【セキュリティ事件簿#2024-555】株式会社西武・プリンスホテルズワールドワイド 海外子会社が使用するネットワークシステムへの不正アクセスについて 2025/1/7

 

2024 年 12 月 16 日にお知らせいたしましたとおり、当社の海外子会社「A.B. Hotels (The Arch London) Limited」が英国で運営するホテル「The Prince Akatoki London」において、使用しているネットワークシステムに不正アクセスがあったことが確認されました。同システムは不正アクセスを検知すると同時にシャットダウンすることで、外部からのアクセスを遮断しておりましたが、現在は安全が確認されたためすべて復旧しております。不正アクセスの発覚後、外部の専門機関の協力のもと、情報漏洩の有無等の影響範囲について確認を行っておりましたが、調査の結果、情報が漏洩した事実は確認されませんでした。

お客さまをはじめ関係の皆さまには、多大なるご心配をおかけいたしましたことを深くお詫び申しあげます。

本件については、すでに現地子会社より英国データ保護機関（ICO）へ報告しております。

詳細は以下のとおりです。

1．発生場所

The Prince Akatoki London

 ※所在地： 50 Great Cumberland Place, Marble Arch, London W1H 7FD

2．発生時間

日本時間 2024 年 12 月 10 日 11:15P.M.頃（現地時間 12 月 10 日 2:15P.M.頃）

3．発生事象

同ホテルが使用しているネットワークシステムが不正にアクセスを受けました。なお、システムは不正アクセスを感知したと同時に自動的にシャットダウンされ、外部からのアクセスを遮断しておりましたが、現在は安全が確認されたためすべて復旧しております。

4．対 応

情報漏洩の被害等が発生していないかも含めて専門機関による調査を行いましたが、情報が漏洩した事実は確認されませんでした。

5．再発防止

既存のシステム管理（多要素認証（MFA）を含む）の見直しに加え、情報システム全体にわたって XDR（サイバー攻撃を受けた際、攻撃の痕跡を検知、可視化することで、インシデントの調査、原因特定、対処を行う機能）を強化しました。

リリース文（アーカイブ）

【2024年12月16日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-451】カシオ計算機株式会社 ランサムウェア攻撃による情報漏えい等調査結果について 2025/1/7

 

カシオ計算機株式会社（以下「当社」といいます）が2024年10月11日に公表いたしました通り、当社のサーバーがランサムウェア攻撃を受けた不正アクセス事案につきまして、お客様及び関係者の皆様には多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

当社は、外部のセキュリティ専門家の支援を受けながら、本件の不正アクセスの原因特定、被害状況の確認等のフォレンジック調査を行って参りました。この度、当該調査が現在可能な限りで完了し、改めまして、個人情報を含む当社の内部資料に関するデータの一部が外部に流出したことを追加でご報告申し上げます。詳細は以下の通りとなります。

なお、本件に関する従前の経緯については、2024年10月8日付けの「当社ネットワークへの不正アクセスによるシステム障害について」及び同月11日付けの「当社におけるランサムウェア被害に伴うサービスの一部停止と情報漏えいに関するお知らせ」をご参照ください。また、新たに公表すべき事実が判明した場合は、速やかに当社ホームページにてお知らせいたします。

1. 調査結果

2024年10月5日、当社のサーバーが海外から不正アクセスを受け、ランサムウェア攻撃によりシステムが使用不能にされました。調査の結果、この原因としまして、昨今のサイバー攻撃の増加を受け、当社はシステム・セキュリティの強化を推進して参りましたが、フィッシングメール対策及び海外拠点を含むグローバルでのネットワークセキュリティ体制に一部不備があったため、海外からの巧妙なランサムウェア攻撃に対処できなかったことにあります。

ランサムウェア攻撃に伴い個人情報を含む社内資料のデータの一部が窃取され、データ流出を確認しました。当該流出データを調査したところ、下記「2．漏えいが確認された個人情報」に記載した個人情報が含まれていることを確認しております。

上記の他、顧客データベースやお客様の個人情報を扱うシステムからデータが窃取された痕跡は確認されませんでした。

2. 漏えいが確認された個人情報

調査の結果、ランサムウェア攻撃を受けたサーバーを中心に、当社が社内業務用に保管していた社内文書等のデータの一部が流出していることが確認されました。

流出した社内文書には当社従業員に関する個人情報が含まれ、また、一部のお取引先様やお客様に関する情報も含まれていたことが確認されております。

調査の結果を踏まえ、対象のお取引先様及びお客様の特定を進めており、特定次第、個別にご連絡をさせて頂きます。当社は、個人の大切なプライバシーを保護するために、必要な措置を積極的に講じてまいります。

なお、漏えいが確認された個人情報の中にクレジットカード情報は含まれておりません。

流出が確認された個人情報

当社の従業員（派遣社員、契約社員等を含みます）に関する情報：6,456人

• 国内の従業員に関する氏名、社員番号、メールアドレス、所属、人事情報（5,509人）
• 一部の従業員については上記に加えて、性別、生年月日、身分証明書記載情報（10名）及び家族の氏名、住所、電話番号等（97人）が含まれます。
• 国内外グループ会社の一部の現地従業員に関する氏名、メールアドレス、本社システムアカウント情報（881人）
• 過去に所属していた一部の海外グループ会社現地従業員に関する氏名、納税者番号、人事情報（66人）

当社のお取引先様に関する個人情報：1,931人

• 当社及び当社のグループ会社（海外を含む）のお取引先様の窓口担当者又は代表者の氏名、メールアドレス、電話番号、所属会社名、会社住所等（1,922人）
• うち2人については上記以外に、身分証明書記載情報が含まれます。
• 過去に当社の採用面接を受けた方の氏名、メールアドレス、電話番号、住所、経歴情報（9人）

お客様に関する個人情報：91人

• 国内で配送設置を伴う一部の製品を購入されたお客様の配送先住所、氏名、電話番号、購入日、商品名等

流出が確認されたその他の情報

• 一部のお取引先様との請求書、契約書、売上等に関するデータ
• 会議資料、内部検討資料等に関するデータ
  ※インサイダーにかかわる情報の流出は確認されておりません。
• 社内のシステムに関するデータ

※これまでお知らせいたしました通り、当社のアプリやサービスに利用されるCASIO ID及びClassPad.netサービスのシステムは今回の不正アクセスを受けたサーバーとは別のシステムで稼働しており、本件不正アクセスの影響を受けておりません。

※2024年12月3日、個人情報保護委員会へ確報を提出しております。また、海外のデータ保護監督当局に対しても、適用される法令に基づき適時に必要な報告を実施しております。

※当社は、捜査機関、外部の弁護士及びセキュリティの専門家にも相談し、不正アクセスを行ったランサムウェアグループからの不当な要求には一切応じていません。

3. 再発防止策

セキュリティの専門家の支援、監修のもと、海外拠点を含むグループ全体のITセキュリティの強化を継続的に実施してまいります。

情報管理体制の見直しを行い、ルール徹底のために社内教育を強化することにより再発防止に努めてまいります。

4. サービスの再開

現時点で、一部の個別サービスを除き、システム障害により稼働停止していた当社のサービスは、安全性を確認の上、再開いたしました。ご利用者の皆様には、長らくの間ご不便をおかけし申し訳ございませんでした。

5. 二次被害防止のためのお願い

現在までに、当社従業員から、いくつかの本件不正アクセスとの関連性をうかがわせる迷惑メールの二次被害が確認されたとの報告を受けております。なお、当該迷惑メールは当社従業員に送付されたものであり、現時点で、お取引先様やお客様に対する二次被害等のご連絡は受けておりません。

関係者のプライバシーと安全を守り、二次被害を防止するため、SNS等を通じた情報等の拡散はお控えくださいますよう、皆様にご協力をお願い申し上げます。

迷惑メールの送付や関連したフェイク情報の発信、漏えい情報の対象となった方々や当社及び当社関係会社従業員等への誹謗中傷その他の迷惑行為が発生した場合は、当社は警察と連携して厳正に対応してまいります。

当社は、上記の再発防止策に真摯に取り組み、お客様、お取引先様等関係者の皆様に信頼いただける商品とサービスをご提供するとともに、当社の従業員関係者にも安心してともに働ける企業となれるよう、日々改善を実践してまいります。

ご迷惑をおかけすることになった関係者の皆様には、改めまして深くお詫び申し上げます。

リリース文（アーカイブ）

【2024年10月11日リリース分】

リリース文（アーカイブ）

【2024年10月8日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-568】クックパッド株式会社 インスタグラム公式アカウントの復旧のお知らせ 及び 個人情報漏えいのおそれに関するお詫びとお知らせ 2024/12/27

 

いつもクックパッドをご利用いただき、誠にありがとうございます。

この度、インスタグラム公式アカウント「cookpad_jp」（以下「対象アカウント」といいます。）が第三者（以下、乗っ取った第三者を「第三者」といいます。）に乗っ取られたことにより、対象アカウントのダイレクトメッセージ機能内に記載されていた個人情報が、第三者に閲覧された可能性がある事象が発生いたしました。

対象アカウントの乗っ取りは、2024年12月17日に発生し、同月22日に解消しておりますが、乗っ取られていた期間内において、第三者がログインできる状態であったため、個人情報が第三者に閲覧される状態となっておりました。

対象となるご利用者様にはご不安とご心配をおかけしましたこと、お詫び申し上げます。今回の件を厳粛に受け止め、SNSアカウントの管理を厳に行って参ります。

本件に関する経緯及び詳細は以下の通りです。

【原因】

対象アカウントに対して送られたフィッシングメッセージを経由して第三者がログインされたことによって、対象アカウント内の情報が第三者に閲覧されてしまいました。

【影響を受けた範囲】

‐時期

　2024年12月17日〜2024年12月22日

‐第三者から閲覧可能となった個人情報及びその対象人数

　項目：氏名、メールアドレス、電話番号のいずれかの項目

　人数：55名

【対応策】

現時点で対象アカウントの復旧がなされ、新たな乗っ取りがなされぬよう対策を講じております。

リリース文（アーカイブ）

【2024年12月24日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-578】福岡市教育委員会 個人情報の流出事案について 2024/12/26

 

市立中学校において、教員の不注意により、ネットワーク上の教員専用フォルダのアクセスコードを示した結果、生徒２人が保存されていた生徒の配慮事項などの個人情報を閲覧したこと、また、その情報が数人に流出していることが判明しました。

生徒・保護者をはじめ関係者の皆様に深くお詫びするとともに、再発防止に努めてまいります。 

１ 経緯

令和６年５月 

教員が授業中に、教材提示のため、パソコン画面をプロジェクターで投影した際、ネットワーク上の教員専用フォルダのアクセスコードを不注意により表示してしまったため生徒が知りえる状況となった。

５月～７月 

アクセスコードを知った生徒２名が、授業で使用するタブレット端末から教員専用フォルダにアクセスし、保存されているファイルを閲覧した。

発覚後、学校は速やかにアクセスコードを変更し、閲覧できない状態にした。

７月～９月 

アクセスした生徒のうち１名が、タブレット端末で画面のスクリーンショットを行い友人と共有した。その後タブレット端末の画面をスマホで撮影したことにより、複数の者に流出した。

11 月 

同学年生徒の保護者から、教育委員会にファイルが流出しているとの情報提供があった。

11 月～12 月 

教育委員会で関係者に追跡調査を行った結果、ファイルの流出を確認し、データの削除を行った。

２ ファイルに記載された個人情報

中学３年の生徒の健康上、生徒指導上の配慮事項

(アレルギー、長期欠席、その他生徒への支援事項) 49 名分

３ 事案発生後の対応状況

ファイルを閲覧した者（12 名）に確認を行い、保存していたファイルは削除要請し、その後のファイルの流出は確認されていない。 

４ 再発防止策

〇授業で使用するファイルと個人情報を含むファイルを分離して保存し、その運用を徹底。

〇全教員に情報リテラシー教育と福岡市教育情報セキュリティポリシーの周知・徹底。

〇児童生徒へ、情報モラル教育の徹底。 

リリース文（アーカイブ）

【セキュリティ事件簿#2024-478】株式会社別大興産 ランサムウェア被害に伴う情報漏えいのおそれに関するお知らせ 2024/12/26

 

お客さまをはじめ関係者の皆さまにご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

10月24日未明に発生したランサムウェア被害について、既報の通り、弊社ネットワークへの悪意ある侵入が確認されたことから、複数のセキュリティ専門会社により、弊社ネットワークおよびシステム全体のセキュリティ調査を行い、①侵入経路、②サーバ情報への不正アクセス、③情報の持ち出しについて検証しました。

検証結果は以下の通りです。

①弊社ネットワークへの侵入経路について、当社が業務委託を行った西日本電信電話株式会社大分支店が納入したセキュリティ機器の設定不備を突いて侵入した形跡が確認されました。

②侵入後、弊社サーバ等に悪意のあるアクセスを許し、セキュリティを突破されたことが判明しています。

③情報の持ち出しについて、ログ解析及びダークウェブ調査（～12/25）の結果から、情報の持ち出しの証跡はなく持ち出しを確認することができていません。

以上の調査結果をふまえ、安全な業務再開に向けて、以下の対処を実施しています。

・侵入経路におけるセキュリティ対策について

－委託会社納入端末の設定不備は既に解消済

・サーバのセキュリティ対策について

　　　－被害にあったサーバは使用せず、新たに再構築済

　　　－被害にあったサーバにて管理されていたID/PWを全て変更済

・更なる安全運用にむけた取り組み　（12月末を目途に実施予定）

－サーバ・NW機器・端末への常時監視通知機能の導入

－各機器に実装されているセキュリティ機能の強化（多要素認証等）

　　　－ダークウェブ調査の継続

以上、弊社内システム・ネットワーク全体で、より強固なセキュリティ対策を講じ、安全な事業運営に努めます。

改めましてご心配とご迷惑をおかけしておりますことをお詫び申し上げます。

リリース文（アーカイブ）

【2024年11月18日リリース分】

リリース文（アーカイブ）

【2024/10/28リリース分】

リリース文（アーカイブ）

【2024年10月25日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-525】熊本県 くまもとグリーン農業ホームページへの不正アクセスによる個人情報流出の可能性について 2024/12/25

 

県が運用しているくまもとグリーン農業ホームページの一部が外部からの攻撃を受け、県が管理している生産宣言者及び応援宣言者の個人情報の一部（氏名、住所、電話番号）が漏えいした可能性があります。

11月26日（火曜日）12時頃、委託先のアクセスログ解析により、当該ページに対して大量のアクセス（計21,074回）が行われ、過負荷状態となってダウンしたことが判明し、11月29日（金曜日）に脆弱性を有していた当該ページは閉鎖しました。

12月3日（火曜日）にデータベースから非公表情報を削除するとともに、今後、新たに宣言される方の非公表情報もデータベースに取り込まないよう、プログラムを修正し再発防止対策を強化しました。

くまもとグリーン農業に取り組まれている宣言者や応援いただいている皆様には多大なるご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。

なお、漏えいの可能性がある宣言者の方には文書で通知しており、12月20日（金曜日）時点で実害を伴う問い合わせはいただいておりませんが、不審な電話等がありました場合は、お手数ですが下記連絡先にご連絡いただきますようお願いします。

【2024年11月30日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-465】駿台観光&外語ビジネス専門学校 不正アクセスによる情報漏洩の可能性について 2024/12/20

 

日頃より本校の教育活動にご理解・ご協力をいただき、心より感謝申し上げます。

さて、令和6年10月18日 (金) に発生した第三者からの不正アクセスによる情報漏洩の可能性については、法人の情報関連部門による緊急対策部門の主導のもと、個人情報保護委員会ならびに警察に報告を行うともに、外部の専門機関に原因の各種調査・分析を依頼して情報漏洩の有無を確認するとともに、システムや情報の復旧等の対応を行ってまいりました。

その結果、一連の調査から、学校内の情報の一部が使用不能となりその情報には学校内の事務関連の情報の他、一部の学生の氏名などの個人情報が含まれていたことも判明しました。

よって、本学として、専門機関へ各種内部情報がリークサイトやダークウェブ等に掲載されたかどうか継続的な監視依頼を行い、本学情報の掲載や公開の有無について調査を実施いたしましたが、本学の情報の掲載や公開は確認されませんでした。

よって、個人情報保護委員会へネットワークやパソコン環境の調査、分析、ならびに継続的な監視の結果、情報漏洩の事実が確認されなかったこと、また再発防止策を講じたとして、1 2月 1 6日付で確報を提出いたしましたことをご報告申し上げます。

本学では引き続き、外部の専門機関の指導を受け、ネットワーク環境を再構築、不正アクセス防止の強化、監視体制の更なる強化を図るなど、より高度な情報セキュリティ対策を行うとともに、併せて、教職員への情報セキュリティに関する教育と意識向上に努めてまいります。

リリース文（アーカイブ）

【2024年11月1日リリース分】

リリース文（アーカイブ）

【2024年10月18日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-490】株式会社カナモト 当社ネットワークへの不正アクセスによるシステム障害について 2024/12/18

 

当社は2024年11月6日に情報システムの一部に異常が発生したことを検知し、外部からのサイバー攻撃による不正アクセスにより システム障害が生じていることをお知らせいたしました。この度、外部専門機関による情報漏洩の有無等の調査が完了いたしましたので 当該調査結果及び再発防止に向けた取り組みについてご報告いたします。

1.調査結果について

外部専門機関による詳細な調査の結果、社内データが外部に持ち出された具体的な痕跡並びに情報流出の事実は確認されませんでした。

また、当社の内部情報が外部において不正に公開されている事実や二次被害についても現時点において確認されておりません。

2.再発防止に向けたセキュリティ強化策

本件を受け、当社は従来のセキュリティ対策に加え、次の再発防止策を実施および予定しております。

• 認証システムの見直しによる強化
• ネットワークセキュリティの再構築と監視体制の強化
• セキュリティ意識の向上に向けた従業員教育の再徹底

なお、現時点において当社のシステムは復旧しており、正常に業務を行っております。

関係者の皆様には、ご心配およびご迷惑をおかけいたしましたことを深くお詫び申し上げます。

リリース文（アーカイブ）

【2024年11月8日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-469】宮崎大学 メールアカウントの不正利用事案について 2024/12/13

 

令和6年10月22日に本学Webサイトにてご報告いたしました標記の件について、改めてご報告させていただきます。

先般、本学のメールアカウントが何者かに不正に利用され、大量の迷惑メールが送信されるという事案が発生しました。その際、当該メールアカウントの過去の送受信メールが漏洩した可能性があります。

現時点では、当該事案による二次被害は確認されておりませんが、皆様にご心配とご迷惑をお掛けしましたことを、改めて深くお詫び申し上げます。

本学といたしましては、今回の事態を重く受け止め、真摯に対応していくとともに、再発防止について全学をあげて取り組んでまいります。

【本事案により漏洩の可能性のある個人情報】

　・対象メール数 23,325通

　・対象メール内の学外者の個人情報 16,904件

　・対象メール内の学内者の個人情報 2,370件

　・個人情報の種類

　　　氏名、所属、役職、メールアドレス、住所、電話番号

【経緯】

令和6年10月16日午後から、本学の特定のメールアドレスに外国から大量の配信不能メールが届くようになったため学内で調査したところ、何者かが当該アドレスを使用し、迷惑メールを送信していたことが判明しました。

使用された当該メールアドレスのファイルを確認したところ、個人情報が含まれていたことを令和6年10月17日に確認しました。

【原因】

当該メールアドレスに設定されていたパスワードの脆弱性によるものです。

【対応状況】

1. 学外からのアクセス遮断について

不正アクセス防止のため、令和6年11月18日（月）に全てのメールアカウントに対し学外からのアクセスの遮断を実施しました。

2.メールアカウントのパスワード変更・無効化処理

全てのメールアカウントの利用状況調査を実施し、脆弱性のあるパスワードについては強固なパスワードに変更しました。また、利用状況調査の中で廃止申請があったアカウントについては、削除処理を実施しました。

3. 個人情報保護委員会等への報告

本事案については、個人情報保護委員会、文部科学省及び警察にも報告しております。

4. 対象者の方々への謝罪

現在、個人情報漏洩の可能性のある関係者の方々に対しまして、報告及び謝罪のご連絡をしています。

【今後のセキュリティ対策・方針】

1. 定期的なパスワード変更の実施について

定期的にメールアドレスのパスワードを変更する運用とします。変更されないメールアドレスについては無効化いたします。

2. 定期的な点検と研修について

情報セキュリティ運用ルールの不断の見直し、定期的な研修及び内部点検を通じて、更なるセキュリティ強化を図ることとしています。

このたびは、関係者のみなさまに多大なご迷惑とご心配をお掛けしましたことを、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【2024年10月22日】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-498】西久大運輸倉庫株式会社 当社サーバへの不正アクセスに関する調査結果のご報告 2024/12/10

 

平素は格別のお引き立てを賜り厚く御礼申し上げます。

当社サーバへの不正アクセスに関しまして、お客さまをはじめ関係者の皆様に多大なるご心配とご迷惑をおかけしておりますこと、深くお詫び申し上げます。

2024 年 10 月 22 日以降、外部専門家の協力のもと進めてまいりました本事案に関する調査が完了しましたので、当該調査結果および再発防止に向けた取り組みにつきましてご報告申し上げます。

なお、当社のシステムは現時点でほぼ復旧しており、今後も継続的にセキュリティ対策の強化を図ってまいります。

１．概要

2024 年 10 月 22 日、当社のサーバにおいてランサムウェアによる不正アクセスを受けたことを確認いたしました。当該事象の確認後、被害拡大を防止するために直ちにネットワークの遮断等の対応を実施し、外部専門機関の協力のもと、被害範囲の特定、原因や侵入経路の調査を開始いたしました。

なお、本件につきましては、警察や個人情報保護委員会等の各関係機関への報告を行っております。

２．調査結果について

外部専門機関による調査の結果、すべての可能性を否定することはできませんが、被害サーバに対しては情報漏えいの痕跡は無く、情報閲覧の痕跡についても確認されませんでした。

また、現時点では外部に不正に公開されている事実や、二次被害の報告もございません。

３． 今後の対応

当社は、不正アクセスを受けたことを重く受け止め、不正アクセス対策の観点から、情報システムに関する監視体制や認証方法の強化など、セキュリティ体制を強化し、再発防止に向けて総力を挙げて取り組んでまいります。

改めまして、本件によりお客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしましたことを、深くお詫び申し上げます。

リリース文（アーカイブ）

【2024年10月30日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-547】三興空気装置株式会社 サイバー攻撃によるシステムの停止事案の経緯報告 2024/12/11

 

2024年10月24日付「当社におけるサイバー攻撃によるシステムの停止事案発生のお知らせ」にて公表したとおり、同月21日、当社のネットワークが第三者（以下、「不正アクセス者」といいます）により不正にアクセスされ（以下、「本件不正アクセス」といいます）、当社のシステムに障害が生じるという事態が生じました。

その後当社は、システム保守会社の協力を得てシステムの復旧に努めると共に、第三者専門業者に依頼して不正アクセスに関する調査を実施し、システム障害の原因の特定及び情報漏洩の可能性の確認を進めて参りました。具体的には、10月25日に第三者専門業者によるフォレンジック調査が開始され、11月28日にその調査が完了しております。

お客様及び関係する皆様には重ねてお詫びを申し上げますとともに、これまでの調査によって判明した本件に関する概要につきまして、下記のとおりご報告いたします。

１　本件不正アクセスの態様と被害の状況

不正アクセス者は、2024年10月21日15時51分、VPN接続を経由しguestアカウントを悪用して当社のネットワークにアクセスし、同日夜から当社のシステム・サーバーに対してリモートランサムウェア攻撃（ネットワーク上に存在するデータを暗号化する攻撃）を行いました。なお、アクセス元は日本国外（リトアニア）であることが確認されており、本年8月31日と9月13日にも当社のネットワークに対する不正アクセスが行われていた事実も認められています。

この攻撃により、当社の一部サーバー及びパソコンのデータが暗号化されて使用不能となり、また、サーバー内には「身代金」の支払いを求めるメッセージが残されていました。

２　情報流出について

第三者専門業者の調査によると、外部への情報流出の形跡は確認されなかったとの報告を受けています。いわゆるダークウェブ上のリークサイトにおいても当社の情報は確認されず、また、当社のサーバー内に残されたメッセージから不正アクセス者の目的が不当な金員の要求という点にあったと思われることを踏まえても、本件不正アクセスにより、当社が保管する何らかの情報が外部に流出したことはないものと認識しております。

３　本件不正アクセスに対する当社の対応について

当社は、本件不正アクセスに関し、10月28日に個人情報保護委員会に対して報告をし、所轄の警察署に対しても10月24日に被害申告をしております。なお、当社から不正アクセス者に対する連絡は、一切行っておりません。

４　再発防止について

第三者専門業者の調査結果から当社VPN装置の脆弱性が本件不正アクセスの原因の１つと考えられたことを踏まえ、多要素認証の実装等の不正アクセスに対するセキュリティー強化を行うなど、今後、同専門業者のアドバイスを受けながら、再発防止に向けた対策、体制整備に努めて参ります。

本件でご迷惑とご心配をおかけした皆様には改めてお詫び申し上げます。

今後は当社の信頼性を回復させるべく社員一丸となって取り組みを進める所存です。

引き続きのご支援を賜りますよう何卒宜しくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-542】株式会社三恵 弊社が運営する「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」への不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ 2024/12/9

 

このたび、弊社が運営する「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」（https://www.brassiere-shorts.jp）の旧サイト（既に閉鎖済み。以下「旧サイト」といいます。）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等（71,943 件）を含む個人情報（292,707 件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報等及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024 年 6 月 26 日、一部のクレジットカード会社から、旧サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受けました。

弊社の現サイトは上記連絡を受ける以前の 2024 年 5 月 15 日に新システムへ移行しておりましたが、あらゆる可能性を考慮に入れて、2024 年 7 月 16 日、現サイトでのカード決済を停止いたしました。

また、第三者調査機関による調査も開始いたしました。2024 年 9 月 24 日、調査機関による調査が完了し、2019 年 12 月 27 日～2024 年 5 月 15 日の期間に旧サイトで商品を購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、また 2024 年 5 月 15 日までに旧サイトにおいて登録されたお客様の個人情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社では、クレジットカード情報を保有しておりませんでしたが、旧サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報等漏えいの可能性があるお客様

2019 年 12 月 27 日～2024 年 5 月 15 日の期間中に旧サイトにおいてクレジットカード決済をされたお客様 71,943 名につきまして、以下の情報が漏洩した可能性がございます。

なお、弊社の店舗及び旧サイト以外の通販サイトで弊社の商品を購入されたお客様は対象外となります。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

・メールアドレス

・郵便番号

・電話番号

(3)個人情報のみ漏洩の可能性があるお客様

2024 年 5 月 15 日までに旧サイトをご利用されたお客様 292,707 名で、漏洩した可能性のある情報は以下のとおりです。

・氏名

・生年月日（任意入力項目）

・性別（任意入力項目）

・住所

・電話番号

・メールアドレス

・旧サイトのログインパスワード（暗号化済み）

・注文情報

上記(2)及び(3)に該当するお客様につきましては、別途、電子メールに個別にご連絡申し上げます。なお、電子メールにてお届けできなかったお客様につきましては、書状にてご連絡させていただきます。

3.お客様へのお願い

(1)クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記 2.(2)に該当するお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2)他のサイトにおけるログイン ID・パスワード変更のお願い

旧サイトのログインパスワードが漏洩対象となるお客様におかれましては、他のサイトで旧サイトと同一の値のログイン ID・パスワードを使用されている場合には、念のため、当該他のサイトにおいてログイン ID・パスワード変更のお手続をしていただきますようお願い申し上げます。

(3)不審なメール及び電話への注意喚起

身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.再発防止策ならびにクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

なお、不正アクセスがあった旧サイトは、既に閉鎖しており、新たな情報漏洩は発生しない状況にあります。現サイトは、2024 年 5 月 15 日以降、旧サイトとは独立した全く別の新しいシステムを用いた環境で運営しており、新システムの安全性は確認済みであるため、現在はクレジットカードによる決済を除く決済方法で運用しております。

現サイトにおけるクレジットカード決済の再開日につきましては、決定次第、改めてWeb サイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2024 年 7 月 1 日に報告済みであり、また、警視庁にも 2024 年 6 月 28 日に被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-471】KCJ GROUP 株式会社 不正アクセス発生による一部のお客様の個人情報流出に関するお詫びと調査結果のご報告 2024/12/6

 

弊社が運営するキッザニアの Web サイトへの外部第三者による不正アクセスがあり、個人情報流出のおそれがあることを、2024 年 10 月 22 日に「不正アクセス発生による一部のお客様の個人情報流出のおそれのお知らせとお詫びについて」として発表いたしました（https://www.kidzania.jp/corporate/common/pdf/241022_release.pdf）。

この度、外部専門機関の協力も得ながら詳細調査を実施した結果、2024 年 10 月 17 日以前にキッザニア東京の予約時にご登録された一部のお客様の個人情報 24,644 件が流出したことが判明したため、下記の通りご報告いたします。

お客様および関係する皆様に多大なるご迷惑とご心配をおかけすることを心より深くお詫び申し上げます。

なお、調査結果をふまえ、対象となったお客様には、本日より、電子メールまたは電話にてお詫びとお知らせを個別にご連絡差し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様および関係する皆様には重ねてお詫び申し上げます。

１．経緯

2024 年 10 月 16 日に、弊社が運営する Web サイトへの不正アクセスを検知し、防御措置を行っておりましたが、10 月 17 日に個人情報流出のおそれがあることが判明し、同日に情報流出の遮断措置を実施いたしました。本件は第一報として 10 月 22 日にプレスリリースを発表いたしました。その後、外部専門機関の協力を得て不正アクセスによる影響範囲を調査し、流出した対象者の確定を完了し、本日の発表に至りました。

なお、弊社は今回の不正アクセスにつきまして、個人情報保護委員会への報告と所轄警察署への届け出を完了しております。

２．個人情報流出状況

（１）原因

弊社が運営するキッザニアの Web サイトのプログラムの一部にセキュリティの脆弱性があり、外部より不正アクセスを受けたことが原因です。当該箇所は既に修正し、セキュリティ対策は完了しております。

（２）本事案の対象となった個人情報

2024 年 10 月 17 日以前にキッザニア東京の予約時にご登録された一部のお客様の個人情報（内容は以下の通り）24,644 件です。

・氏名

・メールアドレス

・電話番号

・住所

なお、予約時にご利用されたクレジットカード情報や、お子様含め予約者以外の個人情報の流出はございません。キッザニア甲子園、キッザニア福岡への来場予約時に登録された情報の流出もございません。

また、現在まで個人情報の公開や不正使用などの二次被害の発生は確認されておりません。

３．お客様への対応について

 本事案の対象となるお客様には、キッザニア東京の予約サイトにご登録いただいたメールアドレスまたは電話番号宛に、本日から順次個別にご連絡を差し上げます。該当されないお客様への個別のご連絡は行いませんので、あらかじめご了承ください。

４．再発防止にむけて

弊社は、今回の事態を重く受け止め、今後同様の事象が発生しないよう、システム全体に改めて外部専門機関による脆弱性調査の上、必要な対策を実施済みですが、今後も更に強固なセキュリティの構築を図ってまいります。

リリース文（アーカイブ）

【2024年10月22日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-221】あいざわアセットマネジメント株式会社 個人情報の流出について 2024/12/6

先般、あいざわアセットマネジメント株式会社（以下、「弊社」）の利用するクラウド e メールサービスへ外部からの不正アクセスによる情報漏えいが発生していることが判明したことを 2024 年 5 月 31 日に弊社公式ホームページにて公表いたしました。

この度、2024 年 7 月 8 日付で第三者調査機関（外部セキュリティ専門家）による不正アクセスの原因等を特定するためのフォレンジック調査とダウンロードされたメールの特定を行うための追加調査が完了いたしました。

それらの調査結果を踏まえ弊社により漏えいした個人情報の項目等の特定を行うための内部調査が2024 年 11 月 15 日に完了いたしましたので、以下の通りお知らせいたします。

お客様に多大なご心配とご迷惑をおかけする事態となりましたことを深くお詫び申し上げます。弊社では今回の事態を厳粛に受け止め、再発防止策の実施に全力を尽くしてまいります。

また調査対象が多岐にわたり、最終報告まで時間がかかりましたことを、重ねてお詫び申し上げます。

１．概要

2024 年 5 月 13 日、811 通の投資を促すスパムメールが弊社の特定の社員（以下、「当該社員」）から顧客等へ送信され、弊社でもスパムメールを受信し当該事態の発生を確認いたしました。当該事態を確認したことで被害拡大防止措置として当該社員のパスワードの変更を同日実施いたしました。

当該事態は、当該社員のクラウド e メールサービスのメールサーバーに保存されていたメール約 2年分が 2024 年 4 月 28 日から 5 月 13 日にかけ複数回の不正アクセスによりダウンロードされ漏えいしたことが 2024 年 5 月 15 日に発覚、同日、スパムメールを受信された顧客等へお詫びのメールを送らせていただきました。

２．漏えい等が発生し、又は発生したおそれがある個人情報の人数と漏えい等が発生した個人情報の項目

調査により 2,540 人の個人情報が漏えいしたことが判明いたしました。なお、漏えいした個人情報の項目と人数の詳細は以下の通りとなります。

（１）金融商品取引業者としての弊社の顧客等

金融商品取引業として契約等を締結している弊社の顧客となります。

◆漏えいした個人情報項目

契約先個人名、メールアドレス、法人名、所属部署・役職、住所（個人）、生年月日、電話番号（法人、個

人）、国籍、性別、顔写真等、パスポート番号、略歴、銀行口座、免許証番号

◆漏えいした個人情報の人数

顧客としての個人情報が漏えいした数は 94 人。 

（２）金融商品取引業者としての顧客以外の顧客に準じる取引先等

①：上記、弊社顧客には該当しませんが、ファンドの投資家等として今回調査を行った顧客に準じる取引先となります。

◆漏えいした個人情報項目

担当者名、メールアドレス、法人名、所属部署・役職、電話番号等

◆漏えいした個人情報の人数

個人情報が漏えいした数は 135 人。

②：①に該当しない取引先として今回調査を行った先は以下の通りとなります。

②-1：弊社が金融商品取引契約の顧客となっている取引先

◆漏えいした個人情報項目

担当者名、メールアドレス、法人名、所属部署・役職、電話番号等

◆漏えいした個人情報の人数

個人情報が漏えいした数は 36 人。

②-2：②-1 以外の弊社が金融商品取引契約の顧客であり業務委託を受けている取引先とその関係先

◆漏えいした個人情報項目

個人名、メールアドレス、法人名、所属部署・役職、住所、電話番号、家族の個人名、生年月日（本人以

外）、電話番号（本人以外）、続柄、住所（本人以外）

◆漏えいした個人情報の人数

個人情報が漏えいした数は 48 人。 

（３）顧客、顧客に準じる取引先以外の関係先及び取引先等

金融商品取引法における契約を締結している（1）弊社顧客、（2）顧客以外の顧客に準じる取引先等以外で個人情報が漏えいした関係先及び取引先は下記の通りとなります。

③-1：ファンドを運営する関係者で弊社もしくはファンドの顧客等（証券会社、アドミニストレータ、弁護士事務所等ファンドの運営にかかわる者）

◆漏えいした個人情報項目

担当者名、メールアドレス、法人名、所属部署・役職、電話番号、会計士番号等

◆漏えいした個人情報の人数

個人情報が漏えいした数は 689 人。

③-2：投資家候補、同業者、投資先、投資先関係者等

◆漏えいした個人情報項目

担当者名、メールアドレス、法人名、所属部署・役職、電話番号、パスポート番号、住所、年齢等

◆漏えいした個人情報の人数

個人情報が漏えいした数は 1,103 人。

③-3：物販業者、情報ベンダー、人材紹介会社等弊社が利用している業者等

◆漏えいした個人情報項目

 担当者名、メールアドレス、法人名、所属部署・役職、電話番号、住所、銀行口座等

◆漏えいした個人情報の人数

個人情報が漏えいした数は 178 人。

③-4：プロバイダーのドメインや知人、採用申込者等

◆漏えいした個人情報項目

名前、メールアドレス、法人名、所属部署・役職、電話番号等

さらに、採用申込者については、性別、住所、電話番号、生年月日、年齢、略歴、顔写真、趣味

◆漏えいした個人情報の人数

個人情報が漏えいした数は 148 人。 

③-5：その他（上記に分類出来ないもの）

上記のいずれの分類にも属さないが、弊社または弊社宛て業務委託先と業務上の関連がある先。

◆漏えいした個人情報項目

担当者名、メールアドレス、法人名、所属部署・役職、電話番号、略歴、写真等

◆漏えいした個人情報の人数

個人情報が漏えいした数は 47 人。

③-6：監督省庁、行政機関、協会等

◆漏えいした個人情報項目

担当者名、メールアドレス、法人名、所属部署・役職、住所等

◆漏えいした個人情報の人数

個人情報が漏えいした数は 62 人。 

３．発生原因

定期的なパスワードの変更がなされていなかったこと、二段階認証の導入を検討するものの対応せずにいたことで弊社のセキュリティ対策が脆弱な状態となっていたことが原因となります。

また、フォレンジック調査によると、漏えいした原因の可能性として、当該社員が外部サイトに登録しているパスワードが漏えいした可能性を指摘されています。パスワードが洩れた原因については特定出来ませんでした。

４. 二次被害又はそのおそれの有無及びその内容

弊社、内部調査では、スパムメールに添付されていたファイルは開封が可能でしたので、開封しても何かしらのウィルスを有するものではなくランサムウエア、マルウエアでは無かったことを確認しています。（弊社で開封したユーザーの PC においてウィルス検査を行った限りとなります。）

今後、漏えいしたメールアドレスや個人情報を利用し第三者から投資を促すようなメール等が送られてくる可能性がございますので不審なメールを受信した際にはご注意いただきますようお願い申し上げます。

５. 個人情報が漏えいした方への対応の実施状況

当該事態発生後、速やかに顧客の方に対して説明をさせていただきました。今回、最終報告にあたり改めて弊社顧客の方へ漏えいした個人情報の項目等につきご説明をさせていただきました。

６. 公表の実施状況

2024 年 5 月 31 日付で第 1 報、6 月 14 日付で第 2 報となるプレスリリースを行い、今回が最終報告となります。 

７. 再発防止のための措置

再発防止策として以下の通り対応を行いました。

① 定期的なパスワード変更の実施：三ヶ月に一度、パスワード変更を行うことで、今回の発生原因となったセキュリティ対策の脆弱性を改善するため実施いたしました。

② 二段階認証の導入：通常の ID とパスワードによる認証に加え、本人確認のステップを追加させることで、なりすましを防止するように全役職員が対応いたしました。（兼務をしている者については所属会社の規定に従います。）

③ パスワード使いまわしの禁止：フォレンジック調査では、外部サイトへ登録している認証情報が漏えいした可能性が示されています。今後は、全役職員に対してパスワードの使いまわしを禁止するよう注意喚起を行いました。

④ 個人情報、サイバーセキュリティに対するリテラシー向上：グループ会社のアイザワ証券と協力し、研修等を通じて個人情報、サイバーセキュリティに対するリテラシー向上に努めます。

８. その他参考となる事項

弊社顧客の個人情報以外に弊社役職員（退職者を含む）及びその扶養家族の方の特定個人情報 9 人が漏えいし、こちらは個人情報保護委員会へ 2024 年 7 月 10 日付で届出を完了しております。 

リリース文（アーカイブ）

【2024年5月31日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-538】大阪公立大学医学部附属病院 個人情報の漏洩のお詫びとお知らせ 2024/12/3

 

当院において、患者さまの個人情報が漏洩する事案が発生しました。

現時点で本事案による被害等は確認されていませんが、当該患者さまに対し、ご心配、ご迷惑をおかけしたことを改めてお詫びするとともに、改めて個人情報の取り扱いに係る適切な管理を徹底し、再発防止に努めてまいります。

１ 概要

当院と当院の医療連携登録医（以下、登録医）との間で当院カルテを共有閲覧する地域医療情報連携ネットワーク（以下、同ネットワーク）にて、通常、表示されるべきでない患者一覧が表示され、登録医が閲覧可能な状態であった。

２ 経緯および対応等

⚫ 2024 年 11 月 28 日（木）17：30 ごろ

当院職員が本事案を発見し、直ちにシステム委託業者へ状況の確認・調査を依頼する。

⚫ 2024 年 11 月 29 日（金）9：00

患者一覧の非表示設定を行い、本事象を改善する。原因の調査を引き続きシステム委託業者へ依頼する。

３ 原因

 地域医療患者一覧表示マスターの誤設定

４ 該当患者数、個人情報および閲覧可能者の範囲

⚫ 該当患者

618 名分（同ネットワークにて、当院と登録医間でのカルテ共有に同意いただいた患者さま）

⚫ 閲覧可能な状態にあった情報

「カナ氏名」「患者氏名」「性別」「年齢」「生年月日」「郵便番号」「住所」

⚫ 閲覧可能者の範囲

閲覧可能な医師： 125 施設 154 名

５ 再発防止策

⚫ システム設定変更の際には必ずマスター登録シートに基づき、チーム内でリスクや影響を確認して作業に着手することの徹底

⚫ 設定変更後は権限設定状況に応じた動作確認および作業完了承認の徹底

⚫ 個人情報保護研修、情報セキュリティ研修において適切な個人情報の取扱に関する認識の徹底

リリース文（アーカイブ）

【セキュリティ事件簿#2024-535】RIZAP株式会社 情報漏えいの可能性に関するお詫びとお知らせ 2024/11/29

 

10月31日に公表させていただきました「情報漏えいの可能性に関するお知らせ」の件、その後の調査により本日時点までに判明している事項につき、お知らせいたします。

本件はデータ取扱いのルール説明および運用の徹底が不十分だったことなどが主な原因であったと考えており、前回の公表以降、当該クラウドサービスの利用ルールを明確化し、外部からの不要なアクセスが発生しない環境を整備しました。現在、当社で利用しているその他のクラウド環境についても、設定調査および継続的に設定状況を監視する仕組みの導入を計画しており、近日中の稼働を予定しております。また、データ取扱いのルール説明・徹底について、再度社内への周知を実施し、従業員への教育を徹底することで再発防止に取り組んでおります。

この度は、お客様ならびに関係者の皆様には大変なご迷惑とご心配をおかけしましたことを、心よりお詫び申し上げます。

本件判明後現時点まで、不正使用や被害が発生した事実は確認されず、二次被害も確認されておりません。また、詳細な調査を行った結果、本事案の対象データには要配慮個人情報やクレジットカード情報等は含まれていない事が確認できております。

今回の事項は以下の通りです。

１． 概要

当社が利用するクラウドサービス上で作成したお客様情報を含む一部のファイルが、アクセス権限の設定誤りにより、アクセス権限を持たない第三者が閲覧可能な状態にあったことが、2024 年 10 月 16 日に従業員により判明しました。

２．情報漏えいしたおそれのある項目と件数

＜項目＞

メールアドレス、氏名、生年月日、性別、住所、電話番号、会員番号など

※漏えいしたおそれのあるデータには、上記すべての項目ではなく、その一部が含まれている状態です。

＜件数及び項目＞

計365,461名

・内、メールアドレス、管理番号　　　　　　　　　： 162,768名

・内、管理番号のみ　　　　　　　　　　　　　　　： 82,867名

・内、メールアドレス、管理番号、性別、契約プラン： 60,654名

・その他　　　　　　　　　　　　　　　　　　　　： 59,172名

※要配慮個人情報やクレジットカード情報等は含まれていないことが確認できております。

※本件判明後現時点まで、これらの情報の不正使用や被害が発生した事実は確認されず、二次被害も確認されておりません。

＜アクセス権限を持たない第三者がアクセスできる状態にあった期間＞　　　　　

2022年1月24日～2024年10月25日　

※対象のデータによって閲覧可能期間は異なります。

※上記のお客様情報は、会員データベースから一時的に抽出したファイルデータであり、上記期間に継続して保管・蓄積していたものではありません。

３．今後の対応について

上記のお客様情報が漏えいしたおそれのある方で、ご連絡先が把握できた皆様には 、本日より順次、お詫びとお知らせを個別にお送りさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のお問合せ窓口を設置いたします。

このたびは、お客様ならびに関係者の皆様に大変なご迷惑とご心配をおかけしましたことを、改めて心よりお詫び申し上げます。皆様に安心してご利用いただけるサービス運営を目指し、全社を挙げて取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-244】株式会社銀時 弊社が運営する「銀時公式通販サイト」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2024/11/25

 

このたび、弊社が運営する「銀時公式通販サイト」（以下、「本件サイト」といいます。）におきまして、第三者による不正アクセスを受け、お客様の個人情報（17,171件）、クレジットカード情報（2,162件）が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報及び個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別に順次ご連絡申し上げております。電子メールがお届けできなかったお客様、ご登録の無いお客様には、書状にて個別に順次ご連絡させて頂きます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2024年5月28日、警察より本件サイトがサイバー攻撃に遭っている可能性があるという連絡を受け、2024年6月3日、本件サイトでのクレジットカード決済を停止し、第三者機関（外部のセキュリティ企業）のフォレンジック調査を実施いたしました。

2024年7月29日、第三者機関による調査が完了し、調査の結果、2021年6月28日～2024年5月30日の期間に本件サイトにてご注文時に入力されたお客様のクレジットカード情報が漏えいした可能性があることを確認いたしました。

2. クレジットカード情報及び個人情報漏えい状況

（1）原因

弊社が運営する「銀時公式通販サイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

（2）クレジットカード情報の漏えいの可能性があるお客様

2021年6月28日～2024年5月30日の期間中に本件サイトにおいてクレジットカード決済をされたお客様は1,850名で、漏えいした可能性のある情報は以下のとおりです。

• クレジットカード番号
• 有効期限
• セキュリティコード

上記に該当する1,850名のお客様については、別途、電子メールにて個別に順次ご連絡申し上げます。電子メールがお届けできなかったお客様、ご登録の無いお客様には、書状にて個別に順次ご連絡させて頂きます。

（3）個人情報が漏えいした可能性のあるお客様（計17,171名〔内クレジットカード情報の漏えいの可能性がある方1,850名を含む。）

①2012年2月21日～2024年5月30日の期間中に本件サイトにおいて会員登録されたお客様で、漏えいした可能性のある情報は以下のとおりです。

• 氏名
• 住所
• 電話番号
• メールアドレス
• 本件サイトのログインパスワード
• 生年月日（＊１）
• その他（職業等）（＊１）

（＊１）会員登録時に当該情報を入力されたお客様のみが対象となります。

②2012年2月21日～2024年5月30日の期間中に本件サイトにおいて商品の購入者として記録されていたお客様（＊２）で、漏えいした可能性のある情報は以下のとおりです。

• 氏名
• 住所
• 電話番号
• メールアドレス　など。

（＊２）商品の購入に際し決済画面に移行したものの、途中でキャンセルとなったお客様情報も含みます。

③2012年2月21日～2024年5月30日の期間中に本件サイトにおいて商品の送り先として記録されていた方で、漏えいした可能性のある情報は以下のとおりです。

• 氏名
• 住所
• 電話番号　など。

④2017年8月26日～2020年12月30日の期間中 に、弊社原宿本店において限定商品（タイアップ商品）に関するイベント（お渡し会）の予約票に、以下の情報をご記入いただいたお客様で、漏えいした可能性のある情報は以下のとおりです（＊３）。

• 氏名
• 住所
• 電話番号
• メールアドレス　など。

（＊３）予約票に当該情報を記載されたお客様のみが対象となります。

上記①～④に該当する17,171名 のお客様については、別途、電子メールにて個別にご連絡申し上げます。電子メールがお届けできなかったお客様、ご登録の無いお客様には、書状にて個別に順次ご連絡させて頂きます。

3. お客様へのお願い

(1)クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2)他のサイトにおけるログインパスワード変更のお願い

本件サイトは現在停止しておりますが、他のサイトで本件サイトと同一の値のパスワードを使用されている場合には、念のため、当該他のサイトにおいてもパスワード変更のお手続をしていただきますよう、併せてお願い申し上げます。

4. 再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。現在、弊社は旧サイトとは完全に分離したシステムでオンラインショップ（新サイト）を運営しております。クレジットカード決済は現在のところ停止しており、再開につきましては決定し次第、改めて新サイト上にてお知らせいたします。

弊社は今回の不正アクセスにつきまして、2024年6月3日の時点で個人情報保護委員会に報告済みであり、また所轄警察署にも被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【2024年6月11日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-513】株式会社ダンダダン 電子メール誤送信によるメールアドレス漏洩に関するお詫び 2024/10/31

 

この度、肉汁餃子のダンダダン公式アプリの一部の会員様に対して電子メールを送信する際、不手際により同報者にメールアドレスが表示される形で一斉送信し、当該会員様のメールアドレスが他会員様に対して流出する事故が発生いたしました。誠に申し訳ございません。

関係者の皆様に、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

このような事態を招いたことを重く受け止め、個人情報の取扱いに対して厳重に注意するとともに運用及び管理体制について再度見直し、再発防止に努めてまいります。

1. 経緯

2024年10月31日（木）11:09～12:01の間に17通

”【肉汁餃子のダンダダン】景品発送のお知らせ”として217名の会員様へ電子メールを送信。

本来、「BCC」にて送信すべきところ、49件のメールアドレスを「To」に記載した状態で送信してしまいました。

２.流出した情報

メールアドレス49件

３.会員様への対応

当該電子メール送信先の49名の会員様に、内容報告及びメールアドレス流出に関するお詫びとともに当該電子メールを受信した217名の会員様へ削除をお願いしております。

４.発生の原因

当社からの電子メールを一斉送信する際に、宛先の入力先の確認作業に不備が生じた事が原因です。

5.再発防止策

当社はこの事態を重く受け止め、電子メールを一斉送信する際の運用フローを見直すとともに、送信前に「BCC」送信で設定されているか複数の従業員によるチェックを徹底いたします。

また、担当部署において個人情報保護の重要性についての教育を再度徹底し、当社全体の情報管理体制の一層強化に取り組み、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-512】岡垣町職員の懲戒処分について 2024/11/12

 

1　事案の概要

令和6年5月から10月にかけて、居住地の届出変更を行うことなく通勤手当を受給していた。（令和6年5月から10月分：計60,000円）

令和6年7月、金融業者の要求に応じて、緊急連絡人として、職員の個人情報（氏名及び携帯電話番号：2人分）を漏洩した。

令和6年9月の出張について、事前に上司から注意を受けていたにもかかわらず、出張命令に反し私的な理由で延泊し、旅費を過大に受給していた。（帰路に係る交通費分：16,640円）

令和6年9月、市町村職員共済組合の普通貸付を申し込むにあたり、貸付金の一部を貸付対象外である借金の返済に充てようとしていた。また申請書の借入状況欄に借入無しと虚偽の申請を行った。

令和6年10月、私的な理由（借金相談及び返済目的）でパソコン端末を利用し、職員の個人情報（2件）を収集した。

令和6年10月、金融業者から本町役場へ督促の電話やファクスが送信され、一部業務に支障をきたすとともに、職員へ精神的な苦痛を与えるなど、職場を混乱させた。

令和6年10月、金融業者から町内の事業所へ督促のファクスが送信され、事業所の業務に支障をきたすとともに、町の信用を失墜させた。

令和6年10月、事実の聞き取りを行う際、繰り返し虚偽の報告を行った。

2　処分の内容

停職6月

3　処分年月日

令和6年11月12日

4　被処分者の所属、職名、年齢及び性別

企画政策室付　主任　40歳　男

5　その他

当該職員は同日付で依願退職をしています。

町長コメント

この度、職員の非違行為につきまして、上記のとおり処分を行いました。

本事案は、公務員の信用を失墜させるとともに、町民の皆様の町行政に対する信頼を失墜させることとなり、深くお詫び申し上げます。

今後、二度とこのようなことが起こらないよう一層の公務員倫理の確立と服務規程の遵守に向け、職員への指導を徹底するとともに、町民の皆様の信頼回復に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】株式会社東海信金ビジネス 「業務委託先への不正アクセスによる個人情報漏えい」 に関する調査結果と再発防止策等について 2024/11/15

2024 年 7 月 5 日に公表いたしました、業務委託先（以下「イセトー社」）への不正アクセスによる個人情報漏えい事案につきまして、お客様及び委託元信用金庫様に多大なるご迷惑とご心配をおかけしましたことを改めて深くお詫び申し上げます。

イセトー社が複数のセキュリティ専門会社に委託して行った調査等により明らかになった原因及び再発防止策、並びに今後の当社対応につきまして、下記のとおりご報告申し上げます。

当社としては、今般の事案の反省を踏まえ、改めて個人情報の取扱いにかかる社内教育を強化するとともに、今後の業務委託先管理になお一層の万全を期し、お客様や委託元信用金庫様の負託に応えてまいります。

１．本事案の概要（2024 年 7 月 5 日公表済）

2024 年 5 月 26 日に当社がダイレクトメールの印刷・発送を委託しているイセトー社のサーバーやパソコンがランサムウェアに感染し、同年 7 月 1 日には委託元信用金庫のお客様の個人情報が漏えいしたことが確認されました。

（１） 漏えいしたデータの種類

2023 年 9 月時点のダイレクトメール作成時に出力されるログデータ

（２） 含まれる個人情報

氏名

※なお、ダイレクトメール自体の内容の漏えいはありません。

（３）対象件数

69,403 件（委託元信用金庫が公表した名寄せ後件数合計） ※延べ 77,202 件

２．個人情報漏えいの原因と再発防止策の概要

（１） 

イセトー社では、受託業務にかかる個人情報については一般事務に使用するネットワークとは異なる閉域のネットワーク内のみで処理を行い、作業終了後に速やかに削除するルールとなっています。しかしながら、受託業務に付随する一部の事務処理が本来個人情報を取り扱ってはならないネットワーク上で行われ、かつ当該個人情報の一部が処理終了後も削除されないまま残存していました。この理由について、イセトー社では、受託業務に伴って付随的に発生するデータの処理がルール化されておらず、全社的な統制がとれていなかったためとしています。

直接的な原因はランサムウェア被害によるネットワークへの侵害ですが、上述のような個人情報の取扱いの結果、不正アクセスによって個人情報が窃取されることとなりました。

なお、7 月 5 日付で公表した内容以外の情報が漏えいした事実は確認されておらず、これまでお客様における二次被害も確認されておりません。

（２） 

上記原因を踏まえ、イセトー社では概要以下のとおり再発防止策に取り組んでい

るほか、特別調査委員会を設置して調査結果の検証等を進めています。

 

① ランサムウェア侵害に関する再発防止策

• いわゆる「ゼロトラスト」を前提とした体制への移行（VPN を使用しない体制とし、認証強化を図るとともに、不正アクセスが起こらない環境を構築）等

② データ保管に関しての再発防止策

• 預託データを一般事務に使用するネットワーク内に移送できない仕組みを構築し、今後は、閉域のネットワークのみでデータを処理（認証強化）

• 削除ルール、保管期限を明確に定め、個人情報の削除とチェックを徹底し、監査で確認

③ 社員の意識に関する再発防止策

• 個人情報を含む情報セキュリティに関する教育、業務プロセス変更に伴うルール遵守に関する教育を実施 

• 業務執行体制の変更ならびに行動規範に関する教育など、定期的な教育を継続

④ 内部統制を管轄する部門の創設

• 承認プロセスの明確化、事務フローの再構築、リスク評価基準の再設定などを行う内部統制部門を創設等

（３）

 当社では、イセトー社に対し引き続き再発防止策の実行計画に基づく着実な実施と品質保証を強く求めるとともに、個人情報の取扱いの適切性、ネットワークの安全性等を確認した上で同社から報告書を受理し、当面の業務委託を継続しています。 

なお、当社は報告書の受理に際し、イセトー社に以下の点を申し入れており、進捗の都度、報告を受けることとしています。

 

① 原因に関し、現在実施中の特別調査委員会の調査等によって今後新たな事実が判明した場合には、速やかに報告するとともにその概要を公表すること

 

② 再発防止策に関し、当面の間、その進捗状況を毎月報告すること

 

③ 品質保証に関し、再発防止策の有効性とネットワークの安全性が客観的に確認できるよう早急に外部専門家によるシステム監査を受検し、その結果を報告すること

 

④ 事業継続計画に関し、まとまり次第その概要を報告するとともに、引き続き財務情報を継続的に開示すること

（４） 

今後の業務委託について、当社としては、イセトー社が講じる再発防止策の有効性やネットワークの安全性、事業継続計画の妥当性等を検証するとともに、業務委託先の変更など他の選択肢を含め引き続き検討してまいります。

３．委託先管理にかかる今後の当社対応

（１） 

当社では、イセトー社を含めた個人情報を取り扱う業務委託先に対して、業務委託契約に基づき定期監査や必要に応じ実地調査等を行っていますが、今後これまで以上に臨時監査や実地調査を機動的に実施するとともに、業務委託先が実施する外部専門家によるシステム監査や各種認証等の状況を随時確認し、必要に応じて改善を求めるなど委託業務の安全性と品質の向上に努めてまいります。

 

（２）

また、上記業務委託先に対して、金融庁と日本銀行が金融機関のサイバーセキュリティ管理態勢の強化を促すために整備・公表しているサイバーセキュリティセルフアセスメント（CSSA)点検票に準じた再点検を要請するなど、委託先管理を強化することといたします。

 

（３） 

更に、業務委託先における事業継続に懸念がないかを定期的に確認するため、全ての業務委託先に対して財務情報の継続的開示を求めてまいります。

 

（４） 

現在の業務委託契約の内容については、現時点では概ね妥当なものと考えていますが、今後必要が生じた場合には速やかに見直しを行うなど、適切な委託先管理に努めてまいります。

リリース文（アーカイブ）

【2024年7月5日リリース分】

リリース文（アーカイブ）