10代から20代の若者を対象に生活、教育、就職支援を行う「特定非営利活動法人CAN」で、不正アクセス被害が発生。
不正アクセスは、2025年1月25日19時15分から19時16分にかけて発生。
同法人のwebサーバー内にあるHTMLファイルやPHPファイルが改ざんされたとのこと。
また、同日19時ごろに「NPO法人CANから貴殿の個人情報が流出しました」などと記載されたメールが、同法人のメールアドレスから送信されていたことも確認されている。
これらのメールには、受信者の氏名などの具体的な個人情報は含まれていなかったものの、同法人のメールサーバー上には送信記録が残っておらず、送信経路の特定が難航している。
当該不正アクセスで、同法人が運営する大学生や高校生が利用した公開掲示板「旧カタリバ北海道カフェ」に関する情報が流出したとみられており、投稿された氏名、ニックネーム、517件のメールアドレス情報、投稿内容などが該当している。
なお、掲示板は個人情報の記載を禁止していたため、直接的な個人の特定は難しいとされている。
一方、同法人のサーバー内に保存されていた公開用資料にも不正アクセスの形跡があり、氏名が記載された資料が流出した可能性も確認されている。
CANは、1月28日にサイトの改ざんを確認後、直ちに全パスワードを変更し、不正に書き換えられたファイルを削除。
影響を受けた可能性のあるメールアドレス517件に対し、状況報告メールを送付している。
また、webサイト上でも告知を予定しており、現在仮ページのみ公開している状況。
不正アクセスの原因については現在も調査中とのことで、「原因分析と再発防止策の検討を進める」とコメントしている。
【参考記事】
https://www.npocan.jp/