【セキュリティ事件簿#2023-086】東邦化学工業株式会社 当社サーバーへの不正アクセスに関するお知らせ 2023年2月28日


当社サーバーに対する第三者による不正アクセスを受けたことを確認しましたのでお知らせいたします。

当社は、2023 年2月 26 日に、当社データセンターのサーバーに、第三者による不正アクセスを受けたことを確認しました。被害の拡大を防ぐため、速やかにサーバーの停止やネットワークの遮断などの対応を行いましたが、基幹システムや関連システムにも被害が及んでおります。現在、外部専門家の助言を受けながら、不正アクセスを受けた範囲と情報の特定、情報流出の有無などの調査を進めておりますが、全容を把握するまでには今しばらく時間を要する見込みです。当社といたしましては、被害の全容解明と速やかな復旧に向けて全力で取り組んでまいります。

この度は、関係各位に多大なるご心配、ご迷惑をおかけすることとなり、深くお詫び申
し上げます。

【セキュリティ事件簿#2023-085】NEC、設定ミスで資料請求者の個人情報を社外1,900人にお漏らし。


NECで2023年2月24日、同社の資料を請求した個人の情報が外部に流出していたことがITmedia NEWSの取材で分かった。人為的ミスにより、1人の情報が社外の約1900人に向けて送信されたという。

問題発生は24日の終業後。NECのサービスに関する資料をダウンロードした個人の氏名、勤務先、メールアドレス、資料名などの情報が外部に自動送信されていた。同社従業員が流出に気付いたのは週が明けて27日の朝。対象の1人には謝罪し、流出先の1900人には情報削除を要請した。

NECによると、同社の資料がダウンロードされた場合、本来であれば社内共有用のメーリングリストに資料請求者の名前などの情報を送信することになっているという。今回はヒューマンエラーによる設定ミスで、同社のセミナーなどに参加した人をまとめたメーリングリストに情報を送信したのが原因だった。

【セキュリティ事件簿#2023-084】株式会社トマト 弊社が運営する「トマトオンラインショップ」への不正アクセスによる 個人情報漏洩に関するお詫びとお知らせ 2023年2月28日


このたび、弊社が運営する「トマトオンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(14,256件)が漏洩した可能性があることが判明いたしました。

またそれに伴い、不正アクセスを行った第三者において「トマトオンラインショップ」内のデータ管理画面が閲覧可能な状態であったことにより上記クレジットカード情報を含め購入履歴等のデータ(62,575件)が漏洩した可能性があることがあわせて判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1経緯

2022年11月24日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、第三者調査機関による調査を開始いたしました。2022年12月26日、調査機関による調査が完了し、2021年1月22日~2022年10月3日の期間に「トマトオンラインショップ」で購入されたお客様のクレジットカード情報が漏洩したことと合わせ、不正アクセスを行った第三者において「トマトオンラインショップ」内のデータ管理画面が閲覧可能な状態であったことを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。

なお、「トマトオンラインショップ」につきましては2022年9月24日よりクレジットカード決済の受付を停止、リニューアル後の「日暮里トマトオンラインショップ」につきましても2022年11月30日よりクレジットカード決済の受付を停止しております。

2.個人情報漏洩状況

(1)原因

弊社が運営する「トマトオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、不正ファイルの設置が行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年1月22日~2022年10月3日の期間中に「トマトオンラインショップ」においてクレジットカード決済をされたお客様14,256名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

また、上記クレジットカード取引を含む1度でも「トマトオンラインショップ」での会員登録、購入をしたことのあるお客様62,575名(上記14,256名を含む)で、漏洩した可能性のある情報は以下のとおりです。
・氏名
・住所
・生年月日
・メールアドレス
・電話番号
・購入履歴

上記に該当する62,575名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年11月24日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「日暮里トマトオンラインショップ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年11月26日に報告済みであり、また、所轄警察署にも2023年1月16日被害相談をしており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2023-083】オアシス珈琲有限会社 弊社が運営する「「きれいなコーヒー」の通販|オアシス珈琲」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年2月28日


このたび、弊社が運営する「「きれいなコーヒー」の通販|オアシス珈琲」(以下、「当社通販サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(4,215 件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022 年 8 月 1 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日弊社が運営する「当社通販サイト」でのクレジットカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2022 年 10 月 5 日、調査機関による調査が完了し、2021 年 9 月 21 日~2022 年 7 月 20 日の期間に「当社通販サイト」で購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況
(1)原因
弊社が運営する「当社通販サイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
2021 年 9 月 21 日~2022 年 7 月 20 日の期間中に「当社通販サイト」においてクレジットカード決済をされたお客様 3836 名で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

上記に該当する 3836 名のお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022 年 8 月 1 日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびクレジットカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「当社通販サイト」の再開日につきましては、決定次第、改めてwebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2022 年 9 月 29 日に報告済みであり、また、所轄警察署にも 2022 年 10 月 10 日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2023-082】慶応大学法学部の2年生が履修登録システムに不正アクセスし、他の学生の履修登録を消去


慶応大の学生が他の学生の履修登録システムに不正アクセスを繰り返し、履修登録を消去したなどとして、同大が停学3か月の処分をしていたことがわかった。処分は2023年2月20日付。履修登録を消されると単位が認定されなくなり、進級や卒業にも影響する可能性がある。

処分されたのは法学部の2年生。慶応大では、学生が受講する科目を一定期間にオンラインで申請する。この学生は、他の学生のアカウントでアクセスを繰り返し、履修科目を消去していたという。削除されたことに気づかなければ、出席しても単位が認められない恐れがあった。慶応大では、学生に向けた告示で「被害学生に多大な不利益をもたらし、プライバシーを侵害するもので、大学に学ぶ学生の本分に著しく反する行為」とした。

【セキュリティ事件簿#2023-081】神奈川県住宅供給公社 不正アクセスによる一部情報流出の可能性のお知らせとお詫びについて 2023年2月27日


当公社で利用しております富士通株式会社が提供するFENICSインターネットサービスにおいて、ネットワークを構成する一部機器が不正アクセスを受け、当該機器から外部に向けて不正な通信があった事実が判明しております。
(詳細につきましては、下記富士通株式会社のリンク先をご参照ください)

FENICSインターネットサービスに関するネットワーク機器からの不正な通信について(調査結果)
https://www.fujitsu.com/jp/services/infrastructure/network/news/2023/0220.html

調査の結果、不正な通信に当公社の情報が含まれているかは判明せず、また現時点において当公社以外のサービス利用者を含め、本件による情報の不正利用などの事実は確認されておりませんが、一定の期間においてメール送受信などにおける通信データの一部について、外部に流出した可能性を完全に否定することが出来ない状況であるとの判断に至りました。

なお調査の結果、不正な通信に当公社の情報が含まれているかは判明していないものの、不正アクセスを受けた機器に関しては、現在すでに同社において、必要な対策が講じられております。

また、可能性として、窃取されたと想定できるのはメールの送受信や一部インターネットサイトとの通信のみであり、当公社が保有するデータを保管するサーバー類へのアクセスはないことが確認できております。

関係者の皆様にご心配をおかけすることとなり、深くお詫び申し上げます。

今後、新たな事実が判明した場合や富士通株式会社から新たな情報提供があった場合は必要に応じて、公社ホームページでご報告させていただきます。

【セキュリティ事件簿#2022】国立大学法人室蘭工業大学 不正アクセスによる個人情報の漏えいの報告とお詫びについて 2023年2月27日


令和4年4月~7月にかけて、本学の教職員等4名が利用していたパソコンが不正アクセスを受け、その攻撃者の遠隔操作により本学メールサーバがSPAMメール等の送信に利用される事例が発生いたしました。

調査の結果、当該教職員等のメールサーバ内にある過去の送受信メールが攻撃者に閲覧された可能性があり、そのメールに553人分の個人情報が記載されていたことが判明いたしました。

なお、現時点において本件の個人情報が不正に使用された事実は確認されておりません。

個人情報が漏えいしたおそれのあるご本人へは、順次メールにて連絡を差し上げております。

なお、漏えいしたおそれのある個人情報が氏名のみで連絡先が含まれていない方及び本学で把握している連絡先が現在は使用されていない等の理由で個別に連絡ができない方には、このホームページでのお知らせをご本人への通知に代えさせていただきます。ご自身の個人情報が対象となっているか否かの確認をご希望の方は、以下のお問合せ先へご連絡いただきますようお願いいたします。

本学では、定期的にセキュリティ点検及び研修を実施しておりましたが、この事例の発生を受け、改めて全教職員及び学生向けにセキュリティ点検の実施及びシステムのセキュリティの強化を実施いたしました。

今回、このような問題が発生したことは、極めて重大なことであると受け止めており、関係の皆様に多大なご迷惑をおかけしたことを深くお詫び申し上げます。また、ご本人へのご報告が遅くなりましたことを重ねてお詫び申し上げます。

今後はこのようなことが起こらないよう、再発防止に努めてまいります。


【セキュリティ事件簿#2023-080】株式会社 ラウンドワン ホームページ改ざんに関するお詫びと復旧のご報告 2023年2月27日


平素よりラウンドワンをご利用いただき、誠にありがとうございます。

弊社ホームページにおきまして、第三者からの不正アクセスにより店舗料金案内ページが令和 5 年 2 月 25 日(土) 22 時 53 分~令和 5 年 2 月 26 日(日)11 時 10 分のあいだ改ざんされ、不適切な Web ページに誘導されるようになっていたことが判明いたしました。

お客様には大変ご迷惑、ご不便をお掛けしました事を改めて深くお詫びいたしますとともに、以下のとおり、本件の概要についてご報告いたします。

令和 5 年 2 月 25 日(土)、店舗料金案内ページにおいて、本来とは異なる Web ページへ誘導されることを確認いたしました。このため、同 Web サイトへのアクセスについて調査を開始いたしました。

調査の結果、サーバに不正アクセスされ、店舗料金案内ページが改ざんされていたことが判明しましたので、改ざんされたページを削除し復旧作業を実施し現在は正常にご利用できる状態となっております。

今回の店舗料金案内ページ改ざんによる弊社ホームページからの個人情報等の流出はないことを確認しております。

当社では、このような事態を防ぐために、セキュリティ対策を一層強化するとともに、不正アクセスの再発防止に向けて、改めて取り組みを強化してまいります。

再発防止に向け、今後とも引き続き努めてまいりますので、何卒ご理解賜りますようお願い申し上げます。