【セキュリティ事件簿#2025-517】株式会社ペイロール 先日ご案内したフィッシング詐欺メールに関する追加情報 2025/12/9

 

平素は、e-pay/P3 サービスをご利用いただき、誠にありがとうございます。

先日ご案内差し上げました「フィッシング詐欺メール」（アーカイブ）に関しまして、この度のメールは、一部のお客様のご所属組織において実施された、セキュリティ訓練の一環であったことが判明いたしました。本訓練メールの発信により、結果としてお客様にも混乱とご心配をおかけいたしましたこと、また、当社サービスへの不審を抱かせる結果となったことにつきまして、深くお詫び申し上げます。

＜本件を踏まえた教訓とお願い＞

本件につきましては、皆様のセキュリティ意識を改めて見直す重要な契機であるとともに、結果的に無関係のお客様へご迷惑をおかけしたことを深く教訓として受け止めております。

■お客様へのお願い

• 不審なメールへの警戒

緊急性を装うメールには、引き続き警戒を怠らないようお願いいたします

• 正規サイトでのアクセス利用

e-pay/P3 サービスへのアクセスは、必ずブックマークや、ブラウザのアドレスバーに直接URL を入力して行ってください

■訓練を実施される組織や企業の皆様へのお願い

• 訓練実施時の配慮

セキュリティ訓練を実施される際は、他のお客様やサービス提供者へ影響が及ばないよう、最大限のご配慮をお願いいたします。（当社への事前通知など）

この度はお騒がせ致しましたこと、重ねてお詫び申し上げます。今後とも安心して当社サービスをご利用いただけるよう、セキュリティ管理および連携体制の強化に努めて参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-516】LINEヤフー株式会社 「LINE公式アカウント」誤表示による情報漏えいのお知らせとお詫び 2025/12/9

 

このたび、当社が提供する企業・店舗向けサービス「LINE公式アカウント」において、一部情報の誤表示（以下、本事象）、それに伴うユーザー情報および企業・店舗情報の漏えいを確認しました。

「LINE公式アカウント」を利用する皆さまには多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

本事象は、当社が利用している外部CDNサービス※1の仕様と当社のデータ処理方式の違いにより、特定の条件下でのみ発生しました。外部CDNサービス提供会社による修正が完了※2し、ゼロデイ攻撃※3の懸念が解消されたため、このたび当社にて公表しました。

なお、本事象はすでに解消しており、現時点で不正利用などの二次被害は確認されていません。

※1 「LINE公式アカウント」のチャット機能「LINEチャット」および「LINE公式アカウント」の管理画面では、通信の安定性と速度を高めるため、外部CDN（コンテンツ配信ネットワーク）サービスを利用しています。

※2 外部CDNサービスに関する脆弱性情報 https://www.cve.org/CVERecord?id=CVE-2025-66373

※3 修正前のソフトウェアやシステムの脆弱性を狙った攻撃

1.事案概要

当社が運営する「LINE Security Bug Bounty Program」（ https://bugbounty.linecorp.com/ja/ ）の参加者および当社による本事象の発見・検証の過程において、当該脆弱性および外部CDNサービスの仕様と当社のデータ処理方式の違いにより、特定の条件下でユーザー情報および企業・店舗情報が誤って表示される漏えい（可能性を含む）が発生しました。

＜対象サービス＞

・「LINE公式アカウント」のチャット機能「LINEチャット」※4

・「LINE公式アカウント」の管理画面

※4 企業・店舗がユーザーと1対1でやりとりできる機能です。ユーザー同士のトークは対象外です。

＜誤表示が発生する特定の条件＞

検証が行われた時間帯に検証者と同じ通信経路で上記対象サービスを利用していた場合

＜検証が行われた時間帯 （日本時間 JST）＞

「LINE公式アカウント」のチャット機能「LINEチャット」

・2025年9月19日（金）9時〜11時

・2025年9月24日（水）14時〜18時

・2025年9月25日（木）11時〜15時

「LINE公式アカウント」の管理画面

・2025年9月24日（水）15時台

当該時間帯において、誤表示が発生した確率（想定）は0.001%以下です。

＜誤って表示された・表示された可能性のある情報＞

ユーザー情報

・内部識別子、ユーザーネーム、プロフィール画像などのプロフィール情報

企業・店舗情報

・「LINE公式アカウント」の管理企業（店舗）情報

・「LINE公式アカウント」の管理者のプロフィール情報

・「LINE公式アカウント」による配信メッセージに関する情報　など

その他

・「LINE公式アカウント」のチャット機能「LINEチャット」を通じて送受信されたメッセージ※5 （画像/動画/ファイルは除く）

※5 商品やサービスに関する問い合わせなどのやり取りを主とする「LINE公式アカウント」とユーザー間のメッセージ

2.経緯と対応

2025年9月19日	「LINE Security Bug Bounty Program」の参加者より、本事象の通知を受領。担当が報告を受けて調査を開始
2025年9月24日	外部CDNサービス提供会社に本件に対する調査を依頼、当社による検証を開始
2025年9月25日	同社に確認のうえ、当社による止血対応を開始
2025年9月29日	当社側での止血対応を完了
2025年10月31日	漏えいが確認されていない経路でも予防措置を実施
2025年11月17日	同社による修正が完了し、本事象の解消を確認
2025年12月4日	同社による脆弱性の公表（CVEの公開）
2025年12月9日	ゼロデイ攻撃の懸念が解消されたため当社にて公表

3.再発防止策

• 原因となった通信処理の不具合については、外部CDNサービス提供会社に修正を依頼し、同社において修正プログラムの適用を実行しました。
  
  
• 当社側においても、通信処理の見直しや当社で採用している外部の関連ソフトウェアに対する修正提案を行い、同様の不具合が起きないよう対策を講じました。また、同社のCDNを利用している「LINE公式アカウント」以外の当社サービスについても調査を行い、予防措置を実施しています。
  
  
• 本件は、当社の「LINE Security Bug Bounty Program」経由の報告により脆弱性が発見されたため、攻撃手法が公になる前に速やかに対処を行うことができた事例です。一方で、本制度では、サービスや他のユーザーに影響を及ぼすおそれのある検証行為を明確に禁止しているにもかかわらず、今回の事案では、こうした事項に該当する方法での検証が行われていたことから、2025年12月3日に新規報告の受付を一時停止しました。
  
  
• 安全性と実効性の両立を図る形で、検証体制の見直しと再設計を進めてまいります。

4.対象者へのお知らせ

本事象はすでに解消しており、現時点で不正利用などの二次被害は確認されておりません。

また、本事象を確認した当該報告者においては、取得した情報をすでに削除しております。

なお、検証が行われた時間帯に、ご自身に見覚えのない画面やメッセージを受信し、保存されていた場合には破棄していただけますようお願いいたします。また、不審なメール等にはご注意くださいますようお願い申し上げます。

5.本件に関する問い合わせ先

本件に関するユーザーの皆さまからのお問い合わせは、下記窓口で受付けております。

https://contact-cc.line.me/category2Id/12698

上記URLがうまく機能しない場合は、ブラウザより閲覧ください。

改めまして、ユーザーや企業・店舗の皆さまに多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。当社は今回の事象を重く受け止め、再発防止に全力で取り組むとともに、引き続き安心してご利用いただけるサービスの提供に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-504】株式会社環境管理センター 電子納品におけるシステム障害に関するご報告 2025/12/1

平素より弊社をご愛顧いただき誠にありがとうございます。

この度、弊社が電子納品で利用している一般社団法人日本 EDD 認証推進協議会（以下、JEDAC）の「e-計量サービス」において、サイバー攻撃によるシステム障害が発生した旨の報告がございました。

これにより、現在弊社の電子納品を一時的に停止しております。電子納品をご利用のお客様には追って弊社担当よりご説明をいたします。

お客様には大変ご不便、ご迷惑をおかけいたしますが、何卒ご理解ご協力を賜りますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-496】株式会社小肥羊パートナーズ 小肥羊オンライン・サイバラ水産への不正アクセスによる 個⼈情報の漏えいの可能性に関するお知らせ 2025/11/5

 

平素より当社が運営する小肥羊オンライン・サイバラ水産をご利用いただき、誠にありがとうございます。

このたび、当サイトで利用している購入システム（ショッピングカート）の提供事業者のサーバーが第三者による不正アクセスを受け、お客様の個人情報が流出した可能性があることが判明いたしました。

当社としても、事業者からの報告を受け、状況の確認と対応を進めております。

お客様には多大なるご心配とご迷惑をおかけしておりますことを、心よりお詫び申し上げます。

1.経緯

2025年10⽉25⽇に当社が運営する小肥羊オンライン・サイバラ水産の購入システム（ショッピングカート）の運⽤を行う事業者より、⼀部のサーバーに異常なアクセスを検知した旨の報告を受けました。

その後の調査により、第三者による不正アクセスとみられる痕跡を確認されたため、同⽇中にサービスの⼀時停⽌を実施し、影響範囲の特定および原因調査を開始いたしました。

現在、事業者では外部専⾨家と侵⼊経路や影響範囲、個⼈情報の漏えいの可能性などについて詳細な調査を進めておりますが、現時点において、具体的な対象者や流出情報が特定できておりません。

2.個⼈情報の漏えいの可能性の状況

(1)原因

当サイトで利用している購入システム（ショッピングカート）を運営する事業者に対し、第三者が不正アクセスを行い、同社が管理するサーバー上のアプリケーションの一部に存在した脆弱性を悪用したことが原因と考えられます。

(2)個⼈情報の漏えいの可能性があるお客様

漏えいした可能性のある情報は以下のとおりです。

⽒名／⽣年⽉⽇／性別／住所／電話番号／メールアドレス／パスワード／会員番号／

ログインID／配送先情報／購買履歴

なお、クレジットカード情報など、経済的な二次被害を直接生じさせるおそれのある情報は、現時点で確認されておりません。当サイトでの決済は決済代行サービスを通じて行っており、クレジットカード情報は当該事業者のサーバー上において下4桁のみ保存される仕組みとなっております。

このため、お客様のクレジットカード情報が漏えいした可能性は極めて低いものと考えております。

当社においても、本件に関連した不正利⽤などの⼆次被害は確認されておりません。

3.お客様へのお願い

当社では、事業者と連携し、現在も詳細な調査と再発防止、情報管理体制の強化に努めております。

お客様におかれましては、誠にお手数をおかけいたしますが、以下の点にご注意くださいますようお願い申し上げます。

（１）パスワードの変更

　当サイト以外のサービスで、同じメールアドレスとパスワードを使用されている場合は、

　速やかにパスワードを変更してください。

　また、他サービスでも推測されにくいパスワードへの変更をお願いいたします。

（２）不審メール・電話への注意

　「本件に関するご案内」や「登録情報の確認」などを装った不審なメールやSMS、電話にはご注意ください。リンクのクリックや添付ファイルの開封は絶対に行わないようお願いいたします。

（３）カード利用明細の確認

　クレジットカード情報の流出は現時点で確認されておりませんが、念のため利用明細に不審な請求がないか定期的にご確認ください。

４.本件に関するお問い合わせ窓⼝

【たまごリピート お客様相談センター】

電　話：0120-38-0136（平日 10:00〜18:00）

メール：tamago-contact@temona.co.jp

※本件に関するお問い合わせ窓口は、当社が利用している購入システム（ショッピングカート）を運営する事業者（株式会社テモナ）が設置した共通窓口です。

※営業時間外にいただいたお問い合わせは、営業日に順次対応いたします。

何かご不安な点などございましたら、窓口までご連絡頂きたく存じます。

このたびはお客様に多大なるご迷惑とご心配をおかけいたしましたこと、改めてお詫び申し上げます。

今後、調査結果が判明次第、速やかにご報告いたします。

リリース文（アーカイブ）