ラベル インシデント:2次被害 の投稿を表示しています。 すべての投稿を表示
ラベル インシデント:2次被害 の投稿を表示しています。 すべての投稿を表示

【セキュリティ事件簿#2025-112】公益社団法人静岡県看護協会 サーバへの不正アクセスによる個人情報漏えいのおそれについてご報告とお詫び 2025/3/2

 

平素より公益社団法人静岡県看護協会(以下、「当協会」といいます。)のサービスをご利用いただき、誠にありがとうございます。

この度、当協会(https://www.shizuoka-na.jp/)のウェブサーバに対して、2024年12月4日に何者かによる不正アクセス攻撃を受けたことにより、お客様情報の一部が外部へ流出したおそれがあるとの報告をサーバ運営委託会社より受けましたので、お知らせいたします。

なお、専門調査会社による調査の結果、サーバへの不正アクセスによりデータが閲覧、流出した明確な痕跡は見つかっておらず、攻撃を受けたサーバは不正アクセス対策の強化と安全性の確認を行い、現在は安全な状態が確保されております。

本件では、専門調査会社による詳細な調査に時間を要してしまいご報告にお時間を要してしまったこと、お客様をはじめ関係各位の皆様に多大なるご迷惑とご心配をおかけしてしまったことを深くお詫び申し上げます。

今後このような事態が発生しないよう、サーバ運営委託会社と協議し、セキュリティ対策の強化に取り組み再発防止に努めて参ります。

1. 流出したおそれのある個人情報

(1) 2011年4月1日~2024年12月4日の間に、「研修お申込フォーム」ページから送信して下さった申込者情報:氏名、住所、電話番号、メールアドレス

(2) 2011年4月1日~2024年12月4日の間に、「研修お申込フォーム」ページから送信して下さった研修受講者情報:氏名

2.二次被害又はそのおそれの有無及びその内容

 現時点で不正利用等の事象は確認されておりませんが、漏えいしたおそれのあるメールアドレス宛に、第三者が不審なメールを送信する可能性があります。不審なメールが届いた際はメール本文のリンクを開いたり、求めに応じてパスワード等を入力したりしないようご注意ください。万が一、不審な連絡や行為を確認された場合は、下記窓口までご一報ください。

3.お問い合わせ先

本件に関する詳細な内容やご不明な点のお問い合わせは、下記サーバ運営委託会社までお願いいたします。

株式会社静岡情報処理センター

リリース文アーカイブ

【セキュリティ事件簿#2025-100】神戸ベイシェラトンホテル&タワーズ 宿泊施設の予約・販売管理システムへの不正アクセスによる お客様の個人情報漏洩についてのお詫びとお知らせ 2025/3/17

 

この度、当ホテルにおいて利用している宿泊施設の予約・販売管理システムにおいて、当施設のログイン ID及びパスワードを使い第三者が不正にログイン操作を行い、Booking.com を利用して当ホテルへご予約をいただいた一部のお客様のご予約情報に対して不正アクセスを行った疑いを検出したと本件システムの提供ベンダー(以下「委託先」といいます。)より、昨年 8 月 20 日に報告がございましたのでお知らせいたします。直ちに、個人情報保護員会には報告しましたが、流出した情報の個人名の特定に時間を要したことから(最終的に個人名は特定できませんでした)、この度ホームページにて公表することとなりました。

お客様には、公表が遅れましたこと並びにご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。

<経緯等>

委託先の調査により、本件システムにおいて、当社が委託先へ預けている個人データに対して不正アクセスがあり、一部の個人データが CSV 出力されたことが確認されました。(個人データに対して不正アクセスが確認されました。)

第三社が不正にアクセスし情報を窃取しようとしたものと推察されます。なお、委託先の調査の結果、現時点で委託先へのサイバー攻撃やウイルス感染等の痕跡は発見されていないと報告を受けております。

<委託先の調査結果における不正アクセスの内容>

対象日:2024 年 6 月 18 日から 2024 年 7 月 18 日までのご宿泊日

対象者:2024 年 6 月 19 日以前に当施設への予約、予約に対する変更、予約に対する取消をされたお客様

情報種類:予約者氏名、宿泊者氏名、電話番号、e-mail、年齢、性別、宿泊に関わる情報等

※漏えいした可能性のある個人情報にクレジットカード情報は含まれません。

<対応>

管理システムを運営している会社と連携してアクセス IP の制限を実施する等、不正アクセス防止のための対応をいたしました。その後、不正アクセスは確認されておりません。

<お客さまへのお願い>

お心当たりのない SMS、メール、差出人表示の偽装等には、十分ご注意いただきますようお願い申し上げます。気がかりのことがございましたら、ご遠慮なく当社お客様相談室にご連絡ください。

リリース文アーカイブ

【セキュリティ事件簿#2025-093】静岡市生涯学習センター サーバへの不正アクセスによる個人情報流出の可能性についてお詫びとお知らせ 2025/3/4


平素より、静岡市生涯学習センターのサービスをご利用いただき誠にありがとうございます。

この度、当法人がウェブサイト管理を委託している株式会社静岡情報処理センター(以下「SIC」といいます。)より、ウェブサーバに対して不正アクセス攻撃を受け、お客様情報の一部が外部へ流出したおそれがあるとの報告を受けました。専門調査会社による調査の結果、個人情報が流出した明確な痕跡は確認されませんでしたが、個人情報の保護に関する法律の定めに基づき、対象の方々にお知らせさせていただくものです。

1. 事案の概要 

2024年12月4日に、SICが契約しているサーバ管理会社のサーバが、何者かによる不正アクセス攻撃を

受けたことにより、2. に示す個人情報が流出および閲覧された可能性のあることが判明いたしました。

不正アクセス覚知後、速やかに外部経路からの接続遮断を実施し、接続遮断後の不正アクセスは確認されておりません。また、専門調査会社による調査の結果、個人情報が流出した明確な痕跡は確認されておりません。

2. 流出の可能性がある個人情報

①2024年12月4日までに、生涯学習センターウェブサイト「講座のお申し込みフォーム」ページから送信して下さった申込者の氏名、住所、電話番号、メールアドレス

②2024年12月4日までに、生涯学習センターウェブサイト「講座のお申し込みフォーム」ページから送信して下さった同伴者の氏名

③生涯学習センターのメールマガジンに登録して下さっている方のメールアドレス

3.二次被害又はそのおそれの有無及びその内容

現時点で個人情報が流出した痕跡、不正利用等の事象は確認されておりませんが、不審な連絡等には十分ご注意くださいますようお願い申し上げます。万が一、不審な連絡や行為を確認された場合は、下記窓口までご一報くださいますようお願い申し上げます。

4.今後の対応

当法人は、専門機関の調査結果を受け、同様の不正アクセスがなされぬよう、SICと協議のうえセキュリティ対策の強化に取り組み、再発防止に努めて参ります。 

当法人ならびにSICは、このような事態が発生したことを大変重く受け止めており、

お客様に多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2025-072】AIG損害保険株式会社 当社業務委託先における不正アクセス被害に伴う情報漏えいのおそれについて 2025/2/17

 当社が損害調査業務等の一部を委託している東京損保鑑定株式会社(以下、東京損保鑑定社)のサーバにおいて、第三者の不正アクセスによるランサムウェア被害が発生し、当社のお客さま(事故のお相手さまを含む、以下同様)の個人データが漏えいしたおそれがあることが、東京損保鑑定社からの報告により判明いたしました。報告を受け当社で調査した結果、1994年7月から2017年10月にかけて当社が東京損保鑑定社に依頼した事案155件に関するお客さまの個人データが漏えいしたおそれがあることを確認しました。

個人データの漏えいのおそれがあることが確認されたお客さまには、当社より順次、個別にご通知いたします。ご住所やご連絡先の特定が困難なお客さまにつきましては、本公表をもって通知に代えさせていただきます。なお、ご自身の個人データへの影響をご懸念され、詳細の確認を希望されるお客さまは、末尾記載の窓口にご連絡ください。

お客さまおよび関係者の皆さまに、大変なご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

1.不正アクセス被害の概要

当社は2024年12月10日に東京損保鑑定社から以下の報告を受けております。

2024年8月29日、東京損保鑑定社において、サーバ内のファイルを見ることができなくなり、調査を行った結果、サーバの一部で保管しているファイルが暗号化され、不正アクセスならびに情報漏えいのおそれがあることを確認した。

その後外部の専門家と連携し、全容把握のための調査を実施するなかで、当社のお客さま情報についても漏えいのおそれがあることが確認された。

この報告を受け、当社は、情報漏えいのおそれがある当社のお客さまや事故のお相手さまの情報等の特定に向けて調査を進めております。

2.情報漏えいのおそれがあるお客さま等の情報

対象のお客さま

1994年7月から2017年10月までの間に東京損保鑑定社に損害査定業務等を委託し、鑑定料をお支払した事案(155件)にかかる、当社のお客さま

対象の保険種類

火災保険、自動車保険、その他賠償責任保険等

漏えいのおそれがあるお客さま情報の項目

保険契約者および被保険者の氏名、住所、電話番号、証券番号、(損害賠償事故の場合)事故相手方および物件管理者の氏名・住所・電話番号、損害調査のために提出された書類※など

※損害写真や修理見積などです

3.原因

東京損保鑑定社の12月25日付のウェブサイト上の記載をご参照ください。(https://www.to-son.co.jp/news/27875)

4.二次被害またはそのおそれの有無およびその内容

東京損保鑑定社は、同社が委託する調査会社を通じて、ダークウェブサイトの確認を行っていますが、本日時点で、当該サイトには流出した情報の掲載はないとのことです。また、本日時点で、第三者による情報の不正利用の事実は、東京損保鑑定社、当社いずれにおいても確認されておりません。

5.その他

本件に関しては、東京損保鑑定社のウェブサイト上における2024年10月7日および2024年12月25日付の公表内容をあわせてご参照ください。

(2024年10月7日 https://www.to-son.co.jp/news/25858)

(2024年12月25日 https://www.to-son.co.jp/news/27875)

リリース文アーカイブ

【セキュリティ事件簿#2025-071】株式会社レアル Booking.com 管理システムへの不正アクセスによる情報流出の可能性とフィッシングサイトに関するご案内 2025/2/14

 

弊社が利用しているBooking.com社提供の宿泊予約情報管理システム(以下、管理システム)において、不正アクセスが発生したことが確認されました。その結果、一部のお客様へフィッシングサイトへ誘導するメッセージが送信された可能性がございます。

本件について、お客様にご不安をおかけしておりますことを受け、以下のとおりご案内申し上げます。

1.事象の経緯

2024年12月27日22時頃~2024年12月29日13時頃、Booking.com社を通じて弊社宿泊施設を予約された一部のお客様に対し、弊社の管理下にあるBooking.comサイト内に不正なアクセスがあり、フィッシングサイト等へ誘導するメッセージが配信された可能性があることを確認いたしました。

また、管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性や、一部の情報が流出した可能性がございます。詳細については現在調査中ですが、お客様におかれましては、フィッシングサイトへのアクセスや、不審なメッセージへのご対応には十分ご注意いただきますようお願いいたします。

2.事象の内容

(1)対象のお客様

日本時間2024年12月29日13時までにBooking.com社経由で弊社宿泊施設へ予約を行ったお客様

(2)漏えいした可能性があるお客様の個人情報

氏名

電話番号

メールアドレス

国籍

住所

※クレジットカード情報、金融機関口座情報などの決済関連情報は含まれておりません。

3.弊社の対応

弊社では、以下の対応を実施しております。

不正メッセージが送信された可能性のあるお客様への注意喚起

弊社全施設におけるID・ログインパスワードの変更およびパソコンのセキュリティチェックの実施

Booking.com社に対し、原因調査および対応についての確認依頼

なお、Booking.com社より、同社の重要なバックエンドシステムやインフラへの侵害は確認されていないとの報告を受けております。

4.お客様へのお願い

万が一、心当たりのないメッセージを受信された場合は、添付されたURL等へのアクセスを行わず、削除していただきますようお願いいたします。

また、不審なメッセージを受け取られた際は、Booking.com社または弊社窓口までお問い合わせください。

5.今後の対応と再発防止策

弊社では、今回の事象を踏まえ、さらなるセキュリティツールの導入によりセキュリティ強化、従業員向けのセキュリティ研修の強化等、再発防止の対策の強化を行ってまいります。

今後の対応については、適宜、公式ウェブサイト等でお知らせいたします。

リリース文アーカイブ

【セキュリティ事件簿#2025-069】株式会社アイリッジ 不正アクセスの発生について 2025/2/14

 

この度、当社の業務委託先にて使用していた端末がマルウェア感染したことに起因して、当社システムへの不正アクセスが発生し、ソースコード管理サービスに含まれる一部の情報が不正に取得されたことが判明いたしました。

当該管理サービスでは、当社の顧客企業が配信等を行うアプリの利用者に関する個人情報は管理していないため、これらの情報の漏えいはありません。また、関係するお取引先様には既に個別に連絡を行った上で、関係する皆様に不利益が生じないように必要な対策を講じております。本件不正アクセス発生後、外部の専門事業者と連携の上、速やかに影響範囲の調査、認証方式や外部からのアクセス制限の強化等の必要な対策を講じており、システムの改竄等を含む二次被害は確認されておりません。今後公表等をすべき新しい事実が発見された場合には、速やかに対応いたします。

お取引先様をはじめ、関係する皆様にはご心配をお掛けすることとなり、深くお詫び申し上げます。

皆様に今後も引き続き安心してご利用いただけるサービスを提供するために、業務委託先を含め、再発防止に向けた情報管理のフローやセキュリティ体制の整備及び強化に努め、より一層のセキュリティ対策を講じてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2025-060】マネックス証券株式会社 銘柄スカウターに関する委託先データベースへの不正アクセスについて 2025/2/20

 

いつもマネックス証券をご利用いただき、ありがとうございます。

「銘柄スカウター」に関するデータへの不正アクセスについて、開発会社より連絡を受け、その後の調査により判明した内容を以下のとおりご説明申し上げます。

なお、対象のデータにお客様を特定することが可能なデータは含まれておらず、お客様を特定する情報が外部に漏洩している事実は確認されておりません。

■事案の概要

「マネックス銘柄スカウター」、「銘柄スカウター米国株」、「銘柄スカウター中国株」の開発・管理を行う株式会社アイフィスジャパン(以下、「アイフィス社」)において、第三者(以下、「不正アクセス者」といいます。)が以下のデータ(以下、総称して「対象データ」といいます。)を保管するデータベースへ不正にアクセスを試みた事象が2024年12月16日に発生しました。

(対象データ)

・ユーザーアクセスID

・お気に入り設定(銘柄コード)

・過去閲覧履歴(銘柄コード)

・比較対象(銘柄コード)

・10年スクリーニングの設定条件

■対象データへのアクセスによる影響について

・「ユーザーアクセスID」は、お客様の識別のために当社内で口座ごとに付与している内部管理用のコードであり、口座番号やログインID等とは異なるものです。「ユーザーアクセスID」単体でお客様を特定することはできません。また、当社の提供するサービスにおいてログイン等に利用できない情報のため、不正ログイン等の被害はございません。

・その他「お気に入り設定」等の銘柄コードや「10年スクリーニング」の設定条件についても、それらを用いてお客様を特定することはできません。

■経緯及び詳細

12月18日に本件が発覚した時点では対象データへの不正アクセスがあったかどうかが不明だったため、2月13日にかけてアイフィス社において外部の専門機関によるものを含め調査・検証を実施しました。

本件は、不正アクセス者が認証情報を格納していたサーバーに対して不正にアクセスし、認証情報を窃取したうえ、これを用いて対象データを保管するデータベースへの接続を試みたものであることが判明しております。

接続を試みたことまでは確認できておりますが、対象データの参照に関する記録は残っておりません。また、対象データの不正利用や改ざん等は確認されておりません。対象データの外部流出があったことを示す証跡は無いものの、外部流出の可能性を否定できないため、お客様へご説明申し上げるものです。

■お客様への影響

・仮に不正アクセス者がお客様によって登録された12月16日時点の対象データを参照した場合でも、対象データから個人を識別・特定することは事実上不可能です。

・不正アクセス者が窃取した情報を用いてアイフィス社及び当社の他サービスへの侵害または不正アクセスを行うことはできず、本件に起因して二次被害が発生することは想定されません。

■対応措置

アイフィス社において、想定しうる他のアクセス履歴等を確認し、当該不正アクセス者以外の者による不正アクセス、及び当該不正アクセス者の他の不正アクセスがともに発生していないことを確認しています。

また、窃取された認証情報の無効化、不正アクセス者のIPアドレスからのアクセス遮断、流出が発生したシステム環境の外部からのアクセス制限、及び不正アクセス検知のための監視強化を実施済みです。

加えて、外部からの攻撃検知のさらなる改善、運用するシステム環境における認証の強化、及び外部の専門機関の継続的なセキュリティチェックについても対応を進めております。

弊社では本事案を厳粛に受け止め、委託先の管理態勢を強化し、引き続き再発防止に努めてまいります。

【セキュリティ事件簿#2025-056】共栄火災海上保険株式会社 当社業務委託先鑑定会社における不正アクセスに伴う情報漏えいのおそれについて 2025/2/7

 




当社が損害調査業務等の一部業務を委託している東京損保鑑定株式会社(以下、 「東京損保鑑定] )において、第三者の不正アクセスに伴うランサムウェア被害が発生し、当社のお客様や事故のお相手様の情報等の漏えいの可能性があることが東京損保鑑定からの報告により判明いたしました。

現時点でお客様の情報が不正使用された事実は確認されていませんが、 お客様にはご迷惑、ならびにご心配をおかけし、心より深くお詫び申し上げます。

東京損保鑑定に対して調査結是を踏まえた再発防止策の徹底を求めるとともに、当社においても、本件を厳東に受けとめ、 委託先を含め、お客様等の情報等の管理をより一層強化してまいります。

1. 経緯と調査結果

10 月 18 日に、 東京損保鑑定から当社に対し、 情報濡えいのおそれが認められるとの報告があり、その後、12 月 11 日に、 外部機関に委託したフォレンジック調査結果が報告され判明しました。

概要は、以下のとおりです。

・2024 年 8 月 29 日にサーバ内にあるファイルを見ることができなくなり、外部の専門家による調査を行った結果、ランサムウェア被害によりサーバの一部で保管しているファイルが暗号化され、情報漏えいのおそれがあることを確認しました。

・東京損保鑑定からの調査結果では、 お客様のデータが漏えいした証跡等は確認されておりません。

・東京損保鑑定が委託する調査会社を通じてダークウェブサイトの確認を行っていますが、現時点で流出した情報の掲載は無く、情報の第三者による不正利用の事実も確認されていません。

2. 漏えいしたおそれがある情報 (本日時点)

【件数】224 件

【漏えいした可能性のある情報】

契約者名、被保険者名、保険対象の所在地、証券番号等、当社が東京損保鑑定に損害調査依頼時に提供するものや鑑定内容

※お客様のセンシティブ情報、クレジットカードや金融機関口座等の情報は含まれておりません。

3. 今後の対応

情報漏えいのおそれが生じたお客様の情報等について特定を進めており、特定できたお客様につきましては、順次ご案内いたします。なお、現時点で情報等の不正利用は確認されておりません。

リリース文アーカイブ

【セキュリティ事件簿#2025-053】株式会社ファーマインド 当社委託先へのサイバー攻撃に関する調査結果のご報告 2025/2/5

 

平素より当社とお取引いただき、ありがとうございます。

2024年9月13日(金)に当社がお取引先企業様との取引管理に利用しているシステムを提供する株式会社関通(以下、「関通」)より、同社が運用するサーバーに対し、ランサムウェアによるサイバー攻撃を受けたとの報告を受け、個人情報漏洩の可能性があることが判明いたしました。 これを受けて、当社は直ちに状況の確認および被害の最小化に向けた対応を完了し、関通と連携して再発防止策を実施いたしました。

・公表が遅れた理由について

お取引先企業様には早急に情報をお伝えすべきところではございましたが、不確定な情報を発表することで混乱を招くことを避けるため、調査会社による確認が完了し、具体的な事実が明らかになった段階でのご報告となりました。ご報告が遅れましたこと、深くお詫び申し上げます。 第三者調査機関による調査が完了し、二次被害等が発生していないことも確認できており、「現時点までに個人情報が漏洩した事実は確認されなかった」との最終報告を受け、本日の発表に至っております。

・漏洩又はそのおそれがある個人情報

当社と売買契約等に基づき商品をお届けさせていただいているお取引先企業様のご担当者様氏名、勤務先、勤務先の電話番号、勤務先の電子メールアドレスとなります。

・今後の対応について

お取引先企業様にご迷惑とご心配をおかけしましたことを重く受け止め、関通と協力して再発防止に全力を尽くして参ります。 また、お取引先企業様の安全を最優先に考え、さらなる情報管理体制の強化に取り組んで参ります。 改めまして、今回の件により多大なご心配とご迷惑をおかけしましたことを心よりお詫び申し上げます。今後ともご愛顧いただけますよう、何卒お願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2025-034】株式会社プレジデントハタカ フィッシングサイトに誘導するメッセージの配信についてのお詫びとお知らせ 2025/1/24


この度、弊社(株式会社プレジデントハタカ)が運営するHOTEL LA FORESTAにおいて、Booking.com社(本社:アムステルダム(蘭))の宿泊予約管理システムが不正アクセスを受け、悪意のある人物により一部のお客様に対してフィッシングサイトへ誘導するメッセージが配信されたことが確認されました。

Booking.com、及びHOTEL LA FORESTAではご予約いただいたお客様へのメールやチャットを用いて、クレジットカード情報を求めたり、お支払いを要求したりすることは行っておりませんので、ご注意いただければ幸いです。

尚、弊社の系列ホテル【プレジデントホテル博多・ホテルサードプレイス】では同様の事象が発生していないことを確認しております。

弊社の対応としては Booking.com への状況及び調査の速やかな結果報告を依頼して詳細について調査中でございますが、Booking.com からは重要となるバックエンドシステムやインフラへの侵害はない旨の報告を受けております。

お客様にはご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。

「フィッシングサイト」とは、不正な手法を用いて個人情報や金融情報を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。


お客様へのお願い

お客様におかれましては、疑わしいメッセージの配信を受けた場合、貼付されたURLリンクへのアクセスをされないよう、お願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2025-018】たつの市 業務委託先における個人情報の漏えいのおそれについて 2025/1/20

 

このたび、本市の法定外公共物・道路占用管理システムの保守管理業務委託先であるキタイ設計株式会社(以下同社という)から、同社の管理するデータに対して第三者による不正アクセスがあり、当該データのうち住所、氏名、電話番号が外部送信された可能性が否定できないとの報告がありました。

なお、対象者には別途、書面にてお知らせします。

現時点で、個人情報の流出は確認されていません。

同社からの報告は以下のとおりです。

外部機関の調査においても漏えいの事実は確認できない。

現在までに被害の報告はない。

ご心配をおかけいたしておりますことを深くお詫び申し上げます。引き続き情報収集に努め、新たな動きがありましたら情報発信してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-589】シャトレーゼホテル長野における 「Booking.com」管理システムへの不正アクセスによる個人情報漏洩と フィッシングサイトに誘導するメッセージの配信についてのお詫びとお知らせ 2024/12/31

 

このたび、シャトレーゼホテル長野において利用しているBooking.com社の宿泊予約情報管理システム(以下、管理システム)に対して、悪意のある第三者による不正アクセスが発生し、同社システムを経由して当ホテルを予約された一部のお客様にフィッシングサイトに誘導するメッセージが配信されたことが確認されました。また、この不正アクセスにより、同社システムに登録されているお客様の個人情報が閲覧できる状態であった可能性があることが確認されました。

■ 経緯及び概要

日本時間2024年12月27日夜、お客様よりメッセージ「予約しているBooking.comから、不審なメッセージが届いているので確認してほしい」というメールとお電話がありました。

その後、当社情報責任者において 「Booking.com社」のシステムを確認したところ、同日23:50前後に「Booking.com経由」の一部のご予約者宛てに、当ホテルを装ったフィッシング詐欺サイトへの誘導と思われるメッセージが配信されていることを確認いたしました。

閲覧された可能性があるお客様の個人情報は以下の通りです。

氏名

住所

電話番号

国籍

宿泊日

メールアドレス

■お客さまへのお願い

・12月30日現在、「Booking.com経由」以外でご予約を頂いたお客様の個人情報の漏洩事実はございません。あくまで 今回の事例は「Booking.com経由」して予約したお客様のみ漏洩の事実が判明しております。

・シャトレーゼホテル長野及び系列施設では、メールをお客様へ送付し、クレジットカード情報の提供依頼をすることはございませんので、万が一そのようなメールを受信された際は、入力等は絶対に行わず、下記ホテルまでご一報頂けますようご協力を宜しくお願い申し上げます。

※悪意を持った第三者が不正に配信されたメッセージからフィッシングサイトにアクセスした場合、クレジットカード情報を抜き取られ不正に使用されるおそれがあります。

・本事案はシャトレーゼホテル長野を「Booking.com社」経由でご予約を頂いたお客様に限定されております。

長野以外の、 系列シャトレーゼホテル、系列施設においては同様の事例は無いことを確認しております。

■今後の対応

本件を受け、捜査機関へ協力要請を開始しており、Booking.com社とも連携をとりつつ、再発・2次被害防止に万全を期してまいります。

このたびは、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-584】ロイヤルツインホテル京都八条口 不正アクセスによるフィッシングサイトへ誘導するメッセージの配信についてのお詫びとお知らせ 2024/12/28

 

この度、ロイヤルツインホテル京都八条口において利用しているBooking.com社提供の予約情報管理システム(以下、管理システム)が不正アクセスを受け、Booking.com社を通して当ホテルに予約された一部のお客様に対し、フィッシングサイトへ誘導するメッセージが配信されたことを確認いたしました。

現在、関係機関と連携し個人情報漏えいの有無を含め調査を行っておりますが、お客様にはご迷惑およびご心配をおかけしておりますこと、深くお詫び申し上げます。

弊社はご予約いただいたお客様へメールや宿泊予約サイト上のチャット等を用いて、クレジットカード情報を求めたり、お支払いを催促したりすることは行っておりません。

お客様におかれましては、Booking.comを装って送られた疑わしいメッセージについては、添付されているファイルやリンクにアクセスをなさらないよう、お願い申し上げます。

1. 事象の経緯

 2024年12月25日0:40頃から、Booking.com社経由で宿泊を予約されたお客様に対して、弊社で管理しているBooking.com社の管理システムを使用してフィッシングサイトへ誘導するURLリンクが貼付されたメッセージが配信されていることを確認いたしました。これを受け、当社は直ちに管理システムのログインパスワードの変更を行うとともに、該当のメッセージが配信されたお客様に対して、当該URLリンクへアクセスをしないようにメッセージを配信しております。

2. 今後の対応と再発防止策

 関係機関と連携を取りつつ原因調査を進め、必要な対応、対策を実施することにより、再発防止に万全を期して参ります。

この度は、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-583】北こぶし知床 ホテル&リゾート 宿泊施設の予約・販売管理システムへの不正アクセスの可能性についてのお詫びとお知らせ 2024/12/26

 

北こぶし知床 ホテル&リゾートで利用している宿泊施設の予約・販売管理システムにおいて当施設のログインID 及びパスワードを第三者が不正にログイン操作を行い、オンライン予約サイトから宿泊予約した一部のお客様のご予約情報に対して不正アクセスを行った疑いを検出したと本件システムの提供ベンダー(以下「委託先」といいます。)より報告がございましたのでお知らせいたします。

お客様にはご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

<経緯等>

委託先の調査により、本件システムにおいて、当社が委託先へ預けている個人データに対して不正アクセスがあり、一部の個人データがCSV 出力されたことが確認されました。(個人データに対して不正アクセスが確認されました。)

第三社が不正にアクセスし情報を窃取しようとしたものと推察されます。

なお、委託先の調査の結果、現時点で委託先へのサイバー攻撃やウイルス感染等の痕跡は発見されていないと報告を受けております。

尚、委託先システムの仕様上、漏えいした可能性のある詳細情報を特定出来ない為、個別お客様へのご連絡の手段として個人情報保護法の規定に沿い、公式HPでの公表に替えさせて頂きました。

<委託先の調査結果における不正アクセスの内容>

対象日:2024年 5月 23日から 2024年 10月 9日までのご宿泊日

対象者:2024年 6月 9日以前に当施設への予約、予約に対する変更、予約に対する取消をされたお客様

情報種類:予約者氏名、宿泊者氏名、電話番号、e-mail、年齢、性別、宿泊に関わる情報等

※漏えいした可能性のある個人情報にクレジットカード情報は含みません。

<お客さまへのお願い>

お心当たりのない SMS、メール、差出人表示の偽装等には、十分ご注意いただきますようお願い申し上げます。

現在、関係機関と連携を取りつつ再発防止に努めております。

お客さまをはじめ、関係者の皆さまには多大なご迷惑とご心配をおかけする事態となりましたことを改めてお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-582】知床夕陽のあたる家 ONSEN HOSTEL 宿泊施設の予約・販売管理システムへの不正アクセスの可能性についてのお詫びとお知らせ 2024/12/29


知床夕陽のあたる家 ONSEN HOSTELで利用している宿泊施設の予約・販売管理システムにおいて当施設のログインID 及びパスワードを第三者が不正にログイン操作を行い、オンライン予約サイトから宿泊予約した一部のお客様のご予約情報に対して不正アクセスを行った疑いを検出したと本件システムの提供ベンダー(以下「委託先」といいます。)より報告がございましたのでお知らせいたします。

お客様にはご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

<経緯等>

委託先の調査により、本件システムにおいて、当社が委託先へ預けている個人データに対して不正アクセスがあり、一部の個人データがCSV 出力されたことが確認されました。(個人データに対して不正アクセスが確認されました。)

第三社が不正にアクセスし情報を窃取しようとしたものと推察されます。

なお、委託先の調査の結果、現時点で委託先へのサイバー攻撃やウイルス感染等の痕跡は発見されていないと報告を受けております。

尚、委託先システムの仕様上、漏えいした可能性のある詳細情報を特定出来ない為、個別お客様へのご連絡の手段として個人情報保護法の規定に沿い、公式HPでの公表に替えさせて頂きました。

<委託先の調査結果における不正アクセスの内容>

対象日:2024年 6月 9日から 2024年 9月 9日までのご宿泊日

対象者:2024年 6月 9日以前に当施設への予約、予約に対する変更、予約に対する取消をされたお客様

情報種類:予約者氏名、宿泊者氏名、電話番号、e-mail、年齢、性別、宿泊に関わる情報等

※漏えいした可能性のある個人情報にクレジットカード情報は含みません。

<お客さまへのお願い>

お心当たりのない SMS、メール、差出人表示の偽装等には、十分ご注意いただきますようお願い申し上げます。

現在、関係機関と連携を取りつつ再発防止に努めております。

お客さまをはじめ、関係者の皆さまには多大なご迷惑とご心配をおかけする事態となりましたことを改めてお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-577】損害保険ジャパン株式会社 当社業務委託先鑑定会社におけるランサムウェア被害に伴う情報漏えいのおそれについて 2024/12/26

 

当社が損害調査業務の委託契約を締結している東京損保鑑定株式会社(以下、「東京損保鑑定」)において、第三者の不正アクセスによるランサムウェア被害が発生したことを10月7日(月)に当社公式ホームページにてお知らせいたしました。その後、東京損保鑑定による調査が完了したとの報告を受けましたので、以下をお知らせいたします。

12月18日(水)時点で漏えいした事実は確認されていません。お客さまにはご迷惑とご心配をおかけすることになり深くお詫び申し上げます。東京損保鑑定社に対し、調査結果を踏まえた再発防止策の徹底を求めていくとともに、当社においても、その他の委託先も含め、より一層の管理体制の強化に努めてまいります。

1.調査結果

本件が発生して以降、東京損保鑑定において、外部機関に委託しフォレンジック調査が実施され、12月18日(水)に調査結果の報告を受けました。概要は、以下のとおりです。

・サーバー及びVPN装置の通信に係るログが一部欠落していましたが、残存していたログからは、外部への情報送出の痕跡等、情報が漏えいした事実の確認はできませんでした。

・サーバーの各種ログからは、不正アクセスを受けたサーバーは2台にとどまり、同社の社内ネットワークのその他装置等に対する探索行為及び不正アクセスの痕跡等は確認されませんでした。

・ランサムウェア攻撃で暗号化されたサーバー2台のデータ復旧が困難であったため、お客さまのお名前、情報の種類等、サーバーに保存されたお客さま情報の詳細について特定には至りませんでした。

2.お客さま情報が漏えいしたおそれがある件数

サーバー外に保管されていた同社の会計データおよび当社の保有する会計データから、お客さま情報が漏えいしたおそれがある件数は約38,000件です。

なお、お客さまのお怪我に関する情報、クレジットカード・銀行口座等の情報は含まれておりません。

3.当社の対応

情報漏えいのおそれが生じたお客さまのうち、ご連絡先等が特定できた方に対し、順次お知らせいたします。なお、特定できなかった場合は、本公表をもって通知と代えさせていただきます。

リリース文アーカイブ

【セキュリティ事件簿#2024-573】株式会社イトーキ 業務委託先への不正アクセスについて 2024/12/25

 株式会社イトーキエンジニアリングサービス(2024 年 7 月 1 日付で株式会社イトーキに吸収合併)が PC キッティング作業を委託しておりました事業者の再々委託先が不正アクセスの被害を受け、一部個人情報の漏洩の可能性がある旨の報告を受けました。

この度、外部専門機関による本件の調査を実施し、個人情報保護法およびプライバシーマーク運用指針に基づき、個人情報保護委員会及びプライバシーマーク認証団体:一般財団法人日本情報経済社会推進協会に報告いたしましたので、以下の通りお知らせいたします。

関係者の皆様には多大なるご迷惑とご心配をお掛けいたしましたこと、ならびに調査に時間を要しましたことを、深くお詫び申し上げます。当社およびイトーキグループは、今回の事態を厳粛かつ真摯に受け止め、さらなるセキュリティ強化に取り組んでまいります。

1,概要

2024 年 6 月 8 日、弊社からの PC キッティングを委託しておりました事業者の再々委託先において、ランサムウェアによる不正アクセスが発生し、サーバ 2 台・デスクトップ PC1 台およびネットワーク共有されていた領域に保存されていた情報が暗号化されました。PC キッティング作業の委託にあたり当社からは利用する従業員の氏名等を提供しております。外部専門機関による調査の結果、個人情報漏洩の事実、2 次被害の発生等は確認されておりません

2,漏えいのおそれのある対象者

 株式会社イトーキエンジニアリングサービスに 2023 年 6 月~2023 年 8 月の期間に勤務されていた従業員 299 名

※ 連絡先の判明している対象者の皆さまには個別に連絡済みとなります。

3,漏洩のおそれがある個人情報

イトーキエンジニアリングサービスが PC キッティング作業(2023 年 6 月~8 月)のために提供した個人情報(利用者名、管理者アカウント、ユーザーアカウント PW など)

今後、お知らせすべき事実が判明した際には改めて公表させていただきます。

リリース文アーカイブ

【セキュリティ事件簿#2024-572】株式会社フジクラ 当社ネットワークへの不正アクセスについて 2024/12/25

 

このたび、当社が管理するサーバに対し、第三者による不正なアクセス及び情報流出の痕跡があったことが確認されました。対象のサーバの一部には個人情報も含まれておりました。

関係する皆さまに多大なるご迷惑とご心配をおかけすることになり、深くおわび申し上げます。

本件につきましては、すでに個人情報保護委員会に必要な報告を行い、外部のセキュリティ専門会社の協力を得ながら関係機関と連携し、事実の確認及び必要な対応に努めております。

引き続き調査その他の対応を続けているところではございますが、このたび、調査も一定程度進捗いたしましたので現時点で判明している事実及び当社の対応につき以下の通りご報告いたします。

1. 本件の概要

2024 年 7 月2日、当社がネットワークの保守運用を委託している NTT コミュニケーションズ株式会社(以下「保守委託先」)が管理するネットワーク保守・監視用 VPN 装置を通じて、当社の情報ネットワークが外部からの不正なアクセスを受けたことが判明しました。

本事象を確認後、当社は保守委託先と協力して、ただちに侵入経路を特定し、不正使用されたアカウントの無効化、アカウント全保持者のパスワード初期化と利用制限、ネットワーク機器の交換及び認証の強化などの緊急対策を行いました。7月 19 日から、保守委託先ほか外部セキュリティベンダーとともに、影響範囲を特定するためのフォレンジック調査※を開始いたしました。

※フォレンジック調査:不正アクセスやランサムウェア等のサイバー攻撃被害を受けた際に、原因や犯人の特定などを目的として、サーバ等のデバイスや記憶媒体等のデータを収集し、分析する専門的な調査手法。

フォレンジック調査を進める中で、当社佐倉事業所の複数のサーバに外部からのアクセス及びデータ流出の痕跡があったことが確認されました。流出したデータは各サーバのデータ保存量の一部に留まりますが、対象のサーバには個人情報が保存されていたものも含まれておりましたので、個人情報の漏えいのおそれは否定できないものと考えております。

2. 原因と対策

保守委託先による原因分析調査の結果によると、本件の事案の原因は、保守委託先によるネットワーク保守・監視用 VPN 装置の管理に不備があり、その結果同装置に残っていた脆弱性が利用されたことによります。

不正アクセスの発覚後は、上記の通り緊急対策を実施しネットワークの安全を確保したほか、保守委託先に対して再発防止策の検討と実施を指示し、同社が保守運用サービスの運用体制の強化、運用ルールの改訂等を実施した旨を確認しております。当社においても、保守委託先の管理体制を強化し、機器のログ等の情報収集体制を強化するなど、不正アクセスに対してより迅速に対応可能な体制を構築しました。


3. 漏えいのおそれが生じた個人情報

本件により漏えいのおそれが生じた個人情報は、お取引先従業員、大学関係者その他の社外の方、並びに当社及びグループ会社の従業員・元従業員(ともに契約社員、派遣社員、アルバイト等含む)及びその家族等の個人情報で、氏名、住所、電話番号、メールアドレス、生年月日、性別等の連絡先情報・属性情報が中心であり、その他の従業員情報(当社が従業員から受領した情報も含む)や、人事関連情報、インボイス番号、銀行口座番号(暗証番号は含みません)等も一部含まれておりましたが、現時点においてクレジットカード情報やマイナンバーは確認されておりません。

4. 今後の対応

現在、本件の対象となったご本人様を正確に特定するための調査を継続しておりますが、調査及びご連絡のための情報の整理が完了後、順次個別にご連絡差し上げることを予定しております。

5. 二次被害又はそのおそれの有無及びその内容

現時点で、当社から流出したデータがインターネット上で公開されたなどの事実は確認されておらず、その不正利用などの二次被害も確認されておりません。もし、不審なメールを受け取られたなど、本件による被害が疑われる事例がございましたら、下記問い合わせ先までご連絡をいただきたくよろしくお願いいたします。

6. 当社生産活動への影響等

本件による当社生産活動への影響はございません。また、現時点において、流出が問題となるような業務上の秘密の流出も確認されておりません。

当社では、今回の事態を真摯に受け止め、委託先との協働体制の強化を含め、情報セキュリティの一層の強化及び再発防止に全力で取り組んでまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-570】三井住友海上火災保険株式会社 業務委託先における不正アクセス被害に関する調査結果について 2024/12/25

 

MS&ADインシュアランス グループの三井住友海上火災保険株式会社(社長:舩曵 真一郎)は、2024年10月7日に公表いたしました「業務委託先における不正アクセス被害に伴う情報漏えいのおそれについて」に関して、東京損保鑑定株式会社から調査完了の報告※1を受け、当社お客さま情報の漏えいのおそれがあることが判明しましたので、お知らせいたします。

お客さまおよび関係者の皆さまに、大変なご迷惑とご心配をお掛けすることになり、深くお詫び申し上げます。現時点でお客さま情報が不正使用された事実は確認されていません※2が、今後、新たな事実が判明した場合は、あらためてお知らせいたします。

東京損保鑑定社において、調査結果を踏まえた再発防止策が徹底されていることを確認していますが、当社においても、委託先を含めてより一層の管理体制の強化に努めるとともに、不正アクセス等の犯罪行為には厳正に対処してまいります。

※1:不正アクセスに関するご報告 その2(東京損保鑑定社 2024年12月25日ニュースリリース)

※2:東京損保鑑定社が委託する調査会社を通じて、ダークウェブサイトの確認を行っていますが、12月18日時点で、流出した情報の掲載はないとの報告を受けています。

1.漏えいのおそれがあるお客さま情報

(1)対象のお客さま

東京損保鑑定社に損害調査業務等を委託した当社のお客さま(約12万件)

(2)対象の保険種類

火災保険、自動車保険、賠償責任保険など

(3)漏えいのおそれがあるお客さま情報の項目

保険契約者および被保険者の氏名、住所、電話番号、証券番号、(損害賠償事故の場合)事故相手方の氏名、損害査定のために提出された書類※3など

※3:主に損害写真や修理見積など

リリース文アーカイブ

【セキュリティ事件簿#2024-559】日新火災海上保険株式会社 当社業務委託先におけるランサムウェア被害に伴う情報漏えい等の可能性について  2024/12/17

 

当社が損害査定業務等の一部業務を委託している東京損保鑑定株式会社(以下「東京損保鑑定」)のサーバにおいてランサムウェア被害が発生し、当社のお客さまや事故のお相手様の情報等の漏えい等の可能性があること(以下「本事態」)が東京損保鑑定からの報告により判明いたしました。

お客さまおよび関係者の皆様に大変なご心配、ご迷惑をおかけすることとなり深くお詫び申し上げます。

当社といたしましては、本事態を招いた事実を重く受け止め、当該委託業務におけるお客さま情報等の管理・取扱方法を改めて検証することで、再発防止に努めて参ります。

【ご参考】東京損保鑑定のニュースリリース

(10 月 7 日)不正アクセスに関するご報告(https://www.to-son.co.jp/news/25858)

1.経緯と発生原因

(1)経緯

本事態は、2024 年 10 月下旬に東京損保鑑定から当社に対し、情報漏えい等の可能性があることの連絡があり、その後の東京損保鑑定による調査結果が 2024 年 12 月 10 日に報告されたことにより発覚いたしました。

東京損保鑑定は、2024 年 8 月 29 日にサーバ内にあるファイルを見ることができなくなり、外部の専門家による調査を行った結果、ランサムウェア被害によりサーバの一部で保管しているファイルが暗号化され、情報漏えい等の可能性があることを確認いたしました。

これまでの東京損保鑑定における被害についての調査では、お客さまのデータが漏えい等した証跡等は確認されておりません。また、本件にかかわる個人情報等の不正利用の事実も確認されておりません。今後新たな事実が確認された場合は改めてご報告いたします。

なお、当社においては 2019 年 12 月以降、東京損保鑑定に損害査定業務を委託した実績はありません。

(2)発生原因

東京損保鑑定において、被害判明後、外部専門家の協力のもと調査を進めてきましたが、本日時点において、直接の発生原因は明らかとなっておりません。

2.漏えい等の可能性のある情報等(本日時点)

・699 件(個人情報 406 件、法人情報 293 件)

・情報漏えい等の可能性があるお客さま情報等は以下の通りであり、センシティブ情報および金融機関口座情報やクレジットカード番号等の情報は含まれておりません。

【含まれるお客さま情報等】

契約者の氏名、被保険者の氏名・住所・電話番号、証券番号、保険事故のお相手様(※)の氏名、その他当社が東京損保鑑定へ損害査定業務の委託時に提供する情報等

(※)保険事故のお相手様とは、賠償責任保険において被保険者に損害賠償請求を行われた方をいいます。

3.今後の対応

当社では、情報漏えい等の可能性がある当社のお客さまや事故のお相手様の情報等(※)について特定を進めており、特定できた方につきましては、速やかにご連絡いたします。なお、現時点で情報の不正利用は確認されておりません。

 (※)2007 年~2019 年に当社が東京損保鑑定へ損害査定業務を委託した事案が対象となります。

リリース文アーカイブ