昭和女子大学 個人情報を含むポータブル型メモリの盗難についてのご報告とお詫び 2022年7月29日


2022年6月下旬、本学の専任教員が、帰宅途中に窃盗被害に遭いました。その所持品の中に、在学生、卒業生及び受験生の個人情報を保存したポータブル型メモリが含まれておりました。

これまでのところ所持品の発見には至っておりませんが、個人情報が第三者へ流出したり、不正に使用された事実は確認されておりません。
 
関係者の皆様には多大なるご迷惑とご心配をおかけすることになり、深くお詫び申し上げます。

なお、本件に該当する在学生には電子メール、該当する卒業生及び受験生の皆様には郵送により、個別にお詫びとお知らせをいたしました。
 
本学では、このような事態が発生したことを重く受け止め、深く反省するとともに、再発防止に向け、全教職員に対し、改めて個人情報の適切な取り扱いについての指導を徹底するとともに、情報管理体制の更なる強化に努めてまいります。

WDBホールディングス株式会社 サイバー攻撃による被害と復旧状況について 2022年8月2日


2022年8月1日より、当社グループシステムのメールシステムやファイルサーバーにアクセスできない障害が発生しております。本障害に関し、第三者からランサムウェアによる攻撃が行われたことを確認しており、同日より社内ネットワークの稼働を見合わせております。お客様や関係者の皆様には大変なご迷惑とご心配をおかけしており、誠に申し訳ございません。また、復旧作業を優先したため、システム障害発生から今回のご報告まで時間を要したことをお詫び申し上げます。

上記のシステム障害について、現在、当社グループの情報システム部門を中心に復旧作業と原因の調査を全力で実施しております。

なお、本件による個人情報の流出等の情報漏洩は、ないことを確認しております。
今後の対応としましては、早急に外部のシステム専門会社に依頼し、当社グループの情報システム部門とともに、被害範囲および侵入経路の特定などの調査を進めていく方針であります。調査結果については、調査完了後にお知らせいたします。

お客様や関係者の皆様にはご不便をおかけしておりますが、何卒ご理解賜りますよう、よろしくお願い申しあげます。

株式会社ジャパンデンタル お客様情報の漏えいについてのお詫びとご報告 2022年8月1日


この度㈱ジャパンデンタルにて事務代行を行っております歯科医院経営研究会会員様の団体契約による総合歯科医休業補償制度の年次更改手続きにおきまして、情報の漏えい事案が発生いたしました。

関係各位の方々にご迷惑をお掛けしたことを深くお詫び申し上げます。

1 概要
2022年7月26日に発送の更改後の新年度契約に対するご請求額のご案内をご送付する際に、ご請求額のご案内書面中の《お支払い預金口座》に別の第三者の口座情報が記載される誤りがあることが2022年7月28日に判明いたしました。

2 事故の原因
弊社内のデータベースにて保管しております各契約情報からご請求のご案内書面を印刷するプログラムの不具合により、個別のご契約ごとに抽出し印刷する各項目中のお支払い預金口座情報欄に特定の方の情報が誤って印字されてしまいました。
印刷後発送前に担当部署にて再確認を行っておりましたが、確認漏れがあり、そのまま発送されておりました。

3 漏えいの範囲
個人の方   3名
医療法人様 35法人
上記の方の預金口座に対する
①銀行名 ②支店名 ③預金種目 ④口座番号の一部 ⑤口座名義名

4 発生後の対応
①2022年7月28日送付されたご請求のご案内書面全件を確認の上、当該保険引受会社である損害保険ジャパン株式会社への届出を行っております。

②誤った情報が送付された全てのお客様に、2022年8月1日に本件に関するお詫び並びに正規のご請求のご案内書面を送付させていただきました。

③情報漏えいに該当するお客様には個別に連絡させて頂き、謝罪の上経緯を説明させていただきます。

5 再発防止策
  • 漏えいが確認されたお客様に対しては、今後も誠意ある対応を行ってまいります。
  • 外部発信の情報取扱いについて、印刷前のデータ段階における確認と共に印刷後の書面自体の再確認を徹底することで再発防止を徹底いたします。

三和倉庫株式会社 当社サーバー障害のお知らせ(第2報) 2022年8月2日


2022年7月29日夕刻に発生したサーバー障害は不正アクセスによることを確認致しました。

弊社では、不正アクセスの内容と範囲の特定を進めておりますが、システム障害の発生により、各種業務への影響が継続致しております。

関係する皆様にはご心配とご不便をお掛けし、深くお詫び申し上げます。本件につきまして、弊社では引き続き外部の専門機関や捜査機関と連携して調査を行うとともに、復旧に向けた対応を進めて参ります。

弊社の物流および保険・リースにおけるお取引様への対応につきましては、弊社担当部署より個別にご説明申し上げます。

株式会社大都 弊社が運営するオンラインショップへの不正アクセスによるクレジットカード情報漏えいに関するお詫びとお知らせ 2022年8月1日


このたび、弊社が運営しておりますオンライン通販サイト「DIY FACTORY Business(https://shop.diyfactory.jp/ 以下、「ECサイト」といいます)」におきまして、お客様がクレジットカードの情報を入力する際、意図的にフィッシングサイトへ誘導させる手口により、クレジットカード情報を不正取得された可能性のあるお客様(122名)がいらっしゃることが判明いたしました(以下、本件といいます)。

お客様をはじめ、関係者の皆様に多大なるご迷惑とご心配をおかけしておりますこと、心より深くお詫び申し上げます。

クレジットカード情報が流出した可能性のあるお客様には、電子メールにて経緯説明とお詫びのご連絡を開始しております。弊社では、このたびの事態を厳粛に受け止め、お客様には誠心誠意、適切な対応をさせていただくとともに、再発防止の対策を徹底してまいります。
本件に関する事案概要と弊社の対応につきまして、下記のとおりご報告いたします。

1.事案概要

(1)事象
■フィッシングサイトに誘導する手口によるクレジットカード情報の不正取得と不正利用
お客様がECサイトにアクセスし、クレジットカード情報を入力して商品等を購入される際、偽のクレジットカード情報入力ページへ意図的に誘導するというものです。お客様が偽のクレジットカード情報入力ページにクレジットカード情報を入力し送信した場合、第三者にクレジットカード情報が送信されます。そしてこの手口により不正にクレジットカード情報を入手した者が、当該お客様のクレジットカード情報を不正利用し、他社のECサイト等で商品等を購入した可能性があることを確認いたしました。

(2)漏洩の状況(最大可能性)
■クレジットカード情報漏洩の可能性があるお客様数
2022年4月12日0時50分~2022年4月14日11時24分の間に、ECサイトでクレジットカード決済をご利用された お客様122名。
上記に加え、偽のクレジットカード情報入力ページにてクレジットカード情報を入力されたものの、購入にいたらなかったお客様、および偽のクレジットカード情報入力ページのみに入力されたクレジットカード情報も流出した可能性がございますが、特定はできておりません。
漏洩した可能性のある情報は以下の通りです。
  • クレジットカード番号
  • クレジットカード有効期限
  • セキュリティコード
(3)原因
弊社ではクレジットカード情報を保有しておりませんでしたが、弊社が運営するECサイトのシステムの一部の脆弱性をついた第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため

2.発覚および経緯

(1) 2022年4月20日、クレジットカード会社より、ECサイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日、ECサイトを閉鎖いたしました。
また、本件の全容解明および被害状況の把握に向け、社内調査を進めるとともに、第三者の専門調査会社による調査を実施いたしました。

(2) 2022年6月15日、第三者の専門調査会社の調査が完了し、ECサイトを利用されたお客様のクレジットカード情報が漏洩した可能性があることを確認いたしました。以上の事実が確認できたため、クレジットカード会社と協議のうえ、本日の発表に至りました。

(3) 公表が遅れた経緯につきまして、2022年4月20日の漏洩懸念の発覚から今回のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

3.弊社の対応

(1)お客様への対応
2022年8月1日より、クレジットカード情報流出の可能性があるお客様に電子メールにて、お詫びと注意喚起を直接ご案内させていただいております。
また同日より、お客様からのお問い合わせに対応できるよう、専用コールセンターを設置いたしました。

(2)警察への報告
2022年4月21日、所轄の警察署である大阪府警察 生野区警察署に報告いたしました。

(3)行政機関への報告
2022年4月22日、個人情報保護委員会に報告いたしました。

4.お客様へのお願い

(1) 身に覚えのないクレジットカードの利用履歴がないかご確認をお願いいたします。
流出した可能性があるクレジットカード情報につきましては、お客様にご迷惑がかからないよう、弊社より各クレジットカード会社へ不正利用の監視強化を依頼しております。万が一、クレジットカードの明細書に 身に覚えのない請求がございました場合は、お手数ではございますが、クレジットカード裏面に記載のカード発行会社へお問い合わせいただきますようお願い申し上げます。

(2) クレジットカード情報が流出した可能性のあるお客様のクレジットカードにつきまして、再発行をご希望の場合、クレジットカード裏面のカード発行会社にお客様から直接、お問い合わせいただきますようお願い申し上げます。なお、クレジットカード再発行の手数料につきましては、お客様のご負担にならないようクレジットカード会社へ依頼しております。
特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。

(3) お客様にお心当たりのない不審な点等がございましたら、弊社専用コールセンターまでご連絡をお願い申し上げます。警察および関係官庁と連携し、誠実に対応を進めてまいります。

5.再発防止策

今後二度と同様の事案を起こすことのないよう、調査結果を踏まえて以下の取り組みを行い、システムのセキュリティ対策、及び監視体制の強化に努めてまいります。 

(1) システムの脆弱性診断の定期的な実施

(2) システムのファイル変更を監視、検知する体制の強化

(3) ECサイトの管理画面に対するアクセス制限の強化等

なお、「DIY FACTORY Business」のサービスは終了しております。今後の再開につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

このたびは、お客様およびご関係者の皆さまに、多大なるご不安ご迷惑をお掛けしておりますことを重ねてお詫び申し上げます。

株式会社ディスコ 「キャリタス資格検定」への不正アクセスに関するご報告とお詫び(第2報) 2022年8月1日


2022年5月20日付「『キャリタス資格検定』への不正アクセスに関するご報告とお詫び」にてご報告いたしましたとおり、弊社が運営する「キャリタス資格検定(以下、当該サービス)」のサーバへの不正アクセスが確認されました。

当該サービスをご利用いただいた皆様をはじめ、関係者の皆様に多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

弊社は本件の発覚後、直ちに当該サービスの提供を停止して、これ以上の不正アクセスを防ぐとともに、警察への通報および、関係各局へ連絡の上、外部のサイバーセキュリティ専門機関の協力を得て、被害の全容解明および、復旧に向けた対応を進めて参りました。

今般、専門調査機関による調査結果に基づいた最終報告を受け取り、これにより判明した本件に関する被害範囲および弊社の対応につきまして、下記の通りご報告申し上げます。

1.不正アクセスの概要
2022年5月15日15時29分ごろから5月16日16時57分ごろまでの間に当該サービスを運用するWEBサーバに対して、アプリケーションの脆弱性を利用したSQLインジェクションによる、海外からの不正アクセスが行われていたことを確認いたしました。また、不正アクセスのログ解析の結果、サーバに記録されていた申込者情報の一部が第三者に閲覧され、流出した可能性があることが判明いたしました。
なお、「コンビニ端末受付サービス」経由の申込者情報に対しての不正アクセスはございませんでした。

2.流出した可能性のある情報
利用者情報
項目:メールアドレス※1
件数:最大298,826件(2022年5月16日までの利用者の一部)

※1 氏名、住所、電話番号、FAX 番号、性別、生年月日、年齢、その他お申込み内容(試験・検定名の情報)は流出の可能性はございません。また、検定料等のお支払い手段の一つとして提供しておりますクレジットカード決済につきましては、外部のシステムを利用し、クレジットカード情報自体は本システムでは取り扱っておりませんので、対象には含まれません。

3.対象となる利用者様へのご案内
流出した可能性のある利用者様には、弊社より個別にメールにてご連絡いたします。

4.ご利用いただいている皆さまへ
流出したメールアドレスを悪用した、「スパムメール」、「フィッシング詐欺メール」などのいわゆる迷惑メールが送信される可能性が考えられます。差出人や件名に心当たりがないなど、不審なメールを受け取った場合は、メール自体を直ちに削除・消去していただくようお願いいたします。また、メールに添付されているファイルの開封、メール内に記載されたアドレス(URL)へのアクセスをしないことを徹底いただき、「ID/パスワードの変更」、「契約内容の確認」等の名目での偽サイト入力フォームへの誘導する手口につきましても、十分にご注意いただくようお願いいたします。


米国(連邦政府)でサイバーセキュリティの仕事を獲得する方法 / How to land a cybersecurity job with the federal government


ロシアがウクライナで戦争を続ける中、米国に対する新たな脅威がかつてないほど出現しています。ロシアは、ウクライナへの支援に対する報復として、アメリカのインフラに対してサイバー攻撃を行うかもしれないのです。これまでにも、2015年と2016年にロシアのハッカーが民主党全国委員会のコンピューターネットワークに侵入し、2019年には上院情報委員会が、2016年の選挙中にロシアが当時の大統領候補ドナルド・トランプを支援するために全50州の選挙システムを標的としたと結論付けています。

2月のロシアのウクライナ侵攻以来、米連邦政府機関はアメリカ企業への攻撃の可能性に警鐘を鳴らしており、3月には連邦捜査局がロシアのハッカーがアメリカのエネルギー企業5社のネットワークをスキャンしたと発表しています。

アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)のジェン・イースタリー局長と国家サイバー局長であるクリス・イングリス氏は、技術系サイトCyberScoopの6月の論説で、「ロシアやその他の悪意のある国家や非国家によるサイバー攻撃の見通しは、いつまでたっても消えないだろう」と書いています。

このニーズに対応するため、米連邦政府はサイバーセキュリティ従事者の雇用を増やそうとしています。2021年11月、国土安全保障省の高官は、連邦政府には1,500以上のサイバーセキュリティの空きポジションがあると推定しています。同月、連邦政府は、国土安全保障省(DHS)がサイバーセキュリティ人材をより効果的に採用できるようにするため、サイバーセキュリティ人材管理システムを設立しました。

国家安全保障局(NSA)のサイバーセキュリティ担当副長官である Dave Luber 氏は、「サイバーリスクに効果的に対処するためには、異なる連邦機関や軍の部門が協調して取り組む必要があると述べています。「中国やロシアが米国や同盟国の重要なシステムを悪用することを難しくするために、私たち全員が協力し合うチームスポーツなのです」と述べています。

米連邦政府のサイバーセキュリティの仕事に興味があるなら、どうすれば採用されるのでしょうか。これらの職務に就く方法について、専門家に話を聞きました。 

米連邦政府には、どのようなサイバーセキュリティの仕事があるのでしょうか?

サイバーセキュリティに関する連邦政府の仕事といえば、基本的に無限大です。システムエンジニアやソフトウェア開発者から、サイバー防衛のフォレンジックアナリストや倫理的ハッカーまで、幅広い職種が存在します。

米国国土安全保障省に属する CISA の副局長である Nitin Natarajan 氏は、「すべての連邦省庁にはサイバーセキュリティが存在し、ここワシントンDCだけでなく、ワシントンDC以外の場所でもサイバーセキュリティの役割を担っています」と語ります。「CISAのサイバーセキュリティの任務を遂行するためには、非常に幅広い経験と専門知識が必要なのです」。

連邦政府のサイバーセキュリティ担当者は、幅広い業務に取り組んでいるため、コミュニケーション、立法、予算、財務など、サイバーセキュリティ以外の経歴を持つ人材も有力な候補となり得ます。「私たちは、さまざまな経験を持つ強力で多様な人材を確保したいと考えています」と、Natarajan 氏は言います。「そうすることで、私たちが直面している、そして今後も直面するであろう複雑な課題に取り組むことができるのです」。

連邦政府でこの分野に携わる人の中には、サイバーセキュリティやコンピュータサイエンスなど同様の分野の修士号を持つ人もいるが、LuberとNatarajanの両氏は、大学院の学位は必要ないとしている。

「国家安全保障局に入るために必要なものではありませんが、サイバーセキュリティの修士号が、同局でのキャリアを目指す人の助けになることは間違いありません」と、Luberは言います。

また、連邦政府のサイバーセキュリティの仕事に就く人の多くは、義務感からこの仕事に引き込まれたのだとも述べています。「国家安全保障局や連邦政府全体でサイバーセキュリティに関心を持つ人々のほとんどは、国家安全保障システムや政府のシステムを悪用から守る使命感を持っています」と、Luber は述べています。

連邦政府でサイバーセキュリティの仕事に就くにはどうすればよいですか?

連邦政府におけるサイバーセキュリティの専門家の仕事が多様であるように、仕事を得るためのルートも多様である。

「ここにたどり着くまでには、さまざまな道がある」とNatarajanは言う。

人によっては、NCAE-C(National Centers of Academic Excellence in Cybersecurity)プログラムに加盟している学校に通うことが入り口となる場合もあります。NSAのNational Cryptological Schoolが管理するこの共同教育プログラムは、重要な国家インフラの脆弱性を減らすために、サイバーセキュリティと学術カリキュラムの標準を確立しています。

現在、NCAE-Cプログラムと提携している大学は384校にのぼります。指定されたプログラムの約3分の1は、サイバー防衛に関する準学士号や修了証書を提供しています。その他は、学士・修士課程が中心ですが、博士号取得者を含むプログラムもあります。これらの学校は、サイバー防衛、サイバー研究、サイバー運用の3つの研究プログラムで認定を受けることができます。

連邦政府機関はNCAE-C校からの採用を積極的に行っているだけでなく、NSAは毎年20以上のさまざまな分野での夏季インターンシップや、連邦政府で働くための資格を得た後にNSAのプロジェクトで働く協同教育プログラムも提供しています。

「約12週間、彼らは私たちのチームに参加し、私たちは彼らが本当に夢中になれるようなプロジェクトを提供します」とLuber氏は言います。「彼らは、国家安全保障局でのキャリアがどのようなものであるかをよく理解して帰っていきます」。

NSAのサマーインターンシップに参加した学生の多くは、最終的にNSAでフルタイムで働くことになります。

米連邦政府への就職を希望する民間企業のサイバーセキュリティ専門家は、連邦政府の公式雇用サイトであるusajobs.govや、米国情報コミュニティ内のキャリアに関する公式サイトであるintelligencecareers.govなどのウェブサイトから求人情報を知ることができます。

また、DHSが昨年11月に立ち上げたCybersecurity Talent Management System(CTMS)もあります。このシステムは、連邦政府によるサイバーセキュリティ専門家の採用、育成、保持を改善することを目的としています。CTMSは、特定の役割を担う人材を募集する従来の採用モデルではなく、応募者を能力に基づいて選別し、競争力のある給与を提供し、一般に採用までの時間を短縮します。

「従来の連邦政府のプロセスとは少し違った方法で、人を雇うことができるのです」とNatarajanは言う。「応募者のレベルに応じて、カスタマイズされた応募経路で応募するのです」。

連邦政府でサイバーセキュリティの仕事に就きたい人は、他にどのようなリソースを利用できるのでしょうか。

サイバーセキュリティの学位を取得したいが、そのための資金がない場合、Scholarship for Service Program (SFS)に応募してみてはいかがでしょうか。この奨学金プログラムでは、米連邦政府内で一定期間働くことを約束する代わりに、その人の教育費を負担します。

この奨学金は、学士、修士、博士の候補者に最大3年間支給され、学部生には年間25,000ドル、大学院生には34,000ドルの奨学金が支給されます。100近い高等教育機関がSFSプログラムに参加しています。

最後に、コミュニティカレッジと提携して、学生が連邦政府のサイバーセキュリティの専門家になることを支援するCommunity College Cyber Pilot(C3P)プログラムもあります。

「サイバーセキュリティの分野で働くには、今が絶好の機会です」とLuberは言います。「サイバーセキュリティは国家安全保障であり、最高の人材が必要です。そして、我が国がこの特別な分野で働けるように、最高の人材を育成する必要があります」。

その絵文字、思った通りに伝わっていないかも。/ That emoji may not mean what you think it means

SlackとDuolingoの調査によると、あなたが気の利いた絵文字をメッセージに入れたとしても、受信者にとっては全く違う意味になることがあるようです。

絵文字のルーツは、テキストベースの顔文字であり、感情などの無駄な帯域を使わずに感情を表現するために使用されます。コロン、マイナス記号、括弧を組み合わせると、たった3文字で承認(またはその反対)を表すことができます。

IT業界では、Unicode標準のおかげで顔文字が絵文字に進化しました(現時点では3,000個以上の絵文字があります)。絵文字は最初の10年でAppleやGoogleのプラットフォームに登場し、Windows Insiderプログラムのリリースでは、OSの絵文字サポートについて何らかの宣伝が行われないことはほとんどないようです。

しかし、絵文字は便利な略語である一方、一部の人にとっては不可解であったり、煩わしかったり、時には不快なものであることもあります。

アメリカ、イギリス、インド、日本、中国を含む国々に住む9,400人のハイブリッドワーカーを対象に調査をした結果、絵文字の使い方の変遷について興味深い矛盾が明らかになりました。

予想されるように、友人や家族へのメッセージ(回答者のほぼ4分の3が、前者に対してはメッセージにスマイリーなどを入れるのが好き)と、職場での絵文字の使用(半数強が同僚に使用するが、30%が上司には使用しない)にはかなりの差があります。

Slackは、「絵文字は共感メーターに大きく影響すると思う」と述べ、同僚への気遣いを表現するために絵文字を使用していることを強調しました。

当然、キスや舌、その他スカトロなイメージは、職場においては大きな禁忌です。また、回答者の半数以上が、特定の絵文字は相手が先に使用しない限り使用しないと答えていました。

世界的には、「翼のあるお金」の絵文字は混乱を招き(現金が出て行くという意味だと思う人もいれば、収益が入ってくるという意味だと思う人もいました)、「キスをしている顔」の絵文字については、回答者の意見が分かれました(恋愛関係か、プラトニックか?最も安全な方法は、使わないことでしょう)。

意外なことに、少し微笑んだ顔の絵文字でさえも、混乱を招く結果となりました。ほとんどの人が幸福を示すものとして使う傾向がある一方で、14%の人が苛立ちや不信を示すものとして選んでいます(アメリカではさらに高く、5分の1が深い苛立ちを意味すると考えています)。

イギリスでは、ドクロの絵文字が何を意味するのか、ほぼ半々に分かれました。ある人は「私は死んだ(面白い意)」と考え、ある人は文字通り「死(重い意)」を意味すると考えたようです。同様に、目玉の絵文字は、英国では「I see you」または「I want the gossip」を意味するのに半々に分かれる一方、米国ではわずか2%のユーザーしか後者の用途に使っていませんでした。

若い世代ほど、全体的に「相手が絵文字を誤解していた」という回答が多くなっています。58%の人が、「絵文字は、自分が思っている意味と違う場合があることを認識している」と回答しました。

絵文字は、今後も存在し続けるでしょう。しかし、今回の調査で明らかになったように、国や世代を越えて、絵文字を使うことでさまざまな誤解が生じる可能性があります。