田沢医院 電子カルテの不具合について 2022年11月01日


10月27日(木)に「ランサムウェア」の攻撃により、診療記録や予約情報が暗号化されてしまい、電子カルテシステムが使用できない状況となっております。

その為、紙カルテによる診察を行っているほか、予約をお取り頂いても、順番が前後してしまう影響が発生しております。

早期復旧を目指しておりますが、当面の間ご不便をおかけいたします。

なお、個人情報の流出は、現時点で確認されておりません。

ご迷惑及びご心配をお掛けいたしますが、ご理解ご協力のほど、よろしくお願いいたします。


ネクストリンクス株式会社 弊社ホームページへの不正アクセス改ざんに伴う情報流出可能性検証経緯のご報告とお詫び 2022年10月20日

 

この度、弊社ホームページに不正なページが存在するとの指摘を受け調査したところ、弊社ホームページの一部が不正アクセスにより改ざんされ、フィッシング詐欺に利用しようと試みられていたことが判明しました。また、弊社ホームページと同じサーバで運用しているメールサービスにも影響した可能性が発覚し、弊社メールアドレスでの送受信メールが漏洩した可能性があることが判明しました。なお、当該サーバは弊社内の環境と切り離されており、弊社内ネットワークやその他のサービスに影響を及ぼすことはございません。

現在、弊社ホームページにつきましてはセキュアな環境へ移設して再構成して公開しており、不正アクセスがあったサーバは運用を停止いたしました。また、メールにつきましては環境を変更して運用しており、現時点で個人情報等の流出は確認されておりません。

このような事態を招きましたことにより、お客様をはじめ関係者の皆様に多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

弊社では、これまでも個人情報等の取扱い業務にあたっては、情報管理の徹底に努めてまいりましたが、更なるセキュリティ強化を目的に社長直轄のセキュリティマネジメント室を設置し、再発防止に全力で取り組んでまいります。

1.経緯

2022年8月26日

 20:47 委託先クラウドサービスセンター経由で「第三者より不審なWebサイトが公開されている報告あり」の連絡。

2022年8月29日

 13:00 調査により当Webサイトに脆弱性があることを確認。不正サイトの削除、パスワードの変更、サービスの変更等を実施。

 21:00 再度の改ざんを確認したためサービスを停止。

2022年8月30日

 21:02 サーバ動作異常。メールサービスからメール受信不可となる。

2022年8月31日

 09:00 社内環境でメールが取得できない事を確認。

 10:00 委託先クラウドサービスセンターへサーバの状況を連絡して、サーバを再起動するも起動せず→委託先へ原因調査を依頼。

2022年9月1日

 09:00 委託先クラウドサービスセンターから調査結果報告があり、必要なディレクトリが存在しないことが起動失敗の原因。

2022年9月2日

    外部専門機関への協力要請

2022年9月5日

    個人情報保護委員会、JIPDECへの報告

2022年9月30日

    外部専門機関から調査結果の報告  ※調査結果報告書アーカイブ

2022年10月20日

    セキュアな環境にてホームページを公開

2.流出の可能性があるデータ

対象

最大で、弊社が当該メールサービスの利用を開始した2014年10月から2022年8月31日まで(サーバ容量を考慮すると現実的には直近1年以内)の弊社メールアドレスでの送受信メール

項目

氏名、住所、電話番号、メールアドレス、メール本文または添付ファイルに含まれる情報

3.関係者様への対応

現在、情報の流出および不正利用等の報告は受けておりませんが、当該情報の不正利用や漏洩情報を利用した関係者様へのなりすましメール等のサイバー攻撃も想定されますので、不審な電子メール等が届いた場合には、メールは開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。

4.今後の対応

今回の事態を厳粛に受け止め、ホームページとメールサービスの運用を分離し、より強力なセキュリティ機能を有する環境へ移行しました。

今後もセキュリティマネジメント室を中心に、さらなるセキュリティの向上に努めてまいります。

リリース文アーカイブ

大阪府 個人情報(電子メールアドレス)の流出について 2022年11月4日


大阪府立箕面支援学校において、大阪肢体不自由自立活動研究会(※1)(以下「研究会」という。)が主催する「第42回自立活動教育講演会」の参加者に対して、講演会のアンケートを依頼するメールを送信した際、参加者全員の電子メールアドレス(以下「アドレス」という。)が互いに見える状態で送信するという事案が発生しました。

このような事態を招きましたことを深くお詫びいたしますとともに、今後、再発防止に取り組んでまいります。

(※1)大阪肢体不自由自立活動研究会は、大阪府内の特別支援学校(肢体不自由)及び肢体不自由教育・研究機関に所属する教員等で構成される研究会。大阪府立箕面支援学校は、令和4年度に大阪肢体不自由自立活動研究会の事務局を務めている。

1 流出した情報

・講演会参加者(※2)私用アドレス181名分

(※2)参加者は、府内特別支援学校教職員、市町村小中学校教職員及び市町村教育委員会職員。

2 事案の経緯

8月9日(火曜日)
  • 事務局の担当者が、講演会のアンケートを依頼するメールを参加者に一斉送信した。

9月16日(金曜日)
  • 参加者から「アドレスが見える状態になっている。」と学校へ連絡があり、「宛先」欄にアドレスを入力して送信していたことが判明した。

9月20日(火曜日)
  • 事務局の担当者から参加者に、メールで経緯説明及び謝罪を行った。

9月28日(水曜日)
  • 校長が府教育庁に報告した。 

10月21日(金曜日)
  • 事務局の担当者から参加者に、メールの削除依頼を行った。 

3 流出の原因
  • メールを送信する際に、アドレスを「Bcc」欄に入力すべきところ誤って「宛先」欄に入力した。
  • 外部の複数名にメールを送信する際は、送信前にアドレス及び入力欄に誤りがないか複数人で確認することとしていたが、それを怠った。
4 再発防止策
  • 当該校及び研究会員に本件事案を共有し、個人情報の取扱い及び外部にメールを送信する際の誤送信の防止等に関することが記載された資料を配布し、注意喚起を行った。
  • メール送信前には、すべてのアドレスが「Bcc」欄に入力されていることを必ず複数人で確認し、送信することを周知徹底する。
  • 府教育庁から、全府立学校に対して、本件事案を周知するとともに、個人情報の取扱いについて万全を期すよう、注意喚起を行う。

国立大学法人琉球大学 懲戒処分の公表について 2022年11月11日


このたび、本学職員に対して以下のとおり懲戒処分を行いましたので、公表します。

1. 被処分者: 教員

2.処分年月日: 令和4年10月31日

3.処分の内容: 停職3月

4.処分対象事案の概要:
被処分者は、同じ部局所属の元客員研究員のID とパスワードを使用して、本来研究者本人が受講すべき不正防止のための2つの教育プログラム(e-APRIN、Webclass)を同研究員に代わって受講した。

また、被処分者は、その当時研究に全く従事しておらず、当面研究に従事する予定もなかった同じ部局所属の元職員から、科研費電子申請システムにログインするために必要なe-Rad のID とパスワードを聞き出したうえで、他人名義である元職員の名義で科研費の申請手続をした。

さらに、被処分者は、担当理事から、本件懲戒手続が開始された旨の告知を受けた際、口裏合わせや犯人捜しのようなことはしないように注意されたにもかかわらず、上記の元職員に対してLINEや電話で口裏合わせを依頼したり、調査内容を聞き出そうとする等の調査妨害行為を行った。

上記の被処分者の行為のうち、代理受講行為は「研究活動における不正行為に準ずる不適切な行為(国立大学法人琉球大学職員就業規則第54条第16号、第9号)」に、他人名義での科研費申請は「公的研究費の使用及び管理における不正な行為に準ずる不適切な行為(同条第16号、第10号)」に、調査妨害行為は「不正又は非違行為に関わる調査を妨害する行為(同条第15号)」の懲戒事由にそれぞれ該当し、停職3月の懲戒処分とするのが相当であると判断された。

5.学長コメント:
被処分者の行った不正行為等は、研究活動に携わる者として決して許されるものではありません。本学においてこのような事態が発生してしまったことは誠に遺憾であり、関係各方面に対して改めてお詫び申し上げます。

本学としては、今回の事案を真摯に受け止め、職員に対して改めて研究倫理に関するルールを遵守するように周知徹底するなどして、再発防止に取り組んでまいります。


ブリティッシュエアウェイズのAvios月額購入プラン


ブリティッシュ・エアウェイズは、同社のロイヤリティ・プログラム「エグゼクティブ・クラブ」の会員に、Aviosロイヤリティ・ポイントを定期的に提供すると発表した。

Aviosは、ブリティッシュ・エアウェイズ、イベリア航空、エア・リンガス、ブエリング、フライビーの共通マイル。

会員は、Voyager、Traveller、Explorer、Adventurerの4つのプランのいずれかを選択することができます。 加入は月単位または年単位で可能。年会費は前払い制で、約20%の割引となる。  プランのレベルが高いほど、Aviosの単価は低くなります。

月額29ドル、年額315ドルのVoyagerは、毎月1,667Avios、年間合計20,000Aviosが提供されます。Travellerは、月額75ドルまたは年額779ドルで、毎月4,167Avios、年50,000Aviosとなります。

Explorerは月額149ドルまたは年額1545ドルで、毎月8,334Avios、これは年100,000Aviosとなります。Adventurerは月額299ドルまたは年額3,069ドルで、月々16,667Avios、年間合計200,000Aviosとなります。

https://pgt.shopping.ba.com/subscription

ウェブサイトのセキュリティを向上させるために重要な12の施策


今日のデジタル時代において、ビジネスウェブサイトは成功のために不可欠です。潜在的な顧客に製品やサービスに関する情報を提供するだけでなく、顧客と直接つながり、関わりを持つことができるからです。

しかし、単にウェブサイトを持つだけでは十分ではありません。効果的で安全なサイトを作るには、必要なセキュリティ機能をすべて備えていることを確認する必要があります。今回は、ビジネスサイトが必ず備えておくべき12のセキュリティ機能について解説します。

1. プラグインやソフトウェアの自動アップデートを有効にする

WordPressサイトを保護するための最もシンプルで効果的なセキュリティ対策の1つは、すべてのプラグインとソフトウェアを最新の状態にすることです。古いソフトウェアは、攻撃者がウェブサイトにアクセスするための最も一般的な方法の一つです。すべてを最新の状態に保つことで、脆弱性が悪用されるのを防ぐことができます。

ほとんどのプラグインやソフトウェアは、設定メニューから自動更新を有効にすることができます。WordPressの場合は、Easy Updates Managerというプラグインもあり、簡単に最新の状態にすることができます。

2.  強固なパスワードポリシー

強力なパスワードポリシーは、悪意のある行為者からウェブサイトを保護するための第一歩です。強力でユニークなパスワードを要求することで、攻撃者がサイトにアクセスするのを大幅に難しくすることができます。Webサイトのバックエンドをしっかりと保護し、許可されたユーザーだけがアクセスできるようにする必要があります。そのためには、パスワードマネージャーを使用して、強力なパスワードを生成し、保存することを検討する必要があります。また、複数のサイトで同じパスワードを使用することは絶対に避けてください。

3. 二要素認証

二要素認証(2FA)は、Webサイトに導入することを検討すべき重要なセキュリティ対策です。2FAは、ユーザーがサイトにアクセスする前に2つの情報を提供するよう要求することで、セキュリティのレイヤーを追加するものです。これには、パスワードと、携帯電話のアプリで生成されるワンタイムコードが含まれる場合があります。2FAは、攻撃者がパスワードを知っていても、サイトにアクセスできないようにすることができます。

4.  SSL(セキュア・ソケット・レイヤー)証明書

SSL証明書は、ユーザーの情報を保護したいWebサイトには必須のものです。SSLは、あなたのウェブサイトとユーザーのウェブブラウザとの間の通信を暗号化します。つまり、攻撃者が通信を傍受できたとしても、それを読み取ることはできないのです。また、SSLは認証機能も備えており、攻撃者が設定した偽のサイトではなく、ユーザーが意図したサイトと通信していることを確認することができます。

HTTPSやSSL証明書のようなものがGoogleのランキング指標の一部となり、ウェブサイトのSEOに貢献することが増えています。訪問者やユーザー(機密性の高いクレジットカード情報を提供する人々)を保護するための努力を怠ると、彼らは他の場所に仕事を移してしまうかもしれません。

5. ウェブアプリケーションファイアウォール(WAF)

Webアプリケーションファイアウォール(WAF)は、Webサイトとインターネットの間に設置されるソフトウェアの一部です。WAFは、お客様のサイトへのトラフィックをフィルタリングし、悪意があると判断したリクエストをブロックします。WAFは、SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃を阻止するのに非常に効果的です。

6. 侵入検知・防御システム(IDPS)

侵入検知防御システム(IDPS)は、Webサイトへの攻撃を検知・防御するために設計されています。IDPSシステムには、ホスト・ベースとネットワーク・ベースの2種類があります。ホストベースのIDPSは、Webサイトをホストしているサーバーにインストールされます。サーバーへのトラフィックとサーバーからのトラフィックを監視し、攻撃を検出してブロックすることができます。ネットワークベースのIDPSは、お客様のネットワークにインストールされ、WebサイトへのトラフィックとWebサイトからのトラフィックを監視します。どちらのタイプのIDPSも攻撃を阻止するのに有効ですが、それぞれ長所と短所があります。

7. セキュリティロギングとモニタリング

セキュリティロギングと監視は、あらゆるWebサイトにとって重要なセキュリティ対策です。サイト上のすべてのアクティビティをログに記録することで、悪意のあるアクティビティを追跡し、適切な対処を行うことができます。また、ログを定期的に監視して、異常な活動がないかどうかを確認する必要があります。

8. 安全なホスティング環境

安全なホスティング環境は、どのようなウェブサイトにも不可欠です。ホストは、最新のセキュリティパッチを適用した安全なサーバーを提供する必要があります。彼らはまた、ウェブサイトのホスティングの経験を持っており、あなたがそれを必要とする場合は、専門家のサポートを提供することができるはずです。DDOS保護とバックアップのようなものはまた、重要な考慮事項です。サービス拒否攻撃は増加傾向にあり、ウェブサイトの所有者は、準備する必要があります。ホスティングプロバイダーが誰であるかは、違いを生みます。

9. 定期的なセキュリティスキャン

定期的なセキュリティスキャンは、Webサイトのセキュリティにとって不可欠な要素です。スキャンは、サイトの脆弱性を特定し、攻撃者に悪用される前に修正するのに役立ちます。セキュリティ・スキャンには、ウェブアプリケーション・スキャン、ネットワーク・スキャン、マルウェア・スキャンなど、さまざまな種類があります。

10. マルウェアのスキャンと除去

マルウェアは、あらゆるWebサイトにとって深刻な脅威です。悪質なコードは、機密情報の窃取やサイトの改ざん、さらにはオフラインにするために使用されることもあります。定期的にマルウェアのスキャンを行い、発見されたマルウェアを削除することが重要です。

11. スパム対策

スパムは、多くのWebサイトにとって大きな問題です。コメント欄や問い合わせフォーム、さらにはウェブサイトのデータベースまでが詰まってしまうことがあります。CAPTCHAコードの使用や、コメントの登録を義務付けるなど、スパムに対抗する方法はいくつもあります。AkismetはWordPressの人気プラグインで、スパムを阻止するのに優れた働きをします。

12. 従業員への周知

最も重要なセキュリティ対策の1つは、ウェブサイトのセキュリティについて従業員を教育することです。従業員は、フィッシングメールの見分け方、自分のコンピューターがマルウェアに感染していると疑われる場合の対処法、パスワードの安全な管理方法などを知っておく必要があります。また、セキュリティ侵害が発生した場合の対応についても、明確な方針を定めておく必要があります。

株式会社東京きらぼしフィナンシャルグループ グループ会社の利用するクラウドサービスへの不正アクセスについて  2022 年 11 月 8 日


当社は、当社グループ会社の綺羅商務諮詢(上海)有限公司(董事長 戸松 清秀、以下「綺羅商務諮詢」といいます。)の利用するクラウド型ファイルシステムにおいて、2022 年 11 月 7 日に第三者による不正なアクセスが検知されたことを確認いたしましたのでお知らせいたします。
同システムには、綺羅商務諮詢の社内情報および同社の提供するサービスをご利用いただいた法人のお客さまの情報が含まれており、現在、事実関係の詳細について調査を行っております。
現時点で判明している事項は以下のとおりです。

<現時点で判明している事項>

・綺羅商務諮詢が利用するクラウド型ファイルシステムにおいて、外部からの不正アクセスが検知された。

・同システムには、綺羅商務諮詢の社内情報および同社の提供するサービスをご利用いただいた法人のお客さまの情報が含まれており、不正アクセスによりデータが閲覧できない状態が続いている。

・現時点で、同システムからの情報漏洩は確認されていない。

事実関係の詳細につきましては引き続き調査を行い、本ホームページにてご報告いたします。

お客さまにご心配をおかけいたしますことを深くお詫び申し上げます。

株式会社セブン&アイ・クリエイトリンク 個人情報紛失についてのお知らせとお詫び 2022 年 10 月 25 日


拝啓 平素は格別のご高配を賜り厚く御礼申し上げます。

このたび、弊社が運営管理しておりますプライムツリー赤池において、お取引先様の従業員の皆様の個人情報が保存されたUSBメモリを紛失したことが判明しました。事案の概要につきましては、下記のとおりでございます。

お取引先様ならびにその従業員の皆様には多大なるご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。今回の事案を重く受け止め、情報の厳正管理の徹底を図り、再発防止に努めてまいります。

1.紛失判明日
 2022 年 9 月 24 日(土)

2.紛失場所
 プライムツリー赤池SC管理事務所

3.紛失したお取引先従業員様の情報

 2019 年 9 月以降にプライムツリー赤池にて従業員登録をされた、テナント従業員の皆様、ならびに警備・清掃・設備保守・インフォメーション・会計業務・販促業務等を委託しておりました協力会社様の従業員の皆様の「氏名」「ユーザID」「所属番号」「資格情報」「ID番号」

お取引先様よりお預かりしている従業員の皆様の個人情報は「氏名」「生年月日」「性別」となります。紛失したUSBメモリ内には、このうち氏名のみが記載されたデータを保存しており、当該データからは勤務先を知ることはできません。このデータは館内の電子錠を開錠するためのセキュリティーカードの発行に使用しておりました。
その他の情報は以下の内容となります。

「ユーザID」:登録作業順で付番される8桁の数字

「所属番号」 :区画ごとに設定されている3桁又は4桁の数字(来店客には非公開)

「資格情報」 :どの扉を開錠する権限があるかを示す2桁の数字

「ID番号」 :過去発行して、作成時点で使用していないカードの番号(8桁)を付番

4.紛失した個人情報の数

 最大 3,274 名

 このうち、2022 年 10 月 2 日時点でプライムツリー赤池に在籍している 1,654 名の従業員の皆様へは、お取引先店舗責任者様を通じてご報告とお詫びをさせていただいております。同日付で在籍していない最大 1,620 名の従業員の皆様については、上記3.記載の通り当方にて個別のご連絡先等を把握していないことから「プライムツリー赤池の公式サイト」「セブン&アイ・クリエイトリンクのコーポレートサイト」への公表をもってご報告とお詫びとさせていただきます。

5.紛失が判明した経緯および情報漏洩の可能性
2022 年9月 24 日(土)、弊社従業員が、セキュリティーカードの作成業務を行う際、当該業務専用PC(オフライン仕様)へのデータ移行用のUSBメモリが所定の保管場所に無いことに気づきました。その後弊社従業員による捜索並びに関係者からの聞き取りなどを、数度に渡り行いました結果、発見に至らず紛失したものとの判断にいたりました。
なお、これまでに当該個人情報が不正に利用された事実は確認されておりません。

6.発生原因

  • USBメモリ等の外部媒体の使用や保管におけるルールの不徹底。

  • データが適切に消去されていなかったこと(当該作業1回当たりにUSBメモリに保存する個人情報は数十名様分で、本来このデータは作業完了時消去すべきところ、消去されることなくUSBメモリの使用を開始した 2019 年9月以降のデータが蓄積された結果、大量のデータの紛失となりました)。

7.再発防止策

このたびの事態を厳粛に受け止め、再度全社員に個人情報の厳格な管理を改めて指導・徹底してまいります。

セキュリティーカードの作成業務においては、業務フローを見直しUSBメモリ等の外部媒体の使用を禁止致しました。

その他業務におけるUSBメモリ等の外部媒体の使用についても、管理体制の再構築とデータの保存や消去に関するルールの再徹底を行い情報管理の一層の強化を図ります。

リリース文アーカイブ