本件について、社内で対策本部を設置し、外部専⾨家の助⾔を受けながら、影響の範囲等の調査と復旧への対応を進めております。また、本件の対応についてご指導いただくべく、各関係機関へ相談を開始しているところです。
現時点ではデータ漏洩や範囲を明確に特定する事が出来ていない状況ではありますが、本件を徹底的に調査し、早期解明と再発防⽌に全⼒を投⼊してまいります。
この度の事件では、社内業務に著しい障害を⽣じさせたと共に、お取引様、関係先の皆様におかれましては、多⼤なるご不安とご迷惑をおかけすることとなり、深くお詫び申し上げます。
当社は、本件の迅速かつ適切な解決に向け、必要とするリソースを全⼒で投⼊し、情報のセキュリティを当社の最優先事項として、解決にむけ最善を尽くし対応にあたる所存であります。
令和6年11月27日に本市ホームページに掲載いたしました市内小学校のパーソナルコンピューター(PC)が不正アクセスを受け、個人情報が流出したおそれがある事案につきまして、外部調査機関による被害状況および影響範囲の調査が終了したため、その結果についてご報告申し上げます。
なお、現時点において、本事案に関わる被害は確認されておりませんが、皆さまにご迷惑とご心配をおかけしましたことにつきまして深くお詫び申しあげます。
本市小学校教諭が、校務用パソコンにてインターネットを閲覧中に偽のセキュリティ警告が表示され、遠隔操作ツールをインストールされた。当該PCでは、下記の情報が閲覧可能な状況でした。
・当該PCに接続されていたUSBメモリ及び校内ファイルサーバに保存されていた個人情報
当該小学校の令和4年度~令和6年度全学年の児童名簿(児童氏名、生年月日、性別、ふりがな、郵便番号、住所、保護者氏名とふりがな、電話番号、緊急の番号)対象児童 約700名分
・当該PCおよびUSBメモリにマルウェア検知されたファイルはない。
・遠隔操作中にローカルファイルおよびネットワーク上の他端末にアクセスした履歴、
情報の窃取が可能なプログラムが実行された痕跡はない。
・調査対象PCが不審な通信を行っていた痕跡はない。
この調査結果を踏まえ、対象機器の情報が閲覧または窃取された痕跡は無く、遠隔操作された端末よりファイルサ ーバへのアクセスはないことから、情報流出は発生しなかったと判断いたしました。
全ての職員に対し、今回の事案の内容を周知し、ネット上で不審なアクセスを受けた場合の注意点と対処方法について周知徹底を図ります。今後もいっそう情報管理に万全を尽くすとともに、情報セキュリティ教育の更なる充実を図り、同様の事案の再発防止に努めて参ります。
【2024年11月27日リリース分】
2024 年 12 月 16 日にお知らせいたしましたとおり、当社の海外子会社「A.B. Hotels (The Arch London) Limited」が英国で運営するホテル「The Prince Akatoki London」において、使用しているネットワークシステムに不正アクセスがあったことが確認されました。同システムは不正アクセスを検知すると同時にシャットダウンすることで、外部からのアクセスを遮断しておりましたが、現在は安全が確認されたためすべて復旧しております。不正アクセスの発覚後、外部の専門機関の協力のもと、情報漏洩の有無等の影響範囲について確認を行っておりましたが、調査の結果、情報が漏洩した事実は確認されませんでした。
お客さまをはじめ関係の皆さまには、多大なるご心配をおかけいたしましたことを深くお詫び申しあげます。
本件については、すでに現地子会社より英国データ保護機関(ICO)へ報告しております。
詳細は以下のとおりです。
The Prince Akatoki London
※所在地: 50 Great Cumberland Place, Marble Arch, London W1H 7FD
日本時間 2024 年 12 月 10 日 11:15P.M.頃(現地時間 12 月 10 日 2:15P.M.頃)
同ホテルが使用しているネットワークシステムが不正にアクセスを受けました。なお、システムは不正アクセスを感知したと同時に自動的にシャットダウンされ、外部からのアクセスを遮断しておりましたが、現在は安全が確認されたためすべて復旧しております。
情報漏洩の被害等が発生していないかも含めて専門機関による調査を行いましたが、情報が漏洩した事実は確認されませんでした。
既存のシステム管理(多要素認証(MFA)を含む)の見直しに加え、情報システム全体にわたって XDR(サイバー攻撃を受けた際、攻撃の痕跡を検知、可視化することで、インシデントの調査、原因特定、対処を行う機能)を強化しました。
【2024年12月16日リリース分】
カシオ計算機株式会社(以下「当社」といいます)が2024年10月11日に公表いたしました通り、当社のサーバーがランサムウェア攻撃を受けた不正アクセス事案につきまして、お客様及び関係者の皆様には多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
当社は、外部のセキュリティ専門家の支援を受けながら、本件の不正アクセスの原因特定、被害状況の確認等のフォレンジック調査を行って参りました。この度、当該調査が現在可能な限りで完了し、改めまして、個人情報を含む当社の内部資料に関するデータの一部が外部に流出したことを追加でご報告申し上げます。詳細は以下の通りとなります。
なお、本件に関する従前の経緯については、2024年10月8日付けの「当社ネットワークへの不正アクセスによるシステム障害について」及び同月11日付けの「当社におけるランサムウェア被害に伴うサービスの一部停止と情報漏えいに関するお知らせ」をご参照ください。また、新たに公表すべき事実が判明した場合は、速やかに当社ホームページにてお知らせいたします。
2024年10月5日、当社のサーバーが海外から不正アクセスを受け、ランサムウェア攻撃によりシステムが使用不能にされました。調査の結果、この原因としまして、昨今のサイバー攻撃の増加を受け、当社はシステム・セキュリティの強化を推進して参りましたが、フィッシングメール対策及び海外拠点を含むグローバルでのネットワークセキュリティ体制に一部不備があったため、海外からの巧妙なランサムウェア攻撃に対処できなかったことにあります。
ランサムウェア攻撃に伴い個人情報を含む社内資料のデータの一部が窃取され、データ流出を確認しました。当該流出データを調査したところ、下記「2.漏えいが確認された個人情報」に記載した個人情報が含まれていることを確認しております。
上記の他、顧客データベースやお客様の個人情報を扱うシステムからデータが窃取された痕跡は確認されませんでした。
調査の結果、ランサムウェア攻撃を受けたサーバーを中心に、当社が社内業務用に保管していた社内文書等のデータの一部が流出していることが確認されました。
流出した社内文書には当社従業員に関する個人情報が含まれ、また、一部のお取引先様やお客様に関する情報も含まれていたことが確認されております。
調査の結果を踏まえ、対象のお取引先様及びお客様の特定を進めており、特定次第、個別にご連絡をさせて頂きます。当社は、個人の大切なプライバシーを保護するために、必要な措置を積極的に講じてまいります。
なお、漏えいが確認された個人情報の中にクレジットカード情報は含まれておりません。
※これまでお知らせいたしました通り、当社のアプリやサービスに利用されるCASIO ID及びClassPad.netサービスのシステムは今回の不正アクセスを受けたサーバーとは別のシステムで稼働しており、本件不正アクセスの影響を受けておりません。
※2024年12月3日、個人情報保護委員会へ確報を提出しております。また、海外のデータ保護監督当局に対しても、適用される法令に基づき適時に必要な報告を実施しております。
※当社は、捜査機関、外部の弁護士及びセキュリティの専門家にも相談し、不正アクセスを行ったランサムウェアグループからの不当な要求には一切応じていません。
セキュリティの専門家の支援、監修のもと、海外拠点を含むグループ全体のITセキュリティの強化を継続的に実施してまいります。
情報管理体制の見直しを行い、ルール徹底のために社内教育を強化することにより再発防止に努めてまいります。
現時点で、一部の個別サービスを除き、システム障害により稼働停止していた当社のサービスは、安全性を確認の上、再開いたしました。ご利用者の皆様には、長らくの間ご不便をおかけし申し訳ございませんでした。
現在までに、当社従業員から、いくつかの本件不正アクセスとの関連性をうかがわせる迷惑メールの二次被害が確認されたとの報告を受けております。なお、当該迷惑メールは当社従業員に送付されたものであり、現時点で、お取引先様やお客様に対する二次被害等のご連絡は受けておりません。
関係者のプライバシーと安全を守り、二次被害を防止するため、SNS等を通じた情報等の拡散はお控えくださいますよう、皆様にご協力をお願い申し上げます。
迷惑メールの送付や関連したフェイク情報の発信、漏えい情報の対象となった方々や当社及び当社関係会社従業員等への誹謗中傷その他の迷惑行為が発生した場合は、当社は警察と連携して厳正に対応してまいります。
当社は、上記の再発防止策に真摯に取り組み、お客様、お取引先様等関係者の皆様に信頼いただける商品とサービスをご提供するとともに、当社の従業員関係者にも安心してともに働ける企業となれるよう、日々改善を実践してまいります。
ご迷惑をおかけすることになった関係者の皆様には、改めまして深くお詫び申し上げます。
【2024年10月11日リリース分】
【2024年10月8日リリース分】
株式会社モダリス(本社:東京、代表取締役 CEO: 森田晴彦、以下モダリス)は、当社子会社において、取引先を装った悪意ある第三者からの虚偽の支払い指示に応じて資金を流出させる詐欺被害が発生し、90 千米ドルの損失が生じる事案が発生いたしましたのでお知らせします。
株主の皆さまを始め多くの皆さまにご迷惑とご心配をおかけすることとなりましたこと、深くお詫び申し上げます。
2023 年の初頭に、取引先(以下、「A 社」という)に依頼し、8 月後半に実際に納品のあった仕事に対し、11 月後半に A 社の名を騙った人物(以下、かかるメール送信者を「犯人」という)からメールで支払依頼があり、この請求に応じて虚偽の犯人銀行口座に当社が代金を支払うという被害が発生しました。
A 社は米国に拠点を有する製造委託先で、当社と A 社は、事件発生以前より複数回の取引がありました。A社は納期や、成果物の品質も一定の水準を満たしており、また価格やオーダーの追加、変更などを含み、様々な当社の要請に対して柔軟に応じており、仕様の変更や、取引条件の変更についてのやり取りも少なくありませんでした。
こうしたやりとりの中、A 社の取引担当者の正式なメールアカウントが何らかの方法で乗っ取られ、当社とA 社で実際に取引を行った受委託事案に関する請求書が、先方のメールサーバーから犯人によって送信されて、当社側の担当者が受信をいたしました。その指示に従い、当社の担当者から依頼を受けた経理部門が指定先の口座に送金を行いました。
その後、先方 A 社の経理部門から同一事案について重ねて請求が行われたことから、当社が送金の照合をしたことによって、送金先が虚偽の銀行口座(犯人口座)であったことが判明いたしました。当社は直ちに地元当局に連絡を行うと共に、当社の送金元銀行および犯人口座のある銀行に連絡を行い、犯人口座の凍結をすることに成功をしました。またその時点で送金額の相当額が、当該口座から出金されずに維持されていることを、当社代理人を通じて確認できました。
数ヶ月にわたる送金元の当社口座のある銀行、および犯人口座のある銀行とのやりとりおよび手続きの後に、当社に対して銀行側が回収できた額の返金がありました。被害額の負担についての取り扱いを A 社との協議を経て、一定の割合で双方が被害額を負担することで合意をいたしました。また、これと平行して当社は保険会社に対して電子的詐欺行為の保険請求を行い、一定額の補償が認められました。結果的に当社の最終的な損失として、90 千米ドル(約 14 百万円)が確定するにいたりました。
本件については被害が判明した時点より捜査機関が捜査を行っていますが、犯人につながる有力な情報は得られていません。また、当社代理人を通じて、銀行側に犯人および不正に関わる情報の取得を試みましたが、回収額以上の情報は銀行側の守秘義務を理由に得られていません。
犯人からのメールが、適格なタイミングかつ適格な内容を装って送信されていることから、犯人は A 社担当者のアカウントを乗っ取った後に、ある程度の期間当社と取引先のやり取りを観察し、商業条件だけでなく、個人的な関係性や支払時期も理解した上で絶好のタイミングを狙って当該取引先の名を騙ったメールを送付してきたと思われ、ハッキングの手技に加えて極めて巧妙な手口の詐欺であったと推測されます。
今回当社側では、当社が保有する顧客に関する情報は漏洩していないと判明しております。また、現時点までの調査では漏洩された個人情報や漏洩を疑わせる事実は確認されていません。
今回の事案は A 社側担当者のメールアカウントが乗っ取られたことに端を発していますが、当社側でもメールなどの通信ツールアカウント等のパスワード保護、二段階認証の徹底をすると同時に、取引相手側にもこういったことが起こりうる可能性に備えて、送金の際には複数の通信方法による確認、社内の送金プロセスの見直しなどを行って参ります。また当社が口座を保有する銀行とは、こうした電子的詐欺行為への対策を継続的に協議しており、常に最新の情報にキャッチアップすると同時に、対応をアップデートしてまいります。また本件以外のケースにおいては被害には至っていないものの、当社をターゲットとした詐欺行為と思われるアプローチは頻繁に受けており、こうしたリスクに備えた社内体制の整備を徹底してまいります。
最終的に当社側には 90 千米ドル(約 14 百万円)の特別損失が生じ、2024 年 12 月期に反映される見通しです。今回の詐欺被害において、大半の送金額の回収に成功したために、最終的な当社損失額は限定的ではありましたが、投資家の皆様からお預かりした資金に損害が少なからず発生したことには深くお詫び申し上げます。
このたび、シャトレーゼホテル長野において利用しているBooking.com社の宿泊予約情報管理システム(以下、管理システム)に対して、悪意のある第三者による不正アクセスが発生し、同社システムを経由して当ホテルを予約された一部のお客様にフィッシングサイトに誘導するメッセージが配信されたことが確認されました。また、この不正アクセスにより、同社システムに登録されているお客様の個人情報が閲覧できる状態であった可能性があることが確認されました。
日本時間2024年12月27日夜、お客様よりメッセージ「予約しているBooking.comから、不審なメッセージが届いているので確認してほしい」というメールとお電話がありました。
その後、当社情報責任者において 「Booking.com社」のシステムを確認したところ、同日23:50前後に「Booking.com経由」の一部のご予約者宛てに、当ホテルを装ったフィッシング詐欺サイトへの誘導と思われるメッセージが配信されていることを確認いたしました。
閲覧された可能性があるお客様の個人情報は以下の通りです。
氏名
住所
電話番号
国籍
宿泊日
メールアドレス
・12月30日現在、「Booking.com経由」以外でご予約を頂いたお客様の個人情報の漏洩事実はございません。あくまで 今回の事例は「Booking.com経由」して予約したお客様のみ漏洩の事実が判明しております。
・シャトレーゼホテル長野及び系列施設では、メールをお客様へ送付し、クレジットカード情報の提供依頼をすることはございませんので、万が一そのようなメールを受信された際は、入力等は絶対に行わず、下記ホテルまでご一報頂けますようご協力を宜しくお願い申し上げます。
※悪意を持った第三者が不正に配信されたメッセージからフィッシングサイトにアクセスした場合、クレジットカード情報を抜き取られ不正に使用されるおそれがあります。
・本事案はシャトレーゼホテル長野を「Booking.com社」経由でご予約を頂いたお客様に限定されております。
長野以外の、 系列シャトレーゼホテル、系列施設においては同様の事例は無いことを確認しております。
本件を受け、捜査機関へ協力要請を開始しており、Booking.com社とも連携をとりつつ、再発・2次被害防止に万全を期してまいります。
このたびは、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。
