【セキュリティ事件簿#2023-501】京都市立芸術大学 日本伝統音楽研究センター ウェブサイトへの不正アクセスについて

2023年12月20日、本学 日本伝統音楽研究センターのウェブサイト（https://rcjtm.kcua.ac.jp/）に不正なアクセスがありました。

　当該サイトのデータが削除されており、詳細については、現在、調査中です。

　二次被害を防ぐため、残されたデータはすべて削除し、現在公開停止としております。

　削除されたデータには、メールアドレス等が含まれているため、それらメールアドレスが特定できた場合は、本学から不審なメールの削除などを促す注意喚起を行う予定です。

　現在、原因の調査・再発防止策の検討を進めており、このようなことが生じないよう全学的に情報セキュリティ対策に万全を期してまいります。

　ご不便をおかけいたしますが、当該サイトの復旧まで、日本伝統音楽研究センターからのお知らせは、本ウェブサイトのトップページのお知らせ欄（http://www.kcua.ac.jp/category/info/）をご覧いただきますよう、お願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-500】株式会社丹青社 業務委託先からの個人情報漏洩に関するお詫びとお知らせ

当社がIRニュースメールの配信業務を委託していた外部委託会社のサーバーが不正アクセスを受けたことにより、当社保有の個人情報の一部が漏洩していることが判明しました。関係者の皆さまには、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。既に10月30日付で当社コーポレートウェブサイトにお知らせ「当社からのメールを装ったなりすましメールにご注意ください」を掲載しておりますが、その後の対応と再発防止策について以下のとおりお知らせします。

当社におきましては、今回の事実を厳粛に受け止め、同様の事態が再び発生しないよう、業務委託先の管理監督を含め個人情報管理体制の一層の強化を図ってまいります。

1．経緯

2023年10月30日、当社従業員および取引先が、送信元情報を当社ドメイン（@tanseisha.co.jp）のメールアドレスに偽装した「なりすましメール」を多数受信しました。同時に警視庁サイバー犯罪対策課から、業務委託先のサーバーが乗っ取られている可能性を指摘され、本事態を把握しました。

同日中に業務委託先のサーバーへのドメイン許可を停止し、当社ドメインからメールが送信されることがないように対処しました。あわせて当社コーポレートウェブサイトのお知らせにて社外への注意喚起を行い、二次被害拡大の防止に取り組みました。

なお、本件については、個人情報保護委員会および一般財団法人日本情報経済社会推進協会へ適時報告を行っております。

2．漏洩した個人情報

（1）個人情報の項目

　　当社IRニュースメールに登録されているメールアドレス。

　　※銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。

（2）対象者と件数

　　株主、投資家、顧客、従業員のメールアドレス641件。

3．発生原因

当社の業務委託先のサーバーに対して第三者からの不正アクセスがあったことが原因と認識しております。

4．二次被害またはそのおそれの有無

漏洩したメールアドレス宛に、送信元情報を当社ドメイン（@tanseisha.co.jp）のメールアドレスに偽装した「なりすましメール」が複数件送信されたことを確認いたしました。

なお、既にサーバーへのドメイン許可を停止しているため、現在は同事象の発生はありません。

5．再発防止策

当該委託会社への業務委託を2023年11月で停止し、現在は適格性を確認できた新たな委託先へ契約変更しています。

また、従業員への教育や業務委託先の適格性の審査・確認、継続的な管理監督を実施し、当社の個人情報管理体制の一層の強化を図ってまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-499】株式会社エイチーム 個人情報漏えいの可能性に関するご報告とお詫び

当社グループが利用するクラウドサービス上で作成した個人情報を含むファイルがインターネット上で閲覧可能な状態にあったことが判明し、2023年12月7日に「個人情報漏えいの可能性に関するお知らせ（以下、既報）」を公表いたしました。この度、本事案に関して調査及び精査が完了いたしましたので、当該調査結果及び再発防止に向けた取り組みについてご報告いたします。

なお、既報の通り、本事案の判明後にクラウドサービス上のファイルへのアクセス制限を実施し、個人情報を閲覧できる状態は解消しております。お客様ならびに関係者の皆様には大変なご迷惑、ご心配をおかけすることを心より深くお詫び申し上げます。

概要

当社グループで利用しているクラウドサービス「Googleドライブ」で管理する一部のファイルにおいて、個人情報がインターネット上で閲覧可能な状態にあったことが2023年11月21日に判明いたしました。当該ファイルの閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、端末識別番号・顧客管理番号・メールアドレス・氏名などを含む個人情報がインターネット上において閲覧できる状態でありました。要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。

発覚の経緯は、グループ全体で導入を検討しているセキュリティ製品の精度を検証したレポートにより、リスクのあるファイルとして検知されたことによります。

1.個人情報漏えいの可能性がある対象者

① サービスご利用のお客様

￭ 当社グループで運営するサービス・アプリを過去にご利用いただいたことのある一部のお客様

② 取引先企業・法人のお客様

￭ 当社グループとご契約・お取引があった一部の取引先企業・法人のお客様

￭ 当社グループの担当者とメール等の対応があった一部の法人のお客様

③ 採用候補者

￭ 過去に当社グループの採用選考に応募いただいた一部の新卒採用及び中途採用の採用候補者

￭ 当社グループのインターンシップに参加した一部の学生

④ 当社グループ従業員

￭ 当社グループに在籍している従業員（退職者含む）

2.漏えいした可能性のある情報

詳細の調査及び精査の上、判明した個人情報の漏えいの可能性がある情報は以下の通りです。

￭ 個人情報を含むファイル数：1,369件

￭ 対象となる人数：935,779人

　※対象となる人数はユニーク数でカウントしております

■個人情報の漏えいの可能性がある人数

個人情報の漏えいの可能性がある人数は以下の通りです。

※ 個人情報保護委員会に報告書を提出した対象企業を記載しております

※ 「④当社グループ従業員」の人数の内訳の記載は省略しております

■漏えいした可能性がある項目

漏えいした可能性がある主な項目は以下の通りです。なお、要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。

※ 個人情報保護委員会に報告書を提出した対象企業を記載しております

※ 対象ファイルによって記載項目が異なります

3.インターネット上で個人情報の閲覧が可能となっていた期間

2017年3月～2023年11月22日まで

※ 対象ファイルを調査した結果、ファイル作成日が最も古かった時期を閲覧可能期間として記載しております

※ 各ファイルの作成日により、閲覧可能期間は異なります

4.経緯

グループ全体で導入を検討しているセキュリティ製品の精度を検証したレポートにより、リスクのあるファイルとして検知されたことで本事案が発覚しました。当社グループで利用しているクラウドサービス「Googleドライブ」で管理するファイルを調査したところ、個人情報を含む一部のファイルがインターネット上で閲覧可能な状態にあったことが2023年 11月21日に判明いたしました。

本事案が判明後の2023年11月22日にクラウドサービス上のファイルへのアクセス制限を実施し、個人情報を閲覧できる状態は解消した上で詳細の調査及び精査を開始しました。

本事案が発覚した後、速やかに個人情報保護委員会に速報を提出し、調査状況のご報告といたしまして2023年12月7日に当社コーポレートサイトに「個人情報漏えいの可能性に関するお知らせ」を掲載しました。

グループ全体で詳細の調査及び精査が完了しましたので、2023年12月20日に個人情報保護委員会に確報を提出しました。

5.原因

当社グループで利用しているクラウドサービス「Googleドライブ」を利用して作成した個人情報を含む一部のファイルに対して、閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」としており、閲覧範囲の設定が適切に行えていなかったことによるものです。

6.対象者の皆様への連絡について

個人情報が漏えいした可能性のある方で、ご連絡先が把握できた皆様には、本事案の調査及び精査が完了した2023年12月20日より順次、個別に電子メール等により本事案のご報告とお詫びのご連絡をさせていただいております。

また、当社グループ各社でのコーポレートサイトでも本事案についてお知らせを掲載しております。個人情報の漏えいの可能性に関連する皆様に向け、本事案のお問い合わせ窓口を設置し、本記事の末尾に記載しております。

7.二次被害の有無とその可能性について

本事案に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

情報の対象となった皆様には大変ご迷惑をおかけしますが、不審な問い合わせについては十分ご注意いただきますようお願い申し上げます。当社では、被害の拡大防止に取り組んでまいりますが、万が一、第三者の悪用を確認した場合は、末尾のお問い合わせ窓口へ連絡をお願い申し上げます。

8.再発防止策

今後の再発防止策として、①セキュリティツールによる監視強化、②ファイル共有設定・権限の見直しによる制御、③個人情報の取り扱いに関する役員及び全従業員の意識向上に取り組んでまいります。

①セキュリティツールによる監視強化

セキュリティツールを活用した監視の強化を図り、情報システム部門による厳格な管理によって情報漏えいのリスクを抑えます。

②ファイル共有設定・権限の見直しによる制御

「Googleドライブ」をはじめとしたファイル管理・共有を行うクラウドサービスにおいて、アクセス範囲設定を見直し、アクセス制限がない公開設定を無効化することにより外部共有の制御を実施しました。

③個人情報の取り扱いに関する役員及び全従業員の意識向上

個人情報に関する管理体制の強化、規程やルール等の見直し及び社内への周知徹底を行い、個人情報を含めた情報管理に関する意識の向上を図ります。また、役員及び全従業員の意識向上に向け、第三者である外部講師を招いた研修を実施予定です。

今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-492】千葉市 委託事業者による個人情報の流出した可能性のある事案の発生について

千葉市が事業を委託する事業者が利用するサービスに、第三者からの不正アクセスがありましたので、お知らせします。

このたびは、対象事業の参加者の皆様にご迷惑をおかけしたことを心よりお詫び申し上げるとともに、今後、個人情報のさらなる厳正な管理の徹底に努めてまいります。

なお、このことに関して、便乗した詐欺等のご連絡に十分ご注意ください。

１　対象事業

（１）委託事業名　令和５年度千葉市特定保健指導（ＩＣＴ機器活用型）業務委託

（２）委託事業者　株式会社Ｙ４．ｃｏｍ

２　事案の概要

１２月１８日（月）、事業者から本市に、事業者が利用するアプリサービスの一部に対し、第三者から不正アクセスがあり、本市のＩＣＴ機器活用型特定保健指導参加者の情報（氏名、住所、電話番号、性別等）が外部に流出したとの報告がありました。

不正アクセスは１２月１０日（日）に行われ、１２月１１日（月）に事業者が本事案を確認した。その後、事業者により詳細な調査が開始され、１２月１５日（金）に本市に第１報を受けました。

なお、直ちに被害のあったサービスをシステムから隔離するなどの処置がとられており、現時点で、不正に公開されたり悪用されたり等の被害の発生等は確認されておりません。

〈参考〉特定保健指導（ＩＣＴ機器活用型）について

４０歳から７４歳までの国民健康保険被保険者を対象に生活習慣病予防を目的に実施している特定健康診査受診者のうち、特定保健指導の対象となった者に対し、ウェアラブル端末を活用し保健指導を行うもの。

３　サービスに記録されていた情報

氏名、住所、電話番号、性別、生年月日、メールアドレス、被保険者番号、健診結果（身長、体重、腹囲、血圧、血液検査記結果、尿検査結果、問診項目）　２５人分

４　対応状況等

・１２月１８日（月）午後、事業者のホームページに本事案を公表しております。

　※事業者が問い合わせ窓口（電話・メール）を開設しています。

　　　株式会社Ｙ４．ｃｏｍ　個人情報お問い合わせ窓口

　　　電話番号　０９２－４０６－３８３３（受付時間　１０時～１７時、土日祝日を除く）

　　　メール　　info@y-4.jp

・同日、市における個人情報の流出可能性事案に関して、個人情報保護委員会に報告しました。

・今後、参加者本人への通知とお詫びを実施する予定です。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-492】伊丹市 委託事業者による個人情報の流出事案の発生について

伊丹市が事業を委託する事業者が利用するシステムに、第三者からの不正アクセスがありましたので、お知らせします。

このたびは、対象事業の参加者の皆様にご迷惑をおかけしたことを心よりお詫び申し上げるとともに、今後、個人情報のさらなる厳正な管理の徹底に努めてまいります。

なお、このことに関して、便乗した詐欺等のご連絡に十分ご注意ください。

1 対象事業

（1）委託事業名 令和5年度伊丹市特定保健指導（ICT機器活用型）業務委託

（2）委託事業者 株式会社Y4．com

2 事案の概要

12月18日（月曜）、事業者から本市に、事業者が利用するアプリサービスの一部に対し、第三者から不正アクセスがあり、本市のICT機器活用型特定保健指導参加者の情報が外部に流出したとの報告がありました。

不正アクセスは12月10日（日曜）に行われ、12月11日（月曜）に事業者が本事案を確認しました。その後、事業者により詳細な調査が開始され、12月14日（木曜）に本市に流出の可能性があることの第1報を受けました。

なお、直ちに被害のあったサービスをシステムから隔離するなどの処置がとられており、現時点で、不正に公開されたり悪用されたり等の被害の発生等は確認されておりません。

〈参考〉特定保健指導（ICT機器活用型）について

40歳から74歳までの国民健康保険被保険者を対象に生活習慣病予防を目的に実施している特定健康診査受診者のうち、特定保健指導の対象となった者に対し、ウェアラブル端末を活用し保健指導を行うもの。

3 サービスに記録されていた情報

20人分の氏名、住所、性別、生年月日、被保険者番号、健診結果

4 対応状況等

・12月18日（月曜）午後、事業者のホームページに本事案を公表しております。

※事業者が問い合わせ窓口（電話・メール）を開設しています。

株式会社Y4．com 個人情報お問い合わせ窓口

電話番号 092－406－3833（受付時間 10時～17時、土日祝日を除く）

メール info@y-4.jp

・今回の流出事案に関して、国の個人情報保護委員会に報告しました。

5 本市の対応状況

漏洩が確認された方に対し、市と事業者より、電話連絡等でお詫びと状況報告を実施いたしました。

6 再発防止策

事業者側において、影響を受けたシステムのセキュリティ強化と、パスワードの変更により対応します。今後の調査で、脆弱性が判明した際には、さらなるセキュリティレベルの向上と再発防止策を実施予定です。

リリース文（アーカイブ）

航空会社特典航空券のストップオーバー規定ガイド

その昔、ほとんどの航空会社のロイヤリティプログラムでは、特典航空券での途中降機が無料でした。残念なことに現在では、そのようなユニークな機会を提供するプログラムは少なくなってきています。

今回は、特典航空券でのストップオーバーを無料で認めているマイレージプログラムについて、ワンワールドアライアンスを中心にまとめたいと思います。

途中降機、オープンジョー、乗り継ぎ

まず、重要な用語について説明しましょう。ストップオーバーとは何か、オープンジョーとは何か、乗り継ぎとは何か。これらの用語の意味はまったく異なるので、前もって確認しておきましょう。

途中降機

途中降機（ストップオーバー）とは通常、出発地と最終目的地の間にある乗り継ぎ都市に24時間以上滞在することを指します。乗り継ぎ都市とは、航空会社のハブ空港であったり、目的地までの途中都市であったりします。

ルーティングに工夫を凝らすことで、通常は経由地として考えないような場所でのストップオーバーが可能になることも多いです。例えば、アメリカからアジアへ旅行する場合、ヨーロッパを経由し、そこでストップオーバーすることも可能かもしれません。

乗り継ぎ

乗り継ぎとは、通常24時間以内の都市での滞在を指しますが、プログラムによっては、特典旅程の乗り継ぎ時間が最大4時間と短い場合もあります。アワード・プログラムでは、アワード規約やプログラム利用規約を記載する際に、乗り継ぎを意味する言葉としてトランスファーという言葉を使用することがあります。

オープンジョー

オープンジョーとは、ある都市に到着し、別の都市から出発するフライトのこと。例えば、米国（LAX）からアジアへ向かう場合、往路はシンガポール着（LAX⇒SIN）、復路はバンコク発（BKK⇒LAX）みたいなルートのこと。

特典航空券での途中降機

特典航空券での途中降機（ストップオーバー）を認めている航空会社のロイヤルティプログラムを見てみよう。最も寛大なものから順に、どの程度寛大なポリシーなのかを大まかにリストアップする。

アラスカ航空

アラスカ航空は、途中降機に関して最も寛大なプログラムのひとつで、地域間の移動であれば、特典航空券でのストップオーバーを認めてくれます。アラスカ航空にはさまざまな提携航空会社があるので、たとえば、ロサンゼルスから東京経由でシンガポールまで日本航空を利用し、日本でストップオーバーすることも可能です。

ストップオーバーは片道でも可能なので、往復航空券で2回のストップオーバーができる可能性があることになります。アラスカ・マイレージ・プランのマイルには素晴らしい使い道がたくさんあります。

ストップオーバーの予約は無料で、アラスカ航空のウェブサイトから直接予約することが可能です。

キャセイパシフィック航空

キャセイパシフィック航空のアジアマイルは、キャセイパシフィック航空を利用する際にも、提携航空会社を利用する際にも、驚くほど便利なプログラムです。キャセイパシフィック・アジアマイルでは、往復特典航空券でのストップオーバーが可能です。ストップオーバーは、キャセイパシフィック航空を利用する場合でも、提携航空会社を利用の場合でも可能です。

日本航空

JALマイレージバンクは、提携航空会社を利用する場合に限り、ストップオーバー（途中降機）に対して最も寛大な規定を設けています。JALは距離ベースの特典チャートを採用しており、特典の価格は移動距離の合計によって決まります。

JALマイレージプログラムは、マイルの交換方法によってルールが異なります。基本的にJALマイレージバンクは3種類の特典を提供しています。

• JAL特典航空券：日本航空のみを利用する場合。
• 提携航空会社特典航空券：JALの提携航空会社1社のご利用に限ります。
• ワンワールド特典航空券：ワンワールド加盟航空会社を2社以上利用する場合。

JAL特典航空券ではストップオーバーはできません。

提携航空会社特典航空券を1回の利用で最大3回の途中降機が可能です。一部の例外を除き、合計6区間まで可能です。ただし、特定のパートナーには制限があります。

• 大韓航空の場合、2区間までしか利用できませんが、途中降機は可能です。
• 中国東方航空の場合、合計4区間までとなり、中国での途中降機はできません。
• ハワイアン航空、ロイヤル・エア・モロッコ、ヴィスタラ航空の場合、合計4区間までとなります。

ワンワールド特典航空券を利用する場合、ストップオーバーはなんと7回まで可能です。特典航空券は合計8区間しか利用できないため、ストップオーバーの実用性は制限されます。7回のストップオーバーを最大限に利用しようとすると、乗り継ぎの各都市でストップオーバーしなければなりません。

その他の特筆すべきプログラム

ブリティッシュ・エアウェイズのエグゼクティブ・クラブは無料のストップオーバーはできませんが、1回の旅行で複数の目的地を訪れようとする人には便利かもしれません。

エグゼクティブ・クラブは、アワードの価格が各区間の距離とクラスで計算されるというユニークなプログラムです。1枚の航空券で何区間でも予約できますが、料金は累積されるため、区間ごとに支払うことになります。

多くの場合、短い区間の料金が安いので、リーズナブルな料金で複数の目的地を訪れることができます。

エグゼクティブ・クラブには、"シークレット "マルチキャリア特典チャートがあります。ワンワールド加盟航空会社2社以上（ブリティッシュ・エアウェイズ利用区間がある場合は3社以上）を利用する場合、この特典チャートを利用すれば、各区間を個別に予約するよりも支払うAviosが少なくなります。

この方法で最大8区間まで予約でき、各都市でストップオーバーすることも可能です。

ストップオーバーは、マイルやポイントの価値を増大させる素晴らしい方法です。残念なことに、多くの航空会社では、このような機会を長年にわたってなくしてきました。

個人的には、JALマイレージバンクのワンワールド特典航空券を愛用しています。

出典：Guide To Stopover Rules On Airline Award Tickets

【セキュリティ事件簿#2023-498】パナソニック コネクト株式会社 不正アクセスのお知らせとお詫び

パナソニック コネクト株式会社アビオニクスビジネスユニット（以下、ABU）およびパナソニック アビオニクスコーポレーション（以下、PAC）は、不明の第三者がPACの企業ネットワーク環境内の一部のシステムに不正にアクセスし、ABUおよびPACが管理する従業員および元従業員に関連する個人情報に影響を与えたことが判明しましたので、本事案についてお知らせいたします。

本事案に関して、対象となる従業員および元従業員の皆様にご心配とご迷惑をおかけいたしますことを深くお詫び申し上げます。

【事案概要】

2022年12月30日、PACの企業ネットワーク環境のシステムに影響を及ぼす可能性がある不正アクセスを受けたことが判明しました。PACは、事案に関する調査を直ちに開始し、サイバーセキュリティおよびフォレンジックの外部専門家の協力を得て、事案全体および個人情報への影響の有無、その範囲について徹底的な調査を行いました。2023年12月初旬に調査が完了し、その結果、ABUおよびPACが当時管理していたABUまたはPACに在籍する従業員または在籍していた元従業員に関連する個人情報の全部または一部が影響を受けた可能性があることが判明しました。なお、当該の不正アクセス以降、これらの個人情報について悪用または悪用された可能性があることを示す事実は確認されていません。

対象者：

ABUおよびPACの従業員および元従業員

対象となる個人情報：

ABUおよびPACが業務上管理していた従業員および元従業員の個人情報

対象者によっては、氏名、電話番号、金融機関口座番号（パスワードは含みません）、その他人事・雇用関連情報が含まれている可能性があります。

対象となる従業員の皆様には社内メールまたは郵送にてお知らせするとともに、元従業員の皆様には、順次ご連絡がつく限り、個別にご通知をお送りしています。

このお知らせは、ご通知を受け取られていない元従業員の皆様へのお知らせです。

ABUおよびPACは、今回の事態を重く受け止め、この事案の影響抑止のために速やかに対応し、再発防止に向け複数の安全管理措置を講じました。また、関連法令に従い、すでに本事案について関係当局にも通知しましたが、皆様ご自身においても、さらなるセキュリティ対策および不審な連絡がないか等、ご留意いただきますようお願い申し上げます。本件に関し、お心当たりやご不明な点がありましたら、以下までご連絡いただきますようにお願い申し上げます。

リリース文（アーカイブ）

2023年のセキュリティ事件・事故・情報漏えい・不正アクセス ベスト10

2023年に発生したインシデントを被害規模順にランキング化すると以下のようになるらしい。

10 位：【セキュリティ事件簿#2022】ならコープ　重大なシステムトラブルに伴う個人情報についてのお知らせ

原因：不正アクセス

件数：489,085 人

個人情報の漏えいは確認されていないが、法律の専門家及び外部専門機関等との協議の結果、個人情報漏えいの可能性を完全には否定できないということらしい。

9 位： 【セキュリティ事件簿#2023-011】チューリッヒ保険会社　個人情報漏えいに関するお詫びとお知らせ

原因：不正アクセス

件数：最大757,463 人

業務委託での個人情報漏えい。顧客の個人情報が海外のサイトに掲載されていたらしい。

8 位： 【セキュリティ事件簿#2023-010】アフラック生命保険株式会社　個人情報流出に関するお詫びとお知らせ

原因：不正アクセス

件数：1,323,468 人

8 位と同内容。

7 位： 【セキュリティ事件簿#2023-022】株式会社アダストリア　当社サーバーへの不正アクセス発生について

原因：不正アクセス

件数：1,414,751 件

顧客情報以外にも中途採用・アルバイト採用選考参加者の応募者情報や従業員情報など、幅広くお漏らし。

6 位： 【セキュリティ事件簿#2023-422】Suishow 株式会社　当社運営の「NauNau」をご利用いただいているお客様への 重要なお知らせとお詫びについて

原因：紛失

件数：200 万人

NHKの報道を受けての公表という、組織体としては最もだらしのないパターン

5 位： 【セキュリティ事件簿#2023-175】トヨタ自動車株式会社　クラウド設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて

原因：システム管理上のミス

件数：約 230 万人

クラウド環境の誤設定が原因。半端ない量のお漏らし。

4 位： 【セキュリティ事件簿#2023-109】株式会社IDOM　当社サーバへの不正アクセスに関するご報告とお詫び

原因：不正アクセス

件数：2,402,233 件

第三者調査機関の調査結果では、個人データを閲覧された可能性は否定できないが、外部に送信した痕跡は見つかっていないということらしい。

3 位： 【セキュリティ事件簿#2023-107】株式会社NTTドコモ　【お詫び】「ぷらら」および「ひかりTV」をご利用のお客さま情報流出のお知らせとお詫び

原因：不正持ち出し

件数：約 596 万件

元派遣社員が使用していたパソコンから、業務では行うことがない外部への通信を検知したことで発覚。

2 位：【セキュリティ事件簿#2023-416】株式会社NTTマーケティングアクトProCX　NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について（お詫び）

原因：不正持ち出し

件数：約 900 万件

NTTマーケティングアクトProCXにテレマーケティング業務を委託していたクライアント 59 件の顧客情報 約 900 万件が持ち出しの対象。

1 位： 【セキュリティ事件簿#2023-119】株式会社出前館　アカウント連携システム不備による『出前館』アカウント情報閲覧の恐れに関するお詫びとお知らせ

原因：システム管理上のミス

件数： 924 万 4,553 件

1 台の PC やスマートフォンを複数の顧客で共有し、顧客が出前館サービスにログインしない状態でサードパーティーアカウントと連携した後、同じ PC やスマートフォンで別の顧客がログインし、さらにその後、最初の顧客が「アカウント連携によるログイン」を選択した場合に発生するらしい。

出典：2023年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10

【セキュリティ事件簿#2023-497】いちごの里 個人情報漏えいについてのお詫びとご報告

この度、（株）いちごの里ファームにおきまして、数名のお客様よりメールアドレスが流出しているとのご連絡がありました。

関係者の皆様におきましては、多大なるご不安やご迷惑をおかけすることとなり、心からお詫び申し上げます。

1.事案の概要

12月13日、お客様より「メールアドレスが流出しているとセキュリティソフトから警告があった」とのご連絡をいただきました。

12月14日、HP運営会社に事実関係を確認したところ、「2014年～2019年に当時使用していた予約システムから流出した可能性がある」との報告がありました。

2.漏洩したと思われる情報

メールアドレス

3.漏洩の原因

調査中

4.今後の対応

警察、弁護士、個人情報保護委員会等に相談し、被害届の提出も含めて検討します。

※漏えいした恐れがあるデータは、すべて削除済みであります。新システムへの引継ぎも行っておりません。

※現在の予約システムは「Table Check」を利用しており、セキュリティについて問題ないと思われますのでご安心ください。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-496】株式会社紀伊國屋書店 不正アクセスによる、個人情報漏洩の可能性に関するお知らせとお詫び

株式会社紀伊國屋書店（以下「当社」といいます）は、このたび、第三者によるサイバー攻撃により、不正なアクセスを受けたことを確認しました。

お客様をはじめ関係者の皆様にご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

１．概要

当社が管理運用する「和雑誌アクセス納品情報」及び「INTERMAX納品管理システム」サイトに、外部からサイバー攻撃が行われ、その結果、利用しているデータベースのテーブル名称を取得されたことが判明しました。個別のテーブルの内容にアクセスされた形跡及びデータを取得された形跡は認められておりませんが、上記２サイトのデータベースサーバと同じサーバでデータベースを運用している「Access Web Service System」を含めて、情報漏洩した可能性がありうるものとして、お知らせいたします。

漏洩の可能性がある個人情報は「４．漏洩した可能性のある個人情報と件数」に記載した内容であり、クレジットカード情報、銀行口座情報等は含まれておりません。また、調査の結果、情報漏洩の痕跡は確認されておらず、現時点では、本件によって当社が保有する個人情報が外部へ流出した事実は確認されておりません。なお、当社の運営するECサイト（紀伊國屋書店ウェブストア）、電子書籍Kinoppy、ポイントカード（紀伊國屋ポイント）等に関する個人情報については本事案の影響はありません。

２．経緯

2023年11月1日（水）に警察から、「和雑誌アクセス納品情報サイト」にサイバー攻撃があった旨の連絡をいただき、即時、サイトの管理を委託している業者に連絡して調査を行いました。その結果、「４．漏洩した可能性のある個人情報と件数」に記したサイトへの不正アクセスの痕跡が確認された為、各種対策を実施して、お知らせするものです。

３．現在の対応

当該サイトの一部に脆弱性が認められた為、それらへの対策を実施済です。

当社が運営する各種Webサービス全体を改めて見直し、より一層のセキュリティ強化に努めてまいります。

４．漏洩した可能性のある個人情報と件数

サイト	個人情報	件数
(a) 和雑誌アクセス納品情報	氏名	294件
(b) INTERMAX納品管理システム	氏名、住所、電話番号	7,491件 (うち6,329件は受託元より 受領した個人情報)
(c) Access Web Service System	氏名、住所、電話番号	2,096件

及び、上記サイトの納品履歴。

※クレジットカード情報、銀行口座情報等は保持しておりません。

(a)主に図書館のお客様向けに和雑誌の納品データを提供するサービス。

(b)INTERMAX（海外マガジン）の納品情報を管理するシステム。店舗における海外マガジンの定期購読サービスに関係するデータはありません。

(c)学術雑誌（主に外国雑誌）の納品情報の管理を支援する法人向けサービス。

なお、本件において、個人情報が外部へ漏洩した痕跡は確認されておらず、現時点で本件に起因する個人情報の不正利用等の二次被害に関する報告は受けておりません。

当社は今回の事態を厳粛に受け止め、さらなるセキュリティの強化に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-495】仙台市 懲戒処分の公表について

1　所属　

　総務局人材育成部

2　職位

　係長職

3　年代

　50歳代

4　処分の内容

　停職6月

5　処分の理由

市民局区政部において住民基本台帳事務を担当していた令和4年8月6日、業務とは関係ない私的な理由から、住民情報システムを用いて、知人女性の住所情報を不正に収集したもの。

また、令和3年6月30日に、総務局人事課から、当該女性に対するつきまとい行為等に係る指導を受けていたにもかかわらず、不正に収集した住所情報を用いて、複数回にわたり当該女性宅付近を訪れたほか、令和5年3月12日に当該女性宅前で待ち伏せ行為を行ったもの。

6　処分年月日

　令和5年12月1日

7　上司の処分

　訓告1名

リリース文（アーカイブ）

【セキュリティ事件簿#2023-494】立命館アジア太平洋大学 個人情報を含むExcelファイルの掲載について（お詫び）

このたび、学外の方からの問い合わせにより、本学Webサイトに掲載していたExcelファイルに特別な加工をすると、当該Excel ファイルには表示されていない過去に外部リンク機能で一時保存されていたデータが閲覧でき、そこから2018年度に在籍していた学生の氏名、所属、回生、学籍番号、学内メールアドレス等の個人情報が確認できることが判明しました。学生・卒業生の皆さまに多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。

2023 年12 月4 日の事態判明後、ただちに当該ファイルは削除しました。また、現在のところ個人情報の不正利用等の二次被害は確認されておりません。

今回発生した事案の原因を究明するとともに再発防止に努めてまいります。なお、今回の事態にかかわって、ご相談やお問い合せがある場合には、下記までご連絡をお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-493】長野日報社 おわび（サーバーウイルス感染のため特別紙面）

日頃は、長野日報をご愛読いただき、誠にありがとうございます。

12月19日深夜に弊社のサーバーが身代金要求型ウイルス（ランサムウエア）に感染した影響で、新聞製作に及ぼす影響が続いております。このため、22日付本紙も通常よりページ数を減らした特別紙面として発行します。

サーバーには、いずれも公開を前提として紙面に使用する記事と写真データが蓄積されていますが、個人情報の流出はありません。当社のホームページやメールシステムは通常通り稼働しています。

外部専門家や警察と連携の上、全面復旧に向けて鋭意作業を進めていますが、長期化も予想されます。読者や広告クライアントの皆さま等関係者には多大なるご迷惑をおかけすることをおわび申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-492】株式会社 Y4.com 不正アクセスによる情報漏えいのお知らせとお詫び

このたび、当社が利用する一部のサービスにおいて、ノーウェアランサム被害が発生したことをお知らせします。本件について、外部専門家の助言を受けながら、影響の範囲等の調査を進めております。また、個人情報保護委員会及び KPJC（公益財団 熊本産業支援財団）経由にて JIPDEC（日本情報処理開発協会）への報告、警察などの関係機関への相談を開始しております。

被害の全容を把握するにはいましばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。

お取引先様、ご活用頂いているご利用者様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。 

1. 発生日及び事象

12 月 10 日、当社が利用する一部のサービスへ、第三者による不正アクセスが行われました。その際に、保存されているファイルが持ち出され、削除されました。

DB サーバーおよび WEB サーバーには被害はございません。 

２．漏えいした可能性のあるお客様情報

対象者）アプリ内で健診結果を閲覧できる状態になられていた方

（1）漏洩された個人情報の項目

氏名・住所・電話番号・性別・生年月日・メールアドレス・健診結果・被保険者番号が記載されたテキストデータ

（2） その他項目

プロフィールのアバター画像、BMI（AI 認識用画面キャプチャー）、

コミュニティー 投稿画像、コンテスト用サムネイル

各種規約フォーマット

血糖値（登録用キャプチャー）

リブレ（AI 認識用画面キャプチャー）

ベジメータファイル

一括集計用 PDF データファイル 

３．発覚日及び経緯

12 月 11 日（月）12 時頃、弊社のシステム開発チームは、事象を確認。ただちにシステムを隔離し、セキュリティ対策を強化しました。

12 月 12 日（火）ノーウェアランサム攻撃の可能性に鑑み、詳細な調査を開始。

12 月 13 日（水）一部の個人情報が流出した可能性があることを確認しました。

12 月 14 日（木）個人情報保護委員会及び KPJC 経由にて JIPDEC、警察へ報告。

12 月 15（土）～17 日（日）外部専門家と今後の対応について協議。

４．再発防止策

影響を受けたシステムのセキュリティ強化と、パスワードの変更を迅速に行っております。今後の調査で原因や脆弱性が判明した際には、セキュリティ専門の第三者機関を交えて検討し、セキュリティレベルの向上と再発防止策を徹底する予定です。二度と同様の事態を発生させないよう、再発防止に向け、取り組んでまいる所存でございます。

５．アプリサービスの提供について

DB サーバーおよび WEB サーバーには侵入された事実はなく、影響は一部のサービスの利用のみである為、アプリサービスは通常通り稼働しております。

改めてこのような事態を招いたことを心よりお詫び申し上げます。この度の事態を厳粛に受け止め、私たちは、皆様のプライバシーとデータの安全を守るために、さらなる対策を講じ、信頼回復に向けて努力してまいります。

今後とも変わらぬご支援、ご理解を賜りますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-491】奈良教育大学 情報セキュリティインシデントの発生について

この度、附属幼稚園教諭 1 名がサポート詐欺の被害に遭い、その際、個人情報が漏洩する恐れのある事案が発生しました。

このような事案が発生し、関係の皆様に多大なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事案を重く受け止め、業務における個人情報の取扱及びサポート詐欺を含めた情報セキュリティについての注意喚起と周知の徹底を行うなど、再発防止策を講じて参ります。

なお、現在までに、個人情報の悪用等に関する事実は確認されていません。また、この事案に関して、個人情報漏洩の可能性がある方に対しては、個別にお詫びと状況説明を行っています。

1.    経緯

附属幼稚園の教諭が、自宅のパソコンに業務ファイルをコピーし、インターネットに接続して作業を行っていたところ、偽のセキュリティ警告が表示されたが、偽物と気づかずに表示の連絡先に電話し、サポート詐欺に遭った。その過程で、オペレータの遠隔操作により、デスクトップに保存されていた個人情報を含むファイルが消失し、抜き取られた可能性がある。

2．漏洩した可能性のある情報

(1)表計算ソフトに保存されていた情報

園児氏名・・・22名

園長氏名・・・1名

(2)プレゼンテーションソフトに保存されていた情報

画像

園児　・・・のべ115名（うち顔が認識できる方90名・画像から氏名がわかる方10名・

氏名のみが写っている方2名）

保護者・・・のべ2名（画像から氏名がわかる方2名）

教員　・・・のべ2名

リリース文（アーカイブ）

JAL機の衝突事故は、航空機の避難テスト基準の再考を迫る

 

2024年1月2日に東京の羽田空港で発生した日本航空と海上保安庁の航空機の衝突事故は、緊急時の航空機の避難基準の再考を迫る出来事となった。

事故機となった日本航空516便は、エアバスA350-900型機で、非常口が16か所ある。しかし、衝突の影響で4か所の非常口が使用不能となり、乗客約370人、乗員約12人の全員が避難するのに約18分かかったとされる。

航空機の認証要件では、非常口の半分が塞がれていたとしても、90秒以内に避難させることができることが求められている。しかし、今回の事故では、その基準を満たすことができなかった。

この食い違いは、避難基準の妥当性や、認証試験の現実との乖離を問う声を呼び起こしている。

具体的には、以下の疑問が提起されている。

• 90秒という基準は、本当に達成可能なのだろうか。
• 認証試験は、実際の事故状況を十分に反映しているのだろうか。
• 試験の再設計は、意図しない結果をもたらすのではないか。

これらの疑問への回答は、今後の調査や検討によって明らかになるだろう。しかし、今回の事故は、航空機の避難基準の再検討が喫緊の課題であることを示した。

米国のダックワース議員、避難基準の見直しを再提唱

米国では、2022年後半にダックワース上院議員（イリノイ州選出、民主党）とボールドウィン上院議員（ウィスコンシン州選出、民主党）が、連邦航空局（FAA）に対してより現実的な避難時間テストの実施を義務付ける法案を提出していた。

ダックワース議員は、当時のインタビューで「飛行機に60人を乗せ、誰も手荷物を持たず、子供や高齢者がいないように装うことは、現実の状況を反映していない」と語っていた。

この法案の修正版は、今年中に可決される見込みのFAA再承認法案に含まれている。

ダックワース議員は、日航機衝突事故を受けて、この法案の再提唱を表明した。

ダックワース議員は声明の中で、「東京で起きたことは悲劇でしたが、もっと悪い事態もあり得ました。しばらくの間、詳しいことはわかりませんが、私は、このようなことがアメリカでも起きる可能性があると、ずっと前から警告してきました」と述べた。

ダックワース議員はさらに、今回の事故は90秒ルールの再考の必要性を浮き彫りにし、「キャリーバッグ、子供、高齢者、障害を持つ乗客など、現実の状況を考慮した緊急避難基準をようやく確立し、安全な飛行を実現できるようにすべきだ。それが少なくとも飛行機に乗る人々が求めていることです」と述べた。

ダックワース議員は、新たな基準の下で航空機が90秒のテストに失敗しても、必ずしも航空会社が変更を加える必要はないと指摘した。むしろ、基準自体が非現実的、役に立たない、不要なものである可能性があるため、基準自体を変更する可能性があるのです。

「最終的には、これは長期的にすべての人をより安全にするだろう」と2022年のインタビューで述べています。

避難基準の見直し、今後の課題

JAL機衝突事故は、航空機の避難基準の見直しを迫るものとなった。

今後は、90秒という基準の妥当性や、認証試験の現実との乖離を検証するとともに、より現実的な避難基準の策定が求められるだろう。

出典：Tokyo crash raises questions about realism of plane evacuation testing standards

Darkweb OSINTリンクと2023年発見の新リソース

過去数か月の間に、数多くのダークネットマーケットやベンダーが閉鎖されたり、オフラインになったりしているにもかかわらず、ダークウェブOSINTリソースに大きな変化はありません。 ここに掲載されているリンクのほとんどは問題なく機能するはずです。 【Onionインデックス】 Fresh Onion http://freshonifyfe4rmuh6qwpsexfhdrww7wnt5qmkoertwxmcuvm4woo4ad.onion/ H-Indexer http://amz4atjtuuis4dsnxlc3ek6fjoiadj3z7yzcjhylgtfmtrrh7i2hu6id.onion/ OnionLand Search http://kewgkvbzmjprghk2gv6otkxuyvn2gdnv4256uiumuykjio7nyo5k6rid.onion/ Nexus http://nexusxg6rr5e2ue6gdjo6oassw36lsx5cx6y3r5ojneo53kynv3rqgyd.onion/ Dark Eye http://darkeyepxw7cuu2cppnjlgqaav6j42gyt43clcn4vjjf7llfyly5cxid.onion/ VCS Onion Links http://hgzqgqunlejgxruvcthlpk3pywgkci3kkubhnvlv2rgveusz3n6qarad.onion/ 【データリーク系】  Distributed Denial of Secrets – the .onion site of a popular collective DDoSecrets, specialising in publication and archiving of various leaks. http://ddosxlvzzow7scc7egy75gpke54hgbg2frahxzaw6qq5osnzm7wistid.onion/wiki/Distributed_Denial_of_Secrets Leaked Instagram passwords – the name says it all… http://breachdbsztfykg2fdaq2gnqnxfsbj5d35byz3yzj73hazydk4vq72qd.onion/ Trashchan public DB dump – sanitized public database dumps of various sorts. http://trashbakket2sfmaqwmvv57dfnmacugvuhwxtxaehcma6ladugfe2cyd.onion/ Anon Leaks – this one is a hybrid between a news site and a leaks site… http://oezronzbtheydpio2x64wzf2np6go2abdrtgprmgxh6xi6mjnha6lxad.onion/ 【ニュース】 The Tor Times – news from all around the darkweb. http://tortimeswqlzti2aqbjoieisne4ubyuoeiiugel2layyudcfrwln76qd.onion/ Electronic Frontier Foundation – privacy news and updates. https://www.iykpqm7jiradoeezzkhj7c4b33g4hbgfwelht2evxxeicbpjy44c7ead.onion/ 【その他】 Archive.is – darkweb version of a popular URL archiving site (clearnet). http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/ Online-Test – for checking if a .onion site is currently online / offline. http://donionsixbjtiohce24abfgsffo2l4tk26qx464zylumgejukfq2vead.onion/test.php Captchas on the darkweb – an archived article by Osintery covering the 5 most used types of CAPTCHAs on the darkweb. https://web.archive.org/web/20220623173528/https://www.osintery.com/post/captcha-darkweb 出典：Darkweb OSINT links and new 2023 resources

【セキュリティ事件簿#2023-490】株式会社マルミミ 不正アクセスによる個人情報漏洩のお詫びとご報告

この度、弊社が業務受託し運用おこなっております「千葉県立君津亀山青少年自然の家」Webサイトのウエブサーバーにインストールしておりましたメールマガジン配信システム（メールマガジンの名称は「きみかめ通信」。令和5年2月1日に配信を終了）に対して、外部より不正アクセスがあり、弊社にて調査した結果、令和5年12月11日、何者かにより(メールマガジンにご登録いただいています皆様)の個人情報(メールアドレス)がCSVファイル形式でダウンロードさたれことが判明いたしました。

本件でご登録いただいたお客様をはじめ関係各位の皆様に多大なるご迷惑とご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

また、令和5年12月12日の不正アクセス発覚から正確な被害状況の確認までに、お時間を要してしまいましたこと、重ねてお詫びを申し上げますとともに詳細につきましては、下記をご参照くださいますようお願いいたします。

弊社では、個人情報に関して厳重なセキュリティ対策を行ってまいりましたが、まだまだ不十分であったことを痛感し、以後このような事態が発生しないよう改めてセキュリティ対策の強化と抜本的見直しに取り組み、再発防止に努めてまいる所存です。

1)個人情報閲覧および取得操作が確認された個人情報

・ メールマガジン（きみかめ通信）登録者613名様分のメールアドレス

2)経緯

令和5年12月12日（火）9時頃、千葉県立君津亀山青少年自然の家様よりメールマガジン（以下きみかめ通信）が不正操作され配信されたとの連絡を受けました。

弊社でアクセスログ解析等の調査した結果、外部からのメールマガジン配信システム※への不正アクセスおよび不正操作が行われたことが判明しました。

不正操作により、ユーザーパスワード、配信元、件名等が書き換えられたうえで、メール配信システムより、きみかめ通信が1回配信されたことを確認しました。また、きみかめ通信登録者613名分のメールアドレスがCSVファイル形式でダウンロードされた形跡をアクセスログより確認しました。

上記以外の個人情報に関する不正利用等の被害の発生は確認されておりません。

3)発生後の対応

1.対応措置

12月12日午後、パスワード変更をおこない、ウエブサーバーよりメールマガジン配信システムを完全に削除しました。

2.各所への報告/届出

千葉県立君津亀山青少年自然の家様と千葉県教育庁教育振興部生涯学習課に不正アクセスの詳細を報告致しました。

4)不正アクセスの原因

メールマガジン配信システムは、「千葉県立君津亀山青少年自然の家」Webサイトのウエブサーバーに2010年にインストールし運用開始しました。2023年2月の終了後もシステムはウェブサーバーに配信可能の状態で保存されていました。また、メールマガジン配信システムの開発会社より脆弱性（https://www.acmailer.jp/info/de.cgi?id=103）の報告、システムのアップデートがアナウンスされておりました。弊社にてメールマガジン配信システムのアップデートを怠り、さらに未使用状態で配信システムを保存しておいたことにより、不正アクセスを招く結果となりました。

5)再発防止への取り組み

上記の発生原因を踏まえ、弊社において以下の通り再発防止策を実施します。

1. 外部開発によるシステムの使用については、クライアント様へ運用に問題がないかを定期的に確認いたします。
2. 外部開発によるシステムを使用する場合は、開発会社からの情報提供を定期的に確認し最新の状態保持に努めます。
3. 外部開発システムに関わらず、Webサーバー内における個人情報・公的情報・企業情報の取り扱いにおいては、最新のセキュリティ対策を講じ、定期的にバックアップ、更新等の作業をおこないます。

あわせて、弊社が受託運用中の他のWebサイトの同様の事案がないかを確認し、問題がある場合には適切に対応いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-489】ミニストップ株式会社 「ミニストップオンライン」における個人情報漏洩に関するお詫び

平素よりミニストップをご愛顧受け賜りまして、誠にありがとうございます。

このたび、当社ＥＣサイト「ミニストップオンライン」におきまして、個人情報漏洩が発生いたしました。発生内容については、下記の通りとなります。

〈発生事実〉

日時 ：１２月１９日 １１時３０分～１８時３０分

事象 ：

ご自身の購買履歴を他のお客さまがログイン後閲覧できる状態およびご自身がマイページにログイン後、他のお客さまの注文履歴が閲覧できる状態

当該情報：

購入商品、お名前、住所、電話番号、メールアドレス、クレジットカード下３桁

対象者 ：

ご自身の情報について他のお客さまが閲覧できる状態 １０名

他のお客さまの情報が閲覧できる状態 １１名

上記事象が重複している状態 ９名

個人情報漏洩の範囲： １名

※他のお客さまの情報を閲覧できる状態の方のログイン情報を確認した結果

原因 ：

店頭受取商品の受注確定時におけるデータ加工ミス。

上記発生確認以降、ＥＣサイトを即時閉鎖し対応しておりました。特定した対象者３０名のお客さまには１２月１９日、２０日に個別に電子メールにてお詫びとお知らせをご連絡しております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客さまにおかれましては、多大なるご迷惑、ご心配をおかけする事態となりましたことを重ねて深くお詫びを申し上げます。

現在、該当事象の復旧作業も完了したため、一部のページの公開を再開させていただきます。再開ページについては、お客さまのマイページのみとなります。商品の購入については、恒久的なシステム対応が完了したのち再開させていただきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-488】国立大学法人大阪大学 不正アクセスによる収集データの漏えいについて

本年10月28日に本学が管理するシステムが不正にアクセスされ、一部のファイルが暗号化

されたことが、11月1日に判明いたしました。

判明後、直ちに同システム内にあるファイルは全て同システム外のネットワークから隔離

された安全な場所へ移動いたしましたが、調査の結果、当該不正アクセスにより閲覧できる

範囲に以下のデータが保存されておりましたのでご報告いたします。

・ニフレルのニフレルメイクス（2021年11月18-30日9:30-19:00）、Expocityの光の広場

 （2023年7月8日11:00-17:00）及びATCのセントラルアトリウム周辺（2023年7月5-20日11:00-17:00）

 で行われた当研究科所属の研究室における対話ロボットの効果の検証を目的としたイベント

 でフィールド実験を行った際に収集した顔写真（単にイベント場所の近くを通行されたのみ

 である不特定多数の方が写り込んでいる可能性があるものを含む。）　

・ロボットのCGを利用したオンライン会議実験で記録した動画（被漏えい者については全員が

 特定できたことから、当該人には個別に謝罪・報告済み）

本写真、動画だけでは個人を特定することは難しく、また、データ内容も要配慮個人情報や

財産的被害のおそれがある情報が含まれているものではないため、悪用の可能性は低いと

考えられますが、公開をご了承いただいていないものも含まれるため、今回事実を公開するに

至ったものです。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-487】IT導入補助金事業 事務局における個人情報を含むIT導入支援事業者情報の流出についてのお詫びとご報告

今般、TOPPAN株式会社が2023年8月1日より事務局として運営しております令和4年度第二次補正予算「サービス等生産性向上IT導入支援事業費補助金」（IT導入補助金2023後期事務局）におきまして、個人情報を含むIT導入支援事業者情報およびITツール情報等の本事業への登録情報が、外部からの操作で閲覧・取得されたことが判明いたしました。

本件につきまして、関係者の皆さまに多大なるご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

なお現在はシステムを改修し、個人情報の閲覧・取得はできないようになっております。

■発生した事象の概要

「サービス等生産性向上IT導入支援事業費補助金」（IT導入補助金2023後期事務局）ホームページにおいて、ホームページ上で公開されていない個人情報を含むIT導入支援事業者情報およびITツール情報を外部からの操作により閲覧・取得されました。事務局としましては、本状態を認識できておらず、外部からの指摘によりこの度の事象が判明しました。

■発生原因

「サービス等生産性向上IT導入支援事業費補助金」（IT導入補助金2023後期事務局）ホームページで使用されるプログラムの設計不備により、IT導入支援事業者情報およびITツール情報を外部から閲覧・取得可能な状態にあったため。

■発生期間

2023年8月1日～2023年12月12日 1時35分

■閲覧・取得された可能性のある個人情報数

38,269人分

■閲覧・取得された可能性のある 情報項目

①IT導入支援事業者の一部個人情報を含む、事業者の皆様に入力いただいた登録情報

※該当する個人情報の項目：役員氏名、担当者氏名、担当者メールアドレス

②ITツールの価格や一部個人情報を含む、事業者の皆様に入力いただいた登録情報

※該当する個人情報の項目：

・ITツール登録担当者氏名、メールアドレス

・実施者/販売者 氏名、メールアドレス

■二次被害について

現在、個人情報を含む事業者情報およびツール情報を利用した二次被害の報告は受けておりませんが、引き続き影響調査を進め、必要が生じた場合は速やかに対応してまいります。

■今後の対応と再発防止策について

既に、対象者の方々には個別にメールにてご連絡をさせていただいております。また、当該プログラムについては、厳重に総点検及び改修を実施し、現在は当該データの閲覧・取得ができないことを確認しております。

今後は、システム設計段階におけるセキュリティ機能の検証を強化し、再発防止を図ってまいります。

今後とも「サービス等生産性向上IT導入支援事業費補助金」へのご理解とご協力の程、何卒よろしくお願い申し上げます。

改めまして、この度の事象におきまして皆様にご迷惑をおかけしましたこと、謹んでお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-486】株式会社ヴィセント 弊社元社員の報道について

7/6より一部報道されておりますとおり、弊社元社員が在職中から退職後までの数か月もの期間に、数十回における社内サーバー等に不正アクセスし、弊社従業員のPWをのっとるなどでの業務を妨害した容疑で今回逮捕されております。現時点で弊社が把握している限り、お客様およびお取引先様の個人情報を含め、保管データの外部流出は確認されておりません。

弊社は、今般の事態を踏まえ、情報管理体制の一層の強化およびコンプライアンス教育の徹底を図り、企業理念に沿ったマネジメントを推進することで再発防止に努めてまいります。

今後、弊社から公表すべき事柄が発生した場合には、速やかに開示いたします。

リリース文（アーカイブ）

関連：内部関係者による海外VPNサービスを悪用した不正アクセスについてまとめてみた

関連：【速報】株式会社ヴィセントのシステムエンジニアさん、逮捕される

【セキュリティ事件簿#2023-485】ＡＧＣ株式会社 当社米国子会社への不正アクセスに伴うシステム障害について

当社は、日本時間 2023 年 12 月 15 日、当社子会社である AGC Automotive Americas 社（本社：米国ミシガン州）において、社内サーバーが第三者による不正アクセスを受けたことを確認しました。

詳細は調査中ですが、現時点で判明している内容を以下お知らせします。

１．発生事象

主に自動車用ガラスを生産する AGC Automotive Americas 社のシステムに対して、外部から不正なアクセスが行われ、現在、同社の一部のシステムに障害が発生し、生産および出荷に影響が出ています。

２．現時点で確認している被害内容

原因および被害の詳細については、現在調査を進めています。

３．今後の対応

今後、被害状況および影響範囲が判明次第、改めてお知らせします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-484】国連UNHCR協会公式Instagramアカウントについてのお詫びとご報告

2023年12月16日 夕刻、当協会Instagramアカウント(@japanforunhcr)が、第三者により乗っ取られていたことが判明いたしました。 以下に、発生した事象と対処についてご報告申し上げます。

発生した事象について

当協会Instagramアカウント(@japanforunhcr)におきまして悪意ある第三者による乗っ取りが発覚いたしました。

本日以降、当協会からインスタグラムを使用して投稿することやダイレクトメッセージをお送りすることはございません。 万が一ダイレクトメッセージ等、当協会を装った連絡や誘導を装うURLがあった場合には開かないようお願いいたします。 また開いてしまった場合にはスパムの恐れがございますため内容に従わないよう、ご注意くださいませ。

インスタグラムにつきましては、乗っ取られた旨の報告と解決のリクエストを運営会社に現在依頼中でございます。最新状況につきましては随時こちらのページにて公開してまいります。

対処について

2023年12月16日現在、当協会が管理している他のソーシャルメディアアカウント(Twitter,Facebook,LINE,YouTube)については、本件の影響がないことを確認いたしました。

▼国連UNHCR協会ソーシャルメディアアカウント一覧

X

https://twitter.com/japanforunhcr

Facebook

https://www.facebook.com/japanforunhcr

LINE

https://page.line.me/unhcr.jp

YouTube

https://www.youtube.com/user/JapanforUNHCR/

現在、今後の再発防止のため、原因の調査および、各ソーシャルメディアアカウントの運用ポリシーの精査を行っております。 本件についてご不明な点がございましたら お問い合わせフォームよりご連絡ください。

ご支援者さまにご迷惑とご心配をお掛けいたしましたこと、心よりお詫び申し上げます。今後、ご支援者さまの信頼回復に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-483】三愛病院 個人情報漏洩疑いの報告

１０月２４日に病院外において、当院の職員がサポート詐欺によってパソコンを遠隔操作される事態が発生しました。

今回の遠隔操作は金銭目的であり、個人情報の漏洩がどの程度であったかについては現在調査中ですが、このパソコンには７～１０年以上前の研究目的の学会発表資料やレントゲン写真等のデータが保存されており、要配慮個人情報（診療内容等）の漏洩に該当する可能性があるため、国の機関である個人情報保護委員会へ報告を行いました。

また、現時点、特定できておりませんが、このパソコンには個人の連絡先の情報は含まれていなかった可能性があり、被害等の報告も受けておりません。

この度の事態を厳粛に受け止め、下記再発防止に取り組んでまいります。

【再発防止に向けた今後の取り組み】

(1) 個人情報が保存された電子媒体の管理の強化・徹底

(2) 個人情報の漏洩リスクと対策を題材に、埼玉県警サイバー対策課による研修会の実施

患者さま、関係する皆さまへは多大なるご心配、ご迷惑をお掛けいたすこととなり、誠に申し訳ございません。深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-482】京都大学高等研究院 メールアカウント搾取によるメールアドレスの情報漏えいについて

令和５年１１月１９日京都大学高等研究院に在籍する者がメールアカウント情報を搾取され、１１月２０日フィッシングサイトに誘導するURLが記載された同アカウントを送信元とするフィッシングメールが大量に送信されました。

本学のメールアドレス（～@st.kyoto-u.ac.jp）から届きました不信なメールにつきましては、添付ファイル並びにメール内に記載のwebページ等を開かないようお願いいたします。

すでに、当該メールアカウントは凍結されており、メールの不正送信は停止しております。

不審なメールを受け取った皆様には、多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。

本院としては、この事態を重く受け止め、全構成員に対して改めてフィッシングメール等に関する注意喚起を行い、再発防止の措置を講じていく所存です。

●送信されたフィッシングメールの内容

　件名：Re:メールボックスの更新

　本文：京都大学メールボックスメンテナンス

　　　　ここをクリック　京都大学のメールアドレスを更新できるようにするため

　　　　または、このリンクをコピーします：(誘導先URL)

　　　　ありがとう

　　　　京都大学管理者

リリース文（アーカイブ）

2023年のフライト実績

 

2024年に入ったが、初フライトまでに前年実績を整理しておきたい。

2023年の実績

• フライト数：20（内エコノミー12、ビジネス8）
• 総フライト距離：40,956km（25,449マイル）
• 総フライト時間：63時間10分
• 多く使った空港ベスト3
1. 羽田空港
2. タイ・バンコクスワンナプーム国際空港、セントレア、成田空港
3. 関西国際空港

• 多く利用した航空会社ベスト3
1. 日本航空
2. ベトナム航空
3. マレーシア航空
• 最も多く飛行機に乗った月：8月

• 多く飛行機に乗った曜日：木曜日

myflightradar24はこういった統計が取れるから面白い。

2024年はヨーロッパ遠征（リトアニア、etc）や、ブルネイ初上陸を予定している。

今年もいろいろな刺激を受けつつ、気付きを積極的に発信していきたい。

そんな感じで今年もよろしく！

【セキュリティ事件簿#2023-481】射水市民病院 患者情報を記録したＵＳＢメモリーの紛失について

この度、当院職員が患者さまの個人情報の一部が記録されたＵＳＢメモリーを院内で紛失する事案が発生しました。

多くの患者さまの情報を扱う病院として、患者さまご本人やご家族、関係者の皆様に多大なご迷惑をおかけしておりますことを深くお詫び申し上げます。

なお、当該ＵＳＢメモリーは現時点では発見できていませんが、紛失の経緯から病院外への個人情報の流出の可能性は低いと考えており、現在まで個人情報の漏えいなどの事実は報告されていません。

本件を重く受け止め、再発防止に取り組むとともに、個人情報の管理と保護の徹底に努めてまいります。

１　経緯について

11月30日（木）、11月21日（火）に業務で使用した当該ＵＳＢメモリーを紛失していることに気づき、病院内を捜索したが発見できなかった。

12月6日（水）、当該ＵＳＢメモリーに要配慮個人情報が保存されていたことが判明したため、改めて病院内を捜索したが発見できず、12月8日（金）に個人情報保護委員会に報告した。

２　対象となる患者さまについて

令和3年5月から令和5年１０月までに医療相談を行った患者さま

３　紛失したＵＳＢメモリーの内容について

医療相談一覧表　患者氏名、年齢、病名（入院患者のみ）、住所（市町村名のみ）

　　　　　　　　　　※生年月日、電話番号、相談内容は含んでいません。

４　今後の対応と再発防止に向けた取組について

　・対象となる患者さまにお詫びの手紙を送付しました。

　・当該ＵＳＢメモリーの捜索に尽力します。

　・全職員に対して、改めて個人情報保護の適正な管理方法について周知徹底を図ります。

　・情報セキュリティ研修を再度実施します。

　・ＵＳＢメモリーを含む記録媒体等の管理を徹底します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-480】株式会社おお蔵ホールディングス 弊社グループ会社OKURAの Instagram公式アカウントに関するお詫びとご報告

弊社グループ会社、株式会社OKURAのInstagram公式アカウント（@okura_tokyo_official）が第三者からの不正アクセスにより乗っ取られる事案が発生いたしました。

2023年12月1日以降、弊社が当該アカウントを使用して投稿やダイレクトメッセージをお送りすることはございません。 万が一、OKURAをかたった連絡や操作を促すURLやリンクを受信した場合には、開かずそのまま破棄いただくようお願いいたします。

また、プロフィール上に記載されている以下のTelegram、WhatsApp、Mailは、当社とは無関係のものでありますので、ご注意いただき連絡を行わないようお願いいたします。

——————————————-

Telegram : kingwho

WhatsApp : +447448294205

Mail : aasarsilmaz@gmail.com 

——————————————-

今後、新たにお知らせするべき内容が判明した場合、速やかに情報を開示いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-479】京都教育大学附属桃山中学校 サポート詐欺による公用パソコン遠隔操作被害について

京都教育大学附属桃山中学校の公用パソコン１台が、いわゆる「サポート詐欺」による遠隔操作を受け、個人情報を含むファイル等が流出する危機にさらされる事案が発生しました。京都教育大学 CSIRT(セキュリティインシデント対応チーム)による通信ログの解析の結果、ファイル等の流出はありませんでした。

今後、改めて全教職員を対象に情報セキュリティ研修を実施し、このような事態が発生しないよう情報の適正な管理を徹底し、再発防止に努めてまいります。関係する皆様に深くお詫び申し上げます。

１ 概要

令和５年１０月２９日（日）、本校教諭が教材研究のために公用パソコンでネット検索をしていたところ、トロイの木馬への感染を示す警告画面とサポートセンターと称す連絡先が表示された。当該教諭個人の携帯電話でパソコンの画面に示された電話番号へ電話をし、指示に従ったところ、パソコンの遠隔操作が行われた。

京都教育大学 CSIRT による通信ログの解析によると、当該パソコンからファイル等が流出した記録はなく、ファイル等の送信の動作も行われていなかったことが確認された。また、本事案により情報が流出した事実はなかったが、流出が起こり得る状況にあったことが判明した。

２ 事実経過

１０月２９日（日） 

事案発生、管理職へ報告、管理職・職員による当該パソコンのネットワーク接続遮断

１０月３０日（月） 

京都教育大学 CSIRT による調査開始

１１月 ９日（木） 

調査結果としてファイル等の流出がなかったこと、他のパソコン及びサーバーへのアクセスはなかったことを確認

３ 今後の再発防止対策

・本校を含む京都教育大学全教職員を対象とした、大学による情報セキュリティ研修の実施

・情報の適正な管理の徹底

・情報管理に関するマニュアル等の再点検・見直し

リリース文（アーカイブ）