マリオットのポイント購入ボーナスセール（～2024年3月31日）

マリオットがポイント購入のボーナスを発表。2023年10月1日から12月31日の間にマリオット系列での滞在実績がある会員は40％ボーナス、その他の会員は35％のボーナスを獲得できる。

自分はマリオットポイントはJALマイルの間接購入手段と割り切っているため、宿泊実績は無いため35%ボーナス。

このボーナスは2,000ポイント以上の購入に適用され、2024年3月31日まで利用できる。

過去には、パンデミック（武漢ウイルス流行）時にこのボーナスが60％まで上昇したこともあったが、今回もそうなるかどうかはわからない。

感覚的に60%は無いだろう。50%ボーナスが最大だろうから、その時は全力で購入するとして、その他のボーナス時は少しずつ購入をしていく。

以前は為替の関係で購入をためらうシーンが多かったが、住信SBIネット銀行の外貨自動積立で毎月ドルを積み立て、積み立てたドルはJALペイに移して決済するという解決策を思いついた。

これでドルコスト平均法でドルを買い、ドルのまま決済できるので為替を気にする必要がなくなる。

とりあえず今回は50ドル分買ってみる。

マリオットポイントは毎年6万ポイント分購入（=25,000JALマイル）する方針。

あと、マリオットポイント購入時はTopCashback経由で購入するとキャッシュバックをゲットできるのでオススメ

出典：Buy Marriott Bonvoy points with up to a 40% bonus

【セキュリティ事件簿#2024-023】ディップ株式会社 求人掲載企業の管理画面への不正ログインに関するお詫びとお知らせ

当社が運営する求人情報サイト「バイトル」に掲載している株式会社サンライズワークス（以下、当該掲載企業）の応募者情報管理画面への不正ログインが発生し、不正ログインを行った第三者（以下、当該第三者）により当該掲載企業への応募者のうち20名の応募情報の一部と、不正ログインに使用したIDおよびパスワードが外部へメール送信されたことが判明いたしました。そのため、当該掲載企業への応募者の方は、当該第三者および送信されたIDおよびパスワードを用いてアクセスした者に、応募情報を閲覧された可能性があります。

関係者の皆様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

現在、鋭意調査を続けておりますが、現時点で判明している事実および本件への対応について以下のとおりご報告いたします。

■概要

当社が運営する求人情報サイト「バイトル」において、当該掲載企業のIDおよびパスワードを取得した第三者が、応募者を管理する管理画面に不正にログインし、当該掲載企業への応募者のうち20名の応募者情報の一部と、不正ログインに使用したIDおよびパスワードを、ご本人を含む応募者に対し、当該管理画面のメール送信機能を利用して送信しました。そのため、当該第三者および送信されたIDおよびパスワードを用いてアクセスした者は、当該掲載企業への応募者の方のうち1,296名の方の応募情報を閲覧した可能性があります。

当社は、メールを受信した応募者様からの問い合わせにより事象を確認し、本IDの停止処理および求人掲載を取り下げて被害拡大を防止するとともに、不正ログインの被害にあった当該掲載企業と協力して、調査を実施しております。また、調査の結果、閲覧された可能性がある応募者の方々を特定し、お詫びとご連絡を2024年1月31日（水）に完了したことをお知らせいたします。 送信された個人情報および 閲覧された可能性のある個人情報は以下の通りであり、クレジットカード情報等は含まれておりません。

なお、当社システムにおいては、掲載企業の皆様の管理画面へのログインパスワードは暗号化されて保管されており、当社のエンジニアを含めて閲覧および解読ができない仕様になっております。本事象を受けて当社システムのセキュリティ調査を改めて行っており、現時点では、当該掲載企業以外のID・パスワードが不正に利用された事実は確認されておりません。

■応募情報が送信された応募者

20名（2023年1月～7月に当該掲載企業に応募した応募者の一部）

・該当する個人情報の項目

　氏名、年齢、性別、メールアドレス、電話番号、現在の職業

■応募情報を閲覧された可能性がある応募者

1,296名（2023年1月～10月に当該掲載企業に応募した応募者の一部）

・該当する個人情報の項目（当社が実際に取得している項目は応募者によって異なるため、1名以上の応募者から取得している項目を挙げています。）

　氏名（よみがなを含む）、年齢、生年月日、性別、メールアドレス、電話番号、現在の職業、お住まいの都道府県・市区町村、学歴・職歴、運転免許の有無・パソコンスキルに関する情報、自己PR、連絡可能な日時、応募日時、応募した案件の情報

■本件への対応

当社の対応

• 本アカウントの停止
• 該当される方へのお詫びとお知らせ
• 当該情報を送信された方への応募情報が記載されたメール削除のお願い
• 本事象に関するログ・セキュリティ調査の実施
• 当該掲載企業の管理画面に不正ログインした第三者に関する調査の実施
• 個人情報保護委員会への報告
• 麻布警察署への報告および協力

引き続き、不正ログインの被害を受けた当該掲載企業とともに、関係各機関と連携し、事実の確認および適切な対応に務めております。応募情報を閲覧された可能性がある応募者の方のうち、当社がメールで連絡可能な方には、お詫びのメールにてお知らせしておりますが、ご懸念がある応募者の方は、お問い合わせ先までご連絡をお願いいたします。

この度は皆様に多大なご迷惑ご心配をお掛けしますこと、改めて深くお詫び申し上げます。

リリース文（アーカイブ）

Kivaローンで社会貢献しながらマイルをゲットできるか検証（2024年2月号）※2か月目

今月も2件の新規融資を実行。

先月は30USDずつ投資したが、今回は25USDしか選択できず、そのまま25USDで2件投資。

既存案件からはまだ返済が無い状態。

来月辺りから変化が出てくるだろうか？

■融資条件

・LOAN LENGTH：8 mths or less

・RISK RATING：4-5

・DEFAULT RATE：～1%

・PROFITABILITY：4%～

■新規融資案件 

融資No：2716127号（https://www.kiva.org/lend/2716127）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：0%

融資No：2718123号（https://www.kiva.org/lend/2718123）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：0%

■融資済み案件

融資No：2705613号（https://www.kiva.org/lend/2705613）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：0%

融資No：2707642号（https://www.kiva.org/lend/2707642）

• 融資国：ニカラグア
• Lending partner：FUNDENUSE
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：0%

【セキュリティ事件簿#2024-023】サンライズワークス 不正ログインによる個人情報漏洩のお知らせとお詫び

弊社が求人情報を掲載しておりますディップ株式会社（以下、ディップ社）の運営にかかる求人情報サイト「バイトル」において、弊社の応募者情報管理画面（以下、本件管理画面）への不正ログインが行われ、2023年1月から同年11月に「バイトル」を利用して弊社にご応募いただいた方（以下、応募者様）のうち20名の応募情報の一部と上記不正ログインに使用されたID・パスワードが記載されたメール（以下、本件メール）が、本件管理画面のメール送信機能を利用して、外部へ送信された事実が判明いたしました。

そのため、本件管理画面に保存されていた応募者様1296名分の応募情報が、不正ログインを行った第三者及び本件メールに記載されたID・パスワードを用いてアクセスした者に閲覧された可能性があります。

なお、送信された個人情報および 閲覧された可能性のある個人情報は後記の通りであり、クレジットカード情報は含まれておりません。

また、現時点で、不正ログインに使用されたID・パスワードが弊社内部から漏洩した事実は確認されておりません。

　

関係者の皆様には、多大なるご迷惑とご心配をおかけし、深くお詫び申し上げます。

弊社は、本件メールが送信された事実の発覚後、ディップ社と協力して調査を行って参りましたが、引き続き、責任を持って本件に対応して参ります。

現時点で判明している事実経過及び当社の対応については、以下のとおりです。

2023/12/30	・本件メールが一部の応募者様宛に送信される。続いてサイバー攻撃を受けている旨の不審なメールが一部の応募者様宛に送信される。
2024/1/5～	・ディップ社側から連絡を受け、弊社が本件メール送信の事実を把握。 ※なお、この間にサイバー攻撃を受けている、不審なメールを受信した等のお問い合わせをいただきましたが、 弊社には本件メールについてのお問い合わせがなく本件メール送信の事実が把握できませんでした。 ・管理画面の停止および求人掲載取り下げのうえディップ社と協力して調査を開始（現在も継続中）、 応募者様宛の連絡等についても同社と協議のうえ対応。

<送信された個人情報及び閲覧された可能性のある個人情報>

（１） 応募情報がメール送信された応募者様　

20名（2023年1月～7月に当該掲載企業に応募した応募者の一部）

氏名、年齢、性別、メールアドレス、電話番号、現在の職業

（２） 応募情報が閲覧された可能性がある応募者様　

1296名（2023年1月～10月に当該掲載企業に応募した応募者の一部）

氏名（よみがなを含む）、年齢、生年月日、性別、メールアドレス、電話番号、現在の職業、お住まいの都道府県・市区町村、学歴・職歴、運転免許の有無・パソコンスキルに関する情報、自己PR、連絡可能な日時、応募日時、応募した案件の情報

※実際に取得している項目は応募者様によって異なるため、1名以上の応募者様から取得している項目を全て挙げています。

<本件への対応>

・求人掲載の停止

・ディップ社に対し、不正ログインが行われたアカウントの停止等の対応状況を確認のうえ、ログ等の調査を依頼

・ディップ社と対応を協議のうえ、応募者様への上記お知らせ等や関係機関への報告をディップ社において実施していただく

・社内PCのログイン履歴、利用状況、ID及びパスワードの管理状況等を確認のうえ、ディップ社から提供されたログ等の情報と照合し本件管理画面に

　不正ログインした第三者に関する調査を実施

・社内PCのウイルススキャンの実施

・マルウェアEmotetの感染チェックの実施

・本件管理画面のID及びパスワードの変更、ID及びパスワードの管理体制の強化　　　

現時点で把握している事実経過及び対応は上記のとおりですが、引き続き、ディップ社と協力して調査を継続し、適切に対応して参ります。この度は、応募者様及び関係者の皆様に多大なご迷惑ご心配をお掛けしますことを深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-022】株式会社ファインエイド 不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が運営する「健康いきいきライフスタイル」のウェブサイト（以下「弊社サイト」といいます。）におきまして、第三者による不正アクセスを受け、当サイトをご利用いただいた一部のお客様の個人情報（5,193名分）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

個人情報が漏洩した可能性のあるお客様には、本日より、電子メール又は書面にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年12月11日、一部のクレジットカード会社から、弊社サイトを利用したお客様の個人情報の漏洩懸念について連絡を受け、2023年12月12日、弊社サイトでのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年12月26日、調査機関による調査が完了し、2021年1月5日から2023年11月15日までの期間に弊社サイトを利用いただいた一部のお客様の個人情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。 

2.個人情報漏洩状況 

(1)原因

弊社サイトのシステムの一部の脆弱性を悪用したクロスサイトスクリプティングの手法による第三者の不正アクセスにより、サーバ内に、クレジットカード決済実行時に処理される個人情報を取得するためのアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

個人情報漏洩の可能性がある期間は、2021年1月5日～2023年11月15日であり、漏洩の可能性がある対象者は、弊社サイト（「健康いきいきライフスタイル」）をご利用されたお客様5,193名です。漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

・氏名

・住所

・メールアドレス

・電話番号

・FAX番号

・注文履歴

・生年月日

・性別

上記に該当する5,193名のお客様については、別途、電子メール又は書面にて　個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカード情報による取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、クレジットカード情報の漏洩の可能性があるお客様につきましては、クレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年12月11日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知を行うべきと判断し、また、初期の調査からさらなる漏洩のおそれは小さいと判断されたことから、調査会社から調査結果を受領し、カード会社その他関係機関との連携を十分に行ってから公表することにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について 

弊社サイトは、2023年11月15日、従前の脆弱性を克服し、十分なセキュリティ対策および監視体制を備えた新環境へ移行しておりますが、本事案を受けてカード利用は現在も停止中です。もっとも、このたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制のさらなる強化を検討し、再発防止を図ってまいります。

弊社が運営する「健康いきいきライフスタイル」の再開日につきましては、決定次第、改めて弊社のWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年12月12日に報告済みであり、また、所轄警察署にも2023年12月12日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-021】日東製網株式会社 第三者によるランサムウェア感染被害のお知らせ

このたび、当社のサーバーが第三者による不正アクセスを受け、ランサムウェア感染被害を受けましたので、お知らせいたします。

本件につきましては、既に対策本部を設置のうえ、外部専門家の助言を受けながら、原因特定、被害情報の確認、情報流出の有無などの調査を行い、復旧への対応を進めており、警察への相談をしております。引き続き、外部専門家等と連携のうえ、対応を進めていく方針です。

被害の全容を把握するには今しばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。

お取引様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

１．経緯

１月 16 日(火)午前８時頃に外部から不正アクセスを受けサーバーに保存している各種ファイルが暗号化されていること等を同日確認しました。

発覚時より直ちに、外部専門家と共に状況調査を行い、ランサムウェアの感染拡大を防ぐための必要な対応を行いました。

１月 17 日(水)に全社対策本部を設置し、情報共有すると共に、復旧に向けての対応を進めております。また、警察への相談しました。

２．被害を受けた情報

サーバーに保存していた各種業務データ、業務用ソフトウエアが暗号化されアクセス不能な状況となっております。なお、情報流出につきましては現在調査中です。

３．今後の対応

外部専門家及びシステム関係機関等と連携のうえ、早期復旧に向け作業を進めると共に、通常の業務遂行が可能となるよう対応を進めております。皆様へのご迷惑を最小限に止めるべく取組んでまいります。

なお、本件による当社グル－プの業績への影響については現在精査中であり、開示が必要な場合は速やかに公表いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスへの対応に関して

 

昨年、当社春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことに関して、以下の通り続報致します。

本件につきましては、速やかに対策本部を設置のうえ、外部専門家による原因の特定、被害状況の確認、情報流出の有無などの調査を行いました。

その結果、業務に使用していない PC にインストールされていたリモートデスクトップツールを通じた不正アクセスがあり、春日井工場のデータの一部がロックされましたが、バックアップ・データにより復旧できております。他のデバイスについてはこれまでに実施してきたセキュリティー強化の効果もあって影響を受けなかったものと判断しております。

今後は、導入済みのセキュリティーツールの運用強化も含め、適時、外部専門家のアドバイスを受けるなど、セキュリティー対策の拡充に努めて参ります。

改めまして、この度の件でご心配をお掛けしましたことを、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-508】大東市立生涯学習センター アクロス 当センターメールアカウントへの不正アクセスのお詫びとご報告

 

2023年12月13日、当センターのメールアカウント(info@daito-across.jp)が第三者による不正アクセス攻撃をうける事象が発生し、調査・対応しましたのでお知らせします。

不正アクセスに伴って、当センターを装った「なりすましメール」が不正に発信されているという事実を確認いたしました。

本件に関しまして、再発防止に向けた対策を実施してまいります。関係者の皆様には、多大なるご迷惑およびご心配をおかけしますことを深くお詫びいたします。

経緯及び対応2023年12月13日1時頃、当センターを装った「なりすましメール」が大量に配信されていることを検知、アカウントを一時凍結しました。

これを受けて調査した結果、当センターのメールアカウントに対して不正アクセスが行われていることが判明しました。

不正アクセスされていたメールアカウントのパスワードについては12月13日に変更を行いました。

影響範囲および今後の対応daito-across.jpドメインをつかった複数の不正メールが送信された事象を確認しています。

また上記アカウントのメールボックス内の情報がダウンロードされた痕跡はいまのところ確認されておりませんが、メールボックス内の情報にアクセスできた可能性がございます。

当センターとしては、本件について引き続き調査を進めるとともに、調査結果を踏まえ、セキュリティ強化策を実施し、今後は更に不正アクセスを防止するための再発防止策を講じてまいります。今後、新たにお知らせすべき内容が判明した場合、速やかに情報を開示いたします。

当センターを装った不審メールにつきまして万一、当センターのメールを装った不審なメールが届いておりましたら、本文中に記載されているURLをクリックしたり、添付されているファイル等を開封したりせず、メールごと削除していただきますようお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-507】北海道銀行 個人情報漏えいに関するお詫びとご報告

この度、北海道銀行（以下、当行）におきまして、下記の個人情報漏えいが発生しました。

お客さまにおかれましては、多大なるご迷惑とご心配をおかけする事態になりましたことを心よりお詫び申し上げます。

お客さま情報の厳重な管理を求められる金融機関といたしまして、今回の事態を重く受け止め、情報管理につきましては、役職員に対し教育を徹底し再発防止に努めてまいります。

 １．事案の概要

2023 年 12 月 18 日 10 時 50 分頃、毎月データを送信している相手先に対して、本来お渡しすべきデータの他、誤ってお渡しすべきでない個人情報が記載されたファイルを電子メールに添付して送信しました。

同日 11 時頃、当行側で誤ったファイルを添付したことに気づき、直ちに相手先を訪問し当日中にデータを削除していただいたことを確認しており、二次流出の懸念はないものと認識しております。

２．漏えいした個人情報

（１）2023 年 12 月 1 日から 2023 年 12 月 15 日までの期間において、「ほくほくPay」の決済口座を当行に登録されているご利用者のカタカナ氏名・ご利用金額・ご利用日時等（210 名）。

（２）2023 年 12 月 1 日から 2023 年 12 月 15 日までの期間において、「ほくほくPay」が利用された店舗（加盟店）運営者である個人事業主の漢字氏名（2 名）。

※氏名以外の個人を識別できる情報（住所、電話番号、口座番号、預金残高等）は含まれておりません。

３．発生原因

当行では電子メール送信の際は、担当者・検証者による 2 名での手続きを経て送信を行っておりますが、担当者・検証者ともに添付ファイルの内容確認を十分に行わなかったことが原因です。

４．再発防止策

役職員に対し個人情報の重要性と厳格な管理を改めて周知し、電子メールの運用ルールを徹底させ再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-020】オープンワーク株式会社 個人情報漏えいに関するお詫びとご報告

この度の「令和六年能登半島地震」によって、お亡くなりになられた方々のご冥福を心よりお祈り申し上げますとともに、被害にあわれた方々にお見舞い申し上げます。被災された地域の皆様の安全と、一日も早い復興をお祈り申し上げます。

当社が運営する転職・就職のための情報プラットフォーム「OpenWork」上で収集した個人情報について、弊社から配信するメールの設定不備により、一部ユーザー様の個人情報漏えいが起きていることが発覚いたしましたのでご報告いたします。

2024 年 1 月 22 日から 1 月 24 日にかけて弊社から配信した一部のメールについて、ユーザー様の「氏名」および「求人の閲覧履歴（最大で直近 5 件分）」が他のユーザー様に誤って送信されておりました。

本件発覚後、すみやかに該当メールの配信を停止しております。

本件の対象となるユーザー様には順次、ご連絡いたします。ユーザーの皆様および関係各位の皆様に多大なご迷惑とご心配をおかけしていることを、ここに深くお詫び申し上げます。

本件に関する概要と対応について、下記の通りご報告いたします。

1．概要および当社の対応について

2024 年 1 月 22 日に一部ユーザー様向けメールの設定を変更し、メールを配信いたしました。1 月 24 日に誤送信に関する問い合わせがあり、社内の調査によって、ユーザー様の個人情報が他のユーザー様に誤って送信されていることを確認し、同日、13 時 10 分に該当メールの配信を停止しております。

2．メール誤送信の詳細

■事象：

以下の期間に OpenWork から配信した一部のメールにおいて、ユーザー様（A）の「氏名」および「求人の閲覧履歴（最大で直近 5 件分）」を他のユーザー様（B）に送信しておりました。

■対象：

A に該当する人数：98 名

B に該当する人数：2,094 名

■期間：

2024 年 1 月 22 日～2024 年 1 月 24 日

3．ユーザーの皆様への対応について

2024 年 1 月 24 日 13 時 10 分に該当のメール配信を停止いたしました。また、本件の対象となるユーザー様には順次、ご連絡させていただきます。

4．再発防止策について

今回の事態を重く受け止め、今後このような事態が発生しないよう、個人情報保護の重要性等についての社内教育を徹底するとともに、個人情報取り扱いフローの見直しなど内部管理体制のより一層の強化とコンプライアンスの徹底に取組んでまいります。なお、本件は個人情報漏えいに該当致しますので、JIPDEC への報告を速やかに行います。

この度は、ユーザーの皆様および関係各位の皆様へ多大なご迷惑をおかけしますこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-019】滋賀レイクス Googleフォーム誤操作による企画申込者の個人情報漏えいについて

1月23日に発信したフードメニューの購入事前予約受付において、WEBフォームの設定ミスにより、申込者22名の個人情報が一時的に他の申込者から閲覧できる状態となっておりました。

対象となった皆様に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

概要

株式会社滋賀レイクスターズでは、1月31日のホームゲームで数量限定で販売予定のフードメニュー「ダンク3兄弟 トマホークステーキ」のオンライン時前予約の受付を、23日午後6時40分頃に一般公開いたしました。

その際、受付に使用したGoogleフォームの設定で「結果の概要を表示する」をONに切り替えた状態で公開しており、申込画面で記入事項を送信した後に画面表示される「前の回答を表示」というボタンを押すと、その時点で申込が完了している方の氏名、メールアドレス、電話番号が閲覧できる状態となっておりました。

弊社の公式WEBサイト問い合わせフォームより本件の指摘があり、事態を認識した弊社スタッフが同日午後10時30分頃に設定切り替えを行いましたが、その時点までに申込をいただいていた22名の個人情報が一時的に申込者から閲覧できる状態でした。

なお、設定切り替え以降は、閲覧可能な状態は解消されております。

弊社対応

24日に、対象となる22名へ電子メールと個別の電話により、事態のご説明とお詫びの連絡を行っております。

また、弊社がGoogleフォームで運用しているWEBフォーム受付を全社的に確認し、同様の誤設定はなかったことを確認しております。

原因 

Googleフォームで申込フォームを作成後、担当者が「結果の概要を表示する」をONにする誤操作を行っておりました。社内では質問項目のダブルチェックを行っておりましたが、デフォルト設定では当該設定はOFFであるため、全設定が正常であるかの確認は十分に行われておりませんでした。

再発防止策

再発防止に向けて、個人情報の収集および管理の際に遵守すべき事項を、改めて全社員に周知徹底してまいります。

また、今後も継続的に個人情報保護および情報セキュリティ教育を徹底し、情報管理への感度の引き上げを図るとともに、全社的な情報管理体制の強化に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-018】ベルサンテグループ ホームページ改ざん被害に伴う復旧 不審メール送信によるメールアドレス流出

平素は格別のお引き立てを賜り、厚く御礼申し上げます。

2023年12月24日に、当社サーバーが、第三者による不正アクセス被害を受けました。

関係者の皆様には深くお詫びを申し上げますとともに、今般、第三者調査機関による調査が完了いたしましたので、弊社ホームページ改ざん被害に伴う復旧及び不審メール送信によるメールア ドレス流出状況の検証結果をご報告いたします。 

なお、既に当社サーバーは復旧しており、現時点では業務への影響がないことを併せてご報告させていただきます。

【弊社ホームページ改ざん被害内容及び復旧について】

2023年 12 月 24 日未明に、何者かにより弊社ホームページが改ざんされたことが判明いたしました。 弊社データは外部業者が保守しているサーバーにて管理しておりましたが、そのサーバー内に侵入及び改ざんされたことが確認されております。 復旧のため、まずは侵入される前のデータの安全確認を行った後に、新たな外部クラウドサーバーにてホームページの運用を2023年 12 月 28日より開始いたしました。 またスタッフ専用サイトにつきましては、より安全確認に時間を要したため、1 月17日に復旧いたしました。

尚、一部データが見れない状況のため、今後修正していきます。

 【不審メール送信によるメールアドレス流出経緯、及び流出状況報告】 

2023年12 月 24 日未明に、弁護士を名乗った送信者より、下記内容のメール送信がなされました。

・ベルサンテ株式会社が業績悪化の為、12 月 24 日付で破産手続きを開始した。 

・今後の対応は破産管財人及び顧問弁護士が行う。 

送信先：弊社派遣スタッフ（過去勤務者を含む）

被害確認後、早急に各サーバーの状況確認を行い、多くの個人情報や顧客情報を管理するサーバーへの被害が無い旨を確認しましたが、 2020 年 7 月 22 日まで使用していたメール送信システム（外部業者が保守しているサーバーにて管理）に何者かが侵入し、そのシステム内よりメールを送信されたことが判明いたしました。 そのシステムでは当時勤務いただいておりましたスタッフの方専用のメール送信用として活用していたシス テムとなります。 そのシステム内には一部のメールアドレスを保存しており、その一部が侵入者に閲覧された可能性 があると確認いたしました。 

改めまして、関係者の皆様には、心よりお詫び申し上げます。

 尚、メールアドレス以外の個人情報については、安全確認がなされたサーバーにて管理しており、そのサーバーへのウィルス感染はもちろん、部外者からの侵入形跡もなく、脆弱性もないことにより、個人を特定する情報（名前、住所、電話番号、マイナンバーなど）は一切外部へ流出していないことが確認されました。 

当社では、不正アクセス防止の措置及びセキュリティ対策について努めて参りましたが、このたびの事態を厳粛に受け止め、今後、個人情報等の保護・対策について徹底して参りたいと存じます。 

皆様には、大変ご心配とご不便をおかけいたしましたが、今後とも何卒よろしくお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-017】プラズマ・核融合学会 個人情報漏えいに関するお知らせとお詫び

このたび、本学会 2002 年当時の会員名簿ファイルが WEB にて検索可能となっていることが判明したため、当該ファイルの削除を行うと共に 2023 年 12 月 8 日に個人情報保護委員会へ報告しました。

2023 年 12 月 5 日に旧会員の方からの指摘があり、調査したところ、当時会員名簿電子化作業を行っていたサーバー機にデータが保存されたままとなっており、2023 年 7 月 29日に機種更新を行った際の設定不備により、2002 年時点での 3,262 名の会員情報 (旧会員を含む) に関して検索可能となっておりました。 会員情報として、 名簿作成当時の会員の氏名、連絡先、学会会員番号、 所属などの情報が含まれておりますが、クレジットカード情報などお金に関わる情報はございません。

本事案判明後、当日中に当該サーバー機をネットから切り離し、 当該ファイルの削除を行うと共に、 検索サイトへのキャッシュの削除依頼などを実施 し、 12 月 27 日までにキャッシュデータが削除されたことを確認しました。

対象となりました会員の皆様には多大なご迷惑をおかけいたしましたこと心からお詫び申し上げます。 本学会では、これまでも個人情報取扱いにあたり、 厳格な取扱いと管理に努めてまいりましたが、このたびの事態を厳斎に受け止め、 再発防止に向けて個人情報管理体制についてあらためて強化改善を図ってまいります。

リリース文（アーカイブ）

パープルチーム向け無料セキュリティ・ツール

セキュリティの世界にはレッドチーム、ブルーチーム、パープルチームという概念が存在する。

レッドチーム:

レッドチームは、攻撃者の役割を担うチームです。彼らは、システムやネットワークに対する潜在的な攻撃手法を模倣し、セキュリティの脆弱性や欠陥を発見するために活動します。レッドチームは、ペネトレーションテストや攻撃シミュレーションなどの手法を使用して、実際の攻撃者が使用するであろう手法を模倣します。

ブルーチーム:

ブルーチームは、防御側の役割を担うチームです。彼らは、システムやネットワークを保護し、攻撃から守るためのセキュリティ対策を実装および維持します。ブルーチームは、脆弱性の管理、侵入検知システムの運用、セキュリティポリシーの策定など、防御的なセキュリティ対策に焦点を当てます。

パープルチーム:

パープルチームは、レッドチームとブルーチームの活動を統合し、相互作用を促進するチームです。彼らは、攻撃側の視点と防御側の視点の両方を理解し、セキュリティ対策の改善や脅威への対応を行います。パープルチームは、レッドチームとブルーチームの間で情報共有や訓練を行い、より効果的なセキュリティ対策を実現します。

今回はパープルチーム向けのセキュリティツールを紹介する。

Defender-Pretender

Windows Defender のエンドポイント検出と対応 (EDR) アーキテクチャを乗っ取るために開発されたオープンソースツール「Defender-Pretender」は、特権を持たないユーザーに Defender の管理データを削除する権限を与えます。

SafeBreachの研究者たちは、Black Hat USAでDefender-Pretenderをデモンストレーションし、このツールを使ってOSやドライバファイルを削除したり、検出と軽減ロジックを改ざんすることでWindows Defenderの動作を変更する方法を示しました。

PyRDP

PyRDP自体は目新しいツールではありませんが、このオープンソースの Remote Desktop Protocol (RDP)傍受ツールの開発者が、過去3年間にわたって取得した膨大なハニーポット研究成果をBlack Hat USAで発表しました。

GoSecureチームは、PyRDPを「Python用のモンスター・イン・ザ・ミドル」ツールおよびライブラリと呼び、RDP接続をリアルタイムまたは事後に監視することができます。このツールはハニーポット研究だけでなく、悪名高いリビング・オフ・ザ・ランド攻撃を仕掛けるためのRDP接続を使った攻撃セキュリティ作業にも幅広い可能性を提供します。

BTD

今後、セキュリティ研究者たちが敵対的なAI攻撃の可能性を探るにつれて、モデル抽出がますます注目されるようになるでしょう。これらの攻撃は、モデルに対する体系的なブラックボックスクエリを行う方法や、モデルについて多少の知識がある場合やそれに関連するアーティファクトにアクセスできるホワイトボックス攻撃などを通して、AI/MLモデルの詳細を盗むことを可能にします。

Black Hat で注目されたユニークなツールの一つが、BTD です。これは、最初の深層ニューラルネットワーク (DNN) 実行ファイルデコンパイラです。このツールは、x86 CPU 上で動作する DNN 実行ファイルを入力とし、完全なモデル仕様を出力することができます。

HARry Parser

HARry Parserは、オープンソースの Python 製 .har ファイル解析ツールです。Web ページ上にどのようなトラッカーが存在するかを詳細に把握することを目的として、Agelius Labs によって開発されました。Black Hat USA では、このツールを使って現在のオンライントラッキングの深淵を解き明かすデモンストレーションが行われました。サーバーサイドトラッキング、コンテンツデリバリーネットワーク (CDN)、デバイスフィンガープリンティングなどの追跡方法に加え、電子メールピクセル、支払い取引データ、アクティビティトラッカーがどのように個人情報漏洩を引き起こす可能性があるかも解説されました。

また、HARry Parserは、ユーザーが望まない情報をオンライン閲覧中に共有することを防ぐための具体的な手段を学ぶのにも役立ちます。

PowerGuest

PowerGuest は攻撃セキュリティ評価ツールであり、Azure AD で限定されたゲストアクセスから、権限のないアクセス、さらに企業の SQL サーバー、SharePoint サイト、KeyVault アクセスなど機密性の高いビジネスデータやシステムへのアクセスに至るまで、アクセス権限をエスカレートすることができます。このツールは、Microsoft のローコード/ノーコードプラットフォームである PowerPlatform を介して共有された資格情報を利用してこれを実現します。

このツールの手法と設計上の弱点は、マイケル・バーギュリー氏によるブリーフィングセッションで詳しく説明されました。また、PowerGuest 自体も別の Black Hat Arsenal セッションで注目され、デモンストレーションが行われました。

出典：10 Free Purple Team Security Tools to Check Out

【セキュリティ事件簿#2024-016】「弥生のかんたん開業届」における個人情報漏えいに関するお詫びとご報告

弥生株式会社は、当社が提供する「弥生のかんたん開業届」サービスにおいて、入力いただいた情報が漏えいした可能性があることを確認いたしました。対象のお客さまをはじめ、関係者の皆さまに多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。なお、事象検知から現時点までにおいて、対象情報が不正利用された事実は確認されておりません。

現在、原因となったシステム不具合は改修を完了しており、以後、同事象は発生しておりません。今回の事象は、対象期間と対象条件(後述)において、「弥生のかんたん開業届」をご利用いただいた方に発生しました。対象数は152 ユーザーです。対象数には、ご自身の情報が他ユーザー1名に閲覧された、もしくはその可能性がある方、他ユーザー1名の情報を閲覧できてしまった、もしくはその可能性がある方が含まれます。

対象のお客さまへは、当社カスタマーセンターから、順次ご連絡を差し上げております。お忙しい中、誠に申し訳ございませんがご対応いただけますようお願い申し上げます。

なお、当事象は不正アクセス等に起因するものではなく、「弥生のかんたん開業届」のシステム不具合により発生しました。また、当社が提供する「弥生シリーズ」をはじめとした業務ソフトウエアおよび各サービスへの影響はございません。

現時点（2024年1月26日(金) 15時）での情報は下記のとおりです。今後も新たな事実が判明した場合は、当お知らせを随時更新し情報発信を行います。

1.事象の概要

(1)発生事象とシステム対応

以下「2」に記載する対象期間かつ対象条件において、「弥生のかんたん開業届」サービス利用者のみがダウンロードできる書類データ(PDF)*にて、入力した本人とは異なる別ユーザーの情報が反映された書類データがダウンロードされ、それを閲覧できた可能性**があることがわかりました。お客さま(以下、A様)からお問い合わせをいただき、当事象を検知しました。その後、調査を行い原因を特定、システム改修は2024年1月15日(月) 16時25分に完了しております。なお、事象検知から現時点までにおいて、対象情報が不正利用された事実は確認されておりません。

*書類データ(PDF)の書類数と情報内容は、お客さまの入力内容によって異なります。詳細は「3」をご確認ください

**「可能性」と記載している理由：調査の結果、対象数のうち、書類データに問題無いユーザーも含まれている可能性があることがわかりました。一方でそれ以上の特定がシステム上、難しいことも判明したため、当お知らせでは「可能性」と記載しております。今回は可能性のある方をすべて対象数とし、対応と公表をすることといたしました

2. 対象のお客さま

(1)対象サービス

「弥生のかんたん開業届」

• 個人事業主が事業を開始する際に必要な書類を作成できる無料のクラウドサービスです。サービスへのログイン後に使用することができます。

(2)対象期間と対象条件

• 2023年2月28日(火)～2024年1月15日(月)
• 「弥生のかんたん開業届」内にある書類データのダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0～2秒以内)で2人同時に*行われた場合

*「2人」のうち、1人は本人(入力した自身)の情報、もう1人は自身が入力したものとは異なる情報が閲覧できる状態であった可能性。また、 3人以上が同時に押したケースは確認しておりません

(3)対象数と件数

①　対象数は152ユーザーです。以下が含まれます。

• ご自身の情報が他ユーザー1名に閲覧された、もしくはその可能性があるユーザー
• 他ユーザー1名の情報を閲覧できてしまった、もしくはその可能性があるユーザー

②　①のうち、閲覧された/したの関係性にある可能性がある件数は79件*

*関係性にある可能性という事実までは確認できておりますが、システム上、どちらが閲覧した/されたの特定はできておりません

3. 対象情報

(1)閲覧された可能性のある情報

「弥生のかんたん開業届」からダウンロードされた書類に記載されていた項目

• 氏名、生年月日、住所、電話番号、職種、事業概要、屋号、事業開始（予定）日、従業員がいらっしゃる場合は従業員数、従業員にご家族が含まれる場合はご家族の情報（続柄、氏名、年齢、従事する仕事内容、経験年数、従事の程度、保有資格、給与/賞与の支払時期・金額）
• 以下の書類に入力された項目（入力内容によってダウンロードされる書類が異なります）
• 個人事業の開業・廃業等届出書
• 所得税の青色申告承認申請書
• 青色事業専従者給与に関する届出書
• 源泉所得税の納期の特例の承認に関する申請書
• 給与支払事務所等の開設届出書

*お客さまが入力された情報、ダウンロードされた書類の種類により、該当する情報は異なります

当サービスへのログイン時に必要となる弥生ID（メールアドレス）および各種パスワードは含まれておりません。また、クレジットカード番号やマイナンバーは当サービスの利用において取得しておらず、含まれておりません。

4. お客さまへの対応

(1)当社からお客さまへの対応

• 2024年1月25日(木)に当お知らせを公開*
• 対象となるお客さま(前述「2」)へ個別連絡を随時実施しております**

*今後も新たな事実が判明した場合は、当お知らせアナウンスを随時更新し情報発信を行います

**前述1-(1)で当社へ問い合わせをいただいたA様に関連する事象については、A様が閲覧された先のB様を特定後、A様にて該当データの削除を完了いただいております。B様へも当社から個別連絡を行っております。

(2)当件においてご不安や確認事項があるお客さまへ

• 当件においてご不安を持たれた方
• 心当たりのない不審な電話、郵送物、電子メールが届くような事象が発生した方(応答や開封にご注意ください)
• そのほか、当件について確認事項等がある方

専用お問い合わせ窓口までご連絡ください。

5. 当事象の発生検知と原因、影響範囲

(1)発生検知と原因

発生検知

• 2024年1月15日(月) 9時47分、当社カスタマーセンターにて「弥生のかんたん開業届にて、書類をダウンロードした際、別ユーザーの情報が表示されている」とのメールお問い合わせを確認し、当事象を検知しました。

発生原因

• 検知後すぐに当サービスの開発委託会社とともに調査を行いました。事象の詳細としては、ダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0～2秒以内)で2人同時に行われたことを起因として、当事象が起きる可能性があるというものでした。先に内部処理が完了したデータ（以下、データA）が、後に同処理が完了したデータ(以下、データB)に上書きされ、データAをダウンロードすべき対象者にデータBがダウンロードされた可能性があるという状態でした。

原因に対するシステム改修は、当事象を検知した当日中(2024年1月15日)に完了しており、以後は発生しておりません。

(2)影響範囲

• 当事象は不正アクセス等に起因するものではなく、「弥生のかんたん開業届」のシステム不具合により発生しました。また、当社が提供する「弥生シリーズ」をはじめとした業務ソフトウエアおよび各サービスへの影響はございません。

6. 今後の取り組み

当事象の検知後、原因の検証と改修を行ってまいりました。検証結果を踏まえ、再発防止に向けた議論と対応を当サービスの開発委託会社とともに継続的に取り組んでまいります。

このたびはご利用のお客さまおよび関係者の皆さまにご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-015】株式会社大藤つり具 お客様個人情報漏えいの可能性に関するご報告とお詫び

この度、弊社システムが外部からのランサムウェアに攻撃されたことにより、お客様個人情報の一部が流出した懸念のあることが判明いたしました。このほど、本事案に関して調査および精査が完了いたしましたので、当該調査結果についてご報告いたします。

お客様には、多大なるご迷惑とご心配をおかけしますこと、心より深くお詫び申し上げます。今回の事実を厳粛に受け止め、お客様のご不安の解消に向けて努力いたしますとともに、同様の事案が再び発生しないよう、個人情報管理体制の一層の強化を図ってまいります。

1.本事案の概要

2023年12月13日、弊社コンピューターシステムに対し侵害活動が行われていたことが確認されました。その後攻撃者はランサムウェアを作成および実行することにより弊社サーバー内のデータを暗号化いたしましたが、暗号化されたデータにお客様個人情報が含まれていることが判明いたしました。外部機関の調査によると、サーバー上の痕跡では外部への情報の持ち出しを明確に示すものは確認されておりませんが、調査の及ばない範囲もあることから、持ち出しのおそれは拭えない状況となっております。

2.漏えい等が発生したおそれのある項目

・お客様の会員番号・氏名・住所・生年月日・電話番号

要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。

・対象となるお客様

2018年3月より2023年11月までの期間に弊社よりダイレクトメールを送付したお客様。最大で約20万件程度と推察いたしております。

3.発生原因

インターネットから社内アクセスするためのVPN 装置が悪用され、ランサムウェアに不正に侵入されたものと見られます。その結果個人情報を含むデータの暗号化被害が発生いたしました。

4.二次被害またはそのおそれの有無

本事案に関し、現時点においてはデータの不正使用などの被害が発生した事実は確認されておりません。対象となったお客様には大変ご迷惑をおかけしますが、不審な問い合わせ等については十分ご注意いただきますようお願い申し上げます。弊社では被害の拡大防止に取り組んで参りますが、万一第三者によるデータの悪用が確認された場合に末尾記載のお問い合わせ窓口へ連絡いただきますようお願い申し上げます。

5.その他参考となる事項

本事案の対象になると考えられるお客様には、準備が整い次第個別に郵送にてご連絡させていただきます。また本事案に関してご不明な点がございましたら、下記のお問合せ窓口までご連絡をお願いいたします。2023年12月13日の事案発生後今回のご報告に至るまで時間を要しましたこと、深くお詫び申し上げます。弊社といたしましては不確定な情報による混乱を防ぐため、外部機関の調査結果を踏まえた上でのご報告が不可欠と判断いたしましたので、なにとぞご理解いただきたく存じます。なお、事案発生後ただちに個人情報保護委員会に報告し、また所轄警察署にも通報済みで今後の捜査にも全面的に協力してまいります。なお、ジャンプワールド運営会社である株式会社ジャンプのシステムには何の問題も生じておりませんのでご安心ください。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-014】愛媛県 県ホームページ内の電子行政サービス「オープンデータ」における 個人情報流出について

１ 概要

県ホームページ内の電子行政サービス「オープンデータ」で、指定障害児通所支援事業所等一覧表をエクセルファイルで公開していますが、令和 5 年 12 月 21 日に一覧表を更新した際、誤って個人情報が含まれた作業用のファイルを添付して公開していました。

令和 6 年 1 月 11 日、障がい福祉課に対し、外部の方から、個人情報が記載されたデータが公開されているとの通報があり、状況を確認したところ、誤ったファイルが公開されていたことが確認されたことから、即時に公開データを削除しました。

誤って公開されていた状況は次のとおりです。 

• 期間
   令和 5 年 12 月 21 日（木）～令和 6 年 1 月 11 日（木）
•  内容
   公表データを作成するための作業用データで、公表すべき障害児通所支援事業所名や事業所所在地などのほかに、事業所の設置法人代表者と施設管理者の個人住所、及び苦情窓口担当者氏名が記載されたエクセルファイル
• 事業所数
  延べ５０８事業所
  ※事業所種別:児童発達支援、放課後等デイサービス、保育所等訪問支援、居宅訪問型児童発達支援、障害児相談支援事業所、障害児入所施設
• 個人情報件数（実数）
• 設置法人代表者の個人住所 ２０５件
• 事業所管理者の個人住所 ３１８件
• 施設の苦情窓口担当者の氏名 ２３８件 計７６１件

２ 判明した日

令和 6 年 1 月 11 日（木） 

３ 判明後の対応等

• １月１８日付けで、対象者の方々に対し、本事案に関する状況説明及び謝罪の文書を発送しました。
• １月１８日から、障害児通所事業所等の設置法人に電話連絡し、本事案に関する状況説明及び謝罪を行っています。
• 現時点において、二次被害は確認されておりません。
• オープンデータは現在、正しいデータを添付し公開しています。 

４ 発生の経緯及び原因

当該サイトの更新について、令和 5 年 12 月 21 日に担当職員がデータを作成し、サイトに掲載するデータを更新する際に、誤って公表ファイルではない作業用ファイルを添付していました。

また、更新作業終了後、オープンデータへの掲載状況確認ができておらず、他職員による確認も行っていなかったことから、誤ったファイルが公開されたままとなっていました。 

５ 再発防止策

• 情報セキュリティポリシーの遵守はもとより、個人情報が含まれるデータを扱う際には細心の注意を払う必要があることを改めて職員に周知し、緊張感を持った業務遂行を徹底します。
• 作業用ファイルでは個人情報を除いて作業するとともに、作業用ファイルにパスワードを設定する等、公表データ作成の手順を見直します。また、ホームページ更新時は、担当者が公表前にプレビュー機能等を活用して誤りがないか確認するとともに、上位の職員が確認したうえで更新し、更新後も複数職員で確認するよう徹底します。 

リリース文（アーカイブ）

【セキュリティ事件簿#2024-013】埼玉県 生徒の個人情報の流出について

県立越谷東高等学校において、1学期の成績一覧表が流出する事故が発生しました。

なお、現在のところ、第三者による不正使用等の事実は確認されていません。

1  事故の概要

令和6年1月17日（水曜日）、県立越谷東高等学校の職員1名が、同職員が担任するクラスの生徒39名の1学期成績一覧表が印刷された用紙の裏に、生徒への指示をメモして、係の生徒に教室掲示させた。

同一覧表が印刷されていることに気付いた生徒が別の生徒に伝え、伝えられた生徒がスマートフォンのカメラ機能で同一覧表を撮影し、他の生徒に同一覧表の画像を送信した。

2  個人情報の内容

同職員の担任するクラス生徒39名分の氏名・各科目の1学期の成績・各科目の1学期の欠課時数

3  学校の対応

1月19日（金曜日）     

同一覧表の画像を送受信した生徒に、画像を削除するよう指示するとともに、送信した生徒については画像の消去を確認。

全校の生徒、保護者に対して、画像の拡散禁止及び削除を依頼。

1月22日（月曜日）～ 

画像を受信した生徒に再度、画像の転送を行っていないこと、画像を消去したことを確認し、緊急集会にて全校生徒に事故の概要を説明し謝罪するとともに、保護者説明会にて事故の概要を説明し謝罪。

4  再発防止策

今後、校長会議等を通じて、改めて全県立学校に個人情報の適正な管理を徹底するよう指示する。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-012】横浜市立みなと赤十字病院 個人情報の紛失について

このたび、当院におきまして、患者様の個人情報データを保存したＵＳＢメモリを紛失したことが判明いたしました。

該当する患者の皆様、日頃より当院をご利用いただいている皆様にご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。

当院といたしまして、本事案を重く受け止めており、全職員に対して個人情報の取り扱いを厳重に行うよう改めて院内規程の周知徹底を図るとともに、個人情報保護・情報セキュリティ研修を重ねて実施し、再発防止に取り組んでまいります。

なお、現時点で院外への情報流出は確認されておりません。

このたびの個人情報データには、電話番号、住所は含まれておりませんが、今後、見覚えのない問合せなど不審な連絡がございましたら、当院お問合せ窓口までご連絡ください。

１ 事案発覚の経緯（下記経緯参照）

令和５年９月７日、職員（医師）が論文作成のため、当院の診療科部門のシステムから個人の USB メモリに診療データ（1,092 件分）をコピーし、院内及び自宅で作業をしていました（12 月１日最終作業日）。12 月 28 日、当該 USB メモリがないことに気付き、年末年始にかけて探していましたが、見つからなかったため、令和６年１月９日、病院に紛失を報告し、発覚いたしました。

２ 事案の内容

 紛失した USB メモリには、令和３年（2021 年）４月２日から令和５年（2023 年）９月７日までに当院循環器内科において、カテーテルアブレーション治療を実施した1,092 件分、1,011 名の患者様の診療データ（氏名、患者 ID、年齢、性別、生年月日、診断名（略記号）等）を保存しておりました。住所、電話番号は含まれておりません。当該 USB メモリ及びファイルには、パスワードを付けたか不明確でした。

※カテーテルアブレーション治療

アブレーション治療用のカテーテルで不整脈を起こす原因となっている異常な電気興奮

の発生箇所を焼き切る治療法です。

３ 対 応

（１）紛失への対応

本事案発覚後、１月９日に横浜市、１月 10 日に国の「個人情報保護委員会」に「個人情報の保護に関する法律（個人情報保護法）」第 26 条及び「個人情報の保護に関する法律施行規則」第８条の規定に基づいて所定の届け出を行いました。

（２）当該患者様への対応

該当する患者様に対しまして、本事案についてのお詫びと一連の経緯を説明する書面をお送りしました（１月 16 日送付）。

４ 再発防止策

個人情報の適切な取り扱いについて、院内での個人所有の記録媒体を使用禁止とし、業務上必要な場合には、病院の貸与するパスワードロック機能付きの記録媒体を使用するよう、院内規程及びマニュアルを見直しました。また、特に学術領域で個人情報を利用する場合に個人を特定できないような加工を行うことなど、院内規程及びマニュアルの遵守に関して、改めて全職員に対し、個人情報の取り扱いに関する研修及び情報セキュリティに関する研修を通じて、周知・徹底してまいります。

＜経緯＞

令和 5 年 9 月 7 日 

• 職員（医師）が論文作成のため、診療科部門のシステムから個人の USB メモリに診療データ（1,092 件分）をコピー（当該 USB メモリ及びデータファイルへのパスワード設定は不明）
• USB メモリは、院内・自宅での作業で使用

令和 5 年 12 月 1 日 

• 最後に当該 USB メモリを使用

令和 5 年 12 月 28 日 

• USB メモリの紛失に気付く

令和 5 年 12 月 29 日 

• 上司の医師に報告

令和 6 年 1 月 9 日 

• USB メモリを発見できず当該医師と上司が病院に報告
• 病院から横浜市に報告

令和 6 年 1 月 16 日 

• 対象の患者様全員へ書面を発送し謝罪
• 院内に問い合わせ窓口を設置

リリース文（アーカイブ）

【セキュリティ事件簿#2024-011】コムテック LINEキャンペーンにおける個人情報漏えいに関するお詫びとお知らせ

平素より格別のお引き立てを賜り、誠にありがとうございます。

このたび、「LINEの友だち追加でプレゼントキャンペーン」において応募者様の個人情報が一部閲覧できる状況にあったことが判明しました。

お客様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

なお、現時点で当該個人情報の不正使用等の情報は確認されておりません。

事態の経緯と弊社の対応につきまして、下記の通りご報告いたします。

1.漏えいが確認された個人情報

件数 ： 184件

対象 ：

11月、12月にデジタルギフト配信済みのお客様　19件

1月にデジタルギフト配信予定のお客様　165件

漏えい情報 ： 氏名、メールアドレス

閲覧可能期間 ： 2023年11月29日（水）～2024年1月12日（金）までの45日間

2.原因

応募者様へデジタルギフトを送る配信登録作業時のミスにより、システム内で一部間違ったデータに書き換えが生じたことによって発生しておりました。

3.経緯について

2024年1月5日に11月応募者様から登録した情報が異なっている旨をご連絡いただき、キャンペーンで使用しているクラウドシステムを調査いたしました。ご連絡いただいたお客様の個人情報が異なっており、申込画面から他の方（1名）の個人情報（氏名、メールアドレス）が閲覧できることを確認いたしました。

ご連絡いただいた内容から本キャンペーンの全対象者様の情報を調査した結果、

・11月、12月にデジタルギフト配信済みのお客様　19件

・1月にデジタルギフト配信予定のお客様　165件

上記対象者の個人情報（氏名、メールアドレス）が他の方（1名）より閲覧できる状態にあることを確認いたしました。

4.対策について

・応募者様の申込み確認画面を閉鎖いたしました。

・クラウドシステムから対象情報を削除することによって、閲覧できない状態といたしました。

個人情報が漏えいした184名様には別途LINEにて本日より個別にご連絡を申し上げます。

弊社では、今回の事態を重く受け止め、個人情報取り扱い業務における管理体制の厳重化を全関係者へ徹底し、再発防止に努めてまいります。

リリース文（アーカイブ）

2024年版 危険な航空会社ランキング

航空格付け会社のエアラインレイティングス（AirlineRatings）は、2024年の安全な航空会社トップ25を発表した。

ワンワールドアライアンスからは以下の航空会社が選出された。

JALも選出されてめでたい限り

• カンタス航空（豪）
• カタール航空（カタール）
• フィンエアー（フィンランド）
• キャセイパシフィック航空（香港）
• アラスカ航空（米）
• ブリティッシュ・エアウェイズ（英）
• JAL（日）
• アメリカン航空（米）

ちなみに上記が安全性の観点からの最高評価（7スター）を獲得し、さらに世界トップ25に選出された航空会社なのだが、いい機会なので他のワンワールドアライアンス加盟航空会社もチェックしておきたい

★★★★★★★（7スター）

• イベリア航空
• ロイヤル・エア・モロッコ
• スリランカ航空
• ロイヤル・ヨルダン航空
• フィジー・エアウェイズ（oneworld connectメンバー）

★★★★★★（6スター）

• オマーン航空（2024年加盟予定）

★★★（3スター）

• マレーシア航空

残念なことに、マレーシア航空がワンワールドアライアンスの中でぶっちぎりに安全性評価が低い。

ついでに評価が低い、危険な航空会社も取り上げてみたい。

ちなみにロシアの航空会社はウクライナ侵攻の影響で評価ができないのか、星が無い。

ある意味ロシアの航空会社も危険なのだが、あまり面白くないのでシングススターの航空会社を挙げてみる。

• Pakistan International Airlines / パキスタン国際航空
  カラチを本拠地とするパキスタンの航空会社。

• Air Algérie / アルジェリア航空
  アルジェリアのアルジェを本拠地とする航空会社。

• SCAT Airlines / SCAT航空
  カザフスタンのシムケントを本拠地とする航空会社。

• Sriwijaya Air / スリウィジャヤ航空
  スマトラ島をベースにインドネシア国内の都市を結ぶインドネシアの航空会社

• Airblue / エアブルー
  カラチを本拠地とするパキスタンの格安航空会社

• Blue Wing Airlines
  スリナムの航空会社

• Iran Aseman Airlines / イラン・アーセマーン航空
  イラン・テヘランに拠点をおく航空会社。

• Nepal Airlines / ネパール航空
  ネパールで唯一の国営航空会社。また同国のフラッグ・キャリア。本拠地はカトマンズ。

昨年、23年度版を作っていたので、比較してみたが、危険な航空会社の顔ぶれは変わっていなかった。

出典：COMPARE AIRLINE SAFETY RATINGS

【セキュリティ事件簿#2024-010】一般社団法人 大阪コレギウム・ムジクム 当団サーバへの不正アクセスについて

2024年1月3日、当団が管理するサーバに対して、メールマガジンの配信を行っているソフトウェアの脆弱性を突いた不正アクセスが発生いたしました。

確認された被害については以下の通りです。

• メールマガジンにご登録いただいているお客様の、メールアドレスおよびお名前の情報の窃取
• メールマガジンにご登録いただいいるお客様に向けて、配信システムを利用した迷惑メール（内容は当団Webサイトをハッキングした、というもの）の送信
• 当団Webサイトのトップページの書き換え

お客様に多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

＜対応状況＞

1/3 18:42 頃 攻撃が開始される

1/3 21:10 頃～ メールマガジンご登録者様に対して迷惑メールが送信される

1/3 21:50 頃 Webサイトの改竄を確認

1/3 22:15 頃 サーバを停止

1/3 22:50 頃 サーバの隔離を終え、解析を開始

1/3 24:00 頃 メールマガジンシステムへの脆弱性攻撃である事を確認

1/4 21:40 頃 メールマガジンシステム等一部システムを停止した状態にて、Webサイトを暫定復旧

1/6 11:00 頃 セキュリティ上の不備の対処措置を行い、メールマガジンシステムを復旧

ご登録のお客様には現在、ご報告のメールをお送りしております。

本件による二次被害となるような事案は現時点確認されておりませんが、本件に関係すると疑われる不審な出来事などがございましたら、お知らせをいただけましたら幸いです。

この度の事態を重く受け止め、再発防止に向けた対策の強化を引き続き進めてまいります。

皆様に多大なるご迷惑、ご心配をおかけしましたことを重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

ランサムウェアギャングが発表した被害組織リスト（2023年8月～12月）BY StealthMole

 

 StealthMole（旧Dark Tracer）による、2023年8月～12月のランサムウェア被害を受けた日系企業。

株式会社 鼓月(www.kogetsu.com)

ランサムウェアギャング：Mallox

株式会社エフトリア（www.ftria.co.jp）

ランサムウェアギャング：NoEscape

関連事件簿：【セキュリティ事件簿#2023-335】株式会社エフトリア　セキュリティに関する重要なご報告  

株式会社 小森コーポレーション（komori.com）

ランサムウェアギャング：CL0P

住商グローバル・ロジスティクス株式会社（sgl.co.th）

ランサムウェアギャング：LockBit

セイコーグループ株式会社（www.seiko.co.jp）

ランサムウェアギャング：BlackCat (ALPHV)

関連事件簿：【セキュリティ事件簿#2023-306】セイコーグループ株式会社　当社サーバに対する不正アクセスに関するお知らせ

株式会社井上製作所（inouemfg.com）

ランサムウェアギャング：LockBit

アイホン株式会社（www.aiphone.com）

ランサムウェアギャング：Money Message

関連事件簿：【セキュリティ事件簿#2023-353】アイホン　当社米国法人への不正アクセス発生について

アルプスアルパイン株式会社（www.alpsalpine.com）

ランサムウェアギャング：BlackByte

関連事件簿：【セキュリティ事件簿#2023-360】アルプスアルパイン株式会社　当社グループが管理するサーバへの不正アクセスについて

株式会社フジシールインターナショナル（www.fujiseal.com）

ランサムウェアギャング：Akira

関連事件簿：【セキュリティ事件簿#2023-504】株式会社フジシールインターナショナル　当社米国グループ会社におけるランサムウェア被害および復旧状況について

シチズン時計株式会社（citizen.co.uk）

ランサムウェアギャング：Ragnar_Locker

郵船ロジスティクス株式会社（www.yusen-logistics.com）

ランサムウェアギャング：BlackCat (ALPHV)

フォルシアクラリオン・エレクトロニクス株式会社（www.clarion.com）

ランサムウェアギャング：BlackCat (ALPHV)

ソニーグループ株式会社（sony.com）

ランサムウェアギャング：RansomedVC

セイコーエプソン株式会社（epson.es）

ランサムウェアギャング：STORMOUS

株式会社NTTドコモ（www.docomo.ne.jp）

ランサムウェアギャング：RansomedVC

シークス株式会社（siix.co.jp）

ランサムウェアギャング：BlackCat (ALPHV)

関連事件簿：【セキュリティ事件簿#2023-169】シークス株式会社　ランサムウェアによる不正アクセスについて

株式会社シマノ（shimano.com）

ランサムウェアギャング：LockBit

日本航空電子工業株式会社（www.jae.com）

ランサムウェアギャング：BlackCat (ALPHV)

関連事件簿：【セキュリティ事件簿#2023-505】日本航空電子工業株式会社　当社サーバへの不正アクセス発生について

THK株式会社（www.thk.com）

ランサムウェアギャング：Hunters International

株式会社レスターホールディングス（restargp.com）

ランサムウェアギャング：LockBit

関連事件簿：【セキュリティ事件簿#2023-472】株式会社レスターホールディングス　当社及びグループ会社サーバーへの不正アクセス発生のお知らせ

社会福祉法人北広島町社会福祉協議会（kitahirosima.jp）

ランサムウェアギャング：LockBit

関連事件簿：【セキュリティ事件簿#2023-506】北広島町社会福祉協議会におけるシステム不調発生のご報告とお詫びについて

日産自動車株式会社（www.nissan.com.au）

ランサムウェアギャング：Akira

【セキュリティ事件簿#2024-009】LINEヤフー 当社が利用する外部サービスの設定不備に関するお知らせ

このたび、旧LINE社のIT資産管理に利用している外部サービスのAPI*1設定不備により、登録している役職員*2の情報が外部から取得できる状態にあったことが判明いたしました。

なお、原因となるAPI*1設定不備の修正はすでに完了しております。 

1.　発生した事象

旧LINE社の社内資産管理・社内問合せ管理を目的として利用している外部サービスにおいて、当社によるAPI*1の設定不備により、登録している役職員情報が外部から取得できる状態にありました。 

本事象は、特定の操作により外部からデータ抽出が可能となっていた設定不備を、LINE Security Bug Bounty Program*3を通じた報告により判明いたしました。

外部から取得できる状態にあった情報は以下の通りです。現在は外部からのアクセスによる役職員情報等の取得ができないように設定変更を完了しております。

〈役職員に関する情報〉

氏名、メールアドレス、役職名 

＜社内問い合わせに関する情報＞

添付ファイル名、問い合わせ対応満足度サーベイ名、サーベイの回答者　

※ユーザー情報および取引先情報は上記に含まれません。

2.本事象の経緯と対応時系列

■2023年10月18日

・LINE Security Bug Bounty Programの参加者より、事象の通知を受け発覚

・担当が報告を受けて調査を開始

・外部からアクセス可能な設定になっていた機能を外部からアクセスできないように設定変更

■2023年10月19日

・利用するすべての環境で設定変更したことを確認

■2024年1月18日　

・本事象に関する公表を実施 

3.対象者へのお知らせ

該当する役職員には個別に連絡します。退職等により個別にご連絡ができない方には、本発表を以て、通知とさせていただきます。

本件によるフィッシング被害等の増加を含む二次被害は現時点で確認されておりませんが、漏えいしたメールアドレス宛てに第三者が不審なメール・詐欺メールを送信するおそれがございます。十分にご注意くださいますようお願い申し上げます。

関係者の皆さまに多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。

※なお、本件は11月27日に公表した「不正アクセスによる、情報漏えいに関するお知らせとお詫び」の事案との関連性はございません。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-008】横須賀市 電子メールの誤送付について

このたび、契約課において電子メールを誤送付したことを報告します。

1.事故の概要

(1)発生の経緯

令和6年1月16日（火曜日）、かながわ電子入札共同システムの資格申請を勧奨するメールを一斉送信する際に、宛名をBCCで送るべきところをTOで送ってしまい、メールを送信した事業者に、同時にメールを送信した事業者のメールアドレスが見えてしまうこととなりました。同日、メールを送信した職員がメールの送信状況を確認した際、誤送信が判明しました。

(2)漏洩した個人情報

個人の特定につながるおそれのあるメールアドレス。

一斉送信したメールの本文及び添付文書には、会社名や氏名を記載していませんでしたが、漏洩したメールアドレスの中に、個人の特定につながるおそれのあるメールアドレスが含まれていました。

(3)事故に係る個人情報の対象人数

71人

漏洩したメールアドレスは、165件ありましたが、その中で71件が個人の特定につながるおそれのあるメールアドレスでした。

2.事故発生後の対応

令和6年1月17日（水曜日）に、メールを送信した事業者へメールにて事情説明と謝罪、受信メールの削除依頼をしました。併せて1月16日（火曜日）に送信したメールをBCCにより再送信しました。

3.事故の発生原因

複数人による確認不足。

4.今後の防止策

今後は、複数人による確認作業の工程を見直し、誤送付が発生しないよう努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-007】株式会社ケーズホールディングス 通販サイトへの不正ログイン・なりすまし注文の発生について

株式会社ケーズホールディングス（以下「当社」）は、当社が運営するインターネット通販サイト(ケーズデンキオンラインショップ)において、不正に入手したと思われる情報を用いた第三者による不正ログイン、なりすまし注文が発生したことを確認いたしました。今後の調査により対象件数や状況が変動する可能性がございますが、現時点で確認できた事実と対応状況をご報告いたします。

現時点では、今回の不正によるお客様への直接的な金銭被害は発生していないことを確認しております。なお、不正ログイン被害の対象と見られるお客様には順次ご連絡を差し上げ、登録情報やパスワードの変更のお願いなどを進めております。引き続き、警察をはじめとする関係機関の協力を仰ぎつつ、不審なアクセスや注文が発生していないか注視して参ります。

現時点で確認している事実と当社の対応は下記の通りです。

1. 経緯

◇2024 年 1 月 12 日

注文情報のチェックで不審な注文を確認。

第三者が不正にログインし、登録情報の商品お届け先住所やメールアドレスを書き換え、不正なクレジットカードで注文する、なりすまし注文であることを確認。

※本件は、別途不正に入手したと思われるクレジットカードを使用した注文となります。なお、当社サイトではクレジットカード情報を保持しておりませんので、不正ログインに伴うクレジットカード情報の漏洩はございません。

◇2024 年 1 月 15 日

 警察に報告相談。

◇2024 年 1 月 16 日

 JUAS（一般社団法人 日本情報システム・ユーザー協会）、個人情報保護委員会に報告。

2. 不正ログイン・なりすまし注文の状況

(１)不正ログイン、情報の改ざんが発生したオンラインショップ会員数：8 件

(２)なりすまし注文件数：17 件

　※上記のうち 12 件は出荷前に不正と判断できたため商品は出荷しておりません。

3. 当社の対応

・不正ログインが確認されたアカウントによる未出荷注文の出荷を停止。

・不正利用されたお客様のアカウントを停止。

・該当のお客様に連絡の上、登録情報やパスワードの変更を依頼。

・当社通販サイト上でパスワードの定期的な変更の注意喚起を実施。

・警察をはじめとする関係機関への報告、相談。

4. 対象となるサイト

当社が運営するインターネット通販サイト

「ケーズデンキオンラインショップ」（https://www.ksdenki.com/）

5. 今後の対応

従来より実施しておりました不正アクセス監視を継続の上、セキュリティレベルの向上に努

めて参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-006】上智大学 統合データベースへの不正ログインについて

2023年12月後半に、本学のICTアカウント情報（ソフィアICTアカウントといい、ソフィアメールやmoodle等を利用できるもの）を管理している「上智大学 統合データベース」システムに、不正ログインがありました件について、報告いたします。

１．不正ログインについての概要

ソフィアICTアカウントの情報を管理している「上智大学 統合データベース」システムへの不正ログインが発生し、在学生及び卒業生10名のユーザー情報が改ざんされた可能性があります。発覚の経緯は、12月16日(土)頃より、在学生1名と卒業生1名から「メールシステムにログインできない」という問い合わせが続いたため、ログを確認したところ、10件の不正ログインが確認されました。

２．不正ログイン期間とアクセス元について

2023年12月15日(金)から、12月17日(日)の数日間に行われていた可能性があります。

不正アクセスの元となったIPアドレスは、主に海外のもの（複数）であることが確認されています。

３．改ざんされた可能性がある内容

「上智大学 統合データベース」システムのログを確認したところ、対象者のパスワードとリマインダの情報が、変更されていたことが判明しました。

４．対応状況　

対象者全員のパスワードを強制的に変更し、リマインダ登録情報をクリアしました。

2023年12月21日(木)に、学内(学生と教職員)向けに、ソフィアICTアカウントのパスワードの変更を促す注意喚起を掲出しました。

５．原因調査

本トラブルの原因については現在調査中ですが、現時点で考えられる要因としては、同じログインIDとパスワードを使いまわしていた可能性がある、他の商用サイト等から流出した情報をもとに、それを取得した第三者によるなりすましの不正ログインが行われた可能性があります。(リスト型アカウントハッキング)　

なお、対象者のソフィアメールの不正ログイン後7日間の送信記録を調べたところ、スパムメール等の踏み台等にされてはいないことを確認しました。

６．ソフィアICTアカウント利用者へのお願い（パスワード管理について）　

ソフィアＩＣＴアカウント(ソフィアメール、moodle等)を利用しているユーザーの皆様には、下記の対応をお願いいたします。

　・パスワードを複雑化する

　・同じパスワードを複数のシステムなどで使い回さない　

　・紙に書いて保存・管理しない

　・パスワード管理ツール等を使用する

リリース文（アーカイブ）

【セキュリティ事件簿#2024-005】独立行政法人教職員支援機構 電子メール関連システムへの不正アクセスに伴う個人情報等漏洩のおそれについて

今般、独立行政法人教職員支援機構の利用していた電子メール関連システムに対し、不正アクセスがあり、個人情報を含む電子メールデータ（電子メールアドレス及び電子メールの内容）の一部が外部へ漏洩したおそれがあることが確認されました。

これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されております。

当機構では、個人情報は、個人情報保護に関する法律等に則り適切な管理を行ってまいりましたが、本事案により、メールアドレス等の個人情報が漏洩した可能性を排除できない方に対して個別に連絡するとともに、事案の公表を行うこととしたところです。

関係者の皆様には、御迷惑をおかけすることになり、お詫び申し上げます。再発防止に努めて参ります。

1. 経緯

令和5年6月13日 保守運用事業者から脆弱性に関する情報を受ける

令和5年6月17日 当該製品の切り離しを行う

令和5年7月5日 不正アクセスの確認

令和5年10月31日 職員にて当該製品を調査した結果、マルウェアを発見

2. 漏洩のおそれがある情報と期間

令和4年10月31日～令和5年6月16日17:00までに当機構（@nits.go.jp又は@ml.nits.go.jp）へ電子メールを送信された方の電子メールデータ（電子メールアドレス及び電子メールの内容）

3. 二次被害又はそのおそれの有無及びその内容

現時点で、漏洩の事実や情報の悪用等による二次被害は確認されておりませんが、念のため、不審な連絡、訪問者等には御注意いただきますとともに、万が一何かございましたら、下記の問い合わせ先まで御連絡ください。

4. 再発防止

当機構では令和5年6月16日に当該製品の利用を停止するとともに、セキュリティ対策を強化した電子メール関連システムの製品への契約の変更を行っております。今後もセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層のセキュリティ対策に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-004】株式会社イズミ ブランドショップ X-SELL 求人応募者に関する個人情報漏えいおよび漏えいの可能性に関するお詫び

この度、弊社が運営するブランドショップ X-SELL のホームページより過去に求人にご応募いただいた一部の方の個人情報が、インターネット検索サイトで検索した結果として閲覧できる状態にあることが判明いたしました。対象の皆様には、大変なご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

早期対応にあたり、現在、個人情報は閲覧ができない状態に修正を完了しております。また、対象の皆様にはメールにてご報告後、ご連絡をさせていただいております。弊社といたしましては、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の管理体制の強化に努めてまいります。対象の皆様には重ねてお詫び申し上げますとともに、本件に関する概要につきまして、以下の通りご報告いたします。

１．本件の経緯

2024 年 1 月 4 日に、ブランドショップ X-SELL のホームページより、過去に求人にご応募いただいた一部の方のご応募の際にご入力いただいた「個人情報（氏名、メールアドレス、電話番号、性別）」および「応募コメント」が、前述の個人情報のいずれかのキーワードにてインターネット検索サイトで検索を行った場合に、検索結果として閲覧できる状態になっておりました。

即時、web サイト作成の委託会社に調査を依頼し、翌 1 月 5 日 14 時頃、web サイトサーバー内のデータおよび検索履歴の削除が完了し、閲覧できない状態になっていることを確認いたしました。

２．発生事象

①対 象：2016 年 6 月 14 日～2022 年 8 月 28 日の期間に、ブランドショップ X-SELL のホームページより、求人にご応募いただいた方の一部

②項 目：応募者の氏名、電話番号、メールアドレス、性別、応募コメント

③件 数：41 名

３．原因

SEO 対策時における設定のミスによるものと判明いたしました。現在は、web サイトサーバー内のデータおよび検索履歴の削除が完了し、閲覧できない状態になっております。

４．対応

①対象の皆様へのお知らせ

2024 年 1 月 8 日に対象の皆様にメールにてご報告を行い、個別にお電話でご連絡をさせていただいております。

※対象の皆様におかれましては、不審な電話やメールがあった場合は、絶対に個人情報をお伝えしたり、web サイト等にアクセスされたりしないようご注意ください。弊社から、口座情報などの重要な個人情報をお聞きすることはございません。

②行政

2024 年 1 月 9 日に個人情報保護委員会へ報告しております。

今後は委員会からの指導等に従ってまいります。

５．再発防止

調査会社によるブランドショップ X-SELL のホームページのセキュリティ調査を実施し、個人情報を保有するページを制作・保持しない運用に変更いたします。

リリース文（アーカイブ）