株式会社Z会ソリューションズ お客様情報の漏洩に関するお詫びと、その対応に関するご報告 2022年10月12日

株式会社Z会ソリューションズ(代表取締役社長:網野聡一、以下当社)におけるサービス「DiscoveRe Method®」のWebシステムにおいて、一部のお客様より、受検結果の確認画面より他のお客様の個人情報(受検結果)が閲覧できる状況になっているとのご指摘がございました。これを受け、調査を行ったところWebシステムの不具合によって今回の事象が発生していることが判明いたしました。

お客様には多大なるご迷惑とご心配をおかけすることとなり、誠に申し訳ございません。心よりお詫び申し上げます。

直ちに同システムの修正対応を行い、現在、他のお客様の個人情報が閲覧されることはありません。また、更なるご指摘も確認されておりません。

1.個人情報漏洩の経緯

2022年10月4日(火)18時5分にお客様よりご連絡をいただき、当社サービス「DiscoveRe Method®」のWebシステムにおきまして、受検者の受検結果画面に表示されます全体傾向と個人の結果を表す散布図について、ソースコードを表示しさらに詳細を表示していくと、学校単位等の同じグループとして受検した他の受検者の氏名とスコアの確認が可能となっていたという不備を確認しました。

同日、当社システム開発ならびに保守・運用委託先に早急に連絡を取り、システム上の不具合であることを確認し、2022年10月5日(水)15時00分に保守・委託先による修正対応を完了しました。

2.漏洩したデータ

受検されたグループ内の他の受検者のお名前、DiscoveRe Method® セルフチェック・スキルチェック受検結果(スコア)
※その他の情報ならびに他のグループの受検者の情報は含まれておりません。

3.漏洩先

当該システムの使用を開始した2021年7月22日以降に受検されたグループ(20団体4,057名)のお客様において、同じグループに属するお客様(最大のグループで65名)の情報を閲覧できる状況でした。なお、本情報の同一受検グループ以外への漏洩は、現在のところ確認されておりません。

4.調査結果

当社では、2021年7月22日に受検者の状況を管理するシステムを刷新しましたが、調査の結果、新システムにおいて以下の不備が判明しました。

・システム上不適当なコードの使用
当該状況について、当該システムの開発委託先にて調査を行ったところ、管理者(団体単位の受検が多いため、主に先生)用の画面にて使用している機能部分のコードを、受検者の画面に転用した際に、不要な部分が一部削除されていなかったことが原因となります。

5.お客様への対応

対象となられた方が所属される団体の管理者の方へ、10月12日までにお電話及びメールにてお詫びと経緯のご説明を完了しております。

6.今後の対応

お客様には多大なるご迷惑とご心配をおかけし、重ねて心よりお詫び申し上げます。
今回の問題を真摯に受け止め、システムベンダーへの指示・コミュニケーションを含め不具合の発生を未然に防止する体制を強化し、再発防止に向けてシステムならびに情報管理体制の強化に努めてまいります。

Labels: ,

株式会社ビルドサロン メール誤送信の発生とお詫びに関しまして 2022年10月11日


2022年10月11日、1社様に対し、弊社従業員による顧客管理システムの操作ミスとシステムの不具合が重なったことにより、メールの誤配信が発生しました。
該当の不具合はすでに修正しており、今後、このような事態が発生しないよう、SFAの設定見直しなど、至急再発防止策を策定してまいります。

対象のお客様・ご関係者様には深くお詫び申し上げます。
※ 既に今回の事象発生に関して、ご関係者様には個別にご連絡を差し上げております。

引き続き株式会社ビルドサロンをご愛顧頂けますようお願い申し上げます。

Labels: , ,

北海道千歳市 雇用情報ポータルサイト「ちとせの仕事」における不正アクセス事案の発生について 2022年10月12日


このたび当市の仕事情報発信ホームページ「ちとせの仕事」のメールマガジン管理サーバに対し、悪意のある第三者が不正アクセスを行い、サーバに登録されていた個人情報が不正に閲覧された疑いがあることが判明しました。

「ちとせの仕事」のメールマガジンにご登録いただいている皆様には、多大なるご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。

今回の不正アクセスでの被害状況、閲覧及び漏えいの可能性などについて、現在、所轄警察署等と連携し、詳しく調査し、改めてご報告させていただきますとともに、市としましては、今回の事態を厳粛に受け止め、二度とこのようなことのないよう、再発防止のための対策を講じてまいります。

なお、当サイトの閲覧、ご掲載いただいている企業様の情報、問い合わせ・応募メールの送信など、メールマガジン以外の機能への影響はございません。

現時点で判明している内容

1.事案の概要

仕事情報発信ホームページ「ちとせの仕事」において、不正アクセス事案が発生し、以下2件の影響が生じています。

①迷惑メールの送信

当該ホームページから、10月10日に計4回にわたり、81,084件(20,271件×4回)のメールが送信されていることが確認されております。

②メールマガジン登録者の情報流出

当該ホームページ上の管理者用画面では、メールマガジン登録者の情報が閲覧可能でありました。

このことから、登録情報(個人情報)が閲覧および流出した可能性があります。(対象件数:198件)

【流出した恐れがある個人情報】
  • メールアドレス
  • 氏名
  • フリガナ
  • 性別
  • 生年月日
  • 最終学歴
  • 希望職種
  • 電話番号
  • 住所

2.事案発覚までの経緯(発覚日:10月11日)

北海道警察より、千歳市のメールアドレス(@chitose-shigoto.info)を利用して迷惑メールが送信されている旨、情報提供があり、事案発生を認知しております。

3.不正アクセスの原因

現在調査中です。

なお、不正アクセスが行われたのは当該ホームページのうち、メールシステム部分であり、当該ホームページ自体には影響ありません。

4.今後の対応について

  • 不正アクセスされたメールシステムは10月11日中に運用を停止しております。
  • メールマガジンにご登録いただいている方には、個別にご連絡しております。
  • 新たに公表すべき情報が生じた場合は、速やかにこのホームページなどで公表します。
5.メールマガジン登録者様にお気をつけいただきたいこと

過去に同様の不正アクセスを受けたケースでは、社会不安を煽るようなメールや金銭を要求する脅迫メールなどの受信、代引き注文による嫌がらせなどが起きたとの報告がございます。

 つきましては、以下の点にご注意ください。

 ・不審なメールへの返信はしないでください。

 ・金銭は絶対に支払わないでください。

 ・身に覚えのない代引き商品が届いた場合は受け取りを拒否してください。

 ・メールに弁護士事務所など、無関係な方の連絡先が記載されていることがありますがそちらにはご連絡なさらないようにしてください。

 ・本文中に記載されたURLはクリックしないでください。

Labels: ,

中央労働災害防止協会 受託事業者による個人情報の流出(メールの誤送信)について  2022年10月5日


中央労働災害防止協会(略称:中災防)が事業者に委託して実施する事務において、受託事業者が電子メールを送信した際、誤送信により個人情報を流出させたことが判明しました。

1 概要

(1)発生の状況

中災防が主催する「第 81 回全国産業安全衛生大会」(以下「大会」と記します。)の参加申込の Web 受付及び参加者データの管理の事務について、当該事務の受託事業者(木村情報技術株式会社)が、令和 4 年 10 月 3 日(月)午前 11 時ころ、大会参加者に来場に当たっての注意事項等を内容とするメールを送信した際、送信先の誤りにより別の参加者の個人情報(氏名等)を流出させました。

(2)判明した経緯

上記日時にメールの送信を開始したところ、受信者より「メール本文に他の参加者の所属及び氏名が記載されている」旨の連絡が中災防に入り、受託事業者に確認したところ、誤送信による流出が判明しました。

2 流出した個人情報

大会参加者の氏名、所属組織(部所)名 2,388 人分
 (なお、参加者一覧が流出したものではありません。)

3 原因

受託事業者において、メール送信用のリストを作成するに当たって、事務作業のミス(表計算ソフトのフィルタ機能を利用して手作業で参加者リストを加工した際に、送信先メールアドレスと参加者の情報(氏名、所属組織(部所)名)にずれが生じたこと)に気が付かないまま送信したためです。

4 対応

中災防では、参加者からの連絡を受けて、直ちに受託事業者に対し、送信作業の停止を指示するとともに、既に送信済みの参加者に対しては、誤送信を謝罪し受信したメールの削除を依頼するよう命じ、受託事業者より、同日 3 日(月)午後 12 時半過ぎに謝罪及びメールの削除依頼が終了した旨の報告を受けています。
また、個人情報の流出した参加者に対し、お詫びのメールを送信しています。
なお、個人情報保護法に基づき、個人情報保護委員会に報告しております。

5 再発防止策

中災防では、再発防止を図るため、受託事業者に対し、個人情報が含まれた情報の厳格な管理を認識させるとともに、メール送信時の複数人による確認、送信用リストの作成に当たっての人為的ミスを介在させないシステム上の対応を図るよう指導し再発防止を指導しました。

Labels: ,

尚美学園大学 メール誤送信によるお詫びとご報告 2022年10月11日


表題の件につきまして、以下の通り経緯をご報告申し上げます。

令和4年10月7日(金)、本学学費担当職員が配信したメールにつきまして、本来添付すべきファイルではなく、誤ったファイルを添付し、送信していたことが判明しました。

本来、「授業料等の延納・分納願申請」審査結果通知書のみを配信するところ、延納申請時に届けられた個人情報を含むファイルを添付してしまい、延納申請者相互に知り得る事態となりました。

現在62名に対し、個別に状況を説明のうえ謝罪を行い、併せて受信したメールを速やかに削除するよう依頼を行っております。

今回漏洩の対象となった保護者等の皆様、学生の皆様には、多大なるご心配とご迷惑をおかけしましたことを心よりお詫び申し上げます。

本学では今回の事態を重く受け止め、個人情報の厳格な管理と、メール送信時に添付ファイルも含めて適切な内容であるかの確認について、一層の徹底を図り再発防止に努めてまいります。

Labels: ,

株式会社スクウェア・エニックス 不正アクセスとアカウント管理に関するご注意 2022年10月6日


現在、他社のオンラインサービス(「以下、他社サービス」)で流出したと思われるメールアドレスおよびパスワードを組み合わせて、スクウェア・エニックス アカウント管理システムから不正アクセスを試みる第三者による攻撃を確認しております。

お客様が他社サービスでお使いになっているメールアドレスおよびパスワードと同じ組み合わせで、スクウェア・エニックス アカウントをご利用になっている場合、お客様のスクウェア・エニックス アカウントへ第三者のログインを許す不正アクセスの可能性が高くなります。

また、他社サービスで直接的にはお使いになっていないメールアドレスおよびパスワードの組み合わせであっても、パスワードを同じ文字の羅列や生年月日など容易に類推されるものに設定している場合も、被害に遭う恐れが高くなります。

つきましては、他社サービスでお使いになっているメールアドレスおよびパスワードと同じ組み合わせでスクウェア・エニックス アカウントをご利用になっている場合や、容易に類推されるパスワードをご使用になっている場合には、至急パスワードの変更を行ってくださいますようお願い申し上げます。

なお、現時点において、不正アクセスの被害に遭われていると思われるアカウントに対しては、アカウント自体のログイン制限を実施して被害の拡大の防止に努めております。スクウェア・エニックス アカウントでのログインが制限された場合は、スクウェア・エニックス アカウントに登録されているメールアドレス宛てに、ログイン制限解除に関するご案内のメールが送信されますので、パスワードを再設定してからログインしていただくようお願いいたします。

■ワンタイムパスワードについて
ワンタイムパスワードは一定時間のみ有効で、一度ログインに使用すると無効になるため、キーロガー等のスパイウェアに対し非常に有効です。ログインに使用しているIDとパスワード以外に、このワンタイムパスワードを併用することで、不正アクセスへの安全性が飛躍的に向上します。

スマートフォン(iPhone、Android)用のアプリとして、無料でご利用いただけるソフトウェアトークンもご用意していますので、ぜひ導入をご検討ください。

今後も継続して不正アクセスが増加する場合には、すべてのスクウェア・エニックス アカウントに対して、強制的にパスワードのリセットを行わせていただく可能性もございますので、お客様の個人情報とデータを守るため、アカウントの安全な利用にご留意くださいますようお願いいたします。

Labels: ,

トヨタ自動車株式会社 お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて 2022年10月7日


トヨタ自動車株式会社ならびにトヨタコネクティッド株式会社が提供するコネクティッドサービス「T-Connect」をご契約いただいた一部のお客様のメールアドレスおよびお客様管理番号(管理用の目的でお客様お一人お一人に割り振らせていただいている番号)、29万6,019件が漏洩した可能性があることが判明致しました。お客様には大変なご迷惑、ご心配をおかけすることを、心よりお詫び申し上げます。

対象となるお客様は、2017年7月以降、「T-Connect」のユーザーサイトにてご自身のメールアドレスをご登録いただいた方となります。また、漏洩の可能性のある個人情報は、メールアドレスおよびお客様管理番号となり、氏名、電話番号、クレジットカード等その他の情報については、漏洩の可能性はなく、「T-Connect」のサービス自体への影響もございません。

セキュリティ専門家による調査の結果、お客様のメールアドレスおよびお客様管理番号が保管されているデータサーバーのアクセス履歴からは、第三者によるアクセスは確認することはできないものの、同時に完全には否定できない状況となっております。

メールアドレスおよびお客様管理番号が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、お詫びとお知らせを個別にお送りさせていただきます。加えて、ご自身のメールアドレスが、今回の対象となっているか、ご確認いただける専用フォームをホームページ上にご用意したほか、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置致しました。

なお、レクサス車向け「G-Link/G-Link Lite」、および「MyTOYOTA/My TOYOTA+」アプリをご利用時のメールアドレスは、今回問題となったユーザーサイトとは扱いが異なるため、メールアドレス漏洩の可能性はございません。

1.経緯と対応

2022年9月15日、「T-Connect」のユーザーサイトのソースコード(コンピューターの処理を記述したテキスト文)の一部が、GitHub(ソフトウェア開発のプラットフォーム)上に公開されていることを確認いたしました。その結果、2017年12月~2022年9月15日まで、第三者がGitHub上にあるソースコードの一部にアクセス可能な状態になっていたことが判明致しました。公開されていたソースコードには、データサーバーへのアクセスキーが含まれており、それを利用することで、データサーバーに保管されているメールアドレスおよびお客様管理番号にアクセスできることが判明致しました。同日、直ちにGitHub上の当該ソースコードを非公開化し、9月17日にデータサーバーのアクセスキーの変更等の対応を実施しており、二次被害等は確認されておりません。

2.流出の可能性が発生した原因

2017年12月、「T-Connect」ウェブサイト開発委託先企業が、取り扱い規則に反し、ソースコードの一部を誤って公開設定のままGitHubアカウントへアップロードしたことが原因ですが、2022年9月15日までこれに気付かず放置されたままとなっておりました。

本件は、開発委託先企業におけるソースコードの不適切な取り扱いが原因であり、委託元企業として、改めて委託先企業とともに、お客様の個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取組みを進めてまいります。

弊社として、お客様の個人情報を適正に取り扱うことは、企業の重要な社会的責務であることを改めて認識し、お客様の個人情報保護・管理の徹底について、お客様から信頼を寄せていただけるサービスの実現に向け、より一層尽力してまいります。

お客様へのお願い

現時点で本件に関わる個人情報の不正利用は確認されておりませんが、メールアドレスを悪用した「なりすまし」や「フィッシング詐欺」等、迷惑メールが送信される可能性が考えられます。

差出人や件名に心当たりのない不審なメールを受信した場合は、ウイルス感染や不正アクセス等の危険がありますので、メールに添付されているファイルは開封せず、メール自体を直ちに消去いただくようお願いいたします。

また、メール内に記載されたアドレス(URL)へアクセスする際は十分ご注意いただき、「契約内容の確認」・「パスワードの変更」等の名目での偽サイト上の入力フォームへの誘導する手口につきましても、十分にご注意いただくようお願いいたします。

Labels: ,

株式会社ボディワークホールディングス サーバ不具合発生のお詫びとご報告ならびに仮復旧のお知らせ 2022年10月7日


平素よりラフィネグループをご利用いただき誠にありがとうございます。

2022年10月1日(土)正午頃より、弊社サーバにおいて外部からの不正アクセスを検知し、
安全を考慮して一時的にサーバを停止しておりました。
その為、ラフィネブランドサイトが閲覧出来ない状態となっておりましたが、10月7日(金)19時に仮復旧したことをご報告いたします。

今後はラフィネブランドサイトの安全性を高める為、サーバ移管を行いますので、完全復旧は11月下旬頃を予定しております。

また、不正アクセスを検知したサーバでは、お客様の個人情報をお預かりしていない為、
個人情報漏洩の可能性はございませんのでご安心ください。

皆様方には多大なるご不便、ご迷惑をお掛けいたしましたことお詫び申し上げます。

Labels:
登録: 投稿 (Atom)