【セキュリティ事件簿#2023-197】厚生労働省 迷惑メールの送信事案の発生について 2023年5月29日

このたび、厚生労働省のサーバを経由し、第三者からの迷惑メールが送信されていたことが判明しました。メールは英文であり、厚生労働省とは関係がないことが記載されています。使用されているメールアドレスも厚生労働省のメールアドレスではありません。

当該メールを受け取られた方々には、深くお詫び申し上げます。

事案の概要等は、次のとおりです。

1.概要

令和５年５月２７日（土）２０時頃から、令和５年５月２８日（日）２０時３０分頃までの間に、厚生労働省のサーバから、迷惑メールが送信された。

メールの件名は「Re: Can I trust you?」であり、メール本文も英文である。

使用されているメールアドレスは厚生労働省のメールアドレス（＠mhlw.go.jp）ではない。

海外のアドレスを中心に、送信されたメールは約10万件である。

なお、情報の漏洩等は発生していない。

2.原因

原因は、精査中であるが、厚生労働省のメール中継サーバを利用した海外からの電子メールの不正な中継が原因であると考えられる。

3.対応状況

迷惑メールの送信が行われたことを確認後、メール中継サーバへのアクセスを遮断する等必要な措置を実施した。

4.再発防止策

厚生労働省では、今般の事案に対し、システム運用・保守事業者へ原因究明及び再発防止の徹底を求めるとともに、引き続き、情報セキュリティ対策に取り組む。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-196】茨城県 県立あすなろの郷におけるメール送信による情報漏えいについて 2023年5月25日

県立あすなろの郷（指定管理者：(社福)茨城県社会福祉事業団）において、個人情報（入所者名とメールアドレス）が漏洩する事案が発生いたしました。

今後、二度と同様の事案が発生しないよう、再発防止に努めてまいります。

１ 事案の概要

（１）情報漏洩の状況

• ５月９日、県立あすなろの郷の指定管理者である(社福)茨城県社会福祉事業団の職員が、入所者の保護者等に対してメール(メールアドレスの登録が完了したことを報告する内容)を送信した際に、ＢＣＣで送信すべきところをＣＣで送信したため、メールアドレスの情報が漏えいした。
• ５月２２日、上記メールを受信した入所者の保護者から連絡があり、情報漏えいが判明した。
• 発覚後、情報漏えいがあった入所者の保護者等に対して謝罪し、受信したメールを削除するよう依頼した。
• なお、現在、メール送信先の入所者の保護者等以外に情報が漏えいしたとの情報はない。

（２）漏洩件数

• 入所者名と保護者等メールアドレス 88 件(80 人分)
  　※複数のメールアドレスを登録しているケースがある。

２ 原因

外部へのメール送信前に送信先及び送信方法の確認を十分に行わなかったため。

３ 再発防止策

指定管理先である(社福)茨城県社会福祉事業団に対し、以下の再発防止策等の徹底を指示し、事業団において対応中。

• 外部にメールを送信する場合は、必ずＢＣＣで送信するようにする。
• 外部にメールを送信する場合は、複数人で送信先及び送信方法を確認して

から送信するようにする。

リリース文（アーカイブ）

PontaポイントからJALのマイル交換で20％のレートアップキャンペーンを実施：2023年7月3日（月）～7月31日（月）

 

日本航空（JAL）、ロイヤリティマーケティング、KDDIは、PontaポイントからJALマイレージバンクのマイルへの交換で、通常より交換レートをアップする「PontaからJALのマイル 交換レート20％アップキャンペーン」を、7月3日から7月31日まで実施している。

JMB×Ponta会員もしくはJMBローソンPontaカードVisa保有者で、JALマイレージバンク日本地区会員が対象となる。Pontaからマイルへの交換レートは、通常2Pontaポイントあたり1マイルであるところ、20％分のボーナスマイルを付与する。1マイル未満は切り捨てとなる。

レートアップ分のマイルは、通常マイルとは別に積算する。ボーナスマイルの積算時点で、JMB×Ponta会員登録を解除、JMBローソンPontaカードVisaを退会している場合は対象外となる。

出典：Pontaポイント＆セゾン永久不滅ポイント JALマイル交換レート20%アップキャンペーン

【セキュリティ事件簿#2023-195】株式会社モンテディオ山形 個人情報流出に関するお詫びとお知らせ 2023年5月25日

株式会社モンテディオ山形（代表取締役社長：相田　健太郎）が保有する個人情報の一部が流出していることが判明しましたので、お知らせいたします。なお、現時点では本件に関わる個人情報の不正利用等は確認されておりません。

お客様および関係者の皆様には、多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

本件に関する概要につきましては、以下の通りです。

1.外部流出した個人情報

（1）項目

　JリーグID会員に登録されているメールアドレス

（2）対象件数

　152件

2.経緯

5月24日（水）

①モンテディオ山形が業務委託する外部業者において、来場促進メールを配信する際に、全体配信対象1,759件を3つのグループに分けて配信したところ、内1グループ（586件）の配信で、152件がエラーメールとなり配信未完了となりました。

② エラーによる配信未完了の152件についてメールを再配信する際に、宛先ではなく誤ってメール本文へ152件のメールアドレスを添付してしまった結果、586件中500件へ152件のメールアドレスが添付されたメールを配信してしまいました。

3.原因

本来、メール作成時に「配信対象のファイルを宛先に追加」すべきところ、「配信対象のファイルをメールに添付」としてしまったため、エラーメールとなった方の「メールアドレス」「半額優待用URL」が入力されたExcelファイルを添付し送信してしまい、メール配信時に添付及び配信対象相違に気付くことが出来ず、そのまま配信してしまったことが原因です。

4.今後の対応

本件の対象のお客様には、事象発生のご報告およびお詫びをメールとお電話にてご連絡いたします。

本件については、すでにJリーグ等の関係機関への適時報告を行っており、今後も引き続き外部業者と協力して調査していきます。なお、流出元となった外部業者にて、該当のお客様には、当該メールの破棄をご依頼させていただいており、さらなる情報流出がないよう対応いたします。

 

該当するお客様をはじめ関係者の皆様には、多大なるご迷惑とご心配をおかけしますことをあらためてお詫び申し上げます。

当社では、今回の事態を重く受け止め、再びこのようなことがないよう、委託先の管理を含め、より一層の管理体制の強化に努めます。何卒ご理解とご協力を賜りますようお願い申し上げます。

リリース文（アーカイブ）

永久不滅ポイント、JALマイル交換でレートアップ（2023年7月1日～2023年7月31日）

 

日本航空（JAL）は、永久不滅ポイントからJALマイレージバンクのマイルへの交換で、通常より交換レートをアップする「マイル20％レートアップキャンペーン」を、7月1日から31日まで実施している。

200ポイント1口で通常500マイルのところ、1口ごとにボーナスマイル100マイルをプレゼントする。キャンペーンへのエントリーが必要となる。通常分のマイルは、ポイント交換手続き後、3週間から4週間で口座に反映される。

恐らくキャンペーンの利用は今回が最後になるだろう。

その理由は↓

これまではセゾンプラチナ・ビジネス・アメリカン・エキスプレス・カードをメインで使っていた。

セゾンプラチナ・ビジネス・アメリカン・エキスプレス・カードは個人でも持つことができ、年間決済額が200万円を超えると年会費が半額（22,000円⇒11,000円）なる。

更に、JALマイルが貯まるSAISON MILE CLUBが無料だったり、セゾンクラッセといったサービスがあり、最大でJALマイル還元率1.45%をたたき出していた素晴らしいカードだった。

ところが、その後セゾンクラッセのサービスが終了し、更に今回SAISON MILE CLUBが実質有料となり、JALマイルとの相性がイマイチとなってしまった。

いろいろ検討した結果、JALカードのCLUB-Aゴールドカードをメインにした方が良いという結果になり、お世話になったセゾンプラチナ・ビジネス・アメリカン・エキスプレス・カードはお別れすることとなった。

取り急ぎ、これまでお世話になったセゾンプラチナ・ビジネス・アメリカン・エキスプレス・カードに感謝したい。

【セキュリティ事件簿#2023-194】橿原市 橿原市の特産品プレゼントキャンペーンにかかる個人情報の流出について 2013年5月12日

令和 5 年 4 月 18 日に情報公開請求者 1 名に対し、橿原市の特産品プレゼントキャンペーンで実施したアンケートの回答内容が入ったエクセルファイルを提供した際に、回答者の住所が含まれた状態で提供してしまう個人情報の流出事案が発生しました。なお、氏名、電話番号は含まれていません。

この度の個人情報の流出について、アンケートにご協力いただきました皆さまに、心から深くお詫び申し上げます。今後、再発防止に向け、より一層の情報管理を徹底してまいります。

【流出した個人情報】

橿原市の特産品プレゼントキャンペーンで実施したアンケート回答者の住所 全 759 件

【事案発生の経緯】

1. 令和 5 年 4 月 18 日に観光政策課からエクセルファイルを情報公開室に庁内メールで送信した。
2. 同日、情報公開室から情報公開請求者 1 名にエクセルファイルを外部メールで送信した。
3. 令和 5 年 4 月 19 日に観光政策課でエクセルファイルを確認したところ回答者の住所が含まれていることが判明したため、直ちに情報公開室に連絡した。
4. 同日、情報公開室から情報公開請求者 1 名に連絡し、直ちに提供したエクセルファイルを削除することに同意いただき、削除していただいた。また、外部に拡散されていないことを本人に確認した。

【発生原因】

エクセルファイルの提供に際し、両課ともにデータ内容の確認が不十分であったため。

【対応状況】

令和 5 年 5 月 1 日付、アンケート回答者に対して、個人情報流出事案が発生したことをお知らせするとともにお詫びする文書を発送した。

なお、現時点で、情報公開請求者 1 名以外への流出及び不正利用の事実等の二次被害は確認されていません。

【今後の対策】

個人情報の取扱いを再確認するとともに、提供する前に複数人による確認・点検を徹底することで、再発防止に努めます。今後このような事態が生じないよう、個人情報の厳重かつ適正な管理を行ってまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-193】東京都交通局 個人情報の漏えいについて 2023年5月17日

東京都交通局広報誌を紹介するホームページ内の「読者プレゼント応募フォーム（外部リンク）」において応募者の個人情報 166 名分が閲覧できる状況にあった事故が発生しましたので、お知らせします。

関係者の皆様には多大なるご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

１ 事故の概要

• 令和５年５月２日（火）から同月１６日（火）までの間、当局広報誌「ふれあいの窓（2023 年５月号）」を紹介するホームページ内の「読者プレゼント応募フォーム（外部リンク）」（以下「応募フォーム」）において、応募者の個人情報が閲覧できる状態が発生しました。
• 応募フォームは、当局広報誌を受託作成している株式会社文化工房（以下「受託会社」）が制作・運用し、応募者の個人情報も受託会社が管理していました。

２ 漏えいした個人情報

応募者 166 名分の氏名、住所、電話番号、メールアドレス、自由意見

３ 事故の経緯・対応状況

• 令和５年５月１日（月）
   応募フォームを公開
  
  
• 令和５年５月１６日（火）
  応募者から、応募フォーム内に表示されるボタンを押すと応募者の個人情報が閲覧できている、との連絡が都営交通お客様センターにありました。この連絡を受け、当局は直ちに受託会社に状況を聴取するとともに、応募フォームを一時停止しました。
  また、応募者 166 名の方々に対して、状況の説明と謝罪を開始し、５月１７日（水）１２時までに応募者の方々に連絡が終了しました。
  なお、現時点では、本件による二次被害は、報告されておりません。

４ 発生原因

 

受託会社が令和５年５月２日（火）に、応募フォームの編集作業をした際に、公開範囲を誤って設定したことが原因です。

５ 再発防止の対応

• 受託会社に対し、厳重な注意と個人情報保護に必要な措置を至急講じるよう、委託契約の規定に基づき指示をしました。
  
  
• 個人情報を取り扱う全ての委託事業者に対し、個人情報の適正な取扱いについて周知するとともに、局職員に対し、個人情報を取り扱う委託事業者に対する監督を適切に行うよう通知を発出しました。

リリース文（アーカイブ）

フライト価格追跡サイトの比較

 

旅行者は、最適フライトを見つけるために多くの時間とお金を投資します。フライトの価格は変動するため、いつフライトを購入すべきかを決定するのは難しいです。今が適切なタイミングなのか、それとも価格が明日下がる可能性があるのか？

多くのウェブサイトがフライト価格追跡機能を持っており、以下に集めたリストは全てを網羅しているわけではありません。代わりに、最も人気があり、使いやすいオプションに焦点を当てています。ウェブサイト間には多くの共通点がありますが、一部はユニークな機能を提供しています。それぞれを見ていきましょう。

Google Flights

使いやすさと機能性で基準を設定しているGoogle Flightsは、多くの旅行者の主要なフライト検索ツールになっています。複数の日付、目的地、キャビンを追跡し、Google Flight Trackerでは個々の航空会社やアライアンスを追跡したり、ストップ数を選択したり、乗り継ぎ空港を選択したり、フライトの時間を選択したりすることができます。

フライトの価格を追跡するには、出発地と到着地の空港、日付、人数の情報を入力します。その上で、上記で述べた他の詳細を選択するためのドロップダウンメニューを使用します。次に、「価格のトラッキング」スイッチをオンにします。すると、フライトの価格が変更されるたびにメールが届きます。

KAYAK

KAYAKは、提供する機能においてGoogle Flight Trackerと非常に似ています。まず、アカウントを設定します。次に、フライト情報を入力し、探している仕様を選択します。これには、含まれる荷物、乗り継ぎ、キャビンの好みなどが含まれます。これを終えたら、「価格を追跡」を選択し、価格が変更されたときにメールが届きます。

KAYAKの素晴らしい点の一つは、現在と過去のフライト価格の分析を使用して、フライトを予約すべきかどうかを推奨することです。上のスクリーンショットで見ることができるように、価格がすぐに改善する可能性が低いため、この例のフライトを今すぐ予約することを推奨しています。

Skyscanner

Skyscannerは世界最大の旅行検索エンジンの一つです。航空運賃やホテルの最適な価格を見つけるために何百ものウェブサイトをスキャンします。他のフライト価格追跡と同様に、まずアカウントを設定します。次に、フライトの日付と空港を入力します。検索結果の左側に「プライスアラートを受信」ボタンが出ますので有効化します。すると、フライトの価格が変更されたときにメールが届きます。ただし、Skyscannerは複数都市のチケットに対するプライスアラートには機能しません。

Airfarewatchdog

他のフライト価格追跡とは異なる方法で動作するAirfare Watchdogでは、都市間のフライトアラートを設定したり、出発都市からのディールを設定したりすることができます。ただし、フライトアラートの日付を設定することはできません。Airfare Watchdogのチームは、航空運賃の分析を行い、それらの都市を追跡しているユーザーに送信します。一つの利点は、公開されていないセールや、通常はGoogle Flight Trackerに表示されないSouthwestなどの航空会社の運賃を把握できることです。

Airfarewatchdogでは何をするにもメールアドレスでアカウントを設定する必要があります。これを終えたら、Flightsに移動し、Set Up Fare Price Alertsを選択します。

ここから、目を光らせている出発都市や特定のルートを入力します。

AirfarewatchdogはサイトのUIはイマイチですが、スケジュールが柔軟で、空港Aから空港Bへの良いチケットを見つけたい人にとっては素晴らしいです。

Hopper

Hopperは北米で最もダウンロードされている旅行アプリです。会社は、フライトを予約する最適なタイミングを予測するために、数十億点のアルゴリズムを使用しています。フライトを探しているとき、Hopperは今が購入する良いタイミングか、それとも価格が下がるのを待つべきかを教えてくれます。さらに、特定の旅行の行程を追跡することもできます。

iOS か Android端末でのみ利用可能で、Webでは使えません。

Going (旧 Scott's Cheap Flights)

Goingは、自宅の空港からのフライトを監視するユニークなフライト価格追跡です。さらに、検索に含めることに興味があるかもしれない他の近くの空港やハブを推奨します。目的地を選択してそのためのメールを受け取るのではなく、選択した空港からのすべてのディールについて通知を受け取ります。

Goingは無料会員と有料会員を提供しています。プレミアム会員は49ドルで、選択した空港からのエコノミーシートについて最初に知ることができます。エリート会員は199ドルで、受け取るディールの種類についてより多くのカスタマイズを可能にし、ビジネスクラスとファーストクラスのチケットが含まれます。

※現在、出発空港に日本の空港を設定することはできません。

出典：Flight Price Tracker Websites: How They Work and How They Save You Money

【セキュリティ事件簿#2023-192】三重県立総合医療センター ホームページへの不正アクセスによる書き込みについて 2023年5月11日

このたび、当院のホームページに対して、不正アクセスによる書き込みが確認されました。

不正な書き込み以外、個人情報の漏えいは確認されておらず、また、診療への影響もありません。

詳細は以下のとおりです。

１．不正アクセス判明の経緯

ホームページの編集作業をしていた当院職員が、不正な書き込み（外部リンクＵＲＬの掲載）を発見しました。

内容を調査したところ、令和5年5月5日(金)午後9時30分ごろに更新履歴が残っており、当院職員および保守業務委託業者の更新作業がなかったことから、第三者による不正アクセスと判断しました。

２．不正な書き込みがされた内容と対応

ホームページで公開している全てのページを確認したところ、６ページに不正な書き込み（外部リンクＵＲＬの掲載）がありました。

すでに該当するページの修正作業は終了しております。

３．病院運営及び個人情報への影響について

医療情報システム（電子カルテ等）はインターネットから分離しており、診療への影響はありません。また、個人情報の漏えいは確認されておりません。

４．今後の対応

引き続き原因調査を進めるとともに、より一層のセキュリティ対策・監視を強化し、みなさまに安心してホームページを閲覧いただけるよう、万全を期してまいります。

なお、本件は三重県警察本部に報告しております。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-191】豊見城市 教育委員会のメールサーバの不正中継について 2023年05月23日

教育委員会が管理するメールサーバが令和5年3月13日（月曜日）から令和5年4月17日（月曜日）の間、不正中継（オープンリレー※）可能な状態となり、外部から第三者に宛てたメールを意図せずに中継していたことが判明しました。

期間中に不正に作成されたメールアドレスから不審なメールを受信した方は、メールの添付ファイルや本文中のリンクをクリックせず、削除するよう、お願いします。

この度は、皆様に大変ご迷惑をおかけしましたことを心からお詫び申し上げます。

※オープンリレー・・・何の制限もなく誰でも自由にメールを送信できるよう開放していること。

1不正中継に利用された可能性のあるメールアドレス

＊＊＊（at）city．tomigusuku.okinawa.jp

※＊＊＊はランダム、（at）は＠マーク

※市が運用している（at）city．tomigusuku.lg.jpの不正利用はありません。

※その他詳細については調査中。

2 1のドメインを利用している組織

豊見城市立小中学校・中央図書館

※ドメイン・・・メールアドレスの＠以降の部分

3 主な原因

ファイアウォールの設定不備

※ファイアウォール・・・外部からの不正な侵入を防ぐことができるシステム

4 影響

1のアドレスを送信元とするメールを含む多数のスパムメール※が送信されている可能性がありますが詳細は調査中です。

※スパムメール・・・送受信者の意向を無視して一方的に送りつけられるメール

5 対応

現時点でオープンリレー状態は解消しておりますが、本事象の原因や影響等の詳細について、早急に調査し、再発の防止を図ってまいります。

リリース文（アーカイブ）

安かろう悪かろう！？無料VPNサービスSuperVPNが36億件のユーザーレコードをお漏らし

無料のVPNサービスであるSuperVPNは、133GBものデータをお漏らし、その中にはユーザーのIPアドレスなどの個人情報が含まれていました。

セキュリティ研究者のJeremiah Fowler氏が、人気のある無料VPNサービスに関連したパスワード保護されていないデータベースで大規模なデータ漏洩を発見しました。漏洩したデータベースには、360,308,817件のレコードが含まれ、合計で133GBのサイズでした。これらのレコードには、ユーザーのメールアドレス、元のIPアドレス、地理的なデータ、サーバーの使用記録など、幅広い機密情報が含まれていました。

また、この漏洩では、秘密鍵、ユニークなアプリユーザーID、UUIDが明らかになり、これらはさらに有用な情報を特定するために利用できます。データベースには、電話やデバイスのモデル、オペレーティングシステム、インターネット接続の種類、VPNアプリケーションのバージョンなどの情報も含まれていました。さらに、返金要求や有料アカウントの詳細も漏洩に含まれていました。

SuperVPNはユーザーログを保存していないと主張していますが、漏洩したデータはその逆を示し、会社のポリシーと矛盾しています。これは、「ほとんどすべての主要な無料VPNサービスが実質的にデータファームである」という事実を示しています。

オンラインのプライバシーとセキュリティに対する懸念が高まる中、VPNサービスへの需要は近年急増しています。その結果、VPNアプリの数が大幅に増えました。しかし、この供給の増加は、信頼性の低いVPNアプリの比率が異常なほど増え、期待されるプライバシーとセキュリティのレベルを提供できない結果をもたらしています。

無料のVPNサービスを選ぶ際には、以下のような潜在的なリスクとなり得るポイントに注意を払うことが重要です。

【データ収集と使用ポリシーが不明確となっていないか】

VPNサービスがインターネット活動をログに記録しないことを確認し、データが広告主や第三者に売られるリスクを避けます。

【透明性の欠如の疑いが無いか】

VPNプロバイダーの公式ウェブサイトに「About Us」セクションがない場合、データを扱う人についての情報が不足していることを示す可能性があります。

【DNSリーク保護の有無】

VPNサービスがDNSリーク保護を提供していることを確認し、インターネットサービスプロバイダーがあなたのオンライン活動を見ることを防ぎます。

【弱い暗号化を採用していないか】

128ビットまたは256ビットAESよりも弱い暗号化を提供するVPNは避けるべきです。

【ネガティブなレビューが無いか】

信頼できるレビューサイトのユーザーレビューを参照して、他のユーザーのレビューやそこから得られる懸念を把握します。

VPNアプリの増加は、オンライン活動でのプライバシーとセキュリティを求めるユーザーにとって、機会と課題の両方を提供します。市場は信頼できるVPNソリューションを幅広く提供していますが、信頼できないアプリの数も増えており、注意が必要です。

出典：Free VPN Service SuperVPN Exposes 360 Million User Records

【セキュリティ事件簿#2023-190】小牧市 ホームページへの個人情報の誤掲載について（お詫び） 2023年05月19日

令和5年5月17日に市民（こまき支え合いいきいきポイント制度の登録者）からの情報により、本市のホームページに掲載したファイルに、本来公開すべきデータの他に、そのデータの基となる個人情報を含む作業データが添付され、閲覧可能な状態となっていたことが分かりました。

市民の皆様へ

対象の皆様には、多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。

今後は、二度とこのようなことが無いよう、職員には特に個人情報の取扱いについて、確認チェックを徹底させるなど再発防止に努めてまいります。

対象となるデータ

・H29こまき支え合いいきいきポイント実績

・H30こまき支え合いいきいきポイント実績

個人情報の誤掲載対象者数

1,011名

個人情報が市ホームページ上に掲載された期間

令和3年5月24日から令和5年5月17日

原因

市ホームページ内に掲載するデータの作成時、公開すべきデータのみを使用すべきところ、その基となる個人情報を含む作業用のデータを添付したものを使用し、そのまま市ホームページ内に掲載してしまったことによるもの。

現在の対応

令和5年5月17日、市ホームページ上の個人情報を含んだ当該ファイルを公開停止しました。また、市ホームページに掲載された登録情報が、検索によって表示されることがないよう措置を行いました。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-189】盛岡市中央卸売市場のウェブサーバがフィッシングメール送信の踏み台に

盛岡市は最近、市中央卸売市場のウェブサーバがサイバー攻撃を受け、不審なメールが送信されていたと発表しました。これらのメールは英文で、フィッシング詐欺のような内容で、市場関係者になりすました形で送信されていました。

ウェブサーバとメールサーバは現在停止されており、送信されたメールの件数などを調査中です。また、サーバに含まれている個人情報は流出の恐れはないとのことです。

この不審なメールの送信は、市が契約するインターネットサービスプロバイダからの連絡により発覚しました。しかし、市場側の担当者が異動した後も連絡先を更新していなかったため、初動が遅れたという事態が発生しました。

市場側は、メールがこれまでに何件送られたかやメールで被害が起きたかなどを調査中です。また、ウェブサイトは現在アクセスできない状態になっています。

盛岡市中央卸売市場は、「発覚が遅れたために被害が拡大した可能性もあり、深くおわび申し上げます。いち早く安全を確保して復旧に努めたい」とコメントしています。

この事件は、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、組織内の連絡先の更新や、サーバのセキュリティ対策など、日々の運用管理が重要であることを示しています。

【セキュリティ事件簿#2023-188】沖縄県立看護大学 情報セキュリティインシデントの発生について 2023年5月16日

この度、本学の学生１名の大学メールアドレス及びパスワードが詐取され、Microsoft365のサービスを悪用し迷惑メールが送信される事案が発生しました。既に当該学生のメールアドレスのパスワードは変更しており、変更後の不正アクセスは確認されていません。このような事案が発生し、関係者の皆様に多大なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事案を重く受け止め、メールアドレス及びパスワードの厳重な取扱いを徹底するとともに、再発防止措置を講じてまいります。

＜事故の概要＞

学生１名の Microsoft365 アカウントに不正アクセスがあり、2022 年 12 月 6 日〜2023年 3 月 8 日までの間に、当該学生のメールアドレスから 12,941 件の迷惑メールが不特定多数の宛先に送信されました。迷惑メールの多くは外国語で海外サイトへのリンクが張られたもので、Microsoft365 のメール送信サーバへ直接アクセスすることで行われた可能性が高いと思われます。

＜情報漏洩の可能性＞

現在までに、上記以外のメールアドレスやアカウントの悪用等に関する事実は確認されていません。

○漏洩した可能性のある情報

当該アカウントのメールボックス内のデータ（メールアドレス、氏名、メール本文、

添付ファイル）

学内関係者宛て・・・ 330 件

大学部外者宛て・・・ 139 件

○当該アカウントから送信された迷惑メール件数・・・12,941 件

＜再発防止策＞

教職員及び学生への情報リテラシー研修を実施するとともに、セキュリティの強化など再発防止策を講じてまいります。

リリース文（アーカイブ）

サブドメイン列挙ツール：Sublist3r

 

セキュリティ研究やペネトレーションテスティングにおいて有用な一つのツール、Sublist3rの紹介。Sublist3rは、特定のドメインに対するすべてのサブドメインを列挙するためのPython製のオープンソースツール。その能力はOSINT（Open Source Intelligence）の一環であり、公開情報から情報を収集します。

Sublist3rとは何か？

簡単に言うと、Sublist3rは様々な検索エンジン（Google、Yahoo、Bing等）と人気のあるツールのAPI（Netcraft、Virustotal、ThreatCrowd、SSL Certificates Transparency Logsなど）を利用して、特定のドメインのすべてのサブドメインを探し出すツールです。

なぜSublist3rが必要なのか？

サブドメインの発見は、情報収集フェーズにおいて非常に重要です。特定のドメインがどのように構築され、どのサーバーが公開されているかを理解するための重要な手段となります。

Sublist3rの簡単な使い方

それでは、実際にSublist3rをどのように使うのかを見てみましょう。

1.インストール： まずはGitHubからSublist3rをクローンします。

git clone https://github.com/aboul3la/Sublist3r.git

2.次に、Sublist3rディレクトリに移動し、必要なPythonライブラリをインストールします。

cd Sublist3r
pip install -r requirements.txt

3.使用方法： 基本的な使用方法は非常にシンプルです。以下のコマンドを使用して特定のドメイン（ここでは"example.com"）のサブドメインを列挙します。

python sublist3r.py -d example.com

これだけで、Sublist3rが「example.com」のすべてのサブドメインを探し出してくれます。

Sublist3rは、セキュリティテストやネットワーク分析において非常に役立つツールです。特にOSINTに関心がある方はぜひ一度お試しください。ただし、正当な理由と許可がない限り、他人のドメインでこれを使用しないでください。

出典：Subdomain Enumeration

【セキュリティ事件簿#2023-187】三井住友カード株式会社 ご利用代金明細書の有料化ご案内DMに関するお詫び 2023年5月24日

三井住友カード株式会社（以下、「弊社」といいます）は、弊社が発行する提携カード（以下「本カード」といいます）のうち、後記3．記載の券種をお持ちのお客さまに対し、4月18日（火）および4月20日（木）に、本カードに係る紙のご利用代金明細書のサービス内容の変更をお知らせするため、シーラーはがきタイプのダイレクトメール（以下、「本DM」といいます）を郵送いたしました。

その際、本DMの表面宛先部に、本来お客さま照会番号を印字すべきところ、誤ってクレジットカード番号（以下「カード番号」といいます）を印字した状態で送付（以下「本事態」といいます）しておりました。なお、本DMには、有効期限やセキュリティコードなどのカード番号以外の情報は一切記載しておりません。

本DMについては、すべてお客さまからご申告いただいた住所あてに発送していることから、本事態に起因してお客さまご本人以外の第三者がカード番号を知り得た可能性は極めて低いと考えておりますが、本来表示すべきでないカード番号を本DM表面宛先部に印字してしまったことに関し、お客さまに大変なご心配とご迷惑をおかけいたしましたことを深くお詫び申し上げます。

経緯などにつきまして、以下のとおり、お知らせいたします。

1．発生日

2023年4月18日（火）、4月20日（木）送付分

2．件数

合計290,771件

3． 対象券種

「AOYAMA VISAカード」

「AOYAMA PiTaPaカード」 (VISA)

「AOYAMA LiVE MAX VISAカード」

「BLUE ROSE CARD」 (VISA)

4． 原因

通常、弊社では、お客さまにDMをお送りする際は、住所、氏名およびお客さま照会番号などのお客さま情報を基幹システムから抜き出し、DM表面の宛先部に印字して発送しますが、今回、システムからお客さま情報を抜き出す作業において、通常とは異なる確認作業をもってDMを作成したことによるものです。

5．お客さまへの対応

弊社は、本DMを送付させていただいたお客さま全員に対し、事態をご説明する書面を封書にて順次送付いたしております。

また、弊社は、お客さまが引き続き安心してお手許の本カードをご利用いただけるよう、本カードのモニタリングを強化するとともに、万が一、本カードの不正利用などによる損害がお客さまに発生した場合、弊社会員規約に基づき弊社にてお支払いいたします。

弊社は本事態に関するお客さまからのお問い合わせをお受けするため、通常のご照会窓口とは別に、本事態のご照会専用窓口を開設いたしておりますので、ご不明な点のある方や、本カードとはカード番号が異なる新カードへの差し替えをご希望される方は、後記7．記載の番号にご連絡いただくようお願いいたします。

6．再発防止策

弊社は、本事態を重く受け止め、直ちに原因を特定のうえ再発防止策を講じ、再び斯かる事態が発生することのないよう管理を強化いたしました。

また、お客さま情報の取り扱いに際して、その重要性を再度社内で周知するとともに、DM作成にあたっては、これまで以上に厳格に行うよう、再度徹底してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-184】大槌町 不正アクセスに伴う個人情報の漏えいのおそれがある事案が発生いたしました 2023年5月15日

このような事態が発生したことについて、お客さまに多大なるご不安とご迷惑をおかけすることとなり、心からお詫び申し上げます。

なお、該当する方々には、令和5年5月1日に今回の事案に関するお知らせとお詫びの文章を郵送しております。

現時点での詳細につきましては下記のとおりお知らせいたします。

1　概要及び経緯

令和5年4月24日に当町の水道事業及び下水道事業で支払処理に使用している会計システムが起動できないという障害が発生したため、当該システムのリース・保守契約をしている事業者にシステムの状態を確認させたところ、翌25日にコンピュータウィルスに感染していたおそれがあることが判明しました。

このことにより、現時点において、個人情報の漏えいのおそれがある状況にあります。

2　原因

詳細は調査中です。

3　漏えいが発生したおそれがある範囲

（1）漏えいの可能性がある人数

　　　町内外の個人及び法人の代表者名あわせて566名

（2）漏えいの可能性がある個人情報について

　　　氏名、住所、電話番号及び口座情報

4　今後の対応について

現在、感染経路の確認と、情報漏えいの有無について調査を進めているところです。

お客さまには、調査結果等がわかり次第、改めてご連絡させていただきます。

なお、個人情報の取扱いについて、現状の問題点の検証と再発防止策の策定・確立を行います。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-183】エーザイ株式会社 不正アクセスによる個⼈情報流出の可能性に関するお詫びとご報告 2023年5月19日

エーザイ株式会社並びにその子会社・関連会社である EA ファーマ株式会社、株式会社カン研究所及び株式会社サンプラネット（以下「当社ら」といいます）の一部の取引先関係者様のご氏名及びメールアドレスが、外部からの不正アクセスにより、漏洩した可能性があることが判明致しました。取引先関係者様には大変なご迷惑とご心配をお掛けし、心よりお詫び申し上げます。

１. 漏洩の可能性のある対象者

対象となる可能性がある取引先関係者様は、2018 年 5 月から 2023 年 4 月に当社らが管理する Microsoft 製品または ID 管理システムに、当社らとの業務上の目的のためにユーザー登録された方で、現時点までの調査においては、具体的には以下に該当する方が含まれています。

• 当社ら管理の Microsoft Teams へプロジェクト等で招待された方（単に Teams 会議に招待された方は対象外です）
• 当社ら管理の Microsoft SharePoint へのアクセス権を付与された方
• 当社ら管理の Microsoft 365 グループ（メーリングリスト）に登録された方
• 当社ら管理の ID 管理システムに登録された方(業務委託会社等)

海外関連会社を含む当社グループ全体として約 11,000 件の取引先関係者様の情報が対象となっており、その一部が国内グループ企業である当社らの取引先関係者様の情報である可能性がございます。なお、当社らのセルフケア商品の通信販売やキャンペーンなど一般生活者様の情報については該当致しません。

２． 漏洩の可能性のある個人情報

現在もなお検証中ですが、漏洩の可能性がある個人情報は、ご氏名（登録されていた場合のみ）及び当社らとの業務上使用されたメールアドレスのみであり、その他情報について漏洩の可能性はない見通しです。

３. 経緯及び対応

2023 年 4 月 28 日（日本時間）に、当社グループの海外法人の社員のアカウントを不正に使用した外部者から、当社グループのクラウドプラットフォーム上の一部の情報に対し不正なアクセスがあり、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。 これを受け当社グループでは、直ちに不正アクセスの遮断と対処、当社グループのネットワークに対する監視強化を実施、加えて流出した可能性がある情報のモニタリングを継続しています。引き続き、被害状況及び原因の解明を進めています。なお、個人情報保護委員会への報告等、各国規制に沿った対応を実施致しました。今後も必要に応じこれらの関係機関と連携して対応してまいります。

今後メールアドレスを悪用した迷惑メールが送信される等の可能性がありますので、十分にご注意いただくようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-182】函館大谷高等学校 個人情報漏えいの疑いに関するお詫びとご報告 2023年4月17日

令和5年3月、令和4年3月および令和3年3月に生徒等の個人情報が漏えいした可能性があることについて、以下にご報告いたします。

（概要）

令和5年3月22日11時14分、新入生の氏名印作成に必要なデータ（119名分）について、本校事務職員が制作業者の使用するメールアドレスに送信すべきところ、誤ったメールアドレス（以下、誤アドレス）にこれを送信。同日11時47分、制作業者からメールが届いていない旨の連絡があり、再送。これも不着となり、制作業者に確認したことにより、送信先のメールアドレスが誤っていたことが判明しました。

この誤送信に対してメールサーバーはエラーメッセージを返しておらず、誤アドレスは実在する可能性が極めて高いと推察されます。なお、調査の結果、以下のとおり、同様の事例が過去にも生じていたことが発覚しました。

• 令和4年3月18日16時16分　令和4年度　新入生134名分
• 令和4年3月18日16時26分　上に同じ
• 令和3年3月18日13時19分　令和3年度新入生106名、在校生1名および新任職員3名分

個人情報はメールにExcel形式のファイルで添付されており、記載内容は以下のとおりです。

• 受検番号
• 氏名
• 氏名カタカナ

（対処）

令和5年3月24日20時29分、誤アドレス宛に謝罪および報告をおこなうも、令和5年4月15日現在、これに返信はありません。同日18時2分、アドレスから推察されるプロバイダ運営法人の法人専用相談ページより対応を乞う連絡をおこない、これによって案内された問い合わせ電話窓口より経緯を報告するとともに、対応を依頼しましたが、一切おこなえないとの返答でした。

現時点では誤送信の相手によるメール開封について確認をすること、およびこれを回収することは事実上不可能と判断されます。データには氏名以外の個人に紐づけられる情報は含まれておらず、万一、データが閲覧された場合も悪用の可能性は低いと考えられ、また代表的な検索エンジンで当該のデータを検索しても、検索結果に表示されないことから、データが流出した可能性は極めて低いと考えられますが、重要な情報が届くべきではない第三者に届いたことは確実と思われ、このことについて、ご報告いたしますとともに、深くお詫び申し上げます。

本校は、今後このようなことが再び起こらないよう、メールをはじめとする連絡において個人情報を扱う際のルールを見直し、改善をおこないます。また、生徒をはじめとする学校関係者のプライバシーとセキュリティを守るべく、全力を尽くす所存です。

最後に、生徒、保護者各位と学校に関わるすべての方々の信頼を裏切ることになりましたこと、重ねてお詫び申し上げます。なお、4月18日、緊急全校集会を開催し、本件について全校生徒に通知、報告をおこなうとともに、保護者各位には書面にて通知、報告を行う予定です。ご不明な点等がございましたら、どうぞお問い合わせください。

リリース文（アーカイブ）

DNS調査のツールとその使用方法（DNSRecon）

 

ネットワークセキュリティは現代の情報技術に不可欠な部分であり、DNSReconはその中でも強力なツールの一つです。DNSReconはDNS（ドメインネームシステム）情報を調査するためのツールで、セキュリティ分析やペネトレーションテストにおいて重宝します。今回はこのツールの概要と基本的な使用方法について解説します。

DNSReconとは？

DNSReconは、特定のドメインに関するDNSレコードを探索し、ゾーン転送を試み、DNSサーバーへのブルートフォース攻撃を行うなど、DNS情報収集のためのツールです。

DNSReconの基本的な使用方法

以下にDNSReconを使用する際の基本的なコマンドの一部を示します。

・特定のドメインのDNSレコードの確認

bash
dnsrecon -d example.com

上記のコマンドは、example.comに関連する一般的なDNSレコード（A、MX、NSなど）を探索します。

・ゾーン転送の試行

bash
dnsrecon -d example.com -a

このコマンドは、ドメインexample.comに対してゾーン転送を試みます。これにより、ドメインに関連する詳細なDNS情報が得られます。

・DNSサーバーのブルートフォース攻撃

bash
dnsrecon -d example.com -D subdomains.txt -t brt

このコマンドは、subdomains.txtにリストされたサブドメインに対してブルートフォース攻撃を試みます。

注意：DNSReconは情報収集ツールであり、適切な権限なく使用すると法的な問題を引き起こす可能性があります。常に適切な許可を得てから使用してください。

まとめ

DNSReconはDNS調査のためのパワフルなツールで、適切に使用するとセキュリティ分析やペネトレーションテストにおける重要な情報を得ることができます。この記事を通じて、基本的な使用方法について理解できたことを願っています。これからも安全なネットワークを保つために、これらのツールをうまく活用していきましょう。

出典：Subdomain Enumeration

【セキュリティ事件簿#2023-181】東日本高速道路株式会社 電子メールの誤送信についてのお詫び 2023年5月17日

このたび、弊社が配信する「ＩＲメールマガジン」をお客さまへ電子メールにて送信した際、他のお客さまのメールアドレスを宛先に表示させて誤送信する事態を発生させてしまいました。

お客さまに多大なるご迷惑をお掛けしましたことを、心よりお詫び申し上げます。

１． 発生状況とお客さまへの対応

令和５年５月１６日（火）１１時５９分、計３８３名のお客さまへ弊社より一斉メールを送信した際、本来、送信先がわからない「ＢＣＣ」で送信するところを「宛先」で誤送信し、当該メールを受信した方以外のメールアドレスが表示されている状況となりました。

当該一斉メールを受信されましたすべてのお客さまへ、他のお客さまにメールアドレスを誤送信してしまったお詫びとともに、受信メールの削除をお願いしております。

　≪誤送信メール件名≫

　「★ＮＥＸＣＯ東日本★ＩＲメールマガジン　第１３８号」

２． 今後の対応

このような事態を引き起こしましたことを深く反省し、今後は弊社社員に対する教育を改めて徹底し、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-180】株式会社カドヤ 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年5月17日

このたび、弊社が運営する「カドヤ公式オンラインショップ（以下「当サイト」といいます。）」におきまして、第三者による不正アクセスを受け、個人情報最大28,658名（内クレジットカード情報6,263名）が漏えいした可能性があることが判明いたしました。

日頃より当サイトをご愛顧くださっているお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メール及び書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じて参ります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告申し上げます。

１．経緯

2023年3月15日、一部のクレジットカード会社から、旧環境の当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受けました。漏えい懸念が判明した旧環境の当サイトの決済は2023年3月1日に停止、同日に異なるプラットフォーム及び決済システムの環境にリニューアルいたしておりましたが、一部のクレジットカード会社からの指示により一部のクレジットカード決済を2023年3月24日に停止いたしました。

2023年3月20日に第三者調査機関による調査を開始いたしました。2023年4月8日、第三者調査機関による調査が完了し、2021年4月30日～2023年3月1日の期間に当サイトで購入されたお客様のクレジットカード情報および過去に当サイトに個人情報を入力頂いたお客様の個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

２．個人情報漏えい状況

(1) 原因

弊社が運営するサイトのシステムの一部の脆弱性をついた第三者の不正アクセスにより、サーバー内に侵入され、ペイメントアプリケーションの改ざんが行なわれたため。

(2) クレジットカード情報漏えいの可能性があるお客様

2021年4月30日～2023年3月1日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様最大6,263名で、漏えいした可能性のある情報は以下の通りです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

（3）個人情報漏えいの可能性があるお客様

過去に当サイトをご利用いただいたお客様最大28,658名で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・住所、郵便番号

・電話番号

・メールアドレス

・購入履歴

・会社名（任意入力項目）

・FAX番号（任意入力項目）

・性別（任意入力項目）

・生年月日（任意入力項目）

※なお、配送先を購入者住所とは別でご入力いただいた場合はそちらも対象となります。

上記(2)(3)に該当するお客様については、別途、電子メール及び書状にて個別にご連絡申し上げます。

３．クレジットカード情報漏えいに関してお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

４．公表までに時間を要した経緯について

2023年3月15日の漏えい懸念から今回のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

５．再発防止策ならびにクレジットカード決済の再開について

現在、一部クレジットカードがご利用いただけない状況でございますが、全てのカードがご利用可能になった際には当サイトにて改めてお知らせいたします。

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図って参ります。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年3月17日に報告済みであり、また、所轄警察署にも2023年4月14日に被害申告、2023年5月2日に被害届を受理頂いており、今後捜査にも全面的に協力して参ります。

６．現在のカドヤ公式オンラインショップについて

不正アクセスを受けたオンラインショップは2023年3月1日に閉鎖、同日に異なるプラットフォームを使用した新システムにリニューアルを行なっており、不正アクセスを受けたシステムとは相関関係がないことを確認した上で、より堅牢なシステムにて継続して運営いたしております。

また、一部のクレジットカード会社の決済停止状況については、再開次第当サイトにてお知らせ申し上げます。

リリース文（アーカイブ）

スカンジナビア航空、DDoS攻撃後に300万ドルの身代金要求を受ける

スカンジナビア航空（SAS）は、そのオンラインサービスに対する長期間にわたる分散型サービス拒否（DDoS）攻撃の後、300万ドルの身代金要求を受けています。

Cybernewsの報告によれば、アノニマス・スーダンというハクティビストグループが、航空会社のウェブサイトとスマートフォンアプリを混乱させた後、その金銭的要求をTelegramチャンネルで公開しました。

暗号化されたチャンネルの投稿で、アノニマス・スーダンは身代金要求を300万ドルに引き上げ、航空会社に対して「これがますます増え続けることを期待してください」と述べました。これは、彼らが最初にDDoSキャンペーンを開始したときに要求したわずか3500ドルの身代金よりもはるかに多い額です。

奇妙なことに、アノニマス・スーダンは最新の攻撃に対して政治的な理由を一切示さず、代わりにそれが貧弱なカスタマーサービスへの反応であることを示唆しました。「我々はあなたたちに顧客に対する配慮のレッスンを教えるためにここにいます。我々はあなたたちを攻撃し続け、強度をさらに増すでしょう。我々が以前に言ったように、これは我々にとって何の違いも作りません。我々は単に攻撃し、あなたたちは被害を受けます」と彼らは述べています。

確かに、SASと取引を行う旅行者は、航空会社のウェブサイトにアクセスしたり、SASのモバイルアプリを使用したりする際に、貧弱なカスタマーサービスを経験しています。フラストレーションを感じた顧客たちは、SASのウェブサイトがオフラインになっているか、アプリが機能していないということをSNSで不満を述べています。

SASは、そのウェブサイトとスマートフォンが初めてオフラインになり、顧客データが露出した2月以来、アノニマス・スーダンの攻撃の対象となっています。

攻撃者が"アノニマス・スーダン"という名前を選んだことについては、彼らが実際にはスーダン出身ではない可能性があることに注意すべきです。このキャンペーンが代わりにロシアに関連している可能性があると一部で推測されています。

出典：SAS Airlines hit by $3 million ransom demand following DDoS attacks

【セキュリティ事件簿#2023-179】四国ガス株式会社 個人情報流出のお知らせとお詫びについて 2023年5月3日

当社はこの度、第三者による不正アクセスを受けたことを確認いたしましたので、お知らせいたします。

2023 年 5 月 1 日、当社が運営する会員サイト「ガポタ」におきまして、一部会員さまのメールアドレスが流出したことが判明いたしました。現在、会員サイト「ガポタ」につきましては一時的に閉鎖し、管理運営の委託先におきまして不正アクセスを受けた範囲、流出情報の特定などの調査を進めておりますが、全容を把握するまでには、今しばらく時間を要する見込みでございます。詳細につきましては改めてお知らせいたします。なお、本件につきましては会員の皆さまに対しまして、個別にご通知いたしております。

当社は、被害の全容解明と速やかな復旧に向けて、全力で取り組んでまいります。

この度の、会員の皆さまをはじめ、関係各位に多大なご迷惑、ご心配をおかけすることとなり、深くお詫び申しあげます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-178】ヒロセ株式会社 メール送信に関するお詫びについて 2023年5月11日

このたび、お客様へ展示会出展のご案内のメールを配信したところ、別のお客様の氏名とメールアドレスを宛先に表示させて送信していたことが判明しました。お客様に多大なるご心配、ご迷惑をおかけしましたこと、深くお詫び申し上げます。

１．概要

2023 年 5 月 11 日（水）13 時 2 分頃にご案内メールを送信する際に、480 名のお客様に対し、本来送信先がわからない「BCC」で送信するところを「CC」で誤送信し、当該メールを受信した方以外の、他の方の氏名とメールアドレスが表示されている状況となりました。

２．原因

メール配信前に内容確認を十分に行わなかったこと、チェック体制が未整備であったことが原因です。

３．お客様への対応

本件の発覚後、メール誤配信のあったお客様に対し、速やかにお詫びのメールをお送りしました。

３．再発防止策

本作業における作業手順の確立、ならびに、別担当者・上司等による複数チェック体制の整備を行うとともに、テストメール送信による確実な確認を行います。

また、コンプライアンス上の重大性を鑑み、個人情報取り扱い業務における作業管理体制を、全社員へ啓蒙してまいります。 

リリース文（アーカイブ）