ドレス通販サイトに不正アクセス - クレカやログイン情報流出の可能性（転載）

弊社が運営する「Tika」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 株式会社DRESS DESIGN WORKS 

ドレス通販サイトに不正アクセス - クレカやログイン情報流出の可能性

DRESS DESIGN WORKSは、ドレスなど衣料を扱う通信販売サイト「Tika」が不正アクセスを受け、顧客のログイン情報やクレジットカード情報が外部に流出した可能性があることを明らかにした。

同社によれば、第三者のなりすましによる不正アクセスにより、決済アプリケーションを改ざんされたもの。2020年2月24日から2021年4月20日にかけて顧客8306人がサイト上より入力したクレジットカード情報が外部に流出し、不正に利用された可能性がある。

対象となるクレジットカード情報は9656件。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。決済時に登録済みのクレジットカード情報を用いた場合は影響を受けないとしている。

また対象期間中に同サイトへログインした顧客のメールアドレス、パスワード、生年月日についても流出した可能性があるという。

4月21日にシステム会社から情報流出の可能性について指摘があり問題が発覚。同社では5月19日にクレジットカード決済を停止。外部事業者による調査を進めていた。

9月29日に調査を終えており、同社では10月22日に警察へ被害を申告。10月27日に個人情報保護委員会へ報告した。対象となる顧客に対しては、12月6日より報告と謝罪のメールを送付。身に覚えのない請求に注意するよう呼びかけている。

プレスリリース（アーカイブ）

「魚がし鮨お持ち帰り予約サイト」におけるお客様情報流出について

[PDF] 弊社が運営する「魚がし鮨お持ち帰り予約サイト」への不正アクセスによるお客様情報流出に関するお詫びとお知らせ 沓間水産株式会社

uogashizushi.co.jp/wp-content/upl…

「魚がし鮨お持ち帰り予約サイト」をご利用お客様へ 

2021 年 12 月 6 日 

沓間水産株式会社 

弊社が運営する「魚がし鮨お持ち帰り予約サイト」への不正アクセスによる お客様情報流出に関するお詫びとお知らせ 

このたび、弊社が運営する「魚がし鮨お持ち帰り予約サイト」の EC サイト（以下 「本件 EC サイト」といいます）におきまして、第三者による不正アクセスを受け、 お客様のクレジットカード情報漏洩対象者件数６５２件が流出した可能性があるこ とが判明いたしました。 

お客様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお 詫び申し上げます。 

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。 

お客様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、 下記の通りご報告いたします。なお、個人情報が漏洩した可能性のあるお客様には、 本日より、書状にてお詫びとお知らせを個別にご連絡申し上げております。 

１． 経緯 

2021 年 9 月 3 日、当該サイトの構築・運用委託先の東芝テック株式会社、株式会社 ジーアールから、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念 について連絡を受け、2021 年９月４日弊社が運営する「魚がし鮨お持ち帰り予約サ イト」でのカード決済を停止いたしました。 

同時に、第三者調査機関による調査も開始いたしました。2021 年 9 月 30 日、調査 機関による調査が完了し、2021 年 3 月 26 日～2021 年８月 19 日の期間に 「魚が し鮨お持ち帰り予約サイト」で購入されたお客様クレジットカード情報が漏洩した 可能性がございます。

以上の事実が確認できたため、本日の発表に至りました。 

２．情報の流出状況 

（１）原因 

情報が漏えいした原因は、本件 EC サイトのシステムの一部の脆弱性をついて第三 者の不正アクセスを受け、悪性ファイルが設置されたためです。 

（２）情報流出の可能性があるお客様 

2021 年 3 月 26 日から 2021 年 8 月 19 日の期間中に「魚がし鮨お持ち帰り予約サイ ト」においてクレジットカード決済をされたお客様。 

（３）流出した可能性のある情報

・カード名義人名 

・クレジットカード番号 

・有効期限 

・セキュリティコード 

３． お客様へのお願い 

既に弊社では、クレジットカード会社と連携し、流出した可能性のあるクレジット カードによる取引のモニタリングを継続して実施し、不正利用の防止に努めており ます。 

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明 細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が 一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレ ジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せて お願い申し上げます。 

なお、お客様がクレジットカードの差し替えをご希望される場合の、カード再発行 の手数料につきましてはお客様にご負担をお掛けしないようクレジット会社に依頼 しております。 

４．情報通知について 

本件につきましては、不確定な情報の公開は不要な混乱を招くおそれがあったこと から、クレジット会社等と協議の上、第三者調査会社の調査を受け、クレジット会 社その他関連機関との連携を確保した上で通知することに致しました。 

それにより、今回のご案内までお時間をいただきましたことを重ねてお詫び申し上 げます。 

５．再発防止について 

弊社はこのたびの事態を厳粛に受け止めており、調査結果を踏まえてシステムのセ キュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。 

本件ＥＣサイトは９月 6 日時点ですみやかに停止及びアクセス遮断を行うとともに、 有人での監視、不正アクセスへの防御対応、脆弱性の解析、対策を行っており、 その後の情報漏洩は確認されておりません。 

現在、EC サイトについても運用を停止しておりますが、再開する際は弊社ホームペ ージにてご案内いたします。 また、弊社は今回の不正アクセスにつきまして、個人情報保護委員会に 2021 年 9 月 7 日に報告しております。加えて、所轄警察である裾野警察署にも 2021 年 9 月 8 日 に届出済みであり、今後捜査にも全面的に協力してまいります。

骨盤ベルト通販サイトに不正アクセス - クレカ情報など流出した可能性（転載）

【限定】トコちゃんドットコムECサイトからのカード情報漏えい:

骨盤ベルト通販サイトに不正アクセス - クレカ情報など流出した可能性
 

骨盤ベルトの通信販売を手がける「トコちゃんドットコムECサイト」が不正アクセスを受け、顧客のアカウント情報やクレジットカード情報が流出し、一部が不正利用された可能性があることがわかった。

同サイトを運営するトコちゃんドットコムによれば、システムの脆弱性を突く不正アクセスにより、決済アプリケーションを改ざんされ、6月17日から7月2日にかけて同サイトを利用し、商品を購入した顧客情報507件を窃取された可能性があることが判明したもの。

ログインID、パスワードのほか、名義、番号、有効期限、セキュリティコードなどクレジットカード情報を窃取され、不正に利用された可能性があるという。

7月6日に不正なファイルを発見。「クロスサイトスクリプティング（XSS）」の記載を含む不審な注文が行われていたことなども確認したことから同日サイトを停止し、外部事業者による調査を行っていた。

調査は9月28日に完了。10月6日に警察へ申告し、翌7日に個人情報保護委員会へ報告した。同社では、対象となる顧客に対し11月15日より書面による報告と謝罪を行っている。たけy同社では、システムのセキュリティ対策および監視体制の強化を行ったうえで、サイトを再開する予定。

プレスリリース（バックアップ）

ー2021年11月15日追記ー

弊社が運営する「トコちゃんドットコムＥＣサイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ（バックアップ）

通販サイトへの不正アクセス、クレカ流出の調査結果が判明 - グラントマト（転載）

グラントマトオンラインショップからのカード情報漏えい（オムニEC）

通販サイトへの不正アクセス、クレカ流出の調査結果が判明 - グラントマト

福島県を中心に東北地方や関東北部で店舗を展開するグラントマトは、同社通信販売サイト「グラントマトオンラインショップ」のシステムが不正アクセスを受けた問題で、調査結果を明らかにした。

同サイトの運用で利用していたジーアールのECサービス「オムニECシステム」が不正アクセスを受けたもの。同システムを利用する他事業者において情報が流出した可能性があることが9月4日に判明。同社においても9月17日に事態を公表するとともに、東芝テックやジーアールと連携し、詳細について調査を進めていた。

判明当初、本誌の取材に対してオンラインストアの顧客情報約5000件やクレジットカード情報約250件を窃取された可能性があるとの見解を示していたが、外部事業者の実施した調査でクレジットカードに関しては、4月7日から8月19日にかけて利用された349件が流出した可能性があることが明らかになったという。

流出内容には、クレジットカードの名義、番号、有効期限、セキュリティコードなどが含まれる。11月15日の時点で不正利用の被害などは確認されていない。

ー2021年11月15日追記ー

不正アクセスによる個人情報流出の可能性に関する調査結果のご報告（バックアップ）

Trip.com、ホテル予約でPontaポイントが貯まるサービスを開始（転載）

Trip.com、ホテル予約でPontaポイントが貯まるサービスを開始:

Trip.comでは、2021年11月19日（金）より、ホテル予約でPontaポイントが貯まるサービスを開始した。

11月19日（金）以降、Trip.comで国内および海外のホテルを予約し、宿泊すると、宿泊料100円（税抜）につき1 Pontaポイント貯まる。予約時にPonta会員用のwebページを利用することでホテル宿泊の2ヵ月後にPontaポイントが加算される。

また、Trip.comの会員プログラム「Trip Coins」とPontaポイントをダブルで貯める事は可能だ。

専用予約サイト

群馬大が不正アクセスを受け、57万件の迷惑メールが送信される（転載）

迷惑メール　群馬大から57万件送信　不正アクセス原因　被害は未確認：東京新聞 TOKYO Web tokyo-np.co.jp/article/142728: 
tokyo-np.co.jp/article/142728

群馬大のメールサーバーが不正アクセスを受け、学外を含めて計約57万件という膨大な迷惑メールが送信されていたことが2021年11月13日、分かった。群大は発生した九月下旬から現在までに、被害や情報の流出は把握していないが、陳謝して再発防止策を講じた。県内の大学では、高崎経済大でも不正アクセスにより迷惑メールが大量に送信される事態が起きている。

群大によると、不正アクセスを受けたのは、協力研究員、同窓会や後援会などの関連団体と業務委託先の関係者らが利用するサーバー。学生や教職員が利用するシステムからは独立し、学生などに被害はない。

利用者一人分のアカウントが不正アクセスを受け、迷惑メールが9月21日〜24日に三回に分けて計約33万のアドレスに送信された。迷惑メールは大学関係者以外の外部にも送信されたという。

同24日、利用者から大量のエラーメールが返信されたとの報告があり、事態が発覚。迷惑メールには英文が含まれ、情報流出が懸念されるウェブサイトへ誘導するような記載があったという。事態を受け、群大はサーバーに学外からのアクセスを制限し、その後にサーバーを廃止した。

群大は「関係者の皆さまに大変なご迷惑を掛け、深くおわびします。極めて重大な問題と受け止め、このような事態が二度と起こらないよう一層の情報管理の徹底を図り、再発防止を講じる」と謝罪している。

県内の大学では、高経大でも6月、教員一人のメールアカウントとパスワードが不正利用され、約六千件の迷惑メールが送信された。現在までに被害や情報流出は把握していないという。

本当に「前例はない」のか ニップンが“決算延期”に陥った大規模攻撃の教訓（転載）～大切なのは基本的な対策（バックアップ、パッチ適用）を淡々と着実に実施すること～

本当に「前例はない」のか　ニップンが“決算延期”に陥った大規模攻撃の教訓：3～4年前を思い出す（1/2 ページ） - ITmedia ビジネスオンライン itmedia.co.jp/business/artic…: 

 itmedia.co.jp/business/artic…

先日、製粉大手のニップンが、サイバー攻撃を受けて発生したシステム障害の詳細を明らかにした。ニップン本体のファイルサーバの他、グループ企業も利用している財務会計システム、販売管理システムなどが被害に遭い、多数のファイルが暗号化され、起動できなくなった。オンラインバックアップも被害に遭い、サーバの早期復旧が困難となった結果、2021年4～6月期の決算報告書の提出を、約3カ月延期する事態に陥った。

公表された資料では、サイバー攻撃がどのような経路で行われたか、またファイルの暗号化はいわゆるランサムウェアによるものか、それとも何らかの手段で遠隔操作されたのかなど、詳しい手法は明らかにされていない。ただ、影響範囲の大きさからか、調査や対応支援に当たった外部専門家は「これほど広範囲に影響を及ぼす事案は例がなく」と表現している。

だが見方によっては、実際には前例はあったともいえるのではないだろうか。というのもこの数年、サイバー攻撃を受けてメールサーバが停止したり、工場やプラントの操業が停止に追い込まれたりと、自社やパートナー企業、顧客、ひいては社会に大きな影響を与えるセキュリティ事故はたびたび発生してきたからだ。

最近でいうと、ランサムウェアによる被害が典型例だろう。

セキュリティ関連のニュースに興味を持っている人ならば、ランサムウェアという言葉は、おそらく耳にしたことがあるだろう。昨年ごろから目立つのは、国内外の企業を対象に攻撃を仕掛け、社内に保存されていた個人情報や機密情報を盗み出し、「ネット上でこれらの情報を公開されたくなければ引き換えに金銭をよこせ」と要求するランサムウェアだ。

もう少しさかのぼってみよう。3～4年前に流行したのは、Windowsの脆弱（ぜいじゃく）性を突いて感染を広げる「WannaCry」と呼ばれるランサムウェアだ。感染すると周辺の端末やサーバのデータを暗号化し、システムが立ち上がらず、ファイルも見られないような状態にしてしまい、「もしファイルを元に戻してほしければ金銭をよこせ」と要求するものだ。

このときも、海外のさまざまな組織・企業はもちろん、日本企業も被害に遭った。被害を公表した中には、メールシステムに障害が生じて顧客とのコミュニケーションに支障が生じたり、生産に影響が出たりしたケースが含まれており、バックアップデータを基にシステムを復旧するのに多くの労力が費やされた。

その後もランサムウェアは継続的に、それもややターゲットを絞ってカスタマイズされて、企業を襲い続けている。2020年前半にもランサムウェアの被害に遭った日本企業が、数日間工場の操業を停止したケースが報じられた。海外では米石油パイプライン大手のColonial Pipelineがランサムウェアの被害に遭い、全てのパイプラインの操業を一時停止し、社会的な混乱を招いたケースが報じられている。

今回のニップンのサイバー攻撃は、ランサムウェアによるものとは明言されていないが、生じた影響という意味では過去にも似たようなケースは多々発生している。対象がメールか、工場を制御する生産制御システムか、あるいは財務会計・販売管理システムかの違いはあるが、本質的には「事業を動かすシステムが何らかの原因によって動かなくなり、甚大な影響が生じてしまった」ことに変わりはない。

一方で、DX（デジタルトランスフォーメーション）の進展や人手不足を補うためのシステム化により、事業のITへの依存度はますます高まっている。もしそれらが健全に運用ができなくなれば、問題は「個人情報が漏えいしてしまってご迷惑をおかけした」という話では済まない（それでも十分に大事だが）。もはや「仕事にならなく」なってしまうだろう。

つまりサイバー攻撃は、データの機密性や完全性だけでなく、事業の可用性に大きな影響を与える恐れのある経営問題として捉えなければならない。となると、IT部門任せではなく経営者の関与が不可欠だ。

ただ悩ましいのは、それ以外にも、企業を取り巻く脅威はさまざま存在することだ。ちょっと前に日本で猛威を振るった「Emotet」をはじめ、実在する組織や人物になりすましたメールを送ってユーザーをだますサイバー攻撃は、手を変え品を変えやってくる。

また、OSやWebブラウザなど汎用的なシステムだけでなく、セキュリティ機器や資産管理ツール、サプライチェーンのつながりを狙ったより高度な標的型攻撃も留意しなければいけない。その上、8月頭に報じられた、警視庁職員が26万人分の運転免許証データを削除した事件のように、内部関係者による犯行も考えられる。

あれもこれもとリスクが考えられる中、一体何から手を付ければいいか分からない、といった悩みが生じるのも無理はない。だが、答えはシンプルだ。

個々の事件に右往左往することなく、淡々と基本的な対策を実施し、かつ、対策が有名無実になっていないかを確認し続けていくことしかないだろう。もちろん予算は有限だから、まずは「自社にとって大事なもの」「絶対止まってはいけないもの」を見定めて、順に基本的な対策を取っていくしかない。この優先順位を決めるのも、やはり経営層の関与なしには進められない。

その次のステップは、自社が管理するIT資産を洗い出し、それらに存在する脆弱性の管理・修正を行うことだ。同時に「万が一」はあり得るという前提に立って、そのときどうシステムを復旧するかを考える次善の策も不可欠だ。

例えば、データ破壊というリスクに対してはバックアップ、それも重要なデータについてはオフラインでのバックアップを取得し、いざというときにきちんとリカバリーするための手順作成とリハーサルが重要となる。これらは常々、情報処理推進機構（IPA）が発表している「10大脅威」をはじめ、さまざまなレポートで対策として挙げられてきたことだ。

またマルウェア侵害や内部犯行に対しては、海外も含む拠点単位でのアクセス制御、必要以上の操作ができないようにする権限管理、なりすましを防ぐ強固な認証……といった事柄が重要になってくる。はやり言葉ではあるが、最近しばしば言われる「ゼロトラストセキュリティ」が提唱する事柄にも通じる部分がある。

どうしても「前例がない」といわれると、とても対策などありえない恐ろしい攻撃のように思われてしまうが、コンピュータシステムというものの本質が数十年変わっていない以上、よくよく見ていくと前例は必ずある。そうした過去の例から本質をつかみ、基本的な対策を実直にやっていくことが何よりも重要だろう。

近年、全国各地で「数十年に一度」といわれる深刻な災害発生の危険度が高まり、命を守る行動を取るよう呼びかけられることが少なくない。

その際役に立つのは、自分のいる場所がどのくらいリスクにさらされているかを示すハザードマップと最新の正確な情報。そして、備蓄や避難経路の確認といった普段からの備えだ。さらにもう一つ大事なのは、過去に起こった災害に人々がどう対処したかを知ることだろう。

前例のないように思える災害でも、似たような地形の別の場所で似た災害が起こっていたりする。過去の例を知っていざというときに備えることで、自分にとっては未知の災害でも対処し、かけがえのない人命や財産を守れるだろう。

同じことが、サイバー攻撃への備えにもいえるのではないだろうか。過去のインシデントや事故に学び、自社のリスクを知り、情報を収集し、いざというときに備えて対策や対応体制、手順を整えることで、被害を最小限に抑えてビジネスを継続することができるだろう。

ただ、自然災害にもさまざまな種類があるように、サイバー攻撃といってもいろいろな手法がある。しかもそれらが重なりつつ、半年～数年といったペースで主流の攻撃手法、注目される攻撃手法が入れ替わっていく。一方で、企業の持てる予算や人的リソースは有限だ。最新の情報に目を奪われてその対策にばかり注力していると、以前からあった攻撃手法に足をすくわれかねない。

「災害は忘れた頃にやってくる」といわれる。これだけ災害が多発すると、直前の災害の記憶によって過去の別の災害の教訓が上書きされ、風化してしまいがちだが、最新の情報は収集しつつもそれに過度におびえることなく、「自社にとって何がリスクか」を軸に冷静に向き合うことが重要ではないだろうか。

-2021/11/12追記-

2022 年 3 月期第 2 四半期報告書の提出期限延長に関する承認申請書提出のお知らせ（バックアップ）

同僚のメールや給与明細を盗み見 ２年間に約６５０回の不正アクセス 男性職員が戒告処分（転載）

同僚のメールや給与明細を盗み見　２年間に約６５０回の不正アクセス　男性職員が戒告処分【愛媛】 ｜ テレビ愛媛 nordot.app/83184968685749…: 
nordot.app/83184968685749…

２年間に愛媛県警のシステムに約６５０回に渡って不正アクセスし、同僚の個人情報を盗み見たとして、警察職員の男性が戒告処分を受けました。

１２日に書類送検されています。

戒告処分を受けたのは県警本部に所属する６０代の男性係長です。

愛媛県警監察官室によりますと、この職員は今年８月までの約２年間にわたり県警が管理するシステムに約６５０回に渡って不正アクセスし、同僚の電子メールや給与明細などを盗み見たということです。

不正アクセスには管理者や約９０人分の個人のアカウントを利用していました。

男性職員は以前に勤務していた情報管理課でアカウントを知ったと見られ、不正アクセス禁止法違反の疑いで１２日に書類送検されました。

この男性職員は「興味本位だった。大変申し訳ない」と話していて、１２日に依願退職しています。