雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【セキュリティ事件簿#2025-175】キューサイ株式会社 お客さま情報の漏えいの可能性に関するお知らせ 2025/5/8
【セキュリティ事件簿#2024-572】株式会社フジクラ 不正アクセスの発生に関する個人情報保護法に基づくご通知 2025/5/7
2024年12月25日に当社のホームページ上で公表しておりますとおり、2024年7月2日に、当社が管理するサーバに対し、第三者による不正なアクセス及び情報流出の痕跡があり、対象となったサーバ(以下「対象サーバ」)の一部に個人情報が含まれていたことが確認されました。関係者の皆様に多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
当社では、その後も対象サーバに含まれていた個人情報について調査を継続し、その結果、貴殿の個人情報につき漏えいのおそれがあることを確認いたしました。このことから、個人情報保護法に基づき、以下のとおりお知らせいたします。なお、同様のお知らせを重ねて差し上げる場合もございますが、ご容赦いただきたくお願い申し上げます。
1. 本件の概要
2024年7月2日、当社がネットワークの保守運用を委託しているNTTコミュニケーションズ株式会社(以下「保守委託先」)が管理するネットワーク保守・監視用VPN装置を通じて当社の情報ネットワークが外部からの不正なアクセスを受けたことが判明しました。
本事象を確認後、当社は保守委託先と協力してただちに侵入経路を特定し、不正使用されたアカウントの無効化、アカウント全保持者のパスワード初期化と利用制限、ネットワーク機器の交換及び認証の強化などの緊急対策を行いました。そして、7月19日から、保守委託先ほか外部セキュリティベンダーとともに、影響範囲を特定するためのフォレンジック調査※を開始いたしました。
※フォレンジック調査:不正アクセスやランサムウェア等のサイバー攻撃被害を受けた際に、原因や犯人の特定などを目的として、サーバ等のデバイスや記憶媒体等のデータを収集し、分析する専門的な調査手法。
フォレンジック調査を進める中で、当社佐倉事業所の複数のサーバに外部からのアクセス及びデータ流出の痕跡があったことが確認されました。流出したデータは各サーバのデータ保存量の一部に留まりますが、対象サーバには個人情報が保存されていたものも含まれていたため、個人情報の漏えいのおそれは否定できないものと考えております。そのため、当社は、フォレンジック調査と並行して、対象サーバに含まれていた個人情報についての調査を行い、その結果、上記のとおり貴殿の個人情報につき漏えいのおそれがあることを確認いたしました。
2. 原因と対策
保守委託先による原因分析調査の結果によると、本件の事案の原因は、保守委託先によるネットワーク保守・監視用VPN装置の管理に不備があり、その結果同装置に残っていた脆弱性が利用されたことによります。
不正アクセスの発覚後は、上記のとおり緊急対策を実施してネットワークの安全を確保したほか、保守委託先に対して再発防止策の検討と実施を指示し、同社が保守運用サービスの運用体制の強化、運用ルールの改訂等を実施した旨を確認しております。当社においても、保守委託先の管理体制を強化し、機器のログ等の情報収集体制を強化するなど、不正アクセスに対してより迅速に対応可能な体制を構築しました。
3. 漏えいのおそれが生じた個人情報
本件により漏えいのおそれが生じた個人情報は、お取引先従業員様、大学関係者様その他社外の方、並びに当社及びグループ会社の従業員・元従業員(ともに契約社員、派遣社員、アルバイト等含む)及びその家族等の個人情報で、氏名、住所、電話番号、メールアドレス、生年月日、性別等の連絡先情報・属性情報が中心であり、その他従業員情報(当社が従業員から受領した情報も含む)や、人事関連情報、インボイス番号、銀行口座番号(暗証番号は含みません)等も一部含まれておりましたが、クレジットカード情報やマイナンバーは確認されておりません。
4. 二次被害又はそのおそれの有無及びその内容
現時点で、当社から流出したデータがインターネット上で公開されたなどの事実は確認されておらず、その不正利用などの二次被害も確認されておりません。もし、不審なメールを受け取られたなど、本件による被害が疑われる事例がございましたら、下記問い合わせ先までご連絡をいただきたく、よろしくお願いいたします。
5. 当社生産活動への影響等
本件による当社生産活動への影響はございません。また、流出が問題となるような業務上の秘密の流出も確認されておりません。
6. お問い合わせ
本通知に関するお問い合わせは、下記の連絡先までお願いいたします。
fjk.personalinfo@jp.fujikura.com
皆様には多大なご迷惑とご心配をおかけしましたことを改めて深くお詫び申し上げます。
当社は、今回の事態を真摯に受け止め、委託先との協働体制の強化を含め、情報セキュリティの一層の強化及び再発防止に全力で取り組んでまいります。
【2024/12/25リリース分】
【セキュリティ事件簿#2025-169】損害保険ジャパン株式会社 当社委託先におけるランサムウェア被害に伴う情報漏えいのおそれについて 2025/5/1
2025年4月30日(水)時点で情報が漏えいした事実や情報が不正利用された事実は確認されておりません。お客さまにはご迷惑とご心配をおかけすることとなり深くお詫び申し上げます。ギオン社に対し、調査結果を踏まえた再発防止策の徹底を求めていくとともに、当社においても、より一層、業務委託先に対する管理体制の強化に努めてまいります。
1.発生した事実の概要
ギオン社が保有するサーバーが、第三者から不正にアクセスされ、サイバー攻撃を受けたことにより、当社を含む取引先に情報漏えいのおそれが生じたことが2024年5月7日(火)にギオン社の報告により判明しました。システム停止に伴う社内措置や、ギオン社における代替システムの構築により、現在は問題なく稼働しております。
本件が発生したことを受けて、ギオン社が外部の専門業者に漏えいの可能性のある取引先全てについての調査を依頼し、その調査結果に基づく対応について、2025年4月2日(水)に当社へ報告がありました。
調査結果では、データファイルを外部へ送信するソフトウェア実行の痕跡や、共有ネットワークドライブへの接続は確認されていないことから、外部へ漏えいした可能性は低いと報告を受けており、現時点で、ギオン社から外部への情報流出や、情報が不正利用された事実は確認されておりません。
また情報自体もお客さまを特定する内容ではないものの、第三者によりデータが閲覧された可能性までは否定できないことから、お客さまへお知らせを行うことといたしました。
2.漏えいしたおそれがあるお客さま情報・件数
今般、漏えいしたおそれのあるお客さま情報は、ギオン社が倉庫に保管している書類を検索する際に必要となるお客さまの氏名です。事故の内容、お怪我に関する情報、銀行口座情報やクレジットカード情報などのセンシティブな情報は含まれておりません。
被害にあったシステムから、閲覧されたおそれがあるお客さま情報の件数は約75,000件です。
当社はギオン社に対して、首都圏の保険金サービス部門で対応した自動車保険や火災保険等における事故のお支払いに関わる書類の保管・配送業務を委託しており、その業務に必要な情報(データ上はお客さまの氏名、事故日等)をギオン社と共有しています。
3.当社の対応
調査の結果、お客さまの情報が漏えいした可能性が極めて低いこと、閲覧された場合も悪用される可能性が極めて低いことから、本公表をもって通知とさせていただきます。
4.再発防止策
ギオン社において、2024年7月18日(木)に新システムへ移行するとともに、2024年10月30日(水)にサーバーをクラウドへ移行しております。
当社においても、委託先に対する定期的なセキュリティ対策の確認を行います。
5.お問い合わせ窓口
お客さまが本件に関する照会を行っていただく際のお問い合わせ窓口を設置しております。ご心配やご不明な点、また、現時点で情報漏えい等は確認されておりませんが、心当たりのない不審な問い合わせがありましたら、速やかにご連絡くださいますようお願い申し上げます。
<お問い合わせ先>
当社コールセンター
電話番号:0120-501-620
受付時間:平日 9 時から 17 時(土・日・祝日を除く)
ギオン社コールセンター
電話番号:0120-685-986
受付時間:平日 8 時から 18 時(土・日・祝日を除く)
【セキュリティ事件簿#2025-168】東急ホテルズ&リゾーツ株式会社 宿泊予約サービスシステム運営委託先における個人情報漏洩の可能性に関するお知らせとお詫び 2025/4/30
1. 概要
2. 対象となった個人情報
3. 経過および当社の対応
4. お客様への対応
- ザ・キャピトルホテル 東急
- セルリアンタワー東急ホテル
- 名古屋東急ホテル
- 京都東急ホテル
- THE HOTEL HIGASHIYAMA KYOTO TOKYU, A Pan Pacific Hotel
5. 再発防止策
【セキュリティ事件簿#2025-144】株式会社大光銀行 当行が利用するメールシステムへの不正アクセスに関するご報告 2025/4/15
株式会社 大光銀行(本店 新潟県長岡市、頭取 川合 昌一)は、株式会社インターネットイニシアティブ(以下、IIJ社)の運営するメールシステムを利用しておりますが、2025年4月14日(月)、IIJ社のメールシステムが不正アクセスを受けたと同社から報告を受けましたので、お知らせいたします。
現時点で、IIJ社からは当行のお客さま情報の流出に関する報告は受けておりませんが、当行を騙るフィッシングメール等にご注意いただきますよう、お願いいたします。
詳細につきましては、下記IIJ社からのリリースをご確認ください。
今後、新たな事実が判明した場合は、改めてお知らせいたします。
【セキュリティ事件簿#2025-143】横浜エフエム放送株式会社 弊社が利用していたメールサービスへの不正アクセスについて 2025/4/17
弊社が利用しておりました(2025年1月末まで)株式会社インターネットイニシアティブ(以下、IIJ)が提供するIIJセキュアMXサービスが不正アクセスを受けた旨の報告をIIJから受けました。その結果、同サービスを利用して送受信したメールデータの一部が外部に流出した可能性があることが分かりましたので、お知らせいたします。
■IIJセキュアMXサービスにおけるお客様情報の漏えいについて(IIJ WEBサイト)
https://www.iij.ad.jp/news/pressrelease/2025/0415.html
IIJからの報告では、現時点において、本件による情報の不正利用などの事実は確認されていません。しかしながら、一定の期間においてメール送受信などにおける通信データの一部が外部に流出した可能性がございます。
■流出した可能性のあるデータ
・番組宛のメール(メールアドレス、本文、プレゼントの宛先住所等)
・メルマガFヨコJan!の登録時空メールアドレス (*1)
・ info@fmyokohama.jpへの問い合わせメール(メールアドレス、本文)(*1)
・ラジオショッピングの注文確認メール(メールアドレス、注文内容、氏名、住所)
※クレジットカード番号、セキュリティコードの流出はございません。
お客様におかれましては、ご心配をお掛けすることになり、誠に申し訳ございません。弊社においては、今後、一層の情報セキュリティ対策の強化に取り組んでまいります。
今後、新たな事実が判明した場合には、改めてお知らせいたします。
【セキュリティ事件簿#2025-142】株式会社高知銀行 当行が利用するメールシステムへの不正アクセスに関するお知らせ 2025/4/17
2025年4月17日 続報
このたびのIIJ社メールシステムへの不正アクセス事案につきまして、調査の結果、お客さまに関する情報漏えいはなかったことが確認されましたので、お知らせいたします。
お客さまにはご心配をおかけいたしましたことを重ねてお詫び申し上げます。
2025年4月15日 公表
このたび、当行が利用する株式会社インターネットイニシアティブ(IIJ社)のメールシステムにおいて、2025年4月14日、第三者による不正アクセスが発生したとの発表がありました。
現在、各種システムにおいて、この不正アクセス事案による影響がないか確認を進めております。
現時点では、お客さまの口座情報や取引情報への直接的な影響は確認されておりませんが、念のため、以下の点にご注意いただきますようお願い申し上げます。
お客さまにはご心配をおかけしますことを深くお詫び申し上げます。
今後新たな事実が判明した場合は、改めてお知らせいたします。
【セキュリティ事件簿#2025-140】株式会社山陰合同銀行 当行が利用するメールシステムへの不正アクセスに関するご報告 2024/4/15
ごうぎんは、株式会社インターネットイニシアティブ(IIJ社)の運営するメールシステムを利用していますが、2025 年 4 月 14 日、IIJ社のメールシステムが不正アクセスを受けたと同社から報告を受けましたのでお知らせします。
IIJ社からは、現時点で当行のメールアドレスやメール履歴に関する情報漏えいはない、との説明を受けておりますが、当行を騙るフィッシングメール等にご注意いただきますよう、お願いいたします。
詳細につきましては、下記IIJ社からのリリースをご確認ください。
今後、新たな事実が判明した場合は、改めてお知らせいたします。
【セキュリティ事件簿#2025-132】アークホーム株式会社 当社業務委託先のファイルサーバへの不正アクセスについて 2025/4/7
当社が一部業務を委託している株式会社ソーゴー(以下、委託先といいます。)において、ネットワークへの不正アクセスによるサイバー攻撃を受け、そのファイルサーバ内に当社が工事を依頼した561 件の情報が含まれていることが委託先からの報告により判明いたしました。
この不正アクセスに関し当社は個人情報保護委員会へ報告をいたしました。
委託先では、不正アクセスを受けたネットワークへの外部からの経路は、速やかに接続遮断を行い、それ以降外部からアクセスができないよう対策を講じております。
なお、攻撃を受けたファイルサーバで管理されていた情報には、クレジットカード情報や要配慮個人情報は含まれておらず、現時点で情報が不正利用された事実は確認されていないとの報告を受けております。
お客さまには大変なご心配、ご迷惑をおかけしておりますことを深くお詫び申し上げます。
本件に関するお問い合わせは、以下の窓口までご連絡いただきますようお願い申し上げます。
【セキュリティ事件簿#2025-129】筑波大学 サイバー攻撃被害の可能性について 2025/4/7
この度、国立大学法人 筑波大学が設置するゆりのき保育所 (以下、「保育施設」といいます。) の運営業務を受託しているライクキッズ株式会社 (以下、「ライクキッズ」と言います。) の社内システムが外部よりランサムウェアによる攻撃を受けました。 (以下、「本件」といいます。) 保護者の皆様には多大なるご迷惑とご心配をおかけすることになり、心よりお詫び申 し上げます。
ライクキッズでは本件が発生して以降、緊急対策本部を立ち上げるとともに、外部専門家の支援を受けながら、不正アクセスの原因や情報漏洩の可能性、および影響を及ぼす可能性のある情報の範囲を把握するための調査を鋭意進めてまいりました。このたび、現時点での調査結果として判明 しました内容をご報告申し上げます。また、個人情報保護委員会にも本内容を報告しております。
1. 経緯と対応状況
2024年9月30日早朝 (日本時間) にライクキッズにおいてシステム障害が発生しました。 調査の結果、ライクキッズの複数のサーバがランサムウェアに感染し、データが暗号化されていることを確認しました。感染が確認されたシステム環境は外部とのネットワークを遮断しており、被害の拡大を防ぐための対応を実施しております。
現在、ライクキッズの主要業務につきましては、手動での対応を行うとともに、既存環境とは分離し、隔離さんていたシステムを利用することにより継続しております。システムの復旧につきましては、被害を受けたネットワーク環境は再利用せず、新しい環境を構築した上で、システムの完全な復旧を予定しております。 外部専門家の助言及びチェックを受けながら、新しい環境の構築を進めてまいります。
2. 不正アクセスの原因
本件は、インターネットとの接続口の脆弱性を攻撃者に悪用され、ライクキッズの環境へ侵入されていたことが判明しております。ライクキッズではこの事態を重く受け止め、再発を防止すべく外部専門家による助言及びチェックを受けながら、さらなる対策を講じてまいります。
3. 個人情報の漏洩について
本件により暗号化されたサーバには、下記の個人情報を含むデータが保存されておりました。 これらの個人情報の漏洩の有無に関して、外部専門家による調査を実施し、その結果、サーバ内の個人情報を閲覧された可能性はございますが、個人情報データを持ち出された形跡は確認されませんでした。 現時点において、本件に起因する個人情報を用いた不正利用等の二次被害については、確認されておりません。 引き続き、筑波大学やライクキッズを騙る不審な電話やメール等による勧誘や詐欺には十分にご注意いただき、不審に思われた場合は、下記フリーダイヤルまでご連絡いただきますよ うお願い申し上げます。
【保存されていた個人情報】
お預かりしている園児・児童 (卒園者を含む) の個人情報
ー氏名、生年月日、アレルギー情報等の要配慮個人情報
お預かりしている園児・児童 (卒園者を含む) の保護者の個人情報
ー氏名、生年月日、住所、電話番号、口座情報
【相談窓口】
ライクキッズサポートセンター
TEL : 0120-230-513
受付時間 : 祝日、年末年始を除く月て金10 : 00て18 : 00
4. 再発防止策について
ライクキッズではこのたびの事態を厳鹿に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止に努めてまいります。
最後になりますが、保護者の皆様には多大なご迷惑とご心配をおかけしたことを重ねて深くお詫び申し上げます。 再発防止に向けて、情報セキュリティ体制の構築と強化徹底を図り、信頼回復に努めてまいります。
【セキュリティ事件簿#2025-128】株式会社フレッシュハウス 当社業務委託先のファイルサーバへの不正アクセスについて 2025/4/7
当社が一部業務を委託している株式会社ソーゴー(以下、委託先といいます。)において、ネットワークへの不正アクセスによるサイバー攻撃を受け、そのファイルサーバ内に当社が工事を依頼した1,423 件の情報が含まれていることが委託先からの報告により判明いたしました。
この不正アクセスに関し当社は個人情報保護委員会へ報告をいたしました。
委託先では、不正アクセスを受けたネットワークへの外部からの経路は、速やかに接続遮断を行い、それ以降外部からアクセスができないよう対策を講じております。
なお、攻撃を受けたファイルサーバで管理されていた情報には、クレジットカード情報や要配慮個人情報は含まれておらず、現時点で情報が不正利用された事実は確認されていないとの報告を受けております。
お客さまには大変なご心配、ご迷惑をおかけしておりますことを深くお詫び申し上げます。
【セキュリティ事件簿#2024-131】東芝テック株式会社 不正アクセスによる個人情報漏えいのお知らせとおわび 2025/4/4
当社は2024年4月5日に「不正アクセスによる個人情報漏えいのお知らせとおわび」として当社が利用しているクラウドサービスが外部からの不正アクセスを受け、お取引先様、当社及びグループ会社の従業員等の一部の個人情報が、外部者により不正に閲覧された、または閲覧されたおそれがあることを当社HPにて公表いたしました。
【2024年4月5日公表のURL】
https://www.toshibatec.co.jp/information/20240405_01.html
既報のとおり当社は不正アクセスをうけ、専門の調査会社および弁護士を含め調査を行うとともに侵入経路を特定し、新たな攻撃が起きないよう対応しています。なお、この不正アクセスについて、現時点まで個人情報の不正利用などの二次被害は確認されておりません。
また調査の結果、個人情報が漏えいした、またそのおそれがある方に対して、当社はメールまたは郵便により個別の連絡を行い、おわびと注意喚起をおこなってきました。
しかしながら、一部の方について当社からの連絡が不達となりましたため、この度HPにてご連絡をいたします。
【対象の方と漏えいのおそれがある個人情報】
2018年4月1日から2024年3月20日までに退職された当社元従業員の当社在籍時の氏名、生年月日、採用年月日、学歴、メールアドレス、部署名、役職名、資格および海外赴任経験者においては海外現法赴任時の管理情報(管理情報:パスポート番号、海外赴任時のメールアドレス、現地自宅住所、現地自宅TEL、登録家族情報)
TOSHIBA OPEN INNOVATION FAIR 2018に来場されたお取引先様から頂いた名刺に記載の御氏名、お勤め先、メールアドレス、東芝グループの関係者の氏名、メールアドレス(2018年11月時点のもの)
この度、上記に関係する方で、当社からの連絡(メールまたは郵便)を受け取ることができなかった方におかれましてはおわびをいたします。また、これら個人情報を悪用した不審な連絡を受け取った場合は、注意して対応していただけますようお願いいたします。
今後も、いっそうのセキュリティー対策の強化に取り組んでまいります。
【2024年4月5日リリース分】
【セキュリティ事件簿#2025-112】公益社団法人静岡県看護協会 サーバへの不正アクセスによる個人情報漏えいのおそれについてご報告とお詫び 2025/3/2
平素より公益社団法人静岡県看護協会(以下、「当協会」といいます。)のサービスをご利用いただき、誠にありがとうございます。
この度、当協会(https://www.shizuoka-na.jp/)のウェブサーバに対して、2024年12月4日に何者かによる不正アクセス攻撃を受けたことにより、お客様情報の一部が外部へ流出したおそれがあるとの報告をサーバ運営委託会社より受けましたので、お知らせいたします。
なお、専門調査会社による調査の結果、サーバへの不正アクセスによりデータが閲覧、流出した明確な痕跡は見つかっておらず、攻撃を受けたサーバは不正アクセス対策の強化と安全性の確認を行い、現在は安全な状態が確保されております。
本件では、専門調査会社による詳細な調査に時間を要してしまいご報告にお時間を要してしまったこと、お客様をはじめ関係各位の皆様に多大なるご迷惑とご心配をおかけしてしまったことを深くお詫び申し上げます。
今後このような事態が発生しないよう、サーバ運営委託会社と協議し、セキュリティ対策の強化に取り組み再発防止に努めて参ります。
1. 流出したおそれのある個人情報
(1) 2011年4月1日~2024年12月4日の間に、「研修お申込フォーム」ページから送信して下さった申込者情報:氏名、住所、電話番号、メールアドレス
(2) 2011年4月1日~2024年12月4日の間に、「研修お申込フォーム」ページから送信して下さった研修受講者情報:氏名
2.二次被害又はそのおそれの有無及びその内容
現時点で不正利用等の事象は確認されておりませんが、漏えいしたおそれのあるメールアドレス宛に、第三者が不審なメールを送信する可能性があります。不審なメールが届いた際はメール本文のリンクを開いたり、求めに応じてパスワード等を入力したりしないようご注意ください。万が一、不審な連絡や行為を確認された場合は、下記窓口までご一報ください。
3.お問い合わせ先
本件に関する詳細な内容やご不明な点のお問い合わせは、下記サーバ運営委託会社までお願いいたします。
株式会社静岡情報処理センター
【セキュリティ事件簿#2025-100】神戸ベイシェラトンホテル&タワーズ 宿泊施設の予約・販売管理システムへの不正アクセスによる お客様の個人情報漏洩についてのお詫びとお知らせ 2025/3/17
この度、当ホテルにおいて利用している宿泊施設の予約・販売管理システムにおいて、当施設のログイン ID及びパスワードを使い第三者が不正にログイン操作を行い、Booking.com を利用して当ホテルへご予約をいただいた一部のお客様のご予約情報に対して不正アクセスを行った疑いを検出したと本件システムの提供ベンダー(以下「委託先」といいます。)より、昨年 8 月 20 日に報告がございましたのでお知らせいたします。直ちに、個人情報保護員会には報告しましたが、流出した情報の個人名の特定に時間を要したことから(最終的に個人名は特定できませんでした)、この度ホームページにて公表することとなりました。
お客様には、公表が遅れましたこと並びにご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。
<経緯等>
委託先の調査により、本件システムにおいて、当社が委託先へ預けている個人データに対して不正アクセスがあり、一部の個人データが CSV 出力されたことが確認されました。(個人データに対して不正アクセスが確認されました。)
第三社が不正にアクセスし情報を窃取しようとしたものと推察されます。なお、委託先の調査の結果、現時点で委託先へのサイバー攻撃やウイルス感染等の痕跡は発見されていないと報告を受けております。
<委託先の調査結果における不正アクセスの内容>
対象日:2024 年 6 月 18 日から 2024 年 7 月 18 日までのご宿泊日
対象者:2024 年 6 月 19 日以前に当施設への予約、予約に対する変更、予約に対する取消をされたお客様
情報種類:予約者氏名、宿泊者氏名、電話番号、e-mail、年齢、性別、宿泊に関わる情報等
※漏えいした可能性のある個人情報にクレジットカード情報は含まれません。
<対応>
<お客さまへのお願い>
【セキュリティ事件簿#2025-093】静岡市生涯学習センター サーバへの不正アクセスによる個人情報流出の可能性についてお詫びとお知らせ 2025/3/4
平素より、静岡市生涯学習センターのサービスをご利用いただき誠にありがとうございます。
この度、当法人がウェブサイト管理を委託している株式会社静岡情報処理センター(以下「SIC」といいます。)より、ウェブサーバに対して不正アクセス攻撃を受け、お客様情報の一部が外部へ流出したおそれがあるとの報告を受けました。専門調査会社による調査の結果、個人情報が流出した明確な痕跡は確認されませんでしたが、個人情報の保護に関する法律の定めに基づき、対象の方々にお知らせさせていただくものです。
1. 事案の概要
2024年12月4日に、SICが契約しているサーバ管理会社のサーバが、何者かによる不正アクセス攻撃を
受けたことにより、2. に示す個人情報が流出および閲覧された可能性のあることが判明いたしました。
不正アクセス覚知後、速やかに外部経路からの接続遮断を実施し、接続遮断後の不正アクセスは確認されておりません。また、専門調査会社による調査の結果、個人情報が流出した明確な痕跡は確認されておりません。
2. 流出の可能性がある個人情報
①2024年12月4日までに、生涯学習センターウェブサイト「講座のお申し込みフォーム」ページから送信して下さった申込者の氏名、住所、電話番号、メールアドレス
②2024年12月4日までに、生涯学習センターウェブサイト「講座のお申し込みフォーム」ページから送信して下さった同伴者の氏名
③生涯学習センターのメールマガジンに登録して下さっている方のメールアドレス
3.二次被害又はそのおそれの有無及びその内容
現時点で個人情報が流出した痕跡、不正利用等の事象は確認されておりませんが、不審な連絡等には十分ご注意くださいますようお願い申し上げます。万が一、不審な連絡や行為を確認された場合は、下記窓口までご一報くださいますようお願い申し上げます。
4.今後の対応
当法人は、専門機関の調査結果を受け、同様の不正アクセスがなされぬよう、SICと協議のうえセキュリティ対策の強化に取り組み、再発防止に努めて参ります。
当法人ならびにSICは、このような事態が発生したことを大変重く受け止めており、
お客様に多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
【セキュリティ事件簿#2025-072】AIG損害保険株式会社 当社業務委託先における不正アクセス被害に伴う情報漏えいのおそれについて 2025/2/17
個人データの漏えいのおそれがあることが確認されたお客さまには、当社より順次、個別にご通知いたします。ご住所やご連絡先の特定が困難なお客さまにつきましては、本公表をもって通知に代えさせていただきます。なお、ご自身の個人データへの影響をご懸念され、詳細の確認を希望されるお客さまは、末尾記載の窓口にご連絡ください。
お客さまおよび関係者の皆さまに、大変なご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。
1.不正アクセス被害の概要
当社は2024年12月10日に東京損保鑑定社から以下の報告を受けております。
2024年8月29日、東京損保鑑定社において、サーバ内のファイルを見ることができなくなり、調査を行った結果、サーバの一部で保管しているファイルが暗号化され、不正アクセスならびに情報漏えいのおそれがあることを確認した。
その後外部の専門家と連携し、全容把握のための調査を実施するなかで、当社のお客さま情報についても漏えいのおそれがあることが確認された。
この報告を受け、当社は、情報漏えいのおそれがある当社のお客さまや事故のお相手さまの情報等の特定に向けて調査を進めております。
2.情報漏えいのおそれがあるお客さま等の情報
対象のお客さま
1994年7月から2017年10月までの間に東京損保鑑定社に損害査定業務等を委託し、鑑定料をお支払した事案(155件)にかかる、当社のお客さま
対象の保険種類
火災保険、自動車保険、その他賠償責任保険等
漏えいのおそれがあるお客さま情報の項目
保険契約者および被保険者の氏名、住所、電話番号、証券番号、(損害賠償事故の場合)事故相手方および物件管理者の氏名・住所・電話番号、損害調査のために提出された書類※など
※損害写真や修理見積などです
3.原因
東京損保鑑定社の12月25日付のウェブサイト上の記載をご参照ください。(https://www.to-son.co.jp/news/27875)
4.二次被害またはそのおそれの有無およびその内容
東京損保鑑定社は、同社が委託する調査会社を通じて、ダークウェブサイトの確認を行っていますが、本日時点で、当該サイトには流出した情報の掲載はないとのことです。また、本日時点で、第三者による情報の不正利用の事実は、東京損保鑑定社、当社いずれにおいても確認されておりません。
5.その他
本件に関しては、東京損保鑑定社のウェブサイト上における2024年10月7日および2024年12月25日付の公表内容をあわせてご参照ください。
(2024年10月7日 https://www.to-son.co.jp/news/25858)
(2024年12月25日 https://www.to-son.co.jp/news/27875)
【セキュリティ事件簿#2025-071】株式会社レアル Booking.com 管理システムへの不正アクセスによる情報流出の可能性とフィッシングサイトに関するご案内 2025/2/14
弊社が利用しているBooking.com社提供の宿泊予約情報管理システム(以下、管理システム)において、不正アクセスが発生したことが確認されました。その結果、一部のお客様へフィッシングサイトへ誘導するメッセージが送信された可能性がございます。
本件について、お客様にご不安をおかけしておりますことを受け、以下のとおりご案内申し上げます。
1.事象の経緯
2024年12月27日22時頃~2024年12月29日13時頃、Booking.com社を通じて弊社宿泊施設を予約された一部のお客様に対し、弊社の管理下にあるBooking.comサイト内に不正なアクセスがあり、フィッシングサイト等へ誘導するメッセージが配信された可能性があることを確認いたしました。
また、管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性や、一部の情報が流出した可能性がございます。詳細については現在調査中ですが、お客様におかれましては、フィッシングサイトへのアクセスや、不審なメッセージへのご対応には十分ご注意いただきますようお願いいたします。
2.事象の内容
(1)対象のお客様
日本時間2024年12月29日13時までにBooking.com社経由で弊社宿泊施設へ予約を行ったお客様
(2)漏えいした可能性があるお客様の個人情報
氏名
電話番号
メールアドレス
国籍
住所
※クレジットカード情報、金融機関口座情報などの決済関連情報は含まれておりません。
3.弊社の対応
弊社では、以下の対応を実施しております。
不正メッセージが送信された可能性のあるお客様への注意喚起
弊社全施設におけるID・ログインパスワードの変更およびパソコンのセキュリティチェックの実施
Booking.com社に対し、原因調査および対応についての確認依頼
なお、Booking.com社より、同社の重要なバックエンドシステムやインフラへの侵害は確認されていないとの報告を受けております。
4.お客様へのお願い
万が一、心当たりのないメッセージを受信された場合は、添付されたURL等へのアクセスを行わず、削除していただきますようお願いいたします。
また、不審なメッセージを受け取られた際は、Booking.com社または弊社窓口までお問い合わせください。
5.今後の対応と再発防止策
弊社では、今回の事象を踏まえ、さらなるセキュリティツールの導入によりセキュリティ強化、従業員向けのセキュリティ研修の強化等、再発防止の対策の強化を行ってまいります。
今後の対応については、適宜、公式ウェブサイト等でお知らせいたします。
【セキュリティ事件簿#2025-069】株式会社アイリッジ 不正アクセスの発生について 2025/2/14
この度、当社の業務委託先にて使用していた端末がマルウェア感染したことに起因して、当社システムへの不正アクセスが発生し、ソースコード管理サービスに含まれる一部の情報が不正に取得されたことが判明いたしました。
当該管理サービスでは、当社の顧客企業が配信等を行うアプリの利用者に関する個人情報は管理していないため、これらの情報の漏えいはありません。また、関係するお取引先様には既に個別に連絡を行った上で、関係する皆様に不利益が生じないように必要な対策を講じております。本件不正アクセス発生後、外部の専門事業者と連携の上、速やかに影響範囲の調査、認証方式や外部からのアクセス制限の強化等の必要な対策を講じており、システムの改竄等を含む二次被害は確認されておりません。今後公表等をすべき新しい事実が発見された場合には、速やかに対応いたします。
お取引先様をはじめ、関係する皆様にはご心配をお掛けすることとなり、深くお詫び申し上げます。
皆様に今後も引き続き安心してご利用いただけるサービスを提供するために、業務委託先を含め、再発防止に向けた情報管理のフローやセキュリティ体制の整備及び強化に努め、より一層のセキュリティ対策を講じてまいります。
【セキュリティ事件簿#2025-060】マネックス証券株式会社 銘柄スカウターに関する委託先データベースへの不正アクセスについて 2025/2/20
いつもマネックス証券をご利用いただき、ありがとうございます。
「銘柄スカウター」に関するデータへの不正アクセスについて、開発会社より連絡を受け、その後の調査により判明した内容を以下のとおりご説明申し上げます。
なお、対象のデータにお客様を特定することが可能なデータは含まれておらず、お客様を特定する情報が外部に漏洩している事実は確認されておりません。
■事案の概要
「マネックス銘柄スカウター」、「銘柄スカウター米国株」、「銘柄スカウター中国株」の開発・管理を行う株式会社アイフィスジャパン(以下、「アイフィス社」)において、第三者(以下、「不正アクセス者」といいます。)が以下のデータ(以下、総称して「対象データ」といいます。)を保管するデータベースへ不正にアクセスを試みた事象が2024年12月16日に発生しました。
(対象データ)
・ユーザーアクセスID
・お気に入り設定(銘柄コード)
・過去閲覧履歴(銘柄コード)
・比較対象(銘柄コード)
・10年スクリーニングの設定条件
■対象データへのアクセスによる影響について
・「ユーザーアクセスID」は、お客様の識別のために当社内で口座ごとに付与している内部管理用のコードであり、口座番号やログインID等とは異なるものです。「ユーザーアクセスID」単体でお客様を特定することはできません。また、当社の提供するサービスにおいてログイン等に利用できない情報のため、不正ログイン等の被害はございません。
・その他「お気に入り設定」等の銘柄コードや「10年スクリーニング」の設定条件についても、それらを用いてお客様を特定することはできません。
■経緯及び詳細
12月18日に本件が発覚した時点では対象データへの不正アクセスがあったかどうかが不明だったため、2月13日にかけてアイフィス社において外部の専門機関によるものを含め調査・検証を実施しました。
本件は、不正アクセス者が認証情報を格納していたサーバーに対して不正にアクセスし、認証情報を窃取したうえ、これを用いて対象データを保管するデータベースへの接続を試みたものであることが判明しております。
接続を試みたことまでは確認できておりますが、対象データの参照に関する記録は残っておりません。また、対象データの不正利用や改ざん等は確認されておりません。対象データの外部流出があったことを示す証跡は無いものの、外部流出の可能性を否定できないため、お客様へご説明申し上げるものです。
■お客様への影響
・仮に不正アクセス者がお客様によって登録された12月16日時点の対象データを参照した場合でも、対象データから個人を識別・特定することは事実上不可能です。
・不正アクセス者が窃取した情報を用いてアイフィス社及び当社の他サービスへの侵害または不正アクセスを行うことはできず、本件に起因して二次被害が発生することは想定されません。
■対応措置
アイフィス社において、想定しうる他のアクセス履歴等を確認し、当該不正アクセス者以外の者による不正アクセス、及び当該不正アクセス者の他の不正アクセスがともに発生していないことを確認しています。
また、窃取された認証情報の無効化、不正アクセス者のIPアドレスからのアクセス遮断、流出が発生したシステム環境の外部からのアクセス制限、及び不正アクセス検知のための監視強化を実施済みです。
加えて、外部からの攻撃検知のさらなる改善、運用するシステム環境における認証の強化、及び外部の専門機関の継続的なセキュリティチェックについても対応を進めております。
弊社では本事案を厳粛に受け止め、委託先の管理態勢を強化し、引き続き再発防止に努めてまいります。
【セキュリティ事件簿#2025-056】共栄火災海上保険株式会社 当社業務委託先鑑定会社における不正アクセスに伴う情報漏えいのおそれについて 2025/2/7
当社が損害調査業務等の一部業務を委託している東京損保鑑定株式会社(以下、 「東京損保鑑定] )において、第三者の不正アクセスに伴うランサムウェア被害が発生し、当社のお客様や事故のお相手様の情報等の漏えいの可能性があることが東京損保鑑定からの報告により判明いたしました。
現時点でお客様の情報が不正使用された事実は確認されていませんが、 お客様にはご迷惑、ならびにご心配をおかけし、心より深くお詫び申し上げます。
東京損保鑑定に対して調査結是を踏まえた再発防止策の徹底を求めるとともに、当社においても、本件を厳東に受けとめ、 委託先を含め、お客様等の情報等の管理をより一層強化してまいります。
1. 経緯と調査結果
10 月 18 日に、 東京損保鑑定から当社に対し、 情報濡えいのおそれが認められるとの報告があり、その後、12 月 11 日に、 外部機関に委託したフォレンジック調査結果が報告され判明しました。
概要は、以下のとおりです。
・2024 年 8 月 29 日にサーバ内にあるファイルを見ることができなくなり、外部の専門家による調査を行った結果、ランサムウェア被害によりサーバの一部で保管しているファイルが暗号化され、情報漏えいのおそれがあることを確認しました。
・東京損保鑑定からの調査結果では、 お客様のデータが漏えいした証跡等は確認されておりません。
・東京損保鑑定が委託する調査会社を通じてダークウェブサイトの確認を行っていますが、現時点で流出した情報の掲載は無く、情報の第三者による不正利用の事実も確認されていません。
2. 漏えいしたおそれがある情報 (本日時点)
【件数】224 件
【漏えいした可能性のある情報】
契約者名、被保険者名、保険対象の所在地、証券番号等、当社が東京損保鑑定に損害調査依頼時に提供するものや鑑定内容
※お客様のセンシティブ情報、クレジットカードや金融機関口座等の情報は含まれておりません。
3. 今後の対応
情報漏えいのおそれが生じたお客様の情報等について特定を進めており、特定できたお客様につきましては、順次ご案内いたします。なお、現時点で情報等の不正利用は確認されておりません。