【セキュリティ事件簿#2023-464】LINEヤフー株式会社 不正アクセスによる、情報漏えいに関するお知らせとお詫び


LINEヤフー株式会社は、このたび、第三者による不正アクセス(以下、本事案)を受け、ユーザー情報・取引先情報・従業者等*1に関する情報の漏えいがあることが判明しましたのでお知らせいたします。

本件につきまして、以下の通り報告いたしますとともに、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

なお、後述の当社へのアクセスの経路となったと推測される当社関係会社のシステムからは、当社の各サーバーに対するアクセスを遮断しております。11月27日時点でユーザー情報や取引先情報を利用した二次被害の報告は受けておりませんが、引き続き影響調査を進め必要な対応が発生した場合は速やかに対応してまいります。

■発生した事象

当社関係会社である韓国NAVER Cloud社の委託先かつ当社の委託先でもある企業の従業者が所持するPCがマルウェアに感染したことが契機となります。NAVER Cloud社と当社の従業者情報を扱う共通の認証基盤で管理されている旧LINE社の社内システムへネットワーク接続を許可していたことから、NAVER Cloud社のシステムを介し、10月9日、当社のシステムへ第三者による不正アクセスが行われました。
10月17日に当社システムへの不審なアクセスを検知し分析をしていたところ、10月27日に外部からの不正アクセスによる蓋然性が高いと判明したものです。当社では被害状況の把握と拡大の抑止の対応を実施しています。
また、関係省庁には適宜状況の報告を行っております。 

■本事案の影響

11月27日時点で、本件により漏えい(可能性も含みます)が確認できた個人情報は以下のとおりです。

〈ユーザーに関する情報〉

・ユーザーに関する個人情報 302,569件(うち日本ユーザー129,894件)
 推計値49,751件を含む(うち日本ユーザー15,454件):LINEユーザー内部識別子*2に紐づくサービス利用履歴など

 うち、通信の秘密*3に該当する情報 22,239件(うち日本ユーザー8,981件)
 推計値3,573件を含む(うち日本ユーザー31件)

口座情報、クレジットカード情報、LINEアプリにおけるトーク内容は上記に含まれません。 

〈取引先等に関する情報〉

・取引先等に関する個人情報 86,105件:取引先等のメールアドレス等
 ・取引先等のメールアドレス*4 86,071件
 ・取引先等の従業者の氏名、所属(会社、部署)、メールアドレス等 34件

〈従業者等に関する情報〉

・従業者等に関する個人情報 51,353件:氏名、社員番号、メールアドレス等
 ・ドキュメント管理システム内の従業者等に関する個人情報 6件
 ・認証基盤システム内の従業者等に関する個人情報*5 51,347件
  ・当社および当社グループ会社        30,409件
  ・NAVER社およびグループ会社      20,938件 

*1 当社、当社グループ会社、NAVERグループにおける従業員、業務委託先および派遣元等の従業者
*2 LINEのアプリケーション内部で機械的にユーザーを識別するためのものであり、友だち追加のためのID検索に用いるLINE IDとは異なります。
*3 メッセージのように特定者間のやり取りに関連する情報
*4 当社メーリングリストに含まれていた当社(当社グループ会社を含む)ドメイン以外のメールアドレス
*5 提供しているシステムに応じて会社を区分。本件数は、アカウント数であり重複がある。従業員数とは一致しない。

■時系列対応(日本時間)

2023/10/09:当社関係会社のサーバーを経由して当社サーバーに不正アクセス開始

2023/10/17:当社セキュリティ部門がシステムにて不審なアクセスを検知し調査開始

2023/10/27:外部からの不正アクセスである蓋然性が高いと判断
不正アクセスに使用された可能性のある従業者のパスワードをリセットし、当社関係会社から当社へのアクセスの経路となったと推測される当社関係会社のシステムから、当社の各サーバーに対するアクセスを順次遮断

2023/10/28:従業者の社内システムへの接続について再ログインを強制実施

2023/11/27:ユーザーおよび従業者等への通知を開始

■対象者へのお知らせおよび今後の方針について

二次被害のおそれがあると評価したユーザーの皆さまには、個別にご連絡いたします。それ以外の、取引先の皆さまを含むご連絡可能なお客様に対しても個別のご連絡を実施予定です。該当の既存ユーザーおよび現時点で退会されているユーザー、取引先の皆さまには、ご登録いただいたメールアドレス、またはLINE公式アカウント「LINE Official Account」を通じた「LINE」アプリへのメッセージの通知機能等を通じて個別にご案内いたします。また、該当する当社従業者につきましても、本事案の説明を行います。なお、個別にご連絡ができない皆さまには、本発表を以て、通知とさせていただきます。

当社にてアクセス遮断などの処置を実施しており、該当するユーザーの皆さまにご対応いただく事項はございませんが、当社を装ったメッセージにご注意くださいますようお願い申し上げます。また、巧妙な詐欺やフィッシングの可能性があるため、十分にご注意くださいますようお願い申し上げます。

今後、当社は旧LINE株式会社環境の社内システムで共通化しているNAVER Cloud社との従業者情報を扱う認証基盤環境の分離を実施するとともに、ネットワークアクセス管理を一層強化していく予定です。加えて、事象の契機となった、委託先の安全管理措置の是正に取り組みます。また、これらの再発防止策については、計画の妥当性・有効性・客観性の担保を目的として外部企業を交えた計画策定を実施していきます。

改めまして、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。

Labels:

【セキュリティ事件簿#2023-318】独立行政法人日本学術振興会 不正アクセスによる個人情報漏えいのお詫びとご報告

今般、独立行政法人日本学術振興会が民間事業者提供のファイル転送サービスとして利用していたサービス(Proself)が何者かに不正アクセスされ、「Proself」に保存されている国内外の関係者の個人情報が、外部に漏えいしたことが判明いたしました。

関係者の皆様にご迷惑とご心配をおかけいたしますこと深くお詫び申し上げます。 

経緯

令和 5 年 10 月 5 日に上記民間事業者より Proself に脆弱性があるとの連絡がございました。それに基づいて、サービス開発業者に対し、調査を依頼いたしましたところ、令和 5 年 10月 25 日に調査結果の報告があり、一部ファイルが何者かに取得されたことが明らかになりました。

この報告によると、不正アクセスは令和 5 年 8 月 29 日~令和 5 年 9 月 20 日に行われ、Proself に保存されていたファイルの一部が取得されたことが判明いたしました。取得されたファイルを本会にて確認したところ、個人情報が含まれていたことを令和 5 年 10 月 26 日に確認いたしました。 

原因

サービス開発業者から、未知の脆弱性であった XXE 脆弱性(特殊な命令を送信することによって、本来表示されないファイルの内容を見ることができる脆弱性)を用いたサーバー内ファイル取得を目的とした不正アクセスであったとの報告を受けております。 

現在の対応

脆弱性が解消された Proself にアップデートし、既知の脆弱性に基づく攻撃の被害発生を防止しました。また、未知の脆弱性に基づく攻撃に対しても、ファイルの暗号化の強化等、運用管理方法を見直し、これらに基づいて本会情報セキュリティポリシーの改定を行い、周知徹底を図りました。

また、個人情報保護委員会にも報告し、警察にも相談しています。 

漏えいした個人情報

 現在、以下の情報を確認しております。
  • 海外との研究者交流事業の関係者 391 名
     氏名、所属先、役職、略歴、連絡先(メールアドレスを一部含む。)、活動計画、推薦理由等
  • 国内外の学術振興に係る行事・会議の参加者 569 名
    氏名、所属先、役職、略歴等
  • 本会役職員の氏名、メールアドレス等 312 名 

関係者の対応

現在、個人情報漏えいの可能性のある関係者の皆様を対象に、メールなどを通じて、別途その旨ご連絡しております。

今後の対策

情報セキュリティ運用ルールの不断の見直し、定期的な研修及び内部点検を通じて、さらなるセキュリティ強化を図ることとしています。

このたびは、関係者の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。 

Labels:

【セキュリティ事件簿#2023-315】泉北高速鉄道株式会社 【ご報告】『当社子会社「泉鉄産業株式会社」業務用パソコンへの不正アクセスの発生及び泉鉄産業従業員情報の漏えいの可能性』に関する調査結果 (不正アクセス及び情報の漏えいはありませんでした)

 

8月7日、当社の子会社「泉鉄産業株式会社」の業務用パソコンに対して外部からの不正アクセス及び同パソコンに保有する従業員の個人情報が漏えいした可能性がある旨を8月10日に公表しました。

その後、同社により、外部専門機関による同パソコンの分析調査を実施しました結果、外部からの不正アクセスや不正にインストールされたプログラムがなかったことを確認しましたので報告します。

お客さまをはじめ関係されるみなさまに、ご心配をおかけしましたことを、改めて深くお詫びいたします。

1.分析調査の結果について

泉鉄産業株式会社は上記の業務用パソコンを解析するため、情報セキュリティ専門機関に分析調査を依頼しました。

調査の結果、解析対象パソコンにおいてハードウェア、ドライバーのエラーに起因するログは確認されましたが、外部からのアクセス記録及び痕跡は認められませんでした。

したがって、不正アクセスが疑われた事象の原因は、ハードウェアの故障に起因したものであり、不正アクセスはなく、また、情報漏えいもなかったと判断しました。

2.今後に向けて

泉鉄産業株式会社は、引き続き個人情報の厳重な管理を図ってまいります。


リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-463】株式会社エンラージ商事 弊社が運営する「エンラージ商事オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営する「エンラージ商事オフィシャルショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(2,602件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

 なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯


2023年2月21日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年2月24日弊社が運営する「エンラージ商事オフィシャルショップ」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年7月14日、調査機関による調査が完了し、2021年5月16日~2022年5月20日の期間に 「エンラージ商事オフィシャルショップ」で購入されたお客様クレジットカード情報の漏洩の可能性があることが判明し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況


(1)原因

弊社が運営する「エンラージ商事オフィシャルショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年5月16日~2022年5月20日の期間中に「エンラージ商事オフィシャルショップ」においてクレジットカード決済をされたお客様2,432名で、漏洩した可能性のある情報は以下のとおりです。

・ECサイトの認証情報(メールアドレス、パスワード、電話番号)

・カード番号

・カード有効期限

・セキュリティコード

上記に該当する2,432名のお客様については、別途、電子メールにて 個別にご連絡申し上げます。

3.お客様へのお願い


既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について


2023年2月21日の漏洩懸念判明から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について


弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「エンラージ商事オフィシャルショップのクレジットカード決済」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月27日に報告済みであり、また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月27日に報告済みであり、また、警察にも2023年10月25日に連絡・相談をしております。

Labels:

【セキュリティ事件簿#2023-462】大阪府 個人情報の流出について


農政室推進課において、受託事業者である一般社団法人大阪府農業会議(以下「受託事業者」という。)に委託し実施したアンケート調査支援業務について、アンケートの回答者が回答後に自身の回答内容をウェブで閲覧した際、別の回答者の回答内容が閲覧できる状態にあったという事案が発生しました。

このような事態を招きましたことを深くお詫び申し上げるとともに、今後、再発防止に取り組んでまいります。
 

1.流出した情報

 ・農地所有者氏名、筆数、地番、地目、面積、アンケート回答内容 1名分
 ・農地所有者氏名、筆数、地番、地目、面積 13名分
 

2.アンケート調査の方法


当該アンケート調査は、受託事業者が府内市町村の農業委員会(※)に調査フォームを提供し、各委員会が紙媒体もしくはウェブで回答を回収している。

(※)農地法に基づく売買・貸借の許可、農地転用案件への意見具申、遊休農地の調査・指導などを中心に農地に関する事務を執行する行政委員会として各市町村に設置。

3.事案の経緯

○令和5年5月
  • 千早赤阪村農業委員会がアンケート調査を実施した。
○令和5年10月13日(金曜日) 
  • 柏原市農業委員会がアンケート調査を実施した。
○令和5年11月2日(木曜日)
  • ウェブで回答した柏原市のアンケート回答者から柏原市農業委員会へ、ウェブ上で回答内容を確認したところ、別の回答者の回答が表示されるとの連絡があった。
  • 柏原市農業委員会職員が無作為に選んだ柏原市の回答者の回答結果閲覧画面を確認したところ、別の回答者の回答内容が表示されたため、柏原市農業委員会職員が受託事業者へ連絡した。
  • 受託事業者がアンケート回答フォームを作成した業者(以下「業者」という。)に連絡し、原因調査及びシステムの不具合の解消を指示した。
  • 業者がシステムを確認したところ、柏原市の回答結果閲覧画面を開くと、千早赤阪村の回答結果が表示されることが判明した。
  • 業者がシステムの不具合を解消し、受託事業者へ連絡した。

〇令和5年11月6日(月曜日) 
  • 受託事業者が府へ本事案を報告し、府は個人情報の流出件数の精査等を指示した。
〇令和5年11月6日(月曜日)以降
  • 受託事業者が個人情報の漏洩した千早赤阪村の回答者へ経緯説明及び謝罪を行った。

4.原因

  • 業者が回答フォームを作成した際、柏原市のウェブ回答者の回答結果閲覧画面のURLが、誤って千早赤阪村の回答結果閲覧画面のURLとなっていた。また、受託事業者及び業者において動作確認を行っていなかった。

5.再発防止策

  • 府から受託事業者に対し、今後回答フォームを作成する際にはチェックシートを作成し、業者と受託事業者の双方において、複数人での回答フォームの動作確認を徹底するよう指示した。
Labels:

【セキュリティ事件簿#2023-461】中津市民病院 財務会計システムへの不正アクセスによる情報流出の可能性について


この度、当院の財務会計システムサーバに外部からの不正アクセスがあり、 以下の情報が流出した可能性があることが 11 月 14 日(火)に判明いたしました。

現在、流出した可能性のある情報内容の特定及び原因究明に取り組んでおりますが、現時点
で情報の流出や不正利用などの事実は確認されておりません。

また、財務会計システムは電子カルテシステム等の他のネットワークとは接続していないため、患者情報の流出はなく、診療業務への影響はありません。

現在までに確認できている事実及び対応について下記の通りご報告申し上げます。

1. 流出の可能性がある情報について
取引先各社の住所・会社名・代表者名・口座情報・取引金額

2. 経緯及び状況について
11 月 13 日(月)に財務会計システムサーバの異常を認識し、詳細を調査した結果、ランサムウェアに感染していることが 11 月 14 日(火)に判明しました。 直ちに感染したサーパ機器をネットワークから切り離し、現在、感染経路や時期について調査を実施中です。

3. 今後の対応について
この度の事案を深く受け止め、引続き調査を進めるとともに、再発防止に向けた外部ネットワークからの不正侵入防止策の強化やその他の院内システムの再点検を実施するなどして、より一層の情報セキュリティ強化に取り組んでまいります。

リリース文アーカイブ) 

Labels:

【セキュリティ事件簿#2023-460】東海大学 個人情報を含むリモート個別面談申込情報の誤掲載について


本学学生の保護者を対象とするリモート個別面談の申し込み時にご入力いただいた個人情報が、6日間にわたって教職員以外でも閲覧できる状態にあったことが判明いたしました。なお、現時点では第三者による当該個人情報の悪用等の事実は確認されておりません。

この度の事態により、個人面談を希望し個人情報を入力された保護者の皆様、学生の皆さま、ならびに関係各位におかれましては、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

1. 経緯

2023年10月5日(木)9時30分頃、本学体育学部の教員が、保護者を対象としたリモート個別面談の基本情報が記入されたスプレッドシート(ネットワーク上のファイル)のURLを自身の担当する授業のレポート課題のURLと取り違えて掲載し、授業支援システム「Open LMS」上に公開してしまいました。当該教員は直後に誤掲載に気づきURLを修正したものの、情報の更新を自動的に知らせる通知メールが同システムから当該授業の履修者63名に既に送信されていました。そのメール本文中にスプレッドシートのURLが記載されていたことから、同スプレッドシートがロックされた11日(水)10時までの6日間にわたって、教職員以外でも閲覧・ダウンロードできる状態にありました。

本件は、14日(土)にリモート個別面談の委託企業から、既にロックされているスプレッドシートのURLに教職員以外から不審なアクセスがあった可能性があるとの連絡が入ったことから、聞き取りも含めた詳細な調査を開始し、経緯が判明いたしました。

2. URLの誤掲載で閲覧可能となった個人情報の内容

保護者対象のリモート個別面談を申し込まれた440名の①学生氏名②学生証番号③申込者氏名④申込者メールアドレス⑤申込者電話番号⑥特に面談したい内容⑦面談をしたい具体的事項

3. 対応

2023年10月5日(木)、当該教員が授業支援システム上にプレッドシートのURLを公開した約15分後に誤りに気付き、直ちにシステム上からURLを修正しました。また、6日(金)と17日(火)の2回、履修学生63名に対し、ファイルをダウンロードしている場合は削除するようメールにて通知しました。さらに、19日(木)の授業時間帯に当該教員と管轄部署が改めて履修学生にお詫びと説明を行うと同時に、個人情報保護への協力について要請しました。また、該当者に対し、お詫びと状況説明のための連絡をいたしました。

4. 再発防止に向けた今後の取組

本学では、「東海大学情報セキュリティポリシー」に則り、情報資源や個人情報などの適切な管理に努めてまいりましたが、この度の事態を重く受け止め、教職員への通達や研修等を通じて情報資源の管理徹底と個人情報の取り扱いについて、より一層の意識向上を図り、再発防止に取り組んでまいります。

Labels:

【セキュリティ事件簿#2023-459】株式会社ダイナックホールディングス 弊社従業員の不適切な SNS 投稿についてのお詫びとお知らせ

この度、弊社子会社㈱ダイナックパートナーズが運営受託しておりますゴルフ場(オータニにしきカントリークラブ)のレストランに勤務する従業員が、業務で知り得たお客様(2 名)の個人情報を本人の SNS で投稿するという事案が発生いたしました。弊社として今般の事態を厳粛に受け止め、当該関係者の皆様に誠意をもって謝罪させていただくとともに、当該従業員及び担当役員に対して厳正に処分を行う所存でございます。

弊社は、本事案を真摯に受け止め、個人情報保護に関する教育を再度徹底するとともに、再発防止に努めてまいります。この度は関係者の皆様に大変ご迷惑をおかけしましたことを深くお詫び申し上げます。



Labels:

【セキュリティ事件簿#2023-458】ヤマハ発動機株式会社 フィリピン子会社に対する不正アクセスについて

 

このたび、ヤマハ発動機株式会社(以下、当社)のフィリピンにおける二輪車製造・販売子会社「ヤマハモーターフィリピン(以下、YMPH)」が管理する一部のサーバに対し、第三者による不正アクセスおよびランサムウェア攻撃(以下、本攻撃)を受け、YMPHが保有する社員情報の一部が流出していることを確認しましたので、お知らせいたします。

本攻撃の判明以降、当社IT部門とYMPHによる対策チームを設置し、外部のセキュリティ専門会社の協力を得ながら、被害拡大の防止措置を講じた上で、影響範囲等の調査と復旧への対策を進めています。被害の全容を把握するには、一定の時間を要する見込みですが、現時点で判明している内容については下記のとおりです。

関係の皆さまにはご心配とご迷惑をお掛けすることとなり、お詫び申し上げます。

1.経緯

10月25日、YMPHがランサムウェア攻撃を受けていることを確認しました。同日、当社IT部門とYMPHによる対策チームを設置し、外部のセキュリティ専門会社の助言を受けながら、被害拡大の防止措置、影響範囲等の調査と復旧への対策を進めております。

 10月27日、YMPHは、フィリピン当局へ報告しました。

 11月16日、YMPHで保有する社員情報の一部が流出していることを確認しました。

2.現在の状況と今後の対応

現在、YMPHの本攻撃被害に遭ったサーバ以外のシステムは復旧しています。本攻撃はYMPHが管理する一部のサーバへの攻撃に留まり、本社を含めた当社グループへの影響はないことを確認しています。引き続き監視を継続するとともに、被害のあったYMPHのシステムの早期の全面復旧に向けた対応を継続いたします。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-457】明和證券株式会社 当社メールサーバへの不正アクセス発生について

 

当社は、11 月 5 日に、当社ホームページのお問い合わせフォームに使用しているメールアドレス( info@meiwa-sec.co.jp )のメールサーバへの第三者による不正アクセスを受けたことを確認しました。調査の結果、不正なアクセスによりお問い合わせフォームからお問い合わせいただいた内容や当該メールアドレス宛に送られた内容等が読みだされている可能性があります。

なお、不正アクセス確認後、速やかにパスワードのリセット、アクセス監視強化等の対策を講じております。

当該の方々や関係する方に多大なるご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスに関するお知らせ

 

当社は、2023 年 11 月 6 日に春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことを確認いたしました。

本件につきましては、速やかに対策本部を設置のうえ、外部専門家の助言を受けながら、原因特定、被害状況の確認、情報流出の有無などの調査を行うとともに、復旧への対応を進めております。影響について調査中ですが、開示が必要な場合は速やかに公表いたします。

1.今後の対応

外部専門家及び警察と連携して早期復旧に向けた取組みを進めるとともに、さらなる管理強化を実施してまいります。

2.不明点に関するお問い合わせ

 ご不明点に関しましては、ホームページの『お問い合わせ』までお願いいたします。戦略企画部より回答申し上げます。

関係各位におかれましては、ご心配およびご迷惑をおかけしますことを深くお詫び申し上げます。

Labels:

【セキュリティ事件簿#2023-455】長崎県警察 ニセ電話詐欺被害者等の個人情報漏えいのお知らせとお詫びについて

 

長崎県警察が令和5年中に受理しましたニセ電話詐欺被害届出や相談について、被害に遭われた方や相談をされた方に関する個人情報が流出いたしました。

関係する皆様に御迷惑をおかけしましたことを心からお詫び申し上げます。

1 個人情報流出の概要

令和5年10月5日、警察本部の職員が、ニセ電話詐欺被害の認知件数に関する統計資料を関係先(1 箇所) に電子メールで送信しようとした際、 誤って個人情報が含まれた別のニセ電話詐欺に関する資料を送信したことが、関係先の御指摘により判明 したものです。

2 流出した保有個人情報の項目

氏名、職業、年齢、性別、被害額、被害発生日の全部又はその一部

※住所、電話番号の泌えいはありません。

3 原因

電子メールを送信する際、誤って別のファイルを添付したことによるものです。

4 二次被害又はそのおそれの有無

送信先は関係先1 箇所のみであり、発覚後、直ちに警察職員が関係先の電子メールを確認の上で、 誤送信したデータをすべて削除し、 併せて残存データがないこと、さらにそれ以上の流出がないことを確認しています。

5 再発防止策

長崎県警察は今回の事実を厳下に受け止め、同様の事態が再び発生しないよう、 電子メールやファックスで情報を送信する場合は、 必ず宛先や添付ファイルについて複数人で確認するなど、個人情報の管理について一層の注意を払ってまいります。

加えて、警祭職員に対して、これまで以上に情報の取扱い・保護に関する教育の充実を図り、個人情報保護の重要性に関する当事者意識の醸成を図ってまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-454】IDEC(アイデック)株式会社 当社への不正アクセスについて

 

2023 年 10 月 31 日、当社のネットワークが第三者による不正アクセスを受けたことを確認いたしました。本件を受けて、当社では影響が及ぶ可能性のあるサーバーの停止、ネットワークの遮断を直ちに行うなど、被害拡大の防止策を講じております。

現在詳細を確認しており、今後外部の専門機関による調査も行うことで、情報流出の有無および範囲の特定を進めてまいります。

なお、業績等に影響を及ぼすと判断した場合には適時、開示させていただきます。

関係する方々に多大なるご心配とご迷惑をおかけすることを、深くお詫び申し上げます。 

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-453】東浦町 町が利用する外部メールアドレスの第三者による不正利用

町が利用する外部メールアドレスとパスワードを第三者に不正に入手されたのち、なりすましにより不特定多数に大量のメールを送信していることが発覚しました。

現在のところ、個人情報の流出及び不正プログラムが仕込まれるなどの被害は確認されていません。

現在は、パスワードを変更するとともに、当該アドレスの使用を停止し、調査を進めています。

また、当該アドレスを常時使用しているパソコンについて、ウイルス対策ソフトによるスキャンを実施した結果、ウイルス等に感染している形跡はありませんでした。

経緯


(1)11月10日(金曜日)

 午後3時26分以降に大量の送信エラーメールを受信しました。

(2)11月11日(土曜日)

 メールアドレスのドメイン管理元から「大量のメールが送信されている事象を確認し、不正利用されている恐れがある。」という旨のメールを受信しました。

(3)11月13日(月曜日)

 大量の送信エラーメールを受信したことをきっかけに被害を受けたことを町として認識、その後、調査を開始しました。

(4)11月14日(火曜日)

 午前11時の時点で合計約500件の送信エラーメールを受信したことを確認しました。


この度は、関係者各位及び住民の皆様にご心配をおかけしましたことをお詫び申し上げます。

現在、警察等と連携して対応にあたっているところであり、引き続き調査を進めてまいります。

Labels:

【セキュリティ事件簿#2023-452】株式会社Geolocation Technology 採用応募者様の個人情報が閲覧できる状態になっていたことに関するお詫び(第2報)


2023年11月11日付「採用応募者様の個人情報が閲覧できる状態になっていたことに関するお詫び」(https://ssl4.eir-parts.net/doc/4018/tdnet/2360564/00.pdf)にて公表いたしました件について、その後の調査を通じて確認した事実関係及び再発防止策等をご報告いたします。  

2023年11月8日に、当社コーポレートサイトの設定不備により、2019年5月1日から2023年4月14日までの間、当社のコーポレートサイトの採用応募フォーム(変更前の応募サイト)から中途採用に応募いただいた、履歴書および職務経歴書が閲覧可能となっている可能性があることを確認いたしました。直ちに対処を行い、2023年11月10日に、これらの書類は閲覧できない状態であることを確認しております。現時点において、履歴書および職務経歴書の不正利用等は報告されておりません。   

本事案について、一般財団法人 日本情報経済社会推進協会(JIPDEC)に報告いたしました。  

対象となられた皆さまには多大なご迷惑とご心配をお掛けいたしましたこと、深くお詫び申し上げます。 

1.本事案の概要と経緯   

2023年11月8日に、インターネット上で履歴書および職務経歴書のファイルが閲覧可能となっている旨のご連絡をいただきました。   

これを受け、直ちに調査を開始したところ、当該資料が、当社コーポレートサイトのフォルダに格納されておりましたが、そのフォルダが誤って「公開」の設定になっていることを確認し、直ちに対処するとともに、2023年11月10日に、これらの書類がすべて閲覧できない状態であることを確認いたしました。   

今回問題となった採用応募フォームは、2019年5月1日から2023年4月14日までの間、運用されており、この期間に応募いただいた履歴書および職務経歴書が閲覧可能となっている可能性があることを確認いたしました。

(1)閲覧を確認した又は閲覧のおそれがある情報     
a)応募者様の数       
閲覧のおそれがある応募者様の数(※106名) 
※2023年11月11日付公表の108名の中に、2名の重複がありました。     

b)情報の内容       
履歴書および職務経歴書に記載された応募者様の情報、職務経歴など。 


(2)発生原因   
今回問題となった採用応募フォームは、外部ツールを利用して、制作していました。本外部ツールは、採用応募フォームに添付して送信したファイル(履歴書および職務経歴書のファイル)をフォルダに配置するようになっており、外部ツールの仕様の理解不足から、このフォルダが誤って「公開」の設定になっていました。さらに、外部公開されているフォルダにファイルを保管し続けておりました。   
この結果、インターネット上で履歴書および職務経歴書のファイルが閲覧可能となっていました。

2.再発防止策と今後の対応 

(1)再発防止策   
今後、ウェブサイト制作において、以下のルールを周知徹底するとともに、ルールが厳守されていることを監視・点検し、今回のような事案が決して再発しないよう、取り組んでまいります。

・外部ツールの利用の有無、利用目的の明確化、責任者による利用承認 
・制作したウェブサイトから入力された取扱情報および格納場所の明確化 
・取扱情報の公開・非公開の確認および、責任者による妥当性の承認   

当社内部における、採用応募の手順を見直し、当社コーポレートサイトからの応募書類(履歴書・職務経歴書など)は、直接メールで受け取るようにいたします。コーポレートサイト以外からの応募書類については、指定のツールやサイトを介し、受け取るようにします。受け取った応募書類は、人事関係者だけが非公開の場所で取り扱うように徹底し、採用活動が完了した応募書類は、直ちに破棄するとともに、責任者が監視・点検してまいります。 

(2)閲覧を確認した又は閲覧のおそれがある応募者様への対応 
現在までに閲覧を確認した又は閲覧のおそれがある応募者様につきましては、書面にてご連絡を差し上げます。

Labels:

【セキュリティ事件簿#2023-451】ジュテック株式会社 ランサムウェア攻撃に関するお知らせとお詫び


このたび、弊社は、弊社サーバ等に対して第三者による不正アクセスを受け、ランサムウェア攻撃による被害を受けましたので、お知らせいたします。なお、現時点では、暗号化の対象となったデータの漏えいは確認されておりません。

本件につきましては、既に、外部専門家の助言のもと、被害状況、原因等の調査を行い、また、発覚後速やかに、個人情報保護委員会に報告を行うとともに、警察への被害申告及び相談を行い、所轄警察署に被害届を提出し受理されております。

取引先様をはじめ、多くの関係者の皆様にご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。全社員が一丸となって再発防止に努めて参る所存ですので、何卒ご理解賜りますようお願い申し上げます。

1. 概要及び原因

攻撃者は、流出済みのVPN の認証情報を利用し、弊社の業務用サーバ等に不正にアクセスし、ランサムウェアを実行し、データの暗号化を行ったものと考えられます。なお、フォレンジック調査及びダークウェブ調査を行っておりますが、現時点で、暗号化の対象となったデータの漏えいは確認されておりません。

2. 被害を受けた可能性のある情報等

被害を受けた可能性のある情報等は、以下のとおりです。詳細につきましては、後記のお問い合わせ先までご連絡ください

(1) 個人情報
弊社従業員(退職者を含みます。)の氏名、住所、扶養家族の概要、給与、評価など人事に関する情報
採用にご応募いただいた方の氏名、住所、ご提出いただいた資料等の情報
取引先担当者様の氏名、所属、連絡先等

(2) 取引先様に関する情報
弊社のお客様及び仕入先様の会社概要、取引内容、商品に関する情報等

3. 発覚の経緯及びこれまでの対応状況
  •  8 月28 日、弊社の業務用サーバへのアクセス障害を確認し、ランサムウェア攻撃を受けたことを認識しました。弊社は、直ちに関係する端末をネットワークから切断するとともに、システムの運用・保守を委託しているベンダーと連携し、被害状況の調査及びシステムの復旧に着手しました。なお、攻撃者からは、対象となったPCの画面を通じて金銭の支払いを要求するメッセージを受領しましたが、弊社はこれに応じておりません。
  •  同日、大阪府警察に被害を申告しました。
  •  同月31 日、個人情報保護委員会に対し個人情報保護法に基づく速報を行いました。
  •  9 月11 日、所轄警察署に被害届を提出しました。
  •  同月12 日、フォレンジック調査会社に調査を依頼しました。
  •  10 月10 日、セキュリティベンダー及びサイバーセキュリティを専門とする弁護士に相談し、これ以降、継続的に助言を受けております。
  •  同月12 日、フォレンジック調査が完了し、報告書を受領しました。
  •  同月26 日、個人情報保護委員会に対し個人情報保護法に基づく確報を行いました。

4. 再発防止策

  • 今回のランサムウェア攻撃は、VPN を通じた不正アクセスによって行われたことから、より脆弱性管理が容易なリモートアクセス方式を導入しました。
  • クラウドサービスへのアクセスについて、端末証明書を導入し、外部からアクセスできないようにしました。
  • 不審なアクセスを検知し、マルウェアを実行前に検知・隔離するソリューションを導入しました。
  • セキュリティポリシーの見直し、定期的な従業員への教育、サイバー攻撃対応訓練の実施、不審な操作等の監視などを行うことを決定し、順次実行予定です。
Labels:

【セキュリティ事件簿#2023-450】雲雀丘学園中学校・高等学校 個人情報を記録したUSBメモリの紛失について(お詫び)


このたび、本校において、個人情報を記録したUSBメモリの紛失がありました。関係の皆様に多大なるご迷惑をおかけしたことを深くお詫び申し上げます。

記録されていた情報は、朝礼時に実施している高校3年生の「国語小テスト」(令和5年4月から10月に実施分)の成績(名前、点数)約270人分及び試験問題です。つきましては、高校3年生の生徒の皆さんに経緯の説明と謝罪を行うとともに、高校3年保護者の皆様を対象に臨時保護者会を実施いたします。

本校としては、学校法人雲雀丘学園が定めた「個人情報保護に関する学園共通の遵守事項」の教職員への周知徹底を図るとともに、再び同様の事態が生じないよう日常的に点検を行うなど、再発防止に取り組んでまいります。

Labels:

【セキュリティ事件簿#2023-449】一般財団法人日本情報経済社会推進協会 【お詫び】プライバシーマーク審査関連資料の漏えいについて(第2報)


2023年8月10日付「プライバシーマーク審査関連資料の漏えいについて」※1 にて公表いたしました件について、その後の調査を通じて確認した事実関係及び再発防止策等をご報告いたします。

当協会と審査業務に関する契約を締結していたプライバシーマーク審査員1名(以下、当該審査員)が、個人所有のパソコンにより審査業務を行った後、本来廃棄すべき審査関連資料を、審査業務委託契約及び当協会の規程に違反して外部記憶媒体等に保管していたところ、当該情報が外部に漏えいしたことが判明いたしました。本件についてデジタルフォレンジック※2調査等を行った結果、これまでにプライバシーマークを取得した事業者様のうち最大888社の審査関連資料と、審査員名簿(過去のものを含む)が漏えいしたおそれがあることを確認いたしました。なお、現時点において、審査関連資料及び審査員名簿の不正利用等は報告されておりません。

関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。プライバシーマークを付与する立場である当協会がこのような事態を起こしたことについて極めて重く受け止め、当協会を挙げて再発防止に取り組んでまいります。

※2 コンピューターなどの電子機器に残る記録の証拠保全や調査、分析を行う手段や技術の総称

1.本事案の概要と経緯

2023年8月8日、過去にプライバシーマークを取得されていた事業者様1社から当協会に対し、インターネット上で自社に関するプライバシーマークの審査関連資料と思われるファイルが閲覧可能となっている旨のご連絡をいただきました。

これを受け、当協会で直ちに調査を開始したところ、当該資料は当該審査員が作成したものであることを確認し、情報の漏えい元と推定されるパソコン及び周辺機器をネットワークから隔離いたしました。

なお、当該審査員は当協会の他に一般社団法人日本印刷産業連合会の審査業務も受託しており、当該審査関連資料も同様に保管していました。

その後、外部の専門調査機関と連携し調査を進めたところ、当該審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料と2005年から2011年まで当協会と契約していた審査員名簿(一般社団法人日本印刷産業連合会は2008年から2011年)が、少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていたことがわかりました。また、その期間中に少なくとも3種類のランサムウェアによる攻撃を受けて暗号化されたファイルがあることも確認いたしました。

(1)漏えいを確認した又は漏えいのおそれがある情報

①プライバシーマーク取得事業者様
a)事業者様の数
漏えいを確認した事業者様の数 1社
漏えいのおそれがある事業者様の数
最大888社(当協会審査分 500社、一般社団法人日本印刷産業連合会審査分 388社)

b)情報の内容
<事業者様情報>
・事業者名
・所在地、電話番号
・代表者名、個人情報保護管理者名、個人情報保護監査責任者名及び担当者名並びに当該者の役職名及び部署名並びに一部担当者のメールアドレス(当協会分約3,500名、一般社団法人日本印刷産業連合会分は調査中)
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。

<審査関連資料>
審査員がプライバシーマークの審査にあたって作成した審査報告書及び関連資料
・個人情報保護規程類の整備状況
・個人情報保護規程類に基づく運用状況
・個人情報保護マネジメントシステムの体制

②審査員名簿※3
 ※3 当協会若しくは一般社団法人日本印刷産業連合会とプライバシーマーク審査業務委託契約を現在締結している又は過去に締結していた審査員の名簿
a)審査員の数
漏えいのおそれがある審査員の数(当協会642名、一般社団法人日本印刷産業連合会27名)

b)情報の内容
氏名、メールアドレス、電話番号、住所
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。

(2)発生原因

①当協会は、審査員に対して当協会が事前に許可した場合に限り、審査員が自宅で個人所有のパソコンを用いてプライバシーマークの審査業務の一部を行うことを認めておりました。

ただし、許可の申請に当たっては、事前にパソコンの機種やOSのバージョン、ウイルス対策等の作業環境に関する情報を提出させるとともに、作業終了後、当該審査関連資料は廃棄することと定めておりました。

しかしながら、当該審査員は、許可の申請の際に届けていない機器を複数用いるなど、申請内容と大きく異なる作業環境において審査作業を行っていたことに加え、作業終了後も審査関連資料を保管し続けておりました。

このような状況下、審査関連資料及び審査員名簿を保管していたファイルサーバー(NAS:Network Attached Storage)に適切なセキュリティ対策がなされておらず、インターネット上で閲覧できる状態となっていました。

本件判明後、当協会は直ちに当該審査員に対する審査業務の委託を停止し、11月9日付で審査員資格を取り消しました。

②当協会は、審査業務委託契約に基づく作業終了後に審査関連資料を全て廃棄しているとの審査員の届出を信用して確認しておりませんでした。

2.再発防止策と今後の対応

(1)再発防止策

①当協会と審査業務委託契約を締結している全審査員に対し、個人所有のパソコン等に審査関連資料を保管していないことを確認し、万一保管している資料があれば速やかに廃棄するよう指示しました。また、個人所有のパソコンでの審査作業を全面的に禁止いたしました。今後は、当協会が貸与する十分なセキュリティ対策(他の機器との接続不可を含む。)を施したパソコンのみを用いて審査業務を行うこととします。(貸与完了予定時期:本年12月)

また、全ての審査員に対して、審査関連資料の適切な取扱いを改めて周知徹底するとともに、貸与パソコンの取扱状況の監視・点検を行います。

さらに、これらに関する定期的な研修を強化し、今回のような事案が決して再発しないよう、取り組んでまいります。

②上記①の措置が確実に行われていることを担保するために、担当部門が行う貸与パソコンの取扱い状況の監視・点検や審査員研修の実施状況について、担当部門以外の者が定期的に監査するなど、当協会としての監査体制を強化します。

③他の審査機関の審査員に対しても、個人所有のパソコン等に審査関連資料を保管していないことを確認し、万一保管している資料があれば速やかに廃棄するよう指示したことを確認しました。また、各審査機関の実態をふまえて、当協会と同じようなレベルでのセキュリティを確保するよう要請しました。

(2)漏えいを確認した又は漏えいのおそれがある事業者様及び審査員への対応

現在までに漏えいを確認した事業者様及び漏えいのおそれがある事業者様につきましては、既に書面にてご連絡を差し上げております。専用のご相談窓口(コールセンター)を設置いたしましたので、ご不明な点等がございましたらご連絡ください。また、個人情報の漏えいのおそれがある審査員につきましても、既にご連絡いたしております。

Labels:

【セキュリティ事件簿#2023-448】株式会社アイテス 当社に対するランサムウェア攻撃による情報流出の可能性に関するお詫びとご報告

 

この度、当社のシステムが外部からランサムウェアによる攻撃を受けた事を確認しましたのでお知らせ致します。現時点において、取引先関係者様に関する情報の不正利用などの事実は確認されておりませんが、取引先関係者様にはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

なお、社外で運用しております当社ホームページや、メールサーバ等には被害が及んでいない事を確認しております。

【概要】

2023年10月20日(金)に、当社の社内サーバに対しランサムウェアによる攻撃があり、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。

(1)発生日時:2023 年10 月20 日(金)午前1 時00 分頃

(2)流出した可能性がある情報:調査中

事象確認後、すべての社内サーバについてはネットワークから隔離いたしました。現在も調査を継続しており、今後新たな情報が判明しましたら、随時ご報告致します。なお、個人情報保護委員会への報告や警察への届け出等の対応を実施致しました。今後も必要に応じこれらの関係機関と連携して対応してまいります。

当社では、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の情報管理体制の強化に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-447】グラントマト株式会社 当社サーバへの不正アクセスについて

 

グラントマト株式会社(以下「当社」といいます。)は、本年10月27日、当社の一部のサーバに対し、第三者による不正アクセスを受けたことを確認いたしました。直ちに、外部専門機関の協力を得て調査を行い、状況を確認した結果、不正アクセスを受けたサーバ内に保存されていた情報の一部が暗号化され、流出した可能性があることが判明しましたので、ご報告いたします。

現在、不正アクセスを受けたサーバ内に保存されていた情報について確認中ですが、今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

当社は、外部専門機関の協力を受けながら、調査を継続し、被害拡大の防止及び再発防止に向けて総力を挙げて対応して参ります。

関係する皆さまには、多大なるご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。お客様やお取引先様におかれましては、不審なメールや通知が届いた場合は、開封及びリンク先へアクセスせず、直ちに当社までご連絡いただきますよう宜しくお願い申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-325】日本ゼオン株式会社 不正アクセス発生(8 月 23 日付お知らせ)に関する 社内調査ならびに第三者調査完了について

当社サーバー機器に対して、外部の攻撃者による不正アクセスが発生し、当社が管理している個人情報の一部が外部へ流出した可能性があることにつき、2023 年 8 月 23 日に当社ウェブサイトにお知らせを掲載いたしました。

前回ご報告以降に継続実施した社内調査、ならびにセキュリティ専門ベンダーによる第三者調査が完了いたしましたので、以下の通りご報告いたします。

関係者の皆さまに多大なご迷惑、ご心配をお掛けすることになり、誠に申し訳ございません。心よりお詫び申し上げます。

【第三者調査の結果について】

攻撃者の不正アクセスによる被害は、前回ご報告の通り当社アカウント管理システム(ディレクトリサーバー)のデータが外部流出した可能性のみであり、他の形跡がないことを改めて確認いたしました。

【外部に流出した可能性がある個人情報の内容】 

(下記(1)~(2)の合計 13,434 件)

(1)当社が管理しているグループアドレスに登録されているお客様・取引先様の情報(8,236 件)

・お客様・取引先様ドメインのメールアドレスおよび氏名

個人情報が流出した可能性がある皆様には、2023 年 8 月 24日に本件をお知らせするメールを送信いたしました。

(メール通知が無い方に関しては、本件の対象外とご認識いただいて問題ございません)

※当社アカウント管理システム(ディレクトリサーバー)にはお客様・取引先様ドメインのメールアドレスおよび氏名のみが登録されておりますので、それ以外の情報が外部流出した可能性はありません。

(2)当社および当社グループ会社の社員および協力会社社員などのアカウント情報(5,198 件)

・当社および当社グループ各社が発行したユーザーID

・当社および当社グループ各社が発行したメールアドレス

・名前(漢字)

・名前(ローマ字)

・会社名

・部署名

・組織コード

・社員番号

・電話番号

これらの個人情報を悪用し、スパムメール、フィッシング詐欺メール等が送付される可能性があります。不審なメールやコンタクトを受け取られた場合、慎重にご対応くださいますようお願いいたします。

【当社の対応】

(1)行政機関への報告

経済産業省ならびに個人情報保護委員会に対し、第三者調査の結果を受け、2023 年10月16日に「確報」を提出いたしました。

(2)個人情報が流出した可能性がある方への対応

該当される皆様には、前述の通り、個別にメールでお知らせいたしました。

外部から受けた攻撃の手口等詳細については、行政機関に報告および相談を行っており、本お知らせ等の発信内容についても、連携して進めさせていただいております。

当社では今回の事態を重く受け止め、外部専門機関の協力も得て、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-416】橿原市 委託先における個人情報の不正流出の可能性に関するおわびとお知らせ

 

株式会社NTTマーケティングアクトProCX(以下、「委託先」といいます)において、同社が利用するコールセンターシステムを提供するNTTビジネスソリューションズ株式会社の運用保守業務従事者(以下、「元社員」といいます)が、個人情報を不正に持ち出し、第三者に流出させた可能性があることが判明いたしました。

この不正に持ち出された個人情報の中に、過去に本市が国民健康保険特定健康診査受診勧奨電話業務を委託先に委託していたときの情報が含まれていることが判明いたしました。

今回、委託先がこのような事態を発生させ、市民の皆様へ多大なご迷惑とご心配をおかけしますこと、深くおわび申し上げます。また、今回の事態を重く受け止め、委託事業における個人情報の適切な取り扱いを徹底するよう指導し、再発防止に努めてまいります。

不正に持ち出された個人情報について

​​​​​​平成25年度および平成26年度に40歳以上の国保被保険者への特定健康診査受診勧奨電話業務を委託した約4,000件

  • 勧奨対象者名
  • 世帯主名
  • 住所
  • 年齢
  • 性別
  • 電話番号

※口座情報は含まれていません。

現時点において、元社員から別の第三者に流出したことは確認されておりません。

対象の方へのお知らせについて

現在、対象となった方の確認作業を進めております。対象となった方には個別に郵便でお知らせをさせていただきます。

お知らせの準備が整い次第、こちらのページでもお知らせいたしますので、しばらくお待ちください。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-416】日本学生支援機構 委託事業者における個人情報の漏洩事案の発生について


独立行政法人日本学生支援機構は、奨学金相談センターの設置及び運営業務を株式会社NTTマーケティングアクトProCX(以下「委託事業者」という。)に委託していますが、今般、委託事業者がセンター運営に当たり利用するコールセンターシステムの保守事業者(NTTビジネスソリューションズ株式会社)の運用保守業務従事者(当時)1名が、同システム内の個人情報を不正に取得して持ち出す事案が発生しました。

持ち出された個人情報が第三者に流出された事実は、現時点では確認されておりません。

現時点において委託事業者から報告を受けている内容について、下記のとおりお知らせいたします。

1.不正に取得された個人情報

平成30年(2018年)3月19日以前に奨学金相談センターに問い合わせをした方の個人情報(氏名、電話番号、郵便番号、住所、生年月日)のうち、約5万件

 ※上記事項以外の個人情報の持ち出しは、現時点では確認されておりません。

 ※当該情報の内容等について、更なる特定作業を進めています。

2.不正に取得された時期

平成28年(2016年)3月17日、平成30年(2018年)3月19日

3.本件に係る対応状況

令和5年(2023年)10月12日(木曜日)委託事業者より本機構に事案概要の報告

令和5年(2023年)10月16日(月曜日)本機構より個人情報保護委員会に報告

令和5年(2023年)10月17日(火曜日)委託事業者等による報道発表及び記者会見

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-446】OLTA 【INVOY】顧客情報流出に関するご報告とお詫び(続報2 影響範囲について)


平素よりOLTAおよびFINUX(INVOY)のサービスをご利用いただき誠にありがとうございます。

2023年11月7日(火)に判明した、弊社関連会社(FINUX)が提供するクラウド請求書プラットフォーム「INVOY」において特定の条件に該当した一部のユーザー様の顧客情報が他のINVOYユーザー様から閲覧できる状態になっていた事象について、影響範囲ついて調査した結果をご報告いたします。

本事象の解消に向けて2023年11月7日(火)18時10分より緊急メンテナンスのためサービスを一時停止しておりましたが、2023年11月8日(水)2時58分に復旧し、現在は通常通りご利用いただけます。

ユーザー様および関係者の皆様には、大変なご迷惑とご心配をおかけしましたことを改めてお詫び申し上げます。

1. 発生事象

<概要>
今回判明したのは、2名以上のユーザーがほぼ同じタイミングでINVOYにログインした際、一方のユーザーの情報が他方に表示されてしまう(以下、誤表示)可能性がある、という不具合です。詳細については、後述の<具体的な誤表示の箇所>をご参照ください。
なお、本事象はインターネットブラウザ上の表示に関する不具合に限られ、発行した請求書に誤った情報が記載されたり、他ユーザーによって登録情報が書き換えられるといった問題が発生することはございません。

<対象となるユーザー様>
調査の結果、2名以上のユーザー様がほぼ同時、具体的には100ミリ秒(0.1秒)以内にINVOYにログインした際(以下、同時ログイン)に、上記事象が発生した場合があるとの推定に至りました。
2023年8月7日(月)13時頃から2023年11月07日(火)18:10までの期間(以下、当該期間)に行われた全てのログイン5,656,686回のうち、同時ログイン(可能性がある最大数)は40,854回と全体の約0.72%が発生の上限だったと推定しています。また、当該期間中に同時ログインを行ったユーザー様(可能性がある最大数)は6,501アカウントが上限であったと推定しています。このうち、実際に他ユーザー様によって閲覧がされた数は、誠に遺憾ながら詳細なログデータが残っていないため確認が難しい状況です。
ただし、同時ログインが行われても必ずしも他ユーザー様の情報が表示されたわけではないことや、当該期間におけるユーザー様からの本事象に関する障害報告が2件のみであったことからも、実際に閲覧がされた数は非常に少ないものと考えております。

<対象の顧客情報(更新あり)>
他ユーザー様が閲覧できる状態にあった可能性がある情報は、以下の通りです。
 ・ご登録のメールアドレス
 ・ユーザー名
 ・ユーザーの種別と権限(管理者か否か)
また、調査の結果、第一報の段階で対象の可能性がある情報としていたもののうち、以下については対象外であると判明しました。
 ・ユーザーID
 ・登録日時
 ・契約プラン
 ・パートナーコード(登録経路)
 ・請求書の発行枚数

なお、第一報よりお伝えしている通り、クレジットカード情報やパスワードなど金銭的被害に繋がる情報は含まれておりません。

<具体的な誤表示の箇所>
当該ログイン時、他ユーザー様の画面上に表示された可能性がある具体的な内容と場所の組み合わせは以下の2つです。

①【通常の利用方法で発生するもの】ログイン直後※1、ホーム画面サイドバーに表示されるユーザー名※2 

 ※1 請求書作成機能など別の画面に遷移すると正しいユーザー名に戻ります
 ※2 INVOY登録時に設定いただく表示用ユーザー名で、請求書用の氏名等とは異なります


②【通常の利用方法では発生しないもの】デベロッパーツール※3を表示した際に関連情報として出る各種情報※4

 ※3 開発者用の管理画面。通常の使用方法で表示されることはありません
 ※4 メールアドレス、ユーザー名、ユーザー種別・権限。詳細は<対象の顧客情報(更新あり)>をご参照ください

2. 原因

<概要(既報)>
2023年8月7日(月)に行った「INVOY」のアップデート対応において、当該不具合を引き起こすコードが含まれていたこと、また当該アップデートを本番環境に適用する前に実施すべきチェックが不十分であったことが原因です。

<詳細>
INVOYの画面表示の処理において、2名以上のユーザーより同時ログインがあった場合に当該事象が発生する可能性のあるバグが見つかりました。同時ログインの影響の調査不足によるものです。

3. 今後の対応

  • 他のINVOYユーザー様から顧客情報が閲覧できる状態になっていた可能性のあるユーザー様には、メールにてご連絡いたします。
  • 本事象に関して引き続き調査を実施し、新たな事項が判明した場合には可及的速やかに弊社ウェブサイトにてお知らせいたします。
  • 既に本事象が再発しないよう暫定措置を行いましたが、来週を目途に恒久対応を完了し、再発防止策についてもあわせて報告いたします。
Labels:

【セキュリティ事件簿#2023-446】OLTA 【INVOY】顧客情報流出に関するご報告とお詫び(続報1 サービス復旧)


平素よりOLTAおよびFINUX(INVOY)のサービスをご利用いただき誠にありがとうございます。

弊社関連会社(FINUX)が提供しておりますクラウド請求書プラットフォーム「INVOY」におきまして、特定の条件に該当した一部のユーザー様の顧客情報が他のINVOYユーザー様から閲覧できる状態になっていたことが判明いたしました。

ユーザー様には、大変なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

本事象の解消に向けて、2023年11月7日(火)18時10分より緊急メンテナンスのためサービスを一時停止しておりましたが、2023年11月8日(水)2時58分に復旧し、現在は通常通りご利用いただけます。詳細な原因や影響範囲の調査を継続しており、今後新たな情報が判明する可能性がございますが、2023年11月8日2時時点で確認できている情報は以下の通りです。

1. 発生事象

<対象ユーザーと事象>
2名以上のユーザーがほぼ同じタイミングでINVOYにログインした際、一方のユーザーの情報が他方に表示されてしまう可能性がある不具合。

<対象の顧客情報>
他ユーザー様が閲覧できる状態にあった可能性がある情報は、以下の通りです。
・ユーザID
・ご登録のメールアドレス
・ユーザ名
・登録日時
・契約プラン
・パートナーコード(登録経路)
・請求書の発行枚数
・ユーザの種別と権限(管理者か否か)
なお、クレジットカード情報やパスワードなど金銭的被害に繋がる情報は含まれておりません。

<経緯>
10月4日(水)
・20時頃、本事象に類似の事象と思われる内容について、ユーザー様より問い合わせを受ける。調査を試みたものの当該事象に関する詳細な情報がなかったこと、問い合わせいただいたユーザ様と連絡がつかなかったことから、問題の確認など具体的な対応を実施せず。

11月7日(火)
・11時頃、対象ユーザー様より問い合わせ受け、調査を開始。
・14時頃、当該事象が再現することを確認。
・18時10分、緊急メンテナンスのためサービスを停止。

11月8日(水)
・2時58分、事象の解消を確認。サービスを復旧。

<対象サービス>
・INVOY(クラウド請求書プラットフォーム)

<サービスサイトURL>
https://www.invoy.jp/

2. 原因

2023年8月7日(月)に行った「INVOY」のアップデート対応において、当該不具合を引き起こすコードが含まれていたこと、また当該アップデートを本番環境に適用する前に実施すべきチェックが不十分であったことが原因です。

3. 今後の対応

本事象に関しまして引き続き調査を実施し、該当ユーザーの詳細情報が判明し次第、可及的速やかに弊社ウェブサイトにてお知らせいたします。

Labels:

【セキュリティ事件簿#2023-446】OLTA 【INVOY】顧客情報流出に関するご報告とお詫び


平素よりOLTAおよびFINUX(INVOY)のサービスをご利用いただき誠にありがとうございます。

2023年11月7日(火)、弊社関連会社(FINUX)が提供しておりますクラウド請求書プラットフォーム「INVOY」におきまして、特定の条件に該当した一部のユーザー様の顧客情報が他のINVOYユーザー様から閲覧できる状態になっていることが判明いたしました。

他ユーザー様に閲覧できる状態にあった可能性がある情報は、以下の通りです。
・ユーザID
・ご登録のメールアドレス
・ユーザ名
・登録日時
・契約プラン
・パートナーコード
・請求書の発行枚数
・ユーザの種別と権限(管理者か否か)
なお、クレジットカード情報やパスワードなど金銭的被害に繋がる情報は含まれておりません。

本事象の解消のため、2023年11月7日(火)18時10分より緊急メンテナンスのためサービスを一時停止しております。

復旧の見通しについては、現時点では未定です。このリリース以後、原因の究明、問題解消および再発防止が完了するまで随時状況をお知らせ致します。

ユーザー様には、大変なご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。

Labels:

【セキュリティ事件簿#2023-445】株式会社ホープ 当社子会社のサーバーへの不正アクセスについて


当社の子会社である株式会社ジチタイワークス(以下、ジチタイワークス社)のサーバーが、第三者による不正アクセスを受けたこと(以下、本件)を確認しましたのでお知らせいたします。関係者の皆様には多大なるご迷惑とご心配をおかけすることになり、深くお詫び申し上げます。

現時点で把握している本件の概要等は以下のとおりです。

■本件発覚の経緯

当社は、2023年10月23日18時頃、ジチタイワークス社が運営する「ジチタイワークスWEB」のWEBサイトが閲覧できなくなっている状況を確認しました。その後直ちに、WEBサイトを管理するサーバー管理委託業者に依頼し、当該業者を通じて不具合の原因調査を行ったところ、ジチタイワークス社のサーバーに対し、第三者による不正アクセスが行われ、データが削除されたことが原因であると判明しました。

それと同時に、「ジチタイワークス無料名刺」および「ジチタイワークスHA×SH(ハッシュ)」のWEBサイトも閲覧できなくなっている状況も確認しました。

ジチタイワークスWEB:https://jichitai.works/
ジチタイワークス無料名刺:https://meishi.jichitai.works/
ジチタイワークスHA×SH(ハッシュ):https://hash.jichitai.works/

■本件の影響

本件の影響については、以下のとおりです。

① 漏洩のおそれのある個人情報
不正アクセスを受けたサーバーのデータベースには、ジチタイワークス会員登録およびジチタイワークスHA×SH(ハッシュ)を通じて取得した個人情報20,912人分のデータを保存しているところ、現在調査中ではありますが、これらの個人情報が外部に漏洩した可能性があります。

個人情報には、所属団体、部署、役職、氏名、電話番号、メールアドレス、住所、生年月日のうち、一部又は全部が含まれています。不審なメールやハガキを受け取った場合は、身に覚えのない料金の請求には応じず、記載された連絡先には電話をせず、不安がありましたら、末尾の問い合わせ先や最寄りの警察署にご相談ください。また、不審なメールの添付ファイルの開封やリンク先にはアクセスせず、削除するようにしてください。

なお、要配慮個人情報や、クレジットカード情報などの財産的被害が生じる情報は取得・保有していないため、上記の漏洩のおそれがある個人情報に含まれておりません。

② データの滅失
上記個人情報を含むデータベースが削除された形跡があり、外部専門家の助言のもと復旧に向けて取り組んでおります。

③ ウェブサイトの障害
(1)ジチタイワークスWEB・ジチタイワークス無料名刺
・一時的なサイト閲覧不能(10月23日18時頃~24日1時頃)
※本件同様の不正アクセスは発生しない環境にした上で復旧しております。

(2)ジチタイワークス会員のマイページ、新規会員登録ページ
・一時的な利用不能(10月23日18時頃~26日16時頃)
※本件同様の不正アクセスは発生しない環境にした上で復旧しております。

(3)ジチタイワークスHA×SH(ハッシュ)
・サイトの閲覧、利用不能(10月23日18時頃~11月1日10時半頃)
※本件同様の不正アクセスは発生しない環境にした上で復旧しております。

■対応

当社は、本件を確認後、速やかに外部からのアクセス制限や侵入経路の遮断など必要な被害拡大の防止措置を講じており、復旧に向けて努めております。また、外部専門家の助言を受けながら、本件について、個人情報の漏洩の有無や範囲を含む技術的な調査を進めております。

今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

なお、当社グループ内で緊急対策本部を設置し、原因究明活動と二次被害防止対策とともに、福岡県警への相談、個人情報保護委員会への速報を行っております。

また、今後、個人データが漏洩したおそれがあるお客様および関係者の皆様には、ジチタイワークス社よりお詫びとお知らせを個別に順次ご連絡申し上げます。

当社およびジチタイワークス社としましては、速やかな対応とサービスの復旧に向けて取り組むとともに、今後の再発防止策について強化してまいります。

Labels:

【セキュリティ事件簿#2023-444】株式会社ベルソニカ 重要なお知らせとお詫び


不正アクセスによる情報流出のお知らせとお詫びについて

 
この度、弊社におきまして、社内システムへの外部からの不正アクセスにより、一部の情報流出の発生を確認しましたので、下記の通り、ご報告致します。関係者様には、大変なご迷惑とご心配をお掛けし、心よりお詫び申し上げます。現在も調査を続けており、今後新たな情報が発生する可能性もありますが、現時点で判明している調査結果は下記の通りとなります。

1.流出を確認した情報

・お取引先業者様等のご担当者の氏名を含む情報 467件
 (氏名、住所、電話番号、所属部署、メールアドレス)
・社員・元社員に関する情報(本人及びその家族) 568件
 (氏名、住所、電話番号、生年月日、性別、メールアドレス、学歴)

2.発覚と対応経緯

・9月22日(金)不正アクセスの形跡を感知、直ちにネットワークを遮断。
・同日、静岡県警に連絡。
・9月25日(月)外部専門業者と感染状況及び被害状況の調査開始、静岡県警サイバー対策関係者と情報共有し捜査協力を進める。
・併せて個人情報保護委員会への報告を実施。
・10月3日(火)ベルソニカのデータを公開するとの情報を確認。
・10月13日(金)不正アクセスによって、ファイル名のみが公開された事を確認。
・不正アクセスされたPCとサーバーを特定し、ネットワークを遮断。
・現在、セキュリティレベルを上げ復旧対応中。

3.情報の流出が確認された方へのご対応

情報の流出が確認された方へは、個別にご連絡をとり、丁寧に経緯・状況の説明をしてまいります。なお不正アクセスにより盗まれ流出の可能性がある情報について、引続き調査を継続して参ります。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を徹底して参ります。

Labels:

【セキュリティ事件簿#2023-443】東京大学情報基盤センター管理のサーバにおけるユーザ情報の一部が、学内端末の一部から閲覧可能となっていた件について


東京大学情報基盤センターが管理するサーバの設定ミスにより、本学構成員向けGoogle Workspace for Educationのパスワードハッシュ値(*)を含む利用者情報(†)が、学内に設置された、学内利用者用の端末の画面で閲覧できる状態であったことが判明しました。

現在はその設定を修正し、上記の状態は解消しています。利用者情報が実際に閲覧されたかどうかは不明で、現時点ではこれによる不正ログインなどの被害も確認されておりません。閲覧されたとしてもパスワードハッシュ値から直ちにパスワードがわかるわけではありませんが、以降の被害を防ぐために本日時点で有効なアカウントを有する全ての利用者に連絡を行い、パスワードの変更作業を行なうこととしました。

閲覧可能であった情報が万一悪用される可能性を減らすため、これ以上の詳細については全ての利用者のパスワード変更作業が行われた後に、利用者に対して開示する予定です。

このような事態が発生し関係の皆様には多大なご迷惑をおかけすることになりましたことを、深くお詫び申し上げます。

今後、システム構築時および構成変更時の設定内容の確認を徹底するなど、再発防止に努めてまいります。

(*) パスワードハッシュ値: パスワードを暗号化したもので、ハッシュ値からもとのパスワードを復元することは、パスワードの長さや複雑さにもよりますが、多くの計算を要します

(†) 端末の画面で閲覧可能であった情報
● 名前
● Google のEmailアドレス
● 大学の他のサービスで用いる共通ID
● 学生証番号
● パスワードのハッシュ値
● その他管理上必要な, 個人の属性と直接結びつかない情報

Labels:

【セキュリティ事件簿#2023-442】西日本工業大学 不正アクセスによる迷惑メール送信のお詫び


このたび、本学で使用しているoffice365のアカウント1名分が第三者に不正に利用され、令和5年9月22日(金)0時30分頃から1時00分頃までの間において、約2,700件の迷惑メール(スパムメール)が送信されるという事案が発生しました。

本事案により迷惑メールを受信し、不快な思いをされた方々に深くお詫びを申し上げます。

なお、本件による個人情報などの流出は無かったことを確認しており、現時点において被害は報告されておりません。

本学としては、この事態を重く受け止め、メールアカウントの厳重な管理についての周知徹底、教職員および学生に対する情報セキュリティの意識啓発を行い、全学で再発防止に努めてまいります。

Labels:
登録: コメント (Atom)