【セキュリティ事件簿#2023-277】愛媛県立医療技術大学 「助産学専攻科オープンキャンパスの申し込みフォーム」における個人情報の漏えいについて(第2報) 2023年7月28日

 

令和5年7月24日付けで公表しました標記について、公表内容に2点誤りがあることが判明いたしました。

1 概要

(1) 今回の個人情報漏えいについて、大学からの申込者に対する謝罪メールを受信した方から、「判明日が7月21日(金)の夜とあるが、7月13日(木)にフォームの異変に気づいて職員にメールで連絡した際に、全回答が見られるようになっていることを伝えた」とのメールによる通報がありました。

これを受けて、改めて関係職員から、聞き取りを行うなど事実関係を調査した結果、次のとおり事実認定を訂正する必要があることが判明しました。

<訂正内容>

〇大学が事案を認知した日(判明日)

当初公表内容:7月21日(金)の申込者からの電話

(電話を受けて直ちに作業を行い、同日深夜(24:30)に措置完了)

今回公表内容:7月13日(木)参加希望者からの職員へのメール

(職員数人で作業を行ったが、改善措置が完全でなく、個人情報が閲覧できる状態が7月21日(金)まで継続)

<訂正が生じた理由>

7月13日(木)に相談を受けた職員は、申し込みフォームに不備があったことを認知し、改善措置の作業は行ったが、実際には知識不足のため措置完了に至らず、また、個人情報に対する認識不足のため、上司に報告していなかった。

(2) QRコードを経由してアクセスした場合に限った発生事象としていましたが、これに加えて、7月12日、13日の2日間は、ホームページに掲載の申し込みフォームからアクセスした場合も、その時点で申込済の23名全員の情報が閲覧できる状態にあった可能性が高いことが判明しました。

<訂正内容>

〇個人情報を閲覧できるケース

当初公表内容:案内チラシのQRコードを経由して申し込みフォームにアクセスした場合のみ

今回公表内容:上記に加えて、7月12日、13日において、ホームページを経由して申し込みフォームにアクセスした場合

<訂正が生じた理由>

学内の原因究明の進捗による。

2 判明後の対応及び今後の対応

7月13日(木)時点での対応が十分であれば、個人情報の漏えい期間短縮等が可能であったことについて、改めて関係者にお詫びしたほか、情報セキュリティ委員会を中心に再発防止策を検討し、個人情報保護に関する意識醸成をはじめとする具体的対策を決定したところです。

なお、現時点では、個人情報が悪用されたとの申し出はありません。

リリース文アーカイブ

【セキュリティ事件簿#2023-280】厚生労働省 沖縄労働局における個人情報漏えいの発生について 2023年7月27日


沖縄労働局は、沖縄労働局において発生した個人情報漏えいについて、下記のとおり当該事実を確認の上、必要な措置を講ずることとしていますので、概要等をお知らせします。

1 事案の概要

沖縄労働局総務部労働保険徴収室(以下「徴収室」という。)の職員 C が、労働保険事務組合 A(以下「事務組合 A」という。)の担当者 B に対して、労働者災害補償保険特別加入に関する変更届の添付書類として、履歴事項全部証明書(以下「証明書」という。)または健康保険・資格喪失確認通知書(以下「通知書」という。)をメールか FAX で送信するように依頼した。

担当者 B より FAX 番号を聞かれた職員 C は、FAX の利用廃止とされているところ、安易に FAX 利用を認め、かつ、誤った FAX 番号を教えた。

担当者 B は、誤った番号あてに D 事業場の証明書、D 事業場の役員である E 氏の通知書、E 氏の健康保険・厚生年金保険資格喪失届(以下「喪失届」という。)を送信したため、誤った FAX 番号の持ち主である F 氏に個人情報が漏えいした。

2 漏えいした個人情報及び対応

通知書に記載された E 氏の氏名、生年月日、資格喪失年月日、基礎年金番号及び喪失届に記載された E 氏の個人番号(マイナンバー)が漏えいした。

情報が漏えいした E 氏等関係者へは、7月 19 日までに謝罪した。

3 事実経緯

(1) 令和5年7月 14 日
事務組合 A の担当者 B に対して、職員 C は、特別加入に関する変更届の添付資料として特別加入者の辞任年月日がわかる証明書か通知書を、メールかFAX で送信するように依頼。職員 C は、担当者 B に誤った FAX 番号を伝達したため、担当者 B は、誤った番号に証明書等を FAX 送信した。

(2) 同月 18 日
事務組合 A に対して、F 氏から間違って証明書等が送られているとの電話連絡があり、F 氏から書類を破棄する旨伝えられた。
その後、事務組合 A から徴収室へ連絡があり、職員 C が FAX 番号を誤って伝えていたことが判明した。

(3) 同月 19 日
事務組合 A 及び D 事業場並びに F 氏に直接謝罪を行うとともに、E 氏については、D 事業場を通じて謝罪を行い、謝罪を受け入れていただいた。
なお、F 氏に誤送信された書類全ては、前日に事務組合 A に電話連絡後、F氏がひとりで職場のシュレッダーで破棄したことを F 氏に謝罪の際に確認した。

4 二次被害又はそのおそれの有無及びその内容

令和5年 7 月 18 日に漏えい先である F 氏が、事務組合 A に FAX 誤送信の電話連
絡直後、証明書等を既に破棄したことを同月 19 日の電話での謝罪の際に確認し、
これ以上の外部流出はない。

5 再発防止策

(1)FAX の利用廃止を徹底させる。
関係先が FAX でのやりとりを希望する場合も、メールや郵送等 FAX 以外の方法に切り替えしていただくようお願いする。

(2)FAX 番号の誤伝達を防止する。
緊急時等やむを得ず FAX を利用する場合には、関係先へ FAX 番号が記載された書面を送付する等確実な方法で伝達する。
なお、関係先あて FAX を利用する際に番号のダブルチェック等誤送信をしないようお願いする。

【セキュリティ事件簿#2023-279】山口県 イベントの参加申込情報がインターネット上で閲覧できる状態になっていたことについて 2023年7月21日更新


障害のあるこどももないこどもも参加する交流イベント「あいサポランド」の委託事業者である学校法人YIC学院が、本イベントの申込フォームの設定を誤り、他の参加申込者の個人情報がインターネット上で閲覧できる状態にあったことが判明しました。

事案判明後、直ちに下記の措置を講じました。

1 経緯

7月19日(水曜日)、委託事業者に申込者の一人から「申込フォームから『前の回答を表示』ボタンを押すと他の申込者の情報が閲覧できるようになっている。」と電話があり、発覚した。

2 閲覧可能であった個人情報及び期間

(1) 閲覧可能であった個人情報

申込者34名分の保護者氏名、子供氏名・年齢、住所、電話番号、メールアドレス、備考(配慮事項等)

(2) 閲覧可能な状態であった期間

令和5年7月13日(木曜日)から7月19日(水曜日)まで(7日間)

3 原因
   
申込フォームの設定を誤り、他の申込者の情報が閲覧できる設定にしていたため。

4 対応

  •  直ちに、委託事業者以外が参加申込情報を閲覧できないようにした。

  • 参加申込者34名へメール及び電話で、謝罪と事実関係の説明を行った。

  • 県は委託事業者に対し、フォームの事前設定を複数名でチェックする等の再発防止に向けた情報管理の徹底を指示した。

【セキュリティ事件簿#2023-278】東京都 受託者における個人情報の漏えいについて 2023年7月26日

教育庁と委託契約を締結している株式会社電通プロモーションプラス(以下「受託者」といいます。)において、個人情報を漏えいさせる事故が発生しましたので、お知らせします。

関係者の皆様に多大な御迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

受託者がオンラインイベントの事後アンケートの回答を促すメールを対象者に送る際、メールアドレスをBCC欄に入力するべきところを、誤ってCC欄に入力し、送信した。

2 発生日

令和5年7月26日(水曜日)午前10時31分

3 漏えいした個人情報

オンラインイベントに申し込んだ都内在住・在学の高校生等23人のメールアドレス

4 経緯

(1)令和5年7月26日午前10時31分に、受託者が都内在住・在学の高校生等23人のメールアドレスをCC欄に入力しメール送信
(2)同日午後2時59分頃、受託者から謝罪及びメールの削除を依頼
(3)現在のところ二次被害等の報告は受けていない。

5 再発防止策

受託者に対して個人情報の適切な取扱い及びメール送信先のダブルチェックを改めて徹底させ、再発防止を図る。

無料のソーシャルメディア用OSINTツール4選

herramientas-osint-redes-sociales-3.jpg

ソーシャルメディアサイトは、セキュリティやインテリジェンスの研究、マーケティングキャンペーンのための情報源として利用されています。Open Source Intelligence (OSINT) という技術は、インターネットユーザーに関する公開データの収集と分析を自動化するツールが増えてきており、特にソーシャルメディアインテリジェンス(SOCMINT)のために適用されています。この記事では、ソーシャルメディアインテリジェンスの努力を支援するいくつかのツールを紹介しています。これらのツールは、私たちがオンラインで共有する情報の種類に警戒することの重要性を示しています。

ツールの紹介


最も簡単なものから始めましょう。Namechkは、様々なオンラインプラットフォームでのユーザー名の利用可能性をチェックするだけでなく、その人のオンライン上の個人情報を簡単に検索することができます。これを行うには、ユーザー名を入力するだけで、Namechkは提供された情報に一致するユーザープロフィールを見つけるために複数のオンラインプラットフォームを調べます。これは、ある人物のオンライン情報を収集したい研究者、ジャーナリスト、企業、政府機関や、長い間行方不明になっていた友人や知人に再会したい人に便利です。




2. Sherlock

Sherlockは、Pythonで開発されたオープンソースのコマンドラインツールで、Namechkのように、最も人気のあるソーシャルネットワークで特定のユーザー名を検索してから、プロフィールへのリンクを吐き出します。インターフェースはなく、Windows、Linux、MacOSのコマンドターミナルからアクセスします。より詳しい情報とインストール方法については、Sherlock ProjectのGitHubリポジトリをチェックしてみてください。


3. accountanalysis

accountanalysisは、Twitterを中心としたOSINT調査のために使用されます。フォロワーやフォローされているアカウント、ツイートの頻度、インタラクションの数、最も活発な時間帯、最も使われているハッシュタグなど、アカウントの公開情報を俯瞰したレポートを作成します。





OSINTの世界で最も知られている、最も強力なツールの一つです。


【セキュリティ事件簿#2023-277】愛媛県立医療技術大学 「助産学専攻科オープンキャンパスの申し込みフォーム」における個人情報の漏えいについて 2023年7月24日


本学が8月21日に開催を予定している「助産学専攻科オープンキャンパス」の参加申込者(29名)の個人情報が標記申し込みフォーム上で閲覧できる状態にあったことなどが判明しましたので、お知らせします。

なお、個人情報が閲覧できる状態は、判明後直ちに解消させるとともに、今回御迷惑をおかけした29名の皆様には、既に全員に事情を説明して謝罪したほか、関係者1名(下記の電話連絡があった方)に対しても事情を説明して謝罪いたしました。

本学としては、このような事態を招いたことを重く受け止め、今後は、個人情報の取扱いを徹底するとともに、学内の情報リテラシーを向上させるなど、再発防止に努めてまいります。

1 判明日時

令和5年7月21日(金) 20時30分頃本学の「助産学専攻科のオープンキャンパス」の参加申込手続をしようとした方から、申し込みフォーム自体が書き換え可能な状態のため更新してしまい、自身で削除するまでの間(約8時間)個人情報が掲載されてしまったとの電話連絡があった。

2 概要

上記連絡を受けて、大至急調査した結果、申し込みフォームに関して、以下2点の不適切な状態が判明したため、直ちに改善措置に取りかかり、21日深夜(24:30)までに作業を完了した。

※不適切な状態にあったのは7/12(水)~7/21(金)の間

☆以下2点とも、案内チラシのQRコードを経由して申し込みフォームにアクセスした場合のみにおいての発生事象

※申し込みフォームへのアクセス方法としては、案内チラシのQRコード(関係の学校に配布及びホームページ上に掲載)のほか、本学のホームページに掲載の申し込みフォームから入力する方法あり。

※本学の学生には、別途メール(QRコードの掲載なし)で開催案内を送付。

1)申し込みフォーム欄外の回答とは無関係の特定のボタンを1回クリックすると申込済全員(29名)の氏名等が表示され、さらに特定のボタンをクリックすると同全員のフォームへ入力した個票が閲覧できる状態にあった。

※閲覧できる状態にあった個人情報(フォームへの入力内容)

【氏名、所属(本学在学生か否か・学校名・学年)、当日の参加方法(来校かZOOMか)、メールアドレス、電話番号、過去の参加歴、参加目的】

2)上記1で連絡があったとおり、設問部分を含む申し込みフォーム自体の書き換え及び更新が可能な状態となっていた。

3 原因

学内の情報セキュリティ専門家を交えて究明したところ、以下の設定作業における人為的作業ミスが重なったことによるもので、設定後のチェックも不十分であった。

《要因1》

・QRコードのアクセス先を、HPに掲載されているものと同じ回答用のURLとすべきところを、誤って編集用のURLを添付してしまった。

※編集用URLは、編集者側(本学)が、後の集計作業等に利用するためのURLだが、編集権限がなければ操作はできず、この時点では、広報委員会の担当教員1名のみにしか権限が与えられていなかったため、その他の者は編集することはできず、個人情報の閲覧もできない。

※なお、回答用URLと編集用URLの画面は、一見するだけでは違いが分かりにくい。

《要因2》

・7/12、広報委員会担当事務職員も含め、関係する広報委員会委員も集計作業等を行う必要があることから、編集者権限を、それまでの1名から広報委員会関係職員全員に移譲した。そのプロセスで操作を誤り、編集用URLにアクセスしたもの全員がフォームを編集できる設定になったと推察される。

・要因1で、利用者側に表示されている申込フォームが編集用となっていたため、利用者も編集可能な状態になり、個人情報も閲覧可能な状態になった。

4 再発防止策

このような事態を招いたことを重く受け止め、今後、このような事態が生じないよう、個人情報の取り扱いを徹底するとともに、学内の情報リテラシーを向上させ、再発防止に努める。

【セキュリティ事件簿#2023-237】志布志市 本市が運営する「志布志市ふるさと納税特設サイト」への外部の第三者からの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(第2報) 2023年7月20日


平素は志布志市ふるさと納税事業にご支援・ご理解を賜り誠にありがとうございます。

先般、令和5年6月22日付で「本市が運営する『志布志市ふるさと納税特設サイト』への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」(以下「第1報」といいます。)を公表し、外部の第三者からの不正アクセス(サイバー攻撃による被害)について、クレジットカード情報に関する調査結果に基づくご報告をさせていただきました。

第1報時点では、それ以外の個人情報(以下「利用者情報」といいます。)が漏えいした可能性について、外部専門機関による調査が継続中でありましたところ、この度、全ての調査が完了しましたので、その内容をご報告申し上げます。

本市では、今回の事態を厳粛に受け止め、同様の事案を起こさぬよう再発防止のための対策を講じてまいります。寄附者様をはじめ関係者の皆様には重ねてお詫びを申し上げます。

1.調査結果の概要

調査の結果、一部の方の利用者情報について、外部の攻撃者からの不正アクセス(サイバー攻撃)に伴う漏えいが発生したことが確認されました。

2. 利用者情報の漏えいのおそれの状況

(1) 原因

攻撃者は、令和3年3月12日、「志布志市ふるさと納税特設サイト」(以下「当サイト」といいます。)内に、利用者情報が格納されたデータベース(以下「利用者情報データベース」といいます。)を外部から操作することができる不正なファイルを設置し、このファイルを通じて、同年12月29日、利用者情報データベースにアクセスし、データを閲覧及びダウンロードしたことが確認されました。

(2) 漏えいのおそれのある利用者情報

今回の調査結果によりますと、令和元年6月28日から同年7月5日、令和3年3月11日から同年12月24日までの間に当サイトにおいて会員登録を行った方及び当サイトを通じて本市に寄附をされた方(重複している方を除き合計2,280名)が対象となります。

漏えいした可能性のある情報は以下のとおりです。

  • 寄附者様の氏名、氏名フリガナ、性別、メールアドレス、電話番号、郵便番号、住所、生年月日
対象となる寄附者様には、別途メール又は郵送により、ご通知申し上げます。

現時点では、二次被害の報告は受けておりません。

3. 今後の見通しについて

今回ご報告申し上げた事象は、第1報でお知らせしたものと同様の原因によって発生したものであることから、本市としては、第1報でお知らせした再発防止策を鋭意実行してまいります。また、引き続き、個人情報保護委員会や警察をはじめとした機関への報告・連携も進めてまいります。

当サイトの再開を含めた今後の対応につきましては、決定次第、改めて本市ホームページ上にてお知らせいたします。

【セキュリティ事件簿#2023-276】スカパーJSAT株式会社 当社サーバへの不正アクセスについて 2023年07月21日


スカパーJSAT株式会社(本社:東京都港区、代表取締役 執行役員社長:米倉 英一、以下 当社)は、当社の社内サーバにおいて、不正アクセスを受けたことを確認いたしました。

不正アクセスの兆候を発見したのち、調査を進めた結果、不正アクセスされたファイルの中に、お取引先様の担当者および当社の従業員等の個人情報が含まれていたことが判明いたしましたので、お知らせいたします。なお、不正アクセスされたファイルの中には、当社が運営する「スカパー!」や「SPOOX」などの放送・配信サービスおよびその他の関連サービスのご契約者様情報は含まれておりません。

お取引先様をはじめ、多くの関係者の方にご心配とご迷惑をおかけしておりますこと、深くお詫び申し上げます。

本件については現在も調査を続けており、今後新たな事実が判明する可能性がございますが、現時点で確認できた事実(2023年7月21日現在判明分)の概要は以下のとおりです。

■概要

6月1日     
当社のオフィスオートメーションシステム上のターミナルサーバ(子会社が当社内サーバへアクセスするための中継役となるサーバ)に不自然なアクセスログを発見したため、調査を開始いたしました。

6月7日     
外部専門機関へのフォレンジック調査を依頼いたしました。

6月8日     
不正アクセスがあった場合の拡大を防ぐために、侵入経路と考えられるネットワークの遮断及びターミナルサーバのシャットダウンを行いました。

6月14日   
外部専門機関の調査により、第三者によるターミナルサーバから当社の社内ファイルサーバ等への不正アクセスの痕跡を発見しました。

6月16日   
不正アクセスされた可能性のあるファイルの内容について調査した結果、お取引先様、従業員等の個人情報が含まれていることが判明しました。

6月20日   
個人情報保護委員会及びプライバシーマークの審査機関に対して、個人情報の漏えいの可能性について速報を実施いたしました。

7月5日     
外部専門機関による調査の結果、不正アクセスされたファイルが持ち出された可能性が高いことが判明いたしました。

現在も、外部専門機関の協力のもと、侵害範囲・状況等の調査を継続しております。

■漏えいした可能性がある個人情報(7月21日現在)

1.お取引先様の個人情報:76人

氏名・電話番号・FAX番号・メールアドレス・社員番号・所属・役職・所属先住所

2.当社及び当社グループの社員(退職者を含みます)並びに関係者の個人情報:1,375人

氏名・電話番号・メールアドレス・社員番号・所属・役職

なお、現時点では、二次被害の報告は受けておらず、二次被害のおそれは限定的と考えております。

■原因と現在の状況

外部専門機関によるフォレンジック調査の結果、不正アクセスの原因は、悪意ある第三者が、当社子会社の従業員になりすまし、子会社のネットワークを経由して当社の社内サーバにログインしたことに因るものであることが判明いたしました。なりすましログインがなされた原因、攻撃手法および未判明の事実の有無等については引き続き調査を行っております。

なお、6月8日に侵入経路と考えられるネットワークの遮断及びターミナルサーバのシャットダウンを実施して以降、不正アクセスは確認されておりません。

■公表までの経緯について

2023年6月14日に当社の社内ファイルサーバへの不正アクセスの痕跡を発見してから今回の公表に至るまで、外部専門機関によるフォレンジック等の調査にて、影響の範囲を確定させるまでに時間を要しました。なお、関係省庁・関係機関には適宜状況の報告を行っております。

当社といたしましては、今回の事態を重く受け止め、引き続き不正アクセスに対する情報セキュリティ対策のさらなる強化に努めてまいります。

関係者の皆さまには、多大なご迷惑およびご心配をお掛けすることとなり、誠に申し訳ございません。重ねて心よりお詫び申し上げます。