お客様情報の一部が閲覧可能な状態にあったことへのお知らせとお詫び 2022年6月7日 ライフイズテック株式会社

ライフイズテック株式会社が、本事業の主催者の名古屋市から受託した事業「中学生起業家

育成事業」の申込情報（120 件分）が他の申込者から一時的に閲覧できる状態だったことが

判明しました。本件は原因を既に特定し、当該原因への対応、対象となる方へのお詫びとご

報告は完了しております。なお、決済情報やパスワードなどの重要情報は本件においては含

まれておりません。

事業運営者として、今回の事態を重く受け止め、再発防止策を徹底してまいります。お申込

み頂いたお客様をはじめ関係者の皆様に多大なるご迷惑、ご心配をおかけいたしましたこ

とを深くお詫び申し上げます。

本件の経緯等について下記のとおりご報告いたします。

1. 経緯 

2022 年 5 月 30 日より「中学生起業家育成事業」についての告知を開始いたしました。 参加を希望するお客様は当該事業の告知ページより、Google form で作成した「中学生 起業家育成事業」に関する応募フォームからお申込みを頂くこととなりました。 申込受付期間中の 2022 年 6 月 7 日、当該フォームより申込み頂いた方から弊社宛にご 報告（1 件）を頂き、申込情報の登録後に Google form ページ内の特定のリンクをクリ ックすると、他の申込者の情報（※後述の 3・4 参照）を閲覧できることが判明しまし た。確認したところ、その時点までにお申し込みいただいた方々の登録情報が確認でき る状態にありました。 

確認後、即時フォームを一時的にアクセス停止とし、Google form の設定を修正し、登 録情報が第三者からは閲覧できないように対応いたしました。その後、同じ問題が起き ないことを確認した上で、フォームを再度オープンいたしました。また、並行して原因 の究明・発生の経緯・対象範囲を確認しております。なお、現時点では今回の事態によ る被害の報告はございません。

2. 情報を閲覧できる可能性のあった方の数 

2022 年 5 月 30 日〜6 月 7 日までの間に「中学生起業家育成事業のプログラム」に参 加申込を行った最大 120 件 

※Google form にアクセス後、特定の操作をしない限り第三者に情報が表示されるこ とはありません。しかしながら発生した問題の性質を鑑みますと、対象範囲の特定が難 しいため、最大数 となる 120 件で記載しています。

3. 情報を閲覧される可能性のあった方の数 

2022 年 5 月 30 日〜6 月 7 日までの間に「中学生起業家育成事業のプログラム」に参加 申込を行った 120 件

4. 閲覧された可能性のある個人情報 

当該プログラムへの参加希望生徒の氏名、学校名、学年、性別、生年月日、電話番号、 保護者の氏名、電話番号、郵便番号、住所

5. 本件の原因について 

Google form の設定において、他の申込者の回答内容が閲覧できる設定にチェックを入 れてしまっていたことが直接の原因であると判明しております。 

フォームの項目内容については複数名で慎重に検討を行った一方で、公開作業は 1 名体 制で実施し、設定内容の確認は複数名で行わなかったことが今回の事態につながった一 因と考えています。

6. 今後の対応について 

第一に再発防止を徹底いたします。また、今回閲覧可能となっていた情報が悪用される 等の事態が発生した場合には、各種法令に従い、関係者と連携し、適切な措置を講じて まいります。

7. 再発防止策 

同様の事案が起きることがないよう、確認体制・フローの見直しを行います。また、本 件の原因と対策について社内で周知徹底を行うとともに、個人情報保護及び情報セキュ リティ教育の内容やナレッジの共有方法を見直します。 

この度はご迷惑とご心配をおかけして、大変申し訳ございません。関係者の皆様のご不 安の解消と今後の再発防止に努めてまいります。

プレスリリース（アーカイブ）

分散型暗号取引所のMaiarが、ハッカーに1億1300万ドル盗まれる / Decentralized Crypto Exchange Offline After Hacker Steals $113M

ハッカーが分散型暗号取引所の欠陥を発見し、それを悪用して推定1億1300万ドルを盗み出しました。

2022年6月5日、"お金の未来 "を自称する分散型取引所（DEX）であるMaiarと、その上で動いているElrondブロックチェーンの創設者兼CEOのMincuは、 "Maiar DEXでの一連の疑わしい活動を調査中 "とTwitterに書きました。その結果、その不審な行動はハッカーによるものであることが判明した。

2022年6月6日、Mincuは、この事件の詳細を記したTwitterのスレッドを公開しました。そのスレッドでMincuは、「バグが発見され、悪用された」と述べ、チームは現在、DEXの復旧に取り組んでおり、バグにパッチを当てたと述べています。Mincu氏によると、開発者はハッキングを発見した後すぐに取引所をオフラインにしたそうです。同取引所のウェブサイトでは現在、「定期」メンテナンス中とされている。

しかし、その時点でハッカーはすでにダメージを与えていた。Foudresと名乗るブロックチェーン研究者によると、ハッカーはElrondブロックチェーンのネイティブトークンである約165万EGLDを盗み、ハッキング時には約1億1300万ドルを手にしたという。ハッカーは3つのウォレットを使って取引所から資金を流出させ、80万EGLDを売却することができたため、Maiar取引所のEGLDの価格は76ドルから5ドルに急落したとFoudresは説明している。

Mincuは、ツイートで「ほとんどの搾取された資金は全額回収されたか、エルロンド財団によってカバーされることになった」と主張しています。これは資金が安全であることを意味し、すべての資金は再開時に全額利用できるようになる。Mincuは、取引所のスワップは、その価格が現在67.72ドルであるBinanceのEGLD価格と一致すれば再開されると述べた。

Maiarチームがどのように資金を回収できたのか、またどのようにハッキングが行われたのかは不明です。Mincuは1回だけでなく2回の「メインネット」アップグレードに言及しましたが、これは通常、新しいブロックチェーンのバージョンを展開することを意味します。2022年6月7日の朝、ステーキング・プロバイダーのエバーステイクは、ノードをElrondの新バージョンに更新したとツイートしました。

Elrondは2020年にローンチした新進気鋭のブロックチェーンで、独自の拡張性を売り物にしている。Maiarのような分散型取引所も同様に最近のイノベーションであり、Coinbaseのような集中型取引所と異なるのは、スマートコントラクトで稼働し、通常、ユーザー間の注文をマッチングする集中型オーダーブックは存在せず、代わりにアルゴリズムが価格を決定しユーザーが提供する流動性のプールを使用して取引を行っている点です。しかし、DEXのダウンタイムにつながった過去の事件が示すように、特定のセットアップには致命的な障害点があることもあります。

Maiarは、コメントを求める電子メールに応答していません。Mincuもまた、TwitterのDMで送られたコメントの要求に応じなかった。

Maiarへのハッキングは、暗号とWeb3の世界でのハッキングの無限のシリーズのように見えるの新たな事件です。ブロックチェーンのサイバーセキュリティ企業であるCertiKによると、5月上旬の時点で、ハッカーや詐欺師は16億ドルの暗号を盗んでいるとのことです。

[イベント] PagerDuty Summit（2022/6/7、15、21）

 

PagerDutyで最も重要な価値観の1つは「Championing the Customer」です。これは、私たちのビジネスや私たちのチームと関わる人々の生活を改善するためにできる限りのことをするという意味です。そこで、2年ぶりに開催するPagerDutyサミットの計画を立てるにあたり、今年はどのようなカンファレンスにしたいのか、日々の生活を向上させるために最も重要なことは何かについて、皆さんのご意見を伺う必要がありました。

アンケートの結果、そのメッセージは明確なものとなりました。過去のサミットの参加者からは、次のような要望が寄せられました。

1. キュレーションされたコネクション。インタラクティブなセッションを通じて、ユーザーと専門家のつながりを深めること。
   
   
2. テクニカルトレーニング。さまざまな体験を通じてスキルを深めること
   
   
3. 公平なオンラインアクセス。サミットのコンテンツへの無料オンデマンドアクセスの提供
   
   
4. 安全第一。お客様とチームの安全を確保するために

今年のプログラムは、皆さまの反応を見ながらデザインしています。サンフランシスコ、シドニー、ロンドン、いずれの会場でも、プログラムのあらゆる側面で「人」を中心としたアプローチをご覧いただくことができます。

キュレーションされたコネクション

Summit 2021のアンケート回答では、60%の方が「人とのつながり」が最も重要な要素であると回答しています。このような背景から、私たちは、参加者同士が直接学び合えるような没入型の学習環境を用意しました。

1日の始まりは全員で基調講演を聴くことから始まりますが、それ以外の対面式プログラムはすべてインタラクティブなものとなっています。PagerDutyのチームが司会を務め、PagerDutyの顧客がゲスト専門家として参加する、トピックベースの円卓会議に参加することができます。質問をテーブルに持ち込むだけでなく、同じような課題に直面し、同じソリューションを導入した経験のある仲間との新しいネットワークに直接アクセスすることができるようになります。トピックの選定も、皆様からよくいただくご質問をもとに行いました。

この少人数のプライベートセッションは、参加者が自分の苦労を正直に話し、可能な解決策をオープンに共有する機会でもあります。

テクニカルトレーニング

今年は、PagerDuty Universityによるワークショップとテクニカルトレーニングを拡大します。午後に各会場で開催される6つのコースでは、参加者だけの特別なセミナーを開催します。また、すべての参加者を対象に、各地域で3つの完全なオンライン認定コースを開催する予定です。つまり、直接参加でもオンライン参加でも、これらの認定コースに無料でアクセスできるのです！これは7500ドルの価値です。

公平なオンラインアクセス

短編コンテンツへのオンデマンドアクセスは、場所、時間帯、スケジュール、予算に関係なく、コミュニティの誰もが互いに学び合うことを可能にします。PagerDutyのビジョンである「公平な世界」を実現する一環として、今年もオンラインセッションカタログを制作し、いつでも、どこからでも、無料で閲覧できる50以上の新しいセッションを追加していく予定です。これは、皆様が重要な仕事を変革し、顧客との信頼を築くことができるよう、そのビジョンを実現するための私たちのコミットメントです。基調講演はライブストリーミングで配信され、すべてのコンテンツはサミット終了後30日間ご利用いただけます。

安全第一

皆さんと私たちのチームの安全が最も重要であり、80％の方が同意しています。私たちは、地域の推奨ガイドラインを継続的に監視し、すべての対面式出席者にワクチン接種の証明を要求しています。私たちは、社会との距離を縮め、移動の手間を最小限にするために、意図的にこのような地域別プログラムを企画しました。私たちはあなたに会いたいし、あなたにも私たちに安心して会ってもらいたいのです。

私たちは、自分たちが作り上げたこのプログラムを誇りに思っています。廊下での笑顔、テクニカルトレーナーとの「aha」な瞬間、そして皆さんと私たちの素晴らしいコミュニティとのつながりが生まれることを、私たちは楽しみにしています。チケットはオンラインでお求めください。

6月7日：サンフランシスコ 

6月15日：シドニー

6月21日：ロンドン

出典：PagerDuty Summit ‘22: A Summit Designed with YOU in Mind

「誠和ホームページ、誠和オンラインショップ、新時代農業塾」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年6月7日 株式会社誠和

このたび、弊社が運営する「誠和ホームページ、誠和オンラインショップ、新時代農業塾」におきまして、第三者による不正アクセスを受け、お客様の個人情報を含んだ取引情報（誠和ホームページ3,705件、誠和オンラインショップ5,819件、新時代農業塾9,657件、重複ご利用のお客様を除く総漏洩件数5,548件）と、クレジットカード情報（誠和オンラインショップ209件、新時代農業塾238件、重複ご利用のお客様を除く総漏洩件数423件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

個人情報が漏洩した可能性のあるお客様には、本日より、電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。なお、「誠和ホームページ、誠和オンラインショップ、新時代農業塾」以外の弊社サービス及び弊社グループ会社サービスについては、調査を行い、問題がないことを確認しております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

記

1.経緯

2021年12月8日、弊社が運営する「誠和ホームページ、誠和オンラインショップ、新時代農業塾」のサーバーに対してセキュリティ自己診断を実施したところ、悪意のあるソフトウェアを発見し該当ファイルの削除を行いました。当該時点で何らかの被害は確認できておりませんでしたが、悪意のあるソフトウェアが存在していた影響について社内調査を行うため、また、潜在的にセキュリティ事故が発生しているリスクを想定し、2021年12月17日に決済機能を持つ「誠和オンラインショップ、新時代農業塾」のサイトを閉鎖し、社内にて調査を行いましたが、不正アクセスの痕跡を見つけることができませんでした。

2022年2月1日、「誠和オンラインショップ」を2021年10月26日に利用した弊社社員よりカード会員情報の不正利用報告の情報を取得しました。

2022年2月7日、「誠和ホームページ」においてセキュリティリスクの高い「お問い合わせフォーム」のセキュリティ対策を実施しました。

2022年2月19日、過去に「誠和オンラインショップ」を利用した弊社社員からカード会員情報の不正利用報告を受けました。その後、他の弊社社員にも不正利用報告についてヒアリングすると、複数の不正利用報告が確認されたため、被害の認識を致しました。

2022年3月11日、第三者調査機関による調査を開始いたしました。2022年3月31日、調査機関による調査が完了し、弊社が運営する「誠和ホームページ、誠和オンラインショップ、新時代農業塾」におきまして、第三者による不正アクセスを受け、お客様の個人情報を含んだ2013年1月23日～2022年2月7日の取引情報（誠和ホームページ3,705件、誠和オンラインショップ5,819件、新時代農業塾9,657件、重複ご利用のお客様を除く総漏洩件数5,548件）と、2020年5月1日～2021年12月17日の期間中にご利用されたクレジットカード情報（誠和オンラインショップ209件、新時代農業塾238件、重複ご利用のお客様を除く総漏洩件数423件）が漏洩した可能性があることが判明いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「誠和ホームページ、誠和オンラインショップ、新時代農業塾」のシステムに対し第三者が不正にアクセスし、ファイルが改ざんされ、サーバー上のデータに留まらず、本来はサーバー上に残らないデータまでも書き出すような不正プログラムが実行されていたため。

(2)個人情報漏洩の可能性があるお客様

2013年1月23日～2022年2月7日の期間中に「誠和ホームページ、誠和オンラインショップ、新時代農業塾」において情報を登録されたお客様5,548名で、漏洩した可能性のある情報は以下のとおりです。

・氏名（配送先を含む）

・会社名（配送先を含む）

・住所（配送先を含む）

・メールアドレス

・パスワード

・電話番号（配送先を含む）

・FAX番号（配送先を含む）

・誕生日

・性別

(3)クレジットカード情報漏洩の可能性があるお客様

2020年5月1日～2021年12月17日の期間中に「誠和オンラインショップ、新時代農業塾」においてクレジットカード決済をされたお客様423名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(4)お客様へのご連絡

上記に該当する5,548名（クレジットカード情報の漏洩件数は、個人情報の漏洩件数と重複します。）のお客様については、別途、電子メールおよび書状にて個別にご連絡申し上げます。

3.お客様へのお願い

クレジットカード情報の漏洩について既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2021年12月8日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

「誠和ホームページ」についてはセキュリティ対策、監視体制を強化したうえで4月25日にリニューアルしております。「誠和オンラインショップ、新時代農業塾」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年2月22日に報告済みであり、また、所轄警察署にも同日に被害申告しており、今後捜査にも全面的に協力してまいります。

プレスリリース（アーカイブ）

「東京シャツ公式オーダーサイト」への不正アクセスによる 個人情報流出に関するお詫びとお知らせ 2022年6月7日 東京シャツ株式会社

このたび、弊社が運営する「東京シャツ公式オーダーサイト」（以下「本件サイト」といいます。）が第三者による不正アクセスを受け、本件サイトのご利用のお客様および弊社店舗のタブレットでオーダーシャツをご注文いただいたお客様のクレジットカード情報等の個人情報（最大で2,341件、2,218名）が流出した可能性があることが判明いたしましたので、概要を、下記の通りご報告いたします。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。なお、クレジットカード情報等の個人情報が流出した可能性のあるお客様には、本日より、書状または電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

お客様におかれましては、クレジットカードのご利用明細に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。なお、弊社が別途運営する「東京シャツ公式通販サイト」（https：//shop.e-shirt.jp/shop/default.aspx）は、本件サイトと完全に分離されており、クレジットカード情報等の個人情報の流出懸念は確認されておりません。

記

1.経緯

2022年3月1日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、同日から弊社が運営する本件サイトでのカード決済および本件サイトの公開を停止しております。また、当該クレジットカード会社からの連絡を受けてから間もなく、第三者調査会社による調査も開始いたしました。2022年4月21日、当該調査会社による調査が完了し、2019年4月2日から2022年3月8日の期間に本件サイトで購入されたお客様のクレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。加えて、お客様のクレジットカード情報以外の個人情報についても、その流出の可能性があることを確認いたしました。以上の事実が確認できたため、本日の発表に至りました。

2.個人情報流出状況

(1)原因

弊社が運営する本件サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、Webアプリケーションの改ざんが行われたため。

(2)個人情報流出の可能性があるお客様

①本件サイトにおいてクレジットカード情報を入力し決済されたお客様について（決済ボタンを押したものの何らかの理由で決済が完了しなかったお客様を含みます）

2019年4月2日から2022年3月8日の期間中に本件サイトにおいてクレジットカード情報を入力し決済ボタンを押されたお客様（1,114件、991名）であり、これらのお客様について流出した可能性のある情報は以下のとおりです。

・クレジットカード名義人名

・クレジットカード番号

・クレジットカードの有効期限

・クレジットカードのセキュリティコード

・IPアドレス

・氏名

・性別

・住所

・電話番号

・メールアドレス

②本件サイトにおいて会員登録をされたものの、クレジットカード決済をされていないお客様について

2019年4月2日から2019年5月26日の期間中に本件サイトにおいて会員登録をされたものの、クレジットカード決済をされていない（すなわち、決済ボタンを押していないが、会員登録のみ行った）お客様は33名であり、これらのお客様について流出した可能性のある情報は以下の通りです。

・氏名

・性別

・住所

・電話番号

・メールアドレス

③弊社の店舗においてタブレットにてオーダーシャツをご注文いただいたお客様について

弊社は、2021年10月1日以降、弊社の店舗においてタブレットにてオーダーシャツをご注文いただいたお客様の個人情報を本件サイト内のサーバーに保存していたため、同日から2022年3月8日の期間中に弊社の店舗においてタブレットにてオーダーシャツをご注文いただいたお客様1,194名に関する以下の個人情報が流出した可能性があります。

・氏名

・生年月日

・性別

・住所

・電話番号

・メールアドレス

上記①、②および③に該当するお客様については、別途、書状又は電子メールにて　個別にご連絡申し上げます。お客様の住所またはメールアドレスの変更等により、弊社からお客様にご連絡できない場合も考えられるため、弊社運営サイトで公表させて頂きました。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、クレジットカード情報が流出した可能性のあるクレジットカードによる取引のモニタリングを実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料等につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。また、今回の件につき、弊社から個々のお客様にクレジットカードに関する情報（カード番号、カード会員名、有効期限等）をお聞きすることは一切ございません。

4.公表に至るまでの経緯

個人情報の流出の疑いを認識した時点でお客様にご連絡し、注意を喚起することとともにお詫び申し上げることも検討いたしましたが、クレジットカード会社とも連携、協議した結果、無用な混乱を避ける観点から、対外公表は第三者調査会社の調査結果を待ってから行うことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策および本件サイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。改修後の本件サイトの再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年3月17日に第一報を報告済みであり、その後逐次報告しております。また、所轄警察署にも2022年5月27日に状況を報告しており、今後捜査にも全面的に協力してまいります。

6.東京シャツ公式通販サイトについて

弊社が別途運営する東京シャツ公式通販サイト（https：//shop.e-shirt.jp/shop/default.aspx）のシステム環境は本件サイトと完全に分離されており、公式通販サイトにおいて本件サイトで確認された脆弱性は認められず、公式通販サイトにおいてはクレジットカード情報等の個人情報の流出懸念は確認されておりません。

プレスリリース（アーカイブ）

【スイーツパラダイス オンラインショップ】不正アクセスによる個人情報漏えいの可能性のあるお客様へのお詫びとお知らせ 2022年6月7日 井上商事株式会社

このたび、弊社が運営する「スイーツパラダイス　オンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（7,645件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

記

1.経緯

2021年12月7日、弊社サイトを利用した一部のお客様から、クレジットカード情報の漏洩懸念について連絡を受けました。2021年12月8日、一部のクレジットカード会社からも、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日弊社が運営する「スイーツパラダイス　オンラインショップ」でのクレジットカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2022年2月28日、調査機関による調査が完了し、2021年8月28日～2021年12月8日の期間に「スイーツパラダイス　オンラインショップ」で購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社ではクレジットカード情報を保有しておりませんでしたが、弊社が運営する「スイーツパラダイス　オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年8月28日～2021年12月8日の期間中に「スイーツパラダイス　オンラインショップ」においてクレジットカード決済をされたお客様7,409名で、漏洩した可能性のある情報は以下のとおりです。

・クレジットカード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当する7,409名のお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2021年12月7日、2021年12月8日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「スイーツパラダイス　オンラインショップ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年5月2日に報告済みであり、また、所轄警察署にも2022年4月18日被害申告しており、今後捜査にも全面的に協力してまいります。

プレスリリース（アーカイブ）

弊クラブ社員を装った不審メール(なりすましメール)に関するお詫びと注意喚起について 2022年6月7日 浦和レッドダイヤモンズ株式会社

このたび、弊クラブ社員を名乗る不審メールが複数の関係先へ発信されていることを確認し、調査いたしましたところ、新たに社内のパソコン1台がマルウェアに感染していることが判明しました。

既報の通り5月24日にも同様の事案が発生しており、弊クラブ内におきましても感染確認ツールを用いた全業務用パソコンの調査など、再発防止に向けた情報セキュリティ対策を強化しておりましたが、再び関係先のみなさまに多大なご迷惑とご心配をおかけすることとなりましたことを深くお詫び申しあげます。

なお弊クラブ社員を装った不審なメールを受信された場合は、添付されたファイルやメール文中に記載のURLは開かずに、そのまま削除していただきますようお願いいたします。

​

弊クラブでは、改正個人情報保護法に則り個人情報保護委員会への報告を行いますと共に、本事案の発生を重く受け止め、情報セキュリティ対策をより一層強化してまいります。

プレスリリース（アーカイブ）

SaaSセキュリティ報告書から得られる7つの知見 / 7 Key Findings from the 2022 SaaS Security Survey Report ～SaaSの設定ミスはセキュリティインシデントに直結～

「2022年SaaSセキュリティ調査報告書」では、CSAと共同で、企業のCISOやセキュリティ担当者の目から見たSaaSセキュリティの状況を調査しています。このレポートでは、340人のCSA会員から匿名の回答を集め、SaaSセキュリティにおけるリスクの高まりだけでなく、さまざまな組織が現在どのようにセキュリティ対策に取り組んでいるのかを検証しています。

人口統計

回答者の大多数（71％）は米州におり、さらに17％はアジア、13％はEMEAにいた。これらの参加者のうち、49%は意思決定プロセスに影響を与え、39%はプロセスそのものを実行しています。この調査では、通信（25％）、金融（22％）、政府（9％）など、さまざまな業種の組織を調査しています。

この調査から得られるものはたくさんありますが、ここではそのうちの上位7つをご紹介します。

1: SaaSの設定ミスがセキュリティインシデントにつながる

2019年以降、SaaSの設定ミスは組織にとって最大の懸念事項となっており、少なくとも43%の組織がSaaSの設定ミスに起因する1つ以上のセキュリティインシデントに対処したと報告しています。しかし、他の多くの組織は、セキュリティインシデントを経験したかどうか分からないと述べているため、SaaSの誤設定に関連するインシデントの数は63%にも上る可能性があります。IaaSの設定ミスが原因のセキュリティインシデントが17%であることと比較すると、この数字は際立っています。

2：SaaS設定ミスの主な原因は、可視性の欠如と、アクセスできる部署の多さ

では、こうしたSaaSの設定ミスの原因は一体何なのでしょうか。いくつかの要因が考えられますが、アンケートの回答者は、SaaSのセキュリティ設定にアクセスできる部署が多すぎること（35%）、SaaSのセキュリティ設定の変更に対する可視性の欠如（34%）という2つの主要原因に絞り込んでいます。この2つは関連する問題ですが、SaaSアプリケーションを採用する際に可視性の欠如が最大の懸念事項として評価されていることや、平均的に組織がセキュリティ設定にアクセスできる部署を複数抱えていることを考えると、どちらも驚くべきことではありません。可視性の欠如の主な理由の1つは、セキュリティ設定にアクセスできる部門が多すぎること、そしてこれらの部門の多くが適切なトレーニングを受けず、セキュリティに集中していないことです。

3: SaaSアプリケーションへの投資は、セキュリティツールやスタッフへの投資を超える。

企業がより多くのアプリを導入していることはよく知られています。この1年間だけでも、81%の回答者がビジネスに不可欠なSaaSアプリケーションへの投資を増やしたと回答しています。その一方で、SaaSセキュリティのためのセキュリティツール（73%）やスタッフ（55%）への投資は低くなっています。この不協和音は、既存のセキュリティ・チームがSaaSのセキュリティを監視するための負担が増大していることを表しています。

4: SaaS設定ミスを手動でやることは、ほぼ無謀

SaaS のセキュリティを手動で監視している組織の 46% は、チェックを月に 1 回以下しか行っておらず、5% はチェックをまったく行っていない。設定ミスを発見した後、セキュリティチームがそれを解決するためにはさらに時間がかかる。約4社に1社は、手動で設定ミスを修正する場合、その解決に1週間以上かかっています。このように時間がかかると、組織は脆弱なままになってしまいます。

5: SSPMの活用は効果的

SSPM（SaaS Security Posture Management / SaaSアプリケーションの設定不備によるインシデント(不正アクセス、機密情報流出、etc)を予防するためのソリューション） を導入した組織は、SaaS の設定ミスをより迅速かつ正確に検出し、修正することができる。これらの組織の大部分（78%）は、SSPM を活用して週に 1 回以上、SaaS のセキュリティ設定をチェックしています。設定ミスの解決に関しては、SSPMを利用している組織の81%が1日から1週間以内に解決しています。

6: サードパーティアプリへのアクセスは最大の懸念事項

サードパーティアプリは、ノーコードまたはローコードプラットフォームとも呼ばれ、生産性を高め、ハイブリッドワークを可能にし、企業のワークプロセスを構築し拡張する上で全体的に不可欠なものです。しかし、多くのユーザーは、サードパーティアプリがどのような権限を要求しているかを考慮せずに、サードパーティアプリをすぐに接続してしまいます。サードパーティアプリに付与された権限やアクセスは、無害なものである場合もあれば、実行ファイルのように悪質なものである場合もあります。SaaSからSaaSへのサプライチェーンを可視化することなく、従業員は組織のビジネスクリティカルなアプリに接続するため、セキュリティチームは多くの潜在的な脅威を見過ごすことになります。SaaSアプリケーションの導入が進む中、企業が最も懸念することの1つは、可視性の欠如、特にコアSaaSスタックへのサードパーティ製アプリケーションのアクセスに関するものです。

7: SSPMの計画と実行

このカテゴリーは2年前に市場に導入されたにもかかわらず、急速に成熟している。4つのクラウド・セキュリティ・ソリューションを評価したところ、SSPMは平均して「やや馴染みがある」という評価を受けています。さらに、回答者の62％が、すでにSSPMを使用しているか、今後24カ月以内に導入する予定であると報告しています。

まとめ

「2022年SaaSセキュリティ調査報告書」は、企業がSaaSアプリケーションをどのように利用し、どのように保護しているかについての洞察を提供するものです。企業がより多くのビジネスクリティカルなSaaSアプリケーションを採用し続けることで、より多くのリスクが存在することは間違いありません。この課題に正面から取り組むために、企業は2つのベストプラクティスを通じてセキュリティ確保を開始する必要があります。

• 1つ目は、セキュリティチームが、サードパーティ製アプリへのアクセスやユーザー権限など、すべてのSaaSアプリのセキュリティ設定を完全に可視化できるようにすることです。これにより、各部門は、不適切な変更によって組織が脆弱になるリスクを冒すことなく、アクセスを維持することができます。
  
  
• 次に、企業は SSPM などの自動化ツールを活用して、SaaS セキュリティの設定ミスを継続的に監視し、迅速に修正する必要があります。これらの自動化されたツールにより、セキュリティ・チームはほぼリアルタイムで問題を認識し修正することができ、組織が脆弱なまま放置される全体の時間を短縮したり、問題の発生を完全に防止したりすることができます。

いずれも、セキュリティチームをサポートしつつ、各部門の業務継続を妨げないようにするための変更です。

出典：7 Key Findings from the 2022 SaaS Security Survey Report