エン転職、不正ログインで情報漏洩 25万人のWeb履歴書

エン・ジャパンは、同社が運営する総合転職情報サイト「エン転職」で、外部からの不正ログインにより25万人のWeb履歴書が情報漏洩したと発表した。現時点で個人情報の不正流用等の報告は確認されていない。

同社は、2023年3月27日にエン転職のWebサーバーで不正なログインを確認。社内で調査を行なった結果、2023年3月20日～27日の期間に、外部から不正に取得されたと思われるID(メールアドレス)とパスワードを使ったなりすましによる不正ログイン(リスト型アカウントハッキング)が発生し、一部のユーザーのWeb履歴書にアクセスされた可能性があることが判明した。

リスト型アカウントハッキング(リスト型攻撃)は、何らかの手段により他者のIDおよびパスワードを入手した第三者が、IDおよびパスワードをリストのように使って様々なサイトにログインを試みることで、個人情報の閲覧等を行なうサイバー攻撃のこと。

同社は27日、不正ログインを試行していた送信元IPアドレス群からの通信をブロックし、セキュリティ対策の強化を実施。所轄警察署への通報・相談、および個人情報保護委員会など関係省庁への報告も行なっている。

漏洩が発覚したのは、2000年から現在までにエン転職に登録したユーザーのうち、255,765名分のWeb履歴書(退会者は除く)。不正ログインが確認された期間は、2023年3月20日～3月27日。

不正ログインに該当するユーザーについては、3月30日15時にパスワードのリセットを実施。パスワードの再設定方法および注意点とあわせて、個別にメールにで通知を行なっている。同時に被害拡大防止策として、不正ログインに該当しないユーザーについてもパスワードのリセットと、メールによる注意喚起を実施しており、いずれも次回エン転職へのログイン時にパスワードの再設定が必要になる。

今後は、徹底した調査を実施しするとともに、再発防止策として、IDおよびパスワード認証以外のシステムセキュリティの高度化を図る。

なお、現時点でエン転職への不正ログインによる履歴書をはじめとする情報の改ざんは確認されていない。同様に、求職者様以外の企業側の管理画面への不正ログインや情報の改ざん、エン転職以外の同社サービスでの、同様の不正ログインも確認されていない。