ラベル インシデント:内部犯行 の投稿を表示しています。 すべての投稿を表示
ラベル インシデント:内部犯行 の投稿を表示しています。 すべての投稿を表示

【セキュリティ事件簿#2025-220】名古屋大学 個人情報漏えいの可能性について 2025/6/18

 

このたび、本学人文学研究科教員がサポート詐欺に遭い、当該教員のパソコンが第三者による不正アクセスを受ける事案が発生しました。

これにより、当該パソコンに保存されていた個人情報が漏えいした可能性があることを確認しました。

令和7年4月13日、当該教員が当該パソコンでWebサイトを閲覧中、突然、大音量の警告音が鳴り、画面上に「ウイルスを検出した」とする警告表示が現れました。

その表示では、アンチウイルスソフトによるウイルス駆除の実施及びサポート窓口への電話連絡を促されており、当該教員がその指示に従い操作したところ、第三者による遠隔操作を受け、当該パソコンが不正にアクセスされる事態となりました。

速やかにネットワークを遮断し、当該パソコンを調査したところ、1,626名分の学生・生徒の名簿が以下のとおり保存されていたことが判明しました。

・学部学生(482名):氏名、学籍番号、該当科目の成績(437名)

・大学院学生(175名):氏名、学籍番号、メールアドレス(83名)

・附属学校生徒(969名):氏名、性別、クラス、出席番号

現時点では、これらの情報が不正に流用された事実等は確認されていません。

当該名簿に氏名等が記載されていた学生・生徒の方々には、メール又は郵送にて本件の概要をご説明し、対応窓口の設置及びその連絡先をご案内するとともに、お詫び申し上げました。

このような事態を招き、関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

今後は、個人情報保護及び情報セキュリティに関する教育研修の充実を図り、構成員の意識向上を図るなど、再発防止に努めて参ります。

リリース文アーカイブ

【セキュリティ事件簿#2025-217】静大祭実行委員会 情報漏洩疑惑に関するおしらせ 2025/6/17

 

平素は格別のご愛顧を賜り、厚く御礼申し上げます。

 このたび発生致しました、公式ホームページにおける情報漏洩の疑惑に関してご説明させていただきます。

<今回の一連の流れ>

6 月 14 日(土)17:30 頃 JC 専用ページの試験公開開始

6 月 16 日(月)午後 当該ページのパスワードがソースコードより確認できるとの連絡が入る→当該事象の確認および、対策の開始

同日 22:30 頃 当該ページの削除および再構築、適切な対処の実施

同日 23:00 頃 ページ内容を差し替えた上で再度試験公開

現在は、サンプルページでの試験公開を行い、関係各所による確認作業を行っております。

また、公開状態にありました共有サイトについては、全て消去のうえで再度作成を行いましたため、当該ページに記載されていたリンクは使用できず、アクセスは不可能としています。

また、現在のところ当該ページへの不正アクセス等は確認されておりませんが、執行役員の名簿が確認できてしまう状態にありました。これに関しては担当者間で話し合った結果、「執行役員の名前」のみであることから、今回に限っては問題なしと判断しております。

今回の事象は、今年度よりホームページの更新・作成を担当することになった者が、試験公開にかかわらず情報を掲載したこと、また知識が不十分であったにもかかわらず先代担当者等の他者への相談を一切行わずに実行していたことが原因で起こったものと判明致しました。当該担当者に対しては厳重注意処分を下しております。

今後につきましては試験公開・本公開問わず、公開前に先代担当者等によるチェックを行い、安全性等に問題ないと判断されるまでは公開を行わないという対応をして参ります。

関係各所を含めました多くの方にご迷惑をおかけすると共に、皆様からの信頼を大きく損ねる事態を未然に防ぐことができませんでしたこと、深くお詫び申し上げます。

今後より情報漏洩の危険性の排除を最優先次項と捉え、信頼回復に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2025-215】東急ホテルズ&リゾーツ株式会社 不正アクセスによる個人情報漏えいの可能性とフィッシングサイトに誘導するメッセージ配信についてのお詫びとお知らせ 2025/6/16

 

このたび、那覇東急 REI ホテル (以下「当ホテル」) において、個人情報漏えいの可能性のある事案が発生致しました。 本件につきまして、 お客様に多大なご迷惑およびご心配をおかけしておりますことを、深くお詫び申し上げます。

1. 概要

2025 年5月6日、当ホテルは第三者による不正な手段により、 Trip.com が提供する管理システムのログイン 1D・パスワードを第三者に補取される事態に至りました。その結果、管理システムを通じて、一部のお客様に対して、フィッシングサイトに誘導するメッセージが配信されていたこと、また、2025 年5月6日から5月8日にかけて管理レステムに保存されていた予約情報が、第三者により閲覧された可能性があることが確認されました。

その後、Trp.com 社から上記のメッセージが配信されたお客様へ注意喚起のメッセージを配信し、また当ホテルにおいては、ID・ログインバスワードの変更および端末のセキュリティチェックを実施しております。

2. 漏えいした可能性があるお客さまの個人情報

2024 年5月6日から2025 年5月 8日までに Trip.com 経由で当ホテルの予約を行ったお客様のご予約内容 (2025 年5月6日から5月8 日の期間に、管理レステムに保存されていた予約情報) のうち、氏名/ご予約の際に入力した電話番号/宿泊期間/宿泊部屋タイプ

※クレジットカード情報および金融機関口座情報等の決済関連情報は含まれておりません。

3. 原因

当ホテルにおいて、第三者による不正な手段により、管理レシステムのログイン ID・パスワードが盗取されたため。

4. 二次被害又はそのおそれの有無及び内容

一部のお客様にフィッシングサイト等へ誘導するメッセージが配信されていたことを確認しております。

お客様におかれましては、なりすまし、 詐欺、フィッシング攻撃などの不正行為に引き続き十分にご注意ください。 知らない電話番号からの着信には注意し、 疑わしいメッセージの配信を受けた場合、メールや添付ファイルは開かずに、貼付された URLリンクヘアクセスをされないようお願い申し上げます。

なお、当ホテル以外の東急ホテルズ&リゾーツ株式会社の運営施設が使用する当該管理システム並びに Trip.com 本体システムにおいては、 不正アクセスがなかったことを確認しております。

現在、 関係機関と連携を取りながら、さらなる原因調査を進め、 必要な対策を実施することにより再発防止に努めてまいります。

この度は、 お客様に多大なご迷惑とご心配をおかけしますことを、重ねて深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2025-208】山形大学 附属中学校が保有する個人情報に外部者がアクセス可能な状況が生じた事案の発生について 2025/6/3

 

5月26日(月)夕方、本学附属中学校教員が業務でパソコンを使用する中で、画面にサポート詐欺に関する虚偽の警告掲示が出た際に、遠隔操作ソフトをインストールさせられ、当該パソコンが外部者に不正アクセスされる事案が生じました。不正アクセスにより、当該パソコンと接続されていた附属中学校の職員室内ネットワークで共有しているハードディスクに保存されていた個人情報が流出したり、それらが書き換えられた可能性が否定できない状況であり、対象の方々に対し順次お詫びとお知らせの通知を行っております。

なお、現時点までの本学調査では、実際にこれらの被害が生じていることの確認はされておりません。また、金銭的な被害は発生しておりません。

このたびは、生徒、保護者の皆様をはじめとする関係の皆様に多大なご迷惑及びご心配をおかけすることになる可能性がある事案を生じさせましたことを深くお詫び申し上げます。

【外部者がアクセス可能な状況となった個人情報】6月3日現在

①生徒1,803人分(平成19~21年度入学・編入、平成28~令和7年度入学・編入)及びその保護者:

◆生徒全員……氏名、生年月日、住所、電話番号、出身小学校、保護者勤務先・連絡先

◆生徒の一部…通知票所見、進級判定資料、クラス編成資料、アレルギー情報等、身長

②教職員60人分:氏名、家族構成、住所、給与号俸、本籍、勤務年数、年齢

③同窓会131人分:氏名、住所

④翠陵会(中学校に勤務経験のある教職員の会)138人分:氏名、住所、電話番号

⑤部活動コーチ1人分:氏名、住所

⑥山形県内中学校剣道部所属データ生徒105人分及びその保護者:氏名、学校名

⑦前任校の学級通信31人分:氏名

本件につきましては、関係する行政機関へ報告するとともに、警察にも対応を相談し、被害情報の調査を継続して行っております。

このような事態が発生し、生徒、保護者の皆様をはじめ関係の皆様に多大なご迷惑及びご心配をおかけすることになりましたことを、重ねてお詫び申し上げます。本学では、このたびの事態を重く受け止め、類似事案に対する学内の注意喚起を徹底するとともに、附属学校園における組織的・物理的な情報セキュリティ体制の抜本的な改革等、二度とこのような事案を発生させないという強い決意で、再発の防止に努めてまいりたいと存じます。

なお、身に覚えのない電話、郵便物、メール等や個人情報漏洩と考えられる事象をみかけた場合やご不明な点があります際は、以下の窓口までご連絡いただきますようお願いいたします。

リリース文アーカイブ

【セキュリティ事件簿#2025-180】山形大学 個人情報が流出した可能性のある事案の発生について 2025/5/12

 

本学では、4月21日に、本学教員が業務で使用するノートパソコンにおいて、サポート詐欺に関する虚偽の警告掲示に対して、遠隔操作ソフトをインストールさせられ、不正アクセスされる事案が生じました。

不正アクセスにより当該パソコンに保存していた本学学生の個人情報が流出した可能性があり、対象の方々に対し順次お詫びとお知らせを行っております。

なお、個人情報が漏洩したこと及び不正アクセスによる二次被害が生じていることの確認はされておりません。また、本件において金銭的な被害は発生しておりません。

このたびは、学生の皆様をはじめとする関係の皆様に多大なご迷惑及びご心配をおかけすることになる可能性がある事案を生じさせましたことを深くお詫び申し上げます。

 【流出した可能性のある個人情報】

①学生名簿(2017~2025年度):2,306名の氏名及び学生番号

②健康調査票:313名の学生番号、メールアドレス、生年月日、電話番号及び健康調査票回答事項

③学生相談時に特に要望、情報提供があった学生の名簿(パスワードにより暗号化):12名の氏名及び学生番号

④学生相談時に特に要望、情報提供があった学生の名簿(パスワードにより暗号化):6名の氏名、学生番号及び要望等の事項

(※)①~④については農学部、大学院農学研究科及び岩手大学大学院連合農学研究科(山形大学配属)の学生に係るものです。

本件につきましては、関係する行政機関へ報告するとともに、警察にも対応を相談し、被害情報の調査を継続して行っております。

このような事態が発生し、学生の皆様をはじめ関係の皆様に多大なご迷惑及びご心配をおかけすることになりましたことを、重ねてお詫び申し上げます。本学では、このたびの事態を重く受け止め、情報セキュリティに関する学内の研修を徹底してまいります。また、個人情報の取扱いや情報セキュリティに関する施策の強化を通じ、再発の防止に努めてまいりたいと存じます。

なお、個人情報漏洩と考えられる事象をみかけた場合やご不明な点があります際は、以下の窓口までご連絡いただきますようお願いいたします。

リリース文アーカイブ

【セキュリティ事件簿#2025-153】一関信用金庫 個人情報漏えいのおそれのある事案の発生に関するお知らせとお詫びについて 2025/4/22

 

このたび、弊金庫におきまして、個人情報漏えいのおそれのある事案が発生いたしました。

本事案を発生させましたことは誠に申し訳なく、お客さまをはじめ関係各位に多大なるご迷惑とご心配をお掛けしますことを深くお詫び申し上げます。

今回の事態を厳粛に受け止め、情報管理態勢を一層強化し再発防止に努めてまいります。

1.事案の概要

令和 7 年 3 月 25 日㈫に、弊金庫業務用パソコンからの電子データファイルのダウンロード状況の日次確認を実施したところ、元職員(本件発生時は本部勤務の役席者、令和 7 年 4 月 8 日付退職)が、内部規程に違反し、個人情報が含まれる弊金庫ファイルを前日に私物 USB メモリに保存した事案が発覚しました。また、元職員への聴取で、私物 USB メモリの自宅への持帰りも判明しました。

弊金庫では、個人情報漏えいの有無を確認するための内部調査を実施しました。

内部調査の結果、弊金庫ファイルが元職員の別の私物 USB メモリにも保存されていた可能性があることが判明しました。元職員に経緯を聴取したところ、別の私物 USB メモリには弊金庫ファイルを保存しておらず、漏えいもしていないとの説明を受けました。しかし、別の私物 USB メモリは弊金庫の回収前に破損していたため、漏えいの有無にかかる追加調査は実施できませんでした。

この結果、弊金庫ファイルが外部に漏えいした可能性が否定できないことから、本事案を「個人情報漏えいのおそれのある事案」の発生として、お詫びと共にご報告いたします。 

2.漏えいのおそれのある個人情報の内容

(1)お客さまの先数

18,316 名のお客さま

(2)個人情報の内容

18,316 名のお客さまに関する個人情報で、お客さまにより異なりますが、「お名前」、「ご住所」、「生年月日」、「性別」、「勤務先」、「年収」、「電話番号」、「携帯電話番号」、「FAX 番号」、「メールアドレス」、「お取引種目・内容」、「口座番号」、「お取引残高」が含まれます。 

3.原因について

元職員に対するコンプライアンス意識や教育などが徹底されていなかったこと、及び管理者による当該元職員に対する管理監督が不十分であったことによるものです。

4.お客さまへの影響について

持ち出された弊金庫ファイルには、ご預金の払戻しに必要な情報(お届け印鑑の印影、キャッシュカードの暗証番号、インターネット・バンキングのログイン ID とパスワード)は含まれておりませんので、第三者が当該弊金庫ファイルを不正利用し、お客さまになりすましてご預金を払戻すことは一切できません。また、弊金庫ファイルには、クレジットカードの番号、暗証番号、セキュリティ・コードも含まれておらず、第三者が当該弊金庫ファイルを不正利用し、クレジットカードを利用することも一切できません。さらに、弊金庫ファイルには、お客さまのマイナンバー及び本人確認資料としてご提出いただいた公的資料(運転免許証の写し、健康保険証の写し、住民票、印鑑証明書等)も含まれておりません。

また、これまで本件に結び付くような外部からの不審な問い合わせや、お客さまの情報が不正に利用されたなどといったご連絡は一切ございません。 

5.今後の対応と再発防止策

持ち出された弊金庫ファイルに個人情報が含まれていたお客さまに対しましては、個別に書面にてお詫び申し上げますと共に今般の事案発生につきご通知いたします。今後、新たな事項が判明した場合には、改めてお知らせいたします。

弊金庫では、この事案の発生を踏まえ、本件発覚後直ちに、システム上、業務用パソコンから USB メモリへの電子データファイル書き込みを遮断いたしました。今後は、個人情報に係る安全管理措置の充実・強化と役職員のコンプライアンス意識の向上を図り再発防止に取り組みます。

6.お客さまへのお願い

お客さまには、多大なるご迷惑とご心配をお掛けしますことを深くお詫び申し上げます。

今回の件で、弊金庫から電話やメール等で、お客さまの口座番号、口座残高、暗証番号、インターネット・バンキング ID、パスワード等の情報をお問い合わせすることは決してございません。弊金庫職員を装うような不審な電話やメール、訪問等を受けた際は、ご注意していただき、問い合わせ先までご連絡いただきますようお願い申し上げます。 

リリース文アーカイブ

【セキュリティ事件簿#2025-148】住友林業クレスト株式会社 当社におけるサポート詐欺の不正アクセスに伴う情報漏えいのおそれがある事案の発生について 2025/4/15


この度、当社におきまして、品質保証に関するカスタマーサポート業務に携わる従業員が、業務に使用するパソコン端末においてサポート詐欺による不正アクセスを受け、個人情報が漏えいしたおそれがあることが判明しましたのでお知らせいたします。お客様およびご関係の皆様には多大なるご迷惑をおかけしておりますことを、心よりお詫び申し上げます。

1.漏えいの経緯

本件は、2025 年 3 月 24 日に当社従業員がサポート詐欺のサイトへ誘導され、遠隔操作ソフトをインストールしたことにより、不正なアクセスを受けたことが判明しております。当該事実の判明後、当該従業員のパソコン端末のインターネットおよび社内ネットワーク接続を遮断いたしましたが、お客様の個人情報および当社従業員の個人情報並びに業務用の情報が漏えいしたおそれがございます。

2.現時点で判明している漏えいした可能性のある個人情報

お客様の氏名;約 500 件

当社従業員の顔写真、携帯電話番号;約 300 件

その他、顧客情報を含む図面、見積書等業務用の情報;調査中

3.漏えい後の当社の対応

本件につきましては、関係する行政機関へ報告をするとともに、現時点で判明しているご関係の皆様へのご連絡、外部の調査会社による被害状況と影響範囲の調査を開始し、現在も継続して被害情報の確認を行っております。

なお、現時点でお客さまの個人情報が悪用されたという事実は確認されておりません。また、今後詳細な調査結果が判明しました際には、改めてご報告申し上げます。

4.再発防止策

このような事態が発生し、お客様およびご関係の皆様には多大なご迷惑をおかけすることになり、重ねて深くお詫び申し上げます。当社はこの度の事態を厳粛に受け止め、今後の情報セキュリティに関わる社内での教育を徹底して参ります。また、個人情報を取り扱う業務プロセスの見直し、および情報セキュリティ施策の強化を図ることで再発の防止に努めて参ります。

 リリース文アーカイブ

【セキュリティ事件簿#2025-147】アトリオドゥーエ Next たまプラーザ 業務委託先による不正アクセスについて 2025/4/15

 平素より当クラブをご利用いただき、誠にありがとうございます。

さて、当クラブのレッスン予約システムにおいて 2025 年 3 月 17 日にクラブ外で予約がキャンセルされるという事象が発生しました。この件について弊社として調査を進めたところ、業務委託先による不正アクセスを確認しました。今回の不正アクセスによる個人情報の流出はございませんでしたが、当クラブでは今回の事故を重く受け止め、下記の通り原因および再発防止策についてご報告申し上げます。

1.調査結果の概要と対応内容

2025 年 3 月 17 日に発生したクラブ外での予約キャンセルは業務委託先から派遣されたスタッフが担当するレッスンであり、この業務委託先より当該スタッフへ事情聴取をしたところ、他者のアカウントで複数回にわたりシステムへ不正にアクセスがなされたことが判明しました。

当該スタッフが不正アクセスに用いた他者アカウントは、同人が当クラブでのアルバイト雇用期間中に他者から入手したものであり、現在(2024 年 9 月に退社した後、業務委託として派遣勤務)に至るまで同他者アカウントを用いた不正なアクセスを行い、担当するレッスンやパーソナルトレーニングの確認やシステム上の処理を行っていたことが判明しました。

なお、当該スタッフへの事情聴取ならびに本人のスマートフォン履歴および同デバイス内記録の調査の結果、不正アクセスによってクラブの顧客情報は取り出されていないことを確認しています。

これらの調査結果を受けて、業務委託先は当該スタッフとの契約を解除。これにより同人によるクラブでの活動は終了しています。また、当該スタッフのアカウントは無効化しています。

なおクラブでは事案発生後直ぐに、全従業員のアカウントパスワードの再設定・各各 の厳重管理を指示しています。また、 アカウントを当該スタッフへ伝えたアルバイトスタッフに対しては厳重注意と指導を実施しました。さらに、システム会社に不正アクセスによる顧客情報の取り出しに関して調査を依頼し、取り出しの実態がないことを確認しました。

2.原因の特定

(1) 業務委託先スタッフの職業倫理観及び情報セキュリティ意識の欠如があったこと

(2) アカウントアルバイトスタッフの職業倫理観及び情報セキュリティ意識の欠如があったこと

(3) スタッフに対して、適切なシステム利用ルール、情報セキュリティ各秘密保持に関する意識付け、コンプライアンス遵守、および違反時のリスクに関する教育各指導が徹底されていなかったこと

(4) スタッフの就業状況や問題発生の兆候を把握するための管理各監督体制が不十分であったこと

(5)・ 定期的なシステム内パトロールやアカウントパスワードの更新が不十分であったこと

3.再発防止策

(1)情報セキュリティ体制構築に向けた業務委託先との再協議

(2)当社情報セキュリティ各コンプライアンス研修の内容見直しと強化

(3)スタッフへ教育の再徹底および管理監督体制の強化

(4)システム内パトロールならびにパスワード更新の定期実行

(5)再発防止策の効果測定および必要に応じた見直し

この度は会員の皆様にご心配をおかけするような事態を招きましたことをお詫び申し上げます。今後

はより一層のシステム管理を徹底して、会員の皆様が安心して快適にクラブをご利用いただけますよう努めてまいります。

今後ともアトリオドゥーエ Next たまプラーザをご愛顧くださいますようよろしくお願いいたします。

リリース文アーカイブ

【セキュリティ事件簿#2025-120】鴨川市が保有する情報に対する不正なアクセスについて 2025/4/1

 

鴨川市が保有する情報について、下記のとおり職員による不正なアクセス及び取得がありました。

このような事案が発生したことをお詫び申し上げますとともに、これまで以上に適正な情報管理と事務処理を徹底してまいります。

事案の概要

2の職員が他の職員のアカウント及びパスワードを使用して不正に本市のネットワークシステムにアクセスし、データを取得したもの(不正アクセス行為の禁止等に関する法律第3条で禁止されている不正アクセス行為に該当するおそれ)

該当職員

(1)所属 水道課(令和6年度)

(2)年齢 50歳代

(3)職名 主査

発覚日時

令和6年10月23日(水)午後4時21分頃

発生原因

ネットワークにアクセスするために必要なパスワードについて、職員コードから類推することが容易なものを仮のパスワードとして初期設定していたところ、これを不正に利用して、他部署の情報にアクセスしたもの

発覚からこれまでの対応

(1)令和6年10月24日(木)に、鴨川警察署に通報した。(同日から捜査が行われており、該当職員は、捜査官に対して、不正アクセスを行い、データを取得したことを話している。)

(2)令和6年10月24日(木)に、ネットワークシステムへのアクセスの記録(令和5年10月25日(1年前)以後の記録)を保存し、記録の分析を開始した。以降、捜査機関の求めに応じて分析結果を随時提供した。

(3)令和6年10月25日(金)に、仮のパスワードを引き続き使用している職員についてはこれを変更するよう全職員に対して周知した。

(4)(2)の分析の結果、要配慮個人情報の漏えいが確認されたこと、不正アクセスによる漏えいであったこと、100人を超える人数の漏えいが確認されたことから、個人情報の保護に関する法律第68条第1項に基づき、国の個人情報保護委員会へ令和6年12月19日(木)に速報を、12月25日(水)に確報を報告した。以降、委員会からの事案の詳細等に係る照会に対応した。

(5)令和6年12月及び令和7年1月の2度、該当職員から顛末の報告を徴した。

確認された事項

(1)該当職員の席上のパソコンから、本人以外の12人の職員のアカウントを使用してネットワークシステムへのアクセスがあったこと

(2)不正に取得されたデータは、人事及び該当職員が在籍した課等において自らが関与した業務に関するデータであったこと(5課、データコピー延べ11,310件)

(3)コピーされたデータは、該当職員に配備された市有の端末のほか、一部は同職員が所有する外部記録媒体にも保存されたこと(現在まで、データの悪用等による二次被害又はそのおそれは確認されていない)

(4)漏えいした情報は、市民等に関する個人情報は実人数で382人分、職員(退職者を含む)に関する個人情報は実人数で903人分であること

・ 市民等で漏えいが確認された個人情報

 氏名、生年月日、性別、住所、電話番号、メールアドレス

・ 職員(退職者を含む)で漏えいが確認された個人情報

 氏名、生年月日、性別、住所、電話番号、人事管理等情報(異動希望、健診記録、病気休暇記録、休職履歴、降格希望、懲戒処分情報、職員の復職判定資料、職員に係る訴訟資料)

今後の対応

(1)捜査への協力

検察又は警察の捜査に対し、引き続き可能な範囲で協力する。

(2)公表

令和7年4月1日に公表する。

(3)個人への通知

個人情報の保護に関する法律第68条第2項の規定に基づき、個人データの漏えい等が生じた旨を当該個人に通知する。

(4)職員の処分

事案の全容が明らかになり次第、厳正に対処する。

再発防止のための措置

(1)外部記録媒体の使用制限の厳格化

(2)職員に配布する初期パスワードのランダム化

(3)職員研修の実施

(4)鴨川市情報セキュリティ対策基準に基づく監査及び自主点検の実施

公表等を控えていた理由

警察との協議の結果、捜査に支障が及ぶ可能性が否定できないことから公表を差し控えていたもの

リリース文アーカイブ

【セキュリティ事件簿#2025-113】調布市 会議システムID等の漏えい及び不正使用についての議長声明 2025/3/24

 

調布市議会において、議会運営の効率化・ペーパーレス化を目的として活用している会議システムのID・パスワードが、現職議員から本来閲覧できない元市議会議員に伝えられ、会議システムが不正に閲覧されるという事案が発生しました。

当該議員及び同会派の幹事長から議会に対して説明と謝罪がありましたが、会議システムのID・パスワードが漏えいしたことは、市民の負託に応えるべき市議会の信頼を失う行為であり、市民の皆様や関係各位の皆様に大きな心配と混乱を招いており、極めて遺憾であります。

本件事案が法令に抵触するかどうか、法務専門職への相談を行った上で、現在、調布警察署にも問い合わせているところです。

調布市議会では、これらを踏まえ協議し、今後の対応と取組について決定してまいります。

発生日

令和7年3月12日(水曜日)

概要

市議会議場にて本会議審議中、会議システム「SideBooks(注)」に田村ゆう子議員(会派「日本共産党」所属)アカウントから、画面の共有を通知する旨のポップアップが表示された。休憩中に事務局が確認したところ、田村議員は当該操作を否定したことから第三者による不正アクセスが疑われた。その後、田村議員からの申告により、同会派(日本共産党)に所属していた元議員に会議システムのIDとパスワードを教えていたこと、元議員が当該操作をしていたことが判明した。

(注)ペーパーレス化を目的に、議案などの議会資料のほか、執行機関からの情報提供資料のデータが格納されたシステムであり、個人情報は格納しない運用としている。閲覧は全議員、議会事務局職員、執行部の管理職の各個人にIDとパスワードが付与されており、立場に応じて見ることができる資料がそれぞれ異なる。

時系列

  • 3月12日(水曜日)
    午前9時20分頃 SideBooksに田村議員から画面の共有を通知する旨のポップアップが表示された。田村議員に確認したところ、当該操作は行っていないと申告。
    午前11時20分頃 不正アクセスの可能性を考慮し、田村議員のパスワードを事務局にて変更。
    午後0時30分頃 田村議員と共に同会派の岸本直子幹事長が事務局を訪れ、元議員へID、パスワードを渡したことを思い出したこと、元議員が該当時間帯に使用していたことを確認したとの報告。
    午後2時30分頃 田村議員から、正・副議長、正・副議会運営委員長に説明、謝罪(岸本幹事長同席)。

  • 3月13日(木曜日)
    午後2時00分 各会派の代表者で構成する幹事長会議を開催。田村議員が出席し説明、謝罪。

  • 3月14日(金曜日)
    午後5時40分頃 正・副議長が議長室で読売新聞の取材に対応。

  • 3月15日(土曜日)
    読売新聞、読売新聞オンラインに、本件記事が掲載。

  • 3月21日(金曜日)
    午前中 議長が調布警察署を訪問し事件相談。
    午後2時00分 幹事長会議を開催し、議長から現状を報告。

リリース文アーカイブ

【セキュリティ事件簿#2025-095】山形鉄道、ボイスフィッシングで1億円だまし取られる

 

山形銀行を装った不審な自動音声電話が県内の企業に相次ぎ、複数の企業で不正送金の被害が確認される問題が発生した。この中で、フラワー長井線を運営する第三セクター・山形鉄道(長井市)が約1億円の被害を受けていたことが11日、同社への取材で明らかになった。現在、同社は関係市町や県と対応を協議しており、県警はこれを企業を狙ったフィッシング詐欺事件とみて捜査を進めている。

山形鉄道の中井晃社長は山形新聞の取材に対し、「被害額は約1億円にのぼる。現在、県や関係市町と協議中のため、広報対応は控えている」とコメントした。県も「被害の情報は把握しており、対応を協議している」と述べるにとどめた。

県警および山形銀行の広報室によると、不審電話に応じると偽サイトへ誘導され、会社情報やインターネットバンキングの認証情報を入力させられる。これにより、一時的に発行されるパスワードなどの情報が詐欺犯側に流出し、最悪の場合、被害者の口座から現金が引き出される恐れがあるという。

県警サイバー犯罪対策課によると、この手口は「ボイスフィッシング」と呼ばれ、自動音声で誘導し、メールアドレスなどの個人情報を聞き出したうえで偽サイトに誘導し、最終的に現金を詐取するフィッシング詐欺の一種とされる。

山形銀行は、最寄りの支店ややまぎんテレホンセンターで被害に関する相談を受け付けている。

### 国際電話の可能性

山形銀行をかたる不審電話は山形鉄道だけでなく、県内のマスコミやソフトウェア開発会社などにも発生していたことが11日に判明した。これらの電話は途中で通話が切れるケースが多く、発信番号の表示などから国際電話の可能性が指摘されている。

山形市に本社を置くソフトウェア開発会社には、10日午前10時頃、「やまぎんEBを利用する企業に連絡している。より高度なセキュリティー設定が必要だ」「設定しなければ口座が一時的に使えなくなる」とする自動音声の電話があった。「1」を押すとオペレーターの男性に繋がり、「やまぎんネットバンク共同ヘルプデスクの者です」と名乗ったが、その後、音声の接続が悪化し、電話は一方的に切れたという。

また、山形市内の内装工事業者には同日午前11時55分頃、「お客様情報を更新しなければ口座の利用が制限される」との自動音声が流れる電話があった。しかし、直前に山形銀行から注意喚起の連絡を受けていたため、担当者は警戒し、番号を押さずに待機したところ、電話はそのまま切れた。同市内のマスコミにも同日午前10時半頃、総務部に山形銀行を名乗る自動音声の電話があり、発信番号は「18308328139」だったとされる。

出典:山形鉄道、1億円被害 企業に相次ぐ山形銀装う電話、県警がフィッシング詐欺で捜査アーカイブ

【セキュリティ事件簿#2025-081】松山大学 個人情報漏えいの可能性についてのお詫びとご報告 2025/2/26

 

2025年1月3日に松山大学及び松山短期大学(以下、「本学」という。)におきまして、個人情報が漏えいする可能性のある事案が発生いたしました。多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

本学では、本件を厳粛に受け止め、個人情報の管理体制を強化し、再発防止に努めてまいります。

1.事案の概要

2025年1月3日14時20分頃、本学の教育職員が、個人情報を含むパソコンを自宅のWi-Fiに接続してインターネットを利用していた際、警告音と共に警告画面が表示されました。教育職員はこれを正規のセキュリティ警告と誤認し、画面の指示に従い、指定された連絡先に電話をかけました。相手の指示に従って操作を進めた結果、パソコンがリモート操作可能な状態となり、不正アクセスを受ける状態となりました。その後、セキュリティ強化として料金の支払いを求められたことで詐欺に気づきましたが、この間にパソコン内のデータが漏えいした可能性があります。

なお、現時点では個人情報が漏えいした事実は確認されておりません。

2.漏えいの可能性のある個人情報(パソコンに保存されていた個人情報)

件数:ファイル数488個、実人数889名

内容:学籍番号、氏名、生年月日、性別、成績、レポート、編入学試験出願書類

3.発生原因

パソコン操作中に警告画面が表示され、警告音が鳴った際、これを正規のセキュリティ警告と誤認し、偽のサポート窓口に連絡し、指示に従って操作を行ったことが原因です。

4.再発防止策

本学では、本件を厳重に受け止め、2025年1月6日に教職員向けにフィッシング詐欺の手口や対策について説明し、注意喚起を行いました。今後はこのような啓発活動を計画的に行い、適正な個人情報管理の徹底に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2025-062】札幌市立小学校の教頭、個人情報入りのUSBメモリをポケットに入れたままジャケットを売却し、個人情報をお漏らし

 

札幌市教育委員会は、札幌市立小学校の50代男性の教頭が児童ら200人分の個人情報が入ったUSBメモリーを紛失していたと発表しました。

市教委によりますと、50代の教頭は札幌市立藤の沢小学校と福住小学校に勤務していた2011年から2016年にかけて、自宅で作業するため児童や保護者およそ200人分の名前や顔写真のほか、児童の所見などを記載した電子ファイルを私物のUSBメモリーに保存していました。教頭は、2016年以降このUSBメモリーを使うことはなく、ジャケットのポケットに入れたまま存在を忘れ、去年8月にUSBメモリーが入ったままのジャケットをリサイクルショップで売却したということです。先月29日になり、市教委に匿名でUSBメモリーが郵送されてきたことから個人情報の漏えいが発覚しました。

市教委によりますと、匿名の情報提供者以外への情報漏えいなどは確認されていないということで、今後、情報漏えいの対象者を特定し説明とおわび文を送ることにしています。

出典:児童の個人情報漏えい 教頭がUSBをポケットに入れたままジャケット売却 匿名人物からの郵送で発覚 札幌アーカイブ

【セキュリティ事件簿#2025-035】日本神経科学学会 個人情報漏洩の可能性に関するお知らせとお詫び 2025/1/27

 

この度、当会の業務用パソコンが一時的に第三者による不正なアクセスを受けたことが判明いたしました。

現時点では、会員の皆様の個人情報が漏洩したという確証はございませんが、漏洩の可能性を完全には否定できない状況であるため、ご報告申し上げます。

■対象となる可能性のある個人情報

氏名・所属先名称・郵送物の送付先住所・電話番号・メールアドレス・生年月日・性別

漏洩の可能性のある個人情報には、クレジットカード番号や銀行口座情報、年会費の支払い履歴など金銭のやりとりに関わる情報や、会員サイトへのログインパスワードは含まれておりません。

■現在の対応状況

現時点では被害報告は上がっておりませんが、当会では速やかに調査を行い、専門機関に相談の上、情報セキュリティ対策を徹底しております。

■会員の皆様へのお願い

万が一、当会を名乗る不審なメールや電話等があった場合には、対応せずに当会までご連絡いただけますと幸いです。また、パスワードの変更やセキュリティ対策の強化をお願いいたします。

■今後の対応とお詫び

この度は、皆様にご心配とご迷惑をおかけし、誠に申し訳ございません。再発防止のため、セキュリティ強化をさらに徹底し、皆様の個人情報保護に努めてまいります。

対応済み:

セキュリティソフトの導入・学会のメールアカウントやwebで利用する各種サービスのパスワード変更

対応予定:

学会事務局スタッフのセキュリティ研修受講など

リリース文アーカイブ

【セキュリティ事件簿#2025-027】ハーメックのじり株式会社 個人情報漏えいのおそれに関する お詫びとお知らせ 2024/1/24


平素は、弊社の運営にご協力をいただき誠にありがとうございます。

このたび、ハーメックのじり株式会社 (道の駅ゆーばるのじり) におきまして、悪意ある外部の第三者による、設備内パソコンの遠隔操作の痕跡が認められました。

現時点では、実際の個人情報流出は確認されていませんが、そのおそれまでは否定できないため、個人情報保護法 2 6条2 項に基づきお知らせいたします。

出荷者の皆様には、ご心配・ご迷惑をおかけいたしますことを、深くお詫び申し上げます。

1. 概要及び原因

令和6 年 11 月 26 日、業務時間中に PC でウェブサイトを閲覧していた社員が、ブラウザに表示されたサポートの電話番号に架電するよう誘導・欺罔され、その結果 PCに遠隔操作のソフトをインストールしてしまいました。

他の社員が異変に気付き、直ぐパソコンの電源を切りましたが、PC 内に出荷者様の個人データが保存されておりました。

2. 漏えいのおそれがある個人データ

・氏名

・住所

・電話番号

・金融機関コード及び支店コード

・口座番号及び名義

3. 二次被害又はそのおそれの有無

現在のところ、悪用されるなどの二次被害の発生は確認されておりません。

4.再発防止対策

本件の事故発生を厳粛に受け止め、今後このような事態が発生しないように管理体制の強化に努めるとともに、再発防止に努め、個人情報の取り扱いについては社員への教育研修等を実施します。

また、個人情報等が含まれるデータには、アクセス権限を付与するなどの対策を講じます。

改めまして、皆様に多大なご迷惑とご心配をお掛けいたしましたことを、重ねてお詫び申し上げます。

リリース文アーカイブ




【セキュリティ事件簿#2025-014】株式会社WECARS 元従業員による個人データ漏えいの可能性に関するお詫びとお知らせ 2025/1/15

 

この度、当社の元従業員一名が、私用携帯を社用携帯と不用意に同期し、特定のURLにアクセスした結果、社用携帯に保存されていた152名のお客様の個人データ(氏名および電話番号)が外部に流出した可能性があることが判明しました。関係者の皆さまには多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

個人情報保護委員会に報告するとともに、警察にも相談を行っております。

該当する方々には、書面又はメールにてご連絡させて頂きます。

なお、本日までに、二次的被害は確認されておりませんが、不審な電話やショートメッセージが届くような事象が発生した場合、応答や開封にはご注意頂きますようお願いいたします。

当社は、本件の原因分析および外部専門家の助言も受けて情報管理の強化等を含む再発防止に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2025-011】長野電鉄株式会社 パソコンへの不正アクセスによる個人情報流出の可能性について 2025/1/15

 

このたび弊社におきまして、お客様および従業員(退職者含む)の個人情報 478 件が流出した恐れがあることが判明いたしました。

弊社では、個人情報の保護に関する法律第 26 条第 2 項の定めに基づき、対象の方々に対し個別にお詫びとお知らせの書面を順次発送してまいります。なお、個別に連絡がつかない方々には、本発表をもって通知とさせていただきます。

このたびは、お客様をはじめ、関係されます皆様に多大なるご迷惑、ご心配をおかけすることになりましたことを、深くお詫び申し上げます。

1.事案の概要および原因

令和 6 年 12 月 11 日から 12 日にかけて、弊社所有の業務用パソコンが「テクニカルサポート詐欺」により外部から不正にアクセスされたことが判明いたしました。

弊社では被害を覚知後、速やかに当該パソコンへの外部からの接続を遮断し、接続遮断後の不正アクセスは確認されておりませんが、一定の時間、2.に示す個人情報が流出した可能性がございます。

2.流出の可能性がある個人情報

・氏名

・住所、またはお住まいの地域(海外を含む)

・電話番号

・年齢、または年代

・学校名

・障害の有無

なお、対象者様ごとに、流出の可能性がある項目は異なります。

3.二次被害の有無について

現時点では、不正利用等の二次被害に関する報告は受けておりませんが、今後不審な連絡等には十分ご注意いただきますようお願い申し上げます。

4.今後の対応について

弊社は、このような事態が発生したことを大変重く受け止め、より厳重な情報セキュリティ体制の構築による再発防止に取り組むとともに、全従業員に対し更なる情報リテラシ教育の徹底を図って参ります。

このたびは、お客様に多大なるご迷惑、ご心配をおかけしておりますことを、重ねてお詫び申し上げます。

なお、本件に関するお問い合わせは、以下窓口までご連絡いただきますようお願い申し上げます。

【セキュリティ事件簿#2024-590】浦添市 市内小学校にて発生した情報漏えいの恐れがある事案について 2025/1/8

 

令和6年11月27日に本市ホームページに掲載いたしました市内小学校のパーソナルコンピューター(PC)が不正アクセスを受け、個人情報が流出したおそれがある事案につきまして、外部調査機関による被害状況および影響範囲の調査が終了したため、その結果についてご報告申し上げます。

なお、現時点において、本事案に関わる被害は確認されておりませんが、皆さまにご迷惑とご心配をおかけしましたことにつきまして深くお詫び申しあげます。

1.経緯

本市小学校教諭が、校務用パソコンにてインターネットを閲覧中に偽のセキュリティ警告が表示され、遠隔操作ツールをインストールされた。当該PCでは、下記の情報が閲覧可能な状況でした。

・当該PCに接続されていたUSBメモリ及び校内ファイルサーバに保存されていた個人情報

 当該小学校の令和4年度~令和6年度全学年の児童名簿(児童氏名、生年月日、性別、ふりがな、郵便番号、住所、保護者氏名とふりがな、電話番号、緊急の番号)対象児童 約700名分

2.調査結果

・当該PCおよびUSBメモリにマルウェア検知されたファイルはない。

・遠隔操作中にローカルファイルおよびネットワーク上の他端末にアクセスした履歴、

  情報の窃取が可能なプログラムが実行された痕跡はない。

・調査対象PCが不審な通信を行っていた痕跡はない。

この調査結果を踏まえ、対象機器の情報が閲覧または窃取された痕跡は無く、遠隔操作された端末よりファイルサ ーバへのアクセスはないことから、情報流出は発生しなかったと判断いたしました。

3.再発防止

 全ての職員に対し、今回の事案の内容を周知し、ネット上で不審なアクセスを受けた場合の注意点と対処方法について周知徹底を図ります。今後もいっそう情報管理に万全を尽くすとともに、情報セキュリティ教育の更なる充実を図り、同様の事案の再発防止に努めて参ります。

リリース文アーカイブ

【2024年11月27日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-578】福岡市教育委員会 個人情報の流出事案について 2024/12/26

 

市立中学校において、教員の不注意により、ネットワーク上の教員専用フォルダのアクセスコードを示した結果、生徒2人が保存されていた生徒の配慮事項などの個人情報を閲覧したこと、また、その情報が数人に流出していることが判明しました。

生徒・保護者をはじめ関係者の皆様に深くお詫びするとともに、再発防止に努めてまいります。 

1 経緯

令和6年5月 

教員が授業中に、教材提示のため、パソコン画面をプロジェクターで投影した際、ネットワーク上の教員専用フォルダのアクセスコードを不注意により表示してしまったため生徒が知りえる状況となった。

5月~7月 

アクセスコードを知った生徒2名が、授業で使用するタブレット端末から教員専用フォルダにアクセスし、保存されているファイルを閲覧した。

発覚後、学校は速やかにアクセスコードを変更し、閲覧できない状態にした。

7月~9月 

アクセスした生徒のうち1名が、タブレット端末で画面のスクリーンショットを行い友人と共有した。その後タブレット端末の画面をスマホで撮影したことにより、複数の者に流出した。

11 月 

同学年生徒の保護者から、教育委員会にファイルが流出しているとの情報提供があった。

11 月~12 月 

教育委員会で関係者に追跡調査を行った結果、ファイルの流出を確認し、データの削除を行った。

2 ファイルに記載された個人情報

中学3年の生徒の健康上、生徒指導上の配慮事項

(アレルギー、長期欠席、その他生徒への支援事項) 49 名分

3 事案発生後の対応状況

ファイルを閲覧した者(12 名)に確認を行い、保存していたファイルは削除要請し、その後のファイルの流出は確認されていない。 

4 再発防止策

〇授業で使用するファイルと個人情報を含むファイルを分離して保存し、その運用を徹底。

〇全教員に情報リテラシー教育と福岡市教育情報セキュリティポリシーの周知・徹底。

〇児童生徒へ、情報モラル教育の徹底。 

リリース文アーカイブ

【セキュリティ事件簿#2024-549】法政大学 社会学部専任教員による個人情報の漏洩について 2024/12/12


2024年10月19日に、本学社会学部専任教員が、本来持ち歩きが禁止されている個人情報を含むファイルをUSBメモリにコピーし、さらに、本学多摩情報教育システム上の学生と教員が共有しているファイルサーバーに、誤って保存してしまう事態が発生しました。その結果、計80件、延べ人数1683名分の個人情報を含む文書が、当該ファイルサーバー内で閲覧が可能な状態となっておりました。10月21日に該当ファイルはファイルサーバーから削除され、現在は閲覧できないことを確認しております。また、現在までに二次被害の可能性を想定される事象の報告はございません。

個人情報が漏洩した在学生に対しては、本人宛にお詫びのご連絡を行っています。また、当該ファイルサーバーの利用者には個人情報保護への協力をお願いしております。

なお、上記期間に閲覧が可能となっていた卒業生の個人情報(延べ人数642名分)は次のとおりです。

(1)同教員が担当した科目を履修した学生の氏名、学生証番号、学部・学科名称、成績評価

<対象年度、人数および科目名>

 2011年度:卒業生157名分

  科目名:演習、地域研究、中国語初級、中国語中級、中国語上級

 2012年度:卒業生83名分

  科目名:中国語中級、中国語上級

 2018年度:卒業生100名分

  科目名:地域研究(中国)

 2019年度:卒業生89名分

  科目名:国際社会と言語文化、地域研究(中国)

  2020年度:卒業生47名分

  科目名:地域研究(中国)、中国語中級2、中国語中級5

  2021年度:卒業生27名分

  科目名:中国語初級A、中国語初級B、中国語中級2、中国語中級5

(2)同教員が担当した科目の提出課題に記載した学生氏名、学生証番号、学部・学科名称

<対象年度、人数および科目名>

 2010年度:卒業生7名分

  科目名:地域研究(中国語)

 2012年度:卒業生51名分

  科目名:国際社会と言語文化

 2014年度:卒業生36名分

  科目名:国際社会と言語文化

 2020年度:卒業生2名分

  科目名:地域研究(中国)

  2021年度:卒業生39名分

  科目名:地域研究(中国)

(3)学生氏名、学生証番号、所属研究科を記載した修士論文

<対象年度と人数>

 2020年度に修士論文を提出した(社会科学研究科)修了生:4名分

この度は学生の皆さん、卒業生および関係者の皆様に多大なご迷惑、ご心配をお掛けすることとなり、深くお詫び申し上げます。

本学では今回の事案を厳粛に受け止め、今後、個人情報が含まれるデータ等の管理体制の強化を図り、再発防止に努める所存でございますので、引き続きご理解、ご協力を賜りますようお願い申し上げます。

リリース文アーカイブ