【セキュリティ事件簿#2023-037】嘉手納町 個人情報漏えいについてお詫びとご報告 2023年1月26日


この度、町民保険課住基年金係におきまして、住民の氏名及び住所等の個人情報を含むデータを誤送信する事案が発生いたしました。

このような事態を発生させ、皆さまには多大なるご不安とご迷惑をおかけすることとなり、心からお詫び申し上げますとともに、町民の皆さまの信頼を損なうこととなりましたことを深く反省し、全庁体制にて再発防止に取り組んでまいります。
 

1 概要

令和4年11月29日に住民A氏から住民登録についての問い合わせがあり、同日、問い合わせについての回答を電子メールで行い、参考資料を添付して送付した。その際、参考資料として添付すべき届様式ではなく、住民異動関係の見出しとして管理している個人情報を含むファイルを誤って添付し送付した。

令和5年1月3日に住民A氏が返信メールを開封し確認した際、送付された内容の誤りに気づき、当町にメールにて連絡。

令和5年1月4日に職員が、住民A氏からのメールを確認し誤送付が発覚、同日、直ちに住民A氏にお詫びのうえ削除依頼し、削除した旨の確認をおこなった。


2 漏えいした個人情報

住民異動届の令和4年4月1日から令和4年7月13日受付分 675名の氏名、住所、世帯主名、異動事由、世帯員の一部の名

3 漏えいの原因

送付すべきであった「住民異動届様式」と今回誤送付した「住民異動届見出し」のファイルは本来、違うフォルダに保管、管理されている。しかしながら、職員が報告物作成のため「住民異動届見出し」のコピーをデスクトップに保存しており、それを誤って送付した。
メールに添付したファイルの確認が不十分であったことが原因である。

4 今後の対応

今回の事態を重く受け止め、今後このような事態が発生しないよう電子メールの送信にあたっての確認事項を含め、改めてセキュリティーポリシーの遵守徹底を図るとともに、個人情報を含む電子ファイルの適正な保管、管理等、今一度、個人情報の取扱いについて見直し、再発防止に取り組んでまいります。

また、該当する方々へは、文書にて説明のうえ、謝罪することとしております。

バグバウンティ系のイけてるYouTubeチャンネル


1. Bug Bounty Reports Explained

Grzegorz Niedzielaは、公開された脆弱性の旅にあなたを誘います。彼は、超技術的な発見の詳細に焦点を当て、何が起こったのか、研究者がどのように脆弱性を見つけたのか、視聴者に理解を深めてもらいます。高度な脆弱性やバグの連鎖について学ぶには、特に視覚的に学ぶことができる優れた方法です。


2. InsiderPhd

InsiderPhdはイギリス在住の大学教授で、パートタイムのバグバウンティハンターです。彼女は、バグバウンティの様々な側面に関する教育ビデオを定期的に公開しています。デモを交えた脆弱性チュートリアルもあれば、バグバウンティの計画面(効果的なメモの取り方、プログラムの選び方、目標設定、モチベーションなど)に取り組んだものもあります。このユニークなアプローチは、気負わずにバグ探しの技術面を学びたい、初めてバグを見つける方法を知りたいという初心者に特に興味深いものです。


3. LiveOverflow

LiveOverflowは自らをハッカー志望と称していますが、彼の動画はそうではないことを証明しています。ドイツを拠点とするこのCTFプレイヤーは、様々なニッチなトピックについて、10分間の深堀りされた説明ビデオをアップロードすることで知られており、理解しやすいスケッチブックのアニメーションで心地よく視覚化されています。LiveOverflowは、教育的なチュートリアルから、ハッキングに関連する実際の話、質問、考えをカバーすることまで、様々なトピックをカバーしています。最近のMinecraftハッキングシリーズは話題になること間違いなしです


4. NahamSec

NahamSecは最も影響力のあるバグハンターの一人で、バグバウンティコミュニティに信じられないほどポジティブな影響を与えている。彼は、最高のバグバウンティハンターへのインタビュー、ライブハッキングストリーム、チュートリアル、Vlogで知られています。また、彼のチャンネルでは、彼が共同主催したカンファレンスのトークも見ることができます。ハッカーたちが最先端の技術(特にウェブハッキング)を紹介するだけでなく、チャリティーのために何千ドルもの資金を集めることにも貢献しています。


5. PwnFunction

pwnFunctionのYoutubeチャンネルに適切な言葉を見つけるのは難しいです。まず、質問から始めましょう。あなたはペンギンが好きですか?もし答えがイエスなら、今すぐハマるはずです! さて、もう一つ。ステラアニメーションは好きですか?pwnFunctionは、様々な脆弱性の概念やウェブに関する秘密について説明する、最も美しいビデオを制作しています。彼は年に2、3本しかビデオを作らないが、彼がアップロードするときは、それが良いものであることがわかるだろう


6. John Hammond

ジョン・ハモンドは、CTFコンテストにおいては真の伝説的存在です。ジュラシック・パークに登場する彼の双子のように、Johnは情熱的なクリエイターであり、謙虚なコミュニティメンバーでもあります。NahamConやHacktivityConで彼が作った人気のCTFチャレンジで彼を知っている人もいるかもしれません。Johnの特徴は、課題を作るだけでなく、その仕組みや解決方法を説明し、他の人を教育し、次のレベルに到達する手助けをすることに長けている点です。


7. Ippsec

Ippsecが最もよく知られているのは?Hack The Boxのチュートリアルビデオです。彼はそれをロックしていますか?もちろんです。もしあなたが侵入テストに入りたいなら、これらのビデオはベスト中のベストです


8. PhD Security

博士号を持ち、サイバーセキュリティに情熱を持つ別の人物が、あなたにすべての小技を教えるビデオを作っています。このビデオ、すごいですよ


9. Farah Hawa

Farah Hawaは、複雑なウェブ脆弱性をわかりやすく説明する才能を持つバグハンターです。彼女独自のスタイルで、要点を率直に述べ、脆弱性を迅速に把握するために必要なことだけを教えてくれる。


10. STÖK

独特のルックスとヴェイパーウェアのような美的感覚で、バグバウンティ界に旋風を巻き起こしているSTÖK。彼は、菜食主義のシェフであり、ITコンサルタントからサステナブルファッションストアのオーナーに転身し、バグバウンティハンターであり、キーノートスピーカーでもあるのです。彼のビデオには、「Bounty Thursdays」という週刊教育番組、バグハンターのアプローチ方法に関するトーク、モチベーションを高めるスピーチ、バグバウンティライフの楽しいカバー、チュートリアルなどがあります。彼のビデオを見た後は、ポジティブになれること請け合いです

2022年、彼はあまり積極的に活動しておらず、今後投稿するビデオも少なくなると思われますが、彼がコミュニティのためにしてくれた素晴らしい仕事を称え、今年もこの場所を提供したいと思います。Stokはバグバウンティに良い雰囲気をもたらし、彼がいなかったら、どれだけ多くの素晴らしいハンターがバグバウンティハンターになることはなかったでしょう


11. 0xdf

0xdfは、Hack The Boxマシンやその他多くの素晴らしいビデオを制作しています。彼の素晴らしいところは、単に解決策を示すだけでなく、ルートシェルを取得するだけでなく、脆弱性の原因を正確に示していることです。


12. Cristi Vlad

Cristi Vlad は何年も前から侵入テストを行っており、彼がそのマジックの一部を YouTube で共有してくれたのは幸運でした。彼は非常に多くのビデオを持っており、どこから始めればいいのか分かりませんが、そのほとんどすべてが金字塔であることをお約束します。


13. CryptoCat

CryptoCat は、CTF ウォークスルー、バイナリ搾取、ペンテスト、マルウェア解析、プログラミング/スクリプトなどに焦点を当てた情報セキュリティ教育チャンネルです。彼は通常、カバーするトピックを深く理解できるように、かなり詳細に説明します。

さらに素晴らしいことがあります。彼はもうすぐインティグリティのコミュニティチームに参加する予定です。インティグリティのYouTubeチャンネルで、彼のコンテンツにご期待ください。


14. Rana Khalil

Rana Khalilは、セキュリティ評価の専門家であり、パートタイムのバグバウンティハンターです。彼女のチャンネルでは、Portswigger's Web Security Academyのすべてのラボを解決することに焦点をあてています。Ranaはいつも、特定の脆弱性に関する一般的なガイドビデオで始まり、その後、いくつかのラボで解決策を実演しています。


15. HackerSploit

HackerSploitには、ハッキングに関するビデオが400本以上あります。その中には、倫理的なハッキングや侵入テスト、Linuxのエッセンス、チャレンジのウォークスルーなど、多くのシリーズが含まれています。彼は様々なトピックに触れますが、彼の専門はLinuxです。彼のビデオは、ペンテスターのためのDocker、zsh、Nmapなどのトピックの優れた紹介を提供しています。


16. Seytonic

Seytonicは、YouTubeで最高のセキュリティニュースコンテンツを作っています。それは間違いないでしょう。バグバウンティハンターとして、私たちは時々、他のバグバウンティハンターからだけ多くのサイバーセキュリティニュースを得るという、小さなバブルに入ることがあります。ハッキングには他の側面もあり、Seytonicのビデオを使って、それを本当に簡単に消化するのが好きなのです。


17. Dr Josh Stroschein

ジョシュは、100%講義と言えるようなビデオを作ります。私たちは、リラックスしたスタイルと落ち着いた声が大好きです。このすべてが、学習をより良いものにしてくれます


18. theXSSrat

"What’s up you amazing hackers?"

この文章を聞いたことがない人は、XSSラットのコンテンツをチェックする必要がありますよ。彼は定期的にバグハンターに関連する様々なトピックについて短いビデオを公開しています。これには、インタビュー、チュートリアル、Q&A、Tips、そしてバグハンターが始めるときに誰もが抱く疑問への答えが含まれています。


19. Conda

Condaは素晴らしいクリエイターであるだけでなく、最近Intigritiのリーダーボードでトップになり、素晴らしい肖像画を付与されたのです。この素晴らしいバグバウンティハンターがどのようにスタートしたかを知りたい方は、ぜひ彼のチャンネルをチェックしてみてください。


20. HackingSlimplified

Hacking Simplifiedは、チャンネル名が宣伝しているとおりのことをやっています。彼は、ハッキングをよりシンプルにするためのビデオを制作しています。彼のチャンネルでは、コミュニティの注目すべき人々へのインタビューや、AndroidのペンテストからGraphQLの脆弱性の発見まで、あらゆることについてのチュートリアルを見ることができます。



出典:Top 20 bug bounty YouTube channels in 2023

2023年の危険な航空会社8選

 

航空格付け会社のエアラインレイティングス(AirlineRatings)は、2023年の安全な航空会社トップ20と安全な格安航空会社(LCC)トップ10を発表した。

裏ネタとして逆に評価が低い、シングルスターな航空会社を8社取り上げてみたい。

  • Pakistan International Airlines / パキスタン国際航空


  • Air Algérie / アルジェリア航空


  • SCAT Airlines / SCAT航空
    ※カザフスタンのシムケントを本拠地とする航空会社。


  • Sriwijaya Air / スリウィジャヤ航空
    ※スマトラ島をベースにインドネシア国内の都市を結ぶインドネシアの航空会社


  • Airblue / エアブルー
    ※カラチを本拠地とするパキスタンの格安航空会社


  • Blue Wing Airlines
    ※スリナムの航空会社


  • Iran Aseman Airlines / イラン・アーセマーン航空


  • Nepal Airlines / ネパール航空


出典:COMPARE AIRLINE SAFETY RATINGS

【セキュリティ事件簿#2023-036】株式会社ジェイ・エス・ビー 当社従業員によるご契約者様等の個人情報の漏洩について 2023 年1月 25 日


このたび、当社の従業員による当社の管理物件等に係るご契約者様等の個人情報の一部漏洩の可能性があることが判明いたしましたので、お知らせ申し上げます。

2023年1月10日頃より、当社と全く関係のない第三者により、ご契約者様等に対して、当社のコーポレートブランドである「ユニライフ」の名を騙ったウォーターサーバーに関する勧誘や、身に覚えのない契約の締結を理由としたキャンペーンの案内がされている等の苦情が当社に寄せられました。当社のご契約者様等のリストに基づいて勧誘等がなされている懸念があったため、当社は調査を開始し、当社の従業員が当社の顧客管理システムからご契約者様等の個人情報(氏名、生年月日、性別、住所、電話番号、ご入居様の在籍校名、年収、世帯年収等)を漏洩した可能性があることが、2023年1月20日に判明いたしました。 

これを受け、当社は2023年1月23日に対策本部を設置し、当該従業員による第三者に対するご契約者様等の個人情報の提供行為の有無や上記の勧誘等との関係を含めた、本件の事実関係及び原因の全容解明並びに被害の拡大防止に取り組むことといたしました。

当社から、ご契約者様等に対して、事前の同意を得ることなくウォーターサーバーの勧誘やキャンペーンの案内をすることはございませんので、当社の名を騙った勧誘にはくれぐれもご注意いただきますようお願い申し上げます。ご契約者様等や株主の皆様をはじめとする関係者の皆様には多大なご迷惑及びご心配をお掛けすることとなり、深くお詫び申し上げます。

本件による当社業績への影響については、現在精査中であります。今後、業績に重要な影響を及ぼすことが明らかになった場合には、速やかに開示いたします。

なお、本件については既に警察に相談をするとともに、国土交通省その他関係機関に対しても報告をしております。 


【セキュリティ事件簿#2023-006】株式会社SEプラス 弊社教育サービスをご利用頂いているお客様への重要なお知らせとお詫びについて(2023/01/25 追加報告) 2023年1月25日


2023 年 1 月 6 日にご報告 (以下「前回ご報告]」 といいます) しました通り、弊社の教育事業サービスにおきまして、弊社のお客様 (法人・個人含む) の一部情報が限定された条件下において閲覧可能な状態にあり、漏えいのおそれがあったごことが判明致しました (以下、「本件」 といいます)。

弊社は、漏えいのおそれがある状態を直ちに是正するとともに、本件につき原因・影響範囲その他の事実を把握するべく、社内調査に加え、第三者機関によるフォレンジック調査を進めてまいりましたが、調査が終了しましたので、調査結果および再発防止に向けた取り組みにつきご報告申し上げます。

なお、本件については既に是正済であり、第三者機関の調査におきましても、悪意のあるユーザーからの不正アクセスその他漏えいの事実は確認されておりません。また、本日、個人情報保護委員会等への報告を済ませております。

改めまして、お客様には大変ご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

1. 漏えいするおそれのあつた個人情報と件数 (※下線は前回ご報告から追加・変更された事項を指します)

件数 : 49,982
個人情報
・会員 ID(一部サービス)
・氏名
・メールアドレス
・バスワード(一部サービスにおける初期バスワード以外は暗号化を確認)
・所属会社名
役職(一部サービスにおいて任意に入力されたもの)
学習履歴(一部サービス)
※学習履歴は記号化されておりますが、データベースを操作して紐づけを行うことで認識可能な状態

2. 閲覧可能であった期間

2022 年 12 月 16 日2022 年 12 月 29 日迄の間、断続的に閲覧が可能な状態(特定の条件下において)

3. 経緯

2022 年 12 月 29 日、お客様より「外部セキュリティ企業の情報漏えいデータ検出ソリューションを利用した調査の結果、当該データを検出した」 旨のご連絡を受け、直ちに社内調査を行った結果、同月 30 日に原因の特定に至りました。その後、2023 年 1 月9 日より第三者機関によるフォレンジック調査を行いました。

4. 原因

第三者機関によるフォレンジックを含む調査の結果、整社従業員の開発用 PC1 台について、複数の条件を全て満たすごとで当該PC 内に設定されているデータベースへの侵入を許すおそれがある状態であったことが確認されております。

5. 現在の状況

データの閲覧が可能な状態はすでに是正済みであり、第三者機関によるフォレンジック調査の結果、悪意のあるユーザーからの不正アクセスその他漏えいの事実は確認されませんでした。また、本件につき必要な関係各所への報告は完了しております。

6. 再発防止策

現在再発防止策として下記の対策を進めておりますが、新たに外部セキュリティ会社等の専門機関に相談しつつ、追加の対策も速やかに検討、実施してまいります。

(1)情報セキュリティ教育の強化

(2)確認・チェック機能の強化、各種権限の見直し

(3)現状の開発運用方針を見直し、代替手段へ移行

改めまして、お客様にはご心配をおかけする事態となかりましたことを深くお詫び申し上げます。ごの度の事態を真統に受け止め、再発防止策を講じるとともに個人情報の取り扱いに対して厳重な管理を徹底し、更なる情報セキュリティ強化に取り組み、再発防止に努めてまいります。

併せて、弊社サービスをご利用のお客様におきましても、報告書を提出済です。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。



【セキュリティ事件簿#2023-022】株式会社アダストリア 当社サーバーへの不正アクセス発生について(第二報) お客さまの個人情報流出の可能性に関するお知らせとお詫び 2023年1月24日


当社コーポレートサイトの2023年1月19日付け「当社サーバーに対する不正アクセス発生について」※にてリリースいたしました通り、当社のサーバー等に対する不正アクセスに関連して、一部のお客さまの個人情報が流出した可能性を否定できないことが判明いたしました。なお、現時点で、本件に関わる情報流出は確認されておりません。お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。
現在判明している事実等につきまして、以下のとおりご報告いたします。

1.経緯

2023年1月18日早朝、当社が管理運用する一部の社内業務システムのサーバー等(以下、本件サーバー等)に対し、外部の第三者からの不正アクセスを受けたことを確認いたしました。当該事象の確認後、直ちに、被害拡大を防ぐためにネットワークの遮断、社内業務システムの停止などの対応を実施いたしました。なお、WEBストア「ドットエスティ」のECサーバーについては、今回の不正アクセスの影響を受けていないことを確認しておりますが、物流システムを停止したことに伴い、ドットエスティを休止いたしました。

同日午前に、対策本部を立ち上げ、外部専門機関の協力のもと、影響範囲の特定、原因や侵入経路の調査、復旧作業等の対応を開始し、同日午後には、警察へ相談しております。

現在も調査を継続しており、現時点で本件に関わる情報流出は確認されておりませんが、本件サーバー等に保存されている、お客さまの個人情報流出の可能性を完全に否定できないことが判明しました。なお、個人情報保護委員会への報告は既に実施いたしました。

2.1月24日時点で流出の可能性が判明した個人情報の内容

以下の対象となるお客さまの個人情報 1,044,175件(氏名・住所・電話番号・メールアドレス・会員識別番号)

①    2022年7月~2023年1月に、ドットエスティからの商品を受取り済み・受取り予定の一部のお客さま
②    2021年4月~2023年1月に、店舗受け取り・自宅配送サービスをお申込みの一部のお客さま
③    2019年8月~2019年9月に、ドットエスティで購入された一部のお客さま
(①・②については、2023年1月18日以前のご注文・お申込みの方が対象です。)

※ クレジットカード情報などの決済情報は含まれておりません。
※ 会員識別番号は、社内で使用する管理番号です。ドットエスティへのログイン情報(お客さまご自身で設定された会員ID・パスワード)は、本件サーバー等に保有しておらず、流出可能性の対象となる情報に含まれておりません。

3.対象となる方への対応

当社では、順次、対象となる方への連絡を進めており、メールまたは郵送にてご案内を差し上げる予定です。

4.現在の状況とWEBストア「ドットエスティ」について

現在、安全な環境の構築が完了し、停止していた社内業務システムの稼働を順次再開しております。休止しているWEBストア「ドットエスティ」につきまして、物流システムを再稼働し、安全性が確認できたことから、近日中に再開を予定しております。

5.今後の対応と再発防止策

引き続き、外部の専門機関と連携し、原因や経路の究明を行うとともに、流出の可能性がある情報について調査を進め、対象となる方へのご連絡を差し上げてまいります。ドットエスティ再開にあたっての必要な対策は講じておりますが、さらに安心してご利用いただくためのセキュリティと監視体制の強化を実施し、再発防止に努めてまいります。

6.業績への影響

現時点で、本件にかかる業績予想等の変更はございません。今後開示すべき事項が発生した場合には速やかにお知らせいたします。

本件に関して、さらなる詳細な調査の結果、新たに報告すべき事項が判明した場合には、速やかにお知らせいたします。お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしておりますことを、重ねて深くお詫び申し上げます。


【セキュリティ事件簿#2023-035】株式会社シャルレ 「CHARLE WEB STORE(シャルレ ウェブストア)」へのサービス提供会社における個人情報漏えいのおそれに関するお詫びとお知らせ 2023年1月24日


このたび、弊社が運営する「CHARLE WEB STORE(シャルレ ウェブストア)」(https://store.charle.co.jp/)(以下「当サイト」といいます。)に対して入力補助サービス等(以下「本サービス」といいます。)を提供している株式会社ショーケース(本社:東京都港区、証券コード:3909)(以下「ショーケース社」といいます。)におきまして、同社のプログラムが第三者による悪意のある攻撃を受け、お客様のクレジットカード情報(対象者数: 605 名)が漏えいした可能性のあることが、ショーケース社からの報告により判明いたしました。

お客様には多大なるご迷惑及びご心配をおかけする事態となり、深くお詫び申し上げます。クレジットカード情報が流出した可能性のあるお客様には、二次被害の防止の観点から、既に第一報を郵送にてお送りしていますが、改めて、本日から個別にお詫びとお知らせをご連絡させていただいております。

また、被害範囲確定のための第三者機関(事故調査機関(PFI:PCI Forensic Investigator))による当サイトの調査の結果、当サイトのプログラム改ざんやサイト実行環境への不正アクセスによる情報漏えいはなかったことを確認しております。当該調査に時間を要し、ご報告が本日となりましたことを重ねて深くお詫び申し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
なお、弊社では、既にショーケース社のサービスの切り離しを行っております。

お客様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記のとおりご報告いたしますので、ご確認くださいますようお願い申し上げます。また、ショーケース社より、本件に関する概要と対応等につきまして、以下のとおり2022 年 10 月 25 日付で公表されていますので、お知らせいたします。

▼株式会社ショーケース 不正アクセスに関するお知らせとお詫び(2022 年 10 月 25日)  
 URL: https://www.showcase-tv.com/pressrelease/202210-fa-info

1.経緯等

2022 年 7 月 26 日、ショーケース社が本サービスを利用する弊社以外の企業から、本サービスのプログラムのソースコードに不審な記述がある旨の指摘を受け、ショーケース社においてソースコードを調査したところ、当サイトで使用しております同社サービス「フォームアシスト」及び「スマートフォンコンバータ」において、第三者による不正アクセスにより、ソースコードの書き換えがなされ、当サイトにおいて入力されたお客様のクレジットカード情報が外部に流出した可能性があることが判明しました。

2022 年 7 月 28 日、弊社はショーケース社からその旨の報告を受け、決済代行会社及びクレジットカード会社と相談の上、2022 年 8 月 3 日、当サイトでのカード決済を停止いたしました。また、2022 年 8 月 29 日からは、ショーケース社が第三者調査機関による調査を開始しました。

ショーケース社からの初期報告に基づき、2022 年 10 月 4 日以降、クレジットカード情報が流出した可能性のあるお客様に対して、二次被害の防止の観点から、第一報を郵便にてお送りするとともに、個別にお電話またはメールにてお知らせいたしました。

2022 年 10 月 19 日、ショーケース社における第三者調査機関による調査が完了し、流出した可能性のある情報及び情報が流出した可能性のある期間について、ショーケース社より報告を受けました。

当初、漏えいした期間は、2022 年 7 月 19 日 3 時 14 分から 2022 年 7 月 26 日 20 時35 分までとの報告を受けておりましたが、ショーケース社における第三者調査機関による詳細な調査の結果、漏えいした可能性のある期間が変更となったため、追加された期間に当サイトで決済を完了されたお客様に対しても、2022 年 11 月 1 日に、二次被害の防止の観点から、第一報を郵送にてお送りするとともに、個別にお電話またはメールにてお知らせいたしました。

その後、本件の全容解明及び被害状況の把握に向け、社内調査を進めるとともに、当サイトを対象とした第三者調査機関による調査を開始し、2023 年 1 月 6 日、当該調査の結果、当サイトにおいて漏えいした可能性のある期間は後記 2.(1)のとおりであることが判明しました。また、当サイトのプログラム改ざんやサイト実行環境への不正アクセスによる情報漏えいはなかったことも確認されました。

以上の事実が確認できたため、本日の公表および漏えいの可能性のあるお客様への最終的なご報告に至りました。

なお、当サイトでのクレジットカード決済は停止しておりますが、サービスそのものは継続しております。

2.漏えいの可能性のある個人情報等

(1) 漏えいの可能性のあるお客様
以下の対象期間中に、当サイトのクレジットカード情報入力画面にて、後記(2)の情報を新たに入力して決済されたお客様
①2022 年 7 月 19 日 07 時 49 分 55 秒から 2022 年 7 月 26 日 20 時 33 分 40 秒
②2022 年 7 月 26 日 22 時 31 分 02 秒から 2022 年 7 月 29 日 01 時 48 分 08 秒

(2)漏えいの可能性のある情報
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

3. 漏えいの可能性のあるお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいの可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

上記「2.(1)漏えいの可能性のあるお客様」は、誠に恐縮ではございますが、クレジットカードのご利用明細書に身に覚えのない請求項目の記載がないか今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合には、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、クレジットカード会社に依頼しております。

4.再発防止策及び弊社が運営するサイトについて

このたびの事態を厳粛に受け止め、当サイトに対する調査結果を踏まえてシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図ってまいります。

当サイトでのクレジットカード決済の再開日につきましては、決定次第、当サイト上にてお知らせします。

なお、今回の不正アクセスにつきまして、個人情報保護委員会には 2022 年 8 月 2日及び 2022 年 12 月 14 日に報告済みであり、また、2022 年 9 月 6 日には所轄警察署に相談をしており、今後、捜査にも全面的に協力してまいります。

5.公表が遅れた経緯について

2022 年 7 月 28 日のショーケース社からの情報漏えいのおそれに関する報告から今回の公表に至るまで、時間を要しましたことを深くお詫び申し上げます。

決済代行会社及びカード会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、当サイトにおける第三者調査機関による調査の結果及びカード会社との連携を待ってから行うことといたしました。

公表までにお時間をいただきましたこと、重ねてお詫び申し上げます。


【セキュリティ事件簿#2023-034】元職場のデータ削除容疑 システム管理担当の男タイーホ


退職した会社の社内ネットワークにアクセスしデータを削除したとして、警視庁サイバー犯罪対策課は2023年1月24日までに、不正アクセス禁止法違反と電子計算機損壊等業務妨害の疑いで埼玉県上尾市富士見、会社員熊谷圭輔容疑者(33)を逮捕した。「やっていない」と容疑を否認しているという。

逮捕容疑は2022年6月4日、以前勤めていた電気計器メーカーの社内ネットワークに元同僚のIDを使って不正アクセスし、同社が使用するデータを削除して業務を妨害した疑い。



【セキュリティ事件簿#2023-033】一般財団法人日本国際協力システム 個人情報の漏えいについて 2023年1月19日


当財団業務部において、調達業務での見積依頼に関して一斉にメールを送信する際、送信先メールアドレスを「Bcc」で送信すべきところ、誤って「Cc」で送信したため、個人情報を含むメールアドレスを流出させる事案が発生しました。

関係者の皆様には多大なご迷惑をおかけすることとなりましたことを深くお詫び申し上げます。

今後、同様の事案が発生することのないよう、速やかに再発防止対策を講じます。

【概要】
1 判明日時
2022年12月2日(金曜日) 午後3時00分頃

<経過>
12月2日(金曜日) 午後2時25分 メール一斉送信
同日         午後2時26分頃  当該職員が、発信後に送信メールを確認した際、自らの誤送信に気づき、上司に報告

2 事案概要
12月2日、無償資金協力「経済社会開発計画」の調達業務に係る関心表明者57件のメールアドレス宛に見積依頼書を送信する際、それぞれのメールアドレスを「Bcc」で送信すべきところ、誤って「Cc」で送信したため、個人情報を含むメールアドレスが送信先の関係者間で閲覧できる状態になりました。

当該職員が、発信後に送信メールを確認した際、自らの誤送信を認識しました。

3 関係者への対応
  • メールの受信者全員に対し、12月5日お詫びのメールを送信するとともに、当該メールの削除を依頼しました。
  • 業務の監督機関に対し、12月5日電話及びメールにて報告を行いました。
4 再発防止対策
  • 一斉メール送信時は、「Bcc」で送信することを徹底します。
  • 調達業務に係る外部へのメール送信時は、送信前に必ず複数人による「ダブルチェック」を徹底します。

【セキュリティ事件簿#2023-032】株式会社三春情報センター マルウェア Emotet に関するお詫びとお知らせ 2023年1月


2022 年 2 月から Emotet の感染が急速に拡大しているとの情報が確認されています。

また、弊社関係者を装った不審なメールが、社内・外の方を問わず複数発信されているという事実を確認しております。

弊社をご利用いただいたお客さま及び関係者の皆さまには、多大なご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。本件の経緯及び今後の対応について、下記のとおりご報告いたします。

1. 事実の概要

弊社パソコンが「Emotet」(エモテット)と想定されるマルウェアに感染し、弊社社員を装うメールが送信されました。

Emotet は、実在の組織や人物になりすまして発信されたメールの添付ファイルによるマルウェアです。

主にマクロ付きの Excel や Word ファイル、またはこれらをパスワード付き Zip ファイルと
して添付されたメールで配信されており、ファイルを開封後にマクロを有効化する操作を実行することで Emotet の感染に繋がります。

感染するとアドレス帳やメールの窃取または転送設定などが行われ、情報を窃取される恐れがあります。また、窃取された情報を利用され、さらにフィッシングメールやマルウェア添付メールを送信されるなど、被害の拡大に繋がります。

2. 弊社を名乗る不正メールを受取られたお客さまへのお願い

実在の組織や人物から送信(返信)されたように見えるメールでも、「身に覚えがないメール」や「不審な点があるメール」につきましては、メールに記載された URL のクリックや添付ファイルの開封は行わないようにしてください。

また、エクセル、ワードなどのオフィスソフトのマクロを実行しないよう、設定をよろしくお願いいたします。

3. 現時点での被害状況

弊社関係者を詐称する不正なメールの添付ファイルを開封された方がいらっしゃいますが、現時点では本件を悪用したフィッシングメールや詐欺等の被害は報告されておりません。

4. 発生したおそれがある個人データ

弊社社員のアドレス帳データが読み取られた可能性があります。お名前とメールアドレスが 300 件程度流出した可能性があります

5. 今後の対応

弊社では、今後この様な事態が発生しないよう、セキュリティソフトの見直し、ファイヤーウォールなどの対策を行っておりますが引き続きさらなるセキュリティの強化を実施いたします。

再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くして参ります。

JPCERT/CC: マルウェア Emotet の感染再拡大に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220006.html


【セキュリティ事件簿#2023-031】公益社団法人日本臓器移植ネットワーク 当社団における不正アクセス事案の発生について 2023年1月20日

2023年1月9日よりメールサービスへの海外からのセキュリティ攻撃が確認され、外部からの問合せに利用するメールアドレスのアカウントに侵入しメールデータの一部(*)が消失するという不正アクセス事案が発生しました。

現時点では、個人情報の流失は確認されておりませんが、一部メールには氏名・連絡先等の個人情報が含まれるため詳細分析を行っております。

仮に被害が確認された場合には、当社団のホームページに掲載するとともに、被害に遭われた皆様にご連絡を差し上げる予定としております。

*:2020年8月より2022年12月末までの間に、お問い合わせのメールアドレスに直接メールを送付された方のメールデータの情報が対象となります。なお、JOTホームページのお問合せフォームより問い合わせた方は含まれません。

【セキュリティ事件簿#2023-001】株式会社タカミヤ 当社サーバーに対する不正アクセスに関するお知らせ 2023年1月23日


このたび、当社並びに当社の子会社である株式会社キャディアン、株式会社トータル都市整備、株式会社青森アトム、株式会社エコ・トライ、株式会社タカミヤの愛菜、八女カイセー株式会社、株式会社イワタ、株式会社ヒラマツ及び株式会社ナカヤ機材(以下、各子会社を総称して「子会社ら」といい、当社と子会社らを総称して「当社グループ」といいます。)は、当社グループのサーバーに対して第三者による不正アクセスを受け、ランサムウェア感染被害を受けましたので、お知らせいたします。

本件につきましては、既に、対策本部を設置のうえ、外部専門家の助言を受けながら、原因特定・被害情報の確認・情報流出の有無などの調査を行い、自力復旧への対応を進めながら、発覚後速やかに、個人情報保護委員会や警察への報告につきましても行っております。引き続き、外部専門家や警察とも連携のうえ、対応を進めて参る所存です。

現状、攻撃の詳細等については継続して調査を行っており、全容を把握するまでには今しばらく時間を要する見込みですが、現時点で判明している内容につきまして、下記のとおりご報告申し上げます。今後、より詳しい状況が判明次第、速やかにご報告申し上げます。

なお、今回の不正アクセスが当社グループの業績、2023年3月期第3四半期決算発表に及ぼす影響については、現在精査中でございますが、開示が必要な場合は、速やかに公表いたします。

このたびは、皆さまに多大なるご心配とご迷惑をお掛けすることとなりまして、誠に申し訳ございません。衷心より深くお詫び申し上げます。

  1. 不正アクセスの概要
    初期調査の結果によれば、攻撃者は、当社ベトナム拠点に対して不正アクセスを行ったうえで当社グループの社内サーバーに侵入し、ランサムウェアを実行し、ファイルの暗号化を行ったものと考えられます。その後、攻撃者のリークサイトに弊社名が掲載されていることを確認しております。

  2. 漏えい等の可能性がある情報
    調査中ですが、現時点において把握しているものは以下のとおりです。
    ・当社グループの社内サーバーに保存されていた顧客情報(個人情報を含む)
    ・当社グループ全社の従業員情報
    なお、漏えい等の可能性がある個人データの件数については、現在調査中です。
    株式会社イワタ、株式会社ヒラマツ及び株式会社ナカヤ機材については、攻撃を受けたサーバー群に個人データを保有しておらず、当該三社が主体として取得・管理していた個人データに漏えい等のおそれがないことを確認しております。

  3. 発覚の経緯及びこれまでの対応状況

    • 令和4(2022)年12月15日、当社の業務システムへのアクセス障害を確認したことから、当社のシステム管理者が調査を行い、社内サーバーに保存されていたファイルが暗号化されるなど、ランサムウェアであるLockBitに感染したことが判明しました。このため、当社は、当社のシステム管理者に、直ちに可能な範囲での被害拡大防止措置を講じさせるとともに、本件の対策本部を設置しました。

    • 12月16日、当社のシステム管理者の調査により、当社の業務遂行における支障を生じさせない最低限の業務システムの復旧は可能な見込みであることが判明し、直ちに復旧作業を開始するとともに、外部専門家の弁護士及びセキュリティ専門企業に本件の対応に関する支援を依頼しました。

    • 12月19日、当社において個人情報保護委員会に対する速報を行うとともに、攻撃対象サーバーに関するデジタルフォレンジック調査を実施する外部専門機関の選定作業等を開始しました。

    • 継続調査により、子会社らにおける本件の影響を確認したため、12月23日、子会社らに関しても個人情報保護委員会に対する速報を行いました。

    • 令和5(2023)年1月7日、当社グループに対してランサムウェア攻撃をしたと名乗るものからメールを受信し、また、攻撃者のリークサイトに当社名が掲載されていることを確認しました。

    • 1月10日、攻撃者のリークサイトへの掲載を踏まえ、外部専門機関を起用したダークウェブ調査も開始しました。

    • 1月11日の午前、当社において大阪府警担当課と会議を行い、現状の調査状況を報告し、今後の捜査の進め方につき協議を行いました。

    • 1月11日、攻撃対象サーバーに関するデジタルフォレンジック調査を実施する外部専門機関からデジタルフォレンジック調査の初期報告を受けました。

  4. 今後の対応
    • 引き続き、外部専門機関によるデジタルフォレンジック調査等を進めており、漏えい等した情報の項目・件数、侵入経路、被害範囲等を調査して参ります。また、攻撃者のリークサイトへの掲載を踏まえて、外部専門機関を起用したダークウェブ調査も継続して参ります。
    • 当該調査の内容も踏まえて、外部専門家の弁護士及びセキュリティ専門企業の助言のもと、再発防止策の策定に向けた取り組みを進めて参ります。
    • 引き続き、個人情報保護委員会や警察をはじめとした機関への報告・連携を進めて参ります。
このたびは、皆さまに多大なるご心配とご迷惑をお掛けすることとなりまして、重ねてお詫び申し上げます。




【セキュリティ事件簿#2023-030】朝倉書店 お詫びとお知らせ 2023年1月5日

 

年末年始の休業期間中,小社ホームページおよび『デジタル内科学』サービスページにおいて,アクセス不良が発生いたしました。

お客様には多大なご迷惑をお掛けいたしましたこと,深くお詫び申し上げるとともに,現在は復旧いたしましたことをお知らせ申し上げます。

昨年末に小社サーバに対する悪質な不正アクセスが発生し,サーバ側にて緊急避難的な対応を行ったことが原因と考えております。

現在も調査を進めておりますが,休業期間中でしたため復旧が遅れてしまいましたこと,重ねてお詫び申し上げます。

なお,今回の不正アクセスによる個人情報流出等の被害は生じておりません。

リリース文アーカイブ

【セキュリティ事件簿#2023-029】九州電力株式会社 九州電力送配電株式会社のNW設定端末の委託業務外利用に係る報告徴収の受領について 2023年1月18日


当社は、九州電力送配電株式会社(以下、九州電力送配電)が管理する当社以外の小売電気事業者のお客さま情報(以下、新電力顧客情報)を閲覧していたことが判明し、本日、電力・ガス取引監視等委員会および個人情報保護委員会から報告徴収を受領しました。

本事案は、2022年12月27日付の電力・ガス取引監視等委員会からの依頼に基づき調査を進める中で判明したものです。

これまでの調査で、当社および委託会社において、九州電力送配電から非常災害時等の供給支障事故対応用に貸与されている託送コールセンターシステム端末(注)の一部を、通常業務に使用していたことを確認いたしました。

 (注)新電力顧客情報を含む九州電力送配電のみが保有する託送関連情報の閲覧が可能

当社および委託会社の従業員に聞き取りをおこなった結果、同端末を
  • 他社から当社への契約切替(スイッチング)時の名義不一致分の契約状況の確認
  • 当社との契約開始時における住所特定や公衆街路灯の設置場所特定のために電柱番号が記載された地図情報確認
等のために使用しており、その際、新電力顧客情報を含む九州電力送配電が保有する託送関連情報を閲覧しておりました。

なお、現時点においては、新電力の顧客獲得活動への使用は確認できませんでした。

詳細については引き続き調査をおこなってまいります。

当社といたしましては、今回の事案を重く受け止めており、深くお詫び申し上げます。今後、報告徴収に適切に対応してまいります。


【セキュリティ事件簿#2023-028】国立大学法人琉球大学 学内で利用するクラウドサービスにおける個人情報等の不適切な取扱いについて(お詫び) 2023年1月20日


この度、学内で利用するクラウドサービス(Microsoft Teams)(以下「Teams」という。)内に保存されていた個人情報等が含まれたファイルの一部について、情報共有者の限定やパスワードの設定を行っていなかったことから、担当者のみが共有すべき情報が、本学構成員(本学からアカウントが付与されている学生及び職員)にも閲覧可能な状態(最も古いものは令和2年4月から閲覧可能)であったことが確認されました。

閲覧可能な状態であったファイル
① 担当者のみが共有すべきファイル(会議資料、大学院入試関係資料等)
304 件
② ①のうち個人情報(氏名、メールアドレス、成績情報等)が含まれるファイル
273 件(901 名分〔琉球大学学生436 名、職員67 名、その他398 名〕)

このような事態を招き、関係する皆さまに、ご迷惑とご心配をおかけしたことを深くお詫び申し上げます。

閲覧可能な状態であったファイルは、本学管理者によって昨年10月11日までに当Teams 担当者以外が閲覧できないように措置を講じました。

これまでのところ、当該個人情報等が不正に使用された事実や学外への漏えいは確認されておりません。

なお、閲覧可能な状態であった一部の大学院入試関係資料には試験問題も含まれていたため、入試の公平性・公正性に鑑み、当該大学院入試について精査を行いましたが、本資料が不正に使用された事実は確認できず、合否判定については変更しないという取扱いといたします。併せて、平穏な教育研究環境に影響が生じることを避けるため、当該大学院の研究科名等の公表は差し控えさせていただきます。

個人情報が閲覧可能な状態となっていた皆様及び大学院入試問題が閲覧可能であった当該研究科の受験生の皆様には、書面等にて状況をご説明し、ご迷惑をおかけしたことについてお詫び申し上げたところです。

本学では、今回の事態を受け、情報管理の一層の強化を図り、再発防止に全力で取り組んでまいります。



【セキュリティ事件簿#2023-027】株式会社長寿乃里 クレジットカード情報漏洩に関するお詫びとお知らせについて 2023年1月19日



この度、弊社のECサイト「あっとよか(https://www.chojyu.com/)」につきまして、画面表示を最適化するサービスを提供する企業(株式会社ショーケース)より、当該サービスのシステムが第三者によって改ざんされ、お客様のクレジットカード情報(37件)が漏洩した可能性があることが判明いたしました。

会員様をはじめ、関係者の皆様に多大なるご迷惑、およびご心配をおかけする事態となりましたこと、深くお詫び申しあげます。

なお、情報が漏洩した可能性のある会員様には、本日Eメールにてお詫びとお知らせを個別に送らせていただいております。

弊社は今回の事態を厳粛に受け止め、再発防止に万全を期してまいります。
会員様をはじめ関係者の皆様には重ねてお詫び申しあげますとともに、本件に関する概要につきまして、下記の通りご報告申しあげます。

1.経緯

2022年7月28日、弊社会員サイト「あっとよか」のECサイトにおいて、ご覧になる端末に合わせて、ウェブページの表示を最適化するツール「サイト・パーソナライザ」(提供:株式会社ショーケース)のシステムが、第三者によって不正に改ざんされた可能性があり、入力された情報の一部が漏洩した可能性があると連絡を受け、社内における独自調査ならびに2022年8月22日にカード会社よりクレジットカード情報漏えい懸念の発生情報がもたらされたことから2022年8月24日に弊社会員サイト「あっとよか」のECサイトでのカード決済を停止いたしました。

改めて実施した第三者調査機関による調査の結果、改ざんが発生した2022年7月19日から、該社がシステムを修正した2022年7月29日の期間に、「あっとよか」の決済方法選択ページまたはマイページにて、新規にクレジットカードをご利用された会員様に入力いただいた、以下の会員様情報が漏洩した可能性があることが判明いたしましたため、本日の発表に至りました。

2.クレジットカード情報漏洩状況

(1)原因
弊社が運営する「あっとよか(https://www.chojyu.com/)」にて採用している外部事業者「株式会社ショーケース」の画面表示を最適化するサービスツールの脆弱性をついたことによる第三者の不正アクセスにより、ソースコードの改ざんが行われたため。

(2)クレジットカード情報漏洩の可能性がある会員様
2022年7月19日~7月29日の間に、弊社ECサイト内での新規カード登録のお手続きを行った37件の会員様が対象で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当する37件の会員様に関しましては、別途ご連絡済みでございます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申しあげます。

尚、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表に時間を要した経緯について

2022年7月28日 から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するクレジットカード決済の再開について

本件につきまして、監督官庁である個人情報保護委員会には2022年8月10日に報告済みであり、また、所轄警察署にも2022年12月1日被害相談しており、今後捜査にも全面的に協力してまいります。

弊社はこのたびの事態を厳粛に受け止め、本件の被害拡大の防止に努めるとともに、今後の再発防止策の徹底、およびより一層の情報セキュリティ対策の強化に取り組んでまいります。

なお「あっとよか」サイトでのカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

2023年の投資戦略を考える(NISA、iDecoは使わない。富裕層にたどりついてみたい。)

 

2022年、寅年は荒れると言われていたが、本当にすごい荒れ方をした。

特にドル円なんか、年初に115円くらいだったのが、150円までつけ、その後130円前後で落ち着くという、荒れまくりの展開だった。

FXメインでやっていた人は退場を強いられた人がかなりいたと思う(市場からの退場だけならまだしも、人生からの退場になっていないことを祈る)

また、2022年はこれまでの人生で一番自己投資した年だった。その投資額約〇〇〇万円。社畜の分際で年収の45%近くを投じていたので、自分でもびっくりしたが、得られるものもあった。

一つは健康。

一昨年までは高脂血症に高血圧で、薬を飲み始めるか、真剣に生活改善するかの2択を迫られる中で、1日1食生活&白物(米、小麦、砂糖、塩、シャブ(笑))を抜く&適度な運動(1万歩/日)をする生活をし、体重は10キロ以上落ち、高脂血症は解消し、血圧も正常値に戻った。3か月ごとに内科に通院しており、いつも通院すると先生が積極的に次回の日程を決めに来てくれるが、それすらもなくなってしまった。昨年の健康診断では肥満度がマイナスになってしまい、違う意味でウエイトコントロールが必要と診断されてしまった。

1日1食(夜)生活により、基本的に昼食を取るという習慣が無くなったため、この時間を執筆に振り向け、これまでの旅の記録をまとめてキンドル出版をし、作家になることを目指している。

もう一つ得られた大きなものは投資のマインド。

実は投資を行うにあたって最も重要なのは健康。健康でない人が投資をすると間違った判断をしてしまい、最悪市場や人生からの撤退を迫られてしまう。

んで、自分がたどり着いた投資はシンプルイズベストでインデックス投資。

どこのインデックスかというと、アメリカ。

その理由もシンプルで実績ベースで株価と人口が増えているから。

バックテストができて、株価と人口が増え続けている国はアメリカしかない。

ちなみに2022年はFXから撤退しました。

FXは以前からゼロサムゲームと言われており、利益が出る裏には必ず損を出している人がいるということで、頭では理解しているものの、罪悪感を感じないように自動売買でブン回していた。

ところが、多額の資金を投じて学んだ投資マインドを踏まえると撤退すべきという気持ちが高まり、覚悟を決めて撤退した。

ちなみに撤退時期は丁度ドル円が150円に向けて円安に突き進んでいる時期だったので、損失は最小限に抑えられた。

自動売買は円高に動くと自動的に買いの仕掛けをしていくため、ドル円が150円を付けて円高方向に向かっていったが、この局面だと、逆に損失が拡大して撤退は難しくなっていた。


そんな訳で投資についてはインデックス投資をメインとし、米国株(S&P500)と、万が一のために逆相関の関係にある米国長期債、それに有事の金をベースとしてポートフォリオを組み立てていく。

ちなみにこれ、仮に2005年に100ドルから投資を始めて、毎月100ドルずつドルコスト平均法で18年間投資を続けていたとすると、以下のような結果になり、総資産は50,000ドルを超えるか超えないかのところまで来る。


仮に貯金(≒銀行預金)だけだったとすると、100ドル×12ヵ月×18年で21,680ドルとなるため、貯金と比較しても倍以上のパフォーマンスが出ていることになる。

丁度日本でも2024年からNISAが新しくなり、NISAで頑張って資産運用していこうという話になるが、実はNISAは使わないで行こうと思っている。

NISAには2種類あるが、まず、つみたてNISA(新NISA制度:つみたて投資枠)。

結論として、つみたてNISAは論外。

理由は投資信託しか購入できないこと。投資信託は間に信託会社が入って色々手数料がかかる。最近はノーロードだったり良心的なように見えるが、しっかりコストがかかっている。その顕著な例が分配である。例えばS&P500を直接米国ETFで買い付ければ配当が出るが、S&P500の投資信託(eMAXIS Slim 米国株式(S&P500))とかだと、過去一度も分配が無い。


つまり、S&P500を直接米国ETFで買い付ければインカムゲインとキャピタルゲインの両方が期待できるのに対して、投資信託ではキャピタルゲインしか期待できない。

S&P500(例えばvoo)の配当は1株4ドル/年程度。単純計算で100万円分のvooを持っていると、1,000,000円÷130円/ドル÷350ドル(voo単価)×4ドル(配当)≒80ドル程度、年間配当が付くので、その分投資信託よりもパフォーマンスは上ということになる。

次に一般NISA(新NISA制度:成長投資枠)。

一般NISAだと、S&P500を直接米国ETFで買い付けることができる。なので、一般的にはオススメである。

しかし、自分は下記の理由から使わないことに決めた。

1.信用取引ができない

2.損失時に確定申告で損失繰越ができない

投資における基本的なスタンスとしてはアメリカの成長に期待することとなるが、そこが明確でキャピタルゲイン狙いに絞れるのであれば、信用取引やCFD、先物などを活用してレバレッジをかけていくのも手だと思っている。一般NISAだとレバレッジがかけられれず、非課税よりも資金効率の悪さがデメリットとして強く映ってしまっている。

そんな訳で世の中と逆行している感じがしなくもないが、当面の投資戦略としてはNISAやiDecoは使わず、資金効率も考慮しながら米国ETFの現物、信用取引や、先物を上手く織り交ぜて資産形成を進めていきたい。

また、今年からプラットフォームの分散も意識した投資を進めていきたい。

要は1ヵ所に資産を寄せすぎないということなのだが、以下のような感じで分散を進めていこうと考えている。

・国内銀行(SU銀行):円預金  ~20%

・海外銀行(検討中):外貨預金 ~20%

・SA証券:CFD&先物運用    10%~50%

・SB証券:国債&信用取引運用  ~50%

・MO証券:現物&信用取引運用  10%~50%

プライバシーに配慮した安全なメールプロバイダ

 

プライバシーを真剣に考え、利用者を追跡しない安全なメールプロバイダのリストを紹介します。

ProtonMail  – 匿名性とエンドツーエンドの暗号化されたメール

Tutanota – メールボックス全体をエンドツーエンドで暗号化することにより、安全なメールを実現

Hushmail.com - 1999年からメールのプライバシーを尊重している最も歴史のあるカナダのプロバイダー。

RiseUp.net – デジタルフリーダムと闘うNPOが運営するメールプロバイダー。

TorGuard.net

Blur/MaskMe – メールマスキングサービス

ShazzleMail

StartMail.com

CryptoHeaven.com

Autistici/Inventati

NeoMailBox.com

4SecureMail.com

CounterMail.cm

S-Mail.com

Securenym.net

Safe-Mail.net

KeptPrivate.com

Novo-Ordo.com

LockBin.com

SendINC.com

Opolis.eu

OneShar.es

BitMessage.ch

上記のリストは、プライバシーに焦点を当てたプロバイダの包括的なリストです。これらは、検索エンジンや広告のトップページに散見されるような有名プロバイダーやプライバシー侵害業者ではありません。メールプロバイダーを変更したくない場合は、PGPなどの何らかの暗号化機能を導入することをお勧めします。

特におすすめなメールプロバイダー

1. Hushmail : プライバシーに配慮した基本的なセキュアメール

Hushmailは、1999年からセキュアな電子メールを提供しているプロバイダーの一つです。

Hushmailが他のプロバイダーと違うのは、すべてのサーバーを自社で所有し、運用していることです。つまり、あなたのデータは第三者のサーバーに送られたり、保存されたりすることはなく、すべて自社内で管理されています。彼らは独自のサーバーを所有し、電子メールのスキャン、データマイニング、他のメールボックスの詮索等を行いません。

Hushmailは、自動暗号化、一時的な電子メールアドレス、厳格なHTTPSと二段階認証などの機能を満載しています。過去21年間のサービスを通して、プロバイダーはカナダ政府によって、2007年に一度だけ、3人のユーザーのアカウントを引き渡すよう強制されたことがある。しかし、Hushmailは、セキュリティ、プライバシー、シンプルさを念頭に置いて構築されており、しかもすべて無料です。

Hushmailをお勧めする大きな理由は、メールセキュリティの分野で21年のベテランである彼らの実績です。今日、しばしば「安全な電子メールプロバイダー」と称される企業が、たった一度の法的な要求の後に破綻するのを目にすることがあります。彼らはプライバシーを維持するメールボックスを設計しています。

2. Tutanota – 暗号化に関するあらゆるニーズに対応


メールボックス全体が暗号化されており、メールも連絡先も、エンドツーエンドで暗号化されているため、データにアクセスすることだけが可能です。Tutanotaはドイツの裁判所命令によってデータを提出するよう強制されたときでさえ、暗号化されたデータしか渡すことができず、そのような情報を読んだり解読したりする方法は全くなかったのです。

Tutanotaのユニークな点は、共有パスワードによりエンドツーエンドで暗号化されたメールをどのメールプロバイダにも送ることができ、Gmailなどの主流のプロバイダを使って友人、家族、ビジネスパートナーに連絡する場合でも、メールを同様にプライベートなものにすることができる点です。デフォルトでは、Tutanotaは自動的に件名、本文、添付ファイルを暗号化しますが、これはPGPではできないことです。現在、彼らは暗号化されたカレンダーの開発に取り組んでいます。そして何より、彼らはIPアドレスを記録せず、送受信したメールのヘッダからIPアドレスを削除しているのです。

Tutanotaの共同設立者の一人であるMatthias Pfauに彼らのセキュアメールの特徴を聞いたところ、次のように答えました。

  • Tutanotaはユーザーのデバイス上の全てのデータを暗号化します(エンドツーエンドの暗号化)
  • Tutanotaは暗号化されていないデータをサーバーに保存しない、メールから連絡先まで全て常に暗号化されています。
  • Tutanotaは鍵の生成と鍵の交換をバックグラウンドで簡単に行うことができるため、暗号化を簡単に使用することができます。
  • Tutanotaはユーザーの秘密鍵をサーバー側で使用することはありません。

【セキュリティ事件簿#2023-027】株式会社グッドスピード 当社サーバーへの不正アクセス発生のお知らせ 2023年1月6日


当社は、2022年10月24日、当社が管理運用する一部サーバーが第三者による不正アクセスを受けたことを確認しました。

当該の不正アクセスが判明した後、直ちに被害拡大を防ぐために不正アクセスの侵入経路と影響範囲の調査を開始いたしました。その後、不正アクセスを受けた情報の内容、原因や経路の究明、情報漏洩の可能性などを、外部の専門家の協力も得ながら調査を進めると共に、関係機関にも届け出ています。

現時点におきましては、本件被害は当社が管理する一部のサーバーに留まり、他のサーバーやネットワークへ影響を与えた事実は確認されておりません。また、現時点において、企業情報や個人情報が流出したという事実は確認されておりません。

今後、お知らせすべき新たな事実が判明しましたら、改めて当社ホームページにてお知らせします。

お客様ならびにお取引先様、関係者の皆様に多大なご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

【セキュリティ事件簿#2023-026】奈良県総合医療センター 職員個人がインスタグラムに掲載したことにつきまして 2023年01月06日


この度、当センターの一部の職員が、勤務中の同僚職員との写真を個人のインスタグラムに掲載したことにつきましては、患者さんはじめ県民の皆様にご不安やご心配をお掛けしましたこと、お詫び申し上げます。

当該職員は、撮影した写真1枚だけ受信者を特定の者のみだけに限定して発信しておりましたが、何者かによりパスワード及びIDが乗っ取られ、内容も他人の写真を追加するなど加工されており(当該職員は、画像にコメントを記載しておりませんし、一切の加工をおこなっておりませんでした)、事実とは異なった内容となっていました。

当センターは、救急医療をはじめコロナ感染対応も担っており、この年末年始の救急患者さんの受け入れは、12月28日から1月3日の期間、救急車は196件、救急車以外の救急も144件と多く、かつ、コロナに感染された患者の皆様の対応も含めて、職員一同が県民の皆様の医療ニーズに日夜対応しております。

今後は、かかることのないように厳に注意し、皆様からの信頼回復に邁進いたします。

【セキュリティ事件簿#2023-025】KIYOラーニング株式会社 合格者の声ページにおいて匿名希望のお客様の氏名が掲載されていた件に関するご報告 2023年01月16日


このたび、「合格者の声」のページで、6名のお客様において、匿名希望にもかかわらず氏名が掲載されていた事実が判明しました。

発覚時点で直ちに匿名掲載に修正をいたしましたが、 お客様から匿名での掲載希望をいただいていたにも関わらず、このような事態を引き起こしましたこと、深くお詫びを申し上げます。

厳密に社内調査を実施し、判明した事実および原因と対策について下記の通りご報告いたします。

  • 調査内容
    • 調査期間:2022年12月28日~2023年1月12日
    • 調査対象:12797件
    • 調査箇所:スタディング合格者の声ページの名前欄、タイトル、見出し、本文、講師メッセージ

  • 誤りの内容と発生日時
    スタディングの合格者の声ページで、下記の期間、6名の匿名希望の方の氏名を掲載してしまう誤りが発生しました。
    ※現在は匿名での掲載に修正済みです。

    【掲載期間】
    • A様:2022年12月28日16時42分~2022年12月29日11時43分
    • B様:2022年12月26日 14時40分~2022年12月28日 12時39分
    • C様:2022年12月22日12時49分~2022年12月29日11時19分
    • D様:2021年6月7日16時14分~2023年1月12日15時01分
    • E様:2021年5月24日 18時35分~2023年1月12日 15時00分
    • F様:2018年12月27日15時55分~2023年1月12日15時03分

  • 発生原因
    お客様にご記入いただいたアンケートを合格者の声ページに転記する際に、匿名希望であるにも関わらず、誤って氏名を転記してしまいました。また、その後、別の担当者によるチェック工程でも発見できず、合格者の声ページを公開してしまいました。

  • 再発防止策
    転記手順を全面的に見直すとともに、チェック体制をさらに強化し、公開前の確認を徹底してまいります。

該当のお客様へは別途ご連絡を実施しております。

今後は二度とこのような事態を起こさないよう、全社をあげて確認を徹底してまいります。
引き続き、スタディングをよろしくお願いいたします。

【セキュリティ事件簿#2023-024】東京都 個人情報の漏えいについて(メールアドレスの流出) 2023年01月11日


生活文化スポーツ局において、個人情報を漏えいさせる事故が発生しましたので、お知らせします。

関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

(1)発生日

令和5年1月10日(火曜日)

(2)漏洩した個人情報

受講者1名のメールアドレス1件

(3)事故の概要

1月18日に開催する再犯防止に関する研修会について、申込者に受講案内のメールを送信するところ、誤ってメールの件名に受講者1名のメールアドレスを記載して送信

2 経緯

  • 1月10日(火曜日)11時58分
    再犯防止に関する研修会の申込者(124名)に対し、受講可能となった旨の案内をメールで一斉送信
  • 直後に送信メールの件名に申込者1名のメールアドレスが記載されていることが判明
  • 同日 14時1分
    送信先の申込者にメールの削除依頼のメールを送信
  • 同日 14時35分
    流出したメールアドレスの所有者に管理職が電話で謝罪
  • 現在のところ、二次被害等の報告はされていません。
3 発生原因と再発防止策

本件は、送信前のダブルチェックを行っていたものの、最終的に件名にメールアドレスが記載されていたことを見落としていたことが原因です。

今後は本事案を関係部署に周知するとともに、メールの件名も含めて適正にダブルチェックを徹底するなどして再発防止を図ってまいります。また、局職員全員に改めて注意喚起を行い、全部署において再発防止に向けて万全を期してまいります。


【セキュリティ事件簿#2023-023】国土交通省 個人情報の流出の可能性に関するお詫びとお知らせ 2023年1月13日


九州地方整備局 鹿児島国道事務所発注の地下水調査業務(受注者:八千代エンジニヤリング(株)九州支店)において、業務従事者が発注者から貸与された調査に必要な個人情報を含む資料を紛失するという事案が発生しました。

紛失した資料には個人47名の住所、氏名等が記載されていることを確認しています。

関係する皆様にご迷惑をおかけしたことを、深くお詫び申し上げます。

○事案の内容
 令和5 年1 月12 日(木)に地下水調査業務受注者の従事者が、発注者から貸与中の資料を紛失していることに気づき、捜索するとともに、警察への遺失物届を提出いたしましたが、未だ発見されていません。

○対応状況
 個人情報の記載のある皆様に対しては、業務受注者より事案の内容をご報告し、お詫びさせていただいているところです。なお、現時点におきましては、個人情報等
第三者への流出、不正利用等の事実、二次被害は確認されておりません。

○今後の対応
 今後、このような事態が生じないよう、個人情報等の管理の細心の注意について受注者へ指導徹底することで、再発防止に万全を期してまいります。

【セキュリティ事件簿#2023-022】株式会社アダストリア 当社サーバーへの不正アクセス発生について 2023年1月19日


当社は、2023年1月18日、当社が管理運用するサーバーが第三者による不正アクセスを受けたことを確認しました。当該事象の確認後、被害拡大を防ぐためにネットワークの遮断などの対応をただちに実施するとともに、関係機関への報告を行いました。

なお、現時点でお客さま、従業員、お取引先の情報流出は確認されておりません。物流システムを停止しているため、WEBストア「ドットエスティ」は現在休止しております。
現在、外部の専門機関と連携し、影響範囲の特定、原因や経路の調査、復旧作業等の対応を進めておりますが、復旧までには今しばらくの時間を要する見込みです。

今後、公表すべき重要な事項が発生・判明した場合には、速やかに当社コーポレートサイト等でお知らせいたします。
関係各位には多大なるご迷惑及びご心配をおかけしますことを、深くお詫び申し上げます。

【セキュリティ事件簿#2023-021】株式会社北関東マツダ 個人情報流出に関するお詫びとお知らせ 2023年1月19日


本年1月14日、弊社がお客様情報を含む個人情報の管理等を委託する委託先のサーバーが第三者からの不正アクセスを受け、サーバーに保存されていた個人情報のうち、少なくとも50,000件程度が流出した可能性があることが判明いたしました。

現在、鋭意調査を続けておりますが、現時点で確認できた、不正アクセスにより外部に流出した可能性がある情報は以下のとおりです。

  1. 弊社メーリングリストの会員登録情報(2009年12月から2014年9月にご登録いただいたもの)
    氏名、メールアドレス、担当店舗

  2. 弊社中古車情報サイト「U-Car OnLine」へのお問い合わせデータ
    氏名、メールアドレス、問合せ店舗、電話番号

  3. 弊社従業員採用アカウント(LINE)への登録データ
    氏名、経歴、LINEユーザーネーム

  4. 弊社車検予約システムにおけるご登録データ
    氏名(姓のみを含む)、誕生月、電話番号、担当店舗、車種等

  5. 弊社主催展示イベント及び試乗キャンペーン等における登録データ
    氏名、電話番号、メールアドレス、年齢、職業等

なお、いずれもクレジットカードや銀行口座に関する情報は含まれておりません。

お客様及び関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

現時点において、一部のお客様及び関係者の皆様宛てには、本年1月14日から15日にかけて、弊社ウェブサイトをハッキングしたとのメールが送信されていたことが確認できております。
万が一、このようなメールをはじめとした不審なメールを受信されましたら、本文中のURLをクリックなさらず、速やかに当該メールを削除いただきますようお願い申し上げます。

本件につきましては、警察への届出を行ったほか、外部セキュリティ専門家の協力を得ながら、関係各機関と連携し、事実の確認および適切な対応に務めております。
また、弊社は今回の事態を重く受け止め、外部セキュリティ専門家によるセキュリティ体制の改善、全てのウェブサイト及びネットワークに対する監視体制強化など、再発防止に全力で取り組んでまいります。

この度は皆さまに多大なご迷惑ご心配をお掛けしておりますこと、改めて深くお詫び申し上げます。

個人情報が流出した可能性のあるお客様及び関係者の皆様には、電子メールその他の手段により、お詫びとお知らせを個別にご連絡申し上げます。

【セキュリティ事件簿#2022】ならコープ 重大なシステムトラブルに伴う個人情報についてのお知らせ 2023年1月18日


2022年10月9日 (日) に発生した重大なレステムトラブルにより、皆さまには多大なる迷惑をおかけしましたこと、深くお詫び申し上げます。

この間、『あをがき臨時号』等で経緯を皆様にお知らせしてまいりましたが、今回あちらためてのご報告となります、トラブル発生後、現在も外部専門機関による個人情報漏えいの事実確認を継続しておりますが。現時点では漏えいの事実や不正利用の事実は確認されておりません。今後も引き続き監視を実施してまいります。

なお。法律の専門家および外部専門機関等との協議の結果、個人情報漏えいの可能性を完全には否定できないことから。個人情報保護法の法令に基づき、ご本人様にお知らせいたします。 

1 概要
①システムトラブル発生の経緯について

2022年10月9日(日)早朝、システムトラブルが発生し原因を調べたところ、当組合の基幹システムサーバを始めとする複数のシステム機器が不明の第三者からのサイバー攻撃を受け、セキュリティソフトがネットワークを遮断したことが判明しました。
当組合では直ちに対策本部を立ち上げるとともに、さらなる被害の拡大を防ぐために外部ネットワータを遮断し、外部専門機関の協力のもとでサイバー攻撃による被害範囲や状況、原因等の調査、復旧の検討を開始いたしました。

②調査の結果について

初期調査段階で、当組合の複数のサーへの不正な侵入と内部のほとんどのデータが暗号化されていることを確認いたしました。
暗号化されたデータには当組合の組合員情報が含まれでいることがわかりました。不確定な情報による混乱を避けるため、慎重に調査することといたしました。

その計、個人情報漏えいの事実について外部専門機関による調査をすすめてまいりましたが、現時点では個人情報の漏えいは確認されておりません。

これまで、当組合として事実確認に努めてまいりましたが、調査に時間を要しましたことをお詫び申し上げます。

③現在の対応について
個人情報保護委員会への報告、所轄警察署への届出は完了しております。 また、外部専門機関の協力のもと、再発防止のためのセキュリティ対策強化を図るとともに、情報ネットワークの再構築を進めております。

2.個人情報の対象範囲と対応について
①対象範囲:2032年10月8日 (土) までに加入された方(脱退済みの方含む) 489,085人です。

②個人情報 : 組合員番号、氏名、住所、電話番号、生年月日、性別、メールアレス、引落口座番号、購入履歴、出資金情報
 ※クレジットカード情報は含まれておりません

③対象者への対応 : 住所が判明している方には1月23日 (月) から順次郵送でのご連絡を予定しております。また、住所不明の方や郵送物が不着の方への対応としてお知らせを掲載しております。

3.今後の対策と再発防止

当組合では今回の事能を重く受けとめ、再発防止策の強化として、①未知のウイルス感染の防止、②多要素認証と接続限定によるVPNへの不正侵入防止、③LANへの不正接続の防止、④EDRによるウイルス検知・除去、⑥バックアップの保護など、これまで以上に更なる対策を行います。また、最新の情報セキュリティの知見を入手し、継続的にその維持・向上に努めるとともに、情報セキュリティポリシーをはじめ関連規定の刷新と職員の教育訓練をすすめてまいります。

この度は、皆さまへ多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。


【セキュリティ事件簿#2023-020】こうのす共生病院  病院内の音声が生配信されていた件に関するご報告 2023年1月16日


2023年1月7日午後に発生した「病院内音声がスマートフォンのアプリから配信されていた件」についてご報告させていただきます。 

先日ご報告させていただいた通り、本件は当院医師がプライベートで使用するスマートフォンのアプリを介して、当院での救急外来診察や発熱外来等の診察時の音声(会話)の一部が配信され、不特定多数の同アプリの利用者において聴取可能な状態下に置かれてしまったというものです。 

実際に配信されていた音声データを確認したところ、配信時間は同日13時19分から14時56分までの計1時間37分間でした。音声の内容は、当院での救急外来診察や発熱外来の診察時の会話等であり、計8名の患者様の氏名(うち1名は生年月日含む)などの個人情報が含まれておりました。 

音声データを流出させた医師は、聞き取り調査に対し、「休憩時間中に私用のスマートフォンの動画配信アプリを起動したまま眠ってしまった。救急車の受け入れ要請の病院内線電話で目が覚めたが、アプリが起動中であることに気づかず、そのスマートフォンをポケットに入れた状態で診察を行ったため、誤って診察時の会話音声が配信されてしまった。」と説明し、また、「個人情報の流出という重大な結果を生じさせたことを深く反省している。」と述べております。 

調査結果によれば、当該医師が意図的に音声情報を流出させたと断定することは困難ではあるものの、患者様の個人情報の流出という極めて深刻な結果が生じている以上、当該医師の過失責任は重大であるというほかありません。そのため、当該医師に対して昨日2023年1月15日付で出勤停止2か月間の懲戒処分と致しました。なお、当該医師は、本件の責任をとりたいとして同日付けで依願退職しました。 

本件で個人情報が流出してしまった計8名の方々には、当法人から個別に謝罪させていただきましたが、この場を借りて改めて深くお詫び申し上げます。 

また日頃から当院をご利用される患者様、ご家族様、また関係者の方々、そして地域住民の方々に対して、多大なご心配とご迷惑をおかけしましたことを重ねて深くお詫び申し上げます。 

改めて院内の就業規則を周知し、再発防止策を共有し徹底させていただきます。 

どうぞ今後ともご指導・ご鞭撻のほどよろしくお願いします。 


【セキュリティ事件簿#2023-019】産経新聞社 メールアドレス漏洩のお詫び 2023年1月10日


大阪国際女子マラソン事務局より本大会にエントリーした競技者の一部にメールを送信した際、受信者が他の競技者のメールアドレスを確認できる状態で誤って送信していたことが判明しました。漏洩したメールアドレスは168件です。関係する皆様には多大なるご迷惑をおかけしました。深くお詫び申し上げます。同マラソンは、産経新聞社などが主催(事務局=産経新聞社)し、1月29日に開催予定です。

1:経緯
2023年1月4日午後7時10分ごろ、大会事務局より、エントリーした競技者のうち、1月4日正午までに「応援のぼり隊」への参加可否の回答を寄せていない方168人に対し、5日中までに回答いただくよう求めるメール(件名:【第42回大阪国際女子マラソン】にエントリーいただいた皆様へ)を一斉送信しました。この際、本来であれば受信者のアドレスが他の受信者に表示されない「BCC」で送るべきところ、事務局担当者が操作を誤り、「宛先(To)」に入力して送信してしまいました。この結果、168人の競技者(メール受信者)は、相互にメールアドレスが確認できる状態になりました。

2:流出した情報
本大会にエントリーした競技者168人のメールアドレス、および、このうち一部の方のメール「表示名」としての氏名

3:受信者様への対応
本件メールを受信した168人には、1月6日午後8時20分ごろ、お詫びと当該メールの削除をお願いするメールをお送りしました。

4:再発防止策
一斉送信時には複数人によるチェックを必須とすることで、再発を防止します。

【セキュリティ事件簿#2023-016】北ガスジェネックス株式会社 お客さま情報漏えいの可能性に関するお詫びとお知らせ 2023年1月13日


弊社が灯油配送業務を委託しております北斗興業株式会社(社長:髙田宏永、本社:北斗市)において、お客さま情報が漏えいした可能性があることが判明しました。

お客さまには、多大なるご迷惑、ご心配をおかけすることを深くお詫び申し上げます。

弊社では、今回の事態を重く受け止め、再発防止に向け、委託先の管理を含めた、より一層の管理体制の強化に努めてまいりますので、何とぞご容赦の程よろしくお願い申し上げます。

なお、現時点で、お客さま情報が不正に利用された等の連絡や問い合わせはございませんが、今後、不審な連絡などがござましたら、下記問い合わせ先までご連絡いただきますようよろしくお願いいたします。

1.概要

弊社が灯油配送業務を委託している北斗興業におきまして、ネットワークを共有している会社のサーバーに不正アクセスのあったことが確認されました。さらに当該サーバーとネットワーク共有していた北斗興業のサーバーへの不正アクセスがあり、弊社が北斗興業に灯油配送業務を委託しているお客さま情報が漏えいした可能性のあることが判明いたしました。

2.経緯

・2022年12月6日(火)

北斗興業がネットワーク共有をしていた会社において自社サーバーの不正アクセスを確認。その後の調査により、ネットワークを通じてお客さま情報への不正アクセスが判明。

・2023年1月12日(木)

北斗興業より、弊社に本件の報告があり、お客さま情報の漏えいの可能性が判明。

3.漏えいの可能性があるお客さま情報

・対象 : 2020年2月以前に、弊社が北斗興業に灯油配送業務を委託しているお客さま情報(函館地区)

・項目 : 氏名、住所、電話番号

・件数 : 88件

なお、北斗興業より、現時点でお客さま情報の漏えいの事実は確認されていないとの報告を受けております。