WEBサーバ内に保存されていた公開用資料にアクセスされたおそれがあります。資料の一部には氏名が記載されたものがございます。なお、氏名以外に直接個人を特定できる情報は確認されていません。

​

これまでの対応
　2025年1月28日にサイト改ざんを確認したのち、ただちに、すべてのパスワードを変更するとともに、サーバ上からファイル削除しました。その後の調査の結果、旧カタリバ北海道カフェのデータベース内に、流出が確認されているメールアドレスが保持されていることを確認しました。メールサーバについては、これまでのところ不正アクセスの痕跡などは確認できておりません。

　1月28日中に、流出したおそれがあるメールアドレス（517件）宛にメールで状況のご報告をいたしました。

 

今後の対応
ＷＥＢサイトでの告知
ＷＥＢサーバ上のデータ削除が完了しだい、状況をご報告する仮ページを掲載します。なお、WEBサイトは当面仮ページのみといたします。

不正アクセスの原因
    不正アクセスの原因については、現在調査中です。

今後の対策
    原因の分析とあわせて、今後の対策を検討いたします。

本件についてのお問い合わせ
本件についてのお問い合わせは以下までお願いいたします。
特定非営利活動法人ＣＡＮ　理事　佐藤　立
電話　０８０－１８８２－０８００
メール　sato@npocan.jp

　皆様には、大変ご迷惑をおかけしておりますことを重ねてお詫び申し上げます。