経産省「サイバーセキュリティ体制構築・人材確保の手引き」第2.0版公開

経済産業省は、「サイバーセキュリティ体制構築・人材確保の手引き」をリニューアルし、第2.0版として公開した。

同省では独立行政法人情報処理推進機構（IPA）とともに、「サイバーセキュリティ経営ガイドライン」を策定しているが、同手引きは「サイバーセキュリティ経営ガイドライン」の付録として、リスク管理体制の構築と人材の確保について具体的な検討を行う際のポイントを解説している。

今回公開した第2.0版では、2021年4月に公開した第1.1版をもとに、読みやすさを重視しポイントをしぼって検討手順を明確化、企業におけるデジタル活用が進展する中での「プラス・セキュリティ」の必要性の高まりを踏まえ、一部内容の更新・拡充を行っている。

同省では経営者・経営層向けに経営層が担うべき役割と内容に関するポイントを挙げたPDF3ページの概要版と、PDF42ページから成る本体の2種類を公開している。

「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）本体（バックアップ）

「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）概要版（バックアップ）

パスワード管理ツールのリスクは？ / What About Password Manager Risks?

すべてのユーザーがパスワード管理ツールを使用して、完全にランダムなパスワードを作成し使用することを推奨しています。完全にランダムな12文字以上のパスワードは、既知のすべてのパスワード推測およびクラッキング攻撃に対して不死身です。人間が作成したパスワードは、20文字以上でなければ同じ保護は得られません。人間は、非常に長い（時には複雑な）パスワードを作成または使用することを好まないので、我々は代わりに信頼できるパスワードマネージャのプログラムを使用することをお勧めします。

よくある質問は、パスワード管理ツールはお金を払ってまで使う価値があるのか、というものです。

その答えは「イエス」だと考えています。パスワード管理ツールを使うことで人が得るリスクの増加は、すべてのメリットによって相殺され、デメリットからリスクを減少させ、徹底的に相殺されると考えています。

パスワード管理ツールを使用するリスクとメリットを見てみましょう。それらは次のようにまとめることができます。

デメリット

• パスワード管理ツールを入手し、インストールする必要がある
• パスワード管理ツールの使用方法を習得する必要がある
• パスワード管理ツールを使用すると、パスワードの作成または入力に時間がかかる場合がある（ただし、必ずしもそうとは限りません）。
• 攻撃される可能性がある
• パスワード管理ツールは、すべてのプログラムまたはデバイスで動作するわけではない
• パスワード管理ツールにアクセスできない場合（破損、ログイン権限の喪失など）、ユーザはそこに含まれるすべてのログイン情報へのアクセスを一度に失うことになる
• 攻撃者がパスワード管理ツールを侵害した場合、攻撃者はユーザーのすべてのパスワード（および所属するサイト）に一度にアクセスし、取得できる可能性がある

メリット

• 完全にランダムなパスワードを作成し、使用することができます。
• サイトやサービスごとに異なるパスワードを簡単に作成し、使用することができます。
• パスワードフィッシングの防止に使用できる
• MFAソリューションのシミュレーションに使用できるため、ユーザーは個別のMFAプログラムやトークンを必要としない
• デバイス間でパスワードを共有できるため、ユーザが必要な場所にパスワードを置くことができます。
• パスワードのバックアップをより簡単に、より安全に行うことができます。
• すべてのパスワードは、パスワードマネージャへのMFAログイン要件によって保護される場合があります。
• ユーザが気づかなかったパスワードの漏洩を警告することができる
• 異なるサイトやサービス間で使用されている同一のパスワードについて警告することができます。
• 元のユーザーが一時的または恒久的に能力を失った場合、または使用できない場合、必要なときに信頼できる人と共有することができます。

誰かのパスワード管理ツールが漏洩し、その漏洩から、保存されているすべてのサイトやサービスに対するユーザーのすべてのパスワードが一度に非常に速く盗まれるというのは、非常に現実的なリスクです。これは、パスワード管理ツールを使用している管理者またはユーザーが検討する必要がある巨大なリスクです。

リスク評価

このリスクに対しては、次のように考えます。まず、ユーザーのパスワード管理プログラムを侵害するためには、ほとんどの場合、攻撃者はパスワード管理プログラムを実行しているユーザーのデバイスにアクセスし、開いた状態でアクセスするか、すべてのパスワードを簡単に盗むことができるようにその設定を操作する必要があります。もし、攻撃者がユーザーのデバイスにアクセスできたら、もうほとんどゲームオーバーです。ハッカー（またはマルウェア・プログラム）は、ユーザーがパスワードを入力または使用する際に単純にキーロギングするなど、他のさまざまな方法を用いてパスワードの一部または全部を取得することができます。

また、パスワード管理ツールのソフトウェアの脆弱性を悪用しようとする攻撃もありますが、ベンダーが既知の欠陥に迅速にパッチを適用し、ユーザーがそのパッチを迅速に適用する限り（ほとんどのパスワード管理ツールのプログラムは自動更新）、それは一瞬の、より小さな問題に過ぎません。ユーザーのパスワードは、パスワード管理ツールベンダーのクラウドネットワークに保存されることもあり、危険にさらされると、攻撃者はそこに保存されているすべてのパスワードにアクセスすることができます。これもリスクだが、ほとんどのパスワード管理ツールベンダーは、顧客の「パスワード保管庫」を自社のネットワーク内の安全性の高い場所に保管しようとしている。

※製品のバグで勝手にパスワードが消去されてしまう事例は経験があるため、必ずゴミ箱昨日のあるパスワード管理ツールを選ぶようにしています。

ですから、攻撃者がユーザーのデバイスにアクセスし、パスワード管理ツールにアクセスし、すべてのパスワードを盗むというのが主なリスクとなります。これは現実的なリスクです。実際に起きたという話も聞きますが、今のところ、それほどポピュラーな攻撃ではありません。将来、パスワード管理ツールが広まって誰もが使うようになれば、一般的な攻撃になるかもしれません。しかし、たとえそれが一般的な攻撃であったとしても、攻撃者やそのマルウェアがユーザーのデスクトップにアクセスできるようになった時点で、ほぼゲームオーバーになると私は考えています。彼らは何でもできるのです。パスワード管理ツールを攻撃してパスワードを盗むというのは、大きな問題のひとつに過ぎないのです。

誰もがパスワード管理ツールを使うべき理由

この大きなリスクにもかかわらず、誰もが自分のパスワードにパスワードマネージャーを使うべきだと思います。なぜなら、パスワードのリスクは、ユーザーが利用しているサイトやサービスから盗まれたパスワードと、推測されてハッキングされる弱いパスワードによるものだからです。米国国立標準技術研究所（NIST）や他のパスワードの権威によると、パスワードの最大のリスクは、関連性のないウェブサイトやサービスでのパスワードの再利用と、ユーザーがハッカーに予測される「パスワードパターン」を作成できることだそうです。

平均的なユーザーは、170を超えるサイトやサービスで使用するパスワードを4～7個持っていると言われています。これらのパスワードは、本来使用されるべきでない場所で、同じパスワードが使用されていることになります。問題は、ハッカーがあなたのウェブサイトの1つに侵入してパスワードを入手すると、他のサイトやサービスでもそれを使用できるようになるということです。1つ、または数個の侵害は、すぐにさらなる侵害の束につながるのです。これは、ソーシャルエンジニアリングに次ぐ、大きなリスクと考えられています。パスワード管理ツールは、このリスクを取り除くことができます。

パスワード管理ツールは、サイトやサービスごとに異なる、まったく関連性のないパスワードをより簡単に作成し、使用できるようにします。パスワード・マネージャーを使用すると、使用されているパスワードさえもわからなくなる可能性があります。これは、パスワードの最大のリスクの一つを取り除くものであり、これだけでもパスワードマネージャーは使用されるべきものです。しかし、それだけではありません。

パスワードマネージャーは、完全にランダムなパスワードを作成します。12文字以上の完璧にランダムなパスワードは、既知の方法では推測もハッシュクラックも不可能です。そして、その完全にランダムで安全なパスワードは、ウェブサイトやサービスごとに異なるものにすることができます。

ソーシャルエンジニアリングが最大のリスク

あらゆるパスワードの最大のリスクは、ユーザーがソーシャルエンジニアリングによってパスワードを盗まれることです。ソーシャルエンジニアリングによるパスワードの盗難は、成功したパスワード攻撃の約半分に関与しています。ほとんどのパスワード管理ツールでは、ツール内からサイトやサービスにログインすることができ、真の正規のサイトやサービスにのみユーザーを誘導します。これにより、最も一般的なパスワードソーシャルエンジニアリング攻撃を防ぐことができます。攻撃者は、不正なURLリンクを含むソーシャルエンジニアリングメールを送信し、偽の偽サイトに正規の認証情報を開示させようとするものです。

パスワード管理ツールの利点は、最大のパスワード攻撃（ソーシャル・エンジニアリング、推測/クラッキング、再利用など）を軽減することです。パスワードの専門家なら誰でも、この3種類のパスワード攻撃がパスワードのリスクの大部分を占めていると言うでしょう。そのため、誰もがパスワードマネージャーを使うべきであり、少なくとも単一障害点による大きなリスクと比較検討する必要があります。

パスワード管理ツールに信頼を寄せるか、あるいはユーザー自身に信頼を寄せるかは、あなた自身にかかっています。可能であれば、まずフィッシングに強い多要素認証(MFA)に移行してもらうようにしましょう。しかし、サイトやサービスがフィッシング防止MFAに対応しない場合は、パスワード管理ツールの使用を検討してください。パスワード管理ツールは、より多くのパスワード専門家によって日々推奨されるようになってきています。

出典：What About Password Manager Risks?

弊社ネットワークへの社外からの不正アクセスについて 2022年6月29日 株式会社オフィスバスターズ

平素より格別のご高配を賜り、厚く御礼を申し上げます。

また、弊社とお取引頂いているお客様、関係者の皆様には多大なご迷惑とご心配おかけしますことを深くお詫び申し上げます。

この度、弊社社員を装った迷惑メールに関するお問い合わせを頂き、社内調査を行ってまいりました。その結果、弊社ネットワークに対して社外から不正なアクセスを受け、社内の一部の情報が漏洩した可能性があることが判明しましたことをご連絡いたします。

当社では引き続き、お取引先様との信頼保全、自社情報漏洩対策や従業員への情報共有・社内研修の実施等、徹底を講じていきます。これまでの弊社の取り組みと、お客様へのご協力のお願いについて、以下にてご連絡申し上げます。お取引先の皆さまにはご迷惑をお掛けいたしますが、ご理解ご協力の程宜しくお願い致します。

1.概要

(ア)　2022年6月に入り、弊社社員を装った迷惑メールに関するお問い合わせを複数頂く。

(イ)　社内にて調査の結果、弊社ネットワークに社外から不正なアクセスを受けたことが判明。

(ウ)　また、弊社サイトにて過去に弊社社員とメールのやり取りがあったお客様の情報の一部が流出した可能性があることが判明。対象の情報は、お客様のお名前、メールアドレス、電話番号、住所、ご注文内容等。

2.セキュリティに関する弊社の取り組み

(ア)　社内パソコンへのEMOCHECKのバージョンアップ・検疫実施

(イ)　ウィルス対策ソフトの入替。

(ウ)　全社員に対してメール取り扱いに関する注意喚起、セキュリティに関する教育・研修

(エ)　今後、個人情報保護委員会にも報告を行う予定。

(オ)　外部の専門業者に相談、今後の更なるセキュリティ対策について協議・検討中

3.弊社・弊社社員を装った迷惑メールを受信したお客様へのお願い

(ア)　送信者のメールアドレスが、弊社アドレスになっているか(@マーク以下がofficebusters.comとなっているか)、過去にやりとりしたアドレス・名刺記載のアドレスと相違ないかをご確認ください。送信者名が弊社社員となっていても、送信者メールアドレスが異なっている場合は、弊社から送信されたメールではありません。

(イ)　メールに記載されているURLリンク、添付されているファイルは確認が取れるまで一切開かないでください。

(ウ)　不明点等ございましたら、以下お問合せ窓口までご連絡ください。

プレスリリース（アーカイブ）

ランサムウェアギャングが発表した被害組織リスト（2022年6月版）BY DARKTRACER

 

Dark Tracerによると、2022年6月は日本企業3社(4ドメイン)がランサムウェアの被害にあっている模様。

株式会社アペックス（apex-tokyo.co.jp）

TBカワシマ株式会社（tb-kawashima.co.jp）

プレスリリース（アーカイブ）

株式会社 後藤回漕店（kaisoten.co.jp）

多数の被害企業を生んだメタップスペイメント、ずさんな脆弱性管理により、行政処分を受ける。

経済産業省は、2022年6月30日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント（法人番号9011101027550）に対し、同法第35条の17の規定に基づく改善命令を発出しました。

1．事業者の概要

(1)名称：株式会社メタップスペイメント（以下「同社」という。）

(2)代表者：代表取締役 和田　洋一

(3)所在地：東京都港区港南二丁目16番1号　品川イーストワンタワー7階

(4)事業内容：決済代行業等

2．処分内容

割賦販売法（昭和36年法律第159号。以下「法」という。）第35条の17に基づく改善命令

法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。

1. 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売業者及びクレジットカード等購入あっせん役務提供事業者（以下「加盟店」という。）に対して提供するクレジットカード番号等による決済を可能とするサービスに係るシステム（以下「クレジットカード決済システム」という。）のうち、同社が保有するシステム（以下「自社システム」という。）について、クレジットカード番号等の漏えい事故の発生を防止するため必要かつ適切な措置として、クレジットカードのデータセキュリティに関する国際的な基準（以下「PCIDSS」という。）を適切に維持し、これを継続的に運用すること、及び、令和3年10月から令和4年1月までの間に発生したクレジットカード番号等の漏えい事故と類似の事故の再発を防止するため、第三者機関の検証を踏まえた再発防止策を速やかに策定し、実施すること。
   
   
2. 同社のクレジットカード決済システムのうち、PCIDSS準拠を含むクレジットカード番号等の漏えい事故の発生を防止するため必要かつ適切な措置を講じていないものを確認し、当該措置を講じていなかった原因究明の結果を踏まえ、適切にPCIDSSを準拠及び維持し、これを継続的に運用することを含むクレジットカード番号等の漏えい事故の発生を防止するため必要かつ適切な措置を速やかに講じること。
   
   
3. 経営陣主導の下、システム及びセキュリティ対策に係る内部統制の強化を図り、同社のクレジットカード決済システムにおけるクレジットカード番号等の漏えい、滅失、毀損その他のクレジットカード番号等の管理に係る事故の発生を防止するため必要かつ適切な措置を講ずること。
   
   
4. PCIDSS監査に際し、監査機関に提出する報告書の改ざん等の不適正な業務の遂行を排除するため、クレジットカード番号等取扱業者としての健全な組織風土を醸成するとともに、内部監査機能の強化や業務の属人化の解消等の抜本的な業務運営体制の再構築を行い、第三者機関による業務運営の適正性の検証及び必要に応じた改善を行うこと。
   
   
5. 今般のクレジットカード番号等の漏えい事故の発生原因等を踏まえ、経営責任の所在を明確化するとともに、クレジットカード番号等の適切な管理に必要な経営体制の見直しを行うこと。

3．処分理由

同社に対して行った法第40条の規定に基づく報告徴収命令に対する同社からの報告等から、以下の法第35条の16第１項に基づくクレジットカード番号等の適切な管理に違反している事実が確認された。

1. 同社は、加盟店に対して、顧客がクレジットカード決済により当該加盟店から購入した商品の代金又は提供を受けた役務の対価に係る立替金の交付を立替払取次業者から受け、当該加盟店に交付している。また、同社は、加盟店において顧客が決済に用いたクレジットカード番号等を立替払取次業者に提供している。したがって、同社は法第35条の16第1項第4号及び第７号に規定する事業者に該当する。
   
   
2. 同社のクレジットカード決済システム内のアプリケーションの脆弱性を起因とし、第三者による、自社システム内のクレジットカード番号を閲覧するための管理画面への不正ログインのほか、SQLインジェクション攻撃及びバックドアの設置を実施されたことにより、令和3年10月から令和4年1月の間、当該クレジットカード決済システム内のデータベースに保存していた暗号化されたクレジットカード番号（マスキングされたクレジットカード番号を含む。）、有効期限、セキュリティコード及びこれらを復号化するための復号鍵が窃取され、また、クレジットカード番号が不正に閲覧されることにより、クレジットカード番号等が漏えいした。漏えいの対象となったクレジットカード番号等が保存されていたデータベースのテーブルは2つあり、それぞれ460,395件、2,415,750件の暗号化されたクレジットカード番号等が保存されていた。
   
   
3. 同社は、平成30年6月、同社とコンビニ決済に係る契約を締結していた加盟店にサービスを提供するために開発、運用していたアプリケーション（以下「加盟店向けアプリ」という。）を委託先事業者のシステムから同社のクレジットカード決済システム内に移設している。当該加盟店向けアプリの移設に関しては、代表取締役に稟議が通されており、組織決定されたものではあるが、社内のシステム関係部署及び職員に当該事実について的確に情報共有されていなかった。このため、当該加盟店向けアプリ移設以降に受けたPCIDSS監査において、同社からPCIDSS監査機関に対し、クレジットカード決済システム内に当該加盟店向けアプリが移設された事実を伝えておらず、当該加盟店向けアプリは当該監査の対象とはされなかった。
   
   また、同社は、平成30年から令和3年の間に実施したPCIDSSで求められているWEBアプリケーション（自社システムの管理画面を含む。）の脆弱性診断を診断ツールを用いて自社で実施し、「High」「Medium」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性診断の報告書ではこれらの脆弱性をなかったものに改ざんし、平成30年から同社が法第35条の16第1項第4号及び第7号に規定する事業者に該当することとなった令和3年のPCIDSS監査に際し、改ざんした報告書を監査機関に提示又は提出していた。
   
   さらに、同社は令和2年7月から令和3年10月の間に実施したPCIDSSで求められている自社システムのサーバーを対象としたネットワーク脆弱性スキャンをスキャンツールを用いて委託先で実施し、「High」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性スキャンの報告書では、「High」レベルのうちシグネチャ未更新に関する脆弱性をなかったものに改ざんし、令和2年及び同社が法第35条の16第1項第4号及び第7号に規定する事業者に該当することとなった令和3年のPCIDSS監査に際し、改ざんした報告書を監査機関に提出していた。
   
   なお、WEBアプリケーション脆弱性診断の報告書の改ざんについては、担当職員から情報セキュリティ管理担当役員に報告がなされており、ネットワーク脆弱性スキャンの報告書の改ざんに関しては、情報セキュリティ管理担当役員が改ざん前及び改ざん後の報告書の承認をしていた。しかしながら、これらの役員から他の経営陣に対して、これらの脆弱性が検出された事実及びPCIDSS監査に当たって提出する報告書が改ざんされた事実の報告は行われていなかった。
   
   また、社内の内部監査機能が働くこともなく、当該役員以外の経営陣はこれらについて認識せず、今般のクレジットカード番号等の漏えい事故に係る第三者による原因究明の結果、初めて事実を把握したものである。
   
   このため、同社はクレジットカード決済システムが適確にPCIDSSを準拠するための措置を講じていなかった。なお、今般のクレジットカード番号等の漏えい事故は、当該加盟店向けアプリの脆弱性を原因としたSQLインジェクション攻撃及びバックドア設置が一因となっている。
   
   加えて、クレジットカード決済システムにおける不正アクセスの検知や防御対策の不備があったほか、データベースが適切に分離されていない、自社のシステムのアプリケーションやネットワークの脆弱性診断を適切に実施せず、また検出された脆弱性に適切に対応しないなど基本的なセキュリティ対策が実施されておらず、クレジットカード番号等が十分に保護されるよう適切に管理されていなかった。
   
   このため、同社は法第35条の16第1項に規定する割賦販売法施行規則（昭和36年通商産業省令第95号。以下「省令」という。）第132条第第1号及び第4号に定める基準に従ったクレジットカード番号等の適切な管理のために必要な措置を講じていたとは認められない。
   
   
4. また、同社は、クレジットカード決済システムのうち、少なくとも「会費ペイ」に係るシステムについては、令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについては、PCIDSSに準拠していない。このため、同社は法第35条の16第1項に規定する省令第132条第1号に定める基準に従ったクレジットカード番号等の適切な管理のために必要な措置を講じていたとは認められない。
   
   
5. 同社の自社システムにおいては、システム担当部署で、クレジットカード決済システムの運用に関する状況について関係役職員に的確な情報共有がされず、システム運用に係る業務の遂行状況の記録がされていない状況、及び同社のクレジットカード決済システムの運用監視において、発生したアラートの全件を確認しない状況が継続していた。また、令和3年10月に加盟店向けアプリの管理画面にSQLインジェクション攻撃があったことを認知したが、速やかにフォレンジック調査等の原因究明を実施しなかった。
   
   このため、同社は、法第35条の16第1項に規定する省令第132条第1号及び第2号に定める基準に従ったクレジットカード番号等の適切な管理のために必要な措置を講じていたとは認められない。

プレスリリース（アーカイブ）

「人形工房ひととえオンラインショップ」への不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ 2022年6月30日 株式会社松永

このたび、弊社が運営する「人形工房ひととえオンラインショップ」（https://www.hina-ningyou.co.jp/。以下「本件サイト」といいます。）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等（684件）及び個人情報（最大10,450件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報等及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2021年9月3日、一部のクレジットカード会社から、本件サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2021年9月6日本件サイトでのカード決済を停止いたしました。

また、第三者調査機関による調査も開始いたしました。2022年2月18日、調査機関による調査が完了し、2021年2月3日～2021年8月15日の期間に本件サイトで購入されたお客様のクレジットカード情報等が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、また、2022年1月20日までに本件サイトにおいて会員登録、商品の購入又はカタログ請求をされたお客様の個人情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2. クレジットカード情報等及び個人情報漏洩状況

(1) 原因

弊社ではクレジットカード情報を保有しておりませんでしたが、本件サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2) クレジットカード情報等漏洩の可能性があるお客様

2021年2月3日～2021年8月15日の期間中に本件サイトにおいてクレジットカード決済をされたお客様680名で、漏洩した可能性のある情報は以下のとおりです。

• カード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード
• 人形工房ひととえオンラインショップ　ログインID（メールアドレス）
• 人形工房ひととえオンラインショップ　パスワード
• 電話番号
• IPアドレス

(3) 個人情報漏洩の可能性があるお客様

①2022年1月20日までに本件サイトにおいて会員登録をされたお客様1,875名で、漏洩した可能性のある情報は以下のとおりです。

• 氏名
• 住所
• メールアドレス
• 電話番号
• 人形工房ひととえオンラインショップ　パスワード
• 人形工房ひととえオンラインショップ　会員ID（弊社が付与した番号）
• 会社名（※）
• FAX番号（※）
• 性別（※）
• 職業（※）
• 生年月日（※）

（※）会員登録時に当該情報を入力されたお客様のみが対象です。

②2022年1月20日までに本件サイトにおいて商品の購入又はカタログ請求をされたお客様最大3,507名で、漏洩した可能性のある情報は以下のとおりです。

• 氏名
• 住所
• メールアドレス
• 電話番号
• FAX番号（※）
• お届け先情報（商品を購入されたお客様のみが対象です。）
• お子様の氏名・生年月日（商品を購入されたお客様のみが対象です。）

（※）商品購入時又はカタログ請求時に当該情報を入力されたお客様のみが対象です。

上記（2）（3）に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

3. お客様へのお願い

(1) クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記2.(2)の対象となるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2) ログインID・パスワード変更のお願い

2022年1月20日までに本件サイトにおいて会員登録をされたお客様におかれましては、たいへんお手数ですが、本件サイト内のマイページより、現在使用されている本件サイトのログインパスワードを変更していただきますようお願い申し上げます。なお、パスワードをお忘れの場合は、マイページのログイン画面より「ログイン情報をお忘れですか？」を選択の上、パスワードの再発行をお願いいたします。

また、他のサイトで本件サイトと同一の値のログインID・パスワードを使用されている場合には、念のため、当該他のサイトにおいてもログインID・パスワード変更のお手続をいただきますよう、併せてお願い申し上げます。

(3) 不審なメール及び電話への注意喚起

身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4. 公表が遅れた経緯について

2021年9月3日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5. 再発防止策ならびにクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

本件サイトにおけるクレジットカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年4月28日に報告済みであり、また、所轄警察署にも2022年4月12日被害申告しており、今後捜査にも全面的に協力してまいります。

プレスリリース（アーカイブ）

コンピュータウイルス感染事案有識者会議調査報告書（徳島県つるぎ町立半田病院）

 

令和3年10月31日の未明、つるぎ町立半田病院がサイバー攻撃を受け、電子カルテをはじめとする院内システムがランサムウェアと呼ばれる身代金要求型コンピュータウイルスに感染し、カルテが閲覧できなくなるなどの大きな被害が生じました。令和4年1月4日の通常診療再開までの間、患者さんをはじめ関係者の皆さまには多大なご迷惑とご心配をおかけいたしましたこと、改めて深くお詫び申し上げます。

事件発生後、当院の職員は一丸となって早期復旧を目指しました。全容解明や情報漏えい有無の特定よりも、まずは病院としての機能を一日も早く取り戻すために、患者さんのデータをいかに復元させるか、端末を利用できる状況にどのように戻すかに焦点を当てインシデント対応を行っていきました。幸いにして、調査復旧を請け負った事業者の作業、電子カルテ業者の仮システムの構築、そして、電子カルテより必要に応じて抽出していたデータなどを利用し、令和4年1月4日に通常診療を再開することが出来ました。

事件発生後、全国の病院や事業所が当院のようなサイバー攻撃を受けないためにも、詳細な状況を公表することが責任であると考え、できうる限りの情報を公開してきました。その結果、あらゆるマスコミや業界誌等からの取材依頼があり、逆に様々な情報提供もありました。この状況は今現在も続いており、今後も積極的な情報開示に努めてまいります。

なぜ、当院がコンピュータウイルスに感染したかについては、今も警察当局においての捜査が続けられています。また、個人情報の漏えいも確認はされておりません。病院としては、有識者会議を設置いたしました。委員には、大学教授などの専門家にご就任いただき、会議の開催と現地調査を経て、当院に対するサイバー攻撃に関し、客観的にその原因分析や被害状況の実態把握、再発防止策など病院運営に関する重要事項について審議いただき、調査報告書としてその提言をまとめていただきました。また、「報告書（技術編）」や「情報システムにおけるセキュリティ・コントロール・ガイドライン」も併記し、サイバーセキュリティに関して知識が不十分である病院関係者が業者と交渉する際の指標となるものを盛り込んでいただきました。これらすべては、当院ホームページよりダウンロードできるようにいたします。有識者の方々からは、電子カルテシステムは閉域網で使用するものではなく、外部とつながって使用される状況であり、また、インターネットと接続させることでシステムをアップデートできることから、より強固なセキュリティの構築に取り組まなければいけないことを教えていただきました。この報告書には、我々の対応不足な点もたくさん指摘されていますが、広く日本の電子カルテシステムにおける問題も提起されています。本来なら、今後当院が電子カルテシステムをどのようにするのかの具体的な対策も提示して、皆様にご報告するべきだったと思いますが、まずはこれらを世に出して、全国の病院や事業所のセキュリティ強化に貢献できればと考え公開するものです。

今後におきましては、本提言を踏まえ国（厚生労働省・総務省・経済産業省等）の新たな指針も参考にしながら、ガイドラインを遵守したシステムの構築により、再発防止とセキュリティ対策強化を図る所存でございます。

これからも、地域の中核病院の責務を果たすべく、財政の健全化と地域と共に歩む病院経営を目指し、職員一丸となって対応してまいります。引き続きのご支援をどうぞよろしくお願い申し上げます。

プレスリリース（アーカイブ）

■気になったポイント1

・アプリケーションをC社から購入し、ハードウエアをA社から購入していたら、責任分界点が生じるのは当然。その責任分界点を自組織でカバーできないのであれば1社からアプリケーションとハードウエアをまとめて購入すべきで、サポートが宙に浮いたのはベンダーの問題ではなく、半田病院の問題と考えられる。

■気になったポイント2

・一般的に脆弱性情報の収集は利用組織で責任を持ってPULL型で実施するもの。それができないのであれば、追加コストを払ってPUSH型で情報を受け取るようにするものなので、積極的に脆弱性情報の収集を行っていないことが問題だし、それをベンダーのせいにするのであれば、もっとサポートがしっかりした製品を購入すべきで、半田病院における製品選定ミスということもできる。

【資料】

・コンピュータウイルス感染事案有識者会議調査報告書（バックアップ）

・コンピュータウイルス感染事案有識者会議調査報告書ー技術編ー（バックアップ）

・情報システムにおけるセキュリティコントロールガイドライン（バックアップ）

イベント参加者への案内メールでメアドが流出 - 酒田市

山形県酒田市は、イベントの参加者へメールで連絡を取った際に送信ミスがあり、メールアドレスが流出したことを明らかにした。

同市によれば、2022年6月17日にメールで教育委員会が開催するサイエンス発明教室に関する連絡を取ろうとした際、送信先のメールアドレスを誤って宛先に設定するミスが発生したもの。参加者のメールアドレス51件が受信者間で閲覧できる状態となった。

送信直後に担当者が気づき、対象となる参加者にメールで謝罪。誤送信したメールの削除を依頼した。あわせて電話やサイエンス発明教室において謝罪を行っている。

プレスリリース（アーカイブ）

出典：イベント参加者への案内メールでメアドが流出 - 酒田市