【セキュリティ事件簿#2023-105】名古屋市消防局の31歳の男性消防士長、ファイルサーバに不正アクセスして昇任試験のデータを入手するも解凍に失敗。試験不合格に加えて懲戒処分のオマケもゲット!!

 

名古屋市消防局の昇任試験問題のデータを不正に入手したとして、消防士長が懲戒処分されました。データにはパスワードがかかっていて、消防士長は試験に「不合格」でした。

停職1カ月の懲戒処分を受けたのは、名古屋市消防局の31歳の男性消防士長で、2022年6月下旬までに総務部のファイルサーバーにアクセスし、受験する予定の昇任試験の問題などのデータを不正に入手しました。

消防士長は消防の指令システムの管理などをする担当で、他部署のサーバーにもアクセスする権限を持っていたということです。

試験問題のデータにはパスワードがかかっていたため、消防士長は中身を見ることはできず、昇任試験で不合格となっていました。

市の聞き取りに対して、消防士長は「ただただ反省させていただくしかできない」と話しているということです。

出典:昇任試験問題のデータを不正入手…名古屋市消防局の31歳職員を懲戒処分 内容見られず試験は「不合格」

【セキュリティ事件簿#2023-104】相澤病院 患者さん個⼈情報等の漏えい(不正取得)について(お詫び) 2023年3月29日


この度、退職した元職員により、退職後、当院のパソコンから患者さんの個⼈情報・医療情報及び当院の法⼈情報等が不正に取得され、漏えいしたことが発覚しました。

⽇頃、患者さん及びご家族の皆様には、当院にご信頼を寄せていただいているところ、この様な形で皆様の⼤切な情報が漏えいしてしまい、ご迷惑とご⼼配をおかけすることを⼼よりお詫び申し上げます。

事案概要

本年 1 ⽉、通院治療中の患者さんからの申し出により、元職員 A から他の医療機関での治療を勧誘されたとの事実が判明しました。関係部署職員への聞き取り、ネットワーク上の精査など、院内調査を速やかに実施したところ、以下の事案が 2 ⽉ 6 ⽇に発覚しました。

当院の調査によれば、2022 年 5 ⽉ 9 ⽇夜、元職員 A は後輩職員 B に対し、業務マニュアルが⾒たいと⾔って業務⽤のフォルダーに保存してあったデータをコピーして持ち去ったと思われます。データを持ち去った状況については警察に捜査をお願いしているところでありますので詳細は控えさせて頂きます。

後に当院において、持ち去られたと思われるデータを解析したところ、漏えいしたデータには、透析治療患者さん並びに⾼気圧酸素療法患者さんの個⼈情報及び医療情報、計 3,137 名分(内、亡くなられた⽅の情報が 868 名分)が保存されていたことが判明しております。

漏えいしたデータに含まれていた情報

透析治療患者さん並びに⾼気圧酸素療法患者さん(亡くなられた患者さん含む)の住所・⽒名・⽣年⽉⽇など基本的な識別情報のほか、各種医療情報、家族情報等が含まれていました。

当院の対応

当院と致しましては、本件事案の重⼤性を鑑み、事実発覚後、個⼈情報の保護に関する法律に基づき設置された内閣府の個⼈情報保護委員会へ 2 ⽉ 10 ⽇に報告しました。また、本件事案に厳正に対処すべく、松本警察署に事件相談を⾏い、同署に告訴状を提出するなど、事案の真相究明に全⾯的に協⼒をして参りました。

なお、公表により警察の捜査に⽀障を来すおそれがあったこと、漏えい情報が⼤量であり、漏えい情報の正確な把握及び整理に時間を要したことから公表が本⽇に⾄りました。公表・ご通知が遅れましたことを重ねてお詫び申し上げます。何卒、ご理解を賜りますようお願いを申し上げます。

患者さんへの対応

対象となる患者さんには、個別に漏えいしたデータの内容を記載した書⾯を速やかに発送し、通知とさせていただきますが、患者さんの特定・情報の整理等に⼀定の時間を要することに、重ねてご理解賜りますようお願い申し上げます。

患者さんへのお願い

本件につきましてご不明なことやお気づきのことがございましたら、恐れ⼊りますが、下記お問い合わせ先までご連絡いただきますようお願い申し上げます。

なお、本件に関して当院から患者さんに書⾯による通知をする前に、直接電話による調査・確認をすることはございませんので、くれぐれも、⾒知らぬ番号からの不審な電話等には対応されず、お近くの警察署にご連絡いただきますようお願いいたします。

【セキュリティ事件簿#2023-103】東京大学未来ビジョン研究センターへの不正アクセスによる情報流出について 2023年3月28日


東京大学未来ビジョン研究センターが管理するPCが、2022年7月中旬に受信した標的型攻撃メールによりマルウェアに感染いたしました。当該PCは2022年9月中旬の感染発覚後に隔離保全いたしましたが、2022年9月下旬より専門機関によるPC内の情報漏洩に関する調査、及び当該PC内に保存されていた情報の精査により、2023年1月下旬に以下の個人情報が流出した可能性があることが判明いたしました。

(1) 当センター主催イベントやプログラムのご案内先のメールアドレス 87件
(2) 会議出席者のメールアドレス 46件
(3) 本学学生のメールアドレス、学籍番号 38件
(4) 事務手続き書類に関する情報
(現住所、メールアドレス、一部に生年月日、銀行口座、UTokyoAccount初期設定情報を含む) 23件
(5) 当該PCを管理する当センター教員が責任者を務める研究ユニット関係者のメールアドレス
(一部に携帯電話番号、学籍番号、UTokyo Account初期設定情報を含む) 13件

上記207名のうち、既にメールアドレスが無効となっていた8名を除く199名の方々には個別に連絡を差し上げております。現時点では二次的被害等の情報は確認されていません。
このような事態が発生し、関係者のみなさまには多大なご迷惑をおかけいたしましたことを深くお詫び申し上げます。

今後、標的型攻撃メールのみならず個人情報及び職務上守秘・保護すべき情報の管理について、本センター全構成員に周知徹底し、再発防止に努めてまいります。

【セキュリティ事件簿#2023-102】株式会社ギンポーパック 不正アクセス及びこれに伴うシステム障害に関するお知らせ 2023年3月24日


この度、当社は、第三者による不正アクセスを受け、ランサムウェアによる被害を受けました。既に、下記のとおり、対策チームを設置の上、外部専⾨業者及び弁護⼠等専⾨家の助⾔を受け、原因特定、被害情報の確認及び情報流出の有無などについて調査を⾏い、⾃⼒での復旧対応を進めております。また、発覚後速やかに、個⼈情報保護委員会及び警察等への報告や連携を⾏っております。

本件に関しまして、お取引様をはじめとする関係する⽅々には、多⼤なるご不便、ご迷惑をおかけしておりますことを、深くお詫び申し上げます。

引き続き、外部専⾨家や警察とも連携のうえ、対応を進めて参る所存です。つきましては、誠に恐縮ではございますが、下記のとおり報告申し上げるとともに、何卒、格別の御理解とご⽀援を賜りますようお願い申し上げます。 

1. 概要
  • 当社は、2023 年 3 ⽉ 3 ⽇から 4 ⽇にかけて、ランサムウェアによる被害を受け、基幹システムが使⽤できない状況にあります。もっとも、現在、当社⼯場の⽣産機能には問題がなく、製品の製造・供給及び外部とのメール通信も可能な状態です。
  • 3 ⽉ 4 ⽇以降、個⼈情報保護委員会・警察等の公的機関に報告・相談を⾏い、また、専⾨の弁護⼠やセキュリティベンダーなど、外部の専⾨機関の⽀援を受け、調査・復旧を進めております。
  • 現段階では漏えい等の可能性がある情報の範囲等が明らかになっておらず、調査を進めてまいります。また、⽣産機能に問題はないものの、全ての復旧には 1〜2か⽉を要する⾒通しです。 
2. 漏えい等の可能性がある情報
現在調査中です。 

3. 発覚の経緯及び現在までの対応状況
  • 2023 年 3 ⽉ 3 ⽇夜から 4 ⽇早朝にかけて、当社業務システムにおいて障害を検知し、確認を⾏ったところ、社内サーバーに保存されていたファイルが暗号化されており、ランサムウェアによる被害に遭ったことが判明しました。当社は、直ちに、インターネット接続を遮断し、PC の使⽤を停⽌するなど、可能な範囲での被害拡⼤防⽌措置を講じるとともに、調査を開始しました。
  • 3 ⽉ 4 ⽇、外部の専⾨業者に依頼し、技術的な調査を開始いたしました。
  • 3 ⽉5⽇、調査により、当社の⽣産機能には問題がなく、製品の製造・供給は継続可能であることを確認しました。
  • 3 ⽉6⽇、復旧作業を開始し、紙ベースにて、お取引先様からの⽣産依頼受注、⽣産、発送依頼及び発送までの⼯程を滞りなく⾏えるように体制を整えました。以降、復旧作業を継続しております。
  • 3 ⽉8⽇、個⼈情報保護委員会に対する速報を⾏いました。
  • 3 ⽉ 10 ⽇、同種の問題を専⾨とする外部の弁護⼠に相談し、助⾔を得るとともに、今後の対応について連携を開始いたしました。
  • 3 ⽉ 16 ⽇、警察に被害を申告し、協議を⾏いました。 
4. 今後の対応
  • 引き続き、復旧作業を進めて参ります。(現在は、システムベンダーと共にサーバー再構築、⽣産管理システム及び会計システムの再構築を⾏っております。)なお、全ての復旧には1〜2か⽉程度かかる⾒込みです。
  • 引き続き、セキュリティベンダーを通じた調査を進め、漏えい等した情報の項⽬・件数、侵⼊経路、被害範囲等を調査して参ります。
  • 警察、個⼈情報保護委員会等への報告・相談及びこれらとの連携を進めて参ります。
  • 調査の内容を踏まえ、外部の弁護⼠及びセキュリティベンダーの助⾔の下、再発防⽌策を策定いたします。 

【セキュリティ事件簿#2023-101】住友不動産株式会社 「住友不動産のふれあい+S」システムへの第三者によるアクセスについて 2023年3月27日


この度、「住友不動産のふれあい+S」(以下「本サービス」といいます。)で利用している弊社外のクラウド型システムに保管されている個人情報が、アクセス権の設定不備により、第三者からアクセス可能な状態になっていたことが確認されました(以下「本件事態」といいます。)。

本サービスの利用者様に多大なるご心配をお掛けしましたことを、深くお詫び申し上げます。

弊社では、2023年3月19日深夜に利用者様からのご指摘を頂戴して本件事態を把握したため、直ちに対応を実施、翌20日までに、セキュリティの設定変更及びアクセス可能となっていたページの削除を完了いたしました。現在、第三者からのアクセスが不可能な状態となっており、不正利用等の被害報告は確認されておりません。

本件事態に伴い、第三者により個人情報へアクセス可能な状態になっていたのは、①サービス開始をした2023年1月19日から3月20日までの61日間、②3378件の個人情報(氏名、住所、メールアドレス、電話番号、生年月日等)です。

なお、本件事態に該当するお客様には、個別にご連絡をさせていただきました。

弊社では、今回の事態を厳粛に受け止め、弊社及びサイト構築を行ったシステム会社の自主チェックに加え、第三者によるセキュリティチェックを受けることにより、再発防止に努めてまいります。

【セキュリティ事件簿#2023-104】株式会社FRAGRANCY FRAGRANCYオンラインショップへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年3月28日


このたび、弊社が運営する「FRAGRANCYオンラインショップ(以下「当サイト」といいます。)」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報4,387件および個人情報最大16,347件が漏えいした可能性があることが判明いたしました。なお、個人情報16,347件が最大漏えい件数となりクレジットカード情報4,387件はこれに含まれております。日頃より当サイトをご愛顧くださっているお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メール等にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。 お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年12月23日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、同日中に当サイトでの販売を全面的に停止致しました。併せて、2023年1月12日に第三者調査機関による調査を開始しました。2023年2月17日、第三者調査機関による調査が完了し、2021年6月4日~2022年12月23日の期間に当サイトで購入されたお客様のクレジットカード情報および過去に当サイトに個人情報を入力頂いたお客様の個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。 以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1) 原因

弊社が運営するサイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、サーバー内に侵入され、ペイメントアプリケーションの改ざんが行なわれたため。

(2) クレジットカード情報漏えいの可能性があるお客様

2021年6月4日~2022年12月23日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様4,387名で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

過去に当サイトをご利用いただいたお客様最大16,347名で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・住所、郵便番号

・電話番号

・メールアドレス

・購入履歴

・会社名(任意入力項目)

・FAX番号(任意入力項目)

・性別(任意入力項目)

・生年月日(任意入力項目)

※なお、配送先を購入者住所とは別でご入力いただいた場合はそちらも対象となります。

3.クレジットカード情報漏洩に関してお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表までに時間を要した経緯について

2022年12月23日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに当サイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行ない、再発防止を図ってまいります。

改修後の当サイトの再開時期に関しましては、決定次第、改めてWebサイト等にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年12月26日及び2023年3月13日に報告済みであり、また、所轄警察署にも3月13日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2022】大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書について 2023年3月28日


大阪急性期・総合医療センターは令和4年10月31日早朝に発生したサイバー攻撃により電子カルテを含めた総合情報システムが利用できなくなり、救急診療や外来診療、予定手術などの診療機能に大きな支障が生じました。地域における中核的な役割を担う病院として、府民の皆様、とくに患者さんをはじめとする関係者の皆様に多大なるご迷惑、ご心配をおかけいたしましたことを、改めて深くお詫び申し上げます。また、さまざまな形でご支援をいただいた多くの皆様に厚く御礼申し上げます。

事件発生当日、電子カルテの異常を覚知し、ランサムウェアによる重大なシステム障害が発生していることが判明したため、幹部職員を招集して状況把握と紙カルテの運用など当面の診療体制の方針を決定しました。また、大阪府立病院機構本部、大阪府、大阪府警、大阪市保健所、内閣サイバーセキュリティセンター、厚生労働省医政局などの各方面に連絡をしました。特に厚生労働省からはサイバーセキュリティ初動対応支援チームの専門家が派遣され、発災当日からWEBを通じて多くの支援・有益な助言をいただき、ベンダーの方々の協力を得て、原因の究明に努めるとともに、職員および関係者が一丸となって復旧に取り組みました。

サイバー攻撃によるシステム障害を想定したBCP(事業継続計画)はそれまで策定されていませんでしたが、当センターは大阪府の基幹災害拠点病院であり、さまざまな災害に対応するためにBCPを整備、更新しており、これまでの災害対応の経験を生かして、発災当日の正午には第1回の「大規模システム障害における事業継続対策本部会議(BCP)会議」を開催し、医療現場の状況の把握、当面の医療継続の方針の決定などを行いました。BCP会議は当初は連日、3週目以降は数日おきに開催し、紙カルテの運用方法など診療現場での各部門間の対応のすり合わせを行いました。このようにして一部の入院診療を継続するとともに、外来診療を再開・漸増させることができました。また、BCP会議とは別に病院、基幹ベンダー、ネットワークベンダー、専門家チーム等の関係者によるシステム復旧会議が連日開催され、初動対応、進捗状況および復旧スケジュールの協議等が行われました。

地域における中核的な役割を担う病院で診療継続に障害が生じたという社会的責任から、発生当日に第1回目の記者会見を行い、以降も状況の進展に応じて記者会見や報道資料提供等により情報発信を行いました。

職員、関係者の皆様のご尽力により、障害発生から約6週間後に電子カルテシステムを含む基幹システムを再稼働させることができ、外来での電子カルテ運用が再開しました。12月中には病棟での電子カルテ運用を再開し、続いて通常診療に係る部門システムも令和5年1月11日に再開して、診療体制が復旧しました。 

システムの再開にあたっては、計2,000台以上のサーバーおよび端末を初期化してクリーンインストールを行うとともに、今回指摘された脆弱性の改善を実施し、今後の更なるサイバー攻撃に対しても対応できるための対策に取り組みました。

そして、このような事態を招いた原因究明と再発防止について検討いただくために外部有識者による情報セキュリティインシデント調査委員会を設置しましたところ、猪俣委員長をはじめ委員各位にご尽力いただき、多角的な視点からなる報告書と提言をまとめていただきました。今後、本提言を真摯に受けとめ、「ITガバナンスの確立」に全力で取り組んでいく所存です。また、本提言を公表することにより、全国の医療機関においてセキュリティ対策強化の取り組みに役立てていただければと存じます。

今回のシステム障害を通じて痛感したのは、電子カルテを含む情報システムなしでは診療のみならず医事、会計などすべての部門で病院の運営が立ち行かなくなってしまうこと、そして、それを支える医療情報システムには数多くの脆弱性が存在していることです。今後は各病院がセキュリティ強化に自ら取り組むとともに、厚生労働省をはじめとする行政からの具体的な支援、指導が不可欠であると考えています。



【セキュリティ事件簿#2023-100】株式会社ベビーランドタマベビー 弊社が運営する「ECサイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年3月23日


このたび、弊社が運営する「ECサイト ベビーランド」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(5,246件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年12月16日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受けました。該当するECサイトは2022年11月4日に閉鎖し、新サイトへ移行しておりましたがお客様の安全を考え2022年12月21日に新サイトでのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年2月24日、調査機関による調査が完了し、2021年3月9日~2022年10月28日の期間に「ECサイト ベビーランド」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。 

2.個人情報漏洩状況 

(1)原因
弊社が運営する「ECサイト ベビーランド」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
2021年3月9日~2022年10月28日の期間中に「ECサイト ベビーランド」においてクレジットカード決済をされたお客様5,246名で、漏洩した可能性のある情報は以下のとおりです。
    • カード名義人名
    • クレジットカード番号
    • カード有効期限
    • カードセキュリティコード
    • 顧客情報(会員登録時にご入力頂いたお名前、お名前(フリガナ)、会社名、住所、メールアドレス、電話番号、FAX番号、パスワード、性別、職業、生年月日)
上記に該当する5,246名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年12月16日の漏洩懸念発覚から今回のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営する新サイトのカード決済の再開について 

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

「ECサイト ベビーランド」での再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年12月16日に報告済みであり、また、所轄警察署にも2022年12月20日被害申告しており、今後捜査にも全面的に協力してまいります。