【セキュリティ事件簿#2024-263】株式会社ラストワンマイル お客様情報の流出に関するお知らせとお詫び 2024/6/10

ラストワンマイル
 

このたび、弊社が展開するサービス「まるっとシリーズ」をご利用中のお客様へ展開するお客様情報の変更や解約時に申請いただくものとして使用している Google フォーム(以下「申請フォーム」といいます。)について、本来専用アカウントのみ編集可能な状態へ設定するところ、公開設定を誤っており、申請フォームへご入力いただいた情報についてリンク先を知る全員が閲覧可能な状態となっていたことが判明いたしました。

このような事態を引き起こしたことにより、ご迷惑とご心配をおかけしましたことを深くお詫び申し上げますとともに、今後の対応につきまして誠心誠意取り組んでまいる所存です。

本件の概要と対応について、下記の通りご報告申し上げます。

1.経緯と対応

2024 年6月 10 日、申請フォームで他の顧客情報が閲覧できるとお客様よりご連絡をいただき、本来専用アカウントのみ編集可能な状態へ設定するところ、公開設定を誤っており、申請フォームの情報が、リンク先を知る全員が閲覧可能な状態となっていたことが判明いたしました。申請フォームについては、判明後直ちに弊社内の専用アカウントのみ編集可能な状態へ設定を変更し、リンクを知っていても自身の入力ができるのみの状態へ設定変更しております。

その他、弊社にてすべての仕様を再度確認し、同様の問題は発生していないことを確認いたしました。

2.当該情報が閲覧可能となっていた期間

2024 年4月 26 日~2024 年6月 10 日

3.閲覧可能となっていた情報

・ご利用者様の氏名
・ご利用者様の住所
・ご利用者様の電話番号
・ご利用者様のメールアドレス
・ご利用者様の会員 ID

4.影響範囲

420 人の申請フォームの情報が、リンク先を知る全員が閲覧可能な状態となっておりました。

5.被害の状況

現時点において、当該情報の不正利用に関する報告やお問い合わせはございません。

また、当該情報についてランダムに抽出してインターネット検索を実施していますが、当該情報がインターネットで不正に公開されている状況は確認されておりません。

当該状況については、今後も継続的に監視することとしていますので、状況の変化が確認された際には、速やかにお知らせいたします。

6.原因

申請フォームの作成作業時に、申請フォームの作業担当者の設定ミスによりリンク先を知る全員が閲覧できる設定に指定していたことによるものです。

この度は皆様に多大なるご心配とご迷惑をおかけしておりますことを、改めてお詫び申しあげます。弊社らは今回の事態を厳粛に受け止め、再発防止に向けてより一層の情報管理体制の強化・徹底に努めてまいります。

Labels:

【セキュリティ事件簿#2024-108】株式会社日本経営データ・センター 弊社業務サーバ攻撃被害に関する調査結果のご報告 2024/6/19

日本経営データ・センター

小規模事業者持続化補助金は、独立行政法人中小企業基盤整備機構が補助金を交付又は委託し、日本商工会議所、全国商工会連合会、株式会社日本経営データ・センター(以下弊社という。)が実施している事業です。 

既に2024年3月22日に公表しましたとおり、弊社が運営している小規模事業者持続化補助金事務局(以下「補助金事務局」という。)のサーバが、第三者による不正アクセス攻撃を受け(以下「本インシデント」という。)、データの一部を滅失及び暗号化されるランサムウェア被害が発生いたしました。

このたび、外部専門機関の協力のもと進めてまいりました本インシデントに関する調査が完了しましたので、当該調査結果及び再発防止に向けた取り組みにつきましてご報告申し上げます。

補助金申請者並びに関係者の皆様には、ご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。弊社では引き続きセキュリティ強化を図り、より安全・安心な環境での業務を行ってまいります。

【調査結果】


1. 被害の原因


調査の結果、攻撃者は補助金事務局ネットワーク及びサーバ等へ不正に侵入し、ランサムウェアによりデータの一部を滅失及び暗号化していたことを確認いたしました。なお、パソコンについてマルウェア感染等の被害は、確認されませんでした。

2. 影響範囲


外部専門機関による調査では、補助金事務局が管理しているデータについて、情報窃取及び    データの外部転送等を示唆する明確な痕跡情報は確認されませんでした。

3. 二次被害について


現時点で本インシデントにかかわる二次被害は確認されておりません。

【再発防止について】


弊社では、これまでも不正アクセスを防止するための措置を講じるとともに、情報の適切な管理に努めてまいりました。しかしながら、今回の事案を受け、より高度な情報セキュリティレベルを実現するために、外部専門機関による脆弱性診断の結果やアドバイスに基づき、セキュリティ監視体制の強化を行い、再発防止に取り組んでまいります。


【2024年3月22日リリース分】
Labels:
Location: 日本、〒108-6221 東京都港区港南2丁目15−3

【セキュリティ事件簿#2024-262】三重県文化振興事業団が管理するメールアドレスのユーザーアカウントの不正窃取の発生について 2024/6/14

三重県
 

公益財団法人三重県文化振興事業団が管理するメールアドレスのユーザーアカウントが外部より不正に窃取され、不正窃取者が所有するメールアドレスを宛て先として約7万件の迷惑メールが送信されたことが判明しました。

メールを受信された方におかれましては、三重県文化振興事業団(三重県総合文化センター、三重県文化会館)の名称がタイトルに入っていても身に覚えのないメールは開封せず、そのまま削除していただきますようお願いいたします。

(1) 経緯

令和6年6月14日(金曜日)午前9時頃、職員が定期監視のためサーバログを確認したところ、同日午前1時50分頃外部より当該メールアカウントが窃取され、迷惑メールが当該メールアカウントを発信元として送信されていることを確認しました。

同日午前9時30分に当該アカウントを削除し、パスワードの変更・アカウントの再作成を実施しており(作業完了:10時45分)、現在、迷惑メールが当該アカウントから発信されることはありません。

また、メールサーバから他の情報漏洩はなかったことを確認しています。

なお、メールアカウントが窃取された原因については、現在調査中です。

(2)対象メールアドレス

kenbun@center-mie.or.jp

(3)迷惑メール発信件数

メールサーバデータログの解析の結果、送信された詳細な件数や送付先、送信内容は不明ですが、不正窃取者が所有するメールアドレスを宛て先として送信された迷惑メールの総数は約20万件、配信不可を示すエラーが約13万件記録されているため、実際に送信されたのは約7万件と推測されます。

(4)今後の対応方針

今後、警察の捜査に協力するとともに、情報セキュリティ対策を徹底します。

また、迷惑メールに関わるお問い合わせについて、下記の窓口で相談を受け付けます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-261】株式会社ダイセル 当社グループ フランス法人におけるランサムウェア被害の発生について 2024/6/18

ダイセル
株式会社ダイセルは、当社グループのChiral Technologies Europe S.A.S. (以下、CTE)の一部サーバーにおいてランサムウェア被害が発生したことを2024年6月7日に確認しましたのでお知らせいたします。

本件認識後、当該サーバーは即時隔離を実施した上で、被害拡大防止のための対策を講じております。また、外部専門家の協力のもと調査を開始するとともに、システムの保護と復旧に向けて作業を進めております。

現時点で外部への情報流出については確認されておりませんが、今後新たにお知らせすべき重要事項が判明した場合は、適切に対応させていただきます。

お客様・お取引様をはじめとする関係者の皆さまにはご心配をお掛けすることとなり、深くお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-260】箱根・芦ノ湖 はなをり  Booking.com からの不正メールについて 2024/6/18

booking.com
 

現在、Booking.com 経由で「箱根・芦ノ湖 はなをり(所在:神奈川県足柄下郡箱根町)」を予約された一部のお客さまに対して、Booking.com および当ホテルが意図していないメール(当方とは関係のない外部サイトへ誘導するなど)が送信される事象を確認しています。

Booking.com および当ホテルでは、メールなどを用いてお客さまの ID 番号やクレジットカード情報などの個人情報を求めることは一切行っておりません。

このようなメールに記載された URL にアクセスすることのないようご注意ください。

リリース文アーカイブ

Labels:
Location: 日本、〒250-0522 神奈川県足柄下郡箱根町元箱根 桃源台駅

【セキュリティ事件簿#2024-259】ハーメルン [障害] 2024/06/16 17:17~6/17 01:00頃 サイト全域 2024/6/17

ハーメルン
 

期間:

 2024/06/16 17:17~6/17 01:00頃

現象:

該当時間帯中、DDoSアタックによる通信帯域の輻輳(混雑)によりページを表示できない事象が発生

影響範囲:

サイト全域

状況:

対策を仮実施。

認証画面が表示されずタイムアウトする場合、時間をおいてご確認ください。

一部の国や環境では、認証画面を通過できず利用できない事象が起こります。

(追記) 12:55

オプション的な一部の機能(読み上げ・縦書きPDF・挿絵・一部の投票系機能等)については対応中のため一時的にアクセスできない場合があります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-258】浜松市 ロコモーショントレーニング事業における個人情報の漏洩に関するお詫びとご報告 2024/6/19

浜松市
 

この度、「ロコトレ事業登録団体一覧表」の掲載に際して、令和5年度時点での申請者様及び事務担当者様の個人情報が漏洩したことが判明いたしました。

つきましては、令和6年5月24日から令和6年6月13日までに、一覧表をダウンロードした方は、速やかにデータを削除していただくよう、お願い申し上げます。

多大なるご迷惑とご心配をおかけしていることを、皆様に深くお詫び申し上げますとともに、今回の事態を重く受け止め、今後、個人情報の管理には万全を期し、再発防止に努めてまいります。

概要

令和6年5月24日、本市ホームページに「ロコトレ事業登録団体一覧表」のエクセルファイルを掲載いたしましたが、令和6年6月13日、登録団体の関係者の方から、一覧表において個人情報が確認できるとの情報提供がありました。

本市で調査したところ、一覧表として表示された画面には個人情報は含まれませんが、パソコンを利用して特定の操作を加えることで、団体登録申請者及び事務担当者の個人情報が含まれた別のシートが表示されることが判明しました。なお、スマートフォンでは、別のシートを見ることはできません。

一覧表は、事実が判明した6月13日のうちに、個人情報を削除したものに差し替えました。

令和6年5月24日から6月13日までの掲載期間中における、本市ホームページの該当ページへのアクセス数は241件ですが、一覧表のダウンロード件数の確認は不可能でした。

リリース文アーカイブ

Labels:
Location: 日本、静岡県浜松市

【セキュリティ事件簿#2024-257】群馬県 個人情報の不正使用について 2024/6/17

ぐんまフラワーパーク
ぐんまフラワーパークの年間パスポート購入者及びボランティアの個人情報が不正使用される事案が発生しました。

今後、このようなことが起きないよう適切な事務処理を徹底し、再発防止に万全を期してまいります。

1 概要

ぐんまフラワーパークの元指定管理者である(株)ぐんまフラワー管理は、指定管理期間(※注1)中に入手した個人情報(※注2)を自社で経営するレストランの集客のため、不正使用(営業案内ハガキの発送)しました。

1回目:令和6年2月上旬、園内ボランティア(111名)

2回目:令和6年5月29日、ぐんまフラワーパーク年間パスポート購入者(273名)

※注1 指定管理期間:平成18年4月1日から令和5年3月31日まで

※注2 ぐんまフラワーパーク年間パスポート購入者及び園内ボランティアの名簿

2 原因

(株)ぐんまフラワー管理は、指定管理期間満了後、個人情報を県へ直ちに引渡す義務を果たしていませんでした。

また、県も個人情報の引き渡しを指示せず、回収していなかったため、1年2か月の間、個人情報が適切に管理されていない状態にありました。

3 経緯

令和6年5月31日(金曜日)に「ぐんまフラワーパーク」の年間パスポートを購入していた方から営業案内ハガキが届いたとの連絡があり、個人情報の不正使用が発覚しました。

同日、県は、(株)ぐんまフラワー管理に出向き、年間パスポート購入者名簿(9,623名)やボランティア名簿(111名)などの個人情報を回収しました。

また、県は、(株)ぐんまフラワー管理に対して再発防止を指導するとともに、個人情報の完全な引渡しと不正使用を行わない旨の誓約書提出を求め、これを受領しました。

4 今後の対応

(1)謝罪・事実関係の説明

営業案内ハガキを受け取った方へは、県から、謝罪と事実関係を説明させていただく文書を発出いたします。

(2)再発防止の徹底

県が指定管理やその他の委託契約等で保有している個人情報などについて、契約終了後に確実に情報を回収するなど、契約等の厳守を徹底してまいります。

※本事案での第三者への個人情報の流出はありません

リリース文アーカイブ

Labels:
Location: 日本、群馬県

【セキュリティ事件簿#2024-256】アカデミア・ミュージック株式会社 弊社が運営する EC サイト「アカデミア・ミュージック」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2024/6/18

アカデミア・ミュージック
 

このたび、弊社が運営する「アカデミア・ミュージック」におきまして、第三者による不正アクセスを受け、クレジットカード情報(4696 件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。電子メールをお届けできなかったお客様には、書状にてご連絡をさせて頂きます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024 年 1 月 15 日、警察から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡があり、2024 年 1 月 15 日および 2024 年 1 月 18 日、2024 年1 月 19 日に封じ込め措置を取りました。また、2024 年 1 月 25 日、カード会社よりクレジットカード決済を停止するよう連絡を受け、2024 年 1 月 25 日弊社が運営する「アカデミア・ミュージック」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024 年 4 月 1 日、調査機関による調査が完了し、2021 年 4 月 10 日~2024 年 1 月 14 日の期間に「アカデミア・ミュージック」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「アカデミア・ミュージック」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021 年 4 月 10 日~2024 年 1 月 14 日の期間中に「アカデミア・ミュージック」においてクレジットカード決済をされたお客様 4324 名で、漏洩した可能性のある情報は以下のとおりです。

・クレジットカード番号
・有効期限
・セキュリティコード
・メールアドレス
・電話番号

上記に該当する 4324 名のお客様については、別途、電子メールにて個別にご連絡申し上げます 。電子メールをお届けできなかったお客様には、書状にてご連絡をさせて頂きます。

なお、上記に該当するお客様のうち会員登録されているお客様 2092 名については、上記の項目のほか、以下の情報が漏洩した可能性があります。

・弊社サイトへのログインパスワード
・弊社サイトにご登録頂いたお名前
・弊社サイトにご登録頂いたお名前(ふりがな)
・弊社サイトにご登録頂いた会社名(任意項目)
・弊社サイトにご登録頂いたご住所
・弊社サイトにご登録頂いた FAX 番号(任意項目)
・弊社サイトにご登録頂いた生年月日(任意項目)
・弊社サイトにご登録頂いた性別(任意項目)
・弊社サイトにご登録頂いた職業(任意項目)
・弊社サイトにご登録頂いたお届け先
・ご注文履歴

会員登録されているお客様については、弊社サイトのログインパスワードをリセットさせて頂いております。

誠にお手数ではございますが、次回ご利用の際には、ログイン画面にて「ログイン情報をお忘れですか?」をクリックして頂き、パスワード再発行のお手続きをして頂きますようお願い申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024 年 1 月 15 日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびにクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後のクレジットカード決済の再開日につきましては、決定次第、改めて Web サイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2024 年 1 月 19 日に報告済みであり、また、所轄警察署にも 2024 年 1 月 15 日被害申告しており、今後捜査にも全面的に協力してまいります。

Labels:
Location: 日本、〒113-0033 東京都文京区本郷1丁目28−21 荒井製作所第二荒井ビル

【セキュリティ事件簿#2024-255】森永製菓株式会社 不正アクセスによる役職員等の個人情報漏えいのおそれのお知らせとお詫び 2024/6/18

森永製菓
 

森永製菓株式会社のサーバー機器が外部からの不正アクセスを受け、当社およびグループ会社の役職員等の一部の個人情報が外部へ流出したおそれがあることが判明しました。

関係者の皆さまに多大なご迷惑とご心配をおかけすることになり深くお詫び申し上げます。

なお、既に侵入経路を特定・遮断しており、現時点で不正使用などの二次被害は確認されていません。

【漏えいのおそれのある個人情報】

当社及びグループ会社の役職員、委託業務従事者(退職者、元従業者の一部を含む)の個人情報 4,882件

  • 氏名 
  • 所属(会社名、部署名等) 
  • メールアドレス(ドメイン名:@morinaga.co.jp/@morinaga.com)
  • 社内システムログインID  
  • 読み取り不可能なようにランダムな文字列に変換(ハッシュ化)されたパスワード

※お客様の個人情報は含まれておりません。

2024年4月9日、当社サーバーで不審な動作を認知後、すみやかに個人情報保護委員会へ報告いたしました。現在、外部の専門機関による調査を進めており、個人情報が外部に流出した明確な証拠は見つかっていませんが、漏えいの可能性を完全に否定することが困難な状況であることから、漏えいのおそれのある対象の方に対し郵送またはメール等で個別に連絡いたします。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-254】松竹株式会社 個人情報が閲覧可能となる状態が 生じましたことに関するご報告とお詫び 2024/6/17

松竹
 

平素よりお引き立てを賜りまして誠にありがとうございます。

この度、弊社会員組織「松竹歌舞伎会」にて、大阪松竹座「七月大歌舞伎」の切符ご購入者様限定で募集いたしました「大阪松竹座『船乗り込み』開催と乗船者募集のお知らせ」におきまして、ご応募いただきましたお客様の個人情報が、同様に当該申請フォームにアクセスされた方から閲覧可能な状態になっていたことが判明いたしました。

原因はご応募の方法として用いました Google フォームの設定が不十分であったことによるものです。該当されるお客様をはじめ、関係者の方々にご迷惑をおかけいたしましたことを深くお詫び申し上げます。

・閲覧が可能となった個人情報の件数:111 件(111 名様分)

・閲覧が可能となっていた期間:

2024 年 6 月 11 日(火)16 時 30 分頃 ~ 同 6 月 12 日(水)12 時 50 分頃

・閲覧可能となりました個人情報:上記時間帯でご応募いただいたお客様の以下の情報

「歌舞伎会会員番号」「氏名」「参加人数」「メールアドレス」「郵便番号」「住所」個人情報が閲覧可能となりましたのは、当該フォームにアクセスが可能であった限定的なお客様であり、その他の外部から当該情報にアクセスできる状態ではございませんでした。

また各情報は個人毎には紐付けられない表示となっておりました為、個人を特定することは困難であると判断しております。対象者 111 名の皆様には、それぞれに文書にて弊社よりお詫びをお送りさせていただきました。

今後はこのような事態を起こさないよう、お客様にご利用いただくフォームの公開時におけるテスト確認とチェック体制の強化を図り、再発防止に努めてまいります。

重ねてお詫び申し上げますとともに今後ともご愛顧を賜りますようお願い申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-252】川崎市社会福祉協議会 お詫びとご報告 2024/6/17

 

本会の実施事業の申込み受付において、誤った設定をしてしまったために、お申込み頂いた方の個人情報が一時的に他のお申込者様から閲覧できる状態となっておりました。

お申込み頂いた皆様に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

【経緯】

社会福祉法人川崎市社会福祉協議会の支部である川崎区社会福祉協議会において、地域の主催事業の申込み受付を、5月23日より開始いたしました。

その後、6月5日に定員を超過したため申込みを終了しましたが、その際にお申込み者様より、申込み状況を確認したいというご要望をいただき、受付に使用した Google フォームを「結果の概要を表示する」に設定しました。

この設定の変更により、その後の申込フォームに設置される「前の回答を表示」というリンクを選ぶと、お申込み頂いた方の氏名、電話番号、メールアドレスがそれぞれの項目ごとに閲覧できる状況となっておりました。

氏名、電話、メールアドレスそれぞれの項目ごとにまとめられていたため、個人の情報を一体的に把握できる閲覧状況ではございませんでした。

お申込みいただいた方の人数は118名でした。

なお、6月14日にお申込み頂いた方より閲覧可能であるというご指摘をいただき、同日午前9時20分に設定を変更し、情報の閲覧を停止したところでございます。

【対応】

15日から17日にかけて、対象となる方全員へ電話及び電子メールにより、事態のご説明とお詫びの連絡を行っております。

また、本会の他の Google フォームについて全て確認を行い、同様の設定はしていないことを確認しております。

※全員にお電話をおかけする中100名の方には直接お話をさせていただいております。なお、18名の方については留守電及び電子メールでお詫びとご説明をさせていただいたところです(令和6年6月17日16時30分現在)

【再発防止策】

再発防止に向けて、個人情報の収集および管理の際に遵守すべき事項を職員全員に周知徹底してまいります。

また、今後も継続的に個人情報保護およびセキュリティガイドラインの順守を徹底し、情報管理体制の強化に取り組んでまいります。

Labels:

【セキュリティ事件簿#2024-217】東京都 委託事業者におけるコンピュータウイルス感染について 2024/6/17

イセトー
 

教育庁から「就学支援金受給資格認定審査等に係る運用業務委託」を受託している事業者(以下「受託事業者」といいます。)の再委託先である株式会社イセトー(以下「再委託先」といいます。)において、ランサムウェア被害が発生し、生徒等の個人情報が流出した可能性がありますので、お知らせします。

関係する生徒・保護者に対し深くお詫びするとともに、経緯等をお知らせします。

なお、現時点で第三者への流出は確認されていません。 

1 流出の可能性がある個人情報

令和5年度の就学支援金受給資格認定審査等に係る生徒19名及びその保護者18名の個人情報(生徒の氏名・在籍高校・課程・学年・就学支援金審査結果、保護者の住所・氏名等)

2 経緯

(1) 令和6年5月26日(日)、再委託先のネットワークでランサムウェア被害が発生

(2) 令和6年6月6日(木)に受託事業者から、ランサムウェア被害が発生した再委託先の端末に令和5年度の生徒19名・保護者18名の個人情報が含まれている旨の連絡あり

なお、個人情報が含まれていたデータには、パスワードを設定していた。 

3 事故発生後の対応

(1) 受託事業者に対し、早急な調査の実施、調査結果の都への報告等を求めた。

(2) 当該保護者に対して、事故に係る説明・謝罪を行った。

4 再発防止策

今後、都として受託事業者の業務に対する監督指導の徹底を通じて、再発防止に向けて万全を期していく。

リリース文アーカイブ

Labels:
Location: 日本、東京都

【セキュリティ事件簿#2024-217】西宮市 委託業務受託者へのサイバー攻撃について 2024/6/11

イセトー
 

1.事実(事故、事件)内容

本市が固定資産税・都市計画税納税通知書の封入封緘業務を委託している株式会社イセトーから、サイバー攻撃によりコンピューターウィルスに感染し、個人情報流出のおそれがある事案が発生したと報告を受けました。

2.経過

5月26日 

株式会社イセトーがサイバー攻撃により身代金要求型ウィルス・ランサムウェアの被害にあったことが判明。

6月4日 

株式会社イセトーから、本市固定資産税・都市計画税納税通知書のデータ5件程度がランサムウェアに感染したサーバーに保存されていたとの報告を受ける。

6月6日 

株式会社イセトーの社内調査により、ランサムウェアに感染したサーバーに固定資産税・都市計画税納税通知書の宛名情報78件(住所、氏名、課税情報等)が保存されていたことが判明。

3.今後の対応等

現在のところ、個人情報の流出は確認されておりませんが、事業者が警察へ連絡の上、状況を確認中です。事業者に対し、流出の有無を確認するとともに、速やかな社内調査結果の詳細な報告と適切な対策を求めております。

本市としましては、報告内容等を精査の上、今後の対応を検討してまいります。

リリース文アーカイブ

Labels:
Location: 日本、兵庫県西宮市

【セキュリティ事件簿#2024-217】岸和田市 受託業者のサーバーがランサムウェア被害を受けました。 2024/6/11

イセトー
 

概要

令和5年2月に本市が委託した「令和5年4月23日執行 岸和田市議会議員一般選挙に伴う投票所入場整理券・封筒の印刷及び封入封緘業務」の受託事業者・株式会社イセトー(以下、受託事業者)より「サーバーがランサムウェア被害を受けた」との報告を受けました。

詳細

令和6年5月29日(水曜日)、受託事業者より「令和6年5月26日に複数のサーバー、端末内の情報が暗号化されるランサムウェアによる被害が発生した」と報告を受けました。この時点では「本市のデータについて個人情報の流出はない」とのことでした。

しかし、6月6日(木曜日)、受託事業者より「調査を進めたところ、個人情報が記載された5名分の投票所入場整理券のPDFデータが、ランサムウェアの被害にあった端末内に保存されていたことが判明した」との報告がありました。

投票所入場整理券のPDFデータはパスワードを付与し、端末に保存していました。通常であれば、保存期間が経過すると自動でデータが削除される仕組みとなっています。本件では、封入封緘作業の際、5名分の投票所入場整理券が破れ、新たに作成する必要が生じたため、5名分のデータを別の端末にパスワードを付与した状態で移行し、保存していました。5名分のデータを保存していた端末は自動でデータが削除される仕組みとはなっておらず、当該端末がランサムウェアの被害にあったものです。

今後の対応

個人情報が流出したか否かは現時点で不明ですが、該当の5名に対しては直接、上記内容の報告を行っており、今後の調査状況を適宜お伝えします。

受託事業者においては「現在、外部専門家と連携し、捜査機関にも都度連絡しながら調査を進めている」とのことですので、上記5名の個人情報を含めた本市の関連情報の流出確認を早急に進めるよう求めています。

リリース文アーカイブ

Labels:
Location: 日本、大阪府岸和田市

【セキュリティ事件簿#2024-217】大田区 委託業者におけるコンピューターウイルス感染について 2024/6/13

イセトー

 がん検診等ご案内帳票類の印刷、封入及び発送業務を委託している株式会社イセトーから、サイバー攻撃によりコンピューターウイルスに感染し、46件の個人情報流出のおそれがあるとの報告を受けました。なお、現時点で第三者への流出は確認されていません。

1 経過

令和6年5月26日(日曜日)

区ががん検診等ご案内帳票類の印刷、封入及び発送業務を委託している事業者において、一部のサーバーにランサムウェア被害が発生しました。

令和6年5月30日(木曜日)

委託業者担当者より、大田区民の情報はランサムウェア被害に遭ったネットワークと遮断されているため、個人情報流出のおそれはないとの報告を受けました。

令和6年6月10日(月曜日)

委託業者の調査の結果、被害にあったサーバーに以下の個人情報を含むデータが保存されていたとの報告を受けました。

2 流出のおそれのある情報

令和6年度がん検診受診券の画像データ(対象者の氏名、住所等) 46名分

3 今後の対応

株式会社イセトーに対し、引続き個人情報流出の有無の確認を継続するとともに、速やかな調査の実施、報告と適切な対応を求めてまいります。

リリース文アーカイブ

Labels:
Location: 日本、東京都大田区

【セキュリティ事件簿#2024-251】株式会社アルファユニ 弊社が運営する「アルファユニ 公式ショップ」への不正アクセスによる お客様情報漏えいに関するお詫びとお知らせ 2024/6/17

アルファユニ


このたび、弊社が運営する「アルファユニ公式ショップ」(https://alpha-uni.com以下「本件サイト」といいます)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等(1054名)及び個人情報(3126名)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報等及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年1月18日、千葉県警本部サイバー犯罪対策課より、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年1月18日、本件サイト内でのカード決済を停止いたしました。 同時に、第三者調査機関による調査も開始いたしました。2024年3月14日、調査機関による調査が完了し、2021年5月21日~2024年1月2日の期間に本件サイトで購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、また2024年2月13日までに本件サイトにおいて会員登録されたお客様の個人情報が閲覧された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.クレジットカード情報漏洩状況

(1)原因

本件サイトのシステムの一部の脆弱性をつき、一般ユーザーを装い不正注文してきた第三者の攻撃により、システムの改ざんが行われたため。

(2)クレジットカード情報漏洩の可能性があるお客様

2021年5月21日~2024年1月2日の期間中に本件サイトにおいてクレジットカード決済をされたお客様1054名につきまして、以下の情報が漏洩した可能性ございます。

・クレジットカード番号

・有効期限

・セキュリティコード

・本件サイトのログイン情報(メールアドレス、パスワード、電話番号)

3.個人情報漏洩状況

(1)原因

上記2(1)同様、一般ユーザーを装い不正注文してきた第三者の攻撃により、システムの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2024年2月13日までに本件サイトにおいて会員登録をされたお客様3126名につきましては、以下の情報を閲覧された可能性がございます。

・氏名

・住所

・電話番号

・メールアドレス

・団体名

・性別

・注文情報(※)

(※)ご購入されたお客様

上記2及び3に該当するお客様につきましては、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールにてお届けできなかったお客様につきましては、書状にて個別にご連絡させていただきます。

4.お客様へのお願い

(1)クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。 お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記2(2)の対象となるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2)ログインパスワードの再設定のお願い

2021年5月21日~2024年1月2日の期間中に本件サイトからクレジットカードでご購入されたお客様におかれましては、たいへんお手数ですが、ログインパスワードの再設定をお願いいたします。

ログインパスワードの再設定はこちら(https://alpha-uni.com/mypage/login)

なお、2024年7月にオープンいたします新システムの移行の際には、再度パスワードの設定を重ねてお願い申し上げます。

5.公表が遅れた経緯について

2024年1月18日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。 本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

6.再発防止策ならびに弊社が今後運営する新サイトについて

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえて新システムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。 また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年1月24日に報告済みであり、また、所轄警察署にも2024年2月7日被害申告しており、今後捜査にも全面的に協力してまいります。

改修後の「アルファユニ公式ショップ」の再開日につきましては、2024年7月を予定しており、決定次第、改めてWebサイト上にてお知らせいたします。

リリース文アーカイブ

Labels:

Windows11のPCを買ったら最初にすること5選


Windows 11の新しいタスクバーの試みは完全に失敗だが、ちょっとした調整で、以前の使い慣れたWindowsのようにすることができます。

特殊な事をしてWindows 11をWindows 10のようにするという話ではありません。やることはシンプルで、煩わしい広告を消したり、Microsoftに送信するデータを減らしたりするだけです。

ここでは、すぐにやるべき、価値のある5つの設定を紹介します。

1. スタートボタンの位置を左隅に戻す

マイクロソフトはWindows 10のインターフェイスをMacやChromebookのスタイルに近づけようとしているようですが、良い伝統は敢えて変える必要がありません。無駄な試みは元に戻しましょう。


スタートメニューは簡単に左隅に戻すことができます。スタートメニューを開き、「設定」>「個人用設定」>「タスクバー」>「タスクバーの動作」の順に選択します。タスクバーの配置と書かれたフィールドにドロップダウンメニューが表示されます。ドロップダウンメニューを「中央」から「左」に変更します。

2. ウザイ通知の無効化

次は煩わしいポップアップ通知をオフにします。お行儀の悪いサードパーティ製アプリや、頻繁にポップアップしてくるウザイ通知は適宜オフにしましょう。


「スタート」>「設定」>「システム」>「通知」と進みます。必要であれば、すべての通知をオフにすることができます。(Slack、Discord、ウイルス対策ソフトなど、重要なツールの通知はオンにしておいた方がいいかもしれません)

3. マイクロソフトの広告をオフにする

「設定」>「個人用設定」>「デバイスの使用状況」と進みます。ここのオプションは、Windows 11がアプリ、ウェブサイト、Office 365の試用版など、あなたのコンピュータの使用状況をMicrosoftに伝えます。マイクロソフトのサービスを売りつけてくることに興味がなければ、すべてオフにしよう。


4. デフォルトブラウザを変更する

Microsoft Edgeはそれなり優秀だが、お気に入りのブラウザ(Chrome、Firefox、Opera、Brave、etc)がある場合、簡単にデフォルトブラウザを変更できます。


好みのブラウザをダウンロードしてインストールしたら、デフォルトにするかどうか聞いてくるはずなので、それに従えばOKです。しかし、セットアップ中にそのチャンスを逃してしまった場合は、「設定」>「アプリ」>「既定のアプリ」と進み、リストの中からブラウザの名前を見つけてクリックします。ページ上部に「<ブラウザ名>を規定ブラウザにする」というバナーと「デフォルトに設定」ボタンが表示されれば完了です。

5. タスクバーを整理する

Windows 11のタスクバーは最悪で、マイクロソフトはおそらくあなたが興味のないアイコンや機能をいっぱい詰め込んできます。「設定」>「個人用設定」>「タスクバー」と進み、使わないタスクバーアイテムの選択を解除することで、目に優しく、スペースを取り戻すことができます。ウィジェットに別れを告げてください。


Labels:

【セキュリティ事件簿#2024-250】静岡県 一日体験入学参加申込みをした中学生氏名の流出について 2024/6/11

下田高等学校
 

県立下田高等学校において、同校の「中学生一日体験入学」の参加申込みをGoogleフォームで行ったところ、設定ミスにより、一定の操作を行うと申込者136人の氏名を申込者が閲覧できる状態になっていた。なお、漏洩した情報は氏名・ふりがなのみであり、その他の入力情報は集計結果のみが閲覧可能となっており、氏名と紐付けされていない。

また、現在までSNS等への氏名の流出は確認されていない。

(概 要)

1 閲覧可能期間

令和6年5月17日(金)~令和6年6月10日(月)

2 閲覧できた内容

・申込者氏名・ふりがな

・中学校別人数の割合

・保護者の参加・不参加の割合

・理数科・普通科の申込み人数の割合

・理数科の理科・数学の体験授業希望の割合

※申込者氏名と他の情報(各種申込状況)とは紐づけされていない。

3 閲覧が可能であった中学生の人数

136人(6月10日確認時点)

4 問題の認知

6月10日(月)午後4時頃、申込者の中学校から電話連絡を受けた。

(原 因)

・フォームの設定時に、通常設定ではオフになっている「結果の概要を表示する」タブをオンにしてしまったこと。

(対 応)

1 学校の対応

・6月10日(月)の中学校からの連絡後、すぐに「結果の概要を表示する」タブをオフにし、閲覧できない状態にした。

・中学校長あて謝罪文を通知する。

・閲覧が可能となっていた136人の中学生へ謝罪メールを送信する。

2 当該校の再発防止策

・学校情報セキュリティ手順の再確認を行い、複数チェック体制を強化する。

・管理職によるコンプライアンス向上研修を実施する。

3 県教委による再発防止策

・個人情報収集時の注意点について、全県立学校に周知する。

・当該校に対し県教委による情報セキュリティに関する臨時の監査及び研修を実施する。

リリース文アーカイブ

Labels:
Location: 日本、静岡県

【セキュリティ事件簿#2024-001】綜研化学株式会社 ランサムウェア被害の発生について 2024/6/14


当社は、2024 年 3 月 5 日(火)に「ランサムウェア被害の発生について(第三報)」を公表し、当社の子会社である綜研テクニックス㈱(以下「子会社」といいます。)に関する情報の一部が流出した旨をご報告いたしましたが、その後の調査により、さらに当社及び子会社に関する情報の一部が流出していることが確認されました。つきましては、現時点で判明している事実と今後の対応についてお知らせいたします。

お取引先様、関係先の皆様に多大なるご迷惑とご心配をお掛けしておりますことを、改めて深くお詫び申し上げます。

1.発覚の経緯と現状

2024 年 1 月 9 日(火)、当社サーバーに保存されていた各種ファイルが暗号化されていることが確認されたことから、直ちに調査した結果、当社サーバーがランサムウェアの被害を受けたことが判明いたしました。その後、子会社に関する情報の一部の流出が確認されましたことは、2024年 3 月 5 日(火)公表の「ランサムウェア被害の発生について(第三報)」においてご報告いたしましたとおりです。

これに加え、2024 年 5 月 10 日(金)、当社が依頼しております外部専門調査会社から、当社及び子会社に関する情報の一部が外部に流出していたことが判明した旨の連絡があり、当社においてもその事実を確認いたしました。これにつきまして、当社及び子会社は、速やかに個人情報保護委員会に対して報告するとともに、警察、弁護士、外部専門調査会社等と引き続き連携して対応しております。

2024 年 6 月 7 日(金)までの調査及び分析の結果、当社及び子会社から外部に流出した可能性のある情報は以下のとおりです。

また、現時点で、流出した情報の不正利用等の二次被害は確認されておりませんが、引き続き事態の把握に努めてまいります。

当社から流出した可能性のある情報

取引等に関する情報(約 6,505 社)

✓当社のお取引先様、関係先様に関する情報
会社名、取引製品情報、取引数量など

個人情報(約 16,241 名)

✓当社のお取引先様、関係先様に関する情報
氏名、会社名、所属部門・役職名、会社住所、業務用電話番号、業務用メールアドレスなど

✓当社の従業員(退職者を含む。)に関する情報
氏名、生年月日、住所、電話番号、基礎年金番号、保険者番号、家族構成など

子会社から流出した可能性のある情報

取引等に関する情報(約 955 社)

✓子会社のお取引先様、関係先様に関する情報
会社名、取引製品情報、取引数量など

個人情報(約 3,167 名)

✓子会社のお取引先様、関係先様に関する情報
氏名、会社名、所属部門・役職名、会社住所、業務用電話番号、業務用メールアドレスなど

✓子会社の従業員(退職者を含む。)に関する情報
氏名、生年月日、住所、電話番号、基礎年金番号、保険者番号、家族構成など

2.対応状況

当社といたしましては、二次被害の防止を最優先に考え、情報が流出した可能性のある方々に対して順次ご通知を差し上げております。当社ではご連絡先を確認できないこと等により、個別にご通知申し上げることが難しいお取引先様、関係先様及び関係者の皆様につきましては、本公表をもってご通知に代えさせていただきたいと存じます。

なお、今回ランサムウェアの被害を受けたサーバー、システム等は既に使用を中止しており、それらから完全に隔離された新たなネットワークに切り替えた上、セキュリティに万全の注意を払って運用しております。今回の被害を受けて一旦使用を中止した各種の社内システムにつきましても、新環境の下で段階的に復旧を進めており、製品の納入等のお取引が滞ることのないよう、引き続き鋭意対応してまいります。

本件による業績への影響につきましては現在精査中ですが、現時点で大きな影響はないものと考えております。


【2024年1月10日リリース分】
Labels:

【セキュリティ事件簿#2024-249】名古屋大学医学部附属病 学生の不適切なSNS投稿及び個人情報の漏えいに関するお詫び 2024/6/14

名古屋大学医学部附属病
 

名古屋大学大学院医学系研究科の学生が、令和2年3月、SNSに名古屋大学医学部附属病院の患者様2名の電子カルテ画面の写真を投稿し、当該写真には、患者様の個人情報(氏名、入院診療科名及び電子カルテ上の日時)が映っていることが判明いたしました。

こうした経緯から、本院としては、当該患者様及びご家族の皆様に、状況を説明し、お詫びいたしました。

また、当該患者様情報とは別に、個人は特定されないものの、手術画像等の写真を投稿した不適切な行為があったことも判明いたしました。

これらの投稿はすでに削除しており、これまでに本件情報が不正に使用された事実は確認されておりません。

本院では、これまでも個人情報の保護について配慮を行っておりますが、このような事態を発生させ、関係する皆様にご心配とご迷惑をおかけしましたことを、深くお詫び申し上げます。

このたびの事態を重く受け止め、学生への個人情報保護及び倫理教育を徹底し、再発防止に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-248】ケンブリッジ大学出版 サイバーセキュリティ攻撃による当社システム障害について 2024/6/14

 

サイバーセキュリティ攻撃により、当社の出版業務の一部に影響を及ぼす社内システムに不具合が生じており、現在復旧に向けて迅速に対応しております。 予防措置として、メール及び社内システムの一部に利用制限がかかっております。皆さまにはご迷惑をおかけしておりますが、ご理解とご協力の程お願い申し上げます。

復旧に関しては、下記サイトにて適宜ご案内しております。

https://www.cambridge.org/news-and-insights/technical-incident

なお、試験運営及びCambridge Oneを含む学習プラットフォームは影響を受けておらず、通常通り稼働しておりますためご安心ください。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-247】東京都 受託者における個人情報の漏えいについて 2024/6/14

セレブリックス
 

デジタルサービス局と委託契約を締結している株式会社博報堂プロダクツの再委託先である株式会社セレブリックスにおいて個人情報の漏えい事故が発生しましたので、お知らせします。

関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故概要

高齢者向けスマートフォン体験会及び相談会の運営委託事業者(株式会社博報堂プロダクツ)の再委託先(株式会社セレブリックス)が、アシスタント及びアドバイザーとして採用したTOKYOスマホサポーター(以下「スマホサポーター」という。)等のうち75名分の個人情報について、下記期間の勤務調整用フォームに登録したスマホサポーター等が一定の操作を行うと、閲覧できる状態になっていた。これは当該事業者が開設したフォームの閲覧権限設定のミスによるものである。

(1)発生期間

5月24日(金曜日)20時47分から6月12日(水曜日)15時00分頃

(2)漏えいした個人情報

株式会社セレブリックスが採用したスマホサポーター等のうち、上記期間にフォームに登録した75名分の氏名及び60名分の最寄り駅

2 経緯

(1)5月24日(金曜日)

株式会社セレブリックスが採用したスマホサポーター等が、同社が開設した勤務調整用フォームにより、スマートフォン体験会及び相談会への勤務の可否等の登録を開始した。

(2)6月12日(水曜日)15時00分頃

上記フォームに登録したスマホサポーター(1名)から、株式会社セレブリックスへ、他のスマホサポーター等の個人情報が閲覧できる状態になっている旨の連絡があった。

同社の担当者が、個人情報を閲覧できないように権限設定を変更した。

(3)6月12日(水曜日)17時00分頃

上記スマホサポーターから、東京都が委託するスマホサポーター制度運営事務局(TOPPAN株式会社)へ同様の内容の連絡があった。

(4)6月13日(木曜日)11時00分頃

スマホサポーター制度運営事務局から都へ(3)の報告があり、事故が判明した。

3 発生原因

本来、勤務調整用フォームから登録された個人情報の閲覧権限は株式会社セレブリックスの担当者にのみ設定されるべきであったが、フォームに登録したすべてのスマホサポーター等に閲覧権限が誤って設定されていた。

4 事故発生後の対応

個人情報が漏えいした75名に都職員が電話で連絡し、経緯の説明と謝罪を行った。連絡のつかなかった方には、メールで経緯の説明と謝罪を行うとともに、継続して電話で連絡をしている。

現時点で、二次被害等の報告は受けていない。

5 再発防止策

株式会社博報堂プロダクツ及び株式会社セレブリックスに対し、厳重に注意を行いました。

今後、両社に対して、個人情報の取扱いに関する再点検の実施、業務遂行におけるダブルチェックの徹底、関係職員への教育指導を徹底し、再発防止を図ってまいります。

デジタルサービス局内において、委託業務に係る個人情報の適切な管理について、改めて注意喚起を行いました。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-246】株式会社BANDAI SPIRITS 「プレミアムバンダイ」会員情報の漏えいのおそれに関するお詫びとお知らせ 2024/6/11

 

当社が運営する「プレミアムバンダイ」に関する開発保守支援等の業務委託先(以下「委託先」といいます。)におきまして、お客様の個人情報が漏えいしたおそれのある事案が発生したことが判明いたしました。お客様には多大なるご心配とご迷惑をおかけしますこと、深くお詫び申し上げます。

なお、漏えいのおそれのあるお客様の個人情報にはログインパスワードやクレジットカード番号は含まれておらず、現時点において、個人情報の不正利用等の二次被害は確認されておりません。対象のお客様へは、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

当社では、今回の事態を厳粛に受け止め、委託先の監督強化を含む再発防止のための対策を講じてまいります。

お客様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告申し上げます。

1. 本件の概要及び原因

2019年11月27日、委託先において、同社従業員が私物の外付けハードディスク(以下「本件ハードディスク」といいます。)を業務に使用し、2023年12月末頃、データを削除せずに本件ハードディスクを廃棄しました。

2024年4月6日、本件ハードディスクを入手した方から委託先に対し、委託先の情報が含まれている旨の連絡を受けたため調査を行ったところ、本件ハードディスクには、お客様の情報が含まれていることが発覚しました。

2. 漏えいしたおそれのあるお客様の情報

1)2012年11月実施のキャンペーンに参加された一部のお客様情報

メールアドレス 233件

2)2013年11月18日に出荷したお客様情報

住所、氏名、電話番号 1,951件

3. 二次被害又はそのおそれの有無及びその内容

サーフェスウェブ及びダークウェブのモニタリングを実施しておりますが、個人情報が外部へ流出した事実は確認できず、データが外部へ漏えいした可能性は極めて低いと考えられます。現在まで、本件に起因する個人情報の不正利用等の二次被害は確認されておりません。

なお、本件につきましては、個人情報保護委員会への報告を実施済みであり、今後も必要に応じてこれらの関係機関と連携し対応を進めていく予定です。

4. 再発防止策

当社は今回の事態を重く受け止め、委託先に対する個人情報保護管理・情報管理・情報セキュリティ管理に関する安全管理措置の強化を指導するとともに、定期的な確認を行い、再発防止に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-232】株式会社キューヘン 社内ネットワークの一部への不正アクセスについて 2024/6/13

キューヘン
 

現在、被害状況については、引き続き調査を行っていますが、不正アクセスがあった情報の中に、新たに約27万件の個人情報について漏えいするおそれがあることがわかりました。

このうち約25万件については、当社がこれまで給湯器販売等を行ってきた個人情報、また約2万件については過去に当社が九州電力殿から電化機器のPR業務で委託を受けていた個人情報です。

先にプレスリリースした約10万4千件と合わせて約37万4千件となります。

本件に関しては関係機関へ追加で報告しており、今後、当該お客さまにも個別でのご連絡および当社ホームページにてご案内をしてまいります。

お客さまや関係者の皆さまにはご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。

リリース文アーカイブ

【2024年6月3日リリース分】

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-038】株式会社フジクラ 不正アクセスの発生に対する個人情報保護法に基づくご報告 2024/6/12

 
2023年1月31日に株式会社フジクラ(以下「フジクラ」といいます。)のホームページ上で公表しております通り、2023 年 1 月 12 日に、フジクラのタイ国子会社のネットワークに第三者による不正アクセスがあったことを確認しました。

外部ベンダーの調査により、当該不正アクセスは2023年1月10日から同12日にかけて行われたものであり、タイ地区からの国際ネットワーク経由で日本におけるフジクラグループ各社※で利用しているサーバ等についても不正アクセスの痕跡があることが確認されました。

但し、当該サーバ等のデータについて、外部でのデータ流通や不正利用の事実は確認されておりません。

フジクラグループでは、今回の事案を受け、不正アクセスの痕跡のあるサーバ等(以下「対象サーバ等」といいます。)に含まれていた個人情報について調査を致しました。その結果、対象サーバ等に個人データが含まれていたことが判明した個人の方々については個別に通知を差し上げておりますが、古い連絡先情報しか保有していない等、通知を行うこと
が困難である個人の方もいらっしゃいましたので、個人情報保護法に従い、本書面にてご報告致します。

対象サーバ等に含まれていた個人情報は、所属ビジネスの連絡情報(氏名、電話番号、住所、メールアドレス、肩書など)が専らであり、個人用クレジットカード情報や決済サービスの利用情報、マイナンバーなどは確認されておりません。

従いまして、今回の事案による二次被害が生じるおそれはないと考えておりますが、万が一不審な連絡等がございましたら下記問い合わせ先にご連絡下さい。

なお、不正アクセス発覚後、追加攻撃防止のための各種のセキュリティ措置は実施済みです。

今回は関係する皆さまに多大なるご迷惑とご心配をおかけすることになったことを真摯に受け止めております。今回の件を踏まえ、フジクラグループでは改めて情報セキュリティの強化及び再発防止に全力で取り組んで参ります。

※該当するサーバ等の利用会社は次の通りです。

1. 株式会社フジクラ
2. フジクラ物流株式会社
3. 藤倉商事株式会社
4. 株式会社フジクラ・ダイヤケーブル
5. 株式会社フジクラプリントサーキット
6. フジクラ電装株式会社
7. 株式会社スズキ技研
8. オプトエナジー株式会社
9. 株式会社フジクラキューブ
10. 株式会社フジクラビジネスサポート
11. 株式会社フジクラファシリティーズ
12. 第一電子工業株式会社
13. 富士資材加工株式会社

Labels:

【セキュリティ事件簿#2024-217】横浜市 委託業者におけるコンピュータウイルス感染について 2024/6/11

イセトー
 

軽自動車税種別割の納税通知書の印刷等業務を委託している事業者(株式会社イセトー横浜支店)から、サイバー攻撃により同社のサーバーがコンピュータウイルスに感染した結果、1件の個人情報が流出したおそれがあるとの報告がありました。

なお、現時点で第三者への流出は確認されていません。

1 経緯

令和6年5月 26 日に事業者のサーバーが身代金要求型ウイルス・ランサムウェアによる被害を受けました。

令和6年6月6日に事業者から連絡があり、被害を受けたサーバー内に、本市が納税通知書の印刷等業務で利用する軽自動車税種別割の納税通知書(令和5年度分)の画像データ1名分が保存されており、軽自動車税種別割納税義務者の氏名及び課税区名、標識番号について、流出のおそれがあるとの報告がありました。

なお、本データは再印刷のため該当のサーバーに保存していたとのことですが、それ以外の委託データについては、被害を受けたサーバーには保存されていないと報告を受けています。

2 本件への対応

該当する納税義務者の方には、本市から速やかに連絡し、必要な対応をとってまいります。

また、現時点では、第三者への流出は確認されていないとのことですが、引き続き事業者に対し、流出の有無の確認をするとともに、速やかな調査の実施、報告と適切な対応策を求めています。 

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-243】有料で住所教えるとSNS投稿し、個人情報のお漏らしを試みた警察共済組合の職員、タイーホされる

 

警察共済組合本部(東京都千代田区)で勤務していた際に得た個人情報を漏えいしたとして、千葉県警は2024年6月11日、地方公務員等共済組合法違反の疑いで、同組合千葉県支部の職員富川泰興容疑者(31)=同県船橋市海神=を逮捕した。容疑を認め、「報酬をもらって、個人情報を教えた」と話している。

逮捕容疑は、同組合本部で勤務していた昨年6月ごろ、有料で他人の個人情報を教えるとTwitter(現X)に書き込み、年金関係業務で使用するシステムの端末で5人分の住所と生年月日を不正に入手。情報1件当たり数万円の報酬で依頼主に提供した疑い。

千葉県警によると、他県警からの情報提供により発覚した。200人以上の情報が漏えいした可能性があるといい、裏付けを進めている。 

出典:警察共済組合職員を逮捕=個人情報漏えい疑い―千葉県警

Labels:

【セキュリティ事件簿#2024-240】株式会社デザインフィル ミドリカンパニー 「手紙の書き方」不正アクセスによる検索結果の改ざんに関するご報告 2024/6/4

手紙の書き方
 

弊社運営サイト「手紙の書き方」に第三者からの不正アクセスがあり、検索エンジンの検索結果が改ざんされ、意図しない第三者のサイトに誘導されていたことが6月4日(火)に判明いたしました。当社とは関係のない第三者のサイトに誘導される可能性およびフィッシング詐欺などの被害に遭われる可能性がありますのでご注意ください。         なお、当サイトでは個人情報の収集を行っておりませんので、流出の恐れはございません。

お客様にはご不便とご心配をおかけしましたことを深くお詫びいたします。

サイト名:

手紙の書き方 https://letter.midori-japan.co.jp/

改ざんされていた期間:

5月27日(火) 14:00 ~ 6月4日(火) 15:00

改ざんの内容と影響:

・第三者の不正アクセスがあり、検索エンジンの検索結果の改ざんにつながるファイルが設置された

・第三者のECサイトに誘導される検索画面が表示される


改ざん検知後の対応: 

改ざん検知後、直ちに改ざんされたファイルの削除とセキュリティ対策強化を講じ、同サイト内に改ざんがないことを確認いたしました。6月4日(火)15:00に検索エンジンに反映されたことを確認いたしました。

<ご利用のお客様へのお願い>

お使いの検索エンジンやブラウザによっては、復旧に時間がかかる場合があり、現在も第三者のECサイトに誘導される検索画面が表示される場合がございますので、十分にご注意いただきますようお願いいたします。

このたびの事態を厳粛に受け止め、対策・監視を更に強化し、再発防止に取り組んでまいります。今後とも、弊社サイトをご利用いただきますようお願い申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-239】熊取町 個人情報の漏洩について 2024/6/3

 

1.概要

令和6年5月29日(水)18時15分頃、熊取町立学校において、教員がパソコンで資料を作成中に、ネット上でイラストを検索し挿入しようとしたところ、画面が突然静止しメッセージが表示された。メッセージに従い電話し、指示通り操作をしたところ、修理代として3万円かかるので至急クレジットカードかコンビニで振り込むよう、片言の日本語で伝えられる。不審に思い、電話を切り18時38分にパソコンを強制的にシャットダウンする。再起動した際には、デスクトップ上にあった一部のデータが無くなっていることが判明した。

2.経過

5 月 29 日(水)

①事案発生後、校長から熊取町教育委員会への第一報を受け、指導主事が聞き取りを行う。

②デスクトップ上のいくつかのフォルダ(学級通信、他市で作成した文書)がなくなっていることを確認する。

③熊取町役場の情報政策課の指示により、二次被害を避けるため、全ての校務用パソコンのネットワークを遮断し、それぞれのパソコンのウイルスチェックを開始するとともに、システム契約業者にサーバーのウイルスチェックを依頼する。

④併せて、総務省、大阪府への緊急連絡

⑤事案発生時に立ち上がっていたパソコンのウイルスチェックを完了し、異常の無いことを確認する。

5 月 30 日(木)

①文科省、大阪府教育庁、大阪府警本部へ報告

②大阪府警本部、泉佐野警察署による事情聴取

③専門業者に被害状況について調査を依頼

5 月 31 日(金)

①他市教育委員会への情報提供

②教員から泉佐野警察署へ被害届提出

3.原因

個人情報を保存したファイルをインターネット環境にあるパソコンのデスクトップ上に保管していたこと、不審なメッセージに気付かず対応してしまったことによるもの。

4.対策

5 月 31 日、町内全小中学校の保護者宛に個人情報漏洩の旨の文書を配布するとともに、臨時校長会を開催し、個人情報の遵守の必要性とパソコン使用に対する危機管理の徹底を周知した。

5.見解

関係者の皆様に多大なるご迷惑とご心配をおかけしたことを深くお詫びいたしますとともに、個人情報の取扱いには十分に注意を払うよう注意喚起をし、再発防止に努めます。

リリース文アーカイブ

Labels:
登録: コメント (Atom)