【セキュリティ事件簿#2024-047】鹿児島くみあい食品株式会社 弊社が運営する「クミショクファーム」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が運営する「クミショクファーム」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（2,114 件）が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

電子メールがお届けできなかったお客様には書状にてご連絡させて頂きます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023 年 9 月 29 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、2023 年 9 月 29 日弊社が運営する「クミショクファーム」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023 年 11 月 28 日、調査機関による調査が完了し、2021 年 5 月 30 日～2023 年 9 月 13 日の期間に「クミショクファーム」で購入されたお客様クレジットカード情報等が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があること、また、2023 年 10 月 17 日までに「クミショクファーム」において会員登録又は商品の購入をされたお客様および商品購入においてお届け先として指定されたお客様の個人情報が漏えいした可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

弊社が運営する「クミショクファーム」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2021 年 5 月 30 日～2023 年 9 月 13 日の期間中に「クミショクファーム」においてクレジットカード決済をされたお客様 2,061 名(2,114 件)で、漏えいした可能性のある情報は以下のとおりです。

・クレジットカード番号

・有効期限

・セキュリティコード

・ＥＣサイト認証情報(メールアドレス、電話番号、パスワード)

(3)個人情報漏えいの可能性があるお客様

併せて、データベース上に保管されていた 22,234 名の個人情報も漏えいした可能性があり、可能性のある情報は以下のとおりです。

・氏名

・住所

・電話番号(ＥＣサイト認証ＩＤ)

・メールアドレス(ＥＣサイト認証ＩＤ)

・ＥＣサイト認証パスワード

・お届け先情報

・性別（※）

・誕生日（※）

・職業（※）

・会社名（※）

（※）「クミショクファーム」での商品ご購入時に当該情報を入力されたお客様のみが対象です。

また、商品購入のお届け先として指定されたお客様についても個人情報が漏えいした可能性があり、可能性のある情報は以下のとおりです。

・氏名

・住所

・電話番号

上記に該当する 22,234 名（うちクレジットカード情報 2,061 名） のお客様については、別途、電子メールにて個別にご連絡申し上げます 。

電子メールがお届けできなかったお客様には書状にてご連絡させていただきます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023 年 9 月 29 日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

「クミショクファーム」の再開につきましては、未定となります。再開する際には、決定次第、改めて Web サイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2023 年 10 月 2 日に報告済みであり、また、所轄警察署にも 2023 年 10 月 2 日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

WSL2のKali Linuxで名前解決ができない場合の対応

WSL2でKali Linuxを使っていたら、インターネットに接続できない事象に出くわした。いろいろ調べてみると、ネットワークのドメインを解決できていない模様。

今回はそんな課題にぶち当たった際の原因を特定し、解決するための方法を紹介します。

問題の症状

wsl上のLinuxでpingやapt updateできなくなる。

pingができない

例えばgoogleへのpingが返ってこない。

> ping google.com
ping: google.com: Temporary failure in name resolution

apt updateができない

apt updateするとTemporary failureが起きる。

 sudo apt update
無視:1 http://http.kali.org/kali kali-rolling InRelease
無視:2 https://brave-browser-apt-release.s3.brave.com stable InRelease
無視:2 https://brave-browser-apt-release.s3.brave.com stable InRelease
無視:1 http://http.kali.org/kali kali-rolling InRelease
無視:1 http://http.kali.org/kali kali-rolling InRelease
無視:2 https://brave-browser-apt-release.s3.brave.com stable InRelease
エラー:1 http://http.kali.org/kali kali-rolling InRelease
  'http.kali.org' が一時的に解決できません
エラー:2 https://brave-browser-apt-release.s3.brave.com stable InRelease
  'brave-browser-apt-release.s3.brave.com' が一時的に解決できません
パッケージリストを読み込んでいます... 完了
依存関係ツリーを作成しています... 完了
状態情報を読み取っています... 完了
アップグレードできるパッケージが 14 個あります。表示するには 'apt list --upgradable' を実行してください。
W: http://http.kali.org/kali/dists/kali-rolling/InRelease の取得に失敗しました  'http.kali.org' が一時的に解決できません
W: https://brave-browser-apt-release.s3.brave.com/dists/stable/InRelease の取得に失敗しました  'brave-browser-apt-release.s3.brave.com' が一時的に解決できません
W: いくつかのインデックスファイルのダウンロードに失敗しました。これらは無視されるか、古いものが代わりに使われます。

対処

wsl2ではDNSサーバの設定であるresolv.confが自動的に生成される。なのでこの設定を変更する。

1. powershellからwslコマンドでログインする。

2. 制御をするためのファイル（/etc/wsl.conf）を作る。

   sudo vi /etc/wsl.conf

3. 中身を次のようにする。

   [network]
   generateResolvConf = false

4. 別のpowershellを立ち上げてwslをシャットダウンさせる。

   wsl --shutdown

5. WSL2を起動して/etc/resolv.confを書き換える。

   > wsl
   > sudo vi /etc/resolv.conf
   

6. 中身を書き換える。

   nameserver 8.8.8.8

これでDNSサーバの設定ができドメイン名が解決できるようになる。

出典：WSL2でネットワークのドメインを解決できない場合の対処

【セキュリティ事件簿#2023-107】個人情報保護委員会 株式会社 NTT ドコモ及び株式会社 NTT ネクシアに対する 個人情報の保護に関する法律に基づく行政上の対応について

 

個人情報保護委員会は、個人情報の保護に関する法律（平成 15 年法律第 57 号。以下「個人情報保護法」という。）に基づき、株式会社 NTT ドコモ及び株式会社 NTTネクシアに対し、令和６年２月 15 日に個人情報保護法第 147 条に基づく指導等を行いましたので、お知らせいたします。

１．事案の概要

ドコモ社は、自社インターネットサービス等に関する事業について、サービス・商品の提案等を行うため、個人データを取り扱っている。

ドコモ社は、これらの事業に関し、ネクシア社に対し、電話営業用の顧客情報管理（以下「本件業務」という。）を含む業務を委託していたところ、ネクシア社の派遣社員であった者（以下「Ｘ」という。）が、令和５年３月 30 日、顧客情報管理のために業務上使用する PC（以下「本件 PC」という。）から、個人契約するクラウドサービスに無断でアクセスし、合計約 596 万人分の個人データ（以下「本件個人データ」という。）を同クラウドサービスへアップロードすることにより、外部に流出させ、漏えいのおそれが発生した。

２．事案発生に至った原因

(1) 基準不適合事項

本件業務は、令和４年７月、ドコモ社が株式会社 NTT ぷらら（以下「ぷらら社」という。）を吸収合併したことにより、ドコモ社が事業を承継したものであるところ、本件業務に関するネットワーク等の執務環境（本件 PC を含む。）については、以下の①及び②のような、ドコモ社が定めた情報管理規程に一部適合しない事項（以下「基準不適合事項」という。）が存在した。

① 顧客情報を取り扱う場合は専用の PC を利用し、顧客情報を取り扱う PC においてはインターネット及びメールの利用が制限される必要があるが、これらの制限が実施されていなかった。

② 顧客情報（ファイルシステム及びデータベース）の暗号化が必要であるところ、これが行われていなかった。

(2) 追加的運用ルール

ドコモ社は、この基準不適合事項について、速やかに技術的な対応を行うことが困難であると判断した。そこで、ドコモ社は、本件業務を行う際は、以下に例示したような、ぷらら社における運用ルール（以下「追加的運用ルール」という。）に従うことを条件とし、令和４

年 12 月までの時限的例外措置として、基準不適合事項を許容することとした。

・ PC で実施した作業データは、当日中に全て削除すること

・ 業務上不要な私的インターネット接続の禁止

・ 社外へのデータ送信時の手動暗号化徹底

・ 追加的運用ルールの遵守状況について定期的に自主点検を行うこと

さらに、ドコモ社は、その後、基準不適合事項への技術的な対応に時間を要すること等が判明したことから、追加的運用ルール遵守を条件に基準不適合事項を許容する期限を令和５年５月まで延長した。

(3) 本件漏えいのおそれの発生に至ったＸの取扱い

Ｘは、本件業務にてデータ管理ツールを開発するにあたり、個人データが含まれた同ツールを本件 PC 内の自身しか把握していない保存場所にコピー保存の上で開発作業を実施していたところ、当日作業の終了時に至っても、本件 PC 上の同ツールを削除していなかった。さらに、Ｘは、業務上の必要性がないにもかかわらず、クラウドサービスに個人アカウントでログインし、本件個人データをアップロードした。

(4) 小括

このように、ドコモ社及びネクシア社においては、大量の顧客の個人データを取り扱っていたにもかかわらず、ドコモ社がぷらら社を吸収合併した後、半年以上も、基準不適合事項のリスクが存在する状況下で、追加的運用ルールが徹底されず、本件漏えいのおそれが発生した。

３．法律上の問題点

(1) ドコモ社

法第 23 条は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定しており、法第 25 条は、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」と規定している。

しかしながら、ドコモ社では、個人情報等の取扱いについて、以下の問題点が認められた。

ア 物理的安全管理措置（個人データを取り扱う区域の管理）

ドコモ社では、情報管理規程で定めるところにより、顧客の個人データを取り扱う場合はインターネット及びメールの利用が制限された専用の PC を利用することとし、インターネット及びメールを利用する PC とは取扱区域を分けて管理するルールであった。

しかし、本件 PC は、個人データを取り扱うにもかかわらずインターネット及びメール利用の制限がなされておらず、当時の物理的安全管理措置（個人データを取り扱う区域の管理）は十分な状態とはいえなかった。

イ 技術的安全管理措置（情報システムの使用に伴う漏えい等の防止）

ドコモ社では、個人データの漏えい等を防止するための措置として、本件業務も含めて、ネットワーク監視を行っており、Ｘがクラウドサービスへアップロードした操作についても発生当日に検知し、当日中にＸへの聴取と対象端末のネットワークからの切断を行っていたことからすれば、一定の処置を講じていたといえる。

しかし、本件業務に関するネットワーク環境についてみると、外部インターネットへのアクセス規制については、一部のサイトを接続不可と定めるブラックリスト方式で運用されており、ファイル共有サービス等のクラウドサービスも含めて、業務上不必要なサイトには接続できない設定とはしていなかったものであり、大量の顧客個人データを取り扱っているシステムであるにもかかわらず、漏えい等の防止の措置が十分ではなかった。

ウ 組織的安全管理措置（個人データの取扱いに係る規律に従った運用）の不備

ドコモ社は、前記ア及びイの物理的安全管理措置及び技術的安全管理措置に関する問題点について、前記２．(2)のとおり、組織的安全管理措置の徹底により総合的なリスクを低減させる方針を決定したものであるから、この決定に従った運用が実際に徹底されることが重要である。

ドコモ社は、物理的安全管理措置及び技術的安全管理措置が一部不十分な状況に対して、追加的運用ルールを規定し運用していたところ、本件業務における同運用確保のための取組では、日次で行わせる自主点検の結果を月次で確認することで、確実に徹底されていることを確認することとしていた。

しかし、上記取組では、自主点検において虚偽の申告が含まれないことを前提としているため、意図的に追加的運用ルールに反したＸの取扱いは是正できず、また、自主点検結果の月次の確認では、いつ行われるか予測できない私的なインターネット接続を即時で検知できないものである。したがって、ドコモ社においては、個人データの取扱いに係る規律に従った運用に問題があり、組織的安全管理措置の不備があったものと言わざるを得ない。

エ 委託先の監督の不備（委託先における個人データの取扱状況の把握）

ドコモ社は、ネクシア社に対し、本件業務に関して、追加的運用ルールを遵守するよう周知していた。また、ネクシア社は、日次で、本人及び第三者にて業務終了時作業データの削除確認等を行い、その結果を管理簿に記録するという自主点検を実施し、この結果について、月次でドコモ社へ提出していた。

しかしながら、ドコモ社は、物理的安全管理措置及び技術的安全管理措置が一部不十分な状況でありながら、ネクシア社に対し、大量の個人データの取扱いを委託しているにもかかわらず、自ら又は外部の主体による監査を実施することはなく、ネクシア社の自主点検に任せ、月次で結果報告を受け取るだけであった。その結果として、X の不適切な行為を発見できず、本件漏えいのおそれの発生を未然に防ぐことができなかったものといえる。

また、Ｘの不適切な行為を自主点検により発見することができなかった理由として、ドコモ社は、Ｘが自主点検をすり抜けるという手口を使っていたことが要因である旨を回答している。しかしながら、ドコモ社がネクシア社に行わせていた自主点検は、従業者にデータを削除したことを自己申告させ、他の従業者がデスクトップ上に不要なデータが残っていないかどうかを確認するという簡易な方法にとどまっており、本件のように意図的にデータ削除せず、自身しか把握していないデスクトップ以外の場所に保存した場合は、発見され得ないことは容易に想定可能であるから、点検項目や点検の方法が不十分であったといえる。したがって、その報告を月次で受領し確認するだけであったドコモ社の委託元としての監督は、不十分であったと言わざるを得ない。

(2) ネクシア社

法第 23 条は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。しかしながら、ネクシア社では、個人情報等の取扱いについて、以下の問題点が認められた。

ア 組織的安全管理措置（取扱状況の把握及び安全管理措置の見直し）

ネクシア社では、自主点検は実施していたものの、他部署等による監査は実施しておらず、大量の個人データの取扱いがある本件業務において、Ｘが本件 PC 内に作業データを日常的に残しており、また、私的なインターネット接続を是正できなかったことを踏まえると、個人データの取扱状況の把握や安全管理措置の評価等が不十分であったと言わざるを得ず、組織的安全管理措置の不備が認められる。

イ 人的安全管理措置（従業者の教育）

ネクシア社では、派遣社員であるＸを含む従業者に、情報セキュリティ遵守のため機密保持に関する誓約書を提出させ、また、情報セキュリティ研修の実施を行っていたものの、情報セキュリティ研修では、一般的な情報セキュリティの考え方及び法の令和２年改正部分を紹介するにとどまっており、大量の顧客データを管理する事業者における研修としては十分とはいえず、結果としてＸによる本件漏えいのおそれの発生を防止するに至らなかった。

したがって、ネクシア社における従業者の教育は、従業者が適切な情報セキュリティの確保や個人データの適正な取扱いの重要性に関する認識を醸成するには不十分な内容であったと言わざるを得ず、人的安全管理措置の不備が認められる。

４．指導等の内容

(1) ドコモ社

• 法第 23 条、法第 25 条及び個人情報の保護に関する法律についてのガイドライン（通則編）に基づき、必要かつ適切な措置を講ずること。
• 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
• 法第 146 条第１項に基づき、再発防止策の実施状況について、関係資料を提出の上、令和６年３月 15 日までに報告するよう求める。

(2) ネクシア社

• 法第 23 条及び個人情報の保護に関する法律についてのガイドライン（通則編）に基づき、必要かつ適切な措置を講ずること。
• 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
• 法第 146 条第１項に基づき、再発防止策の実施状況について、関係資料を提出の上、令和６年３月 15 日までに報告するよう求める。

リリース文（アーカイブ）

IHGによる、マルチクラウドを活用したホスピタリティの最大化に向けた戦略

多国籍企業ホテルグループにおけるマルチクラウドアーキテクチャは、何千ものフランチャイズとそのゲストに革新的なデジタルサービスを提供し、顧客体験と収益の両方を向上させることを目指しています。

IHGにとって、クラウドはビジネスの成功にぴったりの宿泊施設を提供を支援します。「最も重要なのは、クラウドへの移行を私たちの技術とビジネス戦略の極めて重要な部分と見ています」と、チーフコマーシャル＆テクノロジーオフィサーであるジョージ・ターナー氏が述べています。同社は、19のホテルブランドでより多くのデジタルビジネスを推進するために、高度なクラウドインフラストラクチャ、チャットボット、およびAIに重点を置いています。

IHG：ジョージ・ターナー氏

IHGのホテルの70％以上はフランチャイズであり、親会社であるIHGは実質的に、6,100のフランチャイズ所有のホテルの稼働率と収益を支えるテクノロジー企業です。

ターナーはホテルオーナーやゲストに革新的なサービスを継続的に提供するための組織を監督し、同時に彼のチームがIHGの内部技術スタックとサービスを拡充し続けるよう指導しています。

そして、アビアトリックスのクラウドネットワーキングとエクイニクスのインターコネクション技術によって支えられた重厚なマルチクラウドアーキテクチャは、ターナーにIHGホテルグループをその主要顧客であるビジネスおよびレジャーのゲスト、およびホテルオーナーをより密接にしています。

クラウドはまた、IHGが「企業に対する商業的な価値を高める」のを支援しています。かつて数年かかっていたことを、数ヶ月でクラウドで革新することができる、とターナーは述べています。「例えば、6ヶ月の間に、私たちはクラウドの機能を活用して完全に新しい需要予測モデルを作成しました」と彼は述べています。

さらに、IHGのクラウドバックボーンは、Speakeasy AIの会話型チャットボットなどのSaaSを活用し、数百のホテルでゲストとフロントデスクのクラークを支援するための自社AIサービスを提供することを可能にしています。

IHGのクラウド革新は、ホテル業界全体の大きなトレンドの象徴だとIDCのアナリストは述べており、ホテル業界で「クラウドへの移行を始める活動が活発化している」と観察しています。

この推進要因の1つは、大規模なイノベーションをより速く行う能力であり、ホテルの60％がクラウドファーストのアプローチに移行している一方で、特定のアプリケーションについてはオンプレミスのITスタックを引き続き利用しています。

マルチクラウド成功のためのマルチパートナー戦略

5年前にクラウドへの舵を切ったIHGは、Amazon Web ServicesやGoogle Cloud Platform上で新しいワークロードを移行および開発しつつ、米国の東海岸と西海岸にデータセンターを保持するハイブリッドアプローチも取っています。

この会社は数千人のITプロフェッショナルを雇用しており、多くのSaaSパートナーやコンサルティング会社と連携してサービスを提供しています。

たとえば、Googleの機械学習機能を活用した需要予測モデルは、ボストンコンサルティンググループと協力して開発されました。

IHGのもう1つのパートナーであるAviatrixは、同社のマルチクラウドアーキテクチャ向けのクラウドネットワークを提供しており、これにはAWSとGCPだけでなく、IHGの予約パートナーであるアマデウスがそちらに移行したことでMicrosoft Azureも含まれています。

「インフラストラクチャチームは、すべてを同じように見せたいと望んでいます。彼らは、同じネットワーキング、同じ自動化、同じ可視性、同じセキュリティなど、すべての要素が異なるクラウドごとにスキルセットを持ち、それぞれで異なるアプローチをとることなく一貫していることを望んでいます」と、Aviatrixのマーケティングエグゼクティブであるロッド・ステュールマラー氏が述べています。彼は、ターナー氏と共にIHGのクラウドに取り組んでいます。

IHGは、データとワークロードを世界のIHGマルチクラウドアーキテクチャ全体で迅速かつ高速に移動させるための複数の地域間接続を提供するEquinixとも提携しています。

ターナー氏によると、IHGはホテルオーナー向けに予約管理モデルを開発中であり、さらにゲストやホテルオーナー向けに多数のチャットボットやデジタルサービスを提供しています。その中には、新規予約の50%以上を占める高度なモバイルアプリケーションも含まれています。

こうしたイノベーションのおかげで、IHGのデジタルチャネルは急速に増加しています。2022年には、全体の顧客の20%とデジタルチャネルで通じましたが、前年は4%でした。IHGの代表者によると、同社のSpeech AIは初年度に360万以上の予約会話を処理し、革新的なデジタルコンシェルジュはこれまでに数百万のゲストリクエストを処理しています。

これらのイノベーションは、例えば、部屋の景色やエレベーターに近い部屋を選択したり、駐車場を事前に支払ったりすることができるようにすることで、顧客体験を向上させています。

出典：IHG maximizes hospitality with multicloud

【セキュリティ事件簿#2024-046】建設連合国民健康保険組合 静岡県支部におけるＵＳＢメモリ紛失について

 １　概要

当国保組合の静岡県支部では、組合員の皆様の情報を管理するための台帳を毎年作成しており、その印刷・製本を外部業者に委託しております。

令和６年１月２６日、例年と同様に台帳作成用データの授受作業に取り掛かろうとした際、毎年使用しているＵＳＢメモリ（１本）が支部事務所内の所定の場所に保管されていないことが判明しました。（前年の委託時から最大約１年間紛失の状態が続いていたと思われます。）

その後、支部事務所内及び外部業者などをくまなく捜索しましたが、発見できておりません。

なお、現在までに情報の外部流出による被害は確認されておりません。

２　データ内容

静岡県支部の被保険者（組合員及びご家族）の情報のうち、「氏名」、「郵便番号」、「住所」、「生年月日」、「電話番号」、「当国保組合の資格取得日」、「当該支部内での管理番号」。（３，７７５件）

※口座番号や、健康保険を使用した履歴や病歴などの情報は入っておりません。

３　データ保護策

当該ＵＳＢメモリに保存されたデータには、高度な暗号化及び複雑なパスワード設定による漏えい防止策が施されています。

４　再発の防止について

今回については、ＵＳＢメモリの受け渡し記録及びＵＳＢメモリの管理体制が不十分であったことが原因です。以下の対応を行い、再発防止に努めます。

○個人情報を含むＵＳＢメモリ等の授受の際は、必ず複数人で確認し、日付・用途・ 担当者・先方の担当者等を記録し、所定の場所にＵＳＢメモリ等が正しく格納されているか定期的に確認することを徹底する。

○授受の際は必ず受領書を発行し、互いに押印し原本と写しを双方で保管することを徹底する。

○高度な暗号化及び複雑なパスワードの設定を引き続き徹底する。

静岡県支部の関係者の皆様には、ご迷惑とご心配をおかけする結果となりましたことを深くお詫び申し上げるとともに、再発防止に努めてまいります。

現在、該当する組合員へお知らせする準備を進めています。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-045】東京テアトル株式会社 個人情報漏洩の可能性に関するお知らせとお詫び

このたび、一部のお客様がWEBサイト「マンション売却相談センター」（以下「当サイト」といいます。）内の無料相談、無料査定、お問い合わせのフォームに入力された個人情報が漏洩した可能性があることが判明いたしました。本件の経緯等について以下のとおりお知らせいたしますが、本件の原因は既に特定され、対応も完了いたしました。

お客様に多大なるご迷惑、ご心配をおかけしたことを、心よりお詫び申し上げます。

1.経緯

2024年1月17日9時から2024年2月5日13時までの間、過去にお客様が入力した情報が、当サイトのお問い合わせのフォームの入力画面上に表示されていた可能性があることが、2024年2月5日に判明いたしました。このため、情報を入力したご本人以外のお客様が、入力された情報を閲覧できる状態となっていて、個人情報が漏洩したおそれがあります。

当センターが、システムの状況を確認したところ、2024年1月17日に当サイトが新サイトに移行した際に、過去にお客様が入力した情報が、フォーム入力画面のキャッシュ（一度閲覧したページの情報を一時保存し、早く表示できるようにする機能）に保存される設定となっていたことが判明しました。

上記の状況が判明後、直ちに、お客様が入力した情報が保存されないよう、入力画面のキャッシュの設定を変更いたしましたので、現在は、お客様の情報が、情報を入力したご本人以外の方に閲覧されることはございません。

2.個人情報を閲覧された可能性のあるお客様

2024年1月17日9時から2024年2月5日13時までの間に、「マンション売却相談センター」の無料相談、無料査定、お問い合わせのフォームに情報を入力されたお客様55名

※本件の不具合は常に発生するわけではなく、アクセス環境などの特定の条件を満たした場合にのみ発生することを確認しております。

3.閲覧された可能性のある情報

・ご希望の査定方法

・ご希望の査定の種類

・売却予定時期

・お名前（ふりがな）

・ご希望の連絡方法

・電話番号

・電子メールアドレス

・ご住所

・売却希望物件の状況

・売却希望物件の住所

・そのほかお問い合わせのフォームの自由記入欄に記載いただいた内容

※お問い合わせのフォームに入力される情報に、人種や病歴などの要配慮個人情報やクレジットカード情報などの財産的被害が生じるおそれのある情報は含まれておりません。

4.原因と再発防止策

当サイトを新サイトに移行する際に、キャッシュプラグインの設定を変更いたしましたが、この設定に不備があったことが、本件の原因であることが判明いたしました。

当センターは、原因が判明後、フォームに入力された情報のキャッシュを保存しないよう、キャッシュプラグインの設定を修正いたしました。またキャッシュプラグインの自動更新設定をオフにし、プラグインの更新に伴いエラーが発生しないよう対処いたしました。

今後につきましては定期的に上記キャッシュプラグインの設定に不備がないかを確認してまいります。

5.今後の対応について

当センターは、個人情報を閲覧された可能性のあるお客様が、その情報を悪用されるなどの事象が発生した場合には、法令に従い、適切な措置を講じる所存です。

なお、システムの構造上、個人情報が漏洩したおそれのあるお客様を特定することができませんので、お手数をおかけして申し訳ありませんが、本件に関するお客様からのお問い合わせには、以下の窓口が対応させていただきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-044】株式会社アイル 当社サーバーへの不正アクセスによるシステム停止事案のお知らせ

 

この度、当社ファイルサーバーへのウイルス感染により、検体検査の遅延が発生し、大変ご迷惑をお掛けしましたことを深くお詫び申し上げます。これまでに判明している経緯と対応につきまして、以下の通りお知らせいたします。

１.これまでの経緯

2024/2/5 早朝、文書管理サーバーにて障害を感知し、確認したところ、サーバーにてウイルス感染を確認いたしました。

直ちに、被害拡大を防止するため、全システムを停止させ全ての経路を遮断し、影響範囲の確認と特定および対策・復旧を行いました。

① 8：20 頃 サーバー障害を確認

② 8：45 頃 サーバーへのウイルス感染を確認

③ 8：50 頃 ネットワーク遮断

④ 9：00 頃 管理会社への支援要請

⑤ 10：00 頃 影響範囲の確認と特定および対策・復旧対応開始

２.現況及び今後の対応

現在、検査業務については平常に戻り結果報告の遅延はありません。ランサムウェア感染に関しては、所轄警察署ならびに第三者機関の個人情報保護委員会、プライバシーマーク審査機関への報告を済ませております。

更に、ウイルス感染したサーバーを外部機関に解析調査依頼し、被害状況や情報漏洩度など詳細な解明を行い、恒久的対策を検討してまいります。

現時点においては個人情報の流出は確認されておりませんが、流出の完全否定は出来ておりませんので、引き続き調査を進めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-464】LINE ヤフー株式会社 不正アクセスによる個人情報漏えいへの再発防止策に関するお知らせ

LINE ヤフー株式会社は、2023 年 11 月 27 日に公表した不正アクセスを受け策定した再発防止策を以下のとおりお知らせいたします。

当社は、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、改めて心より深くお詫び申し上げるとともに、今回の事態を重く受け止め再発防止に努めてまいります。

■発生した事象

第三者による不正アクセスを受け、ユーザー情報・取引先情報・従業者等に関する情報の漏えいがあることが判明しました。当社関係会社である韓国 NAVER Cloud 社の委託先かつ当社の委託先でもある企業の従業者が所持する PC がマルウェアに感染したことが契機となります。

■原因と再発防止について

□原因

本事案の原因は、「委託先企業への安全管理措置」および「NAVER と旧 LINE 株式会社間（以下、旧 LINE 社）のシステム・ネットワークのあり方」、「旧 LINE 社における従業員システムのセキュリティ」に課題があったためと捉えており、主に以下の再発防止策を順次実施してまいります。

□再発防止

・委託先管理の強化

委託先のセキュリティリスク評価方法を見直すとともに、外部の第三者の協力も得て、より実効性を高めたモニタリングや管理・監督方法を策定します。当社外部委託先が当社社内ネットワークにアクセスする場合における、当社管理下の PCの利用および当社ネットワークに接続する際の二要素認証の徹底を進めてまいります。

また、NAVER Cloud 社含む本件の原因となった当社委託先に対して、本事案を踏まえた改善策について実施状況を確認し、必要に応じた管理の強化等を要請します。

・システム・ネットワークのリスク解消・強化（NAVER Cloud 社との認証基盤の分離含む）

NAVER Cloud 社と旧 LINE 社間のネットワークアクセスの管理を強化します。具体的には、ファイアーウォールの導入やセーフリスト化により、ネットワークへの異常な接続や攻撃を防ぎ、ネットワークを保護する仕組みを構築します。また、旧 LINE 社環境の従業員向けシステムで共通化している NAVER Cloud 社との従業者情報を扱う認証基盤環境を分離

し、LINE ヤフー専用の認証基盤への移行を行います。

加えて、更なる対策として、NAVER 社および NAVER Cloud 社とのシステムのつながりによる不正アクセスのリスクを解消するため、従業員向けシステムおよびネットワークの分離も行います。

・従業員システムのセキュリティ強化

従業員向けシステムへのアクセス制御と制限を強化するため、二要素認証の適用を標準とする方針とします。

さらに、データ分析システム等の重要なシステムに対して、アクセス制御のメカニズムが適切に機能していることを検証する目的で、追加的なセキュリティ診断を実施します。

上記の再発防止策については、外部企業による計画の妥当性・有効性の客観的な評価を実施します。

また、上記の再発防止策に加え、原因の再分析およびリスクシナリオの再定義、再発防止策の妥当性検証、追加対策計画の策定等についても、今後検討を続けていく予定です。

改めまして、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-039】北海道大病院 メールアカウントの不正使用によるフィッシングメールの送信について

令和５年１２月２７日、北海道大学病院の職員が個人の業務用として管理しているメールアカウントが第三者により不正使用され、約３万件の外部メールアドレス宛にフィッシングメールが送信されたことが判明しました。

当該メールアカウントについては、事案の発見後、速やかにパスワードを変更し、メールの送信を停止いたしましたが、メールを受信された方々に多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

なお、調査の結果、当該アカウントがメール送信のみに悪用されたことを確認済であり、第三者によるメール閲覧など、個人情報漏洩の可能性はございません。

本件は、リスト型攻撃によりメールアカウントが不正使用されたとみられており、本院といたしましては今回の事態を重く受け止め、アカウントやパスワード等の適切な管理について再度周知徹底を図るとともに、アクセスログの監視等の強化により一層の情報セキュリティ対策の強化に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-038】環境保全株式会社 メールアカウントへの不正アクセスに関するお詫びと注意喚起のお知らせ

平素は格別のご高配を賜り、厚く御礼申し上げます。

当社は、2024 年１月 21 日、当社従業員１名のメールアカウントが、第三者による不正アクセス攻撃を受ける事象が発生し、当該メールアドレスが不正利用され、同日 7：23～10：37 の間に、不特定多数の方に不審メールが送信された事実を確認いたしました。

これらのメールは、当社の情報漏えいによるものではなく、また、当社の社員が送信したものではございません。メールを受信された皆様には多大なご迷惑をお掛けしましたことを、深くお詫び申し上げます。 

この不正利用されたメールアドレスにつきましては、同日 10:45 にアカウントロック（メール送信停止）をしております。

不正利用により送信されたメールには、フィッシングサイトへの誘導のリスクが高いため、当社の社員を装った不審なメールや心当たりのないメールを受信した場合は 、ウイルス感染や不正アクセスなどの危険がありますので、メールに添付されているメールおよび添付ファイルの開封、メール本文中の URL のクリック等を行うことなく、削除していただきますようお願い申し上げます。 

【不審メールの例】

宛 先： xxxxx@yahoo.co.jp

件 名： 【重要なお知らせ】支払い方法を更新してください 2024-01-21

差出人： Amazon.co.jp <x-xxxxxxxxx@kankyou-hozen.jp>

 表示： Amazon.co.jp

 メールアドレス： x-xxxxxxxxx@kankyou-hozen.jp

当社としましては、不正アクセス防止などの情報セキュリティには十分注意しておりますが、今回の事象を重く受け止め、再度周知徹底など全社で再発防止に取組み、引き続き情報セキュリティの強化に努めてまいります。

ご理解とご協力をいただきますよう、よろしくお願い申し上げます。 

リリース文（アーカイブ）

【セキュリティ事件簿#2024-037】玉川大学 通信教育課程システムへの不正アクセスによる情報漏洩の可能性に関するお知らせ

 

2024年1月10日、本学で運用している通信教育課程サーバの一部で不正アクセスを受けたことが確認され、本学が保有する学生（卒業生を含む）情報が漏洩した可能性を排除できないということが判明しました。

なお、詳細は調査中でありますが状況が分かり次第改めてご報告させていただきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-036】モイ株式会社 当社サーバーに対する外部攻撃に関するお知らせ

このたび、当社が運営するライブ配信サービス「ツイキャス」に対する外部からの外部攻撃により、当社サービスにアクセスしづらい等のシステム障害が発生していることを確認しております。

本件につきましては、直ちに対策チームを設置のうえ、警察への通報および相談を行いつつ、継続している当該事象の収束に向けて、調査と対応を継続しておりますが、現時点で判明している事実及び当社の対応について、下記の通りお知らせいたします。

関係者の皆様に多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

１ 本件の概要

2024 年１月 30 日から、当社サービス「ツイキャス」のサーバーに対して大規模な DDoS 攻撃※が断続的に行われており、当社サービス全体にアクセスしづらくなる、ライブ配信を視聴しづらくなる、トップページが表示されなくなる等の被害が発生していることを確認しました。

当社では、当該事象の確認後、直ちに社内対策チームを発足し、被害拡大を防止するための措置を実施しましたが、外部からの攻撃は引き続き発生する可能性があり、新たなセキュリティ対策を講じた上で当該攻撃に対するシステムの保護と復旧作業を進めております。

なお、本件によって当社が保有する個人情報を含む各種情報にアクセスされた形跡はなく、また外部へ当該情報が流出した事実や、攻撃者による当社情報の公開は確認されておりません。また、当社サービスにおける決済は、各決済代行会社を通して行われておりますので、本件によって、クレジットカード番号等、決済代行会社が保有している情報が流出する可能性はございません。

※DDoS（Distributed Denial of Service）攻撃とは、インターネット上のトラフィックを増大させ、通信を処理しているネットワーク回線やサーバーの機能を占有する帯域飽和型のサイバー攻撃のこと。

２ 今後の対応

引き続き、警察への相談を行いつつ、外部専門家を交えて当該攻撃者に対する対応、今後のセキュリティ対策などに鋭意取り組んでまいります。

ツイキャスユーザーの皆様をはじめ関係者の皆様におかれましては、多大なるご心配とご迷惑をおかけしておりますことを、重ねて深くお詫び申し上げます。

３ 業績への影響

当社業績への影響については現在精査中です。今後、公表すべき事項が生じた場合には、速やかにお知らせいたします。

リリース文（アーカイブ）

電子メール追跡のためのOSINTツール「Zehef」

GitHubユーザーのN0rz3が、電子メールを効果的に追跡するために開発したオープンソースのインテリジェンス（OSINT）ツール「Zehef」を開発しました。

Zehefは、漏えいした個人または企業の電子メールとその登録場所を、ターゲットに警告することなく能動的に検出することで、セキュリティを強化します

Zehefの能力

• ウェブサイトのスクレイピング： Zehefは「holehe」モジュールを使用してウェブサイトをスクレイピングし、電子メール登録をチェックします。
  
  
• 漏洩チェック： 侵害や漏えいをチェックし、漏えいした電子メールについて警告を発します。
  
  
• 評判のチェック：Zehefはemailrep.io APIを使用し、ターゲットメールのレピュテーションを評価します。
  
  
• アカウントチェック： SnapchatとTikTokのアカウントを様々なフォーマットで検証します。
  
  
• Pastebinチェック： Pastebin上の関連リンクを検索します。

Zehefのビルドとインストール

ZehefはPythonを使用して構築しました。このツールはさまざまなライブラリーとAPIを統合しており、コミュニティ・コラボレーション用にGitHubで公開されています。

インストール手順の概要

1. まず、Python 3がインストールされていることを確認してください。
2. ターミナルまたはコマンドプロンプトを開きます。
3. Zehef リポジトリをクローンします。: git clone
https://github.com/N0rz3/Zehef.git
4. Zehef ディレクトリに移動します。: cd Zehef
5. 必要なライブラリをインストールします。: pip install -r requirements.txt

Zehef を実行

1. Zehefディレクトリで次のように実行します。: python zehef.py
2. 調査したいメールアドレスを入力してください。

Zehefは、電子メールのセキュリティを心配する人々にとって強力な味方です。サイバーセキュリティの専門家だけでなく、個人にも最適です。

Zehefは重要な洞察を提供してくれますが、教育目的でのみ倫理的に使用することを忘れないでください。

メールのセキュリティ状況を理解することで、保護対策を講じることができます 。

出典：Zehef: The OSINT Tool for Email Tracking

【セキュリティ事件簿#2024-035】豊郷町 個人情報の流出について

 

このたび、個人情報の記載された名簿が流出し、町民の方々に多大なご迷惑をおかけしたことに対しまして、心よりお詫びします。今回、町職員が、このような不祥事を引き起こし、皆様の信頼を裏切る結果となりましたことは、痛恨の極みです。

今後は、このような事態を招いたことを反省し、速やかに全職員を対象に研修を実施し、個人情報の保護の重要性について徹底するとともに、電算システムのセキュリティ対策と再発防止に取り組むことといたしました。

今後、調査・対策について、適時、町民の皆様にご報告いたしますので、ご理解をいただけますよう、お願いいたします。

 豊郷町長　　伊藤　定勉 

現時点で判明していること、対応の経緯などをお知らせします。

1．事案発生の経緯

匿名住民より「字の役員名簿が詳しすぎる。役場から情報が漏洩していないか。」と相談があり、本職員への聞き取りにて名簿を紙で渡したことが発覚。現物は回収または破棄、現在追加調査中。

2．原因

職員の独断で、悪用がされないと判断し、個人情報の認識が不十分であった。

3．その他判明した内容

漏洩した内容：氏名（漢字・カナ）、住所、生年月日、性別、世帯主、続柄の書いた名簿

漏洩した件数：646件（過去分は含まず）

回収状況：今年分の名簿は回収済み（コピーも含む）

4．今後の対応

全職員を対象に研修を実施し、個人情報の保護の重要性について徹底するとともに、電算システムのセキュリティ対策と再発防止対策に取り組んでいきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-033】「東京ヴェルディ公式オンラインストア」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ

このたび、弊社が運営する「東京ヴェルディ公式オンラインストア」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（2,726件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年12月21日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報漏洩が懸念されるとの連絡を受け、同日弊社が運営する「東京ヴェルディ公式オンラインストア」を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年1月16日、調査機関による調査が完了し、2023年8月22日～2023年12月20日の期間に「東京ヴェルディ公式オンラインストア」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「東京ヴェルディ公式オンラインストア」システムの開発管理者アカウントへの不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2023年8月22日～2023年12月20日の期間中に「東京ヴェルディ公式オンラインストア」においてクレジットカード決済をされたお客様2,726名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当する2,726名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年12月21日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。改修後の「東京ヴェルディ公式オンラインストア」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年12月22日に速報した後、2024年1月26日に続報を実施済みであり、また、所轄警察署にも2023年12月25日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-030】関東ITソフトウェア健康保険組合 委託事業における個人情報漏えい事案について

 

関東ITソフトウェア健康保険組合（以下「当組合」という。）が健康診断等業務を委託している慈恵医大晴海トリトンクリニック（以下「受託者」という。）において、下記のとおり受託者が健診結果データを他の事業所に誤送付した事案が判明しました。

関係者の皆様にはご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。

受託者に対しては、健診結果データの作成・送付に関し、データの取扱いとヒューマンエラーを起こさないシステムの構築及び運用変更後の実効性の確認などの再発防止策を講じるよう指示しており、更なる安全性の確保に努めてまいります。

1. 令和5年12月8日（金）、同年10月受診分の健診結果データを、受託者がA事業所にCD-Rで送付したところ、当該事業所以外に所属の13社117名の健診結果データが収録されていたことが、令和6年1月5日（金）、受託者より当組合に報告され情報漏えいが判明した。（A事業所から受託者への連絡も同日）
   
   
2. 当該CD-Rについては、A事業所担当者１名、限定された者にて管理され、当該データ及びCD-Rは速やかに破棄されており、個人情報漏えいの二次被害がないことを確認した。
   
   
3. 関東信越厚生局及び個人情報保護委員会に本事案について、当組合より令和6年1月9日（火）報告済みである。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-029】厚生労働省 私用メールアドレスの誤登録による第三者への個人情報の漏えい及びその対応状況・再発防止策について

このたび、厚生労働省において、職員の緊急連絡先である私用メールアドレスが当該職員本人により誤って登録されたことにより、休日、夜間等に業務の必要性から関係者にメールを一斉送信した際、第三者に当該メールが誤送信されていたことが、令和６年１月23日（火）に判明しました。当該メールには、行政機関の職員の公務用メールアドレスや私人の電話番号などの個人情報が含まれており、それらが漏えいしました（詳細は後述）。

事案の概要その他再発防止策等について下記のとおりお知らせいたします。

関係者の皆さまに深くお詫びしますとともに、再発防止のため、しっかりと取り組んでまいります。

１．事案の概要

職員の緊急連絡先である私用メールアドレスが本人により誤って登録されたことにより、令和５年９月15日（金）以降、休日などに業務の必要性から関係者にメールを一斉送信した際、第三者に当該メールが誤送信されていたことが、当該誤登録者の報告により、令和６年１月23日（火）に判明。

今回の事案において個人情報が漏えいした者は675名。

うち、

　・　公務メールアドレスが漏えいした行政機関職員は650名、

　・　電話番号が漏えいした私人は、25名

であることを確認した。

２．発生原因

職員の緊急連絡先である私用メールアドレスが当該職員本人により誤って登録されたこと。

また、誤登録後、当該職員において、休日、夜間等もリモートアクセスによる公務メールアドレスを用いた対応のみを行っていたため、私用メールアドレスにおける業務上のメール受信の有無の確認が行われなかったこと。

３．本事案に関する対応状況（被害の状況等）

誤送信先に対し、謝罪や削除依頼等の連絡をしている（当該誤送信先である、誤登録されたメールアドレスの所有者からの応答はこれまでない）。

４．再発防止策

テレワーク環境の改善を踏まえ、本省における私用メールアドレスの業務上の使用については、禁止する。

５．関係者への説明

個人情報が漏えいした行政機関職員や私人への謝罪（お手紙）の送付を行う予定。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-027】名港海運株式会社 海外子会社への不正アクセスについて

 

このたび、欧州における当社子会社「Meiko Europe N.V. （以下、ME）」において、2024年1月6日に第三者による不正アクセスを確認しました。

本不正アクセスの判明以降、MEおよび現地のセキュリティ専門会社による調査を行っておりますが、被害の全容を確認するには、一定の時間を要する見込みです。なお、本件は現地当局への報告を行っております。

関係者の皆さまにはご迷惑とご心配をおかけしており、深くお詫び申し上げます。

また、当社IT部門による調査の結果、現時点においてME以外の当社グループに影響がないことを確認しております。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-026】ダイドーグループホールディングス株式会社 弊社サーバへの不正アクセス発生について

この度、本年 1 月 16 日（火）に、弊社を含むグループ企業等で利用するネットワークが第三者による不正アクセスを受けたことを確認しました。社内調査を実施した結果、不正アクセスにより、弊社サーバのデータの一部が読み出されたことが判明しました。

弊社は、危機管理委員会にて本件の対策方針を定め、現在、外部の専門機関等とも連携し、調査を進めております。今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

なお、不正アクセスを確認後、速やかに関係機関への報告を行うとともに、外部からのアクセスを制限するなどの対策は実施済みです。

本件に関し、ご心配をお掛けしますことを深くお詫び申し上げます。

リリース文（アーカイブ）

サイバーセキュリティ・キャリア・フレームワークを使うべきか？

サイバーセキュリティ分野における最大の問題の1つは、技術革新に対応して役割と関連スキルセットが時とともに有機的に進化してきたことです。このため、雇用主によって同じ職務に割り当てられるスキルセットが異なることがよくあり、現在のスキル不足によって状況はさらに悪化しています。

このような食い違いは、企業にとっては人員計画を立てることを、求職者にとってはどのようにキャリアを築くべきかを判断することを、ともに非常に困難にしています。これを解決するために、必要とされていた透明性をもたらすキャリア・フレームワークが開発されました。これらのフレームワークは、候補者と職務をより正確にマッチングさせることで、雇用慣行と定着率の向上に役立つはずです。

米国のNICE

現在、多くのフレームワークが開発されており、それぞれ成熟度が異なっています。米国は、米国国立標準技術研究所（NIST）の「サイバーセキュリティ教育のための国家イニシアチブ（NICE）」でリードしており、当初は連邦省庁向けに開発されましたが、2020年に改訂されて以来、広く商業的に採用され始めています。NICE は、何が必要かを記述したタスク、知識、スキル（TKS）ステートメントで構成され、受験者はこれらに関連するコンピテンシーを達成することができます。雇用主はこれらのコンピテンシーを参照し、職務記述書に記載することになります。33の専門分野と52の職務をカバーする7つのカテゴリーがあるが、紛らわしいことに、1つの職務に複数の職務が含まれることもあります。

NICEには多くの側面があり、そのために理解するのが難しいかもしれません。そこで、National Initiative for Cybersecurity Careers and Studies（NICCS）は、ユーザーがフレームワークを理解するのを支援するために、Cyber Career Pathways Toolを開発しました。このツールは、どのスキルがどの職務に関連しているかを示し、また、転職を検討している候補者が関連職種を見極めるのに役立ちます。

英国のCCF

英国では、サイバーセキュリティ協議会（Cyber Security Council）がサイバー・キャリア・フレームワーク（Cyber Career Framework）を開発しています。このフレームワークは、16の専門分野を網羅し、労働生活、責任、給与、知識、スキル、転職（出世または横への移動）、資格に関する詳細情報を提供しています。

さらに、同協議会は今年初めに、インタラクティブなキャリアマッピングツールを展開しました。このツールは、サイバーセキュリティ分野でのキャリアを模索するために、他の分野から転職を希望する人々をサポートする目的で作成されました。

このフレームワークはまだ完成しておらず、Cyber Security Profession Chartered Standards (CSPCS) と並行して展開されています。CSPCSは、16の専門分野ごとに3つの認定基準（Associate、Principal、そして憧れのCharteredステータス）を提供することを目指しており、2025年までに大規模な改革を完了させる予定です。

EUのECSF

EUにおける欧州サイバーセキュリティ・スキルフレームワーク（ECSF）は、Enisa（欧州ネットワーク情報セキュリティ機関）が昨年9月に発表した最新のフレームワークです。このフレームワークは、12種類のサイバー職種のプロフィールを詳細にまとめており、代替可能な職名、職務概要、ミッション、成果物、主なタスク、主要なスキル、知識、コンピテンシーを「役割」として提示しています。さらに、雇用主、教育プロバイダー、候補者向けにガイダンスを提供するマニュアルも用意されており、それぞれの要件に適した情報を提供しています。また、ISACA、(ISC)2、ECSO（European Cyber Security Organisation）から提供された3つのユースケースも含まれています。

これらのフレームワークが各地域で広く採用されることで、雇用者にとってはサイバーセキュリティ分野の混乱が減少し、潜在的な採用者にとっては敷居が低くなることが期待されています。

日本のSecBok

情報セキュリティ知識分野（SecBoK）人材スキルマップは、セキュリティ関連の業務に従事する人材が必要とする知識とスキルを体系的に整理したものです。このスキルマップは、セキュリティの専門家から大学生まで、幅広い人々にとって参考資料として活用されています。

SecBoKは、16の役割（ロール）ごとに必要な前提スキルと必須スキルを詳細にまとめています。例えば、CISO（Chief Information Security Officer）、脆弱性診断士、インシデントハンドラーなど、さまざまなセキュリティ職種についての情報が含まれています。

特徴的な点として、以下の3つが挙げられます:

• 知識分野カテゴリーの改定: 今注目されている「プラス・セキュリティ人材」について、業務の種類や立場に応じた基礎スキルを集約して追加い勝手を向上。
• Job description（ジョブディスクリプション）の考え方: ジョブディスクリプションに基づくセキュリティ関連職種の募集例を提示。
• プラス・セキュリティ人材育成や高等教育機関におけるシラバス作成の参考資料: SecBoK各ロールとの適合度の例や教育コースとのマッピング例を提供。

このスキルマップは、セキュリティ分野の混乱を減少させ、潜在的な採用者にとって敷居を低くすることを目指しています。

何を選択するか？

雇用者の視点から見ると、これらのフレームワークは、どのスキルセットがどの職務に適しているかを特定し、各職務内容に関連するものをリストアップするのに役立ちます。また、人員計画や、すでにいるスタッフのスキル開発にも役立ちます。ガイドは、明確で直線的な昇進の道筋を示し、キャリアプランの形成に役立ち、それによって定着率を向上させることが期待されています。

求職者側から見れば、フレームワークによって、さまざまな職務がどのように関連し、どの程度の給与が期待できるかを初めて知ることができ、自らのキャリア開発を計画することができます。また、転職可能なスキルを持っている人は、それを活かせる場所を探したり、具体的な職務について詳しく知ることができるでしょう。

しかし、このフレームワークは人材紹介部門にも関係があります。採用担当者は、無関係なスキルをまとめたり、非現実的な要求をしたりする職務記述書の書き直しに時間を費やす必要がなくなります。これらのマトリックスを参照することで、より職務に適した候補者を探し出し、面接プロセスの一部として情報を活用することができるようになるでしょう。このような小さな変化が採用の可能性を高め、サイバーセキュリティ格差の縮小に貢献することでしょう。

さらに網を広げれば、このフレームワークは、将来のサイバーセキュリティの専門家を教える教育プロバイダーの指針となり、大学のコースで何を学ぶべきかについての洞察を与えることになるでしょう。そしてベンダーも、自社のソリューションを運用するために必要なレベルやスキルセットを示すために、コンピテンシーを利用できるようになることでしょう。

数年後には、このコンピテンシーがなかったら、この分野はいったいどのように機能していたのだろうかと不思議に思うようになることでしょう。

出典1：Should You Be Using a Cybersecurity Careers Framework?

出典2：セキュリティ知識分野（SecBoK）人材スキルマップ2021年版

【セキュリティ事件簿#2024-025】茨城東病院 患者個人情報を記録したUSBメモリの紛失について

この度、当院において、患者個人情報を記録したUSBメモリを紛失する事案が発生いたしました。このような事案が発生にしたことについて、個人情報を取り扱う医療機関として決してあってはならないことであり、深く反省いたしております。

恵者様及びそのご家旋並びに関係機関の皆様に深くお詫び申し上げますとともに、個人情報管理の徹底を図り、信頼回復に向けて二度とこの様なことを生じさせないよう再発防止に努めてまいります。

1. 紛失の経緯

令和5年12月18日 (月)、当院職員の申告により個人情報を含んだUSBメモリの紛失が判明いたしました。病院外に持ち出しはしていないため、院内で紛失したものと考えております。

同日以降、紛失場所の捜索、職員への開き取り確認を行い、併せて警察にも遺失の問い合わせをいたしましたが、現時点で発見には至っておりません。

2. 紛失したUSBメモリに保存されでいた個人情報

①患者情報

・忠者ID、氏名、病名、居住地域、診療科、入院日、退院日等 2, 533名分

・氏名、転院先、死亡日                    3, 605名分

②職員情報 (面談記録、勤務表)                     8名分

なお、当該USBメモリには、自動暗号化及びパスワードロック機能を設定しております。

3. 現在までの対応

対象の患者様及びご家族には、個別にご連絡のうえ、謝罪いたします。

また、現時点において、個人情報が外部に流失したことの情報や不正利用された事実等の被害は確認されておりません。

4. 再発防止策

全職員に対して個人情報管理の徹底とUSBメモリ等の外部電磁的記憶媒体にかかる関連規定の順守について周知徹底するとともに、個人情報の取り扱いに関する研修及び個人情報の管理状況の確認を定期的に実施する等対策を講じてまいります。

この度は、患者様及びご家族並びに関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを、改めて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-024】三浦工業 サイバー攻撃による弊社ホームページ改ざんに関するお詫びとご報告

2024年1月26日(金)17時00分頃から1月28日(日)11時21分までの間に、第三者からのサイバー攻撃によりホームページが改ざんされていた事が判明いたしました。

ご利用いただいておりますお客様の皆様には多大なご迷惑、ご心配をお掛けしたことを深くお詫び申し上げます。現在、原因と影響の調査を進めており、ホームページを閉じさせていただいております。

当サーバにはお客様の個人情報は保存されておりませんので、個人情報の流出はない見込みです。（お問い合わせなどでホームページより入力いただいた情報はホームページ内には保存されておりません。また、会員制サイトのお客様情報は設定されたIDと暗号化されたパスワード情報のみが保存されています）

改ざん内容

2024年1月26日(金)17時00分頃から1月28日(日)11時21分までの間に、ホームページ（三浦工業※1）にアクセスすると別サイト（アラビア語の通販サイト）へ誘導される状況が確認されました。

※1対象サイト　コーポレート・製品サイト(miuraz.co.jp)　

　　               　 カタログ会員サイトMyMIURA（mymiura.com）

ご利用のお客様へのお願い

上記期間中に、ホームページ（三浦工業※1）にアクセスされた可能性のあるお客様におかれましては、誠にお手数ですが、お手持ちのセキュリティソフトを最新の状態にし、不正なプログラムの感染確認・駆除の実施をお願い申し上げます。

また、参照先の不正なホームページにおいてIDやパスワードを入力してしまった場合は、同じパスワードを使っている全システム（他社サイトを含む）のパスワードを変更いただきます様、お願いいたします。

会員制サイトのIDにメールアドレスをご登録いただいていたお客様もおられましたので、こちらは個別にご連絡差し上げます。

今後原因や影響が判明した場合には本ホームページで引き続き報告させていただきます。

リリース文（アーカイブ）

マリオットのポイント購入ボーナスセール（～2024年3月31日）

マリオットがポイント購入のボーナスを発表。2023年10月1日から12月31日の間にマリオット系列での滞在実績がある会員は40％ボーナス、その他の会員は35％のボーナスを獲得できる。

自分はマリオットポイントはJALマイルの間接購入手段と割り切っているため、宿泊実績は無いため35%ボーナス。

このボーナスは2,000ポイント以上の購入に適用され、2024年3月31日まで利用できる。

過去には、パンデミック（武漢ウイルス流行）時にこのボーナスが60％まで上昇したこともあったが、今回もそうなるかどうかはわからない。

感覚的に60%は無いだろう。50%ボーナスが最大だろうから、その時は全力で購入するとして、その他のボーナス時は少しずつ購入をしていく。

以前は為替の関係で購入をためらうシーンが多かったが、住信SBIネット銀行の外貨自動積立で毎月ドルを積み立て、積み立てたドルはJALペイに移して決済するという解決策を思いついた。

これでドルコスト平均法でドルを買い、ドルのまま決済できるので為替を気にする必要がなくなる。

とりあえず今回は50ドル分買ってみる。

マリオットポイントは毎年6万ポイント分購入（=25,000JALマイル）する方針。

あと、マリオットポイント購入時はTopCashback経由で購入するとキャッシュバックをゲットできるのでオススメ

出典：Buy Marriott Bonvoy points with up to a 40% bonus

【セキュリティ事件簿#2024-023】ディップ株式会社 求人掲載企業の管理画面への不正ログインに関するお詫びとお知らせ

当社が運営する求人情報サイト「バイトル」に掲載している株式会社サンライズワークス（以下、当該掲載企業）の応募者情報管理画面への不正ログインが発生し、不正ログインを行った第三者（以下、当該第三者）により当該掲載企業への応募者のうち20名の応募情報の一部と、不正ログインに使用したIDおよびパスワードが外部へメール送信されたことが判明いたしました。そのため、当該掲載企業への応募者の方は、当該第三者および送信されたIDおよびパスワードを用いてアクセスした者に、応募情報を閲覧された可能性があります。

関係者の皆様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

現在、鋭意調査を続けておりますが、現時点で判明している事実および本件への対応について以下のとおりご報告いたします。

■概要

当社が運営する求人情報サイト「バイトル」において、当該掲載企業のIDおよびパスワードを取得した第三者が、応募者を管理する管理画面に不正にログインし、当該掲載企業への応募者のうち20名の応募者情報の一部と、不正ログインに使用したIDおよびパスワードを、ご本人を含む応募者に対し、当該管理画面のメール送信機能を利用して送信しました。そのため、当該第三者および送信されたIDおよびパスワードを用いてアクセスした者は、当該掲載企業への応募者の方のうち1,296名の方の応募情報を閲覧した可能性があります。

当社は、メールを受信した応募者様からの問い合わせにより事象を確認し、本IDの停止処理および求人掲載を取り下げて被害拡大を防止するとともに、不正ログインの被害にあった当該掲載企業と協力して、調査を実施しております。また、調査の結果、閲覧された可能性がある応募者の方々を特定し、お詫びとご連絡を2024年1月31日（水）に完了したことをお知らせいたします。 送信された個人情報および 閲覧された可能性のある個人情報は以下の通りであり、クレジットカード情報等は含まれておりません。

なお、当社システムにおいては、掲載企業の皆様の管理画面へのログインパスワードは暗号化されて保管されており、当社のエンジニアを含めて閲覧および解読ができない仕様になっております。本事象を受けて当社システムのセキュリティ調査を改めて行っており、現時点では、当該掲載企業以外のID・パスワードが不正に利用された事実は確認されておりません。

■応募情報が送信された応募者

20名（2023年1月～7月に当該掲載企業に応募した応募者の一部）

・該当する個人情報の項目

　氏名、年齢、性別、メールアドレス、電話番号、現在の職業

■応募情報を閲覧された可能性がある応募者

1,296名（2023年1月～10月に当該掲載企業に応募した応募者の一部）

・該当する個人情報の項目（当社が実際に取得している項目は応募者によって異なるため、1名以上の応募者から取得している項目を挙げています。）

　氏名（よみがなを含む）、年齢、生年月日、性別、メールアドレス、電話番号、現在の職業、お住まいの都道府県・市区町村、学歴・職歴、運転免許の有無・パソコンスキルに関する情報、自己PR、連絡可能な日時、応募日時、応募した案件の情報

■本件への対応

当社の対応

• 本アカウントの停止
• 該当される方へのお詫びとお知らせ
• 当該情報を送信された方への応募情報が記載されたメール削除のお願い
• 本事象に関するログ・セキュリティ調査の実施
• 当該掲載企業の管理画面に不正ログインした第三者に関する調査の実施
• 個人情報保護委員会への報告
• 麻布警察署への報告および協力

引き続き、不正ログインの被害を受けた当該掲載企業とともに、関係各機関と連携し、事実の確認および適切な対応に務めております。応募情報を閲覧された可能性がある応募者の方のうち、当社がメールで連絡可能な方には、お詫びのメールにてお知らせしておりますが、ご懸念がある応募者の方は、お問い合わせ先までご連絡をお願いいたします。

この度は皆様に多大なご迷惑ご心配をお掛けしますこと、改めて深くお詫び申し上げます。

リリース文（アーカイブ）

Kivaローンで社会貢献しながらマイルをゲットできるか検証（2024年2月号）※2か月目

今月も2件の新規融資を実行。

先月は30USDずつ投資したが、今回は25USDしか選択できず、そのまま25USDで2件投資。

既存案件からはまだ返済が無い状態。

来月辺りから変化が出てくるだろうか？

■融資条件

・LOAN LENGTH：8 mths or less

・RISK RATING：4-5

・DEFAULT RATE：～1%

・PROFITABILITY：4%～

■新規融資案件 

融資No：2716127号（https://www.kiva.org/lend/2716127）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：0%

融資No：2718123号（https://www.kiva.org/lend/2718123）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：0%

■融資済み案件

融資No：2705613号（https://www.kiva.org/lend/2705613）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：0%

融資No：2707642号（https://www.kiva.org/lend/2707642）

• 融資国：ニカラグア
• Lending partner：FUNDENUSE
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：0%

【セキュリティ事件簿#2024-023】サンライズワークス 不正ログインによる個人情報漏洩のお知らせとお詫び

弊社が求人情報を掲載しておりますディップ株式会社（以下、ディップ社）の運営にかかる求人情報サイト「バイトル」において、弊社の応募者情報管理画面（以下、本件管理画面）への不正ログインが行われ、2023年1月から同年11月に「バイトル」を利用して弊社にご応募いただいた方（以下、応募者様）のうち20名の応募情報の一部と上記不正ログインに使用されたID・パスワードが記載されたメール（以下、本件メール）が、本件管理画面のメール送信機能を利用して、外部へ送信された事実が判明いたしました。

そのため、本件管理画面に保存されていた応募者様1296名分の応募情報が、不正ログインを行った第三者及び本件メールに記載されたID・パスワードを用いてアクセスした者に閲覧された可能性があります。

なお、送信された個人情報および 閲覧された可能性のある個人情報は後記の通りであり、クレジットカード情報は含まれておりません。

また、現時点で、不正ログインに使用されたID・パスワードが弊社内部から漏洩した事実は確認されておりません。

　

関係者の皆様には、多大なるご迷惑とご心配をおかけし、深くお詫び申し上げます。

弊社は、本件メールが送信された事実の発覚後、ディップ社と協力して調査を行って参りましたが、引き続き、責任を持って本件に対応して参ります。

現時点で判明している事実経過及び当社の対応については、以下のとおりです。

2023/12/30	・本件メールが一部の応募者様宛に送信される。続いてサイバー攻撃を受けている旨の不審なメールが一部の応募者様宛に送信される。
2024/1/5～	・ディップ社側から連絡を受け、弊社が本件メール送信の事実を把握。 ※なお、この間にサイバー攻撃を受けている、不審なメールを受信した等のお問い合わせをいただきましたが、 弊社には本件メールについてのお問い合わせがなく本件メール送信の事実が把握できませんでした。 ・管理画面の停止および求人掲載取り下げのうえディップ社と協力して調査を開始（現在も継続中）、 応募者様宛の連絡等についても同社と協議のうえ対応。

<送信された個人情報及び閲覧された可能性のある個人情報>

（１） 応募情報がメール送信された応募者様　

20名（2023年1月～7月に当該掲載企業に応募した応募者の一部）

氏名、年齢、性別、メールアドレス、電話番号、現在の職業

（２） 応募情報が閲覧された可能性がある応募者様　

1296名（2023年1月～10月に当該掲載企業に応募した応募者の一部）

氏名（よみがなを含む）、年齢、生年月日、性別、メールアドレス、電話番号、現在の職業、お住まいの都道府県・市区町村、学歴・職歴、運転免許の有無・パソコンスキルに関する情報、自己PR、連絡可能な日時、応募日時、応募した案件の情報

※実際に取得している項目は応募者様によって異なるため、1名以上の応募者様から取得している項目を全て挙げています。

<本件への対応>

・求人掲載の停止

・ディップ社に対し、不正ログインが行われたアカウントの停止等の対応状況を確認のうえ、ログ等の調査を依頼

・ディップ社と対応を協議のうえ、応募者様への上記お知らせ等や関係機関への報告をディップ社において実施していただく

・社内PCのログイン履歴、利用状況、ID及びパスワードの管理状況等を確認のうえ、ディップ社から提供されたログ等の情報と照合し本件管理画面に

　不正ログインした第三者に関する調査を実施

・社内PCのウイルススキャンの実施

・マルウェアEmotetの感染チェックの実施

・本件管理画面のID及びパスワードの変更、ID及びパスワードの管理体制の強化　　　

現時点で把握している事実経過及び対応は上記のとおりですが、引き続き、ディップ社と協力して調査を継続し、適切に対応して参ります。この度は、応募者様及び関係者の皆様に多大なご迷惑ご心配をお掛けしますことを深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-022】株式会社ファインエイド 不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が運営する「健康いきいきライフスタイル」のウェブサイト（以下「弊社サイト」といいます。）におきまして、第三者による不正アクセスを受け、当サイトをご利用いただいた一部のお客様の個人情報（5,193名分）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

個人情報が漏洩した可能性のあるお客様には、本日より、電子メール又は書面にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年12月11日、一部のクレジットカード会社から、弊社サイトを利用したお客様の個人情報の漏洩懸念について連絡を受け、2023年12月12日、弊社サイトでのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年12月26日、調査機関による調査が完了し、2021年1月5日から2023年11月15日までの期間に弊社サイトを利用いただいた一部のお客様の個人情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。 

2.個人情報漏洩状況 

(1)原因

弊社サイトのシステムの一部の脆弱性を悪用したクロスサイトスクリプティングの手法による第三者の不正アクセスにより、サーバ内に、クレジットカード決済実行時に処理される個人情報を取得するためのアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

個人情報漏洩の可能性がある期間は、2021年1月5日～2023年11月15日であり、漏洩の可能性がある対象者は、弊社サイト（「健康いきいきライフスタイル」）をご利用されたお客様5,193名です。漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

・氏名

・住所

・メールアドレス

・電話番号

・FAX番号

・注文履歴

・生年月日

・性別

上記に該当する5,193名のお客様については、別途、電子メール又は書面にて　個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカード情報による取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、クレジットカード情報の漏洩の可能性があるお客様につきましては、クレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年12月11日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知を行うべきと判断し、また、初期の調査からさらなる漏洩のおそれは小さいと判断されたことから、調査会社から調査結果を受領し、カード会社その他関係機関との連携を十分に行ってから公表することにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について 

弊社サイトは、2023年11月15日、従前の脆弱性を克服し、十分なセキュリティ対策および監視体制を備えた新環境へ移行しておりますが、本事案を受けてカード利用は現在も停止中です。もっとも、このたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制のさらなる強化を検討し、再発防止を図ってまいります。

弊社が運営する「健康いきいきライフスタイル」の再開日につきましては、決定次第、改めて弊社のWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年12月12日に報告済みであり、また、所轄警察署にも2023年12月12日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-021】日東製網株式会社 第三者によるランサムウェア感染被害のお知らせ

このたび、当社のサーバーが第三者による不正アクセスを受け、ランサムウェア感染被害を受けましたので、お知らせいたします。

本件につきましては、既に対策本部を設置のうえ、外部専門家の助言を受けながら、原因特定、被害情報の確認、情報流出の有無などの調査を行い、復旧への対応を進めており、警察への相談をしております。引き続き、外部専門家等と連携のうえ、対応を進めていく方針です。

被害の全容を把握するには今しばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。

お取引様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

１．経緯

１月 16 日(火)午前８時頃に外部から不正アクセスを受けサーバーに保存している各種ファイルが暗号化されていること等を同日確認しました。

発覚時より直ちに、外部専門家と共に状況調査を行い、ランサムウェアの感染拡大を防ぐための必要な対応を行いました。

１月 17 日(水)に全社対策本部を設置し、情報共有すると共に、復旧に向けての対応を進めております。また、警察への相談しました。

２．被害を受けた情報

サーバーに保存していた各種業務データ、業務用ソフトウエアが暗号化されアクセス不能な状況となっております。なお、情報流出につきましては現在調査中です。

３．今後の対応

外部専門家及びシステム関係機関等と連携のうえ、早期復旧に向け作業を進めると共に、通常の業務遂行が可能となるよう対応を進めております。皆様へのご迷惑を最小限に止めるべく取組んでまいります。

なお、本件による当社グル－プの業績への影響については現在精査中であり、開示が必要な場合は速やかに公表いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスへの対応に関して

 

昨年、当社春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことに関して、以下の通り続報致します。

本件につきましては、速やかに対策本部を設置のうえ、外部専門家による原因の特定、被害状況の確認、情報流出の有無などの調査を行いました。

その結果、業務に使用していない PC にインストールされていたリモートデスクトップツールを通じた不正アクセスがあり、春日井工場のデータの一部がロックされましたが、バックアップ・データにより復旧できております。他のデバイスについてはこれまでに実施してきたセキュリティー強化の効果もあって影響を受けなかったものと判断しております。

今後は、導入済みのセキュリティーツールの運用強化も含め、適時、外部専門家のアドバイスを受けるなど、セキュリティー対策の拡充に努めて参ります。

改めまして、この度の件でご心配をお掛けしましたことを、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-508】大東市立生涯学習センター アクロス 当センターメールアカウントへの不正アクセスのお詫びとご報告

 

2023年12月13日、当センターのメールアカウント(info@daito-across.jp)が第三者による不正アクセス攻撃をうける事象が発生し、調査・対応しましたのでお知らせします。

不正アクセスに伴って、当センターを装った「なりすましメール」が不正に発信されているという事実を確認いたしました。

本件に関しまして、再発防止に向けた対策を実施してまいります。関係者の皆様には、多大なるご迷惑およびご心配をおかけしますことを深くお詫びいたします。

経緯及び対応2023年12月13日1時頃、当センターを装った「なりすましメール」が大量に配信されていることを検知、アカウントを一時凍結しました。

これを受けて調査した結果、当センターのメールアカウントに対して不正アクセスが行われていることが判明しました。

不正アクセスされていたメールアカウントのパスワードについては12月13日に変更を行いました。

影響範囲および今後の対応daito-across.jpドメインをつかった複数の不正メールが送信された事象を確認しています。

また上記アカウントのメールボックス内の情報がダウンロードされた痕跡はいまのところ確認されておりませんが、メールボックス内の情報にアクセスできた可能性がございます。

当センターとしては、本件について引き続き調査を進めるとともに、調査結果を踏まえ、セキュリティ強化策を実施し、今後は更に不正アクセスを防止するための再発防止策を講じてまいります。今後、新たにお知らせすべき内容が判明した場合、速やかに情報を開示いたします。

当センターを装った不審メールにつきまして万一、当センターのメールを装った不審なメールが届いておりましたら、本文中に記載されているURLをクリックしたり、添付されているファイル等を開封したりせず、メールごと削除していただきますようお願いいたします。

リリース文（アーカイブ）