NICTのセキュリティ講習「実践サイバー演習 RPCI」において使用しているDropbox社が運営する電子署名システム「Dropbox Sign」において、ユーザー情報に不正なアクセスを受けていたことが判明しました。
この情報には、「実践サイバー演習 RPCI」の令和3年度から令和5年度の受講者524名のDropbox Sign のユーザー名*、メールアドレスが含まれておりました。
Dropbox社の調査によると、署名を求めるメールを受け取った方のDropbox Sign のユーザー名*とメールアドレスが流出したとのことです。
*受講証明書発行時にDropbox Sign または HelloSign アカウントを作成又は同アカウントでログインされた方が対象(なお、RPCI受講証明書発行に際しアカウント作成は必須ではありませんでした)。
なお、同社にて不正アクセスを把握した時点で、同社がフォレンジック解析の専門家を招集し調査を行い、事態の把握とユーザーへのリスク低減の取り組みを開始したとの報告を受けております。
この状況から、個人情報漏えいの可能性を否定できないものとして、同15日に個人情報保護委員会へ報告いたしました。
現時点では情報の不正使用などの事実は確認されておりません。また、対象となる受講者へはメールにて説明を行っています。
今回の事案を踏まえ、より一層の情報管理の徹底を図るとともに、Dropbox社と引き続きタイムリーな情報共有に努めて参ります。