【セキュリティ事件簿#2024-430】リコージャパン株式会社 業務委託先に対する不正アクセスによるお客様情報の流出のおそれについて

 

リコージャパン株式会社は、9月24日にお知らせいたしました「業務委託先に対する不正アクセスによるお客様情報の流出のおそれについて」につきまして、このたび、業務委託先である株式会社倉業サービス（以降、倉業サービス）より、調査結果として、「お客様情報が流出したおそれは否定できないものの、現時点では具体的な情報流出の事実は確認できていない」との報告を受けましたので、お知らせいたします。このたびは、お客様には多大なるご心配、ご迷惑をおかけし、深くお詫び申し上げます。

お客様情報流出のおそれについての概要 （これまでの経緯）

9月12日(木)にシステム障害が発生し、原因を調査した結果、外部からの不正アクセスを受け、お客様情報が流出したおそれがあると、同19日(木)に、倉業サービスから中間委託業者に報告があり、当社は同20日(金)に情報を入手しました。

お客様情報流出の有無については、倉業サービスによる調査結果にて詳細が分かり次第、お知らせさせていただくこととしておりました。

調査結果（詳細）について

倉業サービスからの報告によると、外部のセキュリティ専門家によるフォレンジック調査を依頼し、当該不正アクセスはサーバーにおいて使用しているソフトウェアにあった脆弱性を悪用して行われ、この不正アクセスを契機としてランサムウェア攻撃されたことが判明しました。

お客様情報に関しては、流出したおそれは否定できないものの、現時点では具体的な情報流出の事実は確認できておりません。

サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて（最終報告）(倉業サービス)

今後の対応について

倉業サービスにはセキュリティ管理体制の強化を依頼しておりますが、本件に限らずサプライチェーンにおける協力会社との連携を一層強化し、再発防止に取り組んでまいります。

また、本事案の対象となるお客様につきましては、別途、本内容について順次ご案内をさせていただきます。

このたびは、お客様には多大なるご心配、ご迷惑をおかけしていることを深くお詫びするとともに、発生した事案を真摯に受け止め、お客様に安心してご利用いただけるようサービス向上に努めて参ります。

リリース文（アーカイブ）

【2024年9月24日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-499】株式会社ビービーエフ 当サイトへの不正ログインの発生とパスワード変更のお願いについて 2024/11/13

 

いつもヨネックス【公式】オンラインショップをご利用いただきまして誠にありがとうございます。

当サイトに対し、お客様（会員様）ご本人以外の第三者による不正なログインが発生したことを確認しました。

今回の不正ログインは、第三者が外部で不正に取得した情報を利用し、2024年11月7日から2024年11月8日の期間で「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われたものです。

お客様（会員様）には、ご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

今後、同様の事象が発生しないよう、より一層のセキュリティ強化と安全性の確保に努めてまいります。

（１）不正ログインが確認された件数：223件

　　   うち、個人情報が閲覧された可能性のある件数：53件

※当サイトは氏名等の個人情報入力なしでも登録できるため、不正ログイン件数と個人情報が閲覧された可能性のある件数は異なります。

（２）閲覧された可能性のあるお客様（会員様）の個人情報

当サイトにご登録の氏名（姓名、フリガナ）、住所（郵便番号、市区郡町村、番地、部屋番号）、電話番号、携帯電話番号、性別、生年月日、購入履歴

配送先の氏名（姓名、フリガナ）、住所、電話番号、クレジットカード情報の一部 （有効期限、クレジットカード番号の一部＊）

※クレジットカード番号は、下３桁以外は非表示としております。

※クレジットカードセキュリティコードは、表示・保存されておりませんので漏洩の可能性はございません。

（３）経緯及び対応　

会員様から「身に覚えのない発注完了通知メールが届いた」という、お申し出があり調査を進めたところ、2024年11月7日から2024年11月8日にかけて、不正ログインの試行が確認されました。

現在は、不正ログインが試行された通信元IPアドレス群を特定してアクセスを遮断いたしました。その他のアクセスについても監視を強化中です。

不正ログインでの不正発注は特定の上、その受注及びアカウントは無効とし、該当のお客様（会員様）へは個別に連絡しております。

また、全会員様のパスワードを無効化し、ログイン時（購入手配時）にパスワードの変更をいただく設定を行っております。

本事案については個人情報保護委員会（行政機関）への報告及び、警察庁への相談を行っております。

（４） お客様へのお願い

当サイトをご利用の際、不正ログインを防止するため、以下の点にご協力をお願いいたします。

１．他社サービスとは異なるパスワードを設定ください。

２．第三者が容易に推測できるパスワードを使用しないでください。

３．特にパスワードは第三者に漏洩しないようにご注意ください。

４．当サイトに関わらず、IDやパスワードの使いまわしはしないでください。

なお、本件に限らず、弊社がお客様にメールや電話、SNSなどでパスワードやクレジットカード番号をお伺いすることはございませんので、ご留意くださいますようお願い申し上げます。

リリース文（アーカイブ）

Kali Linux設定メモ for WSL

 

個人用メモ

■マイクソストアからKali Linuxインストール

■Brave Browserインストール

　https://brave.com/linux/

■GUI環境整備（Win-KeXインストール）

　https://www.kali.org/docs/wsl/win-kex/

■

【セキュリティ事件簿#2024-497】株式会社テレビ埼玉 弊社ホームページに対する不正アクセスによるサイバー攻撃について 2024/11/13

 

株式会社テレビ埼玉（以下、弊社）の運営するWebサイト（https://www.teletama.jp）のサーバにおいて、外部から不正なアクセスによるサイバー攻撃を受け、弊社Webサイトを通じて提供された視聴者の方々の個人情報が漏洩した可能性があります。

【経緯】

2024年11月11日（月）22時頃から12日（火）0時頃にかけて、当社Webサイトサーバにおいて、不審な通信を検知しました。

【影響範囲】

弊社Webサイトサーバにて保持している情報

・番組プレゼント、ご意見投稿フォームなどから投稿された氏名、住所、電話番号、メールアドレス、ニックネーム、年齢、性別、ご意見等コメント内容の情報約3万9,000件

※なお、弊社オンラインショッピングサイト「テレ玉家」で利用しているシステムは今回の不正アクセスの対象ではなく、クレジットカード情報は含まれておりません。

【原因】

サーバ監視会社の調査で弊社Webサイトの一部のプログラムの脆弱性を突かれた攻撃と判明。

引き続き、原因、具体的な影響などについて調査中。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-216】サンスタートニック公式Xへの乗っ取り（不正ログイン）について 2024/11/13

 

平素より弊社製品をご愛顧いただき、誠にありがとうございます。

2024年11月13日、弊社サンスタートニックの公式Xアカウント（@s_tonic1968）が復旧いたしましたことをご報告いたします。

当アカウントへの不正アクセスに関しまして、ご心配とご迷惑をおかけいたしましたことを深くお詫び申し上げます。 なお、個人情報の流出やその他の二次被害についての当社へのご報告はございません。

当社は今回の事態を厳粛に受け止め、アカウントのセキュリティ強化を図り、再発防止に努めてまいります。

リリース文（アーカイブ）

【2024年5月29日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-496】キタイ設計株式会社 弊社サーバーへの不正アクセスに関するご報告 2024/11/13

 

弊社ではISO27001の認証取得を含めセキュリティ対策の強化を進めて参りましたが、さる2024年10月7日(月)外部からの不正アクセスが確認されました。

滋賀県警察本部サイバー犯罪対策課からの情報提供もあり、直ちに外部とのネットワークを遮断するとともに、サイバーセキュリティ専門家（以下「外部専門家」という。）の協力を仰ぎ、原因究明、被害状況の調査に努めてまいりました。

その結果と今後の取り組みについて下記の通りご報告申し上げます。

１．警察への被害届の提出

不正アクセスにかかる業務妨害に対して、警察に被害届を提出し受理されております。

２．調査の結果

外部専門家の調査(2024年11月6日報告)により、外部(リモートアクセス)からの不正アクセスが確認されましたが、実被害は確認できておりません。しかしながら、サーバー内に保管されていた業務関連データが不正に外部送信された可能性は否定できないことが判明いたしました。

３．今後の取り組み

(1) 情報漏洩についての調査・監視

現時点では、お客様の業務関連データがインターネット上に公開されるなどの具体的な情報漏洩の事実は確認されておりませんが、今後とも外部専門家の協力を得て、引き続き情報漏洩にかかる調査・監視を継続してまいります。

(2) 現在および今後のセキュリティ対策

現在、セキュリティ対策の更なる強化を進め安全を確保した上で、業務を継続しているところです。今後も調査を継続しつつ外部専門家の協力を得て、高度なレベルでのセキュリティ対策を講じてまいります。関係者の皆様には、ご心配をおかけしておりますことお詫び申し上げるとともに、再発防止に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-495】アクシスコンサルティング株式会社 ご登録者様情報およびお取引先様情報の流出に関するお詫びとご報告 2024/11/13

 

平素より当社をご愛顧いただき、誠にありがとうございます。

このたび、当社におきまして、当社のサービスにご登録いただいているご登録者様（以下「ご登録者様」といいます。）およびお取引先様の個人情報が外部に流出していたことが判明いたしました。

このたびの情報流出の概要と対応につきまして、下記のとおりご報告いたしますとともに、ご登録者様およびお取引先様をはじめとする関係者の皆様に、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

なお、2024年11月8日時点で流出が判明しているデータを削除した旨の連絡を受領しています。

1. 情報流出の概要および原因

2024年10月9日、当社のご登録者様よりお問い合わせを受け調査をいたしましたところ、当社の元従業員がご登録者様およびお取引先様の個人情報等を転職先企業に持ち出していたことが判明いたしました。本件の原因は、情報保護に関する内部管理体制が不十分であったことであると考えられます。

今回の情報流出に関しまして、現時点で判明している範囲では、影響は限定的であり、現時点の調査で判明している漏えい件数は、1,306名分です。今後も引き続き調査を進め、改めて公表いたします。

また、今回の流出は、外部からの不正アクセスによるものではなく、弊社の元従業員が在職中に情報を持ち出したことによるものであると確認されております。過去に遡って調査を行った結果、現時点ではその他の不正アクセスの事実も確認されておりません。

なお、一次対応として、持ち出された情報は、削除した旨の連絡を受領しています。今後は、お客様の情報保護を最優先に、さらなるセキュリティ強化と再発防止に向けた取り組みを進めてまいります。

2. 漏えいの対象となった情報の項目と件数

項目：当社のご登録者様およびお取引先様の「氏名」・「生年月日」・「住所」・「電話番号」・「メールアドレス」・「勤務先の会社名」・「所属する部署名」の全部または一部

件数：1,306名分

なお、当社ではクレジットカード情報は収集しておらず、直ちに経済的な被害が生じるおそれはございません。

3. これまでの経緯

• 2024年10月9日：ご登録者様から元従業員よりコンタクトを受けた旨のご連絡を受け、調査を開始
• 2024年10月15日：ログ解析調査により元従業員によりご登録者様およびお取引先様の個人情報が持ち出されていたこと確認。また、持ち出された情報の件数の確認および対象者の特定作業を開始
• 2024年10月17日：プライバシーマーク審査機関である日本情報システム・ユーザー協会へ本件について報告（速報）
• 2024年10月21日：監督官庁である個人情報保護委員会へ本件について報告（速報）
• 2024年10月29日：元従業員および元従業員が現在在籍している転職先企業に対して元従業員が持ち出したデータを削除するよう要求
• 2024年10月29日：元従業員および現在在籍している企業に対してデータ削除の通知
• 2024年11月8日：元従業員および転職先企業より元従業員が持ち出したデータを削除し、今後使用しない旨の連絡を受領

4. ご登録者様への対応

本日、2024年11月13日より個人情報が漏えいしたおそれのあるご登録者様およびお取引先様（「氏名」・「生年月日」・「住所」・「電話番号」・「メールアドレス」・「勤務先の会社名」・「役職」の全部または一部の情報の漏えいがあった方）へ、お詫びのメールもしくはSMSをお送りいたします。

5. 再発防止策

このたびの事態を厳粛に受け止め情報保護に関する取り組みが不十分であったことを反省し、今後は退職前にデータ持ち出しに関するログの調査を実施する等、一層のセキュリティ体制の強化、監視体制の見直し、従業員教育の徹底を図り、再発防止に努めてまいります。お客様におかれましては、多大なるご心配とご迷惑をおかけしますことを改めてお詫び申し上げます。今後とも一層のサービス向上に努めてまいりますので、何卒ご理解賜りますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-494】水産大学校 学生向け電子掲示情報が外部から閲覧可能状態にあったことについて 2024/11/12

 

本校の学生向け情報電子掲示システムにおいて、掲示情報が外部から閲覧可能状態にあったことにつきましては、令和６年９月１１日に本校ホームページにてお知らせしているところですが、本事案の調査結果等をご報告いたします。

関係者の皆さまにご心配とご迷惑をお掛けしましたことを改めて深くお詫び申し上げます。

今後、このような問題が発生することのないよう、情報セキュリティの確保に関する取組を強化し、再発防止に努めてまいります。

なお、本日までに本事案に関する被害は確認されておりません。

１　事案の概要

令和６年９月５日、業務でウェブを検索していた本校職員の報告により、本校学生向け情報電子掲示システム内の情報がログイン認証なしで外部から閲覧可能状態にあることが判明しました。事象判明後、直ちにシステムへのアクセス制限を講じ、システム内の情報は外部から閲覧できない状態にしたところですが、その後の調査において、閲覧可能状態にあった期間は平成２３年４月以降であることを把握しました。

現在、改修作業を行っていますが、システムの運用を再開するに当たっては、当該事象に係る改修の検証だけではなく、システム全体の安全性を十分に確認することとし、専門業者の協力のもと、必要な対応に取り組んでおります。

２　閲覧可能状態にあった情報の内容

（１）　平成２３年度以降に在籍歴のある学生の個人データ：　4,122件

（２）　平成２３年度以降に在籍歴のある教職員の個人データ：　314件

（３）　平成２３年度以降に採用された非常勤講師の個人データ：　56件

（４）　閲覧可能状態にあった個人データの種類：　学籍番号、氏名（姓のみ、カナ又はローマ字表記のみを含む）、電話番号、メールアドレス、ＳＮＳアカウント

３　発生原因

本システムは、平成２３年４月に全面更新を行いました。その際、当時のシステム関連機器の性能や利用者の利便性を考慮し、お知らせ情報（ｈｔｍｌファイル）や添付ファイルを素早く閲覧できるよう、ファイルのＵＲＬを直接入力することで、ログイン認証なしでもアクセスできる設計としました。この場合、閲覧しようとするファイルの数十桁に及ぶ完全なＵＲＬを正確に入力して適合させる必要があることから、外部からの閲覧は困難と判断し、全面更新以降、アクセスに係る部分の設計変更は行っておりませんでした。

しかしながら、今般、一部の検索エンジンによって、お知らせ情報の添付ファイルがクローリングされ、検索結果に当該ファイル名が表示される事態が発生しました。

なお、通信履歴を調査した結果、お知らせ情報の本文に該当するｈｔｍｌファイルが外部から閲覧された形跡は確認されておりません。

４　個人データが閲覧可能状態にあった方々へのご連絡

連絡先が確実に把握できる在校生及び在籍教職員の皆さまに対しましては、順次、電子メールにて、その事実を報告し、お詫び文を送付いたします。また、個人データの内容が姓のみ等で当該個人を特定できない場合及び卒業生、退職者等の皆さまに対しましては、本校ホームページに本事案に関するご報告と問い合わせ窓口に係るご案内を掲載し、個別に対応を行ってまいります。

５　再発防止に向けた取組

本事案に係る改修・検証及びシステム全体の安全性を担保するために必要な対応を講じるほか、今回の事案を踏まえ、システムの定期的な評価・検証を行う体制を強化するとともに、個人情報の取扱いを含めた情報セキュリティの確保を徹底し、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-493】mog株式会社 個人情報漏洩の恐れに関するお詫びと調査結果のご報告 2024/11/12

 

弊社が運営する「こども栄養バランスmog オンラインストア（通信販売サイト）」におきまして、第三者による不正アクセスを受けたことを、2024年6月14日に「不正アクセスによるシステム侵害発生のお詫びとお知らせ」として公表いたしました。

このたび、第三者調査機関による調査の結果、クレジットカード情報（2,153件）、また、クレジットカード情報を除く個人情報（3,484件）が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報及びクレジットカード情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、電子メールが届かなかったお客様には、改めて郵送でご連絡申し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年6月14日に弊社ホームページにてご案内のとおり、警視庁から情報漏えい懸念を指摘する連絡が入ったため、2024年5月31日に弊社が運営する「こども栄養バランスmog オンラインストア」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年9月25日、調査機関による調査が完了し、2021年3月5日～2024年5月21日の期間に　「こども栄養バランスmog オンラインストア」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

なお、マイページでご登録いただいたカード情報は対象ではございません。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

弊社が運営する「こども栄養バランスmog オンラインストア」の委託先カートシステム運営会社のサーバーに不正アクセスがあり、弊社カートシステムの一部を改ざんされました。

(2)クレジットカード情報漏えいの可能性があるお客様

2021年3月5日～2024年5月21日の期間中に「こども栄養バランスmog オンラインストア」において新規にカード情報をご登録のうえご注文いただいたお客様（2,153件）で、漏えいした可能性のある情報は以下のとおりです。(既存のお客様の継続中の定期購入や、LINEやメール・電話でのご注文は対象となりません)。

・クレジットカード会員名

・クレジットカード番号

・クレジットカード有効期限月

・クレジットカード有効期限年

・クレジットカードセキュリティコード

(3)個人情報漏えいの可能性があるお客様

2021年3月5日～2024年5月21日の期間中に「こども栄養バランスmog　オンラインストア」において新規にご購入いただいたお客様およびマイページへログインされたお客様(3,484件)で、漏えいした可能性のある情報は以下のとおりです(既存のお客様の継続中の定期購入、LINEやメール・電話でのご注文は対象となりません)。

・メールアドレス（ログインID）

・パスワード※

・生年月日（任意入力項目）

※ゲスト購入のお客様につきましてはパスワードの漏えいはございません。

購入者氏名（配送先氏名）・配送先住所・電話番号など、その他の情報は含まれておりません

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。また、電子メールが届かなかった（配信エラーが戻ってきた）お客様へは、改めて郵送でご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、クレジットカード情報漏えいの可能性があるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表の経緯について

2024年6月14日に弊社Webサイト等で、「不正アクセスによるシステム侵害発生のお詫びとお知らせ」のご案内をいたしましたが、その後の今回の公表に至るまで時間を要しましたことを深くお詫び申し上げます。不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、及びカード会社との連携を待ってから行うことにいたしました。

今回の調査結果のご報告に至るまでお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図ってまいります。

改修後の「こども栄養バランスmog オンラインストア」のweb注文受付再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年5月31日を初回として複数回報告済みであり、また、警視庁にも発覚当初から連携しており、今後の捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-426】株式会社倉業サービス サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて 2024/11/11

 

2024 年 9 月 19 日「サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて（第 1 報）」及び同年 10 月 8 日「サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて（第 2 報）」にて公表しましたとおり、弊社サーバーに対するランサムウェア攻撃について外部専門家によるフォレンジック調査を進めておりましたが、調査結果を踏まえて以下のとおりご報告申し上げます。

１．サイバー攻撃の概要及び原因

2024 年 9 月 12 日、弊社システムを構築しているサーバーにおいて障害が発生し、サーバーの保守等の委託先企業を通じて調査を進めたところ、サーバーに対する不正アクセス及びランサムウェア攻撃があったことが同月 13 日に発覚しました。

その後、外部専門家によるフォレンジック調査の結果、当該不正アクセスはサーバーにおいて使用しているソフトウェアにあった脆弱性を悪用してなされたこと、この不正アクセスを契機としてランサムウェア攻撃がなされたことが判明しました。

２．漏えいのおそれがある個人情報

当社がお取引先様から受託した発送業務における発送先情報等（お取引先様ごとに情報の種類は異なることがあります）が漏えいしたおそれは否定できません。ただ、現時点では漏えいの具体的事実も確認しておりません。

３．再発防止策

今後、外部の専門家に相談してセキュリティと管理体制を強化し、再発防止に努めて参ります。

４．本件に関するお問い合わせ先

本件に関するお問い合わせは、当社に発送業務を委託したお取引先様へお願いいたします。なお、弊社へのお問い合わせについては、以下のお問い合わせ窓口までお願いいたします。

リリース文（アーカイブ）

【2024年9月19日】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-264】アルテマイスター株式会社 当社サーバーへの不正アクセス発生のお知らせ 2024/11/7

 

このたび、当社のサーバが第三者による不正アクセスを受け、ランサムウェアを使⽤した攻撃により、当社で取り扱う個人情報が漏洩した可能性があることを確認いたしました。これを受け当社は対策チームを設置の上、専⾨業者および弁護⼠等外部の専⾨家の助⾔を受け、原因特定、被害状況の調査および再発防⽌策等の策定に取り組んでまいりました。調査の結果、判明した本事象の概要等につきまして、下記のとおりお知らせいたします。なお、本件につきましては個⼈情報保護委員会に法令上の報告を⾏っております。当社お取引先様、関係先の皆様に多⼤なるご⼼配とご迷惑をおかけすることになりましたこと深くお詫び申し上げます。

１． 概要

2024年6月15日当社サーバにおいてデータが暗号化されシステムへのアクセスができない状況を確認いたしました。その後の調査によりランサムウェア（身代金要求）による不正アクセス被害であることが判明致しました。警察への通報および関係機関への相談を行い、被害の拡大を防ぐために被害端末をネットワークから遮断し、外部専門家を交えて原因の特定、被害情報の確認、情報流出の有無などの調査を実施しました。当該サーバには個人情報が含まれており、個人情報の流出の可能性があることが判明しました。

外部専門機関による調査の結果、漏洩の痕跡は確認されていないため可能性は限りなく低いものと判断しておりますが、漏洩の可能性が完全に否定できないことからお客様へご報告を差し上げております。

２． 漏洩が発生した恐れのある個人情報

① 対象

当社小売店「アルテマイスター保志」にて顧客カードの作成を行って頂いたお客様

② 漏えいした可能性のある情報

氏名、住所、電話番号

３． 二次被害またはその恐れの有無

外部専門家の調査により外部へ情報が持ち出された痕跡はなく、二次被害の可能性については限りなく低いものと考えております。また、本事象に起因して発⽣した⼆次被害は現時点では確認されておりません。

４． 今後の対応、再発防止策について

セキュリティ専門会社の支援のもと現状のセキュリティ対策状況を網羅的に確認の上、再発防止のため、セキュリティ体制の強化、社員等への個人情報の取扱いルールの見直しおよび教育など、具体的な対策を実施するとともに、不正アクセス等の犯罪⾏為には厳正に対処してまいります。

リリース文（アーカイブ）

【2024年6月20日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-491】クラブツーリズム株式会社 当社サーバへの不正アクセスによる情報漏えいの可能性について 2024/11/8

 

当社は、10月30日、当社サーバの一部に対して、不正アクセスを受けたことを確認しました。当社が委託しているシステム会社の調査結果を確認した結果、外部漏えいした可能性のあるデータに、下記のとおり個人情報が含まれていることが判明しました。

現在、影響範囲の確認を行っております。なお、当該サーバはサービス提供前の新規構築中のサーバでございますので、当社ウェブサイト等には影響はございません。

本件については警察への相談を行うとともに、本日、個人情報保護委員会に報告を行いました。

お客様や関係先の皆様にご心配とご迷惑をおかけいたしますこと、深くお詫びを申し上げます。

１.判明した経緯とこれまでの対応

10月30日19時過ぎに、当社が委託しているシステム会社より、不正アクセスを受けたことの報告を受け、速やかに対象となるサーバの隔離を実施するとともに対策本部を設置し、被害状況の確認を行っています。

2.漏えいの可能性のある情報

以下の期間に当社の海外ツアーにお申込みからご帰国までの期間が含まれる一部のご参加者のデータ（氏名[ローマ字]、性別、年齢、生年月日、航空券予約番号[PNR]、旅券番号）　約4,000件

①2020年3月から8月、②2023年10月、③2024年9月

なお、クレジットカード情報等の決済に関する情報は含まれておりません。

3.今後の対応

当社ホームページでお知らせをするとともに、対象となるお客様へは、個別にメール、お手紙のいずれかにより、ご本人にご連絡をいたします。

原因の究明、影響の範囲について、専門のセキュリティ会社に委託し詳細の調査を行っております。

以上が、現時点で判明している情報であります。新たな事実が判明した際には、その都度公表をいたします。当社は、調査機関や関係機関の協力を受けながら調査を継続し、被害拡大の防止および再発防止に向けて、鋭意対応して参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-489】ウエルシア薬局株式会社 当社におけるサポート詐欺の不正アクセスに伴う情報漏えいのおそれがある事案の発生について 2024/11/8

当社は、当社が運営する公式通販サイト「ウエルシアドットコム」に携わる従業員が業務に使用するパソコン端末において、サポート詐欺による不正アクセスを受け、個人情報が漏えいしたおそれがあることが判明しましたことをお知らせいたします。本件に関わりお客様をはじめとしてご関係の皆様に多大なご迷惑をおかけいたしましたことを心よりお詫び申し上げます。

ウエルシア公式通販サイト「ウエルシアドットコム」 https://www.e-welcia.com

本件では、10 月 24 日に当社従業員がサポート詐欺のウェブサイトへ誘導され、遠隔操作ソフトをインストールさせられたことにより、不正なアクセスを受けたことが判明いたしました。

当該事実の判明後、本従業員のパソコン端末のインターネットおよび社内ネットワーク接続を遮断いたしましたが、一定の時間「ウエルシアドットコム」で過去にお買い物をされた一部のお客様の情報および当社従業員の情報が漏えいしたおそれがございます。

• 顧客情報（退会者を含みます）
  （氏名、住所、電話番号、生年月日、性別、ウエルシアドットコムご利用時の ID とパスワード、購入商品 39,805 名分）
  
  
• 当社およびグループの従業員情報
  （氏名、所属組織、会社のメールアドレス 931 名分）

本件につきましては、関係する行政機関へ報告をするとともに、外部の調査会社による詳細な被害状況と影響範囲の調査を開始し、現在も継続して被害情報の確認を行っております。なお、本日までの調査において本件に関わる漏えいの事実および被害は確認されておりません。

詳細な調査結果が判明しました際には、改めて公表をさせていただきます。

また、情報漏えいのおそれのある対象のお客様へのご連絡を進めております。併せて、個人情報を悪用し、迷惑メールが送付される可能性がございますため、不審なメール等を受け取られた場合には開封せず、削除いただきますようお願い申し上げます。

このような事態が発生し、お客様をはじめとするご関係の皆様には多大なご迷惑をおかけすることになり、改めまして深くお詫び申し上げます。当社はこの度の事態を厳粛に受け止め、今後の情報セキュリティに関わる社内での教育を徹底してまいります。また、個人情報を取り扱う業務プロセスの見直しおよび情報セキュリティ施策の強化を図ることにより、再発の防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-488】日本介護協会のサイト、荒らし共栄圏に改ざんされる

 介護事業の啓発活動をする一般社団法人の日本介護協会（大阪府大阪狭山市）のサイトが、何者かに改ざんされたことが5日、協会への取材で分かった。サイバー犯罪関連の情報交換をしているとされる集団の名称が記載されたため、協会はサイトを一時閉鎖。大阪府警などに相談したとしている。

平栗潤一理事長は「攻撃される心当たりがなく、戸惑っている。脅迫や金銭の要求は受けていないが、コンピューターウイルスの感染が心配だ」と話している。

平栗理事長によると、改ざんに気付いたのは3日午後。「荒らし共栄圏万歳」というメッセージのほか、協会と無関係の人物の名前や住所が記載されていた。サイト作成のソフトウエア「ワードプレス」が最新版でなく、セキュリティー上の欠点を悪用された可能性がある。

荒らし共栄圏はインターネット上の嫌がらせに加え、クレジットカードの不正利用や偽サイトに誘導して金銭をだまし取る「フィッシング詐欺」の手口を交流サイト（SNS）やネット掲示板で情報交換しているとされる。

出典：介護協会のサイト改ざん、大阪　サイバー犯罪関連集団の名称記載（アーカイブ）

【セキュリティ事件簿#2024-487】なのはな農業協同組合 個人情報漏えいのおそれのある事案の発生に関するお詫び 2024/11/7

 

この度、なのはな農業協同組合（ 以下「 当組合」といいます。） におきまして、 共済契約に関する個人情報の漏えいのおそれのある事案が発生しました。

ご契約者様はもちろん、組合員のみなさまに多大なるご迷惑とご心配をおかけする事態となりましたことに対しまして、心より、お詫びを申し上げます。

当組合といたしましては、今回の事態を重く受け止め、よりいっそう情報管理の厳格化を図り、ご契約者様の不安を解消するため、丁寧な説明と経過報告を随時進めてまいります。

今後は役職員や外部の有識者を交えた調査・ 検証委員会を設置し、関係機関とも連携して、実態を把握し再発防止に全力で取り組むとともに、なのはな農協の信頼回復に努めてまいり ます。なお、関係者の処分については、 本事案の調査による全容解明終了後すみやかに検討いたします。

１ 事案の概要

令和６年３月頃から共済契約の解約件数が徐々に増加し 、元職員の挙績した契約に集中していたため、令和６年９月２４日に共済端末利用履歴を確認したところ、元職員により令和５ 年１０月から令和６年１月にかけて出力された世帯保障台帳の用紙が紛失していることが発覚しました。元職員が持ち出した可能性も否定できず、 当事者より事情を聴取したところ、当組合の支店内にて廃棄したとの説明を受けました。

しかし、確実に廃棄処分がなされたかどうかにつき、確認が取れておらず、 外部に流出した可能性も否定できないことから 、弁護士と協議し警察にも相談するとともに、 行政庁にも報告いたしました。

２ 漏えいした可能性のある個人情報

当組合において、令和６年１月２０日以前に共済契約をご締結された、ご契約者様の氏名、 住所、電話番号、共済契約の内容、共済掛金振替決済口座番号及びご契約者様と同一世帯のご家族様の氏名、住所等（１８１３世帯、３７４１人、呉羽支店・中央支店及び和合支店の一部のご契約者様）。

なお、二次被害の有無については注視しながら 、心当たりのないセールスや不審な電話等がございましたら 、応対の際にはご注意いただくとともに、下記のお問い合わせ先まで至急ご連絡をお願い申し上げます。

３ 今後の対応

今回対象の皆様には、本文書にてご報告及びお詫びを実施しております。

併せて、対象の皆様に対しまして、順次、改めてお詫びならびに詳細な内容について説明し てまいります。また、今後、新たな事項が判明した場合には、 ご契約者の皆様に対し、改めてご報告申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-486】the b 水道橋 不正アクセスによるお客さま等に関する情報漏洩の可能性 についてお詫びとお知らせ 2024/11/6

 

the b 水道橋で利用している宿泊施設の予約・販売管理システムにおいて当施設のログイン ID 及びパスワードを使って第三者が不正にログイン操作を行い、オンライン予約サイトから宿泊予約した一部のお客様のご予約情報に対して不正アクセスを行った疑いを検出したと本件システムの提供ベンダー（以下「委託先」といいます。）より報告がございましたのでお知らせいたします。

外部への情報流出の可能性について個人情報保護委員会へ報告し、社内で調査および対応を行っております。現時点で情報が不正利用された事実は確認されておりません。

なお、不正アクセスがあった IP アドレスからの接続の遮断とログイン ID、パスワードの変更、アクセス制限を実施し、外部からのアクセスができないよう対策を実施しました。

このたびは、ご迷惑、ご心配をおかけしておりますことを深くお詫び申し上げます。お客さまの安全を最優先として注意喚起および直接連絡の対応について時間を要したことにより、公表が遅くなりました事も重ねてお詫び申し上げます。今後は厳重な社内のセキュリティ体制の構築により再発防止に取り組んでまいります。

1. 流出の可能性のある個人情報

対象	流出の可能性のある個人情報
2024年7月29日までに、一部オンラインサイトから 2024 年 7 月 23 日～2025 年 2 月 24 日に the b 水道橋の宿泊を予約された方	・予約者名 ・宿泊者名（代表者名） ・予約者の電話番号 ・予約者の住所（国名のみを含む） ※クレジットカード情報や個人のメールアドレスは含まれません。

2. 対応の経緯（以下、すべて日本時間となります）

• 2024 年 10 月 9 日: 当ホテルが利用している予約・販売管理システムが第三者による不正アクセスされた疑いがある旨を、委託先から連絡を受けました。同時に、流出の疑いがある対象予約通知情報を入手しました。
  
  
• 2024 年 10 月 11 日: 日本国法に基づき、個人情報保護委員会に報告しました。また、流出した疑いがある情報の精査が概ね完了しました。
  
  
• 2024 年 11 月 6 日：公式サイトにて事実を公表いたしました。

3. 今後の対応

• 予約・販売管理システムにアクセス可能な IP アドレスの制限やログイン ID の削除、パスワードの変更、2 段階認証の登録などの不正アクセス防止策を実施しております。その他、情報セキュリティ体制の強化とフィッシング対策を計画しております。
  
  
• 今後はホテルから直接お客さまに連絡することはありません。ホテルを名乗る連絡には対応しないようお願い申し上げます。特に、当社からクレジットカード番号等をお伺いすることはございませんので、ご注意ください。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-485】東北学院大学 本院教職員業務用PCへの不正アクセスを起因とする個人情報の漏えいについて 2024/11/6

 

2024年9月7日（土）、本院職員が利用している業務用パソコンが外部の攻撃者により不正利用され、本院保有個人情報（7,085件）の漏えいが発生いたしました。本事案確認後、さらなる被害拡大を防止するため、利用中の対象機器をネットワークから隔離し、被害職員のアカウント停止及びパスワード強制変更を実施しました。以後、被害職員アカウントにより学内各種システムを不正利用された兆候は確認されておりません。

本事案につきましては、個人情報保護委員会（内閣府外局）に報告を行っております。

なお、事案の詳細は下記のとおりです。

1．事案の概要

（1）発生日・発覚日

　　　　発生日：2024年9月7日（土）

　　　　発覚日：2024年9月9日（月）

（2）概　要：

本院職員が利用している業務用パソコン（以下「被害PC」）がランサムウェア感染し、共有ドライブから業務データが不正にダウンロード（窃取）され個人情報が漏えいし、その後関連データと被害PCが利用不可能となりました。

本事案確認後、被害拡大を防止するため、直ちに以下の対応を行いました。

　　①被害職員を特定し、利用中の対象機器をネットワークから隔離

　　②被害職員のアカウント停止及びパスワード強制変更を実施

その後の調査において、被害職員アカウントによる学内各種システム不正利用の形跡は確認されませんでした。

2．個人情報漏えい対象者・データ項目・件数

（1）学外者

　　1）漏えい対象者：

　　　　システム構築・運用に関わる外部企業（システム関連企業）関係者

　　2）漏えいしたデータ項目

　　　　システム構築体制表等に記載の関係者氏名、電話番号、メールアドレス等

　　3）漏えい数

　　　　41社119名

（2）大学学生

　　1）漏えい対象者：

　　　　東北学院大学の学部学生（卒業生等含む）

　　2）漏えいしたデータ項目

　　　　学生番号、成績情報（2023年度開講の１科目）、メールアドレス、氏名

　　　　※漏えいしたリストは以下の①～④ですが、個人と成績情報が直接紐づく情報は漏洩していません。

　　　　※①～④のリストには、同一学生の情報が重複して含まれている場合があります。

　　　　　①学生番号＋成績(１科目)

　　　　　②メールアドレスのみ

　　　　　③学生番号＋氏名＋メールアドレス

　　　　　④メールアドレス＋氏名

　　3）漏えい数

　　　　合計：3,490名（うち、成績情報漏えい対象者：3,071名）

（3）本院教職員

　　1）漏えい対象者：

　　　　学校法人東北学院 法人事務局及び設置学校に属する教職員

　　2）漏えいしたデータ項目

　　　　教職員番号、氏名、一部メールアドレス

　　　　※以下の組み合わせで漏えいしています。

　　　　＜内訳＞

　　　　　教職員番号・氏名

　　　　　教職員番号・氏名（一部情報欠損あり（姓のみ等））

　　　　　学生番号・氏名（過去の在籍者のため、漏えい時点で全て無効化済）※

　　　　　部署等アカウント

　　　　　　※管理上、教職員扱いとしていたもの

　　3）漏えい件数

　　　　合計：3,476件

3．原因

学外からアクセス可能なネットワークに設置していた被害PCが、外部攻撃者の標的となり、ユーザーIDとパスワードを窃取されて不正侵入を受けたもの。

4．二次被害又はそのおそれ

（1）二次被害

　　現在のところ確認されておりません。

（2）二次被害のおそれ

メールアドレスが漏えいした方については、迷惑メール等の受信が増加する可能性がございます。

なお、学生・教職員に係る本院統合認証アカウントについては、パスワードの漏えいは一切ないことから、安全性は保たれております。

本事案により、個人情報を窃取された皆様に、深くお詫び申し上げます。

現在、個人情報を窃取された方へ個別に謝罪・説明のご連絡を実施しております（対象者の方には、11月8日（金）までにご連絡を差し上げます）。

本院としてこの事態を重く受け止め、ファイアウォールの設定強化等の技術的な対策と、事案の共有による構成員に対する情報セキュリティに関する啓発・注意喚起等での組織運用面での対策により、再発防止を徹底して参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-484】株式会社東西哲学書院 弊社が運営する「博文栄光堂オンラインショップ」への不正アクセスによる クレジットカード情報および個人情報漏洩に関するお詫びとお知らせ 2024/11/5

このたび、弊社が運営する「博文栄光堂オンラインショップ」（以下、弊社ECサイト）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（18,394件）および、個人情報（50,338名）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報および個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。電子メールのご登録が無いお客様、電子メールがお届けできなかったお客様には、書状にてご連絡させて頂きます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

 

1.経緯

2024年5月29日、警視庁サイバー犯罪対策課から、弊社ECサイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年5月29日弊社ECサイトでのクレジットカード決済を停止いたしました。

同時に弊社HP上で、第三者による不正アクセス被害を受け個人情報漏洩の可能性がある旨の公表を行い、第三者調査機関による調査も開始いたしました。2024年6月26日、調査機関による調査が完了し、2021年4月7日～2024年5月29日の期間に弊社ECサイトで購入されたお客様クレジットカード情報と2018年5月1日～2024年5月29日の期間に弊社ECサイトにおいて顧客情報を入力したことがあるお客様の個人情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。その後、クレジットカード会社と連携して、不正利用された可能性があるお客様のクレジットカード情報の特定調査を行い、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社ECサイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏洩の可能性があるお客様

2021年4月7日～2024年5月29日の期間中に弊社ECサイトにおいてクレジットカード決済をされたお客様15,986名で、漏洩した可能性のある情報は以下のとおりです。

クレジットカード名義人名

クレジットカード番号

有効期限

セキュリティコード

(3)個人情報漏洩の可能性があるお客様

2018年5月1日～2024年5月29日の期間に弊社ECサイトにおいて顧客情報を入力したことがあるお客様50,338名で、漏えいした可能性のある情報は以下のとおりです。

氏名

住所

電話番号

ＦＡＸ番号

メール送信履歴

注文情報

配送先情報

上記 (2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。また、電子メールがお届けできなかったお客様には、書状にてご連絡させて頂きます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の弊社ECサイトの再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年7月19日に報告済みであり、また、所轄警察署にも2024年5月29日に被害相談をしており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-428】石光商事株式会社 ランサムウェア被害への対応状況に関するお知らせ 2024/11/1

 

 当社は、2024 年９月 20 日付「ランサムウェア被害の発生について」にてお知らせしましたとおり、当社及び国内グループ会社の一部サーバーが暗号化されるランサムウェア被害が発生いたしました。

本件では、発覚後速やかに個人情報保護委員会への報告ならびに兵庫県警察への被害申告及び相談を行うとともに、二次被害の防止対策、復旧作業や分析調査等の実施、また外部専門家の助言のもと、被害状況、原因等の調査を進めてまいりました。お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになりましたこと、また調査に相応の時間がかかりましたことを深くお詫び申し上げますとともに、このたびの調査結果を下記のとおりお知らせいたします。 

１．本件の概要

外部から不正アクセスを受け当社及び国内グループ会社の一部のサーバーに保存している各種ファイルが暗号化されアクセス不能な状況となっていること等を 2024 年９月 18 日（水）に確認し、直ちに、外部専門家の協力のもと調査を開始しました。

外部専門家のフォレンジック調査の結果によれば、本件は、当社グループ会社の SIM カード搭載のノートパソコンに対して、リモートデスクトップ接続を介した不正アクセスによる攻撃後、当社及び国内グループ会社の一部サーバーにも不正にアクセスし、データの暗号化が行われたものと考えられます。暗号化されたデータの一部は別途保管していたため、現在は、再構築等を行ったサーバーに復旧することにより、事業活動の目的に応じた適正利用が可能となっております。

また、当社グループが保有するデータに不正にアクセスされ、そのデータの一部または全部が外部へ転送された痕跡を確認したものの、アクセスされた範囲が特定でき、その中には個人情報等は含まれていなかったことを確認しております。

当社は、不正アクセスを受けたファイルが漏洩した可能性を想定し、ダークウェブ調査を併せて行ったものの、本件に係る漏洩データの検出はなく、これまでデータが漏洩したことによる二次被害が発生した旨も確認しておりません。

以上の調査結果から、当社は、本件不正アクセス被害において、上記の外部へ転送されたデータを除き情報漏洩の可能性はなかったものと判断いたします。 

２．今後の対応

現時点で、当社グループが保有する個人情報の漏洩は確認されておりませんが、このたびの事態を真摯に受け止め、引き続き外部専門家と連携のうえ、セキュリティと監視体制のさらなる強化を実施し、以下の再発防止策に取り組んでまいります。

（1）OS、アプリケーション、サーバー等に関する脆弱性管理の徹底

（2）各種パスワードの変更と管理の強化

（3）セキュリティポリシーの見直しと周知徹底

（4）バックアップシステムの改善

（5）より強固なセキュリティ対策ソフトの導入

（6）従業員教育の強化とトレーニングの継続実施

３．毀損された個人情報について

本件不正アクセスによって暗号化され、別途同一データの保管がないために毀損に該当する個人情報は以下のとおりです。

なお、毀損された個人情報のうち、当社グループ以外の個人情報につきましては、暗号化により対象となる方々を特定することができないため、通知に代わる措置として、本公表をもって通知とさせていただきたくご了承をお願いいたします。

リリース文（アーカイブ）

【2024年9月20日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-483】ヤンマーホールディングス株式会社 当社システムの管理用メールドメインの不正利用に関するお知らせとお詫び 2024/10/25

 

ヤンマーホールディングス株式会社は、システムの管理用メールドメイン（@hanasaka-challenge.yanmar.com）を第三者が不正利用し、当ドメインから国内外の不特定多数にメールが送信されたことを確認しました。当ドメインからのメールは、当社および当社グループから送信したものではございません。なお、今回の事案による個人情報の漏えいについては現時点において確認されておりません。 本事案を確認後、被害拡大を防止するため、当サーバーのメール送信機能を即刻無効化し、関係機関への報告を行いました。

この度は、当該メールを受信された皆様に多大なるご迷惑、ご心配をお掛けし深くお詫び申し上げます。当社は専門機関と連携し、原因究明を進めるとともにセキュリティ体制を見直し、再発防止に努めてまいります。

1. 本事案の概要

ヤンマーグループが管理する一部のシステム管理サーバーからメールドメインを不正に利用し、金銭を要求するメールが発信されたと考えられます。

不正発信された対象ドメイン：@hanasaka-challenge.yanmar.com

不正送信件数：約317,000件

送信された時期：2024年9月25日(水)～10月23日（水）

リリース文（アーカイブ）

【セキュリティ事件簿#2024-482】大分市 市営住宅の指定管理者におけるランサムウェア被害について 2024/10/31

本市市営住宅の指定管理者である(株)別大興産のサーバおよびその周辺機器（以下サーバ等といいます）において第三者によるランサムウェア攻撃の被害が確認され、(株)別大興産が保有する個人情報を含むデータが複製され外部へ持ち出された可能性があることが判明しました。(株)別大興産から、そのデータのなかに本市市営住宅の入居者等の情報が含まれるとの報告を受けました。

漏えいのおそれがある方

(株)別大興産が管理運営を行っている市営住宅等の入居者(連帯保証人含む)、退去者（親族含む）、申込者(代理人含む)

経緯

令和6年10月24日	(株)別大興産のサーバ等において第三者によるランサムウェア攻撃の被害が確認されました。
令和6年10月25日	(株)別大興産から情報漏えいのおそれのある個人情報に、(株)別大興産が管理運営する本市市営住宅の入居者・退去者等の情報が含まれるとの報告をうけました。
同日	個人情報保護委員会へ本事案の報告を行いました。
令和6年10月29日	総務省へ本事案の報告を行いました。

本市の対応

入居者はじめ関係者の皆さまには、ご心配とご迷惑をおかけしております。

10月30日現在、(株)別大興産より本市市営住宅の入居者・退去者等について、二次被害の報告は受けておりません。

(株)別大興産に対し、本事案について詳細な調査および報告を求めております。詳細が判明しましたら改めてお知らせいたします。

情報漏えいのおそれのある方々には順次、市からお知らせの文書を送付いたします。

本事案について、大分市や(株)別大興産から電話やメールで個別に連絡することはありません。詐欺等に十分ご注意ください。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-317】下鴨茶寮 不正アクセスによる個人情報漏洩に関するお詫びと調査結果のご報告 2024/10/31

 

弊社が運営する「下鴨茶寮オンラインショップ」におきまして、第三者による不正アクセスを受け個人情報が漏洩した可能性があることについて、2024年7月18日に「不正アクセスによるシステム侵害の可能性についてお知らせとお詫び」として公表いたしました。その後、第三者機関による調査の結果、お客様の個人情報19,235件およびクレジットカード情報16,682件が漏洩した可能性があることを確認いたしました。

日頃より弊社商品をご愛顧頂いておりますお客様をはじめ、関係者の皆様に多大なるご迷惑をおかけする事態となりましたことを深くお詫び申し上げます。

なお、個人情報およびクレジットカード情報が漏洩した可能性のあるお客様には、電子メールにて（電子メール不着の場合には書面にて）お詫びとお知らせを別途ご連絡申し上げます。

当社では今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様および関係者の皆様にお詫びを申し上げると共に、本件に関する概要を下記の通りご報告致します。

１．経緯

2024年7月16日、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念についてクレジットカード会社より連絡を受け、当社サイトにおけるクレジットカード決済を停止、2024年7月29日より第三者調査機関による調査を開始、2024年9月2日に調査が完了いたしました。調査の結果、2024年5月13日までに会員登録いただいたお客様の個人情報および2021年6月12日～2024年5月13日の期間にご購入いただいたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正に利用された可能性があることを確認いたしました。

当社では2024年5月14日に「下鴨茶寮オンラインショップ」を環境の異なる新しいシステムに移行しております。今回の不正アクセスの対象は切り替え前の旧システムに対するものであるため、旧システムが稼働していた2024年5月13日までに会員登録いただいたお客様の個人情報が漏洩している可能性があると判断しております。

なお、新システムにおいて個人情報の漏洩およびクレジットカード情報の漏洩は確認されておりません。

２．個人情報漏洩の状況

（1）原因

「下鴨茶寮オンラインショップ」のシステムの一部の脆弱性をついた第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

（2）個人情報漏洩の可能性があるお客様

2024年5月13日までに「下鴨茶寮オンラインショップ」において会員登録をされたお客様19,235名のお客様で、漏洩した可能性のある情報は以下の通りです。

・氏名

・住所

・電話番号

・性別

・生年月日

・メールアドレス

・ID

・配送先情報

（3）クレジットカード漏洩の可能性があるお客様

2021年6月12日〜2024年5月13日の期間に「下鴨茶寮オンラインショップ」においてクレジットカード決済をされたお客様16,682名で、漏洩した可能性のある情報は以下の通りです。

・クレジットカード会員名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当する16,682名のお客様については、別途、電子メールにて（電子メール不着の場合には書面にて）個別にご連絡申し上げます。

３．お客様へのおねがい

弊社ではクレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、クレジットカード情報漏洩の可能性があるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

４．再発防止策ならび「下鴨茶寮オンラインショップ」におけるクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図ってまいります。

「下鴨茶寮オンラインショップ」におけるクレジットカード決済の再開については、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年7月18日より適宜報告済みであり、また、所轄警察署である京都府警察にも発覚当初から連携しており、今後の捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【2024年7月18日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-438】ライクキッズ株式会社 サイバー攻撃被害の可能性について 2024/10/31

2024 年 10 月 1 日に公表しました｢サイバー攻撃被害の可能性について（ 第１報）｣のとお

り、当社システムが外部よりランサムウェアによる攻撃を受けました（ 以下、｢本件｣といい

ます）。

関係者の皆様にはご迷惑とご心配をおかけする事態となりましたこと、深くお詫び申し

上げます。現在も調査を継続しておりますが、現時点で判明した内容および対応状況につい

て、下記のとおりご報告申し上げます。

1．経緯と対応状況

2024 年 9 月 30 日早朝（ 日本時間）にシステム障害が発生しました。調査の結果、当社の複数のサーバがランサムウェアに感染し、データが暗号化されていることを確認しました。感染が確認されたシステム環境は外部とのネットワークを遮断しており、被害の拡大を防ぐための対策を講じております。

現時点での外部専門家による調査によると、インターネットとの外部接続口から当社システム環境へ不正に侵入し、攻撃が行われていたことが判明しております。

現在の主要業務につきましては、手動での対応および既存環境とは分離・閉鎖された環境でのシステムの利用により継続しておりますが、システムの完全な復旧までにはしばらく時間を要する見込みです。

また、暗号化されたサーバには、個人情報が含まれているデータが保存されていたため、情報漏洩の有無に関して調査を進めておりますが、現時点では漏洩が発生した事実は確認されておりません。

なお、本件につきましては、警察への相談および個人情報保護委員会への報告を行っております。

2．今後の対応

2024 年 9 月 30 日のシステム障害の確認後速やかに、外部専門家と共に調査を開始し、現在も継続して原因の特定や被害情報の確認およびシステム復旧作業を実施しております。

関係者の皆様にはご心配とご迷惑をおかけしておりますことを重ねてお詫び申し上げます。引き続き調査を進める中で開示すべき事項が発生すれば、速やかにご報告いたします。

リリース文（アーカイブ） 

【2024年10月1日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-481】好奇心で企業のサーバーに不正アクセスした21歳男タイーホされる

 

広島県内にある企業のサーバーに不正にアクセスしたとして、広島県警は2日、神奈川県川崎市に住むアルバイト従業員の男（21）を不正アクセス禁止法違反などの疑いで逮捕しました。

警察によりますと、男は23年5月、広島県内の電気通信会社が使用しているメール配信ソフトの脆弱性をついて、サーバーに不正にアクセスするなどした疑いが持たれています。

調べに対し男は「間違いありません。ホームページの改ざんに興味があって好奇心でやりました」と容疑を認めているということです。

広島市では23年6月、複数の大学に爆破予告メールが送信される事件が発生。

警察が捜査していたところ、メールは、県外の福祉施設のサーバーを経由して送信されていることが判明しました。

この福祉施設のサーバーへ男がアクセスしていたことが分かり、その後の捜査で、広島県内の企業のサーバーへ不正アクセスしていた疑いが浮上したということです。

警察によりますと、男は同じ手口で福祉施設のサーバーへアクセスしている可能性があるといいます。

さらに、押収したパソコンの解析から、男はインターネットの掲示板で、特定の弁護士への中傷や、特定の弁護士を騙り爆破予告を繰り返す人たち「恒心教」に強い影響を受けているとみられ、警察は広島市内で起きた爆破予告に関与している可能性があるとみて捜査を進めています。

出展：企業のサーバーに不正アクセスした疑いで男を逮捕　複数の大学への爆破予告メールにも関与か　男は特定の弁護士を騙り爆破予告を繰り返す人たち「恒心教」に強い影響を受けているとみて警察が捜査（アーカイブ）

【セキュリティ事件簿#2024-266】株式会社ベルシステム 24 ホールディングス 当社の業務委託先における個人情報漏えいのおそれについて 2024/10/30

 

株式会社ベルシステム 24（以下「当社」）が業務の一部を委託している、当社子会社「BELLSYSTEM24 VIETNAM Inc.（以下「BSV」）」が利用するサーバーへ不正なアクセスが生じていたことが 2024 年 6 月 17 日に発覚しました。外部専門家にフォレンジック調査を依頼し事実関係を確認していたところ、2024 年 9 月 17 日に、不正アクセスを受けた情報の一部に当社従業員（退職者含む）の個人情報が含まれていたおそれがあることが、BSVからの報告により判明いたしました。大変なご迷惑、ご心配をおかけしておりますことを深くお詫び申し上げます。

当社は個人情報漏えいの可能性について既に個人情報保護委員会へ報告しており、現時点で情報が不正利用された事実は確認されておりません。

漏えいのおそれのある情報

対象	漏えいのおそれのある個人情報
当社従業員情報	氏名、社用メールアドレス、社用電話番号

現在、BSV において調査を継続しておりますが、今後、個人情報の漏えい等に関する新たな事実が確認された場合には、適切な対応を講じてまいります。また、今後、お知らせすべき事項が判明しましたら、速やかに開示いたします。

関係者の皆様に多大なるご迷惑、ご心配をおかけしておりますことを、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【2024年7月11日リリース分】

リリース文（アーカイブ）

【2024年6月21日】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-480】竹田市 市営住宅におけるランサムウェア攻撃による情報漏えいに関するお知らせ 2024/10/30

 

概要

10月24日、竹田市が住宅管理を委託している株式会社別大興産のサーバが、外部からサイバー攻撃を受け、コンピューターウイルス「ランサムウェア」に感染し、株式会社別大興産が保有する個人情報が漏えいした恐れがあります。（現在調査中）

対象住宅

アルバ代官町

アルバ桜町

竹田市では、株式会社別大興産に対してこの事案について、詳細な報告を求めております。詳細が判明しましたら、改めてお知らせいたします。

今後、情報漏えいの対象となった方々には、順次竹田市からお知らせの文書を送付いたします。本事案について、竹田市や別大興産から電話やメールで個別に連絡することはありませんので、詐欺等に十分ご注意ください。本事案の詳細については、別大興産ホームページをご確認ください。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-329】シャープ株式会社 シャープ公式オンラインストア｢COCORO STORE｣・食材宅配サービス｢ヘルシオデリ｣における不正アクセスによる個人情報流出に関するお詫びと調査結果のお知らせ 2024/10/30

 

2024年7月29日に公表いたしました、シャープ公式オンラインストア｢COCORO STORE｣・食材宅配サービス｢ヘルシオデリ｣における不正アクセスに関しまして、2024年7月22日に「COCORO STORE」への不正アクセスによる改ざん事象を検知し、同日、「COCORO STORE」・「ヘルシオデリ」のサービスの提供を停止のうえ、カード決済を停止しておりました。サービスの提供の停止以降、影響範囲および原因の特定に向け、外部専門機関により詳細を調査してまいりました。

2024年10月16日、調査機関による調査が完了し、不正アクセスの詳細が明らかになり、個人情報流出の可能性があるお客様は、2024年7月29日に公表しました影響を受けた可能性のある最大約10万人のお客様の内、5,836人のお客様であることがわかりました。その内、4,257人のお客様につきましてはクレジットカード情報を含む個人情報が流出した可能性がございます。以上の事実が確認できたため、本日の発表に至りました。

お客様や関係者の皆様に、多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

調査結果をふまえまして、対象のお客様には、本日より電子メールおよび書状にてあらためて個別にご連絡申し上げております。

1. 不正アクセスに関する外部専門機関による調査内容と調査結果について

（1）調査内容

外部専門機関（フォレンジック機関（PFI））により、国際的なセキュリティ基準（PCI DSS）において、当社のデジタルデータを扱うPCやサーバ、ネットワーク機器等に蓄積されたログ・状態を調査し、発生事象の割り出し、不正アクセスの影響範囲および証拠となるデータの特定を行いました。

（2）調査により判明した事実

2024年7月29日に公表しましたとおり、「COCORO STORE」および「ヘルシオデリ」で採用しているソフトウェアの脆弱性を悪用されたことが原因であることが確認されました。

脆弱性を悪用され、一部の注文情報＊が第三者により取得され、203人の個人情報（クレジットカード情報は含まれておりません）が流出したこと（2024年7月29日公表の通り）が、本調査によりあらためて確認されました。

加えて、2024年7月19日4時19分～2024年7月22日10時50分**の期間に、第三者により「COCORO STORE」のウェブサイトが改ざんされ、クレジットカード情報やその他の個人情報を入力し、かつ注文を確定した場合に、これらの情報が第三者に窃取されるプログラムが埋め込まれていたことが判明しました。その結果、当該期間に、「COCORO STORE」においてクレジットカード情報や個人情報を入力し、かつ注文を確定した場合、その情報が外部へ不正に転送された可能性があることが判明しました。

なお、今回の改ざんは不正なスクリプトが埋め込まれている条件の下で動作するものであり、当該期間中に「COCORO STORE」以外のサイトで入力した情報、もしくは当該期間以降に「COCORO STORE」や他のサイトで入力する情報については、流出の可能性はございません。

脆弱性に対して行われた攻撃はすでに排除しており、脆弱性に対するソフトウェアアップデートも実施済です。

* 2024年6月30日の「COCORO STORE」および2024年6月23日～6月30日の「ヘルシオデリ」における一部の注文情報です。

**日時は「JST 日本標準時 UTC+0900」で記載しております。

（3）対象となるお客様、個人情報、人数について

①個人情報が流出したお客様　合計203人［2024年7月29日公表］

 

お客様	個人情報	人　数
2024年6月30日に「COCORO STORE」、2024年6月23日～30日に「ヘルシオデリ」でご注文されたお客様の一部および、これらのご注文において、お客様のご登録住所と配送先住所が異なるご注文をされたお客様	氏名、郵便番号、住所、電話番号、 メールアドレス等の注文情報 ・クレジットカード情報は含まれておりません。	203人

 

 

②クレジットカード情報流出の可能性があるお客様　[今回の調査で確認]

お客様	個人情報	人　数
2024年7月19日4時19分～2024年7月22日10時50分の期間に「COCORO STORE」の購入画面で、クレジットカード情報を含む個人情報を入力し、かつ注文を確定されたお客様	カード名義人名、クレジットカード番号、有効期限、セキュリティコード、住所、氏名、電話番号、メールアドレス、パスワード	4,257人

③個人情報流出の可能性があるお客様　[今回の調査で確認]

お客様	個人情報	人　数
2024年7月19日4時19分～2024年7月22日10時50分の期間に「COCORO STORE」の購入画面で、個人情報（クレジットカード情報を除く）を入力し、かつ注文を確定されたお客様	住所、氏名、電話番号、メールアドレス、パスワード ・クレジットカード情報は含まれておりません。	1,376人

  

上記に該当する5,836人のお客様については、別途、本日より電子メールおよび書状にてあらためて個別にご連絡申し上げております。

2. お客様へのお願い

すでに当社では、クレジットカード会社と連携のうえ、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合、たいへんお手数でございますが、同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、あわせてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、当社よりクレジットカード会社に依頼しております。

3. 再発防止策ならびに当社が運営するサイトの再開について

当社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止に努めてまいります。

（1）システムのセキュリティ対策

今回の直接の原因であった脆弱性について、脆弱性の早期発見および早期対策の実施体制を強化しました。

（2）監視体制の強化

脆弱性があった場合においても、侵入検知システムの追加等、多層のセキュリティ対策を含めた監視体制を強化しました。また、セキュリティに関するルールの見直し、定期的な自己診断内容の強化等も併せて実施しております。

また、当社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年7月26日に報告済みであり、また、所轄警察である大阪府警察本部にも2024年7月26日届出しており、今後調査にも全面的に協力してまいります。

なお、シャープ公式オンラインストア｢COCORO STORE｣・食材宅配サービス｢ヘルシオデリ｣は、準備が整い次第、再開予定です。再開が決定次第、改めてWebサイトでお知らせいたします。ご不便をおかけし申し訳ございませんが、今しばらくお待ちくださいますようお願い申し上げます。

リリース文（アーカイブ）

【2024年7月29日リリース分】

リリース文（アーカイブ）

【2024年7月23日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-479】株式会社カレルチャペック 弊社が運営する「カレルチャペック紅茶店公式通販サイト」への不正アクセスによる 個人情報漏えいの恐れに関するお詫びと調査結果のご報告 2024/10/30

 

このたび、弊社が運営する「カレルチャペック紅茶店公式通販サイト」におきまして、第三者による不正アクセスを受け、お客様の個人情報（103,289件）およびクレジットカード情報（延べ58,407件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、電子メールが届かなかったお客様には改めて郵送でご連絡申し上げます。

情報漏洩が確認された「カレルチャペック紅茶店公式通販サイト」は閉鎖しておりますが、弊社では今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年5月22日、システム会社から弊社運営サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年5月30日「カレルチャペック紅茶店公式通販サイト」を停止し、関係各所に確認後2024年6月5日に弊社ホームページにてご案内いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年9月9日、調査機関による調査が完了し、2020年4月26日～2024年5月21日の期間に「カレルチャペック紅茶店公式通販サイト」に登録されたお客様の個人情報及び同期間に使用されたお客様のクレジットカード情報を漏洩懸念対象と結論付け、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

「カレルチャペック紅茶店公式通販サイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2) クレジットカード情報漏洩の可能性があるお客様

2020年4月26日～2024年5月21日の期間中に「カレルチャペック紅茶店公式通販サイト」においてクレジットカード決済をされたお客様58,407名※で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

　※漏洩人数は複数回クレジット決済されたお客様を含めた延べ人数です

(3) 個人情報漏洩の可能性があるお客様

2020年4月26日から2024年5月21日の期間中に「カレルチャペック紅茶店公式通販サイト」において会員登録をされたお客様103,289名で、漏洩した可能性のある情報は以下のとおりです。

･ 氏名

･ 住所

･ 電話番号

･ 生年月日

･ メールアドレス

･ ログインID

･ ログインパスワード

･ 配送先情報

上記の(2) (3)に該当するお客様については、別途、電子メールまたは書面にて個別にご連絡申し上げます。

3.お客様へのお願い

(1) クレジットカード不正利用のご確認とお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

誠に恐縮ではございますが、お客様におかれましてもクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2)その他の個人情報について

お客様のもとに差出人や件名に心当たりのない不審なメールが届いた際には、ウイルス感染や不正アクセス等の危険がございますので、メールに添付されているファイルは開封せず、メール自体を直ちに消去いただくようお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.公表が遅れた経緯について

2024年5月22日の漏洩懸念から今回の案内に至るまで時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の報告までにお時間をいただきましたこと、重ねて深くお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

「カレルチャペック紅茶店公式通販サイト」は新システムにて再開予定でございます。

再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

なお、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年5月28日より複数回報告済みであり、また、所轄警察署にも弊社から連携しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-348】株式会社協和 弊社が運営する「ふわりぃ公式オンラインショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2024/10/29

 

このたび、弊社が運営する「ふわりぃ公式オンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（16,396名）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年7月17日、警視庁サイバー犯罪対策課から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年7月17日弊社が運営する「ふわりぃ公式オンラインショップ」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年8月23日、調査機関による調査が完了し、2021年3月28日～2024年7月17日の期間に　「ふわりぃ公式オンラインショップ」で購入されたお客様クレジットカード情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「ふわりぃ公式オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年3月28日～2024年7月17日の期間中に「ふわりぃ公式オンラインショップ」においてクレジットカード決済をされたお客様16,396名で、漏洩した可能性のある情報は以下のとおりです。なお、フルオーダーメイドランドセル、イージーオーダーメイドランドセルをクレジットカード決済にて購入されたお客様は、別サイトでの管理となっておりますので、漏洩した可能性の対象外となります。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

・氏名、電話番号、住所、生年月日、メールアドレス

・ふわりぃ公式オンラインショップ　ログインID

・ふわりぃ公式オンラインショップ　ログインパスワード

上記に該当する16,396名のお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024年7月17日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「ふわりぃ公式オンラインショップ」での再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年7月23日に報告済みであり、また、警視庁サイバー犯罪対策にも2024年7月17日に被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【2024年8月6日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-477】商事法務研究会 個人情報漏えいに関するお詫びとお知らせについて 2024/10/24

 

当会が、東京大学大学院法学政治学研究科から運営を受託する「産業データ連携の現状と法的展望に関するシンポジウム」（2024年11月8日開催予定）につき、当会が設置した聴講申込フォームの誤設定によって、聴講を申し込まれた方の個人情報を第三者が閲覧できる状態となっていたことが判明しました。本件判明後直ちに設定を修正し、現在は閲覧できないようにしておりますが、聴講申込者の皆様、関係者の方々に多大なるご迷惑及びご心配をお掛けしますことを深くお詫び申し上げます。

現時点において判明している事項は以下のとおりです。対象となる聴講申込者の皆様へは10月24日15時16分ごろにメールにてお詫びとご報告及びお問合せ窓口のご連絡を申し上げました。

なお、今後の報告については追って当会ウェブサイトでお知らせ申し上げます。

〈漏えい事象の概要〉

本シンポジウムの聴講者を聴講申込フォームを通じて募集しておりましたが、聴講を申し込まれた方が、申込後に画面に表示される「前回の回答の表示」というリンクをクリックすると、ほかの申込者の方の個人情報を含む申込情報を閲覧できる状態となっておりました。

〈漏えい状況〉

・件数

78名

・期間

2024年10月3日16時40分～2024年10月23日17時18分ごろ

・第三者が閲覧した可能性がある個人情報等

聴講申込フォームへご入力いただいておりました

　①氏名

　②ご所属

　③メールアドレス

　④コメント及びメッセージ

〈漏えいの原因〉

聴講申込フォームを当会が契約し利用するGoogle Formsで作成したところ、当会が誤って初期設定を変更し、その後の動作確認の不備が重なり、「前回の回答の表示」というリンクが表示される状態になっておりました。

〈事実経緯・対応状況〉

・2024年10月3日16時40分

聴講申込フォームを当会ウェブサイトに掲載

・同10月23日17時08分ごろ

シンポジウム関係者より申込情報を第三者が閲覧できるようになっているとのメールを受信

・同日17時09分

事務局でメールを確認し、状況の確認を開始

・同日17時18分

聴講を申し込まれた方が第三者の個人情報を含む申込情報を閲覧できる状態であることを確認。聴講申込フォームの設定を閲覧できないように修正（この時点で78名の申込あり）

・10月24日15時16分ごろ

対象となる聴講申込者の方に対して個別にメールにてお詫びとご報告を送信

・同16時45分ごろ

当会ウェブサイトに本「個人情報漏えいに関するお詫びとお知らせについて」を掲載個人情報保護委員会に漏えい事案報告

〈今後の対応〉

法律知識の普及・啓発活動を推進する当会として今回の事態を重く受け止めております。

今後同様の事態が生じないよう、個人情報を取り扱う上での管理体制を見直し・強化するとともに、利用するフォームの精査、フォーム公開前のチェック体制の見直しなど、再発防止策を検討・実施してまいります。また、法令等に基づく関係各所への報告・対応等についても速やかに進めてまいります。

今後、漏えいに伴う被害等の発生がないか調査を進め、新たな状況が判明しましたら、改めて当会ウェブサイトでお知らせ申し上げます。

この度の事態を発生させましたこと及び本事態を当会で認識できなかったことを重く受け止め、今後の運営についても検討・改善してまいります。

改めまして、本件について、多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

リリース文（アーカイブ）