Microsoft Teams、2か月連続で障害発生（前回は2023年1月）

米マイクロソフトは2022年2月8日午前、オンライン会議アプリ「Teams（チームズ）」で障害が発生していると発表した。

マイクロソフトによると、8日午前8時半ごろから、日本を含むアジア太平洋地域で、利用者がオンライン会議に参加できない不具合が起きている。

マイクロソフトは「利用者が会議に参加できない問題が起きていることが分かった。影響を軽減するために取り組んでいる」とコメントしている。

出典：マイクロソフト「Teams」で障害　オンライン会議参加できず

【セキュリティ事件簿#2023-048】静岡大学　令和５年度大学入学共通テストの追試験受験申請書等の誤送信について　2023年2月3日

令和５年度大学共通テスト追試験受験申請について、令和５年１月 20 日（金）に本学から、大学入試センターにFAXで49名分の追試験受験申請書等及び診断書（領収証等を含む。）を送信する際、第三者宅に誤って送信してしまいました。

日頃より、教職員に対しては、個人情報の取扱いの重要性について、徹底を図って参りましたが、このような事態を招き、深くお詫び申し上げます。

事案発生後、誤送信先に確認し、送信されていた49名分のデータのうち、48名分のデータはプリントアウトされていないこと、プリントアウトされていた１名分の申請書については適切に廃棄したこと、及び49名分の送信データはFAX記録からも消去し、漏えいがなかったことを確認しており、外部に流失した可能性は低いと考えております。

また、当該申請者への二次被害等も本日まで確認されておりません。

併せて、追試験受験申請者及び保護者の皆様並びに誤送信先には、お詫びをさせていただいたところです。

今回の事案を受けて、本学として、個人情報の取扱いについて再点検を行うとともに、このような事態が起こらないよう再発防止に取り組んで参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2022】金沢西病院　システム復旧しました。　2023年2月2日

昨年12月3日に受けた不正アクセスにより生じていたコンピューターのシステム障害が復旧し、2月1日（水）から電子カルテシステム体制による外来診療を再開しました事をお知らせいたします。

この間、患者様や関係各位には多大なるご迷惑やご心配をおかけいたし申し訳ございませんでした。皆様からのご理解とご協力を賜りました事を深く感謝申し上げます。

金沢西病院はこれからも患者様お一人おひとりを大切にした診療を継続していきたいと存じますので、今後とも皆様のご愛顧を賜りますよう何卒よろしくお願い申し上げます。

リリース文（アーカイブ）

全文表示 / Read more »

【セキュリティ事件簿#2023-047】兵庫県赤穂市　赤穂市立保育所における USB メモリ紛失事案について　2023年2月3日

この度、赤穂市立有年保育所で利用児童等の個人情報を含む USB メモリを紛失する事案が発生しましたので報告します。

保育所内での紛失の可能性が高いとして捜索を行っておりますが、現時点において発見には至っておりません。

関係する児童および保護者の皆様にご迷惑をおかけしたことお詫びいたしますとともに、このような事案がおこらないよう情報管理の徹底と再発防止に取り組んでまいります。

事案の概要

令和５年１月３０日（月）午後２時７分に職員室で職員が USB メモリを業務で使用後、ノートパソコンから外したことは履歴上確認できているが、その後、同日午後５時１０分頃に他の職員が使用しようとしたところ、USB メモリの所在が分からなくなっていることが判明しました。

現在までのところ、個人情報の漏えいによる被害の情報は確認されていません。

ＵＳＢメモリに含まれていた個人情報

・保育経過記録・月間指導計画（児童の氏名・生年月日等を含む）２１名分

・一時預かり保育の利用状況（利用児童・保護者の氏名を含む）５名分

・行事開催時の写真１００枚程度

対応状況

職員室には常時職員が在席していたことなどから、保育所内で紛失した可能性が高いとして施設内を現在も捜索しています。

関係する保護者には個別に状況を説明し謝罪を行ったところです。

再発防止対策

これまでも業務において使用する USB メモリについては、保管・管理を徹底してまいりましたが、今回の事案を踏まえ、改めて USB メモリの使用方法を見直すとともに、職員に対しては、個人情報を含めたあらゆる情報の厳重な管理と適正な取り扱いの徹底を指導してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-046】札幌医科大学付属病院　個人情報の入った記録媒体（USB メモリ）の紛失について　2022年1月23日

札幌医科大学附属病院において、患者さん１名の個人情報（住所、氏名、生年月日等のデータ）が記録された USB メモリを紛失する事案が発生しました。

現時点では情報の流出等の悪用は確認されておりませんが、このような事案が発生し、患者さんご本人とご家族、関係者の皆様に多大な御迷惑と御心配をお掛けすることになりましたことを心からお詫び申し上げます。

個人情報の取扱いについては、機会あるごとに注意喚起や研修を行ってきたところではありますが、今回このような事案が発生し、適切な取扱いが徹底されていなかったことが明らかになったことから、事態を重く受け止め、職員に対し、あらためて個人情報の取扱いの管理徹底を行うとともに、再発防止に努めてまいりますので、ご理解の程お願い申し上げます。

本件につきましては、当該患者さんとご家族に対しまして、ご報告及び謝罪を

行っているところですが、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【寿司テロ】スシローペロペロ事件の主犯の少年、「寿司テロリスト」として世界デビュー

2023年1月29日、スシロー岐阜正木店において、醤油さしや湯飲みをベロベロ舐めまくり＆回る寿司にも唾タッチする様子を撮影してアップする国賊が発生。

以下がその動画。

そして、海外に「寿司テロリスト」として紹介される。

回転ずしって性善説で成り立っていたような部分があったので、こういう事件が起きた以上、食の安全性重視って言うことで、多少不便なことになっていくんだと思う。

ホリエモンの解説動画は分かりやすくて良かった。

事件に対して、スシローは諸々徹底的にやっていく模様

リリース文（アーカイブ）

【セキュリティ事件簿#2023-036】株式会社ジェイ・エス・ビー　当社従業員によるご契約者様等の個人情報の漏洩に関する追加のご報告について 2023年2月2日

2023年１月25日付の「当社従業員によるご契約者様等の個人情報の漏洩について」でお知らせいたしましたとおり、従業員による当社の管理物件等に係るご契約者様等の個人情報の一部漏洩の可能性があることが判明し、ご契約者様等や株主の皆様をはじめとする関係者の皆様には多大なご迷惑及びご心配をお掛けすることとなり、重ねて深くお詫び申し上げます。

その後の社内調査により現時点で確認できた事項につき、以下のとおりご報告申し上げます。

１．漏洩が確認された個人情報

約29,000件の顧客情報。
なお、機微情報、クレジットカード情報、金融機関の口座情報等、決済に関する情報は含まれておりません。

２．発覚と対応の経緯

2023年１月10日（火）頃より、当社と全く関係のない第三者により、ご契約者様等に対して、当社のブランドを騙ったウォーターサーバー、電気、インターネットに関する勧誘がされている等、33件の問い合わせが当社に寄せられ、事態把握も含め勧誘元と思しき業者へ直接調査を開始。
2023年１月20日（金）
社内調査の結果、当社従業員が不正な方法により顧客情報を抽出し、外部に漏洩させた可能性が高いことが判明。
2023年１月23日（月）
本件に係る対策本部を設置し、外部専門家協力のもと全容把握へ向け社内調査を実施。
2023年１月24日（火）
関係機関への報告及び警察への相談を行う。
2023年１月25日（水）
「当社従業員によるご契約者様等の個人情報の漏洩について」を公表し、注意喚起を行う。
2023年１月27日（金）夕刻
漏洩させた疑いのある従業員本人に外部専門家を交えた事実確認を実施。
不正な方法による顧客情報の抽出及び第三者への漏洩の事実を認める。
2023年１月27日（金）～2023年２月１日（水）
従業員本人による事実確認を受け、漏洩の判明した顧客情報の規模及び範囲の特定作業を実施。
2023年２月２日（木）
本日のご報告に至っております。なお、詳細につきましては、警察の捜査に影響するため、開示を控えさせていただきます。

３．今後の対応

今般の情報漏洩に伴い、漏洩の対象となりましたご契約者様等へ個別に書面にてご連絡及びご説明をさせていただきます。
漏洩した情報に伴う二次的被害防止を最優先とする取り組みを開始しており、漏洩した情報を入手した第三者に対して、当該情報を使用した勧誘行為の停止を申し入れ、応諾いただく等、とりうる措置を順次進めております。
また、33件の問い合わせ発生に対する上記の措置等により、2023年１月20日以降、現時点に至るまで、ご契約者等より、新たな勧誘行為や金銭的な被害を受けたとのご報告は０件となっております。
なお、今後、本件につきましては、警察と連携し事態の全容解明に努めてまいります。

４．顧客情報漏洩の原因

顧客管理システムへ不正な方法によりログイン後、漏洩の対象となる情報を抽出し、データを外部へ持ち出したことが直接的な発生原因であることを確認しております。

５．再発防止について

現時点におきまして、全社を対象として、顧客管理システムの一部機能の使用制限措置等、セキュリティ強化を実施いたしました。
今後につきましては、今般の事態を厳粛に受け止め、当該システムのセキュリティの見直し、更なるセキュリティ対策の強化を図ってまいります。
また、社内にて改めて情報管理に関するルールの徹底を周知するとともに、個人情報保護に関する教育を継続的に実施してまいります。

リリース文（アーカイブ）

[イベント] CYBERUK 2023（2023/4/19-20）

NCSC（National Cyber Security Centre）が運営する英国を代表するサイバーセキュリティイベント「CYBERUK 2023」にようこそ。2023年のテーマは、オープンでレジリエントなデジタルの未来を確保することです。私たちは、デジタルとテクノロジーの発展において、前例のないほどの成長に直面しています。これは社会に大きな利益をもたらしますが、同時に英国や他の自由で開かれた社会の国家的・経済的安全保障上の利益を脅かす可能性も秘めています。

CYBERUK 2023では、今日の国際的なサイバーコミュニティが直面する最も困難な問題のいくつかに答えることを目指します。

- 10年後、サイバースペースはどうなっているのか？

- 10年後のサイバースペースはどうなっているのか、自由でオープンな民主主義を維持するためにサイバースペースを守ることができるのか。

- 私たちは必要な人材を育成し、成長させているだろうか。

- 私たちの価値を支える技術を革新し、構築しているだろうか。

- 私たちはリスクと脆弱性を予測し、軽減することができたでしょうか。

- 私たちは脅威に対してレジリエントであっただろうか？

もし、そうでなければ、未来のパートナーは私たちに何と言うでしょう？

このイベントでは、英国経済にとって100億ポンド規模のセクターである今日のサイバーエコシステムが、脅威に対抗し、チャンスに備え、英国をオンラインで生活し働く上で最も安全な場所に保つために、どのように強化し、協力し、革新していくことができるかを検証していきます。

CYBERUKは、そのエネルギー、世界クラスのコンテンツ、魅力的な講演者、そしてつながりを持つ機会で定評があります。

是非、ご参加ください。

https://www.cyberuk.uk/

ランサムウェアギャング「LockBit」が病院に復号鍵を無償提供

ランサムウェアギャングであるLockBitはアフェリエイトプログラムにおいて、重要インフラ、旧ソ連諸国、医療機関の攻撃を禁止している。

ではそんな組織が攻撃を受けたらどうなるのか？

今回は興味深い事例を紹介する。

これに則ると、半田病院の件も複合鍵を無償で入手することができた気がするが、普段のITの運用管理を完全に外部に丸投げしていたことからそうはならなかったと思われる。

クリスマスの数日前、2022年12月18日（日）の夜、カナダのHospital for Sick Children（通称SickKids）がランサムウェア攻撃に遭いました。

トロントにあるこの教育・研究病院は、この攻撃によって内部システム、電話回線、ウェブサイトに影響が出たと報告しています。

病院は、すべてのシステムが通常通り稼働するまでに数週間かかると予測し、予定された予約や処置は継続しているものの、臨床チームには遅れが出ており、患者や家族は待ち時間が長くなることが予想されると警告しています。

緊急復旧計画が実行に移され、年末までに同病院は、患者や家族が遅れを取ることが予想されるものの、優先システムのほぼ50%が復旧し、オンラインに戻ったと報告しました。

この攻撃は、病気の子どもたち、冷酷なサイバー犯罪者、そしてクリスマスという組み合わせで、世界中のメディアの注目を集めました。

この病院の攻撃者が使用したランサムウェア・アズ・ア・サービス（RaaS）事業で悪名高いLockBitが、SickKidsに謝罪するだけでなく、苦境にある病院に無料の復号ツールを提供するという異例の措置を取ったのは、おそらくそれが理由の一つでしょう。

ロックビットは、過去に他の病院をランサムウェアで攻撃することに何の抵抗もなかったが、ウェブサイトに掲載したメッセージの中で、珍しく遺憾の意を表明している。

ロックビットは、この攻撃を行ったアフィリエイターが規則に違反したため、今後の活動をブロックしたと発表しています。

サイバー犯罪者にも良心があるということでしょうか。あるいは、ロックビットの背後にいる人々は、病気の子供のための病院を攻撃することのデメリットが、強奪を望むかもしれないどんな金額よりも大きいかもしれないことに気づいたことを示しているのかもしれない。

結局のところ、法執行機関はLockBitの背後にいる人物を明らかにする理由をさらに多く持っていると想像できますし、他のサイバー犯罪者がこのランサムウェア攻撃を非常に悪く捉え、それに協力したと思われる人物の身元を明らかにしようとする危険性も常に存在します。

私は、重病の子供を持つ親を望んだりはしませんが、ほとんどのサイバー犯罪者が、金になる可能性があるなら、誰を標的にしようが構わないと考えるとは信じがたいです。

SickKidsは、最新の声明で、身代金の支払いを行わなかったこと、優先システムの60%以上を復旧させたこと、LockBitギャングが提供する復号化ツールを使用する必要があるかどうかを評価していることを確認している。

出典：LockBit ransomware gang says sorry, gives free decryptor to SickKids hospital

【セキュリティ事件簿#2023-045】国土交通省　個人情報の流出の可能性に関するお詫びとお知らせ　2023年1月13日

九州地方整備局山国川河川事務所が発注した事業損失事後調査業務（受注者：東亜建設技術（株））において、受注者の業務従事者が発注者から貸与された調査に必要な個人情報が含まれた資料を紛失する事案が発生しました。

紛失した資料には、個人２名の住所及び氏名等並びに個人１７名の氏名等が記載されています。

関係する皆様にご迷惑をおかけしたことを、深くお詫び申し上げます。

○事案の内容

　令和５年１月１７日（火）に事業損失事後調査業務受注者の業務従事者が、現地調査を実施中に発注者から貸与された個人情報が含まれた資料を紛失し、同日に遺失物として最寄りの警察に届出られたものです。

○ 対応状況

同資料に個人情報の記載のある方に対しては、事案の内容をご報告し、お詫びさせていただいているところです。なお、現時点におきましては、個人情報等の第三者への流出、不正利用等の事実、二次被害は確認されておりません。

○ 今後の対応

九州地方整備局においては、同様の事案の再発防止に取り組んでいる中で発生したことを重く受け止め、更なる個人情報等の管理の徹底に関して、受注者への指導に迅速かつ万全を期してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-044】岩手医科大学附属病院　個人情報を保存したUSBメモリの紛失について　2023年2月2日

2022年10月5日頃、薬剤部内にて個人情報を含んだUSBメモリを紛失する事案が発生しました。USBメモリ内には会議資料に使うための薬剤治療実施患者1,894人分のリスト（患者ID、お名前、年齢、診療科、病棟名、医師名、薬品名、調剤日、調剤に必要な関連情報（処方箋区分、用量・単位、日数あるいは回数、投与分割数、総量、オーダ番号、薬剤治療コード、薬剤治療名））が含まれており、机の上に置いた後、行方が分からなくなっております。

USBメモリは、院内指針に則った暗号化機能付きのものを使用しており、パスワードによるロックがかかっております。また、紛失が起きた薬剤部は、学外者立入禁止区域でIDカード認証による入室管理をしているため、関係者以外の持ち出しの可能性は極めて低いと考えられます。

現時点で、本件による個人情報の不正使用等の被害は確認されておりませんが、当院として「個人情報の漏えいの可能性が否定できないこと」と「発生から報告まで長期間経過してしまったこと」を重く受け止め、該当する患者様に経過報告と謝罪を行う準備をしていることをご報告させていただきます。

患者様には多大なご不安ご心配をおかけすることとなりましたことを深くお詫び申し上げます。

また、今回の事態を真摯に受け止め、今後セキュリティ対策を強化するとともに、全学の教職員に対し個人情報の適正な管理を徹底し再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-043】株式会社エフエム東京　「ショッピングサイト」不正ログインに関するお詫びとご報告　2023年1月18日

平素はTOKYO FM公式ショッピングサイトを利用いただき、誠にありがとうございます。

この度、弊社の公式ショッピングサイトが利用するECサイトプラットフォームのシステムに対し、外部からの不正アクセスが発生し、お客様の個人情報が流出した可能性があることが確認されました。

お客様には、ご迷惑、ご心配をおかけいたしましたことを心よりお詫び申し上げます。本件に関しましては、現在、詳細な事実関係を確認中です。速やかに原因を究明し、今後このようなことが発生しないよう対応を検討してまいります。

現時点で確認している事実と対応状況につきましてご報告致します。

1．概要

2023年1月11日、TOKYO FM公式ショッピングサイト（以下、弊社ショップ）が利用するECサイトプラットフォームの注文管理画面に第三者による不正アクセスがあり、お客様の個人情報が流出した可能性がございます。

また、これらの情報を利用してお客様に下記のような内容で第三者によるメールが送信された可能性がございます。

【メール例】
---------------------------------------------

再支払いのお願い
このたびはTOKYO　FM公式ショッピングサイトでお買い物いただき、ありがとうございました。
下記、ご注文において、与信エラーにより決済が正常に完了していないことが判明いたしました。
それに伴い、再度のお支払いをお願いいたします。
既に引き落としされている場合に関しましては自動でキャンセル扱いになり請求されませんのでご安心ください。
ご不便をおかけして申し訳ございません。

[再決済ページに進む]

ご注文内容

注文ID：XXXXXXXXXXXXXXXX

（以下注文情報がつづく）

---------------------------------------------

2．お客様へのお願い

上記のような内容のメールに従いクレジットカード情報を入力してしまった場合、クレジットカード情報が第三者に流出してしまった可能性があります。

誠に恐縮ではございますが、クレジットカード情報を入力してしまっていないか、またクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度確認をお願い申し上げます。

万が一、クレジットカード情報を入力してしまった、または身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社および弊社にご連絡していただきますようお願い申し上げます。

また、上記のような内容のメールのように再決済を要求するメールは第三者による不審なメールでございますので、再決済のお手続きを行わないようにお願い申し上げます。

なお、弊社はお客様のクレジットカード情報を一切保持しておらず、弊社からのクレジットカード情報の流出はございません。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-042】兵庫県立がんセンター　個人情報が含まれたＵＳＢメモリの紛失に関するお詫びとご報告　2023年1月31日

このたび、当院の医師が学会で発表する資料作成のために必要な患者様の医療情報を保存したＵＳＢメモリ１個を紛失しました。

患者様には多大なるご心配とご迷惑をおかけすることになり、また事実確認と再発防止の検討に時間を要し、ご報告が遅れましたことを深くお詫び申し上げます。

なお、今のところ、情報漏洩等の事実は確認されていません。

１紛失したＵＳＢの内容

電子カルテから保存した５５名分の患者ＩＤ、氏名、治療実施日、病変の存在箇所、病変の進行度等のデータです。

２経緯

ＵＳＢメモリは、医師自身が管理しており、令和５年１月５日（木）に使用したことは確認しています。１月 13 日（金）に、ＵＳＢメモリを使用しようとしたところ見当たらないことに気づきました。原則、院外へ持出しをしませんので、診療部、看護部等の関係者全員で１週間程度、当該医師の診察室内や関係病棟内等、あらゆるところを探しましたが見つからず、現在も発見に至っておりません。
このため、１月 27 日（金）に明石警察署へ遺失届を提出いたしました。

３該当する患者さんへの対応

ＵＳＢメモリに医療情報が保存されていた可能性のある患者さんには、お詫びとご報告の文書を１月 27 日（金）に郵送させていただきました。
また、電話もしくは対面でのご説明もさせていただいております。

４再発防止に向けた今後の取り組み

電子カルテからデータを取込む場合は、システム管理室が貸出す暗号化されたＵＳＢメモリを使用することとし、ＵＳＢメモリの使用が終わった後は、データを消去し、システム管理室にＵＳＢメモリを返却することにします。システム管理室は返却のあったＵＳＢメモリのデータ消去を確認します。

また、このような事態を重く受け止め、全職員に対し、今回の経緯を踏まえ、改めて個人情報の適正管理方法の周知徹底を図ります。

５その他

引き続きＵＳＢメモリの捜索に尽力します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-041】近畿大学病院　近畿大学病院で発生した診療情報の流出事案について　2023年2月2日

この度、近畿大学病院において、受付業務の委託先である株式会社エヌジェーシーの社員（当時、以下元社員Ａ）が、患者様1名の診療情報を故意に外部に流出させたことが発覚しました。

元社員Ａは、業務中に友人である患者Ｂ氏が当院を受診したことを知り、スマートフォンを用いて氏名、生年月日、診察記録が記載された電子カルテを表示したパソコン画面を動画で撮影し、共通の友人であるC氏にSNSを通じて送信しました。当院では、事態発覚後すみやかに調査チームを立ち上げて調査を行うとともに、この動画がすでに削除されていることを確認しております。

当該患者様及びその関係者の皆様には、ご迷惑、ご心配をお掛けしましたことを深くお詫び申し上げます。このような事態を招いたことを重く受け止め、個人情報の取り扱いについてはこれまで以上に厳重に注意し、再発防止に努めてまいります。

1.事案の概要

令和4年（2022年）11月5日、受付業務委託先の元社員Ａが、当院を受診した患者Ｂ氏の診療情報（氏名、生年月日、診察記録）記載の電子カルテを表示したパソコン画面を私用スマートフォンで動画撮影し、SNSを通じて友人C氏へ送信しました。元社員Ａ、患者Ｂ氏、友人C氏はいずれも友人関係にあり、患者Ｂ氏が友人C氏から動画の存在を聞き、11月7日に当院に抗議されたことで事案が発覚しました。
その後、当院にてすみやかに調査チームを立ち上げ、調査を行ったところ、元社員Ａが動画の撮影と友人C氏への送信を認めました。また、友人C氏が、送られてきた動画を友人D氏に見せていたこともわかりました。さらに、元社員Ａが自身の家族1名と友人E氏に、友人C氏が友人Ｆ氏・Ｇ氏に、それぞれ患者Ｂ氏の受診について話をしたことも判明しました。

2.対応

令和4年（2022年）11月15日に、当院より患者Ｂ氏の代理人弁護士に対して、漏えいに関するお詫びと調査報告を行いました。
元社員Ａと友人C氏が保持していた動画については、11月8日までに削除されたことを確認しています。また、動画を見せられたり、受診の話を聞いたりした方々には、本件を第三者に口外していないことを確認し、今後も情報を拡散しないことを約束していただきました。
株式会社エヌジェーシーに対しては、事案発覚後ただちに再発防止措置の遵守徹底を強く申し入れました。その後検討を行い、令和5年（2023年）3月31日当直勤務をもって業務委託契約を終了することといたしました。なお、元社員Ａについては、11月7日付で株式会社エヌジェーシーを自主退職したという報告を受けています。
また、本件は個人情報漏えい案件として、文部科学省と個人情報保護委員会に報告しております。

3.再発防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります
①当院において、委託業者、派遣業者従業員等の業務に通信機器を必要としない者に対して業務従事中の通信機器の所持を禁止し、12月14日に通知しました。
②すべての委託先に対して、業務遂行にあたり個人情報保護に関する取扱い注意事項を徹底するよう、改めて申し入れました。（11月14日～11月16日）
③当院の全教職員を対象に、個人情報保護規程の遵守について改めて周知し研修を実施しました。（11月28日～12月26日）
④当院の全教職員に本事例を共有しました。今後さらに個人情報の取扱いに関する研修会を予定しています。

近畿大学病院リリース文（アーカイブ）

株式会社エヌジェーシーリリース文（アーカイブ）

【セキュリティ事件簿#2023-040】尼崎市職員、泥酔して公用スマホ紛失。USBメモリ事件を恐れて虚偽報告し処分を受ける　～バッドニュースファーストは重要だが難しい～

兵庫県尼崎市は2023年1月27日、個人情報を含む公用スマートフォンを紛失し、虚偽の報告をしたとして、武庫地域課の男性職員を減給10分の1（1カ月）の懲戒処分にしたと発表した。スマホには市民の電話番号17件とLINE（ライン）の連絡先48人分などが登録されていたが、情報漏えいは確認されていないという。

市によると、職員は2022年12月1日夜、同僚らと飲食し、泥酔して午後11時半ごろタクシーに乗せられた。その後、職員の記憶はなく、帰宅途中に公用スマホを財布や免許証とともに紛失した。

職員は5日に尼崎南署に遺失物届を出していたが、上司には12日に「8日に紛失に気づき、12日に遺失物届を出した」と虚偽の説明をした。15日、職員の自宅近くで、別の職員がスマホを見つけた。遺失物届を取り下げたが、報告に不自然な点があり、同市で聞き取り調査など行ったところ、事実とは異なる報告が行われていたことが明らかとなった。

市の内規で公用スマホの持ち出しは許可が必要だが、同課は年単位で許可していた。市では22年6月、全市民の個人情報が記録されたUSBメモリーを委託業者が泥酔して一時紛失した。職員は「USBメモリーの紛失が頭をよぎり、自分で探そうと思った」と話したという。

市は紛失と発見について発表していたが「重要な報告をせず、誤った事実を公表することになり市政への信用を損ねた。情報漏えいのリスクを高めた」ことを処分理由とした。

出典①尼崎市、スマホ紛失の虚偽報告で懲戒処分 - 「USB紛失事案が頭をよぎり」

出典②泥酔し公用スマホ紛失、虚偽報告　尼崎市職員を懲戒処分

Microsoft Teams、再び障害（前回は2022年7月）～原因はオペミスか！？～

マイクロソフトは、2023年1月25日午後4時頃から最大で約5時間半に渡り、Microsoft AzureやMicrosoft 365、Microsoft Teamsなど幅広いサービスがほぼ全世界で利用できなくなっていた大規模障害について、予備的な報告書を公開しました。

まず原因について。同社のワイドエリアネットワークに対して行われた設定変更が全体に影響したと説明しています。

具体的には、設定変更のためにあるルーターにコマンドを送ったところ、そのルーターがWAN内のすべてのルーターに対して誤ったメッセージを送信。その結果、WAN内のすべてのルーターが再計算状態に突入し、適切にパケットを転送できなくなったことが原因とのこと。

問題の発端となったルーターは、マイクロソフトの認証プロセスで検証されていなかったことも付け加えられています。

同社としては、障害発生から約7分後に、DNSとWANに関する問題を検出し調査を開始。発生から1時間5分後にネットワークが自動的に回復し始め、ほぼ同じくして問題の引き金となった問題のあるコマンドが特定されたとのことです。

2時間後にはほぼすべてのネットワーク機器が回復したことが観測され、2時間半後にはネットワークが最終的に復帰したことが確認されたと報告されています。

ただしWAN自身が備えていた健全性維持システム、例えば健全でないデバイスを特定して削除するシステム、ネットワーク上のデータの流れを最適化するトラフィックエンジニアリングシステムなどがWAN自身の障害によって停止してしまっていたため、これを手動で再起動。

これによりWANを最適な動作状態に回復させるまでネットワークの一部でパケットの損失が増加し、約5時間時40分後にこれが完了したとのことです。

今後の対策として、影響度の高いコマンドの実行を遮断し、デバイス上でのコマンド実行は、安全な変更ガイドラインに従うことを義務付ける予定とのことです。

出典：マイクロソフト、AzureやMicrosoft 365などに影響した先週の大規模障害の原因報告。WAN内の全ルータが再計算状態に突入し、パケット転送が不可に

全文表示 / Read more »

ランサムウェアギャングが発表した被害組織リスト（2023年1月版）BY DARKTRACER

Dark Tracerによると、2023年1月は日本企業3社がランサムウェアの被害にあっている模様。

株式会社フジクラ(fujikura.co.jp)

株式会社タカミヤ(takamiya.co)

【セキュリティ事件簿#2023-039】株式会社東京機械製作所　当社連結子会社における不正アクセス発生による個人情報流出の可能性に関するお詫びとお知らせ 2023年1月30日

この度、当社連結子会社である株式会社ＫＫＳが所有するサーバに対する不正アクセスにより、一部のお客様の個人情報が外部に流出する等した可能性が否定できないことがわかりました。お客さまをはじめ多くの関係先の皆さまには多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

現時点で判明しております内容につきまして、株式会社ＫＫＳが公表いたしました別紙のとおりお知らせいたします。

なお、今後開示すべき事項が発生した場合には、速やかにお知らせいたします。

----

株式会社ＫＫＳは、当社が所有するサーバに対する不正アクセスにより、一部のお客様の個人情報（会社名、電話番号、メールアドレス、住所）が外部に流出する等した可能性が否定できないことがわかりましたのでお知らせいたします。また現在までのところ、本件に関わる個人情報の不正利用等は確認されておりません。お客様をはじめ多くの関係先の皆様にご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

１．概要

①発生

2022 年 11 月 5 日（土）当社総務部の従業員が作業を行っていた際に、サーバ内のファイルにアクセスできないため異常に気付きました。その後複数のサーバを調べたところ、各モニターに「LOCKBIT2.0」の表示があり、第三者による不正アクセスを受けたことを確認いたしました。

当社ではさらなる拡大を防ぐため直ちに外部ネットワークとの遮断を行ない、同日に対策本部を立ち上げ、外部専門機関の協力のもとで不正アクセスを受けたサーバの範囲と状況、感染経路等の調査およびデータ復旧の検討を開始いたしました。

②調査の経緯・現在までに判明した原因等

初期調査において、当社の複数のサーバへの不正な侵入と内部のデータが暗号化されていることを確認いたしました。侵入されたサーバには、お客様から頂いたメールの情報、部品発送に関する情報などを保管するサーバが含まれており、お客様の個人情報が含まれていることがわかりました。

お客様の個人情報が外部に持ち出された可能性について外部専門機関による確認を行いましたが、その痕跡は現在まで確認されておりません。また、現在までのところ、本件に関わる個人情報の不正利用等は確認されておりません。しかしながら現在までの調査において流出の可能性を完全に否定することは難しく、今回お知らせすることといたしました。なお侵入経路は、インターネット回線を介して外部からの侵入を防止するために導入しておりましたセキュリティの脆弱性を悪用され、侵入された可能性が高いとの意見を得ております。

③現在の対応

今回の侵入に悪用されたセキュリティの脆弱性を修正する措置を実施するとともに、現在は全てのサーバに新たなウイルス感染対策ソフト、不正アクセスを監視するソフト、電子証明を必要とする外部アクセスシステムの構築により、今まで以上に厳重な情報セキュリティ体制強化を行い、さらなる不正アクセスが起きないよう対策をとっております。

なお、個人情報保護委員会への報告と所轄警察署への届け出は完了しております。

２．流出等の可能性のある個人情報とお客様への対応

①対象

2018 年 4 月 1 日以降から 2022 年 11 月 4 日までの間に弊社が直接お名刺を頂いたお客様、並びに製品及び部品のご注文を頂いたお客様。

②情報

氏名、ご所属の会社情報（会社名、住所、電話番号、メールアドレス）、ご注文履歴及びその発送に関する情報、一部のお客様の個人住所と電話番号。

③対象のお客様への対応

2023 年 1 月 30 日より順次お客様への対応を進めてまいります

3．復旧状況

上記の情報が保管されていたサーバは、バックアップデータによって現在復旧しております。

4．今後の対策と再発防止

当社では今回の事態を重く受け止め、外部専門機関の協力も得て原因究明を行い、今まで以

上に厳重な情報セキュリティ体制の構築を行いました。さらに、従業員に対して情報セキュリティに関する情報共有と指導を徹底し、再発防止に取り組んでまいります。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、

重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2022】株式会社フルノシステムズ　不正アクセス発生による個人情報流失に関する調査結果［対象範囲確定］のお知らせと今後の対応について 2023年1月27日

株式会社フルノシステムズは、2022年12月19日にお知らせした、「不正アクセス発生による個人情報流失の可能性に関するお詫びとお知らせ」に関して、外部専門機関によるフォレンジック調査の最終報告書を受領し、対象範囲が確定しましたので、下記の通り調査結果のご報告及び今後の対応についてお知らせ致します。

お客様をはじめ多くの関係者の皆様にご迷惑と心配をおかけいたしますこと、深くお詫び申し上げます。

１．調査で判明した事実

サポートセンターで運営しているii-desk専用のサーバーにおいて、2022年11月18日から2022年11月20日にかけて、海外の送信元IPアドレスより不正アクセスを受けたことが判明しました。SQLインジェクションによる攻撃であり、個人情報が流出されたことが判明しました。

①流出した個人情報

2012年7月3日から2022年11月20日の間にACERA製品サポートサイトのお問合せ入力フォームより、ご入力いただいた個人情報1068件。（なお、当該1068件には弊社社員のメールアドレスも一部含まれております）

流出した個人情報はメールアドレスのみであり、お問合せいただいたお客様の会社名、部署名、氏名、住所、電話番号、お問合せ内容などは含まれておりません。

なお、有償契約ユーザ様向けサポートセンターは対象ではありません。

②その他

流出した個人情報は①のみであり、当該サーバーに対して、その他攻撃、サーバーの改変等は確認されませんでした。

２．個人情報が流失したお客様への対応

メールアドレスが流出したお客様全員に個別のご連絡を差し上げました。

なお、個人情報保護委員会への報告、及び所轄警察への届け出も完了しております。

3．サポートセンターの復旧状況と今後の対策、再発防止

現在、サポートセンター専用サーバーは停止しておりますが、サポートセンターから利用されていた、マニュアルダウンロード等は他のサーバで利用可能な状態となっております。

外部専門機関の協力を得ながら再開に向けた準備を行っています。本事象の対策および、再発防止に向けてセキュリティー対策の強化を行います。サポートセンター復旧につきましては、改めてお知らせ致します。

リリース文（アーカイブ）

全文表示 / Read more »

【セキュリティ事件簿#2023-038】LockBit 3.0ランサムウエアギャングは、“Fujikura.co.jp”をハッキングしたと主張

株式会社フジクラは、東京都に本社を置く光ファイバーや電線、ワイヤーハーネス等を製造する非鉄金属メーカーである。日経平均株価の構成銘柄の一つ。

電線御三家（住友電工・古河電工・フジクラ）の一角。光ファイバケーブルの接続で必要な「光ファイバ融着接続機」で世界首位。携帯電話・デジタルカメラ等に使われる「フレキシブルプリント基板」で世界3位。光ファイバーでは世界10位（国内首位）。

オフィスビルを中心とした複合施設である深川ギャザリアも運営している。

三井グループの月曜会に属しており、三井業際研究所及び綱町三井倶楽部の会員企業である。

【セキュリティ事件簿#2023-037】嘉手納町　個人情報漏えいについてお詫びとご報告　2023年1月26日

この度、町民保険課住基年金係におきまして、住民の氏名及び住所等の個人情報を含むデータを誤送信する事案が発生いたしました。

このような事態を発生させ、皆さまには多大なるご不安とご迷惑をおかけすることとなり、心からお詫び申し上げますとともに、町民の皆さまの信頼を損なうこととなりましたことを深く反省し、全庁体制にて再発防止に取り組んでまいります。

1　概要

令和４年１１月２９日に住民A氏から住民登録についての問い合わせがあり、同日、問い合わせについての回答を電子メールで行い、参考資料を添付して送付した。その際、参考資料として添付すべき届様式ではなく、住民異動関係の見出しとして管理している個人情報を含むファイルを誤って添付し送付した。

令和５年１月３日に住民A氏が返信メールを開封し確認した際、送付された内容の誤りに気づき、当町にメールにて連絡。

令和５年１月４日に職員が、住民A氏からのメールを確認し誤送付が発覚、同日、直ちに住民A氏にお詫びのうえ削除依頼し、削除した旨の確認をおこなった。

2　漏えいした個人情報

住民異動届の令和４年４月１日から令和４年７月１３日受付分　６７５名の氏名、住所、世帯主名、異動事由、世帯員の一部の名

3　漏えいの原因

送付すべきであった「住民異動届様式」と今回誤送付した「住民異動届見出し」のファイルは本来、違うフォルダに保管、管理されている。しかしながら、職員が報告物作成のため「住民異動届見出し」のコピーをデスクトップに保存しており、それを誤って送付した。

メールに添付したファイルの確認が不十分であったことが原因である。

4　今後の対応

今回の事態を重く受け止め、今後このような事態が発生しないよう電子メールの送信にあたっての確認事項を含め、改めてセキュリティーポリシーの遵守徹底を図るとともに、個人情報を含む電子ファイルの適正な保管、管理等、今一度、個人情報の取扱いについて見直し、再発防止に取り組んでまいります。

また、該当する方々へは、文書にて説明のうえ、謝罪することとしております。

リリース文（アーカイブ）

バグバウンティ系のイけてるYouTubeチャンネル

1. Bug Bounty Reports Explained

Grzegorz Niedzielaは、公開された脆弱性の旅にあなたを誘います。彼は、超技術的な発見の詳細に焦点を当て、何が起こったのか、研究者がどのように脆弱性を見つけたのか、視聴者に理解を深めてもらいます。高度な脆弱性やバグの連鎖について学ぶには、特に視覚的に学ぶことができる優れた方法です。

2. InsiderPhd

InsiderPhdはイギリス在住の大学教授で、パートタイムのバグバウンティハンターです。彼女は、バグバウンティの様々な側面に関する教育ビデオを定期的に公開しています。デモを交えた脆弱性チュートリアルもあれば、バグバウンティの計画面（効果的なメモの取り方、プログラムの選び方、目標設定、モチベーションなど）に取り組んだものもあります。このユニークなアプローチは、気負わずにバグ探しの技術面を学びたい、初めてバグを見つける方法を知りたいという初心者に特に興味深いものです。

3. LiveOverflow

LiveOverflowは自らをハッカー志望と称していますが、彼の動画はそうではないことを証明しています。ドイツを拠点とするこのCTFプレイヤーは、様々なニッチなトピックについて、10分間の深堀りされた説明ビデオをアップロードすることで知られており、理解しやすいスケッチブックのアニメーションで心地よく視覚化されています。LiveOverflowは、教育的なチュートリアルから、ハッキングに関連する実際の話、質問、考えをカバーすることまで、様々なトピックをカバーしています。最近のMinecraftハッキングシリーズは話題になること間違いなしです

4. NahamSec

NahamSecは最も影響力のあるバグハンターの一人で、バグバウンティコミュニティに信じられないほどポジティブな影響を与えている。彼は、最高のバグバウンティハンターへのインタビュー、ライブハッキングストリーム、チュートリアル、Vlogで知られています。また、彼のチャンネルでは、彼が共同主催したカンファレンスのトークも見ることができます。ハッカーたちが最先端の技術（特にウェブハッキング）を紹介するだけでなく、チャリティーのために何千ドルもの資金を集めることにも貢献しています。

5. PwnFunction

pwnFunctionのYoutubeチャンネルに適切な言葉を見つけるのは難しいです。まず、質問から始めましょう。あなたはペンギンが好きですか？もし答えがイエスなら、今すぐハマるはずです! さて、もう一つ。ステラアニメーションは好きですか？pwnFunctionは、様々な脆弱性の概念やウェブに関する秘密について説明する、最も美しいビデオを制作しています。彼は年に2、3本しかビデオを作らないが、彼がアップロードするときは、それが良いものであることがわかるだろう

6. John Hammond

ジョン・ハモンドは、CTFコンテストにおいては真の伝説的存在です。ジュラシック・パークに登場する彼の双子のように、Johnは情熱的なクリエイターであり、謙虚なコミュニティメンバーでもあります。NahamConやHacktivityConで彼が作った人気のCTFチャレンジで彼を知っている人もいるかもしれません。Johnの特徴は、課題を作るだけでなく、その仕組みや解決方法を説明し、他の人を教育し、次のレベルに到達する手助けをすることに長けている点です。

7. Ippsec

Ippsecが最もよく知られているのは？Hack The Boxのチュートリアルビデオです。彼はそれをロックしていますか？もちろんです。もしあなたが侵入テストに入りたいなら、これらのビデオはベスト中のベストです

8. PhD Security

博士号を持ち、サイバーセキュリティに情熱を持つ別の人物が、あなたにすべての小技を教えるビデオを作っています。このビデオ、すごいですよ

9. Farah Hawa

Farah Hawaは、複雑なウェブ脆弱性をわかりやすく説明する才能を持つバグハンターです。彼女独自のスタイルで、要点を率直に述べ、脆弱性を迅速に把握するために必要なことだけを教えてくれる。

10. STÖK

独特のルックスとヴェイパーウェアのような美的感覚で、バグバウンティ界に旋風を巻き起こしているSTÖK。彼は、菜食主義のシェフであり、ITコンサルタントからサステナブルファッションストアのオーナーに転身し、バグバウンティハンターであり、キーノートスピーカーでもあるのです。彼のビデオには、「Bounty Thursdays」という週刊教育番組、バグハンターのアプローチ方法に関するトーク、モチベーションを高めるスピーチ、バグバウンティライフの楽しいカバー、チュートリアルなどがあります。彼のビデオを見た後は、ポジティブになれること請け合いです

2022年、彼はあまり積極的に活動しておらず、今後投稿するビデオも少なくなると思われますが、彼がコミュニティのためにしてくれた素晴らしい仕事を称え、今年もこの場所を提供したいと思います。Stokはバグバウンティに良い雰囲気をもたらし、彼がいなかったら、どれだけ多くの素晴らしいハンターがバグバウンティハンターになることはなかったでしょう

11. 0xdf

0xdfは、Hack The Boxマシンやその他多くの素晴らしいビデオを制作しています。彼の素晴らしいところは、単に解決策を示すだけでなく、ルートシェルを取得するだけでなく、脆弱性の原因を正確に示していることです。

12. Cristi Vlad

Cristi Vlad は何年も前から侵入テストを行っており、彼がそのマジックの一部を YouTube で共有してくれたのは幸運でした。彼は非常に多くのビデオを持っており、どこから始めればいいのか分かりませんが、そのほとんどすべてが金字塔であることをお約束します。

13. CryptoCat

CryptoCat は、CTF ウォークスルー、バイナリ搾取、ペンテスト、マルウェア解析、プログラミング/スクリプトなどに焦点を当てた情報セキュリティ教育チャンネルです。彼は通常、カバーするトピックを深く理解できるように、かなり詳細に説明します。

さらに素晴らしいことがあります。彼はもうすぐインティグリティのコミュニティチームに参加する予定です。インティグリティのYouTubeチャンネルで、彼のコンテンツにご期待ください。

14. Rana Khalil

Rana Khalilは、セキュリティ評価の専門家であり、パートタイムのバグバウンティハンターです。彼女のチャンネルでは、Portswigger's Web Security Academyのすべてのラボを解決することに焦点をあてています。Ranaはいつも、特定の脆弱性に関する一般的なガイドビデオで始まり、その後、いくつかのラボで解決策を実演しています。

15. HackerSploit

HackerSploitには、ハッキングに関するビデオが400本以上あります。その中には、倫理的なハッキングや侵入テスト、Linuxのエッセンス、チャレンジのウォークスルーなど、多くのシリーズが含まれています。彼は様々なトピックに触れますが、彼の専門はLinuxです。彼のビデオは、ペンテスターのためのDocker、zsh、Nmapなどのトピックの優れた紹介を提供しています。

16. Seytonic

Seytonicは、YouTubeで最高のセキュリティニュースコンテンツを作っています。それは間違いないでしょう。バグバウンティハンターとして、私たちは時々、他のバグバウンティハンターからだけ多くのサイバーセキュリティニュースを得るという、小さなバブルに入ることがあります。ハッキングには他の側面もあり、Seytonicのビデオを使って、それを本当に簡単に消化するのが好きなのです。

17. Dr Josh Stroschein

ジョシュは、100％講義と言えるようなビデオを作ります。私たちは、リラックスしたスタイルと落ち着いた声が大好きです。このすべてが、学習をより良いものにしてくれます

18. theXSSrat

"What’s up you amazing hackers?"

この文章を聞いたことがない人は、XSSラットのコンテンツをチェックする必要がありますよ。彼は定期的にバグハンターに関連する様々なトピックについて短いビデオを公開しています。これには、インタビュー、チュートリアル、Q&A、Tips、そしてバグハンターが始めるときに誰もが抱く疑問への答えが含まれています。

19. Conda

Condaは素晴らしいクリエイターであるだけでなく、最近Intigritiのリーダーボードでトップになり、素晴らしい肖像画を付与されたのです。この素晴らしいバグバウンティハンターがどのようにスタートしたかを知りたい方は、ぜひ彼のチャンネルをチェックしてみてください。

20. HackingSlimplified

Hacking Simplifiedは、チャンネル名が宣伝しているとおりのことをやっています。彼は、ハッキングをよりシンプルにするためのビデオを制作しています。彼のチャンネルでは、コミュニティの注目すべき人々へのインタビューや、AndroidのペンテストからGraphQLの脆弱性の発見まで、あらゆることについてのチュートリアルを見ることができます。

出典：Top 20 bug bounty YouTube channels in 2023

2023年の危険な航空会社8選

航空格付け会社のエアラインレイティングス（AirlineRatings）は、2023年の安全な航空会社トップ20と安全な格安航空会社（LCC）トップ10を発表した。

裏ネタとして逆に評価が低い、シングルスターな航空会社を8社取り上げてみたい。

Pakistan International Airlines / パキスタン国際航空

Air Algérie / アルジェリア航空

SCAT Airlines / SCAT航空
※カザフスタンのシムケントを本拠地とする航空会社。

Sriwijaya Air / スリウィジャヤ航空
※スマトラ島をベースにインドネシア国内の都市を結ぶインドネシアの航空会社

Airblue / エアブルー
※カラチを本拠地とするパキスタンの格安航空会社

Blue Wing Airlines
※スリナムの航空会社

Iran Aseman Airlines / イラン・アーセマーン航空

Nepal Airlines / ネパール航空

出典：COMPARE AIRLINE SAFETY RATINGS

【セキュリティ事件簿#2023-036】株式会社ジェイ・エス・ビー　当社従業員によるご契約者様等の個人情報の漏洩について　2023 年１月 25 日

このたび、当社の従業員による当社の管理物件等に係るご契約者様等の個人情報の一部漏洩の可能性があることが判明いたしましたので、お知らせ申し上げます。

2023年1月10日頃より、当社と全く関係のない第三者により、ご契約者様等に対して、当社のコーポレートブランドである「ユニライフ」の名を騙ったウォーターサーバーに関する勧誘や、身に覚えのない契約の締結を理由としたキャンペーンの案内がされている等の苦情が当社に寄せられました。当社のご契約者様等のリストに基づいて勧誘等がなされている懸念があったため、当社は調査を開始し、当社の従業員が当社の顧客管理システムからご契約者様等の個人情報（氏名、生年月日、性別、住所、電話番号、ご入居様の在籍校名、年収、世帯年収等）を漏洩した可能性があることが、2023年1月20日に判明いたしました。

これを受け、当社は2023年1月23日に対策本部を設置し、当該従業員による第三者に対するご契約者様等の個人情報の提供行為の有無や上記の勧誘等との関係を含めた、本件の事実関係及び原因の全容解明並びに被害の拡大防止に取り組むことといたしました。

当社から、ご契約者様等に対して、事前の同意を得ることなくウォーターサーバーの勧誘やキャンペーンの案内をすることはございませんので、当社の名を騙った勧誘にはくれぐれもご注意いただきますようお願い申し上げます。ご契約者様等や株主の皆様をはじめとする関係者の皆様には多大なご迷惑及びご心配をお掛けすることとなり、深くお詫び申し上げます。

本件による当社業績への影響については、現在精査中であります。今後、業績に重要な影響を及ぼすことが明らかになった場合には、速やかに開示いたします。

なお、本件については既に警察に相談をするとともに、国土交通省その他関係機関に対しても報告をしております。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-006】株式会社SEプラス　弊社教育サービスをご利用頂いているお客様への重要なお知らせとお詫びについて(2023/01/25 追加報告) 2023年1月25日

2023 年 1 月 6 日にご報告 (以下「前回ご報告]」といいます) しました通り、弊社の教育事業サービスにおきまして、弊社のお客様 (法人・個人含む) の一部情報が限定された条件下において閲覧可能な状態にあり、漏えいのおそれがあったごことが判明致しました (以下、「本件」といいます)。

弊社は、漏えいのおそれがある状態を直ちに是正するとともに、本件につき原因・影響範囲その他の事実を把握するべく、社内調査に加え、第三者機関によるフォレンジック調査を進めてまいりましたが、調査が終了しましたので、調査結果および再発防止に向けた取り組みにつきご報告申し上げます。

なお、本件については既に是正済であり、第三者機関の調査におきましても、悪意のあるユーザーからの不正アクセスその他漏えいの事実は確認されておりません。また、本日、個人情報保護委員会等への報告を済ませております。

改めまして、お客様には大変ご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

1. 漏えいするおそれのあつた個人情報と件数 (※下線は前回ご報告から追加・変更された事項を指します)

件数 : 49,982 件

個人情報

・会員 ID(一部サービス)

・氏名

・メールアドレス

・バスワード(一部サービスにおける初期バスワード以外は暗号化を確認)

・所属会社名

・役職(一部サービスにおいて任意に入力されたもの)

・学習履歴(一部サービス)

※学習履歴は記号化されておりますが、データベースを操作して紐づけを行うことで認識可能な状態

2. 閲覧可能であった期間

2022 年 12 月 16 日2022 年 12 月 29 日迄の間、断続的に閲覧が可能な状態(特定の条件下において)

3. 経緯

2022 年 12 月 29 日、お客様より「外部セキュリティ企業の情報漏えいデータ検出ソリューションを利用した調査の結果、当該データを検出した」旨のご連絡を受け、直ちに社内調査を行った結果、同月 30 日に原因の特定に至りました。その後、2023 年 1 月9 日より第三者機関によるフォレンジック調査を行いました。

4. 原因

第三者機関によるフォレンジックを含む調査の結果、整社従業員の開発用 PC1 台について、複数の条件を全て満たすごとで当該PC 内に設定されているデータベースへの侵入を許すおそれがある状態であったことが確認されております。

5. 現在の状況

データの閲覧が可能な状態はすでに是正済みであり、第三者機関によるフォレンジック調査の結果、悪意のあるユーザーからの不正アクセスその他漏えいの事実は確認されませんでした。また、本件につき必要な関係各所への報告は完了しております。

6. 再発防止策

現在再発防止策として下記の対策を進めておりますが、新たに外部セキュリティ会社等の専門機関に相談しつつ、追加の対策も速やかに検討、実施してまいります。

(1)情報セキュリティ教育の強化

(2)確認・チェック機能の強化、各種権限の見直し

(3)現状の開発運用方針を見直し、代替手段へ移行

改めまして、お客様にはご心配をおかけする事態となかりましたことを深くお詫び申し上げます。ごの度の事態を真統に受け止め、再発防止策を講じるとともに個人情報の取り扱いに対して厳重な管理を徹底し、更なる情報セキュリティ強化に取り組み、再発防止に努めてまいります。

併せて、弊社サービスをご利用のお客様におきましても、報告書を提出済です。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-022】株式会社アダストリア　当社サーバーへの不正アクセス発生について（第二報）お客さまの個人情報流出の可能性に関するお知らせとお詫び 2023年1月24日

当社コーポレートサイトの2023年1月19日付け「当社サーバーに対する不正アクセス発生について」※にてリリースいたしました通り、当社のサーバー等に対する不正アクセスに関連して、一部のお客さまの個人情報が流出した可能性を否定できないことが判明いたしました。なお、現時点で、本件に関わる情報流出は確認されておりません。お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。

現在判明している事実等につきまして、以下のとおりご報告いたします。

１．経緯

2023年1月18日早朝、当社が管理運用する一部の社内業務システムのサーバー等（以下、本件サーバー等）に対し、外部の第三者からの不正アクセスを受けたことを確認いたしました。当該事象の確認後、直ちに、被害拡大を防ぐためにネットワークの遮断、社内業務システムの停止などの対応を実施いたしました。なお、WEBストア「ドットエスティ」のECサーバーについては、今回の不正アクセスの影響を受けていないことを確認しておりますが、物流システムを停止したことに伴い、ドットエスティを休止いたしました。

同日午前に、対策本部を立ち上げ、外部専門機関の協力のもと、影響範囲の特定、原因や侵入経路の調査、復旧作業等の対応を開始し、同日午後には、警察へ相談しております。

現在も調査を継続しており、現時点で本件に関わる情報流出は確認されておりませんが、本件サーバー等に保存されている、お客さまの個人情報流出の可能性を完全に否定できないことが判明しました。なお、個人情報保護委員会への報告は既に実施いたしました。

２．1月24日時点で流出の可能性が判明した個人情報の内容

以下の対象となるお客さまの個人情報 1,044,175件（氏名・住所・電話番号・メールアドレス・会員識別番号）

① 2022年7月～2023年1月に、ドットエスティからの商品を受取り済み・受取り予定の一部のお客さま

② 2021年4月～2023年1月に、店舗受け取り・自宅配送サービスをお申込みの一部のお客さま

③ 2019年8月～2019年9月に、ドットエスティで購入された一部のお客さま

（①・②については、2023年1月18日以前のご注文・お申込みの方が対象です。）

※　クレジットカード情報などの決済情報は含まれておりません。

※　会員識別番号は、社内で使用する管理番号です。ドットエスティへのログイン情報（お客さまご自身で設定された会員ID・パスワード）は、本件サーバー等に保有しておらず、流出可能性の対象となる情報に含まれておりません。

３．対象となる方への対応

当社では、順次、対象となる方への連絡を進めており、メールまたは郵送にてご案内を差し上げる予定です。

４．現在の状況とWEBストア「ドットエスティ」について

現在、安全な環境の構築が完了し、停止していた社内業務システムの稼働を順次再開しております。休止しているWEBストア「ドットエスティ」につきまして、物流システムを再稼働し、安全性が確認できたことから、近日中に再開を予定しております。

５．今後の対応と再発防止策

引き続き、外部の専門機関と連携し、原因や経路の究明を行うとともに、流出の可能性がある情報について調査を進め、対象となる方へのご連絡を差し上げてまいります。ドットエスティ再開にあたっての必要な対策は講じておりますが、さらに安心してご利用いただくためのセキュリティと監視体制の強化を実施し、再発防止に努めてまいります。

６．業績への影響

現時点で、本件にかかる業績予想等の変更はございません。今後開示すべき事項が発生した場合には速やかにお知らせいたします。

本件に関して、さらなる詳細な調査の結果、新たに報告すべき事項が判明した場合には、速やかにお知らせいたします。お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしておりますことを、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-035】株式会社シャルレ　「CHARLE WEB STORE（シャルレウェブストア）」へのサービス提供会社における個人情報漏えいのおそれに関するお詫びとお知らせ 2023年1月24日

このたび、弊社が運営する「CHARLE WEB STORE（シャルレウェブストア）」（https://store.charle.co.jp/）（以下「当サイト」といいます。）に対して入力補助サービス等（以下「本サービス」といいます。）を提供している株式会社ショーケース（本社：東京都港区、証券コード：3909）（以下「ショーケース社」といいます。）におきまして、同社のプログラムが第三者による悪意のある攻撃を受け、お客様のクレジットカード情報(対象者数: 605 名)が漏えいした可能性のあることが、ショーケース社からの報告により判明いたしました。

お客様には多大なるご迷惑及びご心配をおかけする事態となり、深くお詫び申し上げます。クレジットカード情報が流出した可能性のあるお客様には、二次被害の防止の観点から、既に第一報を郵送にてお送りしていますが、改めて、本日から個別にお詫びとお知らせをご連絡させていただいております。

また、被害範囲確定のための第三者機関（事故調査機関（PFI：PCI Forensic Investigator））による当サイトの調査の結果、当サイトのプログラム改ざんやサイト実行環境への不正アクセスによる情報漏えいはなかったことを確認しております。当該調査に時間を要し、ご報告が本日となりましたことを重ねて深くお詫び申し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

なお、弊社では、既にショーケース社のサービスの切り離しを行っております。

お客様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記のとおりご報告いたしますので、ご確認くださいますようお願い申し上げます。また、ショーケース社より、本件に関する概要と対応等につきまして、以下のとおり2022 年 10 月 25 日付で公表されていますので、お知らせいたします。

▼株式会社ショーケース不正アクセスに関するお知らせとお詫び（2022 年 10 月 25日）

　URL： https://www.showcase-tv.com/pressrelease/202210-fa-info

1.経緯等

2022 年 7 月 26 日、ショーケース社が本サービスを利用する弊社以外の企業から、本サービスのプログラムのソースコードに不審な記述がある旨の指摘を受け、ショーケース社においてソースコードを調査したところ、当サイトで使用しております同社サービス「フォームアシスト」及び「スマートフォンコンバータ」において、第三者による不正アクセスにより、ソースコードの書き換えがなされ、当サイトにおいて入力されたお客様のクレジットカード情報が外部に流出した可能性があることが判明しました。

2022 年 7 月 28 日、弊社はショーケース社からその旨の報告を受け、決済代行会社及びクレジットカード会社と相談の上、2022 年 8 月 3 日、当サイトでのカード決済を停止いたしました。また、2022 年 8 月 29 日からは、ショーケース社が第三者調査機関による調査を開始しました。

ショーケース社からの初期報告に基づき、2022 年 10 月 4 日以降、クレジットカード情報が流出した可能性のあるお客様に対して、二次被害の防止の観点から、第一報を郵便にてお送りするとともに、個別にお電話またはメールにてお知らせいたしました。

2022 年 10 月 19 日、ショーケース社における第三者調査機関による調査が完了し、流出した可能性のある情報及び情報が流出した可能性のある期間について、ショーケース社より報告を受けました。

当初、漏えいした期間は、2022 年 7 月 19 日 3 時 14 分から 2022 年 7 月 26 日 20 時35 分までとの報告を受けておりましたが、ショーケース社における第三者調査機関による詳細な調査の結果、漏えいした可能性のある期間が変更となったため、追加された期間に当サイトで決済を完了されたお客様に対しても、2022 年 11 月 1 日に、二次被害の防止の観点から、第一報を郵送にてお送りするとともに、個別にお電話またはメールにてお知らせいたしました。

その後、本件の全容解明及び被害状況の把握に向け、社内調査を進めるとともに、当サイトを対象とした第三者調査機関による調査を開始し、2023 年 1 月 6 日、当該調査の結果、当サイトにおいて漏えいした可能性のある期間は後記 2.(1)のとおりであることが判明しました。また、当サイトのプログラム改ざんやサイト実行環境への不正アクセスによる情報漏えいはなかったことも確認されました。

以上の事実が確認できたため、本日の公表および漏えいの可能性のあるお客様への最終的なご報告に至りました。

なお、当サイトでのクレジットカード決済は停止しておりますが、サービスそのものは継続しております。

2.漏えいの可能性のある個人情報等

(1) 漏えいの可能性のあるお客様

以下の対象期間中に、当サイトのクレジットカード情報入力画面にて、後記(2)の情報を新たに入力して決済されたお客様

①2022 年 7 月 19 日 07 時 49 分 55 秒から 2022 年 7 月 26 日 20 時 33 分 40 秒
②2022 年 7 月 26 日 22 時 31 分 02 秒から 2022 年 7 月 29 日 01 時 48 分 08 秒

(2)漏えいの可能性のある情報
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

3. 漏えいの可能性のあるお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいの可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

上記「2.(1)漏えいの可能性のあるお客様」は、誠に恐縮ではございますが、クレジットカードのご利用明細書に身に覚えのない請求項目の記載がないか今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合には、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、クレジットカード会社に依頼しております。

4.再発防止策及び弊社が運営するサイトについて

このたびの事態を厳粛に受け止め、当サイトに対する調査結果を踏まえてシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図ってまいります。

当サイトでのクレジットカード決済の再開日につきましては、決定次第、当サイト上にてお知らせします。

なお、今回の不正アクセスにつきまして、個人情報保護委員会には 2022 年 8 月 2日及び 2022 年 12 月 14 日に報告済みであり、また、2022 年 9 月 6 日には所轄警察署に相談をしており、今後、捜査にも全面的に協力してまいります。

5.公表が遅れた経緯について

2022 年 7 月 28 日のショーケース社からの情報漏えいのおそれに関する報告から今回の公表に至るまで、時間を要しましたことを深くお詫び申し上げます。

決済代行会社及びカード会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、当サイトにおける第三者調査機関による調査の結果及びカード会社との連携を待ってから行うことといたしました。

公表までにお時間をいただきましたこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-034】元職場のデータ削除容疑　システム管理担当の男タイーホ

退職した会社の社内ネットワークにアクセスしデータを削除したとして、警視庁サイバー犯罪対策課は2023年1月24日までに、不正アクセス禁止法違反と電子計算機損壊等業務妨害の疑いで埼玉県上尾市富士見、会社員熊谷圭輔容疑者（３３）を逮捕した。「やっていない」と容疑を否認しているという。

逮捕容疑は2022年6月4日、以前勤めていた電気計器メーカーの社内ネットワークに元同僚のＩＤを使って不正アクセスし、同社が使用するデータを削除して業務を妨害した疑い。

出典①：元職場のデータ削除容疑　システム管理担当の男逮捕―警視庁

出典②：熊谷圭輔の顔やfacebook『根に持つ性格』勤務先や家族構成|不正アクセスでデータ削除|埼玉

出典③：システム管理をしていた元社員による社内データ削除事案についてまとめてみた

【セキュリティ事件簿#2023-033】一般財団法人日本国際協力システム　個人情報の漏えいについて　2023年1月19日

当財団業務部において、調達業務での見積依頼に関して一斉にメールを送信する際、送信先メールアドレスを「Bcc」で送信すべきところ、誤って「Cc」で送信したため、個人情報を含むメールアドレスを流出させる事案が発生しました。

関係者の皆様には多大なご迷惑をおかけすることとなりましたことを深くお詫び申し上げます。

今後、同様の事案が発生することのないよう、速やかに再発防止対策を講じます。

【概要】

1　判明日時

2022年12月2日（金曜日）　午後3時00分頃

＜経過＞

12月2日（金曜日）午後2時25分メール一斉送信

同日　　　　　　　　午後2時26分頃　当該職員が、発信後に送信メールを確認した際、自らの誤送信に気づき、上司に報告

2　事案概要

12月2日、無償資金協力「経済社会開発計画」の調達業務に係る関心表明者57件のメールアドレス宛に見積依頼書を送信する際、それぞれのメールアドレスを「Bcc」で送信すべきところ、誤って「Cc」で送信したため、個人情報を含むメールアドレスが送信先の関係者間で閲覧できる状態になりました。

当該職員が、発信後に送信メールを確認した際、自らの誤送信を認識しました。

3　関係者への対応

メールの受信者全員に対し、12月5日お詫びのメールを送信するとともに、当該メールの削除を依頼しました。
業務の監督機関に対し、12月5日電話及びメールにて報告を行いました。

4　再発防止対策

一斉メール送信時は、「Bcc」で送信することを徹底します。
調達業務に係る外部へのメール送信時は、送信前に必ず複数人による「ダブルチェック」を徹底します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-032】株式会社三春情報センター　マルウェア Emotet に関するお詫びとお知らせ　2023年1月

2022 年 2 月から Emotet の感染が急速に拡大しているとの情報が確認されています。

また、弊社関係者を装った不審なメールが、社内・外の方を問わず複数発信されているという事実を確認しております。

弊社をご利用いただいたお客さま及び関係者の皆さまには、多大なご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。本件の経緯及び今後の対応について、下記のとおりご報告いたします。

1. 事実の概要

弊社パソコンが「Emotet」(ｴﾓﾃｯﾄ)と想定されるマルウェアに感染し、弊社社員を装うメールが送信されました。

Emotet は、実在の組織や人物になりすまして発信されたメールの添付ファイルによるマルウェアです。

主にマクロ付きの Excel や Word ファイル、またはこれらをパスワード付き Zip ファイルと

して添付されたメールで配信されており、ファイルを開封後にマクロを有効化する操作を実行することで Emotet の感染に繋がります。

感染するとアドレス帳やメールの窃取または転送設定などが行われ、情報を窃取される恐れがあります。また、窃取された情報を利用され、さらにフィッシングメールやマルウェア添付メールを送信されるなど、被害の拡大に繋がります。

2. 弊社を名乗る不正メールを受取られたお客さまへのお願い

実在の組織や人物から送信（返信）されたように見えるメールでも、「身に覚えがないメール」や「不審な点があるメール」につきましては、メールに記載された URL のクリックや添付ファイルの開封は行わないようにしてください。

また、エクセル、ワードなどのオフィスソフトのマクロを実行しないよう、設定をよろしくお願いいたします。

3. 現時点での被害状況

弊社関係者を詐称する不正なメールの添付ファイルを開封された方がいらっしゃいますが、現時点では本件を悪用したフィッシングメールや詐欺等の被害は報告されておりません。

4. 発生したおそれがある個人データ

弊社社員のアドレス帳データが読み取られた可能性があります。お名前とメールアドレスが 300 件程度流出した可能性があります

5. 今後の対応

弊社では、今後この様な事態が発生しないよう、セキュリティソフトの見直し、ファイヤーウォールなどの対策を行っておりますが引き続きさらなるセキュリティの強化を実施いたします。

再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くして参ります。

JPCERT/CC: マルウェア Emotet の感染再拡大に関する注意喚起

https://www.jpcert.or.jp/at/2022/at220006.html

リリース文（アーカイブ）