雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
田沢医院 電子カルテの不具合について 2022年11月01日
ネクストリンクス株式会社 弊社ホームページへの不正アクセス改ざんに伴う情報流出可能性検証経緯のご報告とお詫び 2022年10月20日
この度、弊社ホームページに不正なページが存在するとの指摘を受け調査したところ、弊社ホームページの一部が不正アクセスにより改ざんされ、フィッシング詐欺に利用しようと試みられていたことが判明しました。また、弊社ホームページと同じサーバで運用しているメールサービスにも影響した可能性が発覚し、弊社メールアドレスでの送受信メールが漏洩した可能性があることが判明しました。なお、当該サーバは弊社内の環境と切り離されており、弊社内ネットワークやその他のサービスに影響を及ぼすことはございません。
現在、弊社ホームページにつきましてはセキュアな環境へ移設して再構成して公開しており、不正アクセスがあったサーバは運用を停止いたしました。また、メールにつきましては環境を変更して運用しており、現時点で個人情報等の流出は確認されておりません。
このような事態を招きましたことにより、お客様をはじめ関係者の皆様に多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
弊社では、これまでも個人情報等の取扱い業務にあたっては、情報管理の徹底に努めてまいりましたが、更なるセキュリティ強化を目的に社長直轄のセキュリティマネジメント室を設置し、再発防止に全力で取り組んでまいります。
1.経緯
2022年8月26日
20:47 委託先クラウドサービスセンター経由で「第三者より不審なWebサイトが公開されている報告あり」の連絡。
2022年8月29日
13:00 調査により当Webサイトに脆弱性があることを確認。不正サイトの削除、パスワードの変更、サービスの変更等を実施。
21:00 再度の改ざんを確認したためサービスを停止。
2022年8月30日
21:02 サーバ動作異常。メールサービスからメール受信不可となる。
2022年8月31日
09:00 社内環境でメールが取得できない事を確認。
10:00 委託先クラウドサービスセンターへサーバの状況を連絡して、サーバを再起動するも起動せず→委託先へ原因調査を依頼。
2022年9月1日
09:00 委託先クラウドサービスセンターから調査結果報告があり、必要なディレクトリが存在しないことが起動失敗の原因。
2022年9月2日
外部専門機関への協力要請
2022年9月5日
個人情報保護委員会、JIPDECへの報告
2022年9月30日
外部専門機関から調査結果の報告 ※調査結果報告書(アーカイブ)
2022年10月20日
セキュアな環境にてホームページを公開
2.流出の可能性があるデータ
対象
最大で、弊社が当該メールサービスの利用を開始した2014年10月から2022年8月31日まで(サーバ容量を考慮すると現実的には直近1年以内)の弊社メールアドレスでの送受信メール
項目
氏名、住所、電話番号、メールアドレス、メール本文または添付ファイルに含まれる情報
3.関係者様への対応
現在、情報の流出および不正利用等の報告は受けておりませんが、当該情報の不正利用や漏洩情報を利用した関係者様へのなりすましメール等のサイバー攻撃も想定されますので、不審な電子メール等が届いた場合には、メールは開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。
4.今後の対応
今回の事態を厳粛に受け止め、ホームページとメールサービスの運用を分離し、より強力なセキュリティ機能を有する環境へ移行しました。
今後もセキュリティマネジメント室を中心に、さらなるセキュリティの向上に努めてまいります。
大阪府 個人情報(電子メールアドレス)の流出について 2022年11月4日
(※1)大阪肢体不自由自立活動研究会は、大阪府内の特別支援学校(肢体不自由)及び肢体不自由教育・研究機関に所属する教員等で構成される研究会。大阪府立箕面支援学校は、令和4年度に大阪肢体不自由自立活動研究会の事務局を務めている。
(※2)参加者は、府内特別支援学校教職員、市町村小中学校教職員及び市町村教育委員会職員。
- 事務局の担当者が、講演会のアンケートを依頼するメールを参加者に一斉送信した。
- 参加者から「アドレスが見える状態になっている。」と学校へ連絡があり、「宛先」欄にアドレスを入力して送信していたことが判明した。
- 事務局の担当者から参加者に、メールで経緯説明及び謝罪を行った。
- 校長が府教育庁に報告した。
- 事務局の担当者から参加者に、メールの削除依頼を行った。
- メールを送信する際に、アドレスを「Bcc」欄に入力すべきところ誤って「宛先」欄に入力した。
- 外部の複数名にメールを送信する際は、送信前にアドレス及び入力欄に誤りがないか複数人で確認することとしていたが、それを怠った。
- 当該校及び研究会員に本件事案を共有し、個人情報の取扱い及び外部にメールを送信する際の誤送信の防止等に関することが記載された資料を配布し、注意喚起を行った。
- メール送信前には、すべてのアドレスが「Bcc」欄に入力されていることを必ず複数人で確認し、送信することを周知徹底する。
- 府教育庁から、全府立学校に対して、本件事案を周知するとともに、個人情報の取扱いについて万全を期すよう、注意喚起を行う。
国立大学法人琉球大学 懲戒処分の公表について 2022年11月11日
被処分者は、同じ部局所属の元客員研究員のID とパスワードを使用して、本来研究者本人が受講すべき不正防止のための2つの教育プログラム(e-APRIN、Webclass)を同研究員に代わって受講した。
また、被処分者は、その当時研究に全く従事しておらず、当面研究に従事する予定もなかった同じ部局所属の元職員から、科研費電子申請システムにログインするために必要なe-Rad のID とパスワードを聞き出したうえで、他人名義である元職員の名義で科研費の申請手続をした。
さらに、被処分者は、担当理事から、本件懲戒手続が開始された旨の告知を受けた際、口裏合わせや犯人捜しのようなことはしないように注意されたにもかかわらず、上記の元職員に対してLINEや電話で口裏合わせを依頼したり、調査内容を聞き出そうとする等の調査妨害行為を行った。上記の被処分者の行為のうち、代理受講行為は「研究活動における不正行為に準ずる不適切な行為(国立大学法人琉球大学職員就業規則第54条第16号、第9号)」に、他人名義での科研費申請は「公的研究費の使用及び管理における不正な行為に準ずる不適切な行為(同条第16号、第10号)」に、調査妨害行為は「不正又は非違行為に関わる調査を妨害する行為(同条第15号)」の懲戒事由にそれぞれ該当し、停職3月の懲戒処分とするのが相当であると判断された。
被処分者の行った不正行為等は、研究活動に携わる者として決して許されるものではありません。本学においてこのような事態が発生してしまったことは誠に遺憾であり、関係各方面に対して改めてお詫び申し上げます。本学としては、今回の事案を真摯に受け止め、職員に対して改めて研究倫理に関するルールを遵守するように周知徹底するなどして、再発防止に取り組んでまいります。
ブリティッシュエアウェイズのAvios月額購入プラン
ウェブサイトのセキュリティを向上させるために重要な12の施策
株式会社東京きらぼしフィナンシャルグループ グループ会社の利用するクラウドサービスへの不正アクセスについて 2022 年 11 月 8 日
株式会社セブン&アイ・クリエイトリンク 個人情報紛失についてのお知らせとお詫び 2022 年 10 月 25 日
2022 年 9 月 24 日(土)
プライムツリー赤池SC管理事務所
3.紛失したお取引先従業員様の情報
2019 年 9 月以降にプライムツリー赤池にて従業員登録をされた、テナント従業員の皆様、ならびに警備・清掃・設備保守・インフォメーション・会計業務・販促業務等を委託しておりました協力会社様の従業員の皆様の「氏名」「ユーザID」「所属番号」「資格情報」「ID番号」
お取引先様よりお預かりしている従業員の皆様の個人情報は「氏名」「生年月日」「性別」となります。紛失したUSBメモリ内には、このうち氏名のみが記載されたデータを保存しており、当該データからは勤務先を知ることはできません。このデータは館内の電子錠を開錠するためのセキュリティーカードの発行に使用しておりました。その他の情報は以下の内容となります。
「ユーザID」:登録作業順で付番される8桁の数字
「所属番号」 :区画ごとに設定されている3桁又は4桁の数字(来店客には非公開)
「資格情報」 :どの扉を開錠する権限があるかを示す2桁の数字
「ID番号」 :過去発行して、作成時点で使用していないカードの番号(8桁)を付番
4.紛失した個人情報の数
最大 3,274 名
このうち、2022 年 10 月 2 日時点でプライムツリー赤池に在籍している 1,654 名の従業員の皆様へは、お取引先店舗責任者様を通じてご報告とお詫びをさせていただいております。同日付で在籍していない最大 1,620 名の従業員の皆様については、上記3.記載の通り当方にて個別のご連絡先等を把握していないことから「プライムツリー赤池の公式サイト」「セブン&アイ・クリエイトリンクのコーポレートサイト」への公表をもってご報告とお詫びとさせていただきます。
2022 年9月 24 日(土)、弊社従業員が、セキュリティーカードの作成業務を行う際、当該業務専用PC(オフライン仕様)へのデータ移行用のUSBメモリが所定の保管場所に無いことに気づきました。その後弊社従業員による捜索並びに関係者からの聞き取りなどを、数度に渡り行いました結果、発見に至らず紛失したものとの判断にいたりました。
なお、これまでに当該個人情報が不正に利用された事実は確認されておりません。
6.発生原因
- USBメモリ等の外部媒体の使用や保管におけるルールの不徹底。
- データが適切に消去されていなかったこと(当該作業1回当たりにUSBメモリに保存する個人情報は数十名様分で、本来このデータは作業完了時消去すべきところ、消去されることなくUSBメモリの使用を開始した 2019 年9月以降のデータが蓄積された結果、大量のデータの紛失となりました)。
7.再発防止策
このたびの事態を厳粛に受け止め、再度全社員に個人情報の厳格な管理を改めて指導・徹底してまいります。
セキュリティーカードの作成業務においては、業務フローを見直しUSBメモリ等の外部媒体の使用を禁止致しました。
その他業務におけるUSBメモリ等の外部媒体の使用についても、管理体制の再構築とデータの保存や消去に関するルールの再徹底を行い情報管理の一層の強化を図ります。