雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【セキュリティ事件簿#2023-478】株式会社ダイヤモンド社 当社サーバーへの不正アクセスについて
【セキュリティ事件簿#2023-477】和歌⼭県社会福祉協議会 個⼈情報の漏えい事案について
1.漏えい事案の概要
下記3の審査資料を審査委員に事前送付(データ送信)する際、写真等のデータ容量が⼤きいため、 本会内部システムを活⽤し、「⼀般⾮公開設定(限定公開)」との認識でのアップロードを⾏ったところ、当該情報がインターネット上でも閲覧できる状態になっていた。
2.主催
3.情報漏えいした資料(4点)
4.情報漏えいの原因
「限定公開は、本会ホームページ上には掲載されず、かつ、インターネット上でも閲覧できない状態であり、所定のURLを知り得た者しかアクセスできない」という認識であったが、実際はインターネット上で閲覧できる状態にあった。
審査委員に対し個⼈情報を掲載した資料を配布していた。
5.対応
- 漏えいした情報は、本会システム管理業者に連絡し、判明直後(同⽇13:30)に削除しています。
- 対象者に対して個⼈情報を流出したことの通知と謝罪を⾏い、審査委員等には送信した個⼈データの廃棄確認を⾏っています。
- 再発防⽌策として、当該システム(限定公開機能)を活⽤した情報掲載やデータ送信を禁⽌するとともに、セキュリティの⾼い⼤容量データ送信システム導⼊の検討と、個⼈情報の取扱いにかかる安全管理及び職員指導を徹底します。
【セキュリティ事件簿#2023-476】一般社団法人JBRC 情報管理不備についてのお詫びとご報告
1.経緯
2.原因と対応
3.現在の状況とお願い
4.再発防止について
【セキュリティ事件簿#2023-475】群馬県みどり市 個人情報漏えいについてのお詫びとご報告
判明の経緯と原因
- 令和5年10月6日(金)、農業委員会事務局のホームページ上のみどり市内の貸出等希望情報を更新いたしました。
- 令和5年11月28日(火)、職員が確認したところ、個人情報を含んだものを掲載してしまっていたことが判明いたしました。
- 同日、ホームページ上の内容を更新して早急に該当情報を削除いたしました。
個人情報の内容・掲載期間
内容
掲載期間
対応状況
二次被害やおそれの有無
今後の対応
【セキュリティ事件簿#2023-473】大阪市コミュニティ協会 Googleフォームズからの個人情報漏えいについて(お詫びとご報告)
1.概要
2.判明日時
3.流出した個人情報(10組27名)
4.判明後の対応
5.原因
6.再発防止策
- フォームを作成後、業務責任者を含め複数名の職員によるダブルチェック等、入力から回答完了後までの動作確認を行う。
- チェックリストを用いたチェック体制の構築・運用を行う。
- 今後、同様の事象が発生した際には、速やかに発注者への報告を行う。
- 個人情報保護の研修を実施し、職員一人一人が個人情報の大切さを認識し、個人情報を適切に取扱う。
【セキュリティ事件簿#2023-474】株式会社徳岡 弊社が運営する「ボルドープリムール」「ボンルパ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ
1.経緯
2.個人情報漏洩状況
弊社が運営する EC サイト「ボルドープリムール」「ボンルパ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
2021 年 3 月 17 日~2023 年 7 月 28 日の期間中に「ボルドープリムール」「ボンルパ」においてクレジットカード決済をされたお客様 974 名で、漏洩した可能性のある情報は以下のとおりです。
- カード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
併せて、データベース上に保管されていた個人情報も漏洩した可能性があり、可能性のある部分は下記となります。
- 氏名
- 会社名
- 住所
- 電話番号
- FAX 番号
- メールアドレス
- 生年月日
上記に該当する 974 名のお客様については、別途、電子メールにて 個別にご連絡申し上げます。
3.お客様へのお願い
4.公表が遅れた経緯について
5.再発防止策ならびに弊社が運営するサイトについて
【セキュリティ事件簿#2023-471】株式会社クロックワークス 【映画『カンダハル 突破せよ』感想投稿キャンペーンにおける個人情報の漏洩に関するお詫びとお知らせ】
1)個⼈情報漏えいが発⽣した項⽬
2)原因
3)経緯と対応状況
4)再発防止策
【セキュリティ事件簿#2023-472】株式会社レスターホールディングス 当社及びグループ会社サーバーへの不正アクセス発生のお知らせ
【セキュリティ事件簿#2023-448】株式会社アイテス 当社サーバーへの不正アクセスに関するお知らせと調査結果のご報告
【対応経緯】
【調査結果】
【再発防止策について】
【セキュリティ事件簿#2023-470】NHK 取材に関する情報の流出について
【セキュリティ事件簿#2023-469】積水ハウス株式会社 システム開発用クラウドサーバーのセキュリティ設定不備によるお客様情報等の外部漏えいについて
【経緯及び状況】
- 当該サーバーには、弊社から提供したお客様情報等が存在していましたが、11 月 6 日、外部からの不審なアクセスが検知されたため、当該サーバーを停止し、調査を開始しました。
- 調査の結果、BIPROGY 社のセキュリティ設定の不備により、当該サーバーにおいて、11 月 10 日にお客様情報等の漏えい及び漏えいしたおそれがあることを確認しました。
- お客様情報等の不正利用は現在確認されておりませんが、漏えいの有無も含め、IPROGY 社と共に引き続き調査を行います。
- 当該サーバーは独立したものであり、弊社におけるその他のシステムに影響はありません。
- 本件に関しては、弊社より個人情報保護委員会に報告を行っております。
お客様の氏名、建築地住所及び図面 2 件
当該物件を担当した弊社従業員氏名 12 件
お客様の氏名及び建築地住所 11,707 件お客様の氏名のみ 15,682 件当該物件を担当した弊社従業員氏名 7,184 件
【お客様への対応】
- 漏えいが確認されたお客様には弊社より連絡をさせていただきました。
- 漏えいしたおそれのあるお客様につきましては、順次郵送やメール等で弊社よりご連絡をさせていただきます。そのため、ご連絡までにお時間を頂く可能性がございますが、何卒ご容赦くださいますようお願いいたします。
- 漏えいが確認された及び漏えいしたおそれのある弊社従業員(退職者も含む)に対しても、順次郵送やメール等で弊社より連絡を行います。
【セキュリティ事件簿#2023-383】名古屋芸術大学 学生の個人情報の漏洩の可能性に関するお詫びとお知らせ
1. 本件の経緯
2. 漏洩の可能性のある個人情報
3. 本件の対応窓口及び調査結果について
4. 再発防止策について
【セキュリティ事件簿#2023-468】株式会社大西 不正アクセス発生による情報流出の可能性とお詫びについて
1.流出した可能性のある情報
2.事案発生と調査の経緯
3.対応策
4.今後の対応
【セキュリティ事件簿#2023-396】個人情報保護委員会 青森県上北郡野辺地町における保有個人情報の取扱いについての個人情報の保護に関する法律に基づく行政上の対応について
個人情報保護委員会(以下「当委員会」という。)は、令和5年 11 月 29 日、青森県上北郡野辺地町(以下「野辺地町」という。)における個人情報等の取扱いについて、野辺地町長に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)第 157 条に基づく指導等を行った。
1.事案の概要
本件は、野辺地町健康づくり課において、同課で使用していたUSBメモリ(以下「本件USB」という。)が紛失し、本件USBに記録されていた町民に関する保有個人情報の漏えいのおそれが発生した事案である。
2.漏えいしたおそれのある保有個人情報とその件数
本件により漏えいしたおそれのある保有個人情報は、氏名、生年月日、性別、住所、健康診断結果及び新型コロナワクチン接種履歴等であり、本人数は 12,856 名である(本件が発覚した時点で死亡していた者 547 名を除く。また、健康診断結果が漏えいした本人数は 51 名である。)。
3.個人情報保護法上の問題点
(1) 電子媒体等を持ち運ぶ場合の漏えい等の防止の不徹底(物理的安全管理措置の不備)
野辺地町では、本件USBを定められた場所に保管していたものの、当該保管場所の施錠が行われていなかった上、本件USBには、パスワード等によるアクセス制御も行われていなかった。
(2) 個人情報の取扱状況を確認する手段の整備の不徹底(組織的安全管理措置の不備)
野辺地町では、保管場所からのUSBメモリの持ち出し、返却に関する管理台帳を作成しておらず、USBメモリの取扱状況について確認できる適切な手段が整備されていなかった。
(3) 漏えい等安全管理上の問題への不十分な対応(組織的安全管理措置の不備)
野辺地町から当委員会に漏えい等報告(速報)が提出されたのは当該事案の発覚後 28 日目であり、当委員会への速やかな漏えい等報告が行われなかったことから、個人情報保護法第 68 条第1項の規定に則った適正な取扱いがなされておらず、保有個人情報の漏えい等の安全管理上の問題への対応が不十分であった。
4.個人情報保護法第 157 条に基づく指導及び第 156 条に基づく資料提出等の求めの内容
(1) 個人情報保護法第 66 条第1項、個人情報の保護に関する法律についてのガイドライン(行政機関等編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)に基づき、必要かつ適切な措置を講ずること。
(2) 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講ずること。
(3) 再発防止策の実施状況について、関係資料を提出の上、令和5年 12 月 28 日(木)までに説明するよう求める。
【セキュリティ事件簿#2023-467】日本赤十字豊田看護大学における個人情報を含むUSBメモリの紛失について
1. USB メモリ紛失の概要
2. 紛失した USB メモリに保存された情報
3. 現在の対応状況
4. 再発防止策等
【セキュリティ事件簿#2023-466】JCOM 株式会社 お客さまの個人情報漏えいに関するお知らせとお詫び
1.概要
2.発覚の経緯
4.お客さまへの対応について
【セキュリティ事件簿#2023-465】中嶋製作所 弊社内システムがランサムウェアに感染し、情報流出可能性のご報告とお詫び
1. 経緯
社内基幹システムが平常通り作動しない事象が発生、 システムベンダーに連絡し、状況確認したところ、11 月 3 日にセキュリティ異常を検知していたととが判明。
始業時から基幹システムならびにた会計システムが起動しない状況となり、システムベンダーに連絡し調査してもらった結果、ラランサムウェアウィルス(BlackCat) に感染しているととが判明し、社内調査した結果、複数のパソコン、サーバー、ファイルが感染している状況を確認。
個人情報漏洩の恐れがあるため個人情報保護委員会に報告。
弊社代表者ならびに営業担当者宛に脅迫メールを受信。
長野県警サイバー犯罪捜査課に通報。
社内システムが復旧。 独立行政法人情報処理推進機構に報告。
2. 流出の可能性がある情報
3. 関係者様への対応
4 . 今後の対応
【セキュリティ事件簿#2023-464】LINEヤフー株式会社 不正アクセスによる、情報漏えいに関するお知らせとお詫び
■発生した事象
■本事案の影響
〈ユーザーに関する情報〉
〈取引先等に関する情報〉
〈従業者等に関する情報〉
■時系列対応(日本時間)
■対象者へのお知らせおよび今後の方針について
【セキュリティ事件簿#2023-318】独立行政法人日本学術振興会 不正アクセスによる個人情報漏えいのお詫びとご報告
経緯
原因
現在の対応
漏えいした個人情報
- 海外との研究者交流事業の関係者 391 名
氏名、所属先、役職、略歴、連絡先(メールアドレスを一部含む。)、活動計画、推薦理由等 - 国内外の学術振興に係る行事・会議の参加者 569 名
氏名、所属先、役職、略歴等 - 本会役職員の氏名、メールアドレス等 312 名
関係者の対応
今後の対策
【セキュリティ事件簿#2023-315】泉北高速鉄道株式会社 【ご報告】『当社子会社「泉鉄産業株式会社」業務用パソコンへの不正アクセスの発生及び泉鉄産業従業員情報の漏えいの可能性』に関する調査結果 (不正アクセス及び情報の漏えいはありませんでした)
8月7日、当社の子会社「泉鉄産業株式会社」の業務用パソコンに対して外部からの不正アクセス及び同パソコンに保有する従業員の個人情報が漏えいした可能性がある旨を8月10日に公表しました。
その後、同社により、外部専門機関による同パソコンの分析調査を実施しました結果、外部からの不正アクセスや不正にインストールされたプログラムがなかったことを確認しましたので報告します。
お客さまをはじめ関係されるみなさまに、ご心配をおかけしましたことを、改めて深くお詫びいたします。
1.分析調査の結果について
泉鉄産業株式会社は上記の業務用パソコンを解析するため、情報セキュリティ専門機関に分析調査を依頼しました。
調査の結果、解析対象パソコンにおいてハードウェア、ドライバーのエラーに起因するログは確認されましたが、外部からのアクセス記録及び痕跡は認められませんでした。
したがって、不正アクセスが疑われた事象の原因は、ハードウェアの故障に起因したものであり、不正アクセスはなく、また、情報漏えいもなかったと判断しました。
2.今後に向けて
泉鉄産業株式会社は、引き続き個人情報の厳重な管理を図ってまいります。
【セキュリティ事件簿#2023-463】株式会社エンラージ商事 弊社が運営する「エンラージ商事オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
1.経緯
2.個人情報漏洩状況
3.お客様へのお願い
4.公表が遅れた経緯について
5.再発防止策ならびに弊社が運営するサイトの再開について
【セキュリティ事件簿#2023-462】大阪府 個人情報の流出について
1.流出した情報
2.アンケート調査の方法
3.事案の経緯
- 千早赤阪村農業委員会がアンケート調査を実施した。
- 柏原市農業委員会がアンケート調査を実施した。
- ウェブで回答した柏原市のアンケート回答者から柏原市農業委員会へ、ウェブ上で回答内容を確認したところ、別の回答者の回答が表示されるとの連絡があった。
- 柏原市農業委員会職員が無作為に選んだ柏原市の回答者の回答結果閲覧画面を確認したところ、別の回答者の回答内容が表示されたため、柏原市農業委員会職員が受託事業者へ連絡した。
- 受託事業者がアンケート回答フォームを作成した業者(以下「業者」という。)に連絡し、原因調査及びシステムの不具合の解消を指示した。
- 業者がシステムを確認したところ、柏原市の回答結果閲覧画面を開くと、千早赤阪村の回答結果が表示されることが判明した。
- 業者がシステムの不具合を解消し、受託事業者へ連絡した。
- 受託事業者が府へ本事案を報告し、府は個人情報の流出件数の精査等を指示した。
- 受託事業者が個人情報の漏洩した千早赤阪村の回答者へ経緯説明及び謝罪を行った。
4.原因
- 業者が回答フォームを作成した際、柏原市のウェブ回答者の回答結果閲覧画面のURLが、誤って千早赤阪村の回答結果閲覧画面のURLとなっていた。また、受託事業者及び業者において動作確認を行っていなかった。
5.再発防止策
【セキュリティ事件簿#2023-461】中津市民病院 財務会計システムへの不正アクセスによる情報流出の可能性について
取引先各社の住所・会社名・代表者名・口座情報・取引金額
11 月 13 日(月)に財務会計システムサーバの異常を認識し、詳細を調査した結果、ランサムウェアに感染していることが 11 月 14 日(火)に判明しました。 直ちに感染したサーパ機器をネットワークから切り離し、現在、感染経路や時期について調査を実施中です。
この度の事案を深く受け止め、引続き調査を進めるとともに、再発防止に向けた外部ネットワークからの不正侵入防止策の強化やその他の院内システムの再点検を実施するなどして、より一層の情報セキュリティ強化に取り組んでまいります。
【セキュリティ事件簿#2023-460】東海大学 個人情報を含むリモート個別面談申込情報の誤掲載について
1. 経緯
2. URLの誤掲載で閲覧可能となった個人情報の内容
3. 対応
4. 再発防止に向けた今後の取組
【セキュリティ事件簿#2023-459】株式会社ダイナックホールディングス 弊社従業員の不適切な SNS 投稿についてのお詫びとお知らせ
【セキュリティ事件簿#2023-458】ヤマハ発動機株式会社 フィリピン子会社に対する不正アクセスについて
このたび、ヤマハ発動機株式会社(以下、当社)のフィリピンにおける二輪車製造・販売子会社「ヤマハモーターフィリピン(以下、YMPH)」が管理する一部のサーバに対し、第三者による不正アクセスおよびランサムウェア攻撃(以下、本攻撃)を受け、YMPHが保有する社員情報の一部が流出していることを確認しましたので、お知らせいたします。
本攻撃の判明以降、当社IT部門とYMPHによる対策チームを設置し、外部のセキュリティ専門会社の協力を得ながら、被害拡大の防止措置を講じた上で、影響範囲等の調査と復旧への対策を進めています。被害の全容を把握するには、一定の時間を要する見込みですが、現時点で判明している内容については下記のとおりです。
関係の皆さまにはご心配とご迷惑をお掛けすることとなり、お詫び申し上げます。
1.経緯
10月25日、YMPHがランサムウェア攻撃を受けていることを確認しました。同日、当社IT部門とYMPHによる対策チームを設置し、外部のセキュリティ専門会社の助言を受けながら、被害拡大の防止措置、影響範囲等の調査と復旧への対策を進めております。
10月27日、YMPHは、フィリピン当局へ報告しました。
11月16日、YMPHで保有する社員情報の一部が流出していることを確認しました。
2.現在の状況と今後の対応
現在、YMPHの本攻撃被害に遭ったサーバ以外のシステムは復旧しています。本攻撃はYMPHが管理する一部のサーバへの攻撃に留まり、本社を含めた当社グループへの影響はないことを確認しています。引き続き監視を継続するとともに、被害のあったYMPHのシステムの早期の全面復旧に向けた対応を継続いたします。
【セキュリティ事件簿#2023-457】明和證券株式会社 当社メールサーバへの不正アクセス発生について
当社は、11 月 5 日に、当社ホームページのお問い合わせフォームに使用しているメールアドレス( info@meiwa-sec.co.jp )のメールサーバへの第三者による不正アクセスを受けたことを確認しました。調査の結果、不正なアクセスによりお問い合わせフォームからお問い合わせいただいた内容や当該メールアドレス宛に送られた内容等が読みだされている可能性があります。
なお、不正アクセス確認後、速やかにパスワードのリセット、アクセス監視強化等の対策を講じております。
当該の方々や関係する方に多大なるご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。
【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスに関するお知らせ
当社は、2023 年 11 月 6 日に春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことを確認いたしました。
本件につきましては、速やかに対策本部を設置のうえ、外部専門家の助言を受けながら、原因特定、被害状況の確認、情報流出の有無などの調査を行うとともに、復旧への対応を進めております。影響について調査中ですが、開示が必要な場合は速やかに公表いたします。
1.今後の対応
2.不明点に関するお問い合わせ
【セキュリティ事件簿#2023-455】長崎県警察 ニセ電話詐欺被害者等の個人情報漏えいのお知らせとお詫びについて
長崎県警察が令和5年中に受理しましたニセ電話詐欺被害届出や相談について、被害に遭われた方や相談をされた方に関する個人情報が流出いたしました。
関係する皆様に御迷惑をおかけしましたことを心からお詫び申し上げます。
1 個人情報流出の概要
令和5年10月5日、警察本部の職員が、ニセ電話詐欺被害の認知件数に関する統計資料を関係先(1 箇所) に電子メールで送信しようとした際、 誤って個人情報が含まれた別のニセ電話詐欺に関する資料を送信したことが、関係先の御指摘により判明 したものです。
2 流出した保有個人情報の項目
氏名、職業、年齢、性別、被害額、被害発生日の全部又はその一部
※住所、電話番号の泌えいはありません。
3 原因
電子メールを送信する際、誤って別のファイルを添付したことによるものです。
4 二次被害又はそのおそれの有無
送信先は関係先1 箇所のみであり、発覚後、直ちに警察職員が関係先の電子メールを確認の上で、 誤送信したデータをすべて削除し、 併せて残存データがないこと、さらにそれ以上の流出がないことを確認しています。
5 再発防止策
長崎県警察は今回の事実を厳下に受け止め、同様の事態が再び発生しないよう、 電子メールやファックスで情報を送信する場合は、 必ず宛先や添付ファイルについて複数人で確認するなど、個人情報の管理について一層の注意を払ってまいります。
加えて、警祭職員に対して、これまで以上に情報の取扱い・保護に関する教育の充実を図り、個人情報保護の重要性に関する当事者意識の醸成を図ってまいります。
【セキュリティ事件簿#2023-454】IDEC(アイデック)株式会社 当社への不正アクセスについて
2023 年 10 月 31 日、当社のネットワークが第三者による不正アクセスを受けたことを確認いたしました。本件を受けて、当社では影響が及ぶ可能性のあるサーバーの停止、ネットワークの遮断を直ちに行うなど、被害拡大の防止策を講じております。
現在詳細を確認しており、今後外部の専門機関による調査も行うことで、情報流出の有無および範囲の特定を進めてまいります。
なお、業績等に影響を及ぼすと判断した場合には適時、開示させていただきます。
関係する方々に多大なるご心配とご迷惑をおかけすることを、深くお詫び申し上げます。
【セキュリティ事件簿#2023-453】東浦町 町が利用する外部メールアドレスの第三者による不正利用
経緯
【セキュリティ事件簿#2023-452】株式会社Geolocation Technology 採用応募者様の個人情報が閲覧できる状態になっていたことに関するお詫び(第2報)
1.本事案の概要と経緯
a)応募者様の数
閲覧のおそれがある応募者様の数(※106名)※2023年11月11日付公表の108名の中に、2名の重複がありました。
b)情報の内容
履歴書および職務経歴書に記載された応募者様の情報、職務経歴など。
2.再発防止策と今後の対応
【セキュリティ事件簿#2023-451】ジュテック株式会社 ランサムウェア攻撃に関するお知らせとお詫び
1. 概要及び原因
2. 被害を受けた可能性のある情報等
3. 発覚の経緯及びこれまでの対応状況
- 8 月28 日、弊社の業務用サーバへのアクセス障害を確認し、ランサムウェア攻撃を受けたことを認識しました。弊社は、直ちに関係する端末をネットワークから切断するとともに、システムの運用・保守を委託しているベンダーと連携し、被害状況の調査及びシステムの復旧に着手しました。なお、攻撃者からは、対象となったPCの画面を通じて金銭の支払いを要求するメッセージを受領しましたが、弊社はこれに応じておりません。
- 同日、大阪府警察に被害を申告しました。
- 同月31 日、個人情報保護委員会に対し個人情報保護法に基づく速報を行いました。
- 9 月11 日、所轄警察署に被害届を提出しました。
- 同月12 日、フォレンジック調査会社に調査を依頼しました。
- 10 月10 日、セキュリティベンダー及びサイバーセキュリティを専門とする弁護士に相談し、これ以降、継続的に助言を受けております。
- 同月12 日、フォレンジック調査が完了し、報告書を受領しました。
- 同月26 日、個人情報保護委員会に対し個人情報保護法に基づく確報を行いました。
4. 再発防止策
- 今回のランサムウェア攻撃は、VPN を通じた不正アクセスによって行われたことから、より脆弱性管理が容易なリモートアクセス方式を導入しました。
- クラウドサービスへのアクセスについて、端末証明書を導入し、外部からアクセスできないようにしました。
- 不審なアクセスを検知し、マルウェアを実行前に検知・隔離するソリューションを導入しました。
- セキュリティポリシーの見直し、定期的な従業員への教育、サイバー攻撃対応訓練の実施、不審な操作等の監視などを行うことを決定し、順次実行予定です。
【セキュリティ事件簿#2023-450】雲雀丘学園中学校・高等学校 個人情報を記録したUSBメモリの紛失について(お詫び)
【セキュリティ事件簿#2023-449】一般財団法人日本情報経済社会推進協会 【お詫び】プライバシーマーク審査関連資料の漏えいについて(第2報)
1.本事案の概要と経緯
(1)漏えいを確認した又は漏えいのおそれがある情報
(2)発生原因
2.再発防止策と今後の対応
(1)再発防止策
(2)漏えいを確認した又は漏えいのおそれがある事業者様及び審査員への対応
【セキュリティ事件簿#2023-448】株式会社アイテス 当社に対するランサムウェア攻撃による情報流出の可能性に関するお詫びとご報告
この度、当社のシステムが外部からランサムウェアによる攻撃を受けた事を確認しましたのでお知らせ致します。現時点において、取引先関係者様に関する情報の不正利用などの事実は確認されておりませんが、取引先関係者様にはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
なお、社外で運用しております当社ホームページや、メールサーバ等には被害が及んでいない事を確認しております。
【概要】
2023年10月20日(金)に、当社の社内サーバに対しランサムウェアによる攻撃があり、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。
(1)発生日時:2023 年10 月20 日(金)午前1 時00 分頃
(2)流出した可能性がある情報:調査中
事象確認後、すべての社内サーバについてはネットワークから隔離いたしました。現在も調査を継続しており、今後新たな情報が判明しましたら、随時ご報告致します。なお、個人情報保護委員会への報告や警察への届け出等の対応を実施致しました。今後も必要に応じこれらの関係機関と連携して対応してまいります。
当社では、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の情報管理体制の強化に努めてまいります。
【セキュリティ事件簿#2023-447】グラントマト株式会社 当社サーバへの不正アクセスについて
グラントマト株式会社(以下「当社」といいます。)は、本年10月27日、当社の一部のサーバに対し、第三者による不正アクセスを受けたことを確認いたしました。直ちに、外部専門機関の協力を得て調査を行い、状況を確認した結果、不正アクセスを受けたサーバ内に保存されていた情報の一部が暗号化され、流出した可能性があることが判明しましたので、ご報告いたします。
現在、不正アクセスを受けたサーバ内に保存されていた情報について確認中ですが、今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。
当社は、外部専門機関の協力を受けながら、調査を継続し、被害拡大の防止及び再発防止に向けて総力を挙げて対応して参ります。
関係する皆さまには、多大なるご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。お客様やお取引先様におかれましては、不審なメールや通知が届いた場合は、開封及びリンク先へアクセスせず、直ちに当社までご連絡いただきますよう宜しくお願い申し上げます。
【セキュリティ事件簿#2023-325】日本ゼオン株式会社 不正アクセス発生(8 月 23 日付お知らせ)に関する 社内調査ならびに第三者調査完了について
前回ご報告以降に継続実施した社内調査、ならびにセキュリティ専門ベンダーによる第三者調査が完了いたしましたので、以下の通りご報告いたします。
関係者の皆さまに多大なご迷惑、ご心配をお掛けすることになり、誠に申し訳ございません。心よりお詫び申し上げます。
【第三者調査の結果について】
攻撃者の不正アクセスによる被害は、前回ご報告の通り当社アカウント管理システム(ディレクトリサーバー)のデータが外部流出した可能性のみであり、他の形跡がないことを改めて確認いたしました。
【外部に流出した可能性がある個人情報の内容】
(下記(1)~(2)の合計 13,434 件)
(1)当社が管理しているグループアドレスに登録されているお客様・取引先様の情報(8,236 件)
・お客様・取引先様ドメインのメールアドレスおよび氏名
個人情報が流出した可能性がある皆様には、2023 年 8 月 24日に本件をお知らせするメールを送信いたしました。
(メール通知が無い方に関しては、本件の対象外とご認識いただいて問題ございません)
※当社アカウント管理システム(ディレクトリサーバー)にはお客様・取引先様ドメインのメールアドレスおよび氏名のみが登録されておりますので、それ以外の情報が外部流出した可能性はありません。
(2)当社および当社グループ会社の社員および協力会社社員などのアカウント情報(5,198 件)
・当社および当社グループ各社が発行したユーザーID
・当社および当社グループ各社が発行したメールアドレス
・名前(漢字)
・名前(ローマ字)
・会社名
・部署名
・組織コード
・社員番号
・電話番号
これらの個人情報を悪用し、スパムメール、フィッシング詐欺メール等が送付される可能性があります。不審なメールやコンタクトを受け取られた場合、慎重にご対応くださいますようお願いいたします。
【当社の対応】
(1)行政機関への報告
経済産業省ならびに個人情報保護委員会に対し、第三者調査の結果を受け、2023 年10月16日に「確報」を提出いたしました。
(2)個人情報が流出した可能性がある方への対応
該当される皆様には、前述の通り、個別にメールでお知らせいたしました。
外部から受けた攻撃の手口等詳細については、行政機関に報告および相談を行っており、本お知らせ等の発信内容についても、連携して進めさせていただいております。
当社では今回の事態を重く受け止め、外部専門機関の協力も得て、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。
この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。