【セキュリティ事件簿#2022】日本盛株式会社 弊社サーバーへの不正アクセスによる クレジットカード情報等漏洩に関するお詫びとお知らせ 2023年3月30日


このたび、 弊社が業務上使用するサーバーにおきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等 (23 件) が漏洩した可能性があることが判明いたしました。 お客様をはじめ、 関係者の皆様には多大なるこ迷宮及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報等が漏洩した可能性があるお客様には、個別に書面及びメールにてお詫びとお知らせを発送させていただきます。

親社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2022年9月18日午前9 時頃、 弊社が業務上利用するデータセンタの管理会社から、弊社のサーバーに不具合が生じているとの報告を受け、 弊社内部にて調査したところ、 サーバーがランサムウェア (悪意あるウィルス) に感染していることが発覚したため、 当該サーバーをネットワークから隔離するなどの被害拡大防止策を講じた上で、外部専門家の協力のもと、対策チームを設置いたしました。 その後、弊社の「通信販売 (お電話)」 及び「日本盛オンラインショップ (EC サイト)」の運営を 2022 年9月 20 日に停止しました。

そして、第三者調査機関に原因究明等について調査を依頼し、 2022年10月6日にランサムウェアにより社内システムのデータが暗号化された旨の調査結果の報告を受けましたが、その影響範囲について継続的に調査を進めておりました。その結果として 2023年2月24日、 第三者調査機関から最終調査結果の報告を受け、ランサムウェアにより暗号化されたデータの中に、2016年10月6日~2022年9月16日に弊社の「通信販売 (お電話)」でご注文いただいたお客様のうちの一部の方のクレジットカード情報等が記載された注文書やメモの画像データ (合計 23 件) が含まれており、漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の公表に至りました。

2.クレジットカード情報等漏洩状況

(1)原因

第三者調査機関からは、 弊社が導入していた VPN 機器 (データを暗号化して安全に通信す
るための専用線) の脆弱性を悪用し、 弊社サーバーに不正にアクセスされた事実を確認した
との報告を受けております。

弊社では、従来からクレジットカード情報が記載されたデータファイルにつきましてはサーバーには保存しないルールとしておりましたが、一部で当該運用の徹底ができていなかった部分があり、サーバー内に一部のお客様のクレジットカード情報が記載された画像データが保存される結果となりました。

(2) 漏洩した可能性のあるクレジットカード情報等

漏洩した可能性があるのは、2016年10月6日~2022年9月20日に通信販売 (お電話)でご注文をいただいたお客様のうちの一部の方 (23 名) に関する以下の情報です。

・クレジットカード番号
・有効期限
・氏名

3. お客様へのお願い

弊社では、 既にクレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、 今一度ご確認をお願いいたします。 万が一、 身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、傍せてお願い申し上げます。

なお、 お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、上弊社よりクレジットカード会社に依頼しております。

4. 公表までに時間を要した経緯について

2022年9月18 日に不正アクセスの事態を認識してから今回の公表に至るまで、 時間を要しましたことを深くお詫び申し上げます。

本来であれば 2022 年 10 月 25 日の公表時点ですぐにこ連絡し、注意を喚起するとともにお詫び申し上げるところではございま したが、不確定な情報の公開は徒に混乱を招き、 ご迷
惑を最小限に食い止める対応準備を整えてからの公表が不可欠であると判断し、調査会社の追加調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の公表までお時間をいただきましたこと、重ねてお詫び申し上げます。

【セキュリティ事件簿#2023-106】エン・ジャパン株式会社 「エン転職」への不正ログイン発生に関するお詫びとお願い 2023/03/30


この度、当社が運営する総合転職情報サイト「エン転職」を管理するWEBサーバーに対し、外部からの不正ログインが発生したことが判明しました。

本件により、ご利用ユーザー様および関係各位の皆様に、多大なご迷惑とご心配をおかけすることになりますことを、ここに深くお詫び申し上げます。なお、現時点におきまして個人情報の不正流用等の報告は確認されておりません。

被害拡大防止策として、「エン転職」をご利用いただいている全ユーザー様のパスワードのリセットを行ないました。ユーザー様におかれましては、「エン転職」のパスワードの再設定をお願い申し上げるとともに、当サイトに限らず、他のWEBサービスにおいて「エン転職」のアカウントと同じID(メールアドレス)およびパスワードをご使用の場合も、大変お手数ではございますが、第三者による悪用を防ぐため、早急に他のWEBサービスに設定されたパスワードの変更をお願いいたします。本件に関して、現時点で判明している概要と対応について、下記の通りご報告いたします。

1.概要および当社の対応について

2023年3月27日、「エン転職」のWEBサーバーにおいて不正なログインが確認されました。社内にて詳細な調査を行なった結果、2023年3月20日~3月27日の期間に、外部から不正に取得されたと思われるID(メールアドレス)およびパスワードを使ったなりすましによる不正ログイン(リスト型アカウントハッキング※)が発生し、一部のユーザー様のWeb履歴書にアクセスされた可能性があることが判明しました。

そのため、同日、不正ログインを試行していた送信元IPアドレス群からの通信をブロックするとともに、セキュリティ対策の強化を行いました。

また、所轄警察署への通報・相談、および個人情報保護委員会など関係省庁への報告をしております。

※リスト型アカウントハッキング(リスト型攻撃)は、何らかの手段により他者のIDおよびパスワードを入手した第三者が、これらのIDおよびパスワードをリストのように用いて様々なサイトにログインを試みることで、個人情報の閲覧等を行うサイバー攻撃をいいます。

2.不正ログインに関する情報

  • 不正ログインの対象:2000年から現在までに「エン転職」へご登録いただいた方のうち、255,765名分のWeb履歴書(退会者は除く)
  • 不正ログインが確認された期間:2023年3月20日~3月27日

3.ユーザーの皆様への対応について

  • 不正ログインに該当するユーザー様につきましては、本日3月30日15時にパスワードのリセットを実施いたしました。パスワードの再設定方法および注意点とあわせて、個別にメールにてお知らせいたします。次回「エン転職」をご利用時にパスワードの再設定をお願い申し上げます。
  • 被害拡大防止策として、不正ログインに該当しないユーザー様につきましても、3月30日15時にシステムにてパスワードのリセットを実施いたしました。パスワードの再設定方法および注意点とあわせて、個別にメールにてお知らせいたします。次回「エン転職」をご利用時にパスワードの再設定をお願い申し上げます。パスワードの再設定方法は、「エン転職」ログイン画面に記載しておりますのでご確認ください。
  • 当社コーポレートサイトおよび「エン転職」上に「お知らせ(https://employment.en-japan.com/info/20230330/)」を掲示いたしました。
  • 本日、ユーザー様相談窓口を設置いたしました。ご不安な方、ご質問がある方は下記までご連絡いただきますようお願い申し上げます。

4.再発防止策について

当社は、本件不正ログインを受け、徹底した調査を実施し、皆様に安心してご利用いただくサービスを提供するための再発防止策として、IDおよびパスワード認証以外のシステムセキュリティの高度化を図る等、さらなるセキュリティレベルの向上策に取り組んで参ります。

なお、現時点において「エン転職」への不正ログインによる履歴書をはじめとする情報の改ざんは確認されておりません。同様に、求職者様以外の企業様側の管理画面への不正ログインや情報の改ざんは確認されておりません。また、「エン転職」以外の当社サービスにおいて、同様の不正ログインは確認されておりません。

この度は、ご利用ユーザー様および関係各位の皆様へ多大なご迷惑とご心配をおかけしますこと、重ねてお詫び申し上げます。


【セキュリティ事件簿#2023-105】名古屋市消防局の31歳の男性消防士長、ファイルサーバに不正アクセスして昇任試験のデータを入手するも解凍に失敗。試験不合格に加えて懲戒処分のオマケもゲット!!

 

名古屋市消防局の昇任試験問題のデータを不正に入手したとして、消防士長が懲戒処分されました。データにはパスワードがかかっていて、消防士長は試験に「不合格」でした。

停職1カ月の懲戒処分を受けたのは、名古屋市消防局の31歳の男性消防士長で、2022年6月下旬までに総務部のファイルサーバーにアクセスし、受験する予定の昇任試験の問題などのデータを不正に入手しました。

消防士長は消防の指令システムの管理などをする担当で、他部署のサーバーにもアクセスする権限を持っていたということです。

試験問題のデータにはパスワードがかかっていたため、消防士長は中身を見ることはできず、昇任試験で不合格となっていました。

市の聞き取りに対して、消防士長は「ただただ反省させていただくしかできない」と話しているということです。

出典:昇任試験問題のデータを不正入手…名古屋市消防局の31歳職員を懲戒処分 内容見られず試験は「不合格」

【セキュリティ事件簿#2023-104】相澤病院 患者さん個⼈情報等の漏えい(不正取得)について(お詫び) 2023年3月29日


この度、退職した元職員により、退職後、当院のパソコンから患者さんの個⼈情報・医療情報及び当院の法⼈情報等が不正に取得され、漏えいしたことが発覚しました。

⽇頃、患者さん及びご家族の皆様には、当院にご信頼を寄せていただいているところ、この様な形で皆様の⼤切な情報が漏えいしてしまい、ご迷惑とご⼼配をおかけすることを⼼よりお詫び申し上げます。

事案概要

本年 1 ⽉、通院治療中の患者さんからの申し出により、元職員 A から他の医療機関での治療を勧誘されたとの事実が判明しました。関係部署職員への聞き取り、ネットワーク上の精査など、院内調査を速やかに実施したところ、以下の事案が 2 ⽉ 6 ⽇に発覚しました。

当院の調査によれば、2022 年 5 ⽉ 9 ⽇夜、元職員 A は後輩職員 B に対し、業務マニュアルが⾒たいと⾔って業務⽤のフォルダーに保存してあったデータをコピーして持ち去ったと思われます。データを持ち去った状況については警察に捜査をお願いしているところでありますので詳細は控えさせて頂きます。

後に当院において、持ち去られたと思われるデータを解析したところ、漏えいしたデータには、透析治療患者さん並びに⾼気圧酸素療法患者さんの個⼈情報及び医療情報、計 3,137 名分(内、亡くなられた⽅の情報が 868 名分)が保存されていたことが判明しております。

漏えいしたデータに含まれていた情報

透析治療患者さん並びに⾼気圧酸素療法患者さん(亡くなられた患者さん含む)の住所・⽒名・⽣年⽉⽇など基本的な識別情報のほか、各種医療情報、家族情報等が含まれていました。

当院の対応

当院と致しましては、本件事案の重⼤性を鑑み、事実発覚後、個⼈情報の保護に関する法律に基づき設置された内閣府の個⼈情報保護委員会へ 2 ⽉ 10 ⽇に報告しました。また、本件事案に厳正に対処すべく、松本警察署に事件相談を⾏い、同署に告訴状を提出するなど、事案の真相究明に全⾯的に協⼒をして参りました。

なお、公表により警察の捜査に⽀障を来すおそれがあったこと、漏えい情報が⼤量であり、漏えい情報の正確な把握及び整理に時間を要したことから公表が本⽇に⾄りました。公表・ご通知が遅れましたことを重ねてお詫び申し上げます。何卒、ご理解を賜りますようお願いを申し上げます。

患者さんへの対応

対象となる患者さんには、個別に漏えいしたデータの内容を記載した書⾯を速やかに発送し、通知とさせていただきますが、患者さんの特定・情報の整理等に⼀定の時間を要することに、重ねてご理解賜りますようお願い申し上げます。

患者さんへのお願い

本件につきましてご不明なことやお気づきのことがございましたら、恐れ⼊りますが、下記お問い合わせ先までご連絡いただきますようお願い申し上げます。

なお、本件に関して当院から患者さんに書⾯による通知をする前に、直接電話による調査・確認をすることはございませんので、くれぐれも、⾒知らぬ番号からの不審な電話等には対応されず、お近くの警察署にご連絡いただきますようお願いいたします。

【セキュリティ事件簿#2023-103】東京大学未来ビジョン研究センターへの不正アクセスによる情報流出について 2023年3月28日


東京大学未来ビジョン研究センターが管理するPCが、2022年7月中旬に受信した標的型攻撃メールによりマルウェアに感染いたしました。当該PCは2022年9月中旬の感染発覚後に隔離保全いたしましたが、2022年9月下旬より専門機関によるPC内の情報漏洩に関する調査、及び当該PC内に保存されていた情報の精査により、2023年1月下旬に以下の個人情報が流出した可能性があることが判明いたしました。

(1) 当センター主催イベントやプログラムのご案内先のメールアドレス 87件
(2) 会議出席者のメールアドレス 46件
(3) 本学学生のメールアドレス、学籍番号 38件
(4) 事務手続き書類に関する情報
(現住所、メールアドレス、一部に生年月日、銀行口座、UTokyoAccount初期設定情報を含む) 23件
(5) 当該PCを管理する当センター教員が責任者を務める研究ユニット関係者のメールアドレス
(一部に携帯電話番号、学籍番号、UTokyo Account初期設定情報を含む) 13件

上記207名のうち、既にメールアドレスが無効となっていた8名を除く199名の方々には個別に連絡を差し上げております。現時点では二次的被害等の情報は確認されていません。
このような事態が発生し、関係者のみなさまには多大なご迷惑をおかけいたしましたことを深くお詫び申し上げます。

今後、標的型攻撃メールのみならず個人情報及び職務上守秘・保護すべき情報の管理について、本センター全構成員に周知徹底し、再発防止に努めてまいります。

【セキュリティ事件簿#2023-102】株式会社ギンポーパック 不正アクセス及びこれに伴うシステム障害に関するお知らせ 2023年3月24日


この度、当社は、第三者による不正アクセスを受け、ランサムウェアによる被害を受けました。既に、下記のとおり、対策チームを設置の上、外部専⾨業者及び弁護⼠等専⾨家の助⾔を受け、原因特定、被害情報の確認及び情報流出の有無などについて調査を⾏い、⾃⼒での復旧対応を進めております。また、発覚後速やかに、個⼈情報保護委員会及び警察等への報告や連携を⾏っております。

本件に関しまして、お取引様をはじめとする関係する⽅々には、多⼤なるご不便、ご迷惑をおかけしておりますことを、深くお詫び申し上げます。

引き続き、外部専⾨家や警察とも連携のうえ、対応を進めて参る所存です。つきましては、誠に恐縮ではございますが、下記のとおり報告申し上げるとともに、何卒、格別の御理解とご⽀援を賜りますようお願い申し上げます。 

1. 概要
  • 当社は、2023 年 3 ⽉ 3 ⽇から 4 ⽇にかけて、ランサムウェアによる被害を受け、基幹システムが使⽤できない状況にあります。もっとも、現在、当社⼯場の⽣産機能には問題がなく、製品の製造・供給及び外部とのメール通信も可能な状態です。
  • 3 ⽉ 4 ⽇以降、個⼈情報保護委員会・警察等の公的機関に報告・相談を⾏い、また、専⾨の弁護⼠やセキュリティベンダーなど、外部の専⾨機関の⽀援を受け、調査・復旧を進めております。
  • 現段階では漏えい等の可能性がある情報の範囲等が明らかになっておらず、調査を進めてまいります。また、⽣産機能に問題はないものの、全ての復旧には 1〜2か⽉を要する⾒通しです。 
2. 漏えい等の可能性がある情報
現在調査中です。 

3. 発覚の経緯及び現在までの対応状況
  • 2023 年 3 ⽉ 3 ⽇夜から 4 ⽇早朝にかけて、当社業務システムにおいて障害を検知し、確認を⾏ったところ、社内サーバーに保存されていたファイルが暗号化されており、ランサムウェアによる被害に遭ったことが判明しました。当社は、直ちに、インターネット接続を遮断し、PC の使⽤を停⽌するなど、可能な範囲での被害拡⼤防⽌措置を講じるとともに、調査を開始しました。
  • 3 ⽉ 4 ⽇、外部の専⾨業者に依頼し、技術的な調査を開始いたしました。
  • 3 ⽉5⽇、調査により、当社の⽣産機能には問題がなく、製品の製造・供給は継続可能であることを確認しました。
  • 3 ⽉6⽇、復旧作業を開始し、紙ベースにて、お取引先様からの⽣産依頼受注、⽣産、発送依頼及び発送までの⼯程を滞りなく⾏えるように体制を整えました。以降、復旧作業を継続しております。
  • 3 ⽉8⽇、個⼈情報保護委員会に対する速報を⾏いました。
  • 3 ⽉ 10 ⽇、同種の問題を専⾨とする外部の弁護⼠に相談し、助⾔を得るとともに、今後の対応について連携を開始いたしました。
  • 3 ⽉ 16 ⽇、警察に被害を申告し、協議を⾏いました。 
4. 今後の対応
  • 引き続き、復旧作業を進めて参ります。(現在は、システムベンダーと共にサーバー再構築、⽣産管理システム及び会計システムの再構築を⾏っております。)なお、全ての復旧には1〜2か⽉程度かかる⾒込みです。
  • 引き続き、セキュリティベンダーを通じた調査を進め、漏えい等した情報の項⽬・件数、侵⼊経路、被害範囲等を調査して参ります。
  • 警察、個⼈情報保護委員会等への報告・相談及びこれらとの連携を進めて参ります。
  • 調査の内容を踏まえ、外部の弁護⼠及びセキュリティベンダーの助⾔の下、再発防⽌策を策定いたします。 

【セキュリティ事件簿#2023-101】住友不動産株式会社 「住友不動産のふれあい+S」システムへの第三者によるアクセスについて 2023年3月27日


この度、「住友不動産のふれあい+S」(以下「本サービス」といいます。)で利用している弊社外のクラウド型システムに保管されている個人情報が、アクセス権の設定不備により、第三者からアクセス可能な状態になっていたことが確認されました(以下「本件事態」といいます。)。

本サービスの利用者様に多大なるご心配をお掛けしましたことを、深くお詫び申し上げます。

弊社では、2023年3月19日深夜に利用者様からのご指摘を頂戴して本件事態を把握したため、直ちに対応を実施、翌20日までに、セキュリティの設定変更及びアクセス可能となっていたページの削除を完了いたしました。現在、第三者からのアクセスが不可能な状態となっており、不正利用等の被害報告は確認されておりません。

本件事態に伴い、第三者により個人情報へアクセス可能な状態になっていたのは、①サービス開始をした2023年1月19日から3月20日までの61日間、②3378件の個人情報(氏名、住所、メールアドレス、電話番号、生年月日等)です。

なお、本件事態に該当するお客様には、個別にご連絡をさせていただきました。

弊社では、今回の事態を厳粛に受け止め、弊社及びサイト構築を行ったシステム会社の自主チェックに加え、第三者によるセキュリティチェックを受けることにより、再発防止に努めてまいります。

【セキュリティ事件簿#2023-104】株式会社FRAGRANCY FRAGRANCYオンラインショップへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年3月28日


このたび、弊社が運営する「FRAGRANCYオンラインショップ(以下「当サイト」といいます。)」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報4,387件および個人情報最大16,347件が漏えいした可能性があることが判明いたしました。なお、個人情報16,347件が最大漏えい件数となりクレジットカード情報4,387件はこれに含まれております。日頃より当サイトをご愛顧くださっているお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メール等にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。 お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年12月23日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、同日中に当サイトでの販売を全面的に停止致しました。併せて、2023年1月12日に第三者調査機関による調査を開始しました。2023年2月17日、第三者調査機関による調査が完了し、2021年6月4日~2022年12月23日の期間に当サイトで購入されたお客様のクレジットカード情報および過去に当サイトに個人情報を入力頂いたお客様の個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。 以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1) 原因

弊社が運営するサイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、サーバー内に侵入され、ペイメントアプリケーションの改ざんが行なわれたため。

(2) クレジットカード情報漏えいの可能性があるお客様

2021年6月4日~2022年12月23日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様4,387名で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

過去に当サイトをご利用いただいたお客様最大16,347名で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・住所、郵便番号

・電話番号

・メールアドレス

・購入履歴

・会社名(任意入力項目)

・FAX番号(任意入力項目)

・性別(任意入力項目)

・生年月日(任意入力項目)

※なお、配送先を購入者住所とは別でご入力いただいた場合はそちらも対象となります。

3.クレジットカード情報漏洩に関してお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表までに時間を要した経緯について

2022年12月23日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに当サイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行ない、再発防止を図ってまいります。

改修後の当サイトの再開時期に関しましては、決定次第、改めてWebサイト等にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年12月26日及び2023年3月13日に報告済みであり、また、所轄警察署にも3月13日被害申告しており、今後捜査にも全面的に協力してまいります。