大阪府 府立高校が作成したウェブフォームでの個人情報の流出について 2022年8月15日

府立高津高等学校において、生徒・保護者に対しウェブフォームを用いたアンケートを行った際、回答後の画面で「前の回答を表示」というボタンを押した場合に、当該アンケートにすでに回答をしていた生徒及び保護者の個人情報を含む回答結果の一覧を、生徒・保護者が閲覧できる状態にあったという事案が発生いたしました。

このような事態を招きましたことをお詫びいたしますとともに、今後、再発防止に取り組んでまいります。

１ 流出した個人情報の内容（１年生363名中240名分）

生徒の組、出席番号、名前、住所、自宅電話番号、携帯電話番号

保護者の名前、続柄、緊急連絡先、住所

２ 事案の経過

令和４年６月23日（木曜日）

・「校務処理システム（※）」に必要なデータを収集するため、本校１年生の生徒・保護者に対し、各クラスの担任から６月23日（木曜日）から７月20日（水曜日）までの間に、ウェブフォームを用いたアンケートに回答するよう依頼した。

（※）生徒情報の管理、生徒の出欠管理及び成績処理等の校務処理を行う全府立高校共通のシステム

令和４年７月20日（水曜日）

・保護者から教員Ａに、アンケート回答終了時に表示される「前の回答を表示」を押すと、既に入力された他の生徒・保護者の情報が表示されるとの指摘があった。

・教員Ａが教頭に報告し、教頭がアンケートの作成者である教員Ｂに確認したところ、保護者の指摘どおり、回答結果の一覧が閲覧できる状態になっていた。

・教員Ｂが回答結果の一覧を閲覧できないように設定を変更したが、すでに363名中240名が回答済みであった。

・教頭が校長に本事案について報告した。

令和４年７月21日（木曜日）

・校長が府教育庁に経緯を報告した。

令和４年７月22日（金曜日）から29日（金曜日）

・緊急の職員集会を開き、校長から全教職員に事案を共有したうえで、今後の対応を指示した。

・１年生の担任が、対面または電話で、240名の生徒と保護者に対して経緯の説明と謝罪を行い、了承を得た。

・全学年の生徒・保護者に対して、報告とお詫びの文書を送付した。

３ 流出の原因

・フォームの作成に関わった教員の間で、ウェブフォームのアンケートの設定において、「結果の概要を表示する」をオフにしなければならないということが認識されていなかった。

・複数名の教員でアンケート入力時の動作確認をしたが、回答完了後の動作確認を行っていなかった。

４ 再発防止策

・当該校において、ウェブフォームを利用する際は、複数名で入力時から回答完了後までの動作確認を行う。また、本事案を共有し、個人情報の取扱いについて、改めて職員研修を行い、管理の徹底を図る。

・教育庁においてウェブフォームで個人情報を収集する際のチェックリストを作成し、全府立学校に共有するとともに、個人情報の取扱いについて、改めて注意喚起を行う。

リリース文（アーカイブ）

セキュリティ企業を装った「コールバック」フィッシング

新しいコールバック・フィッシング・キャンペーンは、著名なセキュリティ企業になりすまし、潜在的な被害者を騙して電話をかけさせ、マルウェアをダウンロードするように指示するものです。

このキャンペーンでは、典型的なフィッシングメールが使用されており、被害者を騙して緊急の返事をさせることを目的としています。この場合、受信者は会社に侵入されたことをほのめかし、メッセージに含まれる電話番号に電話をかけるよう要求します。

コールバックオペレーターは、ネットワーク上の最初の足場を得るために、犠牲者に商用RATソフトウェアをインストールするように説得しようとします。

信頼できるパートナーになりすます

現時点、CrowdStrike以外にどのようなセキュリティ企業がなりすましていたかはまだ特定されていません。フィッシングメールは同社のロゴを使用することで正規のメールに見えるようになっています。

具体的には、このメールは、自社の「データ・セキュリティ・サービスのアウトソーシング・ベンダー」からのもので、「あなたのワークステーションが属するネットワークのセグメント」で「異常な活動」が検出されたことを通知しています。

CrowdStrikeによると、このメッセージは、被害者のIT部門にはすでに通知されているが、個々のワークステーションに対して監査を行うために被害者の参加が必要であると主張しています。このメールは、受信者が提供された番号に電話するよう指示しており、この時に悪意ある行為が行われるのです。

最初のアクセスには一般的な正規のリモート管理ツール（RAT）、横方向の動きには市販の侵入テストツール、ランサムウェアやデータ強奪の展開が含まれる可能性が高いと考えています。

ランサムウェアを拡散させる可能性

2021年のBazarCallキャンペーンが最終的にContiランサムウェアにつながるように、今回もコールバックオペレータはランサムウェアを使用して運営を収益化する可能性が高いと言われています。

これは、サイバーセキュリティ事業体になりすましたコールバックキャンペーンとして初めて確認されたもので、サイバー侵害の緊急性を考えると、より高い成功の可能性があります。

ユーザーが、社内外の正規の部署からどのように連絡が来るかを理解することは非常に重要であり、これは単なるサイバーセキュリティにとどまりません。

出典：‘Callback’ Phishing Campaign Impersonates Security Firms

株式会社たしろ薬品 個人情報が記録されたUSBメモリ紛失についてご報告とお詫び 2022年8月15日

このたび、 弊社 THE COSMETIC TERRACE BlueStripe ルミネ横浜店におきまして、 お客さまの個人情報が記録されたUSBメモリ1個の紛失が判明致しました。 この様な事態を招いたことで、 お客さまならびに関係者の皆さまには多大なるご迷惑とご心配をお掛け致しますこと、 深くお詫び申し上げます。

弊社では今回の事態を厳粛に受け止め、 今後の管理体制の強化と再発防止に努めて参ります。

なお、 現時点でお客さまの個人情報が不正に使用されたとのご連絡やお問い合わせはございません。

当通知は、過去に個人情報削除のお申し出をされたお客さまにもお送りしております。

1. 紛失した媒体

(1) USB メモリ1個

(2) 対象期間:2011年1月27日~2022年7月10日

(3) 対象店舗: THE COSMETIC TERRACE BlueStripe ルミネ横浜店

(4) 対象者: カネボウ化粧品の商品をご購入のうえ、メーカー顧客システムへご登録を頂いた

お客さま ※1

(5) 件 数: 11,147件 (氏名のみ 1,762件)

(6) 記録されている個人情報: 

氏名、性別、生年月日、住所、電話番号、メールアドレス、購入履歴

(クレジットカード情報は含まれておりません )

※1 メーカーからの商品不良のご連絡など、 必要な情報をお客さまにご連絡差し上げる目的で、個人情報削除のお申し出がございました場合でも顧客管理システム上お申し出から一定期間したのちに顧客情報を消去する取り扱いとしております為、 (1) の媒体に保存された顧客情報には、既に個人情報削除のお申し出をされているお客さまの顧客情報も含まれております。

なお、 その他のメーカーならびにブランドをご購入、 ご登録頂いたお客さまについては、紛失の可能性がないことを確認しております。

2. 経緯および対応について

7月10日 (日) THE COSMETIC TERRACE BlueStripe ルミネ横浜店、 最終営業日。

7月11日 (月) 撤去作業を実施。お客さまデータ移行作業の為、 全データをUSB メモリへ保存。

7月12日 (火) 同USBメモリをカネボウ化粧品担当者から弊社店長へ受け渡し。(閉店作業に忙殺されるあまり、 その後のUSBメモリの保管取り扱いについて失念)

7月20日 (水) お客さまからお問い合わせを受ける。購入履歴を検索する為には、 USBメモリが必要であることを知る。

7月21日 (木) USBメモリ捜索も、 想定していた保管場所になかった為、この時点で紛失が発覚。

7月22日 (金) 警察ならびに交通機関各所へ届出。捜索ならびに関係各者より状況聴取。

7月28日 (木) 個人情報保護委員会へ報告。お客さまへの個別通知に必要となる連絡先を確認する為に、 カネボウ化粧品担当者へバックアップデータの復旧を依頼。

8月 2日 (火) カネボウ化粧品担当者立ち合いのもと、 バックアップデータを復旧。

8月15日(月) 対象のお客さまへ、書面でのご連絡ご説明を開始。書面到着に合わせ、 弊社ホームページへ掲載。

3. 再発防止策への取り組み

全役職員に対して、 お客さま情報の厳格な取扱いについて再度周知するとともに、 管理体制の見直し、情報管理ルールの再徹底を行うことで、 再発防止に努めて参ります。

リリース文（アーカイブ）

Wi-Fiのパスワードを忘れた時にWindowsで表示する方法

ワイヤレスネットワークを侵入者から守るため、デフォルトのパスワードを変更し、推測が不可能な長いパスワードに置き換えることをお勧めします。セキュリティの観点からは素晴らしいことですが、パスワードを忘れたり、置き忘れたりすると最悪です。

ありがたいことに、あなたのデバイスは、接続するすべてのワイヤレスネットワークのログイン情報を格納します。これは、ホテル、空港、コーヒーショップ等全て含みます。しかし、そのパスワードを表示する方法はあまり明らかにされていません。

実は、WindowsパソコンがそのWi-Fiネットワークに接続しているのであれば、WindowsからWi-Fiのパスワードを確認することができます。

その方法は以下の通りです。

1. 「Win」＋「R」を押して「実行」を起動する（スタートメニューの検索フィールドやWindows Terminalでもよい）。
   
   
2. 「ncpa.cpl」を実行する。
   
   
3. 起動してくる「コントロールパネル」のネットワークの詳細から、該当するWi-Fiのアイコンをダブルクリックする。
   
   
4. 起動してくるダイアログから「ワイヤレスのプロパティ」をクリックする。
   
   
5. 起動してくるダイアログから「セキュリティ」タブをクリックする。
   
   
6. 「パスワードの文字を表示する」にチェックを入れる。

もう一つの方法として、Nirsoft社のWirelessKeyView 2.22を使用する方法があります。これを実行すると（インストール不要）、WLAN AutoConfigサービスを使用してコンピュータに保存されたすべてのパスワードが確認できます。

出典：How to quickly view and recover forgotten Wi-Fi passwords in Windows 10 and Windows 11

兵庫県警の男性警部が無許可で捜査資料を持ち出し、飲酒後路上で寝込んで紛失

兵庫県警は２０２２年８月１４日、生活経済課課長補佐の男性警部（４９）が捜査資料などが入ったかばんを紛失したと発表した。資料には事件関係者約４００人分の個人情報が載っていたが、県警によると情報の悪用などは現時点で確認されていない。男性警部は当時、酒に酔っていたという。

同課によると、男性警部は１２日夕、警察署から資料を持ち出した。同日午後８時半ごろから部下２人と同県西宮市の阪急西宮北口駅近くの居酒屋で飲食し、ビールや焼酎などを７杯程度飲んだ。午後１１時ごろ解散し、徒歩で帰宅途中に同駅近くの路上で寝込み、１３日午前５時ごろに目覚めた際にかばんがなくなったことに気付いた。

資料には、逮捕した容疑者や事件関係者の氏名、住所などが記載されていた。資料の持ち出しは許可されておらず、内規違反に当たるという。　

出典：男性警部が捜査資料紛失＝飲酒後路上で寝込む―兵庫県警

株式会社IL 「Parisienne Lash Lift オンラインショップ」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2022年8月15日

このたび、弊社が運営する「Parisienne Lash Lift オンラインショップ」におきまして、 第三者による不正アクセスを受け、お客様のクレジットカード情報(3,909件)が漏洩した 可能性があることが判明いたしました。

日頃よりパリジェンヌビューティグループをご愛顧くださっているお客様をはじめ、関 係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫 び申し上げます。

クレジットカード情報が漏洩した可能性のあるお客様には、お詫びとお知らせを個別に ご連絡申し上げております。

※受信拒否設定やメールアドレスのご変更などで送信エラーが生じた場合、ご登録住所宛て に書状を送付させていただいております。

なお、第三者機関による調査の結果、2021年10月19日以降よりリニューアルして運営して おります現在の「PARISIENNE BEAUTY GROUP オンラインショップ」におきましては、 不正アクセス及びクレジットカード情報漏洩の痕跡は確認されませんでしたが、弊社では 今回の事態を厳粛に受け止め、全力で再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概 要につきまして、下記の通りご報告申し上げます。

1.経緯

2022年6月3日、一部のクレジットカード会社から、弊社サイトを利用したお客様のク レジットカード情報の漏洩懸念について連絡を受け、2022年6月6日弊社が運営する 「PARISIENNE BEAUTY GROUP オンラインショップ」でのカード決済を停止いたし ました。 同時に、第三者調査機関による調査も開始いたしました。2022年6月29日、調査機関 による調査が完了し、2021年3月8日~2021年10月19日の期間に「Parisienne Lash Lift オンラインショップ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしま した。 以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営していた「Parisienne Lash Lift オンラインショップ」のシステムの一部の 脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーショ ンの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2021年3月8日~2021年10月19日の期間中に「Parisienne Lash Lift オンラインショッ プ」においてクレジットカード決済をされたお客様3,909名で、漏洩した可能性のある情報は以下のとおりです。 

・クレジットカード名義人名 ・クレジットカード番号 ・有効期限 ・セキュリティコード

上記に該当する3,909名 のお客様については、別途、電子メールおよび書状にて個別 にご連絡申し上げます 。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジット カードによる取引のモニタリングを継続して実施し、不正利用の防止に努めておりま す。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細 書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。 万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同ク レジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよ う、併せてお願い申し上げます。 なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード 再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレ ジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年6月3日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお 詫び申し上げます。 本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申 し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、 お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠である と判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待っ てから行うことに致しました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトのカード決済機能再開について

2021年10月19日にリニューアルオープンした現在の「PARISIENNE BEAUTY GROUP オンラインショップ」では情報漏洩を確認されておりませんが、弊社では今回の事態を厳粛に受け止め、更なるシステムセキュリティ対策および監視体制の強化 を行い、再発防止を図ってまいります。 カード決済機能の再開日につきましては、決定次第、改めてHPにてお知らせいたしま す。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会 には2022年6月7日に報告済みであり、また、所轄警察署にも2022年7月5日被害申告 しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

熊本労働局 熊本労働局における個人情報を含む文書の誤送付の発生について 2022年7月29日

熊本労働局（局長 新田 峰雄）は、熊本労働局において発生した個人情報を含む文書の誤送付について、下記のとおり確認の上、必要な措置を講ずることとしましたので、概要等をお知らせします。

多大な御迷惑をおかけしたことを深くお詫びしますとともに、再発防止に努めてまいります。

１ 事案の概要

令和４年６月 17 日（金）に熊本労働局労働基準部労災補償課の職員が、開示請求人からの開示請求への対応として、本来であれば、提出書類の確認を行うために関係書類を開示請求人の所属するⅩ社に送付すべきところ、親会社であるＹ社に誤送付したもの。

２ 誤送付した個人情報

開示請求人（１名）の氏名、生年月日、性別、健康診断結果、開示請求した事実等。

Ｘ社に所属する社員（139 名）の氏名、役職。開示請求人の健康診断結果に記載されていた医師（２名）の氏名。

３ 発生原因

開示請求人より、熊本労働局長あて個人情報の開示請求が行われたことへの対応として、個人情報の保護に関する法律第86条第1項に基づき、開示請求人の所属するⅩ社に対し、Ｘ社から提出された文書を開示請求人に開示するにあたり、意見を聞くために、照会文書を送付する際、熊本労働局労働基準部労災補償課の職員が親会社であるＹ社を送付先と誤認し、誤送付した。

４ 二次被害又はそのおそれの有無及びその内容

誤送付先から外部に流出していないことを確認しているため、二次被害の発生のおそれはありません。

５ 再発防止対策

1. 熊本労働局労働基準部労災補償課における取組として、課内管理者より全職員に対し、本事案が発生したことを注意喚起し、特に、健康情報など機微な情報が含まれる情報を送付する際には、慎重な取扱いを行うよう指示した。
   特に、要配慮個人情報等が含まれる文書を送付する際は、送付先への電話連絡により、文書を閲覧する権限のある者の役職・氏名を確認し、その者の役職・氏名を宛先に記載した上で、特定記録郵便で親展と記載して送付することとした。
   
   
2. 熊本労働局における取組
   ①当局総務部長から局内全部署の長に事案の概要説明を行うとともに、熊本労働局長から注意喚起及び再発防止の徹底を指示した。
   ②熊本労働局総務部総務課職員が全部署を訪問し、個人情報を含む文書の発送時における確認作業を点検し、必要な指導を行うことで再発防止を図ることとする。

リリース文（アーカイブ）

静岡県立大学 メールアドレス流出に関するお詫び 2022年8月4日

このたび、「2022年度静岡県立大学経営情報学部オープンキャンパス」にお申し込みの皆様に対し、申込確認の電子メールを送信する際、メールアドレスが表示される形で一斉送信してしまったことが判明いたしました。

このような事態を招いたことを深く反省するとともに、関係者の皆様に多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

1 事実経過

2022年8月3日（水曜日）12時13分に、本学経営情報学部より「経営情報学部オープンキャンパス」の申込確認の連絡をするため、メール送信しました。その後、メールを受信された方からのご指摘があり、各受信者に受信者全員分のメールアドレスが閲覧できる状態で送信していたことが判明しました。

2 流出した情報

経営情報学部のオープンキャンパス参加申込者242人分のメールアドレス

3 現状の対応

2022年8月3日（水曜日）に、上記の方々にメールの誤送信のお詫びとともに、受信したメールの削除をお願いしました。

なお、改めて案内メールを送信する旨も併せて連絡しました。

4 再発防止策

今後、複数の宛先にメール送信を行う際には、複数の者により個々の宛先が「BCC」に入力されていることの確認を行い、誤送信の防止を徹底するよう、改めて学内の全教職員に対して注意喚起を行います。

リリース文（アーカイブ）