バグバウンティで使えるおすすめのブラウザ拡張機能

今回は、バグバウンティ活動もサポートし、脆弱性の発見を効率化するためのおすすめのブラウザ拡張機能を10個ご紹介します。各拡張機能の特長や使い方、具体的な利用シーンについて詳しく解説していきます。ぜひ最後までご覧ください。

Wappalyzer

Wappalyzerは、ウェブサイトが使用している技術を簡単に特定できる強力なブラウザ拡張機能です。このツールを使えば、サイトが利用しているコンテンツ管理システム（CMS）、Eコマースプラットフォーム、サーバーソフトウェア、JavaScriptフレームワーク、アナリティクスツールなど、さまざまな技術スタックを瞬時に把握することができます。

特長

• 多岐にわたるテクノロジーの検出：Wappalyzerは数百種類以上のテクノロジーを識別することができ、サイトの詳細なプロファイルを提供します。
  
  
• リアルタイム分析：ウェブページにアクセスするたびに、Wappalyzerがそのページを自動的に分析して表示します。
  
  
• 使いやすさ：インストールしてブラウザのツールバーにアイコンを追加するだけで、簡単に利用できます。

利用シーン

Wappalyzerは特定のテクノロジーに関連する脆弱性を探す際に非常に役立ちます。例えば、特定のCMSやフレームワークに既知の脆弱性がある場合、そのプロダクトを使用しているサイトを迅速に特定し、効率的に脆弱性を検証することができます。また、新しいターゲットサイトのプロダクトスタックを迅速に把握することで、どのような攻撃手法が効果的かを判断する助けにもなります。

Shodan

Shodanは、インターネット上に接続されたデバイスやサービスを検索するための強力なツールです。このブラウザ拡張機能を利用すると、訪問しているウェブサイトやネットワークの情報を簡単に取得でき、潜在的な脆弱性を特定する手助けをしてくれます。

特長

• デバイスの検出：Shodanは、ウェブカメラ、ルーター、サーバー、プリンター、さらには産業制御システムなど、さまざまなインターネット接続デバイスを検出できます。
  
  
• 詳細なメタデータの表示：IPアドレス、ホスト名、オープンポート、サービス、バナー情報など、ターゲットの詳細なメタデータを表示します。
  
  
• リアルタイム情報：アクセスしているウェブサイトやデバイスの情報をリアルタイムで取得し、潜在的な脆弱性を迅速に特定できます。

利用シーン

Shodanはバグバウンティの活動において、特に以下のようなシーンで役立ちます。

• ネットワークスキャン：特定のネットワークセグメント内のすべてのデバイスをスキャンし、オープンポートや公開されているサービスを確認することで、攻撃のエントリーポイントを見つけることができます。
  
  
• 脆弱性の特定：既知の脆弱性を持つデバイスやサービスを特定し、検証を行います。例えば、Shodanは特定のソフトウェアバージョンや設定の問題を持つデバイスをリストアップすることができます。
  
  
• インテリジェンスの収集：攻撃対象の技術インフラやセキュリティレベルについてのインテリジェンスを収集し、効果的な攻撃シナリオを構築するための情報を提供します。

Retire.js

Retire.jsは、JavaScriptライブラリに含まれる既知の脆弱性を検出するためのブラウザ拡張機能です。ウェブアプリケーションが使用しているJavaScriptライブラリのバージョンを特定し、そのバージョンに存在する既知の脆弱性を簡単に確認できます。

特長

• 既知の脆弱性の検出：Retire.jsは、脆弱なJavaScriptライブラリのバージョンを検出し、詳細な脆弱性情報を提供します。
  
  
• リアルタイム解析：ウェブページを読み込む際にリアルタイムで解析し、脆弱なライブラリが使用されている場合に通知します。
  
  
• 詳細なレポート：検出された脆弱性について、CVE（Common Vulnerabilities and Exposures）番号や脆弱性の詳細な説明を含むレポートを生成します。

利用シーン

Retire.jsは、以下のようなバグバウンティのシナリオで特に役立ちます。

• ライブラリの検証：ターゲットウェブサイトが使用しているJavaScriptライブラリのバージョンを確認し、既知の脆弱性が存在するかどうかを検証します。特に、古いバージョンのライブラリを使用している場合、その脆弱性を突く可能性があります。
  
  
• 脆弱性の特定：サイトが依存しているサードパーティのJavaScriptライブラリに既知の脆弱性があるかを確認することができます。
  
  
• セキュリティ評価：ウェブアプリケーションのセキュリティ評価を行う際に、使用されているJavaScriptライブラリの安全性を確認し、改善提案を行うための情報を提供します。

Hackbar

Hackbarは、ウェブアプリケーションのテストや脆弱性の発見をサポートします。このツールは、URLやパラメータの操作を簡単に行えるインターフェースを提供し、SQLインジェクション、クロスサイトスクリプティング（XSS）、リモートファイルインクルージョン（RFI）などの攻撃をシミュレートすることができます。

HackbarはブラウザのDeveloper tools (F12押下で出てくるやつ）内にある”HackBar tab”内で活用します。

特長

• URLエンコーディングとデコーディング：Hackbarは、URLエンコーディングやデコーディングをワンクリックで行える機能を提供し、特殊文字やエスケープシーケンスを簡単に操作できます。
  
  
• パラメータの操作：リクエストパラメータの編集や挿入を迅速に行うことができ、SQLインジェクションやXSSなどのテストを効率的に実施できます。
  
  
• リクエストの再送信：修正したリクエストをすぐに再送信できるため、テストの効率が向上します。
  
  
• カスタマイズ可能なペイロード：頻繁に使用するペイロードを保存し、必要に応じてすぐに挿入できる機能を提供します。

利用シーン

Hackbarは、バグバウンティ活動において以下のようなシナリオで特に役立ちます。

• SQLインジェクションのテスト：URLやパラメータにSQLインジェクションのペイロードを挿入し、サーバーの応答を確認することで、脆弱性の有無を検証します。
  
  
• クロスサイトスクリプティング（XSS）のテスト：入力フィールドやURLパラメータにXSSペイロードを挿入し、スクリプトの実行可否を確認します。
  
  
• リモートファイルインクルージョン（RFI）のテスト：URLやパラメータにRFIペイロードを挿入し、外部ファイルの読み込みが可能かどうかをテストします。
  
  
• ペネトレーションテストの迅速化：リクエストの再送信やペイロードのカスタマイズ機能を活用し、効率的に脆弱性の発見と報告を行います。

Mitaka

Mitakaは、オンラインリソースを迅速に調査し、脅威情報を収集するためのブラウザ拡張機能です。このツールは、IPアドレス、ドメイン、URL、ハッシュなどのデータをさまざまな脅威インテリジェンスプラットフォームやOSINT（オープンソースインテリジェンス）ツールを通じて検索し、詳細な情報を提供します。

特長

• 複数のインテリジェンスソース：Mitakaは、VirusTotal、Shodan、Censys、AbuseIPDBなどの複数の脅威インテリジェンスプラットフォームと統合されており、一度の検索で広範な情報を取得できます。
  
  
• 多機能な検索：IPアドレス、ドメイン、URL、ファイルハッシュ（MD5、SHA-1、SHA-256）など、さまざまなタイプのデータを検索対象とすることができます。
  
  
• カスタマイズ可能：設定をカスタマイズすることで、自分がよく利用するインテリジェンスソースを優先的に表示させることができます。

利用シーン

Mitakaは、バグバウンティやセキュリティ調査のさまざまな場面で役立ちます。

• 脆弱性調査：特定のIPアドレスやドメインに関連する脅威情報を収集し、既知の脆弱性や過去の攻撃履歴を確認できます。
  
  
• マルウェア分析：疑わしいURLやファイルハッシュを検索し、マルウェアの存在やその詳細な情報を調査します。
  
  
• インシデント対応：セキュリティインシデント発生時に、関連するIPアドレスやドメインの詳細情報を迅速に収集し、対応策を講じます。
  
  
• 情報収集とレポート作成：バグバウンティの報告書作成時に、対象の技術的背景やリスクを詳細に記述するための情報を収集します。

Trufflehog

Trufflehogは、ソースコードリポジトリやプロジェクトファイル内に存在する機密情報（シークレット）を検出するためのブラウザ拡張機能です。このツールは、APIキー、パスワード、秘密鍵などの機密情報が誤って公開されていないかを確認し、セキュリティリスクを未然に防ぐための重要な役割を果たします。

特長

• 高精度の検出：Trufflehogは、単純な文字列検索だけでなく、正規表現やヒューリスティックな分析を用いて機密情報を高精度に検出します。
  
  
• 対応するリポジトリ：GitHubやGitLabなどの主要なソースコードホスティングプラットフォームに対応しており、リポジトリ全体を迅速にスキャンできます。
  
  
• リアルタイム通知：検出された機密情報について、リアルタイムで通知し、即座に対策を講じることができます。
  
  
• 簡単な操作：インストールしてブラウザのツールバーにアイコンを追加するだけで、任意のリポジトリを簡単にスキャンできます。

利用シーン

Trufflehogは、バグバウンティやセキュリティ監査のさまざまなシナリオで役立ちます。

• コードレビュー：リポジトリのコードレビュー時に、機密情報が含まれていないかを確認し、セキュリティリスクを低減します。
  
  
• 継続的インテグレーション（CI）/継続的デリバリー（CD）：CI/CDパイプラインにTrufflehogを組み込むことで、新しいコードが追加されるたびに自動的にスキャンし、機密情報の漏洩を防ぎます。
  
  
• 脆弱性評価：プロジェクトの脆弱性評価を行う際に、誤って公開されている機密情報を特定し、リスク評価と対策を行います。
  
  
• インシデント対応：セキュリティインシデント発生時に、リポジトリ内の機密情報漏洩の有無を迅速に確認し、被害の拡大を防ぎます。

DotGit

DotGitは、Gitリポジトリ内に存在する機密情報（シークレット）やメタデータを検出するためのブラウザ拡張機能です。このツールは、誤って公開されたAPIキー、パスワード、証明書などを迅速に特定し、セキュリティリスクを軽減するために役立ちます。

特長

• 機密情報の検出：DotGitは、Gitリポジトリ内のファイルやコミット履歴をスキャンし、機密情報が含まれていないかを検出します。
  
  
• メタデータの解析：ファイルの変更履歴やコミットメッセージなどのメタデータを解析し、潜在的なセキュリティリスクを特定します。
  
  
• リアルタイム通知：機密情報やメタデータにリスクが検出された場合、リアルタイムで通知します。
  
  
• 使いやすいインターフェース：シンプルで直感的なインターフェースにより、簡単にリポジトリをスキャンし、リスクを確認できます。

利用シーン

DotGitは、以下のようなバグバウンティやセキュリティ管理のシナリオで役立ちます。

• コードレビュー：リポジトリのコードレビュー時に、誤ってコミットされた機密情報やセキュリティリスクを特定し、問題を早期に発見します。
  
  
• セキュリティ監査：定期的なセキュリティ監査の一環として、リポジトリをスキャンし、潜在的なリスクを評価します。
  
  
• インシデント対応：セキュリティインシデント発生時に、リポジトリ内の機密情報漏洩の有無を迅速に確認し、被害の拡大を防ぎます。
  
  
• 継続的インテグレーション（CI）/継続的デリバリー（CD）：CI/CDパイプラインにDotGitを組み込むことで、新しいコードが追加されるたびに自動的にスキャンし、機密情報の漏洩を防ぎます。

FoxyProxy Standard

FoxyProxy Standardは、プロキシサーバーの設定を簡単に切り替えられるブラウザ拡張機能です。異なるプロキシサーバーを切り替えることで、テスト環境や調査対象に応じたアクセスを効率的に管理することができます。

特長

• 複数のプロキシ設定：複数のプロキシ設定を保存し、必要に応じて簡単に切り替えることができます。各プロキシの詳細な設定も可能です。
  
  
• URLパターンマッチング：特定のURLパターンに基づいてプロキシを自動的に切り替えることができ、柔軟なアクセス管理を実現します。
  
  
• 簡単な操作：ブラウザのツールバーからワンクリックでプロキシのオンオフを切り替えることができ、直感的で使いやすいインターフェースを提供します。
  
  
• ログ機能：プロキシを通じた通信のログを記録し、後から詳細な分析を行うことが可能です。

利用シーン

FoxyProxy Standardは、以下のようなバグバウンティやセキュリティ調査のシナリオで特に役立ちます。

• 地域制限の回避：異なるプロキシサーバーを利用することで、地域制限を回避し、さまざまな国からのアクセスをシミュレートできます。
  
  
• テスト環境の切り替え：異なるプロキシを使用して、テスト環境や本番環境など、異なる環境へのアクセスを迅速に切り替えることができます。
  
  
• 匿名アクセス：匿名プロキシを利用して、テスト対象に対して匿名でアクセスし、調査活動を行うことができます。
  
  
• ネットワークトラフィックの解析：特定のプロキシを通じたネットワークトラフィックを解析し、セキュリティリスクや異常な挙動を検出します。

Cookie-Editor

Cookie-Editorは、ブラウザ内のクッキー（Cookie）を管理・編集するための拡張機能です。このツールは、クッキーの追加、削除、編集、検索を簡単に行うことができますので、セッション管理や認証に関連するテストに役立ちます。

特長

• 簡単な編集：クッキーの値、ドメイン、パス、有効期限などを簡単に編集できます。これにより、認証やセッション管理のテストが迅速に行えます。
  
  
• クッキーの追加と削除：新しいクッキーを追加したり、既存のクッキーを削除したりすることができます。これにより、クッキーに依存する機能の動作を検証できます。
  
  
• クッキーの検索：特定のクッキーをすばやく見つけるための検索機能が搭載されています。大量のクッキーが存在する場合でも、目的のクッキーを簡単に特定できます。
  
  
• エクスポートとインポート：クッキーのエクスポートとインポートが可能で、異なるブラウザやデバイス間でクッキーを移行するのが簡単です。

利用シーン

Cookie-Editorは、以下のようなバグバウンティやセキュリティテストのシナリオで特に役立ちます。

• セッションハイジャックのテスト：他のユーザーのセッションを再現するために、特定のクッキーを編集して認証情報を操作し、セッションハイジャックの脆弱性を検証します。
  
  
• クロスサイトスクリプティング（XSS）のテスト：XSS攻撃をシミュレートし、クッキーを通じてセッション情報やその他の機密データが漏洩する可能性を評価します。
  
  
• 認証とセッション管理のテスト：クッキーを操作して、アプリケーションの認証およびセッション管理機能に関する脆弱性を検出します。
  
  
• セキュリティポリシーの確認：クッキーの属性（セキュア、HttpOnly、SameSiteなど）を確認し、セキュリティポリシーが適切に実装されているかを評価します。

出典：バグバウンティで使えるおすすめのブラウザ拡張機能10選

JAL燃油サーチャージの定点観測（～2024年9月）

燃油サーチャージ（JAL）の定点観測を行っていきます。

燃料サーチャージの元ネタはシンガポールケロシンとされており、シンガポールケロシンはTradingViewで確認できる（銘柄コード：AKS1!）

燃料サーチャージはシンガポールケロシンの遅行指数となっており、約2か月ほど遅れている。

つまり、シンガポールケロシンが上昇している状況であれば早めに航空券を抑えた方が良い。

逆にシンガポールケロシンの価格が天井を打って下降している状況で、スケジュール的に余裕があるのであれば、次の燃料サーチャージの改定まで待つのが良い。

【日本－欧州、北米、中東、オセアニア】※片道

2024年6月～2024年9月：35,000円

2024年4月～2024年5月：33,000円

2024年2月～2024年3月：43,600円

2023年12月～2024年1月：47,000円

2023年10月～2023年11月：33,400円

2023年8月～2023年9月：28,800円

2023年6月～2023年7月：33,400円

2023年4月～2023年5月：36,800円

2022年12月～2023年3月：47,000円

2022年10月～11月：57,200円

2022年8月～9月：47,000円

2022年6月～2022年7月：36,800円

2022年4月～2022年5月：20,200円

2022年2月～2022年3月：17,500円

2021年10月～2022年1月：11,600円

2021年6月～2021年9月：7,700円

2020年6月～2021年5月：0円

2019年10月~2020年5月：10,500円

2019年8月～2019年9月：14,000円

2019年6月～2019年7月：10,500円

2019年4月～2019年5月：7,000円

2019年2月～2019年3月：17,500円

2018年8月～2019年1月：14,000円

2018年2月～2018年7月：10,500円

2017年12月～2018年1月：7,000円

2017年8月～2017年11月：3,500円

2017年4月～2017年7月：7,000円

2017年2月～2017年3月：3,500円

2016年4月～2017年1月：0円

2015年12月～2016年3月：7,000円

【日本－ハワイ、インドネシア、インド、スリランカ】※片道

2024年6月～2024年9月：22,500円

2024年4月～2024年5月：21,000円

2024年2月～2024年3月：28,200円

2023年12月～2024年1月：30,500円

2023年10月～2023年11月：21,300円

2023年8月～2023年9月：18,400円

2023年6月～2023年7月：21,300円

2023年4月～2023年5月：23,600円

2022年12月～2023年3月：30,500円

2022年10月～11月：37,400円

2022年8月～9月：30,500円

2022年6月～2022年7月：23,600円

2022年4月～2022年5月：12,700円

2022年2月～2022年3月：11,000円

2021年10月～2022年1月：6,600円

2021年6月～2021年9月：4,400円

2020年6月～2021年5月：0円

2019年10月~2020年5月：6,000円

2019年8月～2019年9月：8,500円

2019年6月～2019年7月：6,000円

2019年4月～2019年5月：4,000円

2019年2月～2019年3月：11,000円

2018年8月～2019年1月：8,500円

2018年2月～2018年7月：6,000円

2017年12月～2018年1月：4,000円

2017年8月～2017年11月：2,000円

2017年4月～2017年7月：4,000円

2017年2月～2017年3月：2,000円

2016年4月～2017年1月：0円

2015年12月～2016年3月：4,000円

【日本－タイ、マレーシア、シンガポール、ブルネイ、ロシア（ノヴォシビルスク）】※片道

2024年6月～2024年9月：18,500円

2024年4月～2024年5月：18,000円

2024年2月～2024年3月：23,000円

2023年12月～2024年1月：24,700円

2023年10月～2023年11月：17,900円

2023年8月～2023年9月：15,000円

2023年6月～2023年7月：17,900円

2023年4月～2023年5月：19,600円

2022年12月～2023年3月：24,700円

2022年10月～11月：29,800円

2022年8月～9月：24,700円

2022年6月～2022年7月：19,600円

2022年4月～2022年5月：9,800円

2022年2月～2022年3月：8,500円

2021年10月～2022年1月：5,000円

2021年6月～2021年9月：3,300円

2020年6月～2021年5月：0円

2019年10月~2020年5月：4,500円

2019年8月～2019年9月：6,500円

2019年6月～2019年7月：4,500円

2019年4月～2019年5月：3,000円

2019年2月～2019年3月：8,500円

2018年8月～2019年1月：6,500円

2018年2月～2018年7月：4,500円

2017年12月～2018年1月：3,000円

2017年8月～2017年11月：1,500円

2017年4月～2017年7月：3,000円

2017年2月～2017年3月：1,500円

2016年4月～2017年1月：0円

2015年12月～2016年3月：3,000円

【日本－グアム、パラオ、フィリピン、ベトナム、モンゴル、ロシア（イルクーツク）】※片道

2024年6月～2024年9月：12,000円

2024年4月～2024年5月：11,000円

2024年2月～2024年3月：16,100円

2023年12月～2024年1月：17,800円

2023年10月～2023年11月：11,000円

2023年8月～2023年9月：9,200円

2023年6月～2023年7月：11,000円

2023年4月～2023年5月：12,700円

2022年12月～2023年3月：17,800円

2022年10月～11月：22,900円

2022年8月～9月：17,800円

2022年6月～2022年7月：12,700円

2022年4月～2022年5月：5,800円

2022年2月～2022年3月：5,000円

2021年10月～2022年1月：3,300円

2021年6月～2021年9月：2,200円

2020年6月～2021年5月：0円

2019年10月~2020年5月：3,000円

2019年8月～2019年9月：4,000円

2019年6月～2019年7月：3,000円

2019年4月～2019年5月：2,000円

2019年2月～2019年3月：5,000円

2018年8月～2019年1月：4,000円

2018年2月～2018年7月：3,000円

2017年12月～2018年1月：2,000円

2017年8月～2017年11月：1,000円

2017年4月～2017年7月：2,000円

2017年2月～2017年3月：1,000円

2016年4月～2017年1月：0円

2015年12月～2016年3月：2,000円

【日本－中国、台湾】※片道

2024年6月～2024年9月：9,200円

2024年4月～2024年5月：8,500円

2024年2月～2024年3月：10,300円

2023年12月～2024年1月：11,100円

2023年10月～2023年11月：8,400円

2023年8月～2023年9月：7,100円

2023年6月～2023年7月：8,400円

2023年4月～2023年5月：9,900円

2022年12月～2023年3月：11,400円

2022年10月～11月：12,900円

2022年8月～9月：11,400円

2022年6月～2022年7月：9,900円

2022年4月～2022年5月：5,200円

2022年2月～2022年3月：4,500円

2021年10月～2022年1月：2,800円

2021年6月～2021年9月：1,700円

2020年6月～2021年5月：0円

2019年10月~2020年5月：2,500円

2019年8月～2019年9月：3,500円

2019年6月～2019年7月：2,500円

2019年4月～2019年5月：1,500円

2019年2月～2019年3月：4,500円

2018年8月～2019年1月：3,500円

2018年2月～2018年7月：2,500円

2017年12月～2018年1月：1,500円

2017年8月～2017年11月：500円

2017年4月～2017年7月：1,500円

2017年2月～2017年3月：500円

2016年4月～2017年1月：0円

2015年12月～2016年3月：1,500円

【日本－韓国、極東ロシア】※片道

2024年6月～2024年9月：4,000円

2024年4月～2024年5月：3,500円

2024年2月～2024年3月：5,300円

2023年12月～2024年1月：5,900円

2023年10月～2023年11月：3,500円

2023年8月～2023年9月：2,900円

2023年6月～2023年7月：3,500円

2023年4月～2023年5月：4,100円

2022年12月～2023年3月：5,900円

2022年10月～11月：7,700円

2022年8月～9月：5,900円

2022年6月～2022年7月：4,100円

2022年4月～2022年5月：1,800円

2022年2月～2022年3月：1,500円

2021年10月～2022年1月：600円

2021年6月～2021年9月：400円

2020年6月～2021年5月：0円

2019年10月~2020年5月：500円

2019年8月～2019年9月：1,000円

2019年6月～2019年7月：500円

2019年4月～2019年5月：300円

2019年2月～2019年3月：1,500円

2018年8月～2019年1月：1,000円

2018年2月～2018年7月：500円

2017年12月～2018年1月：300円

2017年8月～2017年11月：200円

2017年4月～2017年7月：300円

2017年2月～2017年3月：200円

2016年4月～2017年1月：0円

2015年12月～2016年3月：300円

ーー

一部の国では消費者保護などの趣旨で、燃油サーチャージ禁止もしくは一定額以内というルールがある。

アジア・オセアニア地域では、シンガポール、タイ、ベトナム、フィリピン、オーストラリア、ニュージーランド等が該当するので、これらの国を出発地とする海外発券を行うと、サーチャージの影響を回避することが可能。

JALマイルの特典航空券でも、サーチャージ禁止国を出発国にすると、サーチャージが0円になるし、サーチャージ不要の航空会社を選択するという手段もある。

サーチャージ不要になる代表的なJAL提携航空会社は以下のとおり。

• アメリカン航空
• ハワイアン航空
• マレーシア航空
• 大韓航空
• カタール航空
• エールフランス
• スリランカ航空

こういった仕組みもうまく活用していきたい。

参考：燃油サーチャージの推移 2023年最新！過去7年間をシンプルに網羅

参考：【燃油サーチャージがない航空会社一覧】JALマイルを使ったJMB提携航空特典航空券が激アツ

【セキュリティ事件簿#2024-293】株式会社大遊 個人情報流出に関するお詫びとご報告 2024/7/5

 

弊社が運営するTCG「ゲートルーラー」に係わる提供サービスの一つ、公認大会において結果報告に用いるGoogle Formsページが存在しておりますが、該当ページにおける編集用URLを知るに至った第三者により閲覧可能な状態となっておりました。

2024年06月27日 未明に、発見者様よりご報告をいただき、直ちに該当のGoogle Formsページにはアクセスを行えない設定をいたしました。第三者より閲覧が可能であった個人情報は以下の通りです。

• 大会結果報告フォームに記載いただいた店舗名・ニックネーム・お名前
• ご記載いただいたメールアドレス

本件に対する対応としましては、以下の通りになります。

• Google Formsに限らず、URLにより共有可能なGoogle Docsで管理されているファイルは、これをアカウントによる認証をもって共有をする設定へ変更。
• 以前の担当者のアカウントに所有権のあったファイルの所有権を、弊社管理のアカウントへ移管または削除。

以上再発防止に努めるとともに、本件における情報流出の該当者の皆様には深くお詫びいたします。

リリース文（アーカイブ）

ワンワールドアライアンスメンバーでイケてるビジネスクラスシート

 

世界の主要航空会社から新しいビジネスクラス・スイートが続々と登場しています。

ほぼ必然のスライドドアの向こう側には、ワイヤレス充電パッドや4Kビデオスクリーン、Bluetoothオーディオストリーミング（ノイズキャンセリングヘッドホンやイヤホンへの直接アクセス）など、ハイテク装備が期待できます。

今年は、既にハワイアン航空、ルフトハンザ、日本航空から、それぞれ印象的な新しいビジネスクラスが既にデビューしています。

今回はワンワールドアライアンスメンバーの素敵なビジネスクラスを紹介します。

JAL A350ビジネスクラス

日本航空（JAL）は、2024年1月にエアバスA350-1000型機をデビューさせ、東京-ニューヨーク間で就航しています。

JALは、「すべてのクラスで新しい座席を採用した機内インテリア、パーソナライズされた機内サービス、そして全体的により静かな乗り心地」を目指しており、グレーとワインレッドの配色のビジネスクラス54席はすべてスライドドアで仕切られています。

ビジネスクラスは1.32m（52インチ）の控えめなパーティションで囲まれています。

特徴は客室内のワードローブとヘッドレストに内蔵されたステレオスピーカーで、ヘッドホンを使わずに機内エンターテインメントシステムを楽しむことができます。

JALはA350型機の機内について、「日本の美のエレガンスに浸り、静寂に包まれ、日本の美を凝縮した落ち着いた雰囲気を提供する」と述べています。

カタール航空 Qsuite 2.0

カタール航空のQsuiteビジネスクラスは、業界のベンチマークであり、「最高のシート」と広く評価されています。

中東の航空会社であるカタール航空は、ボーイング777-9型機の就航時期が2025年から2026年に変更されたため、7月下旬に第2世代のQsuiteを発表する予定であると発表しました。

元 CEO の Akbar Al Baker 氏は、Qsuite 2.0 を「現在の Qsuite を大幅に強化したものです。Qsuite のおかげで人々は皆カタール航空で予約するようになっており、Qsuite は今や誰もが本当に知っているブランドです」と説明しました。

初期の報告によると、Qsuiteは航空機の燃費効率を高めるため、より軽量な素材に見直し、壁とドアの高さを見直し、収納を増やし、乗客の足元により広いスペースを確保する可能性を求めているという。

キャセイパシフィック航空 777 Aria Suitesビジネスクラス

香港を拠点とする航空会社キャセイパシフィック航空は、同社のフラッグシップ機であるボーイング777-300型機に新たなビジネスクラスを導入し、新時代に突入します。

2010年にデビューし、2016年に改良されたこの航空会社の長年のビジネスクラスを、多くの意味で再構築したもので、主な特徴としては、スライド式のクローズドドア、24インチの巨大な4Kビデオスクリーン、ワイヤレス充電、穏やかな曲線と木目のような模様のある表面など、より温かみのある外観と感触が挙げられます。

そして、ついに中央席の間に仕切りスクリーンが設置されます！

マレーシア航空 A330neo、A350ビジネスクラス

マレーシア航空にA330neoの初号機が導入され、世界を飛び回る多くの人々にとって馴染み深い、新鮮な国際線ビジネスクラスが導入される予定です。

ブリティッシュ・エアウェイズのクラブ・スイート・ビジネスクラスやエティハド航空のA350ビジネス・スタジオ・スイートにも採用されているコリンズ・エアロスペース社のエレベーション・プラットフォームを使用しています。

これらのA330neo型機は、クアラルンプールを拠点とする航空会社の主力機A330に取って代わるもので、アジア、太平洋、中東の路線を独占しています。最初のA330neo路線はクアラルンプール-メルボルン間に就航する予定です。

アメリカン航空 フラッグシップ・スイート 

このビジネスクラスのシートは、ファーストクラスを駆逐するほど優れている（とアメリカン航空は考えている）。

まったく新しいボーイング777と787のフラッグシップ・スイートは、アメリカン航空の現在のビジネスクラスよりも広いパーソナルスペースと、今やほぼ必須となったスライドドアを備えています。

その他の快適な設備としては、複数の収納スペース、AC電源、USB-AとUSB-Cのデュアルソケット、スマートフォン用のワイヤレス充電などがあります。

出典：The best new business class seats arriving in 2024

PontaポイントからJALのマイル交換で20％のレートアップキャンペーン（2024年7月1日～7月31日）

 

キャンペーン期間

2024年7月1日（月）～7月31日（水）

2024年7月31日（水）午後11時59分までにマイルへの交換申し込み完了した方が対象。

キャンペーン詳細

期間中、Pontaポイントからマイルへの交換で、ポイント交換レートが20%アップ。

通常：100Pontaポイント → 50マイル

キャンペーン期間：100Pontaポイント → 50マイル＋10マイル＝60マイル

1マイル未満の端数については切り捨て。

対象者

JMB×Ponta会員または、JMBローソンPontaカードVisaを持つJMB日本地区会員

キャンペーンマイル積算時期

2024年8月末頃予定

※通常マイルと別に積算。

コメント

ポイントは貯めるだけではなく、定常的に使っていくことも重要。

自分はキャンペーンの都度、保有ポイントの10%をJALに移行することにしている。

出典：PontaポイントからJALのマイル交換レート20%アップキャンペーン

Kivaローンで社会貢献しながらマイルをゲットできるか検証（2024年7月号）※7か月目

 

1.融資済み案件の状況

全体としては310USD（前月比+50USD）の投資に対して、115USD（前月比+30USD）が返済されている感じ。

投資案件は全12件。内5件に何らかの遅延が発生している模様。

融資No：2705613号（https://www.kiva.org/lend/2705613）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：68%⇒84%　※遅延発生中

融資No：2707642号（https://www.kiva.org/lend/2707642）

• 融資国：ニカラグア
• Lending partner：FUNDENUSE
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：63%⇒81%

融資No：2716127号（https://www.kiva.org/lend/2716127）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：52%⇒72%　※遅延発生中

融資No：2718123号（https://www.kiva.org/lend/2718123）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：22%⇒22%　※遅延発生中

融資No：2737152号（https://www.kiva.org/lend/2737152）

• 融資国：タジキスタン
• Lending partner：Humo
• 期間：8か月
• 融資実行：2024年3月
• 融資額：25USD（≒3,933円）
• 返済率：31%⇒47%

融資No：2731801号（https://www.kiva.org/lend/2731801）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation (NWTF)
• 期間：8か月
• 融資実行：2024年3月
• 融資額：25USD（≒3,933円）
• 返済率：36%⇒56%　※遅延発生中

融資No：2751150号（https://www.kiva.org/lend/2751150）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年4月
• 融資額：25USD（≒3,952.5円）
• 返済率：0%⇒0%

融資No：2738778号（https://www.kiva.org/lend/2738778）

• 融資国：パラグアイ
• Lending partner：Fundación Paraguaya
• 期間：8か月
• 融資実行：2024年4月
• 融資額：25USD（≒3,952.5円）
• 返済率：43%⇒48%　※遅延発生中

融資No：2757831号（https://www.kiva.org/lend/2757831）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年5月
• 融資額：25USD（≒4,060.5円）
• 返済率：0%⇒0%

融資No：2771828号（https://www.kiva.org/lend/2771828）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年5月
• 融資額：25USD（≒4,060.5円）
• 返済率：0%⇒16%

融資No：2783502号（https://www.kiva.org/lend/2783502）

• 融資国：フィリピン
• Lending partner：NWTF
• 期間：8か月
• 融資実行：2024年6月
• 融資額：25USD（≒4,099円）
• 返済率：0%⇒0%

融資No：2778268号（https://www.kiva.org/lend/2778268）

• 融資国：フィリピン
• Lending partner：NWTF
• 期間：8か月
• 融資実行：2024年6月
• 融資額：25USD（≒4,099円）
• 返済率：0%⇒0%

2.新規融資案件 

融資条件

• LOAN LENGTH：8 mths or less
  
  
• RISK RATING：4-5
  星0.5はその団体の機関債務不履行リスクが相対的に高いことを意味し、5つ星の格付けは、その団体の債務不履行リスクが相対的に低いことを意味します。
  
  
• DEFAULT RATE：～1%
  返済に失敗した（もはや返済していない）終了ローンの割合。
  
  
• PROFITABILITY：4%～
  フィールド・パートナーの収益性を示す指標。

今月の新規融資先

融資No：2806766号（https://www.kiva.org/lend/2806766）

• 融資国：フィリピン
• Lending partner：NWTF
• 期間：8か月
• 融資実行：2024年7月
• 融資額：25USD（≒4,204円）
• 返済率：0%

融資No：2800157号（https://www.kiva.org/lend/2800157）

• 融資国：フィリピン
• Lending partner：NWTF
• 期間：8か月
• 融資実行：2024年7月
• 融資額：25USD（≒4,204円）
• 返済率：0%

【セキュリティ事件簿#2024-292】個人情報保護委員会 メールの誤送信について 2024/7/4

 

個人情報保護委員会事務局において、当事務局が主催する認定個人情報保護団体向けの説明会の開催案内をメールにて送信する際に、誤送信が発生いたしました。

関係者の方々にご迷惑をお掛けしたことを深くお詫び申し上げます。

１ 概要

令和６年７月２日（火）16 時頃に、当事務局主催の認定個人情報保護団体向けの説明会の開催案内をメールにて送信する際に、送信先としていた 96 件のメールアドレスが送信先全員に表示される形でメールを一斉送信していたことが判明しました。

２ メールの誤送信の原因

本件説明会の案内メールを送信する際に、操作を誤り、送信先としていた方々全員のメールアドレスが表示される形でメールを一斉送信しました。

３ 対応状況

同日に、送信先の方々に対してメールにより誤りがあった旨をお伝えしました。その後、送信先の方々に対してメールによりお詫びをお伝えするとともに、最初に送信したメールの削除をお願いしました。

４ 再発防止のための対応

当事務局は、今回の事態を重く受け止め、メール送信時の注意事項について、改めて職員に対して注意喚起を行いました。今後このような事態が発生しないよう、職員に対して個人情報を取り扱う際の留意点や漏えい事案発生時の対応等についての教育を徹底するとともに、外部へのメール送信に当たっては、事前に複数人で確認することを改めて徹底するなど、より厳格かつ適正な個人情報の取扱いに努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】富士信用金庫 個人情報漏えいに関するお詫びとお知らせ 2024/7/5

 

平素は格別のご高配を賜り厚くお礼申し上げます。

当金庫が業務委託する外部業者（株式会社東海信金ビジネス）の再委託先業者（株式会社イセトー）において、ランサムウェア感染による一部お客様情報が漏えいしたことが判明いたしましたのでお知らせいたします。

お客様には多大なご迷惑とご心配をおかけいたしますこと誠に申し訳なく、深くお詫び申し上げます。本件の経緯および今後の対応について下記の通りご報告いたします。

１.経緯

５月２６日にお客様向けハガキ帳票作成を再委託しているイセトーが利用しているサーバがランサムウェアに感染していることが発覚し、サーバ内の情報が暗号化される被害が発生しました。

イセトーでは感染が疑われるサーバ、ＰＣ、ネットワークを遮断して調査を開始し、６月２６日にイセトーから東海信金ビジネスに対し、個人情報漏えいの可能性がある旨の第一報がありました。このため、両社において更に確認作業を進めた結果、７月１日に漏えいした個人情報が特定され、一部のお客様において個人情報の流出があることが判明したものです。

２.漏えいの可能性のある情報

（１）個人情報の項目

氏名、金融機関コード、支店コード

（注）対象はダイレクトメール作成時に出力されるログデータ上の氏名、金融機関コード、支店コードであり、ダイレクトメールの内容の漏えいはございません。

（２）対象顧客人数

１,２４５件

３.今後の対応

本件については、現在再委託業者において調査を継続中ですが、本件の事故発生を厳粛に受け止め、委託先及び再委託先の管理を含め、より一層の管理体制の強化に努めるとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-290】新日本製薬株式会社 当社サーバーへの不正アクセスについて 2024/7/5

 

当社は、2024年6月6日付「当社サーバーへの不正アクセスについて」にて公表いたしましたとおり、当社サーバーに保管されていた業務関連データ等の一部が暗号化されるなどの、第三者からのランサムウェアによる不正アクセス攻撃を受けました。不正アクセスを確認後、速やかに対策本部を設置、外部専門機関の協力を受け、原因究明や被害状況の調査を進めてまいりました。

現時点で確認された事実として、当社サーバーに保管されていた業務関連データの外部への漏洩は確認されておりません。また、第三者の侵入経路、および今回の不正アクセスにより影響を受けたサーバー等の特定を完了し、これらについての再発防止策を実施しております。引き続き、対策本部のもと被害の全容解明および再発防止に総力を上げて取り組んでまいります。 

なお、当社の事業に関わる全ての業務は通常通り稼働しており、今後もセキュリティ対策の強化を進め、安全を確保した上で継続してまいります。

お客さまや関係者の皆さまには、多大なるご不安、ご心配をおかけし、改めて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-288】国立研究開発法人宇宙航空研究開発機構 JAXAにおいて発生した不正アクセスによる情報漏洩について 2024/7/5

 

宇宙航空研究開発機構（JAXA）において昨年発生した不正アクセスによる情報漏洩への対応状況について、以下のとおりお知らせいたします。

昨年10月、外部機関からの通報に基づき、JAXAの業務用イントラネットの一部のサーバに対する不正アクセス（以下、「本インシデント」といいます）を認知しました。その後速やかに不正通信先との通信遮断等の初期対応を実施しつつ、専門機関及びセキュリティベンダー等とも連携して調査を行い、事案の解明、対策の策定及び実施に取り組んできました。本インシデントの概要は別紙のとおりですが、その中で、JAXAが管理していた情報の一部（外部機関と業務を共同で実施するにあたっての情報及び個人情報）が漏洩していたことを確認いたしました。

本インシデントについて、関係する皆様には多大なるご迷惑をお掛けしましたこと、深くお詫び申し上げます。

本インシデントで漏洩した情報については、相手方との関係もあることから詳細は差し控えさせていただきますが、情報が漏洩したご本人・関係者の皆様には個別に謝罪及びお知らせを行いました。現在のところ、関係者の皆様の事業活動に著しい支障が生じているという報告はありませんが、皆様に多大なご迷惑をお掛けしたことは大変遺憾であり、改めてお詫び申し上げます。

また、本インシデントにより、国内外の関係機関との協力を含め、事業遂行が困難になるようなことは生じていないと認識していますが、JAXAとしては信頼関係を損ないかねない事案として重く受け止めており、再発防止に向けて対策を強化してまいります。

なお、今年に入って複数回の不正アクセスが発生していますが、これらによる情報漏洩はないことを確認しています。昨年のインシデントを含めて、これらはいずれもVPN機器を狙ったものであることを確認しています。

JAXAとしては、脆弱性対応を迅速に行うための体制整備等の短期的対策及び更にセキュリティを強化するための恒久対策の策定を既に実施済です。現在、恒久対策の具体化を順次進めており、引き続き情報セキュリティ対策を一層強化していく所存です。

1. JAXAの対応状況

JAXAは、外部機関からの通報を踏まえて、攻撃元との通信遮断及びサーバ等のJAXAのネットワークからの切断など初期対応を速やかに実施しました。その上で、セキュリティベンダーによる侵害痕跡の調査、攻撃対象サーバ及び端末の詳細調査（フォレンジック調査）等を実施し、マルウェアを発見・除去したほか、内部通信の強化など、想定されるリスクに対する緊急対策を実施しました。

また、調査の過程で、Microsoft365（以下、「MS365」といいます）に対する不正アクセスの可能性が確認されたことから、Microsoft社の専門チームによる調査を実施し、更なる侵害が発生していないことを確認しました。

これらの対応を実施するにあたっては、警察、一般社団法人JPCERTコーディネーションセンター、独立行政法人情報処理推進機構（IPA）などの専門機関と連携し、不正な通信先の情報や使用されたマルウェア情報などを報告・共有して進めております。

2. 侵害範囲

初期調査、セキュリティベンダー及びMicrosoft社による調査並びにJAXAによる分析を踏まえ、本インシデントに関する主な侵害範囲を以下の通り明らかにしました。なお、侵害の過程では、未知のマルウェアが複数使用されていたことが確認されており、侵害の検知を困難にしておりました。

①第三者がVPN装置の脆弱性を起点にJAXAの一部のサーバ及び端末に侵入。先だって公表された脆弱性が悪用された可能性が高い。

②侵入したサーバからさらに侵害を広げ、アカウント情報等を窃取。

②窃取したアカウント情報等を用いて、MS365に対して正規ユーザを装った不正アクセスを実施。

3. 流出した情報

本インシデントにより、侵害を受けたJAXAの端末・サーバに保存されていた一部の情報（JAXA職員等の個人情報含む）が漏洩した可能性があります。また、MS365上でJAXAが管理していた情報の一部（外部機関と業務を共同で実施するにあたっての情報及び個人情報）が漏洩したことを確認しております。関係する方々には既に個別にご説明及び謝罪を差し上げております。なお、本インシデントで侵害を受けた情報システムやネットワークにおいては、ロケットや衛星の運用等の機微な情報は扱われておりません。

4. 対策

本インシデントを受けて、脆弱性対応を迅速に行うための体制整備や内部通信ログの監視強化等の短期的対策を実施しました。加えて、更にセキュリティを強化するための恒久対策を検討し、エンドポイントを含めたネットワーク全体の更なる監視強化、外部からの接続方法の改善、運用管理の効率化・可視化、なりすまし対策の強化等の対策を策定しました。現在、これらの対策の計画の具体化をはかっているところです。

なお、上記の対策を進め監視を強化している中で、本年1月以降、複数回の不正アクセスを確認しました（その中には、ゼロデイ攻撃によるものも含まれます）が、情報漏洩等の被害が発生していないことを確認しました。

5. 今後の取組

サイバー攻撃がますます高度化し、攻撃も対策も常に進化し続ける中、JAXAは中核的宇宙開発機関として、迅速・的確なセキュリティ対応が求められていることを強く自覚し、本インシデントを受けた短期的対策及び恒久対策を着実に実施していく予定です。今後も専門機関を含めた関係機関と連携し、情報セキュリティを今後一層強化してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】豊田市 委託業者サーバー等のランサムウェア感染に伴う個人情報の流出について 2024/7/4

 

豊田市から納税通知書などの印刷業務を受託している株式会社イセトー（本社：京都府京都市。以下「同社」という。）において、ランサムウェアの被害が発生し、本市の納税者等の個人情報が流出したことが判明しました。

なお、現時点において、個人情報が悪用されたとの報告は受けていません。

不審な電話や郵便物等があれば、最寄りの警察署にご相談ください。

判明日

令和6年7月2日（火曜日）

流出した個人情報

• 対象者数（同社の報告を受け、豊田市で推計をしたもの）
  延べ約42万人
  
  
• データ（通知書等）の名称
  市県民税、軽自動車税、固定資産税、都市計画税及び国民健康保険税の各納税通知書、市営住宅使用料等納付通知書、介護保険料納入通知書等、後期高齢者医療保険料納入通知書、新型コロナ予防接種券、非課税世帯等給付金確認書、子育て世帯臨時特別給付金申請書
  
  
• 上記に含まれる個人情報
  氏名、住所、税額、生年月日、保険料、口座情報等
  （備考）口座情報についてはマスキング済みのもの。個人番号、電話番号は含まれていない。

経緯

• 令和6年5月26日（日曜日）
  同社において複数のサーバー、PC端末がランサムウェアの被害を受ける。
  
  
• 令和6年5月29日（水曜日）
  同社から本市に関する個人情報の流出はないとの報告が入る。
  
  
• 令和6年6月18日（火曜日）午前11時
  同社がインターネット上で個人情報を含むデータの流出を確認。
  
  
• 令和6年7月2日（火曜日）午後4時
  同社から本市に個人情報を含むデータが流出したとの報告が入る。

流出の原因

同社からの報告によると、各通知書等に係るシステム改修用データ等について、同社の担当者が本来業務終了後消去するべきところを消去せず、当該データが流出した。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-287】ミント神戸 Googleフォーム設定ミスによる個人情報漏えいについて 2024/7/4

 

224年7月4日に発信したGoogleフォーム設定ミスによる個人情報漏えいに関し、以下の通り、お知らせいたします。

本件につきましては、関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

概要

下記フォームのGoogleフォームの設定ミスにより、お客様の情報が閲覧できる状態となっておりました。

・映画『インサイド・ヘッド２』特別試写会40組80名様をご招待！応募専用フォーム

原因は、ご応募の方法として用いておりましたGoogleフォームの設定が不十分であったことによるものです。該当されるお客様をはじめ、関係者の方々にご迷惑をおかけいたしましたこと深くお詫び申し上げます。

現在、閲覧可能な状態は解消されております。

弊社対応

事態判明後、対象となるお客様へ個別の電話と電子メールにて、事態のご説明とお詫びの連絡を行っております。

また弊社がGoogleフォームで運用している全てのWEBフォーム受付を再確認し、同様の設定ミスはなかったことを確認しております。

再発防止

再発防止に向けて、個人情報の収集および管理の際に厳守すべき事項を、改めて社内に周知徹底してまいります。

また今後も継続的に個人情報保護および情報セキュリティ教育を徹底し、情報管理への感度の引き上げを図り、再発防止に努めて参ります。

重ねてお詫び申し上げますとともに、今後ともご愛顧を賜りますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-286】特定非営利活動法人日本ネットワークセキュリティ協会 SECCON CTF for Girls において発生した 個人情報が第三者から閲覧可能になっていた事象についてのお知らせとお詫び 2024/6/26

 

特定非営利活動法人日本ネットワークセキュリティ協会は、SECCON実行委員会が主催するイベントであるCTF for Girlsにおいて、イベント参加申込サイトにアクセスしたユーザ全員が、申込者情報の個人情報が閲覧可能な状態となっていた事象が判明しましたのでお知らせいたします。

本件につきまして、以下の通り報告いたしますとともに、ご関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

なお、当事象については、運用設定時の人為的ミスによるものであり、外部からの攻撃等によって発生したものではございません。また、2024年6月24日現在において、当該個人情報の不正利用は行われておりませんが、問合せ窓口を設けており、二次被害や不正利用が発生した場合は速やかに対応してまいります。

■発生した事象と対応

2024年5月31日14時46分に公開したSECCON実行委員会が主催するイベントCTF for Girlsにより運営されたイベント Kunoichi Cyber Game予選会の申込サイトにアクセスした者が、予選会申込の編集用ページにアクセスできる状態であり、2024年5月31日14時46分から6月19日13時19分までの間、予選会申込者の個人情報が閲覧可能な状態となっていた。

本件の時系列は下記のとおりとなります。

- 2024年5月31日14時46分：受付を開始（予選会申込サイトのフォーム公開）

- 2024年6月15日14時37分：予選会申込サイトの受付終了処理を実施

- 2024年6月19日 9時36分：外部からの指摘により事象が発覚

-2024年 6月19日 13時19分：予選会申込サイトフォームの権限変更し、外部から閲覧出来ないことを確認

-2024年 6月20日12時56分：参加者に対する謝罪および対応状況の連絡の実施

■閲覧可能な状態になっていた情報

件数：Kunoichi Cyber Game予選会申込サイトを利用した26名

（閲覧可能になっていた情報）

・氏名（ローマ字）

・メールアドレス

・Beginners CTF（同主催の別のイベント） で登録したチーム名

・国籍(日本国籍か否か)

・国内在住か国外在住か

・2024年11月15日時点で18歳以上～30歳未満か否か

・予選通過の場合、通過者に参加が認められるイベントCODEBLUE(2024年11月14日と2024年11月15日)に両日参加可能か

・予選通過の場合、チームメンバと協力して準備が進められるか

■原因

予選会申込サイトに利用したGoogleフォームのアクセス範囲・編集権限を「リンクを知っている全員」と設定したことが原因となります。

本設定により、Googleアカウントにログインした状態で、予選会申込サイトのフォームにて閲覧・回答を行ったGoogleユーザが、自身のGoogleアプリからGoogleフォームに移動した際に、「最近使用したフォーム」の欄に予選会申込サイトのフォームが表示され、申込者の情報が閲覧可能な画面に遷移が可能となっておりました。

■影響範囲

・Googleフォームから申込者の情報を大会主催者以外の者がダウンロードしたログはございません。

・現在のところ当該個人情報が不正に使用された事実は確認、報告されておりません。

・予選会申込サイトのフォームの操作ログを調査した結果、予選会の結果に影響するような操作は行われていませんでした。

■対応について

2024年6月20日より、本イベントの参加登録者全員に対し謝罪および対応状況の連絡を実施しております。

2024年6月24日に個人情報保護員会へインシデント発生の報告書実施いたしました。

 今後は、以下の対応を徹底し、再発防止に努めてまいります。

・Googleフォームのアクセス範囲・権限を「リンクを知っている全員」が設定できないようにポリシーにて強制する

・関係者間でGoogleフォームを共有する際は、関係者のアカウントからのみアクセスを許可する運用とする

・Googleフォームが適切な権限設定になっているか、また想定通りの挙動をしているかを、フォーム作成時に都度確認する

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】株式会社伊予銀行 業務委託先での不正アクセスによるお客さま情報の漏えいについて 2024/7/3

株式会社伊予銀行（以下、当行）がお客さま向け各種帳票の作成・発送業務を委託しております株式会社イセトー（京都市中京区）（以下、イセトー社）より、イセトー社がランサムウェア（※）に感染したとの報告を 2024 年 5 月 27 日に受けました。本報告では、当行の委託業務に関する情報漏洩は発生していないとの説明を受けておりましたが、2024 年 6 月 25 日に改めてイセトー社より報告があり、当行のお客さまの情報が漏洩した事実が確認されたとの説明を受けました。

本情報漏洩は、イセトー社内の受託業務処理の作業工程において発生したものであり、現在、同社において漏洩情報の特定に向けて捜査機関や外部専門家により調査を進めております。なお、ランサムウェア被害があったイセトー社のネットワークと当行のネットワークは接続していないため、当行のネットワークに影響はございません。

今後の調査で新たにお客さまへのお知らせが必要な内容が判明した場合には、速やかにご報告いたします。

お客さまには、ご心配とご迷惑をおかけいたしますことを深くお詫び申し上げます。

なお、現時点において、当行のお客さまの情報が悪用されたという報告は受けておりませんが、氏名、住所、電話番号、口座番号、取引金額等の情報が漏洩している可能性があります。これらの情報を利用した電話・郵便物等による勧誘や詐欺には十分にご注意いただき、不審に思われた場合には、下記窓口および最寄りの警察にご相談いただきますようお願いいたします。

また、イセトー社では、当行委託業務を処理するネットワークの安全性を十分に確認のうえ、業務を再開しておりますので、お客さま向け各種帳票の作成・発送業務には影響ございません。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-285】株式会社HAGS 弊社が運営する「hags-ec.com」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2024/7/2

 

このたび、弊社が運営する「hags-ec.com」におきまして、第三者による不正アクセスを受け、お客様の個人情報(21,398名)および、クレジットカード情報(1,432名)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記のとおりご報告いたします。

1.経緯

2024年1月16日、警視庁サイバーセキュリティ課から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年1月26日弊社が運営する「hags-ec.com」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年4月11日、調査機関による調査が完了し、2021年5月27日～2024年1月15日の期間に「hags-ec.com」で購入されたお客様のクレジットカード情報が漏洩した可能性があることを確認いたしました。また、過去に会員登録されたお客様の会員情報についても漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「hags-ec.com」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

①2021年5月27日～2024年1月15日の期間中に「hags-ec.com」においてクレジットカード決済をされたお客様1,432名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

②過去に「hags-ec.com」へ会員登録されたお客様21,398名で、漏洩した可能性のある情報は以下のとおりです。

・氏名

・メールアドレス

・住所

・FAX番号

・パスワード

3. 2021年5月27日～2024年1月15日の期間にカード決済されたお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024年1月16日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「hags-ec.com」のリニューアルのタイミングにつきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、個人情報保護委員会には2024年1月26日に報告済みであり、また、所轄警察署には2024年1月16日にすでに相談、報告を開始しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】ソニー損害保険株式会社 当社の委託会社における個人情報の漏えいについて 2024/7/4

 

当社から書類の作成・発送を委託している株式会社イセトー（以下「イセトー社」）より、ランサムウェアによる被害を受け、当社お客さま情報の漏えいがあった旨の報告を受けました。

お客さまをはじめとする関係者の皆さまに、多大なるご心配・ご迷惑をお掛けしておりますことを深くお詫び申し上げます。

現在、情報漏えいが確認されている対象は以下のとおりで、該当のお客さまには速やかにお詫びとご説明を進めさせていただいております。

＜情報漏えいが確認された対象＞

・「郵便番号」「住所」「氏名」「顧客番号」：当社ご契約者1名分

・「証券番号」：当社ご契約者、および、過去のご契約者18名分

なお、本件は、2024年7月3日にイセトー社より発表のあった「ランサムウェア被害の発生について（続報2）（イセトー社のサイトにリンクします）」において、当社の上記お客さま情報が含まれていたものです。

本件に関しイセトー社で調査を継続しており、今後、新たに情報漏えい等が確認された場合には、該当のお客さまに対し速やかにご連絡するなど、適切な対応を進めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】しずおか焼津信用金庫 個人情報漏洩に関するお詫びとお知らせ 2024/7/4

 

平素は格別のご高配を賜り厚くお礼申し上げます。

当信用金庫が業務委託する外部業者（株式会社東海信金ビジネス）の再委託先業者（株式会社イセトー）において、ランサムウェア感染による一部お客様情報が漏洩したことが判明いたしましたのでお知らせいたします。

お客様には多大なご迷惑とご心配をおかけいたしますこと誠に申し訳なく、深くお詫び申し上げます。本件の経緯および今後の対応について下記の通りご報告いたします。

１．経緯

５月２６日にお客様向けハガキ帳票作成を再委託している株式会社イセトーが利用しているサーバがランサムウェアに感染していることが発覚し、サーバ内の情報が暗号化される被害が発生しました。

株式会社イセトーでは感染が疑われるサーバ、PC、ネットワークを遮断して調査を開始し、６月２６日に株式会社イセトーから株式会社東海信金ビジネスに対し、個人情報漏洩の可能性がある旨の第一報がありました。このため、両社において更に確認作業を進めた結果、７月１日に漏洩した個人情報が特定され、一部のお客様において個人情報の流出があることが判明したものです。

２．漏洩の可能性のある情報

(1)個人情報の項目

氏名

（注）対象はダイレクトメール作成時に出力されるログデータ上の氏名のみであり、この他に金融機関コードと支店コードも漏洩の可能性がありますが、ダイレクトメールの内容の漏洩はございません。

(2)対象顧客件数

４，６５３件

３．今後の対応

本件については現在再委託業者において調査を継続中ですが、本件の事故発生を厳粛に受け止め、委託先及び再委託先の管理を含め、より一層の管理体制の強化に努めるとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-284】株式会社J-MAX 当社連結子会社サーバーへの不正アクセスについて 2024/7/4

当社は、当社連結子会社の一部サーバーに対する不正アクセスが発生したことをお知らせいたします。

本件について、外部専門家の助言を受けながら、影響範囲等の調査と早期復旧への対応を進めております。なお、被害の全容及び原因の把握には、今しばらく時間を要する見込みですが、現時点で判明している内容について、下記のとおりご報告いたします。

お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。

１． 不正アクセス発覚の経緯

2024 年6月26日（水）の早朝に当社連結子会社のサーバーに不正アクセスが発生していることを確認し、直ちに全てのサーバー及びパソコンをネットワークから隔離いたしました。

２． 現在の状況と今後の対応

今回の被害に対応するため、対策本部を設置し、外部専門家の協力を得ながら原因究明及び情報漏洩の有無について調査を進めております。なお、現時点では、外部への情報流出の事実は確認されておりません。また、当該当社連結子会社の製品の生産及び出荷に影響は生じておりません。皆様へのご迷惑を最小限に止めるべく、引き続き早期復旧及び再発防止に取り組んでまいります。

３． 今後の見通し

本件が2025年３月期の連結業績に与える影響につきましては、現在精査中です。今後、開示すべき事項が発生した場合には速やかに開示いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】高松市 印刷業務委託先のランサムウェア被害による情報漏えいについて 2024/7/3

 

本市が印刷業務を委託している事業者の内部サーバーがコンピューターウイルス（ランサムウェア）に感染し、下記の個人情報がインターネット上に公開され、ダウンロード可能な状態になっていたことが判明しました。

現在、委託事業者において、漏えいした情報の内容等を含め、詳細な調査を行っているところですが、市民の皆様に御迷惑と御心配をおかけしておりますことを深くお詫びいたします。

なお、現時点で、本件に関わる悪用した事例や被害の報告はありません。今後、新たな事実が判明した場合は、改めて報告いたします。

１ 経 過

（１）令和６年５月２８日（火）本市が印刷業務を委託している事業者より、内部のサーバーがコンピューターウイルス（ランサムウェア）に感染したが、個人情報は、インターネット環境から分離された別のサーバーで保存しているため、漏えいはないとの報告があり、その後、事業者が調査した結果、税関係等で個人情報の漏えいのおそれがあり、令和６年６月７日（金）に市民税課及び健康づくり推進課名で報道発表した。

（２）引き続き、事業者が調査した結果、当初、漏えいのおそれがないと報告のあった下記のデータについて、個人情報を含むデータがインターネット上に公開され、ダウンロード可能な状態になっていたことが判明した旨の報告が、７月１日（月）にあった。

２ 委託事業者

 株式会社イセトー（情報処理サービス、コンピューター用紙の製造・販売等）

本社：京都市中京区烏丸通御池上ル二条殿町 552

３ 漏えいが確認された個人情報

（１） 影響人数 １，５９５人

（２） 内 容 個別避難計画に関するデータ（令和４年度分）の住所、氏名等

<個別避難計画とは>

避難行動要支援者ごとに、緊急連絡先や避難支援者、避難経路などの情報が記載され ており、災害情報や避難者の手助けが地域の中で素早く、安全に行われるよう作成された計画。本市は、この計画を保管するとともに、地域コミュニティ協議会等に情報提供している。

４ 今後の対応

漏えいした情報の内容等については、引き続き、委託事業者において調査中で、判明次第報告するとともに、再発防止の徹底を７月１日（月）付けで要請しています。その結果を踏まえて、対象者に謝罪文を送付するほか、本市としての対応を検討してまいります。 

リリース文（アーカイブ）

【セキュリティ事件簿#2024-283】江藤病院 Webサイト改ざんに関するご報告とお詫び 2024/6/24

 

このたび、当院Webサイトにおいて、不正アクセスによりサイトが改ざんされ、本来とは異なるページが表示されていたことが判明いたしました。

現在は復旧し、作業が完了しておりますが、ご利用いただくみなさまに、ご心配をおかけしたことをお詫び申し上げます。

当院におきましてはサイト上に個人情報等の取り扱いがなく、現在のところ被害について、ご報告はいただいておりません。

＜改ざん期間＞

2024年6月22日（土）1時頃〜同日9時30分頃

＜サイトをご覧のみなさまへのお願い＞

当サイトにてマルウェア等の感染は確認されておりませんが、上記の期間にアクセスされた可能性のあるみなさまにおかれましては、お手持ちのセキュリティソフトを最新の状態にし、駆除の実施や、ブラウザのキャッシュクリア等のご対応をお願い申し上げます。

今後、このような問題が発生しないよう、さらに対策を強化し、運営に臨んでまいります。

この件につきましてご不明な点がございましたら、下記までお問い合わせください。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-282】株式会社NTTデータグループ 当社ルーマニア拠点への不正アクセスについて 2024/7/3

 

当社グループのルーマニア拠点、NTTデータルーマニアへ2024年6月14日に不正アクセスがあり、ランサムウェアによる攻撃の可能性を含め現在解析を進めています。当該不正アクセスは現在使用していないドメイン（nttdata.ro）環境を対象としたものであることを確認しており、当該環境を完全に分離しています。

対象ドメインでは、ルーマニア拠点における事業の情報のみを扱っていることが分かっています。そのため、現段階で日本国内のお客さまに影響を与える可能性は極めて低いと認識しています。

関係者のみなさまに、ご心配をおかけしていることをお詫び申し上げます。詳細な解析が進み、新たな情報が判明した場合には、あらためてご報告いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】京都商工会議所 業務委託先への不正アクセスによる企業情報の漏洩について 2024/7/2

 

本所の各種帳票作成・発送業務を委託している株式会社イセトー（以下「委託先」）がランサムウェア被害を受け、6月28日に本所が管理している企業情報が漏洩したことが判明いたしました。

委託先において、情報漏洩したデータの特定を進めると共に、外部専門家による調査を進めているところです。

今後、委託先による調査の状況・結果について順次報告してまいります。皆様に多大なるご迷惑とご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

１．経緯

5月26日：

委託先がランサムウェア被害を認識

6月 5日：

委託先より、本所が管理している企業情報の漏洩可能性があると報告を受ける。後日、委託先より、情報漏洩はないとの報告を受ける

6月18日：

委託先が、リークサイトに顧客情報の一部が漏洩していることを確認

6月28日：

委託先が、本所が管理している企業情報の漏洩を確認、報告を受ける

現在：

本所にて、漏洩情報の特定作業中

２．漏洩が確認された企業情報（現時点）

（１）データの種類

• 2022年度1号議員選挙にかかるデータ
• 2022年度下期会費請求にかかるデータ

（２）データに含まれる企業情報

•  会議所登録番号（会員番号）
•  会社名・屋号
• 本所に登録された代表者役職
• 本所に登録された代表者氏名
• 郵便番号
• 文書送付先
• 会費請求金額
• 口座情報の一部（金融機関名、支店名、口座種別、口座番号の下3桁）

※口座番号の下3桁以外はアスタリスク加工（*）されています

• 選挙権個数

※クレジットカード情報は含まれておりません。

（３）漏洩データ個数

延べ41,819件（※重複データがあるため、特定作業中）

（４）本所における今後の対応

今回の情報漏洩を重く受け止め、委託先の管理監督の強化を含め、再発防止に真摯に取り組んでまいります。

関係機関（個人情報保護委員会等）に報告するとともに、漏洩した企業情報を特定次第、お知らせの手紙を発送できるよう、準備を進めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-281】株式会社国分商会 当社の一部情報システムへの不正アクセス攻撃の発生について 2024/6/14

 

日頃よりご愛顧賜り、誠にありがとうございます。

2024年6月3日夜から6月4日午前にかけて、当社の一部情報システムに対する不正アクセス攻撃が発生いたしました。判明後速やかに被害の拡大防止・再発防止策を実施し、現時点で個人情報が外部へ流出した事実は確認されておりませんが、個人情報漏洩の可能性を完全に否定することは難しいことから、本件についてお知らせいたします。

お客様をはじめ関係者の皆様にご迷惑とご心配をお掛けすることになり、深くお詫び申し上げます。

１．漏洩のおそれがある個人情報

これまでのところ本件に起因する個人情報の不正利用等の二次被害の報告は受けておりませんが、不正アクセス攻撃を受けた情報システムに保存されていた個人情報は以下のとおりです。引き続き調査を行い、新たな事実が判明した場合には速やかに対応してまいります。

• 当社が運営するECサイト「国分グリーンファーム」のお客様氏名、住所、電話番号、商品購入履歴（クレジットカード情報やECサイトの会員ID及びパスワードは含まれておりません）
  
  
• 当社緑化事業部のお取引先様社名、担当者様名、担当者様メールアドレス（システム上で登録されていた一部の方のみ）

 ２．公的機関への報告・相談状況

当社は本件につきまして、個人情報保護委員会に報告済みのうえ、警察にも相談を行っております。

 ３．今後の対策と再発防止策

今回の事態を重く受け止め、以後このような事態が再び発生しないよう、外部専門家等の助言をもとに、脆弱性管理の徹底、エンドポイントセキュリティ対策の強化をはじめとする再発防止策に取り組んでまいります。

４．お客様、お取引先様への対応

個人情報の漏洩による二次被害が判明した場合、対象となるお客様、お取引様については可能な限り個別に対応を進めてまいります。ご連絡できない方々へは本発表をもって通知とさせていただきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-236】株式会社ドワンゴ ランサムウェア攻撃による情報漏洩に関する さらなる犯行声明および当社グループの対応状況について 2024/7/2

 

株式会社ドワンゴ（本社:東京都中央区、代表取締役社長:夏野剛）は、現在発生しているシステム障害により、ユーザーの皆様、関係者の皆様に、多大なるご迷惑とご心配をおかけしておりますことを心より深くお詫び申し上げます。

当社では、ランサムウェアを含む大規模なサイバー攻撃を受けた事案が発覚した後、直ちに対策本部を立ち上げ、外部専門機関などの支援を受けながら、情報漏洩について鋭意調査を続けております。

その最中、この攻撃を行ったとされる組織が、当社が保有する情報の一部を流出させたとする旨を6月28日に公表いたしましたが、これに引き続いて、7月2日、当該組織が当社の保有する情報をさらに流出させたと主張していることを確認いたしました。

当社は、このたびの当該組織の主張内容の信憑性について調査を進行中ですが、正確性の検証には相応の時間を要する見込みです。可及的早期に正確な事実を把握できるよう全力で取り組んでおり、外部専門機関による調査結果は7月中には得られる見通しです。調査結果が判明次第、速やかに皆様にご報告いたします。大変ご心配をおかけしておりますが、もうしばらくお待ちいただけますようお願い申し上げます。　

また既報の通り、「ニコニコ」サービスを含む当社グループのユーザーの皆様のクレジットカード情報につきましては、社内でデータを保有していないため、当社からの情報漏洩は起こらない仕組みとなっております。

なお、当該組織が主張するウェブサイトへのアクセスやデータファイルのダウンロードなどの行為は、マルウェア感染などの危険がありますので、ご注意いただきたく存じます。また、上述の通り、当該組織の主張内容については現在調査中ですが、上記データの拡散は個人情報を侵害し深刻な影響を及ぼす可能性があるため、SNS等による共有はお控えくださいますよう、皆様のご理解とご協力を心よりお願い申し上げます。

本事案については、すでに警察による捜査が開始されていることに加え、当社からも関係当局に必要な報告を行っております。既報の通り、当社の事業活動は影響を受けておりますが、このような犯罪行為に屈することなく厳正に対処してまいります。

同時に、今回の事態を重く受け止め、より詳細な原因の究明を進めるとともに、一層の情報セキュリティ体制の強化徹底を図り、再発防止に取り組んでまいります。

ユーザーをはじめ、関係するすべての皆様に多大なるご心配とご迷惑をおかけしておりますことを、改めて深くお詫び申し上げます。 　

リリース文（アーカイブ）

【2024年6月14日リリース分】

リリース文（アーカイブ）

【2024年6月8日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-280】株式会社ファーストリテイリング 当社グループ情報システムにおける個人情報の取り扱い不備に関するお詫びとご報告 2024/7/2

この度、株式会社ファーストリテイリング（以下、当社）が管理する情報システムにおいて、個人情報の取扱いに不備があり、当社および個人情報の取扱いを委託していない一部の委託先事業者の従業員が、業務上必要な範囲を超えて個人情報を閲覧することが可能な状態にあったことが、当社担当部署の調査により判明しました。

お客様および関係者の皆様には、ご迷惑とご心配をおかけすることを、深くお詫び申し上げます。

なお、この情報システムへのアクセスが可能だったのは、当社および委託先事業者の担当従業員に限られており、これらの者による当該情報システムからの個人情報の持ち出しは確認されておりません。また、当該情報システムへのアクセスはシステム上厳しく制限されており、これらの者以外の第三者によるアクセスについても確認されておりません。

本公表文では、個人情報の保護に関する法律に則り、本事案の発生から発覚に至った経緯、およびこれまでに当社が行なってきた対応、ならびに今後当社が行う対応についてご報告いたします。

経緯

2024年1月、お客様に提供するサービスの稼働状況を監視するための情報システム（以下、本情報システム）において、本来の用途を超えた範囲の個人情報が閲覧可能な状態になっていることを、当社担当部署の従業員が確認し、直ちに本情報システムへのアクセスを遮断しました。

その後、速やかに個人情報保護委員会へ報告を行い、本情報システムに個人情報が含まれていることを検知、隔離をする仕組みと運用を整備しました。

そのうえで、本事案の影響について調査を行った結果、当社グループのオンラインストアを含むいくつかのサービスにおいて、2023年6月から2024年1月までの間、一部のお客様の個人情報が本情報システムに保存される設定となっていたことが判明しました。本来、本情報システムは個人情報を保存するための仕組みではありませんが、結果として、当社が個人情報の取り扱いを委託していない一部の委託先事業者についても、本情報システムに保存された個人情報の閲覧が可能な状態となっていました。

本情報システムは、あらかじめ許可された当社および委託先事業者の担当従業員のみがアクセスできるもので、それ以外の第三者によるアクセスはできないよう厳しく制限されております。この制限が有効に機能していることの確認と併せ、本情報システムへのアクセスが可能な者による個人情報の持ち出しや第三者によるアクセスがないことを確認しました。

また、個人情報にアクセスが可能となっていた委託先事業者とは、業務委託開始前に秘密保持契約を締結しており、さらに、本事案を受けて個人情報の保存や持ち出しをしていないことについて、改めて書面で確認を得ています。

なお、本事案は、上記期間中、当社グループのサービスをご利用いただいた全てのお客様において発生したものではなく、特定の条件下においてのみ発生したことが確認できており、現在も本事案の対象となったお客様を、正確に特定するための調査を継続しております。

本事案の対象となった個人情報

2023年6月から2024年1月までの間に、当社グループのオンラインストア又は店舗等をご利用になったお客様に関する個人情報のうち、以下のものに限られております。なお、閲覧が可能な状態にあった個人情報に、クレジットカード情報、オンラインストアのパスワードは含まれておりません。

1) 当社グループのオンラインストアをご利用いただいたお客様の氏名、住所、電話番号、Eメールアドレスを含む、オンラインストア会員登録情報

2) 当社グループの店舗にご来店いただいた際、他店舗から商品の取り寄せをご希望されたお客様の氏名、電話番号、Eメールアドレス

3) 当社グループの運営する着こなし発見アプリ「スタイルヒント」をご利用いただいたお客様のEメールアドレス

お客様への対応について

本事案の対象であることが確認できたお客様には、当社グループのサービスにご登録いただいたメールアドレス宛に電子メール、またはご登録いただいた住所宛にお手紙にて、順次個別にご連絡をさしあげます。

本事案が発生した原因と再発防止に向けて

当社グループの情報システムの開発段階における仕様の確認、およびその運用段階におけるモニタリングが不十分であったことが原因です。

今後、当社グループの情報システムの開発、および運用において、業務上不要な個人情報の取り扱いが発生しないことを確認するための手続を改めて整備し、また、問題発生時に速やかな検知と是正をすることを含めた運用を徹底することで、同様の事案が発生しないように努めてまいります。

本事案の公表までに時間を要した経緯

2024年1月に発覚した本事案の公表に時間を要しましたこと、深くお詫び申し上げます。

不確定な情報や誤った調査結果に基づいた公表をすることは、皆様の混乱を招き、更なるご心配をおかけするおそれがあると判断し、慎重に調査を進めてまいりました。

なお、現在も調査を継続しておりますが、調査の完了に向けて一定の目処がついたため、今回の公表に至りました。

今回、このような事案を発生させてしまいましたこと、また、調査に時間を要したことで本事案の発覚から公表までにお時間をいただきましたこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-279】秋田県立医療療育センター Webサイト改ざんに関するご報告とお詫び 2024/7/2

 

このたび、当センターWebサイトが改ざんされ、本来とは異なるページが表示されていたことが判明いたしました。

ご利用いただいております皆さまにご心配やご迷惑、ご不便をおかけしましたこと、お詫び申し上げます。

また、当センターWebサイト上で入力いただいた情報はサイト内に保存されておりませんので、個人情報の流出はなく、被害の連絡もいただいておりません。

改ざん期間：令和6年7月1日(月)6時42分から18時6分まで

当サイトにてマルウェア等の感染は確認されておりませんが、上記の期間にアクセスされた可能性のある皆さまにおかれましては、お手持ちのセキュリティソフトを最新の状態にし、ウイルスチェック等のご対応をお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】広島県 印刷業務委託先のランサムウェア被害の発生について 2024/7/2

 

個人事業税等の納税通知書などの印刷業務を委託している事業者（株式会社イセトー広島支店）から、コンピュータウィルスであるランサムウェアの攻撃により、個人情報流出の事案が発生したとの報告がありました。

​なお、同社が受託している他自治体等における類似業務においても同様の被害が発生しており、本県における被害も、そのうちの一部とのことです。

１．流出のおそれがあるデータ

令和５年度に印刷用に事業者に提供した個人事業税と自動車税種別割に係る住所・氏名等のデータ101件　

※　現在、個人情報が流出した件数、対象人数、流出した内容などについて調査中です。

２．経過

５月29日　

株式会社イセトーから同社のサーバー等が身代金要求型ウィルス・ランサムウェアに感染したとの報告があった。

なお、この時点では「広島県のデータについて個人情報の流出は確認されていない」との報告を受けていた。​

６月６日　

印刷業務の作業途中で発生する一部のデータについて漏えいの恐れがある旨の報告を同社から受けた。

なお、この時点においても、「広島県のデータについては個人情報の流出は確認されていない」との報告を受けていた。

７月１日　

社内調査が進む中、本県関係を含む一部データの流出が確認された旨の報告を受けた。

３．今後の対応

株式会社イセトーに対し、速やかな詳細調査の実施、報告と適切な対策の実施を指示しています。

本県としては、同社からの流出件数や内容についての報告を受け、対象者へのお詫びなどを進めるとともに、今回の流出原因を踏まえ、対策を行います。

なお、本件に関しては、全容が判明次第、改めてお知らせいたします。

リリース文（アーカイブ）