【セキュリティ事件簿#2023-270】公立学校共済組合 個人情報漏えいについてお詫びとご報告 2023年7月25日

公立学校共済組合兵庫支部が保有している人間ドック受診決定者の個人情報について、人間ドックシステム保守業務を委託している業者（㈱ファインシステム）の不適切なデータの取り扱いに起因して、2020年度に実施した１医療機関分（301名）の個人情報が、インターネット上で閲覧可能な状況になっていたことが判明しました。なお、現在のところ、本件に関しての被害等の報告はございません。

今回の件でご迷惑、ご心配をおかけした皆さまにお詫び申し上げますとともに、再発防止に取り組んでまいります。

１ 事案発生の経緯と対応

（１）令和５年７月14日（金）

• 組合員の方から「インターネットで自分の名前を検索したところ、人間ドックの受診決定一覧が閲覧可能な状態である。」旨の連絡により発覚した。
• 人間ドックシステム保守管理業者である㈱ファインシステムに連絡し、業者のテスト公開用のサーバーに個人情報が含まれたファイルが存在していることを確認。直ちに当該ファイルが表示されないようサーバーのインターネット接続を切断
• 各検索サイト事業者に対して本件に関する情報の削除を依頼

（２）令和５年７月15日（土）削除完了

（３）令和５年７月18日（火）流出原因の調査、対応策の検討

（４）令和５年７月20日（木）

• 2020年度当該医療機関の人間ドック受診が決定した301名に対して本件に関するお詫び文書を発送

２ 漏えいした情報

｢2020年度人間ドック医療機関別受診決定者一覧｣のうち１医療機関 301名分

• 内容：組合員番号、所属名、所属電話番号、組合員氏名、当時の年齢、性別、住所（自宅・所属）
• 閲覧可能期間：令和２年12月17日～令和５年７月14日

 ※受診決定者の一覧にある氏名で検索した場合のみ表示される。

３ 漏えいの原因

（１）令和２年12月17日 ㈱ファインシステムが公立学校共済組合兵庫支部において 人間ドックシステムのメンテナンス作業を行った後、システムの修正内容を再確認するため、システムのプログラムデータをＵＳＢメモリにコピーし持ち帰った。※そのデータの中に個人情報の入ったデータが含まれていた。

（２）同日、ＵＳＢメモリにコピーしたプログラムデータを㈱ファインシステムのテスト公開用サーバーにコピーした。テスト公開用サーバーはインターネットに接続可能な状態にあったため、個人情報が含まれるデータは外部から閲覧可能な状況になっていた。

４ 今後の対応

（１） ㈱ファインシステムでは再発防止のため①USBを用いないデータ受渡作業 方法の検討②インターネットからアクセスできないサーバーでの作業の実施③サーバー適用作業時には複数人で確認するなどの措置を講じます。

（２） 公立学校共済組合兵庫支部では、改めて委託業者による個人情報の取扱いに係る責任体制の強化を求めるとともに個人情報の適正管理方法の周知徹底を図ってまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-269】日本経済新聞社 メールアドレス漏洩の報告とお詫び 2023年7月21日

日本経済新聞社が20日（木）～21日（金）に大阪市で開催した「日経メッセ大阪」への来場を事前登録してくださった皆さまに案内メールを送信した際、受信者が他の事前登録者のメールアドレスを見られる状態になっていたことが判明しました。関係する皆さまに多大なご迷惑とご心配をおかけしたことを深くお詫び申し上げます。

当該メールは19日（水）午前8時30分ごろ、日経メッセ大阪の運営事務局（messeosaka@nikkeineon.jp）から来場事前登録者6,444人に対し、「日経メッセ大阪2023 いよいよ明日から開催」という件名で送信いたしました。本来であれば、お一人お一人個別にメールをお送りすべきところ、メール送信システムのプログラムの設定ミスによって最大1,000人にまとめて送信され、「To」に最大1,000人のメールアドレスがまとめて表示された状態となっておりました。

上記の事態は受信者からの問い合わせで発覚し、対象の皆さまには同日午後、お詫びと当該メールの削除をお願いするメールをお送りしました。個人情報保護委員会にも報告しました。

当社は今回の事態を深刻に受け止め、再発防止を徹底します。当該システムを速やかに改修するとともに、個人情報の管理を一層強化いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-268】鹿児島県日置市の市立校で、サポート詐欺に騙されて市内20校の校務システム停止

最近、インターネット上でのサポート詐欺が増加しています。特に、偽の警告表示を用いてユーザーを驚かせ、不正なソフトウェアのインストールや金銭の要求を行う手口が確認されています。鹿児島県日置市の市立校も、このような詐欺の被害に遭ってしまいました。

事件の概要

• 発生日: 2023年7月12日
• 被害校数: 20校
• 影響: 校務系システム一時停止、通知票の配布遅延

事件の経緯

日置市の市立校の職員がインターネットで資料の検索を行っていた際、突如として「電源を切らずにマイクロソフトのサポートセンターへ接続してください」というポップアップが表示されました。この偽の警告に従い、職員は指定された連絡先に電話をかけ、指示通りにソフトウェアのインストール操作を行ってしまいました。しかし、後に料金が発生するとの説明を受け、不審に思った職員は電話を切断しました。

翌日、該当のパソコンを起動すると「ウイルスに感染した」というメッセージが表示され、事件が発覚しました。このパソコンは、通知表のデータなどを管理する市のサーバーと接続されていたため、感染のリスクを考慮し、市教育委員会は各学校が使用する共通のシステムを5日間停止しました。

事件の影響

この事件の影響で、校務系システムが一時停止。結果として、多くの学校で終業式当日に通知票を配布できない事態となりました。特に、20ある小中学校の一部では、予定通りの通知表の配布が困難となっています。

今後の対応

日置市教育委員会は、この事件を受けて、市内の学校に対してサポート詐欺の問題を含めた注意喚起を行いました。また、夏休み期間中に各学校でセキュリティポリシーに関する研修を実施する予定です。

この事件は、インターネットの安全利用の重要性を再認識させるものとなりました。偽の警告や詐欺的な内容には十分注意し、不審な表示や連絡があった場合は、すぐに関連する専門機関やサポートセンターに相談することが求められます。

出典：サポート詐欺で市内20校の校務システム停止、通知票配れず - 日置市

MIATモンゴル航空、ワンワールド・アライアンスへの加盟を検討

Oneworldアライアンスは、モンゴルの国営航空会社を新たに迎え入れる可能性が高まっています。これは、現在4機のボーイング737と1機のボーイング767を保有する小規模な国営のMIATモンゴル航空にとって大きなステップとなります。また、先月には、経営難の海南航空からの中古のボーイング787-9を受領しました。この機体は最新の1-2-1ビジネスクラスを備えています。

MIATモンゴル航空は、これらのボーイング787-9をモンゴルの首都ウランバートルからフランクフルト、イスタンブール、ソウルへ飛ばす予定であり、サンフランシスコへのノンストップルートも検討中です。そして、Oneworldへの参加は、その国際的な拡大戦略に役立つと、MIATモンゴル航空のCEO、Munkhtamir Batbayar氏は述べています。

Batbayar氏は、航空会社の将来の飛行経路に関するCNNとのインタビューで、提携の重要性を強調し、キャセイパシフィック航空と日本航空（JAL）とのコードシェアを含め、「私たちは積極的にOneworld Connectプログラムに参加することを追求しています。キャセイパシフィック航空と日本航空という2社との提携は大きな存在です」と付け加えました。

「Oneworld Lite」とも呼ばれるOneworld Connectプログラムは、完全なOneworldメンバーシップの高いコストと複雑さがなく、小規模な航空会社に適しています。Oneworld Connectは2018年に、アメリカン航空、ブリティッシュエアウェイズ、キャセイパシフィック航空、カンタス航空によってスポンサーされたフィジーエアウェイズを初のメンバーとして開始されました。

MIATモンゴル航空は、キャセイとJALをスポンサーとして、2番目のOneworld Connectのメンバーとなるでしょう。

出典：MIAT Mongolian Airlines looks to join Oneworld

エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン

（ダイジェスト版）

1. 背景と導入:  

モバイルデバイスは、個人の通信デバイスから企業の主要なツールへと進化してきました。これらのデバイスは、機密データの処理やネットワークへのアクセスに使用されています。そのため、セキュリティの確保が不可欠となっています。このガイドラインは、企業がモバイルデバイスのセキュリティリスクを理解し、適切な対策を講じるためのものです。

2. モバイルデバイスの特性:

現代のモバイルデバイスは、通信や情報へのアクセスを提供するだけでなく、企業のネットワークやシステムにアクセスするためのプラットフォームとしても機能します。これには、スマートフォンやタブレットなどのデバイスが含まれます。これらのデバイスは、高度な計算能力とストレージ容量を持ち、クラウドサービスやエンタープライズリソースにアクセスする能力を持っています。そのため、これらのデバイスのセキュリティは、企業のITセキュリティ全体の一部として考慮されるべきです。

3. セキュリティ上の懸念:

モバイルデバイスの普及に伴い、モバイルマルウェアや脆弱性が増加しています。これらの脅威は、デバイス、モバイルアプリ、ネットワーク、管理インフラストラクチャに影響を及ぼす可能性があります。特に、公共のWi-Fiネットワークを使用する際のリスクや、不正なアプリケーションのインストールによるリスクが高まっています。さらに、デバイスの物理的な紛失や盗難も、データ漏洩のリスクを増加させる要因となります。

4. セキュリティ技術: 

モバイルデバイスのセキュリティを強化するための技術として、エンタープライズモビリティ管理 (EMM)、モバイル脅威防御 (MTD)、モバイルアプリケーション審査 (MAV) などがあります。これらの技術は、デバイスの管理、アプリケーションのセキュリティ、データの保護、ネットワークのセキュリティを強化するために使用されます。EMMは、デバイスの設定、アプリケーションの配布、データの保護を一元的に管理するためのソリューションを提供します。MTDは、モバイルデバイス上の脅威を検出し、対応するための技術です。MAVは、モバイルアプリケーションのセキュリティを評価するためのプロセスやツールを提供します。

5. 対策とカウンターメジャー:

モバイルデバイスのセキュリティリスクを軽減するための推奨対策として、EMM技術の導入、ソフトウェアの迅速な更新、OSとアプリの隔離、モバイルアプリケーションの審査、モバイル脅威防御、ユーザー教育などが挙げられます。特に、ユーザー教育は、セキュリティインシデントの発生を防ぐ上で非常に重要です。ユーザーは、セキュリティのベストプラクティスやポリシーを理解し、適切に遵守する必要があります。

6. モバイルデバイスのライフサイクル:

モバイルデバイスのセキュリティを維持するためには、デバイスのライフサイクル全体を通じて一貫したアプローチが必要です。これには、要件の特定、リスク評価、モビリティ戦略の実装、運用と保守、デバイスの廃棄や再利用が含まれます。デバイスの適切な廃棄は、機密データの漏洩を防ぐために特に重要です。デバイスの再利用やリサイクルの際にも、データの完全な消去やデバイスのリセットが必要です。

7. 結論:

モバイルデバイスは企業のIT環境において不可欠な存在となっています。そのため、これらのデバイスを安全に管理・利用するための適切なガイドラインと戦略の導入が求められています。NISTのこのガイドラインは、モバイルデバイスのセキュリティを向上させるための実用的なアドバイスを提供しています。企業は、このガイドラインを参考にして、モバイルデバイスのセキュリティポリシーとプロセスを策定・実施することが推奨されます。このガイドラインを適切に適用することで、企業はモバイルデバイスを安全に使用し、ビジネスの効率と生産性を向上させることができます。

参考：NIST SP 800-124 Rev.2 エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン (2023.05.17)

出典：Guidelines for Managing the Security of Mobile Devices in the Enterprise

【セキュリティ事件簿#2023-267】茨城県 茨城県発達障害者支援センターにおける個人情報の漏洩について 2023年7月14日

茨城県が社会福祉法人同仁会に委託して実施している茨城県発達障害者支援センター「COLORS つくば」において、個人情報が漏洩する事案が発生いたしました。

今後二度と同様の事案が発生しないよう、再発防止に努めてまいります。

１ 概要

（１）状況

• 市町村職員向け研修の実施にあたって、申込みの受付を Google フォームにより行ったが、誤って申込者全員の情報が Google フォーム上から確認できる状態になっていた。
• 研修当日の７月 12 日に、参加者から問合せがあって申込時の情報を確認したことから、設定の誤りに気付いた。
• 申込は６月 12 日に開始し、７月３日に締め切ったが、Google フォーム上から確認できる状態は、７月 12 日の午前 11 時頃まで続いていた。

※既に申込者全員に対して、状況を説明し、謝罪しております。

（２）漏えい件数

研修申込者の氏名、所属、年代、メールアドレス、電話番号 58 人分

２ 原因

Google フォーム作成時に、設定の確認を十分に行わなかったため。

３ 再発防止策

委託先である社会福祉法人同仁会に対し、以下の再発防止策等の徹底を指示する。

• Web フォーム作成時には、複数職員で確認を行う。
• Web フォーム作成ツールに不慣れな職員も対応できるように、マニュアルを作成し、適切な利用を徹底する。
• その他の業務においても、個人情報保護に必要な措置の点検を行い、改めて職員に対する教育を行う。

また、他の委託事業者に対しても、個人情報の取扱いについて、改めて内部における責任体制を明確にし、管理を徹底することを求める。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-266】東谷株式会社 弊社が運営する「fkolme.com」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2023年7月18日

このたび、弊社が運営する「fkolme.com」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（46件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2023年1月12日、お客様のクレジットカード情報の漏洩懸念に気づき、2023年1月16日弊社が運営する「fkolme.com」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年4月24日、調査機関による調査が完了し、2022年11月11日～2023年1月13日の期間に　「fkolme.com」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2. 個人情報漏洩状況

(1)原因

弊社が運営する「fkolme.com」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2022年11月11日～2023年1月13日の期間に「fkolme.com」においてクレジットカード決済を行ったお客様37名で、漏洩した可能性のある情報は以下のとおりです。

• カード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード
• サイトログインID
• サイトログインパスワード

上記に該当する37名のお客様については、別途、電子メールおよび書状にて個別にご連絡申し上げます。

3. お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問合せいただきますよう、併せてお願い申し上げます。

特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。

4. 公表が遅れた経緯について

2023年1月12日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5. 再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「fkolme.com」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年6月26日に報告済みであり、また、所轄警察署にも2023年5月1日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-230】ヤマハ株式会社 米国子会社への不正アクセスについて（第 2 報） 2023 年 7 月 20 日

 

当社の米国販売子会社であるヤマハ・コーポレーション・オブ・アメリカ（YCA）で発生したランサムウェア（身代金要求型ウイルス）感染について、被害状況の調査が終了しました。また、本件を契機に当社グループ全拠点のネットワークセキュリティについても調査を行ったところ、新たな不正アクセスを確認しましたので、お知らせいたします。

１．YCA への不正アクセスの被害および対応

第１報でお伝えしておりますように、YCA ではランサムウェアに感染した機器のネットワーク接続を速やかに遮断した上で、安全対策を施して復旧し、現在は通常通り営業しています。その後の調査の結果、お客様やお取引先、従業員の個人情報の漏洩はなかったことを確認しております。

２．新たに確認した不正アクセスの被害

 カナダの当社販売子会社であるヤマハ・カナダ・ミュージック（YC）でも同時期に第三者による不正アクセスがあり、現地の従業員や直営音楽教室・お取引先の個人情報が窃取されたことを確認しました。YC では情報漏洩の可能性のある関係者に周知・注意喚起を行い、現地の警察にも通報をしております。なお、YC は不正アクセスを確認後、直ちに全てのシステムのネットワーク接続を遮断して安全対策を講じ、すでに復旧を終え、現在は通常通り営業しております。

３．その他拠点の状況

 ヤマハグループの国内拠点 15 箇所、海外拠点 40 箇所のネットワークについて調査を行いましたが、YCA と YC 以外に不正アクセスの被害はありませんでした。また、日本国内をはじめ当社グループの他拠点のシステムへの影響はありませんでした。

今回の事態を受け、当社ではグループ全拠点のシステムにおけるセキュリティ強化、アカウント管理の徹底、従業員へのセキュリティ教育を改めて実施してまいります。お客様をはじめ、関係する皆様にご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。

リリース文（アーカイブ）