【セキュリティ事件簿#2024-509】株式会社biima 個人情報誤送信に関する対応状況について 2024/11/19

 

平素より弊社サービスをご利用いただき、誠にありがとうございます。

このたび発生した個人情報の誤送信に関する弊社の対応状況について、最新の状況をご報告させていただきます。

改めまして、この度は、会員様に多大なるご不安とご心配をおかけしており、深くお詫び申し上げます。今後も対応の進捗について適宜ご報告し、信頼回復に向けて全力で取り組んでまいります。

以下、本日11月19日(火) 18時時点までの対応進捗、及び今後の対応方針について記載いたします。

なお、今回の事象が発覚して1週間となる本日までは、本メールによるご報告を毎日させていただきましたが、本日時点で今回情報が漏洩した53名の会員様ほぼ全ての方から、「メール及びファイル削除完了」の確認が取れていることから、明日以降は、適宜、対応状況や進捗に応じてご連絡させていただきます。

また、本日で今回の事象に対する対応・報告が終了するというわけではなく、明日以降も、引き続きお問い合わせに対する対応や二次漏洩の防止、影響範囲の調査(二次漏洩の有無)、再発防止策の徹底を継続させていただき、随時報告させていただく所存です。

何かご不明な点などございましたら、引き続き弊社までご連絡いただきますよう、何卒お願い申しあげます。

以下、本日11月19日(火) 18時時点でのご報告となります。

(1)誤送信先会員様への削除依頼と確認について

11月18日(月)にメールにてご報告させていただいておりますが、現在、弁護士の指示の下、二次漏洩を防止する対応策として、以下の対応を実施しております。

誤送信先の対象となりました53名の会員様に対して、メールおよびデータファイルの削除の確認を、以下の手順にて行なっております。

——————–

1.該当の会員様に、個別のメールとお電話にて、該当のメールおよびファイルの二つを削除いただくようご依頼

2.会員様側にて、メールおよびファイルの二つを削除いただく

3.会員様に、メールおよびファイルの二つを削除したかどうかの確認をお電話にて確認

4.上記の3に加えて、会員様より、削除完了のメールを拝受

5.上記3,4は、全員分の確認が取れるまで、継続実施

——————–

なお、11月19日(火) 18時時点の確認状況は以下の通りでございます。

——————–

・メールおよびお電話にて削除依頼をした方:53名

・お電話にて削除対応の確認が取れている方:53名

・お電話に加え、メールでも削除対応の確認が取れている方:52名(前日比 +1名)

——————–

現在、上記の通り、誤送信先となる53名の全ての方と連絡が取れており、削除依頼をさせていただいております。

また、お電話での口頭確認では、53名全ての方から、「メールおよびファイルの削除完了」 の確認が取れております。

この削除確認作業は、全ての方からの「口頭確認」及び「メールでの削除対応完了のご報告」の二点で削除確認がとれるまで引き続き行ってまいります。

(2)現状の影響範囲及び被害状況について(11月19日時点)

11月19日(火) 18時時点で、上記53名の方以外の、不特定多数及び外部の団体に情報が漏洩したというような事象/報告 は確認できておりません。

また、本日時点で、弊社会員様の多数に、同一の不審な迷惑メールや電話が多くきているといった事象は発生しておりません。今後も、専門家と国の機関である個人情報保護委員会の指示に従い、更なる外部への漏洩を防止する対応策を検討・実施すると共に、影響範囲の調査を中期的に行なってまいります。また、皆様におかれまして、もしも迷惑メールや不審な連絡がきたなどの事象がございましたら、他の会員様でも同様の事象が起きてないかの確認含め、今回の誤送信との因果関係を専門家の指示に従い調査いたしますので、弊社窓口まで、ご連絡をお願いいたします。

(3)個人情報保護委員会への報告について

11月13日(水)に、国の機関である個人情報保護委員会へ本件の詳細を報告しておりますが、本日時点で、現在までにご報告させていただいている対応策以外の、新しい対応指示などは受けておりません。今後も当該期間の指示に従い、適切な対応を進めてまいります。

また、弊社の今後の対応状況につきましても、当該機関に対して継続して報告してまいります。

(4)今後の防犯対策について

本件は、弁護士と、国の行政機関である個人情報保護委員会(11月13日に事象を報告及び相談)の指示に従い、対応策を進めております。

弁護士からは、今の事象の状況下(53名への情報漏洩)で、今すぐに特別な防犯措置を取らなければいけないということはなく、まずは通常の一般的な防犯対策をご実施いただくことが望ましい という見解を受けております。また、専門家、及び金融機関にも確認し、今回漏洩した個人情報および口座情報のみで、すぐに不正に利用され、勝手にお金が口座から引き出されるなどの財産的被害が生じる可能性はないことが確認できております。なお、上述の個人情報保護委員会の見解としても、同様の見解が記載されております。(補足参考情報)

https://www.ppc.go.jp/all_faq_index/faq1-q6-12/

また、万が一、お客様のもとに不審な連絡や詐欺と思われる連絡が届いた場合には、以下の対処法をお願いいたします。

——————–

・不審な連絡に応答しない

たとえ相手が個人情報を知っているように見えても、身元が確かでない連絡には返答せず、電話番号やメールアドレスなども提供しないでください。

・個人情報や金融情報を伝えない

金融機関や弊社を名乗る場合でも、不審な点がある場合は、こちらから直接確認するまで個人情報をお伝えにならないようお願いいたします。

・身に覚えのない内容であれば、すぐにご相談を

身に覚えのない連絡や請求があった場合は、弊社の専用窓口までご連絡いただくか、お使いの金融機関、または、場合によっては警察まで直接お問い合わせをお願いいたします。

——————–

上記のような事象が起きた場合は、今回の事象との因果関係も調査し、対応いたしますので、弊社までご共有いただけますと幸いです。

現在(11月19日(火) 18時時点)のところ、上述の通り、同一の不審な送信元アドレスまたは電話番号から、弊社会員様の多数に、同一の不審な内容の連絡などが大量に届いている といった事象は発生しておりません。

今後、影響範囲の調査を進めるにあたり、上記の事象が発生した場合には、速やかに皆様にご報告させていただきます。

(5)二次漏洩防止策と情報管理体制の強化について

本件を受けて、今週より再発防止と情報管理体制の強化を全社として徹底的に行ってまいります。

専門家の指導のもと、

・今回の事象における詳細の原因分析

・現在の情報管理体制と業務フローの課題整理

・抜本的な改善方針

を取りまとめ、 12月を目処に皆様にご報告させていただきます。以上となります。

重ね重ねとなりますが、この度は多大なるご迷惑をおかけし、誠に申し訳ございませんでした。心よりお詫び申し上げます。ご不明な点がございましたら、以下の専用窓口までご連絡ください。

—————-

お問い合わせ先(専用窓口)

電話番号:050-1721-1262(受付時間:平日11:00~17:00)

メールアドレス:info@biima.co.jp

—————-

会員様におかれましては、ご不安が続く状況となり、心よりお詫び申し上げます。

引き続き、迅速かつ丁寧な対応に努めてまいりますので、何卒ご理解とご協力を賜りますようお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-508】大阪市 職員の不祥事について 2024/11/5

 

大阪市消防局職員が、令和6年11月5日(火曜日)、不正アクセス行為の禁止等に関する法律違反の容疑により宮崎地方検察庁に送致されました。

このたびのことは、市民の皆様の信頼を著しく損なうものであり、誠に申し訳なく深くお詫び申し上げます。

今後、事実関係を確認の上、厳正に対処してまいりますとともに、服務規律の確保について重ねて徹底し、市民の皆様の信頼回復に努めてまいります。

1 当該職員

所属:大阪市住之江消防署

階級:消防士

性別:男性

年齢:25歳

2 事案概要

当該職員は、令和6年6月頃に他人のSNSアカウントへ不正アクセスしたとして、宮崎県警察から取調べを受けておりましたが、令和6年11月5日(火曜日)に、不正アクセス行為の禁止等に関する法律違反の容疑で宮崎地方検察庁に送致されました。

リリース文アーカイブ

【セキュリティ事件簿#2024-441】株式会社JVCケンウッド YouTube チャンネル「MAGICAL JUKE BOX」の乗っ取り被害について 2024/11/20

 

当社は2024年10月2日に公表しました「YouTubeチャンネル『MAGICAL JUKE BOX』の乗っ取り被害について」の通り、2024年6月に主催したバーチャル音楽フェスイベント「MAGICAL JUKE BOX」で使用・管理するGoogleアカウントが第三者に不正アクセスされ、そのアカウントに紐づく公式YouTubeチャンネルおよび公式Xアカウントの乗っ取り被害が判明しました。その後、関係機関との連携のもと外部専門機関による詳細な調査を行ってまいりましたが、現時点で確認できた内容について以下の通りお知らせします。

1.確認された不正アクセス(既報)

2024 年 9 月 24 日に、当社が 6 月に主催したバーチャル音楽フェスイベント「MAGICAL JUKE BOX」の運営に関連するアカウントへの不正アクセスが発覚し、10 月 2 日時点で以下の状況が判明しておりました。

・「MAGICAL JUKE BOX」公式YouTubeアカウントが配信に利用された可能性がある状況が判明。

・「MAGICAL JUKE BOX」で使用・管理するGoogleアカウントに格納されていた個人情報にあたる可能性のある情報が閲覧できる状態になっていることが判明。

・「MAGICAL JUKE BOX」公式Xアカウントのダイレクトメールの内容にあった個人情報を含む情報が閲覧できる状態になっていることが判明。

2.流出可能性のある情報の範囲と内容

1)範囲:当該イベント用 Google アカウントに紐づく Google ドライブに格納されていた情報

2)内容:

・当該イベント開催時のアンケート回答情報(X アカウント 143 名分の性別、年齢層情報など)

・公式 X アカウント受信ダイレクトメールの内容にあった 1 件の個人情報

3.現在の対応

アンケート回答情報にある X アカウント 143 名、および公式X アカウント受信ダイレクトメールにあった個人情報に該当する 1名のうち、連絡可能な方には個別に連絡済みです。これまでに二次被害の報告はありません。また、外部専門機関による調査の結果、不正アクセス先は、Gmail、Maps、X、YouTube Creatorおよび YouTube サービスであることが判明し、二次被害の痕跡はありませんでした。

4.今後の対策と再発防止

当社は引き続き、再発防止に向けて当社のセキュリティに関するインシデント対応のチームおよび関係各所のセキュリティ責任者とともに、外部の専門機関とも連携し、セキュリティインシデントへの迅速かつ効果的な対応能力を高めてまいります。また、SNS アカウントをはじめとする個人情報取り扱い業務における管理体制の厳重化を全社員に向けて徹底していきます。なお、本件につきましては、今後お知らせすべき内容が判明した際には、速やかにお知らせいたします。関係各位には、多大なるご心配をおかけしましたこと、重ねて深くお詫び申し上げます。

リリース文アーカイブ

【2024年10月2日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-507】松前町 メールの誤送信による個人情報の漏えいについて 2024/11/8

 

この度、松前町総務部危機管理課の担当者が主催事業の応募結果メールを送付する際に、誤って、受信する人が全員のメールアドレスを見ることができる状態でメールを送信してしまったため、該当者の皆さまのメールアドレスがほかの皆さまに漏れることになってしまいました。

関係者の皆さまに多大な御迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

(1) 発生日

   令和6年11月8日(金曜日)

(2)発生場所

   松前町総務部 危機管理課 危機管理係

(3)漏えいした個人情報

   親子防災キャンプに参加申し込みをいただいている方のメールアドレス12件

2 再発防止策

 今回の事故の経緯及び原因を確認するとともに、職員に対し、個人情報等の取扱い及び情報管理の徹底を図り、再発防止に努める。  

リリース文アーカイブ

【セキュリティ事件簿#2024-506】ジュピターショップチャンネル株式会社 当社Web サイトへの不正ログイン発生のお詫びとお知らせ 2024/11/19

 

平素よりジュピターショップチャンネル株式会社(以下「当社」)が運営するECサイト(https://www.shopch.jp)(以下「当社サイト」)をご利用いただきまして誠にありがとうございます。

この度、当社サイトへの不正なログインが発生し、一部のお客さまの個人情報(①氏名、②住所、③電話番号、④Eメールアドレス、⑤生年月日(月日のみ))が不正に閲覧された可能性があることを確認いたしました。ご登録されていた方のクレジットカード番号の下4桁と有効期限も閲覧された可能性がありますが、カード利用に必要な全桁のカード番号やセキュリティコードについては、当社システム上にデータを保有していないため、クレジットカード情報の全てを閲覧された可能性はありません。

現時点では、「なりすまし」による不正購入等の発生は確認されておりませんが、関係行政機関に届出の上、引き続き不審なアクセスの監視および、受注データのチェックを行ってまいります。

お客さまをはじめ、関係者の皆様に多大なるご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。

現時点で確認している事態と当社の対応は次のとおりです。

1. 経緯・状況

2024年11月15日(金)10:30頃より、当社ECサイトに対し不審なアクセスが発生していることを確認いたしました。2024年11月19日(火)10:00時点で約15,000件の不正ログインによるお客さま個人情報へのアクセスを確認しております。

2. 対応策

不正ログインのあったお客様のアカウントに対し、当社にてパスワードのリセットを実施いたしました。

3. お客さまへのお願い

本件対象となるお客さまにおかれましては、当社より個別にご連絡いたしますので、パスワードの再設定をお願いいたします。再設定の際は、他のサービスなどで設定されているパスワードのご利用や第三者が容易に推測できるパスワードはお控えいただき、極力過去に使ったことの無いパスワードでの設定をお願いいたします。

また、今回個別にご連絡を差し上げていないお客さまにおかれましても、他のサービスなどで設定されていないパスワードや第三者が容易に推測できないパスワードへ変更いただくようお願いいたします。

本件の専用窓口 フリーダイヤル 0120-772558

開設曜日:土日祝を含む毎日 10:00-20:00

当社といたしましては、今回の事態を厳粛に受け止め、再発防止に向けて不正アクセスの監視強化とセキュリティレベルの更なる向上に努めてまいります。

尚、個人情報保護委員会、JIPDEC(プライバシーマーク認証団体)、JADMA(認定個人情報保護団体)への報告も実施しております。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】株式会社東海信金ビジネス 「業務委託先への不正アクセスによる個人情報漏えい」 に関する調査結果と再発防止策等について 2024/11/15


2024 年 7 月 5 日に公表いたしました、業務委託先(以下「イセトー社」)への不正アクセスによる個人情報漏えい事案につきまして、お客様及び委託元信用金庫様に多大なるご迷惑とご心配をおかけしましたことを改めて深くお詫び申し上げます。

イセトー社が複数のセキュリティ専門会社に委託して行った調査等により明らかになった原因及び再発防止策、並びに今後の当社対応につきまして、下記のとおりご報告申し上げます。

当社としては、今般の事案の反省を踏まえ、改めて個人情報の取扱いにかかる社内教育を強化するとともに、今後の業務委託先管理になお一層の万全を期し、お客様や委託元信用金庫様の負託に応えてまいります。

1.本事案の概要(2024 年 7 月 5 日公表済)

2024 年 5 月 26 日に当社がダイレクトメールの印刷・発送を委託しているイセトー社のサーバーやパソコンがランサムウェアに感染し、同年 7 月 1 日には委託元信用金庫のお客様の個人情報が漏えいしたことが確認されました。

(1) 漏えいしたデータの種類

2023 年 9 月時点のダイレクトメール作成時に出力されるログデータ

(2) 含まれる個人情報

氏名
※なお、ダイレクトメール自体の内容の漏えいはありません。

(3)対象件数

69,403 件(委託元信用金庫が公表した名寄せ後件数合計) ※延べ 77,202 件

2.個人情報漏えいの原因と再発防止策の概要

(1) 
イセトー社では、受託業務にかかる個人情報については一般事務に使用するネットワークとは異なる閉域のネットワーク内のみで処理を行い、作業終了後に速やかに削除するルールとなっています。しかしながら、受託業務に付随する一部の事務処理が本来個人情報を取り扱ってはならないネットワーク上で行われ、かつ当該個人情報の一部が処理終了後も削除されないまま残存していました。この理由について、イセトー社では、受託業務に伴って付随的に発生するデータの処理がルール化されておらず、全社的な統制がとれていなかったためとしています。

直接的な原因はランサムウェア被害によるネットワークへの侵害ですが、上述のような個人情報の取扱いの結果、不正アクセスによって個人情報が窃取されることとなりました。

なお、7 月 5 日付で公表した内容以外の情報が漏えいした事実は確認されておらず、これまでお客様における二次被害も確認されておりません。

(2) 
上記原因を踏まえ、イセトー社では概要以下のとおり再発防止策に取り組んでい
るほか、特別調査委員会を設置して調査結果の検証等を進めています。

 

① ランサムウェア侵害に関する再発防止策
  • いわゆる「ゼロトラスト」を前提とした体制への移行(VPN を使用しない体制とし、認証強化を図るとともに、不正アクセスが起こらない環境を構築)等
② データ保管に関しての再発防止策
  • 預託データを一般事務に使用するネットワーク内に移送できない仕組みを構築し、今後は、閉域のネットワークのみでデータを処理(認証強化)
  • 削除ルール、保管期限を明確に定め、個人情報の削除とチェックを徹底し、監査で確認
③ 社員の意識に関する再発防止策
  • 個人情報を含む情報セキュリティに関する教育、業務プロセス変更に伴うルール遵守に関する教育を実施 
  • 業務執行体制の変更ならびに行動規範に関する教育など、定期的な教育を継続
④ 内部統制を管轄する部門の創設
  • 承認プロセスの明確化、事務フローの再構築、リスク評価基準の再設定などを行う内部統制部門を創設等
(3)
 当社では、イセトー社に対し引き続き再発防止策の実行計画に基づく着実な実施と品質保証を強く求めるとともに、個人情報の取扱いの適切性、ネットワークの安全性等を確認した上で同社から報告書を受理し、当面の業務委託を継続しています。 
なお、当社は報告書の受理に際し、イセトー社に以下の点を申し入れており、進捗の都度、報告を受けることとしています。

 

① 原因に関し、現在実施中の特別調査委員会の調査等によって今後新たな事実が判明した場合には、速やかに報告するとともにその概要を公表すること

 

② 再発防止策に関し、当面の間、その進捗状況を毎月報告すること

 

③ 品質保証に関し、再発防止策の有効性とネットワークの安全性が客観的に確認できるよう早急に外部専門家によるシステム監査を受検し、その結果を報告すること

 

④ 事業継続計画に関し、まとまり次第その概要を報告するとともに、引き続き財務情報を継続的に開示すること

(4) 
今後の業務委託について、当社としては、イセトー社が講じる再発防止策の有効性やネットワークの安全性、事業継続計画の妥当性等を検証するとともに、業務委託先の変更など他の選択肢を含め引き続き検討してまいります。

3.委託先管理にかかる今後の当社対応

(1) 
当社では、イセトー社を含めた個人情報を取り扱う業務委託先に対して、業務委託契約に基づき定期監査や必要に応じ実地調査等を行っていますが、今後これまで以上に臨時監査や実地調査を機動的に実施するとともに、業務委託先が実施する外部専門家によるシステム監査や各種認証等の状況を随時確認し、必要に応じて改善を求めるなど委託業務の安全性と品質の向上に努めてまいります。

 

(2)
また、上記業務委託先に対して、金融庁と日本銀行が金融機関のサイバーセキュリティ管理態勢の強化を促すために整備・公表しているサイバーセキュリティセルフアセスメント(CSSA)点検票に準じた再点検を要請するなど、委託先管理を強化することといたします。

 

(3) 
更に、業務委託先における事業継続に懸念がないかを定期的に確認するため、全ての業務委託先に対して財務情報の継続的開示を求めてまいります。

 

(4) 
現在の業務委託契約の内容については、現時点では概ね妥当なものと考えていますが、今後必要が生じた場合には速やかに見直しを行うなど、適切な委託先管理に努めてまいります。


【2024年7月5日リリース分】

【セキュリティ事件簿#2024-505】株式会社あさひ ネット通販サイト(ご自宅配送)における個人情報漏えいの可能性について 2024/9/18

 

日頃よりサイクルベースあさひネット通販サイトをご愛顧いただき、誠にありがとうございます。

2024年9月13日(金)に、弊社ネット通販サイトのご自宅配送に関わる倉庫管理システムを提供する株式会社関通(以下「関通」)から「ランサムウェアによるサイバー攻撃を受けた結果、個人情報漏えいの可能性がある」との報告を受けて以降、お客様には多大なご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。

以下のお知らせにてご案内をいたしておりました「対象のお客様」について、より詳細な限定ができましたため、ご案内申し上げます。対象のお客様には別途メールにてご連絡いたします。

新たに対象が判明したお客様にはご迷惑をおかけしておりますこと、またご案内が遅くなりましたこと深くお詫び申し上げます。

2024.09.18 ネット通販サイト(ご自宅配送)における個人情報漏えいの可能性について

<対象のお客様>

ネット通販サイト(公式オンラインストア、楽天市場店、Yahoo!店)でご自宅配送を指定してご注文をいただき、2024年6月26日(水)から9月26日(木)までに「ご注文商品 発送完了のお知らせ」 メールを受け取られたお客様。

※ご注文をキャンセルされた場合も含まれます。

※ネットで注文、お店で受取りサービスは対象外です。

なお、本事案につきまして、株式会社関通より2024年10月21日付で「現時点までにお客様の個人情報が漏えいした事実は確認されなかった」との最終報告を受けております。詳細については以下のお知らせにてご確認いただきますようお願いいたします。

2024.10.23 【更新】ネット通販サイト(ご自宅配送)における個人情報漏えいの可能性について

引き続き、弊社ではセキュリティ対策の強化に努め、お客様に安心してご利用いただける環境を整えてまいります。今後ともサイクルベースあさひを何卒よろしくお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-504】群馬県産業支援機構 迷惑メール送信事案の発生について 2024/11/15

 

このたび、公益財団法人 群馬県産業支援機構「よろず支援拠点」のメールアカウントを不正利用し、第三者からの迷惑メールが送信されていたことが判明しました。

つきましては、当機構から不審なメールを受信された方におかれましては、ご注意いただき、リンク先は開かずに速やかに削除してくださいますようお願いいたします。

なお、現時点で本事象による個人情報等の機微情報の流失は確認されておりません。

この度は、多くの方々に大変なご迷惑をおかけしましたことを、深くお詫び申し上げます。

1. 概要

令和 6 年 11 月 12 日(火)18 時 59 分から 22 時 20 分にかけて、当機構内「群馬県よろず支援拠点」職員が利用するメールアカウントが第三者に不正に利用され、このメールアドレスから大量の迷惑メールの送信が行われました。送信された件数は調査中ですが、数千件以上と見込まれております。

2. 不正に使用されたアカウント

当機構内「群馬県よろず支援拠点」ドメイン(@yorozu-gunma.go.jp)

3. 原因

原因は現在精査中ですが、「群馬県よろず支援拠点」事業で利用しているメールアカウント2件に対して、外部から不正侵入が行われ、不正使用されたものであると考えられます。

4.対応状況

迷惑メールの送信が行われたことを管理サーバーが検知し、当該アカウントへのアクセスを遮断する等必要な措置を実施しました。

5. お客様へのお願い

該当ドメインから「内容に心当たりがない」「怪しい」と思われるメールを受信された場合は、ウイルス感染やフィッシングサイトへの誘導などのリスクがあります。

添付ファイルの参照やメール本文中の URL のクリック等を行うことなく、メールを削除していただきますよう、よろしくお願いいたします。

6. 再発防止策について

事実関係の詳細が判明次第、セキュリティの安全性について見直しを行い再度徹底致します。

7. その他

新たにお伝えすべき情報があるときは、当ホームページ上で適宜情報開示を行ってまいります。

なお、「よろず支援拠点」(※)以外の職員が利用するメールカウント(ドメイン名「@ginf.or.jp」)についての不正利用は確認されておりません。

※よろず支援拠点とは、国が全国に設置している無料の経営相談所です。

リリース文アーカイブ