【セキュリティ事件簿#2024-589】シャトレーゼホテル長野における 「Booking.com」管理システムへの不正アクセスによる個人情報漏洩と フィッシングサイトに誘導するメッセージの配信についてのお詫びとお知らせ 2024/12/31

 

このたび、シャトレーゼホテル長野において利用しているBooking.com社の宿泊予約情報管理システム（以下、管理システム）に対して、悪意のある第三者による不正アクセスが発生し、同社システムを経由して当ホテルを予約された一部のお客様にフィッシングサイトに誘導するメッセージが配信されたことが確認されました。また、この不正アクセスにより、同社システムに登録されているお客様の個人情報が閲覧できる状態であった可能性があることが確認されました。

■　経緯及び概要

日本時間2024年12月27日夜、お客様よりメッセージ「予約しているBooking.comから、不審なメッセージが届いているので確認してほしい」というメールとお電話がありました。

その後、当社情報責任者において　「Booking.com社」のシステムを確認したところ、同日23：50前後に「Booking.com経由」の一部のご予約者宛てに、当ホテルを装ったフィッシング詐欺サイトへの誘導と思われるメッセージが配信されていることを確認いたしました。

閲覧された可能性があるお客様の個人情報は以下の通りです。

氏名

住所

電話番号

国籍

宿泊日

メールアドレス

■お客さまへのお願い

・12月30日現在、「Booking.com経由」以外でご予約を頂いたお客様の個人情報の漏洩事実はございません。あくまで　今回の事例は「Booking.com経由」して予約したお客様のみ漏洩の事実が判明しております。

・シャトレーゼホテル長野及び系列施設では、メールをお客様へ送付し、クレジットカード情報の提供依頼をすることはございませんので、万が一そのようなメールを受信された際は、入力等は絶対に行わず、下記ホテルまでご一報頂けますようご協力を宜しくお願い申し上げます。

※悪意を持った第三者が不正に配信されたメッセージからフィッシングサイトにアクセスした場合、クレジットカード情報を抜き取られ不正に使用されるおそれがあります。

・本事案はシャトレーゼホテル長野を「Booking.com社」経由でご予約を頂いたお客様に限定されております。

長野以外の、　系列シャトレーゼホテル、系列施設においては同様の事例は無いことを確認しております。

■今後の対応

本件を受け、捜査機関へ協力要請を開始しており、Booking.com社とも連携をとりつつ、再発・2次被害防止に万全を期してまいります。

このたびは、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-584】ロイヤルツインホテル京都八条口 不正アクセスによるフィッシングサイトへ誘導するメッセージの配信についてのお詫びとお知らせ 2024/12/28

 

この度、ロイヤルツインホテル京都八条口において利用しているBooking.com社提供の予約情報管理システム（以下、管理システム）が不正アクセスを受け、Booking.com社を通して当ホテルに予約された一部のお客様に対し、フィッシングサイトへ誘導するメッセージが配信されたことを確認いたしました。

現在、関係機関と連携し個人情報漏えいの有無を含め調査を行っておりますが、お客様にはご迷惑およびご心配をおかけしておりますこと、深くお詫び申し上げます。

弊社はご予約いただいたお客様へメールや宿泊予約サイト上のチャット等を用いて、クレジットカード情報を求めたり、お支払いを催促したりすることは行っておりません。

お客様におかれましては、Booking.comを装って送られた疑わしいメッセージについては、添付されているファイルやリンクにアクセスをなさらないよう、お願い申し上げます。

1. 事象の経緯

 2024年12月25日0：40頃から、Booking.com社経由で宿泊を予約されたお客様に対して、弊社で管理しているBooking.com社の管理システムを使用してフィッシングサイトへ誘導するURLリンクが貼付されたメッセージが配信されていることを確認いたしました。これを受け、当社は直ちに管理システムのログインパスワードの変更を行うとともに、該当のメッセージが配信されたお客様に対して、当該URLリンクへアクセスをしないようにメッセージを配信しております。

2. 今後の対応と再発防止策

 関係機関と連携を取りつつ原因調査を進め、必要な対応、対策を実施することにより、再発防止に万全を期して参ります。

この度は、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-583】北こぶし知床 ホテル＆リゾート 宿泊施設の予約・販売管理システムへの不正アクセスの可能性についてのお詫びとお知らせ 2024/12/26

 

北こぶし知床 ホテル＆リゾートで利用している宿泊施設の予約・販売管理システムにおいて当施設のログインID 及びパスワードを第三者が不正にログイン操作を行い、オンライン予約サイトから宿泊予約した一部のお客様のご予約情報に対して不正アクセスを行った疑いを検出したと本件システムの提供ベンダー（以下「委託先」といいます。）より報告がございましたのでお知らせいたします。

お客様にはご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

＜経緯等＞

委託先の調査により、本件システムにおいて、当社が委託先へ預けている個人データに対して不正アクセスがあり、一部の個人データがCSV 出力されたことが確認されました。（個人データに対して不正アクセスが確認されました。）

第三社が不正にアクセスし情報を窃取しようとしたものと推察されます。

なお、委託先の調査の結果、現時点で委託先へのサイバー攻撃やウイルス感染等の痕跡は発見されていないと報告を受けております。

尚、委託先システムの仕様上、漏えいした可能性のある詳細情報を特定出来ない為、個別お客様へのご連絡の手段として個人情報保護法の規定に沿い、公式HPでの公表に替えさせて頂きました。

＜委託先の調査結果における不正アクセスの内容＞

対象日：2024年 5月 23日から 2024年 10月 9日までのご宿泊日

対象者：2024年 6月 9日以前に当施設への予約、予約に対する変更、予約に対する取消をされたお客様

情報種類：予約者氏名、宿泊者氏名、電話番号、e-mail、年齢、性別、宿泊に関わる情報等

※漏えいした可能性のある個人情報にクレジットカード情報は含みません。

＜お客さまへのお願い＞

お心当たりのない SMS、メール、差出人表示の偽装等には、十分ご注意いただきますようお願い申し上げます。

現在、関係機関と連携を取りつつ再発防止に努めております。

お客さまをはじめ、関係者の皆さまには多大なご迷惑とご心配をおかけする事態となりましたことを改めてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-582】知床夕陽のあたる家 ONSEN HOSTEL 宿泊施設の予約・販売管理システムへの不正アクセスの可能性についてのお詫びとお知らせ 2024/12/29

知床夕陽のあたる家 ONSEN HOSTELで利用している宿泊施設の予約・販売管理システムにおいて当施設のログインID 及びパスワードを第三者が不正にログイン操作を行い、オンライン予約サイトから宿泊予約した一部のお客様のご予約情報に対して不正アクセスを行った疑いを検出したと本件システムの提供ベンダー（以下「委託先」といいます。）より報告がございましたのでお知らせいたします。

お客様にはご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

＜経緯等＞

委託先の調査により、本件システムにおいて、当社が委託先へ預けている個人データに対して不正アクセスがあり、一部の個人データがCSV 出力されたことが確認されました。（個人データに対して不正アクセスが確認されました。）

第三社が不正にアクセスし情報を窃取しようとしたものと推察されます。

なお、委託先の調査の結果、現時点で委託先へのサイバー攻撃やウイルス感染等の痕跡は発見されていないと報告を受けております。

尚、委託先システムの仕様上、漏えいした可能性のある詳細情報を特定出来ない為、個別お客様へのご連絡の手段として個人情報保護法の規定に沿い、公式HPでの公表に替えさせて頂きました。

＜委託先の調査結果における不正アクセスの内容＞

対象日：2024年 6月 9日から 2024年 9月 9日までのご宿泊日

対象者：2024年 6月 9日以前に当施設への予約、予約に対する変更、予約に対する取消をされたお客様

情報種類：予約者氏名、宿泊者氏名、電話番号、e-mail、年齢、性別、宿泊に関わる情報等

※漏えいした可能性のある個人情報にクレジットカード情報は含みません。

＜お客さまへのお願い＞

お心当たりのない SMS、メール、差出人表示の偽装等には、十分ご注意いただきますようお願い申し上げます。

現在、関係機関と連携を取りつつ再発防止に努めております。

お客さまをはじめ、関係者の皆さまには多大なご迷惑とご心配をおかけする事態となりましたことを改めてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-577】損害保険ジャパン株式会社 当社業務委託先鑑定会社におけるランサムウェア被害に伴う情報漏えいのおそれについて 2024/12/26

 

当社が損害調査業務の委託契約を締結している東京損保鑑定株式会社(以下、「東京損保鑑定」)において、第三者の不正アクセスによるランサムウェア被害が発生したことを１０月７日（月）に当社公式ホームページにてお知らせいたしました。その後、東京損保鑑定による調査が完了したとの報告を受けましたので、以下をお知らせいたします。

１２月１８日（水）時点で漏えいした事実は確認されていません。お客さまにはご迷惑とご心配をおかけすることになり深くお詫び申し上げます。東京損保鑑定社に対し、調査結果を踏まえた再発防止策の徹底を求めていくとともに、当社においても、その他の委託先も含め、より一層の管理体制の強化に努めてまいります。

１．調査結果

本件が発生して以降、東京損保鑑定において、外部機関に委託しフォレンジック調査が実施され、１２月１８日（水）に調査結果の報告を受けました。概要は、以下のとおりです。

・サーバー及びVPN装置の通信に係るログが一部欠落していましたが、残存していたログからは、外部への情報送出の痕跡等、情報が漏えいした事実の確認はできませんでした。

・サーバーの各種ログからは、不正アクセスを受けたサーバーは２台にとどまり、同社の社内ネットワークのその他装置等に対する探索行為及び不正アクセスの痕跡等は確認されませんでした。

・ランサムウェア攻撃で暗号化されたサーバー２台のデータ復旧が困難であったため、お客さまのお名前、情報の種類等、サーバーに保存されたお客さま情報の詳細について特定には至りませんでした。

２．お客さま情報が漏えいしたおそれがある件数

サーバー外に保管されていた同社の会計データおよび当社の保有する会計データから、お客さま情報が漏えいしたおそれがある件数は約３８，０００件です。

なお、お客さまのお怪我に関する情報、クレジットカード・銀行口座等の情報は含まれておりません。

３．当社の対応

情報漏えいのおそれが生じたお客さまのうち、ご連絡先等が特定できた方に対し、順次お知らせいたします。なお、特定できなかった場合は、本公表をもって通知と代えさせていただきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-573】株式会社イトーキ 業務委託先への不正アクセスについて 2024/12/25

 株式会社イトーキエンジニアリングサービス（2024 年 7 月 1 日付で株式会社イトーキに吸収合併）が PC キッティング作業を委託しておりました事業者の再々委託先が不正アクセスの被害を受け、一部個人情報の漏洩の可能性がある旨の報告を受けました。

この度、外部専門機関による本件の調査を実施し、個人情報保護法およびプライバシーマーク運用指針に基づき、個人情報保護委員会及びプライバシーマーク認証団体：一般財団法人日本情報経済社会推進協会に報告いたしましたので、以下の通りお知らせいたします。

関係者の皆様には多大なるご迷惑とご心配をお掛けいたしましたこと、ならびに調査に時間を要しましたことを、深くお詫び申し上げます。当社およびイトーキグループは、今回の事態を厳粛かつ真摯に受け止め、さらなるセキュリティ強化に取り組んでまいります。

１，概要

2024 年 6 月 8 日、弊社からの PC キッティングを委託しておりました事業者の再々委託先において、ランサムウェアによる不正アクセスが発生し、サーバ 2 台・デスクトップ PC1 台およびネットワーク共有されていた領域に保存されていた情報が暗号化されました。PC キッティング作業の委託にあたり当社からは利用する従業員の氏名等を提供しております。外部専門機関による調査の結果、個人情報漏洩の事実、2 次被害の発生等は確認されておりません

２，漏えいのおそれのある対象者

 株式会社イトーキエンジニアリングサービスに 2023 年 6 月～2023 年 8 月の期間に勤務されていた従業員 299 名

※ 連絡先の判明している対象者の皆さまには個別に連絡済みとなります。

３，漏洩のおそれがある個人情報

イトーキエンジニアリングサービスが PC キッティング作業（2023 年 6 月～8 月）のために提供した個人情報（利用者名、管理者アカウント、ユーザーアカウント PW など）

今後、お知らせすべき事実が判明した際には改めて公表させていただきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-572】株式会社フジクラ 当社ネットワークへの不正アクセスについて 2024/12/25

 

このたび、当社が管理するサーバに対し、第三者による不正なアクセス及び情報流出の痕跡があったことが確認されました。対象のサーバの一部には個人情報も含まれておりました。

関係する皆さまに多大なるご迷惑とご心配をおかけすることになり、深くおわび申し上げます。

本件につきましては、すでに個人情報保護委員会に必要な報告を行い、外部のセキュリティ専門会社の協力を得ながら関係機関と連携し、事実の確認及び必要な対応に努めております。

引き続き調査その他の対応を続けているところではございますが、このたび、調査も一定程度進捗いたしましたので現時点で判明している事実及び当社の対応につき以下の通りご報告いたします。

１. 本件の概要

2024 年 7 月２日、当社がネットワークの保守運用を委託している NTT コミュニケーションズ株式会社（以下「保守委託先」）が管理するネットワーク保守・監視用 VPN 装置を通じて、当社の情報ネットワークが外部からの不正なアクセスを受けたことが判明しました。

本事象を確認後、当社は保守委託先と協力して、ただちに侵入経路を特定し、不正使用されたアカウントの無効化、アカウント全保持者のパスワード初期化と利用制限、ネットワーク機器の交換及び認証の強化などの緊急対策を行いました。７月 19 日から、保守委託先ほか外部セキュリティベンダーとともに、影響範囲を特定するためのフォレンジック調査※を開始いたしました。

※フォレンジック調査：不正アクセスやランサムウェア等のサイバー攻撃被害を受けた際に、原因や犯人の特定などを目的として、サーバ等のデバイスや記憶媒体等のデータを収集し、分析する専門的な調査手法。

フォレンジック調査を進める中で、当社佐倉事業所の複数のサーバに外部からのアクセス及びデータ流出の痕跡があったことが確認されました。流出したデータは各サーバのデータ保存量の一部に留まりますが、対象のサーバには個人情報が保存されていたものも含まれておりましたので、個人情報の漏えいのおそれは否定できないものと考えております。

２. 原因と対策

保守委託先による原因分析調査の結果によると、本件の事案の原因は、保守委託先によるネットワーク保守・監視用 VPN 装置の管理に不備があり、その結果同装置に残っていた脆弱性が利用されたことによります。

不正アクセスの発覚後は、上記の通り緊急対策を実施しネットワークの安全を確保したほか、保守委託先に対して再発防止策の検討と実施を指示し、同社が保守運用サービスの運用体制の強化、運用ルールの改訂等を実施した旨を確認しております。当社においても、保守委託先の管理体制を強化し、機器のログ等の情報収集体制を強化するなど、不正アクセスに対してより迅速に対応可能な体制を構築しました。

３. 漏えいのおそれが生じた個人情報

本件により漏えいのおそれが生じた個人情報は、お取引先従業員、大学関係者その他の社外の方、並びに当社及びグループ会社の従業員・元従業員（ともに契約社員、派遣社員、アルバイト等含む）及びその家族等の個人情報で、氏名、住所、電話番号、メールアドレス、生年月日、性別等の連絡先情報・属性情報が中心であり、その他の従業員情報（当社が従業員から受領した情報も含む）や、人事関連情報、インボイス番号、銀行口座番号（暗証番号は含みません）等も一部含まれておりましたが、現時点においてクレジットカード情報やマイナンバーは確認されておりません。

４. 今後の対応

現在、本件の対象となったご本人様を正確に特定するための調査を継続しておりますが、調査及びご連絡のための情報の整理が完了後、順次個別にご連絡差し上げることを予定しております。

５. 二次被害又はそのおそれの有無及びその内容

現時点で、当社から流出したデータがインターネット上で公開されたなどの事実は確認されておらず、その不正利用などの二次被害も確認されておりません。もし、不審なメールを受け取られたなど、本件による被害が疑われる事例がございましたら、下記問い合わせ先までご連絡をいただきたくよろしくお願いいたします。

６. 当社生産活動への影響等

本件による当社生産活動への影響はございません。また、現時点において、流出が問題となるような業務上の秘密の流出も確認されておりません。

当社では、今回の事態を真摯に受け止め、委託先との協働体制の強化を含め、情報セキュリティの一層の強化及び再発防止に全力で取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-570】三井住友海上火災保険株式会社 業務委託先における不正アクセス被害に関する調査結果について 2024/12/25

 

ＭＳ＆ＡＤインシュアランス グループの三井住友海上火災保険株式会社（社長：舩曵 真一郎）は、２０２４年１０月７日に公表いたしました「業務委託先における不正アクセス被害に伴う情報漏えいのおそれについて」に関して、東京損保鑑定株式会社から調査完了の報告※１を受け、当社お客さま情報の漏えいのおそれがあることが判明しましたので、お知らせいたします。

お客さまおよび関係者の皆さまに、大変なご迷惑とご心配をお掛けすることになり、深くお詫び申し上げます。現時点でお客さま情報が不正使用された事実は確認されていません※２が、今後、新たな事実が判明した場合は、あらためてお知らせいたします。

東京損保鑑定社において、調査結果を踏まえた再発防止策が徹底されていることを確認していますが、当社においても、委託先を含めてより一層の管理体制の強化に努めるとともに、不正アクセス等の犯罪行為には厳正に対処してまいります。

※１：不正アクセスに関するご報告 その２（東京損保鑑定社 ２０２４年１２月２５日ニュースリリース）

※２：東京損保鑑定社が委託する調査会社を通じて、ダークウェブサイトの確認を行っていますが、１２月１８日時点で、流出した情報の掲載はないとの報告を受けています。

１．漏えいのおそれがあるお客さま情報

（１）対象のお客さま

東京損保鑑定社に損害調査業務等を委託した当社のお客さま（約１２万件）

（２）対象の保険種類

火災保険、自動車保険、賠償責任保険など

（３）漏えいのおそれがあるお客さま情報の項目

保険契約者および被保険者の氏名、住所、電話番号、証券番号、（損害賠償事故の場合）事故相手方の氏名、損害査定のために提出された書類※３など

※３：主に損害写真や修理見積など

リリース文（アーカイブ）

【セキュリティ事件簿#2024-559】日新火災海上保険株式会社 当社業務委託先におけるランサムウェア被害に伴う情報漏えい等の可能性について 2024/12/17

 

当社が損害査定業務等の一部業務を委託している東京損保鑑定株式会社(以下「東京損保鑑定」)のサーバにおいてランサムウェア被害が発生し、当社のお客さまや事故のお相手様の情報等の漏えい等の可能性があること（以下「本事態」）が東京損保鑑定からの報告により判明いたしました。

お客さまおよび関係者の皆様に大変なご心配、ご迷惑をおかけすることとなり深くお詫び申し上げます。

当社といたしましては、本事態を招いた事実を重く受け止め、当該委託業務におけるお客さま情報等の管理・取扱方法を改めて検証することで、再発防止に努めて参ります。

【ご参考】東京損保鑑定のニュースリリース

（10 月 7 日）不正アクセスに関するご報告（https://www.to-son.co.jp/news/25858）

１．経緯と発生原因

（１）経緯

本事態は、2024 年 10 月下旬に東京損保鑑定から当社に対し、情報漏えい等の可能性があることの連絡があり、その後の東京損保鑑定による調査結果が 2024 年 12 月 10 日に報告されたことにより発覚いたしました。

東京損保鑑定は、2024 年 8 月 29 日にサーバ内にあるファイルを見ることができなくなり、外部の専門家による調査を行った結果、ランサムウェア被害によりサーバの一部で保管しているファイルが暗号化され、情報漏えい等の可能性があることを確認いたしました。

これまでの東京損保鑑定における被害についての調査では、お客さまのデータが漏えい等した証跡等は確認されておりません。また、本件にかかわる個人情報等の不正利用の事実も確認されておりません。今後新たな事実が確認された場合は改めてご報告いたします。

なお、当社においては 2019 年 12 月以降、東京損保鑑定に損害査定業務を委託した実績はありません。

（２）発生原因

東京損保鑑定において、被害判明後、外部専門家の協力のもと調査を進めてきましたが、本日時点において、直接の発生原因は明らかとなっておりません。

２．漏えい等の可能性のある情報等（本日時点）

・699 件（個人情報 406 件、法人情報 293 件）

・情報漏えい等の可能性があるお客さま情報等は以下の通りであり、センシティブ情報および金融機関口座情報やクレジットカード番号等の情報は含まれておりません。

【含まれるお客さま情報等】

契約者の氏名、被保険者の氏名・住所・電話番号、証券番号、保険事故のお相手様（※）の氏名、その他当社が東京損保鑑定へ損害査定業務の委託時に提供する情報等

（※）保険事故のお相手様とは、賠償責任保険において被保険者に損害賠償請求を行われた方をいいます。

３．今後の対応

当社では、情報漏えい等の可能性がある当社のお客さまや事故のお相手様の情報等（※）について特定を進めており、特定できた方につきましては、速やかにご連絡いたします。なお、現時点で情報の不正利用は確認されておりません。

 （※）2007 年～2019 年に当社が東京損保鑑定へ損害査定業務を委託した事案が対象となります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-552】株式会社アイネット 弊社取引先のサーバーより弊社との取引データが外部に漏洩した件 2024/12/13

 

弊社は、2024 年 12 月 6 日付の弊社第 1 報（*）にてお伝えしましたように、2024 年 12 月 3 日付にて、ベル・データ株式会社様（以下「ベル・データ様」という）より、「弊社との取引情報がベル・データ様のサーバーから外部に漏洩したこと （以下「本件」という）を確認した」との通知を受け取りました。弊社は、これまで、ベル・データ様からの通知に基づき、把握した情報を関係するお客さまに逐次ご報告して参りました。 

（*）https://www.inet.co.jp/news/docs/20241206-01.pdf

本件につきまして、下記のとおりご報告いたしますとともに、弊社のお客さまを初めとします、関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

1. 本件による漏洩情報（2024 年 12 月 13 日午後 3 時現在）

主に、ベル・データ様からレンタルもしくはリースを受けてお客さまに提供をしたシステム機器に関する取引情報 216 件となります。

（１）お客さまに関する情報

弊社お客さまの社名 11 社

弊社お客さまの従業員に関する情報（お名前、メールアドレスなど）11 件

弊社お客さまの IP 情報 12 件

うち 5 件は既に使用していないもの、7 件はローカルアドレスであること、及び何れもお客さまへの影響は軽微であることを確認済。現在お客さまの意向に沿った形で対応中。

（２）弊社に関する情報

弊社の社名、弊社従業員に関する情報（名前、メールアドレスなど）157 件

（３）判明している影響

現時点では、弊社及び弊社のお客さまに、本件に起因するシステム障害や直接的な損害等は確認されておりません。

2. 今後につきまして

弊社は、ベル・データ様に対して、漏洩情報が今回受領分以外に存在しないのか、再度、徹底的に調査するよう、強く要請しております。

ベル・データ様のサーバーより内部情報の漏洩が発生した 2024 年 9 月 19 日から、2024 年 12 月3 日付けの通知を同日の夕刻に受領するまで、弊社との取引情報が外部に漏洩したかどうかについて、同社より一切の情報提供がございませんでした。弊社は、強い遺憾の意を表明し、同時に同社に対して抗議をして参りました。今後も、追加情報の提供を強く求めていきます。

3. 業績に与える影響について

現時点においては、当期連結業績に与える影響については軽微であると判断しております。今後、公表すべき事項が生じた場合には、速やかに開示いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-544】郡⼭市 「Out of KidZania in こおりやま 2024 事業」 における再委託先事業者のサーバーへの不正ア クセスについて 2024/12/9

 

「Out of KidZania in こおりやま 2024 事業」（※）において、運営業務を委託している株式会社東北博報堂福島支社（以下「東北博報堂」という。）の再委託先である、株式会社エクシードコネクト（以下「エクシードコネクト」という。）のサーバーがランサムウェアの被害を受けたことに伴い、エクシードコネクトがサーバー内を調査した結果、本事業に係る個人情報が保管されていたことが判明しました。 

１ 判明した経緯

11 月 28 日（木）エクシードコネクトが自社サーバーへの不正アクセスを覚知外部専門機関による調査によりランサムウェアの被害を確認

11 月 29 日（金）から随時エクシードコネクト及び外部専門機関による情報確認、方向性確認作業

12 月 ２日（月）エクシードコネクトから本事案について東北博報堂に報告

12 月 ３日（火）エクシードコネクトから本事案について個人情報保護委員会に報告

12 月 ４日（水）個人情報保護委員会から本事案についてエクシードコネクトに指導の連絡

12 月 ５日（木）東北博報堂から本事案について本市に報告 

２ サーバー内に保管されていた情報

「Out of KidZania in こおりやま 2024 事業」参加申込者の情報：1,513 件（参加申込者氏名、性別、学年、保護者氏名、住所、電話番号、メールアドレス）

 ※クレジットカード情報は含まれておりません。

３ 対応状況

エクシードコネクトにおいて、不正アクセスを確認後、対象サーバーのネットワークへの外部からの経路は速やかに遮断し、それ以降、外部からアクセスできないよう対策を講じたとのことであり、現在、外部の専門機関の協力を得て調査を進めているところです。

12 月９日（月）正午時点で、外部への情報流出の痕跡や情報が不正利用された事実は確認されておりません。

リストに掲載されている皆様には、本日 12 月９日（月）に、事案の報告及びお詫びの文書を発送しました。

４ 今後の対応

委託事業者から引き続き状況報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。改めて判明した事実は、市ウェブサイトなどでお知らせします。

なお、本業務のうち個人情報の管理業務につきましては、再委託先事業者を変更するなど管理体制を見直し、情報セキュリティの更なる安全性の確保を図っていきます。 

リリース文（アーカイブ）

【セキュリティ事件簿#2024-530】オリオンホテル那覇 お客様の個人データ漏えいの可能性に関するお詫びとお知らせ 2024/12/2

このたび、オリオンホテル 那覇で利用している宿泊施設の予約・販売管理システムであるTL-リンカーン（以下「本件システム」といいます。）が第三者による不正アクセスを受け、オンライン予約サイトから宿泊予約した一部のお客様のご予約情報が漏えいした疑いを検出したと本件システムの提供ベンダーである株式会社シーナッツ社（以下「委託先」といいます。）より報告がございましたのでお知らせいたします。 

お客様にはご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。 

＜概要及び原因＞ 

2024年8月20日、委託先より第三者が本件システムのログインID、パスワードを使用し、不正にログイン操作を行った疑いがある旨の連絡があり調査したところ、7月30日、31日にオンライン予約サイトから宿泊予約した一部のお客様のご予約情報が漏えいした可能性があることが確認されました。現時点で委託先へのサイバー攻撃やウイルス感染等の痕跡は発見されていないと報告を受けております。 

当社でもパソコンのウイルス感染調査を実施いたしましたが、サイバー攻撃やウイルス感染等の痕跡は発見されませんでした。なお、現時点で本件に関わる個人データの不正利用等の二次被害は確認されておりません。 

＜漏えい等が発生、又はそのおそれがある個人データの内容＞ 

対象者：2024年7月30日から 2024年9月30日までのご宿泊日に、オンライン予約サイトから当施設への予約、予約に対する変更、予約に対する取消をされたお客様

情報項目：予約者氏名、住所、電話番号、メールアドレス、宿泊者氏名、 宿泊に関わる情報（宿泊日、泊数、室タイプ、室料金、宿泊人数等）

※クレジットカード情報は含まれません。 

リリース文（アーカイブ）

【セキュリティ事件簿#2024-524】TEPCO ホームテック株式会社 当社協力工事会社のファイルサーバへの不正アクセスについて 2024/11/28

 

2024 年 11 月 9 日、当社の協力工事会社が自社で管理するファイルサーバが、第三者の不正アクセスによるサイバー攻撃を受け、同年 11 月 25 日に、当該ファイルサーバに当社から工事を依頼した 299 件の情報も管理されていることを確認いたしました。

攻撃を受けたファイルサーバは、速やかに外部からのアクセスを遮断し、現在、情報漏洩の有無・原因究明の調査を行っていると報告を受けております。

協力工事会社のファイルサーバで管理されていた情報には、クレジットカード情報や要配慮個人情報は含まれておらず、現在のところ、不正アクセスに伴う個人情報を悪用された等の報告はございません。

当社といたしましては、協力工事会社に対する不正アクセスを確認後、速やかに、当社システムに対し外部からの不審なアクセスがないことを確認し、必要なセキュリティ対策を講じるとともに、関係機関への報告を実施しております。

お客さまには、多大なご迷惑とご心配をお掛けすることになりましたことを深くお詫び申し上げます。

なお、当該データを悪用したと思われる不審な連絡や被害等がございましたら、下記カスタマーセンターまでご連絡いただきますよう、お願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-518】株式会社 JR 西日本ヴィアイン フィッシングサイトに誘導するメッセージ配信に関するお詫びと 不正アクセスによるお客様の個人情報流出の可能性に関するお知らせ 2024/11/25

 

この度、弊社（株式会社 JR 西日本ヴィアイン）が運営するヴィアインプライム日本橋人形町において利用している Booking.com 社（本社：アムステルダム（蘭））の宿泊予約情報管理システム（以下、管理システム）が不正アクセスを受け、悪意のある人物により一部のお客様に対してフィッシングサイト（※）へ誘導するメッセージが配信されたことが確認されました。

また、お客様の個人情報の一部が流出した可能性を否定できない事象が発生いたしました。詳細については調査中でございますが、お心当たりのあるお客様におかれましては、不正サイトへの誘導等に十分ご注意いただきますよう、お願い申し上げます。

お客様におかれましてはご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。

1．事象の経緯

2024 年 11 月 25 日、弊社ホテルスタッフがお客様からホテルを装った不審メッセージを受信したという連絡を受けて調査した結果、管理システムが悪意のある人物により不正アクセスを受けたことが判明いたしました。 これを受けて、弊社は直ちに管理システムへのログインパスワードの変更を行い不正アクセスの遮断対応を実施いたしましたが、Booking.com 社経由で宿泊を予約された一部のお客様に対して、管理システムのチャット機能を使用してフィッシングサイトへ誘導する URL リンクが付されたメッセージが配信されたことが確認されました。

また、管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性を否定できない状況です。

なお、弊社の運営する他ホテルでは同様の事象が発生していないことを確認しております。

２．不正アクセスの原因

原因については、ヴィアインプライム日本橋人形町に届いたフィッシングメールに誘導され、管理システムへの認証情報を窃取されたものと判断しております。詳細については、現在、弊社および関係機関において調査中です。

３．事象の内容

事象①

Booking.com 社の管理システム内のチャット機能を通じて、フィッシングサイトへ誘導する URLリンクが付されたメッセージが配信されました。

事象②

ヴィアインプライム日本橋人形町における、Booking.com 社経由の宿泊予約情報（宿泊日を 2023年 11 月 26 日から 2025 年 9 月 30 日とするもの）に含まれるお客様の個人情報（氏名・住所・電話番号等）が流出した可能性がありま

４．お客様への対応

上記事象①に該当するお客様へは、フィッシングサイトへの流入を防ぐため注意喚起の連絡を既に差し上げております。

お客様におかれましては、URL リンクが付されたメッセージの配信を受けた場合、貼付された URLリンクへのアクセスをされないよう、お願い申し上げます。

５．今後の対応と再発防止策

現在、関係機関と連携を取りつつ原因調査を進め、必要な対策を実施することにより再発防止に万全を期してまいります。

また、詳細が明らかになりましたら随時報告させていただきます。

この度は、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。

※「フィッシングサイト」とは、不正な手法を用いて個人情報や金融情報を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】株式会社東海信金ビジネス 「業務委託先への不正アクセスによる個人情報漏えい」 に関する調査結果と再発防止策等について 2024/11/15

2024 年 7 月 5 日に公表いたしました、業務委託先（以下「イセトー社」）への不正アクセスによる個人情報漏えい事案につきまして、お客様及び委託元信用金庫様に多大なるご迷惑とご心配をおかけしましたことを改めて深くお詫び申し上げます。

イセトー社が複数のセキュリティ専門会社に委託して行った調査等により明らかになった原因及び再発防止策、並びに今後の当社対応につきまして、下記のとおりご報告申し上げます。

当社としては、今般の事案の反省を踏まえ、改めて個人情報の取扱いにかかる社内教育を強化するとともに、今後の業務委託先管理になお一層の万全を期し、お客様や委託元信用金庫様の負託に応えてまいります。

１．本事案の概要（2024 年 7 月 5 日公表済）

2024 年 5 月 26 日に当社がダイレクトメールの印刷・発送を委託しているイセトー社のサーバーやパソコンがランサムウェアに感染し、同年 7 月 1 日には委託元信用金庫のお客様の個人情報が漏えいしたことが確認されました。

（１） 漏えいしたデータの種類

2023 年 9 月時点のダイレクトメール作成時に出力されるログデータ

（２） 含まれる個人情報

氏名

※なお、ダイレクトメール自体の内容の漏えいはありません。

（３）対象件数

69,403 件（委託元信用金庫が公表した名寄せ後件数合計） ※延べ 77,202 件

２．個人情報漏えいの原因と再発防止策の概要

（１） 

イセトー社では、受託業務にかかる個人情報については一般事務に使用するネットワークとは異なる閉域のネットワーク内のみで処理を行い、作業終了後に速やかに削除するルールとなっています。しかしながら、受託業務に付随する一部の事務処理が本来個人情報を取り扱ってはならないネットワーク上で行われ、かつ当該個人情報の一部が処理終了後も削除されないまま残存していました。この理由について、イセトー社では、受託業務に伴って付随的に発生するデータの処理がルール化されておらず、全社的な統制がとれていなかったためとしています。

直接的な原因はランサムウェア被害によるネットワークへの侵害ですが、上述のような個人情報の取扱いの結果、不正アクセスによって個人情報が窃取されることとなりました。

なお、7 月 5 日付で公表した内容以外の情報が漏えいした事実は確認されておらず、これまでお客様における二次被害も確認されておりません。

（２） 

上記原因を踏まえ、イセトー社では概要以下のとおり再発防止策に取り組んでい

るほか、特別調査委員会を設置して調査結果の検証等を進めています。

 

① ランサムウェア侵害に関する再発防止策

• いわゆる「ゼロトラスト」を前提とした体制への移行（VPN を使用しない体制とし、認証強化を図るとともに、不正アクセスが起こらない環境を構築）等

② データ保管に関しての再発防止策

• 預託データを一般事務に使用するネットワーク内に移送できない仕組みを構築し、今後は、閉域のネットワークのみでデータを処理（認証強化）

• 削除ルール、保管期限を明確に定め、個人情報の削除とチェックを徹底し、監査で確認

③ 社員の意識に関する再発防止策

• 個人情報を含む情報セキュリティに関する教育、業務プロセス変更に伴うルール遵守に関する教育を実施 

• 業務執行体制の変更ならびに行動規範に関する教育など、定期的な教育を継続

④ 内部統制を管轄する部門の創設

• 承認プロセスの明確化、事務フローの再構築、リスク評価基準の再設定などを行う内部統制部門を創設等

（３）

 当社では、イセトー社に対し引き続き再発防止策の実行計画に基づく着実な実施と品質保証を強く求めるとともに、個人情報の取扱いの適切性、ネットワークの安全性等を確認した上で同社から報告書を受理し、当面の業務委託を継続しています。 

なお、当社は報告書の受理に際し、イセトー社に以下の点を申し入れており、進捗の都度、報告を受けることとしています。

 

① 原因に関し、現在実施中の特別調査委員会の調査等によって今後新たな事実が判明した場合には、速やかに報告するとともにその概要を公表すること

 

② 再発防止策に関し、当面の間、その進捗状況を毎月報告すること

 

③ 品質保証に関し、再発防止策の有効性とネットワークの安全性が客観的に確認できるよう早急に外部専門家によるシステム監査を受検し、その結果を報告すること

 

④ 事業継続計画に関し、まとまり次第その概要を報告するとともに、引き続き財務情報を継続的に開示すること

（４） 

今後の業務委託について、当社としては、イセトー社が講じる再発防止策の有効性やネットワークの安全性、事業継続計画の妥当性等を検証するとともに、業務委託先の変更など他の選択肢を含め引き続き検討してまいります。

３．委託先管理にかかる今後の当社対応

（１） 

当社では、イセトー社を含めた個人情報を取り扱う業務委託先に対して、業務委託契約に基づき定期監査や必要に応じ実地調査等を行っていますが、今後これまで以上に臨時監査や実地調査を機動的に実施するとともに、業務委託先が実施する外部専門家によるシステム監査や各種認証等の状況を随時確認し、必要に応じて改善を求めるなど委託業務の安全性と品質の向上に努めてまいります。

 

（２）

また、上記業務委託先に対して、金融庁と日本銀行が金融機関のサイバーセキュリティ管理態勢の強化を促すために整備・公表しているサイバーセキュリティセルフアセスメント（CSSA)点検票に準じた再点検を要請するなど、委託先管理を強化することといたします。

 

（３） 

更に、業務委託先における事業継続に懸念がないかを定期的に確認するため、全ての業務委託先に対して財務情報の継続的開示を求めてまいります。

 

（４） 

現在の業務委託契約の内容については、現時点では概ね妥当なものと考えていますが、今後必要が生じた場合には速やかに見直しを行うなど、適切な委託先管理に努めてまいります。

リリース文（アーカイブ）

【2024年7月5日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-505】株式会社あさひ ネット通販サイト（ご自宅配送）における個人情報漏えいの可能性について 2024/9/18

 

日頃よりサイクルベースあさひネット通販サイトをご愛顧いただき、誠にありがとうございます。

2024年9月13日(金)に、弊社ネット通販サイトのご自宅配送に関わる倉庫管理システムを提供する株式会社関通（以下「関通」）から「ランサムウェアによるサイバー攻撃を受けた結果、個人情報漏えいの可能性がある」との報告を受けて以降、お客様には多大なご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。

以下のお知らせにてご案内をいたしておりました「対象のお客様」について、より詳細な限定ができましたため、ご案内申し上げます。対象のお客様には別途メールにてご連絡いたします。

新たに対象が判明したお客様にはご迷惑をおかけしておりますこと、またご案内が遅くなりましたこと深くお詫び申し上げます。

2024.09.18　ネット通販サイト（ご自宅配送）における個人情報漏えいの可能性について

＜対象のお客様＞

ネット通販サイト（公式オンラインストア、楽天市場店、Yahoo!店）でご自宅配送を指定してご注文をいただき、2024年6月26日(水)から9月26日（木）までに「ご注文商品　発送完了のお知らせ」 メールを受け取られたお客様。

※ご注文をキャンセルされた場合も含まれます。

※ネットで注文、お店で受取りサービスは対象外です。

なお、本事案につきまして、株式会社関通より2024年10月21日付で「現時点までにお客様の個人情報が漏えいした事実は確認されなかった」との最終報告を受けております。詳細については以下のお知らせにてご確認いただきますようお願いいたします。

2024.10.23　【更新】ネット通販サイト（ご自宅配送）における個人情報漏えいの可能性について

引き続き、弊社ではセキュリティ対策の強化に努め、お客様に安心してご利用いただける環境を整えてまいります。今後ともサイクルベースあさひを何卒よろしくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】静清信用金庫 個人情報漏洩に関するお詫びとお知らせ 2024/11/18

 

平素は格別のご高配を賜り厚くお礼申し上げます。

当金庫が業務委託している株式会社東海信金ビジネスの再委託先である株式会社イセトー（以下「イセトー社」）において、ランサムウェア感染により一部お客さま情報が漏えいした件につきまして、７月４日付で当金庫ホームページに公表いたしましたが、その後の調査により詳細が明らかになりましたので、調査結果と再発防止策についてお知らせいたします。

なお、７月４日付で公表した内容以外の情報が漏えいした事実は確認されておらず、これまでお客さまにおける二次被害も確認されておりません。

お客さまに多大なご迷惑とご心配をおかけいたしましたこと、改めて深くお詫び申し上げます。 

1．事案の概要（令和６年７月４日公表済）

令和６年５月２６日にダイレクトメールの印刷・発送を委託しているイセトー社のサーバーやパソコンがランサムウェアに感染し、同年７月１日に当信用金庫の一部のお客さまの個人情報が漏えいしたことが確認されました。

（１） 漏えいしたデータの種類

ダイレクトメール作成時に出力されるログデータ

（２） 含まれる個人情報

氏名

※なお、ダイレクトメール自体の内容の漏えいはありません。

（３） 対象顧客件数

2,702 件

※詳細調査の結果、７月４日付で公表した件数（2,713 件）から 11 件少なくなっております。

2．調査結果と再発防止策

業務委託先である東海信金ビジネスのホームページ内に掲載されております。

大変お手数をおかけしますが、以下のリンクよりご確認ください。

【東海信金ビジネス HP】https://shinkin-tokai.co.jp/news20241115.pdf 

リリース文（アーカイブ）

【2024年7月4日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-430】リコージャパン株式会社 業務委託先に対する不正アクセスによるお客様情報の流出のおそれについて

 

リコージャパン株式会社は、9月24日にお知らせいたしました「業務委託先に対する不正アクセスによるお客様情報の流出のおそれについて」につきまして、このたび、業務委託先である株式会社倉業サービス（以降、倉業サービス）より、調査結果として、「お客様情報が流出したおそれは否定できないものの、現時点では具体的な情報流出の事実は確認できていない」との報告を受けましたので、お知らせいたします。このたびは、お客様には多大なるご心配、ご迷惑をおかけし、深くお詫び申し上げます。

お客様情報流出のおそれについての概要 （これまでの経緯）

9月12日(木)にシステム障害が発生し、原因を調査した結果、外部からの不正アクセスを受け、お客様情報が流出したおそれがあると、同19日(木)に、倉業サービスから中間委託業者に報告があり、当社は同20日(金)に情報を入手しました。

お客様情報流出の有無については、倉業サービスによる調査結果にて詳細が分かり次第、お知らせさせていただくこととしておりました。

調査結果（詳細）について

倉業サービスからの報告によると、外部のセキュリティ専門家によるフォレンジック調査を依頼し、当該不正アクセスはサーバーにおいて使用しているソフトウェアにあった脆弱性を悪用して行われ、この不正アクセスを契機としてランサムウェア攻撃されたことが判明しました。

お客様情報に関しては、流出したおそれは否定できないものの、現時点では具体的な情報流出の事実は確認できておりません。

サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて（最終報告）(倉業サービス)

今後の対応について

倉業サービスにはセキュリティ管理体制の強化を依頼しておりますが、本件に限らずサプライチェーンにおける協力会社との連携を一層強化し、再発防止に取り組んでまいります。

また、本事案の対象となるお客様につきましては、別途、本内容について順次ご案内をさせていただきます。

このたびは、お客様には多大なるご心配、ご迷惑をおかけしていることを深くお詫びするとともに、発生した事案を真摯に受け止め、お客様に安心してご利用いただけるようサービス向上に努めて参ります。

リリース文（アーカイブ）

【2024年9月24日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-482】大分市 市営住宅の指定管理者におけるランサムウェア被害について 2024/10/31

本市市営住宅の指定管理者である(株)別大興産のサーバおよびその周辺機器（以下サーバ等といいます）において第三者によるランサムウェア攻撃の被害が確認され、(株)別大興産が保有する個人情報を含むデータが複製され外部へ持ち出された可能性があることが判明しました。(株)別大興産から、そのデータのなかに本市市営住宅の入居者等の情報が含まれるとの報告を受けました。

漏えいのおそれがある方

(株)別大興産が管理運営を行っている市営住宅等の入居者(連帯保証人含む)、退去者（親族含む）、申込者(代理人含む)

経緯

令和6年10月24日	(株)別大興産のサーバ等において第三者によるランサムウェア攻撃の被害が確認されました。
令和6年10月25日	(株)別大興産から情報漏えいのおそれのある個人情報に、(株)別大興産が管理運営する本市市営住宅の入居者・退去者等の情報が含まれるとの報告をうけました。
同日	個人情報保護委員会へ本事案の報告を行いました。
令和6年10月29日	総務省へ本事案の報告を行いました。

本市の対応

入居者はじめ関係者の皆さまには、ご心配とご迷惑をおかけしております。

10月30日現在、(株)別大興産より本市市営住宅の入居者・退去者等について、二次被害の報告は受けておりません。

(株)別大興産に対し、本事案について詳細な調査および報告を求めております。詳細が判明しましたら改めてお知らせいたします。

情報漏えいのおそれのある方々には順次、市からお知らせの文書を送付いたします。

本事案について、大分市や(株)別大興産から電話やメールで個別に連絡することはありません。詐欺等に十分ご注意ください。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-480】竹田市 市営住宅におけるランサムウェア攻撃による情報漏えいに関するお知らせ 2024/10/30

 

概要

10月24日、竹田市が住宅管理を委託している株式会社別大興産のサーバが、外部からサイバー攻撃を受け、コンピューターウイルス「ランサムウェア」に感染し、株式会社別大興産が保有する個人情報が漏えいした恐れがあります。（現在調査中）

対象住宅

アルバ代官町

アルバ桜町

竹田市では、株式会社別大興産に対してこの事案について、詳細な報告を求めております。詳細が判明しましたら、改めてお知らせいたします。

今後、情報漏えいの対象となった方々には、順次竹田市からお知らせの文書を送付いたします。本事案について、竹田市や別大興産から電話やメールで個別に連絡することはありませんので、詐欺等に十分ご注意ください。本事案の詳細については、別大興産ホームページをご確認ください。

リリース文（アーカイブ）