【セキュリティ事件簿#2023-128】千石電商 メールアドレス流出に関するお詫びとお知らせ 2023年4月11日


この度、弊社オンラインショップをご利用のお客様より迷惑メールが届くようになったとの指摘があり、調査いたしましたところ、2023 年 4 月 8 日オンランショップに不正アクセスがあり、ご購入者様・ご利用者様のメールアドレスが流出したことが判明いたしました。

流出の可能性のあるお客様に関しては個別に詳細をメールにてご連絡いたしました。弊社をご利用いただいたお客様、及び関係者の皆様には、多大なご迷惑とご心配をおかけいたしますことを、深くお詫び申し上げます。

【経緯】
1. 2023 年 4 月 7 日夜不正アクセスが発生。
2. 翌 4 月 8 日にお客さまからの申告があり調査を開始。
3. 同日 17 時頃にアクセス遮断を実施。

【影響範囲】
1. 流出したのはご購入者様・ご利用者様のメールアドレスのみで、会員登録せずに購入された方も対象となります。

【対策および今後の取り組み】
  1. オンラインショップの全てのスクリプトに対して不正アクセス対策を再度実施し、攻撃を回避できることを確認しました。
  2. チェックを強化し、予期しない動作を極力排除しました。
  3. 今回の手段以外の攻撃にも対応可能となるよう、包括的な対策を検討・実施します。
  4. 個人情報保護委員会、警察、弁護士など関係各機関と連携を取りながら対策を進めます。
弊社では、今回の事態を重く受け止め、今後同様の事態が発生しないよう、引き続き情報セキュリティ対策を強化、再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くして参ります。

この度は、お客様に多大なるご迷惑をお掛けしましたこと重ねて深くお詫び申し上げます。

【セキュリティ事件簿#2023-127】国立大学法人金沢大学 個人情報を含むUSBメモリの紛失について 2023年3月6日


この度,本学職員が個人情報を記録したUSBメモリを紛失する事案が発生しました。このような事案を引き起こし,関係の皆様にご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。なお,現時点では,個人情報の漏えいによる被害は確認されていません。

本学では,従来から全教職員に対して,個人情報の厳格な取扱いを求め,情報管理の徹底に努めてまいりましたが,今回の事案を重く受け止め,より一層の意識向上を図り,再発防止について法人をあげて取り組んでまいります。

1.発生状況

令和5年2月3日(金),本学職員が個人情報を記録したUSBメモリを使用し業務を行っていたところ,6日(月)の朝,USBメモリの紛失に気が付きました。その後,学内を探しましたが見つからず,警察に遺失届を提出しましたが,現時点において発見には至っておりません。

このUSBメモリには,本学同窓会会員の個人情報が記録されていましたが,USBメモリにはセキュリティ機能が付いており暗号化されるとともに,個人情報には複数のパスワード設定の対策が施されていました。

2.紛失したUSBメモリに記録されていた個人情報

個人情報の件数 8,910件(郵便番号,住所,氏名,氏名フリガナ)

3.対応状況

該当する同窓会会員の皆様には,お詫びのご連絡をし,今回のことによる被害が疑われる場合には,直ちに本学まで御連絡いただくようご案内しています。

4.再発防止に向けた取組

個人情報が保存された電子媒体の管理をさらに強化・徹底すること,本学の全教職員に対し,通知文書や研修などにより,個人情報を外部に持ち出さないこと,やむを得ず学外に個人情報を持ち出す場合には,適切な許可を受けた上で,パソコン本体はもちろん,保存ファイルの高度な暗号化や強固なパスワード設定を施すなど,ルールに従い個人情報を適切に管理するよう,個人情報管理に対する意識の更なる向上に取り組んでまいります。

【セキュリティ事件簿#2023-126】株式会社エム・エス・ビルサポート マルウェア(Emotet)感染による情報流出に関するお詫び、ならびに本件に伴い流出したデータを⽤いた不審メールに関する注意喚起のお願い 2023年3⽉10⽇


この度、弊社の⼀部のパソコンがマルウェア(Emotet)に感染し、過去のメール送受信情報として保存されていた弊社社員、ならびに弊社の御取引先様(ビルオーナー様、仲介業者様、弊社管理物件に⼊居中のテナント様等)のメールアドレス等が流出する事案が発⽣しました。

御取引先様、ならびに関係者の皆様の⼤切な情報が流出する事態となり、⼼よりお詫び申し上げます。 

現在、上記以外の影響の有無について引き続き調査するとともに、⼆次的被害や拡散の防⽌に努めております 。弊社御取引先の皆様におかれましては、メールに記載された送信者をご存じである先であっても、必ずメールアドレスをご確認頂き、不審なメールを受信された場合は、添付されたファイルやメール⽂中に記載の URL は開かずに、そのまま削除していただきますよう、お願い申し上げます。 

弊社ではコンピュータウイルス対策に取り組み、不審メールのブロックなどを進めて参りましたが、今回の事象を受け、更なる被害拡⼤防⽌策の強化に努めるともに、より⼀層の情報セキュリティ対策の強化に取り組んで参ります。 

【注意喚起】

弊社にて確認した不審なメールの⼀例
下記以外にも類似したパターンで発信されている可能性があり、⼗分にご注意ください。

差出⼈: 弊社社員名(ただし、メールアドレスは不審なメールアドレス)
件 名: RE: 弊社社員名
添付ファイル:Word ファイルが圧縮された“zip ファイル”として添付されているケース。
メール本⽂の⼀例:「ご確認をおねがいします」、「宜しく御願い致します」といった⽂章が記載されている。

上記のような不審なメールを受信された場合は、添付されたファイルやメール⽂中に記載の URL は開かずに、そのまま削除していただきますよう、お願い申し上げます。 

【セキュリティ事件簿#2023-125】株式会社インゲージ 一部のアドレスが不正アクセスを受け、スパムメールの送信に利用された件について 2023年3月16日


弊社の利用する外部メール送信サービスにおいて、一部のアドレスが不正なアクセスを受け、スパムメールの送信に利用されたことが判明致しました。

不正アクセスを受けたアドレスは社内で利用していたアドレスであり、Re:lationのメール送信への影響は無いことを確認しております。そのためRe:lation利用のお客様におきまして何ら問題はありません。また、当社からの情報漏洩も確認されていないことをお知らせ致します。

今後、同様の事象を未然に防止するために、弊社ではセキュリティ対策の強化を図ってまいります。お客様にはご不便とご迷惑をおかけいたしましたことを深くお詫び申し上げます。

【セキュリティ事件簿#2023-124】福岡県暴力追放運動推進センター、サポート詐欺で相談者ら3,500名の情報流出


暴力団排除の活動に取り組む福岡県暴力追放運動推進センターは、2023年3月20日に職員が使っていたパソコンが一時的に遠隔操作され、相談者の個人情報が外部に流出したおそれがあると公表。

福岡市にある公益財団法人、福岡県暴力追放運動推進センターによると、3日前、職員がパソコンを操作中、画面に「セキュリティ更新」の案内が表示され、その電話番号に連絡。電話の相手の指示に従って操作したところ、突然、パソコンが遠隔操作に切り替わり回線を遮断するまでのおよそ20分間遠隔操作を許した。

このため、パソコンに保存されていた相談者の氏名や電話番号などおよそ3500人分の個人情報の一部が外部に流出した可能性が否定できないということで、センターは「自宅に『暴追センター』を名乗る電話や郵便物が届いた場合は不審な点がないか注意してほしい」と呼びかけています。

出典:福岡県暴力追放運動推進センターのパソコンから個人情報流出か

【セキュリティ事件簿#2023-123】和洋女子大学 ノートパソコン及びUSBメモリの盗難に伴う個人情報漏洩について(ご報告) 2023年3月6日


このたび、本学の元非常勤講師(2019年度のみ在籍)の個人所有であるノートパソコン及びUSBメモリがフランスのパリで盗難に遭いました。現時点において、第三者への個人情報の流出及び不正使用等は確認されておりません。

当該ノートパソコン及びUSBメモリには、2019年度に履修した学生171名分の学籍番号・学生氏名・出席状況・成績評価が含まれておりました。

このような事態を招いたことにつきまして、ご迷惑をお掛けした学生の皆様をはじめとする関係者の皆様に対しまして、心よりお詫び申し上げます。

本学では、今回の事態を重く受け止め、深く反省し、再発防止対策を早急に実施するとともに、教職員に対して、今一度、個人情報の適正な取扱いを周知徹底致します。

リリース文(アーカイブ)

【セキュリティ事件簿#2023-122】公立大学法人会津大学 メールの誤送信について 2023年3月15日


このたび、本学において、メールの誤送信により個人情報の漏えいが確認されましたので御報告いたします。

関係者の皆様には、多大なご迷惑をおかけしたことを深くお詫び申し上げます。

本事案を受け、全教職員に対し、個人情報や機密情報の適切な取扱いについて注意喚起等を行い、再発防止に努めて参ります。

なお、現時点で、情報の悪用等の事実は確認されておりません。

<概要>

メールアドレスのドメインを本来「@gmail.com」とすべきところを正規ドメインによく似た「@gmai.com」(エルが欠落)としてメールを誤送信した。

 ※「@gmai.com」のようなドメインは、ドッペルゲンガー・ドメインと呼ばれ、個人情報を得る目的等のために取得されています。

(1)送信日

   2023年1月11日(水)

(2)漏えいした情報等

   本学の学生 1 名の氏名、電話番号、メールアドレス

<経緯>

  2023年2月に他機関の事例を受け、本学でも調査を実施した。

  調査の結果、「@gmai.com」へ送信された上記メール1件が確認された

【セキュリティ事件簿#2023-121】株式会社サンケイアイ 不正アクセスによるシステム障害に関するお詫びとご報告 2023年4月4日


2023年4月3日(月)、当社の業務関連データ等を格納するサーバーに対しランサムウェアによる攻撃があり、保管していた一部のデータが書き換えられる事案が発生いたしました。現時点で判明しております被害の状況および当社の対応状況につきましては、以下のとおりです。

1 発覚の日時

2023年4月3日(月)午前9時頃

2 感染被害

当社、一部社員のPCおよび、サーバー内の一部保管データが、ランサムウエアに感染 し、閲覧不能の状態となる。

3 復旧の日時

2023年4月3日(月)午後5時頃

4 対応状況

本件発覚後、ネットワークを遮断し、サーバー管理者および外部の専門業者と連携の上 、速やかな復旧を行いました。現在、外部へのデータ流出については確認されておりません。調査の結果を待って改めてご報告させていただきます。

皆様にご心配をお掛けしておりますこと、心よりお詫び申し上げます。当社といたしましては引き続き本件の原因究明と再発防止に努めて参ります。

リリース文アーカイブ