【セキュリティ事件簿#2024-046】建設連合国民健康保険組合 静岡県支部におけるUSBメモリ紛失について


 1 概要

当国保組合の静岡県支部では、組合員の皆様の情報を管理するための台帳を毎年作成しており、その印刷・製本を外部業者に委託しております。

令和6年1月26日、例年と同様に台帳作成用データの授受作業に取り掛かろうとした際、毎年使用しているUSBメモリ(1本)が支部事務所内の所定の場所に保管されていないことが判明しました。(前年の委託時から最大約1年間紛失の状態が続いていたと思われます。)

その後、支部事務所内及び外部業者などをくまなく捜索しましたが、発見できておりません。

なお、現在までに情報の外部流出による被害は確認されておりません。

2 データ内容

静岡県支部の被保険者(組合員及びご家族)の情報のうち、「氏名」、「郵便番号」、「住所」、「生年月日」、「電話番号」、「当国保組合の資格取得日」、「当該支部内での管理番号」。(3,775件)

※口座番号や、健康保険を使用した履歴や病歴などの情報は入っておりません。

3 データ保護策

当該USBメモリに保存されたデータには、高度な暗号化及び複雑なパスワード設定による漏えい防止策が施されています。

4 再発の防止について

今回については、USBメモリの受け渡し記録及びUSBメモリの管理体制が不十分であったことが原因です。以下の対応を行い、再発防止に努めます。

○個人情報を含むUSBメモリ等の授受の際は、必ず複数人で確認し、日付・用途・ 担当者・先方の担当者等を記録し、所定の場所にUSBメモリ等が正しく格納されているか定期的に確認することを徹底する。

○授受の際は必ず受領書を発行し、互いに押印し原本と写しを双方で保管することを徹底する。

○高度な暗号化及び複雑なパスワードの設定を引き続き徹底する。


静岡県支部の関係者の皆様には、ご迷惑とご心配をおかけする結果となりましたことを深くお詫び申し上げるとともに、再発防止に努めてまいります。

現在、該当する組合員へお知らせする準備を進めています。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-045】東京テアトル株式会社 個人情報漏洩の可能性に関するお知らせとお詫び


このたび、一部のお客様がWEBサイト「マンション売却相談センター」(以下「当サイト」といいます。)内の無料相談、無料査定、お問い合わせのフォームに入力された個人情報が漏洩した可能性があることが判明いたしました。本件の経緯等について以下のとおりお知らせいたしますが、本件の原因は既に特定され、対応も完了いたしました。

お客様に多大なるご迷惑、ご心配をおかけしたことを、心よりお詫び申し上げます。

1.経緯


2024年1月17日9時から2024年2月5日13時までの間、過去にお客様が入力した情報が、当サイトのお問い合わせのフォームの入力画面上に表示されていた可能性があることが、2024年2月5日に判明いたしました。このため、情報を入力したご本人以外のお客様が、入力された情報を閲覧できる状態となっていて、個人情報が漏洩したおそれがあります。

当センターが、システムの状況を確認したところ、2024年1月17日に当サイトが新サイトに移行した際に、過去にお客様が入力した情報が、フォーム入力画面のキャッシュ(一度閲覧したページの情報を一時保存し、早く表示できるようにする機能)に保存される設定となっていたことが判明しました。

上記の状況が判明後、直ちに、お客様が入力した情報が保存されないよう、入力画面のキャッシュの設定を変更いたしましたので、現在は、お客様の情報が、情報を入力したご本人以外の方に閲覧されることはございません。

2.個人情報を閲覧された可能性のあるお客様


2024年1月17日9時から2024年2月5日13時までの間に、「マンション売却相談センター」の無料相談、無料査定、お問い合わせのフォームに情報を入力されたお客様55名

※本件の不具合は常に発生するわけではなく、アクセス環境などの特定の条件を満たした場合にのみ発生することを確認しております。

3.閲覧された可能性のある情報


・ご希望の査定方法

・ご希望の査定の種類

・売却予定時期

・お名前(ふりがな)

・ご希望の連絡方法

・電話番号

・電子メールアドレス

・ご住所

・売却希望物件の状況

・売却希望物件の住所

・そのほかお問い合わせのフォームの自由記入欄に記載いただいた内容

※お問い合わせのフォームに入力される情報に、人種や病歴などの要配慮個人情報やクレジットカード情報などの財産的被害が生じるおそれのある情報は含まれておりません。

4.原因と再発防止策


当サイトを新サイトに移行する際に、キャッシュプラグインの設定を変更いたしましたが、この設定に不備があったことが、本件の原因であることが判明いたしました。

当センターは、原因が判明後、フォームに入力された情報のキャッシュを保存しないよう、キャッシュプラグインの設定を修正いたしました。またキャッシュプラグインの自動更新設定をオフにし、プラグインの更新に伴いエラーが発生しないよう対処いたしました。

今後につきましては定期的に上記キャッシュプラグインの設定に不備がないかを確認してまいります。

5.今後の対応について


当センターは、個人情報を閲覧された可能性のあるお客様が、その情報を悪用されるなどの事象が発生した場合には、法令に従い、適切な措置を講じる所存です。

なお、システムの構造上、個人情報が漏洩したおそれのあるお客様を特定することができませんので、お手数をおかけして申し訳ありませんが、本件に関するお客様からのお問い合わせには、以下の窓口が対応させていただきます。

Labels:

【セキュリティ事件簿#2024-044】株式会社アイル 当社サーバーへの不正アクセスによるシステム停止事案のお知らせ

 

この度、当社ファイルサーバーへのウイルス感染により、検体検査の遅延が発生し、大変ご迷惑をお掛けしましたことを深くお詫び申し上げます。これまでに判明している経緯と対応につきまして、以下の通りお知らせいたします。

1.これまでの経緯

2024/2/5 早朝、文書管理サーバーにて障害を感知し、確認したところ、サーバーにてウイルス感染を確認いたしました。

直ちに、被害拡大を防止するため、全システムを停止させ全ての経路を遮断し、影響範囲の確認と特定および対策・復旧を行いました。

① 8:20 頃 サーバー障害を確認
② 8:45 頃 サーバーへのウイルス感染を確認
③ 8:50 頃 ネットワーク遮断
④ 9:00 頃 管理会社への支援要請
⑤ 10:00 頃 影響範囲の確認と特定および対策・復旧対応開始

2.現況及び今後の対応

現在、検査業務については平常に戻り結果報告の遅延はありません。ランサムウェア感染に関しては、所轄警察署ならびに第三者機関の個人情報保護委員会、プライバシーマーク審査機関への報告を済ませております。

更に、ウイルス感染したサーバーを外部機関に解析調査依頼し、被害状況や情報漏洩度など詳細な解明を行い、恒久的対策を検討してまいります。

現時点においては個人情報の流出は確認されておりませんが、流出の完全否定は出来ておりませんので、引き続き調査を進めてまいります。

Labels:

【セキュリティ事件簿#2023-464】LINE ヤフー株式会社 不正アクセスによる個人情報漏えいへの再発防止策に関するお知らせ


LINE ヤフー株式会社は、2023 年 11 月 27 日に公表した不正アクセスを受け策定した再発防止策を以下のとおりお知らせいたします。

当社は、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、改めて心より深くお詫び申し上げるとともに、今回の事態を重く受け止め再発防止に努めてまいります。

■発生した事象

第三者による不正アクセスを受け、ユーザー情報・取引先情報・従業者等に関する情報の漏えいがあることが判明しました。当社関係会社である韓国 NAVER Cloud 社の委託先かつ当社の委託先でもある企業の従業者が所持する PC がマルウェアに感染したことが契機となります。

■原因と再発防止について

□原因

本事案の原因は、「委託先企業への安全管理措置」および「NAVER と旧 LINE 株式会社間(以下、旧 LINE 社)のシステム・ネットワークのあり方」、「旧 LINE 社における従業員システムのセキュリティ」に課題があったためと捉えており、主に以下の再発防止策を順次実施してまいります。

□再発防止

・委託先管理の強化

委託先のセキュリティリスク評価方法を見直すとともに、外部の第三者の協力も得て、より実効性を高めたモニタリングや管理・監督方法を策定します。当社外部委託先が当社社内ネットワークにアクセスする場合における、当社管理下の PCの利用および当社ネットワークに接続する際の二要素認証の徹底を進めてまいります。

また、NAVER Cloud 社含む本件の原因となった当社委託先に対して、本事案を踏まえた改善策について実施状況を確認し、必要に応じた管理の強化等を要請します。

・システム・ネットワークのリスク解消・強化(NAVER Cloud 社との認証基盤の分離含む)

NAVER Cloud 社と旧 LINE 社間のネットワークアクセスの管理を強化します。具体的には、ファイアーウォールの導入やセーフリスト化により、ネットワークへの異常な接続や攻撃を防ぎ、ネットワークを保護する仕組みを構築します。また、旧 LINE 社環境の従業員向けシステムで共通化している NAVER Cloud 社との従業者情報を扱う認証基盤環境を分離
し、LINE ヤフー専用の認証基盤への移行を行います。

加えて、更なる対策として、NAVER 社および NAVER Cloud 社とのシステムのつながりによる不正アクセスのリスクを解消するため、従業員向けシステムおよびネットワークの分離も行います。

・従業員システムのセキュリティ強化

従業員向けシステムへのアクセス制御と制限を強化するため、二要素認証の適用を標準とする方針とします。

さらに、データ分析システム等の重要なシステムに対して、アクセス制御のメカニズムが適切に機能していることを検証する目的で、追加的なセキュリティ診断を実施します。

上記の再発防止策については、外部企業による計画の妥当性・有効性の客観的な評価を実施します。

また、上記の再発防止策に加え、原因の再分析およびリスクシナリオの再定義、再発防止策の妥当性検証、追加対策計画の策定等についても、今後検討を続けていく予定です。

改めまして、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。

Labels:

【セキュリティ事件簿#2024-039】北海道大病院 メールアカウントの不正使用によるフィッシングメールの送信について


令和5年12月27日、北海道大学病院の職員が個人の業務用として管理しているメールアカウントが第三者により不正使用され、約3万件の外部メールアドレス宛にフィッシングメールが送信されたことが判明しました。

当該メールアカウントについては、事案の発見後、速やかにパスワードを変更し、メールの送信を停止いたしましたが、メールを受信された方々に多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

なお、調査の結果、当該アカウントがメール送信のみに悪用されたことを確認済であり、第三者によるメール閲覧など、個人情報漏洩の可能性はございません。

本件は、リスト型攻撃によりメールアカウントが不正使用されたとみられており、本院といたしましては今回の事態を重く受け止め、アカウントやパスワード等の適切な管理について再度周知徹底を図るとともに、アクセスログの監視等の強化により一層の情報セキュリティ対策の強化に努めてまいります。

Labels:

【セキュリティ事件簿#2024-038】環境保全株式会社 メールアカウントへの不正アクセスに関するお詫びと注意喚起のお知らせ


平素は格別のご高配を賜り、厚く御礼申し上げます。

当社は、2024 年1月 21 日、当社従業員1名のメールアカウントが、第三者による不正アクセス攻撃を受ける事象が発生し、当該メールアドレスが不正利用され、同日 7:23~10:37 の間に、不特定多数の方に不審メールが送信された事実を確認いたしました。

これらのメールは、当社の情報漏えいによるものではなく、また、当社の社員が送信したものではございません。メールを受信された皆様には多大なご迷惑をお掛けしましたことを、深くお詫び申し上げます。 

この不正利用されたメールアドレスにつきましては、同日 10:45 にアカウントロック(メール送信停止)をしております。

不正利用により送信されたメールには、フィッシングサイトへの誘導のリスクが高いため、当社の社員を装った不審なメールや心当たりのないメールを受信した場合は 、ウイルス感染や不正アクセスなどの危険がありますので、メールに添付されているメールおよび添付ファイルの開封、メール本文中の URL のクリック等を行うことなく、削除していただきますようお願い申し上げます。 

【不審メールの例】
宛 先: xxxxx@yahoo.co.jp
件 名: 【重要なお知らせ】支払い方法を更新してください 2024-01-21
差出人: Amazon.co.jp <x-xxxxxxxxx@kankyou-hozen.jp>
 表示: Amazon.co.jp
 メールアドレス: x-xxxxxxxxx@kankyou-hozen.jp

当社としましては、不正アクセス防止などの情報セキュリティには十分注意しておりますが、今回の事象を重く受け止め、再度周知徹底など全社で再発防止に取組み、引き続き情報セキュリティの強化に努めてまいります。

ご理解とご協力をいただきますよう、よろしくお願い申し上げます。 

Labels:

【セキュリティ事件簿#2024-037】玉川大学 通信教育課程システムへの不正アクセスによる情報漏洩の可能性に関するお知らせ

 

2024年1月10日、本学で運用している通信教育課程サーバの一部で不正アクセスを受けたことが確認され、本学が保有する学生(卒業生を含む)情報が漏洩した可能性を排除できないということが判明しました。

なお、詳細は調査中でありますが状況が分かり次第改めてご報告させていただきます。

Labels:

【セキュリティ事件簿#2024-036】モイ株式会社 当社サーバーに対する外部攻撃に関するお知らせ


このたび、当社が運営するライブ配信サービス「ツイキャス」に対する外部からの外部攻撃により、当社サービスにアクセスしづらい等のシステム障害が発生していることを確認しております。

本件につきましては、直ちに対策チームを設置のうえ、警察への通報および相談を行いつつ、継続している当該事象の収束に向けて、調査と対応を継続しておりますが、現時点で判明している事実及び当社の対応について、下記の通りお知らせいたします。

関係者の皆様に多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

1 本件の概要

2024 年1月 30 日から、当社サービス「ツイキャス」のサーバーに対して大規模な DDoS 攻撃※が断続的に行われており、当社サービス全体にアクセスしづらくなる、ライブ配信を視聴しづらくなる、トップページが表示されなくなる等の被害が発生していることを確認しました。

当社では、当該事象の確認後、直ちに社内対策チームを発足し、被害拡大を防止するための措置を実施しましたが、外部からの攻撃は引き続き発生する可能性があり、新たなセキュリティ対策を講じた上で当該攻撃に対するシステムの保護と復旧作業を進めております。

なお、本件によって当社が保有する個人情報を含む各種情報にアクセスされた形跡はなく、また外部へ当該情報が流出した事実や、攻撃者による当社情報の公開は確認されておりません。また、当社サービスにおける決済は、各決済代行会社を通して行われておりますので、本件によって、クレジットカード番号等、決済代行会社が保有している情報が流出する可能性はございません。

※DDoS(Distributed Denial of Service)攻撃とは、インターネット上のトラフィックを増大させ、通信を処理しているネットワーク回線やサーバーの機能を占有する帯域飽和型のサイバー攻撃のこと。

2 今後の対応

引き続き、警察への相談を行いつつ、外部専門家を交えて当該攻撃者に対する対応、今後のセキュリティ対策などに鋭意取り組んでまいります。

ツイキャスユーザーの皆様をはじめ関係者の皆様におかれましては、多大なるご心配とご迷惑をおかけしておりますことを、重ねて深くお詫び申し上げます。

3 業績への影響

当社業績への影響については現在精査中です。今後、公表すべき事項が生じた場合には、速やかにお知らせいたします。

Labels:

電子メール追跡のためのOSINTツール「Zehef」

GitHubユーザーのN0rz3が、電子メールを効果的に追跡するために開発したオープンソースのインテリジェンス(OSINT)ツール「Zehef」を開発しました。

Zehefは、漏えいした個人または企業の電子メールとその登録場所を、ターゲットに警告することなく能動的に検出することで、セキュリティを強化します

Zehefの能力

  • ウェブサイトのスクレイピング: Zehefは「holehe」モジュールを使用してウェブサイトをスクレイピングし、電子メール登録をチェックします。

  • 漏洩チェック: 侵害や漏えいをチェックし、漏えいした電子メールについて警告を発します。

  • 評判のチェック:Zehefはemailrep.io APIを使用し、ターゲットメールのレピュテーションを評価します。

  • アカウントチェック: SnapchatとTikTokのアカウントを様々なフォーマットで検証します。

  • Pastebinチェック: Pastebin上の関連リンクを検索します。

Zehefのビルドとインストール

ZehefはPythonを使用して構築しました。このツールはさまざまなライブラリーとAPIを統合しており、コミュニティ・コラボレーション用にGitHubで公開されています。

インストール手順の概要

  1. まず、Python 3がインストールされていることを確認してください。
  2. ターミナルまたはコマンドプロンプトを開きます。
  3. Zehef リポジトリをクローンします。: git clone
    https://github.com/N0rz3/Zehef.git
  4. Zehef ディレクトリに移動します。: cd Zehef
  5. 必要なライブラリをインストールします。: pip install -r requirements.txt

Zehef を実行

  1. Zehefディレクトリで次のように実行します。: python zehef.py
  2. 調査したいメールアドレスを入力してください。
Zehefは、電子メールのセキュリティを心配する人々にとって強力な味方です。サイバーセキュリティの専門家だけでなく、個人にも最適です。

Zehefは重要な洞察を提供してくれますが、教育目的でのみ倫理的に使用することを忘れないでください。

メールのセキュリティ状況を理解することで、保護対策を講じることができます 。

Labels:

【セキュリティ事件簿#2024-035】豊郷町 個人情報の流出について

豊郷町
 

このたび、個人情報の記載された名簿が流出し、町民の方々に多大なご迷惑をおかけしたことに対しまして、心よりお詫びします。今回、町職員が、このような不祥事を引き起こし、皆様の信頼を裏切る結果となりましたことは、痛恨の極みです。

今後は、このような事態を招いたことを反省し、速やかに全職員を対象に研修を実施し、個人情報の保護の重要性について徹底するとともに、電算システムのセキュリティ対策と再発防止に取り組むことといたしました。

今後、調査・対策について、適時、町民の皆様にご報告いたしますので、ご理解をいただけますよう、お願いいたします。

 豊郷町長  伊藤 定勉 

現時点で判明していること、対応の経緯などをお知らせします。

1.事案発生の経緯

匿名住民より「字の役員名簿が詳しすぎる。役場から情報が漏洩していないか。」と相談があり、本職員への聞き取りにて名簿を紙で渡したことが発覚。現物は回収または破棄、現在追加調査中。

2.原因

職員の独断で、悪用がされないと判断し、個人情報の認識が不十分であった。

3.その他判明した内容

漏洩した内容:氏名(漢字・カナ)、住所、生年月日、性別、世帯主、続柄の書いた名簿

漏洩した件数:646件(過去分は含まず)

回収状況:今年分の名簿は回収済み(コピーも含む)

4.今後の対応

全職員を対象に研修を実施し、個人情報の保護の重要性について徹底するとともに、電算システムのセキュリティ対策と再発防止対策に取り組んでいきます。

リリース文アーカイブ

Labels:
Location: 日本、滋賀県犬上郡豊郷町

【セキュリティ事件簿#2024-033】「東京ヴェルディ公式オンラインストア」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ


このたび、弊社が運営する「東京ヴェルディ公式オンラインストア」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(2,726件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯


2023年12月21日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報漏洩が懸念されるとの連絡を受け、同日弊社が運営する「東京ヴェルディ公式オンラインストア」を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年1月16日、調査機関による調査が完了し、2023年8月22日~2023年12月20日の期間に「東京ヴェルディ公式オンラインストア」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況


(1)原因


弊社が運営する「東京ヴェルディ公式オンラインストア」システムの開発管理者アカウントへの不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様


2023年8月22日~2023年12月20日の期間中に「東京ヴェルディ公式オンラインストア」においてクレジットカード決済をされたお客様2,726名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当する2,726名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い


既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について


2023年12月21日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について


弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。改修後の「東京ヴェルディ公式オンラインストア」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年12月22日に速報した後、2024年1月26日に続報を実施済みであり、また、所轄警察署にも2023年12月25日被害申告しており、今後捜査にも全面的に協力してまいります。

Labels:

【セキュリティ事件簿#2024-030】関東ITソフトウェア健康保険組合 委託事業における個人情報漏えい事案について

 

関東ITソフトウェア健康保険組合(以下「当組合」という。)が健康診断等業務を委託している慈恵医大晴海トリトンクリニック(以下「受託者」という。)において、下記のとおり受託者が健診結果データを他の事業所に誤送付した事案が判明しました。

関係者の皆様にはご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。

受託者に対しては、健診結果データの作成・送付に関し、データの取扱いとヒューマンエラーを起こさないシステムの構築及び運用変更後の実効性の確認などの再発防止策を講じるよう指示しており、更なる安全性の確保に努めてまいります。

  1. 令和5年12月8日(金)、同年10月受診分の健診結果データを、受託者がA事業所にCD-Rで送付したところ、当該事業所以外に所属の13社117名の健診結果データが収録されていたことが、令和6年1月5日(金)、受託者より当組合に報告され情報漏えいが判明した。(A事業所から受託者への連絡も同日)

  2. 当該CD-Rについては、A事業所担当者1名、限定された者にて管理され、当該データ及びCD-Rは速やかに破棄されており、個人情報漏えいの二次被害がないことを確認した。

  3. 関東信越厚生局及び個人情報保護委員会に本事案について、当組合より令和6年1月9日(火)報告済みである。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-029】厚生労働省 私用メールアドレスの誤登録による第三者への個人情報の漏えい及びその対応状況・再発防止策について


このたび、厚生労働省において、職員の緊急連絡先である私用メールアドレスが当該職員本人により誤って登録されたことにより、休日、夜間等に業務の必要性から関係者にメールを一斉送信した際、第三者に当該メールが誤送信されていたことが、令和6年1月23日(火)に判明しました。当該メールには、行政機関の職員の公務用メールアドレスや私人の電話番号などの個人情報が含まれており、それらが漏えいしました(詳細は後述)。

事案の概要その他再発防止策等について下記のとおりお知らせいたします。

関係者の皆さまに深くお詫びしますとともに、再発防止のため、しっかりと取り組んでまいります。

1.事案の概要

職員の緊急連絡先である私用メールアドレスが本人により誤って登録されたことにより、令和5年9月15日(金)以降、休日などに業務の必要性から関係者にメールを一斉送信した際、第三者に当該メールが誤送信されていたことが、当該誤登録者の報告により、令和6年1月23日(火)に判明。

今回の事案において個人情報が漏えいした者は675名。

うち、
 ・ 公務メールアドレスが漏えいした行政機関職員は650名、
 ・ 電話番号が漏えいした私人は、25名
であることを確認した。

2.発生原因

職員の緊急連絡先である私用メールアドレスが当該職員本人により誤って登録されたこと。

また、誤登録後、当該職員において、休日、夜間等もリモートアクセスによる公務メールアドレスを用いた対応のみを行っていたため、私用メールアドレスにおける業務上のメール受信の有無の確認が行われなかったこと。

3.本事案に関する対応状況(被害の状況等)

誤送信先に対し、謝罪や削除依頼等の連絡をしている(当該誤送信先である、誤登録されたメールアドレスの所有者からの応答はこれまでない)。

4.再発防止策

テレワーク環境の改善を踏まえ、本省における私用メールアドレスの業務上の使用については、禁止する。

5.関係者への説明

個人情報が漏えいした行政機関職員や私人への謝罪(お手紙)の送付を行う予定。

Labels:

【セキュリティ事件簿#2024-027】名港海運株式会社 海外子会社への不正アクセスについて

 

このたび、欧州における当社子会社「Meiko Europe N.V. (以下、ME)」において、2024年1月6日に第三者による不正アクセスを確認しました。

本不正アクセスの判明以降、MEおよび現地のセキュリティ専門会社による調査を行っておりますが、被害の全容を確認するには、一定の時間を要する見込みです。なお、本件は現地当局への報告を行っております。

関係者の皆さまにはご迷惑とご心配をおかけしており、深くお詫び申し上げます。

また、当社IT部門による調査の結果、現時点においてME以外の当社グループに影響がないことを確認しております。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-026】ダイドーグループホールディングス株式会社 弊社サーバへの不正アクセス発生について


この度、本年 1 月 16 日(火)に、弊社を含むグループ企業等で利用するネットワークが第三者による不正アクセスを受けたことを確認しました。社内調査を実施した結果、不正アクセスにより、弊社サーバのデータの一部が読み出されたことが判明しました。

弊社は、危機管理委員会にて本件の対策方針を定め、現在、外部の専門機関等とも連携し、調査を進めております。今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

なお、不正アクセスを確認後、速やかに関係機関への報告を行うとともに、外部からのアクセスを制限するなどの対策は実施済みです。

本件に関し、ご心配をお掛けしますことを深くお詫び申し上げます。

Labels:

サイバーセキュリティ・キャリア・フレームワークを使うべきか?


サイバーセキュリティ分野における最大の問題の1つは、技術革新に対応して役割と関連スキルセットが時とともに有機的に進化してきたことです。このため、雇用主によって同じ職務に割り当てられるスキルセットが異なることがよくあり、現在のスキル不足によって状況はさらに悪化しています。

このような食い違いは、企業にとっては人員計画を立てることを、求職者にとってはどのようにキャリアを築くべきかを判断することを、ともに非常に困難にしています。これを解決するために、必要とされていた透明性をもたらすキャリア・フレームワークが開発されました。これらのフレームワークは、候補者と職務をより正確にマッチングさせることで、雇用慣行と定着率の向上に役立つはずです。

米国のNICE

現在、多くのフレームワークが開発されており、それぞれ成熟度が異なっています。米国は、米国国立標準技術研究所(NIST)の「サイバーセキュリティ教育のための国家イニシアチブ(NICE)」でリードしており、当初は連邦省庁向けに開発されましたが、2020年に改訂されて以来、広く商業的に採用され始めています。NICE は、何が必要かを記述したタスク、知識、スキル(TKS)ステートメントで構成され、受験者はこれらに関連するコンピテンシーを達成することができます。雇用主はこれらのコンピテンシーを参照し、職務記述書に記載することになります。33の専門分野と52の職務をカバーする7つのカテゴリーがあるが、紛らわしいことに、1つの職務に複数の職務が含まれることもあります。

NICEには多くの側面があり、そのために理解するのが難しいかもしれません。そこで、National Initiative for Cybersecurity Careers and Studies(NICCS)は、ユーザーがフレームワークを理解するのを支援するために、Cyber Career Pathways Toolを開発しました。このツールは、どのスキルがどの職務に関連しているかを示し、また、転職を検討している候補者が関連職種を見極めるのに役立ちます。

英国のCCF

英国では、サイバーセキュリティ協議会(Cyber Security Council)がサイバー・キャリア・フレームワーク(Cyber Career Framework)を開発しています。このフレームワークは、16の専門分野を網羅し、労働生活、責任、給与、知識、スキル、転職(出世または横への移動)、資格に関する詳細情報を提供しています。

さらに、同協議会は今年初めに、インタラクティブなキャリアマッピングツールを展開しました。このツールは、サイバーセキュリティ分野でのキャリアを模索するために、他の分野から転職を希望する人々をサポートする目的で作成されました。

このフレームワークはまだ完成しておらず、Cyber Security Profession Chartered Standards (CSPCS) と並行して展開されています。CSPCSは、16の専門分野ごとに3つの認定基準(Associate、Principal、そして憧れのCharteredステータス)を提供することを目指しており、2025年までに大規模な改革を完了させる予定です。

EUのECSF

EUにおける欧州サイバーセキュリティ・スキルフレームワーク(ECSF)は、Enisa(欧州ネットワーク情報セキュリティ機関)が昨年9月に発表した最新のフレームワークです。このフレームワークは、12種類のサイバー職種のプロフィールを詳細にまとめており、代替可能な職名、職務概要、ミッション、成果物、主なタスク、主要なスキル、知識、コンピテンシーを「役割」として提示しています。さらに、雇用主、教育プロバイダー、候補者向けにガイダンスを提供するマニュアルも用意されており、それぞれの要件に適した情報を提供しています。また、ISACA、(ISC)2、ECSO(European Cyber Security Organisation)から提供された3つのユースケースも含まれています。

これらのフレームワークが各地域で広く採用されることで、雇用者にとってはサイバーセキュリティ分野の混乱が減少し、潜在的な採用者にとっては敷居が低くなることが期待されています。


日本のSecBok

情報セキュリティ知識分野(SecBoK)人材スキルマップは、セキュリティ関連の業務に従事する人材が必要とする知識とスキルを体系的に整理したものです。このスキルマップは、セキュリティの専門家から大学生まで、幅広い人々にとって参考資料として活用されています。

SecBoKは、16の役割(ロール)ごとに必要な前提スキルと必須スキルを詳細にまとめています。例えば、CISO(Chief Information Security Officer)、脆弱性診断士、インシデントハンドラーなど、さまざまなセキュリティ職種についての情報が含まれています。

特徴的な点として、以下の3つが挙げられます:
  • 知識分野カテゴリーの改定: 今注目されている「プラス・セキュリティ人材」について、業務の種類や立場に応じた基礎スキルを集約して追加い勝手を向上。
  • Job description(ジョブディスクリプション)の考え方: ジョブディスクリプションに基づくセキュリティ関連職種の募集例を提示。
  • プラス・セキュリティ人材育成や高等教育機関におけるシラバス作成の参考資料: SecBoK各ロールとの適合度の例や教育コースとのマッピング例を提供。
このスキルマップは、セキュリティ分野の混乱を減少させ、潜在的な採用者にとって敷居を低くすることを目指しています。

何を選択するか?

雇用者の視点から見ると、これらのフレームワークは、どのスキルセットがどの職務に適しているかを特定し、各職務内容に関連するものをリストアップするのに役立ちます。また、人員計画や、すでにいるスタッフのスキル開発にも役立ちます。ガイドは、明確で直線的な昇進の道筋を示し、キャリアプランの形成に役立ち、それによって定着率を向上させることが期待されています。

求職者側から見れば、フレームワークによって、さまざまな職務がどのように関連し、どの程度の給与が期待できるかを初めて知ることができ、自らのキャリア開発を計画することができます。また、転職可能なスキルを持っている人は、それを活かせる場所を探したり、具体的な職務について詳しく知ることができるでしょう。

しかし、このフレームワークは人材紹介部門にも関係があります。採用担当者は、無関係なスキルをまとめたり、非現実的な要求をしたりする職務記述書の書き直しに時間を費やす必要がなくなります。これらのマトリックスを参照することで、より職務に適した候補者を探し出し、面接プロセスの一部として情報を活用することができるようになるでしょう。このような小さな変化が採用の可能性を高め、サイバーセキュリティ格差の縮小に貢献することでしょう。

さらに網を広げれば、このフレームワークは、将来のサイバーセキュリティの専門家を教える教育プロバイダーの指針となり、大学のコースで何を学ぶべきかについての洞察を与えることになるでしょう。そしてベンダーも、自社のソリューションを運用するために必要なレベルやスキルセットを示すために、コンピテンシーを利用できるようになることでしょう。

数年後には、このコンピテンシーがなかったら、この分野はいったいどのように機能していたのだろうかと不思議に思うようになることでしょう。


Labels:

【セキュリティ事件簿#2024-025】茨城東病院 患者個人情報を記録したUSBメモリの紛失について


この度、当院において、患者個人情報を記録したUSBメモリを紛失する事案が発生いたしました。このような事案が発生にしたことについて、個人情報を取り扱う医療機関として決してあってはならないことであり、深く反省いたしております。

恵者様及びそのご家旋並びに関係機関の皆様に深くお詫び申し上げますとともに、個人情報管理の徹底を図り、信頼回復に向けて二度とこの様なことを生じさせないよう再発防止に努めてまいります。

1. 紛失の経緯

令和5年12月18日 (月)、当院職員の申告により個人情報を含んだUSBメモリの紛失が判明いたしました。病院外に持ち出しはしていないため、院内で紛失したものと考えております。

同日以降、紛失場所の捜索、職員への開き取り確認を行い、併せて警察にも遺失の問い合わせをいたしましたが、現時点で発見には至っておりません。

2. 紛失したUSBメモリに保存されでいた個人情報

①患者情報

・忠者ID、氏名、病名、居住地域、診療科、入院日、退院日等 2, 533名分

・氏名、転院先、死亡日                    3, 605名分

②職員情報 (面談記録、勤務表)                     8名分

なお、当該USBメモリには、自動暗号化及びパスワードロック機能を設定しております。

3. 現在までの対応

対象の患者様及びご家族には、個別にご連絡のうえ、謝罪いたします。

また、現時点において、個人情報が外部に流失したことの情報や不正利用された事実等の被害は確認されておりません。

4. 再発防止策

全職員に対して個人情報管理の徹底とUSBメモリ等の外部電磁的記憶媒体にかかる関連規定の順守について周知徹底するとともに、個人情報の取り扱いに関する研修及び個人情報の管理状況の確認を定期的に実施する等対策を講じてまいります。

この度は、患者様及びご家族並びに関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを、改めて深くお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-024】三浦工業 サイバー攻撃による弊社ホームページ改ざんに関するお詫びとご報告


2024年1月26日(金)17時00分頃から1月28日(日)11時21分までの間に、第三者からのサイバー攻撃によりホームページが改ざんされていた事が判明いたしました。

ご利用いただいておりますお客様の皆様には多大なご迷惑、ご心配をお掛けしたことを深くお詫び申し上げます。現在、原因と影響の調査を進めており、ホームページを閉じさせていただいております。

当サーバにはお客様の個人情報は保存されておりませんので、個人情報の流出はない見込みです。(お問い合わせなどでホームページより入力いただいた情報はホームページ内には保存されておりません。また、会員制サイトのお客様情報は設定されたIDと暗号化されたパスワード情報のみが保存されています)

改ざん内容

2024年1月26日(金)17時00分頃から1月28日(日)11時21分までの間に、ホームページ(三浦工業※1)にアクセスすると別サイト(アラビア語の通販サイト)へ誘導される状況が確認されました。

※1対象サイト コーポレート・製品サイト(miuraz.co.jp) 
                   カタログ会員サイトMyMIURA(mymiura.com)

ご利用のお客様へのお願い

上記期間中に、ホームページ(三浦工業※1)にアクセスされた可能性のあるお客様におかれましては、誠にお手数ですが、お手持ちのセキュリティソフトを最新の状態にし、不正なプログラムの感染確認・駆除の実施をお願い申し上げます。

また、参照先の不正なホームページにおいてIDやパスワードを入力してしまった場合は、同じパスワードを使っている全システム(他社サイトを含む)のパスワードを変更いただきます様、お願いいたします。

会員制サイトのIDにメールアドレスをご登録いただいていたお客様もおられましたので、こちらは個別にご連絡差し上げます。

今後原因や影響が判明した場合には本ホームページで引き続き報告させていただきます。

Labels:

マリオットのポイント購入ボーナスセール(~2024年3月31日)


マリオットがポイント購入のボーナスを発表。2023年10月1日から12月31日の間にマリオット系列での滞在実績がある会員は40%ボーナス、その他の会員は35%のボーナスを獲得できる。

自分はマリオットポイントはJALマイルの間接購入手段と割り切っているため、宿泊実績は無いため35%ボーナス。

このボーナスは2,000ポイント以上の購入に適用され、2024年3月31日まで利用できる。

過去には、パンデミック(武漢ウイルス流行)時にこのボーナスが60%まで上昇したこともあったが、今回もそうなるかどうかはわからない。

感覚的に60%は無いだろう。50%ボーナスが最大だろうから、その時は全力で購入するとして、その他のボーナス時は少しずつ購入をしていく。

以前は為替の関係で購入をためらうシーンが多かったが、住信SBIネット銀行の外貨自動積立で毎月ドルを積み立て、積み立てたドルはJALペイに移して決済するという解決策を思いついた。

これでドルコスト平均法でドルを買い、ドルのまま決済できるので為替を気にする必要がなくなる。

とりあえず今回は50ドル分買ってみる。

マリオットポイントは毎年6万ポイント分購入(=25,000JALマイル)する方針。

あと、マリオットポイント購入時はTopCashback経由で購入するとキャッシュバックをゲットできるのでオススメ


出典:Buy Marriott Bonvoy points with up to a 40% bonus

Labels:

【セキュリティ事件簿#2024-023】ディップ株式会社 求人掲載企業の管理画面への不正ログインに関するお詫びとお知らせ


当社が運営する求人情報サイト「バイトル」に掲載している株式会社サンライズワークス(以下、当該掲載企業)の応募者情報管理画面への不正ログインが発生し、不正ログインを行った第三者(以下、当該第三者)により当該掲載企業への応募者のうち20名の応募情報の一部と、不正ログインに使用したIDおよびパスワードが外部へメール送信されたことが判明いたしました。そのため、当該掲載企業への応募者の方は、当該第三者および送信されたIDおよびパスワードを用いてアクセスした者に、応募情報を閲覧された可能性があります。

関係者の皆様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

現在、鋭意調査を続けておりますが、現時点で判明している事実および本件への対応について以下のとおりご報告いたします。

■概要

当社が運営する求人情報サイト「バイトル」において、当該掲載企業のIDおよびパスワードを取得した第三者が、応募者を管理する管理画面に不正にログインし、当該掲載企業への応募者のうち20名の応募者情報の一部と、不正ログインに使用したIDおよびパスワードを、ご本人を含む応募者に対し、当該管理画面のメール送信機能を利用して送信しました。そのため、当該第三者および送信されたIDおよびパスワードを用いてアクセスした者は、当該掲載企業への応募者の方のうち1,296名の方の応募情報を閲覧した可能性があります。

当社は、メールを受信した応募者様からの問い合わせにより事象を確認し、本IDの停止処理および求人掲載を取り下げて被害拡大を防止するとともに、不正ログインの被害にあった当該掲載企業と協力して、調査を実施しております。また、調査の結果、閲覧された可能性がある応募者の方々を特定し、お詫びとご連絡を2024年1月31日(水)に完了したことをお知らせいたします。 送信された個人情報および 閲覧された可能性のある個人情報は以下の通りであり、クレジットカード情報等は含まれておりません。

なお、当社システムにおいては、掲載企業の皆様の管理画面へのログインパスワードは暗号化されて保管されており、当社のエンジニアを含めて閲覧および解読ができない仕様になっております。本事象を受けて当社システムのセキュリティ調査を改めて行っており、現時点では、当該掲載企業以外のID・パスワードが不正に利用された事実は確認されておりません。

■応募情報が送信された応募者

20名(2023年1月~7月に当該掲載企業に応募した応募者の一部)

・該当する個人情報の項目

 氏名、年齢、性別、メールアドレス、電話番号、現在の職業

■応募情報を閲覧された可能性がある応募者

1,296名(2023年1月~10月に当該掲載企業に応募した応募者の一部)

・該当する個人情報の項目(当社が実際に取得している項目は応募者によって異なるため、1名以上の応募者から取得している項目を挙げています。)

 氏名(よみがなを含む)、年齢、生年月日、性別、メールアドレス、電話番号、現在の職業、お住まいの都道府県・市区町村、学歴・職歴、運転免許の有無・パソコンスキルに関する情報、自己PR、連絡可能な日時、応募日時、応募した案件の情報

■本件への対応

当社の対応
  • 本アカウントの停止
  • 該当される方へのお詫びとお知らせ
  • 当該情報を送信された方への応募情報が記載されたメール削除のお願い
  • 本事象に関するログ・セキュリティ調査の実施
  • 当該掲載企業の管理画面に不正ログインした第三者に関する調査の実施
  • 個人情報保護委員会への報告
  • 麻布警察署への報告および協力
引き続き、不正ログインの被害を受けた当該掲載企業とともに、関係各機関と連携し、事実の確認および適切な対応に務めております。応募情報を閲覧された可能性がある応募者の方のうち、当社がメールで連絡可能な方には、お詫びのメールにてお知らせしておりますが、ご懸念がある応募者の方は、お問い合わせ先までご連絡をお願いいたします。

この度は皆様に多大なご迷惑ご心配をお掛けしますこと、改めて深くお詫び申し上げます。

Labels:

Kivaローンで社会貢献しながらマイルをゲットできるか検証(2024年2月号)※2か月目

kiva.org

今月も2件の新規融資を実行。

先月は30USDずつ投資したが、今回は25USDしか選択できず、そのまま25USDで2件投資。

既存案件からはまだ返済が無い状態。

来月辺りから変化が出てくるだろうか?

■融資条件

・LOAN LENGTH:8 mths or less

・RISK RATING:4-5

・DEFAULT RATE:~1%

・PROFITABILITY:4%~

■新規融資案件 

融資No:2716127号(https://www.kiva.org/lend/2716127)

  • 融資国:フィリピン
  • Lending partner:Negros Women for Tomorrow Foundation
  • 期間:8か月
  • 融資実行:2024年2月
  • 融資額:25USD(≒3,900.5円)
  • 返済率:0%

融資No:2718123号(https://www.kiva.org/lend/2718123)

  • 融資国:ニカラグア
  • Lending partner:MiCredito
  • 期間:8か月
  • 融資実行:2024年2月
  • 融資額:25USD(≒3,900.5円)
  • 返済率:0%

■融資済み案件

融資No:2705613号(https://www.kiva.org/lend/2705613)

  • 融資国:フィリピン
  • Lending partner:Negros Women for Tomorrow Foundation
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)
  • 返済率:0%

融資No:2707642号(https://www.kiva.org/lend/2707642)

  • 融資国:ニカラグア
  • Lending partner:FUNDENUSE
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)
  • 返済率:0%

Labels:

【セキュリティ事件簿#2024-023】サンライズワークス 不正ログインによる個人情報漏洩のお知らせとお詫び


弊社が求人情報を掲載しておりますディップ株式会社(以下、ディップ社)の運営にかかる求人情報サイト「バイトル」において、弊社の応募者情報管理画面(以下、本件管理画面)への不正ログインが行われ、2023年1月から同年11月に「バイトル」を利用して弊社にご応募いただいた方(以下、応募者様)のうち20名の応募情報の一部と上記不正ログインに使用されたID・パスワードが記載されたメール(以下、本件メール)が、本件管理画面のメール送信機能を利用して、外部へ送信された事実が判明いたしました。

そのため、本件管理画面に保存されていた応募者様1296名分の応募情報が、不正ログインを行った第三者及び本件メールに記載されたID・パスワードを用いてアクセスした者に閲覧された可能性があります。

なお、送信された個人情報および 閲覧された可能性のある個人情報は後記の通りであり、クレジットカード情報は含まれておりません。
また、現時点で、不正ログインに使用されたID・パスワードが弊社内部から漏洩した事実は確認されておりません。
 
関係者の皆様には、多大なるご迷惑とご心配をおかけし、深くお詫び申し上げます。
弊社は、本件メールが送信された事実の発覚後、ディップ社と協力して調査を行って参りましたが、引き続き、責任を持って本件に対応して参ります。
現時点で判明している事実経過及び当社の対応については、以下のとおりです。

2023/12/30 ・本件メールが一部の応募者様宛に送信される。続いてサイバー攻撃を受けている旨の不審なメールが一部の応募者様宛に送信される。
2024/1/5~ ・ディップ社側から連絡を受け、弊社が本件メール送信の事実を把握。
※なお、この間にサイバー攻撃を受けている、不審なメールを受信した等のお問い合わせをいただきましたが、
弊社には本件メールについてのお問い合わせがなく本件メール送信の事実が把握できませんでした。
・管理画面の停止および求人掲載取り下げのうえディップ社と協力して調査を開始(現在も継続中)、
応募者様宛の連絡等についても同社と協議のうえ対応。

<送信された個人情報及び閲覧された可能性のある個人情報>
(1) 応募情報がメール送信された応募者様 
20名(2023年1月~7月に当該掲載企業に応募した応募者の一部)
氏名、年齢、性別、メールアドレス、電話番号、現在の職業

(2) 応募情報が閲覧された可能性がある応募者様 
1296名(2023年1月~10月に当該掲載企業に応募した応募者の一部)
氏名(よみがなを含む)、年齢、生年月日、性別、メールアドレス、電話番号、現在の職業、お住まいの都道府県・市区町村、学歴・職歴、運転免許の有無・パソコンスキルに関する情報、自己PR、連絡可能な日時、応募日時、応募した案件の情報
※実際に取得している項目は応募者様によって異なるため、1名以上の応募者様から取得している項目を全て挙げています。

<本件への対応>
・求人掲載の停止
・ディップ社に対し、不正ログインが行われたアカウントの停止等の対応状況を確認のうえ、ログ等の調査を依頼
・ディップ社と対応を協議のうえ、応募者様への上記お知らせ等や関係機関への報告をディップ社において実施していただく
・社内PCのログイン履歴、利用状況、ID及びパスワードの管理状況等を確認のうえ、ディップ社から提供されたログ等の情報と照合し本件管理画面に
 不正ログインした第三者に関する調査を実施
・社内PCのウイルススキャンの実施
・マルウェアEmotetの感染チェックの実施
・本件管理画面のID及びパスワードの変更、ID及びパスワードの管理体制の強化   

現時点で把握している事実経過及び対応は上記のとおりですが、引き続き、ディップ社と協力して調査を継続し、適切に対応して参ります。この度は、応募者様及び関係者の皆様に多大なご迷惑ご心配をお掛けしますことを深くお詫び申し上げます。

Labels:

【セキュリティ事件簿#2024-022】株式会社ファインエイド 不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営する「健康いきいきライフスタイル」のウェブサイト(以下「弊社サイト」といいます。)におきまして、第三者による不正アクセスを受け、当サイトをご利用いただいた一部のお客様の個人情報(5,193名分)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
個人情報が漏洩した可能性のあるお客様には、本日より、電子メール又は書面にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年12月11日、一部のクレジットカード会社から、弊社サイトを利用したお客様の個人情報の漏洩懸念について連絡を受け、2023年12月12日、弊社サイトでのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2023年12月26日、調査機関による調査が完了し、2021年1月5日から2023年11月15日までの期間に弊社サイトを利用いただいた一部のお客様の個人情報が漏洩した可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。 

2.個人情報漏洩状況 

(1)原因
弊社サイトのシステムの一部の脆弱性を悪用したクロスサイトスクリプティングの手法による第三者の不正アクセスにより、サーバ内に、クレジットカード決済実行時に処理される個人情報を取得するためのアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
個人情報漏洩の可能性がある期間は、2021年1月5日~2023年11月15日であり、漏洩の可能性がある対象者は、弊社サイト(「健康いきいきライフスタイル」)をご利用されたお客様5,193名です。漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・氏名
・住所
・メールアドレス
・電話番号
・FAX番号
・注文履歴
・生年月日
・性別

上記に該当する5,193名のお客様については、別途、電子メール又は書面にて 個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカード情報による取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、クレジットカード情報の漏洩の可能性があるお客様につきましては、クレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年12月11日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知を行うべきと判断し、また、初期の調査からさらなる漏洩のおそれは小さいと判断されたことから、調査会社から調査結果を受領し、カード会社その他関係機関との連携を十分に行ってから公表することにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について 

弊社サイトは、2023年11月15日、従前の脆弱性を克服し、十分なセキュリティ対策および監視体制を備えた新環境へ移行しておりますが、本事案を受けてカード利用は現在も停止中です。もっとも、このたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制のさらなる強化を検討し、再発防止を図ってまいります。
弊社が運営する「健康いきいきライフスタイル」の再開日につきましては、決定次第、改めて弊社のWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年12月12日に報告済みであり、また、所轄警察署にも2023年12月12日被害申告しており、今後捜査にも全面的に協力してまいります。

Labels:

【セキュリティ事件簿#2024-021】日東製網株式会社 第三者によるランサムウェア感染被害のお知らせ


このたび、当社のサーバーが第三者による不正アクセスを受け、ランサムウェア感染被害を受けましたので、お知らせいたします。

本件につきましては、既に対策本部を設置のうえ、外部専門家の助言を受けながら、原因特定、被害情報の確認、情報流出の有無などの調査を行い、復旧への対応を進めており、警察への相談をしております。引き続き、外部専門家等と連携のうえ、対応を進めていく方針です。

被害の全容を把握するには今しばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。

お取引様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

1.経緯

1月 16 日(火)午前8時頃に外部から不正アクセスを受けサーバーに保存している各種ファイルが暗号化されていること等を同日確認しました。

発覚時より直ちに、外部専門家と共に状況調査を行い、ランサムウェアの感染拡大を防ぐための必要な対応を行いました。

1月 17 日(水)に全社対策本部を設置し、情報共有すると共に、復旧に向けての対応を進めております。また、警察への相談しました。

2.被害を受けた情報

サーバーに保存していた各種業務データ、業務用ソフトウエアが暗号化されアクセス不能な状況となっております。なお、情報流出につきましては現在調査中です。

3.今後の対応

外部専門家及びシステム関係機関等と連携のうえ、早期復旧に向け作業を進めると共に、通常の業務遂行が可能となるよう対応を進めております。皆様へのご迷惑を最小限に止めるべく取組んでまいります。

なお、本件による当社グル-プの業績への影響については現在精査中であり、開示が必要な場合は速やかに公表いたします。

Labels:

【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスへの対応に関して

 

昨年、当社春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことに関して、以下の通り続報致します。

本件につきましては、速やかに対策本部を設置のうえ、外部専門家による原因の特定、被害状況の確認、情報流出の有無などの調査を行いました。

その結果、業務に使用していない PC にインストールされていたリモートデスクトップツールを通じた不正アクセスがあり、春日井工場のデータの一部がロックされましたが、バックアップ・データにより復旧できております。他のデバイスについてはこれまでに実施してきたセキュリティー強化の効果もあって影響を受けなかったものと判断しております。

今後は、導入済みのセキュリティーツールの運用強化も含め、適時、外部専門家のアドバイスを受けるなど、セキュリティー対策の拡充に努めて参ります。

改めまして、この度の件でご心配をお掛けしましたことを、深くお詫び申し上げます。

Labels:

【セキュリティ事件簿#2023-508】大東市立生涯学習センター アクロス 当センターメールアカウントへの不正アクセスのお詫びとご報告

 

2023年12月13日、当センターのメールアカウント(info@daito-across.jp)が第三者による不正アクセス攻撃をうける事象が発生し、調査・対応しましたのでお知らせします。

不正アクセスに伴って、当センターを装った「なりすましメール」が不正に発信されているという事実を確認いたしました。

本件に関しまして、再発防止に向けた対策を実施してまいります。関係者の皆様には、多大なるご迷惑およびご心配をおかけしますことを深くお詫びいたします。

経緯及び対応2023年12月13日1時頃、当センターを装った「なりすましメール」が大量に配信されていることを検知、アカウントを一時凍結しました。

これを受けて調査した結果、当センターのメールアカウントに対して不正アクセスが行われていることが判明しました。

不正アクセスされていたメールアカウントのパスワードについては12月13日に変更を行いました。

影響範囲および今後の対応daito-across.jpドメインをつかった複数の不正メールが送信された事象を確認しています。

また上記アカウントのメールボックス内の情報がダウンロードされた痕跡はいまのところ確認されておりませんが、メールボックス内の情報にアクセスできた可能性がございます。

当センターとしては、本件について引き続き調査を進めるとともに、調査結果を踏まえ、セキュリティ強化策を実施し、今後は更に不正アクセスを防止するための再発防止策を講じてまいります。今後、新たにお知らせすべき内容が判明した場合、速やかに情報を開示いたします。

当センターを装った不審メールにつきまして万一、当センターのメールを装った不審なメールが届いておりましたら、本文中に記載されているURLをクリックしたり、添付されているファイル等を開封したりせず、メールごと削除していただきますようお願いいたします。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-507】北海道銀行 個人情報漏えいに関するお詫びとご報告


この度、北海道銀行(以下、当行)におきまして、下記の個人情報漏えいが発生しました。

お客さまにおかれましては、多大なるご迷惑とご心配をおかけする事態になりましたことを心よりお詫び申し上げます。

お客さま情報の厳重な管理を求められる金融機関といたしまして、今回の事態を重く受け止め、情報管理につきましては、役職員に対し教育を徹底し再発防止に努めてまいります。

 1.事案の概要

2023 年 12 月 18 日 10 時 50 分頃、毎月データを送信している相手先に対して、本来お渡しすべきデータの他、誤ってお渡しすべきでない個人情報が記載されたファイルを電子メールに添付して送信しました。

同日 11 時頃、当行側で誤ったファイルを添付したことに気づき、直ちに相手先を訪問し当日中にデータを削除していただいたことを確認しており、二次流出の懸念はないものと認識しております。

2.漏えいした個人情報

(1)2023 年 12 月 1 日から 2023 年 12 月 15 日までの期間において、「ほくほくPay」の決済口座を当行に登録されているご利用者のカタカナ氏名・ご利用金額・ご利用日時等(210 名)。

(2)2023 年 12 月 1 日から 2023 年 12 月 15 日までの期間において、「ほくほくPay」が利用された店舗(加盟店)運営者である個人事業主の漢字氏名(2 名)。

※氏名以外の個人を識別できる情報(住所、電話番号、口座番号、預金残高等)は含まれておりません。

3.発生原因

当行では電子メール送信の際は、担当者・検証者による 2 名での手続きを経て送信を行っておりますが、担当者・検証者ともに添付ファイルの内容確認を十分に行わなかったことが原因です。

4.再発防止策

役職員に対し個人情報の重要性と厳格な管理を改めて周知し、電子メールの運用ルールを徹底させ再発防止に努めてまいります。

Labels:

【セキュリティ事件簿#2024-020】オープンワーク株式会社 個人情報漏えいに関するお詫びとご報告


この度の「令和六年能登半島地震」によって、お亡くなりになられた方々のご冥福を心よりお祈り申し上げますとともに、被害にあわれた方々にお見舞い申し上げます。被災された地域の皆様の安全と、一日も早い復興をお祈り申し上げます。

当社が運営する転職・就職のための情報プラットフォーム「OpenWork」上で収集した個人情報について、弊社から配信するメールの設定不備により、一部ユーザー様の個人情報漏えいが起きていることが発覚いたしましたのでご報告いたします。

2024 年 1 月 22 日から 1 月 24 日にかけて弊社から配信した一部のメールについて、ユーザー様の「氏名」および「求人の閲覧履歴(最大で直近 5 件分)」が他のユーザー様に誤って送信されておりました。

本件発覚後、すみやかに該当メールの配信を停止しております。

本件の対象となるユーザー様には順次、ご連絡いたします。ユーザーの皆様および関係各位の皆様に多大なご迷惑とご心配をおかけしていることを、ここに深くお詫び申し上げます。
本件に関する概要と対応について、下記の通りご報告いたします。

1.概要および当社の対応について

2024 年 1 月 22 日に一部ユーザー様向けメールの設定を変更し、メールを配信いたしました。1 月 24 日に誤送信に関する問い合わせがあり、社内の調査によって、ユーザー様の個人情報が他のユーザー様に誤って送信されていることを確認し、同日、13 時 10 分に該当メールの配信を停止しております。

2.メール誤送信の詳細

■事象:
以下の期間に OpenWork から配信した一部のメールにおいて、ユーザー様(A)の「氏名」および「求人の閲覧履歴(最大で直近 5 件分)」を他のユーザー様(B)に送信しておりました。

■対象:
A に該当する人数:98 名
B に該当する人数:2,094 名

■期間:
2024 年 1 月 22 日~2024 年 1 月 24 日

3.ユーザーの皆様への対応について

2024 年 1 月 24 日 13 時 10 分に該当のメール配信を停止いたしました。また、本件の対象となるユーザー様には順次、ご連絡させていただきます。

4.再発防止策について

今回の事態を重く受け止め、今後このような事態が発生しないよう、個人情報保護の重要性等についての社内教育を徹底するとともに、個人情報取り扱いフローの見直しなど内部管理体制のより一層の強化とコンプライアンスの徹底に取組んでまいります。なお、本件は個人情報漏えいに該当致しますので、JIPDEC への報告を速やかに行います。

この度は、ユーザーの皆様および関係各位の皆様へ多大なご迷惑をおかけしますこと、重ねてお詫び申し上げます。

Labels:

【セキュリティ事件簿#2024-019】滋賀レイクス Googleフォーム誤操作による企画申込者の個人情報漏えいについて


1月23日に発信したフードメニューの購入事前予約受付において、WEBフォームの設定ミスにより、申込者22名の個人情報が一時的に他の申込者から閲覧できる状態となっておりました。
対象となった皆様に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

概要

株式会社滋賀レイクスターズでは、1月31日のホームゲームで数量限定で販売予定のフードメニュー「ダンク3兄弟 トマホークステーキ」のオンライン時前予約の受付を、23日午後6時40分頃に一般公開いたしました。
その際、受付に使用したGoogleフォームの設定で「結果の概要を表示する」をONに切り替えた状態で公開しており、申込画面で記入事項を送信した後に画面表示される「前の回答を表示」というボタンを押すと、その時点で申込が完了している方の氏名、メールアドレス、電話番号が閲覧できる状態となっておりました。

弊社の公式WEBサイト問い合わせフォームより本件の指摘があり、事態を認識した弊社スタッフが同日午後10時30分頃に設定切り替えを行いましたが、その時点までに申込をいただいていた22名の個人情報が一時的に申込者から閲覧できる状態でした。

なお、設定切り替え以降は、閲覧可能な状態は解消されております。

弊社対応

24日に、対象となる22名へ電子メールと個別の電話により、事態のご説明とお詫びの連絡を行っております。
また、弊社がGoogleフォームで運用しているWEBフォーム受付を全社的に確認し、同様の誤設定はなかったことを確認しております。

原因 

Googleフォームで申込フォームを作成後、担当者が「結果の概要を表示する」をONにする誤操作を行っておりました。社内では質問項目のダブルチェックを行っておりましたが、デフォルト設定では当該設定はOFFであるため、全設定が正常であるかの確認は十分に行われておりませんでした。

再発防止策

再発防止に向けて、個人情報の収集および管理の際に遵守すべき事項を、改めて全社員に周知徹底してまいります。
また、今後も継続的に個人情報保護および情報セキュリティ教育を徹底し、情報管理への感度の引き上げを図るとともに、全社的な情報管理体制の強化に取り組んでまいります。

Labels:

【セキュリティ事件簿#2024-018】ベルサンテグループ ホームページ改ざん被害に伴う復旧 不審メール送信によるメールアドレス流出


平素は格別のお引き立てを賜り、厚く御礼申し上げます。

2023年12月24日に、当社サーバーが、第三者による不正アクセス被害を受けました。

関係者の皆様には深くお詫びを申し上げますとともに、今般、第三者調査機関による調査が完了いたしましたので、弊社ホームページ改ざん被害に伴う復旧及び不審メール送信によるメールア ドレス流出状況の検証結果をご報告いたします。 

なお、既に当社サーバーは復旧しており、現時点では業務への影響がないことを併せてご報告させていただきます。

【弊社ホームページ改ざん被害内容及び復旧について】

2023年 12 月 24 日未明に、何者かにより弊社ホームページが改ざんされたことが判明いたしました。 弊社データは外部業者が保守しているサーバーにて管理しておりましたが、そのサーバー内に侵入及び改ざんされたことが確認されております。 復旧のため、まずは侵入される前のデータの安全確認を行った後に、新たな外部クラウドサーバーにてホームページの運用を2023年 12 月 28日より開始いたしました。 またスタッフ専用サイトにつきましては、より安全確認に時間を要したため、1 月17日に復旧いたしました。

尚、一部データが見れない状況のため、今後修正していきます。

 【不審メール送信によるメールアドレス流出経緯、及び流出状況報告】 

2023年12 月 24 日未明に、弁護士を名乗った送信者より、下記内容のメール送信がなされました。
・ベルサンテ株式会社が業績悪化の為、12 月 24 日付で破産手続きを開始した。 
・今後の対応は破産管財人及び顧問弁護士が行う。 
送信先:弊社派遣スタッフ(過去勤務者を含む)

被害確認後、早急に各サーバーの状況確認を行い、多くの個人情報や顧客情報を管理するサーバーへの被害が無い旨を確認しましたが、 2020 年 7 月 22 日まで使用していたメール送信システム(外部業者が保守しているサーバーにて管理)に何者かが侵入し、そのシステム内よりメールを送信されたことが判明いたしました。 そのシステムでは当時勤務いただいておりましたスタッフの方専用のメール送信用として活用していたシス テムとなります。 そのシステム内には一部のメールアドレスを保存しており、その一部が侵入者に閲覧された可能性 があると確認いたしました。 

改めまして、関係者の皆様には、心よりお詫び申し上げます。

 尚、メールアドレス以外の個人情報については、安全確認がなされたサーバーにて管理しており、そのサーバーへのウィルス感染はもちろん、部外者からの侵入形跡もなく、脆弱性もないことにより、個人を特定する情報(名前、住所、電話番号、マイナンバーなど)は一切外部へ流出していないことが確認されました。 

当社では、不正アクセス防止の措置及びセキュリティ対策について努めて参りましたが、このたびの事態を厳粛に受け止め、今後、個人情報等の保護・対策について徹底して参りたいと存じます。 

皆様には、大変ご心配とご不便をおかけいたしましたが、今後とも何卒よろしくお願いいたします。

Labels:
登録: コメント (Atom)