株式会社ウイル・コーポレーション  弊社が運営する「ウイルダイレクト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年10月27日


このたび、弊社が運営する「ウイルダイレクト」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(2,426件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールもしくは書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年7月19日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2022年7月19日弊社が運営する「ウイルダイレクト」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2022年9月12日、調査機関による調査が完了し、2021年1月29日~2022年4月19日の期間に「ウイルダイレクト」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因
弊社が運営する「ウイルダイレクト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
2021年1月29日~2022年4月19日の期間中に「ウイルダイレクト」においてクレジットカード決済をされたお客様2,426名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・ECサイトのログイン情報(メールアドレス、パスワード)
・会員登録情報(電話番号)

上記に該当する2,426名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年7月19日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「ウイルダイレクト」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年7月20日に報告済みであり、また、所轄警察署にも2022年10月7日被害申告しており、今後捜査にも全面的に協力してまいります。

【搭乗記】ロイヤル・エア・モロッコ1447便(エルラシディア・ムーレイ・アリ・シェリフ空港⇒カサブランカ・ムハンマド5世国際空港)

 

サハラ砂漠(メルズーガ)からの帰り道を思案。

とりあえず、カサブランカまで移動しないといけないのだが、プライベートの送迎サービスを使うと600ユーロくらいかかる。

時間があればバス(Supratours)でマラケシュかフェズまで移動し、そこから鉄道でカサブランカに向かうこともできるが、時間が足りない。

飛行機移動だとどうだろうか?

モロッコの地図をGoogle mapで見てみると、サハラ砂漠の玄関口であるメルズーガの最寄りにエルラシディア空港(ERH)がある。


この空港のフライトスケジュールはどうなっているのだろう?

ロイヤルエアモロッコのサイトで検索してみると、カサブランカ行きは早朝に1日1便だけ飛んでいる。

ちょいと朝早過ぎるが、乗り継ぎのフライトは14時過ぎなので、選択肢としては全然アリ。

金額も手ごろなので、とりあえず抑えておく。


次にメルズーガからエルラシディアへの移動をどうするかだが、改めて見てみると最寄りの空港といいながら、100キロくらい離れている。。。


通常は前泊移動となるのだが、モロッコの場合、乗り合いタクシーでの移動となるため、移動時間が全く読めない。

今回とは逆ルートであるエルラシディアからメルズーガへの移動の様子はこちらの動画が参考になるかもしれない。

ほかに手はないものかと、今回のサハラ砂漠訪問で拠点にさせていただいた宿、リアドマムーシュモハさんに相談したところ、メルズーガからエルラシディア空港までの送迎が手配できるということだったのと、エルラシディアは何もないので、メルズーガで一泊して早朝移動した方が良い旨のアドバイスを頂き、提案通りにお願いすることにした。

800DHほどかかったが、時間にのんびりなモロッコにもかかわらず、お願いした午前4時にちゃんと来てくれた。時間を金で買うとはまさにこのことである。

そんな訳で、午前4時過ぎにメルズーガを出発し、午前6時ちょっと前にエルラシディア空港到着。


辺りはまだ真っ暗。

遠くに自分を送り届けてくれたタクシーが見えます。指定した時間にちゃんとピックアップしてくれたこと、無事空港まで送り届けてくれたくれたことに感謝の意を表してチップを進呈しました。


チェックインカウンターには行列ができていました。

尚、チェックインカウンターは1つしか開いていません。つまり、ビジネスクラスでも優先チェックインできません(笑)


手荷物検査とパスポートコントロールを終え、搭乗ゲートに向かいます。

後で気が付いたのですが、何故か国内線でもパスポートコントロール(IDチェック)があります。国際線利用時に見かける入出国審査と同じ感じで結構キッチリやります。

エルラシディア空港はボーディングブリッジが無い空港となるため、搭乗ゲートの先に沖止めの搭乗機が待機しています。


事前の調査ではラウンジがあるはずだったのですが、閉鎖されているようです。


奥に絨毯が敷いてあり、なんだろうと思っていたら、イスラム教のお祈り用でした。


しばらくすると、パイロットやCAがさっそうと機体に乗り込んでいきます。

CAは男性2、女性1。女性CAはアラビアの雰囲気でいいですね。スマホをいじりながら搭乗していったのが少し残念だったけど。

搭乗開始時刻となり、搭乗します。ロイヤルエアモロッコはワンワールドアライアンスメンバーですが、このフライトに関しては優先搭乗なるものは存在しなかった。


座席はこんな感じ。席は7A。エコノミークラスの最前列。


機材はエンブラエル E190


搭乗時にアルコールタオル貰います。
ちなみにビジネスクラスはウェルカムドリンクでモロッカンティーが振舞われていた。

ちなみに機内アナウンスはアラビア語とフランス語のみで、英語によるアナウンスは無かった。

また、武漢ウイルスの影響か、機内誌みたいなものは無かった。


持ち込まれた手荷物が多すぎたのか、ロイヤルエアモロッコのチェックが結構いい加減なのか、足元に大きい荷物置いたまま離陸。搭乗率は9割以上だったと思う。


エルラシディア離陸。周辺に何もない。。。


飛行時間1時間予定だったので、ドリンクサービスを期待していたがそんなものは無く、実質30分のフライトでカサブランカ到着。


カサブランカ空港でも沖止め。

CAがバスに入る瞬間をとらえることができた。


日本のフライトの国内線だと到着後そのまま手荷物受取に進むが、モロッコの国内線は到着後もIDチェックが行われる。

そういえば、カサブランカでの乗り継ぎがある場合は4時間以上余裕持つようにeチケットの控えに書いてあった気がする。

海外に出ると異なる常識に遭遇するが、それがまた良い刺激になったりする。

【Playback of flight AT1447 on 17 SEP 2022】


モロッコ滞在記~サハラ砂漠のデザートキャンプとクアッドバギー~

 

9月のサハラ砂漠は暑すぎるため、アクティビティは午前中か夕方からとなる。

17時過ぎに集合してサハラ砂漠の入口に向かうとラクダがスタンバイしている。


ラクダに乗ること数十分。ラクダをいったん降りてサンセットを満喫する。


日が沈むとあっという間に暗くなります。再びラクダに乗ってキャンプに向かいます。


キャンプに到着して食事をとります。


今回のデザートキャンプは自分とスペイン人4人の計5名。

お酒好きのスペイン人は何とスタッフにアルコールの買い出しを指示。

有難いことに私もカサブランカビールを頂く。


そしてベルベル音楽の宴が始まる。


スタッフの一人が怪しい日本語を話し、「トトロを歌え!トトロを歌わないと明日の朝はラクダ無しで歩いて帰るのだー」

なんて言うので、モロッコのサハラ砂漠まで来て、となりのトトロを歌う。。。

そんな感じで宴は深夜1時くらいまで続き、就寝。

この時期(9月)のサハラ砂漠は昼が暑すぎるため、夜はあまり冷えず、外でも寝られるらしい。

外で寝てもいいか聞いてみたところ、何とテントのマットレスを外に運び出してくれた。


ちなみに数日前は強風でデザートキャンプどころではなかったらしい。

この日は風もほとんどなく、「運がいい」と言われた。

サハラ砂漠で見る星はすごかった。

宿「リアドマムーシュ」のテラスからでも星空はたくさん見えるが、デザートキャンプで見る星は宿の倍はあった。

東京で見る星空と比較すると100倍から1000倍くらい星が多く見えた気がした。

ここで熟睡となればよかったのだが、明け方風が強くなり、正直あまりよく眠れなかった。

ちなみに外で眠れるといっても、朝はそれなりに冷えるのでダウンジャケットはあったほうが良い。

翌朝、日の出を見に行くため、7時頃に起こされる。

ちなみにラクダはこんな感じのまま夜を明かした模様。


数十分ラクダに乗り、朝日を堪能するためにいったん降りる。

ちなみにキャメルライド(乗ラクダ)はかなり揺れる。乗る際にハンドルに捕まるのだが、このハンドルが無いとキャメルライドは不可能である。

また、尻に布が引いてあるものの揺れのショックを吸収しきれず、尻が痛くなる。


日の出を見たら宿に戻り、朝食を取ってツアー終了。

宿に戻ったら日本人女性に遭遇した。

乗り合いタクシーでメルズーガまで移動してきたらしいが、4万円近くかかったらしい。

モロッコでは値段がディルハムのケースとユーロのケースがあってややこしい。

日本人女性は乗り合いタクシーで「300」と言われたので、300ディルハム(当時のレートで約4,000円)と思っていたが、300ユーロ(当時のレートで約43,000円)ということで、想定の10倍の費用が掛かったらしい。

ま、Supratoursのバスでマラケシュからメルズーガまでが300ディルハムなので、乗り合いタクシーで300ユーロというのは価格的には妥当かもしれない。

ちなみその日本人女性はリアドマムーシュで1泊して、また乗り合いタクシーで別の都市に移動するらしい。大学4年生で就活が終わったのでモロッコを時計回りに1周しているとのことで、朝食だけご一緒してそれぞれの旅路についた。自分の学生時代(ユーレイルパスで西ヨーロッパ周遊)よりレベルが高いことをしている気がした。

自分はというと、リアドマムーシュのご好意で空いている部屋にアーリーチェックインさせていただき、昼間のんびりして、18時過ぎにクアッドバギーで再びサハラ砂漠に繰り出した。

バギーはヤマハ製だった。


サハラ砂漠でやるべきアクティビティはすべてやり、モロッコ最後の夕食。



食後、テラスで星を眺めていたら、モハさんが「(星見るなら)もっといいところがある」と教えてくれた。

昼間の写真を使って言うと赤矢印のところ。


ビールを飲みながらモロッコ最後の夜を過ごす。

サハラ砂漠でやるべきアクティビティを全てできたこと、ここまでの旅程を無事終えることができて感謝。

モハさんありがとう!


明日は朝4時に迎えが来るので早めに寝ます。

南海電気鉄道株式会社 個人情報が保存されている可能性のあるノートパソコンの紛失について(お詫び) 2022年10月26日


当社において、商業施設「なんばCITY」(大阪市中央区)のテナント従業員の個人情報が保存されている可能性のあるノートパソコン1台(以下、当該パソコン)が紛失していることが判明しました。

当該テナント従業員をはじめ関係者の皆さまには、このような事態を招くこととなり、多大なるご迷惑をお掛けしましたことを深くお詫び申し上げます。

今後は再発防止策を徹底し、個人情報の厳重な管理を図ってまいります。

1.判明日時
2022年9月21日(水)17時ごろ

2.経緯
9月21日(水):当社営業施設管理部署の社員が、2005年ごろに導入した当該パソコンのリース契約更新をしようとしたところ、紛失が判明。直ちに当該パソコンの使用用途と所在の調査を開始しました。

10月7日(金):使用用途を調査した結果、当該パソコンは「なんばCITY従業員証」の作成用として導入し、従業員証作成ソフトがインストールされており、ソフト用データとしてテナント従業員の個人情報が保存されている可能性があることが判明しました。


現時点においても当該パソコンの発見には至っておらず、個人情報が当該パソコンから消
去済みであるか否かについて確認できておりません。

3.保存されている可能性のある個人情報
当該パソコンには、2005年ごろから2013年ごろまでの間に、なんばCITYに入居されていたテナントの従業員 最大約1万件の個人情報(店舗名、氏名、性別、雇用形態<社員・アルバイト等>)が保存されている可能性があります。

住所、電話番号、生年月日、年齢等の情報は保存しておりません。

4.当該パソコンについて
(1)導入時期:2005年11月1日
(2)種類・スペック:ノートパソコン(WindowsXP、ネットワーク接続せずローカル使用)
(3)使用用途:「なんばCITY従業員証」の作成用
(4)使用期間:なんばCITY従業員証については2013年以降、別のパソコンを使用
して作成しており、当該パソコンはそれ以前に使用していました。
(5)紛失時期:2013年以降と推測しています。

5.判明後の対応
10月19日(水)、本事象について個人情報保護委員会(行政機関)に報告しました。現在ご入居のテナントには、当該発生の事実のお知らせとお詫びの書面を送付しております。

6.原因および再発防止策
組織変更・執務場所の変更等があり、その過程で当該パソコンが紛失したものと考えており
ます。

再発防止策として以下の3点を実施いたします。
  • パソコンの稼働状況、および保存情報の所在についての定期的な確認。
  • セキュリティワイヤーの使用等による、パソコンの盗難・不用意な移動の防止。
  • パソコン端末の廃棄の際には、外部業者によるソフトウェア消去、電磁破砕消去、破壊消去等を行うとともに、消去証明書を受領。

出光クレジット株式会社 個人情報漏洩に関するお詫びとお知らせについて(続報) 2022年10月26日


2022年8月4日に公開した「【重要】個人情報漏洩に関するお詫びとお知らせについて」にて公表いたしました、弊社の会員サイト「ウェブステーション」での情報漏洩の可能性につきまして、漏洩の原因となりました画面表示を最適化するサービスを提供していた企業(株式会社ショーケース)の詳細な調査結果により、情報の一部が漏洩した可能性がある期間が、公表当時にお伝えした期間とは異なることが判明いたしました。

会員様をはじめ、関係者の皆様に多大なるご迷惑、およびご心配をおかけする事態となりましたこと、深くお詫び申しあげます。

なお、判明した期間により、新たに情報が漏洩した可能性のある会員様には、本日Eメールにてお詫びとお知らせを個別に送らせていただいております。

会員様をはじめ関係者の皆様には重ねてお詫び申しあげますとともに、本件に関する概要につきまして、下記の通りご報告申しあげます。

■経緯

2022年7月28日、弊社会員サイト「ウェブステーション」の新規登録・再登録画面において、ご覧になる端末に合わせてウェブページの表示を最適化するサービスを提供していた株式会社ショーケースより、当該サービスのシステムが第三者によって不正に改ざんされた可能性があり、入力された情報の一部が漏洩した可能性があると連絡を受けました。

8月4日の公表当時は、対象の期間を2022年7月19日から、7月26日と報告を受けており、ご案内と対象の会員様へのご対応を行っておりましたが、外部の調査会社により、該社の詳細な調査が行われた結果、改ざんが発生していた期間が2022年7月19日(火)の数分間と、7月21日(木)10:39から、7月29日(金)0:20までであったことが判明しました。

それにより、7月27日(水)から7月29日(金)0:20までの期間に、「ウェブステーション」の新規登録画面または再登録画面をご利用された会員様の情報が漏洩した可能性があることが新たに判明いたしましたので、本日の公表に至りました。

■個人情報漏洩の可能性がある会員様

以下の期間に、弊社会員サイト「ウェブステーション」の新規会員登録または再登録画面にて、お手続きを行った会員様が対象となります。漏洩した可能性のある期間は以下のとおりです。
  • 7月19日(火)7:49 ~ 7月19日(火)7:58
  • 7月21日(木)10:39 ~ 7月26日(火)20:33
  • 7月27日(水)9:53 ~ 7月29日(金)0:20
また、漏洩した可能性のある情報は以下のとおりです。
  • クレジットカード番号
  • 有効期限
  • セキュリティコード
  • 生年月日
なお、この登録画面以外のページにつきましては、改ざん等はございませんこと、ご報告申しあげます。

この度の調査により新たに判明した会員様に関しましては、本日Eメールにてお詫びとお知らせを個別に送らせていただいております。

■当社の対応と再発防止策について

弊社では、当該サービスの利用停止と切り離しを行うとともに、漏洩した可能性のある会員様のクレジットカードによる取引を継続してモニタリングを強化しており、不正利用の防止に努めております。
また、新たにご連絡した会員様含め、発生時から現在までカードの不正利用の発生はございませんので、ご安心いただきたくお願い申しあげます。
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行なってまいります。
今回の情報漏洩の可能性につきまして、監督官庁である経済産業省、関東財務局等に、2022年8月1日に報告を行っており、各監督官庁からの指導に従い、再発防止に努めて参ります。

なお、本件につきましては、今後新たな情報が判明しましたら、随時公式サイト上で公表してまいります。


株式会社ユーキャン 個人情報漏洩に関するお詫びとお知らせ 2022年10月26日


このたび、弊社が運営する「生涯学習のユーキャン(https://www.u-can.co.jp/)」のサイトにて、お申込み受付フォームに使用している株式会社ショーケースの入力アシストサービスのシステムが、第三者による不正アクセスを受け、お客様のクレジットカード情報(200件)が漏洩した可能性があることが判明いたしました。

対象と懸念される方の詳細については、こちらをご確認ください。
https://www.u-can.co.jp/info/target.html

なお、弊社では複数のサイトを運営しておりますが、対象となったのは、通信講座を取り扱う「生涯学習のユーキャン」サイトのみとなっております。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。ただし、電子メールをお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年7月28日 、株式会社ショーケースから、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2022年8月12日 に弊社が運営する「生涯学習のユーキャン」サイトでのカード決済の停止と、当該サービスの切り離しを行いました。

同時に、弊社サイトへの影響を確認すべく、「生涯学習のユーキャン」サイトに対し、第三者調査機関による調査も開始いたしました。2022年9月25日、調査機関による調査が完了し、弊社サイトに対する侵害は発生していないことが証明されました。併せて、株式会社ショーケースの提供する当該サービスの脆弱性をついた不正アクセスが原因であることが判明し、2022年7月24日~2022年7月26日の期間に「生涯学習のユーキャン」サイトで受講申込みをされたお客様のクレジットカード情報が漏洩した可能性がある ことを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

1.原因

弊社が運営する「生涯学習のユーキャン」のサイトにて、お申込み受付フォームに使用している株式会社ショーケースの入力アシストサービスのシステムが、第三者による不正アクセスを受け、ソースコードの改ざんが行われたため。

詳細につきましては、株式会社ショーケースのホームページをご覧ください。
https://www.showcase-tv.com/pressrelease/202210-fa-info

2.個人情報漏洩の可能性があるお客様

2022年7月24日~2022年7月26日の期間中に「生涯学習のユーキャン」サイトにおいてクレジットカード決済をされたお客様200名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

上記に該当する200名のお客様については、別途、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールをお届けできなかったお客様には、書状にてご連絡させていただきます。

3.個人情報漏洩の可能性がある お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めているとの報告を受けております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年7月28日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびにカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、自社サイトのセキュリティ対策を継続することはもとより、今後は外部サービスを利用する際のセキュリティ確認の一層の強化に努めてまいります。

「生涯学習のユーキャン」サイトでのカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年8月3日に報告済みであり、また、所轄警察署にも2022年9月30日に情報連携しており、今後捜査にも全面的に協力してまいります。

株式会社UPDATER 当社ファイルサーバーのランサムウエア感染による情報流出の可能性についてお知らせとお詫び(第二報) 2022年10月17日


株式会社UPDATER(所在地:東京都世田谷区、代表取締役:大石英司)が管理運用するファイルサーバーがランサムウエアに感染した事案につきまして、お客さま、お取引先さま、関係者の皆さまに多大なご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。

外部の専門機関と連携して調査を継続しており、今後新たな情報が判明する可能性がありますが、9月22日にご案内した第一報 ※ に続きまして、現時点で確認できている状況をお知らせします。

なお、本件による電力供給への影響はございません。

1.外部流出した可能性のある情報

第一報でお知らせしました情報の対象範囲、また新たに外部流出した可能性を確認した情報は以下のとおりです。

■対象範囲を確認した情報

(1)個人顧客情報   
対象期間:2016年4月~2022年9月18日までに当社とご契約いただいた個人顧客
内  容
・氏名、住所、電話番号、メールアドレス、契約内容
・「みんな電力」の電気料金を口座引き落としにてお支払いされている顧客の口座情報

※クレジットカード情報は当社にて保有しておりませんので、流出のおそれはございません。またマイページのパスワードにつきましても流出のおそれはございません。

(2)法人顧客情報 
対象期間:2016年4月~2022年9月18日までに当社とご契約もしくはご契約を検討いただいた法人
内  容: 
・法人名、担当者氏名、住所、電話番号、メールアドレス、契約内容、工事実施等に係る施設関連書類
・「みんな電力」の電気料金を口座引き落としにてお支払いされている顧客の口座情報

※クレジットカード情報は当社にて保有しておりませんので、流出のおそれはございません。また法人向けマイページのパスワードにつきましても流出のおそれはございません。

(3)発電事業者および取引先情報  
対象期間:2015年1月~2022年9月18日までに当社とお取引した事業者
内  容:法人名、担当者氏名、住所、電話番号、メールアドレス、契約・取引内容、口座情報

(4)業務受託先の個人顧客情報 ・ 法人顧客情報
対象期間:2017年4月~2022年9月18日に当社が業務受託した法人の顧客
内  容:氏名・法人名、住所、電話番号、メールアドレス、口座情報、契約内容

(5)株主情報
対象期間:2011年5月~2022年9月18日に出資いただいた株主
内  容:氏名、住所、電話番号、メールアドレス、保有株数、契約内容

(6)退職者含む従業員情報  
対象期間:2011年5月~2022年9月18日に在籍した従業員
内  容:氏名、住所、電話番号、メールアドレス、生年月日、経歴・資格関連情報、所属部署、給与データ、年金・社会保険関連データ、従業員持株会情報、社内レポート

■新たに外部流出の可能性を確認した情報

(7)業務委託先の従業員個人情報 
対象期間:2019年12月~2022年9月18日に当社が業務委託をした方
内  容:氏名、所属、社員番号、契約内容

(8)当社主催イベント参加者
対象期間:2018年4月~2022年9月18日に開催したイベントの参加者
内  容:氏名、所属、メールアドレス、電話番号

(9)新卒採用応募者
対象期間:2020年2月~2020年4月にエントリーいただいた新卒採用応募者
内  容:履歴書、選考レポート

(10)キャンペーン応募・資料請求者の個人情報  ※10月17日 16:20追記
対象期間:2019年12月~2022年9月18日にキャンペーン応募・資料請求をいただいた方
内  容:氏名、住所、電話番号、メールアドレス

2.本件に関するお問い合わせ窓口
(略)

3.対象となる皆さまへのお願い

対象となるお客さま、お取引先さま、関係者の皆さまにおかれましては、以下のような不正利用にご注意くださいますようお願い申し上げます。

■想定される不正利用

・メールアドレスを悪用したフィッシングメール詐欺(クレジットカード会社、金融機関、ECサイトなど実在する企業になりすまし、お客さまのカード情報を聞き出すなど)

・電話番号を悪用した勧誘電話や詐欺電話、フィッシングサイトに誘導するSMS

・個人情報を悪用したなりすましによる第三者への詐欺

■ご注意いただきたいこと

・差出人や件名に心当たりのないメールを受信した際は開封や添付ファイル・URLのクリックはせず、直ちに削除をお願いいたします。

・登録していない知らない電話番号からの着信には出ないようお願いいたします。

4.今後の当社対応

このたびのランサムウエア感染の原因や経路などにつきましては、外部専門機関の協力を得ながら引き続き調査を進め、詳細が分かり次第、すみやかにご報告します。また、当社はこのたびの事態を厳粛に受け止め、セキュリティー体制の厳格化や監視体制の強化を図り、再発防止に取り組んでいきます。

このたびはお客さま、お取引先さま、関係者の皆さまに多大なご心配とご迷惑をおかけしますことを、重ねて深くお詫び申し上げます。


株式会社エービーシーマート 個人情報漏えいの可能性に関するお詫びとお知らせ 2022年10月25日


このたび、画面表示を最適化するサービスを提供する株式会社ショーケース(以下「ショーケース社」といいます。)において、当該サービスのシステムが第三者によって改ざんされたとの公表がありましたが、弊社が運営する「ABC-MART公式オンラインストア」(以下「本サイト」といいます。)は当該サービスを利用しており、お客様のクレジットカード情報(2,298件)が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

既に弊社ではショーケース社のサービスの切り離しを行っております。

また、第三者調査機関によるフォレンジック調査を実施し、当該サービス以外の理由による個人情報の漏えいが無いことおよび本サイトのプログラム改ざん、サイト実行環境への不正アクセスが存在しないことを確認いたしました。

上記を踏まえ、本サイトでのクレジットカード決済機能は、本日2022年10月25日再開予定となりますが正式な日程につきましては、あらためまして本サイトにてご案内いたします。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する詳細につきまして、下記の通りご報告いたします。

1.経緯

2022年7月28日、ショーケース社から、本サイトのクレジットカード情報入力画面で利用している、画面表示を最適化するサービスのプログラムが第三者によって不正に改ざんされた可能性があると連絡を受けたため、本サイトにおける当該サービスの利用を停止しました。その後関係各社との協議の上、本サイト全体の脆弱性調査をすべく、同年8月9日に本サイトのクレジットカード決済機能を停止いたしました。

同年9月28日、第三者調査機関による調査が完了し、同年7月24日~同月26日の期間に本サイトでお客様に入力いただいたクレジットカード情報が外部のサーバーに送信され、漏えいした可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

なお、ショーケース社のサービスのシステム改ざんに関する詳細につきましては、同社より2022年10月25日に発表されておりますので、こちらをご参照くださいますようお願い申し上げます。

2022年10月25日付

2.個人情報漏えい状況

(1)原因

本サイトのクレジットカード情報入力画面に組み込まれていた、ショーケース社が提供する画面表示最適化サービスのプログラムが、第三者によって不正に改ざんされたため。

(2)個人情報漏えいの可能性があるお客様

2022年7月24日~同月26日の期間中に本サイトでクレジットカード情報を入力いただいたお客様で、漏えいした可能性のある情報は以下のとおりです。

・クレジットカード番号
・有効期限
・セキュリティコード

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めておりますが、お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記「2.(2)個人情報漏えいの可能性があるお客様」記載のお客様が、漏えいした可能性のあるクレジットカードの差し替えをご希望される場合、当該クレジットカードの再発行の手数料につきましては弊社にて負担をさせていただきます。クレジットカード会社からお客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。

4.発表が遅れた経緯について

2022年7月28日から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招くと考え、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.弊社の対応と再発防止策について

本件につきまして、監督官庁である個人情報保護委員会には2022年8月10日に報告済みであり、また、所轄警察署にも2022年9月28日被害申告しており、今後捜査にも全面的に協力してまいります。

弊社はこのたびの事態を厳粛に受け止め、本件の被害拡大の防止に努めるとともに、今後の再発防止策の徹底、およびより一層の情報セキュリティ対策の強化に取り組んでまいります。

【セキュリティ事件簿#2022】日本盛株式会社 当社サーバーへの不正アクセスについてのご報告とお詫び 2022年10月25日


平素よりご愛顧賜りまして誠にありがとうございます。

9月18日、当社が管理運用するサーバーに対して、第三者の不正アクセスによるサイバー攻撃を受け、社内システムに障害が発生したことを確認しました(以下「本件」といいます。)。 

お客様をはじめ関係者の皆様には深くお詫びを申し上げますとともに、今般、第三者調査機関による調査により、不正アクセスの原因等が確認できましたので、下記のとおりご報告いたします。

1.本件の概要

2022年9月18日午前9時頃、当社が業務上利用するデータセンタの管理会社から、当社が利用するサーバーに不具合が生じているとの報告を受けました。その後、当社内部にて調査をしたところ、サーバーがランサムウェアに感染していることが発覚したため、当該サーバーをネットワークから隔離するなどの被害拡大防止策を講じた上で、外部専門家の協力の下、対策チームを設置いたしました。その後、同月19日に所轄警察署に被害申告を行い、同月20日に個人情報保護委員会に報告を行い、同時に第三者調査機関に調査を依頼しました。そして、同年10月6日、第三者調査機関から調査結果の報告を受け、本件について、同年9月16日午後9時ごろに当社ネットワークへの最初の不正アクセスが行われたのち、サーバーに記録されていたデータがランサムウェアにより暗号化され、使用できない状況となったことを確認いたしました。なお、ランサムウェアによる暗号化のため個人データの漏えいについて詳細は判明しませんでしたが、個人情報保護法に則った対応を進める予定です。

2.本件の原因

第三者調査機関からは、当社が導入していたSSL-VPN機器に存在していた脆弱性を悪用され、当社VPNに不正にログインされたと判断されるとの報告を受けています。

3.今後の対応

弊社では、これまでもサーバー・コンピュータへの不正アクセスを防ぐための措置を講じるとともに情報の適切な管理に努めてきましたが、今回の事態を重く受け止め、外部の専門家と検討の上、当該VPNの利用を停止し、EDR・MDRの導入など、既に種々の再発防止策を整備しました。今後は脆弱性管理の徹底を図るとともに専門家から提案を受けたその他の再発防止策につきまして随時導入する予定です。また、本件の影響により通信販売にてご注文いただいていたお客様への商品発送を見合わせておりましたが、既述のセキュリティ対策の下、商品発送を順次再開させて頂きます。通信販売の新規購入受付のためのシステム再構築については今現在も継続中ですが、一日も早い受付再開に向けて全社一丸となって取り組んでおりますので、何卒お時間いただければ幸いです。



株式会社JTB 情報漏洩に関するお詫びとお知らせ 2022年10月25日


弊社は、観光庁の補助事業者として実施する「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」業務のため、観光庁や本事業への応募、申請等を行う事業者様(間接補助事業者様)との情報共有を目的として、当該関係者様にログイン権限を限定したクラウドサービスを利用しておりました。同クラウドサービスの運用に際して、格納したデータへの個別アクセス権限を誤設定したことにより、ログイン権限を持つ間接補助事業者様間において情報漏洩を発生させていたことが発覚いたしました。

関係の皆様に多大なるご迷惑、ご心配をおかけいたしましたこと、深くお詫び申し上げます。

1. 概要

本来申請される間接補助事業者様が自社の申請書以外にはアクセスできない仕様とすべきところ、当該クラウドサービス内に格納したデータへの個別アクセス権限を誤設定したことにより、事業者様の個人情報を含む本事業への申請書類および補助金交付申請書等の情報が、ログイン権限を持つ間接補助事業者様相互に閲覧可能な状態となっておりました。

閲覧可能であった情報のうち、他の間接補助事業者様にダウンロードされたデータには、事業者様数 1,698件の申請書、申請事業者様及び申請事業者様の連携先等を含む個人情報最大 11,483人分、が含まれていたことが判明しております(組織名、部署名、役職名、氏名、業務連絡先用電話番号、メールアドレス等)。なお、ログイン権限を持つ間接補助事業者様以外に、個人情報が漏洩した可能性はございません。

2. 対応状況

申請書類等の情報が漏洩した事業者の皆さまに対して、お詫びのご連絡をさせていただいております。また、ファイルをダウンロードした間接補助事業者の皆さま(18件)に対しては、当該情報の削除を依頼しておりましたが、本日(10月25日)現在、全ての事業者様から削除完了の通知をいただいております。当該クラウドサービスについては、厳重に総点検を実施し、適切なアクセス権限設定への修正が完了しております。

3. 再発防止策

アクセス権限設定のチェック体制ならびに事業管理体制の徹底強化により、再発防止を図ってまいります。

株式会社ショーケース 不正アクセスに関するお知らせとお詫び 2022年10月25日


このたび、当社が提供する「フォームアシスト」、「サイト・パーソナライザ」、及び「スマートフォン・コンバータ」(以下、「対象サービス」といいます。)におきまして、第三者による不正アクセスにより、ソースコードの書き換えがなされ(以下、「本件事象」といいます。)、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが判明いたしました。

当社のサービスをご利用されているお取引先様をはじめ、ご関係者の皆様には多大なるご迷惑とご心配をおかけする事態となりましたことを深くお詫び申し上げます。

なお、本件事象により情報が流出した可能性のあるお取引先様には、すでに、個別に連絡を差し上げております。

今般、第三者専門調査機関によるフォレンジック最終報告書を受領し、社内調査も完了いたしましたので、本件事象の概要及び当社の対応につきまして、下記のとおりご報告いたします。

1. 発覚の経緯について

当社のお取引先様から、2022年7月26日、「フォームアシスト」のソースコードに不審な記述がある旨の指摘を受け、直ちに、当社において運営するサービスのソースコードを調査いたしました。調査の結果、冒頭に記載しましたとおり、対象サービスにおいてシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ソースコードの書き換えがなされ、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが判明いたしました。

本日公表させていただくにあたり、不確定な情報の公開はかえっていたずらに混乱を招くため、ご関係者様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、公表は第三者専門調査機関の調査完了、及び関係各所との連携を待ってから行うことにいたしました。

本公表までお時間をいただきましたこと、お詫び申し上げます。

2. 当社の対応について

当社は、本件事象の認知後、直ちに、対象サービスのソースコードの修正、第三者の侵入を遮断する措置、新設サーバーへの移行等の再発防止策を講じ、現在もこのような再発防止策を継続しております。再発防止策の実施後、本件事象で問題となりました不正なファイルの埋め込みは確認されておりません。

その他、当社といたしましては、今後ともお取引先様にご迷惑をおかけしないよう、順次対策を講じてまいる所存でございます。

また、当社は、本件事象の認知後速やかに第三者機関(外部のセキュリティ企業)のフォレンジック調査を実施いたしました。もっとも、ECサイトにおいて当社のサービスをご利用中のお取引先様が多数いらっしゃることから、万全を期して、クレジットカード情報漏えい事故調査機関(PFI:PCI Forensic Investigator)によるフォレンジック調査も追加で実施いたしました。同フォレンジック調査におきましても、当社の社内調査結果と同様、対象サービスにおいて第三者による不正アクセスにより、ソースコードの書き換えがなされ、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが確認されましたが、本件事象により情報が流出した可能性のあるお取引先様は限定的であることも確認されました。本件事象により情報が流出した可能性のあるお取引先様に対しましては、流出した可能性のある情報及び情報が流出した可能性のある期間について個別に通知しております。

また、当社は、本件事象につきまして、経済産業省へ報告を行うとともに、所轄警察署にも被害申告をしており、今後捜査にも全面的に協力してまいります。

関西大学高等部 個人情報を記録したUSBメモリの紛失について(お詫び) 2022年10月21日


このたび、本校において、個人情報を記録したUSBメモリの紛失がありました。本校生徒をはじめ関係者各位に多大なるご迷惑をおかけしたことを深くお詫び申し上げます。

記録されていた情報は、国語科担当教員が2021~2022年度に担当した当該科目に関する情報(名前、成績、教科及び進路指導情報)約400人分、卒業アルバムデータ(写真、教員名簿、クラス名簿)約400人分、及び国語試験問題です。今後早急に保護者説明会を開催し事案内容の説明と謝罪を行ってまいります。

本校としては、学校法人関西大学が定めた「関西大学個人情報保護規程」及び本校が定めた「関西大学中等部高等部危機管理事項」の周知徹底を図るとともに、再び同様の事態が生じないよう日常的に点検を行うなど、再発防止に取り組んでまいります。

富山市の中学校で、全校生徒の成績をうっかり公開


富山市の八尾中学校で、全校生徒の成績などの個人情報データが、一部の生徒のパソコン端末で閲覧できる状態になっていたことがわかりました。
市は、いまのところ外部への情報流出はないとしています。

富山市教育委員会の発表によりますと、八尾中学校で今月7日から15日にかけて、全校生徒447人分の成績などが含まれたデータファイルが、誤って委員会の生徒25人のパソコン端末から閲覧できる状況になっていました。

ファイルには、生徒の氏名や定期考査などの試験の合計点、学年の順位などの情報が記載されていて、委員会活動の資料作成のための生徒との共有データに誤って含まれていたということです。

教育委員会の調査では、データファイルは7人が閲覧し、うち2人が保護者や友人に相談したことがわかりましたが、八尾中学校では外部への情報の流出は今のところ確認されていないとしています。

セキュリティリサーチャー向けの検索エンジン30選 (その2)

 

11. DNSDumpster


ターゲットネットワークのDNS偵察を行うためのアプリケーションです。地理的なデータ、ホストの詳細、電子メールアドレス、フォーマットなど、ターゲットのネットワークについてより詳しく知るために使用できる情報をユーザーに提供します。



これは、インターネット上のすべての攻撃面を含むデータベースであり、ネットワーク上のすべての攻撃面を特定し、感染の有無を監視し、脆弱性がないかどうかを継続的にスキャンすることができることを意味します。



オープンソースのセキュリティ情報およびイベント管理(SIEM)であるAlienVault OSSIMで、機能豊富なオープンソースのSIEMを手に入れることができます。オープンソースのセキュリティソリューションの不足に対応するため、AlienVault OSSIMは、多くのセキュリティ専門家が直面する問題を解決するために、セキュリティエンジニアによって開発されました。基本的なセキュリティ管理ができていなければ、オープンソースか商用かに関わらず、SIEMはセキュリティの可視化には事実上役に立ちません。

14. ONYPHE


Onypheは、インターネット上のさまざまなソースをクロールしたり、バックグラウンドノイズを聞き取ることによって、オープンソースやサイバー脅威のインテリジェンスデータを収集します。



Grep.appは、検索に該当するリポジトリのリストを表示します。これで、GitHub上のつかみどころのないコーダーをかなり効率的に見つけることができるようになります。



URL Scanは、マルウェア、詐欺、フィッシングリンクを含むウェブサイトをスキャンして分析し、悪意のあるURLを検出するための無料ツールです。



継続的に更新される非常に大規模なセキュリティコンテンツデータベースを見つけることができます。脆弱性、エクスプロイト、パッチ、バグバウンティがGoogle形式で検索可能です。



カリフォルニア州サンフランシスコに本拠を置く非営利団体Internet Archiveは、World Wide WebのデジタルアーカイブであるWayback Machineを設立しました。このサービスを利用することで、ユーザーは「過去に戻る」ことができ、ウェブサイトが過去にどのように見えていたかを見ることができます。1996年に作成され、2001年に一般に公開された。

19. Shodan


Shodanは、サーバーがクライアントに送信するメタデータであるサービスバナーの検索エンジンであると評する人もいます。Shodanは、さまざまなフィルターを用いて、インターネットに接続されたサーバーを見つけることができます。

20. Netlas


インターネット用のスキャナと検索エンジンであるNetlas.ioは、HTTP、FTP、SMTP、POP3、IMAP、SMB/CIFS、SSH、Telnet、SQLなどのプロトコルを使用してIPv4アドレスとドメイン名をスキャンします。Netlas.ioデータベースのいくつかの部分は、ダウンロードすることができます。収集されたデータは追加情報でリッチ化され、Netlas.ioサーチエンジンで利用可能です。