【2025/7/11リリース分】
このたび、弊社のサービス本番環境とは分離された社内開発環境の一部に対し、第三者による不正アクセス(マルウェア感染)が行われ、当該環境に保存されていた情報の一部が外部からアクセス可能な状態となっていたことが判明いたしました。
本リリースは、現時点で把握している内容をお知らせする第一報です。
詳細につきましては現在調査を進めており、今後、新たに確認できた事実については、続報として公表してまいります。
お客様ならびに関係者の皆さまには多大なるご心配とご迷惑をおかけしておりますことを、心よりお詫び申し上げます。
2025年11月26日夕刻、弊社が利用するサービス本番環境とは分離された社内開発環境の一部に対し、マルウェア感染を含む不正アクセスの兆候を検知しました。直ちにアクセス遮断措置を講じたうえで調査を開始した結果、不正アクセスの事実を確認いたしました。
同11月29日、社内調査による分析の結果、当該環境に保存されていた個人情報の一部が外部からアクセス可能な状態となっており、その中の一部の情報について不正にアクセスされたことを確認しました。
現在、影響範囲および原因の詳細について、ログ解析等を通じた精査を継続しております。
現時点での調査において、以下の情報へ外部からアクセスされた、またはアクセスされた可能性があることを確認しています。
カテゴリー別問合せ実績の有無(※)・・・件数は現在精査中
一部の弊社従業員、元従業員および開発業務に従事する社外協力者の氏名およびメールアドレス・・・件数は現在精査中
※ 弊社運営サービス「ジモティー」における特定のカテゴリーへの問合せ実績があるか否か(TRUE or FALSE)のフラグ情報です。当該アクセスされた情報のみで個人が特定されるものではなく、また具体的な問い合わせ内容(メッセージ本文等)や日時等は含まれません。なお、本情報は、ユーザーID(弊社運営サービス「ジモティー」利用者全員にランダムに振り分けられる符号であり、この情報自体はサービス内にて既に公開されているもの)と紐づけられて管理されております。
ユーザーのメールアドレス、ジモティーからの通知の受取可否の設定及び弊社運営サービス内で公開されているID・・・2名
メールアドレスが閲覧可能であった方へは、本リリースの公表に合わせて、すでに個別にメールにてご連絡を差し上げております。
以下の情報は社外へ流出していないことを確認しております。
クレジットカード情報および銀行口座番号等の決済情報
ログインに必要なパスワード
マイナンバーや住所、電話番号などの情報
「ジモティースポット」等、自治体との委託事業・協業事業における利用者情報
なお、今後の調査により新たな事実が判明した場合には、速やかに公表いたします。
メールアドレスにアクセスされた、またはアクセスされた可能性があった方へは、すでに個別にメールにてご連絡を差し上げております。
また本件の影響を受ける可能性のある全てのお客様、従業員、社外協力者様、取引先様等には、2025年12月中旬を目処に、順次、電子メール等にて個別にご案内を差し上げる予定です。
現時点で、クレジットカード情報・パスワード等の直接的な被害が想定される情報の流出は確認されておりませんが、念のため以下の点にご留意ください。
弊社や関係者を装った不審なメールやSMS等を受信した場合、
不審なリンクを開かない
添付ファイルを開かない
個人情報やパスワード、認証コード等を求められても回答しない
不審な連絡を受け取った場合は、弊社お問い合わせ窓口までご相談ください。
本件については現在、
不正アクセスの手口・侵入経路の特定
影響範囲(対象データおよび期間)の詳細な特定
同種事象の再発防止のための技術的・運用的対策の検討
を進めております。
再発防止策については、
すでに実施済みの対策
今後実施する中長期的な対策と、その実施予定時期
を整理したうえで、続報にて公表する予定です。
本件は、個人情報保護法に定める報告対象事案に該当することから、個人情報保護委員会への報告を完了しております。
報告内容および当局からの要請事項等についても、公開可能な範囲で続報にてお知らせいたします。
本リリースは、限られた調査状況の中でお伝えできる内容をまとめた第一報です。今後、外部からのアクセスが確認された個人情報の件数の詳細や、原因及び再発防止策については、確定次第、続報として公表してまいります。
弊社サービス「ジモティー」及び「ジモティースポット」等の運営継続に問題はなく、本件が 2025年度および2026年度の弊社業績に及ぼす影響については軽微である見込みであります。今後開示すべき事項が発生した場合には、速やかにお知らせいたします。
このたび、当社が提供する「Edv Path」において、第三者による不正アクセス事案が発生し、調査の結果ランサムウェアの攻撃活動が疑われる痕跡を確認いたしました。本件により、システムをご利用の皆さまに多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
現在、当社セキュリティチームおよび外部専門機関と連携した技術調査を進めており、初動の復旧対応については完了しており、システムとしては通常どおりご利用いただける状態となっております。現時点で判明している事実と今後の対応について、以下のとおりご報告いたします。
発生日時:2025年12月2日(火)未明
事象内容:当社が利用するデータベース環境に対して外部から不正アクセスが行われ、攻撃活動の過程でランサムウェアの関与が疑われる痕跡を確認しました。これに伴い、データの一部に消去等の影響が生じた可能性があります。
影響範囲:Edv Path本番データベース環境および一部関連システム
現時点の調査では、データベース内に保存されていた以下の情報が外部へ持ち出された可能性を完全には否定できない状況です。
【影響を受けた可能性のある情報】
氏名
性別
学校利用アカウント情報(メールアドレス、ID等)
Edv Path回答データ
利用履歴に関するログ情報(接続日時等)
なお、現時点では、これらの情報が不正に利用された事実は確認されておりません。引き続き外部専門機関とともに調査を進め、新たな事実が確認され次第速やかにご報告いたします。
本事象の確認後、直ちに以下の対応を実施しました。
【技術的対応】
不正アクセス経路の遮断および認証方式の強化
外部アクセスからの全遮断、接続口の削除
クラウド内部の専用ネットワーク構築
外部専門機関によるセキュリティ診断の追加実施
バックアップ体制の再点検および強化
【組織的対策】
緊急対応チームの設置
全社危機管理体制の見直し
ログ監視体制の強化と外部監査の導入
個人情報保護に関する教育・訓練の強化
【関係機関・専門機関との連携】
所轄警察署への通報
個人情報保護委員会への報告
外部のセキュリティ専門家への調査依頼
【現在のシステム状況】
現時点で確認されている範囲では、システムは通常どおりご利用いただける状態に復旧しております。
引き続き監視体制を強化した上で、安全確保に努めてまいります。
Edv Pathや当社を装った不審なメールやメッセージには十分ご注意ください。
心当たりのないURLリンクへのアクセスや、添付ファイルの開封は行わず削除いただきますようお願い申し上げます。
当社は、本件を深く重く受け止め、外部専門組織の助言を踏まえたセキュリティ体制の強化を進めております。
また、調査の進捗や再発防止策については本サイトにて継続的に更新・公開いたします。
お客様各位
この度、弊社が提供するサービスへの第三者不正アクセスにより、お客様の個人情報およびクレジットカード情報が漏洩した可能性につきまして、多大なるご心配とご迷惑をおかけしておりますことを深くお詫び申し上げます。
本お知らせは、2025年8月8日に公表した前回のお知らせ(https://www.suruga-ya.jp/feature/osirase/2025_08_08.html)の続報です。8月8日のお知らせ以降、外部専門家によるフォレンジック調査を実施し、2025年10月10日に完了しました。原因および対象範囲に関する報告書を受領しました。
漏洩の疑いがある対象件数はクレジットカード30,431件、それに付随するお客様の情報29,932名でした。 お客様ならびに関係者の皆様に多大なるご心配とご不便をおかけしておりますことを、深くお詫び申し上げます。
本件の詳細情報および弊社の対応について、下記のとおりご報告いたします。
監視ツールの脆弱性を突いた不正アクセスにより、決済ページ用JavaScriptが改ざんされました。
・2025年8月4日:外部からの問い合わせを起点に社内調査を実施し、JavaScriptの改ざんを検知。同日15時22分に修正完了。
・2025年8月8日:個人情報保護委員会への報告および警察への相談を行った上で、決済代行会社との規定に基づき、クレジットカードの決済機能を停止。
漏えい対象期間の特定:
・フォレンジック調査の結果、対象サーバへの侵入時刻が判明し、以下の期間を特定しました。
・漏えい対象期間: 2025年7月23日12時50分〜2025年8月8日
2025年7月23日12:50~2025年8月8日の期間中に「駿河屋.JP(suruga-ya.jp)」においてクレジットカード決済をされたお客様29,932名で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード情報(カード名義人名、カード番号、有効期限、セキュリティコード、カードブランド)
・個人情報(氏名、住所、郵便番号、電話番号、メールアドレス、領収書の宛名、但し書き)です。
上記に該当するお客様については、別途、電子メールまたは書状にて個別にご連絡申し上げます。
フォレンジック調査の結果、過去のお知らせの通りサーバへの不正アクセスを確認されております。現時点において第三者機関による調査の結果、決済ページでの漏えい以外におきまして、弊社保有の個人情報の持ち出しの証跡の確認はされておりませんが、以下の対応にご協力をお願い申し上げます。
・ご利用明細に不審な請求がないかご確認ください。
・不審な請求がある場合は、カード裏面記載のカード会社へ至急ご連絡ください。
・アカウント保護のため、パスワード変更および2段階認証の有効化をお願いいたします。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
2025年8月8日以降、対象のお客様への個別連絡を実施しております。今回のフォレンジック対応の結果を受け、追加でご連絡の必要が生じた方にもこれまでと同様に個別でご連絡いたします。
また、カード会社・決済代行会社と連携した不正利用監視を実施しています。併せて、改ざん検知の強化、アクセス制御と多層防御の強化、定期的な第三者診断など、技術・運用両面の再発防止策を進めています。
駿河屋.JP(suruga-ya.jp)のクレジットカード支払は、対策実装と外部確認の完了後に再開します。決定次第、Webサイト上で速やかにご案内します。
去る2025年8月8日に漏えい懸念の事実を確認し、クレジットカード決済を停止後にお客様へのお知らせおよび注意喚起を行いました。合わせて、同日、監督官庁である個人情報保護委員会に報告し、所轄警察署にもに被害申告を実施しました。
また、当社Webページにお知らせを記載。第三者機関による調査および外部専門家等のアドバイスも踏まえ、安全安心にご利用いただくための再発防止策の実効性確保を最優先とすべく、第三者機関による外部調査の完了(2025年10月10日)後も関係各社との連携および調整を重ねた上で、公表いたしました。発表までお時間を要しましたことを、重ねて深くお詫び申し上げます。
【2025/8/8リリース分】
本年3月17日付けプレスリリース「不正アクセスの発生及び個人情報漏えいの可能性に関するお知らせ(第五報)(アーカイブ)」等にてお知らせいたしました、当社のサーバーが外部から不正アクセスを受けた事案について、本日、警視庁から、外部の容疑者を逮捕した旨が発表されました。
当社では、被害発覚以降、警察に対して被害を申告するとともに、捜査に全面的に協力してまいりました。
今後も引き続き警察の捜査に全面的に協力するとともに、皆様の信頼にお応えできるよう再発防止に向けて全力で取り組んでまいります。
当社の子会社である Tokyo Electron Taiwan Ltd.の元従業員 1 名(逮捕・起訴済み)が関与していた顧客の機密情報の漏洩事案について、台湾検察当局による捜査が進められておりましたが、本年12 月 2 日、台湾検察当局により、当該元従業員に対する国家安全法等の監督義務に違反するものとして Tokyo Electron Taiwan Ltd.を起訴する旨の発表がありました。なお、当社が起訴されたという事実はありません。
当社は、法令遵守および倫理基準の徹底を経営の最重要事項と位置付けており、これに反するいかなる行為も断じて容認しておりません。本件は誠に遺憾であり、極めて厳粛に受け止めており、ステークホルダーの皆さまには、多大なるご心配をおかけしましたことを深くお詫び申し上げます。
台湾検察当局は、Tokyo Electron Taiwan Ltd.には、当該元従業員を監督する法的義務があったとした上で、同社には一般的・警告的な内部規範は存在するものの、具体的な防止管理措置を実施した証拠に欠けるとして、法人刑事責任を負うべきとしました。
一方で、起訴状では、当社および Tokyo Electron Taiwan Ltd.による当該元従業員への不適切な情報取得を促す指示などの組織的な関与や、関連する機密情報の外部への流出は指摘されておりません。当社による調査でも、こうした組織的な関与や機密情報の外部への流出は確認されておりません。
また、本件に関する業績への影響はございません。
当社は、これまでも顧客等のステークホルダーの機微情報の保護を含む情報セキュリティについては、経営の最重要事項の一つと捉え、業界最高水準のセキュリティ基準をベースに、社内外の専門家による 24 時間/365 日常時モニタリング態勢に基づく情報漏洩の未然防止と検知を含む、強固な情報セキュリティ体制を構築してまいりましたが、こうした事案が二度と生じることがないよう、Tokyo Electron Taiwan Ltd.を含む当社グループのコンプライアンス体制および監査のさらなる強化等を図ってまいります。
そして、これからも、すべてのステークホルダーの皆さまのご期待に応えられるよう、全社一丸となって企業価値の向上に取り組んでまいります。
2023 年 5 月末日をもってすでにサービスを終了しております当社の旧ポイントサービス「グーポンサービス」につきまして、サービス終了後の経過期間を経て、ドメインの運用を停止いたしました。その後、当該ドメインが第三者によって再取得されたことを確認しております。
以下に記載の廃止済みドメイン名については、2023 年 6 月以降、当社サイトなどでは使用しておりません。廃止済みのドメイン名を利用したサイトにアクセスした場合、当社とは無関係のサイトに誘導される可能性があり、個人情報等の不正利用につながる危険性がありますのでご注意ください。
廃止済みドメイン名:goopon.com
過去のメルマガ等に記載されていた廃止済みドメインにアクセスされた場合でも、ID・パスワード、個人情報やクレジットカード情報等を入力なさらないよう、十分にご注意ください。また、不審なメールや SMS 等から廃止済みドメインへ誘導される可能性もございますので、併せてご留意願います。
本件に関してご不明な点やご心配な点がございましたら、下記のお問い合わせ窓口までご連絡ください。
SHODANの検索エンジンをプロのように使いこなすための、SHODANの検索フィルターやSHODANのドークを含む、個人的なSHODANチートシートを共有しています。これを使えば、簡単に目的の検索結果を得ることができます。
GoogleやBing、Yahooなどのコンテンツ検索エンジンとは大きく異なります。GoogleやBing、Yahooのようなコンテンツ検索エンジンは、ウェブページのデータをクロールして検索用のインデックスを作成するのに対し、Shodanはポートを照会して結果のバナーを取得し、検索用のインデックスを作成します。
あなたがサイバーセキュリティの分野にいるならば、Shodan検索エンジンについてよく知られているはずです。Shodanは、インターネット上の特定の種類のコンピューター(ルーター、ウェブカメラ、サーバーなど)を、さまざまなフィルターを使って見つけることができるIoT検索エンジンです。Shodanは、ターゲットの受動的な偵察や、測定ツールとして最適なリソースです。
https://shodan.io/ を開いて、このSHODANチートシートのコマンドを打ち込むだけです。
特定のサーバーヘッダーフラグを持つデバイスやサーバーを探すことができます。脆弱なサーバーを調査することができます。
server: "apache 2.2.3"または、直接フラグを入れても検索できます。
apache 2.2.3
世界中の特定のホスト名を持つデバイスを検索します。ホスト名とは、ネットワークに接続されている機器に付けられたラベルのことで、WWWなどの各種通信で機器を見分けるために使用されます。SHODANチートシートに含まれる複数のフィルターを使用して、検索結果を絞り込むことができます。
server: "apache" hostname:"google"
IPアドレスまたは/x CIDRに基づいて、デバイスやマシンを検索します。このフィルターは、IPレンジや特定のIPアドレスとサブネットマスクの検索にも使用できます。
net:34.98.0.0/16
オペレーティングシステムに基づいてデバイスを検索します。特定のOSを搭載しているデバイスをすべて見つけることができます。これは、侵入テスト担当者が、特定のオペレーティングシステムのフィルタを持つ脆弱なマシンを見つけるのに役立ちます。
os:"windows xp"
開いているポートに基づいてデバイスを検索します。"port "フィルターは、特定のオープンポートを持つマシンを検索対象にすることができます。
proftpd port:21
特定の都市のデバイスを検索します。例えば、ムンバイの都市のみに絞って検索したい場合は、以下のようになります。
city:"Mumbai"
特定の国のデバイスを検索します。例えば、インドだけに絞って検索したい場合
country:"IN"
一定の半径内にある特定の経度と緯度による地理的座標を与えてデバイスを見つける。
geo:"48.1667,-100.1667"
「after」と「before」のフィルターを使うと、特定の日付の後や前にデバイスを表示することができます。
使用できるフォーマットはdd/mm/yyyyです。
nginx before:13/04/2020 after:13/04/2018このフィルターは、スクリーンショットが利用可能な結果のみを返します。
has_screenshot:true city:"George Town"
Shodanでは、無線LANの平文のパスワードを見つけることができます。
html:"def_wirelesspassword"
ユーザー名:admin、パスワード:passwordで監視カメラのデータを取得する
NETSurveillance uc-httpd
Android Webcam ServerCitrix Gatewayの検索を行います。
title:"citrix gateway"
ただし、セカンダリウィンドウズ認証を含む場合があります。
"\x03\x00\x00\x0b\x06\xd0\x00\x00\x124\x00"
wp-config.phpにアクセスすると、データベースの認証情報が表示されます。
http.html:"* The wp-config.php creation script uses this file"ワードプレスのメイン設定ファイルにアクセスし、設定ミスのサイトの認証情報やAUTH_KEYなどの機密情報を取得することができます。
mongo DBサーバの情報を提供するフィルタです。
"MongoDB Server Information" port:27017 -authentication
完全なアノニマス・アクセスのためのデータを取得します。
"220" "230 Login successful." port:21
すべてのJenkinsのための検索 制限のないダッシュボード
x-jenkins 200
telnetアクセスにパスワードが必要な機器を検索します。
port:23 console gateway
ETHを実行しているマイナーを表示しています。
"ETH - Total speed"
セキュリティ設定がザルなWebカメラのスクリーンショットを表示
screenshot.label:ics country:"JP"
サーバの証明書情報に指定したドメインが含まれているサーバを列挙
ssl:expedia.com
自組織のドメイン名が世界的にも珍しく、他企業との重複がない場合は TLD 部分(.com / .jp など)を省略すると、海外ドメインや派生ドメインも一気に検索できます。
例えば私が根に持っている某 OTA の expedia.com であれば、以下のように ssl:expedia とすることで、関連ホストを一括で洗い出すことができます。
また、複数ドメインやホスト名をまとめて調査したい場合は、以下のように カンマ区切りで検索対象を追加できます。
ssl:expedia.com,hafh.com,united.comssl:"Coca-Cola Company"ssl:"Coca-Cola Company" 200
ssl.cert.subject.CN:"coca-cola.com"
IPアドレスの所有者情報に含まれる組織名をもとにサーバを列挙。
org:expedia
GitHub にある Awesome-Dorks リポジトリは、一般的な Dorks 集のような雑多な内容ではなく、Bug Bounty で実際に使われる実用的な検索式がまとまっている点が大きな魅力です。
例:Jenkins を探す検索式
HTML 内の特定文字列と HTTP コンポーネントの組み合わせで誤設定をピンポイントで検知できます。
GitHub には多数の Dorks リストがありますが、
実用度は玉石混交であり、最初に見るべきは Awesome-Dorks です。
次に活用頻度が高いのが favicon ハッシュによる製品特定です。
例:
Jenkins → 共通ハッシュ
Atlassian → 固有ハッシュ(複数の場合もあり)
検索例:
favicon から製品を逆引きできるため、世界中の公開 Jenkins / Atlassian 環境を一気にスキャンして把握することができます。
誤設定 UI や管理画面が露出している場合、この方法は最も高速に “候補をザクザク集める” のに役立ちます。
アイデア源として非常に価値が高いのが Twitter(X)で流れてくる Shodan Dorks です。
ただし、Twitter(X) 内検索は精度が低いため、Google 経由で Twitter(X) を検索するのが正攻法です。
例:
 |
| Bug Bounty ハンターが共有した “実際に使える Dorks” が大量に出てくる |
Twitter(X)は更新が圧倒的に速く、最新の誤設定・脆弱構成の発見方法はまずTwitter(X) に投稿されるという傾向があります。
そのため、「新しい Dork を探す」ではなく、“新しい攻撃ベクトルを知る” ために Twitter(X) をチェックするというイメージで活用すると効果が大きいです。
FCLコンポーネント株式会社(本社:東京都品川区、代表執行役社長:小松 健次)は、2025年12月 1 日(月曜日)、同社子会社FCL COMPONENTS(MALAYSIA)SDN.BHD.(以下、「FCM」)が利用するサーバーに不正なアクセスがあったことを確認いたしました。FCMは、同社グループ並びに外部の専門家、加えて警察および現地当局と連携の上、直ちに状況の把握と解決に向けた対策を開始し、現在も影響の範囲等の調査を進めております。
今後、お知らせすべき事項が判明しましたら、改めて同社ウェブサイト上にて開示いたします。関係者の皆様には、ご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。
平素より格別のご愛顧をたまわり、誠にありがとうございます。
今年10月にご連絡させていただきましたフィッシングメールに関して調査をすすめる中で、弊社が管理するシステムにおいて、一部のお客様の個人情報が外部から不正アクセスを受け、漏えいした可能性があることが判明いたしました。現在、事実関係の確認と原因の特定を進めております。
現時点で判明している内容は以下のとおりです。
・対象となる情報:氏名、メールアドレス
・漏えいの可能性が生じた期間:2025年9月25日 ~ 2025年10月3日
・原因:当社社員宛てのフィッシングメールを端緒とする第三者からの不正アクセス
当社では、速やかに以下の対応を実施しております。
・当社システム・セキュリティの強化
・外部専門機関によるセキュリティ診断の実施
・関係当局への報告
・該当するお客様、お取引先様への個別通知(順次対応中)
お客様およびへお取引先様のお願い
・不審なメールや電話にはご注意ください。
・当社を装った連絡があった場合は、返信やリンクのクリックをせず、当社窓口までご連絡ください。
この度は、お客様、お取引先様ならびに関係者の皆様に多大なご心配とご迷惑をおかけしましたこと、深くお詫び申し上げます。
再発防止に向け、セキュリティ体制の強化に全力で取り組んでまいります。
このたび、本研究院において、何者かが研究室に侵入して研究室内のパソコンを操作し、過去に当該研究室に所属していた学生の個人情報が記載された電子ファイルが持ち去られた可能性があることが判明しました。
本研究院では、個人情報の適切な取扱いを徹底してきたところですが、この様な事態が発生したことを重大な問題であると認識しており、関係の皆様に多大なご心配及びご迷惑をおかけしたことを深くお詫び申し上げます。
なお、当該個人情報が第三者に持ち去られた可能性はあるものの、その後さらに外部に流出した事実や不正に使用された事実は現時点で確認されておりません。
以下に示す研究室に所属し、卒業、修了または中退した学生の情報(年度、氏名、学位、就職先(会社名のみ))です。
| 所属 | 年度(卒業・修了・中退) | 人数 |
|---|---|---|
| 工学部情報エレクトロニクス学科【情報工学コース】 表現系工学研究室 |
2006, 2007, 2010, 2012 | 4 |
| 工学部情報エレクトロニクス学科【情報工学コース】 知能ソフトウェア研究室 |
2015 | 1 |
| 工学部情報エレクトロニクス学科【情報理工学コース】 知能ソフトウェア研究室 |
2019, 2022, 2023, 2024 | 4 |
| 大学院情報科学研究科複合情報学専攻複雑系工学講座 表現系工学研究室 |
2005〜2013 | 39 |
| 大学院情報科学研究科情報理工学専攻複雑系工学講座 知能ソフトウェア研究室 |
2014〜2018 | 32 |
| 情報科学院情報科学専攻情報理工学コース 知能ソフトウェア研究室 |
2019, 2021〜2024 | 26 |
| 合計 | 106 名 | |
令和 7 年 10 月 6 日(月)の夜間に、本研究院内の研究室において、所属不明の学生風の人物が、研究室内のパソコン(使用者によるプログラムを実行中で、ユーザー認証済みの状態で離席中)を操作しているところを、同研究室に所属する学生が発見し問いただしたところ、使用している学生から頼まれたと説明した上で退室し、本研究院の建物から退去しました。
翌日以降、学生から担当教員に相談し、当該パソコンを詳細に調査したところ、研究室内で共有していたデータファイル(当該研究室に所属していた学生の氏名、卒業年度、学位、就職先の会社名が記録)がダウンロードされた形跡及び USB メモリが接続された形跡が確認されました。
この件については警察にも相談しておりますが、現時点において人物の特定には至っておりません。また、国の個人情報保護委員会へも報告済みです。
【2025/8/26リリース分】
地方職員共済組合の組合員および被扶養者が利用可能な健康情報ポータルサイト「PepUp(ペップアップ)」において、第三者による不正アクセスが確認されました。
この件について、サービス提供会社である株式会社 JMDC (下「「JMDC」)から報告を受けましたので、お知らせいたします。
当該利用者に対しては、JMDC が強制的にパスワードをリセット(アカウント凍結)するとともに、JMDC からアカウントを凍結した旨をご本人に連絡しています。
不正アクセスを防止するためには、次の2つの対応が有効です。
1. パスワード管理の徹底
2. 「Google 認証アプリ」を利用した2段階認証機能の活用
ご対応がお済みでない方は、ご自身の大切な情報を守るために、ご協力をお願いします。
初期設定では、Pep Up へのログインは、ID (メールアドスス)とパスワードの入力により行われますが、セキュリティ強化のために2段階認証機能の活用をお願いします。
2段階認証機能には、次の 2 つの方法があります。
(1)「Google 認証アプリ」を使用する方法
(2) メールを使用する方法
ただし、(2)メールを使用する方法の場合、2段階認証を行うための「認証キー」が暗号化されない状態でインターネット上 (メール上)に流通するため、通信経路上で第三者から傍受されるリスクがあります。このため、当組合は(1) 「Google 認証アプリ」を使用する方法を強く推奨します。
このたび、当社の PC 及びサーバに対して、第三者による不正アクセスが確認されました(以下「本事案」といいます。)。これに伴い、当社の役職員及び退職者の個人情報について、漏えい及びそのおそれがあることが判明しましたので、お知らせします。なお、このたび判明した漏えい又はそのおそれがある個人情報には、取引先の皆様の情報は含まれておりません。また、本事案による当社の業務への影響は生じておりません。
漏えいの対象となった方々をはじめとして、皆様に多大なご不安とご迷惑をおかけすることを、心より深くお詫び申し上げます。
当社は、本事案発覚後、速やかに、不正アクセスで用いられた回線を遮断するなどの被害の拡大を防止するための措置を講じました。また、当社は、外部の専門家にフォレンジック調査を依頼し、事実関係の解明や分析等を進めてまいりました。このたび、当社は、フォレンジック調査の結果の報告を受けたため、当該調査結果を踏まえて、本事案について再発防止策の実施を含む必要な対応に取り組んでいます。その一環として、本事案について、下記のとおり公表します。
本事案において、漏えい及びその可能性がある個人情報の対象者及びその数は以下のとおりです。
⚫ 役職員:2,422 名
⚫ 退職者:1,787 名
また、漏えい及びその可能性がある個人情報の項目は以下のとおりです。なお、銀行口座にかかる情報やマイナンバーは含まれておりませんので、念のため付言いたします。
⚫ 氏名
⚫ 当社ドメインへのログイン ID
⚫ 当社ドメインのメールアドレス
⚫ 暗号化された当社ドメインへのログインパスワード※
⚫ 所属部署
⚫ 役職名
※パスワードは高度に暗号化されています。
当社は既に、本事案について個人情報保護委員会に必要な報告を行っており、漏えいの対象となった方々に順次通知をしています。また、警視庁に本事案を通報したほか、技術的側面を中心に情報処理推進機構(IPA)とも継続的な情報交換を行っています。
当社は、これまで情報セキュリティの強化に継続して取り組んでまいりましたが、本事案が発生したことを厳粛に受け止め、外部専門家の協力の下、再発防止策を実施し、一層の情報セキュリティの強化に努めています。
2025 年 11 月 28 日時点では、本事案に起因して発生した二次被害及びそのおそれは確認されていませんが、漏えいの対象となった皆様におかれましては、不審なメール等の連絡にご注意いただきますよう、お願い申し上げます。
