【セキュリティ事件簿#2023-008】株式会社KADOKAWA ところざわサクラタウン公式Twitter不正アクセスについて 2023年1月9日

2023年1月9日(月・祝)、ところざわサクラタウンの公式Twitterアカウント(@sakuratownjp)が、不正アクセスにより「乗っ取り被害」を受けていることが発覚いたしました。

現在、公式アカウント@sakuratownjpについては利用を中止し、乗っ取られたアカウントについても停止および復旧依頼をTwitterヘルプセンターへ申請しております。

現状、不正アクセスによる被害報告はございませんが、引き続き他のサクラタウン公式SNSを含めた調査およびセキュリティ強化について対応してまいります。

復旧予定など、明確になりましたら、あらためてご報告させていただきます。

利用者の皆様にはご迷惑をおかけしておりますこと、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-007】ジュピターショップチャンネル株式会社 不正ログインによる商品購入の発生について 2023年1月6日

ジュピターショップチャンネル株式会社（以下「当社」）は、当社が運営する通販サイトにおいて、外部で不正に取得されたと思われる情報を使った第三者の不正ログインにより、お客さま本人になりすまして商品の購入がなされた事実を確認いたしました。

不正ログイン被害が疑われるお客さまには、順次連絡を取り、なりすまし購入と断定された商品の出荷の停止および、顧客 ID やパスワードの変更依頼または WEB 会員の退会処理を実施しております。

お客さまをはじめ、関係者の皆様に多大なるご心配とご迷惑をおかけいたしますことを、深くお詫び申し上げます。

現時点では、なりすまし購入によってお客さまに直接的な金銭被害は発生していないことを確認しておりますが、関係行政機関に届出の上、引き続き、不審なログインがないかの監視および、受注データのチェックを行ってまいります。

現時点で確認している事実と当社の対応は次のとおりです。

1. 経緯

2022 年 12 月 26 日

当社が継続して行っているチェックで不審な購入を検知。

2022 年 12 月 27 日

第三者が不正にログインし、登録情報の住所や電話番号を書き換え、後払い決済（商品を受け取った後に代金を支払う決済方法）で注文する、いわゆるなりすまし購入であることを確認。

2023 年 1 月 5 日

社内調査の結果、35 件の不審事案を特定。

2. 不正ログインの状況

（１）不正ログインが確認された件数：35 件

（２）上記（１）のうち、登録情報の改ざん・変更があった件数：29 件

（３）上記（２）のうち、なりすまし購入が確認された件数：24 件

3. 当社の対応

• 不正ログインが確認されたアカウントによる注文の商品出荷を停止。
• 該当するお客さまに順次連絡を取り、購入の覚えがない注文は、なりすまし購入と断定。
• 該当するお客さまの顧客 ID やパスワードの変更または、WEB 会員の退会処理を実施。
• 当社通販サイト上でパスワード変更の注意喚起を実施。
• 個人情報保護委員会、JIPDEC（プライバシーマーク認証団体）、JADMA（認定個人情報保護団体）への報告を実施。

4. 対象となるサイト

当社が運営する「ショップチャンネル」の通販サイト（https://www.shopch.jp）

5. お客さまへのお願い

（1）他の Web サービス等と同一の会員 ID・パスワードの使用は避けてください。

（2）ショップチャンネル通販サイトのパスワードを定期的に変更してください。

6. 今後の対応

当社では、お客さまの個人情報保護は最優先事項と認識しており、今回の事態を厳粛に受け止め、再発防止に向けて不正ログインの監視継続とセキュリティレベルの向上に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-006】株式会社SEプラス 弊社教育サービスをご利用頂いているお客様への量要なお知らせとお詫びについて 2023年1月6日

この度、弊社の教育事業サービスにおきまして、弊社のお客様(法人・個人含む)の一部情報が限定された特定の条件下において閲覧可能な状態にあり、漏えいのおそれがあったことが判明致しました (以下、「本件」といいます) 。その内容と現在の状況について下記の通りお知らせ致します。

お客様には大変ご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

現在問題の状態はすでに解消されており、現時点におきましてデータの漏えいの事実は確認されておりません。

1. 漏えいするおそれのあった個人情報と件数

件数 : 49,942件

個人情報

・会員 ID(一部サービス)

・氏名

・メールアドレス

・バスワード

・所属会社名

2. 閲覧可能であった期間

2022年12月16日～2022年12月29日迄の間、断続的に閲覧が可能な状態(当該PCが電源が入っている状態)

3. 経緯

2022年12月29日に、お客様より外部セキュリティ企業の情報漏えいデータ検出ソリューションを利用した調査の結果、当該データを検出した旨のご連絡を受け、弊社の緊急事態対応規定に則り、2022年12月30日に社内調査の結果、原因の特定に至りました。

4. 原因

弊社従業員の開発用PC1台について、複数の条件を全て満たすことで当該PC内に設定されているDBへの侵入を許すおそれがある状態であることが確認されました。

5. 現在の状況

本件については、すでに是正済みであり、現在は情報濡えいのおそれはございません。また、本件につきましては必要な関係各所への報告を定められた期間内に完了しております。

現時点におきまして、悪意のあるユーザーからの不正アクセスがあったかどうかは確認されておらず、漏えいされた事実は認識されておりません。

改めまして、お客様にはご心配をおかけする事態とかりましたことを深くお詫び申し上げます。この度の事態を真撃に受け止め、再発防止策を講じるとともに個人情報の取り扱いに対して厳重な管理を徹底し、更なる情報セキュリティ強化に取り組み、再発防止に努めてまいります。

リリース文（アーカイブ）

LockBit 3.0のサイトにある攻撃対象に関するNGルール / Categories of targets to attack

Categories of targets to attack:

It is illegal to encrypt files in critical infrastructure, such as nuclear power plants, thermal power plants, hydroelectric power plants, and other similar organizations. Allowed to steal data without encryption. If you can't figure out if an organization is a critical infrastructure, ask your helpdesk.

The oil and gas industry, such as pipelines, gas pipelines, oil production stations, refineries, and other similar organizations are not allowed to be encrypted. It is allowed to steal data without encryption.

It is forbidden to attack the post-Soviet countries such as: Armenia, Belarus, Georgia, Kazakhstan, Kyrgyzstan, Latvia, Lithuania, Moldova, Russia, Tajikistan, Turkmenistan, Uzbekistan, Ukraine and Estonia. This is due to the fact that most of our developers and partners were born and grew up in the Soviet Union, the former largest country in the world, but now we are located in the Netherlands.

It is allowed to attack non-profit organizations. If an organization has computers, it must take care of the security of the corporate network.

It is allowed to attack any educational institutions as long as they are private and have a revenue.

It is allowed to very carefully and selectively attack medical related institutions such as pharmaceutical companies, dental clinics, plastic surgeries, especially those that change sex and force to be very careful in Thailand, as well as any other organizations provided that they are private and have rhubarb. It is forbidden to encrypt institutions where damage to the files could lead to death, such as cardiology centers, neurosurgical departments, maternity hospitals and the like, that is, those institutions where surgical procedures on high-tech equipment using computers may be performed. It is allowed to steal data from any medical facilities without encryption, as it may be a medical secret and must be strictly protected in accordance with the law. If you can't pinpoint whether or not a particular medical organization can be attacked, contact the helpdesk.

It is very commendable to attack police stations and any other law enforcement agencies that are engaged in finding and arresting hackers, they do not appreciate our useful work as a pentest with postpaid and consider it a violation of the law, we should show them that a competent computer network setup is very important and write a fine for computer illiteracy.

It is allowed to attack government organizations, only with revenue.

（ポイントだけ和訳）

原子力発電所、火力発電所、水力発電所などの重要インフラやそれに準ずる組織において、ファイルを暗号化することは違法とされています。組織が重要インフラであるかどうかがわからない場合は、ヘルプデスクに問い合わせてください。

パイプライン、ガスパイプライン、石油生産ステーション、製油所、その他類似の組織など、石油・ガス産業は暗号化を許可されていません。

次のようなポストソビエト諸国を攻撃することは禁じられています。アルメニア、ベラルーシ、グルジア、カザフスタン、キルギスタン、ラトビア、リトアニア、モルドバ、ロシア、タジキスタン、トルクメニスタン、ウズベキスタン、ウクライナ、エストニアなどです。これは、当社の開発者やパートナーのほとんどが、かつての世界最大の国であったソビエト連邦で生まれ育ったためです。

心臓病センター、脳神経外科、産院など、ファイルの損傷が死につながる可能性のある機関、つまり、コンピュータを使ったハイテク機器による外科手術が行われる可能性のある機関の暗号化は禁止されています。

【セキュリティ事件簿#2023-005】佐川急便株式会社 お客さまの個人情報の不正利用に関するお詫びとご報告 2023年1月5日

各種報道にございましたように、当社従業員が、お客さまからお預かりしました個人情報を用いて、複数のお客さまに対して架電していた事実が判明いたしました。お客さまならびに関係者の皆さまに多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

なお、当該従業員から第三者への情報流出の事実は現時点におきましては確認されておりません。また、本件に関しまして個人情報保護委員会にご報告済みでございます。

本来、運送業務に必要な範囲においてのみ取り扱うべきお客さまの大切な個人情報を私的な理由で利用することはあってはならない行為であり、当社では、この度の事態を厳粛に受け止めております。今後、より一層の個人情報の管理強化・徹底に努め、また、研修・教育を徹底することにより、再発防止を図って参ります。また、当該従業員に対しては、社内規程に則り、厳正に対応して参ります。

【個人情報の内容】

お客さまのご住所、お名前、お電話番号

リリース文（アーカイブ）

【セキュリティ事件簿#2023-004】株式会社メディウェル 不正アクセスによる個人情報流出に関するお詫びとお知らせ 2023年1月5日 mediwel.net/information/12…

この度、弊社が運営するWEBサイトに対し、外部からの不正アクセスが発生し、それにより弊社が保有していたお客様の個人情報の一部が流出したことが確認されました。

お客様や関係者の皆様には、ご迷惑とご心配をおかけすることを深くお詫び申し上げます。今後、同様の事象が発生しないよう、より一層のセキュリティ強化と安全性の確保に努めてまいります。

なお、現時点において流出した個人情報の不正流用などの二次被害は確認されておりません。

今後の調査の進捗に応じて対象件数や状況が変動する可能性がございますが、現時点で確認している事実と弊社の対応状況をご報告いたします。

1.経緯

2022年12月5日、弊社が運営する「病院事務職転職ドットコム（以下、当サイト）」の保守管理を担当している業務委託先（以下、委託先）より、2022年12月3日～2022年12月4日にかけて大量に不正なアクセスがあった旨の報告がありました。　

12月5日～12月7日にかけて調査をいたしました結果、当サイトのセキュリティホールを入口として、当社の顧客情報が保管されていたデータベースを標的とした第三者によるサイバー攻撃により、お客様の個人情報（弊社他サイトから登録された個人情報も含む）の一部が流出している可能性があることが発覚（その後の調査で流出を確認）いたしました。

これを受けて、12月7日～12月21日まで再度調査を実施したところ、下記①～③の期間にわたり、同様の手法による不正アクセスがあったことが判明いたしました。

 《不正アクセスの発生日》※発生順

 ① 2022年8月29日 ～ 2022年9月2日 （発覚日：12月16日）

 ② 2022年9月2日 ～ 2022年9月8日 （発覚日：12月16日）

 ③ 2022年12月3日 ～ 2022年12月4日 （発覚日：12月5日）　

上記①～③は全て異なるIPアドレス（いずれも国外）を経由しており、同一人物の犯行によるものなのかはわかっておりません。なお、①～③以外の期間での流出はございません。

2.個人情報の内容

上記により流出した個人情報は、当社の「医師転職ドットコム」又は「医師バイトドットコム」にてマイページをご利用のお客様と、「メディウェルログ」又は「クラヴィス（既に廃刊）」のいずれかのサービスにご登録いただいておりましたお客様の情報の一部で、その主な内容と対象者数の全体像は、不正アクセス期間ごとに、下記のとおりです。

ログインパスワードは、お客様が2014年4月6日以前に「医師転職ドットコム」又は「医師バイトドットコム」のマイページで設定されたログインパスワードの一部です。（なお、2014年4月7日以降のログインはワンタイムパスワード方式に変更しております）

　

《上記1.①の期間》

  PCメールアドレス：①の期間小計　7名様分

《上記1.②の期間》

  PCメールアドレス：②の期間小計　384名様分

《上記1.③の期間》

  氏名、生年月日、住所、電話番号、PCメールアドレス、ログインパスワード等の組み合わせ：③の期間小計　2,934名様分

　　　　　　　　　　　

対象者数　全期間合計　3,325名様分

なお、上記に該当するお客様につきましては、郵送またはメールにて順次個別の通知をさせていただいております。

3.原因と対応

（原因）

当サイトにて、開設日の2021年10月1日よりセキュリティホールが存在しており、そのセキュリティホールに対して悪意のある第三者による不正アクセスが発生したことが原因です。

（対応）

  ① セキュリティホールの修正（2022年12月7日完了済み）

  ② 当サイトの一時閉鎖（第三者機関調査終了後に安全が確認できるまで）

（行政への届出）

  ①個人情報保護委員会へ報告済み

  ②管轄の警察署へ通報済み

4.今後の対応と再発防止策について

 （1)事実調査の推進

  ・外部専門家である第三者機関にて当社セキュリティ体制の調査及び改善を行います。

 （2)再発防止策

• 委託先の選定・監督の徹底、当社が運営を行っている全てのサイトおよびネットワークに対する監視体制のさらなる強化を図ります。
• 第三者機関の調査結果に基づき、再発防止策を実施します。
• 当サイトにおけるWAF（WEBアプリケーション保護）を導入しました。（2022年12月23日完了済み）

 なお、今後新たな情報が判明した場合は、随時お知らせまたは当社ホームページにて報告いたします。

5.お客様へのお願い

• 本日現在、二次被害等は確認されていないものの、万が一、お客様やご勤務先のドメイン（注：メール　 アドレスの@以降の記述）を使用したアドレスへ身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。
• また、見知らぬ番号より、不審な電話があった場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。
• 当社に登録されていたパスワードを他のWEBサイト等でもご利用されている場合は、早急に変更をしていただきますようお願いいたします。
• 身に覚えのない代引き商品が届いた場合は受け取りを拒否していただきますようお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-003】ナッシュ株式会社 不正アクセスによる情報流出の可能性について関するお知らせとお詫び 2023年1月4日

この度、第三者からのランサムウェアによる不正アクセス攻撃を受け、弊社が保有する個人情報の一部が暗号化されたこと（以下「本件」といいます。）が判明し、当該不正アクセスの事実から、当該個人情報が外部に流出した可能性を完全に否定しきれないものと考え、以下のとおり、お知らせいたします。ただし、現時点では、本件に基づく個人情報の不正利用等の事実は確認されておりません。

本件の対象となった皆様には、個別にご連絡をさせていただきました。また、以下のとおり、お問い合わせ窓口を設置いたします。なお、弊社からのご連絡がないお客様においては、本件の対象ではございませんので、ご安心ください。この度は、お客様はじめ多くのご関係先にご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

現時点で確認できている状況および弊社対応は以下のとおりであり、現在も調査を継続していますが、今後新たな事実等が判明した場合には、必要に応じて、弊社ホームページ等でご報告させていただきます。

１．本件の概要

2022年12月21日早朝、社内一部システムにおいて障害が発生したことから、調査を行った結果、ランサムウェアによる弊社PCへの不正アクセスおよび当該PCのデータが暗号化されていることが判明いたしました。

なお、今回不正アクセスを受けたPCは、特定の業務に必要な顧客情報の一部（氏名〔社名〕、住所、電話番号）が格納されていたサブPCに限定されており、弊社が保有する全ての顧客情報に不正アクセスされたものではないことが確認されています。

また、現在確認されている事象としては、当該PCにおいて「情報が暗号化された」というものであり、情報が外部に流出したことが確認されたものではございませんが、弊社としては、本件が個人情報に関わる重要な事象であることと、不正アクセスの事実から、外部流出の可能性を完全に否定しきれないものと考えたことから、今般公表させていただくに至ったものです。もっとも、現時点で、本件に基づく個人情報の不正利用等の二次被害の事実は確認されていません。

２．本件発覚後の対応

2022 年 12月 21 日午前11時頃に不正アクセスが確認されたPCのネットワークを遮断し、以下に述べる侵入経路の特定及び再発防止策を実施しました。

3．今回の事案の原因及びその対策について

今回の不正アクセスは、サーバーの脆弱性を利用した攻撃であり、弊社のネットワーク設定やパスワードの強度の問題により発生したものと考えております。

そこで、弊社管理ネットワークにおいて、設定や運用の変更等、必要と考えられる対策を実施いたしました。

このような対策の実施により、同種事案の再発可能性は低いと考えております。

4．外部流出した可能性のある情報

（１）個人・法人顧客情報（6,184件）

・氏名又は会社名、住所、電話番号

なお、弊社はインターネット販売等における決済は全て外部委託しておりますので、クレジットカード情報を保有しておらず、クレジットカード情報の流出はございません。

5．個人情報の流出の可能性がある方々への対応

情報流出の可能性がある方々には、個別にメールにてご連絡を差し上げております。

なお、弊社にご登録いただいているメールアドレス宛に、弊社からの個別のメール連絡が届いていないお客様におかれましては、情報流出の可能性はございません。

弊社は、不正アクセス把握後、事案公表によるさらなる攻撃を防止するため、十分なセキュリティ対策を講じたうえで公表することが望ましいと考え、まずは、原因把握及び再発防止策の実施に努めました。また、捜査機関、個人情報保護委員会及び顧問弁護士とも連携を図りつつ、お客様の権利保護のために必要な措置がないかの確認等を行っていたため、結果として、公表が本日となりましたことをお詫び申し上げます。

弊社では今回の事態を重く受け止め、引き続き二次被害発生状況の監視を行うとともに、再発防止に向けたセキュリティの強化等の対応をして継続してまいります。また、本件に関し二次被害等の新たな情報が発覚した場合は、弊社ホームページにてご報告いたします。

なお、弊社の事業運営との関係におきましては、本件による影響はありませんので、その点はご安心ください。

関係者の皆様へは多大なるご迷惑とご心配をおかけすることとなり、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-002】渋谷区公式ウェブサイトの通信障害について 2023年1月4日

 

令和5年1月3日以降、国際ハッカー集団「アノニマス」を名乗る不特定の団体または個人による分散型サービス妨害攻撃を受けていることにより、渋谷区公式ウェブサイトを閲覧しにくい事象が断続的に発生しております。

区民の方々をはじめ多くの皆さまにはご不便をおかけしており、お詫び申し上げます。窓口対応などを含め行政サービスや事業などに関する問い合わせについては、通常通り担当所管でご案内しております。

現在もなお、通信しにくい状態が続いており、区では引き続き調査と復旧対応に取り組むとともに、警察にも相談しながら対応してまいります。

リリース文（アーカイブ）

参考：AnonymousのDDoS攻撃によるとみられる渋谷区サイトの閲覧障害についてまとめてみた