鹿児島県が過去に使用していたドメイン(ホームページアドレス)について、事業終了等に伴う運用停止後に、第三者に再取得されていることが判明しました。
下記ドメインを使用したホームページは、本県とは全く無関係ですので、ご注意ください。
島根県が過去に使用したドメイン(ホームページアドレス)について、運用停止後にオークションサイトでの売買等により、第三者に再取得されていることが判明しました。
これらのホームページに係る事業は既に終了しており、下記ドメインを使用したホームページは、本県とは全く無関係ですので、ご注意ください。
・syokujusai-shimane2020.jp(第71回全国植樹祭しまね)【林業課】
・gotoeat-shimane.jp(GoToEatキャンペーンしまね)【しまねブランド推進課】
・shimane-goen.jp(ご縁の国しまね)【観光振興課】
・shimane-ninsho.jp(島根県新型コロナ対策認証店認証制度)【薬事衛生課】
・smalruby-koshien.jp(スモウルビー・プログラミング甲子園開催事業)【産業振興課】
・shimane-monodukuri.jp(しまねものづくり人材育成支援Navi)【雇用政策課】
・上記1に掲載のドメインへリンクを張っているウェブサイトの管理者へ削除を依頼
・県民等への周知
・庁内へドメイン管理の注意事項を周知徹底
当社連結子会社・株式会社ブランジスタメディアが運営する旅色Instagramアカウント(@tabiiro)、旅色お取り寄せInstagram公式アカウント(@tabiiro.otoriyose)が、第三者からの不正アクセスにより乗っ取られる事案が発生いたしました。
2024年1月13日以降、弊社が当該アカウントを使用してダイレクトメッセージをお送りすることはございません。万が一、「旅色」をかたった連絡や操作を促すURLやリンクを受信した場合には、開かずそのまま破棄いただくようお願いいたします。
今後、新たにお知らせするべき内容が判明した場合、速やかに情報を開示いたします。
お騒がせをしておりますことを、心よりお詫び申し上げます。
平素より弊社製品をご愛顧いただきまして誠にありがとうございます。
去る2024年1月8日、弊社Instagram公式アカウント「yoakinsta (@yoakinsta)」(以下、当該アカウント)が第三者からの不正アクセスにより乗っ取られる事案が発生しております。
Meta社に対策の要請を行っておりますが、本アカウントの早急な復旧は困難だと考え、今後、弊社からお客様への有益な情報の発信を継続するために、新規のInstagramアカウントを立ち上げました。
旧アカウント「yoakinsta (@yoakinsta)」
新アカウント「yoaktokyo (@yoaktokyo)」
何卒フォロー頂けますと幸いでございます。
再発防止のために、フィッシングメールの対策強化、SNSアカウントの管理の徹底、また従業員教育の徹底を行って参ります。なお、2024年1月8日以降、弊社が当該アカウントを使用してダイレクトメッセージをお送りすることはございません。 万が一、弊社を騙った連絡や操作を促すURLやリンクを受信した場合には、開かずそのまま破棄いただくようお願いいたします。
あらためましてお客様にご心配とご迷惑をお掛けしましたことを、心よりお詫び申し上げますとともに、再発防止に努めて参る所存です。
| 会社名 | 個人情報の内容 |
|---|---|
| ダイドーグループホールディングス株式会社 |
|
| ダイドードリンコ株式会社 |
|
| ダイドービジネスサービス株式会社 ダイナミックベンディングネットワーク株式会社 ダイドービバレッジサービス株式会社 株式会社ダイドービバレッジ静岡 ダイドーベンディングジャパン株式会社 アサヒ飲料販売株式会社 株式会社ミチノク 九州アサヒ飲料販売株式会社 株式会社ダイドードリンコサービス関東 ダイドー光藤ビバレッジ株式会社 株式会社秋田ダイドー ダイドー・シブサワ・グループロジスティクス株式会社 ダイドーベンディング近畿株式会社 大同薬品工業株式会社 株式会社たらみ ダイドーファーマ株式会社 |
|
※(at)は@マーク
※test(at)edu-izumi.jpのアカウントは削除しました。
StealthMole(旧Dark Tracer)による、2024年1月~2月のランサムウェア被害を受けた日系企業のリスト。
2024年3月1日(金)~3月31日(日)
※2024年3月31日(日)午後11時59分までにマイルへの交換申込完了が必須
期間中、Pontaポイントからマイルへの交換を申し込むと、通常の交換マイル+20%分ボーナスマイルをプレゼント
例:100Pontaポイント交換した場合、通常50マイルのところ、さらにボーナスマイル10マイルをプレゼント。(合計60マイル)
※1マイル未満の端数は切り捨て。
JMB×Ponta会員または、JMBローソンPontaカードVisaを持っている人
2024年4月末頃予定
※通常マイルと別に積算
ポイントは貯めるだけではなく、使っていくことにも慣れることが重要。
Pontaはポイント数の変動があれば有効期限が伸びていくが使い方を忘れると大変なので、保有ポイントの10%をJALに移行することにする。
個人情報保護委員会(以下「当委員会」という。)は、令和6年2月 29 日、株式会社四谷大塚(以下「四谷大塚」という。)における個人情報等の取扱いについて、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第 147 条の規定による指導等を行った。
本件は、中学受験のための学習塾を運営する四谷大塚において、令和4年4月~令和5年8月まで勤務していたXが、在職中に、A校舎に通う小学生児童(以下「在校児童」という。)の写真及び動画とともに、四谷大塚が管理する在校児童の個人データを検索して閲覧し、Xの私用スマートフォンに入力して記録し、6人分の個人データ(氏名、年齢、生年月日、住所、所属小学校名及び電話番号、以下「本件個人データ」という。)をXの SNSアカウントに掲載して漏えいさせた事案である(以下「本件漏えい事案」という。)。
四谷大塚は、令和5年8月 10 日、メディア関係者から、Xが、在校児童の写真等を、氏名などの個人情報とともに SNS に掲載しているとの情報提供を受けた。そのため、同日、Xから事情を聴取したところ、個人情報の掲載等の事実を認めたことから、在校児童の個人データを管理する業務システム(以下「本件システム」という。)について、Xのアクセス権を停止するとともに警察に通報した。
四谷大塚は、当委員会に対し、法第 26 条第1項の規定に基づき、令和5年 10 月6日付けで漏えい等報告書(速報)を提出し、同月 13 日付けで漏えい等報告書(確報)を提出した(個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第3号。以下「規則」という。)第7条第3号「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」についての報告)。
法第 23 条において、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされている。また、個人情報の保護に関する法律についてのガイドライン(通則編)(以下「ガイドライン」という。)「10(別添)講ずべき安全管理措置の内容」に、「安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものである」と記載されているように、個人情報取扱事業者は、当然その事業内容によって、取り扱う個人データの量や種類も異なるものであるから、それに応じた安全管理措置が求められている。
四谷大塚は、小学生を対象とした中学受験のための学習塾であるところ、全校で約 8,700人(令和6年1月1日現在)の児童が在校し、大量のこどもの個人情報を取得し、管理・利用している企業であり、また、生徒の氏名、生年月日、住所、小学校名及び成績等、管理する個人データの項目も多い。
こどもの個人データについては、こどもの「安全」を守る等の観点から、特に取扱いに注意が必要であり、組織的、人的、物理的及び技術的という多角的な観点からリスクを検討し、必要かつ適切な安全管理措置を講ずる必要がある。
本件で、四谷大塚における個人データの取扱いに関する安全管理措置には、以下のとおり組織的安全管理措置に問題点が認められた。
平素は、美原体育館等をご利用いただき、誠にありがとうございます。当体育館において、外部から業務用パソコンへの不正アクセスによる個人情報の流出の可能性があることが判明しました。
今月も2件の新規融資を実行する。
これで総投資案件は6件。
1月に融資実行した案件からの返済が始まった。返済率は15%前後
返済された金額は”Kiva Credit”として次回の融資実行時に請求金額から割引を受けることができる。というか、デフォルトでクレジットを使う設定になる。
クレジットを使ってしまうと検証にならないので、クレジットは毎回きちんと外すようにすることが重要。
2月8日、当社内にて管理運用する基幹サーバーに対して、第三者の不正アクセスによるサイバー攻撃を受け、社内システムに障害が発生したことを確認しました(以下「本件」といいます。)。
お客様をはじめ関係者の皆様には深くお詫びを申し上げます。
2024年2月8日17時頃、当社内ファイルサーバーに不具合が生じているとの報告を受けました。
その後、当社内部にて調査をしたところ、サーバーがランサムウェアに感染していることが発覚したため、当該サーバーをネットワークから隔離するなどの被害拡大防止策を講じた上で、外部専門家の協力の下、対策チームを設置いたしました。
その後、同月9日に個人情報保護委員会に報告を行い、同時に第三者調査機関に調査を依頼しました。
第三者調査機関からの調査結果途中報告によると、本件について、当社ネットワークへの不正アクセスが行われたのち、サーバーに記録されていたデータがランサムウェアにより暗号化され、使用できない状況となったことを確認いたしました。
なお、当サイトからの個人情報の漏えいはありませんが、個人情報保護法に則った対応を進める予定です。
また、念のため一時的に当サイト内の全商品を非公開とさせていただいております。
復旧には一定期間を要する見込みであり、現在も復旧作業を継続しております。
今後は、再発防止を含めたセキュリティ強化に全力で取り組んでまいります。
お客様及び関係者の皆様には、ご不便およびご迷惑をお掛けし誠に申し訳ございません。 深くお詫び申し上げます。
今回はそんな課題にぶち当たった際の原因を特定し、解決するための方法を紹介します。
wsl上のLinuxでpingやapt updateできなくなる。
例えばgoogleへのpingが返ってこない。
apt updateするとTemporary failureが起きる。
wsl2ではDNSサーバの設定であるresolv.confが自動的に生成される。なのでこの設定を変更する。
wslコマンドでログインする。制御をするためのファイル(/etc/wsl.conf)を作る。
中身を次のようにする。
別のpowershellを立ち上げてwslをシャットダウンさせる。
WSL2を起動して/etc/resolv.confを書き換える。
中身を書き換える。
これでDNSサーバの設定ができドメイン名が解決できるようになる。
個人情報保護委員会は、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)に基づき、株式会社 NTT ドコモ及び株式会社 NTTネクシアに対し、令和6年2月 15 日に個人情報保護法第 147 条に基づく指導等を行いましたので、お知らせいたします。
ドコモ社は、自社インターネットサービス等に関する事業について、サービス・商品の提案等を行うため、個人データを取り扱っている。
ドコモ社は、これらの事業に関し、ネクシア社に対し、電話営業用の顧客情報管理(以下「本件業務」という。)を含む業務を委託していたところ、ネクシア社の派遣社員であった者(以下「X」という。)が、令和5年3月 30 日、顧客情報管理のために業務上使用する PC(以下「本件 PC」という。)から、個人契約するクラウドサービスに無断でアクセスし、合計約 596 万人分の個人データ(以下「本件個人データ」という。)を同クラウドサービスへアップロードすることにより、外部に流出させ、漏えいのおそれが発生した。
本件業務は、令和4年7月、ドコモ社が株式会社 NTT ぷらら(以下「ぷらら社」という。)を吸収合併したことにより、ドコモ社が事業を承継したものであるところ、本件業務に関するネットワーク等の執務環境(本件 PC を含む。)については、以下の①及び②のような、ドコモ社が定めた情報管理規程に一部適合しない事項(以下「基準不適合事項」という。)が存在した。
① 顧客情報を取り扱う場合は専用の PC を利用し、顧客情報を取り扱う PC においてはインターネット及びメールの利用が制限される必要があるが、これらの制限が実施されていなかった。
② 顧客情報(ファイルシステム及びデータベース)の暗号化が必要であるところ、これが行われていなかった。
このように、ドコモ社及びネクシア社においては、大量の顧客の個人データを取り扱っていたにもかかわらず、ドコモ社がぷらら社を吸収合併した後、半年以上も、基準不適合事項のリスクが存在する状況下で、追加的運用ルールが徹底されず、本件漏えいのおそれが発生した。
ドコモ社では、情報管理規程で定めるところにより、顧客の個人データを取り扱う場合はインターネット及びメールの利用が制限された専用の PC を利用することとし、インターネット及びメールを利用する PC とは取扱区域を分けて管理するルールであった。
しかし、本件 PC は、個人データを取り扱うにもかかわらずインターネット及びメール利用の制限がなされておらず、当時の物理的安全管理措置(個人データを取り扱う区域の管理)は十分な状態とはいえなかった。
ドコモ社は、前記ア及びイの物理的安全管理措置及び技術的安全管理措置に関する問題点について、前記2.(2)のとおり、組織的安全管理措置の徹底により総合的なリスクを低減させる方針を決定したものであるから、この決定に従った運用が実際に徹底されることが重要である。
ドコモ社は、物理的安全管理措置及び技術的安全管理措置が一部不十分な状況に対して、追加的運用ルールを規定し運用していたところ、本件業務における同運用確保のための取組では、日次で行わせる自主点検の結果を月次で確認することで、確実に徹底されていることを確認することとしていた。
しかし、上記取組では、自主点検において虚偽の申告が含まれないことを前提としているため、意図的に追加的運用ルールに反したXの取扱いは是正できず、また、自主点検結果の月次の確認では、いつ行われるか予測できない私的なインターネット接続を即時で検知できないものである。したがって、ドコモ社においては、個人データの取扱いに係る規律に従った運用に問題があり、組織的安全管理措置の不備があったものと言わざるを得ない。
法第 23 条は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。しかしながら、ネクシア社では、個人情報等の取扱いについて、以下の問題点が認められた。
ネクシア社では、派遣社員であるXを含む従業者に、情報セキュリティ遵守のため機密保持に関する誓約書を提出させ、また、情報セキュリティ研修の実施を行っていたものの、情報セキュリティ研修では、一般的な情報セキュリティの考え方及び法の令和2年改正部分を紹介するにとどまっており、大量の顧客データを管理する事業者における研修としては十分とはいえず、結果としてXによる本件漏えいのおそれの発生を防止するに至らなかった。
したがって、ネクシア社における従業者の教育は、従業者が適切な情報セキュリティの確保や個人データの適正な取扱いの重要性に関する認識を醸成するには不十分な内容であったと言わざるを得ず、人的安全管理措置の不備が認められる。
 |
| IHG:ジョージ・ターナー氏 |