ラベル インシデント:その他 の投稿を表示しています。 すべての投稿を表示
ラベル インシデント:その他 の投稿を表示しています。 すべての投稿を表示

【セキュリティ事件簿#2024-083】横須賀市ホームページの閲覧障害について 2024/2/20

横須賀市ホームページ

 1.経過

昨日(2月20日)午後8時30分頃から、横須賀市のホームページが閲覧できなくなる障害が発生しました。

本日(2月21日)午前2時00分頃、復旧しています。

2.原因・影響

外部から「DDoS(ディードス)攻撃」というサイバー攻撃があったことによるものです。

「DDoS攻撃」とは企業や団体のウェブサイトやサーバーなどに大量のデータを一斉に送り続けることで大きな負荷をかけ、機能停止に追い込むサイバー攻撃の1つです。

なお、本件による個人情報等の情報漏えいや、ページの改ざんはありません。

3.今後の対応

対応策をホームページ保守事業者と早急に協議します。

リリース文アーカイブ

【セキュリティ事件簿#2024-072】スタンレー電気株式会社 当社アジア大洋州グループ会社における資金流出事案について 2024/1/31

スタンレー電気
 

このたび、当社のアジア大洋州グループ会社におきまして、悪意ある第三者による虚偽の指示に基づき資金を流出させる事態が発生致しました。

当社及び当社アジア大洋州グループ会社は、資金流出発覚後まもなく、指示が虚偽であることに気づき犯罪に巻き込まれた可能性が高いと判断し、弁護士等による対策チーム体制を組織の上、関係各国の捜査機関に対し被害の報告を行いました。捜査に全面的に協力するとともに、流出した資金の保全・回収手続きに全力を尽くしております。

また外部弁護士3 名にて構成される調査委員会を組成いたしました。事実関係の調査と原因究明、再発防止策の提言等を行い、再発防止に努めていきます。

加えて調査結果に基づき、管理監督も含めた社内関係者の処分に対しても検討してまいります。

株主の皆さまを始め多くの皆さまにご迷惑とご心配をおかけすることとなりましたこと、深くお詫び申し上げます。

なお、本事案に伴い発生する損失につきましては、当連結会計年度に特別損失として計上する予定です。

【概要】

損失見込額: 最大 約 34 億円(本年 1月 31 日時点)

発生時期: 2023 年 12 月上旬から2023 年12 月中旬

本件につきましては、捜査上の機密保持のため、現時点ではこれ以上の詳細の開示は差し控えさせていただきます。

今後、捜査に進展があり、開示すべき事項が発生した場合には、速やかに開示させていただきます。

ご理解とご了承のほど宜しくお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-069】株式会社スリー・ディー・マトリックス 送金詐欺による資金流出被害のお知らせ

3DMATRIX
 

株式会社スリー・ディー・マトリックス(本社:東京都千代田区、代表取締役社長:岡田淳)は、2023 年 12 月下旬から 2024 年1月上旬にかけて、取引先を装った複数のメールによる虚偽の支払い指示に応じ、当該取引先の真実の銀行口座と異なる銀行口座に対して誤って代金を支払ってしまう送金詐欺による資金流出被害が生じたことが判明しましたので、お知らせいたします。

1.被害の内容

今回判明した詐欺被害は以下のとおりの2件です。

① 2023 年 12 月 19 日以降年末にかけて、2023 年 12 月末に支払いが予定されていた約 86 万US ドルの原料代金支払いについて、取引先(以下、「A 社」という)の名を騙ったメールで支払口座の変更の依頼(以下、かかるメール送信者を「犯人」という)があり、これに応じて虚偽の銀行口座に代金を支払いました。

② 2024 年1月初旬、別の代金支払について同じく A 社の名を騙ったメールにより支払いの要請があり、この要請の一部の 50 万 US ドルの支払いに応じることにしましたが、かかる支払いについても再度別の銀行口座に支払うよう指示があり、この虚偽の銀行口座に対して支払いました。

2.被害発生の背景

(1)2023 年 12 月の誤送金について

当社と A 社は、双方の創業以来事業上の関係があり、経営者間での個人的信頼関係もありました。オーダーの追加、変更や支払いの時期変更等について、A 社は様々な当社の要請に対して柔軟に応じてくれており、これらの取引条件の変更についてのやり取りも少なくありませんでした。今回犯人から送付されてきた口座変更を依頼するメールも、このような取引条件の変更に関するやり取りの一部と捉えておりました。なお、担当者間でのやり取りであったため、念のため A 社社長に確認しようとしていたところ、A 社社長の名を謳ったメールで A 社担当者からの要請を確認する内容のメールを受信したため、最終確認が取れたと思い込んでしまい、電話等での確認は行わなかったという事実がございます。

(2)2024 年1月の誤送金について

2024 年1月に発生した誤送金は、契約上の支払期限を合意の上延期した上で、当社の資金状況により早期支払に努めることとしていたもので、A 社社長の名を謳った犯人から送られてきたのは、A 社の資金繰りの理由により即時の支払いを要請する内容のメールでしたが、2023 年12 月からの一連のやり取りに続くものであったため、本要請についても A 社からのものであると信じ込んでしまいました。当社としてはこれまでの度重なる要請に対し、気持ちよく応じてくれているA社の好意に対して少しでもお返しないといけないという思いがあったため、本支払の要請に応じることとし、また、A 社は交渉の際も期間をかけて交渉するようなことはせず、いわば一発回答で合意してくれていたので、当社としても要請に応じるならばすぱっと応じることとしたいと考えたため、あえて電話等で確認することなく、約 50 万ドルを虚偽の口座に支払ってしまいました。

3.その後の経緯

その後、2024 年1月 15 日に他の取引先の名を騙って同様の支払口座変更依頼のメールが送付され、電話等で当該取引先に確認を行ったところ、このようなメールを送付した事実はないとの返答でした。そのため、2023 年 12 月から 2024 年1月初旬の支払いについても疑念を持ち、調査を開始しました。情報が非常に限られており、調査は難航しておりますが、本日時点で判明した情報を開示することと致しました。

4.現時点で判明している事実

現時点では受領したメールおよび支払指示を受けた銀行口座情報以外に詐欺行為に関する情報はありません。また、外部の専門調査会社に依頼し調査を行っていますが、現時点で本件詐欺と直接つながる情報は確認されておりません。犯人は、ある程度の期間当社の取引先とのやり取りを観察し、商業条件だけでなく個人的な関係性も理解した上で絶好のタイミングを狙って当該取引先の名を騙ったメールを送付してきたと思われ、巧妙な手口の詐欺であることは推測されます。しかし、犯人の正体は現時点ではわかっておりません。

なお、捜査機関に対しての相談は既に実施しており、今後の捜査に全面的に協力してまいります。

5.個人情報漏洩の可能性

当社が保有する顧客に関する個人情報は非常に限られており、本件のような事態に関連して当社が保有する個人情報が漏洩する可能性はないと考えており、また、現時点までの調査では漏洩された個人情報や漏洩を疑わせる事実は確認されていません。

6.再発防止策

現状調査が進行中ですが、当面の再発防止策として、関係者への周知徹底、送金プロセスの見直し、アカウントのパスワード再設定等現時点で取れる方策をとっており、調査結果も踏まえ今後更なる検討により必要な再発防止策をとっていく所存です。当社の体制について攻撃されるような脆弱な点があり、改善すべき点はございますが、事業の本質や将来性とは関係がない事項で、その意味で今回の事態は偶発的なものであって、再発防止策によって防止可能なものと考えております。

7.業績への影響

当該資金を回収できなかった場合、約2億円の特別損失が生じます。資金回収を含め最終的な被害額については現在調査中であり、業績への影響および計上時期につきましては状況が判明次第開示いたします。なお、当社はいまだ成長段階にあり潤沢に資金があるというような状況ではない中、現実に資金が流出することになりますが、今回の詐欺被害自体で直ちに資金繰りに窮するような状況ではございません。

株主の皆様をはじめ多くの皆様にご迷惑およびご心配をおかけし、また会社の財産を防御できなかったことについて、深くお詫び申し上げます。

【セキュリティ事件簿#2023-416】個人情報保護委員会 株式会社 NTT マーケティングアクト ProCX 及び NTT ビジネスソリューションズ株式会社に対する 個人情報の保護に関する法律に基づく行政上の 対応について 2024/1/24

NTT マー ケティングアクト ProCX
 

第1 事案の概要

多数の民間事業者及び地方公共団体等から委託を受け株式会社 NTT マーケティングアクト ProCX(以下「ProCX 社」という。)が行っていたコールセンター事業に関し、コールセンター業務で用いるシステムの保守運用を同社から委託された NTT ビジネスソリューションズ株式会社(以下「BS 社」という。)に所属し、システム保守運用業務に従事していた者が、委託元の顧客又は住民等に関する個人データ等合計約 928 万人分を不正に持ち出したことにより、漏えいした事案である。

第2 詳細な対応内容等

1 事案の詳細及び法律上の問題点

「(資料1-2)株式会社 NTT マーケティングアクト ProCX 及び NTT ビジネスソリューションズ株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について(詳細資料)」(以下「詳細版」という。)を参照。

2 ProCX 社に対する対応

⑴ 個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 148 条第1項に基づく勧告

本件では、個人データの不正な持ち出しが 2013 年から 2023 年までの間という長期間にわたって反復的に行われており、影響を受けた個人データは、民間事業者 30 社、独立行政法人1機関及び地方公共団体 38 団体から委託されたもので、判明しているものだけで約 928 万人分と多数にのぼっている。

ProCX 社は、2022 年に委託元の一つから個人データの漏えいに関する調査依頼があり、BS 社と共に調査(以下「過去調査」という。)を実施したが、当時十分な調査が実施できておらず、不正な持ち出しによる漏えいを是正できなかった。ProCX 社は、過去調査において十分な調査が行われなかった経緯及び原因を未だに明らかにできておらず、当委員会への
報告もできていない状態であり、自社における個人データの取扱状況を把握するための組織体制が、現状においても十分でない。ProCX 社が、現在においても、多数の個人データや保有個人情報の取扱いを委託され、業務を継続していることからすると、この状態を放置しておくことは、個人の権利利益を侵害するおそれが高い。

したがって、法第 148 条第1項に基づき、法第 23 条の規定違反(組織的安全管理措置の不備。詳細版、第3の1(1)及び第4の1(1)。)を是正するために必要な措置として、当該違反行為を是正するために必要な措置をとるよう勧告する。

⑵ 法第 147 条に基づく指導

その他に確認された法第 23 条が求める安全管理措置及び法第 25 条が求める委託先の監督の不備(詳細版、第3の1(2)、第3の3、第4の1(2)及び第4の3。)については、問題点を改善するよう指導する。

⑶ 法第 146 条第1項に基づく報告等の求め

過去調査における不適切な調査報告に至った経緯及び原因について、関係資料を添付の上、2024 年2月 29 日(木)までに報告するよう求め、前記の勧告及び指導に対するその後の確実な再発防止策の実施状況について、関係資料を添付の上、2024 年3月 29 日(金)までに報告するよう求める。

3 BS 社に対する対応

⑴ 法第 148 条第1項に基づく勧告

BS 社は、前記2⑴で述べた ProCX 社と同様、過去調査における不適切な調査報告の経緯及び原因を未だに明らかにできておらず、自社における個人データ等の取扱状況の把握を行うための組織体制が現状においても十分でない。

BS 社が ProCX 社から委託を受けて、現在においても、多数の個人データ等を取扱い、業務を継続していることからすると、この状態を放置しておくことは、個人の権利利益を侵害するおそれが高い。

したがって、法第 148 条第1項に基づき、法第 23 条の規定違反(組織的安全管理措置のうち個人データの取扱状況の把握及び安全管理措置の見直し。詳細版、第3の2(1)イ(イ)及び第4の2(1)エ。)を是正するために必要な措置として、当該違反行為を是正するために必要な措置をとるよう勧告する。

⑵ 法第 147 条に基づく指導

その他に確認された法第 23 条が求める安全管理措置の不備(詳細版、第3の2(1)ア、第3の2(1)イ(ア)、第3の2(2)、第3の2(3)、第3の2(4)、第4の2(1)ア乃至ウ、第4の2(2)、第4の2(3)及び第4の2(4)。)については、問題点を改善するよう指導する。

⑶ 法第 146 条第1項に基づく報告等の求め

過去調査における不適切な調査報告に至った経緯及び原因について、関係資料を添付の上、2024 年2月 29 日(木)までに報告するよう求め、前記の勧告及び指導に対するその後の確実な再発防止策の実施状況について、関係資料を添付の上、2024 年3月 29 日(金)までに報告するよう求める。

【セキュリティ事件簿#2024-068】NTTコミュニケーションズ株式会社 当社の利用終了パソコンに関する一部のSNS投稿につきまして 2024/1/20

NTTコミュニケーションズ
 

本日、一部のSNSにて、中古パソコンを購入後、Windows設定時にNTTコミュニケーションズ株式会社(以下 NTT Com)の設定画面が表示される件についての投稿がございましたが、当社におけるパソコン利用終了時のサーバー上の設定情報の削除漏れの影響であることを確認いたしました。

パソコンを購入された方にはご迷惑、ご心配をおかけしたことをお詫び申し上げます。なお、本件に伴う当社が取り扱う情報の漏洩はございません。

1.発生事象

当社の利用終了パソコンを中古にて購入後、Windows設定時にNTT Comの設定画面が表示される事象が発生しております。

2.原因

NTT Comの社用パソコンにおいては、従業員がWindows設定を実施するために、各端末のハードウェアIDをMicrosoft社サーバーに登録し、起動時に自動的に社内向けのセットアップが出来るようにしております。

社用パソコンの利用終了時には、社用パソコン内のファイルや設定情報については全て削除した上で利用終了していますが、Microsoft社のサーバーからハードウェアIDを削除すべきところ、この削除が一部漏れておりました。

該当のパソコンにおいて、Windows設定時にNTT Comの社名が表示されますが、ログインはできず、また当社が取り扱う情報も残存していません。

3.対応状況

当社にてサーバー上のハードウェアID削除の作業を順次進めております。ハードウェアID削除完了後、NTT Comの設定画面は表示されなくなります。

リリース文アーカイブ

【セキュリティ事件簿#2024-065】島根県が使用していたドメインを第三者が再取得し、別のホームページに使用していることを確認しました 2024/1/15

島根県
 

島根県が過去に使用したドメイン(ホームページアドレス)について、運用停止後にオークションサイトでの売買等により、第三者に再取得されていることが判明しました。

これらのホームページに係る事業は既に終了しており、下記ドメインを使用したホームページは、本県とは全く無関係ですので、ご注意ください。

1第三者に再取得されたドメイン(県の事業は終了しています)

・syokujusai-shimane2020.jp(第71回全国植樹祭しまね)【林業課】

・gotoeat-shimane.jp(GoToEatキャンペーンしまね)【しまねブランド推進課】

・shimane-goen.jp(ご縁の国しまね)【観光振興課】

・shimane-ninsho.jp(島根県新型コロナ対策認証店認証制度)【薬事衛生課】

・smalruby-koshien.jp(スモウルビー・プログラミング甲子園開催事業)【産業振興課】

・shimane-monodukuri.jp(しまねものづくり人材育成支援Navi)【雇用政策課】

2県の対応

・上記1に掲載のドメインへリンクを張っているウェブサイトの管理者へ削除を依頼

・県民等への周知

・庁内へドメイン管理の注意事項を周知徹底

リリース文アーカイブ

【セキュリティ事件簿#2024-054】個人情報保護委員会 株式会社四谷大塚に対する 個人情報の保護に関する法律に基づく行政上の対応について  2024/2/29

四谷大塚
 

個人情報保護委員会(以下「当委員会」という。)は、令和6年2月 29 日、株式会社四谷大塚(以下「四谷大塚」という。)における個人情報等の取扱いについて、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 147 条の規定による指導等を行った。

1.事案の概要

本件は、中学受験のための学習塾を運営する四谷大塚において、令和4年4月~令和5年8月まで勤務していたXが、在職中に、A校舎に通う小学生児童(以下「在校児童」という。)の写真及び動画とともに、四谷大塚が管理する在校児童の個人データを検索して閲覧し、Xの私用スマートフォンに入力して記録し、6人分の個人データ(氏名、年齢、生年月日、住所、所属小学校名及び電話番号、以下「本件個人データ」という。)をXの SNSアカウントに掲載して漏えいさせた事案である(以下「本件漏えい事案」という。)。

2.事実関係

(1) 事案発覚の経緯

四谷大塚は、令和5年8月 10 日、メディア関係者から、Xが、在校児童の写真等を、氏名などの個人情報とともに SNS に掲載しているとの情報提供を受けた。そのため、同日、Xから事情を聴取したところ、個人情報の掲載等の事実を認めたことから、在校児童の個人データを管理する業務システム(以下「本件システム」という。)について、Xのアクセス権を停止するとともに警察に通報した。

(2) Xによる在校児童の個人データ持ち出しの態様

四谷大塚によれば、Xは、令和4年4月に採用され、A校舎に所属し、理科、算数及び国語の授業を担当していたところ、解雇された令和5年8月頃までに、自身に業務上付与された ID 及びパスワードで本件システムにログインし、在校児童の個人データを検索し閲覧した。そして、Xは、自身のスマートフォンに、個人データを打ち込んで記録し、6人分の本件個人データを SNS アカウントに送信して投稿した。

(3) 当委員会に対する漏えい等報告の提出の状況

四谷大塚は、当委員会に対し、法第 26 条第1項の規定に基づき、令和5年 10 月6日付けで漏えい等報告書(速報)を提出し、同月 13 日付けで漏えい等報告書(確報)を提出した(個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号。以下「規則」という。)第7条第3号「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」についての報告)。

3.法律上の問題点-安全管理措置(法第 23 条)の不備

法第 23 条において、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされている。また、個人情報の保護に関する法律についてのガイドライン(通則編)(以下「ガイドライン」という。)「10(別添)講ずべき安全管理措置の内容」に、「安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものである」と記載されているように、個人情報取扱事業者は、当然その事業内容によって、取り扱う個人データの量や種類も異なるものであるから、それに応じた安全管理措置が求められている。

四谷大塚は、小学生を対象とした中学受験のための学習塾であるところ、全校で約 8,700人(令和6年1月1日現在)の児童が在校し、大量のこどもの個人情報を取得し、管理・利用している企業であり、また、生徒の氏名、生年月日、住所、小学校名及び成績等、管理する個人データの項目も多い。

こどもの個人データについては、こどもの「安全」を守る等の観点から、特に取扱いに注意が必要であり、組織的、人的、物理的及び技術的という多角的な観点からリスクを検討し、必要かつ適切な安全管理措置を講ずる必要がある。

本件で、四谷大塚における個人データの取扱いに関する安全管理措置には、以下のとおり組織的安全管理措置に問題点が認められた。

(1) 組織体制の整備及び漏えい等事案に対応する体制の整備が不十分であったこと

ガイドラインにおいて、個人情報取扱事業者は、安全管理措置を講ずるための組織体制を整備しなければならず(10-3(1)組織体制の整備)、また、漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならないとされている(10-3(4)漏えい等事案に対応する体制の整備)。

しかしながら、四谷大塚では、大量の児童の個人データを保有及び管理しているにもかかわらず、人的なリソース不足を理由にコンプライアンス及びリスク管理に関する部署を設置しておらず、また、責任者の設置はしていたものの、漏えい等事案が発生した場合に当委員会に報告するための体制が機能していなかった。そのため、令和5年8月10 日に本件漏えい事態が発覚してから約2か月後の、同年 10 月6日に速報、同月 13 日に確報を提出したものである。

ガイドラインにおいて、速報の提出期限である「速やか」の目安については、個別の事案によるものの、個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内とされている(3-5-3-3 速報(規則第8条第1項関係))。また、確報の提出期限については、規則第8条第2項において「当該事態を知った日から 30 日以内(当該事態が前条第3号に定めるものである場合にあっては、60 日以内)」とされている。しかし、四谷大塚が速報を提出したのは、本件事態の発覚日から 58 日目であり、確報を提出したのは 65日目であることから、組織体制の整備及び漏えい等事案に対応する体制整備に不備があったものと認められる。

(2) 取扱状況の把握及び安全管理措置の見直しが不十分であったこと

ガイドラインにおいて、個人情報取扱事業者は、個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならないとされている(10-3(5)取扱状況の把握及び安全管理措置の見直し)。

四谷大塚によれば、責任者である塾長(会社全体を統括する者)が定期的に内部監査を実施していたとのことであるが、監査の項目は、研修の実施状況を確認するにとどまるものであり、個人データの取扱状況については確認していなかった。

したがって、四谷大塚においては、個人データの取扱状況の把握及び安全管理措置の見直しに不備があったものと認められる。

(3) 小括

このように四谷大塚においては、組織的安全管理措置(組織体制の整備、漏えい等事案に対応する体制の整備、並びに取扱状況の把握及び安全管理措置の見直し)に不備が認められた。四谷大塚においては、本件漏えい事案を重く受け止め、こどもの個人データを取り扱う事業者として、今回の指導事項を含め、個人データの安全管理措置の実施について、より一層留意するべきである。

4.指導等の内容

(1) 法第 147 条の規定による指導

  • 個人データの安全管理措置を講ずるための組織体制を整備すること。
  • 漏えい等事案の発生又は兆候を把握した場合に、個人情報保護委員会に対し適切かつ迅速に対応するための体制を整備し、法の改正などに応じて適宜見直すこと。
  • 個人データの取扱状況を確認するために、定期的に監査を実施すること。
  • 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し(必要に応じて見直すことを含む。)、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。また、その遵守状況の確認を定期的に実施すること。

(2) 法第 146 条第1項の規定による報告等の求め

  • 指導に係る改善措置の実施状況について令和6年5月 31 日(金)までに関係資料を添付の上、報告するよう求める。

リリース文アーカイブ

【セキュリティ事件簿#2023-327】個人情報保護委員会 長野県教育委員会に対する 個人情報の保護に関する法律に基づく行政上の対応について 2024/2/21


個人情報保護委員会(以下「当委員会」という。)は、令和6年2月 21 日、長野県教育委員会における個人情報等の取扱いについて、長野県教育委員会に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 157 条の規定による指導等を行った。

1.事案の概要

本件は、長野県教育委員会が所管する2つの高等学校の教諭2名(各高等学校それぞれ1名)がサポート詐欺1に遭い、当該サポート詐欺を図った攻撃者からの誘導に従い、校務用端末である PC(以下「校務用端末」という。)に遠隔操作ソフトを無断でインストールした結果、当該高等学校の生徒及び教職員に関する保有個人情報の漏えいのおそれが発生した事案である。

2.漏えいしたおそれのある保有個人情報とその本人数

本件により漏えいしたおそれのある保有個人情報は、生徒の氏名、生年月日、住所、成績、生徒指導に関する資料及び進路指導に関する資料等並びに教職員の氏名等であり、本人数は 14,231 人である。

3.法律上の問題点

法第 66 条第1項は、「行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。

この点に関し、長野県教育委員会では、個人情報等の取扱いについて、以下の問題点が認められた。

(1) 外部からの不正アクセスの防止の不徹底(技術的安全管理措置の不備)

本件各高等学校では、校務用端末についてインストールを制御する機能が備わっていたにもかかわらず、その設定を怠っていたことから、教職員なら誰でもインターネット上からソフトウェアのインストールをすることが可能な状況であった。

(2) 漏えい等の安全管理上の問題への不十分な対応(組織的安全管理措置の不備)

長野県教育委員会から当委員会に漏えい等報告(確報)が提出されたのは当該事案の発覚後 82 日目であり、当委員会への漏えい等報告(確報)が規定された期間内に行われなかったことから、法第 68 条第1項の規定に則った適正な取扱いがなされておらず、保有個人情報の漏えい等の安全管理上の問題への対応が不十分であった。

4.指導等の内容

(1) 法第 66 条第1項、個人情報の保護に関する法律についてのガイドライン(行政機関等編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)に基づき、必要かつ適切な措置を講ずること。

(2) 策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講ずること。

(3) 今後、法第 68 条第1項の規定による報告を要する事態が生じた場合には、規定された期間内に所定の事項を報告すること。また、そのような報告が可能となるよう、漏えい等事案に対応する体制の整備を行うこと。

(4) 再発防止策の実施状況について、関係資料を提出の上、令和6年3月 29 日(金)までに説明するよう求める。

【セキュリティ事件簿#2024-036】モイ株式会社 当社サーバーに対する外部攻撃に関するお知らせ


このたび、当社が運営するライブ配信サービス「ツイキャス」に対する外部からの外部攻撃により、当社サービスにアクセスしづらい等のシステム障害が発生していることを確認しております。

本件につきましては、直ちに対策チームを設置のうえ、警察への通報および相談を行いつつ、継続している当該事象の収束に向けて、調査と対応を継続しておりますが、現時点で判明している事実及び当社の対応について、下記の通りお知らせいたします。

関係者の皆様に多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

1 本件の概要

2024 年1月 30 日から、当社サービス「ツイキャス」のサーバーに対して大規模な DDoS 攻撃※が断続的に行われており、当社サービス全体にアクセスしづらくなる、ライブ配信を視聴しづらくなる、トップページが表示されなくなる等の被害が発生していることを確認しました。

当社では、当該事象の確認後、直ちに社内対策チームを発足し、被害拡大を防止するための措置を実施しましたが、外部からの攻撃は引き続き発生する可能性があり、新たなセキュリティ対策を講じた上で当該攻撃に対するシステムの保護と復旧作業を進めております。

なお、本件によって当社が保有する個人情報を含む各種情報にアクセスされた形跡はなく、また外部へ当該情報が流出した事実や、攻撃者による当社情報の公開は確認されておりません。また、当社サービスにおける決済は、各決済代行会社を通して行われておりますので、本件によって、クレジットカード番号等、決済代行会社が保有している情報が流出する可能性はございません。

※DDoS(Distributed Denial of Service)攻撃とは、インターネット上のトラフィックを増大させ、通信を処理しているネットワーク回線やサーバーの機能を占有する帯域飽和型のサイバー攻撃のこと。

2 今後の対応

引き続き、警察への相談を行いつつ、外部専門家を交えて当該攻撃者に対する対応、今後のセキュリティ対策などに鋭意取り組んでまいります。

ツイキャスユーザーの皆様をはじめ関係者の皆様におかれましては、多大なるご心配とご迷惑をおかけしておりますことを、重ねて深くお詫び申し上げます。

3 業績への影響

当社業績への影響については現在精査中です。今後、公表すべき事項が生じた場合には、速やかにお知らせいたします。

【セキュリティ事件簿#2023-483】三愛病院 個人情報漏洩疑いの報告


10月24日に病院外において、当院の職員がサポート詐欺によってパソコンを遠隔操作される事態が発生しました。

今回の遠隔操作は金銭目的であり、個人情報の漏洩がどの程度であったかについては現在調査中ですが、このパソコンには7~10年以上前の研究目的の学会発表資料やレントゲン写真等のデータが保存されており、要配慮個人情報(診療内容等)の漏洩に該当する可能性があるため、国の機関である個人情報保護委員会へ報告を行いました。

また、現時点、特定できておりませんが、このパソコンには個人の連絡先の情報は含まれていなかった可能性があり、被害等の報告も受けておりません。

この度の事態を厳粛に受け止め、下記再発防止に取り組んでまいります。

【再発防止に向けた今後の取り組み】

(1) 個人情報が保存された電子媒体の管理の強化・徹底

(2) 個人情報の漏洩リスクと対策を題材に、埼玉県警サイバー対策課による研修会の実施

患者さま、関係する皆さまへは多大なるご心配、ご迷惑をお掛けいたすこととなり、誠に申し訳ございません。深くお詫び申し上げます。

【セキュリティ事件簿#2023-480】株式会社おお蔵ホールディングス 弊社グループ会社OKURAの Instagram公式アカウントに関するお詫びとご報告


弊社グループ会社、株式会社OKURAのInstagram公式アカウント(@okura_tokyo_official)が第三者からの不正アクセスにより乗っ取られる事案が発生いたしました。

2023年12月1日以降、弊社が当該アカウントを使用して投稿やダイレクトメッセージをお送りすることはございません。 万が一、OKURAをかたった連絡や操作を促すURLやリンクを受信した場合には、開かずそのまま破棄いただくようお願いいたします。

また、プロフィール上に記載されている以下のTelegram、WhatsApp、Mailは、当社とは無関係のものでありますので、ご注意いただき連絡を行わないようお願いいたします。

——————————————-

Telegram : kingwho

WhatsApp : +447448294205

Mail : aasarsilmaz@gmail.com 

——————————————-

今後、新たにお知らせするべき内容が判明した場合、速やかに情報を開示いたします。

【セキュリティ事件簿#2023-479】京都教育大学附属桃山中学校 サポート詐欺による公用パソコン遠隔操作被害について


京都教育大学附属桃山中学校の公用パソコン1台が、いわゆる「サポート詐欺」による遠隔操作を受け、個人情報を含むファイル等が流出する危機にさらされる事案が発生しました。京都教育大学 CSIRT(セキュリティインシデント対応チーム)による通信ログの解析の結果、ファイル等の流出はありませんでした。

今後、改めて全教職員を対象に情報セキュリティ研修を実施し、このような事態が発生しないよう情報の適正な管理を徹底し、再発防止に努めてまいります。関係する皆様に深くお詫び申し上げます。

1 概要

令和5年10月29日(日)、本校教諭が教材研究のために公用パソコンでネット検索をしていたところ、トロイの木馬への感染を示す警告画面とサポートセンターと称す連絡先が表示された。当該教諭個人の携帯電話でパソコンの画面に示された電話番号へ電話をし、指示に従ったところ、パソコンの遠隔操作が行われた。

京都教育大学 CSIRT による通信ログの解析によると、当該パソコンからファイル等が流出した記録はなく、ファイル等の送信の動作も行われていなかったことが確認された。また、本事案により情報が流出した事実はなかったが、流出が起こり得る状況にあったことが判明した。

2 事実経過

10月29日(日) 
事案発生、管理職へ報告、管理職・職員による当該パソコンのネットワーク接続遮断
10月30日(月) 
京都教育大学 CSIRT による調査開始
11月 9日(木) 
調査結果としてファイル等の流出がなかったこと、他のパソコン及びサーバーへのアクセスはなかったことを確認

3 今後の再発防止対策
・本校を含む京都教育大学全教職員を対象とした、大学による情報セキュリティ研修の実施
・情報の適正な管理の徹底
・情報管理に関するマニュアル等の再点検・見直し

【セキュリティ事件簿#2023-396】個人情報保護委員会 青森県上北郡野辺地町における保有個人情報の取扱いについての個人情報の保護に関する法律に基づく行政上の対応について

 

個人情報保護委員会(以下「当委員会」という。)は、令和5年 11 月 29 日、青森県上北郡野辺地町(以下「野辺地町」という。)における個人情報等の取扱いについて、野辺地町長に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)第 157 条に基づく指導等を行った。

1.事案の概要

本件は、野辺地町健康づくり課において、同課で使用していたUSBメモリ(以下「本件USB」という。)が紛失し、本件USBに記録されていた町民に関する保有個人情報の漏えいのおそれが発生した事案である。

2.漏えいしたおそれのある保有個人情報とその件数

本件により漏えいしたおそれのある保有個人情報は、氏名、生年月日、性別、住所、健康診断結果及び新型コロナワクチン接種履歴等であり、本人数は 12,856 名である(本件が発覚した時点で死亡していた者 547 名を除く。また、健康診断結果が漏えいした本人数は 51 名である。)。

3.個人情報保護法上の問題点

個人情報保護法第 66 条第1項は、「行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。しかしながら、野辺地町では、個人情報等の取扱いについて、以下の問題点が認められた。

(1) 電子媒体等を持ち運ぶ場合の漏えい等の防止の不徹底(物理的安全管理措置の不備)

野辺地町では、本件USBを定められた場所に保管していたものの、当該保管場所の施錠が行われていなかった上、本件USBには、パスワード等によるアクセス制御も行われていなかった。

(2) 個人情報の取扱状況を確認する手段の整備の不徹底(組織的安全管理措置の不備)

野辺地町では、保管場所からのUSBメモリの持ち出し、返却に関する管理台帳を作成しておらず、USBメモリの取扱状況について確認できる適切な手段が整備されていなかった。

(3) 漏えい等安全管理上の問題への不十分な対応(組織的安全管理措置の不備)

野辺地町から当委員会に漏えい等報告(速報)が提出されたのは当該事案の発覚後 28 日目であり、当委員会への速やかな漏えい等報告が行われなかったことから、個人情報保護法第 68 条第1項の規定に則った適正な取扱いがなされておらず、保有個人情報の漏えい等の安全管理上の問題への対応が不十分であった。

4.個人情報保護法第 157 条に基づく指導及び第 156 条に基づく資料提出等の求めの内容

(1) 個人情報保護法第 66 条第1項、個人情報の保護に関する法律についてのガイドライン(行政機関等編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)に基づき、必要かつ適切な措置を講ずること。

(2) 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講ずること。

(3) 再発防止策の実施状況について、関係資料を提出の上、令和5年 12 月 28 日(木)までに説明するよう求める。

リリース文アーカイブ

【セキュリティ事件簿#2023-359】朝日新聞社 個人情報の流出に関するお知らせとお詫び 2023年9月6日


この度、朝日新聞社と朝日新聞販売所(ASA)でお客様の情報を管理しているシステムから、朝日新聞デジタルと紙面ビューアーの一部の会員のお客様の個人情報が外部に流出したことが判明しました。

現時点で判明している事実とこれまでの対応は以下の通りです。ご迷惑をおかけしたお客様に心よりお詫び申し上げるとともに、引き続き、関係機関と協議しながら対応を進めて参ります。

1. 経緯

2023年9月6日(水)未明に、社外の方から「朝日新聞の顧客の情報が流出している」とのご連絡をいただき、事態を確認しました。

2. 流出した可能性のある情報の内容

三重県の四日市市、鈴鹿市、亀山市、川越町のそれぞれ一部地域の、朝日新聞デジタルと紙面ビューアーの会員様884名の氏名・住所・電話番号・ご契約いただいたコースの種類。
※お客様のメールアドレスやクレジットカード情報は含まれておりません。

3. 弊社の対応

・お客様への対応
個人情報流出が判明したお客様には、ご連絡を差し上げました。7日以降、個別に訪問して改めて謝罪する予定です。

・行政機関への報告
警察と個人情報保護委員会に相談・報告をしております。

・再発防止策
該当するシステムの一部を停止し、新たな流出が起きないように対応しました。早急にシステムを解析し、原因究明と再発防止策の確立に努めます。

【セキュリティ事件簿#2023-091】総務省 富士通株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置 2023年6月30日


総務省は、富士通株式会社に対し、同社において発覚した通信の秘密の漏えい事案に関し、通信の秘密の保護及びサイバーセキュリティの確保の徹底を図るとともに、再発防止策を含む対策等を早急に講じ、その実施結果を報告するよう、文書により指導しました。

1 経緯等

富士通株式会社からの報告により、同社が提供する企業向けネットワークサービス「FENICS」において、ネットワーク機器に対して外部から不正侵入を受け、令和4年3月から同年11月までの間に、複数回にわたって、同サービスを利用して通信を行った顧客の通信情報が外部に流出した事案が発覚しました。

2 措置の内容等

本事案は、電気通信事業法(昭和59年法律第86号)第4条第1項に規定する通信の秘密の漏えいがあったものと認められることから、総務省は本日付けで同社に対し、
  • 再発防止策を早急に講じること
  • 同事案の影響範囲の把握を速やかに完了させ、利用者への十分な支援等の対応を行うとともに、二次被害が発覚した場合にも適切な対応を行うことを徹底すること
  • 通信の秘密の保護及びサイバーセキュリティの確保の在り方について、全社的な体制に構造的な問題がないか等を検証の上、再発防止に向けて、経営陣の関与の強化や、社内のセキュリティ意識の向上のための実効的な措置を講じること
について、文書による指導を行いました。

総務省は、通信の秘密の保護及びサイバーセキュリティの確保を図るため、引き続き、必要な指導・監督に努めてまいります。

【セキュリティ事件簿#2023-002】渋谷区公式ウェブサイトの通信障害について 2023年1月4日

 

令和5年1月3日以降、国際ハッカー集団「アノニマス」を名乗る不特定の団体または個人による分散型サービス妨害攻撃を受けていることにより、渋谷区公式ウェブサイトを閲覧しにくい事象が断続的に発生しております。

区民の方々をはじめ多くの皆さまにはご不便をおかけしており、お詫び申し上げます。窓口対応などを含め行政サービスや事業などに関する問い合わせについては、通常通り担当所管でご案内しております。

現在もなお、通信しにくい状態が続いており、区では引き続き調査と復旧対応に取り組むとともに、警察にも相談しながら対応してまいります。

リリース文アーカイブ

参考:AnonymousのDDoS攻撃によるとみられる渋谷区サイトの閲覧障害についてまとめてみた

富士通株式会社 FENICSインターネットサービスに関するネットワーク機器からの不正な通信について 2022年12月23日


当社は本年12月9日、FENICSインターネットサービスを構成する一部のネットワーク機器に関して、外部へ不正な通信が行われていたことを確認いたしました。
当社は必要な対策を実施するとともに、対象のお客様に対しては、個別にご報告を行っております。
関係者の皆様には、多大なるご心配、ご迷惑をおかけしておりますことを深くお詫び申し上げます。

アイ・ビー・エス・ジャパン株式会社 弊社ホームページ改ざんに関するお詫びとご報告 2022年8月30日


弊社ホームページにおいて、2022年8月30日 4時~10時頃まで、第三者からの不正アクセスによりサイトが改ざんされていた事が判明いたしました。

現在は被害を受けたサーバは復旧作業を実施済みです。ご利用ユーザの皆様の個人情報流出等は、現在のところ確認されておりません。

ご利用頂いておりますユーザの皆様には多大なご迷惑、ご心配をお掛けしましたことを深くお詫び申し上げます。

上記期間中に、弊社URLサイトにアクセスされた可能性があるユーザの皆さまにおかれましては、誠にお手数ですが、お手持ちのセキュリティソフトを最新の状態にし、不正なプログラムの感染確認・駆除の実施をお願い申し上げます。

本件につきましては、ご迷惑、ご心配をお掛けいたしましたこと重ねて深くお詫び申し上げますと共に、今後はさらに対策・監視を強化し万全を期して運営して参りますので、ご理解とご協力をいただきますよう、よろしくお願い申し上げます。

Thatgamecompany 不具合のお詫び 2022年7月21日


現在、DDoS攻撃(分散型サービス拒否攻撃)を受けています。これにより、遅延や接続できない問題が発生している可能性が考えられます。

この状態がすでに数日間続いていますが、緩和と解決に努めておりますので、今しばらくお時間を頂けますと幸いです。




山本建設工業株式会社 弊社ウェブサイト改ざんに関するお詫びとご報告 2022年7月12日


6月初旬より、弊社のウェブサイトの一部に、第三者からの不正アクセスがあり、
改ざんが行われていたことが判明いたしました。
本日7月12日、復旧いたしましたことご報告いたします。

なおその間、ご利用頂きましたお客様におかれましては
ご不便とご心配をおかけしましたことを、ここに深くお詫び申し上げます。

当社では、この度の事態を厳粛に受け止め
下記の対応を取り、再発防止を図る所存です。

<主な対応>
・改ざんを受けたサーバーのセキュリティー強化
・各種フォーム・検索ページの掲載を安全な方法へ変更

なお、上記の対応に伴い、一部のページで不具合が出る場合がございます。
これらのページにつきましては、順次アップデートさせていただきます。

ご不便をおかけいたしますが、何卒ご了承のほどお願い申し上げます。
本件におかれましてはご利用頂いているお客様にご迷惑及びご心配を
おかけしましたことを、ここに深くお詫び申し上げます。