【セキュリティ事件簿#2024-531】近畿大学 個人情報の流出について 2024/12/3

 

このたび、Googleフォームの設定ミスによる個人情報の流出が発生しました。

該当する学生、関係者のみなさまに、ご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。このような事態を招いたことを重く受け止め、今後、個人情報の取り扱いには厳重に注意し、再発防止に努めてまいります。

1.経緯

令和6年(2024年)11月15日(金)18時50分頃、入試運営業務に従事する学生158人に、アルバイトに関する情報登録フォームのURLを送付し、入力を依頼したところ、同日19時30分頃、学生から連絡があり、他の登録者の個人情報が閲覧できる状態であることが判明しました。20時00分頃、閲覧できないように設定を変更しましたが、この間、すでに登録済みの14人について個人情報が閲覧できる状態にありました。情報を見ることができたのは登録済みの14人のみであり、本日までに本件による被害の報告はありません。

2.流出した情報

対象者:フォームに情報を登録したアルバイト学生14人

内 容:氏名、学部・学科、学年、学籍番号、住所、電話番号、メールアドレス、口座情報、生年月日

3.対応

該当する学生には、11月17日(日)までに状況報告し、お詫びしました。また、不審な電話やメールなどがあった場合は、速やかに大学に連絡するよう伝えました。

4.今後の防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります。

①Googleフォームを使用する場合は複数名で動作確認を行い、登録テストを実施してから公開するように徹底する。

②教職員の情報セキュリティ研修の受講を徹底する。

リリース文アーカイブ

【セキュリティ事件簿#2024-530】オリオンホテル那覇 お客様の個人データ漏えいの可能性に関するお詫びとお知らせ 2024/12/2

このたび、オリオンホテル 那覇で利用している宿泊施設の予約・販売管理システムであるTL-リンカーン(以下「本件システム」といいます。)が第三者による不正アクセスを受け、オンライン予約サイトから宿泊予約した一部のお客様のご予約情報が漏えいした疑いを検出したと本件システムの提供ベンダーである株式会社シーナッツ社(以下「委託先」といいます。)より報告がございましたのでお知らせいたします。 

お客様にはご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。 

<概要及び原因> 

2024年8月20日、委託先より第三者が本件システムのログインID、パスワードを使用し、不正にログイン操作を行った疑いがある旨の連絡があり調査したところ、7月30日、31日にオンライン予約サイトから宿泊予約した一部のお客様のご予約情報が漏えいした可能性があることが確認されました。現時点で委託先へのサイバー攻撃やウイルス感染等の痕跡は発見されていないと報告を受けております。 

当社でもパソコンのウイルス感染調査を実施いたしましたが、サイバー攻撃やウイルス感染等の痕跡は発見されませんでした。なお、現時点で本件に関わる個人データの不正利用等の二次被害は確認されておりません。 

<漏えい等が発生、又はそのおそれがある個人データの内容> 

対象者:2024年7月30日から 2024年9月30日までのご宿泊日に、オンライン予約サイトから当施設への予約、予約に対する変更、予約に対する取消をされたお客様

情報項目:予約者氏名、住所、電話番号、メールアドレス、宿泊者氏名、 宿泊に関わる情報(宿泊日、泊数、室タイプ、室料金、宿泊人数等)

※クレジットカード情報は含まれません。 

リリース文アーカイブ

【セキュリティ事件簿#2024-529】神奈川県 公益財団法人神奈川芸術文化財団への外部からのサーバ攻撃について 2024/12/2

 

神奈川県立県民ホール本館、KAAT神奈川芸術劇場、県立音楽堂(以下「県民ホール等」という。)の指定管理者である公益財団法人神奈川芸術文化財団(以下「財団」という。)が利用しているサーバに対して外部から攻撃を受けたことが判明しました。

なお、個人情報等の流出の可能性については調査中です。

1 発生の状況

  • 令和6年12月1日(日曜日)午前2時32分:サーバの管理者(財団から受託を受けている事業者)が、サーバ内に発生した異常を検知したため調査するとともに、復旧対応。
  • 同日午前9時57分:復旧に至らず、サーバを遮断。
  • 同日午後2時25分:サーバの管理者からランサムウェアに感染した可能性が高いとの報告を財団が受けた。

2 サーバ内に保存されていた情報

  • 施設の管理や事業実施に関する情報
  • 財団の内部管理に関する情報、財団の組織に関する情報
  • 公演の出演者や利用者とのやりとり等に関する情報

(注記)公演チケットを予約・購入するために入会する「かながわメンバーズ」の会員情報等は、攻撃を受けたサーバには保管されておりません。

3 対応

情報流出の有無などの被害の詳細については、現在調査中です。

今後、原因究明するとともに、再発防止策について検討していきます。

4 その他

県民ホール等については、これまでどおり開館しています。

リリース文アーカイブ

【セキュリティ事件簿#2024-528】株式会社FUJI 連結子会社の社内ネットワーク障害の発生について 2024/12/2

 

株式会社FUJIは、ドイツの連結子会社である FUJI EUROPE CORPORATION GmbH(以下、「FEC」)において 2024 年 11 月 27 日(日本時間)にシステム障害が発生し、一部のサービスが提供できない事象(以下、「本事象」)が発生していることをお知らせいたします。

本事象の原因として、現時点では、FEC が利用しているサーバーに対して外部からの不正なアクセスが行われた可能性が高いと分析しております。

お客様および関係者の皆様に多大なるご心配とご迷惑をおかけすることとなり、心よりお詫び申し上げます。

詳細に関しては調査中ですが、現在、外部の専門機関の協力も得て、詳細な原因究明および個人情報やその他重要な情報などの情報流出の有無について確認を進めております。

なお、本事象を認識した時点で速やかに関係機関への報告を行い、外部からのアクセスを制限するなどの緊急対策を実施しております。本件について、影響を最小限にとどめるべく、FEC においては代替システムの立ち上げと復旧に向けて、現在対応を進めております。

注:FEC 以外のFUJIおよびFUJIグループ会社については、本件の影響を受けておりません。

今後においては、より正確な影響範囲を調査・特定し、お知らせすべき新たな事実が判明しましたら、改めてお知らせいたします。

リリース文アーカイブ

【セキュリティ事件簿#2024-527】富士電機株式会社 当社の子会社である富士電機インドネシア社におけるランサムウェア被害発生のお知らせ 2024/12/2

 

このたび、当社の子会社である富士電機インドネシア社において、現地独自ネットワーク内の一部のサーバ及び PC が暗号化されるランサムウェア被害が発生し、同社のお取引先様及び社員の情報の流出の可能性が否定できないことを確認いたしましたので、下記のとおりお知らせいたします。

なお、本件につきましては、既に現地当局への報告を行い、外部専門家の助言のもと、被害状況・原因の調査及び復旧に着手しております。

お取引先様をはじめ、多くの関係者の皆様にご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

【経緯】

・11 月 27 日(水)に、富士電機インドネシア社において、一部のサーバ及び PC へのアクセスができないことが判明し、マルウェアへの感染が疑われたため、当該 PC 及びサーバの LAN ケーブル切断及びインターネット通信停止による被害の拡散防止を実施するとともに、被害状況・原因の調査及び復旧に関する作業を開始

・11 月 28 日(木)に、ランサムウェア被害であることが確定し、外部専門家への協力を依頼

【被害を受けた可能性のある情報等】

現時点では確認中であるものの、富士電機インドネシア社のお取引先様情報(会社名、ご担当者様名等)及び社員情報が被害を受けた可能性があります。

【今後の対応】

現在初動対応中ですが、現地の警察及びデータ保護当局並びに外部専門家と連携を取りながら事態収束に向けて対応にあたります。

対象となるお取引先様には個別に報告させていただきます。

これまで国内外のグループ企業も含めたセキュリティ強化に努めてまいりましたが、今回の事態を受け、原因究明の上、再発防止に努めてまいります。

【セキュリティ事件簿#2024-412】ZACROS株式会社 ランサムウェア被害の経過について 2024/12/2

 

2024 年 9 月 27 日付「ランサムウェア被害の発生について」および 2024 年 10 月 22 日付「ランサムウェア被害の発生を受けた生産・出荷の現状について」でお知らせしました通り、当社で使用している生産管理システム及び基幹システムの一部のサーバーが、ランサムウェアの被害に遭い、保管していた情報の一部が暗号化される事案(以下 「本件」といいます。)が発生いたしました。

お取引先様をはじめ関係先の皆様にご迷惑をおかけしておりますこと、お詫び申し上げます。

現時点の状況について、下記のとおりご報告いたします。

1.漏えいした情報の一部がインターネット上に公開されていたことの確認と弊社の対応

弊社は、漏えい対象の法人および個人に対して、二次被害の注意喚起を実施することを目的に、漏えいした情報がインターネット上に公開されていないかについての調査を、外部専門調査会社等にて実施しております。

このたび下表の対象法人等の情報について公開されていることが確認され、対象の法人、個人に対し、弊社より個別にご連絡とご留意を申し上げました。

弊社は、引き続き外部専門調査会社による調査を実施し、今回と同様に情報の公開が確認された際には、対象者にお詫びとご説明を申し上げます。

また、身に覚えのない連絡を受けるなど、流出した情報の不正利用が疑われるようなことがございましたら、以下のお問い合わせ先までお知らせくださいますようお願いいたします。

情報種類内容等
法人関連情報・取引情報等 13 件弊社宛ご提案資料(表紙)、弊社内管理資料、等
うち個人情報 38 件弊社役職員 氏名・肩書
(2022 年 10 月 1 日現在の弊社職制図上の情報)

2.生産・出荷業務等の状況について

現在までに外部専門会社の助言を得てセキュリティレベル等を向上した上で各種システムを復旧し、生産・出荷等については本件発生以前の数量を回復し、他の業務につきましても平常時と同様に遂行しております。

3.今後の対応

引き続き外部専門会社および警察・個人情報保護委員会等と連携のうえ、情報漏えいへの対応を図るとともに本事案の再発防止策を実行して参ります。

4. 業績への影響

本件による業績への影響については、2024 年 11 月 13 日付「2025 年3月期 第2四半期(中間期)決算短信」および「2025 年3月期第2四半期決算補足説明資料」に記載しております。

【2024年9月27リリース分】

リリース文アーカイブ

【2024年9月15日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-526】大和ハウス工業株式会社 お客様情報等の外部流出に関するお知らせ 2024/12/2

この度、弊社が施工する物件の仮設現場事務所内で使用していた「ネットワーク対応ハードディスク」(以下「NAS」といいます)の設定不備により、お客様情報等を含むプロジェクト情報の一部がインターネットからアクセスできる状態になっていたことが判明いたしました。本件により、お客様ならびに関係者の皆様に多大なご心配とご迷惑をおかけいたしましたこと、心よりお詫び申し上げます。

本件発覚後、ただちに NAS をネットワークから遮断し、現在はアクセスできない措置を講じておりますが、NAS 内に保管していた一部の情報に外部によるアクセスが確認されました。なお、現時点において NAS 内に保管していた情報の悪用等、二次被害の事実は確認されておりません。

1.アクセスできる状態になっていた情報

・弊社集合住宅事業部門の一部の工事現場に関する情報

(図面、工事概要書、工程表、施工計画書、竣工検査報告書、発注先リスト 等)

※情報の中に、以下の個人情報が含まれておりました。

・物件に関係する施主様の氏名、工事関係資料等︓36 件

・物件名称に含まれる施主様の氏名︓約 5500 件

・近隣住民説明会に参加いただいた方の氏名等︓約 50 件

・お取引先様のご担当者様の氏名、作業員に関する情報等︓約 8300 件

2.外部からのアクセスが確認された期間およびアクセス数

・期間︓2023 年 12 月 13 日~2024 年 10 月 16 日

・アクセス数︓20 件、のべ 48 ファイル

※対象となる NAS は 2021 年 9 月から施工現場の仮設事務所内で使用されていましたが、2023 年 12 月 12 日までは外部からのアクセスは確認されておりません。

※対象の施主様、取引先従業員様、弊社派遣社員については、ご報告ならびにお詫びしております。

3.発覚後の対応状況

・次の措置を速やかに講じるとともに、本件に関するお客様ならびに関係者に対し、事実関係のご報告ならびに謝罪を進めております。

① 外部からのアクセスが可能となっていた NAS のネットワークからの遮断

本件発覚後、ただちに NAS をネットワークから遮断し、現在はアクセスできない措置を講じております。

② 外部からの NAS へのアクセス状況の確認

NAS 内に保管していた一部のプロジェクト情報に対して外部からのアクセスが確認されました。

③ 二次被害状況の確認

現時点において NAS 内に保管していた情報の悪用等、二次被害の事実は確認されておりません。

④ 同様の情報機器の使用状況の確認、使用中止、回収

本件以外にも他の施工現場で同様の機器が 29 台使用されていましたが、いずれも外部からのアクセスを遮断する設定がなされていることを確認しています。

⑤ 本件に関する個人情報保護委員会への報告

4.再発防止措置

・施工現場の仮設事務所内における情報セキュリティ対策が不十分であったことを真摯に受け止め、情報セキュリティに関する社内ルールの見直し(遵守状況確認も含む)を行うとともに、従業員に対する教育を徹底し、再発防止に取り組んでまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-525】熊本県 くまもとグリーン農業ホームページへの不正アクセスによる個人情報流出の可能性について 2024/11/30

 

県が運用しているくまもとグリーン農業ホームページの一部が外部からの攻撃を受け、県が管理している生産宣言者及び応援宣言者の個人情報の一部(氏名、住所、電話番号)が流出した可能性があります。

アクセスログ解析によると、攻撃者のモニター画面に情報が表示されるものであり、ダウンロードされるものではありませんでした。

現在、攻撃を受けた該当ページは閉鎖しており、流出した可能性のある個人情報を精査しているところです。

くまもとグリーン農業に取り組まれている宣言者や応援いただいている皆様には多大なるご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。

今後、再発防止を徹底するとともに、対象の宣言者の皆様には改めてご連絡申し上げる予定としております。

リリース文アーカイブ