【セキュリティ事件簿#2024-335】公益社団法人日本トライアスロン連合 本会業務委託先における不正アクセス被害に伴う 情報漏えいのおそれについて 2024/7/26

 

今般、公益社団法人日本トライアスロン連合（以下、「JTU」といいます)が法定調書作成に関する業務を委託しておりました税理士法人夏目事務所（以下、「夏目事務所」といいます）のサーバーにおいて不正アクセス被害が発生し、本会から法定調書を発行した職員、業務委託者、指導者、審判員、強化費対象選手等の情報の漏えいのおそれがあることが、夏目事務所からの報告により判明いたしました。

対象となる関係者の皆様に大変なご心配とご迷惑をおかけすることとなり深くお詫び申し上げます。

１．情報漏えいの恐れがある情報

１）対象者

法定調書※作成対象者（平成 28 年から令和 4 年分）337 名

※「報酬、料金、契約金及び賞金の支払調書」「給与所得の源泉徴収票」

２）含まれる個人情報

「報酬、料金、契約金及び賞金の支払調書」・・氏名、住所、支給額

「給与所得の源泉徴収票」・・・氏名、住所、生年月日、マイナンバー

２．業務委託先

税理士法人夏目事務所（https://www.natsumeoffice.or.jp/）

３．経緯と原因

夏目事務所のサーバーに対する第三者からの不正アクセスにより、サーバーに保管していた個人情報等が漏えいした可能性がある旨、2024 年 7 月 24 日に夏目事務所から JTU に対する報告があり判明しました。

不正アクセスの状況については以下をご参照ください。

夏目事務所：不正アクセスによる個人情報等の漏えいに関するお詫びとお知らせ

４．今後の対応

あらためてこのような事象が発生したことについて、深くお詫び申し上げます。対象者の方々へは順次、お詫びとお知らせのご連絡をいたします。

また、現在のところ二次被害の発生の報告は受けておりませんが、不審な郵便物等が届くなどの二次被害にご注意をお願いいたします。ご不安等がございましたら専用お問合せ窓口または JTU 事務局までご連絡をお願いいたします。なお、マイナンバーについては専用ソフトによる暗号化済みである旨、夏目事務所から報告を受けています。

今回の事態を重く受け止め、本会のみならず関係事業者・団体含め、個人情報の適正管理、情報セキリュティ体制の確保を徹底し、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-335】税理士法人夏目事務所 不正アクセスによる個人情報等の漏えいに関するお詫びとお知らせ 2024/7/22

 

このたび、弊所のサーバーが第三者からのランサムウェアによる不正アクセス攻撃を受け、弊所で保管していた個人情報等の情報について漏えいした可能性があることを確認いたしました。

弊所の顧問先、お取引先の皆様に、多大なるご心配をおかけする事態となりますこと、深くお詫び申し上げます。

弊所は、本件を厳粛に受け止め、再発防止策を講じてまいります。

1. 本件の概要

弊所のサーバーに対する第三者からの不正アクセスです。当該不正アクセスにより、サーバーに保管していた個人情報等が漏えいした可能性がございます。

2024 年 5 月 19 日、弊所のシステムが正常に稼働しない事象が発生したため、確認をしたところ、サーバーがランサムウェアの被害を受けたことが判明いたしました。

その後、専門会社による調査の結果、攻撃の内容から、個人情報等の漏えいの可能性を否定できないものと判断いたしました。

2. 漏えい懸念対象者と情報の内容

弊所が顧問先、お取引先から税務申告のためにお預かりした情報となります。

※クレジットカード情報は弊所にて保有しておりませんので漏えいの可能性はありません。 

3. 弊所の対応

(１) 専用ご相談窓口の設置

本件専用のご相談窓口を設置いたしました。

(２) 顧問先等、お取引先様へのお詫びのご案内

個別通知可能な顧問先・お取引先については、弊所担当者により個別にご案内をいたしております。

(３) 関係行政機関への報告

① 個人情報保護委員会に報告いたしました。

② 警視庁サイバーセキュリティ対策本部に報告いたしました。 

4. 再発防止策

専門会社と協議のうえ、ネットワーク機器などを取り替え、セキリュティ機能を強化したシステム構築をいたします。

5. 二次被害防止へのご協力のお願い

現在のところ二次被害の発生の報告は受けておりませんが、不審な郵便物等が届くなどの二次被害にご注意をお願いいたします。ご不安等がございましたら弊所までご連絡をお願いいたします。警察当局に捜査協力を依頼する等、対策を講じてまいります。

6. 発表とご案内まで期間を要したことのお詫び

弊所が本件の疑いを認知した日から本日のご案内まで期間を要しましたことを、深くお詫び申し上げます。認知した日に発表とご案内を行うことも検討しましたところ、不確定な情報をもって発表することからは、より一層のご不安をお掛けすることにつながるため、本日、発表を行うことと決定いたしました。お時間をいただきましたこと、お詫び申し上げます。 

リリース文（アーカイブ）

【セキュリティ事件簿#2024-334】株式会社朋栄 お客さまに関する情報漏えいについてのお詫びとお知らせ 2024/7/19

 

このたび、損害保険ジャパン社から弊社への出向転籍者により、アパートローン利用者様向け火災保険をご契約いただいているお客さまに関する情報が損害保険ジャパン社に漏えいしていたことが、同社からの報告により判明いたしました。

お客さまには多大なご迷惑とご心配をおかけすることになりましたことを、深くお詫び申し上げます。

現時点で確認している事実は以下のとおりです。

■漏えいの内容

１．対象者

アパートローン利用者様向け火災保険契約者

２．対象期間

2021 年 5 月～11 月、2022 年 2 月～2024 年 5 月始期契約

３．漏えいしたお客さま数

1,518 名(個人 890 名、法人 628 社)

４．漏えいした情報

保険契約者名、法人個人区分、保険会社名（損害保険会社 4 社）、保険種目、

保険始期、保険料、紹介先、弊社担当者名、弊社案件番号等

５．漏えいした情報の使途

損害保険ジャパン社員からの契約シェア確認の要請に対し、同社からの出向転籍者が情報提供を行っていたものです。

損害保険ジャパン社から外部への漏えいがないことは確認しております。

■今後の対応

１．お客さまへのご連絡

漏えいが確認されたお客さまへは、順次郵送等によりご連絡させていただきます。

２．信頼回復に向けた取組み

このような事態を発生させたことを真摯に受け止め、社内調査を通じて全容を把握するとともに、判明した原因に対する再発防止策を社内徹底することでお客さまからの信頼回復を図ってまいります。 

リリース文（アーカイブ）

【セキュリティ事件簿#2024-334】株式会社トータル保険サービス お客様の契約情報等の漏えいについて 2024/7/12

 

弊社株式会社トータル保険サービスは損害保険ジャパン株式会社(以下「SJ 社」といいます。)の取扱代理店ですが、このたび、弊社のお客様がご契約されている損害保険契約に関する情報(一部個人情報を含みます)が、弊社から SJ 社に漏えいしていたことが判明いたしました。現時点では、SJ 社から弊社への出向者による情報漏えいであることは判明していますが、詳細については現在調査を進めているところです。

お客様にはご迷惑とご心配をおかけすることになり深くお詫び申し上げます。

現時点で確認できています事実関係は以下のとおりです。

１．経緯

• 7月 10日(水)、SJ 社から弊社に対する報告により発覚

２．漏えいが確認された情報

• 保険契約者名(法人名および一部代表者名等)、保険会社名(SJ 社を含む損害保険会社計19社)、保険種目、保険期間、保険料、弊社担当部署名、弊社担当者名等

３．対象となる延べ契約件数

• 約 2,700 件

４．今後の対応

• 関係機関に報告するとともに、対象となるお客様には順次ご連絡させていただきます。また、これと並行して調査を進めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-334】株式会社千葉銀行 お客さまに関する情報漏えいについてのお詫びとお知らせ 2024/7/26

 

株式会社千葉銀行（取締役頭取 米本 努、以下「当行」）において、複数の損害保険会社から受託している火災保険等の保険料に係る集金情報が、損害保険ジャパン株式会社（以下、「同社」）に漏えいしていたことが、同社からの報告により判明いたしました。

お客さまをはじめとする関係者の皆さまに、ご迷惑とご心配をおかけすることを、心よりお詫び申し上げます。

現時点で確認できている事実関係は以下の通りです。

１．漏えいの内容

(1) 対象者

当行または保険代理店である東方エージェンシー株式会社の募集により火災保険等を申し込み、当行に口座振替等を依頼した個人および法人のお客さま

(2) 漏えいが確認されたまたは漏えいのおそれがある情報

契約者名、取引店番号、取引店名、顧客番号、証券番号、保険料、保険会社名、保険種類、商品名

(3) 漏えいが確認されたまたは漏えいのおそれがあるお客さまの数（最大）

個人のお客さま：約 10,800 先

法人のお客さま：約 700 先

※他の損害保険会社の火災保険商品の当行における取扱開始（2002 年 4 月）以降の累計

(4) 対象期間（最大）

2002 年４月～2024 年４月

※現時点では、2008 年以降の同社からの出向者による情報漏えいが判明しています。なお、同社より2008 年以前の情報についても漏えいの可能性があると指摘されているため、現在、調査を進めております。

(5) 漏えいした情報の使途

同社において、各損害保険会社のシェア確認のために取引店番号と保険料の情報が利用されました。

一方、契約者名、証券番号等、個人が特定できる情報は利用していない旨の報告を受けています。

また、漏えいした集金情報は同社から外部に流出していないことを同社に確認しております。

２．二次被害のおそれ

現時点では、漏えいした個人情報の悪用等による二次被害またはそのおそれは確認されておりません。

３．今後の対応

(1)お客さまへのご案内

漏えいまたは漏えいのおそれが確認されたお客さまに対して、個別連絡等を通じてご案内していきます。

(2)信頼回復に向けた取組み

当行はこの事態を真摯に受け止め、社内調査を進め全容を把握するとともに、判明した原因に対する再発防止策を徹底することで、お客さまからの信頼回復を図ってまいります。

リリース文（アーカイブ）

【KALI LINUX】 John the Ripper ～パスワードクラッカー～

今日は「John the Ripper」というツールをご紹介したいと思います。

John the Ripperはオープンソースのパスワードクラッカーで、複数のアルゴリズムを使ってパスワードをブルートフォースすることができます。様々な種類のドキュメントやアーカイブのパスワードを解除したり、様々なリソースのシンプルなユーザーパスワードを解除することができます。Johnの欠点は、ハッシュをクラックすることしかできないことです。つまり、暗号化されたファイルを直接扱うことはできません。例えばオフィス文書を開き、そこにパスワードを入力するようなことはできません。

以下の例では、JohnがすでにインストールされているKali Linuxを使って説明します。インストールは以下のコマンドで行えます。

# sudo apt install john -y

例として、暗号化されたアーカイブのパスワードをクラックする方法を見てみましょう。

ハッシュ値の抽出

まず、問題のファイルのハッシュを計算（抽出）する必要があります。zip2johnと呼ばれる補助ユーティリティーを使います。

ここで、アーカイブがあるフォルダに移動します。

# cd (ファイルパス)

zip2johnを実行し、結果（抽出したハッシュ）をTest.txtという同じフォルダに保存します。

# zip2john Test.zip > Text.txt

異なるファイル形式からハッシュを抽出する場合は、補助ユーティリティの名称が変わります。いくつか例を挙げてみましょう。

rarファイルからハッシュを抽出する場合。

# rar2john Test.rar > Text.txt

7zアーカイブからハッシュを抽出する場合。

# 7z2john.pl '/mnt/disk_d/Arch/from_kali.7z'

MS Word 2019ファイルからハッシュを抽出する場合。

# office2john.py '/mnt/disk_d/Share/Secret.docx' 2>/dev/null

Wi-Fiハッキングのためのハンドシェイクからハッシュを抽出する場合。

# wpapcap2john ~/RT-725140.pcap

キャプチャしたネットワークトラフィックからVNCハンドシェイクのハッシュを抽出する場合。

# vncpcap2john '/home/mial/VNC.pcapng'

この抽出したText.txtファイルに対して、johnコマンドで解析を進めます。

ランニング

最も頻繁に使われるオプションとしては、--mask（パスワードを生成するためのマスク）と--wordlist（辞書ファイルの指定）が挙げられます。

辞書ファイルを用いた解析を行うには、辞書が必要です。Kali Linuxにはseclistsと呼ばれるパッケージが用意されているのでインストールします。

# sudo apt install seclists -y

/usr/share/seclists/ 配下にファイルが展開されます。

辞書攻撃を行うには、次のようなコマンドを実行します。

john --wordlist=(辞書ファイル)

辞書として、/usr/share/seclists/Passwords/rockyou.txtファイルを使う場合、コマンドは以下のようになります。

john --wordlist=/usr/share/seclists/Passwords/rockyou.txt Text.txt

実行結果の例は以下となり、pass123がパスワードであることが分かります。

# sudo john --wordlist=/usr/share/seclists/Passwords/rockyou.txt Text.txt
Using default input encoding: UTF-8
Loaded 1 password hash (PKZIP [32/64])
Will run 8 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
pass123          (secure_1605054835063.zip/zippy/flag.txt)
1g 0:00:00:00 DONE (2024-07-26 21:44) 8.333g/s 136533p/s 136533c/s 136533C/s 123456..christal
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

マスク攻撃を行うには、次のような形式のコマンドを使用します。

./john --mask=(マスクハッシュ)

例えば、こんな感じです。

./john --mask='?d?d?d?d?d?d' Text.txt

マスク別にパスワードを把握するためのちょっとしたメモをご紹介します。

Static Characters.

Ranges in the syntax [aouei] or [a-z]. Or both, [0-9abcdef] is the same as [0-9a-f].

Fillers that are just an abbreviated form for ranges, such as ?l, which is 100% equivalent to [a-z].

?l is lowercase ASCII letters

?u are ASCII uppercase letters.

?d are numbers

?s are special characters (all printable ASCII characters except those included in ?l, ?u, or ?d)

?a is full "printable" ASCII. Note that for formats that are not case-sensitive (e.g., LM), this designation includes only lowercase characters, which significantly reduces the key space (the number of possible password candidates), but still covers all possible variants available for a given hash type.

?B is all 8-bit (0x80-0xff)

?b is all (0x01-0xff) (the NULL character is currently not supported by the kernel).

?h are lowercase hexadecimal digits (0-9, a-f)

?H are upper case HEX digits (0-9, A-F)

?L are lowercase, non-ASCII letters

?U are uppercase letters, non-ASCII

?D are "numbers", non-ASCII

?S is for non-ASCII "special characters"

?A is all valid characters in the current code page (including ASCII). Note that for formats that do not recognize case (e.g. LM), this includes only lowercase characters, which greatly reduces the number of password candidates without compromising cracking.

Fillers that are user-defined, so we can, for example, set the value to ?1 and assign it a value, such as [?u?l]. In Hashcat, this is called "user-defined character sets".

?1 .. ?9 is a user-defined placeholder 1 . 9

Fillers for hybrid mask mode:

?w is in Hybrid Mask Mode denotes the source word created by the parent mode.

?W is like ?w except that the source word is case-sensitive (so PassWord becomes PASSWORD).

今回は、John the Ripperの用途の一つをざっと見てみましたが、決してそれだけではありません。

LinuxでJohnを使えない場合は、開発者が気を利かせて、WindowsやMacOSで使える可能性を加えてくれましたが、これはお勧めできません。興味のある方は、インターネット上にたくさんのガイドや記事があります。

以上、ここから先は誠意を持って対応してください この記事がどなたかのお役に立てれば幸いです。

出典：Брутфорс - John the Ripper

出典：John The Ripper

【セキュリティ事件簿#2024-308】株式会社アイカ 弊社サーバへの不正アクセスに関するご報告とお詫び 2024/7/12

 

平素は格別のお引き立てを賜り厚く御礼申し上げます。

2024 年 7 月 12 日に弊社サーバに対して不正アクセス攻撃を受けた旨ご報告させていただいておりますが、現在も引き続き外部専門家と連携して、原因調査や復旧作業などの対応を進めております。

現在、情報流出の有無及び範囲の特定を継続して進めておりますが、現時点では情報漏洩に関する事実は確認されておりません。今後、お客さまに関わる情報の漏洩が確認された場合には、速やかにその内容について個別にご報告をさせていただきます。

改めまして、本件につき、お客様ならびにお取引先様、関係者の皆様に対して、多大なるご迷惑とご心配をおかけしておりますことを心より深くお詫び申し上げます。

１．対応経緯

2024 年 7 月 12 日、弊社サーバに対し、外部の第三者からの不正アクセスを受けたことを確認いたしました。当該事象の確認後、直ちに被害拡大を防止するためにネットワークの遮断等の対応を実施いたしました。同時に、外部専門家の協力のもと、被害範囲の特定、原因や侵入経路の調査を開始いたしております。

現時点で判明している事実としては複数のサーバ内のファイルが暗号化されており、ランサムウェア被害であることを確認しております。なお、現時点で情報漏洩の事実、また本件に起因する情報の不正利用等の二次被害に関する報告は受けておりません。

２． 今後の対応

引き続き、外部専門家と連携し、被害の範囲や原因・侵入経路の調査について対応してまいります。また個人情報保護委員会や警察をはじめとした機関への報告・連携も進めております。

復旧の目途など、より詳しい状況が判明次第、速やかにお知らせいたします。

今後も、セキュリティと監視体制のさらなる強化を実施し、再発防止に努めてまいります。関係各位には、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

リリース文（アーカイブ）

【2024年7月12日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-237】ニデックインスツルメンツ株式会社 弊社の不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ 2024/7/25

 

日頃よりニデックインスツルメンツ株式会社をご愛顧いただき、誠にありがとうございます。 このたび、当社及び当社のグループ会社（以下「当社グループ」といいます。）は、2024年6月10日及 び同月27日付けで当社及びニデック株式会社のウェブサイトにて公表させていただきましたとおり、外 部の悪質な攻撃者（以下「本件攻撃者」といいます。）からサイバー攻撃を受け、複数のサーバー内のファイルが暗号化されるランサムウェア被害を受けました（以下「本件」といいます。）。

本通知では、本件に関する当社グループの現時点での調査結果を再度ご報告申し上げます（一部の内容は、これまでに公表した内容と重複します。）。

なお、本件に関するランサムウェア被害は当社グループ以外のニデック株式会社及びそのグループ会社へは波及していないことを重ねてご報告させていただきます。

改めまして、皆さまにご迷惑とご心配をおかけしておりますことを心より深くお詫び申し上げます。

1. 本件の概要

2024年5月26日、ランサムウェアによる当社保有の業務システム等への不正アクセスが発生し、システム内の情報が暗号化されました。

調査の結果、当社ホームページにて6月27日付けで公表した「弊社への不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ」のとおり、当社のみならず、国内当社グループのニデックマテリアル株式会社・東京丸善工業株式会社・ニデックインスツルメンツ秋田株式会社・株式会社サンセイキ・ニデックインスツルメンツサービスエンジニアリング株式会社・一般社団法人ニデックオルゴール記念館すわのね及び一部の当社海外現地法人（注）の社内システムのサーバー及びファイルサーバー等における一部データについて暗号化されたこと、及び本件攻撃者によるリークサイトにおいて、本件に関連すると思われるダウンロードサイトへのリンクが掲載され、当社グループが保有する情報の一部が外部の第三者に漏えいした可能性が否定できないことが判明しました。なお、その後の調査により、現在当該ファイルは当該ダウンロードサイトからダウンロードできなくなっていることが確認されています。

これまでの対応経緯の詳細につきましては後述いたします。

注：当社グループとは別のネットワーク構成であるため、下記９社は、本件の影響を受けておりません。

① SCD：Co.,Ltd

② SCD：(Guangzhou)：Co.,LTD

③ SCD：(Hong：Kong)：Co.,LTD

④ ニデックインスツルメンツ（米国）株式会社

⑤ ニデックインスツルメンツ（メキシコ）株式会社

⑥ ニデックインスツルメンツ（欧州）株式会社

⑦ ニデックジェンマークオートメーション株式会社

⑧ ニデックジェンマークオートメーション（蘇州）株式会社

⑨ ニデックジェンマークオートメーション（欧州）株式会社

2. 漏えい等が発生し、または発生したおそれがある個人データの項目と件数

• お取引先様他関係者の皆様に関する情報

  －個人データの項目

  氏名、性別、住所、生年月日、電話番号、メールアドレス

  －個人データの件数

  318,151 件

  （個人データの延べ件数であり、ご本人様の人数は 318,151 よりも少なくなります）

• 当社のオルゴールをご購入いただいたお客様及び当社主催のイベント等にご参加いただいた皆様に関する情報

  －個人データの項目

  氏名、性別、住所、電話番号、メールアドレス

  －個人データの件数

  71,089 件

  （個人データの延べ件数であり、ご本人様の人数は 71,089 よりも少なくなります）

• 当社のオルゴールをご購入いただいたお客様及び当社主催のイベント等にご参加いただいた皆様に関する情報

  －個人データの項目

  氏名、性別、住所、電話番号、メールアドレス

  －個人データの件数

  71,089 件

  （個人データの延べ件数であり、ご本人様の人数は 71,089 よりも少なくなります）

3. 原因と対応状況

(1) 原因

本件の原因は、本件攻撃者が、システムの管理者アカウントの ID 及びパスワードを何らかの形で不正に取得し、当社の業務システム内にアクセスしたことにあると考えられます。

(2) 対応状況

初期的には、暫定対処として、すべての ID に対するパスワードの変更及びサイバー攻撃を受けた端末のネットワークからの隔離を行いました。

また、当社は、現在までに、インターネットに接続する場合は、原則としてクリーン PC（社内ネットワークに接続しない端末）を使用するとともに、クリーン PC 以外の端末は、メールやウェブ会議を利用する場合等の業務上必要な最小限のものを除き、インターネットとの通信を遮断することで、外部からの不審な通信を受け付けないようにしております。メールについても、接続元 IP アドレス制限を行い、意図しない第三者の利用を防止しております。これらの措置を含む総合的なセキュリティ対策により、外部の方々が保有・管理するシステムに影響が及ぼすことのないよう努めております。

4. 二次被害またはそのおそれの有無及びその内容

「1. 本件の概要」に記載したとおり、本件攻撃者によるリークサイトからはデータのダウンロードができなくなっていることを確認しております。また、「2. 漏えい等が発生し、または発生したおそれがある個人データの項目と件数」に記載のとおり、漏えい等の可能性のある情報の項目の中に、クレジットカード情報等の経済的な二次被害を直接生じさせ得る情報は含まれておりません。以上のほか、当社においては、現時点で、本件に起因する個人データを用いた不正利用等の二次被害については、確認されておりません。

万が一、当社グループを騙り、又は本件攻撃者を自称する等の不審なメール等を受信された場合は開かず、また、当該メッセージに記載された URL 等へのアクセスはしないようお願い申し上げます。

5. 再発防止策

当社は、本件を受け、社内アカウントの不正使用を防止するため、全ての社内アカウントのパスワードを変更し、不要なアカウントについては削除しました。また、業務システムへの不正アクセスを防止するため、社外から VPN（※）を通じて社内ネットワークに接続することが可能なユーザを限定する設定に変更しました。

また、当社グループは、本件を受け、更なる情報管理体制の強化に努め、本件の再発防止に取り組んで参ります。

※「Virtual：Private：Network」の略称で、インターネット上に設定された仮想の専用線であり、特定の人のみが利用できる専用ネットワークを指します。

6. お問い合わせ先

本件に関するお問合せは下記の連絡先までお願いいたします。

０５７０－００４０６６【ナビダイヤル】

7. これまでの対応経緯の詳細

本件に関する当社グループのこれまでの対応経緯は以下のとおりです。なお、当社グループ及びニデック株式会社は、本件攻撃者からの身代金要求には一切応じておらず、また、外部セキュリティ専門機関と連携し、リークサイトの継続的な監視を続けております。

• 5 月 26 日、当社の情報システム部の社員が、本件に関する攻撃を検知しました。同日中に、初動対応として、EDR ソフトやマルウェアの駆除ソフトを利用し、本件の原因となったマルウェアの駆除を行いました。また、弊社内で対策チームを組織しました。
  
  
• 5 月 27 日、当社グループの全社員に指示の上、当社グループの全 PC について、本件の原因となったマルウェアが起動されていないことを確認しました。

同日、バックアップデータからのデータ復旧によって、最低限の対外的業務継続体制を構築しました。

• 5 月 28 日、当社グループの情報が外部の第三者に漏えいした可能性が否定できないことから、本件について長野県警に通報・相談を開始しました。加えて同日以降、社内基幹システムおよび周辺システムの復旧を行うとともに、セキュリティ製品を取り扱うベンダーと連携の上、復旧対応等を試みてまいりました。
  
  
• 6 月 3 日、外部セキュリティ専門機関に依頼の上、事実関係の専門調査を開始しました。

なお、本件攻撃者からは、当社への攻撃と並行して当社の親会社であるニデック株式会社に対し身代金の支払要求がありましたが、反社会的勢力に対する利益供与には応じられないこと等の理由から現時点に至るまで、身代金の支払いは一切実施しておりません。

• 6 月 10 日、当社及びニデック株式会社のホームページにおいて、「弊社にて発生したセキュリティインシデントについて」を公表いたしました。また、同日、当社において個人情報保護委員会に対する速報を行うとともに、従業員に対して同旨の正式な社内通知を行いました。また、当社以外の国内グループ会社も、翌 11 日、個人情報保護委員会に対する速報を行いました。
  
  
• 6 月 12 日、外部弁護士への相談を開始しました。

また、同日、外部セキュリティ専門機関から、初期的な調査の報告を受けました。

• 6 月 18 日、本件攻撃者によるリークサイトにおいて、当社グループに関連すると思われるダウンロードリンクが掲載され、ダウンロードが可能な状態になっていることを確認しました。ただし、その後の調査により、6 月 19 日以降、そのダウンロードができない状態になっていることを確認しております。
  
  
• 6 月 26 日、当社の調査により、本件攻撃者によって不正アクセスが可能であったインスツルメンツサーバー内に、ニデック株式会社の一部の株主様の個人データが保存されており、当該株主様の個人データが漏えい等したおそれが否定できないことが判明したため、当社は、ニデック株式会社に対し、当該漏えい等のおそれについて報告しました。
  
  
• 7 月 12 日、漏えい等の可能性のある情報の項目・件数等の調査及び個人データが漏えい等した可能性のあるご本人様の特定が完了いたしました。
  
  
• 7 月 15 日、お取引先様及びお客様に、より安心・信頼いただける環境の構築が完了いたしました。その具体的な内容は、前記 3(2)「対応状況」をご参照ください。
  
  
• 7 月 24 日、個人情報保護委員会への確報を行いました。
  
  
• 7 月 25 日以降順次、個人データが漏えい等した可能性のあるご本人様に対し、その旨をご報告する通知書を送付するとともに、個別に通知することができないご本人様等に向けて、本日、当社ホームページにおいて「ランサムウェア感染に関するお詫びとご報告」を公表いたしました。

お客様をはじめ、関係者の皆様にご迷惑及びご心配をおかけする事態となりましたこと、改めて深くお詫び申し上げます。

リリース文（アーカイブ）

【2024年6月27日リリース分】

リリース文（アーカイブ）

【2024年6月10日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】長万部町 長万部町水道ガス課のシステム管理業務委託先への不正アクセスによる 個人情報流出の可能性についてお詫びとお知らせ 2024/7/22

 

長万部町水道ガス課で使用しているシステム管理業務の委託先である東京ガスエンジニアリングソリューションズ株式会社（以下「ＴＧＥＳ」）のネットワークへの不正アクセスを受けたことが判明いたしました。

ＴＧＥＳは不正アクセス確認後、外部との接続遮断を行い、それ以降の不正なアクセスが出来ないように対策を講じているとのことです。また、現時点で、長万部町の個人情報が流出した痕跡は確認されておらず、情報が不正利用された事実も確認されていないと報告を受けております。

このたびは、町民の皆様にご心配をおかけしておりますことを、深くお詫び申し上げます。今後、新たな事実が判明した場合はあらためてご報告いたします。

１．対象となる個人情報

個人情報の内容 ： 氏名、使用者番号、住所、方書、電話番号等

※銀行口座情報は含まれておりません。

２．今後の対応について

業務委託先のＴＧＥＳと連携し、状況の把握を進め、適切に対応させていただきます。

なお、本件に関してのお問い合わせは、下記窓口までご連絡いただきますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-333】熊本日日新聞社 個人情報が閲覧できる状態になっていたことのご報告とお詫び 2024/7/23

 

熊本日日新聞社が運営する能日電子版会員の個人情報が、web上で閲覧できる状態になかっていたことが判明しました。 現時点では、 個人情報の拡散及び悪用等は確認されておりません。 関係者のみなさまにご迷惑をお掛けしたことを深くお詫びします。内容および対応については以下の通りです。

【個人情報が閲覧できる状態であった状況の概要】

• 2021年8月時点の能日電子版の利用者 (1D 会員) 名簿

2万8777人分

• WEB上の名簿へのアクセス確認数

8件13アクセス (7月21日10時56分～7月22日11時58分)

• 閲覧可能だった個人情報

氏名、住所、電話番号、メールアドレス

【発生原因について】

態日電子版のサーバ移行に伴い、委託している開発ベンダーのシステム環境の設定内容に不備があったため

【対応について】

7月22日11時30分ごろ、社外からの電話連絡で、会員情報が閲覧可能な状態であることを確認。開発ベンダーに直ちに連絡し、同日12時20分ごろまでに閲覧可能な状態を解消しました。

国の個人情報保護委員会には当該事案の発生について速やかに報告しました。 個人情報が閲覧される可能性があったご本人に対しては、23日に電子メールにてお詫びと経緯の説明を行いました。

【再発防止のための対応】

今後、このような事態が生じないよう、徒業員に対して個人情報保護の重要性についての教育を徹底します。 個人情報に関連する業務を行うにあたっては、熊日及び開発ベンダー担当者による複層的なチェックを徹底するなど、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-332】椙山女学園大学 個人情報の漏えいについて 2024/7/18

 

本学生活科学部生活環境デザイン学科主催の「色彩検定試験３級対策講座」申込フォームにおいて、一時的に個人情報の閲覧が可能な状態になっていたことが判明しました。 

関係者の皆さまに深くお詫び申し上げますとともに、二度とこのようなことがないよう、再発防止を徹底いたします。 

経緯 

6月9日（日）開催のオープンキャンパスにて配布した「色彩検定試験3級対策講座」案内フライヤーに掲載していた申込フォームの設定ミスにより、一時的にフォーム入力者の情報が閲覧可能な状態となっていたという事案が発生しました。 

閲覧可能となっていた情報 

　氏名、メールアドレス、学年、学籍番号 

対応状況 

発覚直後（７月８日午前中）、フォームは削除し、原因を特定し、新しいフォームを作成しました。 

個人情報の閲覧が可能な状態となっていた対象者（10名）に対して、謝罪及び事実の報告を行いました。 

再発防止策 

本学では、今回の事実を重く受け止め、今後二度とこのような事態が生じることがないよう、マニュアルの見直しや、担当者に対する事前指導の徹底、職員研修の充実などにより、個人情報の厳重かつ適正な管　理及び取扱いについて、構成員の意識向上を図るとともに、再発防止に努めてまいります。 

リリース文（アーカイブ）

【セキュリティ事件簿#2024-331】多摩区ソーシャルデザインセンター 多摩SDCが作成したGoogleフォームにおける個人情報の漏洩の可能性について 2024/7/3

日ごろから、多摩区ソーシャルデザインセンター(以下、「多摩 SDC」 という)の活動にご理解・ご協力をいただきまして、誠にありがとうございます。

この度、多摩SDCが主催する「まっちサマースクール」の申込フォーム (Googleフォーム) において、設定に不備があり、申込者の個人情報が一時的に第三者から閲覧できる状態になっておりました。

お申込みいただいた方、 関係者並びに日ごろからお力添えしていただいている方々に、多大なるご迷惑とご心配をおかけいたしましたこと深くお詫び申し上げます。

〇閲覧可能な状態となっていた個人情報 :

お子様の氏名、 学校、学年、保護者の氏名、電話番号、メールアドレス、参加希望会場

〇件数 : 65 件

〇閲覧が可能となっていた期間 :

令和6年6月4日(火)10時～令和6年6月26日(水)0時30分

本事象判明後、当該フォームでの受付を停止し、第三者からの閲覧ができないよう設定の修正を行いました。また、申込者の皆様には、メールでのご説明・謝罪の後、お電話でのご説明・謝罪をさせていただきました。

今後は、Googleフォームの利用については取りやめ、より安全な仕組みを検討し、導入してまいります。また、皆さまの大切な個人情報を取り扱っているということを多摩SDC内全員があらためて認識し、再発防止に努めてまいります。

今後とも、多摩SDCの事業へのご理解とご協力をお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-330】三陽商会 不正アクセスによる情報流出のお知らせとお詫び 2024/7/12

 

この度、弊社サーバー機器が外部からの不正アクセスを受け、弊社が管理している個人情報・企業情報の一部が外部へ流出したことを確認いたしました。

関係者の皆様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

流出を確認した又は流出のおそれがある個人情報

弊社社員及び元社員、協力会社社員、お取引先様ご担当者様の以下情報（約1,500件）

・氏名、メールアドレス、会社名、部署名、役職名、電話番号 等

流出を確認した又は流出のおそれがある企業情報

・取引先情報、営業資料等

個人データの漏えいが確認された又は漏えいのおそれがある皆様へは、順次個別にご連絡させていただきます。

なお、漏えい又はそのおそれが生じた個人情報にクレジットカード情報は含まれておりません。また、現時点では本件に関わる個人情報の不正利用等の二次被害は確認されていません。

今後、お心当たりのない郵送物やフィッシングメールやスパムメール等が届く可能性がありますので、皆様方におかれましてはご注意下さいますようよろしくお願いいたします。

【経緯及び対応】

2024年4月24日（水）、弊社サーバー機器を経由した不正な通信を検知したことから、直ちに被害状況の確認・調査を開始するとともに、サーバー機器をネットワークから切り離すなど被害の拡大を防止するための必要な対策を実施しました。その後、第三者機関（外部セキュリティ専門家）の調査により、弊社システムのアカウント情報等を管理するシステムへの不正アクセスの形跡が確認され、個人情報・企業情報の一部が外部へ流出したことが判明いたしました。影響の範囲を確定させるまでに時間を要し、今回の発表までお時間をいただきましたこと、お詫び申し上げます。

本件につきましては、すでに警視庁への相談及び個人情報保護委員会に必要な報告を行い、外部セキュリティ専門家の協力を得ながら、関係各機関と連携し、事実の確認及び適切な対応に務めております。また、弊社は今回の事態を重く受け止め、セキュリティ体制の改善、ネットワークに対する監視体制強化など、再発防止に全力で取り組んでまいります。

この度は皆様に多大なご迷惑ご心配をお掛けしますこと、改めて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-153】タカラベルモント株式会社 サーバ不正アクセス事案に関する調査終了のご報告 2024/7/5

 

2024年4月17日に公表いたしました、弊社が海外向けウェブサイト運営に利用しているサーバが不正アクセスを受け、フィッシングメールが送信された事実（「不正サーバアクセスによる個人情報流出可能性のお知らせとお詫び」）について、進めておりました調査が完了したことをご報告いたします。

当事案は、2024年4月5日に発生し、事実をお知らせした2024年4月17日時点では、サーバ内で管理していたお客様メールアドレスがメール送信に利用されていないことの確認が完了しておらず、個人情報漏えいの恐れが排除できておりませんでしたが、調査の結果、メール送信先がサーバ内保管のお客様メールアドレスではないこと、およびフィッシングメール送信に悪用された手法は、サーバ内の個人情報にアクセスするものではないことを確認致しました。

また、本件に起因して個人情報の不正利用等の二次被害が生じたとの報告は受けておりません。

弊社は、Webサイトがフィッシングメール送信に利用された今回の事態を重く受け止め、Webサイト運用の体制強化にも全力で取り組んでまいります。

＜再発防止策＞

• フィッシングメール送信に利用された問合せフォーム機能のセキュリティ対策強化を実施

＜Webサイト運用体制の強化＞

• 全てのサーバ及びネットワークに対する監視体制を強化
  
  
• 責任者および担当者に向けた個人情報取り扱い、セキュリティ運用に関するルールの周知徹底と教育の見直し

この度は、関係する方々に多大なるご心配とご迷惑をおかけしたことを、重ねてお詫び申し上げます。

リリース文（アーカイブ）

【2024年4月17日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-329】シャープ COCORO STORE ウェブサイトへの不正アクセス発生について 2024/7/23

 

昨日、COCORO STORE ウェブサイトの一部が、第三者の不正アクセスを受け、改ざんされていたことを確認しました。

不正アクセスを確認後、ウェブサイトを一時停止し、現在詳細調査を行っております。

お客様や関係者の皆様に多大なるご心配とご迷惑をおかけし、申し訳ございませんが、今しばらくお待ち頂きますようお願い申し上げます。

本件につきましては、詳細が判明次第、お知らせいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-275】日本品質管理学会 会計業務委託先におけるランサムウェア被害に伴う情報漏えいのおそれについて 2024/7/23

 

日本品質管理学会が会計業務を委託している税理士法人髙野総合会計事務所（以下「髙野会計事務所」）のサーバにおいてランサムウェア被害が発生し、髙野会計事務所からの調査報告（第2報）により、会員様の情報の漏えいの可能性を完全に否定することができていないことがわかりました。

会員の皆様にご心配、ご迷惑をおかけすることとなり深くお詫び申し上げます。

尚、髙野会計事務所と外部専門機関による被害確認のための調査は継続しており、情報漏えいが特定できた会員様については、速やかに通知してまいります。

【漏えいのおそれのある情報】

① 請求書（会社名、請求内容、請求額など）

② 支払い台帳（氏名、口座番号、報酬額など）

③ 支払い調書（氏名、住所、報酬額など）

　※年間5万円を超える報酬をお支払いした方、または希望された方のみ

④ 入金伝票（受領日、氏名、摘要、金額）

⑤ 入金明細（会員番号、氏名、入金日、入金先口座、支払目的、金額、振込人名義など）

　※入金元の銀行名・口座番号は含まれていません。

⑥ 返金情報（氏名、口座情報、金額、メールの一部）

【髙野会計事務所からの調査報告（第2報）内容抜粋】

現時点では、個人情報を含む各種情報が外部に流出したことを示す事実や、攻撃者によって情報が公開されている事実は確認されておりません。

ただし、調査の結果、外部との微量な通信が確認されているため、情報漏えいの可能性を完全に否定することはできておりません。

外部専門機関による原因の特定および被害確認のための調査は継続して実施しております。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-328】株式会社Yostar ブルーアーカイブメンテナンス詳細報告 2024/7/23

 

いつも「ブルーアーカイブ」をご利用いただき、誠にありがとうございます。

この度は、サーバーへの接続が不安定となる現象により、皆様のプレイ体験を大きく損ない、ご迷惑をおかけしたごと、大変申し訳ございません。

今回のアップデートに関して、新規及び復帰ユーザーが多数想定されることや従来から発生していたサーバー攻撃を勘案して、事前にサーバーを大幅に増強したうえで、余裕を持った体制を構築しておりました。

しかし、メンテナンス終了直後に悪質な大規模サーバー攻撃を受けたことを観測いたしました。

当該攻撃により、過去最大のアクセス数であった3周年イベント開催時の10倍以上のアクセス数が発生し、サーバー負荷が想定をはるかに超えてしまったことが、今回の接統不安定の原因となっております。

本件に関する経緯、対応及び補填内容につきまして下記説明させていただきます。

概要

• 2024年7月22日のメンテナンス終了後、接続不安定となる現象を確認し、原因の調査を開始
• 2024年7月22日19時20分 サーバーに対する異常なアクセス数が確認され、悪質なサーバー攻撃であることが判明
• 2024年7月22日19時30分 従来であれば公平なゲーム環境提供の必要性を考え、すぐにでもメンテナンスを行いたいところでしたが、今後の継続的な攻撃を防ぐことを目的とし、緊急メンテナンスを行わずに攻撃手段の把握や攻撃目的の分析を開始
• 2024年7月22日20時33分 上記分析が終了し、対策方針が決定したため、緊急メンテナンスを実施し、サーバー拡張及びアクセス負荷対策を開始
• 2024年7月22日23時00分 サーバー拡張及びアクセス負荷対策、並びにそれらの検証テストが完了したため、緊急メンテナンス終了。

この度のメンテナンスのお詫び、および接続不安定による不具合の補填として全ユーザーに下記を補填いたします。

• 再交石 X600
• AP X600
• 最上級レポート X20
• クレジット X5,000.000

今回の更新は新イベント「Sheside outside」 の開始に加え、メインストーリーの更新が重なっており、先生方のご期待を非常に感じておりました。

それにも関わらず、先生方のご期待に添えず、ご不便をおかけし大変申し訳ございません。

心よりお詫び申し上げます。

多回の分析結果を踏まえて更なる対策を行い、より良いサービス提供を目指してまいります。

今後とも「ブルーアーカイブ」をよろしくお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】白井市 市営水道の委託事業者による個人情報の流出の可能性について 2024/7/23

 

白井市営水道の業務委託先企業のネットワークが外部から不正アクセスを受け、当該企業のネットワーク上にあるファイルサーバーにアクセスするための業務用パスワード等が窃取され、その窃取されたパスワードを入力することで市営水道をご利用のお客様に関する情報が外部から閲覧可能な状態になっていたことが判明しました。

現時点において企業のファイルサーバーへのアクセスや外部への情報流出の痕跡は確認されておりません。また、情報が不正利用された事実も確認されておりません。

なお、不正アクセスを確認後、ネットワークへの外部からの経路は、速やかに遮断し、それ以降外部からアクセスできないよう対策を講じております。

1 概要

（1）発生の状況

市営水道の配水管や宅地内への引込管等の情報を一元管理する上水道施設管理システムの運用業務を委託している、東京ガスエンジニアリングソリューションズ株式会社（以下、「TGES社」という。）のネットワークが不正アクセスを受け、当該ファイルサーバーに保管されていた市営水道のお客様に関する情報が窃取されたパスワードを入力することで閲覧可能な状態になっていました。

（2）判明した経緯等

TGES社によると7月9日（火曜日）にサーバーに補完されている情報約416万人分について流出の可能性があることが判明しました。その中に白井市営水道のお客様に関する情報が含まれていたため、7月16日（火曜日）16時頃、TGES社から市にその旨の報告がされ、個人情報の流出の可能性を把握しました。

なお、TGES社では、不正アクセスが判明した時点でネットワークへの外部からの経路は速やかに遮断し、外部からアクセスできないよう対策を講じており、7月23日10時時点で情報流出の痕跡は確認されていないとのことです。

2 流出した可能性のある個人情報

・市営水道のお客様 約8千6百件の情報

（使用者名、住所、電話番号、水栓番号）※2023年3月9日時点

3 今後の対応

・TGES社から詳細な報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-169】シークス株式会社 不正アクセスによる個人情報流出のお詫びとお知らせ 2024/7/23

当社は、2023年4月28日付け「ランサムウェアによる不正アクセスに関するお知らせ」にて公表したとおり、 当社サーバが第三者による不正アクセスを受けたこと (以下、「本件」といいます。) を確認いたしました。 不正アクセスを確認後、 被害の拡大を防ぐためにネットワークを遮断するなとの措置を講じたうえで、外部のセキュリティ専門機関と対策チームを設置し、 不正アクセスを受けた原因や感染経路、 被害範囲の特定、 情報流出に関する調査および再発防止に総力を上げて取り組んでまいりました。

本件に関して、お取引先様をはじめ、ご関係者の皆様には、多大なるご迷惑とご心配をお掛けいたしましたこと、 深くお詫び申し上げます。

調査の結果、 判明した事実および当社の対応について下記のとおりお知らせいたします。

1 . 調査結果

複数の外部セキュリティ専門機関との調査の結果、 第三者が特定の当社社員アカウントを不正に入手してインターネット経由で当社サーバにアクセスし、 当該サーバに保管されていた一部のデータが外部へ送信されたことを確認いたしました。 外部へ流出した可能性のある対象データは次のとおりです。

<お取引先様関連の業務ファイル>

業務上の連絡先なとど、 お取引先様の個人情報を含む業務ファイルが対象となかります。

業務ファイルとは、 業務上のやり取りで発生した書類テータおよびメールファイルなどを指します。

これらの業務ファイルには、計 1,603 名の個人情報が含まれており、 対象となる方には、 順次、お知らせしております。

なお、 現時点において本件による被害は確認されておりませんが、 不審な電話やメール等にはくれぐれもご注意ください。

2. 本件に関する各種報告

( 1 ) 2023年4月28日 大阪府東警察緒に被害届を提出いたしました。

( 2 ) 2023年5月8日、6月22日 個人情報保護委員会に報告をいたしました。

3. 再発防止策

本件を検知後、以下の取り組みを行いました。 今後も、より一層のセキュリティ強化に努めてまいります。

( 1 ) 多要素認証やパスワード強化などアカウント認証の高度化

( 2 ) サーバおよび端末を常時監視し不審な挙動を検知、 感染拡大を抑止する仕組みの導入

( 3 ) 当社従業員への情報セキュリティに関する知識及び意識向上の啓蒙

また、 本件につきましては、 皆様に不正確な情報を提供することで不要な混乱やご不安を与えることを避けるべく、 対象データの目視確認なと、 徹底的な社内調査を実施いたしましたため、 調査結果のご報告に相当な時間を要してしまいましたことにつきましても、 深くお詫び申し上げます。

今後、上記再発防止策を徹底し、 同様の事象を発生させない体制構築に努めてまいります。

このたびは、 お取引先様をはじめ、ご関係者の皆様に、多大なるご迷惑とご心配をお掛けいたしましたこと、 重ねてお詫び申し上げます。

リリース文（アーカイブ）

【2023年4月28日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-327】同志社香里中学校・高等学校 個人情報を記録したUSBメモリの紛失につきまして 2024/7/22

 

平素は本校の教育活動にご理解とご支援を賜り感謝申し上げます。

このたび本校専任教諭が2023年度卒業生の成績の一部を記録したUSBメモリ（パスワード管理、データ暗号化等のセキュリティ付）を紛失したことにつきまして、お知らせいたしますとともに、謹んで深くお詫び申し上げます。

現在、遺失物として探しておりますが、未だUSBメモリの所在が確認できておりません。情報漏洩などの事実も確認されておりませんが、もし流出にお気づきになったり、個人情報の流出により実害を受けられたりした場合は、本校までご連絡ください。

今後、このようなことが起きないよう再発防止に全力を尽くす所存です。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】熊本市 上下水道局の委託事業者（東京ガスエンジニアリングソリューションズ株式会社）への不正アクセスによる情報漏えいの恐れについて 2024/7/22

 

当局の委託事業者（東京ガスエンジニアリングソリューションズ株式会社、以下「TGES」。）のネットワークが外部から不正アクセスを受け、一部のお客様に関する情報が外部から閲覧可能な状態になっていたことが判明しました。

1.経緯

７月17日（水曜日）9時27分、TGESより、同社のネットワークが外部からの不正アクセスを受け、システムの動作検証時に借用したデータの一部が閲覧可能な状況にあったとの連絡があり、個人情報の漏えいの可能性が判明しました。なお、TGESによれば、現時点での情報流出の痕跡は確認されておらず、ネットワークへの外部経路は遮断済みとの報告を受けています。

お客様にご心配おかけしておりますことを、深くお詫び申し上げます。

2.漏えいした恐れのある個人情報

熊本市の下水道をご利用の一部のお客様 約37,000人分の情報（水栓番号、住所、世帯人数、使用者名、使用水量等）（7月22日時点）

（注）電話番号、金融関係口座、クレジットカード情報は含まれておりません。

3.今後の対応

情報が漏えいした恐れのあるお客様への通知方法につきましては、TGESと協議の上、速やかに進めてまいります。また、今回の一連の経緯についてTGESから詳細報告を受けるとともに、原因究明および再発防止に向けた対策を求めていきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】新座市 水道マッピングシステム運用再委託先において個人情報が閲覧可能となってしまった事象について 2024/7/22

 

1.概要

本市では、配水管やお客様の引込み管等の情報を管理するシステムについて、運用業務を水道マッピングシステム株式会社に委託しております。

令和6年7月17日に同社から、再委託先である東京ガスエンジニアリングソリューションズ株式会社のネットワークが外部から不正アクセスを受け、お客様に関する情報が閲覧可能な状態になっていたとの報告があり、情報流出の可能性があることが判明しました。

なお、不正アクセス確認後、速やかにネットワークの外部からの接続遮断を行い、令和6年7月19日時点で個人情報の不正利用等は確認されておりません。

2.対象の情報

　(1)年度　令和5年度

　(2)件数　88,627件

　(3)データ項目　お客様番号、水栓番号、使用者漢字氏名、水栓所在地、水栓所在地方書、使用水量、使用状況、口径、メーター設置年月日

3.今後の対応

委託業者に対し、個人情報の厳正な管理や情報セキュリティ指導の徹底について、再度指導・監督を行い、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】宇部市水道局 個人情報流出の可能性について 2024/7/23

 

宇部市水道局の業務委託先である東京ガスエンジニアリングソリューションズ株式会社のネットワークが外部からの不正アクセスを受けたことが判明しました。

同社は、不正アクセス確認後、外部との接続を遮断し、それ以降の不正なアクセスができないよう対策を講じられています。

お客様情報などの個人情報の流出の可能性については、現在その痕跡は、確認されておらず、また、情報が不正利用された事実も確認されていません。

お客様には、ご心配をおかけしておりますことを深くお詫び申し上げます。

今後、新たな事実が判明した場合は、改めて報告いたします。

１　業務委託の内容

水道施設情報管理システム（マッピングシステム）の保守・管理

※このシステムは、水道管などの施設情報を電子化し一元管理するものです。

２　流出の可能性がある個人情報

使用者名、住所、水栓番号

なお、電話番号、金融機関口座情報は、含まれておりません。

リリース文（アーカイブ）

クラウドストライク、アップデートをしくじり顧客PCに対してBSOD（Blue Screen of Death）攻撃。～こういうことをされると自動アップデート機能は無効化せざるを得ない～

 

クラウドストライク社は、自社が提供するEDR製品のアップデートをしくじり、顧客のPCにブルースクリーンを発生させ、導入企業の業務遂行を妨害した。

ある意味、サプライチェーンリスクが発生した典型的な事例。

メーカーを信じて自動アップデートを行っているのに、こういうことをされると自動アップデートは怖くてできなくなる。

導入企業は自動アップデートを有効にしてセキュリティベンダーによる業務妨害のリスクにおびえるか、手動アップデートに切り替えてハッカーによる攻撃リスクにおびえるかのイヤな二択を迫られることになる。

クラウドストライク導入企業

導入しているのは事例を晒している企業を中心に以下の通り。

• バンダイナムコ
• サッポロホールディングス
• アステラス製薬
• 岐阜県中津川市教育委員会
• 株式会社三菱UFJ銀行
• ローツェ株式会社
• バリュエンステクノロジーズ株式会社
• 高知県庁
• マクセル株式会社
• 国立研究開発法人 国立環境研究所
• 国立研究開発法人農業・食品産業技術総合研究機構
• 株式会社 ＮＴＴデータ
• サッポロホールディングス株式会社
• 株式会社アスカネット
• ディップ株式会社
• Sansan株式会社
• 鴻池運輸
• 竹中工務店
• クックパッド株式会社
• Grupo Elfa
• Intermex
• Porter Airlines
• NetApp
• Locaweb
• Roper Technologies
• Vālenz Health
• SA Power Networks
• Cox Automotive
• State of Wyoming
• CMC Markets
• Banco Galicia
• Telus Health
• State of Wyoming
• Intel
• 他多数

導入事例を晒していない企業でもデルタ航空やユナイテッド航空が被害を受けた模様。

クラウドストライクの声明

大切なお客様とパートナーの皆様、

本日の障害につきまして、皆様に直接心よりお詫び申し上げます。CrowdStrikeの全員が、状況の重大さと影響を理解しています。問題を迅速に特定し、修正を展開したため、お客様のシステムの復旧を最優先事項として真摯に取り組めるようになりました。

この停止は、Windows ホストの Falcon コンテンツ更新で見つかった欠陥が原因でした。Mac ホストと Linux ホストは影響を受けません。これはセキュリティ攻撃やサイバー攻撃ではありませんでした。

CrowdStrikeは、影響を受けたお客様やパートナーと緊密に連携して、すべてのシステムが復旧し、お客様が信頼するサービスを提供できるようにしています。

CrowdStrikeは正常に動作しており、この問題はFalconプラットフォームシステムには影響しません。Falconセンサーが取り付けられている場合、保護に影響はありません。Falcon CompleteおよびFalcon OverWatchのサービスが中断されることはありません。

サポートポータルを通じて、次の場所で継続的な更新を提供します。

https://supportportal.crowdstrike.com/s/login/

CrowdStrikeのブログ https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/

最新情報については、引き続きこれらのサイトにアクセスしてください。

私たちは、CrowdStrikeのすべてを動員して、お客様とパートナーのチームを支援しています。ご質問がある場合や追加のサポートが必要な場合は、CrowdStrikeの担当者またはテクニカルサポートにお問い合わせください。

敵対者や悪意のある人物がこのようなイベントを悪用しようとすることはわかっています。皆さんには、警戒を怠らず、CrowdStrikeの公式担当者と連絡を取り合うことをお勧めします。当社のブログとテクニカルサポートは、引き続き最新のアップデートの公式チャネルです。

私にとって、お客様やパートナーがCrowdStrikeに寄せてくださる信頼と信頼ほど大切なものはありません。この事象を解決するにあたり、これがどのように発生したか、そしてこのようなことが二度と起こらないようにするために私たちが取っている措置について、完全な透明性を提供することを私はお約束します。

ジョージ・カーツ

CrowdStrike 創業者兼CEO

リリース文（アーカイブ）

【セキュリティ事件簿#2024-326】集英社 「リマコミ＋」におけるメールアドレス等の漏洩に関するお詫びとお知らせ 2024/7/8

 

この度、ウェブサイト「リマコミ＋」において、システム設計上のミスにより ID 識別の不具合が生じました。これにより、一部のお客様のアカウントに第三者の方がログインしてしまう状況が発生し、メールアドレス等が、他の方に閲覧された可能性があることが判明いたしました。なお、閲覧された可能性のあるお客様全員に、すでにメールにてお詫びとご連絡を差し上げました。

関係する皆さまに多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。

本件についての詳細は以下の通りです。

１、＜漏洩した可能性のあるメールアドレス件数＞

157 件

（うち 5 件はクレジットカード名義を含む）

２、＜発生期間＞

2024 年 6 月 25 日 12:00～7 月 4 日 14:40 頃

３、＜漏洩した可能性のあるメールアドレス以外の情報＞

・ニックネーム

・アイコン（設定されていた場合）

・My 本棚（閲覧履歴・お気に入り・レンタル履歴・いいね履歴）

・コイン履歴

・登録されたクレジットカードの下４桁/有効期限/名義

※第三者によるクレジットカードの使用は発生しておりません。

※有償コインが第三者によって使用できる状況にありましたが、そのような使用の有無にかかわらず、該当するお客様には、有償コインの購入代金を全額返金する対応をいたしました。

４、＜原因＞

ウェブサイト開発時の ID 識別システム設計ミス

５、＜再発防止策＞

スタッフ全員に対して、情報セキュリティに関する意識を高めるとともに、適切な管理体制の徹底をはかり、再発防止に努めます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-325】上智大学 ソフィアメールシステム上で学生間・卒業生間の個人情報が閲覧可能になっていた事案について 2024/7/16

 

このたび、本学学生・卒業生のみが利用できるソフィアメールシステム(以下本システム)において、ログインした在学生・卒業生が、同一グループ内の個人情報（学生氏名と学生番号を含んだアカウントID）を互いに閲覧できる状態であったことが判明しました。既に設定を変更し、閲覧できない状態としております。なお、パスワードの流出はありません。

学生・卒業生及びご父母・保証人の皆様、そして関係者の皆様に大変なご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

１. 経緯等

2024年6月19日（水）に、本学学生から情報システム室サポート窓口宛に、本システムにおいて一定の手順を踏むと、他の学生の個人情報（氏名・学生番号を含んだアカウントID）が閲覧可能な状態にあるとの連絡が入りました。翌6月20日（木）に本システムのサポートベンダー等に事実関係や原因、対処方法について問合せをいたしましたが、事象の解消に至りませんでした。

その後、2024年7月8日(月)に、システム上の設定の漏れを確認し、対処いたしました。 また、7月11日(木)に別管理ツールの設定を確認し、しかるべく対処いたしました。なお、調査の過程において、卒業生グループのユーザーも、個人情報（氏名・在籍時の学生番号を含んだアカウントID）を相互閲覧できる可能性があったことが判明しました。こちらについても、設定変更を実施し、対処が完了しております。

2. 同一グループ内（※）で閲覧可能となっていた個人情報

①　個人情報の項目

学生氏名、学生番号を含んだアカウントID　　※パスワードの流出はありません。

（卒業生は在籍時の学生番号を含んだアカウントID）

②個人情報の数

【学生グループ】

上智大学と上智大学短期大学部の学生15,160名（うち23名は短期大学部卒業生）

【卒業生グループ】

2016年3月以降の上智大学、上智大学短期大学部、上智社会福祉専門学校生の卒業生

2016年1月以降、専任・常勤の教職員として勤務し、その後退職された方々

計36,275名

（※）このグループは、在学生が含まれる「学生グループ」と、主に卒業生で構成される「卒業生グループ」の２種類があり、自身が所属するグループ以外は閲覧できない仕様でした。

３．対応状況と今後について

2024年7月8日と7月11日に設定を変更して、既に閲覧できないようにしております。対象となった学生・卒業生に対しては、メールで個別に謝罪と本事案についての説明の連絡を行っております。また、個人情報保護委員会および文部科学省にも報告しております。

本システムは学外者の閲覧ができないものであり、現時点において学外への情報漏えいや外部から情報が盗み取られた形跡や、当該個人情報が悪用されるといった事実も確認されておりません。クラウドツールは仕様変更の頻度が多いため、定期的に最新情報を収集し、各種システムの運用に真摯に取り組んでまいります。今後、再びこのような事態が生じることのないよう、サポートベンダーとの緊密な連携を図ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-324】東京都の委託事業における個人情報の事故について 2024/7/5

産業労働局が実施する「次世代アントレプレナー育成プログラム」事業について、委託契約を締結しているNPO法人ETIC.の再委託先であるフロッグウェル株式会社において個人情報に関わる事故が発生しましたので、お知らせします。

関係者の皆様に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1　事故の概要

委託事業者がイベントを行った際の申込時の個人情報が掲載されたホームページ等に、一時外部からアクセス可能な状態となっていた。

（1）判明時期

令和6年7月1日（月曜日）午前11時50分（委託事業者から報告を受けた時間）

（2）外部からアクセス可能な状態となっていた個人情報

イベント申込者延べ504名分の以下情報

氏名、性別、生年月日、属性、所属（学校名・会社名等）、電話番号、メールアドレス（以下、記載任意）現在のステージ、活動をスタートしたタイミング、本講座の参加動機、本講座に期待すること、事前の質問事項

2　経緯

• 令和6年6月30日（日曜日）、委託事業者が運営するホームページにあるプライバシーポリシーにイベント申込者から「特定の方法で私の氏名で検索するとログインしていないのに、個人情報が表示される」旨の申し出がメールで届いた。
  
  
• 委託事業者がシステムを確認したところ、再委託事業者の設定ミスにより、5月14日（火曜日）以降、特定の方法で外部からアクセスできる状態であることが判明した。※ログの解析の結果、申出者以外のアクセスは確認されておらず、二次被害は確認されていない。
  
  
• 7月1日（月曜日）以降、データベースへの外部からのアクセスを遮断するとともに、個人情報の掲載がないことの確認等を行い、現時点で個人情報は見られない状態になっている。

3　対応

• 当該情報のすべてについて、外部アクセスできない状態に変更する等の対応を実施
  
  
• 申出者に対し、メールにて、経緯の説明及びお詫びを連絡
  
  
• 外部から情報が見られる可能性のあったイベント申込者に対し、メールにて、経緯の説明及びお詫びを連絡

4　再発防止策

• NPO法人ETIC.及びフロッグウェル株式会社に厳重に注意を行うとともに、原因の詳細究明及び再発防止策の作成を指示した。
  
  
• 産業労働局における、委託業務を含めた個人情報の適切な管理について、改めて注意喚起を行った。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-223】東京都教育委員会 都立高等学校における個人情報の漏えいについて 2024/7/5

 

令和6年5月31日に報道発表した、都立高等学校における個人情報の漏えいについては、関係の皆様に、多大な御迷惑をお掛けしましたことを、深くお詫び申し上げます。

その後、調査確認等を行った結果を取りまとめましたので、御報告いたします。

1　事故の概要

5月15日（水曜日）、都立学校の生徒から、Microsoft Teams（以下「Teams」という。）において、個人情報が閲覧できる状態にあることについて、東京都教育委員会（以下「教育委員会」という。）に連絡があり、調査したところ、以下のことが分かった。

(1)　氏名のみ又は写真のみが、一時的に、他の都立学校においても閲覧できる状態となっていた学校数：11校（江北高校、晴海総合高校、東高校、芦花高校、新島高校、練馬工科高校、八王子東高校、南多摩中等教育学校、八王子西特別支援学校、多摩桜の丘学園、東久留米特別支援学校）

(2)　氏名に加え、「体育祭の種目」「生徒会役員」など、校内で周知されている情報が、一時的に、他の都立学校においても閲覧できる状態となっていた学校数：18校（葛飾野高校、白鷗高校・附属中学校、三田高校、墨田工科高校、神代高校、雪谷高校、駒場高校、北園高校、豊島高校、山崎高校、八王子北高校、清瀬高校、東久留米総合高校、小平南高校、多摩工科高校、城東特別支援学校、王子特別支援学校、八王子南特別支援学校）

(3)　氏名に加え、「生年月日」「電話番号」など、校内で周知されない情報が、一時的に、他の都立学校においても閲覧できる状態となっていた学校数：5校

なお、同生徒が同電子データを所持していないことを確認済みである。二次被害等の報告は受けていない。

2　事故の対応

1の(1)の11校について、生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。

1の(2)の18校について、生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。また、必要に応じて生徒の個別面談や保護者への個別の説明を行った。

1の(3)の5校について、以下のとおりである。

(1)　都立三鷹中等教育学校

ア　漏えいした情報等

5月16日（木曜日）、校長は、教育委員会からの通知に基づき、Teamsの公開範囲の設定について注意喚起を行うとともに、全てのチームの公開範囲を確認し、「プライベート」にするよう教員に指示をした。同校教諭は、他の教員から、自ら作成したTeamsのチームが「パブリック」であることを指摘され、同チーム内にアップロードしていたデータを削除した。個人情報が閲覧できる状態にあることについて、教育委員会に連絡をした都立学校の生徒の閲覧記録があったファイルに、463名分（在校生160名、卒業生303名)の個人情報（氏名、委員会、通知表所見等）が、5月16日まで、他の都立学校においても閲覧できる状態となっていた。

イ　同校のファイルを閲覧したことが確認できている都立学校関係者への対応

閲覧記録がある都立学校の関係者に対して、同ファイルを所持していないことを確認済みである。二次被害等の報告は受けていない。

ウ　事故発生後の対応

6月26日（水曜日）、同校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、6月27日（木曜日）、卒業生にお詫び文を送付した。6月29日（土曜日）、臨時保護者会を実施し、内容の説明と謝罪を行った。

(2)　都立大泉高等学校・附属中学校

ア　漏えいした情報等

同高校の部活動の生徒12名の個人情報（氏名、性別、生年月日、記録等）、その12名を含む同高校・附属中学校の部活動の生徒31名の個人情報（氏名、出席番号）及び生徒803名分の個人情報（氏名、出席番号）が、5月16日（木曜日）まで、他の都立学校においても閲覧できる状態となっていた。

イ　事故発生後の対応

6月24日（月曜日）、同高校の部活動の同生徒に対し個人情報が漏えいした事実の説明と謝罪を行い、対象となる保護者に対し、お詫び文を送付すると共に、電話で説明と謝罪を行った。6月25日（火曜日）、同高校・附属中学校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。

(3)　都立武蔵村山高等学校

ア　漏えいした情報等

同校の部活動生徒8名の個人情報（氏名、性別、生年月日、年齢）が5月16日（木曜日）まで、他の都立学校においても閲覧できる状態となっていた。

イ　事故発生後の対応

6月25日（火曜日）、同校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。6月25日（火曜日）から28日（金曜日）にかけて、対象となる保護者に対し、家庭訪問等により内容の説明と謝罪を実施した。

(4)　都立五日市高等学校

ア　漏えいした情報等

同校の卒業生8名の個人情報（氏名、クラス、携帯電話番号）が、5月16日（木曜日）まで、他の都立学校においても閲覧できる状態となっていた。

イ　事故発生後の対応

6月24日（月曜日）、卒業生の保護者に対して、電話により内容の説明と謝罪を行った。6月26日（水曜日）、同校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。

(5)  都立中央ろう学校

ア　漏えいした情報等

同校の全生徒116名の個人情報（氏名、学年、クラス）、うち10名については個人の特性等の追加の個人情報が、5月15日（水曜日）まで、他の都立学校においても閲覧できる状態となっていた。

イ　事故発生後の対応

6月27日（木曜日）までに、追加の個人情報が含まれていた10名の生徒及び保護者に対し、個別に内容の説明と謝罪を行った。7月3日（水曜日）、臨時保護者会を開催して説明と謝罪を行うとともに、全生徒への説明と謝罪を行った。

3　事故の原因

(1)　教職員専用のアカウントで取り扱うべき生徒の個人情報を、教職員及び生徒共有のアカウントで取り扱ったこと。

(2)　Teamsにおいて「プライベート」としなければならないチームの公開範囲を、「パブリック」としたこと。

4　再発防止について

(1)　Teams事故再発防止委員会を設置し、実態に即した研修内容やチェックリストとなるよう都立学校の教職員の意見を踏まえて検討を行い、教員向けの周知資料や研修資料等を作成し、全教職員の理解を着実に進める。併せて、システムの設定変更等も含めた検討を行う。

(2)　職員会議や企画調整会議等の場を活用し、校内周知を徹底する。

リリース文（アーカイブ）

【2024年5月31日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】株式会社東海信金ビジネス 業務委託先への不正アクセスによる個人情報漏えいについて 2024/7/5

東海地区の一部信用金庫様から委託をうけ、株式会社東海信金ビジネスがダイレクトメールの印刷・発送を再委託している株式会社イセトー（以下「イセトー」）がランサムウェア被害を受け、お客様の個人情報が漏えいしたことが判明しました。

詳細については現在確認を進めておりますが、お客様にご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。 

１．事象の経緯

5 月 26 日 

イセトーのサーバやＰＣがランサムウェアに感染。イセトーは感染が疑われるサーバ、ＰＣ、ネットワークを切断し、調査を開始。

5 月 28 日 

現時点では、イセトーからランサムウェア感染の事実、およびデータの漏えいはない旨、報告を受ける。

6 月 18 日 

イセトーとセキュリティ会社が窃取されたと思われる情報のダウンロード URL の出現を確認。

6 月 26 日 

当社がイセトーから情報漏えいの可能性がある旨の第一報を受ける。

6 月 26 日～7 月 1 日

イセトーと当社で漏えいした個人情報の確認作業を進めた結果、対象のお客様を特定。

２．漏えいが確認された個人情報

 ＜データの種類と対象件数＞

 ログデータ

・2023 年 9 月時点のダイレクトメール作成時に出力されるログデータ上の氏名

　・・・延べ 77,202 件

 

（注）この他に金融機関コードと支店コードも漏えいの可能性がありますが、ダイレクトメールの内容の漏えいはございません。

３．お客様へのお願い

不審な連絡等があった場合は、お取引店又は最寄りの警察署にご相談ください

４．今後の対応

現時点ではお客様の個人情報が不正に利用されたという報告は受けておりませんが、今後、新たな事実が判明した場合は、改めてご報告いたします。 

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】福岡市水道局 福岡市委託先（東京ガスエンジニアリングソリューションズ株式会社）のネットワークへの不正アクセスについて 2024/7/19

 

東京ガスエンジニアリングソリューションズ株式会社（以下：TGES）から、外部からの不正アクセスがありサーバー内のデータが一時閲覧可能な状態となっていたとの報告がありました。

このサーバー内には全国の委託元から提供を受けた個人情報約４１６万人分が保管されており、この中に福岡市水道局が令和２年度にTGESへ業務委託した時のお客さまに関するデータ（約２２万４千件）が含まれていることが判明しました。

TGESからは、不正アクセス確認後は速やかに接続遮断を行うなどの対策を講じており、現時点では情報流出の痕跡や情報の不正利用の事実は確認されていないとの報告を受けております。

なお、現在もTGESで調査が進められているところであり、改めて詳細な報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。

お客様にご心配おかけしておりますことを、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】静岡ガス株式会社 業務委託先への不正アクセスによる当社お客さま情報の外部流出の可能性についてのお詫びとお知らせ 2024/7/19

 

静岡ガス株式会社（代表取締役 社長執行役員 松本尚武）は、当社の都市ガス導管情報管理システムの運用を委託している東京ガスエンジニアリングソリューションズ株式会社（以下、TGES）から7月17日に報告を受け、TGESのネットワークへの不正なアクセスにより、当社のお客さま情報の一部が外部流出した可能性があると判明しましたので、お知らせいたします。なお、当社では7月19日に個人情報保護委員会へ報告いたします。

現在、TGESにおいて詳細を調査中ですが、現時点においては、個々のデータが不正利用された事実は確認されておりません。また、ネットワークへの外部からの経路を遮断し、さらなる不正アクセスが起きないよう対策が取られております。

このたびは、お客さまにご迷惑、ご心配をおかけしておりますことを深くお詫び申し上げます。今後、事実が判明するまでの間、不審な電話、郵便物等にご留意されますようお願い申し上げます。追って、新たな事実が判明次第、当社ホームページにてご報告いたします。

【外部流出した可能性のあるお客さま】

対象

・2003年12月に沼津市・裾野市においてガスをご使用のお客さま

・2008年10月、2020年5月に静岡市駿河区八幡地区においてガスをご使用のお客さま

・2012年ごろにガスの引込管の工事を行ったお客さま

※その他対象者については調査中です。

内容

氏名、住所、電話番号、お客さまご使用先番号、ガス使用量（1ヵ月分）

※流出した可能性のある情報には、銀行口座情報、クレジットカード情報、支払い情報は含まれておりません。

件数

約43,000件

【今後の対応】

当社では今回の事態を重く受け止め、原因究明・再発防止に向けTGESと協議を進めてまいります。本件に関するお問い合わせは、下記の窓口にて対応させていただきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】妙高市 受託業者による個人情報の流出の可能性について 2024/7/19

 

1 概要

（1）発生の状況

妙高市上下水道局が水道解析システムの保守業務を委託している北陸ガスエンジニアリング株式会社（以下「受託業者」という。）の協力会社である、東京ガスエンジニアリングソリューションズ株式会社（以下「TGES」という。）のネットワークが外部からの不正アクセスを受けていたことが判明しました。

（2）経過等

7月17日（水）10時頃、受託業者から、協力会社であるTGESが外部からの不正アクセスにより、情報流出の可能性があるとの連絡がありました。

その後、当市水道のお客様に関する個人情報もその対象となっていることが判明しました。

なお、受託業者によれば、TGESでは7月17日（水）10時時点で情報流出の痕跡は確認されていないとのことであり、ネットワークへの外部からの経路は速やかに遮断し、外部からアクセスできないよう対策を講じたとのことでした。

２ 流出の可能性のある情報

流出の可能性のある情報は、当市水道ご利用のすべてのお客様約1万3千件（2021年度から2023年度までの3年分、延べ約４万件）の情報（使用者名、住所、用途区分、口径、使用量、料金で、毎年８月使用時点のもの）で、使用者名、住所等の個人情報が含まれていますが、金融機関や口座等の情報は含まれていません。

3 今後の対応

受託業者から詳細な報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。

万一情報の流出が確認された場合には、お客様への連絡等について受託業者と連携して速やかに進めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-323】日本損害保険協会 損保代理店試験申込システムのプログラム不具合 による受験者情報の漏えいに関するお詫び 2024/7/19

 

一般社団法人 日本損害保険協会では、損保代理店試験の申込システムにおいて受験者情報の漏えい事案が発生しましたので、事態の経緯と当協会の対応について下記のとおりご報告いたします。

受験者をはじめ関係者の皆さまには大変なご心配とご迷惑をおかけしておりますことを心よりお詫び申し上げます。

今後は、このような事態が発生しないよう再発防止に努めてまいります。

１．事案の概要

• 2024 年6 月14 日(金)、損保代理店試験の申込システムにおいて受験申込を行った代理店が団体申込情報の確認を行おうと CSV ファイルをダウンロードした際に、当該代理店の受験者以外の情報が含まれていました。
  
  
• 同様の事象が他に発生していないかを調査した結果、上記代理店以外への情報漏えいはありませんでした。
  
  
• 同代理店において、当該情報が適切に削除されていること、および不正に利用していないことを確認しています。

２．漏えいした情報

• 2024 年6 月14 日(金)時点で試験日2024 年8 月1 日(木)～8 月31 日(土)に損保一般試験（オンライン試験を含む）の受験申込をされていた方6,780 名の以下の項目。

＜募集人ID、受験者姓名、団体名、性別、生年月日およびメールアドレス＞

（注）クレジットカード等の情報は一切含まれておりません。

３．発生原因

• 同システムの受験申込情報の検索において、複数ID でログインされた状態のまま特定の操作を行った場合に発生する、プログラムの不具合によるものです。

４．再発防止策（当面の対応）

• 不具合のあったCSV ダウンロード機能は判明後速やかに停止しました。
  
  
• 2024 年7 月9 日(火)に当該不具合の改修を行い、現在は正常に稼働しています。

５．対象者へのご連絡

• 当協会として、受験者情報が漏えいした個人申込の方にはご本人様へ、団体申込の場合は団体申込窓口担当者様を通じてご連絡しています。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】北海道ガス株式会社 当社子会社の業務委託先のネットワークへの不正アクセスについて 2024/07/19

 

この度、北海道ガス株式会社（社長：川村 智郷、本社：札幌市）の子会社である北ガスサービス株式会社（社長：八木 渉、本社：札幌市）が業務を委託している東京ガスエンジニアリングソリューションズ株式会社（社長：小西 康弘、本社：東京都、以降：ＴＧＥＳ）にて、第三者からネットワークへの不正アクセスを受けたことが判明いたしました。

ＴＧＥＳは、速やかに外部との接続遮断を行い、それ以降の不正なアクセスが出来ないように対策を講じております。また、ＴＧＥＳより現時点で当社のお客さま情報（※）が流出した痕跡はないとの報告を受けており、情報が不正利用された事実も確認されておりません。

お客さまにご心配をおかけしておりますことを深くお詫び申し上げます。 今後、新たな事実が判明した場合は、改めてご報告いたします。

※お客さま情報

　・対象 ： 北海道ガスのお客さま情報（札幌地区）

　・項目 ： お客さま番号、氏名、建物名、ガス使用量（1ヵ月分）等

　　　 　　 ※電話番号、メールアドレス、銀行口座情報、クレジットカード情報は含まれておりません。

　・件数 ： 約69万件

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】奈良市企業局 委託事業者による個人情報の流出の可能性について 2024/7/18

 

１．経緯　　　　

7月17日（水）16時頃水道マッピングシステム(株)から、再委託先である東京ガスエンジニアリングソリューションズ(株)のネットワークに対し、不正アクセスによりサーバーに保管されている奈良市企業局で使用する水道管内の水圧・流量解析等に用いる各水栓における使用水量の情報が一時的に閲覧可能であったとの連絡があり、情報流出の可能性が判明しました。

２．対象の情報　

（１）データの種類　各水栓における使用水量情報

（２）件　数　　　　2,263件

（３）データ項目　　水栓番号、使用水量

　　　　　　　　　　使用者名（主に使用量が多い使用者のみ）

（４）年　度　　　　平成21年度（検針月は不明）

※現在この解析業務については企業局直営で実施していることから、データの受け渡しは行っていませんが、平成21年度当時は解析業務を実施した初期段階であったことから、システムの稼働確認等を行うためデータを委託先に渡したものであります。

３．現在の状況　　

外部への情報流出の可能性について、東京ガスエンジニアリングソリューションズ(株)は、個人情報保護委員会へ報告し、警視庁や独立行政法人情報処理推進機構（IPA）をはじめとした外部の専門機関の協力も得て調査を進めており、現在その痕跡は確認されていないと報告を受けております。

なお、不正アクセスを受けた東京ガスエンジニアリングソリューションズ(株)のネットワークは、不正アクセス確認後速やかに接続遮断を行い、外部からはアクセス出来ないよう対策を行ったとの報告を受けています。

４．今後の対応　　

情報が流出した可能性のあるお客様への連絡等については、水道マッピングシステム(株)と連携して速やかに進めてまいります。

水道マッピングシステム(株)から今回の一連の経緯について詳細な報告を受けるとともに、開発終了時に適切にデータが消去されなかった原因究明を求めていきます。その上で、再発防止に向けた必要な対策を検討していきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】白根ガス株式会社 業務委託先における不正アクセスによる情報流出の可能性についてのお詫びとお知らせ 2024/7/19

白根ガス株式会社 (以下「弊社」)が一部業務を委託している東京ガスエンジニアリングソリューションズ株式会社 (以下「委託先」 )で、ネットワークへの不正 アクセスにより弊社のお客様情報の一部に漏洩のおそれがあることが、委託先からの報告により判明いたしました。

委託先からは現時点で情報が流出した痕跡は確認されておらず、不正利用された事実もないことを確認しております。

なお、委託先では不正アクセスを受けたネットワークへの外部からの経路は、速やかに接続遮断を行い、それ以降外部からアクセスができないように対策を講じております。

お客様に大変なご心配及びご迷惑をお掛けしておりますことを深くお詫び申し上げます。

今後、委託先と連携して原因究明を進めるとともに、厳重なセキュリティ体制の構築による再発防止に取り組んで参ります。

＜流出の可能性のある個人情報＞

流出の可能性のある個人情報

料金番号、お客様番号、管理番号、区分（ 使用中・閉栓中等の状態 ）、氏名、住所、肩書（ 建物名・部屋番号）

件数

65件

※電話番号、支払情報（銀行口座情報、クレジットカード情報）などは含まれておりません。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-313】長岡市水道局 業務委託先による個人情報の流出の可能性について 2024/7/18

 

このたび、長岡市水道局の業務委託先のネットワークが外部からの不正アクセスを受け、お客様に関する情報が外部から閲覧可能な状態になっていたことが判明しましたので、下記のとおりお知らせします。

１ 概要

長岡市水道局が管理する配水管や、給水を受けているお客様の引込管等の情報は、「水道管路情報マッピングシステム」により一元管理しており、このシステムの点検、保守、修正等の業務を、東京ガスエンジニアリングソリューションズ株式会社(以下、「TGES社」といいます。)へ委託している。

このたび、TGES社のネットワークが外部からの不正アクセスを受け、長岡市水道のお客様に関する情報が閲覧可能な状態になっていたことが判明した。

２ 経過

7月18日(木)午前10時頃、TGES社から説明を受け、詳細が判明。

また、現在、警視庁や外部の専門機関の協力を得て調査を進めていること、7月18日(木)正午時点で情報流出の痕跡は確認されていないこと、情報が不正利用された事実も確認されていないこと、不正アクセスを受けたネットワークへの外部からの経路は速やかに接続遮断を行い、それ以降外部からアクセスができないよう対策を講じていることを聞き取った。

３ 流出の可能性のある個人情報

長岡市水道(中之島地域を除く)の2019年のお客様情報約14万2千件

※ 使用者・所有者の氏名及び住所、使用者電話番号、各月使用水量、メーター口径など

４ 今後の対応

TGES社から詳細の報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。

また、万一情報の流出が確認された場合には、お客様への連絡等についてTGES社と連携して速やかに進めてまいります。

リリース文（アーカイブ）