【セキュリティ事件簿#2023-009】カバーマーク株式会社 お客様情報漏洩の可能性に関するお詫びとお知らせ 2023年1月10日


当社のECサイト「カバーマーク公式オンラインショップ」(以下、「当社ECサイト」といいます。)が導入していた、株式会社ショーケース(以下、「ショーケース社」といいます。)が提供するサービスが、外部から不正アクセスを受けてプログラムが改ざんされたことで、当社ECサイトでお客様にご使用いただいたクレジットカード情報(2259件)が漏洩した可能性があることが判明しました。

 本件に関するショーケース社による案内については以下をご参照ください。
 https://www.showcase-tv.com/pressrelease/202210-fa-info

クレジットカード情報が漏洩した可能性のあるお客様には、本日より、電子メールおよび書状でお詫びとお知らせを個別にお送りさせていただいております。

お客様に多大なるご迷惑とご心配をおかけいたしますことを心よりお詫び申し上げます。

1.経緯
2022年7月28日(木)、ショーケース社のプログラムが第三者による不正アクセスを受けて改ざんされたとショーケース社より連絡を受けました。これにより、ショーケース社のサービスを導入していた当社ECサイトをご利用のお客様にご使用いただいたクレジットカード情報が漏洩した可能性が生じたため、連絡を受けた当日、ただちに当社ECサイトとショーケース社のサービスの連携を遮断しました。

2022年8月3日(水)、当社ECサイトのクレジットカード決済機能を停止しました。

2022年10月17日(月)、ショーケース社の第三者調査機関による調査報告を受領しました。

2022年12月8日(木)、当社ECサイトの第三者調査機関による調査が完了し、当社ECサイトでお客様にご使用いただいたクレジットカード情報がショーケース社のサービスを通じて漏洩した可能性があることを確認しました。また、漏洩の原因となったショーケース社のサービス以外からの漏洩はなかったことを確認しました。

第三者調査機関による調査結果をもとにクレジットカード会社と連携し、クレジットカード情報が漏洩した可能性のあるお客様が特定されましたので、このたびの発表に至りました。

2.クレジットカード情報漏洩状況
(1)原因
ショーケース社のサーバーへの第三者の不正アクセスにより、当社ECサイトにおいて導入していた、ショーケース社が提供する以下サービスのプログラムが改ざんされたため。

・フォーム入力支援システム「フォームアシスト」
・サイト内にバナーを表示するシステム「サイト・パーソナライザ」

 

(2)漏洩の可能性のある件数
2022年7月19日~2022年7月26日にカバーマーク公式オンラインショップにおいてご注文時にクレジットカード決済をされたお客様のクレジットカード情報 2259件

(3)漏洩の可能性のある項目
クレジットカード番号、有効期限、セキュリティコード
※クレジットカード情報以外の個人情報は、漏洩した可能性はないことを第三者調査機関の調査結果により確認しております。

3.お客様へお願い
既にクレジットカード会社では、漏洩した可能性のあるクレジットカードによる取引の監視を継続して実施し、不正利用取引の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

また、クレジットカード再発行のご依頼につきましては、クレジットカードの裏面に記載のクレジットカード会社にお問い合わせくださいませ。本件により漏洩した可能性のあるクレジットカードの再発行に手数料が発生する場合は、当社が手数料を負担し、お客様にご負担をおかけしないよう、クレジットカード会社に依頼しております。

4.再発防止策ならびに当社ECサイトのクレジットカード決済再開について
今回の事態を厳粛に受け止め、システムのチェックと当社ECサイトのセキュリティおよび監視体制の強化に努めております。

当社ECサイトにおけるクレジットカード決済機能につきましては、万全の安全性を確認後、再開する予定でございます。再開日につきましては、決定次第、当社ECサイトでお知らせいたします。

なお、本件につきましては、当社から監督官庁である個人情報保護委員会へ2022年8月1日(月)に報告しております。また、第三者調査機関による調査結果をもとに、2022年12月9日(金)に所轄警察署に情報連携し、今後捜査にも全面的に協力してまいります。

5.今回の公表について
漏洩の懸念から今回の公表に至るまで、お時間を要しましたことを深くお詫び申し上げます。

疑いがある時点で速やかにお客様にご連絡し、注意喚起とともにお詫び申し上げるところではございましたが、正確な状況を把握しない段階で公表することはかえって混乱を招き、お客様にさらなるご迷惑をおかけすることが懸念されたため、第三者調査機関の調査により正確な情報を把握した上で公表することといたしました。その間、漏洩懸念の判明後ただちにクレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる不正利用取引を防止するための監視を強化しました。この監視の強化は現在も継続しております。

ショーケース社の第三者調査機関による調査、および当社ECサイトの第三者調査機関による調査、以上2つの調査により正確な情報を把握し、クレジットカード会社と協議しお客様対応についての準備を整えた上で、このたびの公表に至りました。

調査に時間がかかり、公表までお時間を要しましたこと、重ねてお詫び申し上げます。


[イベント] 第3回 九州サイバーセキュリティシンポジウム(2023/3/16-17)


国内では、企業が保有する重要な情報やシステムを狙うサイバー攻撃は増加・巧妙化し、攻撃手法も多種多様です。加えて、あらゆるものがネットワークにつながり、攻撃の起点が増加したことで、サイバー攻撃が社会や産業に広く、深く影響を及ぼすようになってきています。

昨今は、特にランサムウェアやEmotetなどの不正プログラムによる被害が増加傾向にあり、どの企業もインシデントが起こり得る状況となっています。

一方、世界では、ロシア・ウクライナ情勢、台湾をめぐる米中緊張など、国際情勢が複雑化してきており、安全保障確保に関する経済施策の重要性が高まっています。

日本でも2022年5月に経済安全保障推進法が成立し、政策の柱の中には、基幹インフラ役務の安定的な提供の確保、先端的な重要技術の開発支援などがあり、サイバーセキュリティ分野も密接に関係していると言えます。

本シンポジウムでは、直近の高度化するサイバー攻撃への対処を考えつつ、国際情勢など大局的な観点も踏まえ、地域企業が保有する先端技術の開発・保護や必要となるサイバーセキュリティ対策等について今後を展望し、理解を深めます。

https://www.kyusec.jp/

【セキュリティ事件簿#2023-008】株式会社KADOKAWA ところざわサクラタウン公式Twitter不正アクセスについて 2023年1月9日


2023年1月9日(月・祝)、ところざわサクラタウンの公式Twitterアカウント(@sakuratownjp)が、不正アクセスにより「乗っ取り被害」を受けていることが発覚いたしました。

現在、公式アカウント@sakuratownjpについては利用を中止し、乗っ取られたアカウントについても停止および復旧依頼をTwitterヘルプセンターへ申請しております。

現状、不正アクセスによる被害報告はございませんが、引き続き他のサクラタウン公式SNSを含めた調査およびセキュリティ強化について対応してまいります。

復旧予定など、明確になりましたら、あらためてご報告させていただきます。

利用者の皆様にはご迷惑をおかけしておりますこと、深くお詫び申し上げます。


【セキュリティ事件簿#2023-007】ジュピターショップチャンネル株式会社 不正ログインによる商品購入の発生について 2023年1月6日


ジュピターショップチャンネル株式会社(以下「当社」)は、当社が運営する通販サイトにおいて、外部で不正に取得されたと思われる情報を使った第三者の不正ログインにより、お客さま本人になりすまして商品の購入がなされた事実を確認いたしました。

不正ログイン被害が疑われるお客さまには、順次連絡を取り、なりすまし購入と断定された商品の出荷の停止および、顧客 ID やパスワードの変更依頼または WEB 会員の退会処理を実施しております。

お客さまをはじめ、関係者の皆様に多大なるご心配とご迷惑をおかけいたしますことを、深くお詫び申し上げます。

現時点では、なりすまし購入によってお客さまに直接的な金銭被害は発生していないことを確認しておりますが、関係行政機関に届出の上、引き続き、不審なログインがないかの監視および、受注データのチェックを行ってまいります。

現時点で確認している事実と当社の対応は次のとおりです。

1. 経緯
2022 年 12 月 26 日
当社が継続して行っているチェックで不審な購入を検知。
2022 年 12 月 27 日
第三者が不正にログインし、登録情報の住所や電話番号を書き換え、後払い決済(商品を受け取った後に代金を支払う決済方法)で注文する、いわゆるなりすまし購入であることを確認。
2023 年 1 月 5 日
社内調査の結果、35 件の不審事案を特定。

2. 不正ログインの状況
(1)不正ログインが確認された件数:35 件
(2)上記(1)のうち、登録情報の改ざん・変更があった件数:29 件
(3)上記(2)のうち、なりすまし購入が確認された件数:24 件

3. 当社の対応
  • 不正ログインが確認されたアカウントによる注文の商品出荷を停止。
  • 該当するお客さまに順次連絡を取り、購入の覚えがない注文は、なりすまし購入と断定。
  • 該当するお客さまの顧客 ID やパスワードの変更または、WEB 会員の退会処理を実施。
  • 当社通販サイト上でパスワード変更の注意喚起を実施。
  • 個人情報保護委員会、JIPDEC(プライバシーマーク認証団体)、JADMA(認定個人情報保護団体)への報告を実施。
4. 対象となるサイト
当社が運営する「ショップチャンネル」の通販サイト(https://www.shopch.jp)

5. お客さまへのお願い
(1)他の Web サービス等と同一の会員 ID・パスワードの使用は避けてください。
(2)ショップチャンネル通販サイトのパスワードを定期的に変更してください。

6. 今後の対応
当社では、お客さまの個人情報保護は最優先事項と認識しており、今回の事態を厳粛に受け止め、再発防止に向けて不正ログインの監視継続とセキュリティレベルの向上に努めてまいります。


【セキュリティ事件簿#2023-006】株式会社SEプラス 弊社教育サービスをご利用頂いているお客様への量要なお知らせとお詫びについて 2023年1月6日


この度、弊社の教育事業サービスにおきまして、弊社のお客様(法人・個人含む)の一部情報が限定された特定の条件下において閲覧可能な状態にあり、漏えいのおそれがあったことが判明致しました (以下、「本件」といいます) 。その内容と現在の状況について下記の通りお知らせ致します。

お客様には大変ご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

現在問題の状態はすでに解消されており、現時点におきましてデータの漏えいの事実は確認されておりません。

1. 漏えいするおそれのあった個人情報と件数

件数 : 49,942件

個人情報
・会員 ID(一部サービス)
・氏名
・メールアドレス
・バスワード
・所属会社名

2. 閲覧可能であった期間

2022年12月16日~2022年12月29日迄の間、断続的に閲覧が可能な状態(当該PCが電源が入っている状態)

3. 経緯

2022年12月29日に、お客様より外部セキュリティ企業の情報漏えいデータ検出ソリューションを利用した調査の結果、当該データを検出した旨のご連絡を受け、弊社の緊急事態対応規定に則り、2022年12月30日に社内調査の結果、原因の特定に至りました。

4. 原因

弊社従業員の開発用PC1台について、複数の条件を全て満たすことで当該PC内に設定されているDBへの侵入を許すおそれがある状態であることが確認されました。

5. 現在の状況

本件については、すでに是正済みであり、現在は情報濡えいのおそれはございません。また、本件につきましては必要な関係各所への報告を定められた期間内に完了しております。

現時点におきまして、悪意のあるユーザーからの不正アクセスがあったかどうかは確認されておらず、漏えいされた事実は認識されておりません。

改めまして、お客様にはご心配をおかけする事態とかりましたことを深くお詫び申し上げます。この度の事態を真撃に受け止め、再発防止策を講じるとともに個人情報の取り扱いに対して厳重な管理を徹底し、更なる情報セキュリティ強化に取り組み、再発防止に努めてまいります。

LockBit 3.0のサイトにある攻撃対象に関するNGルール / Categories of targets to attack


Categories of targets to attack:
It is illegal to encrypt files in critical infrastructure, such as nuclear power plants, thermal power plants, hydroelectric power plants, and other similar organizations. Allowed to steal data without encryption. If you can't figure out if an organization is a critical infrastructure, ask your helpdesk.
The oil and gas industry, such as pipelines, gas pipelines, oil production stations, refineries, and other similar organizations are not allowed to be encrypted. It is allowed to steal data without encryption.
It is forbidden to attack the post-Soviet countries such as: Armenia, Belarus, Georgia, Kazakhstan, Kyrgyzstan, Latvia, Lithuania, Moldova, Russia, Tajikistan, Turkmenistan, Uzbekistan, Ukraine and Estonia. This is due to the fact that most of our developers and partners were born and grew up in the Soviet Union, the former largest country in the world, but now we are located in the Netherlands.

It is allowed to attack non-profit organizations. If an organization has computers, it must take care of the security of the corporate network.
It is allowed to attack any educational institutions as long as they are private and have a revenue.
It is allowed to very carefully and selectively attack medical related institutions such as pharmaceutical companies, dental clinics, plastic surgeries, especially those that change sex and force to be very careful in Thailand, as well as any other organizations provided that they are private and have rhubarb. It is forbidden to encrypt institutions where damage to the files could lead to death, such as cardiology centers, neurosurgical departments, maternity hospitals and the like, that is, those institutions where surgical procedures on high-tech equipment using computers may be performed. It is allowed to steal data from any medical facilities without encryption, as it may be a medical secret and must be strictly protected in accordance with the law. If you can't pinpoint whether or not a particular medical organization can be attacked, contact the helpdesk.
It is very commendable to attack police stations and any other law enforcement agencies that are engaged in finding and arresting hackers, they do not appreciate our useful work as a pentest with postpaid and consider it a violation of the law, we should show them that a competent computer network setup is very important and write a fine for computer illiteracy.
It is allowed to attack government organizations, only with revenue.

(ポイントだけ和訳)

原子力発電所、火力発電所、水力発電所などの重要インフラやそれに準ずる組織において、ファイルを暗号化することは違法とされています。組織が重要インフラであるかどうかがわからない場合は、ヘルプデスクに問い合わせてください。

パイプライン、ガスパイプライン、石油生産ステーション、製油所、その他類似の組織など、石油・ガス産業は暗号化を許可されていません。

次のようなポストソビエト諸国を攻撃することは禁じられています。アルメニア、ベラルーシ、グルジア、カザフスタン、キルギスタン、ラトビア、リトアニア、モルドバ、ロシア、タジキスタン、トルクメニスタン、ウズベキスタン、ウクライナ、エストニアなどです。これは、当社の開発者やパートナーのほとんどが、かつての世界最大の国であったソビエト連邦で生まれ育ったためです。

心臓病センター、脳神経外科、産院など、ファイルの損傷が死につながる可能性のある機関、つまり、コンピュータを使ったハイテク機器による外科手術が行われる可能性のある機関の暗号化は禁止されています。

【セキュリティ事件簿#2023-005】佐川急便株式会社 お客さまの個人情報の不正利用に関するお詫びとご報告 2023年1月5日


各種報道にございましたように、当社従業員が、お客さまからお預かりしました個人情報を用いて、複数のお客さまに対して架電していた事実が判明いたしました。お客さまならびに関係者の皆さまに多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

なお、当該従業員から第三者への情報流出の事実は現時点におきましては確認されておりません。また、本件に関しまして個人情報保護委員会にご報告済みでございます。

本来、運送業務に必要な範囲においてのみ取り扱うべきお客さまの大切な個人情報を私的な理由で利用することはあってはならない行為であり、当社では、この度の事態を厳粛に受け止めております。今後、より一層の個人情報の管理強化・徹底に努め、また、研修・教育を徹底することにより、再発防止を図って参ります。また、当該従業員に対しては、社内規程に則り、厳正に対応して参ります。

【個人情報の内容】
お客さまのご住所、お名前、お電話番号

【セキュリティ事件簿#2023-004】株式会社メディウェル 不正アクセスによる個人情報流出に関するお詫びとお知らせ 2023年1月5日 mediwel.net/information/12…


この度、弊社が運営するWEBサイトに対し、外部からの不正アクセスが発生し、それにより弊社が保有していたお客様の個人情報の一部が流出したことが確認されました。

お客様や関係者の皆様には、ご迷惑とご心配をおかけすることを深くお詫び申し上げます。今後、同様の事象が発生しないよう、より一層のセキュリティ強化と安全性の確保に努めてまいります。

なお、現時点において流出した個人情報の不正流用などの二次被害は確認されておりません。

今後の調査の進捗に応じて対象件数や状況が変動する可能性がございますが、現時点で確認している事実と弊社の対応状況をご報告いたします。

1.経緯

2022年12月5日、弊社が運営する「病院事務職転職ドットコム(以下、当サイト)」の保守管理を担当している業務委託先(以下、委託先)より、2022年12月3日~2022年12月4日にかけて大量に不正なアクセスがあった旨の報告がありました。 

12月5日~12月7日にかけて調査をいたしました結果、当サイトのセキュリティホールを入口として、当社の顧客情報が保管されていたデータベースを標的とした第三者によるサイバー攻撃により、お客様の個人情報(弊社他サイトから登録された個人情報も含む)の一部が流出している可能性があることが発覚(その後の調査で流出を確認)いたしました。

これを受けて、12月7日~12月21日まで再度調査を実施したところ、下記①~③の期間にわたり、同様の手法による不正アクセスがあったことが判明いたしました。

 《不正アクセスの発生日》※発生順
 ① 2022年8月29日 ~ 2022年9月2日 (発覚日:12月16日)
 ② 2022年9月2日 ~ 2022年9月8日 (発覚日:12月16日)
 ③ 2022年12月3日 ~ 2022年12月4日 (発覚日:12月5日) 

上記①~③は全て異なるIPアドレス(いずれも国外)を経由しており、同一人物の犯行によるものなのかはわかっておりません。なお、①~③以外の期間での流出はございません。

2.個人情報の内容

上記により流出した個人情報は、当社の「医師転職ドットコム」又は「医師バイトドットコム」にてマイページをご利用のお客様と、「メディウェルログ」又は「クラヴィス(既に廃刊)」のいずれかのサービスにご登録いただいておりましたお客様の情報の一部で、その主な内容と対象者数の全体像は、不正アクセス期間ごとに、下記のとおりです。

ログインパスワードは、お客様が2014年4月6日以前に「医師転職ドットコム」又は「医師バイトドットコム」のマイページで設定されたログインパスワードの一部です。(なお、2014年4月7日以降のログインはワンタイムパスワード方式に変更しております)
 
《上記1.①の期間》
  PCメールアドレス:①の期間小計 7名様分
《上記1.②の期間》
  PCメールアドレス:②の期間小計 384名様分
《上記1.③の期間》
  氏名、生年月日、住所、電話番号、PCメールアドレス、ログインパスワード等の組み合わせ:③の期間小計 2,934名様分
           
対象者数 全期間合計 3,325名様分

なお、上記に該当するお客様につきましては、郵送またはメールにて順次個別の通知をさせていただいております。

3.原因と対応

(原因)
当サイトにて、開設日の2021年10月1日よりセキュリティホールが存在しており、そのセキュリティホールに対して悪意のある第三者による不正アクセスが発生したことが原因です。

(対応)
  ① セキュリティホールの修正(2022年12月7日完了済み)
  ② 当サイトの一時閉鎖(第三者機関調査終了後に安全が確認できるまで)

(行政への届出)
  ①個人情報保護委員会へ報告済み
  ②管轄の警察署へ通報済み

4.今後の対応と再発防止策について

 (1)事実調査の推進
  ・外部専門家である第三者機関にて当社セキュリティ体制の調査及び改善を行います。

 (2)再発防止策
  • 委託先の選定・監督の徹底、当社が運営を行っている全てのサイトおよびネットワークに対する監視体制のさらなる強化を図ります。
  • 第三者機関の調査結果に基づき、再発防止策を実施します。
  • 当サイトにおけるWAF(WEBアプリケーション保護)を導入しました。(2022年12月23日完了済み)
 なお、今後新たな情報が判明した場合は、随時お知らせまたは当社ホームページにて報告いたします。

5.お客様へのお願い
  • 本日現在、二次被害等は確認されていないものの、万が一、お客様やご勤務先のドメイン(注:メール  アドレスの@以降の記述)を使用したアドレスへ身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。
  • また、見知らぬ番号より、不審な電話があった場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。
  • 当社に登録されていたパスワードを他のWEBサイト等でもご利用されている場合は、早急に変更をしていただきますようお願いいたします。
  • 身に覚えのない代引き商品が届いた場合は受け取りを拒否していただきますようお願いいたします。