当団体職員 1 名の Microsoft365 の認証情報が不正に窃取され、このアカウント経由にて大量のメールが不正に送信された事象について、ご心配とご迷惑をおかけしております。
12 月 1 日に当ホームページに公表しましたとおり、外部専門機関によるフォレンジック調査の結果、第三者の不正ログインによる外部への情報流出の痕跡は見当たらず、個人情報を含む当団体保有情報が外部へ漏えいした可能性は極めて低いと考えられます。また、現時点で個人情報の漏えいは確認されておりません。
しかし不正アクセスの際に情報を閲覧された可能性を完全に否定することは困難であることから、法令上通知の対象となる方々には順次ご案内を差し上げている次第です。
なお、ご連絡先メールアドレスの変更などで通知が難しい場合は、通知に代わるべき措置として、当団体ホームページ上の本公表での対応といたしますこと、ご了承いただきますようお願い申し上げます。
調査の結果、当団体のセミナー受講・申込に係る情報を管理する業務基幹システムや
お客様情報を保存しておりますデータベースサーバーへ
不正アクセスされた痕跡及び情報の漏えいは認められませんでした
不正アクセスの範囲
不正なアクセス及び操作は以下のとおりです
- 当該アカウントの Outlook へのログイン
- Outlook からのメール送信
- Outlook の送信済みフォルダにアクセスし、送信したメールを削除
不正アクセスの痕跡がないと判断された範囲
- 当該 Microsoft365 アカウントを使用していた端末(PC)
- 当団体のセミナー受講・申込に係る情報を管理する業務基幹システム
- 当団体の使用するデータベースサーバー
- 当団体社内ネットワーク
- 不正アクセスを受けたアカウント以外の当団体が保有する Microsoft365 アカウント全数
- 不正アクセスを受けたアカウントの Outlook 以外のサービス(Teams、OneDrive、SharePoint など)
- 不正アクセスを受けたアカウントの Outlook の送信済みフォルダ以外のフォルダ
及び不正に送信されたメール以外のメール内容、添付ファイルへのアクセス及びダウンロード
不正に送信されたメールについて
2025 年 10 月 20 日から 10 月 29 日にかけ 7,921 通のメールが不正に送信されております。
この 7,921 通のメール送付先について全数調査したところ、不正アクセスのあったアカウントに保存されている連絡先、当団体の会員組織ご担当者様、過去に各種セミナーなどにご参加いただいた皆様、お取引先ご担当者様など、当方が所持しているメールアドレスへの送信履歴はございませんでした。
内容は Microsoft を装ったフィッシングサイトへの誘導メールです。万が一お手元に届いてもアクセスしないようお願い申し上げます。
個人情報保護委員会との確認により「漏えいのおそれあり」と判断した個人情報・送信済みフォルダにアクセスした際に一覧表示される宛先情報(氏名・メールアドレス)これらを第三者に閲覧された可能性を否定することができないため、不正アクセスがあった時点で送信済みフォルダに保存されていた宛先情報全件を「漏えいのおそれあり」と判断いたしました。
個人情報保護法により通知の対象となる方々
不正アクセスされたアカウントの送信済みフォルダに保持されていたメールの宛先の方々(1,538 件)
なお、メールでのご連絡の場合には本件専用メールアドレス personalinfo@cpc.or.jp を使用いたします。
二次被害のおそれの有無について
現在のところ、外部への情報漏えいや、対象者の皆様に影響を及ぼすような二次被害などは確認されておりません。また、ダークウェブ上に情報漏えいがないか併せて調査を行っており、現時点では、当団体に関する情報は確認されておりません。
また、現時点で流出のおそれがある情報が不正利用された事象は確認されておりませんが、流出のおそれがある情報を悪用した「なりすましメール」や「フィッシングメール」が送付される可能性がございます。
不審なメールや添付ファイルは開封せず、削除していただくようご注意をお願いいたします。
再発防止対策について
Microsoft365 にログインできる端末及びネットワークを制限いたします。
EDR を導入し、攻撃検知の精度を向上させます。
職員に対してセキュリティ教育を実施し、セキュリティ意識向上に努めてまいります。
以上、この度は会員組織の皆様、お取引先ご担当者様にご心配とご迷惑をおかけしましたことを重ねて深くお詫び申し上げます。
今後とも変わらぬご支援ご鞭撻を賜りますようお願い申し上げます。