【セキュリティ事件簿#2024-313】白井市 市営水道の委託事業者による個人情報の流出の可能性について 2024/7/23

 

白井市営水道の業務委託先企業のネットワークが外部から不正アクセスを受け、当該企業のネットワーク上にあるファイルサーバーにアクセスするための業務用パスワード等が窃取され、その窃取されたパスワードを入力することで市営水道をご利用のお客様に関する情報が外部から閲覧可能な状態になっていたことが判明しました。

現時点において企業のファイルサーバーへのアクセスや外部への情報流出の痕跡は確認されておりません。また、情報が不正利用された事実も確認されておりません。

なお、不正アクセスを確認後、ネットワークへの外部からの経路は、速やかに遮断し、それ以降外部からアクセスできないよう対策を講じております。

1 概要

(1)発生の状況

市営水道の配水管や宅地内への引込管等の情報を一元管理する上水道施設管理システムの運用業務を委託している、東京ガスエンジニアリングソリューションズ株式会社(以下、「TGES社」という。)のネットワークが不正アクセスを受け、当該ファイルサーバーに保管されていた市営水道のお客様に関する情報が窃取されたパスワードを入力することで閲覧可能な状態になっていました。

(2)判明した経緯等

TGES社によると7月9日(火曜日)にサーバーに補完されている情報約416万人分について流出の可能性があることが判明しました。その中に白井市営水道のお客様に関する情報が含まれていたため、7月16日(火曜日)16時頃、TGES社から市にその旨の報告がされ、個人情報の流出の可能性を把握しました。

なお、TGES社では、不正アクセスが判明した時点でネットワークへの外部からの経路は速やかに遮断し、外部からアクセスできないよう対策を講じており、7月23日10時時点で情報流出の痕跡は確認されていないとのことです。

2 流出した可能性のある個人情報

・市営水道のお客様 約8千6百件の情報

(使用者名、住所、電話番号、水栓番号)※2023年3月9日時点

3 今後の対応

・TGES社から詳細な報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。

リリース文アーカイブ

【セキュリティ事件簿#2023-169】シークス株式会社 不正アクセスによる個人情報流出のお詫びとお知らせ 2024/7/23



当社は、2023年4月28日付け「ランサムウェアによる不正アクセスに関するお知らせ」にて公表したとおり、 当社サーバが第三者による不正アクセスを受けたこと (以下、「本件」といいます。) を確認いたしました。 不正アクセスを確認後、 被害の拡大を防ぐためにネットワークを遮断するなとの措置を講じたうえで、外部のセキュリティ専門機関と対策チームを設置し、 不正アクセスを受けた原因や感染経路、 被害範囲の特定、 情報流出に関する調査および再発防止に総力を上げて取り組んでまいりました。

本件に関して、お取引先様をはじめ、ご関係者の皆様には、多大なるご迷惑とご心配をお掛けいたしましたこと、 深くお詫び申し上げます。

調査の結果、 判明した事実および当社の対応について下記のとおりお知らせいたします。

1 . 調査結果

複数の外部セキュリティ専門機関との調査の結果、 第三者が特定の当社社員アカウントを不正に入手してインターネット経由で当社サーバにアクセスし、 当該サーバに保管されていた一部のデータが外部へ送信されたことを確認いたしました。 外部へ流出した可能性のある対象データは次のとおりです。

<お取引先様関連の業務ファイル>

業務上の連絡先なとど、 お取引先様の個人情報を含む業務ファイルが対象となかります。
業務ファイルとは、 業務上のやり取りで発生した書類テータおよびメールファイルなどを指します。
これらの業務ファイルには、計 1,603 名の個人情報が含まれており、 対象となる方には、 順次、お知らせしております。

なお、 現時点において本件による被害は確認されておりませんが、 不審な電話やメール等にはくれぐれもご注意ください。

2. 本件に関する各種報告

( 1 ) 2023年4月28日 大阪府東警察緒に被害届を提出いたしました。
( 2 ) 2023年5月8日、6月22日 個人情報保護委員会に報告をいたしました。

3. 再発防止策

本件を検知後、以下の取り組みを行いました。 今後も、より一層のセキュリティ強化に努めてまいります。

( 1 ) 多要素認証やパスワード強化などアカウント認証の高度化
( 2 ) サーバおよび端末を常時監視し不審な挙動を検知、 感染拡大を抑止する仕組みの導入
( 3 ) 当社従業員への情報セキュリティに関する知識及び意識向上の啓蒙

また、 本件につきましては、 皆様に不正確な情報を提供することで不要な混乱やご不安を与えることを避けるべく、 対象データの目視確認なと、 徹底的な社内調査を実施いたしましたため、 調査結果のご報告に相当な時間を要してしまいましたことにつきましても、 深くお詫び申し上げます。

今後、上記再発防止策を徹底し、 同様の事象を発生させない体制構築に努めてまいります。

このたびは、 お取引先様をはじめ、ご関係者の皆様に、多大なるご迷惑とご心配をお掛けいたしましたこと、 重ねてお詫び申し上げます。


【2023年4月28日リリース分】

【セキュリティ事件簿#2024-327】同志社香里中学校・高等学校 個人情報を記録したUSBメモリの紛失につきまして 2024/7/22

 

平素は本校の教育活動にご理解とご支援を賜り感謝申し上げます。

このたび本校専任教諭が2023年度卒業生の成績の一部を記録したUSBメモリ(パスワード管理、データ暗号化等のセキュリティ付)を紛失したことにつきまして、お知らせいたしますとともに、謹んで深くお詫び申し上げます。

現在、遺失物として探しておりますが、未だUSBメモリの所在が確認できておりません。情報漏洩などの事実も確認されておりませんが、もし流出にお気づきになったり、個人情報の流出により実害を受けられたりした場合は、本校までご連絡ください。

今後、このようなことが起きないよう再発防止に全力を尽くす所存です。

リリース文アーカイブ

【セキュリティ事件簿#2024-313】熊本市 上下水道局の委託事業者(東京ガスエンジニアリングソリューションズ株式会社)への不正アクセスによる情報漏えいの恐れについて 2024/7/22

 

当局の委託事業者(東京ガスエンジニアリングソリューションズ株式会社、以下「TGES」。)のネットワークが外部から不正アクセスを受け、一部のお客様に関する情報が外部から閲覧可能な状態になっていたことが判明しました。

1.経緯

7月17日(水曜日)9時27分、TGESより、同社のネットワークが外部からの不正アクセスを受け、システムの動作検証時に借用したデータの一部が閲覧可能な状況にあったとの連絡があり、個人情報の漏えいの可能性が判明しました。なお、TGESによれば、現時点での情報流出の痕跡は確認されておらず、ネットワークへの外部経路は遮断済みとの報告を受けています。

お客様にご心配おかけしておりますことを、深くお詫び申し上げます。

2.漏えいした恐れのある個人情報

熊本市の下水道をご利用の一部のお客様 約37,000人分の情報(水栓番号、住所、世帯人数、使用者名、使用水量等)(7月22日時点)

(注)電話番号、金融関係口座、クレジットカード情報は含まれておりません。

3.今後の対応

情報が漏えいした恐れのあるお客様への通知方法につきましては、TGESと協議の上、速やかに進めてまいります。また、今回の一連の経緯についてTGESから詳細報告を受けるとともに、原因究明および再発防止に向けた対策を求めていきます。

リリース文アーカイブ

【セキュリティ事件簿#2024-313】新座市 水道マッピングシステム運用再委託先において個人情報が閲覧可能となってしまった事象について 2024/7/22

 

1.概要

本市では、配水管やお客様の引込み管等の情報を管理するシステムについて、運用業務を水道マッピングシステム株式会社に委託しております。

令和6年7月17日に同社から、再委託先である東京ガスエンジニアリングソリューションズ株式会社のネットワークが外部から不正アクセスを受け、お客様に関する情報が閲覧可能な状態になっていたとの報告があり、情報流出の可能性があることが判明しました。

なお、不正アクセス確認後、速やかにネットワークの外部からの接続遮断を行い、令和6年7月19日時点で個人情報の不正利用等は確認されておりません。

2.対象の情報

 (1)年度 令和5年度

 (2)件数 88,627件

 (3)データ項目 お客様番号、水栓番号、使用者漢字氏名、水栓所在地、水栓所在地方書、使用水量、使用状況、口径、メーター設置年月日

3.今後の対応

委託業者に対し、個人情報の厳正な管理や情報セキュリティ指導の徹底について、再度指導・監督を行い、再発防止に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-313】宇部市水道局 個人情報流出の可能性について 2024/7/23

 

宇部市水道局の業務委託先である東京ガスエンジニアリングソリューションズ株式会社のネットワークが外部からの不正アクセスを受けたことが判明しました。

同社は、不正アクセス確認後、外部との接続を遮断し、それ以降の不正なアクセスができないよう対策を講じられています。

お客様情報などの個人情報の流出の可能性については、現在その痕跡は、確認されておらず、また、情報が不正利用された事実も確認されていません。

お客様には、ご心配をおかけしておりますことを深くお詫び申し上げます。

今後、新たな事実が判明した場合は、改めて報告いたします。

1 業務委託の内容

水道施設情報管理システム(マッピングシステム)の保守・管理

※このシステムは、水道管などの施設情報を電子化し一元管理するものです。

2 流出の可能性がある個人情報

使用者名、住所、水栓番号

なお、電話番号、金融機関口座情報は、含まれておりません。

リリース文アーカイブ

クラウドストライク、アップデートをしくじり顧客PCに対してBSOD(Blue Screen of Death)攻撃。~こういうことをされると自動アップデート機能は無効化せざるを得ない~

 

クラウドストライク社は、自社が提供するEDR製品のアップデートをしくじり、顧客のPCにブルースクリーンを発生させ、導入企業の業務遂行を妨害した。

ある意味、サプライチェーンリスクが発生した典型的な事例。

メーカーを信じて自動アップデートを行っているのに、こういうことをされると自動アップデートは怖くてできなくなる。

導入企業は自動アップデートを有効にしてセキュリティベンダーによる業務妨害のリスクにおびえるか、手動アップデートに切り替えてハッカーによる攻撃リスクにおびえるかのイヤな二択を迫られることになる。

クラウドストライク導入企業

導入しているのは事例を晒している企業を中心に以下の通り。

  • バンダイナムコ
  • サッポロホールディングス
  • アステラス製薬
  • 岐阜県中津川市教育委員会
  • 株式会社三菱UFJ銀行
  • ローツェ株式会社
  • バリュエンステクノロジーズ株式会社
  • 高知県庁
  • マクセル株式会社
  • 国立研究開発法人 国立環境研究所
  • 国立研究開発法人農業・食品産業技術総合研究機構
  • 株式会社 NTTデータ
  • サッポロホールディングス株式会社
  • 株式会社アスカネット
  • ディップ株式会社
  • Sansan株式会社
  • 鴻池運輸
  • 竹中工務店
  • クックパッド株式会社
  • Grupo Elfa
  • Intermex
  • Porter Airlines
  • NetApp
  • Locaweb
  • Roper Technologies
  • Vālenz Health
  • SA Power Networks
  • Cox Automotive
  • State of Wyoming
  • CMC Markets
  • Banco Galicia
  • Telus Health
  • State of Wyoming
  • Intel
  • 他多数
導入事例を晒していない企業でもデルタ航空やユナイテッド航空が被害を受けた模様。

クラウドストライクの声明


大切なお客様とパートナーの皆様、

本日の障害につきまして、皆様に直接心よりお詫び申し上げます。CrowdStrikeの全員が、状況の重大さと影響を理解しています。問題を迅速に特定し、修正を展開したため、お客様のシステムの復旧を最優先事項として真摯に取り組めるようになりました。

この停止は、Windows ホストの Falcon コンテンツ更新で見つかった欠陥が原因でした。Mac ホストと Linux ホストは影響を受けません。これはセキュリティ攻撃やサイバー攻撃ではありませんでした。

CrowdStrikeは、影響を受けたお客様やパートナーと緊密に連携して、すべてのシステムが復旧し、お客様が信頼するサービスを提供できるようにしています。

CrowdStrikeは正常に動作しており、この問題はFalconプラットフォームシステムには影響しません。Falconセンサーが取り付けられている場合、保護に影響はありません。Falcon CompleteおよびFalcon OverWatchのサービスが中断されることはありません。

サポートポータルを通じて、次の場所で継続的な更新を提供します。
https://supportportal.crowdstrike.com/s/login/
CrowdStrikeのブログ https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
最新情報については、引き続きこれらのサイトにアクセスしてください。

私たちは、CrowdStrikeのすべてを動員して、お客様とパートナーのチームを支援しています。ご質問がある場合や追加のサポートが必要な場合は、CrowdStrikeの担当者またはテクニカルサポートにお問い合わせください。

敵対者や悪意のある人物がこのようなイベントを悪用しようとすることはわかっています。皆さんには、警戒を怠らず、CrowdStrikeの公式担当者と連絡を取り合うことをお勧めします。当社のブログとテクニカルサポートは、引き続き最新のアップデートの公式チャネルです。

私にとって、お客様やパートナーがCrowdStrikeに寄せてくださる信頼と信頼ほど大切なものはありません。この事象を解決するにあたり、これがどのように発生したか、そしてこのようなことが二度と起こらないようにするために私たちが取っている措置について、完全な透明性を提供することを私はお約束します。

ジョージ・カーツ
CrowdStrike 創業者兼CEO

リリース文アーカイブ

【セキュリティ事件簿#2024-326】集英社 「リマコミ+」におけるメールアドレス等の漏洩に関するお詫びとお知らせ 2024/7/8

 

この度、ウェブサイト「リマコミ+」において、システム設計上のミスにより ID 識別の不具合が生じました。これにより、一部のお客様のアカウントに第三者の方がログインしてしまう状況が発生し、メールアドレス等が、他の方に閲覧された可能性があることが判明いたしました。なお、閲覧された可能性のあるお客様全員に、すでにメールにてお詫びとご連絡を差し上げました。

関係する皆さまに多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。

本件についての詳細は以下の通りです。

1、<漏洩した可能性のあるメールアドレス件数>

157 件

(うち 5 件はクレジットカード名義を含む)

2、<発生期間>

2024 年 6 月 25 日 12:00~7 月 4 日 14:40 頃

3、<漏洩した可能性のあるメールアドレス以外の情報>

・ニックネーム

・アイコン(設定されていた場合)

・My 本棚(閲覧履歴・お気に入り・レンタル履歴・いいね履歴)

・コイン履歴

・登録されたクレジットカードの下4桁/有効期限/名義

※第三者によるクレジットカードの使用は発生しておりません。

※有償コインが第三者によって使用できる状況にありましたが、そのような使用の有無にかかわらず、該当するお客様には、有償コインの購入代金を全額返金する対応をいたしました。

4、<原因>

ウェブサイト開発時の ID 識別システム設計ミス

5、<再発防止策>

スタッフ全員に対して、情報セキュリティに関する意識を高めるとともに、適切な管理体制の徹底をはかり、再発防止に努めます。

リリース文アーカイブ