1.不正アクセスの概要

(1)経緯

弊社が運営するWEBサイトのひとつである「HAJ介護ガイドnavi」に対し、2016年3月16日10時10分頃、アクセスログに同一IPアドレスから短時間に大量のアクセスがあることを確認したため、調査を開始しました。

調査の結果、3月13日2時46分頃～3月15日4時32分頃の間に、複数回の断続的なアクセスでSQLインジェクションによる弊社サイトご利用登録者様の個人情報の一部が不正に取得された可能性があることを確認いたしました。

このため、3月16日11時56分頃、不正アクセスの接続元からのアクセスを遮断、および該当プログラムの修正、3月17日15時44分に当該サイトを閉鎖いたしました。

(2)流出の可能性がある個人情報

• 対象
  2011年4月25日から2016年3月15日までに弊社求人WEBサイトにてメールアドレスを登録するサービスをご利用になっていたお客様
• 項目と件数
  メールアドレスのみが流出した可能性のあるもの46,399件
  メールアドレスと氏名・住所・電話番号のいずれか、もしくは全てが含まれる個人情報が流失した可能性のあるもの47件

(3)被害状況

現時点でお客様から今回の情報流出に起因すると特定される被害報告は届いておりません

2.実施済の対応・対策について

• 「HAJ介護ガイドnavi」の閉鎖
• 不正アクセスのあったIPアドレスからのアクセス遮断
• 弊社運営の全サイトにおけるSQLインジェクション対策等、WEBアプリケーションの脆弱性を修正
• 被害の拡大を防止するため、北海道札幌方面中央警察署に対し被害状況を報告し、併せてその情報提供を行った上で捜査を依頼
• 経済産業省及び関連機関への報告
• 弊社が運営する各求人WebサイトTOPページにてお知らせお詫びページへ誘導するバナーを設置
• 流出の可能性があるメールアドレスへ説明文を送信
• マイページログイン後のユーザー画面のお知らせ機能にてお知らせお詫びページへ誘導するリンクを設置（現在削除済み）
• マイページログイン前の入力画面にてお知らせお詫びページへ誘導するリンクを設置（現在削除済み）
• 本件に関する専用お客様相談室の設置
• セキュリティ対策の多重化

3.今後の対応・対策について

本件の原因となった問題箇所については、すでに対策を講じておりますが、今回の事態を厳粛に受け止め、一層のセキュリティ及び監視体制の強化を図り、再発防止に取り組む所存でございます。

※本件に関して弊社からパスワード再設定をお願いするメールは一切送信しておりません。お心当たりのないメールに関しましては十分のご注意をお願い申し上げます。
※弊社サイトの登録関連のURLは[ https://secure.haj.co.jp/ ]から始まります。お心当たりの無いメールを受け取った際は、パスワードの変更や個人情報開示の呼びかけには応じず、また添付やリンクを開いたりしないようお願い致します。

不審なメールや迷惑メールを受け取った場合、以下の機関でも情報提供やご相談を承っております。

＜迷惑メールの情報提供窓口＞

一般財団法人 日本データ通信協会 迷惑メール相談センター

http://www.dekyo.or.jp/soudan/

＜具体的に被害に遭われた場合の窓口＞

北海道警察ホームページ

https://www.police.pref.hokkaido.lg.jp
ページ内の[相談、意見・要望、苦情、少年相談]にアクセスしてください

＜本件に関する専用お問い合わせ窓口＞

株式会社北海道アルバイト情報社　お客様相談室

メールアドレス：taiou@haj.co.jp（営業時間　平日9:00〜17:00）
※上記時間外にいただいたお問い合わせは翌営業日以降の対応とさせていただきます。
　ご了承ください。

※いただいた個人情報はお問い合わせに関する対応以外に利用いたしません。
　個人情報の取り扱いについては弊社個人情報保護方針をご覧ください。