【セキュリティ事件簿#2023-141】統計数理研究所 サーバに対する不正アクセスについて 2023年4月12日


2023年4月3日に,統計数理研究所(以下,統数研)公募型共同利用の2018年度以前に採択された研究課題に関して,研究参加者のメールアドレスが漏洩した可能性があることが判明いたしました.

すでに対象となるメールアドレス宛には,個別にお詫びをお送りしております.

利用者の皆様に多大なるご迷惑をお掛けしたことを,深くお詫び申し上げるとともに,今後,運用システムのセキュリティ対策および監視体制の強化を行い,再発防止を図ります.

1.経緯と対応

4月3日に,統数研の共同研究データベースを運用しているサーバに対してメールアドレスの情報を狙ったSQLインジェクション攻撃があったことが判明しました.サーバのログを確認したところでは,2月7日および3月16-17日に攻撃を受けた記録がありました.現在,当該サーバの運用を停止,外部ネットワークとの接続を遮断し,被害状況の詳細を調査中です.
   
2.流出した可能性がある情報

2018年度以前に採択された共同利用・共同研究課題に関して,研究参加者のメールアドレス5527件が流出した可能性があります.メールアドレス以外の情報(氏名,所属,パスワードなど)を狙った攻撃の形跡はありませんでした.
   
3.流出の原因

サーバ設定に不備があった可能性が考えられ,現在調査中です.
   
4.対象者様へのお願い

メールアドレスが漏洩していた場合,迷惑メールの送信などに悪用される可能性があります.不審なメールを受信した場合は,直ちに破棄してくださいますようお願いいたします.

パスワード等が漏洩した可能性はなく,パスワード使いまわしによる他システム侵害などの危険はありません.

【セキュリティ事件簿#2023-140】静岡県立高校のサッカー部、280人分の個人情報が入ったUSBメモリーが紛失


最近、県立浜松湖南高校のサッカー部の保護者会が管理していたUSBメモリが、顧問の教員が紛失したことが発表されました。このUSBメモリには、2014年度から2021年度までの間に在籍していた約280人分のサッカー部員の個人情報が記録されていました。氏名や住所、電話番号、さらには顔写真も含まれていました。保護者会の役員の情報も含まれていたようです。

県教育委員会によると、USBメモリは普段保護者会が保管していましたが、新年度を控えた3月下旬に、情報を更新するために紙の資料と一緒にサッカー部の顧問の教員に渡されたとのことです。教員は職員室でUSBメモリを保管していましたが、2023年4月10日に返却のために探したところ、USBメモリだけが見つからず紛失したことに気付いたそうです。教員は「どこに保管していたか覚えていない」と話していて、全職員で職員室を探しましたが見つかっていません。

幸いなことに、今のところこの個人情報が悪用されたという報告はありませんが、県教育委員会の高校教育課は「このような事案が起きたことは深刻に受け止めている。全県立学校に再発防止の徹底を注意喚起する」としています。

【セキュリティ事件簿#2023-139】株式会社Jヴィレッジ お客様の個人情報の流出に関するお詫びとお知らせ 2023年4月11日


株式会社 J ヴィレッジ(以下「弊社」といいます。)が、楢葉町からの委託を受け運営しております「ならはスカイアリーナ」のホームページにおいて、弊社保有の利用者様の一部の個人情報が流出した(検索可能な状態に置かれた)ことを確認いたしましたので、お知らせいたします。

お客様からお預かりした大切な個人情報を適切に管理できず、対象のお客様をはじめ多くのご関係先にご迷惑ならびにご心配をおかけし、深くお詫び申し上げます。 

確認できた事実関係については以下のとおりです。 

1.経緯

ならはスカイアリーナでは、会員様以外のビジター様(都度の利用者様)のご利用に当たり、事故があった場合の救急対応のため、事前に氏名、住所(市町村まで)、電話番号、生年月日、性別、血液型、学校名・保護者名(未成年の場合のみ)、緊急連絡時電話番号、健康に関する留意事項等の個人情報をいただいております。弊社では、これらの情報を Excel ファイルにデータ化し保管しておりました。

一方で利用者様の利便性を図るため、ならはスカイアリーナの各施設の予約状況をお知らせする「予約状況カレンダー」をホームページに掲載しておりました。

2023 年1月 27 日に、弊社従業員が、ホームページの「予約状況カレンダー」に予約状況を示すPDF ファイルを掲載すべきところ、誤って、2021 年 4 月 2 日から 2023 年 1 月 24 日までのビジター利用者の個人情報を記録した Excel ファイルを掲載してしまいました。

翌 1 月 28 日、お客様からのご指摘があり、直ちに Excel ファイルと PDF ファイルの置き換え作業を行い、ホームページ上からは Excel ファイルを直接閲覧できない状態になりました。

弊社従業員は、誤って記載した Excel ファイルを、利用状況を示す PDF ファイルに置き換えたことで、誤った Excel ファイルが削除されたものと考えておりましたが、サーバー上からは完全に削除されておらず、個人情報の記載のある Excel ファイルが残された状態となっており、複数の検索ワードを組み合わせて入力することにより、当該 Excel ファイルが検索で表示される状態になっておりました。

2023 年 4 月 7 日、第三者様からのご指摘により、個人情報の記載のある Excel ファイルが検索可能な状態にあることが判明し、同日、サーバーから同Excelファイルを完全に削除いたしました。 

2.流出した個人情報

(1)対象のお客様
ならはスカイアリーナにおいて、2021 年 4 月 2 日から 2023 年 1 月 24 日までのビジターでの利用者様(月会員など、他のお客様は対象ではございません。)

(2)流出した個人情報
氏名、住所(市町村名まで)、電話番号、生年月日、性別、血液型、学校名、保護者名(未成年の場合)、緊急連絡時電話番号、健康に関する留意事項
(クレジットカード情報や口座情報など、お支払いに関する情報は流出しておりません。)

(3)流失した人数
1,214人

なお、現在までに、個人情報を悪用された等の被害の報告はされておりません。 

3.原因

当該事案発生の原因は、スタッフが不注意によって操作ミスをしてしまったことと十分な確認を行わなかったこと、ホームページの仕様を正しく認識していなかったことによるものです。 

4.今後の対応

対象のお客様には、順次個別に電話にてお詫びとご報告をいたしております。

また、本件につきまして、個人情報の保護に関する法律に基づき、個人情報保護委員会へ報告いたします。

その他、不明な点がございましたら末尾に記載の問い合わせ先にお問い合わせいただきます
ようお願いいたします。 

対象のお客様をはじめ多くのご関係先にご迷惑ならびにご心配をおかけし、あらためて深くお詫び申し上げます。

弊社といたしましては、今回の事案を重く受け止め、社内の個人情報保護対策を強化し、再発防止策の徹底に努めてまいります。 

【セキュリティ事件簿#2023-138】大阪市 保健所における個人情報等を含むデータの持ち出し等について 2023年3月30日


大阪市保健所に勤務する派遣職員が、自宅での業務学習目的のために、個人情報を含むデータを、許可を得ずに自身が所有する端末(以下、「個人用端末」という。)に送信するなど不適切な事務をしていたことが令和5年2月14日(火曜日)までに判明しました。

このたびの事案が発生したことにつきまして、関係者の皆様にご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、再発防止に努めてまいります。

1 概要と事実経過

令和5年2月3日(金曜日)に、大阪市保健所で新型コロナウイルス感染症入院医療費公費負担関係業務を行う派遣職員が、様式を変更した資料で業務を行っていることに大阪市保健所職員が気付いたことから、当該派遣職員へ事情聴取するとともに、業務用端末のメール送信状況を調査しました。

調査の結果、当該派遣職員が自宅での業務学習目的のため新型コロナウイルス感染症にり患された方のデータを、持ち出しの許可を得ず個人用端末にメール送信していたことが、令和5年2月6日(月曜日)に判明しました。(当該派遣職員以外に外部へのデータ送信がないことを確認しています。)

また、令和5年1月25日(水曜日)に当該派遣職員が同様の目的で、新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)(以下、「ハーシス」という。)に、個人用端末からログインし、PDFファイルをダウンロードしていたことも、令和5年2月14日(火曜日)に判明しました。

2 データに含まれる個人情報等

個人の名前、生年月日、性別等を含む保健所内で取り扱う個人情報で、件数は次のとおりです。
  • メール送信した個人情報:17,914件
  • ハーシスからダウンロードした個人情報:最大3件
3 判明後の対応

判明後すぐに本市と派遣元事業者とが協議し、派遣元事業者において、当該派遣職員から個人用端末の提出を受けたうえで、第三者へのデータ流出がないこと、データが完全に削除されるなど、今後データの利用が不可能な状況にあることの調査を実施することとしました。

本調査は令和5年3月中旬まで実施され、3月28日(火曜日)に派遣元事業者から、「個人用端末について、外部の専門業者に調査を依頼した結果、また、当該派遣職員が利用するクラウドサービス上の調査について当社において調査した結果、いずれも第三者への送信は確認されず、データも残存しないことから今後データの利用が不可能な状態であることを確認した。」と報告書の提出がありました。また、報告書よりハーシスからダウンロードしたPDFファイルは3件のみであることを確認しました。

なお、当該派遣職員については、令和5年2月7日(火曜日)以降、本市への派遣はありません。

4 原因

当該派遣職員の個人情報等の取り扱いに関する認識が不十分であり、個人での業務学習目的のため、業務用資料データを持ち出しの許可を得ずメール送信したことが原因です。

また、ハーシスのログインについて、2次認証のアクセス者を目視で確認のうえ認証していましたが、適切にできていませんでした。

5 再発防止について

派遣元事業者により派遣職員全員に対して、個人情報保護に関する研修を実施しました。本市からも改めて、個人情報をはじめとする業務用資料は職場外への持出厳禁である旨、周知徹底を図りました。また、業務用端末からメールを送信できないように制限をしました。

加えて、ハーシスのログインの認証を行う職員に対し、2次認証の重要性を改めて周知するとともに、目視によるアクセス者の確認に加え暗証番号の伝達による認証を行うこととし、これまで以上にアクセス者の確認を徹底しました。

【セキュリティ事件簿#2023-137】中学校で個人情報が流出!? 校務員のコピー事件から始まったSNS騒動とは?

 

箕面市教育委員会は、市立第一中学校で個人情報に関する資料が生徒側に流出したことを2023年4月7日に発表しました。男性校務員が教職員の書類を無断でコピーし、それを撮影した生徒がSNSを通じて別の生徒らに送っていたということです。

流出した内容は、新3年生6クラス234人分の学級編成の検討資料、問題行動・不登校・就学援助対象の生徒名、病気や家庭状況に関する手書きメモなどでした。現在は削除されているとされています。

校務員は4日に新3年生の副担任に「クラス分けの資料を見せてほしい」と理由を告げずに依頼。副担任が職員室の自席からファイルを取り出して生徒の個人情報に関する資料(A3判1枚)を見せたあと、無施錠の自席の引き出しにしまったとのことです。

校務員はこのファイルを無断で取り出して、資料をコピーし、部活動で登校していた普段から付き合いのある生徒4人に、コピーを校務員室で見せました。この生徒らはスマートフォンのカメラで資料を撮影し、その後、インスタグラムのダイレクトメッセージやLINEを使って別の生徒らに転送していたということです。なお、学校側はスマホの持ち込みを禁止していました。

4日夜、画像を受け取った生徒の保護者から学校側に連絡があり、この問題が発覚しました。石橋充久校長は「このような事態を起こし、申し訳ない。様々な子どもが傷ついており、心のケアをしていく」と話しています。

参考:箕面市の中学校務員、問題行動や不登校児の情報コピーし生徒に見せる

【セキュリティ事件簿#2023-136】メディカル&ヘルスケア甲賀システム 個人情報(写真)流出の件について 2023年4月11日

平素は、わたくしどもの施設運営にご理解ご協力を賜り誠に有難うございます。

このたび、グループホームそまの夢に従事している非常勤職員(以下、当該職員とします。)が、個人の SNS(インスタグラム)に自身と利用者様が一緒に写っている写真を、許可なく投稿していたことが判明致しました。当該職員は良い施設で利用者様に囲まれながら楽しく働いている日常を SNS でフォロワーに発信したかったようですが、弊社はコンプライアンス上の問題があると判断し、本人に事実関係を確認致しました。

当該職員によれば、令和5年 2 月中旬にこの写真を投稿しており、自身とつながりのあるユーザーであれば閲覧できる状態にあったということですが、問題が発覚した 3 月 16 日当日中に該当部分全ての削除を行っております。また、掲載写真に該当した利用者様とご家族様につきましては、既に先日より個別にお詫びと事実関係のご説明をさせて頂く機会を頂戴致しております。

現在、当該職員は既に退職し在籍しておりませんが、弊社では今回の事態を厳粛に受け止め、在職中の全職員にむけてコンプライアンス研修、就職時の誓約文書の見直し、管理体制の見直し等を行い、再発防止に努めて参ります。

今回、皆様にご心配ご不安をお掛けすることとなりました事は誠に遺憾であり、大変申し訳なく思っております。今後は決してこのようなことが無いよう、また、皆様からの信頼を失わないよう、精一杯努力することをお約束致します。これからも何卒宜しくお願い申し上げます。

なお、本件についてのお問い合わせなどございましたら、下記までご連絡いただければ幸いです。

【セキュリティ事件簿#2023-135】ESRIジャパン株式会社 ESRI ジャパンを装った不審メールに関するお知らせ 2023年3月24日


先般、弊社従業員の PC がマルウェア「Emotet(エモテット)」に感染し、弊社従業員を装った不審なメール(なりすましメール)が、複数の方に送信されたことが確認されましたが、3 月 23 日になり弊社を装った不審メールの再活発化、および不審な電話でのコンタクトが発生しておりますのでご注意ください。

不審メール(なりすましメール)の見分け方として、送信者は弊社従業員名が表示されていますが、弊社メールアドレス(*****@esrij.com)とは異なる第三者のアドレスから送信されております。

これまでの ZIP 形式で圧縮された Word や Excel ファイルに加え、新たに OneNote ファイルが添付されたパターンも確認されております。これらのファイルは、「コンテンツの有効化」ボタンをクリックしたり、ファイル内に書かれた偽の指示に従って操作したりすると、コンピュータウイルスへの感染、不正アクセス、そしてウイルスメールの再拡散の恐れがあります。

疑わしいメールを受信された場合は、送信者メールアドレスをご確認の上、弊社以外のメールの場合はそのまま削除していただきますようお願い申し上げます。

また、弊社従業員を装って電話をかけ、請求書メールの件と称して情報を聞き出そうとするケースも報告されています。電話の内容に不審な点がございましたら、恐れ入りますが弊社担当まで確認をお願いいたします。

弊社では引き続き、セキュリティ対策のより一層の強化に取り組んでまいります。

何卒、ご理解とご協力を賜りますようお願い申し上げます。

【セキュリティ事件簿#2023-134】建設ドットウェブ ウイルス感染によるデータ流出の可能性についてのお知らせ 2023年3月17日


このたび、当社で利用するパソコンがウイルスに感染し、個人情報等のデータ流出の可能性があることを確認しました。
関係者の皆さまには、多大なるご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。

1.概要

社内の共有ファイル管理用パソコンにアクセスできない事態を確認し、調査を行ったところ当該パソコンを含む一部のパソコンがウイルスに感染していることがわかりました。
感染拡大を防止するため、ただちに該当機器をネットワークから遮断いたしました。

現在、流出の可能性のあるデータの確認作業を進めております。

2.今後の対応

専門機関による調査を実施し、調査結果をホームページにてご報告いたします。

これまでも個人情報をはじめとするデータの適正な管理に努めておりましたが、このたびの事態を重く受け止め、再発防止に取り組んでまいります。