科学技術週間ウェブサイトの不正アクセスについて

　文部科学省は、「科学技術週間」ウェブサイトの一部改ざん（12月19日発表済）について、詳細な被害状況等の調査を行ってきましたが、新たに下記について判明いたしました。

○  改ざんされた科学技術週間行事データのほか、科学技術週間登録機関データ、「2008年一家に１枚ポスター」配布協力科学館」データ及び「科学館についてのアンケート」データについて不正にダウンロードした痕跡を発見しました。

○  このうち、アンケートデータ24件に一般の方のメールアドレスが含まれていたほか、登録機関データに853件の機関担当者の氏名とメールアドレス、配布協力科学館データに154件の担当者の氏名とメールアドレスが含まれていました。

○  アクセスログを解析し、このほか被害がないか調査をした結果、これ以外にデータ流出の痕跡はみつけられませんでした。またウィルスは発見されませんでした。

＜原因＞

システムの一部に脆弱性があり、SQLインジェクションにより行事情報データベースにアクセスし、そこから管理者画面に進入し上記データがダウンロードされた。
※SQLインジェクション＝データベースへの問い合わせ言語をサーバに送りつけ、セキュリティの穴を探すサイバー攻撃

＜今後の対応＞

○  問題のプログラムを修正し、ウェブサイト全体に第三者機関によるセキュリティチェックを実施します。

○  個人情報が漏洩した方々には、お詫びと不審メールについての注意喚起を行います。

○  今後より一層の情報管理の徹底を図ります。