【セキュリティ事件簿#2024-005】独立行政法人教職員支援機構 電子メール関連システムへの不正アクセスに伴う個人情報等漏洩のおそれについて

今般、独立行政法人教職員支援機構の利用していた電子メール関連システムに対し、不正アクセスがあり、個人情報を含む電子メールデータ(電子メールアドレス及び電子メールの内容)の一部が外部へ漏洩したおそれがあることが確認されました。

これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されております。

当機構では、個人情報は、個人情報保護に関する法律等に則り適切な管理を行ってまいりましたが、本事案により、メールアドレス等の個人情報が漏洩した可能性を排除できない方に対して個別に連絡するとともに、事案の公表を行うこととしたところです。

関係者の皆様には、御迷惑をおかけすることになり、お詫び申し上げます。再発防止に努めて参ります。

1. 経緯

令和5年6月13日 保守運用事業者から脆弱性に関する情報を受ける
令和5年6月17日 当該製品の切り離しを行う
令和5年7月5日 不正アクセスの確認
令和5年10月31日 職員にて当該製品を調査した結果、マルウェアを発見

2. 漏洩のおそれがある情報と期間

令和4年10月31日~令和5年6月16日17:00までに当機構(@nits.go.jp又は@ml.nits.go.jp)へ電子メールを送信された方の電子メールデータ(電子メールアドレス及び電子メールの内容)

3. 二次被害又はそのおそれの有無及びその内容

現時点で、漏洩の事実や情報の悪用等による二次被害は確認されておりませんが、念のため、不審な連絡、訪問者等には御注意いただきますとともに、万が一何かございましたら、下記の問い合わせ先まで御連絡ください。

4. 再発防止

当機構では令和5年6月16日に当該製品の利用を停止するとともに、セキュリティ対策を強化した電子メール関連システムの製品への契約の変更を行っております。今後もセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層のセキュリティ対策に努めてまいります。

【セキュリティ事件簿#2024-004】株式会社イズミ ブランドショップ X-SELL 求人応募者に関する個人情報漏えいおよび漏えいの可能性に関するお詫び


この度、弊社が運営するブランドショップ X-SELL のホームページより過去に求人にご応募いただいた一部の方の個人情報が、インターネット検索サイトで検索した結果として閲覧できる状態にあることが判明いたしました。対象の皆様には、大変なご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

早期対応にあたり、現在、個人情報は閲覧ができない状態に修正を完了しております。また、対象の皆様にはメールにてご報告後、ご連絡をさせていただいております。弊社といたしましては、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の管理体制の強化に努めてまいります。対象の皆様には重ねてお詫び申し上げますとともに、本件に関する概要につきまして、以下の通りご報告いたします。

1.本件の経緯

2024 年 1 月 4 日に、ブランドショップ X-SELL のホームページより、過去に求人にご応募いただいた一部の方のご応募の際にご入力いただいた「個人情報(氏名、メールアドレス、電話番号、性別)」および「応募コメント」が、前述の個人情報のいずれかのキーワードにてインターネット検索サイトで検索を行った場合に、検索結果として閲覧できる状態になっておりました。

即時、web サイト作成の委託会社に調査を依頼し、翌 1 月 5 日 14 時頃、web サイトサーバー内のデータおよび検索履歴の削除が完了し、閲覧できない状態になっていることを確認いたしました。

2.発生事象

①対 象:2016 年 6 月 14 日~2022 年 8 月 28 日の期間に、ブランドショップ X-SELL のホームページより、求人にご応募いただいた方の一部
②項 目:応募者の氏名、電話番号、メールアドレス、性別、応募コメント
③件 数:41 名

3.原因

SEO 対策時における設定のミスによるものと判明いたしました。現在は、web サイトサーバー内のデータおよび検索履歴の削除が完了し、閲覧できない状態になっております。

4.対応

①対象の皆様へのお知らせ
2024 年 1 月 8 日に対象の皆様にメールにてご報告を行い、個別にお電話でご連絡をさせていただいております。

※対象の皆様におかれましては、不審な電話やメールがあった場合は、絶対に個人情報をお伝えしたり、web サイト等にアクセスされたりしないようご注意ください。弊社から、口座情報などの重要な個人情報をお聞きすることはございません。

②行政
2024 年 1 月 9 日に個人情報保護委員会へ報告しております。
今後は委員会からの指導等に従ってまいります。

5.再発防止

調査会社によるブランドショップ X-SELL のホームページのセキュリティ調査を実施し、個人情報を保有するページを制作・保持しない運用に変更いたします。

【セキュリティ事件簿#2024-003】アニエスベージャパン株式会社 当社サーバーへの不正アクセスについて


平素はアニエスベーをご愛顧いただき、誠にありがとうございます。

アニエスベーではお客様からの信頼を第一に考え、ここに重要なお知らせをいたします。

2023年12月26日、弊社アニエスベージャパンが管理するサーバーが第三者による不正アクセスを受けたことが明らかとなりました。不正アクセスが確認されて以降、被害拡大を防ぐため、ネットワークの遮断などの対応をただちに実施し、外部の専門機関と連携して可能な限りの調査対応を進めております。

現段階では個人情報が漏えいした事実は確認できておりませんが、予防の観点から、不審に思われるメッセージには十分にご注意いただきますようお願いいたします。

弊社は、お客様の個人情報の保護を最優先とし、その対策に最善を尽くしてまいりますので、ご理解賜りますようお願いいたします。

この度は、弊社の事情により、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

【セキュリティ事件簿#2024-002】株式会社熊谷組 当社サーバへの不正アクセスについてのご報告

株式会社熊谷組

2024年1月9日、当社が運用管理する一部のサーバに対し、第三者による不正アクセスを受けたことを確認しました。

現在、情報漏洩した内容について確認中ですが、今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

当社は、危機管理委員会にて本件の対策方針を定めて、外部専門機関の協力を受けながら、調査を継続し、被害拡大の防止及び再発防止に向けて総力を挙げて対応して参ります。なお本件については、すでに警察当局への被害申告ならびに個人情報保護委員会への報告を行い、捜査機関とも連携して事件の解明に努めております。

関係者の皆さまには、多大なるご心配とご迷惑をおかけすることを、深くお詫び申し上げます。

【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスに関するお知らせ


昨年、当社春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことに関して、以下の通り続報致します。

本件につきましては、速やかに対策本部を設置のうえ、外部専門家による原因の特定、被害状況の確認、情報流出の有無などの調査を行いました。

その結果、業務に使用していない PC にインストールされていたリモートデスクトップツールを通じた不正アクセスがあり、春日井工場のデータの一部がロックされましたが、バックアップ・データにより復旧できております。他のデバイスについてはこれまでに実施してきたセキュリティー強化の効果もあって影響を受けなかったものと判断しております。

今後は、導入済みのセキュリティーツールの運用強化も含め、適時、外部専門家のアドバイスを受けるなど、セキュリティー対策の拡充に努めて参ります。

改めまして、この度の件でご心配をお掛けしましたことを、深くお詫び申し上げます。

Kivaローンで社会貢献しながらマイルをゲットする方法を考えてみる


マイルを貯める裏技!Kivaローンで人助けしながらJALマイルを効率的に獲得

マイルの世界に入るとマイルがたくさんほしくなる。

手っ取り早くマイルをもらうにはクレカ決済となり、短絡的に思いつくのはクレカで物を買ってそれを転売して現金化する手法。

でもこれは購入するものを探すのに多くの時間を費やす必要があり、銭ゲバ的であまりいい気がしない。

次に考えられるのがマイクロファイナンス。実はクレジットカードで購入できるものもあり、私が知っているのはセキュリテ

自分も一時期投資していたが、投資案件の一本がデフォルトして、資金を引き揚げた。

セキュリテでデフォルトしたファンド

最近改めてセキュリテのサイトを覗いてみたが、一口3万円を超えている点と、デフォルト率が公開されていない点から、日本のマイクロファイナンスはリスクが高く、透明性が低いと感じた。

そこで選択肢に浮上してきたのが今回登場するKivaローン。

Kivaローンって?

Kivaローンは、世界中の困っている人に直接お金を貸せるマイクロファイナンスサービス。投資家から集めたお金は、小規模な事業者や学生など、銀行融資を受けられない人々に貸し出される。

リスクとしてはUSDベースなので、為替のリスクというかコスト。

現時点、JALマイルの間接購入はマリオットのポイント購入となり、60,000ポイント=25,000JALマイルとなる。

マリオットポイント50%増量キャンペーンで購入した場合40,000マリオットポイント(=500USD)購入で60,000マリオットポイントを調達でき、25,000JALマイルに移行できる。

クレカ決済の場合、25,000JALマイルの獲得に250万円の決済が必要となるため、250万円分をKivaローンに投じたとして、500USD(1USD146円換算で≒73,000円)を引いた約242万円以上がリターンとして戻ってくれば、個人的にアリということになる。

仮に失敗したとしても、投じたお金が世界のどこかで役に立ったと思えば、納得感も高い。

Kivaローンでマイルを貯めるメリット

  • 人助けをしながらマイルを貯められる
  • 少額から投資できる(25USDから)
  • 投資先を選べる
  • デフォルト率が公開されている
  • 換金性のあるポイントが貯まる

Kivaローンでマイルを貯めるデメリット

  • デフォルトリスクがある
  • 為替リスクがある
  • マイル獲得までに時間がかかる

とりあえず検証

いきなり250万円投じるのはさすがにリスクが高いので、まずは毎月30USDの案件2本(計60USD)の投資を続ける。

Kivaローンは8か月程度の短期のプロジェクトもあるため、1年くらい継続すると、理屈上は毎月60USD程度の収入がある計算になる。

イメージ(https://frequentmiler.com/my-kiva-spend-experiment/)

想定通りであれば出資額を増やして貢献レベルと獲得マイルをあげていく。大きく想定を下回るようであれば資金は引き上げる。

せっかくなので、進捗も定期的にブログで掲載していきたい。

Kivaローンは困っている人に直接貸し出すというよりは、提携する現地のマイクロレンディングパートナーに融資するイメージ。

案件非常に豊富で、フィルタリング機能も豊富。


ちなみに、推奨は下記らしい。

・Risk rating(stars):4 - 5
・Delinq rate:min - 3%
・Default rate from:min - 5%
・Loans at Risk:min - 10%

win-winの結果になることを祈ろう!

Kivaローンで社会貢献しながらマイルをゲットできるか検証(2024年1月号)

kiva.org
以前掲載したブログを基に検証を進め、その記録を残すためのブログ

今回は初回なので、2案件に30USDずつ投資してみる。

融資No:2705613号

  • 融資国:フィリピン
  • Lending partner:Negros Women for Tomorrow Foundation
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)

融資No:2707642号

  • 融資国:ニカラグア
  • Lending partner:FUNDENUSE
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)


【セキュリティ事件簿#2023-503】JR西日本ホテルズ 梅小路ポテル京都メールアカウントへの不正アクセスによる迷惑メールの送信に関するお詫びとお知らせ


2023年12月17日(日)~翌18日(月)にかけて、梅小路ポテル京都が運用するメールアカウントの一つが不正アクセスを受け、不特定多数のメールアドレスに迷惑メール(フィッシングメール)が送信されるという事案が発生し、多大なご迷惑、ご心配をおかけしたことを深くお詫び申し上げます。

前回(2023年12月21日)のお知らせ以降、調査により判明しました事実につきまして、以下のとおりご報告いたします。
 

1.被害状況に関する調査結果

事象①サーバーに保存されたメールが第三者に閲覧された可能性について

メールサービス提供会社に調査を依頼しましたところ、メール受信サーバーに不正アクセスの痕跡はないと報告を受けております。よって、第三者に個人情報を含むメールが閲覧されたことを疑わせる事実は発生していないと判断いたしました。

事象②不特定多数のメールアドレスに迷惑メール(フィッシングメール)が送信された件について

メール送信サーバーが第三者による不正アクセスを受け、スパムメール不正送信の踏み台とされたことを確認いたしました。配信されたメールによる被害の報告は現時点ではございません。引き続きご注意いただき、そのようなメッセージの配信を受けた場合は返信や貼付されたURLリンクへのアクセスをされないよう、お願い申し上げます。
 

2.再発防止策

調査結果及び関係機関等からの助言を踏まえ、メールアカウントに対するセキュリティ対策の拡充を図ります。

AWSとAzureのクラウドデータをハッカーから守る、無料のクラウドセキュリティツール5選


サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、企業がクラウドベースの環境を保護するために役立つ無料のツールのリストを公開しました。これらのツールは、クラウドベースまたはハイブリッド環境で発生する脅威、既知の脆弱性、および異常を緩和、特定、検出するために、インシデント対応アナリストおよびネットワーク防御者を支援します。

しかし、クラウド環境では膨大な数の攻撃ベクトルが利用可能であるため、クラウドへの移行が急速に拡大していることに引き込まれ、クラウドシステムを標的とする脅威行為者もいます。

クラウドベースの攻撃に対する防御に必要な能力を備えていない組織は、CISAが提供するツールを利用することで大きなメリットを得られます。これらのツールは、データ窃盗、情報漏洩、そして情報窃取からクラウドリソースを保護するのに役立ちます。CISAが提供するツールのリストは以下の通りです。
  1. Cybersecurity Evaluation Tool (CSET).
  2. The SCuBAGear tool.
  3. The Untitled Goose Tool
  4. Decider Tool
  5. Memory Forensic on Cloud.

        Cybersecurity Evaluation Tool (CSET)

        CISAは、企業のサイバーセキュリティ態勢を評価するためのツールを開発しました。このツールは、業界で広く受け入れられている標準、ガイドライン、推奨事項に基づいており、運用ルールや手順、システムの設計に関する質問に回答することで、企業の長所と短所を把握します。その結果を踏まえて、改善のための提案とともに報告書を作成します。

        CSETバージョン11.5では、米国国立標準技術研究所(NIST)がコンピュータセキュリティ産業協会(CISA)と共同で策定したクロスセクター・サイバー・パフォーマンス・ゴール(CPG)が含まれています。CPGは、企業のサイバーセキュリティ態勢を評価するための共通基準を提供します。


        The SCuBAGear tool

        SCuBAGearは、SolarWinds Orion Softwareのサプライチェーン攻撃への対応として開発された、連邦民間行政機関(FECB)とCISAのMicrosoft 365(M365)セキュアコンフィギュレーションを比較する自動化ソフトウェアです。

        CISAは、SCuBAGearと連携して、クラウドセキュリティのガイドとなるような、あらゆるタイプの企業に役立つ数多くの資料を作成しました。このツールの結果、3種類の文書が作成されました。

        • SCuBAGearガイド:SCuBAGearの使用方法と、その結果を解釈する方法について説明します。
        • SCuBAレポートテンプレート:SCuBAGearを使用して作成したレポートのフォーマットを定義します。
        • SCuBAベストプラクティス:クラウドセキュリティのベストプラクティスをまとめたドキュメントです。


        SCuBA Technical Reference Architecture (TRA)


        クラウドストレージ環境の安全性を強化するための基本的なフレームワークを提供します。クラウドベースのビジネスアプリ(SaaSモデルの場合)と、その保護と監視に使用されるセキュリティサービスは、いずれもTRAの範囲に含まれます。

        ハイブリッドアイデンティティソリューションアーキテクチャ


        クラウド上でホストされる環境でアイデンティティ管理に取り組むための最善の方法を提供します。このアーキテクチャは、オンプレミスとクラウドの両方の環境を統合し、一元的に管理することを目的としています。

        M365セキュリティコンフィギュレーションベースライン(SCB)


        Microsoft 365(M365)環境のセキュリティを強化するために、M365のすべてのサービスに対する基本的なセキュリティ設定を提供します。SCBガイドラインに準拠していないポリシーを識別し、そのポリシーの逸脱を示すHTMLレポートを生成します。

        The Untitled Goose Tool

        Untitled Goose Toolは、Sandia National Laboratoriesと共同で開発された、Microsoft Azure、Active Directory、Microsoft 365環境での異常の検出と調査を支援するツールです。監査ログのクエリ、エクスポート、調査も可能です。

        SIEMプラットフォームにログをインポートしていない組織にとって、このツールは非常に役立ちます。PowerShellツールにAzure、AAD、M365のデータ収集機能がなかったため、このツールは当時利用可能だったPowerShellツールの代替として設計されました。


        Untitled Goose Toolは、Active Directory、Microsoft Azure、Microsoft 365からクラウド成果物を抽出するツールです。

        Unified Audit Logs (UAL)にタイムバウンディングを行うことで、特定の期間のログのみを収集できます。また、MDE(Microsoft Defender Endpoint)データデサイダーツールのタイムバウンディング機能を利用して、特定の期間のデータを収集することもできます。

        インシデント対応アナリストは、このツールをMITRE ATT&CK 手法と組み合わせることで、悪意のあるアクションをマッピングするのに役立ちます。このツールは、アナリストの手法をより利用しやすく、適切な方法で行動をレイアウトするための方向性を提供します。

        Decider Tool

        このツールは、CSETと同様に、ユーザーの環境やニーズを理解するために、多くの質問を行います。これらの質問に答えることで、ユーザーは以下のことができるようになります。


        • ATT&CK Navigatorからヒートマップをエクスポート。
        • 収集した脅威インテリジェンスに関するレポートの公開。
        • 適切な予防策の実施。
        • 搾取の防止

        さらに、CISAはDeciderツールの使い方を説明したリンクを提供しています。

        Memory Forensic on Cloud.

        このツールは、AWS上のWindowsメモリイメージを構築および分析するために、Volatility 3を使用しています。また、最近流行しているファイルレスマルウェアの検出にも役立ちます。

        メモリイメージ解析は、インシデントレスポンス対応において重要な役割を果たす可能性があります。インシデント発生時に、メモリイメージを分析することで、攻撃者の痕跡を特定し、対応策を検討することができます。


        【セキュリティ事件簿#2023-506】北広島町社会福祉協議会におけるシステム不調発生のご報告とお詫びについて

         

        北広島町社会福祉協議会では、12月4日から、システム不調が生じております。

        現在、個人情報等の保護とシステムの安定性を最優先に考え、専門業者と協力して迅速な復旧に全力で取り組んでいるところです。

        現時点では個人情報等の漏洩は確認されておりませんが、この不調により、各種業務への対応の遅れ、メールの不通による連絡の遅れ等が発生しており、皆様には多大なご迷惑をおかけしておりますことを深くお詫び申し上げます。

        ご不便をおかけし誠に申し訳ございませんが、ご理解とご協力を賜りますようお願い申し上げます。

        【セキュリティ事件簿#2023-505】日本航空電子工業株式会社 当社サーバへの不正アクセス発生について

         

        2023年11月2日、当社グループの一部サーバにおいて、外部からの不正アクセスを受けたことを確認しました。本件不正アクセスは、ランサムウェアによる攻撃であり、サーバ内のファイルが暗号化されたほか、不正アクセスを受けた海外子会社JAE Oregon, Inc.(米国オレゴン州)にて、サーバ内に保存されていた情報の一部が流出したことが判明しております。

        現在、対策本部を設置し、外部専門家の協力のもと被害状況の調査と復旧作業を進めております。

        本件につき、関係諸機関への報告、相談を継続しており、影響を受けた可能性のあるお客様、お取引先様には順次、報告をするとともに、セキュリティの強化及び再発防止策の検討を進めております。

        お客様、お取引先様、関係の皆様には多大なご迷惑をお掛けして誠に申し訳ございません。被害拡大の防止と再発防止に向け、総力を挙げて対応してまいります。

        今後、調査によって判明した内容は、随時webサイトでお知らせいたします。

        リリース文アーカイブ

        【セキュリティ事件簿#2023-504】株式会社フジシールインターナショナル 当社米国グループ会社におけるランサムウェア被害および復旧状況について

         

        株式会社フジシールインターナショナルは、米国グループ会社(American Fuji Seal, Inc. 等。以下、「AFS」)で発生している身代金要求型ウィルス「ランサムウェア」による被害およびその復旧状況についてお知らせします。

        AFS では、異常を検知した後速やかに、外部の現地セキュリティコンサルティング会社の支援も得ながら、同被害の封じ込め、復旧および調査に取り組んでおり、被害を受けたサーバの復旧を完了しております。

        お客様・お取引先関係の皆様にご迷惑、ご心配をおかけしたこと、また、調査に時間を要したことを深くお詫び申し上げます。

        (経緯および調査で判明した事実)

         現地 8 月 30 日(金)未明、AFS のサーバの一部で異常を検知しました。AFS は速やかに状況の把握や対策を開始し、本件がランサムウェア被害であることを確認いたしました。

        AFS ではその後、通常の生産活動に向けた復旧活動と併行して、外部の現地セキュリティコンサルティング会社の支援も得ながら、同被害の封じ込め・復旧・調査に取り組んでまいりました。その結果、これまでに同様のランサムウェア攻撃に対する適切な対処を実施し、被害を受けたサーバの復旧を完了しております。

        また、今回のランサムウェアによる被害に伴い漏洩した可能性のある情報・データを確認・分析した結果、漏洩した可能性のある情報は、AFS の従業員等に係る個人情報であることを確認しております。現時点において、AFS のお客様・お取引先に関する情報が社外に漏洩したという事実は確認されておりません。

        なお、本ランサムウェアによる被害に関連して、弊社グループの米州以外のリージョン(日本・欧州・アセアン)では、同様の被害・サイバーアタックは確認されておりません。

        (今後の対応および再発防止策)

        AFS は、本件被害に伴う個人情報の漏洩について、従業員等対象者に通知および適切な対処を行うとともに、関係各所への報告を行ってまいります。また、ランサムウェア被害の再発防止に向け、AFS のみならずグループ全体の IT セキュリティーの見直し・強化に努めてまいります。

        リリース文アーカイブ

        IHG 100%ボーナス付ポイント購入セール(2024年2月2日まで)


        IHGは2024年、会員限定のポイント購入フラッシュセールを初めて開催しました。2月2日までの8日間、通常よりもお得にポイントを購入できるチャンスです。

        100%ボーナスなので、1ポイント0.5USセントで購入できます。


        ポイント購入は本当に得なのか?

        ポイント購入は、単なるセールだからという理由で購入するのは避けるべきです。しかし、ポイントを有効活用すれば、宿泊費を大幅に節約することができます。

        IHGのポイント購入がおすすめな理由


        IHGは最近、価格変動制のアワードに移行しました。 これにより、ポイントを利用したお得なプランがいくつか登場しています。

        ポイント購入にはボーナスが付与されることがあります。 2024年1月26日~2月2日まで開催されているIHG初のポイント購入フラッシュセールでは、最大100%のボーナスが付与されます。

        ポイントを使って、客室のアップグレードや特典と交換することができます。

        ポイント購入を検討する前に


        • ポイントの有効期限を確認しましょう。 IHGリワーズクラブのポイントは、獲得から12ヶ月間有効です。
        • ポイントの使い道について計画しましょう。 ポイントを使って宿泊したいホテルや時期を決めましょう。
        • 現在のポイント数を確認しましょう。 すでに十分なポイントを持っている場合は、購入する必要はありません。
        • ポイント購入は、賢く利用すれば、旅行をよりお得に楽しむことができます。 上記の情報を参考に、ポイント購入を検討してみてはいかがでしょうか。
        ポイント購入は、賢く利用すれば、旅行をよりお得に楽しむことができます。

        というのが前書きだが、IHGのポイント購入セールは100%ボーナスが最大であり、また100%ボーナス以外でのセールは買う価値が無い。

        また、100%ボーナスは11,000ポイント以上の購入からとなり、それ以下の購入ではボーナスポイントはつかない。

        結論:今回は見送り。

        【セキュリティ事件簿#2024-001】綜研化学株式会社 ランサムウェア被害の発生について


        このたび、当社の一部サーバーが暗号化されるランサムウェア被害が発生したことをお知らせします。本件について、現在対策本部を設置し、外部専門家の助言を受けながら、影響範囲等の調査と復旧への対応を進めております。また、警察などの関係機関への相談を開始しています。

        被害の全容を把握するにはいましばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。

        お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

        1. 経緯

        1 月 9 日(火)に、当社の一部サーバーに保存している各種ファイルが暗号化されていることを確認しました。直ちに、外部専門家の協力のもと調査を開始し、迅速に対応を進めるべく対策本部を立ち上げました。

        2. 現在の状況と今後の対応

        現在、被害の拡大を防ぐための対応を進めておりますが、一部サーバーにおいて暗号化されたデータ等にアクセスできない状況にあります。当社の基幹システム、ホームページやメールシステムについては通常通り稼働しております。なお、情報流出の有無については現在調査中です。

        今後、外部専門家および警察と連携の上、システムの保護と復旧に向けて作業を進め、皆様へのご迷惑を最小限に止めるべく取り組んでまいります。

        なお、本件による業績への影響については精査中であり、今後の業績に重大な影響が認められる場合には速やかに公表いたします。

        【セキュリティ事件簿#2023-502】ANAN2023プレミアム付き商品券運営事務局 市民の皆様へ


        ANAN2023プレミアム付き商品券事業ホームページにおきまして、令和5年12月31日、海外からの不正アクセスが確認されたため、安全が確認されるまで当サイトを閉鎖しております。大変なご心配、ご不便をおかけいたします事、お詫び申し上げます。

        今回の事案において、同ホームページ内の「お問い合わせフォーム」が何らかの影響を受けた可能性があり、その状況等について現在調査中でございます。

        なお、「お問い合わせフォーム」をご利用いただいた方の個人情報(氏名、メールアドレス、電話番号等)につきましては、同ホームページ及びサーバー内に設計上保存されない仕組みになっていることから、外部への漏えいの可能性は極めて低いと考えておりますが、念のため該当するお客様には個別に注意を呼び掛けさせていただいております。

        現在、同ホームページの復旧にむけての作業を行っており、セキュリティ強化対策を行うなどこれまで以上の技術的な安全管理を強化したうえで、再度オープンする予定です(1月19日予定)。

        なお、購入申込者及び登録店舗に関する情報等につきましては、同ホームページのサーバーとは別のサーバーにおいて保存されていることから、この度の不正アクセスによる影響はございませんが、ANAN2023プレミアム付き商品券事業をご利用いただいている市民の皆様並びにご参加いただいている登録店舗関係者様にご心配をおかけしております事、重ねて、お詫び申し上げます。

        本件に関してお問い合わせがございましたら、下記運営事務局迄お問い合わせいただきますよう、お願い申し上げます。

        【セキュリティ事件簿#2023-501】京都市立芸術大学 日本伝統音楽研究センター ウェブサイトへの不正アクセスについて


        2023年12月20日、本学 日本伝統音楽研究センターのウェブサイト(https://rcjtm.kcua.ac.jp/)に不正なアクセスがありました。
         当該サイトのデータが削除されており、詳細については、現在、調査中です。
         二次被害を防ぐため、残されたデータはすべて削除し、現在公開停止としております。

         削除されたデータには、メールアドレス等が含まれているため、それらメールアドレスが特定できた場合は、本学から不審なメールの削除などを促す注意喚起を行う予定です。

         現在、原因の調査・再発防止策の検討を進めており、このようなことが生じないよう全学的に情報セキュリティ対策に万全を期してまいります。

         ご不便をおかけいたしますが、当該サイトの復旧まで、日本伝統音楽研究センターからのお知らせは、本ウェブサイトのトップページのお知らせ欄(http://www.kcua.ac.jp/category/info/)をご覧いただきますよう、お願い申し上げます。

        【セキュリティ事件簿#2023-500】株式会社丹青社 業務委託先からの個人情報漏洩に関するお詫びとお知らせ


        当社がIRニュースメールの配信業務を委託していた外部委託会社のサーバーが不正アクセスを受けたことにより、当社保有の個人情報の一部が漏洩していることが判明しました。関係者の皆さまには、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。既に10月30日付で当社コーポレートウェブサイトにお知らせ「当社からのメールを装ったなりすましメールにご注意ください」を掲載しておりますが、その後の対応と再発防止策について以下のとおりお知らせします。

        当社におきましては、今回の事実を厳粛に受け止め、同様の事態が再び発生しないよう、業務委託先の管理監督を含め個人情報管理体制の一層の強化を図ってまいります。

        1.経緯

        2023年10月30日、当社従業員および取引先が、送信元情報を当社ドメイン(@tanseisha.co.jp)のメールアドレスに偽装した「なりすましメール」を多数受信しました。同時に警視庁サイバー犯罪対策課から、業務委託先のサーバーが乗っ取られている可能性を指摘され、本事態を把握しました。

        同日中に業務委託先のサーバーへのドメイン許可を停止し、当社ドメインからメールが送信されることがないように対処しました。あわせて当社コーポレートウェブサイトのお知らせにて社外への注意喚起を行い、二次被害拡大の防止に取り組みました。
        なお、本件については、個人情報保護委員会および一般財団法人日本情報経済社会推進協会へ適時報告を行っております。

        2.漏洩した個人情報

        (1)個人情報の項目
          当社IRニュースメールに登録されているメールアドレス。
          ※銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。
        (2)対象者と件数
          株主、投資家、顧客、従業員のメールアドレス641件。

        3.発生原因

        当社の業務委託先のサーバーに対して第三者からの不正アクセスがあったことが原因と認識しております。

        4.二次被害またはそのおそれの有無

        漏洩したメールアドレス宛に、送信元情報を当社ドメイン(@tanseisha.co.jp)のメールアドレスに偽装した「なりすましメール」が複数件送信されたことを確認いたしました。
        なお、既にサーバーへのドメイン許可を停止しているため、現在は同事象の発生はありません。

        5.再発防止策

        当該委託会社への業務委託を2023年11月で停止し、現在は適格性を確認できた新たな委託先へ契約変更しています。
        また、従業員への教育や業務委託先の適格性の審査・確認、継続的な管理監督を実施し、当社の個人情報管理体制の一層の強化を図ってまいります。

        【セキュリティ事件簿#2023-499】株式会社エイチーム 個人情報漏えいの可能性に関するご報告とお詫び


        当社グループが利用するクラウドサービス上で作成した個人情報を含むファイルがインターネット上で閲覧可能な状態にあったことが判明し、2023年12月7日に「個人情報漏えいの可能性に関するお知らせ(以下、既報)」を公表いたしました。この度、本事案に関して調査及び精査が完了いたしましたので、当該調査結果及び再発防止に向けた取り組みについてご報告いたします。

        なお、既報の通り、本事案の判明後にクラウドサービス上のファイルへのアクセス制限を実施し、個人情報を閲覧できる状態は解消しております。お客様ならびに関係者の皆様には大変なご迷惑、ご心配をおかけすることを心より深くお詫び申し上げます。

        概要

        当社グループで利用しているクラウドサービス「Googleドライブ」で管理する一部のファイルにおいて、個人情報がインターネット上で閲覧可能な状態にあったことが2023年11月21日に判明いたしました。当該ファイルの閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、端末識別番号・顧客管理番号・メールアドレス・氏名などを含む個人情報がインターネット上において閲覧できる状態でありました。要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。

        発覚の経緯は、グループ全体で導入を検討しているセキュリティ製品の精度を検証したレポートにより、リスクのあるファイルとして検知されたことによります。

        1.個人情報漏えいの可能性がある対象者

        ① サービスご利用のお客様

        ■ 当社グループで運営するサービス・アプリを過去にご利用いただいたことのある一部のお客様

        ② 取引先企業・法人のお客様

        ■ 当社グループとご契約・お取引があった一部の取引先企業・法人のお客様
        ■ 当社グループの担当者とメール等の対応があった一部の法人のお客様

        ③ 採用候補者

        ■ 過去に当社グループの採用選考に応募いただいた一部の新卒採用及び中途採用の採用候補者
        ■ 当社グループのインターンシップに参加した一部の学生

        ④ 当社グループ従業員

        ■ 当社グループに在籍している従業員(退職者含む)

        2.漏えいした可能性のある情報
        詳細の調査及び精査の上、判明した個人情報の漏えいの可能性がある情報は以下の通りです。

        ■ 個人情報を含むファイル数:1,369件
        ■ 対象となる人数:935,779人
         ※対象となる人数はユニーク数でカウントしております

        ■個人情報の漏えいの可能性がある人数
        個人情報の漏えいの可能性がある人数は以下の通りです。


        ※ 個人情報保護委員会に報告書を提出した対象企業を記載しております
        ※ 「④当社グループ従業員」の人数の内訳の記載は省略しております

        ■漏えいした可能性がある項目
        漏えいした可能性がある主な項目は以下の通りです。なお、要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。


        ※ 個人情報保護委員会に報告書を提出した対象企業を記載しております
        ※ 対象ファイルによって記載項目が異なります

        3.インターネット上で個人情報の閲覧が可能となっていた期間

        2017年3月~2023年11月22日まで
        ※ 対象ファイルを調査した結果、ファイル作成日が最も古かった時期を閲覧可能期間として記載しております
        ※ 各ファイルの作成日により、閲覧可能期間は異なります

        4.経緯

        グループ全体で導入を検討しているセキュリティ製品の精度を検証したレポートにより、リスクのあるファイルとして検知されたことで本事案が発覚しました。当社グループで利用しているクラウドサービス「Googleドライブ」で管理するファイルを調査したところ、個人情報を含む一部のファイルがインターネット上で閲覧可能な状態にあったことが2023年 11月21日に判明いたしました。

        本事案が判明後の2023年11月22日にクラウドサービス上のファイルへのアクセス制限を実施し、個人情報を閲覧できる状態は解消した上で詳細の調査及び精査を開始しました。
        本事案が発覚した後、速やかに個人情報保護委員会に速報を提出し、調査状況のご報告といたしまして2023年12月7日に当社コーポレートサイトに「個人情報漏えいの可能性に関するお知らせ」を掲載しました。

        グループ全体で詳細の調査及び精査が完了しましたので、2023年12月20日に個人情報保護委員会に確報を提出しました。

        5.原因

        当社グループで利用しているクラウドサービス「Googleドライブ」を利用して作成した個人情報を含む一部のファイルに対して、閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」としており、閲覧範囲の設定が適切に行えていなかったことによるものです。

        6.対象者の皆様への連絡について

        個人情報が漏えいした可能性のある方で、ご連絡先が把握できた皆様には、本事案の調査及び精査が完了した2023年12月20日より順次、個別に電子メール等により本事案のご報告とお詫びのご連絡をさせていただいております。

        また、当社グループ各社でのコーポレートサイトでも本事案についてお知らせを掲載しております。個人情報の漏えいの可能性に関連する皆様に向け、本事案のお問い合わせ窓口を設置し、本記事の末尾に記載しております。

        7.二次被害の有無とその可能性について

        本事案に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

        情報の対象となった皆様には大変ご迷惑をおかけしますが、不審な問い合わせについては十分ご注意いただきますようお願い申し上げます。当社では、被害の拡大防止に取り組んでまいりますが、万が一、第三者の悪用を確認した場合は、末尾のお問い合わせ窓口へ連絡をお願い申し上げます。

        8.再発防止策

        今後の再発防止策として、①セキュリティツールによる監視強化、②ファイル共有設定・権限の見直しによる制御、③個人情報の取り扱いに関する役員及び全従業員の意識向上に取り組んでまいります。

        ①セキュリティツールによる監視強化

        セキュリティツールを活用した監視の強化を図り、情報システム部門による厳格な管理によって情報漏えいのリスクを抑えます。

        ②ファイル共有設定・権限の見直しによる制御

        「Googleドライブ」をはじめとしたファイル管理・共有を行うクラウドサービスにおいて、アクセス範囲設定を見直し、アクセス制限がない公開設定を無効化することにより外部共有の制御を実施しました。

        ③個人情報の取り扱いに関する役員及び全従業員の意識向上

        個人情報に関する管理体制の強化、規程やルール等の見直し及び社内への周知徹底を行い、個人情報を含めた情報管理に関する意識の向上を図ります。また、役員及び全従業員の意識向上に向け、第三者である外部講師を招いた研修を実施予定です。

        今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。

        【セキュリティ事件簿#2023-492】千葉市 委託事業者による個人情報の流出した可能性のある事案の発生について


        千葉市が事業を委託する事業者が利用するサービスに、第三者からの不正アクセスがありましたので、お知らせします。

        このたびは、対象事業の参加者の皆様にご迷惑をおかけしたことを心よりお詫び申し上げるとともに、今後、個人情報のさらなる厳正な管理の徹底に努めてまいります。

        なお、このことに関して、便乗した詐欺等のご連絡に十分ご注意ください。

        1 対象事業

        (1)委託事業名 令和5年度千葉市特定保健指導(ICT機器活用型)業務委託
        (2)委託事業者 株式会社Y4.com

        2 事案の概要

        12月18日(月)、事業者から本市に、事業者が利用するアプリサービスの一部に対し、第三者から不正アクセスがあり、本市のICT機器活用型特定保健指導参加者の情報(氏名、住所、電話番号、性別等)が外部に流出したとの報告がありました。

        不正アクセスは12月10日(日)に行われ、12月11日(月)に事業者が本事案を確認した。その後、事業者により詳細な調査が開始され、12月15日(金)に本市に第1報を受けました。

        なお、直ちに被害のあったサービスをシステムから隔離するなどの処置がとられており、現時点で、不正に公開されたり悪用されたり等の被害の発生等は確認されておりません。

        〈参考〉特定保健指導(ICT機器活用型)について
        40歳から74歳までの国民健康保険被保険者を対象に生活習慣病予防を目的に実施している特定健康診査受診者のうち、特定保健指導の対象となった者に対し、ウェアラブル端末を活用し保健指導を行うもの。

        3 サービスに記録されていた情報

        氏名、住所、電話番号、性別、生年月日、メールアドレス、被保険者番号、健診結果(身長、体重、腹囲、血圧、血液検査記結果、尿検査結果、問診項目) 25人分

        4 対応状況等

        ・12月18日(月)午後、事業者のホームページに本事案を公表しております。
         ※事業者が問い合わせ窓口(電話・メール)を開設しています。
           株式会社Y4.com 個人情報お問い合わせ窓口
           電話番号 092-406-3833(受付時間 10時~17時、土日祝日を除く)
           メール  info@y-4.jp
        ・同日、市における個人情報の流出可能性事案に関して、個人情報保護委員会に報告しました。
        ・今後、参加者本人への通知とお詫びを実施する予定です。

        【セキュリティ事件簿#2023-492】伊丹市 委託事業者による個人情報の流出事案の発生について


        伊丹市が事業を委託する事業者が利用するシステムに、第三者からの不正アクセスがありましたので、お知らせします。

        このたびは、対象事業の参加者の皆様にご迷惑をおかけしたことを心よりお詫び申し上げるとともに、今後、個人情報のさらなる厳正な管理の徹底に努めてまいります。
        なお、このことに関して、便乗した詐欺等のご連絡に十分ご注意ください。

        1 対象事業

        (1)委託事業名 令和5年度伊丹市特定保健指導(ICT機器活用型)業務委託
        (2)委託事業者 株式会社Y4.com

        2 事案の概要

        12月18日(月曜)、事業者から本市に、事業者が利用するアプリサービスの一部に対し、第三者から不正アクセスがあり、本市のICT機器活用型特定保健指導参加者の情報が外部に流出したとの報告がありました。

        不正アクセスは12月10日(日曜)に行われ、12月11日(月曜)に事業者が本事案を確認しました。その後、事業者により詳細な調査が開始され、12月14日(木曜)に本市に流出の可能性があることの第1報を受けました。

        なお、直ちに被害のあったサービスをシステムから隔離するなどの処置がとられており、現時点で、不正に公開されたり悪用されたり等の被害の発生等は確認されておりません。

        〈参考〉特定保健指導(ICT機器活用型)について
        40歳から74歳までの国民健康保険被保険者を対象に生活習慣病予防を目的に実施している特定健康診査受診者のうち、特定保健指導の対象となった者に対し、ウェアラブル端末を活用し保健指導を行うもの。

        3 サービスに記録されていた情報

        20人分の氏名、住所、性別、生年月日、被保険者番号、健診結果

        4 対応状況等

        ・12月18日(月曜)午後、事業者のホームページに本事案を公表しております。
        ※事業者が問い合わせ窓口(電話・メール)を開設しています。
        株式会社Y4.com 個人情報お問い合わせ窓口
        電話番号 092-406-3833(受付時間 10時~17時、土日祝日を除く)
        メール info@y-4.jp

        ・今回の流出事案に関して、国の個人情報保護委員会に報告しました。

        5 本市の対応状況

        漏洩が確認された方に対し、市と事業者より、電話連絡等でお詫びと状況報告を実施いたしました。

        6 再発防止策

        事業者側において、影響を受けたシステムのセキュリティ強化と、パスワードの変更により対応します。今後の調査で、脆弱性が判明した際には、さらなるセキュリティレベルの向上と再発防止策を実施予定です。

        航空会社特典航空券のストップオーバー規定ガイド


        その昔、ほとんどの航空会社のロイヤリティプログラムでは、特典航空券での途中降機が無料でした。残念なことに現在では、そのようなユニークな機会を提供するプログラムは少なくなってきています。

        今回は、特典航空券でのストップオーバーを無料で認めているマイレージプログラムについて、ワンワールドアライアンスを中心にまとめたいと思います。

        途中降機、オープンジョー、乗り継ぎ

        まず、重要な用語について説明しましょう。ストップオーバーとは何か、オープンジョーとは何か、乗り継ぎとは何か。これらの用語の意味はまったく異なるので、前もって確認しておきましょう。

        途中降機

        途中降機(ストップオーバー)とは通常、出発地と最終目的地の間にある乗り継ぎ都市に24時間以上滞在することを指します。乗り継ぎ都市とは、航空会社のハブ空港であったり、目的地までの途中都市であったりします。

        ルーティングに工夫を凝らすことで、通常は経由地として考えないような場所でのストップオーバーが可能になることも多いです。例えば、アメリカからアジアへ旅行する場合、ヨーロッパを経由し、そこでストップオーバーすることも可能かもしれません。

        乗り継ぎ

        乗り継ぎとは、通常24時間以内の都市での滞在を指しますが、プログラムによっては、特典旅程の乗り継ぎ時間が最大4時間と短い場合もあります。アワード・プログラムでは、アワード規約やプログラム利用規約を記載する際に、乗り継ぎを意味する言葉としてトランスファーという言葉を使用することがあります。

        オープンジョー

        オープンジョーとは、ある都市に到着し、別の都市から出発するフライトのこと。例えば、米国(LAX)からアジアへ向かう場合、往路はシンガポール着(LAX⇒SIN)、復路はバンコク発(BKK⇒LAX)みたいなルートのこと。

        特典航空券での途中降機

        特典航空券での途中降機(ストップオーバー)を認めている航空会社のロイヤルティプログラムを見てみよう。最も寛大なものから順に、どの程度寛大なポリシーなのかを大まかにリストアップする。

        アラスカ航空

        アラスカ航空は、途中降機に関して最も寛大なプログラムのひとつで、地域間の移動であれば、特典航空券でのストップオーバーを認めてくれます。アラスカ航空にはさまざまな提携航空会社があるので、たとえば、ロサンゼルスから東京経由でシンガポールまで日本航空を利用し、日本でストップオーバーすることも可能です。

        ストップオーバーは片道でも可能なので、往復航空券で2回のストップオーバーができる可能性があることになります。アラスカ・マイレージ・プランのマイルには素晴らしい使い道がたくさんあります。

        ストップオーバーの予約は無料で、アラスカ航空のウェブサイトから直接予約することが可能です。

        キャセイパシフィック航空

        キャセイパシフィック航空のアジアマイルは、キャセイパシフィック航空を利用する際にも、提携航空会社を利用する際にも、驚くほど便利なプログラムです。キャセイパシフィック・アジアマイルでは、往復特典航空券でのストップオーバーが可能です。ストップオーバーは、キャセイパシフィック航空を利用する場合でも、提携航空会社を利用の場合でも可能です。

        日本航空

        JALマイレージバンクは、提携航空会社を利用する場合に限り、ストップオーバー(途中降機)に対して最も寛大な規定を設けています。JALは距離ベースの特典チャートを採用しており、特典の価格は移動距離の合計によって決まります。

        JALマイレージプログラムは、マイルの交換方法によってルールが異なります。基本的にJALマイレージバンクは3種類の特典を提供しています。
        • JAL特典航空券:日本航空のみを利用する場合。
        • 提携航空会社特典航空券:JALの提携航空会社1社のご利用に限ります。
        • ワンワールド特典航空券:ワンワールド加盟航空会社を2社以上利用する場合。
        JAL特典航空券ではストップオーバーはできません。

        提携航空会社特典航空券を1回の利用で最大3回の途中降機が可能です。一部の例外を除き、合計6区間まで可能です。ただし、特定のパートナーには制限があります。

        • 大韓航空の場合、2区間までしか利用できませんが、途中降機は可能です。
        • 中国東方航空の場合、合計4区間までとなり、中国での途中降機はできません。
        • ハワイアン航空、ロイヤル・エア・モロッコ、ヴィスタラ航空の場合、合計4区間までとなります。
        ワンワールド特典航空券を利用する場合、ストップオーバーはなんと7回まで可能です。特典航空券は合計8区間しか利用できないため、ストップオーバーの実用性は制限されます。7回のストップオーバーを最大限に利用しようとすると、乗り継ぎの各都市でストップオーバーしなければなりません。

        その他の特筆すべきプログラム

        ブリティッシュ・エアウェイズのエグゼクティブ・クラブは無料のストップオーバーはできませんが、1回の旅行で複数の目的地を訪れようとする人には便利かもしれません。

        エグゼクティブ・クラブは、アワードの価格が各区間の距離とクラスで計算されるというユニークなプログラムです。1枚の航空券で何区間でも予約できますが、料金は累積されるため、区間ごとに支払うことになります。

        多くの場合、短い区間の料金が安いので、リーズナブルな料金で複数の目的地を訪れることができます。

        エグゼクティブ・クラブには、"シークレット "マルチキャリア特典チャートがあります。ワンワールド加盟航空会社2社以上(ブリティッシュ・エアウェイズ利用区間がある場合は3社以上)を利用する場合、この特典チャートを利用すれば、各区間を個別に予約するよりも支払うAviosが少なくなります。

        この方法で最大8区間まで予約でき、各都市でストップオーバーすることも可能です。

        ストップオーバーは、マイルやポイントの価値を増大させる素晴らしい方法です。残念なことに、多くの航空会社では、このような機会を長年にわたってなくしてきました。

        個人的には、JALマイレージバンクのワンワールド特典航空券を愛用しています。

        【セキュリティ事件簿#2023-498】パナソニック コネクト株式会社 不正アクセスのお知らせとお詫び


        パナソニック コネクト株式会社アビオニクスビジネスユニット(以下、ABU)およびパナソニック アビオニクスコーポレーション(以下、PAC)は、不明の第三者がPACの企業ネットワーク環境内の一部のシステムに不正にアクセスし、ABUおよびPACが管理する従業員および元従業員に関連する個人情報に影響を与えたことが判明しましたので、本事案についてお知らせいたします。

        本事案に関して、対象となる従業員および元従業員の皆様にご心配とご迷惑をおかけいたしますことを深くお詫び申し上げます。

        【事案概要】
        2022年12月30日、PACの企業ネットワーク環境のシステムに影響を及ぼす可能性がある不正アクセスを受けたことが判明しました。PACは、事案に関する調査を直ちに開始し、サイバーセキュリティおよびフォレンジックの外部専門家の協力を得て、事案全体および個人情報への影響の有無、その範囲について徹底的な調査を行いました。2023年12月初旬に調査が完了し、その結果、ABUおよびPACが当時管理していたABUまたはPACに在籍する従業員または在籍していた元従業員に関連する個人情報の全部または一部が影響を受けた可能性があることが判明しました。なお、当該の不正アクセス以降、これらの個人情報について悪用または悪用された可能性があることを示す事実は確認されていません。

        対象者:
        ABUおよびPACの従業員および元従業員

        対象となる個人情報:
        ABUおよびPACが業務上管理していた従業員および元従業員の個人情報
        対象者によっては、氏名、電話番号、金融機関口座番号(パスワードは含みません)、その他人事・雇用関連情報が含まれている可能性があります。

        対象となる従業員の皆様には社内メールまたは郵送にてお知らせするとともに、元従業員の皆様には、順次ご連絡がつく限り、個別にご通知をお送りしています。
        このお知らせは、ご通知を受け取られていない元従業員の皆様へのお知らせです。

        ABUおよびPACは、今回の事態を重く受け止め、この事案の影響抑止のために速やかに対応し、再発防止に向け複数の安全管理措置を講じました。また、関連法令に従い、すでに本事案について関係当局にも通知しましたが、皆様ご自身においても、さらなるセキュリティ対策および不審な連絡がないか等、ご留意いただきますようお願い申し上げます。本件に関し、お心当たりやご不明な点がありましたら、以下までご連絡いただきますようにお願い申し上げます。

        2023年のセキュリティ事件・事故・情報漏えい・不正アクセス ベスト10


        2023年に発生したインシデントを被害規模順にランキング化すると以下のようになるらしい。

        原因:不正アクセス
        件数:489,085 人

        個人情報の漏えいは確認されていないが、法律の専門家及び外部専門機関等との協議の結果、個人情報漏えいの可能性を完全には否定できないということらしい。

        原因:不正アクセス
        件数:最大757,463 人

        業務委託での個人情報漏えい。顧客の個人情報が海外のサイトに掲載されていたらしい。

        原因:不正アクセス
        件数:1,323,468 人

        8 位と同内容。

        原因:不正アクセス
        件数:1,414,751 件

        顧客情報以外にも中途採用・アルバイト採用選考参加者の応募者情報や従業員情報など、幅広くお漏らし。

        原因:紛失
        件数:200 万人

        NHKの報道を受けての公表という、組織体としては最もだらしのないパターン

        原因:システム管理上のミス
        件数:約 230 万人

        クラウド環境の誤設定が原因。半端ない量のお漏らし。

        原因:不正アクセス
        件数:2,402,233 件

        第三者調査機関の調査結果では、個人データを閲覧された可能性は否定できないが、外部に送信した痕跡は見つかっていないということらしい。

        原因:不正持ち出し
        件数:約 596 万件

        元派遣社員が使用していたパソコンから、業務では行うことがない外部への通信を検知したことで発覚。

        原因:不正持ち出し
        件数:約 900 万件

        NTTマーケティングアクトProCXにテレマーケティング業務を委託していたクライアント 59 件の顧客情報 約 900 万件が持ち出しの対象。

        原因:システム管理上のミス
        件数: 924 万 4,553 件

        1 台の PC やスマートフォンを複数の顧客で共有し、顧客が出前館サービスにログインしない状態でサードパーティーアカウントと連携した後、同じ PC やスマートフォンで別の顧客がログインし、さらにその後、最初の顧客が「アカウント連携によるログイン」を選択した場合に発生するらしい。

        【セキュリティ事件簿#2023-497】いちごの里 個人情報漏えいについてのお詫びとご報告


        この度、(株)いちごの里ファームにおきまして、数名のお客様よりメールアドレスが流出しているとのご連絡がありました。

        関係者の皆様におきましては、多大なるご不安やご迷惑をおかけすることとなり、心からお詫び申し上げます。

        1.事案の概要

        12月13日、お客様より「メールアドレスが流出しているとセキュリティソフトから警告があった」とのご連絡をいただきました。

        12月14日、HP運営会社に事実関係を確認したところ、「2014年~2019年に当時使用していた予約システムから流出した可能性がある」との報告がありました。

        2.漏洩したと思われる情報

        メールアドレス

        3.漏洩の原因

        調査中

        4.今後の対応

        警察、弁護士、個人情報保護委員会等に相談し、被害届の提出も含めて検討します。

        ※漏えいした恐れがあるデータは、すべて削除済みであります。新システムへの引継ぎも行っておりません。

        ※現在の予約システムは「Table Check」を利用しており、セキュリティについて問題ないと思われますのでご安心ください。

        【セキュリティ事件簿#2023-496】株式会社紀伊國屋書店 不正アクセスによる、個人情報漏洩の可能性に関するお知らせとお詫び


        株式会社紀伊國屋書店(以下「当社」といいます)は、このたび、第三者によるサイバー攻撃により、不正なアクセスを受けたことを確認しました。

        お客様をはじめ関係者の皆様にご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

        1.概要

        当社が管理運用する「和雑誌アクセス納品情報」及び「INTERMAX納品管理システム」サイトに、外部からサイバー攻撃が行われ、その結果、利用しているデータベースのテーブル名称を取得されたことが判明しました。個別のテーブルの内容にアクセスされた形跡及びデータを取得された形跡は認められておりませんが、上記2サイトのデータベースサーバと同じサーバでデータベースを運用している「Access Web Service System」を含めて、情報漏洩した可能性がありうるものとして、お知らせいたします。

        漏洩の可能性がある個人情報は「4.漏洩した可能性のある個人情報と件数」に記載した内容であり、クレジットカード情報、銀行口座情報等は含まれておりません。また、調査の結果、情報漏洩の痕跡は確認されておらず、現時点では、本件によって当社が保有する個人情報が外部へ流出した事実は確認されておりません。なお、当社の運営するECサイト(紀伊國屋書店ウェブストア)、電子書籍Kinoppy、ポイントカード(紀伊國屋ポイント)等に関する個人情報については本事案の影響はありません。

        2.経緯

        2023年11月1日(水)に警察から、「和雑誌アクセス納品情報サイト」にサイバー攻撃があった旨の連絡をいただき、即時、サイトの管理を委託している業者に連絡して調査を行いました。その結果、「4.漏洩した可能性のある個人情報と件数」に記したサイトへの不正アクセスの痕跡が確認された為、各種対策を実施して、お知らせするものです。

        3.現在の対応

        当該サイトの一部に脆弱性が認められた為、それらへの対策を実施済です。

        当社が運営する各種Webサービス全体を改めて見直し、より一層のセキュリティ強化に努めてまいります。

        4.漏洩した可能性のある個人情報と件数


        サイト 個人情報 件数
        (a) 和雑誌アクセス納品情報 氏名 294件
        (b) INTERMAX納品管理システム 氏名、住所、電話番号 7,491件
        (うち6,329件は受託元より
        受領した個人情報)
        (c) Access Web Service System 氏名、住所、電話番号 2,096件

        及び、上記サイトの納品履歴。
        ※クレジットカード情報、銀行口座情報等は保持しておりません。
        (a)主に図書館のお客様向けに和雑誌の納品データを提供するサービス。
        (b)INTERMAX(海外マガジン)の納品情報を管理するシステム。店舗における海外マガジンの定期購読サービスに関係するデータはありません。
        (c)学術雑誌(主に外国雑誌)の納品情報の管理を支援する法人向けサービス。

        なお、本件において、個人情報が外部へ漏洩した痕跡は確認されておらず、現時点で本件に起因する個人情報の不正利用等の二次被害に関する報告は受けておりません。

        当社は今回の事態を厳粛に受け止め、さらなるセキュリティの強化に取り組んでまいります。

        【セキュリティ事件簿#2023-495】仙台市 懲戒処分の公表について


        1 所属 

         総務局人材育成部

        2 職位

         係長職

        3 年代

         50歳代

        4 処分の内容

         停職6月

        5 処分の理由

        市民局区政部において住民基本台帳事務を担当していた令和4年8月6日、業務とは関係ない私的な理由から、住民情報システムを用いて、知人女性の住所情報を不正に収集したもの。

        また、令和3年6月30日に、総務局人事課から、当該女性に対するつきまとい行為等に係る指導を受けていたにもかかわらず、不正に収集した住所情報を用いて、複数回にわたり当該女性宅付近を訪れたほか、令和5年3月12日に当該女性宅前で待ち伏せ行為を行ったもの。

        6 処分年月日

         令和5年12月1日

        7 上司の処分

         訓告1名

        【セキュリティ事件簿#2023-494】立命館アジア太平洋大学 個人情報を含むExcelファイルの掲載について(お詫び)


        このたび、学外の方からの問い合わせにより、本学Webサイトに掲載していたExcelファイルに特別な加工をすると、当該Excel ファイルには表示されていない過去に外部リンク機能で一時保存されていたデータが閲覧でき、そこから2018年度に在籍していた学生の氏名、所属、回生、学籍番号、学内メールアドレス等の個人情報が確認できることが判明しました。学生・卒業生の皆さまに多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。

        2023 年12 月4 日の事態判明後、ただちに当該ファイルは削除しました。また、現在のところ個人情報の不正利用等の二次被害は確認されておりません。

        今回発生した事案の原因を究明するとともに再発防止に努めてまいります。なお、今回の事態にかかわって、ご相談やお問い合せがある場合には、下記までご連絡をお願いいたします。

        【セキュリティ事件簿#2023-493】長野日報社 おわび(サーバーウイルス感染のため特別紙面)


        日頃は、長野日報をご愛読いただき、誠にありがとうございます。

        12月19日深夜に弊社のサーバーが身代金要求型ウイルス(ランサムウエア)に感染した影響で、新聞製作に及ぼす影響が続いております。このため、22日付本紙も通常よりページ数を減らした特別紙面として発行します。

        サーバーには、いずれも公開を前提として紙面に使用する記事と写真データが蓄積されていますが、個人情報の流出はありません。当社のホームページやメールシステムは通常通り稼働しています。

        外部専門家や警察と連携の上、全面復旧に向けて鋭意作業を進めていますが、長期化も予想されます。読者や広告クライアントの皆さま等関係者には多大なるご迷惑をおかけすることをおわび申し上げます。

        【セキュリティ事件簿#2023-492】株式会社 Y4.com 不正アクセスによる情報漏えいのお知らせとお詫び


        このたび、当社が利用する一部のサービスにおいて、ノーウェアランサム被害が発生したことをお知らせします。本件について、外部専門家の助言を受けながら、影響の範囲等の調査を進めております。また、個人情報保護委員会及び KPJC(公益財団 熊本産業支援財団)経由にて JIPDEC(日本情報処理開発協会)への報告、警察などの関係機関への相談を開始しております。

        被害の全容を把握するにはいましばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。

        お取引先様、ご活用頂いているご利用者様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。 

        1. 発生日及び事象

        12 月 10 日、当社が利用する一部のサービスへ、第三者による不正アクセスが行われました。その際に、保存されているファイルが持ち出され、削除されました。
        DB サーバーおよび WEB サーバーには被害はございません。 

        2.漏えいした可能性のあるお客様情報

        対象者)アプリ内で健診結果を閲覧できる状態になられていた方

        (1)漏洩された個人情報の項目
        氏名・住所・電話番号・性別・生年月日・メールアドレス・健診結果・被保険者番号が記載されたテキストデータ

        (2) その他項目
        プロフィールのアバター画像、BMI(AI 認識用画面キャプチャー)、
        コミュニティー 投稿画像、コンテスト用サムネイル
        各種規約フォーマット
        血糖値(登録用キャプチャー)
        リブレ(AI 認識用画面キャプチャー)
        ベジメータファイル
        一括集計用 PDF データファイル 

        3.発覚日及び経緯

        12 月 11 日(月)12 時頃、弊社のシステム開発チームは、事象を確認。ただちにシステムを隔離し、セキュリティ対策を強化しました。
        12 月 12 日(火)ノーウェアランサム攻撃の可能性に鑑み、詳細な調査を開始。
        12 月 13 日(水)一部の個人情報が流出した可能性があることを確認しました。
        12 月 14 日(木)個人情報保護委員会及び KPJC 経由にて JIPDEC、警察へ報告。
        12 月 15(土)~17 日(日)外部専門家と今後の対応について協議。

        4.再発防止策

        影響を受けたシステムのセキュリティ強化と、パスワードの変更を迅速に行っております。今後の調査で原因や脆弱性が判明した際には、セキュリティ専門の第三者機関を交えて検討し、セキュリティレベルの向上と再発防止策を徹底する予定です。二度と同様の事態を発生させないよう、再発防止に向け、取り組んでまいる所存でございます。

        5.アプリサービスの提供について

        DB サーバーおよび WEB サーバーには侵入された事実はなく、影響は一部のサービスの利用のみである為、アプリサービスは通常通り稼働しております。

        改めてこのような事態を招いたことを心よりお詫び申し上げます。この度の事態を厳粛に受け止め、私たちは、皆様のプライバシーとデータの安全を守るために、さらなる対策を講じ、信頼回復に向けて努力してまいります。

        今後とも変わらぬご支援、ご理解を賜りますようお願い申し上げます。

        【セキュリティ事件簿#2023-491】奈良教育大学 情報セキュリティインシデントの発生について


        この度、附属幼稚園教諭 1 名がサポート詐欺の被害に遭い、その際、個人情報が漏洩する恐れのある事案が発生しました。

        このような事案が発生し、関係の皆様に多大なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事案を重く受け止め、業務における個人情報の取扱及びサポート詐欺を含めた情報セキュリティについての注意喚起と周知の徹底を行うなど、再発防止策を講じて参ります。

        なお、現在までに、個人情報の悪用等に関する事実は確認されていません。また、この事案に関して、個人情報漏洩の可能性がある方に対しては、個別にお詫びと状況説明を行っています。

        1.    経緯

        附属幼稚園の教諭が、自宅のパソコンに業務ファイルをコピーし、インターネットに接続して作業を行っていたところ、偽のセキュリティ警告が表示されたが、偽物と気づかずに表示の連絡先に電話し、サポート詐欺に遭った。その過程で、オペレータの遠隔操作により、デスクトップに保存されていた個人情報を含むファイルが消失し、抜き取られた可能性がある。

        2.漏洩した可能性のある情報

        (1)表計算ソフトに保存されていた情報
        園児氏名・・・22名
        園長氏名・・・1名
        (2)プレゼンテーションソフトに保存されていた情報
        画像
        園児 ・・・のべ115名(うち顔が認識できる方90名・画像から氏名がわかる方10名・
        氏名のみが写っている方2名)
        保護者・・・のべ2名(画像から氏名がわかる方2名)
        教員 ・・・のべ2名

        JAL機の衝突事故は、航空機の避難テスト基準の再考を迫る

         

        2024年1月2日に東京の羽田空港で発生した日本航空と海上保安庁の航空機の衝突事故は、緊急時の航空機の避難基準の再考を迫る出来事となった。

        事故機となった日本航空516便は、エアバスA350-900型機で、非常口が16か所ある。しかし、衝突の影響で4か所の非常口が使用不能となり、乗客約370人、乗員約12人の全員が避難するのに約18分かかったとされる。

        航空機の認証要件では、非常口の半分が塞がれていたとしても、90秒以内に避難させることができることが求められている。しかし、今回の事故では、その基準を満たすことができなかった。

        この食い違いは、避難基準の妥当性や、認証試験の現実との乖離を問う声を呼び起こしている。

        具体的には、以下の疑問が提起されている。

        • 90秒という基準は、本当に達成可能なのだろうか。
        • 認証試験は、実際の事故状況を十分に反映しているのだろうか。
        • 試験の再設計は、意図しない結果をもたらすのではないか。

        これらの疑問への回答は、今後の調査や検討によって明らかになるだろう。しかし、今回の事故は、航空機の避難基準の再検討が喫緊の課題であることを示した。

        米国のダックワース議員、避難基準の見直しを再提唱

        米国では、2022年後半にダックワース上院議員(イリノイ州選出、民主党)とボールドウィン上院議員(ウィスコンシン州選出、民主党)が、連邦航空局(FAA)に対してより現実的な避難時間テストの実施を義務付ける法案を提出していた。

        ダックワース議員は、当時のインタビューで「飛行機に60人を乗せ、誰も手荷物を持たず、子供や高齢者がいないように装うことは、現実の状況を反映していない」と語っていた。

        この法案の修正版は、今年中に可決される見込みのFAA再承認法案に含まれている。

        ダックワース議員は、日航機衝突事故を受けて、この法案の再提唱を表明した。

        ダックワース議員は声明の中で、「東京で起きたことは悲劇でしたが、もっと悪い事態もあり得ました。しばらくの間、詳しいことはわかりませんが、私は、このようなことがアメリカでも起きる可能性があると、ずっと前から警告してきました」と述べた。

        ダックワース議員はさらに、今回の事故は90秒ルールの再考の必要性を浮き彫りにし、「キャリーバッグ、子供、高齢者、障害を持つ乗客など、現実の状況を考慮した緊急避難基準をようやく確立し、安全な飛行を実現できるようにすべきだ。それが少なくとも飛行機に乗る人々が求めていることです」と述べた。

        ダックワース議員は、新たな基準の下で航空機が90秒のテストに失敗しても、必ずしも航空会社が変更を加える必要はないと指摘した。むしろ、基準自体が非現実的、役に立たない、不要なものである可能性があるため、基準自体を変更する可能性があるのです。

        「最終的には、これは長期的にすべての人をより安全にするだろう」と2022年のインタビューで述べています。

        避難基準の見直し、今後の課題

        JAL機衝突事故は、航空機の避難基準の見直しを迫るものとなった。

        今後は、90秒という基準の妥当性や、認証試験の現実との乖離を検証するとともに、より現実的な避難基準の策定が求められるだろう。

        出典:Tokyo crash raises questions about realism of plane evacuation testing standards


        Darkweb OSINTリンクと2023年発見の新リソース































        過去数か月の間に、数多くのダークネットマーケットやベンダーが閉鎖されたり、オフラインになったりしているにもかかわらず、ダークウェブOSINTリソースに大きな変化はありません。

        ここに掲載されているリンクのほとんどは問題なく機能するはずです。

        【Onionインデックス】

        • Fresh Onion
        http://freshonifyfe4rmuh6qwpsexfhdrww7wnt5qmkoertwxmcuvm4woo4ad.onion/

        • H-Indexer
        http://amz4atjtuuis4dsnxlc3ek6fjoiadj3z7yzcjhylgtfmtrrh7i2hu6id.onion/

        • OnionLand Search
        http://kewgkvbzmjprghk2gv6otkxuyvn2gdnv4256uiumuykjio7nyo5k6rid.onion/

        • Nexus
        http://nexusxg6rr5e2ue6gdjo6oassw36lsx5cx6y3r5ojneo53kynv3rqgyd.onion/

        • Dark Eye
        http://darkeyepxw7cuu2cppnjlgqaav6j42gyt43clcn4vjjf7llfyly5cxid.onion/

        • VCS Onion Links
        http://hgzqgqunlejgxruvcthlpk3pywgkci3kkubhnvlv2rgveusz3n6qarad.onion/

        【データリーク系】

        •  Distributed Denial of Secrets – the .onion site of a popular collective DDoSecrets, specialising in publication and archiving of various leaks.

        http://ddosxlvzzow7scc7egy75gpke54hgbg2frahxzaw6qq5osnzm7wistid.onion/wiki/Distributed_Denial_of_Secrets

        • Leaked Instagram passwords – the name says it all…
        http://breachdbsztfykg2fdaq2gnqnxfsbj5d35byz3yzj73hazydk4vq72qd.onion/

        • Trashchan public DB dump – sanitized public database dumps of various sorts.
        http://trashbakket2sfmaqwmvv57dfnmacugvuhwxtxaehcma6ladugfe2cyd.onion/

        • Anon Leaks – this one is a hybrid between a news site and a leaks site…
        http://oezronzbtheydpio2x64wzf2np6go2abdrtgprmgxh6xi6mjnha6lxad.onion/

        【ニュース】
        • The Tor Times – news from all around the darkweb.
        http://tortimeswqlzti2aqbjoieisne4ubyuoeiiugel2layyudcfrwln76qd.onion/

        • Electronic Frontier Foundation – privacy news and updates.
        https://www.iykpqm7jiradoeezzkhj7c4b33g4hbgfwelht2evxxeicbpjy44c7ead.onion/

        【その他】
        • Archive.is – darkweb version of a popular URL archiving site (clearnet).
        http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/

        • Online-Test – for checking if a .onion site is currently online / offline.
        http://donionsixbjtiohce24abfgsffo2l4tk26qx464zylumgejukfq2vead.onion/test.php

        • Captchas on the darkweb – an archived article by Osintery covering the 5 most used types of CAPTCHAs on the darkweb.
        https://web.archive.org/web/20220623173528/https://www.osintery.com/post/captcha-darkweb

        出典:Darkweb OSINT links and new 2023 resources