【セキュリティ事件簿#2023-207】エーザイ株式会社 ランサムウェア被害の発生について 2023年6月6日


このたび、当社グループの一部サーバーが暗号化されるランサムウェア被害が発生したことをお知らせします。本件について、現在全社対策本部を設置し、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応を進めております。また、警察などの関係機関への相談を開始しています。

被害の全容を把握するにはいましばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。

お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

1. 経緯

日本時間6月3日(土)深夜に、当社グループの複数のサーバーが暗号化されるランサムウェアによる被害が発生していることを確認しました。直ちに、外部専門家の協力のもと調査を開始し、迅速に対応を進めるべく全社対策本部を立ち上げました。

2. 現在の状況と今後の対応

今回の被害に対応するため、物流に関連するシステムをはじめ国内外の一部の社内システムをサーバーから切り離しています。当社のホームページやメールシステムは通常通り稼働しています。なお、情報流出につきましては現在調査中です。現在、外部専門家や警察と連携の上、システムの保護と復旧に向けて作業を進めております。引き続き皆様へのご迷惑を最小限に止めるべく取り組んでまいります。

なお、本件が当社グループの今期の業績予想に及ぼす影響については現在精査中であり、修正の必要があると判断した場合には速やかに公表いたします。

【セキュリティ事件簿#2023-206】株式会社ニッカトー 電子メール誤送信によるお客様情報の流出に関するお詫び 2023年5月26日


この度、弊社従業員が不注意によるお客さまのお取引情報を流出させたことが判明いたしました。関係者の皆様には多大なご迷惑とご心配をお掛けすることになりましたことを深くお詫び申し上げます。

1. お取引情報の経緯
5 月 24 日 (水)、弊社従業員が「ライナー納期調整リスト」を情報共有すべく、他部署従業員あて電子メールにて上記リストを添付ファイルとして送信しました。その際、当該従業員と同姓の他社従業員のメールアドレスに誤って送信したため、当該リストの他社宛従業員への情報流出となりました。

2. 流出した内容

「ライナー納期調整リスト」(合計 1 2 社分)
記載内容は、「社名 (受注先)」・「製品名称」・「数量」・「 納期」

3. 対応状況
当該電子メールの送信先の他社従業員に連絡をとり、経緯説明の上削除を依頼し、事情勘案いただき、メール内容を開けることなく速やかに削除したとの連絡をいただきました。

4. 再発防止策

本件は、対外電子メールの添付ファイル付き送信であったため、通常送信後に別メールにてパスワードも送信するシステムを導入しているものの、誤送信した弊社従業員が対外メールにおけるパスワードのことを理解しておらず、パスワードも他社従業員あてに同時に送信している状況踏まえ、再度全役職員に周知徹底するとともに、メールアドレスの管理体制についても再度強化を進めてまいります。また、継続的に実施している個人情報保護および情報セキュリティ教育を徹底し、情報管理体制の強化にも取組んでまいります。

リリース文アーカイブ) 

【セキュリティ事件簿#2023-205】特定非営利活動法人ACE 個人情報漏えいのご報告とお詫び 2023年5月12日


この度、弊団体からのメール発信において個人情報の漏えいがございました。
皆さまにはご迷惑をおかけしましたこと、深くお詫び申し上げます。
今後こうしたことが起こらないよう、システムと体制の見直しを進めております。

下記に経緯と今後の対応をご報告させていただきます。

1. 経緯

2023年5月9日(火)18時24分にACEチャリティランナーさま(国内108名)を対象に配信したメールにて、BCCで送信するところを誤って「宛先」に皆様のメールアドレスが表示されている状態で送信されてしまいました。

2. 発覚後の対応

送信後に、担当者が間違いに気づき、18時43分にメールを受け取られた皆さま宛にメールを送付し、謝罪させていただきました。メール本文中で、受信者皆さまには先にお送りしたメールの削除をお願いいたしました。また、元のメールは18:57に再送信させていただきました。

3. 再発防止策

今後は、同時に多数へメールを送る場合は、メール管理システムを通しての配信をいたします。BCCでしか送る手段がない場合においては、複数のスタッフによるチェック体制を徹底し、誤送信がないように努めます。
 
この度は皆さまに多大なるご迷惑とご心配をおかけしたことを重ねてお詫び申し上げます。

【セキュリティ事件簿#2023-204】神奈川新聞の記者、読者から寄せられた情報を当事者にお漏らしする


神奈川新聞社は、読者から寄せられた情報を記者が家族に漏洩していたことを公表しました。該当の記者は統合編集局の30代の記者で、この問題は読者からの指摘により発覚しました。

具体的には、今年3月に神奈川新聞社の紙面で紹介された飲食店について、読者から4月26日に同店に関する指摘がありました。この情報に接した記者が、その指摘内容を同店の経営者である家族に伝えたとのことです。経営者はSNSで指摘内容に関して投稿し、それを見た読者から情報漏洩について指摘があり、問題が発覚しました。

神奈川新聞社は、情報を漏洩した記者に対して提供情報の閲覧を禁止し、社内ルールに基づき厳正に対処すると表明しています。また、従業員に対し、業務遂行以外の目的で秘密情報を利用、持ち出し、頒布などを禁止する社内規程の順守徹底を図るとしています。

神奈川新聞社の秋山理砂・取締役統合編集局長は、「読者から寄せられた情報は新聞の言論、報道のみに利用し、第三者への漏洩は決して認められない。記者教育を徹底する」と述べています。

以上の事態を受け、メディア各社は情報管理の重要性を再認識し、読者からの情報を適切に取り扱うことの重要性を改めて強調しています。

【セキュリティ事件簿#2023-203】秩父市 メール誤送信の事案発生について 2023年5月25日


令和5年5月25日(木)9時5分、秩父市移住相談センターから「秩父ファンクラブ」の全会員あてにメールを一斉送信した際に、送信先に当該メールを受信された皆様すべてのメールアドレスが表示されるという事態が発生しました。

「秩父ファンクラブ」会員の個人情報を流出させる事態を引き起こし、会員の皆様に多大なるご迷惑・ご心配をおかけしましたことを心よりお詫び申し上げるとともに、その内容につきまして以下のとおりご報告させていただきます。

【経緯】

令和5年5月25日(木)9時5分に、秩父市移住相談センターから「秩父ファンクラブ」会員あてに送信したメール『「【重要】秩父ファンクラブ利用規約制定のご案内」について』を一斉送信した際(送信件数:395件)に、送信先に当該メールを受信された皆様すべてのメールアドレスが表示されるという事態が発生いたしました。

【原因】

複数の会員にメールを一斉送信する際には、本来「BCC」として、送信対象者のメールアドレスを非表示にしたうえで送信するところ、人為的なミスおよびチェック体制の不備により、「宛先」欄に表示したままで送信してしまい、本件が発生いたしました。

【対応と誤送信による被害】

全会員あてに同日9時45分、メール件名『【お詫び】2023年5月25日 9時5分送信分「【重要】秩父ファンクラブ利用規約制定のご案内」について』にて、本件についてのおわびと、当該メールを削除していただくようお願いをしております。

現時点では、被害などの情報は入っておりません。

被害状況につきましては、引き続き調査を進め、対応を進めてまいりたいと考えております。

【再発防止策】

本件につきましては、人為的なミス、チェック体制の不備が原因であるため、秩父市移住相談センター職員はもとより、秩父市全職員に対し、個人情報の保護を再啓発するとともに、情報セキュリティー研修・教育を徹底してまいります。また、メール発信については、複数職員による確認体制を構築するとともに、誤送信防止ソフトの導入等も視野に入れ対策を行います。

二度とこのような間違いが起こらぬよう全力で取り組んでまいります。

本件において関係者の皆様には多大なご迷惑とご心配をおかけしましたことを心よりお詫び申し上げます。

大阪府警の誤認逮捕事件:デジタル犯罪調査のレベルが低い組織が捜査権や逮捕権を行使すると大変なことに・・・


先日、大阪府警が一人の男性を誤って二度にわたり逮捕した事件が報じられました。男性は交流サイト(SNS)を通じて知人の20代女性の性的な画像を他人に送ったとして、リベンジポルノ防止法違反などの疑いで逮捕されました。しかし、その後の捜査で、メッセージを送ったアカウントは男性のものではなく、何者かが男性になりすまして送信したことが判明しました。

この事件は、日本の警察機関におけるデジタル犯罪調査のレベルの低さを如実に示しています。SNSやメールなどのデジタルコミュニケーションツールは、現代社会においては欠かせない存在となっています。しかし、それらを適切に理解し、利用するための技術や知識が警察機関には不足していると言わざるを得ません。

この事件で逮捕された男性は、約40日間も勾留され、その間に名誉や人生を大きく傷つけられました。警察は、誤認逮捕を認め、男性に謝罪しましたが、それだけで事態が解決するわけではありません。警察機関は、このような誤りを繰り返さないために、デジタル犯罪調査のレベルを向上させる必要があります。

この事件は、警察だけでなく、私たち一般市民にとっても重要な教訓を提供しています。デジタル技術が日常生活に深く浸透する中で、それに対する理解と対応能力を高めることの重要性を改めて認識するべきです。

【セキュリティ事件簿#2023-175】トヨタ自動車株式会社 クラウド設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて 2023年05月31日


5月12日に公表させていただきました(「クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて」)の件、その後、トヨタコネクティッド株式会社(以下、TC)が管理する全てのクラウド環境を含めた調査を実施したところ、お客様情報を含むデータの一部が、外部からアクセスできる状態にあったことが判明したため、本日時点で判明している事案につき、お知らせいたします。

本件も、データ取扱いのルール説明・徹底が不十分だったことなどが主な原因であったと考えており、前回の公表以降、クラウド設定を監視するシステムの導入を完了しました。現在、全クラウド環境の設定調査、および継続的に設定状況を監視する仕組みが稼働しております。また、データ取扱いのルール説明・徹底について、再度TCと密接に連携して実施するとともに、従業員への教育を徹底することで再発防止に取り組んでまいります。お客様ならびに関係の皆さまには大変なご迷惑、ご心配をおかけすることを、お詫び申し上げます。

今回の件につきましても、ネット上での第三者による二次利用、コピーの残存有無の継続調査の際、その事実は確認されず、現在のところ、その他の二次被害も確認されておりません。 (また、本事案では車両位置情報やクレジットカード情報等は含まれておりません)

今回の事案は以下の通りです。

1.国内向けサービスについての事案
  • 車載ナビに地図データを配信するシステムにおいて、配信データ作成処理の際に使用していた車載端末ID(車載機(ナビ端末)ごとの識別番号)及び更新用地図データとその作成年月が外部からアクセスできる状態にあったことが判明いたしました。(該当システムを用いたサービスはすでに終了しております)
  • 外部よりアクセスされた場合であっても、これらのデータのみでお客様が特定されるものではありません。また、これらのデータを用いて車両にアクセスしたり、車両に何らかの影響を与えたりすることはできません。
外部よりアクセスされた可能性があるお客様情報車載端末ID、更新用地図データ、更新用地図データ作成年月
(地図情報及びその作成年月であって、位置情報ではありません。)
対象となるお客様
  • G-BOOK mX、G-BOOK mX Pro対応ナビで、G-BOOKにご契約いただいたお客様
  • G-Link/G-Link Liteにご契約いただいた一部のお客様*1のうち、2015年2月9日~2022年3月31日の間に、マップオンデマンドの通信による更新を行ったお客様
合計 約26万人
*1 対象となる車両
車種発売期間
LS2009年10月~2014年9月
GS2009年9月~2014年8月
HS2009年7月~2015年7月
IS2009年7月~2013年8月
IS F2007年12月~2014年5月
IS C2009年5月~2014年7月
LFA2010年12月~2012年12月
SC2009年8月~2010年7月
CT2011年1月~2013年12月
RX2009年1月~2015年9月
クラウド環境が外部からアクセスできる状態にあった期間2015年2月9日~2023年5月12日
上記のお客様情報は、地図データの配信後、原則として短時間でクラウド環境より自動削除される仕様となっており、上記期間に継続して保管・蓄積していたものではありません。

上記のお客様情報が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、お詫びとお知らせを個別にお送りさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置いたします。

2.海外向けサービスについての事案
  • 海外販売店向けシステム調査のために、TCがクラウド環境で管理しているファイルの一部が、誤設定により、外部からアクセスできる状態にあったことが判明いたしました。本件判明後、外部からのアクセスを遮断する措置を実施しております。
外部よりアクセスされた可能性があるお客様情報住所、氏名、電話番号、メールアドレス、顧客ID、車両登録ナンバー、車台番号
対象のお客様に対し、上記すべての情報ではなく、問い合わせファイルにより、上記の一部が含まれております。
対象となる地域アジア、オセアニア(日本は含まれておりません)
クラウド環境が外部からアクセスできる状態にあった期間2016年10月~2023年5月

各国の個人情報保護法及び関連法に従い、各国で対応を進めてまいります。


【セキュリティ事件簿#2023-202】日本郵船株式会社 個人情報(メールアドレス)の漏えいについて 2023年05月29日


当社において、個人情報(メールアドレス)を漏えいする事故が発生しましたので、お知らせします。

関係者の方々に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、情報管理を徹底してまいります。

1.事故の概要
(1)発生日 
   2023年5月26日(金曜日)

(2)漏えいした個人情報
   個人のメールアドレス510件

(3)事故の経緯
   他社主催の採用イベントに参加した学生の方々にメッセージを送信する際に、誤ってメールアドレスをBCC欄では無くCC欄に入力して送信してしまいました。

(4)対応
該当する学生の方々にお詫びと受信メールの削除をお願いするメールをお送りしました。
万一当漏洩に起因する被害が発生した場合には、誠実に対応いたします。

2.再発防止策
メール送付の際にメールアドレスの誤入力を防ぐため再確認を徹底するとともに、改めて個人情報の適正な取り扱いルールの社内周知を行い、再発防止に努めていきます。