ジョンソン・エンド・ジョンソンが研究助成金の申請に利用していたWebサイトが委託先のシステム経由で不正アクセス

　ジョンソン・エンド・ジョンソン株式会社は3月9日、「J&J MedTech Research Grant Web サイト」でのセキュリティ事案について発表した。

　これは同社の「J&J MedTech Research Grant Web サイト」の運営で利用している、株式会社シーエーシーの寄附金Web申請クラウドサービス「Academic Support Navi」に外部から不正アクセスがあり、申請者の個人情報および機密情報その他申請データが漏えいする可能性が判明したというもの。

　不正アクセスは2025年12月18日から12月25日に発生しており、シーエーシーで12月25日にサービスを停止し、2026年1月13日にジョンソン・エンド・ジョンソンに報告を行っている。

　シーエーシーと外部専門機関による調査の結果、「Academic Support Navi」で利用している一部のコンポーネントにおける脆弱性が悪用されたことが原因で、「Academic Support Navi」のサーバ資源の不正利用（暗号資産のマイニング等）が目的と推定される不正プログラムが設置・実行されたとしている。

　また、不正プログラムの一連の設置作業の過程で、不正アクセス者により当該サーバの管理者権限が取得・利用されていたことが判明しており、不正アクセス者は一定期間技術的に同サービスの全ての情報にアクセス可能な状態であったと推定されるとのこと。なお、サーバ内の解析および各種管理ログの精査の結果、個人情報等の参照および外部流出を示す具体的な痕跡は確認されていない。

　「J&J MedTech Research Grant Web サイト」運営の委託に関し、不正アクセス者によるアクセスが可能となった個人データの対象者と項目は下記の通り。

・「J&J MedTech Research Grant Web サイト」にアカウントを登録した人
アカウント作成時登録情報（氏名、メールアドレス、所属団体・機関の情報（名称、所属部署等、所在地および連絡先等））
アカウント作成時の任意登録情報（性別、生年月日）

・アカウント登録後に助成を申請した申請者
申請時に入力のあった情報

　ジョンソン・エンド・ジョンソンでは現在、「J&J MedTech Research Grant Web サイト」の利用を停止しており、シーエーシーでは一層強固なセキュリティ対策の強化が進められているとのこと。

元の記事を読む