【セキュリティ事件簿#2023-054】国立大学法人埼玉大学 本学の情報システムへの不正アクセスについて 2023年2月9日


2022年6月7日(火)に本学の業務で利用しているシステム(ネットワークストレージ(NAS))が不正アクセスを受け、ランサムウェアに感染してデータの一部が改変される事案が発生しました。

調査に時間を要したために公表が遅くなったことを含め、関係者の皆様には多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。

本件の発生を厳粛に受けとめ、情報管理体制の強化と再発防止に取り組んでまいります。

不正アクセスを受けた原因は、ネットワークアクセス制限の設定不備及びNASのパスワードが破られたことによるものです。

被害のあったNASの利用は既に停止し、この攻撃を受けて改変されたデータも復元されており、本学業務の継続には直接的な影響はありませんでした。

なお、第三者機関による調査を実施し、情報流出の事実は確認されませんでした。また、当該NASに起因する他のPCのマルウェア感染等の被害についても確認されませんでした。

<経緯に関する調査結果の概要>
  1. 2022年6月7日(火)午前8時頃より、ネットワークアクセス制限の設定変更時の不備により当該NASへの外部からのアクセスが可能となった。
  2. 同日正午頃に、攻撃者によるNASへの不正アクセスが開始され、複数回のログオン試行により、2台のNASのパスワードが破られた。その後、パスワードを破り侵入したNASを経由して他の4台のNASに対しても不正アクセスが行われ、ランサムウェアによるデータの一部改変が行われた。
  3. 同日午後3時頃に、当該NASの異常を確認した。これを受け、外部からのアクセス遮断を行った。
  4. 同年6月~7月にかけて、学内担当者による調査及びデータの復元作業を行うとともに、学内で運用している全てのNASに関する点検や見直しを行った。
  5. 同年7月~12月にかけて、第三者機関による調査を実施し、不正アクセスの侵入経路や被害状況の詳細についての確認を行った。

【セキュリティ事件簿#2023-053】つくばみらい市 中学教員が学生78名の個人情報入りUSBメモリを紛失する


茨城県つくばみらい市教育委員会は2023年1月25日、市立中学校に所属する教員が学生ら78名分の個人情報を記録したUSBメモリを紛失したと明らかにしました。

つくばみらい市教委によると、教員は2023年1月20日、英語の教材を作成するために私用USBメモリに2年生78名のデータを記録、持ち帰りました。ところが2023年1月23日になり、USBメモリを紛失していることが判明。2023年1月24日、教員は学校に報告しましたが、公表時点で発見には至っていないとのことです。

市立中学校では、個人情報を外部に持ち出しの要件として、学校長の許可を定めていました。しかし、紛失に関与した教員は許可を得ないまま持ち出しており、結果として紛失後に持ち出しが判明したとのこと。

中学校では対象となった2年生の全家庭を訪問し謝罪。今後は再発防止に努めるとしています。

【セキュリティ事件簿#2023-052】国土交通省 大阪国道事務所業務受注者における情報流出の疑いについて 2023年1月30日


大阪国道事務所発注の通行規制広告業務の受注者である(株)神戸新聞事業社から、作成途中の業務成果電子媒体(電子データ含む)を移動中に紛失し、情報流出の疑いがあるという報告を受けました。

この報告を受け、大阪国道事務所が確認したところ、紛失した資料には、少なくとも受注者の業務従事者の氏名等の個人情報や法人その他の団体に関する情報が含まれていることが分かりました。

法人その他の団体へのお詫びや説明は、(株)神戸新聞事業社から行っているところです。

●事案の内容
令和5年1月26日(木)に通行規制広告業務受注者の従事者が、作成途中の業務成果電子媒体(電子データ含む)を移動中に紛失したことに気づき、捜索するとともに、警察への遺失物届を提出いたしましたが、未だ発見されていません。

●対応状況
個人情報は、発注者の担当者及び業務受注者の従事者の氏名等のみで、法人その他の団体に関する情報については、その法人その他の団体の皆様に、業務受注者より事案の内容をご報告し、お詫びさせていただいているところです。なお、現時点では、第三者への流出、不正利用等の事実、二次被害は確認されておりません。

なお、(株)神戸新聞事業社に対しては、情報等の管理徹底を実施するよう、指示しております。


【セキュリティ事件簿#2023-051】奈良県市町村職員共済組合 年金受給者様の個人情報の漏えいに関するお詫びと原因及び再発防止について  2023年1月24日


このたび、奈良県市町村職員共済組合が管理している年金受給者の個人情報データを漏えいする事態が発生いたしました。

年金受給者のみなさま方には、多大なご迷惑をおかけしたことを、心より深くお詫び申し上げます。

個人情報の取扱い業務にあたり、厳格な取扱い・管理の徹底に努めてまいりましたが、このような漏えいが発生したことを踏まえ、今後は更なる厳格化をはかって再発防止に全力で取り組んでまいります。 

1.経緯

奈良県市町村職員年金者連盟より、連盟加入者に対し団体保険制度の加入募集を行うため、奈良県市町村職員共済組合に対して、会員データ(「①年金証書記号番号」、「②郵便番号」、「③住所(カナ)」、「④氏名(カナ)」、「⑤生年月日(西暦)」、「⑥性別」)の提供依頼がありました。

この依頼に基づき作成いたしましたデータに、本来は提供する必要のない年金者連盟の加入者ではない受給者のデータも含めて提供を行ってしまったものです。(加入者からは年金者連盟加入申し込み時に、連盟が実施する事業に関して、奈良県市町村職員共済組合から個人情報を取得することについて、ご本人より同意を受けておりますが、未加入である受給者からは同意を受けていないため、個人情報が漏えいしたことになります。)

作成した当該データから団体保険加入者を除いた74歳以下の受給者のみなさまに、奈良県市町村職員年金者連盟から団体保険制度のご案内が送付されることとなり、令和5年1月20日にこの案内にかかる個人情報の取扱いについてのご照会をいただいたことで判明いたしました。 

2.漏えい内容

奈良県市町村職員年金者連盟の会員以外の13,021人の受給者様の「①年金証書記号番号」、「②郵便番号」、「③住所(カナ)」、「④氏名(カナ)」、「⑤生年月日(西暦)」、「⑥性別」

 3.原因

 令和4年10月6日に奈良県市町村職員年金者連盟から年金者連盟の加入者に対して、団体保険制度の加入募集を行うために必要となるデータ提供の依頼があり、令和4年10月11日に提供を行いました。

提供いたしましたデータは、奈良県市町村職員年金者連盟から全国市町村職員年金者連盟に対し提出され、全国市町村職員年金者連盟から引受保険会社に提供が行われた後に、引受保険会社から奈良県市町村職員年金者連盟を発信者として、団体保険制度のご案内が令和5年1月13日に郵送されました。

データ提供の依頼を受け、提供を行うべきは年金者連盟に加入されておられる1,687人であるべきところ、全ての受給者のみなさまのデータ提供が必要であると誤り、14,708人のデータ作成を行ってしまいました。

この作成及び提供を行う際に、全受給者のデータで作成している誤りについて気づかず、かつチェックも疎かとなりデータが漏えいいたしました。 

4.対応状況

誤って提供いたしましたデータは、奈良県市町村職員年金者連盟より、全国市町村職員年金者連盟に対する提供後に媒体を破砕処理していることを確認いたしております。

奈良県市町村職員年金者連盟からのデータ提供先である全国市町村職員年金者連盟及び引受保険会社に対しては、データの消去を依頼し確実に処理いただきましたことを確認いたしております。

なお、提供データは、提供機関以外の外部に漏えいしていないこと、今回の団体保険制度の案内以外には使用されていないことを確認いたしております。

本事案につきましては個人情報保護委員会及び監督省庁への報告を実行しております。

受給者ご本人に対しましては、本組合ホームページに掲載後、速やかに郵送によりお詫び文書を送付させていただきます。 

5.対応及び再発防止にむけた取り組み

今後の防止策といたしまして、データの提供を行う際の業務フローを見直し、誤ったデータ作成を行うことが起きない仕組みを早急に行ってまいります。

個人情報保護の取扱いについて、本件を周知確認するとともに注意喚起を行いました。みなさま方の信頼を回復すべく、職員の研修、個人情報の管理体制の強化を行ってまいります。 


【セキュリティ事件簿#2023-050】三重県 委託事業者によるメールアドレスの流出について 2023年02月04日


全国旅行支援「おいでよ!みえ旅キャンペーン事業」の一環として令和4年12月末まで実施した「みえ得トラベル地域応援クーポン」に関し、委託先である「三重県観光事業者等支援共同事業体(代表構成団体 株式会社JTB三重支店)」(以下「クーポン事務局」という。)の職員が、「みえ得トラベル地域応援クーポン」参加事業者に対して電子メールを送信する際、本来BCC(ブラインドカーボンコピー)で送信するところ、誤って宛先に入れて送信してしまい、メールアドレス計498件が流出したことが判明しました。

当事者の皆様にご迷惑をお掛けしたことを深くお詫びするとともに、今後、個人情報の取り扱いには改めて注意するよう、委託事業者を指導し、再発防止を徹底してまいります。

1.要旨
 (1)概要
令和5年2月3日(金)夜に、クーポン事務局が参加事業者に対して送付した最終換金の案内に関する電子メール5通のうち1通について、送信先498件を、それぞれBCCで送信するところを、誤って宛先に入れて送信しました。

その後、クーポン事務局内でのチェック時に誤送信の事実が判明したため、令和5年2月4日(土)、クーポン事務局から県へ報告があり、県は事実関係の確認を行うとともに、同日中に各送付先に電話によるお詫びとメールの削除依頼を行うよう指示しました。  (2月4日(土)16時30分現在、498件中119件でメール削除の承諾が得られた旨報告あり。)

(2)誤って送付された情報
対象事業者のメールアドレス

(3)原因
クーポン事務局の担当職員が、メール送信の際、送付先のメールアドレスはBCCへ入れるべきことは認識していたものの、不注意により誤って宛先に入れてしまい、ダブルチェックも実施せず、そのまま送信してしまったことによるものです。

2.今後の対応方針
全送付先において、メール削除の承諾が得られるよう、引き続き、電話連絡を実施します。

また、再発防止に向け、クーポン事務局に対し、メール送信する場合は、送信前にダブルチェックを実施したうえで、BCCでの送信を行うよう再度指導を徹底するとともに、具体的な対策を講じるよう指導します。

リリース文アーカイブ) 

【セキュリティ事件簿#2023-049】デンツプライシロナ株式会社 フィッシングメール被害による個人情報漏えいの可能性に関するお詫び 2023年2月7日


この度、宅配業者を装ったフィッシングメールにより、弊社従業員 1 名が使用する業務用スマートフォンが不正アクセスを受け、スマートフォン内に保存されていた個人情報が漏えいした可能性があることが判明しました。この様な事案が発生し、関係者の皆様に多大なご迷惑とご心配をおかけしたことを、深くお詫び申しあげます。

1. 発生状況

2022 年 11 月 30 日(水)、弊社従業員から IT 部門に「業務用スマートフォンのアカウントにログインできない」との報告を受けました。調査の結果、2022 年 11 月 29 日(火)に宅配業者を装うフィッシングメール内のURL から偽装ログインサイトに誘導され、アカウント ID とパスワードを入力していたため、不正ログインされたことが判明しました。それにより、当該スマートフォンの電話帳に登録されていた取引先様や弊社従業員の個人情報が漏えいした可能性があることが判明しました。

2. 漏えいした可能性のある個人情報
  • 弊社取引先様の氏名と電話番号(一部メールアドレスを含む)350 件
  • 弊社従業員の氏名と電話番号(一部メールアドレスを含む)300 件
3. 対応状況
  • 個人情報が漏えいした可能性のある皆様に対しては、個別の通知を行っており、フィッシングメールに関する注意喚起の実施や直近における不審な電話やメールの有無を確認しました。現時点では、二次被害の報告は確認されておりません。
4. 再発防止策

この様な事案を起こしてしまったことを、重く受け止め、全従業員に対する定期的な個人情報等の管理および情報セキュリティに関する教育や指導を徹底するとともに、更なる情報セキュリティ対策強化を図ってまいります。

Microsoft Teams、2か月連続で障害発生(前回は2023年1月)

 

米マイクロソフトは2022年2月8日午前、オンライン会議アプリ「Teams(チームズ)」で障害が発生していると発表した。

マイクロソフトによると、8日午前8時半ごろから、日本を含むアジア太平洋地域で、利用者がオンライン会議に参加できない不具合が起きている。

マイクロソフトは「利用者が会議に参加できない問題が起きていることが分かった。影響を軽減するために取り組んでいる」とコメントしている。

出典:マイクロソフト「Teams」で障害 オンライン会議参加できず

【セキュリティ事件簿#2023-048】静岡大学 令和5年度大学入学共通テストの追試験受験申請書等の誤送信について 2023年2月3日


令和5年度大学共通テスト追試験受験申請について、令和5年1月 20 日(金)に本学から、大学入試センターにFAXで49名分の追試験受験申請書等及び診断書(領収証等を含む。)を送信する際、第三者宅に誤って送信してしまいました。

日頃より、教職員に対しては、個人情報の取扱いの重要性について、徹底を図って参りましたが、このような事態を招き、深くお詫び申し上げます。

事案発生後、誤送信先に確認し、送信されていた49名分のデータのうち、48名分のデータはプリントアウトされていないこと、プリントアウトされていた1名分の申請書については適切に廃棄したこと、及び49名分の送信データはFAX記録からも消去し、漏えいがなかったことを確認しており、外部に流失した可能性は低いと考えております。

また、当該申請者への二次被害等も本日まで確認されておりません。

併せて、追試験受験申請者及び保護者の皆様並びに誤送信先には、お詫びをさせていただいたところです。

今回の事案を受けて、本学として、個人情報の取扱いについて再点検を行うとともに、このような事態が起こらないよう再発防止に取り組んで参ります。