【セキュリティ事件簿#2024-255】森永製菓株式会社 不正アクセスによる役職員等の個人情報漏えいのおそれのお知らせとお詫び 2024/6/18

 

森永製菓株式会社のサーバー機器が外部からの不正アクセスを受け、当社およびグループ会社の役職員等の一部の個人情報が外部へ流出したおそれがあることが判明しました。

関係者の皆さまに多大なご迷惑とご心配をおかけすることになり深くお詫び申し上げます。

なお、既に侵入経路を特定・遮断しており、現時点で不正使用などの二次被害は確認されていません。

【漏えいのおそれのある個人情報】

当社及びグループ会社の役職員、委託業務従事者（退職者、元従業者の一部を含む）の個人情報　4,882件

• 氏名　
• 所属（会社名、部署名等）　
• メールアドレス（ドメイン名：@morinaga.co.jp/@morinaga.com）
• 社内システムログインID　　
• 読み取り不可能なようにランダムな文字列に変換（ハッシュ化）されたパスワード

※お客様の個人情報は含まれておりません。

2024年4月9日、当社サーバーで不審な動作を認知後、すみやかに個人情報保護委員会へ報告いたしました。現在、外部の専門機関による調査を進めており、個人情報が外部に流出した明確な証拠は見つかっていませんが、漏えいの可能性を完全に否定することが困難な状況であることから、漏えいのおそれのある対象の方に対し郵送またはメール等で個別に連絡いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-254】松竹株式会社 個人情報が閲覧可能となる状態が 生じましたことに関するご報告とお詫び 2024/6/17

 

平素よりお引き立てを賜りまして誠にありがとうございます。

この度、弊社会員組織「松竹歌舞伎会」にて、大阪松竹座「七月大歌舞伎」の切符ご購入者様限定で募集いたしました「大阪松竹座『船乗り込み』開催と乗船者募集のお知らせ」におきまして、ご応募いただきましたお客様の個人情報が、同様に当該申請フォームにアクセスされた方から閲覧可能な状態になっていたことが判明いたしました。

原因はご応募の方法として用いました Google フォームの設定が不十分であったことによるものです。該当されるお客様をはじめ、関係者の方々にご迷惑をおかけいたしましたことを深くお詫び申し上げます。

・閲覧が可能となった個人情報の件数：111 件（111 名様分）

・閲覧が可能となっていた期間：

2024 年 6 月 11 日（火）16 時 30 分頃 ～ 同 6 月 12 日（水）12 時 50 分頃

・閲覧可能となりました個人情報：上記時間帯でご応募いただいたお客様の以下の情報

「歌舞伎会会員番号」「氏名」「参加人数」「メールアドレス」「郵便番号」「住所」個人情報が閲覧可能となりましたのは、当該フォームにアクセスが可能であった限定的なお客様であり、その他の外部から当該情報にアクセスできる状態ではございませんでした。

また各情報は個人毎には紐付けられない表示となっておりました為、個人を特定することは困難であると判断しております。対象者 111 名の皆様には、それぞれに文書にて弊社よりお詫びをお送りさせていただきました。

今後はこのような事態を起こさないよう、お客様にご利用いただくフォームの公開時におけるテスト確認とチェック体制の強化を図り、再発防止に努めてまいります。

重ねてお詫び申し上げますとともに今後ともご愛顧を賜りますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-252】川崎市社会福祉協議会 お詫びとご報告 2024/6/17

 

本会の実施事業の申込み受付において、誤った設定をしてしまったために、お申込み頂いた方の個人情報が一時的に他のお申込者様から閲覧できる状態となっておりました。

お申込み頂いた皆様に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

【経緯】

社会福祉法人川崎市社会福祉協議会の支部である川崎区社会福祉協議会において、地域の主催事業の申込み受付を、５月２３日より開始いたしました。

その後、６月５日に定員を超過したため申込みを終了しましたが、その際にお申込み者様より、申込み状況を確認したいというご要望をいただき、受付に使用した Google フォームを「結果の概要を表示する」に設定しました。

この設定の変更により、その後の申込フォームに設置される「前の回答を表示」というリンクを選ぶと、お申込み頂いた方の氏名、電話番号、メールアドレスがそれぞれの項目ごとに閲覧できる状況となっておりました。

氏名、電話、メールアドレスそれぞれの項目ごとにまとめられていたため、個人の情報を一体的に把握できる閲覧状況ではございませんでした。

お申込みいただいた方の人数は１１８名でした。

なお、６月１４日にお申込み頂いた方より閲覧可能であるというご指摘をいただき、同日午前９時２０分に設定を変更し、情報の閲覧を停止したところでございます。

【対応】

１５日から１７日にかけて、対象となる方全員へ電話及び電子メールにより、事態のご説明とお詫びの連絡を行っております。

また、本会の他の Google フォームについて全て確認を行い、同様の設定はしていないことを確認しております。

※全員にお電話をおかけする中１００名の方には直接お話をさせていただいております。なお、１８名の方については留守電及び電子メールでお詫びとご説明をさせていただいたところです（令和６年６月１７日１６時３０分現在）

【再発防止策】

再発防止に向けて、個人情報の収集および管理の際に遵守すべき事項を職員全員に周知徹底してまいります。

また、今後も継続的に個人情報保護およびセキュリティガイドラインの順守を徹底し、情報管理体制の強化に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】東京都 委託事業者におけるコンピュータウイルス感染について 2024/6/17

 

教育庁から「就学支援金受給資格認定審査等に係る運用業務委託」を受託している事業者（以下「受託事業者」といいます。）の再委託先である株式会社イセトー（以下「再委託先」といいます。）において、ランサムウェア被害が発生し、生徒等の個人情報が流出した可能性がありますので、お知らせします。

関係する生徒・保護者に対し深くお詫びするとともに、経緯等をお知らせします。

なお、現時点で第三者への流出は確認されていません。　

1　流出の可能性がある個人情報

令和5年度の就学支援金受給資格認定審査等に係る生徒19名及びその保護者18名の個人情報（生徒の氏名・在籍高校・課程・学年・就学支援金審査結果、保護者の住所・氏名等）

2　経緯

(1)　令和6年5月26日(日)、再委託先のネットワークでランサムウェア被害が発生

(2)　令和6年6月6日(木)に受託事業者から、ランサムウェア被害が発生した再委託先の端末に令和5年度の生徒19名・保護者18名の個人情報が含まれている旨の連絡あり

なお、個人情報が含まれていたデータには、パスワードを設定していた。 

3　事故発生後の対応

(1)　受託事業者に対し、早急な調査の実施、調査結果の都への報告等を求めた。

(2)　当該保護者に対して、事故に係る説明・謝罪を行った。

4　再発防止策

今後、都として受託事業者の業務に対する監督指導の徹底を通じて、再発防止に向けて万全を期していく。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】西宮市 委託業務受託者へのサイバー攻撃について 2024/6/11

 

１．事実（事故、事件）内容

本市が固定資産税・都市計画税納税通知書の封入封緘業務を委託している株式会社イセトーから、サイバー攻撃によりコンピューターウィルスに感染し、個人情報流出のおそれがある事案が発生したと報告を受けました。

２．経過

５月２６日 

株式会社イセトーがサイバー攻撃により身代金要求型ウィルス・ランサムウェアの被害にあったことが判明。

６月４日 

株式会社イセトーから、本市固定資産税・都市計画税納税通知書のデータ５件程度がランサムウェアに感染したサーバーに保存されていたとの報告を受ける。

６月６日 

株式会社イセトーの社内調査により、ランサムウェアに感染したサーバーに固定資産税・都市計画税納税通知書の宛名情報７８件（住所、氏名、課税情報等）が保存されていたことが判明。

３．今後の対応等

現在のところ、個人情報の流出は確認されておりませんが、事業者が警察へ連絡の上、状況を確認中です。事業者に対し、流出の有無を確認するとともに、速やかな社内調査結果の詳細な報告と適切な対策を求めております。

本市としましては、報告内容等を精査の上、今後の対応を検討してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】岸和田市 受託業者のサーバーがランサムウェア被害を受けました。 2024/6/11

 

概要

令和5年2月に本市が委託した「令和5年4月23日執行　岸和田市議会議員一般選挙に伴う投票所入場整理券・封筒の印刷及び封入封緘業務」の受託事業者・株式会社イセトー（以下、受託事業者）より「サーバーがランサムウェア被害を受けた」との報告を受けました。

詳細

令和6年5月29日（水曜日）、受託事業者より「令和6年5月26日に複数のサーバー、端末内の情報が暗号化されるランサムウェアによる被害が発生した」と報告を受けました。この時点では「本市のデータについて個人情報の流出はない」とのことでした。

しかし、6月6日（木曜日）、受託事業者より「調査を進めたところ、個人情報が記載された5名分の投票所入場整理券のPDFデータが、ランサムウェアの被害にあった端末内に保存されていたことが判明した」との報告がありました。

投票所入場整理券のPDFデータはパスワードを付与し、端末に保存していました。通常であれば、保存期間が経過すると自動でデータが削除される仕組みとなっています。本件では、封入封緘作業の際、5名分の投票所入場整理券が破れ、新たに作成する必要が生じたため、5名分のデータを別の端末にパスワードを付与した状態で移行し、保存していました。5名分のデータを保存していた端末は自動でデータが削除される仕組みとはなっておらず、当該端末がランサムウェアの被害にあったものです。

今後の対応

個人情報が流出したか否かは現時点で不明ですが、該当の5名に対しては直接、上記内容の報告を行っており、今後の調査状況を適宜お伝えします。

受託事業者においては「現在、外部専門家と連携し、捜査機関にも都度連絡しながら調査を進めている」とのことですので、上記5名の個人情報を含めた本市の関連情報の流出確認を早急に進めるよう求めています。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】大田区 委託業者におけるコンピューターウイルス感染について 2024/6/13

 がん検診等ご案内帳票類の印刷、封入及び発送業務を委託している株式会社イセトーから、サイバー攻撃によりコンピューターウイルスに感染し、46件の個人情報流出のおそれがあるとの報告を受けました。なお、現時点で第三者への流出は確認されていません。

1　経過

令和6年5月26日（日曜日）

区ががん検診等ご案内帳票類の印刷、封入及び発送業務を委託している事業者において、一部のサーバーにランサムウェア被害が発生しました。

令和6年5月30日（木曜日）

委託業者担当者より、大田区民の情報はランサムウェア被害に遭ったネットワークと遮断されているため、個人情報流出のおそれはないとの報告を受けました。

令和6年6月10日（月曜日）

委託業者の調査の結果、被害にあったサーバーに以下の個人情報を含むデータが保存されていたとの報告を受けました。

2　流出のおそれのある情報

令和6年度がん検診受診券の画像データ（対象者の氏名、住所等）　46名分

3　今後の対応

株式会社イセトーに対し、引続き個人情報流出の有無の確認を継続するとともに、速やかな調査の実施、報告と適切な対応を求めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-251】株式会社アルファユニ 弊社が運営する「アルファユニ 公式ショップ」への不正アクセスによる お客様情報漏えいに関するお詫びとお知らせ 2024/6/17

このたび、弊社が運営する「アルファユニ公式ショップ」（https://alpha-uni.com以下「本件サイト」といいます）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等(1054名)及び個人情報（3126名）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報等及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年1月18日、千葉県警本部サイバー犯罪対策課より、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年1月18日、本件サイト内でのカード決済を停止いたしました。 同時に、第三者調査機関による調査も開始いたしました。2024年3月14日、調査機関による調査が完了し、2021年5月21日～2024年1月2日の期間に本件サイトで購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、また2024年2月13日までに本件サイトにおいて会員登録されたお客様の個人情報が閲覧された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.クレジットカード情報漏洩状況

（1）原因

本件サイトのシステムの一部の脆弱性をつき、一般ユーザーを装い不正注文してきた第三者の攻撃により、システムの改ざんが行われたため。

（2）クレジットカード情報漏洩の可能性があるお客様

2021年5月21日～2024年1月2日の期間中に本件サイトにおいてクレジットカード決済をされたお客様1054名につきまして、以下の情報が漏洩した可能性ございます。

・クレジットカード番号

・有効期限

・セキュリティコード

・本件サイトのログイン情報（メールアドレス、パスワード、電話番号）

3.個人情報漏洩状況

（1）原因

上記2（1）同様、一般ユーザーを装い不正注文してきた第三者の攻撃により、システムの改ざんが行われたため。

（2）個人情報漏洩の可能性があるお客様

2024年2月13日までに本件サイトにおいて会員登録をされたお客様3126名につきましては、以下の情報を閲覧された可能性がございます。

・氏名

・住所

・電話番号

・メールアドレス

・団体名

・性別

・注文情報（※）

（※）ご購入されたお客様

上記2及び3に該当するお客様につきましては、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールにてお届けできなかったお客様につきましては、書状にて個別にご連絡させていただきます。

4.お客様へのお願い

（1）クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。 お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記2（2）の対象となるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

（2）ログインパスワードの再設定のお願い

2021年5月21日～2024年1月2日の期間中に本件サイトからクレジットカードでご購入されたお客様におかれましては、たいへんお手数ですが、ログインパスワードの再設定をお願いいたします。

ログインパスワードの再設定はこちら（https://alpha-uni.com/mypage/login）

なお、2024年7月にオープンいたします新システムの移行の際には、再度パスワードの設定を重ねてお願い申し上げます。

5.公表が遅れた経緯について

2024年1月18日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。 本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

6.再発防止策ならびに弊社が今後運営する新サイトについて

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえて新システムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。 また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年1月24日に報告済みであり、また、所轄警察署にも2024年2月7日被害申告しており、今後捜査にも全面的に協力してまいります。

改修後の「アルファユニ公式ショップ」の再開日につきましては、2024年7月を予定しており、決定次第、改めてWebサイト上にてお知らせいたします。

リリース文（アーカイブ）

Windows11のPCを買ったら最初にすること5選

Windows 11の新しいタスクバーの試みは完全に失敗だが、ちょっとした調整で、以前の使い慣れたWindowsのようにすることができます。

特殊な事をしてWindows 11をWindows 10のようにするという話ではありません。やることはシンプルで、煩わしい広告を消したり、Microsoftに送信するデータを減らしたりするだけです。

ここでは、すぐにやるべき、価値のある5つの設定を紹介します。

1. スタートボタンの位置を左隅に戻す

マイクロソフトはWindows 10のインターフェイスをMacやChromebookのスタイルに近づけようとしているようですが、良い伝統は敢えて変える必要がありません。無駄な試みは元に戻しましょう。

スタートメニューは簡単に左隅に戻すことができます。スタートメニューを開き、「設定」>「個人用設定」>「タスクバー」>「タスクバーの動作」の順に選択します。タスクバーの配置と書かれたフィールドにドロップダウンメニューが表示されます。ドロップダウンメニューを「中央」から「左」に変更します。

2. ウザイ通知の無効化

次は煩わしいポップアップ通知をオフにします。お行儀の悪いサードパーティ製アプリや、頻繁にポップアップしてくるウザイ通知は適宜オフにしましょう。

「スタート」>「設定」>「システム」>「通知」と進みます。必要であれば、すべての通知をオフにすることができます。（Slack、Discord、ウイルス対策ソフトなど、重要なツールの通知はオンにしておいた方がいいかもしれません）

3. マイクロソフトの広告をオフにする

「設定」＞「個人用設定」＞「デバイスの使用状況」と進みます。ここのオプションは、Windows 11がアプリ、ウェブサイト、Office 365の試用版など、あなたのコンピュータの使用状況をMicrosoftに伝えます。マイクロソフトのサービスを売りつけてくることに興味がなければ、すべてオフにしよう。

4. デフォルトブラウザを変更する

Microsoft Edgeはそれなり優秀だが、お気に入りのブラウザ（Chrome、Firefox、Opera、Brave、etc）がある場合、簡単にデフォルトブラウザを変更できます。

好みのブラウザをダウンロードしてインストールしたら、デフォルトにするかどうか聞いてくるはずなので、それに従えばOKです。しかし、セットアップ中にそのチャンスを逃してしまった場合は、「設定」＞「アプリ」＞「既定のアプリ」と進み、リストの中からブラウザの名前を見つけてクリックします。ページ上部に「<ブラウザ名>を規定ブラウザにする」というバナーと「デフォルトに設定」ボタンが表示されれば完了です。

5. タスクバーを整理する

Windows 11のタスクバーは最悪で、マイクロソフトはおそらくあなたが興味のないアイコンや機能をいっぱい詰め込んできます。「設定」＞「個人用設定」＞「タスクバー」と進み、使わないタスクバーアイテムの選択を解除することで、目に優しく、スペースを取り戻すことができます。ウィジェットに別れを告げてください。

出典：5 Windows 11 settings worth changing immediately

【セキュリティ事件簿#2024-250】静岡県 一日体験入学参加申込みをした中学生氏名の流出について 2024/6/11

 

県立下田高等学校において、同校の「中学生一日体験入学」の参加申込みをGoogleフォームで行ったところ、設定ミスにより、一定の操作を行うと申込者136人の氏名を申込者が閲覧できる状態になっていた。なお、漏洩した情報は氏名・ふりがなのみであり、その他の入力情報は集計結果のみが閲覧可能となっており、氏名と紐付けされていない。

また、現在までSNS等への氏名の流出は確認されていない。

（概 要）

１ 閲覧可能期間

令和６年５月17日（金）～令和６年６月10日（月）

２ 閲覧できた内容

・申込者氏名・ふりがな

・中学校別人数の割合

・保護者の参加・不参加の割合

・理数科・普通科の申込み人数の割合

・理数科の理科・数学の体験授業希望の割合

※申込者氏名と他の情報（各種申込状況）とは紐づけされていない。

３ 閲覧が可能であった中学生の人数

136人（６月10日確認時点）

４ 問題の認知

６月10日（月）午後４時頃、申込者の中学校から電話連絡を受けた。

（原 因）

・フォームの設定時に、通常設定ではオフになっている「結果の概要を表示する」タブをオンにしてしまったこと。

（対 応）

１ 学校の対応

・６月10日（月）の中学校からの連絡後、すぐに「結果の概要を表示する」タブをオフにし、閲覧できない状態にした。

・中学校長あて謝罪文を通知する。

・閲覧が可能となっていた136人の中学生へ謝罪メールを送信する。

２ 当該校の再発防止策

・学校情報セキュリティ手順の再確認を行い、複数チェック体制を強化する。

・管理職によるコンプライアンス向上研修を実施する。

３ 県教委による再発防止策

・個人情報収集時の注意点について、全県立学校に周知する。

・当該校に対し県教委による情報セキュリティに関する臨時の監査及び研修を実施する。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-001】綜研化学株式会社 ランサムウェア被害の発生について 2024/6/14

当社は、2024 年 3 月 5 日（火）に「ランサムウェア被害の発生について（第三報）」を公表し、当社の子会社である綜研テクニックス㈱（以下「子会社」といいます。）に関する情報の一部が流出した旨をご報告いたしましたが、その後の調査により、さらに当社及び子会社に関する情報の一部が流出していることが確認されました。つきましては、現時点で判明している事実と今後の対応についてお知らせいたします。

お取引先様、関係先の皆様に多大なるご迷惑とご心配をお掛けしておりますことを、改めて深くお詫び申し上げます。

１．発覚の経緯と現状

2024 年 1 月 9 日（火）、当社サーバーに保存されていた各種ファイルが暗号化されていることが確認されたことから、直ちに調査した結果、当社サーバーがランサムウェアの被害を受けたことが判明いたしました。その後、子会社に関する情報の一部の流出が確認されましたことは、2024年 3 月 5 日（火）公表の「ランサムウェア被害の発生について（第三報）」においてご報告いたしましたとおりです。

これに加え、2024 年 5 月 10 日（金）、当社が依頼しております外部専門調査会社から、当社及び子会社に関する情報の一部が外部に流出していたことが判明した旨の連絡があり、当社においてもその事実を確認いたしました。これにつきまして、当社及び子会社は、速やかに個人情報保護委員会に対して報告するとともに、警察、弁護士、外部専門調査会社等と引き続き連携して対応しております。

2024 年 6 月 7 日（金）までの調査及び分析の結果、当社及び子会社から外部に流出した可能性のある情報は以下のとおりです。

また、現時点で、流出した情報の不正利用等の二次被害は確認されておりませんが、引き続き事態の把握に努めてまいります。

当社から流出した可能性のある情報

取引等に関する情報（約 6,505 社）

✓当社のお取引先様、関係先様に関する情報

会社名、取引製品情報、取引数量など

個人情報（約 16,241 名）

✓当社のお取引先様、関係先様に関する情報

氏名、会社名、所属部門・役職名、会社住所、業務用電話番号、業務用メールアドレスなど

✓当社の従業員（退職者を含む。）に関する情報

氏名、生年月日、住所、電話番号、基礎年金番号、保険者番号、家族構成など

子会社から流出した可能性のある情報

取引等に関する情報（約 955 社）

✓子会社のお取引先様、関係先様に関する情報

会社名、取引製品情報、取引数量など

個人情報（約 3,167 名）

✓子会社のお取引先様、関係先様に関する情報

氏名、会社名、所属部門・役職名、会社住所、業務用電話番号、業務用メールアドレスなど

✓子会社の従業員（退職者を含む。）に関する情報

氏名、生年月日、住所、電話番号、基礎年金番号、保険者番号、家族構成など

２．対応状況

当社といたしましては、二次被害の防止を最優先に考え、情報が流出した可能性のある方々に対して順次ご通知を差し上げております。当社ではご連絡先を確認できないこと等により、個別にご通知申し上げることが難しいお取引先様、関係先様及び関係者の皆様につきましては、本公表をもってご通知に代えさせていただきたいと存じます。

なお、今回ランサムウェアの被害を受けたサーバー、システム等は既に使用を中止しており、それらから完全に隔離された新たなネットワークに切り替えた上、セキュリティに万全の注意を払って運用しております。今回の被害を受けて一旦使用を中止した各種の社内システムにつきましても、新環境の下で段階的に復旧を進めており、製品の納入等のお取引が滞ることのないよう、引き続き鋭意対応してまいります。

本件による業績への影響につきましては現在精査中ですが、現時点で大きな影響はないものと考えております。

リリース文（アーカイブ）

【2024年1月10日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-249】名古屋大学医学部附属病 学生の不適切なSNS投稿及び個人情報の漏えいに関するお詫び 2024/6/14

 

名古屋大学大学院医学系研究科の学生が、令和2年3月、SNSに名古屋大学医学部附属病院の患者様2名の電子カルテ画面の写真を投稿し、当該写真には、患者様の個人情報（氏名、入院診療科名及び電子カルテ上の日時）が映っていることが判明いたしました。

こうした経緯から、本院としては、当該患者様及びご家族の皆様に、状況を説明し、お詫びいたしました。

また、当該患者様情報とは別に、個人は特定されないものの、手術画像等の写真を投稿した不適切な行為があったことも判明いたしました。

これらの投稿はすでに削除しており、これまでに本件情報が不正に使用された事実は確認されておりません。

本院では、これまでも個人情報の保護について配慮を行っておりますが、このような事態を発生させ、関係する皆様にご心配とご迷惑をおかけしましたことを、深くお詫び申し上げます。

このたびの事態を重く受け止め、学生への個人情報保護及び倫理教育を徹底し、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-248】ケンブリッジ大学出版 サイバーセキュリティ攻撃による当社システム障害について 2024/6/14

 

サイバーセキュリティ攻撃により、当社の出版業務の一部に影響を及ぼす社内システムに不具合が生じており、現在復旧に向けて迅速に対応しております。 予防措置として、メール及び社内システムの一部に利用制限がかかっております。皆さまにはご迷惑をおかけしておりますが、ご理解とご協力の程お願い申し上げます。

復旧に関しては、下記サイトにて適宜ご案内しております。

https://www.cambridge.org/news-and-insights/technical-incident

なお、試験運営及びCambridge Oneを含む学習プラットフォームは影響を受けておらず、通常通り稼働しておりますためご安心ください。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-247】東京都 受託者における個人情報の漏えいについて 2024/6/14

 

デジタルサービス局と委託契約を締結している株式会社博報堂プロダクツの再委託先である株式会社セレブリックスにおいて個人情報の漏えい事故が発生しましたので、お知らせします。

関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1　事故概要

高齢者向けスマートフォン体験会及び相談会の運営委託事業者（株式会社博報堂プロダクツ）の再委託先（株式会社セレブリックス）が、アシスタント及びアドバイザーとして採用したTOKYOスマホサポーター（以下「スマホサポーター」という。）等のうち75名分の個人情報について、下記期間の勤務調整用フォームに登録したスマホサポーター等が一定の操作を行うと、閲覧できる状態になっていた。これは当該事業者が開設したフォームの閲覧権限設定のミスによるものである。

（1）発生期間

5月24日（金曜日）20時47分から6月12日（水曜日）15時00分頃

（2）漏えいした個人情報

株式会社セレブリックスが採用したスマホサポーター等のうち、上記期間にフォームに登録した75名分の氏名及び60名分の最寄り駅

2　経緯

（1）5月24日（金曜日）

株式会社セレブリックスが採用したスマホサポーター等が、同社が開設した勤務調整用フォームにより、スマートフォン体験会及び相談会への勤務の可否等の登録を開始した。

（2）6月12日（水曜日）15時00分頃

上記フォームに登録したスマホサポーター（1名）から、株式会社セレブリックスへ、他のスマホサポーター等の個人情報が閲覧できる状態になっている旨の連絡があった。

同社の担当者が、個人情報を閲覧できないように権限設定を変更した。

（3）6月12日（水曜日）17時00分頃

上記スマホサポーターから、東京都が委託するスマホサポーター制度運営事務局（TOPPAN株式会社）へ同様の内容の連絡があった。

（4）6月13日（木曜日）11時00分頃

スマホサポーター制度運営事務局から都へ（3）の報告があり、事故が判明した。

3　発生原因

本来、勤務調整用フォームから登録された個人情報の閲覧権限は株式会社セレブリックスの担当者にのみ設定されるべきであったが、フォームに登録したすべてのスマホサポーター等に閲覧権限が誤って設定されていた。

4　事故発生後の対応

個人情報が漏えいした75名に都職員が電話で連絡し、経緯の説明と謝罪を行った。連絡のつかなかった方には、メールで経緯の説明と謝罪を行うとともに、継続して電話で連絡をしている。

現時点で、二次被害等の報告は受けていない。

5　再発防止策

株式会社博報堂プロダクツ及び株式会社セレブリックスに対し、厳重に注意を行いました。

今後、両社に対して、個人情報の取扱いに関する再点検の実施、業務遂行におけるダブルチェックの徹底、関係職員への教育指導を徹底し、再発防止を図ってまいります。

デジタルサービス局内において、委託業務に係る個人情報の適切な管理について、改めて注意喚起を行いました。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-246】株式会社BANDAI SPIRITS 「プレミアムバンダイ」会員情報の漏えいのおそれに関するお詫びとお知らせ 2024/6/11

 

当社が運営する「プレミアムバンダイ」に関する開発保守支援等の業務委託先（以下「委託先」といいます。）におきまして、お客様の個人情報が漏えいしたおそれのある事案が発生したことが判明いたしました。お客様には多大なるご心配とご迷惑をおかけしますこと、深くお詫び申し上げます。

なお、漏えいのおそれのあるお客様の個人情報にはログインパスワードやクレジットカード番号は含まれておらず、現時点において、個人情報の不正利用等の二次被害は確認されておりません。対象のお客様へは、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

当社では、今回の事態を厳粛に受け止め、委託先の監督強化を含む再発防止のための対策を講じてまいります。

お客様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告申し上げます。

1. 本件の概要及び原因

2019年11月27日、委託先において、同社従業員が私物の外付けハードディスク（以下「本件ハードディスク」といいます。）を業務に使用し、2023年12月末頃、データを削除せずに本件ハードディスクを廃棄しました。

2024年4月6日、本件ハードディスクを入手した方から委託先に対し、委託先の情報が含まれている旨の連絡を受けたため調査を行ったところ、本件ハードディスクには、お客様の情報が含まれていることが発覚しました。

2. 漏えいしたおそれのあるお客様の情報

１）2012年11月実施のキャンペーンに参加された一部のお客様情報

メールアドレス　233件

２）2013年11月18日に出荷したお客様情報

住所、氏名、電話番号　1,951件

3. 二次被害又はそのおそれの有無及びその内容

サーフェスウェブ及びダークウェブのモニタリングを実施しておりますが、個人情報が外部へ流出した事実は確認できず、データが外部へ漏えいした可能性は極めて低いと考えられます。現在まで、本件に起因する個人情報の不正利用等の二次被害は確認されておりません。

なお、本件につきましては、個人情報保護委員会への報告を実施済みであり、今後も必要に応じてこれらの関係機関と連携し対応を進めていく予定です。

4. 再発防止策

当社は今回の事態を重く受け止め、委託先に対する個人情報保護管理・情報管理・情報セキュリティ管理に関する安全管理措置の強化を指導するとともに、定期的な確認を行い、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-232】株式会社キューヘン 社内ネットワークの一部への不正アクセスについて 2024/6/13

 

現在、被害状況については、引き続き調査を行っていますが、不正アクセスがあった情報の中に、新たに約27万件の個人情報について漏えいするおそれがあることがわかりました。

このうち約25万件については、当社がこれまで給湯器販売等を行ってきた個人情報、また約2万件については過去に当社が九州電力殿から電化機器のPR業務で委託を受けていた個人情報です。

先にプレスリリースした約10万4千件と合わせて約37万4千件となります。

本件に関しては関係機関へ追加で報告しており、今後、当該お客さまにも個別でのご連絡および当社ホームページにてご案内をしてまいります。

お客さまや関係者の皆さまにはご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。

リリース文（アーカイブ）

【2024年6月3日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2023-038】株式会社フジクラ 不正アクセスの発生に対する個人情報保護法に基づくご報告 2024/6/12

 

2023年1月31日に株式会社フジクラ（以下「フジクラ」といいます。）のホームページ上で公表しております通り、2023 年 1 月 12 日に、フジクラのタイ国子会社のネットワークに第三者による不正アクセスがあったことを確認しました。

外部ベンダーの調査により、当該不正アクセスは2023年1月10日から同12日にかけて行われたものであり、タイ地区からの国際ネットワーク経由で日本におけるフジクラグループ各社※で利用しているサーバ等についても不正アクセスの痕跡があることが確認されました。

但し、当該サーバ等のデータについて、外部でのデータ流通や不正利用の事実は確認されておりません。

フジクラグループでは、今回の事案を受け、不正アクセスの痕跡のあるサーバ等（以下「対象サーバ等」といいます。）に含まれていた個人情報について調査を致しました。その結果、対象サーバ等に個人データが含まれていたことが判明した個人の方々については個別に通知を差し上げておりますが、古い連絡先情報しか保有していない等、通知を行うこと

が困難である個人の方もいらっしゃいましたので、個人情報保護法に従い、本書面にてご報告致します。

対象サーバ等に含まれていた個人情報は、所属ビジネスの連絡情報（氏名、電話番号、住所、メールアドレス、肩書など）が専らであり、個人用クレジットカード情報や決済サービスの利用情報、マイナンバーなどは確認されておりません。

従いまして、今回の事案による二次被害が生じるおそれはないと考えておりますが、万が一不審な連絡等がございましたら下記問い合わせ先にご連絡下さい。

なお、不正アクセス発覚後、追加攻撃防止のための各種のセキュリティ措置は実施済みです。

今回は関係する皆さまに多大なるご迷惑とご心配をおかけすることになったことを真摯に受け止めております。今回の件を踏まえ、フジクラグループでは改めて情報セキュリティの強化及び再発防止に全力で取り組んで参ります。

※該当するサーバ等の利用会社は次の通りです。

1. 株式会社フジクラ

2. フジクラ物流株式会社

3. 藤倉商事株式会社

4. 株式会社フジクラ・ダイヤケーブル

5. 株式会社フジクラプリントサーキット

6. フジクラ電装株式会社

7. 株式会社スズキ技研

8. オプトエナジー株式会社

9. 株式会社フジクラキューブ

10. 株式会社フジクラビジネスサポート

11. 株式会社フジクラファシリティーズ

12. 第一電子工業株式会社

13. 富士資材加工株式会社

リリース文（アーカイブ）

【2023年1月31日リリース分】

リリース文（アーカイブ）

関連：【セキュリティ事件簿#2023-038】LockBit 3.0ランサムウエアギャングは、“Fujikura.co.jp”をハッキングしたと主張

【セキュリティ事件簿#2024-217】横浜市 委託業者におけるコンピュータウイルス感染について 2024/6/11

 

軽自動車税種別割の納税通知書の印刷等業務を委託している事業者（株式会社イセトー横浜支店）から、サイバー攻撃により同社のサーバーがコンピュータウイルスに感染した結果、１件の個人情報が流出したおそれがあるとの報告がありました。

なお、現時点で第三者への流出は確認されていません。

１ 経緯

令和６年５月 26 日に事業者のサーバーが身代金要求型ウイルス・ランサムウェアによる被害を受けました。

令和６年６月６日に事業者から連絡があり、被害を受けたサーバー内に、本市が納税通知書の印刷等業務で利用する軽自動車税種別割の納税通知書（令和５年度分）の画像データ１名分が保存されており、軽自動車税種別割納税義務者の氏名及び課税区名、標識番号について、流出のおそれがあるとの報告がありました。

なお、本データは再印刷のため該当のサーバーに保存していたとのことですが、それ以外の委託データについては、被害を受けたサーバーには保存されていないと報告を受けています。

２ 本件への対応

該当する納税義務者の方には、本市から速やかに連絡し、必要な対応をとってまいります。

また、現時点では、第三者への流出は確認されていないとのことですが、引き続き事業者に対し、流出の有無の確認をするとともに、速やかな調査の実施、報告と適切な対応策を求めています。 

リリース文（アーカイブ）

【セキュリティ事件簿#2024-243】有料で住所教えるとSNS投稿し、個人情報のお漏らしを試みた警察共済組合の職員、タイーホされる

 

警察共済組合本部（東京都千代田区）で勤務していた際に得た個人情報を漏えいしたとして、千葉県警は2024年6月11日、地方公務員等共済組合法違反の疑いで、同組合千葉県支部の職員富川泰興容疑者（３１）＝同県船橋市海神＝を逮捕した。容疑を認め、「報酬をもらって、個人情報を教えた」と話している。

逮捕容疑は、同組合本部で勤務していた昨年６月ごろ、有料で他人の個人情報を教えるとTwitter（現X）に書き込み、年金関係業務で使用するシステムの端末で５人分の住所と生年月日を不正に入手。情報１件当たり数万円の報酬で依頼主に提供した疑い。

千葉県警によると、他県警からの情報提供により発覚した。２００人以上の情報が漏えいした可能性があるといい、裏付けを進めている。　

出典：警察共済組合職員を逮捕＝個人情報漏えい疑い―千葉県警

【セキュリティ事件簿#2024-240】株式会社デザインフィル ミドリカンパニー 「手紙の書き方」不正アクセスによる検索結果の改ざんに関するご報告 2024/6/4

 

弊社運営サイト「手紙の書き方」に第三者からの不正アクセスがあり、検索エンジンの検索結果が改ざんされ、意図しない第三者のサイトに誘導されていたことが6月4日（火）に判明いたしました。当社とは関係のない第三者のサイトに誘導される可能性およびフィッシング詐欺などの被害に遭われる可能性がありますのでご注意ください。　　　　　　　　　なお、当サイトでは個人情報の収集を行っておりませんので、流出の恐れはございません。

お客様にはご不便とご心配をおかけしましたことを深くお詫びいたします。

サイト名：

手紙の書き方 https://letter.midori-japan.co.jp/

改ざんされていた期間：

5月27日(火) 14:00 ～ 6月4日(火) 15:00

改ざんの内容と影響：

・第三者の不正アクセスがあり、検索エンジンの検索結果の改ざんにつながるファイルが設置された

・第三者のECサイトに誘導される検索画面が表示される

改ざん検知後の対応：　

改ざん検知後、直ちに改ざんされたファイルの削除とセキュリティ対策強化を講じ、同サイト内に改ざんがないことを確認いたしました。6月4日（火）15:00に検索エンジンに反映されたことを確認いたしました。

＜ご利用のお客様へのお願い＞

お使いの検索エンジンやブラウザによっては、復旧に時間がかかる場合があり、現在も第三者のECサイトに誘導される検索画面が表示される場合がございますので、十分にご注意いただきますようお願いいたします。

このたびの事態を厳粛に受け止め、対策・監視を更に強化し、再発防止に取り組んでまいります。今後とも、弊社サイトをご利用いただきますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-239】熊取町 個人情報の漏洩について 2024/6/3

 

１．概要

令和６年５月２９日（水）１８時１５分頃、熊取町立学校において、教員がパソコンで資料を作成中に、ネット上でイラストを検索し挿入しようとしたところ、画面が突然静止しメッセージが表示された。メッセージに従い電話し、指示通り操作をしたところ、修理代として３万円かかるので至急クレジットカードかコンビニで振り込むよう、片言の日本語で伝えられる。不審に思い、電話を切り１８時３８分にパソコンを強制的にシャットダウンする。再起動した際には、デスクトップ上にあった一部のデータが無くなっていることが判明した。

２．経過

5 月 29 日（水）

①事案発生後、校長から熊取町教育委員会への第一報を受け、指導主事が聞き取りを行う。

②デスクトップ上のいくつかのフォルダ（学級通信、他市で作成した文書）がなくなっていることを確認する。

③熊取町役場の情報政策課の指示により、二次被害を避けるため、全ての校務用パソコンのネットワークを遮断し、それぞれのパソコンのウイルスチェックを開始するとともに、システム契約業者にサーバーのウイルスチェックを依頼する。

④併せて、総務省、大阪府への緊急連絡

⑤事案発生時に立ち上がっていたパソコンのウイルスチェックを完了し、異常の無いことを確認する。

5 月 30 日（木）

①文科省、大阪府教育庁、大阪府警本部へ報告

②大阪府警本部、泉佐野警察署による事情聴取

③専門業者に被害状況について調査を依頼

5 月 31 日（金）

①他市教育委員会への情報提供

②教員から泉佐野警察署へ被害届提出

３．原因

個人情報を保存したファイルをインターネット環境にあるパソコンのデスクトップ上に保管していたこと、不審なメッセージに気付かず対応してしまったことによるもの。

４．対策

5 月 31 日、町内全小中学校の保護者宛に個人情報漏洩の旨の文書を配布するとともに、臨時校長会を開催し、個人情報の遵守の必要性とパソコン使用に対する危機管理の徹底を周知した。

５．見解

関係者の皆様に多大なるご迷惑とご心配をおかけしたことを深くお詫びいたしますとともに、個人情報の取扱いには十分に注意を払うよう注意喚起をし、再発防止に努めます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】徳島県 印刷業務委託先のランサムウェア被害について 2024/6/6

 

本県が納税通知書等作成業務を委託している事業者から、自社の一部サーバーやパソコンにランサムウェア被害が発生したため調査を行った。

個人情報を含むデータは、ランサムウェア被害が発生したネットワークに保存していないため、漏洩の被害は確認されていないと報告を受けておりました。

しかし、調査を進めたところ、同ネットワークに徳島県の個人情報を含む画像データを保存していたことが確認されたと報告がありました。

現在は、外部専門家の協力のもと調査を進めているとのことで、個人情報を含むデータ流出の有無を含め、状況を確認中です。

1．個人情報が流出した可能性がある画像データ

令和5年度自動車税種別割納税通知書96件（88名）

（データ項目:住所、氏名、自動車登録番号、自動車車台番号、年税額）

2．業務委託先

株式会社イセトー（本社:京都市中京区烏丸通御池上ル二条殿町552）

URL:https://www.iseto.co.jp/

3．経緯

・令和6年5月28日(火) 委託先から報告

5月26日（日）にランサムウェア被害を受けたが、ネットワーク分離により被害は確認されていない。

・令和6年6月6日(木) 委託先から報告

個人情報を含むデータ流出の恐れがある。

4．現時点での本県の対応

本県に関連した情報の流出の有無の確認、原因究明及び適切な対策を求めております。

本件に関して詳細が判明しましたら、改めてお知らせいたします。

リリース文（アーカイブ）

祝！フィジー・エアウェイズがワンワールドの正式メンバーに！！

ワンワールド・アライアンスは、フィジー・エアウェイズが 15 社目の正会員航空会社となることを発表しました。

フィジーと南太平洋のフラッグ・キャリアであるフィジー・エアウェイズは、過去 5 年間にわたりワンワールド・アライアンスのコネクト・パートナーとして高い評価を得てきました。この間、フィジー・エアウェイズはすべてのワンワールド・アライアンス加盟航空会社と強固な関係を築き、正会員へのスムーズな移行を実現してきました。移行プロセスは直ちに開始され、今後12ヶ月以内に完了する予定です。

ワンワールド・アライアンスの Nat Pieper CEO は次のように述べています： 「フィジー・エアウェイズをワンワールド・アライアンスの15番目の正会員航空会社として歓迎します。フィジー・エアウェイズは、5年前にワンワールド・アライアンスのコネクト・パートナーとして加盟して以来、非常に良好な関係を築いており、すでにワンワールド・アライアンスの一員です。フィジー・エアウェイズは驚異的な成長を遂げ、受賞歴のある製品とサービスを提供し、ワンワールド・アライアンス全加盟航空会社との乗り継ぎを加速させることで、国際的なグローバル・トラベラーにとって最高の航空アライアンスとしての地位を強化することでしょう。」

フィジー・エアウェイズのマネージング・ディレクター兼 CEO、Andre Viljoen は次のように述べています。「受賞歴のあるワンワールド・アライアンスへの正式加盟を発表できることを大変誇りに思います。正会員航空会社として、ワンワールド・アライアンスのフリークエント・フライヤーの皆様のご旅行体験を向上させ、フィジーおよび南太平洋へのアクセスをより便利にし、フィジー・エアウェイズのお客様にはアライアンス・ネットワーク全体でシームレスな乗り継ぎと思い出に残る旅をお約束できることを大変嬉しく思います。」

ナンディ国際空港をハブ空港とするフィジー・エアウェイズは、シドニー、香港、ロサンゼルス、東京のワンワールド・アライアンスのハブ空港を含む、世界 15 の国と地域の 26 都市に就航しています。フィジー・リンクは、フィジー・エアウェイズの完全子会社であり、ワンワールド・アライアンスの加盟航空会社となることで、スバ、ナンディ、ラバサ、タベウニ、カダブへの国内線や、トンガ、サモア、ツバル、バヌアツの太平洋島しょ国への地域便により、ワンワールド・アライアンスのネットワークをさらに拡大します。フィジー・エアウェイズは最近、2023年の年間利益と収益が過去最高を記録し、220万人の旅客を運び、280万席の座席を提供したと発表しました。フィジー・エアウェイズは、前例のない成長、キャパシティーの拡大、最新鋭のエアバス A350 型機による機材増強により、ワンワールド・アライアンスの正会員航空会社として拡大を続け、増大するお客様の需要にお応えするため、さらに多くのフライトと新路線を提供できる体制を整えています。

ワンワールド・アライアンスの正会員航空会社として、フィジー・エアウェイズはワンワールド・アライアンスのエメラルド、サファイア、ルビーのお客様に、マイルの獲得と交換、ステータスポイントの獲得、優先チェックインと優先搭乗、ラウンジのご利用など、ワンワールド・アライアンスの総合的な特典を提供いたします。同様に、フィジー・エアウェイズの最上級会員のお客様は、世界各地に約 700 ヶ所あるビジネスクラスおよびファーストクラスのラウンジネットワークや、アムステルダムのスキポール空港とソウルの仁川空港に新たにオープンしたワンワールド・アライアンス・ブランドのラウンジなど、ワンワールド・アライアンスのすべての優先特典をご利用いただけます。

1951年9月1日に運航を開始したフィジー・エアウェイズは現在、エアバスA350、エアバスA330、ボーイング737を含む21機の航空機を保有しています。2023年度スカイトラックス・アワードにおいて、フィジー・エアウェイズはベスト・エアライン、ベスト・エアライン・スタッフ、ベスト・エアライン・サービス（オーストラリア＆太平洋地域）部門を受賞し、グローバル・トップ100エアライン・ランキングで15位、グローバル・トップ20客室乗務員ランキングで12位、グローバル・トップ・クリーネスト・エアライン・ランキングで16位にランクインしました。

【The World's Top 100 Airlines in 2023　※ワンワールドメンバーのみ】

2位：Qatar Airways

5位：Japan Airlines

8位：Cathay Pacific Airways

14位：Iberia

15位：Fiji Airways

17位：Qantas Airways

18位：British Airways

24位：Finnair

47位：Malaysia Airlines

52位：Alaska Airlines

53位：Royal Air Maroc

82位：American Airlines

ランク外：Royal Jordanian

ランク外：SriLankan Airlines

2024年は、1999年にアメリカン航空、ブリティッシュ・エアウェイズ、キャセイパシフィック航空、カンタス航空によって設立されたワンワールド・アライアンスの25周年にあたります。今年末、オマーン航空は、アラスカ航空、アメリカン航空、ブリティッシュ・エアウェイズ、キャセイパシフィック航空、フィンランド航空、イベリア航空、日本航空、マレーシア航空、カンタス航空、カタール航空、ロイヤル・エア・モロッコ、ロイヤル・ヨルダン航空、スリランカ航空に続く14番目の加盟航空会社となります。

出典：FIJI JOINS ONEWORLD

【セキュリティ事件簿#2024-235】日経BP メール不正アクセスによる個人情報の漏えいについて 2024/6/7

 

２０２４年６月４日に、当社従業員のメールアカウントへの不正アクセスがあり、メール送受信先の一部の個人情報が漏えいしたことが判明いたしました。不正に参照された恐れがあるメールは１０８件、これに伴い流出した恐れのある社外の方々の個人情報（個人名、メールアドレス、住所、電話番号を含む）は３３件です。不正アクセスの発覚から速やかに当該アカウントへの接続を遮断し必要な対策を講じました。

当社としてはこの事態を重く受け止め、直ちに調査を開始し、個人情報保護委員会に報告しました。個人情報漏えいが疑われるメールアドレス先の皆様には個別にメールにてご連絡させていただいているところです。

お取引先など当社に関係する皆様にご迷惑とご心配をおかけしたことを深くお詫び申し上げます。引き続き、個人情報の安全を守るために最善を尽くして参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】茅ケ崎市 委託業者におけるコンピューターウイルス感染について 2024/6/7

 

投票所入場整理券の作成を委託している株式会社イセトーから、サイバー攻撃によりコンピューターウイルスに感染し、個人情報流出のおそれがある事案が発生したと報告がありました。

流出のおそれのあるデータ

令和５年４月執行の統一地方選挙における投票所入場整理券の宛名データ（住所・氏名） ４７件（現在調査中のため正確な数字は不明）

 ※現時点で、第三者への流出は確認されておりません。

経過

５月２６日 

株式会社イセトーが身代金要求型ウイルス・ランサムウェアの被害を受けました。

６月 ６日 

株式会社イセトーの社内調査の結果、個人情報を含むデータが流出したおそれがあることが分かり、選挙管理委員会事務局に報告がありました。

今後の対応

株式会社イセトーに対し、流出の有無の確認をするとともに、速やかな社内調査の実施、報告と適切な対策を求めています。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】藤沢市 業務の委託実績がある事業者のコンピューターウイルス感染について 2024/6/7

 

本市において選挙時の投票所入場整理券作成発送業務の委託実績がある株式会社イセトーのファイルサーバー等が、第三者からのサイバー攻撃によりコンピューターウイルスに感染し、ファイルサーバー等内の情報が流出した可能性があると、２０２４年（令和６年）６月６日に同社横浜支店から報告がありましたので、お知らせいたします。

本市の対応といたしましては、株式会社イセトーに対し、実態の把握、原因の究明及び適切な対応策を求めております。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-234】株式会社スーパープリント SuperPrintにご注文くださっているお客様へ 2024/5/18

 

以下の経緯と現状により、受注分の印刷完了と、印刷事業の継続が困難となりました。

多大なるご迷惑をおかけしていること、深く深くお詫び申し上げます。

すでにご入金いただいているお客様には、ご返金をさせていただきますので、

「ご注文日またはご入金日またはご注文番号」「振込済み金額」「ご返金先口座情報」を

superprint.japan@gmail.com　までメールお願いいたします。

15年間にわたりご愛顧いただき、誠にありがとうございました。

＜経緯＞

2月に発生しました印刷機材の大規模故障を発端とし、その後のバックオーダー増大により、韓国工場側とのコミュニケーションが機能不全に陥り、日本本社と韓国支社の間に互いの不信感と対立が生じてしまいました。

3月～4月は、名刺印刷の最多繁忙期となることも重なり、機材/システム/人的リソースのすべてがパンクし、4月末にはすべての受注を一時停止することとしました。

その後、突如、すべてのシステムから、日本本社側が閉め出されてしまいました。

（当社の生産システムやサーバーは物理的に、韓国支社で管轄しておりました）

superprint.jp　のウェブサイト、管理システム、メールへのアクセスができなくなり、本日、ドメイン権限だけ取り返すことができたため、臨時にサーバーを立てて、この画面を表示させております。

現在も、お客様情報やご注文情報から閉め出されており、直近一部の情報やメールのみ、確認ができた状態です。

生産システムと管理システムとメールを失い、長年のお客様からの信頼も失ってしまいました。

韓国支社との対話もできず、解決の見込みがないため、無念ではございますが事業継続を断念し、既入金分のご返金処理を5月中に完了させ、SuperPrintを閉鎖いたします。

3月から復旧を信じてお待ちいただいたお客様には、このような形となってしまい、全身全霊でお詫び申し上げます。

15年間のすべてのお客様に、全身全霊でお詫び申し上げるとともに、長年のご愛顧にあらためて、深く深く感謝申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-230】明治薬科大学 本学 M365 アカウントへの第三者による不正アクセス及びフィッシングメール送信について 2024/6/4

 

2024年5月28日、本学教員の Microsoft365(M365) アカウントが第三者による不正アクセスを受け、学内利用者及び一部取引先に対してフィッシングメールを送信する事案が発生しました。

関係する皆様に多大なご迷惑をおかけしましたことを心よりお詫び申し上げます。

現在の状況と今後の対応につきまして、次のとおりご報告いたします。

1.経緯

5 月某日に本学Ａ教員がフィッシングサイトでメールアドレスとパスワードを入力したことにより第三者に窃取され、5 月 25 日に海外からＭ365 へ最初のログインが行われました。第三者による次のログインは、事案が発生した 5 月 28 日午前 0 時頃で、A 教員を騙ったフィッシングメールが 5,675 件送信されました。同日早朝にフィッシングメールに気づいた本学利用者が状況をＡ教員に連絡し、A 教員が即時にパスワードを変更したことで不正アクセスは出来なくなりました。

また、同日午後には海外から本学 M365 利用者名によるログインを遮断しました。

しかしながら、A 教員を騙るメールであったため、約 30 名の学生がメールを信用し自身のメールアドレスとパスワードを入力してしまうというフィッシング被害に遭いました。

本学では被害の拡大を防止すべく、A 教員を騙ったフィッシングメールへの注意喚起を行うと同時に被害に遭った利用者に対しては本学システムのパスワードの変更及び学外サービスのパスワードの使い回しに対する注意喚起を行いました。

なお、現時点において、不正に得た情報が悪用されたという被害報告はございません。

2.被害状況

A 教員の Outlook 以外への操作ログは見つからず、実害は確認されていません。

送信されたメールアドレスの内訳は次の通りです。

本学学生：1,132 件、本学卒業生：1,173 件、本学教職員等：718 件、その他：165 件

3.再発防止策

学外からの M365 のアクセスにおいては多要素認証の導入を前学期中（8 月末まで）に実施することを計画し、また、日頃からフィッシングメールへの注意力を高めるため、標的型メール攻撃訓練も実施する計画を立てております。さらに、スマートフォン用のセキュリティソフトの全学導入を検討しております。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-229】株式会社ワークポート 当社が運営する「転職支援サイト」 への不正アクセスに関するお知らせとお詫び 2024/6/4

 日頃、ご愛顧賜りまして誠にありがとうございます。

この度、当社が運営する「転職支援サイト」（以下「本サービス」といいます。）におきまして、第三者による不正アクセスを受けました（以下「本件」といいます。）。

お客様をはじめご関係者の皆様には深くお詫びを申し上げますとともに、今般、本件の概要等につきまして、下記のとおりご報告いたします。

なお、当社は本件の発覚を受け、直ちに、不正アクセスにより本サービスに係る当社サーバ（以下「本件サーバ」といいます。）に設置されていた不正ファイルの削除、本サービス運営のための新環境の構築・新環境への移行などの対応を実施しており、現時点では本サービスの運営への影響はありませんことを併せてご報告いたします。

１.本件の概要等

2024年4月23日、当社のお客様の情報が海外のサイトに掲載されている可能性があるとの情報を把握し、調査したところ、同サイトの掲載内容に当社のお客様情報の一部と一致する情報が含まれていたことから、情報漏えい又はそのおそれがあることが判明いたしました。当社は、同日中に本件について外部委託業者に調査を依頼し、当該調査の結果、第三者が本件サーバに不正アクセスして不正ファイルを設置したうえ、本件サーバから情報を盗んだ可能性があることが判明しました。

当社は、冒頭において述べましたように、直ちに本件サーバに設置されていた不正ファイルの削除、本サービス運営のための新環境の構築・新環境への移行などの被害拡大防止策を講じておりますが、お客様への影響に鑑み、この度、ホームページでお知らせすることとしました。なお、本件による個人データの漏えい又はそのおそれがあるお客様には、本日より、お詫びとお知らせを個別に順次ご連絡申し上げます。

また、当社は、本件につきまして、警察及び個人情報保護委員会に報告しております。警察の今後の捜査等にも全面的に協力してまいります。

２.漏えいが発生した可能性がある個人データ等の項目

2019年1月1日から2024年4月19日までの間において、本サービスにおいて会員登録された一部のお客様 の氏名、生年月日、電話番号、メールアドレス、パスワードのハッシュ値（パスワード自体はその対象ではございません）、その他の会員登録時にご入力いただいた情報項目（在住都道府県コード、希望勤務地コード、希望職種名）

３.本件の原因

新たな攻撃につながる可能性があるため、詳細は差し控えさせていただきますが、攻撃者は本件サーバの脆弱性を利用し、不正アクセスしたものと考えられます。

４.二次被害又はそのおそれの有無及びその内容

現時点で本件に起因する個人情報の不正利用等の二次被害に関する報告は受けておりません 。

もっとも、不審な電話やメッセージ、電子メールにはご注意くださいますようお願い申し上げます。巧妙な詐欺やフィッシングの可能性も否定できないため、十分にご注意くださいますようお願い申し上げます。また、２.において前述したとおり、パスワード自体は本件において漏えいが発生した可能性のある項目ではございませんが、念のため、ご登録いただいた本サイトのパスワードの変更をご推奨申し上げます。ご登録いただいた本サイトのパスワードは以下のURL からご変更いただけます。

▷「eコンシェル」 をご利用のお客様

URL：https://econ.workport.co.jp/new/cn_index.php

▷「マイページ」 をご利用のお客様

URL：https://www.workport.co.jp/member/login.html

また、他社のサービスやサイト等において、当社サイトでご登録いただいた情報項目と共通のパスワードを使用しておられる場合は、該当するパスワードをご変更くださいますようお願い申し上げます。

５.再発防止策

当社では、従前よりサーバ・コンピュータへの不正アクセスを防止するための措置を講じるとともに情報の適切な管理に努めてまいりましたが、このたびの事態を厳粛に受け止め、外部の専門家と検討の上、既に種々の再発防止策を整備しており、今後も随時改善を図ってまいる所存でございます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-228】ビルコム株式会社 不正アクセスによる被害の原因および再発防止策について 2024/6/3

 

2024年5月31日に公表したとおり、このたび、当社が利用するクラウドストレージの一部で不正アクセスによる被害が発生いたしました。

当社は、対策本部を立ち上げ、被害の全容解明、原因究明および再発防止に総力を上げて取り組んでまいりました。調査の結果、判明した不正アクセスの原因及び再発防止策について下記の通りご報告いたします。なお、現時点で二次被害等は確認されておりません。

お客様ならびに関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、改めて心より深くお詫び申し上げるとともに、今回の事態を重く受け止め再発防止に努めてまいります。

■不正アクセスの原因について

当社および外部委託の開発会社とともに、不正アクセスの原因について調査を進めてまいりました。

その結果、悪意のある第三者が、当社が利用するクラウドストレージ（外部サービス）のアクセスキーを窃取し、静的データ（PDFや画像、テキスト、ログ等）を削除していることが判明いたしました。

なお、該当データ以外のデータやプログラムは削除されておりませんでした。

■再発防止策について

当社ではこれまで、外部からの攻撃を検知・防御するWebアプリケーションファイアウォール（WAF）の設置や、定期的な脆弱性診断（プログラムのリスク診断）などを通じてセキュリティ対策を実施してまいりましたが、今回の不正アクセスの被害を重く受けとめ、改めてセキュリティ対策の強化を検討・実行いたしました。

以下の通り、再発防止策をご報告いたします。

(1)本件不正アクセスについての対策

窃取されたアクセスキーについては、削除および設定の変更、セキュリティレベルの強化を実施しました。併せて、BCPの観点から、システム全体のバックアップも実施いたしました。

(2)本件不正アクセスについての事後・恒久対策

今後、セキュリティ専門会社による脆弱性診断と追跡調査を実施いたします。また、アクセスキーの高度な暗号化と自動変更機構の導入等の対策により、同様の被害の再発を防止いたします。

(3)当社システムのさらなるセキュリティ強化

開発環境と本番環境（お客様への提供環境）およびサービスごとのアクセス権限分離、開発時に利用するサービスのアカウント権限・運用ルールの見直し、アクセス可能なネットワーク・端末の制限見直しを実施してまいります。併せて、 当社および外部委託先従業員へのセキュリティ教育も実施いたします。

リリース文（アーカイブ）