【セキュリティ事件簿#2023-124】福岡県暴力追放運動推進センター、サポート詐欺で相談者ら3,500名の情報流出


暴力団排除の活動に取り組む福岡県暴力追放運動推進センターは、2023年3月20日に職員が使っていたパソコンが一時的に遠隔操作され、相談者の個人情報が外部に流出したおそれがあると公表。

福岡市にある公益財団法人、福岡県暴力追放運動推進センターによると、3日前、職員がパソコンを操作中、画面に「セキュリティ更新」の案内が表示され、その電話番号に連絡。電話の相手の指示に従って操作したところ、突然、パソコンが遠隔操作に切り替わり回線を遮断するまでのおよそ20分間遠隔操作を許した。

このため、パソコンに保存されていた相談者の氏名や電話番号などおよそ3500人分の個人情報の一部が外部に流出した可能性が否定できないということで、センターは「自宅に『暴追センター』を名乗る電話や郵便物が届いた場合は不審な点がないか注意してほしい」と呼びかけています。

出典:福岡県暴力追放運動推進センターのパソコンから個人情報流出か

【セキュリティ事件簿#2023-123】和洋女子大学 ノートパソコン及びUSBメモリの盗難に伴う個人情報漏洩について(ご報告) 2023年3月6日


このたび、本学の元非常勤講師(2019年度のみ在籍)の個人所有であるノートパソコン及びUSBメモリがフランスのパリで盗難に遭いました。現時点において、第三者への個人情報の流出及び不正使用等は確認されておりません。

当該ノートパソコン及びUSBメモリには、2019年度に履修した学生171名分の学籍番号・学生氏名・出席状況・成績評価が含まれておりました。

このような事態を招いたことにつきまして、ご迷惑をお掛けした学生の皆様をはじめとする関係者の皆様に対しまして、心よりお詫び申し上げます。

本学では、今回の事態を重く受け止め、深く反省し、再発防止対策を早急に実施するとともに、教職員に対して、今一度、個人情報の適正な取扱いを周知徹底致します。

リリース文(アーカイブ)

【セキュリティ事件簿#2023-122】公立大学法人会津大学 メールの誤送信について 2023年3月15日


このたび、本学において、メールの誤送信により個人情報の漏えいが確認されましたので御報告いたします。

関係者の皆様には、多大なご迷惑をおかけしたことを深くお詫び申し上げます。

本事案を受け、全教職員に対し、個人情報や機密情報の適切な取扱いについて注意喚起等を行い、再発防止に努めて参ります。

なお、現時点で、情報の悪用等の事実は確認されておりません。

<概要>

メールアドレスのドメインを本来「@gmail.com」とすべきところを正規ドメインによく似た「@gmai.com」(エルが欠落)としてメールを誤送信した。

 ※「@gmai.com」のようなドメインは、ドッペルゲンガー・ドメインと呼ばれ、個人情報を得る目的等のために取得されています。

(1)送信日

   2023年1月11日(水)

(2)漏えいした情報等

   本学の学生 1 名の氏名、電話番号、メールアドレス

<経緯>

  2023年2月に他機関の事例を受け、本学でも調査を実施した。

  調査の結果、「@gmai.com」へ送信された上記メール1件が確認された

【セキュリティ事件簿#2023-121】株式会社サンケイアイ 不正アクセスによるシステム障害に関するお詫びとご報告 2023年4月4日


2023年4月3日(月)、当社の業務関連データ等を格納するサーバーに対しランサムウェアによる攻撃があり、保管していた一部のデータが書き換えられる事案が発生いたしました。現時点で判明しております被害の状況および当社の対応状況につきましては、以下のとおりです。

1 発覚の日時

2023年4月3日(月)午前9時頃

2 感染被害

当社、一部社員のPCおよび、サーバー内の一部保管データが、ランサムウエアに感染 し、閲覧不能の状態となる。

3 復旧の日時

2023年4月3日(月)午後5時頃

4 対応状況

本件発覚後、ネットワークを遮断し、サーバー管理者および外部の専門業者と連携の上 、速やかな復旧を行いました。現在、外部へのデータ流出については確認されておりません。調査の結果を待って改めてご報告させていただきます。

皆様にご心配をお掛けしておりますこと、心よりお詫び申し上げます。当社といたしましては引き続き本件の原因究明と再発防止に努めて参ります。

リリース文アーカイブ

【セキュリティ事件簿#2023-120】北九州市立大学 北九州市立大学教員の懲戒処分について 2023年4月13日


公立大学法人北九州市立大学において、以下のとおり懲戒処分を行ったので公表します。 

1 被処分者 

文学部人間関係学科 准教授 髙西 敏正 55歳 

2 処分年月日 

令和5年2月7日(令和5年2月10日退職) 

3 処分の種類

及び程度 懲戒処分 諭旨解雇 

4 処分理由 

 被処分者において、次の行為が確認された。

①研究費不正使用

②無許可兼業等

③不正アクセス行為の禁止等に関する法律違反

 これらの行為は、公立大学法人北九州市立大学職員就業規則第57条第1項第1号に規定する「正当な理由なく無断欠勤をした場合」、第3号に規定する「故意又は重大な過失により本学に損害を与えた場合」、第5号に規定する「本学の信用又は名誉を著しく傷つけた場合」及び第9号に規定する「前各号に定めるもののほか、この規則によって遵守すべき事項に違反し、又は前各号に準ずる不都合な行為があった場合」に該当するため。 

リリース文アーカイブ

【セキュリティ事件簿#2023-119】株式会社出前館 アカウント連携システム不備による『出前館』アカウント情報閲覧の恐れに関するお詫びとお知らせ 2023年3月24日


平素より、当社が運営するデリバリーサービス『出前館』をご利用いただきまして、誠にありがとうございます。

株式会社出前館は、2023年3月23日(木)、出前館サービスのアカウントと、サードパーティーとのアカウント連携システムにおける不備による情報閲覧の恐れを解消しましたのでお知らせいたします。本事象は、1台のPCやスマホを複数のお客さまが共有し、サードパーティーとアカウント連携し、出前館サービスを利用するケースにおいて、特定の操作でログインすると、共有したPCやスマホで出前館サービスを使ったお客さまの出前館サービスのアカウント情報の一部が不適切な範囲で閲覧できるおそれがあることが内部調査により判明したものです。このアカウント情報にはクレジットカード情報は含まれておりません。現在はシステム改修を行い、アカウント情報が閲覧できる問題を解消し、該当するお客さまへの通知を行っております。また現在、本件に関わる個人情報の不正利用は確認されておりません。

当社サービスをご利用中のお客さまをはじめ多くの関係者の皆さまには多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

概要

本事象は、お客さまが出前館サービスのアカウントとサードパーティーとのアカウントを連携した後、同じPCやスマホで別のお客さまがログインし、さらにその後、同じPCやスマホで最初のお客さまが再度、出前館サービスにログインをするという状況において、通常のログインではなく、「アカウント連携によるログイン」を選ぶという操作が起きた場合に発生しておりました。このケースでは、後にログインしたお客さまの出前館サービスにおけるアカウント情報の一部を、再度ログインした最初のお客さまが閲覧できるという状態になっておりました。現在は、アカウント情報の不適切な閲覧はできないようシステム改修が完了しております。

今回の対象アカウント数には、ご家族同士が同じパソコンやスマホで出前館サービスにログインしているケースや、お客さまご自身が出前館アカウントを複数保持し切り替えて利用しているケースなど、お客さまが意図して使用している例も対象となっているため、アカウント情報の不適切な閲覧が行われていないケースが含まれております。

影響期間
2020年~2023年3月23日(木)

対象のアカウント数
25万2,860アカウント

アカウント情報の内訳
氏名、生年月日、性別、住所、電話番号、メールアドレス

対応
今回の調査を受けて、2023年3月23日(木)にシステム改修を行い、現在本事象は解消しております。

【セキュリティ事件簿#2023-118】エイ・ケイ・フランチャイズシステム株式会社 ノートパソコンの盗難に関するご報告とお詫び 2023年3月22日


この度、弊社が運営するファミリーマート下記店舗のアルバイト従業員に係る個人情報漏えいの問題が発生しました。

なお、下記対象店舗には、弊社が第三者から過去に運営を引き継いだ店舗が含まれております。

[対象店舗] 
栗生四丁目店 
シーノ大宮店 
池袋グリーン大通り店
池袋北口店 
東池袋明治通り店 
としまエコミューゼタウン店
サンシャイン南店 
上野駅前店 
日本青年館店
伊藤忠ビル店 
メトロ外苑前店 
神宮スタジアム通り店
青山ビル店 
中野弥生町本郷通り店 
城陽寺田店
城陽平川店 
東大阪三島店 
一津屋三丁目店
堺大野芝町店 
光明池南店 
吉井町二丁目店
南海春木駅前店 
福岡蒲田店 
香椎パークポート店
福岡パルコ店 
福岡平和店 

計 26 店

このような事態を招いたことにつきまして、深くお詫び申し上げます。

〇個人情報漏えいのおそれが発生した状況
  • 令和 5 年 3 月 6 日の夜間、弊社社員が帰宅途中に立ち寄った先で、ロッカーに入れていたカバンが盗難被害にあいました。
  • 弊社は、直ちに警察に被害届を提出いたしましたが、現在まで、盗難にあったカバン及び内容物は発見、回収されておりません。
  • 盗難にあったカバン内にはノートパソコンが入っており、ノートパソコン内には、アルバイト従業員の個人情報ファイル(住所、氏名、生年月日、電話番号、性別、銀行口座、社会保険加入状況、時給 等)が含まれておりました。
当該ノートパソコンについては、ログインパスワードを設定しており、当該パスワードなしに個人情報ファイルにアクセスすることはできません。

また、個人情報ファイルは既退職者の方のデータを非表示設定しており、上記ログインパスワードとは別のパスワードを更に入力しなければ表示されることはありません。

現時点では第三者への個人情報の流出及び不正使用等は確認されておりません。

弊社では、今回の事態を重く受け止め、深く反省し、再発防止策を早急に実施すると共に、個人情報の適切な取り扱いを周知徹底致します。


【セキュリティ事件簿#2023-117】奈良女子大学 情報セキュリティインシデントの発生について 2023年3月29日


この度、学生 1 名の大学メールアドレス及びパスワードが詐取され、Microsoft365のサービスを悪用しメールが送信される事案が発生しました。調査したところ、Microsoft365 に格納されていたユーザー情報(氏名及びメールアドレス)の一覧が表示できる Web ページへのアクセス制限が適切になされていなかったため、当該アカウントでログインされ、ユーザー情報が閲覧された可能性があることが判明しました。

既に当該学生のメールアドレスのパスワードは変更しており、変更後の不正ログインは確認されていません。また、ユーザー情報が閲覧できる Web ページには直ちにアクセスを制限する設定を実施しました。

このような事案が発生し、関係の皆様に多大なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事案を重く受け止め、メールアドレス及びパスワードの厳重な取扱いを徹底するとともに、多要素認証の導入など再発防止措置を講じてまいります。

なお、現在までに、上記以外のメールアドレスやアカウントの悪用等に関する事実は確認されていません。また、この事案に関して、個人情報漏洩の可能性に該当する方に対しては、個別にお詫びと状況説明を行っています。

1.経緯
  1. 2023 年 3 月 3 日(金)に、学生 1 名の大学メールアドレスに不審なメールが大量に届いたとの相談が受信後すぐにあり、その場でパスワードを変更した。
    聞き取り調査の結果、当該学生が外部企業等のウェブサイト登録のため、大学のメールアドレスを用いた際に、本学で使用していたパスワードを使いまわしていたことが判明した。
  2. 大学のメールアドレスをアカウントとする Microsoft365 のサービスについて調べたところ、当該学生のアカウントで 2023 年 2 月 7 日(火)以降に不審なアクセスが複数回なされたことが判明した。
  3. 不審なメールを調査したところ、Microsoft365 の当該アカウントがスパムメールの送信元として悪用されていたことが判明した。上記1.でのパスワード変更後は不正な利用は確認されていない。
  4. Microsoft365 サービス上の Web ページで組織内のユーザー情報が閲覧できるページを点検したところ、情報漏洩の可能性があることが判明した。当該ページへはすぐにアクセス制限を実施した。
2.漏洩した可能性のある情報

 氏名・大学メールアドレス
教職員・・・ 1,144 件
学生 ・・・ 3,727 件

3.当該アカウントから送信されたスパムメール件数
 389 件