【セキュリティ事件簿#2023-118】エイ・ケイ・フランチャイズシステム株式会社 ノートパソコンの盗難に関するご報告とお詫び 2023年3月22日


この度、弊社が運営するファミリーマート下記店舗のアルバイト従業員に係る個人情報漏えいの問題が発生しました。

なお、下記対象店舗には、弊社が第三者から過去に運営を引き継いだ店舗が含まれております。

[対象店舗] 
栗生四丁目店 
シーノ大宮店 
池袋グリーン大通り店
池袋北口店 
東池袋明治通り店 
としまエコミューゼタウン店
サンシャイン南店 
上野駅前店 
日本青年館店
伊藤忠ビル店 
メトロ外苑前店 
神宮スタジアム通り店
青山ビル店 
中野弥生町本郷通り店 
城陽寺田店
城陽平川店 
東大阪三島店 
一津屋三丁目店
堺大野芝町店 
光明池南店 
吉井町二丁目店
南海春木駅前店 
福岡蒲田店 
香椎パークポート店
福岡パルコ店 
福岡平和店 

計 26 店

このような事態を招いたことにつきまして、深くお詫び申し上げます。

〇個人情報漏えいのおそれが発生した状況
  • 令和 5 年 3 月 6 日の夜間、弊社社員が帰宅途中に立ち寄った先で、ロッカーに入れていたカバンが盗難被害にあいました。
  • 弊社は、直ちに警察に被害届を提出いたしましたが、現在まで、盗難にあったカバン及び内容物は発見、回収されておりません。
  • 盗難にあったカバン内にはノートパソコンが入っており、ノートパソコン内には、アルバイト従業員の個人情報ファイル(住所、氏名、生年月日、電話番号、性別、銀行口座、社会保険加入状況、時給 等)が含まれておりました。
当該ノートパソコンについては、ログインパスワードを設定しており、当該パスワードなしに個人情報ファイルにアクセスすることはできません。

また、個人情報ファイルは既退職者の方のデータを非表示設定しており、上記ログインパスワードとは別のパスワードを更に入力しなければ表示されることはありません。

現時点では第三者への個人情報の流出及び不正使用等は確認されておりません。

弊社では、今回の事態を重く受け止め、深く反省し、再発防止策を早急に実施すると共に、個人情報の適切な取り扱いを周知徹底致します。


【セキュリティ事件簿#2023-117】奈良女子大学 情報セキュリティインシデントの発生について 2023年3月29日


この度、学生 1 名の大学メールアドレス及びパスワードが詐取され、Microsoft365のサービスを悪用しメールが送信される事案が発生しました。調査したところ、Microsoft365 に格納されていたユーザー情報(氏名及びメールアドレス)の一覧が表示できる Web ページへのアクセス制限が適切になされていなかったため、当該アカウントでログインされ、ユーザー情報が閲覧された可能性があることが判明しました。

既に当該学生のメールアドレスのパスワードは変更しており、変更後の不正ログインは確認されていません。また、ユーザー情報が閲覧できる Web ページには直ちにアクセスを制限する設定を実施しました。

このような事案が発生し、関係の皆様に多大なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事案を重く受け止め、メールアドレス及びパスワードの厳重な取扱いを徹底するとともに、多要素認証の導入など再発防止措置を講じてまいります。

なお、現在までに、上記以外のメールアドレスやアカウントの悪用等に関する事実は確認されていません。また、この事案に関して、個人情報漏洩の可能性に該当する方に対しては、個別にお詫びと状況説明を行っています。

1.経緯
  1. 2023 年 3 月 3 日(金)に、学生 1 名の大学メールアドレスに不審なメールが大量に届いたとの相談が受信後すぐにあり、その場でパスワードを変更した。
    聞き取り調査の結果、当該学生が外部企業等のウェブサイト登録のため、大学のメールアドレスを用いた際に、本学で使用していたパスワードを使いまわしていたことが判明した。
  2. 大学のメールアドレスをアカウントとする Microsoft365 のサービスについて調べたところ、当該学生のアカウントで 2023 年 2 月 7 日(火)以降に不審なアクセスが複数回なされたことが判明した。
  3. 不審なメールを調査したところ、Microsoft365 の当該アカウントがスパムメールの送信元として悪用されていたことが判明した。上記1.でのパスワード変更後は不正な利用は確認されていない。
  4. Microsoft365 サービス上の Web ページで組織内のユーザー情報が閲覧できるページを点検したところ、情報漏洩の可能性があることが判明した。当該ページへはすぐにアクセス制限を実施した。
2.漏洩した可能性のある情報

 氏名・大学メールアドレス
教職員・・・ 1,144 件
学生 ・・・ 3,727 件

3.当該アカウントから送信されたスパムメール件数
 389 件

【セキュリティ事件簿#2023-116】東京都 個人情報(メールアドレス)の漏えいについて 2023年03月17日


生活文化スポーツ局において、個人情報を漏えいする事故が発生しましたので、お知らせします。

関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

(1)発生日
令和5年3月16日(木曜日)

(2)漏えいした個人情報
参加者及び登壇者103名のアドレス105件

(3)事故の概要
3月16日に開催した「ウクライナ避難民支援連携フォーラム」について、参加者及び登壇者に資料の事前配布のメールを送信するところ、誤ってメールアドレスをBCC欄ではなく宛先欄に入力して送信

2 経緯

  • 3月16日(木曜日) 13時50分
    • 「ウクライナ避難民支援連携フォーラム」参加者及び登壇者103名(アドレスは105件)に対し、職員がメールを宛先欄で一斉送信
      すぐに、メールの送信取消機能による処理を実施した結果、宛先欄にメールアドレスが入力された状態で、再度、メールが自動送信されてしまった。
  • 同日14時8分
    • メールの送信取消機能による処理を、再度実施。結果、宛先欄にメールアドレスが入力された状態で、3回目のメールが自動送信されてしまった。
  • 同日17時49分
    • 送信先に当該メールの削除依頼のメールを送信、電話での説明を開始
  • 同日18時29分
    • 取消処理のメールに対して、参加者の一人が全員宛に返信。その結果、宛先欄にメールアドレスが入力された状態でメールが送信された。
  • 同日19時41分
    • 「TO(宛先)」になっているものについては削除をお願いし、そのメールには返信しないようすることについて、再度、メールで依頼
  • 3月17日(金曜日)13時00分時点
    • 流出したメールアドレスの所有者に電話連絡。103名中98名へ謝罪・説明(5名不在)
    • 不在の5名の方には、引き続き連絡していく
    • 現在のところ二次被害等の連絡は受けていない
3 発生原因と再発防止策

(1)発生原因

本件は、外部の複数の相手先へ同時にメールを送る際、通常は複数の職員でBCC欄にメールアドレスが入力されていることを確認した上で送信しているところ、複数の職員での確認を行わなかったことが原因です。

また、フォーラム開催中であり、管理職をはじめ多くの職員が、事務室内におらず、送信を担当した職員がすぐに報告した上で対応することが困難だったため、適切な事後処理が行われなかったことによります。

(2)再発防止策

  • 局内の全部署に対し、事故の再発防止に確実に取り組むよう通知を発出するとともに、生活文化スポーツ局サイバーセキュリティ委員会を開催し、個人情報等の適正な取扱徹底について周知しました。
  • 今後は、外部の複数の相手先へメールを送付する際は、必ずメールアドレスをBCC欄に入力するとともに、他の職員による確認を行うというルールについて、全職員に再徹底し、再発防止を図ってまいります。
    また、局職員全員に改めて注意喚起を行い、事業執行体制も含め、全部署において再発防止に向けて万全を期してまいります。

【セキュリティ事件簿#2023-115】時事通信社 個人情報入りパソコン紛失に関するお知らせとおわび 2023年3月16日


このたび、当社編集局の記者が業務に使用する個人情報入りのノートパソコンを紛失したことが判明しました。以下、概要をお知らせするとともに、関係先の皆さまに深くおわび申し上げます。 

パソコンは、記者が主に記事執筆や取材資料の管理、メールの送受信などのために利用していました。紛失したのは2023年3月9日午前0時半から1時ごろにかけてで、場所は東京都港区内の路上です。タクシーに乗ろうとしたところパソコンを入れたリュックサックの紛失に気付き、周辺を捜すとともに遺失届を出しましたが、発見に至っていません。直前まで飲酒していて記憶があいまいなため、紛失時の状況は不明です。

パソコンには、取材対象者約70人分の氏名と住所等をまとめた記者作成のリストのほか、記者が取材内容をまとめたメモなども記録されていました。パソコンの立ち上げにはパスワード等の入力が必要で、紛失物の中にパスワードを類推できる情報は含まれておらず、現時点で個人情報の流出などは確認されておりません。

記録されていた個人情報の関係者には、おわびを申し上げているところです。今後は個人
情報の管理体制をより強化し、再発防止に努める所存です。関係者の皆さまには、多大なる
ご心配とご迷惑をお掛けすることを重ねて深くおわび申し上げます。

【セキュリティ事件簿#2023-031】日本臓器移植ネットワーク 当社団における不正アクセスに起因するメールデータの一部消失に関するお知らせ 2023年03月14日


当社団がメール業務を委託する事業者(メールサービスプロバイダ)において、外部からの不正アクセスにより、当社団の特定のメールアドレスにおいて一部データが消失したことが判明いたしました。

以下、消失したデータ、発覚の経緯と対応、今後の対応についてお知らせいたします。
また、該当の方々へはお詫びとご報告をさせていただいております。

なお、現時点において、本件に関わるデータの流出は確認されておらず、不正利用等は確認されておりません。

当社団では、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の情報セキュリティの強化に努めて参ります。

何卒ご理解とご協力を賜りますようお願い申し上げます。

1.消失したデータ
  • 当社団ホームページのお問い合わせフォームよりご連絡をいただいた方の中で、当社団より折り返し送受信をしたメールデータ
  • 最大199名・201件
  • 含まれている可能性のあるデータ:氏名、メールアドレス、会社名などの所属 (当社団よりメール送受信した宛先情報)、メール本文内容
  • お問い合わせフォームに入力していただいた電話番号・住所・お問い合わせ内容のデータは含まれていません
2.発覚の経緯と対応
  • 2023年1月16日
    当社団の特定のメールアドレスにおいて、一部のデータが消失している事実を当社団内部で発見。メールサービスを業務委託している事業者に問い合わせ。当該事業者において調査したところ、外部からの不正アクセスによるデータの消失であることが判明。
  • 2023年1月18日
    個人情報保護委員会へ不正アクセス事案の発生について報告。
    その後、継続的に報告、相談。
  • 2023年1月20日
    当社団ホームページにて不正アクセス事案の発生について公開。
  • 2023年1月26日
    所管警察署に被害届提出。
  • 2023年2月~3月現在
    消失データの調査及び関係機関との協議。
  • 2023年3月中旬
    該当する方々へのお詫びとご報告。
3.今後の対応

今後、早急に、セキュリティレベルの高いメール業務を委託する事業者(メールサービスプロバイダ)への見直しを図り、セキュリティ強化に努めて参ります。

【セキュリティ事件簿#2023-114】アイ工務店 お客様情報の流出に関するお詫びとご報告 2023年3月13日


このたび、弊社に資料請求等いただいたお客様情報が外部に流出していたことが判明いたしました。

当該お客様情報流出の概要と対応につきまして、下記のとおりご報告いたしますとともに、 お客様をはじめとする関係者の皆様に多大なるご心配をおかけしますこと、深くお詫び申し上げます。

1 概要

2023年3月4日、弊社顧客情報流出について外部から情報提供があり、事実確認の結果、元従員がお客様情報を不正に持ち出していたことが判明いたしました。

社内調査を進め、元従業員が転職した先の企業に不正に情報提供していた事実が判明したことから、当該企業へは個人データの返却といかなる利用も停止するよう申し入れており、併せて警察へも破害を申告しております。

2 対象となる個人データの内容

(1) 氏名
(2) 電話番号
(3) 住所
(4) メールアドレス
 ※ 銀行口座、クレジットカード番号の情報はありません。

3 再発防止に向けて

このたびの事態を厳粛に受け止め、 現状の管理体制の改善と監視体制の強化、 従業員教育の徹底を図り、全社的に再発防止に努めてまいります。

ランサムウェアギャングが発表した被害組織リスト(2023年2月・3月合併版)BY DARKTRACER

 

Dark Tracerによる、2023年2月、3月のランサムウェア被害を受けた日本企業。

・株式会社 孝(hyosung.jp)


・株式会社オーディオテクニカ(audio-technica.com)


・株式会社ソルパック(SOLPAC.CO.JP)




【セキュリティ事件簿#2023-113】平塚市 職員の懲戒処分 2023年3月10日


 地方公務員法第29条第1項の規定に基づき、次のとおり職員の懲戒処分を行いましたので報告いたします。

所属部局市長部局
職名主査
性別男性
年齢38歳
処分年月日令和5年3月10日
事案の概要1 当該職員は、令和4年7月12日に、権限が無いにもかかわらず、他の職員がログインしていた住民記録システムの端末から、同僚職員Aの家族の住所を不正に収集し、同僚職員Aを誹謗中傷する文書を、市民である同僚職員Aの家族に郵送した。
2 また、令和4年11月末から令和5年1月初旬の間に、前所属において、業務上知り、記憶していた市民の秘密情報を、同僚職員Bと同僚職員Cの計2人に対して、文書で漏えいした。
 さらに、同情報を市役所内のD課とE課の2課に対して、本市ウェブ内の各課への問い合わせフォームから送信し、漏えいした。
3 さらに、前所属において、平成29年度から令和3年度の間に住民記録システムの端末を利用し、約70人の市職員の個人情報を職務以外の目的で閲覧した。
処分内容停職6月
管理監督者の処分課長及び課長代理、課長(当時)及び課長代理(当時) 文書訓告