雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【セキュリティ事件簿#2024-039】北海道大病院 メールアカウントの不正使用によるフィッシングメールの送信について
【セキュリティ事件簿#2024-038】環境保全株式会社 メールアカウントへの不正アクセスに関するお詫びと注意喚起のお知らせ
宛 先: xxxxx@yahoo.co.jp件 名: 【重要なお知らせ】支払い方法を更新してください 2024-01-21差出人: Amazon.co.jp <x-xxxxxxxxx@kankyou-hozen.jp>
表示: Amazon.co.jpメールアドレス: x-xxxxxxxxx@kankyou-hozen.jp
【セキュリティ事件簿#2024-037】玉川大学 通信教育課程システムへの不正アクセスによる情報漏洩の可能性に関するお知らせ
2024年1月10日、本学で運用している通信教育課程サーバの一部で不正アクセスを受けたことが確認され、本学が保有する学生(卒業生を含む)情報が漏洩した可能性を排除できないということが判明しました。
なお、詳細は調査中でありますが状況が分かり次第改めてご報告させていただきます。
【セキュリティ事件簿#2024-036】モイ株式会社 当社サーバーに対する外部攻撃に関するお知らせ
1 本件の概要
2 今後の対応
3 業績への影響
電子メール追跡のためのOSINTツール「Zehef」
Zehefの能力
- ウェブサイトのスクレイピング: Zehefは「holehe」モジュールを使用してウェブサイトをスクレイピングし、電子メール登録をチェックします。
- 漏洩チェック: 侵害や漏えいをチェックし、漏えいした電子メールについて警告を発します。
- 評判のチェック:Zehefはemailrep.io APIを使用し、ターゲットメールのレピュテーションを評価します。
- アカウントチェック: SnapchatとTikTokのアカウントを様々なフォーマットで検証します。
- Pastebinチェック: Pastebin上の関連リンクを検索します。
Zehefのビルドとインストール
インストール手順の概要
- まず、Python 3がインストールされていることを確認してください。
- ターミナルまたはコマンドプロンプトを開きます。
- Zehef リポジトリをクローンします。:
git clone
https://github.com/N0rz3/Zehef.git - Zehef ディレクトリに移動します。:
cd Zehef
- 必要なライブラリをインストールします。:
pip install -r requirements.txt
Zehef を実行
- Zehefディレクトリで次のように実行します。: python zehef.py
- 調査したいメールアドレスを入力してください。
【セキュリティ事件簿#2024-035】豊郷町 個人情報の流出について
このたび、個人情報の記載された名簿が流出し、町民の方々に多大なご迷惑をおかけしたことに対しまして、心よりお詫びします。今回、町職員が、このような不祥事を引き起こし、皆様の信頼を裏切る結果となりましたことは、痛恨の極みです。
今後は、このような事態を招いたことを反省し、速やかに全職員を対象に研修を実施し、個人情報の保護の重要性について徹底するとともに、電算システムのセキュリティ対策と再発防止に取り組むことといたしました。
今後、調査・対策について、適時、町民の皆様にご報告いたしますので、ご理解をいただけますよう、お願いいたします。
豊郷町長 伊藤 定勉
現時点で判明していること、対応の経緯などをお知らせします。
1.事案発生の経緯
匿名住民より「字の役員名簿が詳しすぎる。役場から情報が漏洩していないか。」と相談があり、本職員への聞き取りにて名簿を紙で渡したことが発覚。現物は回収または破棄、現在追加調査中。
2.原因
職員の独断で、悪用がされないと判断し、個人情報の認識が不十分であった。
3.その他判明した内容
漏洩した内容:氏名(漢字・カナ)、住所、生年月日、性別、世帯主、続柄の書いた名簿
漏洩した件数:646件(過去分は含まず)
回収状況:今年分の名簿は回収済み(コピーも含む)
4.今後の対応
全職員を対象に研修を実施し、個人情報の保護の重要性について徹底するとともに、電算システムのセキュリティ対策と再発防止対策に取り組んでいきます。
【セキュリティ事件簿#2024-033】「東京ヴェルディ公式オンラインストア」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ
1.経緯
2.個人情報漏洩状況
(1)原因
(2)個人情報漏洩の可能性があるお客様
3.お客様へのお願い
4.公表が遅れた経緯について
5.再発防止策ならびに弊社が運営するサイトの再開について
【セキュリティ事件簿#2024-030】関東ITソフトウェア健康保険組合 委託事業における個人情報漏えい事案について
関東ITソフトウェア健康保険組合(以下「当組合」という。)が健康診断等業務を委託している慈恵医大晴海トリトンクリニック(以下「受託者」という。)において、下記のとおり受託者が健診結果データを他の事業所に誤送付した事案が判明しました。
関係者の皆様にはご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。
受託者に対しては、健診結果データの作成・送付に関し、データの取扱いとヒューマンエラーを起こさないシステムの構築及び運用変更後の実効性の確認などの再発防止策を講じるよう指示しており、更なる安全性の確保に努めてまいります。
- 令和5年12月8日(金)、同年10月受診分の健診結果データを、受託者がA事業所にCD-Rで送付したところ、当該事業所以外に所属の13社117名の健診結果データが収録されていたことが、令和6年1月5日(金)、受託者より当組合に報告され情報漏えいが判明した。(A事業所から受託者への連絡も同日)
- 当該CD-Rについては、A事業所担当者1名、限定された者にて管理され、当該データ及びCD-Rは速やかに破棄されており、個人情報漏えいの二次被害がないことを確認した。
- 関東信越厚生局及び個人情報保護委員会に本事案について、当組合より令和6年1月9日(火)報告済みである。
【セキュリティ事件簿#2024-029】厚生労働省 私用メールアドレスの誤登録による第三者への個人情報の漏えい及びその対応状況・再発防止策について
1.事案の概要
2.発生原因
3.本事案に関する対応状況(被害の状況等)
4.再発防止策
5.関係者への説明
【セキュリティ事件簿#2024-027】名港海運株式会社 海外子会社への不正アクセスについて
このたび、欧州における当社子会社「Meiko Europe N.V. (以下、ME)」において、2024年1月6日に第三者による不正アクセスを確認しました。
本不正アクセスの判明以降、MEおよび現地のセキュリティ専門会社による調査を行っておりますが、被害の全容を確認するには、一定の時間を要する見込みです。なお、本件は現地当局への報告を行っております。
関係者の皆さまにはご迷惑とご心配をおかけしており、深くお詫び申し上げます。
また、当社IT部門による調査の結果、現時点においてME以外の当社グループに影響がないことを確認しております。
【セキュリティ事件簿#2024-026】ダイドーグループホールディングス株式会社 弊社サーバへの不正アクセス発生について
サイバーセキュリティ・キャリア・フレームワークを使うべきか?
米国のNICE
英国のCCF
EUのECSF
EUにおける欧州サイバーセキュリティ・スキルフレームワーク(ECSF)は、Enisa(欧州ネットワーク情報セキュリティ機関)が昨年9月に発表した最新のフレームワークです。このフレームワークは、12種類のサイバー職種のプロフィールを詳細にまとめており、代替可能な職名、職務概要、ミッション、成果物、主なタスク、主要なスキル、知識、コンピテンシーを「役割」として提示しています。さらに、雇用主、教育プロバイダー、候補者向けにガイダンスを提供するマニュアルも用意されており、それぞれの要件に適した情報を提供しています。また、ISACA、(ISC)2、ECSO(European Cyber Security Organisation)から提供された3つのユースケースも含まれています。
これらのフレームワークが各地域で広く採用されることで、雇用者にとってはサイバーセキュリティ分野の混乱が減少し、潜在的な採用者にとっては敷居が低くなることが期待されています。
日本のSecBok
- 知識分野カテゴリーの改定: 今注目されている「プラス・セキュリティ人材」について、業務の種類や立場に応じた基礎スキルを集約して追加い勝手を向上。
- Job description(ジョブディスクリプション)の考え方: ジョブディスクリプションに基づくセキュリティ関連職種の募集例を提示。
- プラス・セキュリティ人材育成や高等教育機関におけるシラバス作成の参考資料: SecBoK各ロールとの適合度の例や教育コースとのマッピング例を提供。
何を選択するか?
雇用者の視点から見ると、これらのフレームワークは、どのスキルセットがどの職務に適しているかを特定し、各職務内容に関連するものをリストアップするのに役立ちます。また、人員計画や、すでにいるスタッフのスキル開発にも役立ちます。ガイドは、明確で直線的な昇進の道筋を示し、キャリアプランの形成に役立ち、それによって定着率を向上させることが期待されています。
求職者側から見れば、フレームワークによって、さまざまな職務がどのように関連し、どの程度の給与が期待できるかを初めて知ることができ、自らのキャリア開発を計画することができます。また、転職可能なスキルを持っている人は、それを活かせる場所を探したり、具体的な職務について詳しく知ることができるでしょう。
しかし、このフレームワークは人材紹介部門にも関係があります。採用担当者は、無関係なスキルをまとめたり、非現実的な要求をしたりする職務記述書の書き直しに時間を費やす必要がなくなります。これらのマトリックスを参照することで、より職務に適した候補者を探し出し、面接プロセスの一部として情報を活用することができるようになるでしょう。このような小さな変化が採用の可能性を高め、サイバーセキュリティ格差の縮小に貢献することでしょう。
さらに網を広げれば、このフレームワークは、将来のサイバーセキュリティの専門家を教える教育プロバイダーの指針となり、大学のコースで何を学ぶべきかについての洞察を与えることになるでしょう。そしてベンダーも、自社のソリューションを運用するために必要なレベルやスキルセットを示すために、コンピテンシーを利用できるようになることでしょう。
数年後には、このコンピテンシーがなかったら、この分野はいったいどのように機能していたのだろうかと不思議に思うようになることでしょう。
【セキュリティ事件簿#2024-025】茨城東病院 患者個人情報を記録したUSBメモリの紛失について
この度、当院において、患者個人情報を記録したUSBメモリを紛失する事案が発生いたしました。このような事案が発生にしたことについて、個人情報を取り扱う医療機関として決してあってはならないことであり、深く反省いたしております。
恵者様及びそのご家旋並びに関係機関の皆様に深くお詫び申し上げますとともに、個人情報管理の徹底を図り、信頼回復に向けて二度とこの様なことを生じさせないよう再発防止に努めてまいります。
1. 紛失の経緯
令和5年12月18日 (月)、当院職員の申告により個人情報を含んだUSBメモリの紛失が判明いたしました。病院外に持ち出しはしていないため、院内で紛失したものと考えております。
同日以降、紛失場所の捜索、職員への開き取り確認を行い、併せて警察にも遺失の問い合わせをいたしましたが、現時点で発見には至っておりません。
2. 紛失したUSBメモリに保存されでいた個人情報
①患者情報
・忠者ID、氏名、病名、居住地域、診療科、入院日、退院日等 2, 533名分
・氏名、転院先、死亡日 3, 605名分
②職員情報 (面談記録、勤務表) 8名分
なお、当該USBメモリには、自動暗号化及びパスワードロック機能を設定しております。
3. 現在までの対応
対象の患者様及びご家族には、個別にご連絡のうえ、謝罪いたします。
また、現時点において、個人情報が外部に流失したことの情報や不正利用された事実等の被害は確認されておりません。
4. 再発防止策
全職員に対して個人情報管理の徹底とUSBメモリ等の外部電磁的記憶媒体にかかる関連規定の順守について周知徹底するとともに、個人情報の取り扱いに関する研修及び個人情報の管理状況の確認を定期的に実施する等対策を講じてまいります。
この度は、患者様及びご家族並びに関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを、改めて深くお詫び申し上げます。
【セキュリティ事件簿#2024-024】三浦工業 サイバー攻撃による弊社ホームページ改ざんに関するお詫びとご報告
改ざん内容
ご利用のお客様へのお願い
マリオットのポイント購入ボーナスセール(~2024年3月31日)
マリオットがポイント購入のボーナスを発表。2023年10月1日から12月31日の間にマリオット系列での滞在実績がある会員は40%ボーナス、その他の会員は35%のボーナスを獲得できる。
自分はマリオットポイントはJALマイルの間接購入手段と割り切っているため、宿泊実績は無いため35%ボーナス。
このボーナスは2,000ポイント以上の購入に適用され、2024年3月31日まで利用できる。
過去には、パンデミック(武漢ウイルス流行)時にこのボーナスが60%まで上昇したこともあったが、今回もそうなるかどうかはわからない。
感覚的に60%は無いだろう。50%ボーナスが最大だろうから、その時は全力で購入するとして、その他のボーナス時は少しずつ購入をしていく。
以前は為替の関係で購入をためらうシーンが多かったが、住信SBIネット銀行の外貨自動積立で毎月ドルを積み立て、積み立てたドルはJALペイに移して決済するという解決策を思いついた。
これでドルコスト平均法でドルを買い、ドルのまま決済できるので為替を気にする必要がなくなる。
とりあえず今回は50ドル分買ってみる。
マリオットポイントは毎年6万ポイント分購入(=25,000JALマイル)する方針。
あと、マリオットポイント購入時はTopCashback経由で購入するとキャッシュバックをゲットできるのでオススメ
出典:Buy Marriott Bonvoy points with up to a 40% bonus
【セキュリティ事件簿#2024-023】ディップ株式会社 求人掲載企業の管理画面への不正ログインに関するお詫びとお知らせ
■概要
■応募情報が送信された応募者
■応募情報を閲覧された可能性がある応募者
■本件への対応
- 本アカウントの停止
- 該当される方へのお詫びとお知らせ
- 当該情報を送信された方への応募情報が記載されたメール削除のお願い
- 本事象に関するログ・セキュリティ調査の実施
- 当該掲載企業の管理画面に不正ログインした第三者に関する調査の実施
- 個人情報保護委員会への報告
- 麻布警察署への報告および協力
Kivaローンで社会貢献しながらマイルをゲットできるか検証(2024年2月号)※2か月目
■融資条件
・LOAN LENGTH:8 mths or less
・RISK RATING:4-5
・DEFAULT RATE:~1%
・PROFITABILITY:4%~
■新規融資案件
融資No:2716127号(https://www.kiva.org/lend/2716127)
- 融資国:フィリピン
- Lending partner:Negros Women for Tomorrow Foundation
- 期間:8か月
- 融資実行:2024年2月
- 融資額:25USD(≒3,900.5円)
- 返済率:0%
融資No:2718123号(https://www.kiva.org/lend/2718123)
- 融資国:ニカラグア
- Lending partner:MiCredito
- 期間:8か月
- 融資実行:2024年2月
- 融資額:25USD(≒3,900.5円)
- 返済率:0%
■融資済み案件
融資No:2705613号(https://www.kiva.org/lend/2705613)
- 融資国:フィリピン
- Lending partner:Negros Women for Tomorrow Foundation
- 期間:8か月
- 融資実行:2024年1月
- 融資額:30USD(≒4,727.5円)
- 返済率:0%
融資No:2707642号(https://www.kiva.org/lend/2707642)
- 融資国:ニカラグア
- Lending partner:FUNDENUSE
- 期間:8か月
- 融資実行:2024年1月
- 融資額:30USD(≒4,727.5円)
- 返済率:0%
【セキュリティ事件簿#2024-023】サンライズワークス 不正ログインによる個人情報漏洩のお知らせとお詫び
2023/12/30 | ・本件メールが一部の応募者様宛に送信される。続いてサイバー攻撃を受けている旨の不審なメールが一部の応募者様宛に送信される。 |
2024/1/5~ | ・ディップ社側から連絡を受け、弊社が本件メール送信の事実を把握。 ※なお、この間にサイバー攻撃を受けている、不審なメールを受信した等のお問い合わせをいただきましたが、 弊社には本件メールについてのお問い合わせがなく本件メール送信の事実が把握できませんでした。 ・管理画面の停止および求人掲載取り下げのうえディップ社と協力して調査を開始(現在も継続中)、 応募者様宛の連絡等についても同社と協議のうえ対応。 |
【セキュリティ事件簿#2024-022】株式会社ファインエイド 不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ
1.経緯
2.個人情報漏洩状況
3.お客様へのお願い
4.公表が遅れた経緯について
5.再発防止策ならびに弊社が運営するサイトの再開について
【セキュリティ事件簿#2024-021】日東製網株式会社 第三者によるランサムウェア感染被害のお知らせ
1.経緯
2.被害を受けた情報
3.今後の対応
【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスへの対応に関して
昨年、当社春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことに関して、以下の通り続報致します。
本件につきましては、速やかに対策本部を設置のうえ、外部専門家による原因の特定、被害状況の確認、情報流出の有無などの調査を行いました。
その結果、業務に使用していない PC にインストールされていたリモートデスクトップツールを通じた不正アクセスがあり、春日井工場のデータの一部がロックされましたが、バックアップ・データにより復旧できております。他のデバイスについてはこれまでに実施してきたセキュリティー強化の効果もあって影響を受けなかったものと判断しております。
今後は、導入済みのセキュリティーツールの運用強化も含め、適時、外部専門家のアドバイスを受けるなど、セキュリティー対策の拡充に努めて参ります。
改めまして、この度の件でご心配をお掛けしましたことを、深くお詫び申し上げます。
【セキュリティ事件簿#2023-508】大東市立生涯学習センター アクロス 当センターメールアカウントへの不正アクセスのお詫びとご報告
2023年12月13日、当センターのメールアカウント(info@daito-across.jp)が第三者による不正アクセス攻撃をうける事象が発生し、調査・対応しましたのでお知らせします。
不正アクセスに伴って、当センターを装った「なりすましメール」が不正に発信されているという事実を確認いたしました。
本件に関しまして、再発防止に向けた対策を実施してまいります。関係者の皆様には、多大なるご迷惑およびご心配をおかけしますことを深くお詫びいたします。
経緯及び対応2023年12月13日1時頃、当センターを装った「なりすましメール」が大量に配信されていることを検知、アカウントを一時凍結しました。
これを受けて調査した結果、当センターのメールアカウントに対して不正アクセスが行われていることが判明しました。
不正アクセスされていたメールアカウントのパスワードについては12月13日に変更を行いました。
影響範囲および今後の対応daito-across.jpドメインをつかった複数の不正メールが送信された事象を確認しています。
また上記アカウントのメールボックス内の情報がダウンロードされた痕跡はいまのところ確認されておりませんが、メールボックス内の情報にアクセスできた可能性がございます。
当センターとしては、本件について引き続き調査を進めるとともに、調査結果を踏まえ、セキュリティ強化策を実施し、今後は更に不正アクセスを防止するための再発防止策を講じてまいります。今後、新たにお知らせすべき内容が判明した場合、速やかに情報を開示いたします。
当センターを装った不審メールにつきまして万一、当センターのメールを装った不審なメールが届いておりましたら、本文中に記載されているURLをクリックしたり、添付されているファイル等を開封したりせず、メールごと削除していただきますようお願いいたします。
【セキュリティ事件簿#2023-507】北海道銀行 個人情報漏えいに関するお詫びとご報告
1.事案の概要
2023 年 12 月 18 日 10 時 50 分頃、毎月データを送信している相手先に対して、本来お渡しすべきデータの他、誤ってお渡しすべきでない個人情報が記載されたファイルを電子メールに添付して送信しました。
同日 11 時頃、当行側で誤ったファイルを添付したことに気づき、直ちに相手先を訪問し当日中にデータを削除していただいたことを確認しており、二次流出の懸念はないものと認識しております。
2.漏えいした個人情報
※氏名以外の個人を識別できる情報(住所、電話番号、口座番号、預金残高等)は含まれておりません。
3.発生原因
当行では電子メール送信の際は、担当者・検証者による 2 名での手続きを経て送信を行っておりますが、担当者・検証者ともに添付ファイルの内容確認を十分に行わなかったことが原因です。
4.再発防止策
【セキュリティ事件簿#2024-020】オープンワーク株式会社 個人情報漏えいに関するお詫びとご報告
1.概要および当社の対応について
2.メール誤送信の詳細
3.ユーザーの皆様への対応について
4.再発防止策について
【セキュリティ事件簿#2024-019】滋賀レイクス Googleフォーム誤操作による企画申込者の個人情報漏えいについて
概要
弊社対応
原因
再発防止策
【セキュリティ事件簿#2024-018】ベルサンテグループ ホームページ改ざん被害に伴う復旧 不審メール送信によるメールアドレス流出
【セキュリティ事件簿#2024-017】プラズマ・核融合学会 個人情報漏えいに関するお知らせとお詫び
パープルチーム向け無料セキュリティ・ツール
レッドチームは、攻撃者の役割を担うチームです。彼らは、システムやネットワークに対する潜在的な攻撃手法を模倣し、セキュリティの脆弱性や欠陥を発見するために活動します。レッドチームは、ペネトレーションテストや攻撃シミュレーションなどの手法を使用して、実際の攻撃者が使用するであろう手法を模倣します。
ブルーチームは、防御側の役割を担うチームです。彼らは、システムやネットワークを保護し、攻撃から守るためのセキュリティ対策を実装および維持します。ブルーチームは、脆弱性の管理、侵入検知システムの運用、セキュリティポリシーの策定など、防御的なセキュリティ対策に焦点を当てます。
パープルチームは、レッドチームとブルーチームの活動を統合し、相互作用を促進するチームです。彼らは、攻撃側の視点と防御側の視点の両方を理解し、セキュリティ対策の改善や脅威への対応を行います。パープルチームは、レッドチームとブルーチームの間で情報共有や訓練を行い、より効果的なセキュリティ対策を実現します。
Defender-Pretender
PyRDP
BTD
HARry Parser
PowerGuest
【セキュリティ事件簿#2024-016】「弥生のかんたん開業届」における個人情報漏えいに関するお詫びとご報告
1.事象の概要
(1)発生事象とシステム対応
*書類データ(PDF)の書類数と情報内容は、お客さまの入力内容によって異なります。詳細は「3」をご確認ください**「可能性」と記載している理由:調査の結果、対象数のうち、書類データに問題無いユーザーも含まれている可能性があることがわかりました。一方でそれ以上の特定がシステム上、難しいことも判明したため、当お知らせでは「可能性」と記載しております。今回は可能性のある方をすべて対象数とし、対応と公表をすることといたしました
2. 対象のお客さま
(1)対象サービス
- 個人事業主が事業を開始する際に必要な書類を作成できる無料のクラウドサービスです。サービスへのログイン後に使用することができます。
(2)対象期間と対象条件
- 2023年2月28日(火)~2024年1月15日(月)
- 「弥生のかんたん開業届」内にある書類データのダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0~2秒以内)で2人同時に*行われた場合
*「2人」のうち、1人は本人(入力した自身)の情報、もう1人は自身が入力したものとは異なる情報が閲覧できる状態であった可能性。また、 3人以上が同時に押したケースは確認しておりません
(3)対象数と件数
- ご自身の情報が他ユーザー1名に閲覧された、もしくはその可能性があるユーザー
- 他ユーザー1名の情報を閲覧できてしまった、もしくはその可能性があるユーザー
*関係性にある可能性という事実までは確認できておりますが、システム上、どちらが閲覧した/されたの特定はできておりません
3. 対象情報
(1)閲覧された可能性のある情報
- 氏名、生年月日、住所、電話番号、職種、事業概要、屋号、事業開始(予定)日、従業員がいらっしゃる場合は従業員数、従業員にご家族が含まれる場合はご家族の情報(続柄、氏名、年齢、従事する仕事内容、経験年数、従事の程度、保有資格、給与/賞与の支払時期・金額)
- 以下の書類に入力された項目(入力内容によってダウンロードされる書類が異なります)
- 個人事業の開業・廃業等届出書
- 所得税の青色申告承認申請書
- 青色事業専従者給与に関する届出書
- 源泉所得税の納期の特例の承認に関する申請書
- 給与支払事務所等の開設届出書
*お客さまが入力された情報、ダウンロードされた書類の種類により、該当する情報は異なります
4. お客さまへの対応
(1)当社からお客さまへの対応
- 2024年1月25日(木)に当お知らせを公開*
- 対象となるお客さま(前述「2」)へ個別連絡を随時実施しております**
*今後も新たな事実が判明した場合は、当お知らせアナウンスを随時更新し情報発信を行います**前述1-(1)で当社へ問い合わせをいただいたA様に関連する事象については、A様が閲覧された先のB様を特定後、A様にて該当データの削除を完了いただいております。B様へも当社から個別連絡を行っております。
(2)当件においてご不安や確認事項があるお客さまへ
- 当件においてご不安を持たれた方
- 心当たりのない不審な電話、郵送物、電子メールが届くような事象が発生した方(応答や開封にご注意ください)
- そのほか、当件について確認事項等がある方
5. 当事象の発生検知と原因、影響範囲
(1)発生検知と原因
- 2024年1月15日(月) 9時47分、当社カスタマーセンターにて「弥生のかんたん開業届にて、書類をダウンロードした際、別ユーザーの情報が表示されている」とのメールお問い合わせを確認し、当事象を検知しました。
- 検知後すぐに当サービスの開発委託会社とともに調査を行いました。事象の詳細としては、ダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0~2秒以内)で2人同時に行われたことを起因として、当事象が起きる可能性があるというものでした。先に内部処理が完了したデータ(以下、データA)が、後に同処理が完了したデータ(以下、データB)に上書きされ、データAをダウンロードすべき対象者にデータBがダウンロードされた可能性があるという状態でした。
【セキュリティ事件簿#2024-015】株式会社大藤つり具 お客様個人情報漏えいの可能性に関するご報告とお詫び
1.本事案の概要
2.漏えい等が発生したおそれのある項目
3.発生原因
4.二次被害またはそのおそれの有無
5.その他参考となる事項
【セキュリティ事件簿#2024-014】愛媛県 県ホームページ内の電子行政サービス「オープンデータ」における 個人情報流出について
1 概要
- 期間
令和 5 年 12 月 21 日(木)~令和 6 年 1 月 11 日(木) - 内容
公表データを作成するための作業用データで、公表すべき障害児通所支援事業所名や事業所所在地などのほかに、事業所の設置法人代表者と施設管理者の個人住所、及び苦情窓口担当者氏名が記載されたエクセルファイル - 事業所数
延べ508事業所
※事業所種別:児童発達支援、放課後等デイサービス、保育所等訪問支援、居宅訪問型児童発達支援、障害児相談支援事業所、障害児入所施設 - 個人情報件数(実数)
- 設置法人代表者の個人住所 205件
- 事業所管理者の個人住所 318件
- 施設の苦情窓口担当者の氏名 238件 計761件
2 判明した日
3 判明後の対応等
- 1月18日付けで、対象者の方々に対し、本事案に関する状況説明及び謝罪の文書を発送しました。
- 1月18日から、障害児通所事業所等の設置法人に電話連絡し、本事案に関する状況説明及び謝罪を行っています。
- 現時点において、二次被害は確認されておりません。
- オープンデータは現在、正しいデータを添付し公開しています。
4 発生の経緯及び原因
5 再発防止策
- 情報セキュリティポリシーの遵守はもとより、個人情報が含まれるデータを扱う際には細心の注意を払う必要があることを改めて職員に周知し、緊張感を持った業務遂行を徹底します。
- 作業用ファイルでは個人情報を除いて作業するとともに、作業用ファイルにパスワードを設定する等、公表データ作成の手順を見直します。また、ホームページ更新時は、担当者が公表前にプレビュー機能等を活用して誤りがないか確認するとともに、上位の職員が確認したうえで更新し、更新後も複数職員で確認するよう徹底します。
【セキュリティ事件簿#2024-013】埼玉県 生徒の個人情報の流出について
1 事故の概要
2 個人情報の内容
3 学校の対応
同一覧表の画像を送受信した生徒に、画像を削除するよう指示するとともに、送信した生徒については画像の消去を確認。全校の生徒、保護者に対して、画像の拡散禁止及び削除を依頼。
画像を受信した生徒に再度、画像の転送を行っていないこと、画像を消去したことを確認し、緊急集会にて全校生徒に事故の概要を説明し謝罪するとともに、保護者説明会にて事故の概要を説明し謝罪。
4 再発防止策
【セキュリティ事件簿#2024-012】横浜市立みなと赤十字病院 個人情報の紛失について
1 事案発覚の経緯(下記経緯参照)
2 事案の内容
3 対 応
4 再発防止策
<経緯>
- 職員(医師)が論文作成のため、診療科部門のシステムから個人の USB メモリに診療データ(1,092 件分)をコピー(当該 USB メモリ及びデータファイルへのパスワード設定は不明)
- USB メモリは、院内・自宅での作業で使用
- 最後に当該 USB メモリを使用
- USB メモリの紛失に気付く
- 上司の医師に報告
- USB メモリを発見できず当該医師と上司が病院に報告
- 病院から横浜市に報告
- 対象の患者様全員へ書面を発送し謝罪
- 院内に問い合わせ窓口を設置
【セキュリティ事件簿#2024-011】コムテック LINEキャンペーンにおける個人情報漏えいに関するお詫びとお知らせ
1.漏えいが確認された個人情報
2.原因
3.経緯について
4.対策について
2024年版 危険な航空会社ランキング
- カンタス航空(豪)
- カタール航空(カタール)
- フィンエアー(フィンランド)
- キャセイパシフィック航空(香港)
- アラスカ航空(米)
- ブリティッシュ・エアウェイズ(英)
- JAL(日)
- アメリカン航空(米)
- イベリア航空
- ロイヤル・エア・モロッコ
- スリランカ航空
- ロイヤル・ヨルダン航空
- フィジー・エアウェイズ(oneworld connectメンバー)
- オマーン航空(2024年加盟予定)
- マレーシア航空
- Pakistan International Airlines / パキスタン国際航空
カラチを本拠地とするパキスタンの航空会社。
- Air Algérie / アルジェリア航空
アルジェリアのアルジェを本拠地とする航空会社。
- SCAT Airlines / SCAT航空
カザフスタンのシムケントを本拠地とする航空会社。
- Sriwijaya Air / スリウィジャヤ航空
スマトラ島をベースにインドネシア国内の都市を結ぶインドネシアの航空会社
- Airblue / エアブルー
カラチを本拠地とするパキスタンの格安航空会社
- Blue Wing Airlines
スリナムの航空会社
- Iran Aseman Airlines / イラン・アーセマーン航空
イラン・テヘランに拠点をおく航空会社。
- Nepal Airlines / ネパール航空
ネパールで唯一の国営航空会社。また同国のフラッグ・キャリア。本拠地はカトマンズ。