イタズラのために不正アクセスを行った郡山市の20代女性職員が懲戒処分を受ける


郡山市は11月17日付で20代の女性職員を戒告の懲戒処分としたと発表した。

郡山市によると、懲戒処分を受けた20代の女性職員は今年7月、勤務時間中に他の職員18人のIDとパスワードを使い、職員間でメールやチャットなどの情報を共有するグループウェアへ不正にログイン。

職員3人のプロフィール欄とスケジュール欄にいたずらのような書き込みをしたり、架空の食事会の予定を書き込んだという。

書き込みは人生観や哲学的なポエムのような内容で、このほかにも12人の職員の住所や年齢などの個人情報を閲覧した。

書き込みをされた職員がシステムを管理する部署に相談したことで調査が行われ、一連の行為が明らかになった。

懲戒職分を受けた女性職員が不正にログインした回数は47回に上り、市の調査に対し「軽い気持ちでやってしまった」、「相手の気持ちを考えることができず、深く反省しています」などと話しているという。

郡山市では多くの職員がログインのパスワードを類推されやすい初期設定のものから変更していなかったことが不正アクセスにつながったとして、全ての職員のパスワードを変更するなど再発防止対策をとった。

岩国市の中学校の職員室で録音機能が稼働中のタブレットに気づかず教員が生徒の悪口を言う⇒録音データが生徒間で共有される⇒悪口を言われた生徒が登校できなくなる⇒発言した悪口が漏洩した教諭も出勤できなくなる


山口県岩国市の公立中学校で、生徒の学習用タブレットに職員室での会話が録音され、生徒の個人情報などが入った音声データが複数の生徒に漏れたことが2022年11月17日分かりました。生徒の1人はショックを受け、登校できなくなっているということです。

関係者によりますと10月末ごろ、岩国市の公立中学校で、生徒が教室に忘れたタブレットを教諭が職員室の机の上で保管しました。そのタブレットは録音機能が作動していて、教諭どうしによる生徒への生活指導の情報や、生徒への個人的な感情などを含む会話が録音されていました。翌日タブレットを返却された生徒が録音に気づき、複数の生徒に録音データを送信。名前の出た生徒の1人はショックを受け、今月上旬から登校できなくなっているということです。また、会話を録音された教諭1人も出勤できなくなったということです。
学校は生徒の自宅を回って謝罪するとともに、録音データを消去し、これまでに外部への情報流出は確認されていないということです。

富山市八尾中学校で全生徒の成績が教師と生徒に共有される


富山市の八尾中学校で全校生徒の成績などの情報を共有ファイル上で一部の生徒が見ることができる状態になっていたことがわかり、富山市教育委員会は全校生徒に説明するとともに謝罪しました。

富山市教育委員会によりますと共有ファイルで見ることができる状態になっていたのは富山市立八尾中学校の全校生徒447人分の学力テストの合計点や学年の順位などの情報です。
生徒会の委員会活動のために教員が別の教員からデータを受け取った後、成績の情報が含まれていることに気づかないまま、2022年10月7日に共有ファイルにあげ、委員会に所属する生徒25人が見ることができる状態になっていたということです。
この教員は10月15日に成績の情報が含まれていることに気づき、生徒が見られない状態にしましたが、管理職への報告は行っていませんでした。
また、委員会の生徒25人のうち7人がほかの生徒の成績などの情報を見ていましたが、教育委員会によりますと外部への情報流出やSNSなどでの拡散は、現時点で確認されていないということです。
富山市教育委員会は「得点や順位など成績の情報が共有されていたことが一番大きな問題」だとして20日、全校集会を開いて、生徒に説明するとともに謝罪したということです。

福知山公立大学北近畿地域連携機構 メールアドレスの流出について  2022年11月11日


福知山公立大学 北近畿地域連携機構において、メール送信に関する事故が発生しましたので、お知らせします。

関係者の皆様には多大な御迷惑をおかけし、深くお詫び申し上げます。

1 事故の概要

北近畿地域連携機構の事務担当者が、当該機構が主催するイベントの案内メールを、事前に情報提供を希望されていた方に送信した際、メールアドレスをBcc欄に入力すべきところ、誤って Cc 欄に入力して一斉送信したことにより、それぞれが相互にメールアドレスを閲覧できる状況となってしまいました。

(1)発生時期 令和4年11月 9 日(水)
(2)流出したメールアドレス(247名分)

2 事故発生後の対応

全受信者に対し、お詫びと当該メールの削除依頼のメールを送信しました。

3 発生の原因及び再発防止策

発生の原因は、外部へ一斉送信する際はメールアドレスを Bcc 欄に入力すべきところ、誤って Cc 欄 に入力したことです。

今後、複数の宛先にメール送信を行う際には、宛先が「Bcc」に入力されていることの確認を確実に行い、誤送信の防止を徹底するよう、改めて学内の全教職員に対して注意喚起を行います。

日本出版販売株式会社 不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ 2022年11月15日


このたび、弊社運営のオンライン通販サイト「Honya Club.com(以下、ECサイトといいます)」に導入していた画面表示変換サービス(株式会社ショーケース提供)に対して第三者による不正アクセスがあり、お客様がクレジットカード(以下、カードといいます)の情報を入力した際、第三者にカード情報(427件)を不正取得された可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑とご心配をおかけしておりますこと、心より深くお詫び申し上げます。

カード情報が流出した可能性のある対象のお客様には、電子メールにて弊社よりお詫びとご説明のご連絡を個別に実施しております。電子メールをお届けできなかったお客様には、書状にてご連絡させていただきます。

既に弊社では株式会社ショーケースのサービスの切り離しを実施しております。

また、第三者調査機関によるフォレンジック調査を実施し、当該サービス以外の理由による個人情報の漏えいが無いことおよび本ECサイトのプログラム改ざん、サイト全体への不正アクセスが存在しないことを確認いたしました。

なお、弊社では複数のサイトを運営しておりますが、今回の対象はオンライン通販サイト「Honya Club.com」のみとなっております。

弊社では、このたびの事態を厳粛に受け止め、お客様には誠心誠意、適切な対応をさせていただくとともに、再発防止の対策を徹底してまいります。

本件に関する事案概要と弊社の対応につきまして、下記のとおりご報告いたします。

1. 事案概要
(1)事象及び原因
ECサイトのクレジットカード情報入力画面に導入していた、株式会社ショーケースが提供する画面表示変換サービスのプログラムが、第三者によって改ざんされ、カード情報が不正に取得されておりました。
なお、同社による発表につきましては、こちらをご参照ください。

▼株式会社ショーケース 不正アクセスに関するお知らせとお詫び(2022年10月25日)
URL:https://www.showcase-tv.com/pressrelease/202210-fa-info

(2)流出対象のお客様と流出した情報 等
2022年7月19日から同年7月28日までの間に、ECサイトにてカード情報を入力してご購入いただいたお客様424人が対象です。
※流出対象者の皆さまには、弊社から個別にご案内を実施しております。
※商品の店舗受取、宅配の代引き支払いは対象ではありません。

(3)流出したカード情報
・カード番号
・カード有効期限
・セキュリティコード

2. 発覚と対応の経緯
  • 2022年7月28日、株式会社ショーケースから、ECサイトを利用したお客様のカード情報の流出懸念について連絡を受けました。また、本件の全容解明および被害状況の把握に向け、社内調査を実施いたしました。
  • 2022年8月3日、株式会社ショーケースが、手口と原因、流出対象の特定に向け外部専門会社によるフォレンジック調査を開始しました。
  • 2022年8月10日、ECサイトにおいてクレジットカード決済を停止しました。
  • 2022年9月20日、当社にてクレジットカード情報漏えい調査機関によるフォレンジック調査を開始しました。
  • 2022年10月27日、クレジットカード情報漏えい調査機関による当社のフォレンジック調査が完了しました。
3. 弊社の対応
(1) 警察への報告
2022年8月5日、神田警察署に報告いたしました。
(2) 行政機関への報告
2022年8月3日、個人情報保護委員会に報告いたしました。
(3) お客様への対応
2022年11月15日から、流出対象のお客様に対し、お詫びと説明を開始しました。

4. お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
個別にご連絡をさせていただいたお客様におかれましては、誠に恐縮ではございますが、以下をご確認いただけますようお願い申し上げます。

(1) カードの利用履歴の確認
身に覚えのないカードの利用履歴がないかご確認をお願いいたします。流出した可能性があるカード情報につきましては、お客様にご迷惑がかからないよう、弊社より各カード会社へ不正利用の監視強化を依頼しております。
万が一、カードの明細書に身に覚えのない請求がございました場合は、お手数ではございますが、カード裏面に記載のカード発行会社へお問い合わせいただきますようお願い申し上げます。

(2) カード再発行をご希望される場合のご相談
また、お客様がカードの再発行をご希望される場合、カード裏面に記載のカード発行会社へご相談いただきますようお願いいたします。カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりカード会社に依頼しております。
その他、ご不明点がございましたら、弊社専用コールセンターまでご連絡をお願い申し上げます。

5. 発表が遅れた経緯
2022年7月28日の漏洩懸念発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

6. 再発防止策ならびにECサイトでのクレジットカード決済の再開について
弊社はこのたびの事態を厳粛に受け止め、本件の被害拡大の防止に努めるとともに、今後の再発防止策の徹底、およびより一層の情報セキュリティ対策の強化に取り組んでまいります。
なお、ECサイトでのクレジットカード決済再開日につきましては、決定次第、改めてECサイト上にてお知らせいたします。
このたびは、お客様およびご関係者の皆さまに、多大なるご不安ご迷惑をお掛けしておりますことを重ねてお詫び申し上げます。

株式会社ワコールアートセンター パソコン盗難による個人情報漏えいのおそれについて 2022年11月11日



このたび、弊社で個人情報漏えいのおそれがある事案が発生しましたためご連絡申し上げます。現時点では報告は挙がっておりませんが、今後お客様にご迷惑をおかけする可能性がありますこと、大変申し訳ございません。弊社としては全力を挙げてみなさまへのご対応と再発防止に取り組む所存です。何卒ご理解賜りますようお願い申し上げます。

■事故発生の概要
弊社が横浜市より運営業務を受託している象の鼻テラスにおいて、弊社の業務委託契約者が、2022年10月28日 午前8時50分ごろ、通勤電車内でパソコンの盗難に遭う事案が発生しました。弊社にて確認したところ、当該パソコンには次の個人情報が含まれておりました。パソコンにログインする際にはパスワードの入力が必要ですが、情報が漏えいするおそれもございますため、ご連絡させていただきます。

■漏えいするおそれがある個人情報等
現時点で漏えいするおそれがある対象の方は次のとおりです。
 
  • 市民参加型ダンスイベント「ダンス縁日」参加グループ代表者様(152名)の氏名、住所、メールアドレス、電話番号
 
  • 週末を中心に開催している「ZOU-SUN-MARCHE」 出店者様(302名)の氏名、住所、メールアドレス、電話番号、振込用銀行口座番号
 
  • 当施設での催事実施に関わる運営、警備、設備設営等その他の関係者(64名)の担当者情報
 
上記518名の方に関しましては、2022年11月9日(水)よりメール又はお電話にてご連絡をさせていただいております。

■現在の状況
  • 前述のとおり、当該パソコンにログインする際、一定の長さ・複雑さをもったパスワード入力が求められる設定としておりました。そのため、すぐに情報が漏えいするという状況に至ることは極めて少ないと考えております。
  • 当該パソコンに操作履歴を取得するソフトをインストールしており、インターネットに接続されればその履歴の取得が可能です。現時点でインターネットに接続された形跡はございません。

  • 当該パソコンが弊社社内ネットワークに接続する際の接続情報は変更済みです。過去のアクセス履歴からも社内ネットワークにある情報を持ち出された形跡はありませんでした。
■二次被害またはそのおそれの有無およびその内容
現在のところ二次被害の発生は確認しておりません。今後、何か状況に変化があれば速やかにご連絡いたします。
 
■当面の対応策
  • 所轄の警察には盗難届を提出済みです。
  • 引き続きネットワーク接続の有無を監視いたします。
  • 個人情報保護委員会に当件について報告済みです。顧問弁護士とも相談のうえ、指示に従い対応いたします。
​​​​​​​■再発防止策
  • パソコンを盗難・紛失しないための対策として、携帯時の行動ルールを総務省テレワークセキュリティガイドライン等に照らして今一度見直し、委託先を含め社内においてそれらを徹底します。
  • 万が一、パソコンが盗難に遭った際の対策として、パスワードの二重化(ハードウェア、OSパスワード)・パスワード強度の見直しなどセキュリティ対策を強化します。

  • パソコン内にはファイルを置かず、ファイルサーバに保存する運用とし、万が一、第三者にパソコンを起動されてもファイルサーバへのアクセスを断つことで、お客様の個人情報、機密情報を盗まれないようにいたします。

株式会社リケン 当社サーバーへの不正アクセスに関するお知らせ(第四報) 2022年11月11日



当社サーバーへの不正アクセスに関しては、関係者の皆さま、お客さまはじめ関係各位に多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

2022 年 7 月 19 日付「当社サーバーへの不正アクセスに関するお知らせ」、同月 26 日付「同(第二報)」及び 8 月 30 日付「同(第三報)」にて逐次状況をお知らせしてまいりましたが、その後の当社の状況と外部の専門調査会社による調査結果につき、以下の通りお知らせいたします。 

現時点で、本件にかかわる個人情報やお客さまの機密情報の不正利用等は確認されておりません。また、情報システム及び業務については正常化しており、既報のとおり全体として当社製品の製造に大きな影響は出ておりません。 

専門調査会社の調査結果によれば、今回の不正アクセスは、VPN 機器の脆弱性を悪用し、攻撃者が不正に窃取した当社システムの一部認証情報を使って当社システムに不正侵入、当社サーバー及びパソコンのファイル暗号化及び一部情報の窃取を行っていたものです。

当社は、不正アクセスの判明直後に社内サーバーをネットワークから遮断、不審ファイル有無を確認、OS 及びソフトウェアの最新化、最新ウイルス対策ソフトによるフルスキャン実施、パスワードポリシー強化等の対策を行いました。また、外部接続を監視する SOC サービスならびに機器の不正な挙動等を早期検知するEDRも強化・導入しております。

現在、社内サーバー、ネットワーク、システムは概ね復旧済みで、再度の不正アクセスへの対策は完了しておりますが、今後は更にネットワークアクセスの監視体制や認証方法を強化し、当社グループ全体での再発防止を末端まで徹底してまいります。くわえて、情報セキュリティ管理体制の再整備と組織改編、全役員従業員に対する情報リテラシー教育等を計画的かつ迅速に実施していくことにより、情報セキュリティへの組織全体での意識強化に努めてまいる所存です。 

なお、本件によるシステム障害が今年度の当社業績に及ぼす影響については、大きな影響はないものと考えておりますが、本件により、関係者の皆さま、お客さまはじめ関係各位に多大なるご迷惑、ご心配をおかけしましたことを、改めて深くお詫び申し上げます。 



株式会社女性モード社 個人情報漏えいに関するお詫びとご報告 2022年11月9日


この度、弊社が運営するWEBサイト「女性モード社WEBサイト」ならびに「meme mag(ミームマグ)」、アプリ「JOSEI MODE BOOKS」でご利用いただける会員ID(Eメールアドレス)等が不正アクセスにより漏えいし、一部の個人情報が外部へ漏えいした可能性があることが判明いたしました。

(本件は、2017年6月30日以前に登録された方が漏えいの対象となります)

お客さまならびに関係者の皆さまに多大なるご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

内容および対応については以下のとおりです。

1.概要

2022年11月1日(火)第三者から当社宛に、会員ID(Eメールアドレス)等が漏えいしているという情報提供があり、翌11月2日(水)当社WEBサイトに登録されたお客さまの個人情報漏えいの可能性があることを確認し、調査を行なった結果、第三者の不正アクセスによるの情報漏えいであることが判明いたしました。
なお、現在のところ当該個人情報が不正に使用された事実は確認、報告されておりません。

2.漏えいを確認した情報及び漏えいの可能性がある情報

2017年6月30日以前に会員登録されたお客さまの会員ID(Eメールアドレス)とパスワードの組合せ7420件の情報漏えいを確認しております。また、その会員ID(Eメールアドレス)に紐づく一部の個人情報が漏えいした可能性がございます。なお、クレジットカード番号等の決済情報は、当社には保管しておりませんので、これに含まれておりません。

3.経緯および対応

2022年11月1日(火)第三者から当社WEBサイトのお問い合わせフォームより、会員ID(Eメールアドレス)等が漏えいしているという情報提供があり、即時WEBサイト上のログイン機能を停止いたしました。翌11月2日(水)より本件に関する調査を開始し、第三者による不正アクセスが2017年6月30日~2018年4月2日の間に行われたものであり、現在運用中のWEBサイトから漏えいしたものではないと判断いたしました。当時、システムに脆弱性があった事、現在はより安全性の高いサーバー及びシステムの変更を行うと共にセキュリティ対策強化を施した上で運営していることを確認しております。

4.お客さまへのお願い

万全を期すため、すべての会員の皆さまにパスワードの変更をお願いいたします。

また、他社サイト・サービスへの不正ログインを防止するため、弊社WEBサイトで登録されたEメールアドレス(会員ID)・パスワードと同じ組み合わせで登録されているWEBサービス等につきましても、第三者が容易に推測できないパスワードへの変更をお願いいたします。


11月1日(火)の漏えい懸念から本日のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば漏えいの可能性がある時点でお客さまにご連絡し、注意を促したかったのですが、不確定な情報のままお伝えすることは混乱を招くことになり、お客さまへのご迷惑を最小限に食い止める準備を整えてからの告知が不可欠であると判断し、調査・対応に時間を要しました。なお、漏えい対象のお客さまにつきましては、漏えいの疑いが発覚したタイミングより、被害拡大防止の観点から当該サイトにログインができぬよう制限をかけさせて頂いております。