千葉県習志野市の中学校教諭が車上荒らしに遭い、個人情報が盗まれる


習志野市教育委員会は2022年11月28日、市立中学の30代男性教諭が26日夕に船橋市内で車上荒らしに遭い、車内に置いていたリュックごと生徒20人分の個人情報入り書類を盗まれたと発表した。船橋署に被害届を出し、生徒と保護者に謝罪した。情報が悪用された形跡はないという。

習志野市教委によると、市内各中学校からスポーツの選抜チームに選ばれた20人の名前や生年月日、身長、保護者連絡先を記載。教諭は27日の練習会で使うためリュックに入れ、帰宅途中に寄った商業施設の駐車場で約40分の間に窓ガラスを割られて盗まれた。市教委は「置いたままにすべきではなかった。全教職員に再度、個人情報の取り扱いの指導を徹底する」とした。

三重大学 外部機関が運営しているサイト上における個人情報の漏えいについて 2022年11月22日


令和4年10月5日(水)、外部機関から、同機関が運営しているサイト(「外部サイト」)で公表した本学関連資料(令和3年7月公表)について、個人情報に係る部分の秘匿処理について照会があり、確認した結果、十分でないまま公表していることが判明いたしました。本学においては、個人情報保護規程等に基づき個人情報の適切な管理に努めて参りましたが、このような事態を招き、関係の皆さまに多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

1.閲覧可能な状態であった個人情報の内容と該当者数
・学生1名の「学籍番号」及び「氏名」
・卒業生に関する次の内容
 (1) 70名の「学籍番号」及び「氏名」(平成16~26年度入学)
 (2) 616名の「学籍番号」(平成21~28年度入学)
 (3) 36名の「氏名(姓のみ)」(平成8~30年度卒業)
・元研究生1名の「氏名」 
・平成24~令和元年度に本学各種事業にご協力いただいた学外者110名の「氏名」
・元教職員2名の「メールアドレス」
・教職員1名の「住所」及び「連絡先(電話番号及びメールアドレス)」

計837名

2.判明後の対応
該当の資料については、外部機関において9月30日(金)付けで公表が停止されました。その後、10月18日(火)付けで該当の資料がWeb上から削除されたこと、11月9日(水)までにキャッシュデータを含む本件個人情報がWeb上から削除されたことを本学において確認しております。

また、個人情報が漏えいした可能性があり連絡先がわかる方には、個別に連絡等をさせていただいております。

なお、これまでに本件の個人情報が不正に使用された事実は確認されておりません。

3.漏えいの原因

本学において、外部機関に資料を提出する際の確認が不十分であったため、一部、個人情報に係る部分の秘匿がされていなかったほか、秘匿した箇所についても、当該データを加工することによって閲覧可能な状態になっていました。

4.本学からのコメント
本学では、教職員に対し研修会を通じ、個人情報保護の適切な管理に取り組んで参りましたが、このような事態を招いたことを深く反省し、本事象を教訓に今後の個人情報保護と情報セキュリティに関する教育研修を一層強化の上、計画的・継続的に実施し、個人情報保護の重要性を周知徹底するとともに、再発防止に努めて参ります。

株式会社山形スズキ 個人情報流出の可能性に関するお詫びとご報告 2022年11月28日


このたび、弊社のパソコンがサイバー攻撃を受け、弊社が保有するお客様の個人情報が外部に流出した可能性があることが判明いたしました。お客様をはじめ関係者の皆様に多大なるご迷惑とご心配をお掛けする事態となりましたことを、深くお詫び申し上げます。

なお、現時点で、お客様の個人情報が不正に利用されたり、悪用されたりしたという事実は確認されておりません。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、詳細につきまして、下記のとおり報告いたします。

1)経緯
2022 年 11 月 17 日、弊社のパソコンがサイバー攻撃を受け、遠隔操作された際にお客様の個人情報が抜き取られた可能性があります。なお、パソコンはすぐにネットワークから切り離しております。

2)流出した可能性のある個人情報
2,455 件分のお客様の個人情報(以下の項目が記載されたデータ)
氏名、住所(町名まで)、車両情報(車種、車台番号、登録日)
※これ以外にお客様の電話番号やクレジットカード情報等は含まれておりません。

3)判明後の対応
山形県警察サイバー犯罪対策課への通報・相談と個人情報保護委員会への速報は完了しております。

弊社では、以後このような事態が発生しないよう、セキュリティ対策および個人情報の管理体制の一層の強化を図り、再発防止に努めてまいります。

岐阜の検察事務官が人事情報に不正アクセスし、処分される


検察庁のネットワークシステムに不正アクセスして人事関係の情報などを閲覧したとして、岐阜地検は2日、30代の事務官を戒告の懲戒処分にしたと発表した。事務官は同日付で依願退職した。「人事評価を気にするあまり見てしまった」と事実関係を認めているという。

地検は不正アクセス禁止法違反容疑で調べたが、外部への情報漏えいが認められなかったことなどから起訴猶予とした。

Exchange OnlineとMicrosoft Teamsがアジア太平洋地域でダウン


マイクロソフトの主力クラウドサービスが、アジア太平洋地域でダウンしていたことが明らかになりました。

12月2日の発表によると、「我々の最初の調査では、我々のサービスインフラが最適なレベル以下で機能しており、その結果、一般的なサービス機能に影響を及ぼしていることが判明した」と述べられています。

この問題により、Exchange Onlineのユーザーは、サービスへのアクセス、メールやファイルの送信、マイクロソフトが「一般的な機能」と説明する機能の利用ができなかった可能性があります。

Teamsへの影響は以下の通りです。
  • 会議のスケジュール設定や編集、ライブ会議において問題が発生する可能性があります。
  • People Picker/検索機能が期待通りに動作しない可能性があります。
  • Microsoft Teamsの検索ができなくなる可能性があります。
  • Microsoft Teams の [割り当て] タブが表示されない場合があります。
メッセージング、チャット、チャンネル、その他のTeamsの主要なサービスは利用できたようです。

Microsoftは、何が問題なのか分かっていないようです。

「関連する診断データの分析を続ける一方で、影響を受けたインフラのサブセットを再起動し、それによってサービスが復旧されるかを確認しています」と、最初のステータス通知から17分後に投稿された更新に記載されています。

また、別のアップデートでは、次のような情報が提供されています。

弊社では、影響を受けたシステムのごく一部の再起動に成功し、サービスが復旧するかを確認しています。監視を続けながら、根本的な原因の把握に努め、他の潜在的な緩和経路を開発する予定です。

マイクロソフトの報告によると、この問題は "アジア太平洋地域内のすべてのユーザーに影響を与える可能性がある "とされています。

富山県立大学 DX教育研究センターホームページへの不正アクセスについて 2022年12月1日


本学外部レンタルサーバー上で公開しているD文教育研究センターのホームページに第三者ふらの不正アクセスがあり、 管理者権限を有するユーザーアカウントが乗っ取られたことが、11月22日 (火) に判明し、同日該当のホームページを閉鎖いたしました。

なお、当該ホームページは、 公開全報のみが保管されており、現時点で個人情報等の漏洩は確認されておりません。

今後は情報管理を徹底し、再発防止に努めてまいります。

1 経緯

11月21日(月)
午前:ホームページにアクセスでできないこと、 管理画面にログインできないことを担当者が確認
午後:外部レンタルサーバー事業者に状況を問い合わせ

11月22日 (火)          
外部 レンタルサーバー事業者から回答
・11月12日に不正なプラグインがインストール
・ブラグインによりWordPressが正常実行きれていなかった模様
ホームページの全コンテンツジを削際

11月29日(火)   
迷惑行為としてメール送信の痕跡を確認

12月 1 日(木)         
県庁、文部科学省、射水警察署に報告

2 想定される被書等

当該ホームページには、外部公開情報のみが保管されており、現時点で個人情報の漏洩は確認されておりません

迷惑行為としてメール送信の踏み台 (11月14日にに32, 255件送信)にされたことを確認しておりますが、現時点では、その他の被害は確認されておりません。

3 本学の対応

当該ホームページを閉鎖するとともに、 サーバー内に保存していたを全報を全て削除しました。

当該ホームページの再構築は、 使用するソフトウェアの安全性の確認及びセキュリティを確保する運用手順が確立するまで行われない予定です。

不正アクセスインシデントに関する対応の進捗状況について 2022年11月29日 株式会社メタップスペイメント



2022年7月1日付「不正アクセスによる情報流出に関する対応状況について」につき、現時点の進捗をお知らせいたします。

1. システム面への対応

クレジットカード決済にかかるシステムについては、技術的安全性の確保を最優先に掲げ、各種対応を進めており、以下のとおり、一定のめどが立っております。
認定審査機関のアセスメントにより、ネット決済システム及びフロントシステム(※1)に関して、PCIDSS Ver 3.2.1へ順次準拠しております(※2)。
また、システムの安全性を維持継続できる運用体制構築に関する諸施策について、年内には完了する予定です。
なお、昨今の環境を鑑みるに、今後は、現時点よりさらに高度な安全確保が必要になってくると痛感するところ、決して本件への反省を風化させることなく、さらなる水準向上に向けて緊張感をもって取り組みを進めていく所存です。

2. 業務改善への対応

経営全般における業務改善につきましては、2022年6月30日付の業務改善命令、および第三者委員会(※3)からの再発防止策提案も踏まえ、業務改善計画を策定し、順次実行しております。また、経営体制面においては、8月、新たに金融・決済制度に造詣の深い吉元利行氏を社外取締役に迎え、取締役会の場のみならず、随時、専門的な知見からの助言を受けています。
内部統制強化のための機関・組織の整備、スタッフの教育も、手を緩めることなく取り組んで参ります。

3. 行政当局への対応

これまでの行政当局への対応は以下のとおりです。

(1) 経済産業省(2022年6月30日業務改善命令への対応)

2022年8月1日 実施済の措置及び今後実施予定の改善措置、時期にかかる報告書提出

2022年9月15日 8月1日付報告書にかかる追加報告書提出

2022年10月6日 進捗にかかる報告書提出(第三者委員会委員の評価も添付)

年末時点で再度、進捗にかかる報告書を提出(第三者委員会委員の評価も添付)する予定です。

(2) 個人情報保護委員会(2022年7月13日指導への対応)

2022年8月1日 改善策実施状況報告
なお、当社からの報告内容については、個人情報保護委員会において、以下のとおり、一定の評価を受けております 。

2022年8月31日 第214回個人情報保護委員会において改善策の実施状況を審議
(https://www.metaps-payment.com/company/20220901.html)

関係する皆様には引き続きご心配をおかけしますが、策定した改善策を着実に実行し、一刻も早い信頼回復に努めてまいる所存です。
どうか、ご理解のほど、よろしくお願いいたします。

※1 フロントシステムについて

フロントシステムとは、ネット決済システムの前後で予約申込・購入などを受け付けた情報を管理するシステムを指します。クレジットカード情報については、ネット決済システムのみで取扱い、フロントシステムでは非保持・非通過となります。

※2 PCIDSS準拠状況

(1)ネット決済システム

認定審査機関:株式会社ブロードバンドセキュリティ
PCIDSS準拠日:
2022年5月20日(P.C.F.FRONTEO株式会社によるフォレンジック調査結果を踏まえて準拠)
2022年6月11日(国際ブランド指定のベライゾンジャパン合同会社によるフォレンジック調査結果を踏まえた再準拠)

認定審査機関:株式会社GRCS
PCIDSS準拠日:
2022年11月25日(国際ブラント指定による別審査機関による準拠確認)

(2)フロントシステム(顧客向けクレジットカード情報非保持・非通過アプリケーション)

認定審査機関:株式会社ブロードバンドセキュリティ
PCIDSS準拠日:
2022年5月25日 会費ペイ
2022年7月28日 イベントペイ
2022年7月28日 チケットペイ
2022年7月28日 ペイシス
2022年9月30日 スポシル
2022年10月7日 BeesRent
(2022年12月予定 商工会議所向けシステム)

※3 第三者委員会委員

以下のメンバーで構成される独立した機関であり、事実関係の調査等を担当しました。現在は、当社の再発防止策の実施状況について、第三者的立場からの評価を行っています。
右崎 大輔 片岡総合法律事務所 弁護士
大河内 貴之 Secure・Pro株式会社 代表取締役


Zscalerの障害(2022年10月)


2022年10月のZscalerの障害により、ユーザーは接続断、パケットロス、通信遅延の被害を受けました。

この障害は、2022年10月25日米国東部時間火曜日の午前8時頃に発生し、Twitter上でZscalerの一部の顧客は「ハードダウン」していると主張し、他の顧客は、激しい遅延とパケットロスを経験していると伝えています。


ある情報筋は、「内部メンテナンスプロセス」がProxyサーバーに大規模な混乱を引き起こし、今回の障害につながったことを共有しました。

同日12:26PM、Zscalerは、この障害は「zscalertwo.net Cloud」の問題によって引き起こされたことを認めました。

「この問題は軽減されました。現在、クラウド全体のアクティブヘルスチェックを行い、状況を監視しています。」とZscaler Trustのインシデントレポートには記載されています。

Zscalerは、障害に関する次の声明を共有しました。

「Zscalerのクラウドセキュリティプラットフォームは、パフォーマンスと耐障害性を最適化するために複数の分散型クラウドを使用して構築されています。今回の問題は、複数のクラウドのうちの1つと、そのクラウド内で提供されているZscalerのサービスのうちの1つだけに影響を与えました。そのクラウドや他のクラウドで他のZscalerのサービスを利用しているお客様には影響はありません。また、影響を受けたお客様とは密接に連携しています。PDT午前9時の時点で、大半のお客様は完全に復旧しており、検証後のチェックは30~60分以内に完了する予定です。」