なお、当社が運営する一部の他サイトにおいては、個人情報の取り扱いに関する調査を行っております。 ご利用の皆様には、多大なご不便・ご心配をおかけしましたことを、心よりお詫び申し上げます。
今後、再発防止に向けた対応を継続してまいります。
リリース文(アーカイブ)
【セキュリティ事件簿#2026-042】株式会社インテグラル 当社ホームページへの不正アクセスについて 2026年1月30日
【セキュリティ事件簿#2025-550】株式会社WOWOW 身に覚えのないログイン通知にご注意ください~第三者による不正ログイン対策に関するお願い 2025/12/25
平素よりWOWOWをご利用いただき、誠にありがとうございます。
既報の通り、お客様以外の第三者が外部で不正に取得したID・パスワードを利用し、WOWOW WEBアカウントへログインを試みたと思われる事象が確認されております。
詳細な調査を進めたところ、一部のお客さまのアカウントにおいて、My WOWOWへのアクセス、もしくは、ご登録されている情報の変更履歴を確認いたしました。
お客さまご自身による変更お手続きの可能性もございますが、万が一、お心当たりがない場合は、重ねてのご案内となりますが、お客様の大切な情報を守るため、速やかに以下のご対応にご協力いただけますようお願い申し上げます。
なお、「My WOWOW」にアクセス後に、参照及び、お手続きできる情報は、以下のとおりです。
お名前、ご住所、電話番号、ご契約情報(プランの種類、直接契約か他社経由か等)、ご加入、ご解約、端末名称、お支払い履歴、お支払い方法(クレジットカード情報等)、プログラムガイド(番組表)の発送要否、アカウント削除、ご契約アカウントへの紐づけ、等
※ クレジットカード番号は、下3~4桁以外は非表示としております。
※ クレジットカード情報において、セキュリティコードや有効期限等の情報は表示しておりません。
■お客様へのお願い(セキュリティ対策)
1. パスワードの変更と厳重な管理
身に覚えのないログイン通知メールが届いた場合や、少しでもご不審に思われた場合は、速やかにパスワードを再設定してください。
・パスワード再設定は>こちら
2. パスワードの使い回しにご注意ください
他のサービスで利用しているID(メールアドレス)・パスワードをそのままWOWOWでも利用している場合、不正ログインのリスクが高まります。他のサービスとは異なる、推測されにくいパスワードへの変更を強く推奨いたします。
3. 不審なメールやSMSにご注意ください。
WOWOWを装った不審なメールやSMSにご注意ください。
不審なメールを受け取った際は、まず送信元のメールアドレスをご確認ください。
少しでも内容に不審な点がある場合は、リンクはクリックせず、公式サイトのお知らせをご確認いただくか、カスタマーセンターへお問い合わせください。
■不正ログインの可能性があるお客様へのご対応
弊社にて第三者による不正ログインの可能性が高いと判断したお客様へは、ご登録のメールアドレス宛に個別にご連絡を差し上げております。
メールが届いたお客様は、大変お手数ですが、メールの内容をご確認いただき、速やかにパスワードの再設定手続きにご協力をお願いいたします。
お客様にはご心配とご不便をおかけいたしますことを深くお詫び申し上げます。
また、本事象に関する二次被害は現時点でございませんが、不審なメール、SMS、お電話などには十分にご注意ください。
弊社では、引き続きセキュリティ対策の強化に努めてまいりますので、何卒ご理解ご協力を賜りますようお願い申し上げます。
【セキュリティ事件簿#2025-547】株式会社アスマーク 不正ログイン発生に伴う一部ポイント交換の一時停止およびパスワード変更のお願い 2025/12/24
平素よりD style webをご利用いただき、誠にありがとうございます。
このたび、悪意ある第三者がユーザー様のメールアカウントを乗っ取り、そのメールアドレスを悪用してD style webへ不正ログインを行うという個別事象が確認されました。特に特定のプロバイダ(現在はOCNのみ)のメールアドレスをご利用のお客様において、メールアカウント自体の乗っ取り被害が報告されており、それに伴いD style web上での不正なポイント交換申請が発生しております。
本件は、D style webに対しての不正アクセスではなく、また弊社サーバーから情報が漏洩したものではございません。ユーザー様のメールアカウントが第三者に操作可能な状態(メールの送受信や他サイトのパスワード再発行通知の閲覧ができる状態)になっていたことを悪用されたものと推測されます。
これに伴い、被害の拡大防止および会員の皆様の大切なポイント資産を保護するための緊急措置として、換金性の高い一部のデジタルギフトへの交換申請を一時的に停止させていただきます。
交換再開等の詳細は以下の通りです。
ーーーーーーーーーーーーーーーーーーーーーー
【一部商品の交換申請停止について】
■停止期間
安全確認が取れるまで
■交換申請を停止する商品
1.Amazonギフトカード
2.Apple Gift Card
3.Google Play ギフトコード
ーーーーーーーーーーーーーーーーーーーーーー
【重要:メールアカウントおよびパスワードの管理について】
今回の不正アクセス事例では、ご登録のメールアカウントそのものが第三者に乗っ取られている事象となります。メールアカウントが乗っ取られてしまうと、パスワードの再発行機能などを悪用され、全てのご利用サービスへ不正にログインされて悪用されてしまう恐れがあります。
会員の皆様におかれましては、被害を未然に防ぐため、まずはメールアカウントのパスワード変更を行っていただき、第三者がメールを閲覧できない状態にすることを強く推奨いたします。あわせて、各サービスでのパスワードの使い分け(使い回しの防止)・二段階認証等をご検討いただきますようお願い申し上げます。
年末年始の期間中に当該商品への交換をご検討されていた会員の皆様には、多大なるご迷惑とご不便をおかけしますことを深くお詫び申し上げます。
皆様に安心してサービスをご利用いただくための措置となりますので、何卒ご理解とご協力を賜りますようお願い申し上げます。
【セキュリティ事件簿#2025-503】一般財団法人中部生産性本部 当団体職員のMicrosoft365への不正アクセスに関するお詫びとご報告 2025/12/17
当団体職員 1 名の Microsoft365 の認証情報が不正に窃取され、このアカウント経由にて大量のメールが不正に送信された事象について、ご心配とご迷惑をおかけしております。
12 月 1 日に当ホームページに公表しましたとおり、外部専門機関によるフォレンジック調査の結果、第三者の不正ログインによる外部への情報流出の痕跡は見当たらず、個人情報を含む当団体保有情報が外部へ漏えいした可能性は極めて低いと考えられます。また、現時点で個人情報の漏えいは確認されておりません。
しかし不正アクセスの際に情報を閲覧された可能性を完全に否定することは困難であることから、法令上通知の対象となる方々には順次ご案内を差し上げている次第です。
なお、ご連絡先メールアドレスの変更などで通知が難しい場合は、通知に代わるべき措置として、当団体ホームページ上の本公表での対応といたしますこと、ご了承いただきますようお願い申し上げます。
調査の結果、当団体のセミナー受講・申込に係る情報を管理する業務基幹システムや
お客様情報を保存しておりますデータベースサーバーへ
不正アクセスされた痕跡及び情報の漏えいは認められませんでした
不正アクセスの範囲
不正なアクセス及び操作は以下のとおりです
- 当該アカウントの Outlook へのログイン
- Outlook からのメール送信
- Outlook の送信済みフォルダにアクセスし、送信したメールを削除
不正アクセスの痕跡がないと判断された範囲
- 当該 Microsoft365 アカウントを使用していた端末(PC)
- 当団体のセミナー受講・申込に係る情報を管理する業務基幹システム
- 当団体の使用するデータベースサーバー
- 当団体社内ネットワーク
- 不正アクセスを受けたアカウント以外の当団体が保有する Microsoft365 アカウント全数
- 不正アクセスを受けたアカウントの Outlook 以外のサービス(Teams、OneDrive、SharePoint など)
- 不正アクセスを受けたアカウントの Outlook の送信済みフォルダ以外のフォルダ
及び不正に送信されたメール以外のメール内容、添付ファイルへのアクセス及びダウンロード
不正に送信されたメールについて
2025 年 10 月 20 日から 10 月 29 日にかけ 7,921 通のメールが不正に送信されております。
この 7,921 通のメール送付先について全数調査したところ、不正アクセスのあったアカウントに保存されている連絡先、当団体の会員組織ご担当者様、過去に各種セミナーなどにご参加いただいた皆様、お取引先ご担当者様など、当方が所持しているメールアドレスへの送信履歴はございませんでした。
内容は Microsoft を装ったフィッシングサイトへの誘導メールです。万が一お手元に届いてもアクセスしないようお願い申し上げます。
個人情報保護委員会との確認により「漏えいのおそれあり」と判断した個人情報・送信済みフォルダにアクセスした際に一覧表示される宛先情報(氏名・メールアドレス)これらを第三者に閲覧された可能性を否定することができないため、不正アクセスがあった時点で送信済みフォルダに保存されていた宛先情報全件を「漏えいのおそれあり」と判断いたしました。
個人情報保護法により通知の対象となる方々
不正アクセスされたアカウントの送信済みフォルダに保持されていたメールの宛先の方々(1,538 件)
なお、メールでのご連絡の場合には本件専用メールアドレス personalinfo@cpc.or.jp を使用いたします。
二次被害のおそれの有無について
現在のところ、外部への情報漏えいや、対象者の皆様に影響を及ぼすような二次被害などは確認されておりません。また、ダークウェブ上に情報漏えいがないか併せて調査を行っており、現時点では、当団体に関する情報は確認されておりません。
また、現時点で流出のおそれがある情報が不正利用された事象は確認されておりませんが、流出のおそれがある情報を悪用した「なりすましメール」や「フィッシングメール」が送付される可能性がございます。
不審なメールや添付ファイルは開封せず、削除していただくようご注意をお願いいたします。
再発防止対策について
Microsoft365 にログインできる端末及びネットワークを制限いたします。
EDR を導入し、攻撃検知の精度を向上させます。
職員に対してセキュリティ教育を実施し、セキュリティ意識向上に努めてまいります。
以上、この度は会員組織の皆様、お取引先ご担当者様にご心配とご迷惑をおかけしましたことを重ねて深くお詫び申し上げます。
今後とも変わらぬご支援ご鞭撻を賜りますようお願い申し上げます。
【セキュリティ事件簿#2025-531】岡山県立図書館メールサーバを経由した部外者による不正なメール送信事案の発生について 2025/12/17
令和7年12月10日18時頃から11日9時半頃にかけて、岡山県立図書館のメールサーバが部外者から悪用され、大量の迷惑メールが外部に送信される事案が発生しました。
送信されたメールは、送信先のほとんどが海外あてで、標題が「LOAN OFFER」、本文が英語の短い文章となっているものが確認されています。
なお、メールサーバ内の情報漏洩や個人情報流出などは確認されておりません。
本事案の原因は、メールサーバの設定不備が主な原因であり、把握後、すぐにメールサーバの設定を変更するとともに、パスワードを強固なものに変更するなどの対策を講じています。
この度は、皆様にご迷惑やご心配をおかけしたことをお詫び申し上げます。
本事案を重く受け止め、情報セキュリティ対策に万全を期してまいります。
ご自身に心あたりのないメールや不審なメールが届いた場合は、開封せずに削除してくださいますようお願い申し上げます。
【セキュリティ事件簿#2025-529】名古屋大学教育学部附属中・高等学校 SSHコンソーシアムTOKAIウェブサイトの一時公開停止について 2025/12/16
令和7年4月28日、本校が運用する SSHコンソーシアムTOKAIウェブサイト(ssh-goat.jp) において、第三者による不正アクセスとみられる改ざんが確認されました。これにより、Google検索結果に当該サイトとは無関係の多数のページが表示される状態が発生しました。
現在、当該サイトを一時的に公開停止し、原因の調査および復旧作業を進めております。現時点においてサイト内部のデータが流出した事実は確認されておりません。
■ 対応状況
システムの再構築を実施
セキュリティチェック(コアシステムおよびプラグインの最新化)の継続
今後、より安全性の高いサーバ環境への移行を検討中
ご利用の皆様にはご心配とご不便をおかけし誠に申し訳ございません。安全性を確認次第、サイトを順次再開いたします。
【セキュリティ事件簿#2025-518】個人情報保護委員会 株式会社中央ビジネスサービスに対する個人情報の保護に関する 法律に基づく行政上の対応について 2025/9/10
個人情報保護委員会(以下「当委員会」という。)は、本日、名簿販売の事業を営む株式会社中央ビジネスサービス1、2(以下「中央ビジネス」という。)に対し、下記1のとおり個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第148 条第1項の規定により勧告を行い、下記3のとおり法第 146 条第1項の規定により報告等の求めを行うことを決定した。
1 勧告の内容
中央ビジネスにおける個人情報等の取扱いについて、法第 148 条第1項の規定により、以下のとおり、違反行為の中止その他違反を是正するために必要な措置をとるべきことを勧告する。
⑴ 法第 19 条(不適正な利用の禁止)の規定に違反する個人情報の提供を確実に中止すること。
⑵ 法第 19 条の規定に違反する個人情報の提供を一切行わないよう、令和7年9月 30 日(火)までに、例えば、個人情報の提供先に対し当該個人情報の利用目的を確認すること、個人情報の提供先について、法人登記で実在性を確認し、担当者の在籍確認を行う等の方法で、違法又は不当な行為に及ぶ者ではないことを確認すること等を会社規程に盛り込み、個人情報の取扱状況について定期的に監査を実施するなど、確実な体制整備を行うこと。
2 勧告の理由
当委員会は、警察から、「特殊詐欺グループの被疑者が、中央ビジネス名義の銀行口座へ振込入金していた事実が確認された。」等の情報提供を受け、令和7年8月 21日、中央ビジネスに対し、法第 146 条第1項の規定による立入検査を実施したところ、中央ビジネスにおける個人情報の取扱いについて、以下の法第 19 条の規定違反が認められた。
⑴ 中央ビジネスは、令和6年4月、警察から連絡を受け、同社がAと名乗る人物に対して提供した個人情報が、特殊詐欺グループに提供された可能性があることを認識したにもかかわらず、その後、同年5月から令和7年3月までの間、Aと名乗る人物に対して 37 回の取引を継続し、約 49 万人分の個人情報を提供した。
⑵ 中央ビジネスが上記⑴で提供した個人情報は、個人情報に係る本人に財産的被害等を及ぼす特殊詐欺グループに提供された。
⑶ 中央ビジネスは、令和7年5月、警察から連絡を受け、同社がBと名乗る人物に対して提供した個人情報が、特殊詐欺グループに提供された可能性があることを認識したにもかかわらず、その後、同年6月から同年8月までの間、Bと名乗る人物に対して5回の取引を継続し、約 11 万人分の個人情報を提供した。
⑷ 中央ビジネスが上記⑶で提供した個人情報は、個人情報に係る本人に財産的被害等を及ぼす特殊詐欺グループに提供された可能性がある。
⑸ 中央ビジネスの上記⑴及び⑶の行為は、違法又は不当な行為を助長し、又は誘発するおそれがある方法による個人情報の利用であり、法第 19 条の規定に違反する。
⑹ 中央ビジネスにおける個人情報等の取扱いについて、同違反を放置しておくことは、個人の権利利益を侵害するおそれが高く、当委員会として、個人の権利利益を保護するため、同社に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるよう勧告する必要がある。
3 報告等の求め
前記1の勧告事項の履行状況を確認するため、法第 146 条第1項の規定により、当委員会に対し、以下のとおり、報告するよう求める。
⑴ 令和7年9月 30 日(火)までに、整備した体制の内容について報告すること。
⑵ 本件勧告発出後1年間、1か月ごとに、個人データの第三者への提供状況及び提供時の確認状況を報告すること。
【セキュリティ事件簿#2025-514】退職者アカウントを放置した結果、逮捕事案に発展 広島市のクラウド運用の問題点
広島市立小学校の職員として採用された男(28)が、前職時代に付与されたクラウドサービスのログインID・パスワードを退職後も使用し、不正アクセス禁止法違反容疑で逮捕された。報道によれば、在職時代に所属していた会社の業務用クラウドに 67回、関連会社のクラウドに 11回 アクセスした疑いがある。
本人は「不正アクセスに該当するとは思わなかった」と供述しているというが、問題の本質はそこにはない。この事案で最も深刻なのは、退職後も社員アカウントが生きたまま放置されていた組織側の運用不備である。
■ なぜ退職者アカウントが「半年間」生きていたのか
今回の容疑期間は 2024年11月〜2025年4月。
退職に伴うアカウント無効化が適切に行われていれば、そもそもアクセスは成立しなかった。
一般的に、クラウドサービスを利用した業務運用では以下が最低限の管理項目となる。
-
退職時の即時アカウント停止
-
パスワードリセットおよび端末紐づけ解除
-
MFA(多要素認証)の強制
-
アクセスログの定期監査と異常行動検知
これらは“高度なセキュリティ対策”ではなく、基礎的なID管理プロセスである。
それが機能していなかったことが明らかになった。
■ 組織ガバナンスの欠如が生み出す典型的なリスク
退職者アカウントを放置すると以下のリスクが避けられない。
-
内部不正の温床(恨み・興味本位・データ持ち出し)
-
委託先・関連会社への連鎖的な被害
-
外部からの攻撃に“踏み台”として悪用される可能性
-
監査・法令遵守の観点で説明不能
特に今回、関連会社へのアクセスまで発生している点から、権限範囲の管理(RBAC)も曖昧だった可能性がある。
内部統制としては看過できないレベルの欠陥だ。
■ 広島市側の採用・確認プロセスにも疑問が残る
逮捕された男性は 2025年5月から広島市立小学校で勤務していたという。
広島市教育委員会は報道にコメントしているが、市としての公式リリースは確認できない。
採用時に前職の問題行動が明らかになることは通常ないものの、公的機関として市民の信頼を維持するためには、採用後に判明した場合の情報開示プロセスを整備しておく必要がある。
■ 再発防止策:退職者管理は「人事×情報システム」の共同責任
今回の事案は「元職員の犯罪」という表面的な話では終わらない。
根本原因は明らかに組織側の管理プロセスにある。
再発防止には以下の仕組みが必須だ。
● 退職日と同時にアカウントを強制停止
人事とシステム部門の連携が分断されている組織ほど漏れが起きる。
● パスワード・トークン・端末の完全無効化
クラウド利用時代は「パスワードを知ってるだけで入れる」構造が危険。
● MFAの強制・ログ監査の自動化
すべてのアクセスは“証跡”として残る仕組みが必要。
● 委託先・関連会社の権限も含めた棚卸
権限範囲が複雑なほどリスクは高まる。
■ まとめ:技術的な問題ではなく“運用の問題”
今回の逮捕事案は、退職者アカウントを放置するという初歩的な運用ミスが引き起こした典型例だ。
クラウド活用が拡大する時代において、ID管理は最重要インフラの一部であり、適切な運用ができなければ、犯罪・情報漏えい・行政不信といった副作用を招く。
「退職後でもログインできてしまった」という一点だけで、組織としてのセキュリティレベルが測られてしまう──
今回の事案は、その厳しい現実を改めて示している。
参考:退職後も会社のクラウドサービスに70回以上不正アクセスか 小学校職員の男(28)を逮捕 「不正アクセスに該当するとは思いませんでした」広島(アーカイブ)
【セキュリティ事件簿#2025-508】株式会社ヴィンクス 旧ポイントサービス「グーポンサービス」に使用していたドメインの第三者取得に関する注意喚起 2015/12/3
2023 年 5 月末日をもってすでにサービスを終了しております当社の旧ポイントサービス「グーポンサービス」につきまして、サービス終了後の経過期間を経て、ドメインの運用を停止いたしました。その後、当該ドメインが第三者によって再取得されたことを確認しております。
以下に記載の廃止済みドメイン名については、2023 年 6 月以降、当社サイトなどでは使用しておりません。廃止済みのドメイン名を利用したサイトにアクセスした場合、当社とは無関係のサイトに誘導される可能性があり、個人情報等の不正利用につながる危険性がありますのでご注意ください。
廃止済みドメイン名:goopon.com
過去のメルマガ等に記載されていた廃止済みドメインにアクセスされた場合でも、ID・パスワード、個人情報やクレジットカード情報等を入力なさらないよう、十分にご注意ください。また、不審なメールや SMS 等から廃止済みドメインへ誘導される可能性もございますので、併せてご留意願います。
本件に関してご不明な点やご心配な点がございましたら、下記のお問い合わせ窓口までご連絡ください。
【セキュリティ事件簿#2025-505】北海道大学大学院情報科学研究院における個人情報漏えいの可能性について 2025/12/2
このたび、本研究院において、何者かが研究室に侵入して研究室内のパソコンを操作し、過去に当該研究室に所属していた学生の個人情報が記載された電子ファイルが持ち去られた可能性があることが判明しました。
本研究院では、個人情報の適切な取扱いを徹底してきたところですが、この様な事態が発生したことを重大な問題であると認識しており、関係の皆様に多大なご心配及びご迷惑をおかけしたことを深くお詫び申し上げます。
なお、当該個人情報が第三者に持ち去られた可能性はあるものの、その後さらに外部に流出した事実や不正に使用された事実は現時点で確認されておりません。
【漏えいの可能性がある個人情報】
以下に示す研究室に所属し、卒業、修了または中退した学生の情報(年度、氏名、学位、就職先(会社名のみ))です。
| 所属 | 年度(卒業・修了・中退) | 人数 |
|---|---|---|
| 工学部情報エレクトロニクス学科【情報工学コース】 表現系工学研究室 |
2006, 2007, 2010, 2012 | 4 |
| 工学部情報エレクトロニクス学科【情報工学コース】 知能ソフトウェア研究室 |
2015 | 1 |
| 工学部情報エレクトロニクス学科【情報理工学コース】 知能ソフトウェア研究室 |
2019, 2022, 2023, 2024 | 4 |
| 大学院情報科学研究科複合情報学専攻複雑系工学講座 表現系工学研究室 |
2005〜2013 | 39 |
| 大学院情報科学研究科情報理工学専攻複雑系工学講座 知能ソフトウェア研究室 |
2014〜2018 | 32 |
| 情報科学院情報科学専攻情報理工学コース 知能ソフトウェア研究室 |
2019, 2021〜2024 | 26 |
| 合計 | 106 名 | |
【概要】
令和 7 年 10 月 6 日(月)の夜間に、本研究院内の研究室において、所属不明の学生風の人物が、研究室内のパソコン(使用者によるプログラムを実行中で、ユーザー認証済みの状態で離席中)を操作しているところを、同研究室に所属する学生が発見し問いただしたところ、使用している学生から頼まれたと説明した上で退室し、本研究院の建物から退去しました。
翌日以降、学生から担当教員に相談し、当該パソコンを詳細に調査したところ、研究室内で共有していたデータファイル(当該研究室に所属していた学生の氏名、卒業年度、学位、就職先の会社名が記録)がダウンロードされた形跡及び USB メモリが接続された形跡が確認されました。
この件については警察にも相談しておりますが、現時点において人物の特定には至っておりません。また、国の個人情報保護委員会へも報告済みです。
【再発防止に向けた対応】
次のとおり周知徹底を図っております。
(1) 本研究院に所属する教職員・学生に対する個人情報の適切な取扱い(ファイルへのパスワード付与等)の徹底及び継続的な注意喚起
(2) 本研究院内の入室管理(常時施錠等)、認証・アクセス制御の強化(PC のロック、共有ドライブのユーザー権限を定期的に更新等)等の徹底
事実関係の調査、確認に時間を要し、お知らせが遅れましたことを重ねて深くお詫び申し上げます。
今後も個人情報の適切な取扱いについて、教職員・学生へより一層の周知徹底を図るとと
もに、再発防止に努めて参ります。
登録:
コメント (Atom)