雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【セキュリティ事件簿#2025-138】株式会社研創 不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2025/4/14
【セキュリティ事件簿#2025-124】株式会社EDUWARD Press 弊社が運営する「エデュワードプレスオンライン」への不正アクセスによる 個人情報漏洩に関するお詫びとお知らせ 2025/4/3
このたび、弊社が運営するオンライン販売サイト「エデュワードプレスオンライン」(https://eduward.online)におきまして、第三者による不正アクセスを受け、お客様の個人情報(13,433名)およびクレジットカード情報 (13,193件 )が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、書状にてお詫びとお知らせを個別にご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2024年12月4日、警視庁サイバー犯罪対策課より、弊社サイトへ不正プログラムが組み込まれている可能性があると連絡を受け、即時に弊社が運営する「エデュワードプレスオンライン」を一時閉鎖いたしました。同日、不正プログラムの設置が認められた為、クレジットカード決済代行会社へ報告し、翌日より第三者調査機関による調査を開始いたしました。
2024年12月12日、「エデュワードプレスオンライン」にメールアドレスをご登録されているお客様へ本事件の第一報をご報告させていただくとともに、弊社コーポレートサイト(https://eduward.jp/news)に「不正アクセスによるシステム侵害発生のお詫びとお知らせ」を掲載させていただきました。
2025年1月28日、調査機関による調査が完了し、2021年3月20日~2024年11月24日の期間に「エデュワードプレスオンライン」で購入されたお客様の個人情報およびクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2.個人情報漏洩状況
(1)原因
弊社が運営する「エデュワードプレスオンライン」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
2021年3月20日~2024年11月24日の期間中に「エデュワードプレスオンライン」でご購入されたお客様13,433名で、漏洩した可能性のある情報は以下のとおりです。
・ログイン情報(メールアドレス、ログインパスワード)
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当する13,433名 のお客様については、別途、書状にて個別にご連絡申し上げます。
3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
4.公表の経緯について
2024年12月4日の漏洩懸念が発覚した後、2024年12月12日に弊社コーポレートサイトへの掲載およびメールでのご報告に加え、2025年1月より定期購読誌の配送時に書面を同封させていただき、ご案内に努めてまいりましたが、その後の詳細の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、当該サイト「エデュワードプレスオンライン」を閉鎖するとともに、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
オンライン販売の再開日につきましては、決定次第、改めてコーポレートサイトや弊社出版物上にてお知らせいたします。
また、今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会に2024年12月5日から複数回報告済みであり、また、警視庁にも発覚当初から連携しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2024-511】株式会社グローバー 弊社が運営する「GAORAオンラインショップ」への不正アクセスによる 個人情報漏えいについてのお詫びとお知らせ 2025/3/31
1.経緯
2.個人情報漏洩状況
(1)原因
(2) お客様のクレジットカード情報の漏洩
(3) お客様の個人情報の漏洩
3.お客様へのお願い
4.公表が遅れた経緯について
5.再発防止策ならびに弊社が運営するサイトの再開について
【セキュリティ事件簿#2025-111】株式会社荒畑園 弊社が運営する「お茶の荒畑園公式サイト」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2025/3/25
このたび、弊社が運営する「お茶の荒畑園公式サイト」におきまして、第三者による不正アクセスを受け、お客様の個人情報(最大73,684件)、クレジットカード情報(13,094件 )が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メール にてお詫びとお知らせを個別にご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2024年12月4日、システム会社からシステム会社が保有する弊社サイトへの不正アクセスを検知し、個人情報の漏洩懸念について連絡を受け、2024年12月5日弊社が運営する「お茶の荒畑園公式サイト」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2025年2月7日、調査機関による調査が完了し、2024年6月5日~2024年12月5日の期間に 「お茶の荒畑園公式サイト」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2.個人情報漏洩状況
(1)原因
弊社が運営する「お茶の荒畑園公式サイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)クレジットカード情報の漏洩の可能性があるお客様
2024年6月5日~2024年12月5日の期間に「お茶の荒畑園公式サイト」においてクレジットカード決済をされたお客様6,342名 で、漏洩した可能性のある情報は以下のとおりです。
- カード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
- 氏名
- ふりがな
- 住所
- 電話番号
- メールアドレス
(3)個人情報の漏洩の可能性があるお客様
2011年2月28日~2024年12月5日の期間に「お茶の荒畑園公式サイト」において会員登録をされたお客様最大73,684件 で、閲覧または漏洩した可能性のある情報は以下のとおりです。
- 氏名
- ふりがな
- 住所
- 電話番号
- メールアドレス
上記の(2) (3)に該当するお客様については、本日より、電子メール にてお詫びとお知らせを個別にご連絡申し上げております。
3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせ いただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
4.公表が遅れた経緯について
2024年12月4日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「お茶の荒畑園公式サイト」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年12月6日に報告済みであり、また、所轄警察署にも2024年12月11日被害申告しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2025-099】はたけなか製麺株式会社 弊社が運営する「はたけなかオンラインショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2025/3/17
このたび、弊社が運営する「はたけなかオンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(824件)およびお客様の個人情報(4,142件)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別に順次ご連絡申し上げております 。電子メールがお届けできなかったお客様、ご登録の無いお客様には、書状にてご連絡させて頂きます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2024年7月17日、宮城県警からサイト内のプログラムの一部が不正に改ざんされていること、会員登録されたお客様の個人情報の漏えい懸念があることについて連絡を受け、宮城県警の指示に従い「はたけなかオンラインショップ」のサイトを停止し、不正プログラムの除去をいたしました。7月19日にオンラインショップを再開し個人情報保護委員会へ報告書を提出。2024年8月19日に個人情報保護委員会の指示により決済代行会社へ報告を実施、2024年8月22日に再度「はたけなかオンラインショップ」のサイトを停止したうえで、第三者機関による調査を開始いたしました。
2024年9月19日、調査機関による調査が完了し、2021年4月20日~2024年8月22日の期間に「はたけなかオンラインショップ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
また、2020年7月1日~2024年8月22日の期間に「はたけなかオンラインショップ」で入力された個人情報が漏洩した可能性があることも確認されました。
以上の事実が確認できたため、本日の発表に至りました。
2.個人情報漏洩状況
(1)原因
弊社が運営する「はたけなかオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)クレジットカード情報の漏洩の可能性があるお客様
2021年4月20日~2024年8月22日の期間中に「はたけなかオンラインショップ」においてクレジットカード決済をされたお客様824名で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(3)個人情報漏洩の可能性があるお客様
2020年7月1日~2024年8月22日の期間中に「はたけなかオンラインショップ」に個人情報を入力したお客様4,142名 で、漏洩した可能性のある情報は以下のとおりです。
・氏名
・メールアドレス
・郵便番号
・住所
・電話番号
・会社名(任意)
・性別(任意)
・生年月日(任意)
・FAX番号(任意)
・職業(任意)
・お届け先の氏名
・お届け先の郵便番号
・お届け先の住所
・お届け先の電話番号
※お客様が未入力の任意項目は、漏えい対象ではございません。
上記の(2)及び(3)に該当するお客様については、本日より電子メールにてお詫びとお知らせを個別に順次ご連絡申し上げております。電子メールがお届けできなかったお客様、ご登録の無いお客様には、書状にてご連絡させて頂きます。
3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
4.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「はたけなかオンラインショップ」のクレジットカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年7月19日に報告済みであり、また、所轄警察署にも2024年7月17日被害申告しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2025-094】国立研究開発法人量子科学技術研究開発機構 リモートアクセス機器に対する不正アクセスに関するご報告 2025/3/7
国立研究開発法人量子科学技術研究開発機構(以下「QST」という)のリモートアクセス機器(以下「当該機器」という)に対するゼロデイ攻撃※1による不正アクセスが発生しましたので、お知らせいたします。個人情報漏えいの可能性が否定できない状況ですが、現時点で漏えいそのものの痕跡や具体的な被害は確認されておりません。
1.不正アクセス発覚までの経緯
令和7年1月9日(木)
外部セキュリティ機関より受領したネットワーク関連機器の脆弱性情報に、QSTのネットワークで利用している当該機器が対象として含まれている事を情報基盤管理部職員が確認。脆弱性の緊急度及び深刻度を勘案し、安全確保のため同日17:30頃に当該システムを緊急停止しました。
1月14日(火)
当該機器の状況を調査した結果、令和6年12月下旬にゼロデイ攻撃による不正アクセスの痕跡があったことを確認しました。
2.被害状況
テレワーク若しくはリモートアクセス業務を行う目的で、個人情報(メールアドレス、氏名、所属組織名)が当該機器に登録されていることが判りましたが、現時点で当該個人情報の漏えいそのものの痕跡や、漏えいした情報が悪用される等の具体的な被害は確認されておりません。
3.今後の対応
現在、侵害の詳細及び情報漏えいの有無、漏えいが有った場合の範囲など外部委託会社の協力を得て調査を進めているところです。今後、調査を進めQSTとして再発防止措置を含めた情報セキュリティ対策を強化してまいります。
※1)ゼロデイ攻撃
サーバ等IT製品で発見されたセキュリティ上の脆弱性を解消するための対策がメーカー等から提供・公表される前に行われるサイバー攻撃
【セキュリティ事件簿#2025-085】株式会社セントラル 弊社が運営する「トータル WEB SHOP」への不正アクセスによる 個⼈情報漏えいに関するお詫びとお知らせ 2025/3/3
このたび、弊社が運営する「トータル WEB SHOP」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(2,460 件)、および個⼈情報(9,120 件)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多⼤なるご迷惑およびご⼼配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、クレジットカード情報、および個⼈情報が漏洩した可能性のあるお客様には、本⽇より、電⼦メールにてお詫びとお知らせを個別にご連絡申し上げております。電⼦メールがお届けできなかったお客様、ご登録のないお客様には、書状にてご連絡させて頂きます。
弊社では、今回の事態を厳粛に受け⽌め、再発防⽌のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫び申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2024 年 7 ⽉ 17 ⽇に警察より、弊社サイトを利⽤したお客様のクレジットカードの情報の漏洩懸念について連絡を受け、2024 年 7 ⽉ 19 ⽇弊社が運営する「トータル WEBSHOP」でのクレジット決済を停⽌いたしました。
その後、第三者調査機関による調査も開始いたしました。2024 年 9 ⽉ 11 ⽇に調査機関による調査が完了し、2021 年 5 ⽉ 26 ⽇〜2024 年 7 ⽉ 19 ⽇の期間に「トータル WEBSHOP」で購⼊されたお客様クレジットカード情報が漏洩し、⼀部のお客様のクレジットカード情報が不正利⽤された可能性があることを確認いたしました。
また、2015 年 8 ⽉ 28 ⽇〜2024 年 7 ⽉ 19 ⽇の期間に「トータル WEB SHOP」で⼊⼒された個⼈情報が漏洩した可能性があることも確認されました。
以上の事実が確認できたため、本⽇の発表に⾄りました。
2.個⼈情報漏洩状況
(1)原因
弊社が運営する「トータル WEB SHOP」のシステムの⼀部の脆弱性をついたことによる第三者による不正アクセスにより、ペイメントアプリケーションの改ざんが⾏われたため。
(2)クレジットカード情報漏洩の可能性があるお客様
2021 年 5 ⽉ 26 ⽇から 2024 年 7 ⽉ 19 ⽇の期間中に「トータル WEB SHOP」においてクレジットカードの決済をされたお客様 2,460 名で、漏洩した可能性のある情報は以下の通りです。
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当する 2,460 名のお客様については、別途、電⼦メールにて個別にご連絡申し上げます。電⼦メールがお届けできなかったお客様、ご登録のないお客様には、書状にてご連絡させて頂きます。
(3)個⼈情報漏洩の可能性があるお客様
2015 年 8 ⽉ 28 ⽇〜2024 年 7 ⽉ 19 ⽇の期間中に「トータル WEB SHOP」で個⼈情報を⼊⼒されたお客様,9,120 名で、漏洩した可能性のある情報は以下の通りです。
注⽂者、会員登録情報として
・⽒名
・住所
・メールアドレス
・電話番号
・FAX 番号
配送先情報として
・⽒名
・住所
・電話番号
上記に該当する 9,120 名のお客様については、別途、電⼦メールにて個別にご連絡申し上げます。電⼦メールがお届けできなかったお客様、ご登録のないお客様には、書状にてご連絡させて頂きます。
3.お客様へのお願い
既に弊社は、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利⽤の防⽌に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利⽤明細書に⾝に覚えのない請求項⽬の記載があった場合は、たいへんお⼿数ですが同クレジットカードの裏⾯に記載のクレジット会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発⾏の⼿数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジット会社に依頼しております。
4.再発防⽌策ならびに弊社運営するサイトのクレジット再開について
弊社はこのたびの事態を厳粛に受け⽌め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を⾏い、再発防⽌を図ってまいります。
改修後の「トータル WEB SHOP」のクレジット再開⽇につきましては、決定次第、改めてWEBサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個⼈情報保護委員会は2024 年 8 ⽉ 21 ⽇に報告済であり、また所轄警察署にも 2024 年 7 ⽉ 18 ⽇被害申告しており、今後捜査にも全⾯協⼒してまいります。
【セキュリティ事件簿#2025-080】一般社団法人くすりの適正使用協議会 くすりのしおりデータベースに対するサイバー攻撃について 2025/2/21
一般社団法人 くすりの適正使用協議会(理事長:俵木 登美子)(以下協議会)は、2024年12月末に当協議会のくすりのしおりデータベースに対して行われたサイバー攻撃に関する調査結果、および実施した再発防止策について下記の通りご報告いたします。
なお、同サイバー攻撃によって停止していた『くすりのしおりミルシルサイト』の閲覧サービス、および『くすり教育-担当者のための教材サイト』、以下くすり教育サイト)でのダウンロード機能については、既報のとおり1月17日に再開しています(2025年1月17日付プレスリリース)。
利用者、関係者の皆様には、大変なご不便・ご迷惑をおかけしましたことを深くお詫び申し上げます。
1. 調査結果
(1) 経緯と概要
サイバー攻撃の発生と復旧までの経緯の概要は以下のとおりです。
2024年12月29日16時17分、くすりのしおりミルシルサイトから侵入され、くすりのしおりデータベースが改ざんされた。
翌30日22時35分、当協議会職員がくすりのしおりミルシルサイトの製品名欄に不正な記載を発見し、システム管理会社に連絡。具体的には、くすりのしおりミルシルサイトにおいて、くすりのしおりの製品名と患者向け資材の資材名に外部不正サイトを示すテキストが付記されていた。該当箇所をクリックしても外部不正サイトへの誘導は行われないことを確認。
翌31日午前1時頃、くすりのしおりミルシルサイトを含めたくすりのしおり関連システムをすべて停止し、さらにくすり教育サイトでの教材ダウンロード機能を停止。
調査の結果、くすりのしおりデータベースにおいて、製品名、資材名以外の複数個所に同じ不正なテキストが挿入され改ざんされていることを確認。また、サーバーへの不正侵入、ログの改ざん、情報漏洩はないことを確認。
アクセスログおよびソースコードの調査により脆弱性の原因を特定し、プログラムを修正。
2025年1月17日16時30分に、くすりのしおりミルシルサイトを含めたくすりのしおり関連システム、およびくすり教育サイトの復旧を完了し再開。
(2) 原因と攻撃手法
くすりのしおりミルシルサイトの脆弱性が原因で、SQLインジェクションという方法でくすりのしおりデータベースが改ざんされたことが判明しました。
2. 再発防止策
本日までに、くすりのしおりミルシルサイトを含むくすりのしおり関連システム、およびくすり教育サイトに対し、以下の対策を実施しました。
くすりのしおりミルシルサイトに対して脆弱性診断を実施し、SQLインジェクション攻撃への脆弱性を有するプログラムを改修
その他のくすりのしおり関連システム、およびくすり教育サイトに対しても脆弱性診断を実施し、問題がないことを確認
くすりのしおりミルシルサイトを含むくすりのしおり関連システム、およびくすり教育サイトに対し、更なるセキュリティ対策を導入
3. その他
本件につきましては、警察、独立行政法人情報処理推進機構(IPA)ならびに関係各所に報告済みです。
当協議会は今後、このような事態が発生しないよう、セキュリティ対策および運用の強化に取り組んでまいります。
【セキュリティ事件簿#2025-079】有限会社柏崎青果 弊社が運営する「柏崎青果オンラインショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2025/2/25
このたび、弊社が運営する「柏崎青果オンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(1348件)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
電子メールがお届けできなかったお客様、ご登録の無いお客様には、書状にて個別にご連絡させて頂きます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2024年5月28日、青森県警察本部サイバー対策課から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年5月28日弊社が運営する「柏崎青果オンラインショップ」でのクレジットカード決済を停止いたしました。 同時に、第三者調査機関による調査も開始いたしました。2024年8月16日、調査機関による調査が完了し、2021年4月5日~2024年5月28日の期間に「柏崎青果オンラインショップ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。 以上の事実が確認できたため、本日の発表に至りました。
2.個人情報漏洩状況
(1)原因
弊社が運営する「柏崎青果オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
2021年4月5日~2024年5月28日の期間中に「柏崎青果オンラインショップ」においてクレジットカード決済をされたお客様1198名で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード会員番号
・有効期限
・セキュリティコード
・メールアドレス
・弊社ECサイトへのログインパスワード
・電話番号
上記に該当する1198名のお客様については、別途、電子メールおよび書状にて 個別にご連絡申し上げます。
3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
4.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「柏崎青果オンラインショップ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年7月29日に報告済みであり、また、所轄警察署にも2024年9月4日被害申告しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2025-073】株式会社クレイズ 弊社が運営する「一撃オフィシャルショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2025/2/17
このたび、弊社が運営する「一撃オフィシャルショップ」におきまして、第三者による不正アクセスを受け、お客様の個人情報(8,257 件)、内クレジットカード情報(7,455件)が漏洩した可能性があることが判明いたしました。
本件につきましては、7 月 30 日の第一報にてお知らせしたところですが、この度第三者調査機関による調査完了、およびクレジットカード会社との協力体制が整いましたので、改めてご連絡させていただいております。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、電子メールが届かなかったお客様には、改めて郵送でご連絡申し上げます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2.個人情報漏洩状況
(1)原因
弊社が運営する「一撃オフィシャルショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
2021 年 4 月 13 日~2024 年 7 月 26 日の期間中に「一撃オフィシャルショップ」において会員登録をされたお客様 8,257 名で、漏洩した可能性のある情報は以下のとおりです。
・氏名
・住所
・電話番号
・メールアドレス
・オーダーID
・配送先情報
上記に該当する 8,257 名のお客様については、別途、電子メールまたは書状にて個別にご連絡申し上げます。
(3)クレジットカード情報漏洩の可能性があるお客様
2021 年 4 月 13 日~2024 年 7 月 26 日の期間中に「一撃オフィシャルショップ」においてクレジットカード決済をされたお客様 7,455 名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当する 7,455 名のお客様については、別途、電子メールまたは書状にて個別にご連絡申し上げます。
3.お客様へのお願い
4.公表が遅れた経緯について
2024 年 7 月 26 日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2024 年 7 月 30 日に報告済みであり、また、所轄警察署にも 2024 年 8 月 2 日被害申告しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2025-040】株式会社アイリスマネジメント 当サイトがサイバー攻撃を受けました 2025/1/27
1月20日早朝にサイバー攻撃があり、メルマガ登録者のメールアドレスが流出いたしました。登録者の方々にはご迷惑をおかけし、この場を借りてお詫び申し上げます。
ウェブサイト管理会社の調査より、プラグインから侵入された可能性が高いことが指摘されました。それを受けて詳細に調査をした結果、メルマガ登録用のプラグインのバージョンが古く、脆弱性があり、そこから侵入されたことが判明しました。
対象のプラグインについて、脆弱性が解消されたバージョンに最新化を行い、サイトを復旧いたしました。なお、本件はプラグインの脆弱性を放置してしまった事が原因であったため、今後、定期的に脆弱性の監視を行うことを社内規程化いたしました。
【セキュリティ事件簿#2025-028】株式会社ハンズ 「ハンズクラブアプリ」への不正アクセスによる個人情報漏洩に関する お詫びとお知らせ 2025/1/27
この度、弊社「ハンズクラブアプリ」に対し、第三者による不正なアクセスが確認され、登録されている一部のお客様の個人情報(121,886 件)が漏洩したことが判明いたしました。
ご迷惑をお掛けしているお客様、すべての関係者のみなさまに多大なるご迷惑とご心配をお掛けする事態に至りましたことを、深くお詫び申し上げます。誠に申し訳ございません。
今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
なお、今回の不正アクセスによる、お客様クレジットカード情報の漏洩はございません。
また、現在のところハンズクラブポイントやハンズネットストアでの不正利用も確認されておりません。
本件に関する概要につきまして、下記の通りご報告いたします
1.経緯
2024 年 12 月 2 日にハンズクラブアプリへのログイン回数の異常を確認したため社内調査を開始し、同時にハンズクラブアプリを管理する外部の会社へ調査を依頼しました。
両社で調査を行った結果、11 月 27 日から不正アクセスが繰り返し行われていたことが 12 月 5 日に判明したため、緊急セキュリティ対策を実施しました。
その後、複数回の緊急セキュリティ対策を実施したことにより、新たな不正アクセスは現時点で確認されておりません。また、第三者調査機関にフォレンジック調査を依頼し、被害状況の解明を行いました。
弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会への報告、および所轄の警察署への報告を行いながら調査を進め、本日の発表に至りました。
2.個人情報漏洩
(1)原因
(2)個人情報漏洩の範囲
3.お客様へのお願い
4.再発防止策
弊社はこの度の事態を厳粛に受け止め、実施済みの緊急対策に加えてシステムのセキュリティ対策及び監視体制のより一層の強化を行い、再発防止を図ってまいります。
(1) システムのセキュリティ対策
今回の直接の原因であった脆弱性について、対策を強化しました。
(2) 監視体制の強化
新たな不正アクセスがあった場合においても、早期発見および多層のセキュリティ対策を含めた監視体制を強化しました。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2024 年12 月 12 日、2025 年 1 月 23 日と重ねて報告を行っております。所轄の警察署にも発覚当初より相談を行っており、今後の捜査にも全面的に協力してまいります。
本件につきましては、不確定な情報の公開はいたずらに混乱を招くため、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は第三者調査機関の調査結果、及び再発防止策を実施したうえで発表を行うことといたしました。
それにより、今回の公表までお時間をいただきましたことを、深くお詫び申し上げます。
【セキュリティ事件簿#2024-542】株式会社三恵 弊社が運営する「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」への不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ 2024/12/9
このたび、弊社が運営する「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」(https://www.brassiere-shorts.jp)の旧サイト(既に閉鎖済み。以下「旧サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等(71,943 件)を含む個人情報(292,707 件)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
クレジットカード情報等及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2.個人情報漏洩状況
(1)原因
弊社では、クレジットカード情報を保有しておりませんでしたが、旧サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)クレジットカード情報等漏えいの可能性があるお客様
2019 年 12 月 27 日~2024 年 5 月 15 日の期間中に旧サイトにおいてクレジットカード決済をされたお客様 71,943 名につきまして、以下の情報が漏洩した可能性がございます。
なお、弊社の店舗及び旧サイト以外の通販サイトで弊社の商品を購入されたお客様は対象外となります。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・メールアドレス
・郵便番号
・電話番号
(3)個人情報のみ漏洩の可能性があるお客様
2024 年 5 月 15 日までに旧サイトをご利用されたお客様 292,707 名で、漏洩した可能性のある情報は以下のとおりです。
・氏名
・生年月日(任意入力項目)
・性別(任意入力項目)
・住所
・電話番号
・メールアドレス
・旧サイトのログインパスワード(暗号化済み)
・注文情報
上記(2)及び(3)に該当するお客様につきましては、別途、電子メールに個別にご連絡申し上げます。なお、電子メールにてお届けできなかったお客様につきましては、書状にてご連絡させていただきます。
3.お客様へのお願い
(1)クレジットカード不正利用のご確認のお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、上記 2.(2)に該当するお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
(2)他のサイトにおけるログイン ID・パスワード変更のお願い
(3)不審なメール及び電話への注意喚起
4.再発防止策ならびにクレジットカード決済の再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
なお、不正アクセスがあった旧サイトは、既に閉鎖しており、新たな情報漏洩は発生しない状況にあります。現サイトは、2024 年 5 月 15 日以降、旧サイトとは独立した全く別の新しいシステムを用いた環境で運営しており、新システムの安全性は確認済みであるため、現在はクレジットカードによる決済を除く決済方法で運用しております。
現サイトにおけるクレジットカード決済の再開日につきましては、決定次第、改めてWeb サイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2024 年 7 月 1 日に報告済みであり、また、警視庁にも 2024 年 6 月 28 日に被害申告しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2024-471】KCJ GROUP 株式会社 不正アクセス発生による一部のお客様の個人情報流出に関するお詫びと調査結果のご報告 2024/12/6
弊社が運営するキッザニアの Web サイトへの外部第三者による不正アクセスがあり、個人情報流出のおそれがあることを、2024 年 10 月 22 日に「不正アクセス発生による一部のお客様の個人情報流出のおそれのお知らせとお詫びについて」として発表いたしました(https://www.kidzania.jp/corporate/common/pdf/241022_release.pdf)。
この度、外部専門機関の協力も得ながら詳細調査を実施した結果、2024 年 10 月 17 日以前にキッザニア東京の予約時にご登録された一部のお客様の個人情報 24,644 件が流出したことが判明したため、下記の通りご報告いたします。
お客様および関係する皆様に多大なるご迷惑とご心配をおかけすることを心より深くお詫び申し上げます。
なお、調査結果をふまえ、対象となったお客様には、本日より、電子メールまたは電話にてお詫びとお知らせを個別にご連絡差し上げます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様および関係する皆様には重ねてお詫び申し上げます。
1.経緯
2024 年 10 月 16 日に、弊社が運営する Web サイトへの不正アクセスを検知し、防御措置を行っておりましたが、10 月 17 日に個人情報流出のおそれがあることが判明し、同日に情報流出の遮断措置を実施いたしました。本件は第一報として 10 月 22 日にプレスリリースを発表いたしました。その後、外部専門機関の協力を得て不正アクセスによる影響範囲を調査し、流出した対象者の確定を完了し、本日の発表に至りました。
なお、弊社は今回の不正アクセスにつきまして、個人情報保護委員会への報告と所轄警察署への届け出を完了しております。
2.個人情報流出状況
(1)原因
弊社が運営するキッザニアの Web サイトのプログラムの一部にセキュリティの脆弱性があり、外部より不正アクセスを受けたことが原因です。当該箇所は既に修正し、セキュリティ対策は完了しております。
(2)本事案の対象となった個人情報
3.お客様への対応について
本事案の対象となるお客様には、キッザニア東京の予約サイトにご登録いただいたメールアドレスまたは電話番号宛に、本日から順次個別にご連絡を差し上げます。該当されないお客様への個別のご連絡は行いませんので、あらかじめご了承ください。
4.再発防止にむけて
弊社は、今回の事態を重く受け止め、今後同様の事象が発生しないよう、システム全体に改めて外部専門機関による脆弱性調査の上、必要な対策を実施済みですが、今後も更に強固なセキュリティの構築を図ってまいります。
【2024年10月22日リリース分】
【セキュリティ事件簿#2024-375】株式会社エーデルワイス 弊社が運営する「オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/8/28
このたび、弊社が運営する「アンテノール オンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(7,018件)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールまたは書状にてお詫びとお知らせを個別にご連絡申し上げております。
情報漏洩が確認された「アンテノール オンラインショップ」は閉鎖しておりますが、弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2024年5月21日、外部機関からの指摘により、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年5月25日弊社が運営する「アンテノール オンラインショップ」でのサイト及びカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2024年7月22日、調査機関による調査が完了し、2021年6月17日~2024年5月19日の期間に 「アンテノール オンラインショップ」で購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2.個人情報漏洩状況
(1)原因
弊社が運営する「アンテノール オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
2021年6月17日~2024年5月19日の期間中に「アンテノール オンラインショップ」においてクレジットカード決済をされたお客様7,018名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・メールアドレス
・パスワード
・電話番号
上記に該当する7,018名のお客様については、別途、電子メールまたは書状にて個別にご連絡申し上げます。
3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
4.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「アンテノール オンラインショップ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年5月31日に報告済みであり、また、所轄警察署にも2024年5月22日に報告しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2024-310】有限会社東原商店 弊社が運営するオンラインショップへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/7/16
クレジットカード情報については、一部特定できていないものも含まれております。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させていただきます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1. 経緯
2024年3月11日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、当日内に「オリーブ牛の肉のヒガシハラ」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2024年4月19日、調査機関による調査が完了し、2021年3月1日~2024年4月9日の期間に「オリーブ牛の肉のヒガシハラ」で購入されたお客様のクレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。また、2011年2月1日~2024年4月9日の期間に登録された個人情報についても漏えいした可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2. 個人情報漏えい状況
(1)原因
弊社が運営する「オリーブ牛の肉のヒガシハラ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)クレジットカード情報漏えいの可能性があるお客様
2021年3月1日~2024年4月9日の期間中に「オリーブ牛の肉のヒガシハラ」においてクレジットカード決済をされたお客様1,703名で、漏えいした可能性のある情報は以下のとおりです。
【クレジットカード情報】
- クレジットカード名義人名
- クレジット番号
- 有効期限
- セキュリティコード
【その他情報】
「オリーブ牛の肉のヒガシハラ」オンラインショップのログインパスワード
(3)個人情報漏えいの可能性があるお客様
2011年2月1日から2024年4月9日の期間中に「オリーブ牛の肉のヒガシハラ」をご利用されたお客様27,561名で、漏えいした可能性のある情報は以下のとおりです。
- 氏名
- 住所
- メールアドレス
- 電話番号
- 生年月日
- FAX番号(任意)
- 会社名(任意)
- 性別(任意)
- 職業(任意)
上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させていただきます。
3. お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。
4. 公表が遅れた経緯について
2024年3月11日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5. 再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「オリーブ牛の肉のヒガシハラ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年3月11日に報告済みであり、また、所轄警察署にも2024年3月11日に被害申告しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2024-288】国立研究開発法人宇宙航空研究開発機構 JAXAにおいて発生した不正アクセスによる情報漏洩について 2024/7/5
宇宙航空研究開発機構(JAXA)において昨年発生した不正アクセスによる情報漏洩への対応状況について、以下のとおりお知らせいたします。
昨年10月、外部機関からの通報に基づき、JAXAの業務用イントラネットの一部のサーバに対する不正アクセス(以下、「本インシデント」といいます)を認知しました。その後速やかに不正通信先との通信遮断等の初期対応を実施しつつ、専門機関及びセキュリティベンダー等とも連携して調査を行い、事案の解明、対策の策定及び実施に取り組んできました。本インシデントの概要は別紙のとおりですが、その中で、JAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)が漏洩していたことを確認いたしました。
本インシデントについて、関係する皆様には多大なるご迷惑をお掛けしましたこと、深くお詫び申し上げます。
本インシデントで漏洩した情報については、相手方との関係もあることから詳細は差し控えさせていただきますが、情報が漏洩したご本人・関係者の皆様には個別に謝罪及びお知らせを行いました。現在のところ、関係者の皆様の事業活動に著しい支障が生じているという報告はありませんが、皆様に多大なご迷惑をお掛けしたことは大変遺憾であり、改めてお詫び申し上げます。
また、本インシデントにより、国内外の関係機関との協力を含め、事業遂行が困難になるようなことは生じていないと認識していますが、JAXAとしては信頼関係を損ないかねない事案として重く受け止めており、再発防止に向けて対策を強化してまいります。
なお、今年に入って複数回の不正アクセスが発生していますが、これらによる情報漏洩はないことを確認しています。昨年のインシデントを含めて、これらはいずれもVPN機器を狙ったものであることを確認しています。
JAXAとしては、脆弱性対応を迅速に行うための体制整備等の短期的対策及び更にセキュリティを強化するための恒久対策の策定を既に実施済です。現在、恒久対策の具体化を順次進めており、引き続き情報セキュリティ対策を一層強化していく所存です。
1. JAXAの対応状況
JAXAは、外部機関からの通報を踏まえて、攻撃元との通信遮断及びサーバ等のJAXAのネットワークからの切断など初期対応を速やかに実施しました。その上で、セキュリティベンダーによる侵害痕跡の調査、攻撃対象サーバ及び端末の詳細調査(フォレンジック調査)等を実施し、マルウェアを発見・除去したほか、内部通信の強化など、想定されるリスクに対する緊急対策を実施しました。
また、調査の過程で、Microsoft365(以下、「MS365」といいます)に対する不正アクセスの可能性が確認されたことから、Microsoft社の専門チームによる調査を実施し、更なる侵害が発生していないことを確認しました。
これらの対応を実施するにあたっては、警察、一般社団法人JPCERTコーディネーションセンター、独立行政法人情報処理推進機構(IPA)などの専門機関と連携し、不正な通信先の情報や使用されたマルウェア情報などを報告・共有して進めております。
2. 侵害範囲
初期調査、セキュリティベンダー及びMicrosoft社による調査並びにJAXAによる分析を踏まえ、本インシデントに関する主な侵害範囲を以下の通り明らかにしました。なお、侵害の過程では、未知のマルウェアが複数使用されていたことが確認されており、侵害の検知を困難にしておりました。
①第三者がVPN装置の脆弱性を起点にJAXAの一部のサーバ及び端末に侵入。先だって公表された脆弱性が悪用された可能性が高い。
②侵入したサーバからさらに侵害を広げ、アカウント情報等を窃取。
②窃取したアカウント情報等を用いて、MS365に対して正規ユーザを装った不正アクセスを実施。
3. 流出した情報
本インシデントにより、侵害を受けたJAXAの端末・サーバに保存されていた一部の情報(JAXA職員等の個人情報含む)が漏洩した可能性があります。また、MS365上でJAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)が漏洩したことを確認しております。関係する方々には既に個別にご説明及び謝罪を差し上げております。なお、本インシデントで侵害を受けた情報システムやネットワークにおいては、ロケットや衛星の運用等の機微な情報は扱われておりません。
4. 対策
本インシデントを受けて、脆弱性対応を迅速に行うための体制整備や内部通信ログの監視強化等の短期的対策を実施しました。加えて、更にセキュリティを強化するための恒久対策を検討し、エンドポイントを含めたネットワーク全体の更なる監視強化、外部からの接続方法の改善、運用管理の効率化・可視化、なりすまし対策の強化等の対策を策定しました。現在、これらの対策の計画の具体化をはかっているところです。
なお、上記の対策を進め監視を強化している中で、本年1月以降、複数回の不正アクセスを確認しました(その中には、ゼロデイ攻撃によるものも含まれます)が、情報漏洩等の被害が発生していないことを確認しました。
5. 今後の取組
サイバー攻撃がますます高度化し、攻撃も対策も常に進化し続ける中、JAXAは中核的宇宙開発機関として、迅速・的確なセキュリティ対応が求められていることを強く自覚し、本インシデントを受けた短期的対策及び恒久対策を着実に実施していく予定です。今後も専門機関を含めた関係機関と連携し、情報セキュリティを今後一層強化してまいります。
【セキュリティ事件簿#2024-285】株式会社HAGS 弊社が運営する「hags-ec.com」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2024/7/2
このたび、弊社が運営する「hags-ec.com」におきまして、第三者による不正アクセスを受け、お客様の個人情報(21,398名)および、クレジットカード情報(1,432名)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、クレジットカード情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記のとおりご報告いたします。
1.経緯
2024年1月16日、警視庁サイバーセキュリティ課から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年1月26日弊社が運営する「hags-ec.com」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2024年4月11日、調査機関による調査が完了し、2021年5月27日~2024年1月15日の期間に「hags-ec.com」で購入されたお客様のクレジットカード情報が漏洩した可能性があることを確認いたしました。また、過去に会員登録されたお客様の会員情報についても漏洩した可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2.個人情報漏洩状況
(1)原因
弊社が運営する「hags-ec.com」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
①2021年5月27日~2024年1月15日の期間中に「hags-ec.com」においてクレジットカード決済をされたお客様1,432名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。
②過去に「hags-ec.com」へ会員登録されたお客様21,398名で、漏洩した可能性のある情報は以下のとおりです。
・氏名
・メールアドレス
・住所
・FAX番号
・パスワード
3. 2021年5月27日~2024年1月15日の期間にカード決済されたお客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
4.公表が遅れた経緯について
2024年1月16日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「hags-ec.com」のリニューアルのタイミングにつきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、個人情報保護委員会には2024年1月26日に報告済みであり、また、所轄警察署には2024年1月16日にすでに相談、報告を開始しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2024-177】株式会社岸和田スポーツ 弊社が運営する「Kemari87KISHISPO公式通販サイト」への不正アクセスによる クレジットカード情報及び個人情報漏洩に関するお詫びとお知らせ 2024/6/19
このたび、弊社が運営する「Kemari87KISHISPO公式通販サイト(https://www.kishispo.net/)」(以下、弊社ECサイト)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(13,960名)及び個人情報(38,664名)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、クレジットカード情報及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2.個人情報漏洩状況
(1)原因
(2) クレジットカード情報漏洩の可能性があるお客様
(3)個人情報漏洩の可能性があるお客様
3.お客様へのお願い
4.公表が遅れた経緯について
5.再発防止策ならびに弊社が運営するサイトのクレジットカード決済の再開について
6.漏えい件数の追加修正について(お詫び)
【2024年5月14日リリース分】
【セキュリティ事件簿#2024-232】株式会社キューヘン 社内ネットワークの一部への不正アクセスについて 2024/6/13
現在、被害状況については、引き続き調査を行っていますが、不正アクセスがあった情報の中に、新たに約27万件の個人情報について漏えいするおそれがあることがわかりました。
このうち約25万件については、当社がこれまで給湯器販売等を行ってきた個人情報、また約2万件については過去に当社が九州電力殿から電化機器のPR業務で委託を受けていた個人情報です。
先にプレスリリースした約10万4千件と合わせて約37万4千件となります。
本件に関しては関係機関へ追加で報告しており、今後、当該お客さまにも個別でのご連絡および当社ホームページにてご案内をしてまいります。
お客さまや関係者の皆さまにはご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。
【2024年6月3日リリース分】