ラベル インシデント:脆弱性 の投稿を表示しています。 すべての投稿を表示
ラベル インシデント:脆弱性 の投稿を表示しています。 すべての投稿を表示

【セキュリティ事件簿#2024-081】株式会社東和エンジニアリング 社内ネットワークへの不正アクセス攻撃に関する ご報告とお詫び 2024/2/13

株式会社東和エンジニアリング
 

日頃、ご愛顧賜りまして誠にありがとうございます。

2023年12月15日以降順次ご報告いたしましたとおり、このたび、当社において業務上使用するサーバーに対して、第三者による不正アクセス攻撃を受けました。(以下「本件」といいます。)

お客様をはじめ関係者の皆様には深くお詫びを申し上げますとともに、今般、セキュリティ専門機関による調査が完了いたしましたので、本件の概要等につきまして、下記のとおりご報告いたします。

なお、サーバーを含む当社社内ネットワークはすでに復旧しており、現時点では当社業務への影響はございません。また、本日より、当社ドメインである towaeng.co.jp のメール利用を再開させていただきます。

1.本件の概要

2023年12月15日、当社社内ネットワークにおいてウイルス感染の疑いが確認されたため、セキュリティ対策本部を立ち上げ、当該サーバーをネットワークから隔離するなどの被害拡大防止策を講じた上で、速やかにセキュリティ専門機関に調査を依頼しました。その後、第三者からのランサムウェアによる不正アクセス攻撃を受けたことにより、社内サーバー内の情報が一部不正に閲覧された可能性があることが確認されました。

なお、当社は本件につきまして、個人情報保護委員会及び一般財団法人日本情報経済社会推進協会(JIPDEC)に報告済みでございます。また、警察にも被害申告しており、今後捜査にも全面的に協力してまいります。

2.情報の漏えい及び二次被害の有無について

セキュリティ専門機関の調査の結果、ランサムウェア攻撃被害を受けたサーバー上に存在していた情報の流出の痕跡は確認されませんでした。また、現時点で本件に係る二次被害は確認されておりません。

3.原因

第三者がVPN機器の脆弱性を利用し、総当り(ブルートフォース)攻撃によりID/パスワードを不正に取得して、当社ネットワークに侵入したものと考えられます。

リリース文アーカイブ

【セキュリティ事件簿#2024-076】菅公学生服株式会社 弊社が運営する「カンコーオンラインショップ原宿セレクトスクエア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/3/4

カンコーオンラインショップ原宿セレクトスクエア

このたび、弊社が運営する「カンコーオンラインショップ原宿セレクトスクエア」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(漏えい対象者数3,827名(対象者は一部確認中です。))が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏えいした可能性のある現在判明しているお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。(一部確認中の対象者には判明次第、個別にメールにてご案内申し上げます。)

また、弊社が運営する学校向けECサイト、採寸システム、ショップシステムなどは、「カンコーオンラインショップ原宿セレクトスクエア」とは完全に分離したシステムで運営しているため、今回の不正アクセスの対象とはなっておりません。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.   経緯

2023年9月27日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、2023年9月27日弊社が運営する「カンコーオンラインショップ原宿セレクトスクエア」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年12月8日、調査機関による調査が完了し、2021年4月25日~2023年8月21日の期間に「カンコーオンラインショップ原宿セレクトスクエア」で購入されたお客様のクレジットカード情報が漏えいし、一部のお
客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。 

2.個人情報漏えい状況

(1)原因

弊社が運営する「カンコーオンラインショップ原宿セレクトスクエア」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏えいの可能性があるお客様

2021年4月25日~2023年8月21日の期間中に「カンコーオンラインショップ原宿セレクトスクエア」においてクレジットカード決済をされたお客様3,827名(対象者は一部確認中です。)で、漏えいした可能性のある情報は以下のとおりです。

・氏名(漢字、カタカナ)、電話番号、住所、生年月日
・クレジットカード番号
・有効期限
・セキュリティコード

上記に該当する3,827名のお客様については、別途、電子メールにて個別にご連絡申し上げます。(一部確認中の対象者には判明次第、個別にメールにてご案内申し上げます。)

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年9月27日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

今回個人情報漏えいが確認されました「カンコーオンラインショップ原宿セレクトスクエア」(以下、旧サイト)は、個人情報漏えいが確認される前の2023年8月22日に閉鎖しておりました。その後、同名称で「カンコーオンラインショップ原宿セレクトスクエア」(以下、新サイト)を2023年8月23日に立ち上げておりました。2023年9月27日に旧サイトで取得したお客様のクレジットカード情報漏えいの懸念が発覚いたしました。現在の新サイト及び弊社が運営する学校向けECサイト、採寸システム、ショップシステムなどは旧サイトとは完全に分離したシステムで運営しているため、今回の不正アクセスの対象とはなっておりません。新サイトの決済再開日につきましては、決定次第、改めて新サイト上にてお知らせ致します。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年12月12日に報告済みであり、また、所轄警察署にも2023年12月15日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2024-062】なかほら牧場 当牧場が運営する「なかほら牧場オンラインストア」への不正アクセスによるクレジットカード情報の窃取に関するお詫びとお知らせ  2024/2/28

なかほら牧場

このたび、当牧場が運営する「なかほら牧場オンラインストア」の旧サイト(以下「旧サイト」といいます)が 2021年4月22日に不正アクセスを受け、以降 2023年7月11日までの期間において入力されたお客様のカード情報(5,069件)が窃取されていた可能性、およびカード情報5,069件を含む個人情報(14,933件)が閲覧されていた可能性のあることが判明いたしました。                                         

上記の期間に当牧場の旧サイトでカード番号を入力されたお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたことについて深くお詫び申し上げます。 

カード情報および個人情報が窃取された可能性のあるお客様には、本日以降、電子メールでお詫びとお知らせをお送りしてまいります。

本件の概要・経緯およびお問合せ窓口等につきまして、下記の通りお知らせいたします。

1.経緯


2023年9月8日、一部のクレジットカード会社から、当牧場の旧サイトを利用されたお客様のカード情報が窃取された可能性がある旨の連絡を受けました。

当牧場の現サイトは上記連絡を受ける前 2023年7月11日に新システムへ移行しておりましたが、あらゆる可能性を考慮に入れて、2023年9月12日、現サイトにおけるカード決済を停止いたしました。

上記の措置と同時に、第三者調査機関による調査を開始いたしました。2023年11月27日に当該調査が終了し、2021年4月22日~2023年7月11日の期間に当牧場の旧サイトでカードの番号を入力されたお客様(および2023年7月12日から2023年9月12日の期間において旧サイト・マイページのカード情報を更新されたお客様)のカード情報が入力時に窃取され、その後、うち一部のお客様のカード情報が不正利用された可能性があることが確認されました。また、2023年7月11日までに当牧場の旧ECサイトに個人情報をご入力いただいたお客様の個人情報(14,933件)が閲覧された可能性も確認されました。

以上の事実が確実なものとなりましたので、本日2024年2月28日の発表に至りました。

2.個人情報漏洩状況


(1)原因


当牧場の旧サイトで使用しておりましたシステムの一部に脆弱性があり、これをついた第三者が不正にアクセスして、ペイメントアプリケーションの改ざんが行われました。

(2)カード情報窃取の可能性があるお客様


2021年4月22日~2023年7月11日の間に当牧場の旧サイトにおいてカード番号を入力されたお客様、および2023年7月12日から2023年9月12日の間に旧サイト・マイページのカード情報を更新されたお客様です。窃取された可能性のあるのは5,069件で、内容は次のとおりです。 

 ・カード名義人名
 ・カード番号
 ・有効期限
 ・セキュリティコード
 ・住所

カード情報窃取の可能性があるお客様には、電子メールで個別にご連絡いたします。

(3)個人情報が閲覧された可能性のあるお客様


2017年6月1日から2023年7月11日までに当牧場の旧サイトをご利用いただいた 14,933名のお客様について、閲覧された可能性のある情報は以下の通りです。

 ・住所
 ・氏名
 ・注文内容
 ・メールアドレス
 ・生年月日(任意入力項目)
 ・会員番号
 ・電話番号
 ・FAX番号(任意入力項目)

3.お客様へのお願い


すでに当牧場では、クレジットカード会社と連携して窃取された可能性のあるカードによる取引のモニタリングを継続実施し、不正利用の防止に努めております。

お客様におかれましても、お手数をおかけしてたいへん申訳ございませんが、カードご利用明細にある請求項目のご確認をお願いいたします。もし、当該利用明細中に覚えのない請求項目の記載がありましたら、おそれ入りますがカードの裏面に記載されているクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、当牧場からクレジットカード会社に依頼しております。

4.公表が遅れた理由・経緯について


2023年9月8日に状況報告を受けてから今回の案内に至るまで、時間を要しましたことにつきましては、深くお詫び申し上げます。

カード番号窃取の可能性に関する連絡を受けた時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるべきとも考えられるところではございましたが、クレジットカード会社との協議を踏まえ、不確定な段階における情報の公開は混乱を招くため、調査会社による調査結果の確定およびクレジットカード会社との連携を待って行うことといたしました。

今回の公表まで時間がかかりましたことについて、重ねて深くお詫び申し上げます。

5.再発防止策ならびにオンラインストアにおけるカード決済の再開について


2023年7月11日に運用を開始した現オンラインストアは、旧サイトとは異なる決済システムで運営しているためカード情報窃取の対象とはなっておりませんが、システムのセキュリティ確保につきましては、今後一層注意してまいります。

現在の「なかほら牧場オンラインストア」におけるカード決済の再開日につきましては、決定し次第、改めてサイト上でお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会に2023年9月12日に報告済であり、また、2023年12月26日には所轄警察署にも報告済です。

【セキュリティ事件簿#2024-052】株式会社クレイツ 弊社が運営していた「クレイツ公式オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/2/20

株式会社クレイツ

この度、弊社が運営していた「クレイツ公式オンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(4,748件)が漏えいし、また、お客様の個人情報(65,520名)が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

外部専門機関によるフォレンジック調査および社内調査が完了しましたので、調査結果および再発防止策についてご報告いたします。

なお、個人情報が漏えいした可能性のあるお客様には、本日より電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年4月3日、「クレイツ公式オンラインショップ」をリニューアル(旧サイトを閉鎖し、新サイトをオープン)しました。2023年6月1日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年6月1日弊社が運営する「クレイツ公式オンラインショップ(新サイト)」でのクレジットカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年7月26日、調査機関による調査が完了し、2021年4月21日~2023年4月3日の期間に「クレイツ公式オンラインショップ(旧サイト)」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。なお、新サイトで商品を購入したお客様のクレジットカード情報は漏洩していないことを確認しております。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況(フォレンジック調査及び社内調査により判明した事実)

(1)原因

第三者が、弊社が運営する旧サイトのシステムの一部の脆弱性を利用した不正な注文により、旧サイトを改ざんし、クレジットカード情報やその他の個人情報を入力する際にこれらの情報を窃取するプログラムを埋め込んだものと考えられます。

(2) クレジットカード情報漏えいの可能性があるお客様

2021年4月21日~2023年4月3日の期間中に旧サイトにおいてクレジットカード決済をされたお客様4,583名で、漏洩した可能性のある情報は以下のとおりです。

・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

上記に該当する4,583名のお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げます。

(3)その他の個人情報が漏えいした可能性のあるお客様

2023年4月3日以前に旧サイトにおいて顧客情報を入力したことがあるお客様65,520名で、漏えいした可能性のある情報は以下のとおりです。

・氏名
・生年月日
・性別
・住所
・電話番号
・メールアドレス
・「クレイツ公式オンラインショップ」ログインパスワード
・商品の配送先様氏名(配送先が購入者様と別の場合)
・商品の配送先様住所(配送先が購入者様と別の場合)
・商品の配送先様電話番号(配送先が購入者様と別の場合)

上記に該当する65,520名のお客様についても、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げます。

お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますが、クレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが、クレジットカードの裏面に記載の

クレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましては、お客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

公表が遅れた経緯について

2023年6月1日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招くおそれがあるため、十分な調査と調査結果を踏まえてお客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が必要不可欠であると判断し調査会社から調査結果を受領し、確実な情報をお知らせできるようにカード会社その他関係機関との連携を十分にとった上で公表することに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

現在ショッピングサービスを停止している新サイトについては、再開することとなりましたら、決定次第、改めて弊社Webサイト上にてお知らせいたします。

また、弊社は本件につきまして、監督官庁である個人情報保護委員会には2023年7月28日に報告済みであり、福岡県警南警察署生活安全課にも2023年7月31日に被害相談しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2024-047】鹿児島くみあい食品株式会社 弊社が運営する「クミショクファーム」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が運営する「クミショクファーム」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(2,114 件)が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

電子メールがお届けできなかったお客様には書状にてご連絡させて頂きます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023 年 9 月 29 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、2023 年 9 月 29 日弊社が運営する「クミショクファーム」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023 年 11 月 28 日、調査機関による調査が完了し、2021 年 5 月 30 日~2023 年 9 月 13 日の期間に「クミショクファーム」で購入されたお客様クレジットカード情報等が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があること、また、2023 年 10 月 17 日までに「クミショクファーム」において会員登録又は商品の購入をされたお客様および商品購入においてお届け先として指定されたお客様の個人情報が漏えいした可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

弊社が運営する「クミショクファーム」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2021 年 5 月 30 日~2023 年 9 月 13 日の期間中に「クミショクファーム」においてクレジットカード決済をされたお客様 2,061 名(2,114 件)で、漏えいした可能性のある情報は以下のとおりです。

・クレジットカード番号
・有効期限
・セキュリティコード
・ECサイト認証情報(メールアドレス、電話番号、パスワード)

(3)個人情報漏えいの可能性があるお客様

併せて、データベース上に保管されていた 22,234 名の個人情報も漏えいした可能性があり、可能性のある情報は以下のとおりです。

・氏名
・住所
・電話番号(ECサイト認証ID)
・メールアドレス(ECサイト認証ID)
・ECサイト認証パスワード
・お届け先情報
・性別(※)
・誕生日(※)
・職業(※)
・会社名(※)

(※)「クミショクファーム」での商品ご購入時に当該情報を入力されたお客様のみが対象です。

また、商品購入のお届け先として指定されたお客様についても個人情報が漏えいした可能性があり、可能性のある情報は以下のとおりです。

・氏名
・住所
・電話番号

上記に該当する 22,234 名(うちクレジットカード情報 2,061 名) のお客様については、別途、電子メールにて個別にご連絡申し上げます 。

電子メールがお届けできなかったお客様には書状にてご連絡させていただきます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023 年 9 月 29 日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

「クミショクファーム」の再開につきましては、未定となります。再開する際には、決定次第、改めて Web サイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2023 年 10 月 2 日に報告済みであり、また、所轄警察署にも 2023 年 10 月 2 日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2024-040】株式会社日刊工業新聞社 求職情報サイトにおける個人情報流出の可能性のお知らせとお詫びについて


当社が運営する求職情報ウェブサイト「ホワイトメーカーズ」(URL:https://kyujinnikkan.com/)がサイト改ざん被害を受け、お客さまの個人情報(氏名・メールアドレス・暗号化されたパスワード)が外部流出した可能性を否定できないことが判明いたしました。すでに公的機関への報告と所轄警察署に被害の相談をしており、今後も引き続き調査を継続して参ります。

流出した可能性のあるお客さまをはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

1.概要

2024年1月24日、「ホワイトメーカーズ」において利用しているCMS(コンテンツ・マネジメント・システム)のプラグインの脆弱性が悪用され、サイト改ざんの被害を受けました。調査の結果、個人情報漏えいの可能性があると判断致しました。現在、ウェブサイトは休止状態とし、引き続き調査を実施しております。

なお、警察への通報および個人情報保護委員会への報告は完了しております。また、現時点でお客様からの被害報告は受けておりません。

2.流出した可能性のある個人情報および対象人数

 ・個人情報:氏名、メールアドレス、暗号化済みパスワード
 ・対象人数:250人

3.お客さまへのお願い

身に覚えのない不審なメールが届いた場合、開封やリンク先へのアクセスはしないようご注意くださいますようお願い申し上げます。

4.今後の対応

対象となるお客さまには、個別にメールおよび電話にてご連絡しております。

また、外部専門家への相談も含めて今後も調査を継続し、新たな情報が判明した際はその都度公表してまいります。ウェブサイトの再開にあたっては、必要な対策を実施し、再発防止に万全を期したうえで、2024年2月下旬に再公開を予定しております。

【セキュリティ事件簿#2024-033】「東京ヴェルディ公式オンラインストア」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ


このたび、弊社が運営する「東京ヴェルディ公式オンラインストア」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(2,726件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯


2023年12月21日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報漏洩が懸念されるとの連絡を受け、同日弊社が運営する「東京ヴェルディ公式オンラインストア」を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年1月16日、調査機関による調査が完了し、2023年8月22日~2023年12月20日の期間に「東京ヴェルディ公式オンラインストア」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況


(1)原因


弊社が運営する「東京ヴェルディ公式オンラインストア」システムの開発管理者アカウントへの不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様


2023年8月22日~2023年12月20日の期間中に「東京ヴェルディ公式オンラインストア」においてクレジットカード決済をされたお客様2,726名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当する2,726名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い


既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について


2023年12月21日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について


弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。改修後の「東京ヴェルディ公式オンラインストア」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年12月22日に速報した後、2024年1月26日に続報を実施済みであり、また、所轄警察署にも2023年12月25日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2024-022】株式会社ファインエイド 不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営する「健康いきいきライフスタイル」のウェブサイト(以下「弊社サイト」といいます。)におきまして、第三者による不正アクセスを受け、当サイトをご利用いただいた一部のお客様の個人情報(5,193名分)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
個人情報が漏洩した可能性のあるお客様には、本日より、電子メール又は書面にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年12月11日、一部のクレジットカード会社から、弊社サイトを利用したお客様の個人情報の漏洩懸念について連絡を受け、2023年12月12日、弊社サイトでのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2023年12月26日、調査機関による調査が完了し、2021年1月5日から2023年11月15日までの期間に弊社サイトを利用いただいた一部のお客様の個人情報が漏洩した可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。 

2.個人情報漏洩状況 

(1)原因
弊社サイトのシステムの一部の脆弱性を悪用したクロスサイトスクリプティングの手法による第三者の不正アクセスにより、サーバ内に、クレジットカード決済実行時に処理される個人情報を取得するためのアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
個人情報漏洩の可能性がある期間は、2021年1月5日~2023年11月15日であり、漏洩の可能性がある対象者は、弊社サイト(「健康いきいきライフスタイル」)をご利用されたお客様5,193名です。漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・氏名
・住所
・メールアドレス
・電話番号
・FAX番号
・注文履歴
・生年月日
・性別

上記に該当する5,193名のお客様については、別途、電子メール又は書面にて 個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカード情報による取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、クレジットカード情報の漏洩の可能性があるお客様につきましては、クレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年12月11日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知を行うべきと判断し、また、初期の調査からさらなる漏洩のおそれは小さいと判断されたことから、調査会社から調査結果を受領し、カード会社その他関係機関との連携を十分に行ってから公表することにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について 

弊社サイトは、2023年11月15日、従前の脆弱性を克服し、十分なセキュリティ対策および監視体制を備えた新環境へ移行しておりますが、本事案を受けてカード利用は現在も停止中です。もっとも、このたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制のさらなる強化を検討し、再発防止を図ってまいります。
弊社が運営する「健康いきいきライフスタイル」の再開日につきましては、決定次第、改めて弊社のWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年12月12日に報告済みであり、また、所轄警察署にも2023年12月12日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2024-015】株式会社大藤つり具 お客様個人情報漏えいの可能性に関するご報告とお詫び

この度、弊社システムが外部からのランサムウェアに攻撃されたことにより、お客様個人情報の一部が流出した懸念のあることが判明いたしました。このほど、本事案に関して調査および精査が完了いたしましたので、当該調査結果についてご報告いたします。

お客様には、多大なるご迷惑とご心配をおかけしますこと、心より深くお詫び申し上げます。今回の事実を厳粛に受け止め、お客様のご不安の解消に向けて努力いたしますとともに、同様の事案が再び発生しないよう、個人情報管理体制の一層の強化を図ってまいります。

1.本事案の概要

2023年12月13日、弊社コンピューターシステムに対し侵害活動が行われていたことが確認されました。その後攻撃者はランサムウェアを作成および実行することにより弊社サーバー内のデータを暗号化いたしましたが、暗号化されたデータにお客様個人情報が含まれていることが判明いたしました。外部機関の調査によると、サーバー上の痕跡では外部への情報の持ち出しを明確に示すものは確認されておりませんが、調査の及ばない範囲もあることから、持ち出しのおそれは拭えない状況となっております。

2.漏えい等が発生したおそれのある項目

・お客様の会員番号・氏名・住所・生年月日・電話番号
要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。

・対象となるお客様
2018年3月より2023年11月までの期間に弊社よりダイレクトメールを送付したお客様。最大で約20万件程度と推察いたしております。

3.発生原因

インターネットから社内アクセスするためのVPN 装置が悪用され、ランサムウェアに不正に侵入されたものと見られます。その結果個人情報を含むデータの暗号化被害が発生いたしました。

4.二次被害またはそのおそれの有無

本事案に関し、現時点においてはデータの不正使用などの被害が発生した事実は確認されておりません。対象となったお客様には大変ご迷惑をおかけしますが、不審な問い合わせ等については十分ご注意いただきますようお願い申し上げます。弊社では被害の拡大防止に取り組んで参りますが、万一第三者によるデータの悪用が確認された場合に末尾記載のお問い合わせ窓口へ連絡いただきますようお願い申し上げます。

5.その他参考となる事項

本事案の対象になると考えられるお客様には、準備が整い次第個別に郵送にてご連絡させていただきます。また本事案に関してご不明な点がございましたら、下記のお問合せ窓口までご連絡をお願いいたします。2023年12月13日の事案発生後今回のご報告に至るまで時間を要しましたこと、深くお詫び申し上げます。弊社といたしましては不確定な情報による混乱を防ぐため、外部機関の調査結果を踏まえた上でのご報告が不可欠と判断いたしましたので、なにとぞご理解いただきたく存じます。なお、事案発生後ただちに個人情報保護委員会に報告し、また所轄警察署にも通報済みで今後の捜査にも全面的に協力してまいります。なお、ジャンプワールド運営会社である株式会社ジャンプのシステムには何の問題も生じておりませんのでご安心ください。

【セキュリティ事件簿#2024-010】一般社団法人 大阪コレギウム・ムジクム 当団サーバへの不正アクセスについて


2024年1月3日、当団が管理するサーバに対して、メールマガジンの配信を行っているソフトウェアの脆弱性を突いた不正アクセスが発生いたしました。

確認された被害については以下の通りです。
  • メールマガジンにご登録いただいているお客様の、メールアドレスおよびお名前の情報の窃取
  • メールマガジンにご登録いただいいるお客様に向けて、配信システムを利用した迷惑メール(内容は当団Webサイトをハッキングした、というもの)の送信
  • 当団Webサイトのトップページの書き換え
お客様に多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

<対応状況>
1/3 18:42 頃 攻撃が開始される
1/3 21:10 頃~ メールマガジンご登録者様に対して迷惑メールが送信される
1/3 21:50 頃 Webサイトの改竄を確認
1/3 22:15 頃 サーバを停止
1/3 22:50 頃 サーバの隔離を終え、解析を開始
1/3 24:00 頃 メールマガジンシステムへの脆弱性攻撃である事を確認
1/4 21:40 頃 メールマガジンシステム等一部システムを停止した状態にて、Webサイトを暫定復旧
1/6 11:00 頃 セキュリティ上の不備の対処措置を行い、メールマガジンシステムを復旧

ご登録のお客様には現在、ご報告のメールをお送りしております。
本件による二次被害となるような事案は現時点確認されておりませんが、本件に関係すると疑われる不審な出来事などがございましたら、お知らせをいただけましたら幸いです。

この度の事態を重く受け止め、再発防止に向けた対策の強化を引き続き進めてまいります。
皆様に多大なるご迷惑、ご心配をおかけしましたことを重ねて深くお詫び申し上げます。

【セキュリティ事件簿#2023-490】株式会社マルミミ 不正アクセスによる個人情報漏洩のお詫びとご報告


この度、弊社が業務受託し運用おこなっております「千葉県立君津亀山青少年自然の家」Webサイトのウエブサーバーにインストールしておりましたメールマガジン配信システム(メールマガジンの名称は「きみかめ通信」。令和5年2月1日に配信を終了)に対して、外部より不正アクセスがあり、弊社にて調査した結果、令和5年12月11日、何者かにより(メールマガジンにご登録いただいています皆様)の個人情報(メールアドレス)がCSVファイル形式でダウンロードさたれことが判明いたしました。

本件でご登録いただいたお客様をはじめ関係各位の皆様に多大なるご迷惑とご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

また、令和5年12月12日の不正アクセス発覚から正確な被害状況の確認までに、お時間を要してしまいましたこと、重ねてお詫びを申し上げますとともに詳細につきましては、下記をご参照くださいますようお願いいたします。

弊社では、個人情報に関して厳重なセキュリティ対策を行ってまいりましたが、まだまだ不十分であったことを痛感し、以後このような事態が発生しないよう改めてセキュリティ対策の強化と抜本的見直しに取り組み、再発防止に努めてまいる所存です。

1)個人情報閲覧および取得操作が確認された個人情報

・ メールマガジン(きみかめ通信)登録者613名様分のメールアドレス

2)経緯

令和5年12月12日(火)9時頃、千葉県立君津亀山青少年自然の家様よりメールマガジン(以下きみかめ通信)が不正操作され配信されたとの連絡を受けました。

弊社でアクセスログ解析等の調査した結果、外部からのメールマガジン配信システム※への不正アクセスおよび不正操作が行われたことが判明しました。

不正操作により、ユーザーパスワード、配信元、件名等が書き換えられたうえで、メール配信システムより、きみかめ通信が1回配信されたことを確認しました。また、きみかめ通信登録者613名分のメールアドレスがCSVファイル形式でダウンロードされた形跡をアクセスログより確認しました。

上記以外の個人情報に関する不正利用等の被害の発生は確認されておりません。


3)発生後の対応

1.対応措置

12月12日午後、パスワード変更をおこない、ウエブサーバーよりメールマガジン配信システムを完全に削除しました。

2.各所への報告/届出

千葉県立君津亀山青少年自然の家様と千葉県教育庁教育振興部生涯学習課に不正アクセスの詳細を報告致しました。


4)不正アクセスの原因

メールマガジン配信システムは、「千葉県立君津亀山青少年自然の家」Webサイトのウエブサーバーに2010年にインストールし運用開始しました。2023年2月の終了後もシステムはウェブサーバーに配信可能の状態で保存されていました。また、メールマガジン配信システムの開発会社より脆弱性(https://www.acmailer.jp/info/de.cgi?id=103)の報告、システムのアップデートがアナウンスされておりました。弊社にてメールマガジン配信システムのアップデートを怠り、さらに未使用状態で配信システムを保存しておいたことにより、不正アクセスを招く結果となりました。

5)再発防止への取り組み

上記の発生原因を踏まえ、弊社において以下の通り再発防止策を実施します。

  1. 外部開発によるシステムの使用については、クライアント様へ運用に問題がないかを定期的に確認いたします。
  2. 外部開発によるシステムを使用する場合は、開発会社からの情報提供を定期的に確認し最新の状態保持に努めます。
  3. 外部開発システムに関わらず、Webサーバー内における個人情報・公的情報・企業情報の取り扱いにおいては、最新のセキュリティ対策を講じ、定期的にバックアップ、更新等の作業をおこないます。
あわせて、弊社が受託運用中の他のWebサイトの同様の事案がないかを確認し、問題がある場合には適切に対応いたします。

【セキュリティ事件簿#2023-463】株式会社エンラージ商事 弊社が運営する「エンラージ商事オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営する「エンラージ商事オフィシャルショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(2,602件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

 なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯


2023年2月21日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年2月24日弊社が運営する「エンラージ商事オフィシャルショップ」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年7月14日、調査機関による調査が完了し、2021年5月16日~2022年5月20日の期間に 「エンラージ商事オフィシャルショップ」で購入されたお客様クレジットカード情報の漏洩の可能性があることが判明し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況


(1)原因

弊社が運営する「エンラージ商事オフィシャルショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年5月16日~2022年5月20日の期間中に「エンラージ商事オフィシャルショップ」においてクレジットカード決済をされたお客様2,432名で、漏洩した可能性のある情報は以下のとおりです。

・ECサイトの認証情報(メールアドレス、パスワード、電話番号)

・カード番号

・カード有効期限

・セキュリティコード

上記に該当する2,432名のお客様については、別途、電子メールにて 個別にご連絡申し上げます。

3.お客様へのお願い


既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について


2023年2月21日の漏洩懸念判明から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について


弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「エンラージ商事オフィシャルショップのクレジットカード決済」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月27日に報告済みであり、また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月27日に報告済みであり、また、警察にも2023年10月25日に連絡・相談をしております。

【セキュリティ事件簿#2023-423】国立科学博物館 電子メール関連システムへの不正アクセスに伴う個人情報等漏えいのおそれについて

 

国立科学博物館では、個人情報保護に関する法律等に則り、個人情報等の適切な管理を行ってまいりましたが、この度、当館の利用している電子メール関連システムへの不正アクセスがあり、個人情報を含む電子メールデータ(電子メールアドレス及び電子メールの内容)の一部が外部へ漏えいしたおそれがあることが確認されました。これはメーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案が国外においても確認されています。

漏えいしたおそれのある方の把握が困難なため、このホームページでのお知らせをもって、ご本人への通知に代えさせていただきます。特に「3.二次被害又はそのおそれの有無及びその内容」についてご確認いただけますようお願い申し上げます。

ご心配、ご迷惑をおかけしましたことをお詫び申し上げます。

1.経緯

 5月24日 

メーカーから脆弱性及び修正パッチに関するメール連絡

 6月21日 

不正通信のおそれのある痕跡を発見

 7月6日、14日 

該当機器の交換を実施

 8月21日 

交換により取り外した機器を調査した結果、マルウェアを発見し、不正通信が当該機器の脆弱性によるものと判断

2.漏えいのおそれのある主な情報

 以下の期間に当館(@kahaku.go.jp)へ電子メールを送信された方の電子メールデータ(電子メールアドレス及び電子メールの内容)

  • 令和 4 年 10 月上旬~令和 5 年 5 月下旬

3.二次被害又はそのおそれの有無及びその内容

現時点で、漏えいの事実や情報の悪用等による二次被害は確認されていませんが、念のた
め、不審な連絡、訪問者等にはご注意いただきますようお願いいたします。

4.再発防止

現在は、セキュリティ対策を強化した電子メール関連システムの機器へ更新を行っており、今後もセキュリティ関係機関等とも連携しながら、一層の状況把握に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2023-409】株式会社リコー 不正アクセスによる情報流出に関するお知らせとお詫び

 

株式会社リコーは、このたび、クラウドストレージサービス「RICOH Drive」が第三者による不正アクセスを受け、お客様登録情報の一部が、外部に流出した可能性があることを確認しましたので、お知らせいたします。

お客様には多大なご心配、ご迷惑をおかけし、深くお詫び申し上げます。

1. 今回の不正アクセスによる情報流出の状況

  • お客様のログインID(4,244ID)
    *このうち、ログインIDにメールアドレスを設定しているお客様が629件あります。
    *お客様の保存ファイル、パスワードなどの流出はございません。
    *IDはリコーグループ内での利用を除いた数となります。

  • うち、ログインIDに加えて、登録氏名+メールアドレス+暗号化したパスワード(3件)
    *ユーザープロパティ情報への不正アクセスによるもの。
    *お客様の保存ファイルの流出はございません。

  • うち、ログインIDに加えて、暗号化したパスワード(3件)
    *ユーザープロパティ情報への不正アクセスによるもの。
    *お客様の保存ファイルの流出はございません。

2. 発生とその把握の日時

発生:2023年9月18日 21時46分~同日 22時01分

把握:2023年10月4日 17時

3. 発生原因

  • XXE(XML External Entity)脆弱性*を利用した情報取得
    *アプリケーションがXMLを解析した際に、XMLの特殊構文を悪用されて発生する脆弱性

4. 対策

  • 脆弱性への対応
  • 監視体制の強化
  • 該当するお客様に対する個別のご連絡と注意喚起

5. 二次被害又はそのおそれの有無及びその内容

想定される二次被害

  • スパムメール等のメール受信
  • “なりすまし”による不正ログイン

状況

現時点では確認されていませんが、今後、これらの個人情報を悪用し、フィッシングメールやスパムメール等が送付される可能性があります。不審なメールを受け取られた場合は慎重にご対応くださいますようよろしくお願いします。

また他のサイトにおいて不正ログインの試みが発生する可能性がありますので、十分に複雑なパスワードや多要素認証の利用をお願いします。

6. お客様へのお願い事項

  • 不審なメールを受信した際には開封せずに削除をお願いいたします。
  • 推察しやすい簡易なパスワードを設定している場合(1111など)は、パスワードの変更をお願いいたします。
  • パスワードポリシーの設定(パスワードの長さ、複雑さ、アカウントロックまでのパスワードエラー回数の設定)の見直しをご検討ください。
  • 2段階認証(ログイン時にメールアドレス入力とワンタイムパスワードの発行)は、なりすまし対策に最も有効な対策となりますので、ご検討ください。

リリース文アーカイブ

【セキュリティ事件簿#2023-407】株式会社FANSMILE 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が2022年12月22日まで運営しておりました、リニューアル前の「NICO ONLINE SHOP(https://nico-online.com/)」(以下、「当サイト」といいます。)におきまして、お客様のクレジットカード決済情報13,084件を含む購入情報14,487件が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

■ 1.経緯


2023年2月22日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受けました。
弊社では、クレジットカード会社から上記連絡を受ける以前の2022年12月22日に、当サイトをリニューアルしておりましたが、あらゆる危険性を考慮し、2023年2月22日、当サイトでのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2023年4月30日、調査機関による調査が完了し、2021年3月2日~2022年12月22日の期間に当サイトで購入されたお客様のクレジットカード情報および個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。

■ 2.個人情報漏えい状況


(1)原因

弊社が運営するサイトへの第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2021年3月2日~2022年12月22日の期間中に当サイトにおいてクレジットカード決済をされたお客様13,084件で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(3)個人情報漏えいの可能性があるお客様


2021年3月2日~2022年12月22日の期間中に当サイトにおいて購入されたお客様14,487件で、漏えいした可能性のある情報は以下のとおりです。

・氏名
・郵便番号
・住所
・電話番号
・メールアドレス
・購入履歴
・会社名
・FAX番号
・性別
・生年月日
※なお、配送先を購入者住所とは別でご入力いただいた場合はそちらも対象となります。

上記 (2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

■ 3.お客様へのお願い


既に弊社では、決済代行会社と連携し、クレジットカード会社が漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

■ 4.公表までに時間を要した経緯について


2023年2月22日の漏えい懸念の発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

■ 5.再発防止策ならびにクレジットカード決済の再開時期について


リニューアル後(2022年12月23日~現在)の当サイトでは、不正アクセスの影響が無いことを第三者機関の調査で確認しております。また、このたびの事態を厳粛に受け止め、調査結果を踏まえて、より強固なセキュリティ対策と監視体制の強化を行い、再発防止に努めてまいります。リニューアル後の当サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会事務局には2023年2月24日に報告済みであり、また、所轄警察署にも2023年6月9日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2023-403】株式会社マウンハーフジャパン 「MHJストア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営する「MHJストア」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報23,309件を含む個人情報最大25,326件が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

 なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールまたは書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年7月27日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年7月27日弊社が運営する「MHJストア」でのカード決済停止およびストアの閉鎖をいたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年8月27日、調査機関による調査が完了し、2021年3月2日~2023年7月18日の期間に 「MHJストア」で書籍の購入や検定・講座をお申込みされたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。7月18日までの期間となる理由は、2023年7月18日に「MHJストア」は異なるプラットフォームを使用した新ストアへリニューアルをおこなっているためです。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

 弊社が運営する「MHJストア」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏洩の可能性があるお客様

2021年3月21日~2023年7月18日の期間中に「MHJストア」においてクレジットカード決済をされたお客様23,309名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏洩の可能性があるお客様

過去に当サイトをご利用いただいたお客様最大25,326名で、漏えいした可能性のある情報は以下のとおりです。

・氏名
・住所、郵便番号
・電話番号
・メールアドレス
・購入履歴
・性別
・生年月日
・会社名(任意入力項目)
・FAX番号(任意入力項目)


上記(2)(3)に該当する25,326名のお客様については、別途、電子メールまたは書状にて個別にご連絡申し上げます。

3.お客様へのお願い

 既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

 なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をおかけしないよう、弊社よりクレジットカード会社へ依頼しております。

4.公表が遅れた経緯について

2023年7月27日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことといたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年7月28日に報告済みであり、また、所轄警察署にも2023年9月8日被害申告をしており、今後捜査にも全面的に協力してまいります。

6.現在のMHJストアについて

不正アクセスを受けたオンラインショップは2023年7月18日に閉鎖、同日に異なるプラットフォームを使用した新システムにリニューアルを行ないました。不正アクセスを受けたシステムとは相関関係がないことを確認した上で、より堅牢なシステムにて運営を再開する所存で御座いますので、ご迷惑をおかけしますが、今しばらくお待ちください。再開次第当サイトにてお知らせ申し上げます。

【セキュリティ事件簿#2023-400】発達障害当事者協会 メールアドレス流出に関する謝罪と対応について

このたび、当協会のメールマガジン配信システムが第三者による不正アクセスを受け、当協会メールマガジン登録者の皆様の「氏名及びメールアドレス」約800件の個人情報が漏えいし、また当協会メールマガジン登録者の皆様宛に「唐澤貴洋<karasawa@steadiness-law.jp>」や「松井威人 <info@itscorp.jp>」等の当協会と無関係の第三者を発信者とする不適切な内容の電子メールが送信される事件が発生しました。

メールマガジン登録者の皆様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

個人情報が漏えいした可能性のある皆様には、本電子メールにてお詫びとお知らせのご連絡を申し上げます。

当協会では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、以下の通りご報告いたします。

1.事案の概要

2023年9月20日午後、メールマガジン登録者の皆様宛に、「唐澤貴洋<karasawa@steadiness-law.jp>」や「松井威人 <info@itscorp.jp>」等の第三者を差出人として、「発達障害当事者協会ニュース」、「個人情報開示」、「個人情報なりをみんなもあらそう」、「【警告】有料アダルトサイトの未納料金について」、「○○を殺す」(○○は当該電子メール受信者氏名)、「松井威人から障害者の皆様へ」などと題する不適切な内容の電子メールが相次いで送信されているとの連絡がありました。

当協会において調査したところ、上記を含む多数の不適切な電子メールが確認され、また一部の電子メールにはメールマガジン登録者全員の氏名及びメールアドレス(あるいはこれらが掲載されたインターネット掲示板のリンク)が記載されている事実を確認しました。

このことから、当協会のメールマガジンを配信するメール配信CGI(acmailer)がインストールされたサーバーに不正アクセスが行われ、メールマガジン登録者の個人情報が漏えいし、さらにメールマガジン登録者の皆様宛にメールマガジン配信機能を使用した不適切な内容のメール送信がなされたことが判明しました。

2.漏えいした情報

個人情報の流出状況についてですが、当協会メールマガジン登録者の「メールアドレスと氏名」が不正侵入者の集うオンラインの掲示板で開示されてしまいました。

(現時点では、住所などその他の情報漏洩は確認できておりません)

なお、不正侵入の範囲はメールマガジン配信システムに限定されており、協会で使用している事務用PC及び外部のイベント管理システム(「こくちーずプロ」及び「Peatix」)には影響なく、各種イベントなどでお預かりした個人情報について安全に取り扱っております旨もあわせてお伝えいたします。

3.漏えいの原因

原因調査の結果、当協会のメールマガジンを配信するメール配信CGI(acmailer)について、その提供事業者であるエクストライノベーション株式会社より脆弱性(不正ログインの危険性)に関する注意喚起がなされていたにもかかわらず、当協会において、インストールサーバー上で適切なバージョンアップ(脆弱性の修正)を行っていなかったため、不正アクセスを受けたことが判明しました。

4.今後の対応

本件の判明後、当協会はメールマガジン配信システムの運用を停止しており、旧メールマガジン配信システムからの配信はございません。

つきましては、購読者の皆様に改めてメールマガジンの登録解除の手続きをしていただく必要はございません。

また、戸塚警察・野方警察・巣鴨警察をはじめとする捜査当局と対応を協議しつつ、捜査協力を行っております。

今後、法令上求められる報告を行うとともに、所轄警察署への被害申告を行う予定です。

さらに、再発防止のため、サーバー及びサーバー上のシステムのセキュリティ対策及び監視体制の強化に取り組んでまいります。

今後も、引き続き本件につきまして状況の変化がありましたら、改めてご報告いたします。

当協会の不手際により皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、改めて深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-365】仕事旅⾏社 不正アクセスに関するご報告(続報) 2023年9⽉15⽇

 

時下ますますご盛栄のこととお慶び申し上げます。弊社では、関係する皆様に対し、ご通知及び公表をさせて頂きました通り、弊社サーバが不正アクセスを受け、個人情報を含む情報が不正に収奪及び利用されたこと、並びにサービス運営に必要な全ての情報が削除されるといった事案が生じております(以下「本件」といいます。)。

現在におきましても、調査の途中ではございますが、本報告日現在での調査結果及び再発防止に向けた取り組みの概要につきまして、下記の通りご報告申し上げます。

関係者の方々に多大なご迷惑をお掛けしておりますことを、改めて深くお詫び申し上げます。

1. 対応の経緯

2023年9月4日 弊社関係者より、弊社に関わる不審なメールが2通届いているとの連絡を受け、弊社サーバへの不正アクセスの疑いが浮上。ホームページを閉鎖し被害状況の把握に着手

2023年9月5日 不正アクセスの原因が弊社サーバ内に設置していた外部メールソフトのセキュリティホールであることが判明。同時に弊社のサーバデータが不正に削除されているのを確認

2023年9月5日 個人情報及び一部の企業情報の流出を確認

2023年9月5日 弁護士、所轄の警察署及び警視庁サイバー犯罪対策課、個人情報保護委員会に報告

2023年9月5日 「【重要】弊社に関する虚偽情報にご注意ください」公表

2023年9月6日 「【重要】弊社サーバへの不正アクセスのご報告と今後の対応」公表

2023年9月6日 弊社ホームページのトップページのみを限定して復旧

2023年9月8日 弊社関係者に対して、犯人と思われる人物より3通目のメール配信

2023年9月8日 情報の流出及び流出可能性について調査を継続

2023年9月8日 「【重要】不正アクセスに関するご報告(続報)」公表

2023年9月8日 愛宕警察署及び警視庁サイバー犯罪対策課へ情報を共有

2023年9月11日 セキュリティ専門企業へ原因究明調査を打診

2023年9月11日 問い合わせフォームを復旧。一般からの問い合わせ受付開始

2023年9月13日 セキュリティ会社にホームページセキュリティの脆弱性チェックの検討開始

2023年9月15日 弊社関係者に対して、犯人と思われる人物より4通目のメール配信

2023年9月15日 「【重要】不審メールに関するご連絡」公表

2. 被害の原因及び状況

外部専門家及び弊社システムエンジニアと共に、不正アクセスを受けたデータサーバの通信ログを調査した結果、本件の概要は以下の通りであることが判明しました。

2023 年 9 月 4 日深夜、弊社サーバにアップされていた外部メルマガ管理システムがサイバー攻撃を受け、弊社サーバが不正なアクセスを受けました。弊社では 2021 年頃から当該メルマガ管理システムの使用しておりませんでしたが、サーバ上で保管していたため攻撃の対象となりました。なお、当該システムは現在弊社サーバ上から完全に削除されています。

なお、特定の弁護士名を名乗る犯人より 3 回にわたり送信された一斉メールは、その送信範囲からすると、不正アクセス時に不当に取得された個人情報に対して送られたものであると判断しております。

また、弊社サーバの通信ログを解析した結果、弊社が利用していた外部メルマガ管理システムを起点に、不正アクセスをした者によってサーバ内のデータを全て削除されたと判断しております。これにより弊社の主なサービスは現在も運営できない状況に陥っております。(なお、本報告日現在におきましても復旧対応中となります。)

弊社では、所轄の警察署及び警視庁のサイバー犯罪対策課と連携を進めており、警察からは、既に調査を開始しているとの連絡を受けています。また、個人情報保護委員会に対しても、本件の報告を行っております。

3. 漏えい等したデータの内容

①流出の規模 「仕事旅行サーバ」に保管されていた情報となります。 2011 年 2 ⽉から 2023 年9 月 5 日までに入力された情報となります。

②流出した主な情報

·⽒名(ふりがな)

·住所 ·電話番号

メールアドレス

·⽣年⽉⽇

·職業/業種/性別/職種 ·学歴・職務経歴(求⼈応募をされた⽅のみ)

③漏洩した件数 33,670 件(2023 年 9 月 15 日現在)

※9 月 5 日時点で退会済みの顧客データも含まれます。

なお、弊社では、サービス販売等における決済取引は全て外部委託先のシステムを利用しております。このため、弊社は決済情報を一切保有しておらず、本件においてはクレジットカード情報等の流出はございません。

また、弊社の運営するサービスにログインする際に設定いただきましたパスワードに関しましても、ハッシュ化(二重暗号化)を行なっているため、流出はございません。

4. 再発防止に向けたセキュリティ強化策

本報告日現在で対策済みの事項及び今後の対策予定に分けてそれぞれご説明いたします。

【対策済】

(1) 被害拡⼤防⽌等のため実施した内容

1. 弊社 Web サーバの遮断

2. 対象者に緊急の注意喚起メールの送信

3. サイトでの注意喚起の公表

4. サーバに関連するパスワードの変更

5. 外部専門家との事実関係調査

(2) ⾏政等との連携及び報告のため実施した内容

1. 管轄の警察署及び警視庁サイバー犯罪対策課への報告

2. 個⼈情報保護委員会への報告

3. 外部のセキュリティ対策専門家への相談

【対策予定】

1. 外部の専門家による脆弱性チェックの実施

2. 再発防止策の策定

3. 外部専門家及びセキュリティ監督委員会等の提言を踏まえ、再発防止に向けた種々のセキュリティ強化の検討・体制の構築

4. (上記対策を講じた上での)安全性を担保したサービスの復旧

本報告日現在でのご報告とご案内は以上のとおりでございますが、今後におきましても、本件の状況、犯行状況、弊社サービスの復旧状況につきましては、引き続きご案内申し上げます。

この度は、皆様には多大なるご迷惑とご心配をおかけしておりますこと、重ねてお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-365】仕事旅⾏社 不正アクセスに関するご報告(続報) 2023年9⽉8⽇

 

弊社では、2023 年 9 ⽉ 5 ⽇付にて各対象者へのご通知及びホームページへの掲載をさせて頂きました通り、弊社サーバに対して不正アクセスを受け、個⼈情報を含む情報が不正取得及び不正利⽤されたこと、並びにサービス運営に利⽤する情報が全て削除されるといった事案が⽣じております(以下「本件」といいます。)。

(参照:https://www.shigoto-ryokou.com/information/pdf/20230906_information.pdf)。

その後、2023 年 9 ⽉ 7 ⽇、不正アクセスを⾏ったと思われる者より弊社に対し、弊社と⽇本警察が⼀定の要求に従わない場合「データが公開される」旨のメールが送り付けられております。

再度のご連絡となりますが、本件により、弊社におきましては、会員情報等として登録されていたメールアドレスをはじめとする情報が不正取得された状況にあります。クレジットカード等、決済に関連する情報につきましては、今回のサーバには保管されいないため、流出はしておりません。

被害の拡⼤を防⽌するため、不正アクセス者及びその他の者より、不審な連絡を受けた場合、記載された電話番号やホームページに対しては、アクセス、問合せ、返信、要求への対応等は⾏わないよう、⼗分ご注意ください。

弊社は、今回の脅迫メールに関しても既に警察当局にも報告しており、今後も捜査に全⾯的に協⼒する所存でございます。また、弁護⼠とも連携のうえ、被害の拡⼤の防⽌と再発防⽌に向けて取り組んでまいります。

今後におきましても、本件の状況、犯⾏状況、弊社サービスの復旧状況につきましても、追ってご案内申し上げます。

本⽇時点でのご報告とご案内は以上のとおりでございます。

この度は、皆様には多⼤なるご迷惑とご⼼配をおかけしておりますこと、重ねてお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-365】仕事旅⾏社 弊社サーバへの不正アクセスのご報告と今後の対応 2023年9⽉6⽇

 

この度、弊社では、2023 年 9 ⽉ 4 ⽇深夜、業務上において利⽤しているサーバ(「仕事旅⾏サーバ」として、利⽤者の職業体験情報や会員情報を管理するサーバとなります)に対し、第三者による不正アクセスを受けました。

弊社では、この不正アクセスにより、サーバに保管していた個⼈情報を含む情報が不正取得及び不正利⽤されたこと、並びにサービス運営に利⽤する情報が全て削除されたことを確認しております(以下「本件」といいます)。

弊社では、本件によりサービス運営に関わるデータベースは全て削除されてしまい、通常営業を⾏うことは困難な状況に陥っております。現在、復旧に向けた作業を⾏っていますが、今後の業務開始に関しては現状未定となります。

なお、クレジットカード等、決済に関連する情報につきましては、今回のサーバには保管されておらず、流出はしておりませんが、会員情報等として登録されていたメールアドレスが漏洩したことにより、第三者から対象者に不審なメールが送信されているといった事象を確認しております。

皆様には、多⼤なるご迷惑とご⼼配をおかけしておりますこと、⼼よりお詫び申し上げます。

被害の拡⼤を防⽌するため、不審なメールに記載された電話番号や HP へのアクセス、メールアドレスへの問合せや、返信等は⾏わないよう、⼗分ご注意ください。

弊社は、発覚後、警察当局にも報告しており、今後も捜査に全⾯的に協⼒する所存でございます。また、弁護⼠とも連携のうえ、個⼈情報保護委員会にも報告し、ガイドラインに沿った対応を⾏い、再発防⽌に向けて取り組んでまいります。流出した情報の内容、犯⾏⼿⼝について詳細な調査を開始しており、判明しましたら、追ってご案内申し上げます。

以下、本件の概要等と皆様へのお願い事項につきまして、まとめさせて頂きましたので、ご確認を頂きますよう、お願い申し上げます。

1.事案内容

(1) 発覚⽇時

2023 年 9 ⽉ 5 ⽇(⽕)7:00 頃

(2) 流出の規模

①流出の規模

「仕事旅⾏サーバ」に保管されていた情報となります。

2011 年 2 ⽉から 2023 年 9 ⽉ 5 ⽇までに⼊⼒した情報となります。

②流出した主な情報

·⽒名(ふりがな)

·住所

·電話番号

·メールアドレス

·⽣年⽉⽇

·職業/業種/職種

·学歴・職務経歴(求⼈応募をされた⽅のみ)

③原因

悪意のある第三者による仕事旅⾏サーバにアップされていた外部メルマガ管理システムのセキュリティホールによる不正アクセスが原因となります。詳細は調査中となります。

2.弊社の対応

(1) 被害拡⼤防⽌等のため、緊急対応として実施した内容

·弊社 Web サーバの遮断

·対象者に緊急の注意喚起メールの送信

·サイトでの注意喚起の掲載

·サーバに関連するパスワードの変更

(2) ⾏政等との連携及び報告のため実施した内容

·管轄の警察署および警視庁サイバー犯罪対策課に報告

·個⼈情報保護委員会への報告

3.弊社の今後の対応

(1) 事実調査の推進

外部専⾨家からの助⾔を得ながら、流出した情報の内容や犯⾏⼿⼝等について、詳細な調査を推進中でございます。

(2) 再発防⽌策の策定準備

再発防⽌策の策定を進めております。実効性ある再発防⽌策にすべく、事実調査の結果を受け、対策を決定いたします。

4.皆様へのお願い

「あなたの個⼈情報を取得したから、悪⽤されたくなければ〜〜しろ」といった不審メール等が届いた場合、絶対に要求に応じないようご注意をお願いいたします。特に、以下の点はご注意ください。

・絶対に⾦銭は⽀払わないでください

・⾝に覚えのない代引き商品が届いた場合は受け取りを拒否してください

本⽇時点でのご報告とご案内は以上のとおりでございます。

この度は、皆様には多⼤なるご迷惑とご⼼配をおかけしておりますこと、重ねてお詫び申し上げます。

リリース文アーカイブ