2023/12/06

【セキュリティ事件簿#2023-438】東京医科歯科大学 学園祭HP上で個人情報が一時的に閲覧可能な状態になっていた事例について


この度、東京医科歯科大学の学園祭である第 72 回お茶の水祭(2023 年 10 月 14 日~15日開催)の特定のイベント 1 件への参加申し込みフォームに不備があり、個人情報延べ 44名分の漏えいが発生しました。44 名の皆様には既に事情説明と謝罪を済ませておりますが、関係者の皆様にご迷惑とご心労を与えてしまったことを深くお詫び申し上げます。

1.概要

今般、お茶の水祭の高校生向け企画「診療体験」について、google forms にてご応募くださった方々におかれまして、参加情報を送信した後の画面に表示されるリンク先 URLをクリックした場合に、他の参加者の個人情報が閲覧できる状態になっておりました。

本件は、募集に使用したgoogle formsの設定に誤りがあったことが原因でございます。現在は、設定を変更し他の参加者の個人情報を閲覧できない状態にした上で、google forms での応募ページを閉鎖しております。

他の参加者の個人情報が閲覧できた期間は 2023 年 9 月 19 日 17 時頃から同 10 月 3 日11 時頃まででした。閲覧できた情報は、氏名とふりがな、学校名、メールアドレス、イベント内での呼び名(ニックネーム)、個人情報の取扱いについての同意の有無などです。個人情報が google forms 上で閲覧状態になってしまった延べ 44 名の皆様には、東京医科歯科大学お茶の水祭実行委員会委員、及び東京医科歯科大学学生支援事務室より事情説明と謝罪の連絡を取りました。

2.再発防止

以下の対応を行うことで、本事故の再発防止とし、情報の適切な取り扱いの徹底を図ります。

  • 本事案について次期東京医科歯科大学お茶の水祭実行委員会委員への引き継ぎに記載し、来年以降の実行委員会委員となる学生に必ず確認させることとします。
  • 学生がお茶の水祭において個人情報の収集を行う場合は、担当部署である東京医科歯科大学学生支援事務室に収集目的・収集項目・管理方法・破棄方法を報告及び相談を行い、学生支援事務室が認めた場合に限り、申請フォームを作成・公開することとします。
  • 全学生、及び職員に対し、個人情報の正しい取り扱いについて、再周知を徹底します。

2023/12/05

【セキュリティ事件簿#2023-437】三重県 委託事業におけるイベント申込者の個人情報の誤掲載について


大都市圏向け観光プロモーション事業の一環として実施予定のユーチューバートークイベントにおいて、委託事業者(株式会社ジェイアール東海エージェンシー)が制作した参加申込みフォーム入力後に、既に申込済みであった方の個人情報(氏名、連絡用電話番号)が誤って掲載されていたページを閲覧できる状態になっていたことが判明しました。

1 報告内容

(1)経緯
10月27日(金)  

午後3時04分 
イベント出演者であるユーチューバー「おのだ」氏がインスタグラムでイベントについて投稿し、申込先のリンクをストーリーズで公開 

午後5時44分 
イベント申込者から他の申込者の個人情報が閲覧できる旨の連絡があり、誤掲載を認識

午後5時46分 
県から委託事業者へ事実確認及び個人情報が閲覧できるページの非公開対応を早急に行うよう指示

午後6時27分 
他の申込者の情報が掲載されたページを非公開に設定(※非公開設定時点で、申込者は66名)

(2)原因

委託事業者内で申込フォームのページを制作した際、他の情報が見られるような設定項目のチェックを外して確認していたにもかかわらず、公開時点で人為的ミスによりチェック項目にチェックが入った状態で公開していたことにより発生したものです。

2 今後の対応方針

委託事業者に対し、再発防止策について報告を求めるとともに、各申込者あてに謝罪を行うよう指示しました。

2023/12/04

【セキュリティ事件簿#2023-436】国立環境研究所が運用するオンラインストレージサービス(Proself)への不正アクセスについて


国立環境研究所がファイル転送サービスとして利用していたオンラインストレージサービス(Proself)について不正アクセスがあり、サーバ内に保管していた個人情報を含むデータの一部が外部に漏えいした可能性があることが判明しました。

これは、メーカーにおいて確認できていなかったProselfの脆弱性(ゼロデイ脆弱性)を突いたサイバー攻撃によるものとなります。

国立環境研究所における本事案の経緯及び講じた措置は以下のとおりです。

10月5日 Proselfへの不正アクセスの痕跡を発見。同日に対象サーバを運用停止。
10月10日 調査により、脆弱性を悪用してアカウントの一覧やパスワードハッシュを窃取し、その情報をもとに不正ログインが行われ、一部のファイルへアクセスが行われたことが確認された。(同日、個人情報保護委員会に報告)。

実際に不正アクセスが行われた期間は、9月15日~9月28日までの間で、個人情報を含むデータの一部が外部に漏えいした可能性があります。現在漏えいが判明している個人情報は、当研究所職員の健診受診者名簿、外部機関等を含む各種委員会等の名簿、研究所Webサイトからのデータダウンロードサービスをご利用の際にご登録いただいたメールアドレス等が含まれていることが判明しております。

引き続き、詳細調査を継続しておりますが、並行して、漏えいした可能性のあることが判明した方に対して順次、個別の通知を進めているところです。関係者の皆様には、ご迷惑をおかけすることとなり、お詫び申し上げます。

なお、現時点で、個人情報の悪用等の被害は確認されていません。

国立環境研究所では、引き続きセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層の状況把握に努めてまいります。 

2023/12/03

2024年のフライト計画 ~JALワンワールド特典航空券の活用~

 

2024年のフライト計画を立ててみた。

2023年分の特典航空券(関空⇒バンコク行きのフライト)が残っているため、この続きから考える。

マイルを確認したところ、120,000JALマイル以上あったため、2024年はワンワールド特典航空券を活用する。

メインの行き先はリトアニアのカウナス。

杉原千畝を求めて数年前にイスラエルに行ったが、この続きでカウナスに行きたいというのが理由。

実は以前にもカウナスは行っていたのだが、27時間しか滞在できず、短かすぎたので、もう少し滞在してじっくり見て回りたい。

あと、ドイツを代表するスーツケースメーカーであるRIMOWAが生涯保証を始めたことから、ドイツにRIMOWAを買いに行きたかったのだが、資金的な問題と、特典航空券の空席の問題と、時間の問題があるので諦めた。

代わりにバルト三国を回ってみようかと思ったが、こちらも時間が足りなさそうなので、今回はリトアニアとラトビアの2ヵ国を周遊してみることにした。

1本目:HND-ITM@JAL ※2024年4月予定

2023年のフライト計画で予約した大阪~バンコク間のフライトに搭乗すべく、有償で羽田~伊丹間の航空券を購入。


2本目:KIX-KUL-BKK@マレーシア航空

2023年のフライト計画で予約したフライト。マレーシア航空ビジネスクラス。

同日乗り継ぎも可能だったが、サテーとラクサが食べたくなったので、一泊することに。

昨年途中降機してしまっているため、滞在は24時間以内に調整。


3本目:BKK-HKG-SGN@キャセイパシフィック ※2024年4月予定

今回のワンワールド特典航空券のスタート地点は空席の関係からホーチミンになった。
バンコクからホーチミンまでは直行便で行けば時間的にもコスト的にも最もリーズナブルなのだが、ワンワールドアライアンスでは直行便が存在しない。

マイル的にも空港滞在時間的にも楽しいのはワンワールド加盟航空会社による経由便。選択肢はマレーシア航空とキャセイパシフィックの2択になるが、マレーシア航空は既に搭乗しているため、今回はキャセイパシフィックのエコノミークラスを有償で予約。


4本目:SGN-NRT@JAL ※2024年5月予定

ここからがワンワールド特典航空券。まずはホーチミン~成田のビジネスクラス。


5本目:HND-BKK@JAL ※2024年10月予定

日本発の欧州行きビジネスクラス特典航空券は基本見つからないので、一旦タイ・バンコクにビジネスクラスで移動。


6本目:BKK-HEL@フィンエアー ※2024年10月予定


バンコク発のフィンエアーでビジネスクラスの空席を無事発見。


7本目:HEL-VNO、RIX-HEL@フィンエアー ※2024年10月予定


欧州域内はエコノミーの有償チケットを別途手配予定。イメージ的には一旦リトアニアのヴィリニュスまでフライトして陸路カウナスへ移動。カウナス観光後陸路でラトビアのリガに移動し、リガからヘルシンキに飛行機で移動。


8本目:HEL-HND-ITM@JAL ※2024年10月予定

ヘルシンキからはJALの羽田行きのビジネスクラスの空席を発見。ただ、特典航空券のルール上東京には途中降機できないため、乗り継ぎで一旦大阪に移動。


9本目:ITM-HND(往復)@JAL ※2024年10月~2025年4月予定

特典航空券の都合上、一旦大阪に来たが、住まいは東京なので一泊して有償航空券を別途切って東京に戻る。

特典航空券的にはこの後大阪からのフライトが続くため、次のフライトのタイミングに合わせて、再び有償航空券で大阪に来る。


10本目:KIX-KUL-BKK@マレーシア航空 ※2025年4月予定


最後はマレーシア航空ビジネスクラスでクアラルンプール経由のバンコク移動。特典航空券のフライトとしてはここで終了。


特典航空券と有償航空券を混ぜて書いてしまったが、今回のワンワールド特典航空券のフライト的には以下の通り。


総旅程距離は19,841マイル。


ワンワールド特典航空券の必要マイル数早見表によると、総旅程距離が14,001~20,000マイルまでのビジネスクラス特典航空券に必要なのは120,000JALマイル。


税金・燃油サーチャージは計102,980円ナリ

2024年末にはリトアニア旅行記を出版していたい。

【セキュリティ事件簿#2023-435】東京海上日動火災保険株式会社 保険代理店向けシステムの参照範囲設定誤りによる情報漏えいに関するお詫び


東京海上日動火災保険株式会社(取締役社長:広瀬 伸一、以下「当社」)は、保険の募集・管理で利用するために保険代理店向けに提供しているシステム(以下「代理店システム」)において、適切な参照範囲の設定を行っていなかったことにより、当社の一部の代理店が本来はアクセスしてはならない他保険会社や当社のお客様情報にアクセスできる状態となっていたことが判明いたしましたのでご報告いたします。

当社および各保険会社のお客様、代理店・各保険会社の皆様に大変なご心配、ご迷惑をおかけいたしましたことを深くお詫び申し上げます。

1.事案の背景

当社は、勤務型代理店制度という、二つの代理店が共同してお客様対応を行う仕組みを設けております。一つの代理店を「統括代理店」、もう一方の代理店を「勤務型代理店」と称し、統括代理店が勤務型代理店を教育・指導・管理することとしております。
この統括代理店と勤務型代理店は共同してお客様対応を行うことから、代理店システム上において取り扱いのある生命保険および損害保険のお客様情報を共有しております。一方、勤務型代理店が関与することのない、統括代理店が取り扱うお客様情報について、勤務型代理店がアクセスできないよう、代理店システム上制限をかけることとしておりました。


2.事案の概要

今般の事案は、当社による事務ミスによって参照範囲が適切に制限されていなかったため、勤務型代理店が以下のお客様情報にアクセスできる状態となっていたことが代理店から当社への参照制限に関する照会により判明したものです。

<アクセス可能となっていたお客様情報>
お名前、ご住所、お電話・FAX 番号・メールアドレス、ご生年月日、性別、ご契約内容、証券番号、保険種類、保険金を受け取られる方のお名前、保険始期・満期、保険料、ご契約変更の有無、保険事故の有無など

<参照範囲が適切に制限されていなかったことにより発生した事象>
① 勤務型代理店がお取り扱いしていない契約も含め、統括代理店がお取り扱いする他保険会社(※1)のお客様情報にアクセスできる状態となっていたもの
(※1)保険会社共同ゲートウェイというデータ通信サービスを通じ、データ提供を行っている他保険会社の保険契約等の情報を代理店にて一元管理することが可能となっております(当社が他保険会社のお客様情報を見ることができるものではありません)。

② 当社からの代理店委託のない勤務型代理店が、代理店システム上で当社から送信される統括代理店宛ての通知や契約事務のペンディング状況等に関する配信(※2)を通じて、統括代理店扱いの当社のお客様情報にアクセスできる状態となっていたもの。
(※2)当社からの代理店委託がない勤務型代理店においても、東京海上日動あんしん生命保険(以下、あんしん生命)の委託があれば当社の代理店システムを活用しております。

③ あんしん生命の委託のない勤務型代理店においても、②と同様に、あんしん生命のお客様情報にアクセスできる状態となっていたもの。

3.対象代理店

それぞれの事象における対象代理店は以下のとおりです。
① 他保険会社のお客様情報
統括代理店 214 店
② 当社のお客様情報
統括代理店 11 店
③ あんしん生命のお客様情報
統括代理店 165 店

4.対応について

判明した参照制限の設定誤りについては是正対応を完了しており、現在は不適切なアクセスができない状態となっております。また、アクセス履歴が確認できたものから、勤務型代理店へのヒアリング等の確認を進めており、現時点で情報の不正使用は確認されておりません。引き続き、残存するアクセス履歴の調査を継続し、勤務型代理店による情報への不適切なアクセスが確認されたお客様に対しては、順次個別にお知らせしてまいります。

本件を真摯に受け止め、今後かかることのないよう、参照範囲の設定誤りが発生しない体制構築およびチェック体制の徹底強化により、再発防止を図ってまいります。

2023/12/02

【セキュリティ事件簿#2023-434】株式会社ビッグモーター 不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ


当社が運営するウェブサイト(以下「当社ウェブサイト」といいます。)に対して、第三者から不正アクセスを受けたことにより、お問い合わせフォームにご連絡いただいた方々の個人情報の一部が漏えいした可能性があることが判明いたしましたのでお知らせいたします。

関係する方々には多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

1. 概要

当社は、2023年8月18日、当社ウェブサイトに対して第三者からの不正アクセスがあったことを確認いたしました。本件不正アクセスを確認後、直ちに調査した結果、当社ウェブサイトを構成するサーバーには、お問合せフォームをご利用いただいた方々の個人情報等が含まれており、漏えいの可能性があることを確認いたしました。

2. 漏えいの可能性がある個人情報

漏えいの可能性がある個人情報は、当社ウェブサイトのお問い合わせフォームにご入力いただいた情報であり、詳細は以下のとおりです。

対象: 2016年11月から2023年8月にお問い合わせフォームをご利用になった方
情報の種類: 氏名、住所、電話番号、メールアドレス等
※ お問い合わせフォームでは、クレジットカード情報やマイナンバー情報につきましては収集しておりませんので、本件不正アクセスによる漏えいはございません。なお、顧客情報は本件不正アクセスの対象となったサーバーとは別のシステムで保管しているため、顧客情報の漏えいはございません。

対象となる可能性のある方々には、順次メール等でご連絡いたします。該当する方々におかれましては、不審なメールや通知が届いた場合は、開封およびリンク先へアクセスされないよう宜しくお願い申し上げます。

3. 当社の対応

当社は、本件不正アクセスを確認後、外部専門家も交え、速やかに当社ウェブサイトを構成するサーバーに保管されている全ての個人情報を削除し、お問合せフォームを含む当社ウェブサイトの一部を停止するなどして被害拡大の防止措置を講じております。また、個人情報保護委員会への報告、警察への相談も行っております。

当社ウェブサイトにつきましては、安全な環境でシステムを再構築し、不正アクセスおよび情報漏えいの防止措置を講じてまいります。

4. 再発防止

当社は、この度の事態を重く受け止め、外部専門家の助言も受けて情報セキュリティの強化を図ります。また、本件被害の調査結果も踏まえて、再発防止に努めてまいります。

この度は、関係する方々には多大なるご迷惑とご心配をおかけしておりますことを、改めてお詫び申し上げます。

2023/12/01

IHG One Rewards ボーナスポイント&レートプロモーション更新 2023年12月 ※気になったものだけ


個人的に気なるもののみ抜粋。

■2023年12月31日までの滞在に対して最低20%のパートナーレートを提供。


■台湾のIHGホテルでは、2024年5月31日までの滞在を17%割引料金で提供。


■アジア太平洋地域の新しいIHGホテルは、2023年12月31日までの滞在に対して最大30%の割引レートを提供


■アジア太平洋地域の2024年6月30日までの滞在に対して最大20%の割引レートを提供



【セキュリティ事件簿#2023-433】佐賀県 イベント申込者の情報を他の申込者が閲覧できる状態になっていました


「介護の日記念事業」に関する事業を受託している株式会社佐賀新聞サービス(以下、「受託事業者」という。)において、インターネットによるイベント申し込み設定にミスがあり、イベント申込者の個人情報を他の申込者が閲覧できる状態になっていた事案がありました。

事案の概要は下記のとおりです。同様の事案が生じないよう再発防止に取り組みます。

1 事案の概要及び対応

インターネットからイベントの参加申し込みを行った際、申し込み完了画面に表示されるリンクを開くと、先に申し込みした方の情報を見ることができる状態となっており、申込者3名の方が当該リンクを開き、先の申込者の個人情報を目にされていた。

申込者に対しては、受託事業者から概要の説明及び謝罪が行われました。

(1)覚知日 令和5年10月20日(金曜日)

(2)リンク先に掲載されていた個人情報(17組29名分)

  ・代表者の氏名、年齢、住所、電話番号、メールアドレス

  ・同行者の氏名


2 再発防止策

個人情報を取り扱うフォームの公開に際しては制作・テスト・公開の各段階において、必ず2人以上で確認を行い、公開後も随時確認を行うこととし、その周知徹底を図ります。

また、受託事業者における個人情報の管理に係る監督を改めて徹底します。

2023/11/30

【セキュリティ事件簿#2023-432】ライトオン 当社サーバーに対する外部攻撃に関するお知らせとお詫び

この度、当社が業務上使用するサーバーに対して、ランサムウェアによる第三者からの外部攻撃を受けたことを確認しました。

本件につきましては、直ちに対策本部を設置のうえ、警察への通報および関係機関への相談を行いつつ、外部専門家を交えて原因の特定、被害情報の確認、情報流出の有無などの調査に取り組んでおります。

現在も攻撃の詳細について調査を継続しておりますが、現時点で判明している事実関係及び当社の対応について、詳細はコーポレートサイトにてご報告させていただいております。

お客様をはじめ関係者の皆様におかれましては、多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

2023/11/29

【セキュリティ事件簿#2023-431】鎌倉市 鎌倉版フォルケホイスコーレ事業における個人情報の流出について


内容

令和5年10月20日、鎌倉版フォルケホイスコーレ事業運営業務として、業務を委託しているアカデミック・リソース・ガイド株式会社(以下「受託事業者」という。)が作成した事業への参加申込画面において、38名(申込者19名、緊急連絡先19名)の個人情報が閲覧可能の状態であったことが判明しました。

関係者の方々には、御心配、御迷惑をおかけいたしましたことを、深くお詫び申し上げます。

経過

令和5年10月20日午後1時30分、鎌倉版フォルケホイスコーレ事業のホームページを閲覧していた方から市に連絡があり、ホームページにリンクされた事業への参加申込画面において、参加申込者等の申込受付時の回答内容(個人情報を含む)が閲覧可能な状態となっていたことが判明しました。

閲覧可能となっていた情報は、本事業への参加申込を行う際に記載を求めた項目で、申込者の氏名、メールアドレス、生年月日、性別、住所、電話番号、緊急連絡先の氏名、緊急連絡先電話番号、緊急連絡先のご本人との続柄、健康上の留意点、プログラムへの質問内容の11項目でした。

対応

通報後、速やかに市から委託事業者に連絡し、参加申込画面の設定を変更し閲覧ができない状態にするとともに、令和5年10月20日から23日にかけて市及び受託事業者から38名の方に対し、謝罪及び今後の対応をお伝えいたしました。

再発防止対策

今回の事故の原因は、受託事業者において、Google社が提供するオンラインフォーム作成ツールを用いて参加申込画面を作成した際、回答の概要を表示しないよう設定するべきところを誤って「回答の概要を表示する」と設定していたことによるものです。同社からは、今後はオンラインフォーム作成にあたりダブルチェックを行い、再発防止の徹底に努める旨の報告を受けています。 また、市としても職員がオンラインフォームの確認を徹底することで再発防止に努めます。

2023/11/28

【セキュリティ事件簿#2023-430】株式会社マイナビ 応募者管理ツールにおける個人情報漏洩に関するお詫び


当社が運営する就職情報サイト「マイナビ」に付随する、応募者管理システム「MIWS」において、企業が応募者データを取得する際に、別の企業の応募者データが取得されてしまう事象が発生しました。

対象となった企業を特定し、現在までにデータの削除を依頼し、了承をいただいております。また、不具合発生の原因となったシステムは改修を完了しており、再発防止策を講じております。

対象となった皆様には深くお詫び申し上げます。今後より一層、個人情報管理の厳格化をはかり、再発防止に向けて取り組んでまいります。

<概要>

【発生期間】

2022年2月17日~2023年9月13日

【対象となった方】

就職情報サイト「マイナビ2023」「マイナビ2024」「マイナビ2025」にご登録いただいた方のうち、当該サイト上で企業へ応募をされた一部の方 計1,662名
※対象となった方には、ご登録いただいたメールアドレス宛に個別でご案内をしております。

【対象となった企業】

本来は取得できないデータが取得できた企業 計15社

【個人情報の項目】

氏名、メールアドレス、住所、電話番号、所属学校、他
※企業が取得時に指定したデータ形式によって、個人情報の項目が異なります。

【原因】

企業が応募者データを応募者管理システムからCSV形式でダウンロードする際に、テンポラリデータ(処理中に一時的に保存するファイル)を作成し、その後にCSVファイルを生成するという処理を行っています。この処理中にミドルウェア障害などが発生し、他社のCSV出力処理の内容が混在しました。

【対応状況】

  • 2023年8月28日(月):特定1社においてシステム障害が発覚し、調査を開始
  • 2023年9月13日(水):事故原因の特定に関する調査を完了しシステムを修正
  • 2023年10月4日(水):追加処置としてCSVファイルの作成・取得後に行われる出力前(ダウンロード直前)に対象データが要求した企業のものであることを担保する処理を厳格化
  • 2023年10月11日(水):過去全件のダウンロードファイルのログを調査し、ごく稀にシステム障害が発生していたことが判明
  • 2023年10月25日(水):個人情報が閲覧された可能性のある方に、就職情報サイト「マイナビ」にご登録いただいたメールアドレス宛に連絡
なお、本来の応募企業へは応募情報が正しく送信されております。

改めて、対象となった皆様には深くお詫び申し上げます。本件の事態を重く受け止め、今後このような事がないよう、より一層、情報管理を徹底してまいります。

2023/11/27

【搭乗記】ジェットスタージャパンGK208 関西国際空港(KIX)⇒成田空港(NRT)


 今年の飛び収めフライトはなんとLCC。

たまにはLCCに乗ってフルサービスキャリアのありがたみを味合わないといけないと思い、オプションを一切付けずに購入した。


大阪市内からバス代は1,600円するのと、成田から家まで同じくらいかかるので、トータル1万円弱といったところ。

それでも新幹線より安いので、罰ゲーム席(3列シートのまん中)になっても文句はない。

梅田からバスで行くことにして、早速空港行バス乗り場に着いたのだが、凄いことになっていた。

ざっくり60人くらい並んでいるんじゃなかろうか?


関空は閑散とした空港のイメージだったのだが、今は海外から観光客が押し寄せて大変になっているらしい。

保安検査場の通過に1.5時間かかる空港として海外で有名になりつつあるらしい。


出典:Crazy Security Lines At Osaka-Kansai Airport With 1.5 Hour+ Wait Periods

梅田から関空行きのバスは15分おきに出ているのが不幸中の幸いだった。激混みながらも次の次のバスに乗ることができた。

とはいえ、バスは補助席使うほどの満員御礼状態。


関空に到着し、国際線出発ロビーを見学してみたが、噂通りの凄い状況だった。

一方、国内線は今まで通りの閑散とした感じで一安心。

ちょっと早く着きすぎたのでフードコートでたこ焼きを食す。

東京では築地銀だこをよく食す。外側を油で少し揚げた感じに仕上げているので、外はカリカリなのが特徴。大阪のたこ焼きは外はふっくら、中はトロトロでトロトロ具合がとても印象的だった。


一休みしていざ搭乗ゲートへ。

JALと同じノリで保安検査場へ突撃したら、チェックインが必要とのことで指導を受ける。

チェックインカウンターに戻り、自動チェックインカウンターでの手続きを試みるが、手荷物預け入れ用の機械しか見当たらないので、有人カウンターに行く。

後から振り返るととてもラッキーだったのだが、何故か通路側の非常用座席が割り当てられた。

この時点ではよっぽど空席が出ているのかと思っていたのだが、実は満席の便だった。

手荷物にはシールを張り付けられることになっているらしく、同じ国内線の航空会社でも細かい違いを感じることができた。



搭乗券をゲットし、保安検査場に再突撃。無事搭乗ゲートまで進めることができた。

のんびり待っていると、搭乗時刻がやってくる。

通路側の席をゲットできたし、最後に搭乗すればいいと思っていたのだが、ジェットスターは「非常口座席=優先搭乗」ということになっているらしく、有難いことに真っ先に搭乗できてしまった。


非常口座席はJALと同じ感じで、シートポケットに注意事項のしおりが入っていて、CAさんに一読するように言われる。


ちなみに機材はLCCの定番A320


座席の前方に非常口の開け方が書いてあった。

非常口は乗客でも開けられるのか・・・

そういえばアシアナ航空で、乗客が飛行中に勝手に非常口ドアを開けて、修理費が約6億4000万ウォン(約6879万円)になるってニュースを見聞きしたので、ちょっと緊張が走る。

ちなみにCAさんの名札は下の名前だけになっていて、親しみやすさを打ち出している感じだった。

また、見回してみると若いCAさんが多い。

ピーチは正社員のCAがおらず、全員契約社員で、人生における一つの過程でCAをやっているような話を聞いた事があるが、ジェットスターも同じ感じなのだろうか?

そうこうしているうちに搭乗が完了し離陸。

外は暗いし、機内サービスは無いし、通路側なので着陸するまで何も撮るものが無い。

成田空港では沖止めとなった。

普通はバス移動を強いられるので嫌がる人が多いが、個人的には飛行機をカメラに収めるチャンスなのでテンションが上がる。


羽田空港だとモノレールに乗ってマイルを稼げるが、成田にはそういったものが無いのでちょっと残念。

ただ、JAL Wellness&Travelで空港チェックインキャンペーンをやっていたので、有難くマイルをゲットする。


かなり久しぶりにLCCに乗ったが、高速バスのノリで割り切れるなら全然ありかなと感じた。

【Playback of flight GK208 on 23 NOV 2023】

【セキュリティ事件簿#2023-429】インフルエンサーを利用した借入詐欺事件、京都府警が20代男性をタイーホ

 

京都府警のサイバー捜査課などは、2023年10月19日までに、福岡県に住む20代の男性を不正アクセス禁止法違反の疑いで逮捕しました。逮捕の背景には、インターネット上で影響力を持つ「インフルエンサー」を利用して消費者金融から不正に借り入れをする「借入詐欺」があります。

男性は、インフルエンサーに接近し、ポイントキャンペーンの宣伝を依頼。しかし、実際には正規サービスの担当者を装った別の人物で、インフルエンサーに対して、消費者金融サイトへの登録誘導を目的とした偽の広告を投稿するようにSNSアカウントを提示していました。この男性はさらに、キャンペーンに応募してきた女性に対して、消費者金融サイトへの登録を指示。女性から取得したIDやパスワードを利用して、現金20万円を借り入れるなどのなりすまし行為を働いた疑いが持たれています。警察は共犯者の可能性も視野に入れて慎重に調査を進めています。

この事件は、副業系詐欺と並び、借入詐欺の存在感が増していることを示しています。大手消費者金融のアイフルなどは、インフルエンサーの宣伝による金融犯罪に対する注意喚起を発しています。

SNSを通じて他人の情報を不正利用し、消費者金融から現金を盗む行為は、今回の逮捕事件を通じて一層の警戒が必要であることを示しています。

出典:借りてないのに債務者に!新たなサイバー犯罪「借入詐欺」で男性逮捕

【セキュリティ事件簿#2023-428】株式会社GENOVA 「NOMOCaオンライン診療」サービス一時停止のお知らせとお詫び

 

拝啓 平素は格別のお引き立てを賜り厚く御礼申し上げます。

弊社が提供するオンライン診療サービス「NOMOCaオンライン診療」が現在サービスを一時停止しておりますことをお知らせいたします。お客様には多大なご心配、ご迷惑をおかけし、深くお詫び申し上げます。

1.今回の経緯について

医院様より「NOMOCaオンライン診療」のシステムからメール通知が届かない旨の問い合わせを受け、開発会社に調査を依頼しましたところ、NOMOCaオンライン診療システムで利用しているクラウドサーバーより、大量のスパムメールの送信を行われていたことが判明しました。そのため、クラウドサーバーにてNOMOCaオンライン診療のサーバーがスパムであるとみなされ、メール送信機能が強制停止し、弊社の通知専用メールが使用不可となった結果、NOMOCaオンライン診療が利用できない状況に至りました。

2.情報流出について

今回の事象において、情報流出は一切ございません。ご利用者である各医院様のユーザーIDおよびパスワード、並びに各アカウントに登録されている患者様情報の個人情報等、サービスご利用者様の情報へはアクセスされていないことを確認取れております。

3.発覚日時

2023年10月16日 13時42分

4.発生原因

クラウドサーバーのログを確認しましたところ、弊社外注先の開発要員が利用するアカウントで、一連の不正操作が行われたアカウントの新規発行が確認されました。当該開発要員がこの操作を行った認識がないことから、この開発要員が利用するPCがウィルス、スパイウェア等へ感染し、発生した可能性が高いと想定しております。

5.再発防止対策

・システム開発側にて「多要素認証」を行っていないアカウントの根絶、および定点観測等の監視体制の強化

・コンソールへの IP アドレスによるアクセス制限

・外注先会社のウイルス・スパイウェア対策の徹底と履行状況の確認

6.お客様へのお願い事項

弊社サービスをご利用の医院様のユーザーID/パスワードの流出はございませんが、患者様が何らかのスパムメールを受け取り、万一、医院様へお問い合わせがあった際には、弊社のサポートセンターへのご連絡を促して頂きますようお願い致します。

リリース文アーカイブ

【セキュリティ事件簿#2023-427】京都精華大学 個人情報が閲覧できる状態になっていたことに関するご報告とお詫び


この度、在学生の学費納入に関する手続きにおきまして、一部申請者の個人情報が申請フォーム上で閲覧できる状態になっていたことが判明しました。原因は手続きに用いたGoogleフォームの設定を誤ったことによるものです。関係者の方々には、深くお詫び申し上げます。
 
閲覧された可能性がある申請情報の件数:134件(134名分)
期間:2023年9月1日(金)15時頃 ~ 2023年10月13日(金)17時30分頃
閲覧可能であった個人情報:申請者氏名、学籍番号、学生氏名、学費支弁者氏名
(その他、申請者の属性等について統計データのみの表示が閲覧可能状態でした)

個人情報を閲覧可能であったのは、当該フォームでの申請を完了させた134名の方であり、これ以外に外部から当該の個人情報にアクセスできる状態ではありませんでした。
当該フォームを利用された対象の皆様には、 10月19日に「個人情報が閲覧できる状態になっていたことに関するご報告とお詫び」という文書をお送りいたしました。

今後はこのような事態を起こさないよう、諸手続きに利用するフォームの公開時におけるテスト確認とチェック体制の強化をはかり、再発防止に努めてまいります。

2023/11/26

【セキュリティ事件簿#2023-306】セイコーグループ株式会社 当社サーバに対する不正アクセスに関するお知らせ(第3報)

 

既報〔8月10 日付重要なお知らせ(※1)及び 8月22 日付重要なお知らせ(※2)〕の通り、当社は、当社の一部のサーバに対して、第三者によるランサムウェア攻撃の不正アクセスを受けました。本件につきまして、当社は、対策本部を設置のうえ、外部専門家等の助言を受けながら、原因特定、被害状況の確認等の調査を行い、システム復旧を進めております。引き続き、外部専門家等と連携のうえ、対応を進めて参る所存ですが、現時点で判明している内容につきまして、下記のとおりお知らせいたします。

※1:2023年8月10日付重要なお知らせ「当社サーバへの不正アクセスについて」

https://www.seiko.co.jp/information/202308101100.html

※2:2023年8月22日付重要なお知らせ「当社サーバへの不正アクセスによる情報漏えいについて」

https://www.seiko.co.jp/information/202308221300.html

1.発覚の経緯及びこれまでの対応状況

当社は、2023 年 7 月 28 日、当社の一部のサーバに対する不正アクセスを検知しました。当社は、直ちにデータセンター内にある当社のサーバに対して緊急点検を行い、セキュリティ専門会社に本件不正アクセスの対応に関する支援を依頼しました。その後、当社は、本件不正アクセスはランサムウェア攻撃であったことを把握し、対策本部を設置して被害拡大防止の為、複数の外部専門家への本件不正アクセスへの対応支援を依頼するとともに、被害の全容解明及びシステム復旧等の対応を進めました。また、個人情報保護委員会への報告及び警察への相談も行っております。

当社及びセキュリティ専門会社が入手した情報を精査したところ、下記のとおり、当社、セイコーウオッチ株式会社及びセイコーインスツル株式会社が保有する約 60,000 件の個人データが外部に漏えいしたことを確認しております。

なお、当社は本件不正アクセスを受けた後、外部との通信を遮断し、サーバや各端末の不正な挙動を検知する EDR(Endpoint Detection and Response)の全サーバ及び全 PC への導入を早急に進め、多要素認証等により不正アクセスを防止する措置を講じております。

2. 漏えいを確認した個人データ

  • セイコーウオッチ株式会社のお客様の氏名、住所、電話番号、メールアドレス等(クレジットカード情報は含まれておりません)

  • 当社、セイコーウオッチ株式会社及びセイコーインスツル株式会社の取引先ご担当者の氏名、会社名、役職名、会社住所、会社電話番号、会社メールアドレス等

  • 当社及びセイコーウオッチ株式会社の採用応募者の氏名、住所、電話番号、メールアドレス、学歴等

  • 当社及び当社グループ会社の従業員及び退職者の氏名、人事情報、メールアドレス等

3. 今後の対応

当社は、引き続き、外部専門家等の第三者の助言のもと、①IT 機器の脆弱性調査、②情報漏えい範囲の特定、③原因の追究等、本件不正アクセス被害の全容解明を行うとともに、④セキュリティ強化及び監視、⑤IT 運営や体制の見直し、⑥全グループでのガバナンスの強化、⑦BCP(事業継続計画)の見直し、⑧第三者評価の実施等を行い、再発防止に向けた取り組みを進めて参ります。

関係する皆さまには個別に対応を行っておりますが、今後も、新たな漏えいの事実が判明した場合には、可能な限り、追加で個別に対応を進めて参ります。関係する皆さまに多大なるご心配とご迷惑をお掛けすることとなりまして、深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-389】富士ソフト 当社の社内システムに対する不正アクセスについて(最終報) 

 

9月27日からご報告しています当社社内システムへの不正アクセスに関しまして、第三者機関に協力いただきながら社内にて調査・緊急対策を進めるとともに、随時、関係機関やお客様に対してご報告を行ってまいりました。この度、調査が完了し、調査結果を踏まえて今回の不正アクセスの経緯、原因、再発防止策を下記の通りご報告いたします。

経緯

調査の結果、今回の不正アクセスに関する一連の経緯が判明しました。

  1. 攻撃者により一部社員のアカウント/パスワード情報が盗まれました。これを起点に以下の2つの攻撃を受けました。

  2. 攻撃者により6名のアカウント/パスワードが利用されて社外から社内端末に侵入され、これを踏み台に、クラウド上に格納していた20ファイルが閲覧またはダウンロードされました。

  3. 攻撃者によりパートナー会社向け教育サイトへ侵入され、バックドア設置を試行されました。

ただし、速やかに当社SOCにて検知し、CSIRTが遮断したことにより被害を最小限に留めることができました。

影響範囲

今回の不正アクセスにより影響を受けた範囲は、以下の通りです。

  • 社員6名のアカウント/パスワードの悪用

  • 社員3名の端末への侵害

  • クラウド上に格納されていた当社作成の20ファイルの攻撃者による閲覧またはダウンロード

  • パートナー会社向け教育サイトへの侵害

上記以外の端末、クラウドリソース、ファイルサーバ、お客様環境、当社標準開発環境、社内システム等については、影響はありませんでした。攻撃者に閲覧またはダウンロードされた20ファイルについては、全てが当社の作業上の資料であり、お客様から受領した資料やお客様に納品する資料は含まれておりません。

原因

当社では、社外からのアクセスは多層防御を行っていますが、一部対応していないシステムが存在しました。また、一部の社員が攻撃者に推測可能なパスワードを使用していました。この二点が重なったことから攻撃者による不正アクセスを発生させてしまいました。

再発防止策

今回の不正アクセスの発見を受け、暫定対処として、多層防御に対応していないシステムへの社外からのアクセスを停止するとともに、全社員のパスワードを強度が高いものへ変更しました。

また、侵害された端末・システムについては遮断・隔離の上、分析を行っており、利用再開に向けては対策を講じて再構築を行います。さらなる対処として、社外からアクセスされる全てのシステムへの多層防御の徹底、および攻撃のモニタリング強化を継続的に図っていきます。

今回の不正アクセスで用いられた攻撃手法の詳細については、これを模倣した攻撃による被害の発生を防ぐために公開を控えさせていただきますが、当社が加入するセキュリティ団体等を通じてセキュリティ関係者に共有を図ってまいります。当社の経験を通し、世の中の不正アクセスからの防衛とセキュリティ強化に貢献してまいります。

この度は、当社社内システムへの不正アクセスに関しまして、関係する皆様にご迷惑とご心配をおかけいたしましたことを心よりお詫び申し上げます。今後、同様の事態を起こさないよう、再発防止に努めるとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2023-426】公立甲賀病院における個人情報を含む USB メモリの紛失について


令和 5 年 10 月 20 日(金)午前、当院外科医師が所持していた個人情報入り USB メモリが紛失したことが判明しました。このたびの事案が発生しましたことにつきまして、患者さん並びに関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、個人情報取扱いの仕組みの見直しを含め再発防止に努めてまいります。

1 概要と事実経過

令和 5 年 10 月 20 日(金)午前、外科医師が所持していた個人情報入り USB メモリを院内にて紛失したとの報告が入りました。すぐに本人に聞き取りを行ったところ、10 月 17 日(火)に本人が手術着のポケットに USB メモリを入れたところまでは確認ができました
本人が 19 日(木)に USB メモリのデータを自己研鑽のために使用しようとしたところ、ないことが発覚し、身辺をくまなく探すも発見できませんでした。20 日(金)に本人から外科主任部長を通じて、院長へ報告がされました。

その後、院内において捜索を行いましたが発見には至りませんでした。

23 日(月)17 時時点で情報が漏えいした事実は確認していません。

2 紛失した USB メモリに含まれる個人情報

腹腔鏡手術の録画映像 5 名分(動画開始時には患者さんの氏名と生年月日の表記あり)

3 判明後の対応

令和 5 年 10 月 23 日(月)に、USB メモリに含まれる個人情報の対象となる 5 名の患者さんに謝罪及び経過説明を行いました。

4 原因

手術着に入れた USB メモリが、いつの間にか紛失していたことが直接の原因となります。

5 再発防止について

当院といたしましては、これまでも職員に対して個人情報の管理を指導していたにもかかわらず、このような事案を起こしたことについて深く受け止めております。

すぐさま、再発防止策として動画から個人の特定ができないよう対策を講じました。また、パスワード管理のできる USB メモリの運用整備を視野にいれ、個人情報を適切に取扱いをすること及び個人情報保護に関する規程を点検する等、管理の徹底を指導してまいります。

また、院内で今回の事案を共有するとともに注意喚起を図り、個人情報の管理の徹底と、さらなる意識の向上について指導し、再発防止に努めてまいります。

【セキュリティ事件簿#2023-425】株式会社東名 お客様情報の一部流出の可能性に関するお知らせとお詫び


この度、当社サーバーへの第三者による不正アクセスを受け、お客様情報の一部流出が発生した可能性があることが判明いたしました。

本件について、現在対策本部を設置し、外部専門家の助言を受けながら、影響の範囲等の調査を進めております。また、警察などの関係機関への相談を開始しております。

被害の全容を把握するにはいましばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。

お客様、関係先の皆様に多大なるご心配とご迷惑をおかけすることに至りましたこと、深くお詫び申し上げます。今後、同様の事象が発生しないよう、より一層のセキュリティ強化と安全性の確保に努めてまいります。

経緯

2023年 10 月 18 日(水)、当社サーバーへの第三者による不正アクセスを受け、お客様情報の一部流出が発生した可能性があることが判明いたしました。
直ちに、外部専門家の協力のもと調査を開始し、迅速に対応を進めるべく全社対策本部を立ち上げました。

現時点で流出した可能性のある情報

・会社名、氏名
・メールアドレス
・郵便番号、住所
・電話番号
・請求情報(請求金額、使用量など)
※マイナンバー(個人番号)、クレジットカード情報は含まれてございません

関係機関への報告

個人情報保護委員会及び関係省庁への報告を行うと共に、警察への報告・相談を行い、助言を受けて対応をしております。

現在の状況

現時点で当社システムへの被害は確認されておらず、通常通り稼働しております。

今後の対応

お客様情報の一部流出につきましては、引き続き外部専門家や警察と連携のうえ、皆様へのご迷惑を最小限に止めるべく取り組むと共に、個人情報取り扱い業務における管理体制の厳重化を行うことに加え、個人情報委託先に安全管理措置の徹底を依頼するなどして、再発防止に努めてまいります。

業績への影響

本件が当社グループの今期の業績予想に及ぼす影響については現在精査中であり、修正の必要があると判断した場合には速やかに公表いたします。

2023/11/25

【セキュリティ事件簿#2023-416】沖縄県 NTTビジネスソリューションズ元派遣社員による個人情報の不正流出について

1 概要 

沖縄県が、自動車税に係るコールセンター業務を委託した株式会社NTTマーケティングアクトProCXにおいて、同社が利用するコールセンターシステムの保守業者であるNTTビジネスソリューションズ株式会社の元派遣社員が、不正に個人情報を持ち出し流出させていたことが、NTTビジネスソリューションズ株式会社等からの報告により判明しました。

現時点(令和5年10月18日)では、沖縄県分の個人情報については、第三者への流出は確認できておりませんが、県民の皆様には、不審な電話や訪問者等にご注意くださるようお願いいたします。

2 漏えいした可能性のある個人情報

自動車税に関する平成25、26年度の納税者情報 約6.5万人分※

対象となる納税者情報:氏名、住所、電話番号、生年月日

※ 人数については、NTTマーケティングアクトProCX社等の社内調査で得られた電話番号データと、本県が所有する情報を照合することにより、確定する予定。

3 対応

  1. 個人情報保護委員会への報告及び本人への通知

  2. NTTマーケティングアクトProCX社等が設置する問い合わせ窓口の周知(下記、4 相談窓口 参照。)

  3. 県税務課等での問い合わせ対応

  4. 県税情報を扱う委託業者への事案共有及び個人情報の管理体制の点検

リリース文アーカイブ

【セキュリティ事件簿#2023-424】東京大学大学院総合文化研究科・教養学部への不正アクセスによる情報流出について


東京大学大学院総合文化研究科・教養学部(以下、「当該部局」という)が保有するPCが、標的型攻撃メールによりマルウェアに感染し、調査の結果、PC内の情報窃取の形跡が発見され、情報漏洩した可能性があることが判明いたしました。

上記判明後、漏洩した可能性のある情報の調査を慎重に進めてまいりました。調査結果の概要は以下のとおりです。 ご関係の皆さまには多大なご迷惑とご心配をお掛けすることになり、深くお詫び申し上げます。

本学では、今回の事態を重く受け止め、より一層、情報管理体制の強化や情報セキュリティ対策の適切な管理に努めて参ります。

1.本件発生の経緯

2023年1月18日、標的型攻撃メールの事案を調査していた専門機関からの指摘を受け、当該部局が保有するPC(当該部局所属の教員1名(以下、「利用者」という)が在宅勤務で使用していたもの)が2022年7月19日に受信した標的型攻撃メールによりマルウェアに感染していたことが発覚いたしました。

感染発覚後、当該PCを隔離保全し、同機関ならびに別の専門機関により、PC内の情報漏洩等に関する調査を行いました。調査の結果、2023年5月23日にPC内の情報窃取の形跡が発見され、以下の情報が漏洩した可能性があることが判明いたしました。

2.漏洩した可能性のある情報

(1) 本学教職員、学生、卒業生等の情報(氏名、所属、身分、学年、教職員番号、学生証番号、生年月日、性別、住所、電話番号、メールアドレス、学歴、職歴等のうち1つ以上の情報が含まれるもの):2,409件

(2) 利用者が在籍する学会会員、学会主催イベント等参加者の情報(氏名、所属、身分、生年月日、性別、住所、電話番号、メールアドレス、学歴・職歴等のうち1つ以上の情報が含まれるもの):1,082件

(3) 利用者が他大学で非常勤講師等として担当する授業の受講学生の情報(氏名、所属・学年、学生証番号、生年月日、性別、住所、電話番号、メールアドレス等のうち1つ以上の情報が含まれるもの):796件

(4) 過去の当該部局の学生成績・評価、過去の試験問題:24件

(5) 当該部局所属教員の評価等:30件

3.現在の対応、再発防止に向けた取組み

警察に捜査を依頼すると共に、漏洩した可能性のある情報について、メールアドレスを確認できた方々に対して、当該部局より、謝罪及び経緯説明の連絡を始めており、本件により被害が発生した場合はご連絡いただくよう案内しておりますが、現時点では二次的被害等の情報は確認されておりません。

本学では、情報漏洩したことと併せ、容易にマルウェアに感染したことを極めて重大な事態と認識し、個人情報の取扱いを含む情報セキュリティの確保に関して、本学情報セキュリティ・ポリシーに沿った対応を確実に実施できるよう、全構成員への指導、徹底をさらに強化し、対策に努めてまいります。

リリース文アーカイブ