1.本件の概要
2.情報が漏えいした可能性がある個人情報の内容
3.情報が漏えいした可能性がある学生、卒業生、元教職員および関係者へのお知らせ
4.原因と対策
5.二次被害またはそのおそれの有無およびその内容
【2024年12月6日リリース分】
雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【2024年12月6日リリース分】
このたび、弊社社内にある複数台のファイルサーバが、第三者の不正アクセスによるサーバ攻撃を受けた件につきまして、弊社で保有している情報がデータの暗号化されていることが発覚しました。また、あわせて暗号化したデータの復旧並びにデータの公開阻止を目的にした身代金を要求する脅迫文書がおかれていたことを確認しておりますが、実際に当社のデータが第三者によって持ち出しがなされているのかについては事実として確認できているものではございません。
現時点における被害状況の確認のため、ダークサイト調査を行ったところ、今回被害にあったファイルサーバの情報公開はなされていないことを確認しております。
今後引き続き、原因究明調査、並びに再発防止に向けた対応策を講じてまいります。
本事態により多大なるご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。
2024 年 11 月 9 日午前 2 時頃より、弊社の利用するファイルサーバが第三者の不正アクセスによるサイバー攻撃を受けました。11 月 11 日午前 8 時頃に発覚、直ちに調査を開始し、個人情報の漏洩の有無・原因究明、および復旧に向けて対応を進めております。また、警察にも被害を申告しており、捜査にも協力しております。
過去弊社に勤務されていた方の個人情報が暗号化されておりました。
【暗号化された情報】
氏名、住所、生年月日、性別、電話番号、家族情報、金融機関口座番号情報、障害や健康診断結果の要配慮個人情報、マイナンバー(2022年時点で弊社に在籍されていた方)、その他弊社で保有していた情報
過去弊社に入社を希望された方(新卒者)、または会社説明会に出席いただいた方の個人情報が暗号化されておりました。
【暗号化された情報】
氏名、住所、生年月日、性別、電話番号、履歴書・エントリーシート情報、その他弊社で保有していた情報
2003 年度から 2024 年度の弊社の株主一覧に記載された個人情報が暗号化されておりました。なお、株式に関する情報につきましては、法令上の保存期間が明確に規定されていないものの、会社にとって重要な情報であることから、一般的な解釈に基づき、永久保存の方針で保管しておりました。
【暗号化された情報】
氏名、住所、電話番号、持株数、配当額、銀行口座
調査の結果、下記の個人情報が暗号化されておりました。
【暗号化された情報】
氏名、住所、性別、電話番号、金融機関口座番号情報、マイナンバー(該当者)、その他弊社で保有していた情報
調査の結果、御社の従業員様の個人情報が暗号化されている可能性があります。
【暗号化された情報】
氏名、生年月日、血液型、緊急連絡先、電話番号、その他弊社で保有していた情報
サイバーセキュリティ/個人情報保護を専門とする弁護士との顧問契約を締結、およびセキュリティ専門会社からの支援を受け、原因究明および再発防止に向けた組織体制を整えております。
①当該サーバについては物理的にネットワークから切断し、これ以上の被害拡大を防ぐ対策をとっております。
②ダークサイト調査を継続的に実施しております。常時監視にて、万一情報漏洩が疑われる内容がダークサイト上で発見された場合は、アラートにより通知される体制としております。
③デジタルフォレンジック調査による侵入経路特定のための調査を開始しております。引き続き専門家による適切な指導のもとで、調査および対策を進めております。
(1) 警察および関係機関との連携強化
(2) セキュリティ専門会社の支援による現状のセキュリティ対策状況の網羅的な確認
(3) 再発防止のためのセキュリティ体制の強化
(4) 個人情報の取扱いルールの見直しおよび教育の実施
【2024年12月18日リリース分】
株式会社ISEKI japan 北海道カンパニー (旧株式会社ヰセキ北海道、 以下「当社」といいます) は、2024 年 12 月5日に当社ウェブサイトにて公表いたしましたとおり、一部のサーバーが第三者による不正アクセス (ランサムウェア攻撃) を受けたことを確認致しました。
現在、 外部専門家による調査を行っており、これまでの調査では、 今回の攻撃により、 情報が外部に流出した痕跡は確認されておりませんが、その一部が流出した可能性を否定できないため、現在までに判明した事項をお知らせいたします。
お客様やお取引先をはじめとする関係者の皆様にご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。
2024 年11 月27 日朝、 当社の一部のサーバーにおいてランサムウェア攻撃による披害が発生していることを確認しました。
当社は直ちに当該サーバーをネットワークから切り離すなどの初期対応を行い、個人情報保護要員会への報告、 警察への通報等を行いました。
その後、外部のセキュリティ専門企業による調査を行うなど、情報が流出した可能性の有無や、影響を受けた可能性のある情報の範囲等を調査してまいりました。これまでの調査によれば、情報が外部に流出した痕跡は確認されておりません。
※個別にお詫びとお知らせを送付させていただきます。なお、個別にご連絡がつかない方には、本発表を以て通知とさせていただきます。
本件の原因は、上記のとおり、第三者からのランサムウェア攻撃によるものです。
現在、不正利用などの二次被害の発生の事実は確認されておりませんが、不審な連絡等には十分にご注意くださいますようお願い申し上げます。
当社は、情報の外部流出の可能性及び影響の範囲について、引き続き調査を進めてまいります。
新たにお知らせすべき事実が判明したときは、ホームページ等ですみやかにお知らせいたします。
また、このような事態を大変重く受け止めており、原因の究明を進めるとともに、セキュリティ体制の一層の強化徹底を図り、再発防止に全力を尽くしてまいります。
多大なるご迷惑、ご心配をお掛けしておりますことを、重ねてお詫び申し上げます。
【2024年12月5日リリース分】
2024年11月28日に確認されたランサムウェア被害について、専門調査機関と共に調査を行ってまいりましたが、この度、調査が完了しましたので下記の通り最終のご報告をいたします。
本件につき、お客様ならびにお取引先様、従業員、関係者の皆様に多大なるご迷惑とご心配をおかけいたしまして改めてお詫び申し上げます。
今後は外部の専門機関の協力を得て、より厳重なセキュリティ体制の構築による再発防止に取り組んでまいります。
2024年11月28日、当グループ(株)イーエックスディーのサーバに対し、データが暗号化されるランサムウェア被害を確認しました。調査の結果、11月27日未明に攻撃者による不正アクセスがあり、この時点でサーバへの侵入の可能性が高いと確認されました。
なお、現在まで情報流出の事実、二次被害に関する報告はありません。
2. 影響範囲
対象 | 項目 |
---|---|
法人等に所属する方の個人情報 | 氏名、メールアドレス等業務上の連絡先 |
委託元の業務に付随する個人情報 | 氏名、住所、電話番号、年齢、所属先等(イベント参加者等の情報) |
当グループ従業員・アルバイト登録者、法定保存期間内の退職者、株主様 | 氏名、住所、電話番号、年齢、ご家族、口座番号、給与関連情報、マイナンバー等の労務・税務管理上の情報 |
お取引のある個人事業主様の情報 | 氏名、住所、口座番号、報酬、マイナンバー等 |
機密情報を持ち出される経路としてはVPNとインターネットの2経路が存在しますが、いずれもトラフィック量から判断して大量アップロードは発生しておらず、ファイルサーバで管理されているデータをまとめて持ち出した可能性は極めて低いとの報告をいただいております。
今回侵害されたサーバについては遮断の上、分析を行っており、復旧に向けては対策を講じた上で新サーバでの再構築、高い強度の認証パスワード、二要素認証の導入、攻撃のモニタリングやログ管理の更なる強化を行います。
【2024年12月3日リリース分】
2024 年 9 月 27 日付「ランサムウェア被害の発生について」、2024 年 10 月 22 日付「ランサムウェア被害の発生を受けた生産・出荷の現状について」および 2024 年 12 月 2 日付「ランサムウェア被害の経過について」でお知らせしました通り、当社で使用している生産管理システムおよび基幹システムの一部のサーバーがランサムウェアの被害に遭い、保管していた情報の一部が暗号化され、さらに当社および子会社に関する情報の一部が流出していること(以下「本件」といいます。)が確認されました。
お取引先様をはじめ関係先の皆様にご迷惑をおかけしておりますことを深くお詫び申し上げます。
今般、流出懸念のある個人情報についての社内調査が完了し、個人情報保護委員会に報告を行いましたので当社の対応状況および再発防止策について、下記のとおりご報告いたします。
情報種類 | 内容等 |
お取引先様・関係先様等に関する情報:143,718 人分 | 氏名、会社名、所属部門、役職名、会社住所、業務用電話番号、業務用メールアドレスなど |
弊社の役職員(退職者を含む。)および家族に関する情報:13,485 人分 | 氏名、生年月日、性別、住所、電話番号、基礎年金番号、保険者番号、個人番号など |
(※)2024 年 12 月 2 日付「ランサムウェア被害の経過について」でお知らせしました内容と同じです。
情報種類 | 内容等 |
弊社役職員に関する情報 38 人分 | 氏名、役職名 (2022 年 10 月 1 日現在の弊社職制図上の情報) |
・対象の方には、直接またはご所属先の企業等を通じて流出懸念のある情報内容等について、ご通知とご説明を申し上げます。
・また、ご連絡先を確認できないこと等により、個別にご通知申し上げることが難しいお取引先様、関係先様および関係者の皆様につきましては、本公表をもってご通知に代えさせていただきたいと存じます。
・弊社は、2024 年 12 月 2 日付「ランサムウェア被害の経過について」でお知らせしました通り、流出した情報がインターネット上に公開されていないかについての調査を、外部専門調査会社等にて実施しております。引き続き外部専門調査会社による調査を実施し、万一、情報の公開等が確認された際には、対象者にお詫びとご説明を申し上げます。
・本件に関してご不明な事項や、身に覚えのない連絡を受けるなど、流出した情報の不正利用が疑われるようなことがございましたら、以下のお問い合わせ窓口までお知らせくださいますようお願いいたします。
現在までに外部専門会社の助言を得てセキュリティレベル等を向上した上で各種システムを復旧し、生産・出荷等については本件発生以前の数量を回復し、他の業務につきましても平常時と同様に遂行しております。
本件の発生を受け、生産管理システムおよび基幹システムのセキュリティ強化、不正アクセスの制限の強化等、緊急事態対応体制の見直し、従業員の情報セキュリティ教育の拡充等の再発防止策を策定しており、継続して実行してまいります。
本件による業績への影響については、2024 年 11 月 13 日付「2025 年3月期 第2四半期(中間期)決算短信」および「2025 年3月期第2四半期決算補足説明資料」に記載しております。
【2024年9月27リリース分】
【2024年9月15日リリース分】
2024 年 12 月 16 日にお知らせいたしましたとおり、当社の海外子会社「A.B. Hotels (The Arch London) Limited」が英国で運営するホテル「The Prince Akatoki London」において、使用しているネットワークシステムに不正アクセスがあったことが確認されました。同システムは不正アクセスを検知すると同時にシャットダウンすることで、外部からのアクセスを遮断しておりましたが、現在は安全が確認されたためすべて復旧しております。不正アクセスの発覚後、外部の専門機関の協力のもと、情報漏洩の有無等の影響範囲について確認を行っておりましたが、調査の結果、情報が漏洩した事実は確認されませんでした。
お客さまをはじめ関係の皆さまには、多大なるご心配をおかけいたしましたことを深くお詫び申しあげます。
本件については、すでに現地子会社より英国データ保護機関(ICO)へ報告しております。
詳細は以下のとおりです。
The Prince Akatoki London
※所在地: 50 Great Cumberland Place, Marble Arch, London W1H 7FD
日本時間 2024 年 12 月 10 日 11:15P.M.頃(現地時間 12 月 10 日 2:15P.M.頃)
同ホテルが使用しているネットワークシステムが不正にアクセスを受けました。なお、システムは不正アクセスを感知したと同時に自動的にシャットダウンされ、外部からのアクセスを遮断しておりましたが、現在は安全が確認されたためすべて復旧しております。
情報漏洩の被害等が発生していないかも含めて専門機関による調査を行いましたが、情報が漏洩した事実は確認されませんでした。
既存のシステム管理(多要素認証(MFA)を含む)の見直しに加え、情報システム全体にわたって XDR(サイバー攻撃を受けた際、攻撃の痕跡を検知、可視化することで、インシデントの調査、原因特定、対処を行う機能)を強化しました。
【2024年12月16日リリース分】
カシオ計算機株式会社(以下「当社」といいます)が2024年10月11日に公表いたしました通り、当社のサーバーがランサムウェア攻撃を受けた不正アクセス事案につきまして、お客様及び関係者の皆様には多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
当社は、外部のセキュリティ専門家の支援を受けながら、本件の不正アクセスの原因特定、被害状況の確認等のフォレンジック調査を行って参りました。この度、当該調査が現在可能な限りで完了し、改めまして、個人情報を含む当社の内部資料に関するデータの一部が外部に流出したことを追加でご報告申し上げます。詳細は以下の通りとなります。
なお、本件に関する従前の経緯については、2024年10月8日付けの「当社ネットワークへの不正アクセスによるシステム障害について」及び同月11日付けの「当社におけるランサムウェア被害に伴うサービスの一部停止と情報漏えいに関するお知らせ」をご参照ください。また、新たに公表すべき事実が判明した場合は、速やかに当社ホームページにてお知らせいたします。
2024年10月5日、当社のサーバーが海外から不正アクセスを受け、ランサムウェア攻撃によりシステムが使用不能にされました。調査の結果、この原因としまして、昨今のサイバー攻撃の増加を受け、当社はシステム・セキュリティの強化を推進して参りましたが、フィッシングメール対策及び海外拠点を含むグローバルでのネットワークセキュリティ体制に一部不備があったため、海外からの巧妙なランサムウェア攻撃に対処できなかったことにあります。
ランサムウェア攻撃に伴い個人情報を含む社内資料のデータの一部が窃取され、データ流出を確認しました。当該流出データを調査したところ、下記「2.漏えいが確認された個人情報」に記載した個人情報が含まれていることを確認しております。
上記の他、顧客データベースやお客様の個人情報を扱うシステムからデータが窃取された痕跡は確認されませんでした。
調査の結果、ランサムウェア攻撃を受けたサーバーを中心に、当社が社内業務用に保管していた社内文書等のデータの一部が流出していることが確認されました。
流出した社内文書には当社従業員に関する個人情報が含まれ、また、一部のお取引先様やお客様に関する情報も含まれていたことが確認されております。
調査の結果を踏まえ、対象のお取引先様及びお客様の特定を進めており、特定次第、個別にご連絡をさせて頂きます。当社は、個人の大切なプライバシーを保護するために、必要な措置を積極的に講じてまいります。
なお、漏えいが確認された個人情報の中にクレジットカード情報は含まれておりません。
※これまでお知らせいたしました通り、当社のアプリやサービスに利用されるCASIO ID及びClassPad.netサービスのシステムは今回の不正アクセスを受けたサーバーとは別のシステムで稼働しており、本件不正アクセスの影響を受けておりません。
※2024年12月3日、個人情報保護委員会へ確報を提出しております。また、海外のデータ保護監督当局に対しても、適用される法令に基づき適時に必要な報告を実施しております。
※当社は、捜査機関、外部の弁護士及びセキュリティの専門家にも相談し、不正アクセスを行ったランサムウェアグループからの不当な要求には一切応じていません。
セキュリティの専門家の支援、監修のもと、海外拠点を含むグループ全体のITセキュリティの強化を継続的に実施してまいります。
情報管理体制の見直しを行い、ルール徹底のために社内教育を強化することにより再発防止に努めてまいります。
現時点で、一部の個別サービスを除き、システム障害により稼働停止していた当社のサービスは、安全性を確認の上、再開いたしました。ご利用者の皆様には、長らくの間ご不便をおかけし申し訳ございませんでした。
現在までに、当社従業員から、いくつかの本件不正アクセスとの関連性をうかがわせる迷惑メールの二次被害が確認されたとの報告を受けております。なお、当該迷惑メールは当社従業員に送付されたものであり、現時点で、お取引先様やお客様に対する二次被害等のご連絡は受けておりません。
関係者のプライバシーと安全を守り、二次被害を防止するため、SNS等を通じた情報等の拡散はお控えくださいますよう、皆様にご協力をお願い申し上げます。
迷惑メールの送付や関連したフェイク情報の発信、漏えい情報の対象となった方々や当社及び当社関係会社従業員等への誹謗中傷その他の迷惑行為が発生した場合は、当社は警察と連携して厳正に対応してまいります。
当社は、上記の再発防止策に真摯に取り組み、お客様、お取引先様等関係者の皆様に信頼いただける商品とサービスをご提供するとともに、当社の従業員関係者にも安心してともに働ける企業となれるよう、日々改善を実践してまいります。
ご迷惑をおかけすることになった関係者の皆様には、改めまして深くお詫び申し上げます。
【2024年10月11日リリース分】
【2024年10月8日リリース分】
いつもクックパッドをご利用いただき、誠にありがとうございます。
この度、インスタグラム公式アカウント「cookpad_jp」(以下「対象アカウント」といいます。)が第三者(以下、乗っ取った第三者を「第三者」といいます。)に乗っ取られたことにより、対象アカウントのダイレクトメッセージ機能内に記載されていた個人情報が、第三者に閲覧された可能性がある事象が発生いたしました。
対象アカウントの乗っ取りは、2024年12月17日に発生し、同月22日に解消しておりますが、乗っ取られていた期間内において、第三者がログインできる状態であったため、個人情報が第三者に閲覧される状態となっておりました。
対象となるご利用者様にはご不安とご心配をおかけしましたこと、お詫び申し上げます。今回の件を厳粛に受け止め、SNSアカウントの管理を厳に行って参ります。
本件に関する経緯及び詳細は以下の通りです。
対象アカウントに対して送られたフィッシングメッセージを経由して第三者がログインされたことによって、対象アカウント内の情報が第三者に閲覧されてしまいました。
2024年12月17日〜2024年12月22日
項目:氏名、メールアドレス、電話番号のいずれかの項目
人数:55名
現時点で対象アカウントの復旧がなされ、新たな乗っ取りがなされぬよう対策を講じております。
【2024年12月24日リリース分】
市立中学校において、教員の不注意により、ネットワーク上の教員専用フォルダのアクセスコードを示した結果、生徒2人が保存されていた生徒の配慮事項などの個人情報を閲覧したこと、また、その情報が数人に流出していることが判明しました。
生徒・保護者をはじめ関係者の皆様に深くお詫びするとともに、再発防止に努めてまいります。
教員が授業中に、教材提示のため、パソコン画面をプロジェクターで投影した際、ネットワーク上の教員専用フォルダのアクセスコードを不注意により表示してしまったため生徒が知りえる状況となった。
アクセスコードを知った生徒2名が、授業で使用するタブレット端末から教員専用フォルダにアクセスし、保存されているファイルを閲覧した。
発覚後、学校は速やかにアクセスコードを変更し、閲覧できない状態にした。
アクセスした生徒のうち1名が、タブレット端末で画面のスクリーンショットを行い友人と共有した。その後タブレット端末の画面をスマホで撮影したことにより、複数の者に流出した。
同学年生徒の保護者から、教育委員会にファイルが流出しているとの情報提供があった。
教育委員会で関係者に追跡調査を行った結果、ファイルの流出を確認し、データの削除を行った。
中学3年の生徒の健康上、生徒指導上の配慮事項
(アレルギー、長期欠席、その他生徒への支援事項) 49 名分
ファイルを閲覧した者(12 名)に確認を行い、保存していたファイルは削除要請し、その後のファイルの流出は確認されていない。
〇授業で使用するファイルと個人情報を含むファイルを分離して保存し、その運用を徹底。
〇全教員に情報リテラシー教育と福岡市教育情報セキュリティポリシーの周知・徹底。
〇児童生徒へ、情報モラル教育の徹底。
お客さまをはじめ関係者の皆さまにご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。
10月24日未明に発生したランサムウェア被害について、既報の通り、弊社ネットワークへの悪意ある侵入が確認されたことから、複数のセキュリティ専門会社により、弊社ネットワークおよびシステム全体のセキュリティ調査を行い、①侵入経路、②サーバ情報への不正アクセス、③情報の持ち出しについて検証しました。
検証結果は以下の通りです。
①弊社ネットワークへの侵入経路について、当社が業務委託を行った西日本電信電話株式会社大分支店が納入したセキュリティ機器の設定不備を突いて侵入した形跡が確認されました。
②侵入後、弊社サーバ等に悪意のあるアクセスを許し、セキュリティを突破されたことが判明しています。
③情報の持ち出しについて、ログ解析及びダークウェブ調査(~12/25)の結果から、情報の持ち出しの証跡はなく持ち出しを確認することができていません。
以上の調査結果をふまえ、安全な業務再開に向けて、以下の対処を実施しています。
・侵入経路におけるセキュリティ対策について
-委託会社納入端末の設定不備は既に解消済
・サーバのセキュリティ対策について
-被害にあったサーバは使用せず、新たに再構築済
-被害にあったサーバにて管理されていたID/PWを全て変更済
・更なる安全運用にむけた取り組み (12月末を目途に実施予定)
-サーバ・NW機器・端末への常時監視通知機能の導入
-各機器に実装されているセキュリティ機能の強化(多要素認証等)
-ダークウェブ調査の継続
以上、弊社内システム・ネットワーク全体で、より強固なセキュリティ対策を講じ、安全な事業運営に努めます。
改めましてご心配とご迷惑をおかけしておりますことをお詫び申し上げます。
【2024年11月18日リリース分】
【2024/10/28リリース分】
【2024年10月25日リリース分】
県が運用しているくまもとグリーン農業ホームページの一部が外部からの攻撃を受け、県が管理している生産宣言者及び応援宣言者の個人情報の一部(氏名、住所、電話番号)が漏えいした可能性があります。
11月26日(火曜日)12時頃、委託先のアクセスログ解析により、当該ページに対して大量のアクセス(計21,074回)が行われ、過負荷状態となってダウンしたことが判明し、11月29日(金曜日)に脆弱性を有していた当該ページは閉鎖しました。
12月3日(火曜日)にデータベースから非公表情報を削除するとともに、今後、新たに宣言される方の非公表情報もデータベースに取り込まないよう、プログラムを修正し再発防止対策を強化しました。
くまもとグリーン農業に取り組まれている宣言者や応援いただいている皆様には多大なるご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。
なお、漏えいの可能性がある宣言者の方には文書で通知しており、12月20日(金曜日)時点で実害を伴う問い合わせはいただいておりませんが、不審な電話等がありました場合は、お手数ですが下記連絡先にご連絡いただきますようお願いします。
【2024年11月30日リリース分】
日頃より本校の教育活動にご理解・ご協力をいただき、心より感謝申し上げます。
さて、令和6年10月18日 (金) に発生した第三者からの不正アクセスによる情報漏洩の可能性については、法人の情報関連部門による緊急対策部門の主導のもと、個人情報保護委員会ならびに警察に報告を行うともに、外部の専門機関に原因の各種調査・分析を依頼して情報漏洩の有無を確認するとともに、システムや情報の復旧等の対応を行ってまいりました。
その結果、一連の調査から、学校内の情報の一部が使用不能となりその情報には学校内の事務関連の情報の他、一部の学生の氏名などの個人情報が含まれていたことも判明しました。
よって、本学として、専門機関へ各種内部情報がリークサイトやダークウェブ等に掲載されたかどうか継続的な監視依頼を行い、本学情報の掲載や公開の有無について調査を実施いたしましたが、本学の情報の掲載や公開は確認されませんでした。
よって、個人情報保護委員会へネットワークやパソコン環境の調査、分析、ならびに継続的な監視の結果、情報漏洩の事実が確認されなかったこと、また再発防止策を講じたとして、1 2月 1 6日付で確報を提出いたしましたことをご報告申し上げます。
本学では引き続き、外部の専門機関の指導を受け、ネットワーク環境を再構築、不正アクセス防止の強化、監視体制の更なる強化を図るなど、より高度な情報セキュリティ対策を行うとともに、併せて、教職員への情報セキュリティに関する教育と意識向上に努めてまいります。
【2024年11月1日リリース分】
【2024年10月18日リリース分】
当社は2024年11月6日に情報システムの一部に異常が発生したことを検知し、外部からのサイバー攻撃による不正アクセスにより システム障害が生じていることをお知らせいたしました。この度、外部専門機関による情報漏洩の有無等の調査が完了いたしましたので 当該調査結果及び再発防止に向けた取り組みについてご報告いたします。
外部専門機関による詳細な調査の結果、社内データが外部に持ち出された具体的な痕跡並びに情報流出の事実は確認されませんでした。
また、当社の内部情報が外部において不正に公開されている事実や二次被害についても現時点において確認されておりません。
本件を受け、当社は従来のセキュリティ対策に加え、次の再発防止策を実施および予定しております。
なお、現時点において当社のシステムは復旧しており、正常に業務を行っております。
関係者の皆様には、ご心配およびご迷惑をおかけいたしましたことを深くお詫び申し上げます。
【2024年11月8日リリース分】
令和6年10月22日に本学Webサイトにてご報告いたしました標記の件について、改めてご報告させていただきます。
先般、本学のメールアカウントが何者かに不正に利用され、大量の迷惑メールが送信されるという事案が発生しました。その際、当該メールアカウントの過去の送受信メールが漏洩した可能性があります。
現時点では、当該事案による二次被害は確認されておりませんが、皆様にご心配とご迷惑をお掛けしましたことを、改めて深くお詫び申し上げます。
本学といたしましては、今回の事態を重く受け止め、真摯に対応していくとともに、再発防止について全学をあげて取り組んでまいります。
・対象メール数 23,325通
・対象メール内の学外者の個人情報 16,904件
・対象メール内の学内者の個人情報 2,370件
・個人情報の種類
氏名、所属、役職、メールアドレス、住所、電話番号
令和6年10月16日午後から、本学の特定のメールアドレスに外国から大量の配信不能メールが届くようになったため学内で調査したところ、何者かが当該アドレスを使用し、迷惑メールを送信していたことが判明しました。
使用された当該メールアドレスのファイルを確認したところ、個人情報が含まれていたことを令和6年10月17日に確認しました。
当該メールアドレスに設定されていたパスワードの脆弱性によるものです。
不正アクセス防止のため、令和6年11月18日(月)に全てのメールアカウントに対し学外からのアクセスの遮断を実施しました。
全てのメールアカウントの利用状況調査を実施し、脆弱性のあるパスワードについては強固なパスワードに変更しました。また、利用状況調査の中で廃止申請があったアカウントについては、削除処理を実施しました。
本事案については、個人情報保護委員会、文部科学省及び警察にも報告しております。
現在、個人情報漏洩の可能性のある関係者の方々に対しまして、報告及び謝罪のご連絡をしています。
定期的にメールアドレスのパスワードを変更する運用とします。変更されないメールアドレスについては無効化いたします。
情報セキュリティ運用ルールの不断の見直し、定期的な研修及び内部点検を通じて、更なるセキュリティ強化を図ることとしています。
このたびは、関係者のみなさまに多大なご迷惑とご心配をお掛けしましたことを、重ねて深くお詫び申し上げます。
【2024年10月22日】
平素は格別のお引き立てを賜り厚く御礼申し上げます。
当社サーバへの不正アクセスに関しまして、お客さまをはじめ関係者の皆様に多大なるご心配とご迷惑をおかけしておりますこと、深くお詫び申し上げます。
2024 年 10 月 22 日以降、外部専門家の協力のもと進めてまいりました本事案に関する調査が完了しましたので、当該調査結果および再発防止に向けた取り組みにつきましてご報告申し上げます。
なお、当社のシステムは現時点でほぼ復旧しており、今後も継続的にセキュリティ対策の強化を図ってまいります。
2024年10月24日付「当社におけるサイバー攻撃によるシステムの停止事案発生のお知らせ」にて公表したとおり、同月21日、当社のネットワークが第三者(以下、「不正アクセス者」といいます)により不正にアクセスされ(以下、「本件不正アクセス」といいます)、当社のシステムに障害が生じるという事態が生じました。
その後当社は、システム保守会社の協力を得てシステムの復旧に努めると共に、第三者専門業者に依頼して不正アクセスに関する調査を実施し、システム障害の原因の特定及び情報漏洩の可能性の確認を進めて参りました。具体的には、10月25日に第三者専門業者によるフォレンジック調査が開始され、11月28日にその調査が完了しております。
お客様及び関係する皆様には重ねてお詫びを申し上げますとともに、これまでの調査によって判明した本件に関する概要につきまして、下記のとおりご報告いたします。
不正アクセス者は、2024年10月21日15時51分、VPN接続を経由しguestアカウントを悪用して当社のネットワークにアクセスし、同日夜から当社のシステム・サーバーに対してリモートランサムウェア攻撃(ネットワーク上に存在するデータを暗号化する攻撃)を行いました。なお、アクセス元は日本国外(リトアニア)であることが確認されており、本年8月31日と9月13日にも当社のネットワークに対する不正アクセスが行われていた事実も認められています。
この攻撃により、当社の一部サーバー及びパソコンのデータが暗号化されて使用不能となり、また、サーバー内には「身代金」の支払いを求めるメッセージが残されていました。
第三者専門業者の調査によると、外部への情報流出の形跡は確認されなかったとの報告を受けています。いわゆるダークウェブ上のリークサイトにおいても当社の情報は確認されず、また、当社のサーバー内に残されたメッセージから不正アクセス者の目的が不当な金員の要求という点にあったと思われることを踏まえても、本件不正アクセスにより、当社が保管する何らかの情報が外部に流出したことはないものと認識しております。
当社は、本件不正アクセスに関し、10月28日に個人情報保護委員会に対して報告をし、所轄の警察署に対しても10月24日に被害申告をしております。なお、当社から不正アクセス者に対する連絡は、一切行っておりません。
第三者専門業者の調査結果から当社VPN装置の脆弱性が本件不正アクセスの原因の1つと考えられたことを踏まえ、多要素認証の実装等の不正アクセスに対するセキュリティー強化を行うなど、今後、同専門業者のアドバイスを受けながら、再発防止に向けた対策、体制整備に努めて参ります。
本件でご迷惑とご心配をおかけした皆様には改めてお詫び申し上げます。
今後は当社の信頼性を回復させるべく社員一丸となって取り組みを進める所存です。
引き続きのご支援を賜りますよう何卒宜しくお願い申し上げます。
このたび、弊社が運営する「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」(https://www.brassiere-shorts.jp)の旧サイト(既に閉鎖済み。以下「旧サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等(71,943 件)を含む個人情報(292,707 件)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
クレジットカード情報等及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
弊社では、クレジットカード情報を保有しておりませんでしたが、旧サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
2019 年 12 月 27 日~2024 年 5 月 15 日の期間中に旧サイトにおいてクレジットカード決済をされたお客様 71,943 名につきまして、以下の情報が漏洩した可能性がございます。
なお、弊社の店舗及び旧サイト以外の通販サイトで弊社の商品を購入されたお客様は対象外となります。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・メールアドレス
・郵便番号
・電話番号
2024 年 5 月 15 日までに旧サイトをご利用されたお客様 292,707 名で、漏洩した可能性のある情報は以下のとおりです。
・氏名
・生年月日(任意入力項目)
・性別(任意入力項目)
・住所
・電話番号
・メールアドレス
・旧サイトのログインパスワード(暗号化済み)
・注文情報
上記(2)及び(3)に該当するお客様につきましては、別途、電子メールに個別にご連絡申し上げます。なお、電子メールにてお届けできなかったお客様につきましては、書状にてご連絡させていただきます。
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、上記 2.(2)に該当するお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
なお、不正アクセスがあった旧サイトは、既に閉鎖しており、新たな情報漏洩は発生しない状況にあります。現サイトは、2024 年 5 月 15 日以降、旧サイトとは独立した全く別の新しいシステムを用いた環境で運営しており、新システムの安全性は確認済みであるため、現在はクレジットカードによる決済を除く決済方法で運用しております。
現サイトにおけるクレジットカード決済の再開日につきましては、決定次第、改めてWeb サイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2024 年 7 月 1 日に報告済みであり、また、警視庁にも 2024 年 6 月 28 日に被害申告しており、今後捜査にも全面的に協力してまいります。
弊社が運営するキッザニアの Web サイトへの外部第三者による不正アクセスがあり、個人情報流出のおそれがあることを、2024 年 10 月 22 日に「不正アクセス発生による一部のお客様の個人情報流出のおそれのお知らせとお詫びについて」として発表いたしました(https://www.kidzania.jp/corporate/common/pdf/241022_release.pdf)。
この度、外部専門機関の協力も得ながら詳細調査を実施した結果、2024 年 10 月 17 日以前にキッザニア東京の予約時にご登録された一部のお客様の個人情報 24,644 件が流出したことが判明したため、下記の通りご報告いたします。
お客様および関係する皆様に多大なるご迷惑とご心配をおかけすることを心より深くお詫び申し上げます。
なお、調査結果をふまえ、対象となったお客様には、本日より、電子メールまたは電話にてお詫びとお知らせを個別にご連絡差し上げます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様および関係する皆様には重ねてお詫び申し上げます。
2024 年 10 月 16 日に、弊社が運営する Web サイトへの不正アクセスを検知し、防御措置を行っておりましたが、10 月 17 日に個人情報流出のおそれがあることが判明し、同日に情報流出の遮断措置を実施いたしました。本件は第一報として 10 月 22 日にプレスリリースを発表いたしました。その後、外部専門機関の協力を得て不正アクセスによる影響範囲を調査し、流出した対象者の確定を完了し、本日の発表に至りました。
なお、弊社は今回の不正アクセスにつきまして、個人情報保護委員会への報告と所轄警察署への届け出を完了しております。
弊社が運営するキッザニアの Web サイトのプログラムの一部にセキュリティの脆弱性があり、外部より不正アクセスを受けたことが原因です。当該箇所は既に修正し、セキュリティ対策は完了しております。
本事案の対象となるお客様には、キッザニア東京の予約サイトにご登録いただいたメールアドレスまたは電話番号宛に、本日から順次個別にご連絡を差し上げます。該当されないお客様への個別のご連絡は行いませんので、あらかじめご了承ください。
弊社は、今回の事態を重く受け止め、今後同様の事象が発生しないよう、システム全体に改めて外部専門機関による脆弱性調査の上、必要な対策を実施済みですが、今後も更に強固なセキュリティの構築を図ってまいります。
【2024年10月22日リリース分】
◆漏えいした個人情報項目
◆漏えいした個人情報の人数
◆漏えいした個人情報項目
◆漏えいした個人情報の人数
◆漏えいした個人情報項目
◆漏えいした個人情報の人数
◆漏えいした個人情報項目
◆漏えいした個人情報の人数
◆漏えいした個人情報項目
◆漏えいした個人情報の人数
◆漏えいした個人情報項目
◆漏えいした個人情報の人数
◆漏えいした個人情報項目
◆漏えいした個人情報の人数
◆漏えいした個人情報項目
◆漏えいした個人情報の人数
◆漏えいした個人情報項目
◆漏えいした個人情報の人数
◆漏えいした個人情報項目
◆漏えいした個人情報の人数
【2024年5月31日リリース分】
当院において、患者さまの個人情報が漏洩する事案が発生しました。
現時点で本事案による被害等は確認されていませんが、当該患者さまに対し、ご心配、ご迷惑をおかけしたことを改めてお詫びするとともに、改めて個人情報の取り扱いに係る適切な管理を徹底し、再発防止に努めてまいります。
当院と当院の医療連携登録医(以下、登録医)との間で当院カルテを共有閲覧する地域医療情報連携ネットワーク(以下、同ネットワーク)にて、通常、表示されるべきでない患者一覧が表示され、登録医が閲覧可能な状態であった。
⚫ 2024 年 11 月 28 日(木)17:30 ごろ
当院職員が本事案を発見し、直ちにシステム委託業者へ状況の確認・調査を依頼する。
⚫ 2024 年 11 月 29 日(金)9:00
患者一覧の非表示設定を行い、本事象を改善する。原因の調査を引き続きシステム委託業者へ依頼する。
地域医療患者一覧表示マスターの誤設定
⚫ 該当患者
618 名分(同ネットワークにて、当院と登録医間でのカルテ共有に同意いただいた患者さま)
⚫ 閲覧可能な状態にあった情報
「カナ氏名」「患者氏名」「性別」「年齢」「生年月日」「郵便番号」「住所」
⚫ 閲覧可能者の範囲
閲覧可能な医師: 125 施設 154 名
⚫ システム設定変更の際には必ずマスター登録シートに基づき、チーム内でリスクや影響を確認して作業に着手することの徹底
⚫ 設定変更後は権限設定状況に応じた動作確認および作業完了承認の徹底
⚫ 個人情報保護研修、情報セキュリティ研修において適切な個人情報の取扱に関する認識の徹底