【セキュリティ事件簿#2023-294】宇部市教育ネットワーク内における個人情報の漏洩について 2023年8月4日

1　事案の概要

宇部市教育ネットワーク内におけるグループウェア（Microsoft　Teams）の利用において、プライバシー設定の誤りにより、小学校児童の個人情報の一部が漏洩したことが判明しました。

なお、本事案については、宇部市教育ネットワーク内における情報漏洩であり、閲覧は、小中学校の児童生徒及び教職員用端末に限定されます。

2　事案が判明した経緯

8月2日（水曜日）、児童が持ち帰った1人1台端末でグループ内の情報を閲覧した保護者からの通報により判明。

3　事案発生の原因

教職員がグループを作成する際に、プライバシー設定を誤って「パブリック（公開）」としたことにより、363グループ中5グループについて、グループ外のネットワーク利用者も閲覧可能となっていた。

4　漏洩した（閲覧が可能であった）児童の個人情報

小学校1校（1グループのみ）

• 指導資料（学級・氏名のイニシャル〈1文字〉・生活の様子）
• 班別名簿（111名の氏名）

5　事案発覚後の対応

閲覧可能であった5グループについて、設定変更または削除により対応

6　再発防止策

• グループ作成時の「プライベート（非公開）」設定など、個人情報の適切な管理について、教職員に再度、周知・徹底を図る。
• 教育委員会が定期的に設定状況を確認する。

7　教育長のコメント

このたび、教育ネットワークにおけるグループ作成時の誤設定により、個人情報の漏洩が発生し、該当校の児童や保護者をはじめ、市民の皆様に御心配をおかけしたことに対して、深くお詫び申し上げます。

教育委員会としましては、電子情報及び個人情報の取り扱いについて、より一層の指導の徹底を図り、教育行政及び学校教育の信頼回復に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-215】コクヨ株式会社 （開示事項の経過）当社グループ情報システムに対する外部攻撃について 2023年8月7日

2023年6月8日付「当社グループ情報システムに対する外部攻撃について」にて開示いたしましたとおり、このたび、当社グループの一部情報システムに対する外部攻撃（以下「本件」といいます。）が発生しました。

今般、外部調査機関による調査を実施し、当該調査結果等に基づき個人情報保護委員会に確報を提出いたしましたので、本件の概要等につきまして、下記のとおりお知らせいたします。

なお、本件とは別に、当社が利用する人事システムのベンダーがランサムウェア攻撃を受けました。現時点では個人情報の流出は確認されておらず、また当社グループの事業運営への影響は限定的であり、当社グループの業績への影響も軽微と見込まれています。

１.本件の概要等

2023年6月5日、当社グループのサーバに対して侵害活動が行われていたことが確認されました。本件は何者かが当社の海外現地法人側の当社グループのネットワークに侵入したことにより発生したと考えられます。その後、攻撃者は、ランサムウェアを作成及び実行することにより、データを暗号化したものと考えられます。

現時点では、本件によって当社が保有する個人情報を含む各種情報が外部へ流出した事実や、攻撃者による当社情報の公開は確認されておりません。また、ネットワークログに記録されている外部転送関連のデータ通信量が僅かであったため、外部調査機関からはデータが外部へ漏洩した可能性は極めて低いと考えられるとの報告を受けております。

２.今後の対応

上記１．記載のとおり、現時点で当社グループが保有する個人データが外部へ漏洩した可能性は極めて低いと考えられ、現時点で、本件に起因する個人情報の不正利用等の二次被害に関する報告は受けておりませんが、一方で約186万件の個人データは漏洩の可能性を完全には否定することが困難な状況となっております。したがって、該当の方に対しては本日以降順次ご通知申し上げる予定です。

当社グループでは、これまでも当社グループの情報システムへの不正アクセスを防止するための措置を講じるとともに情報の適切な管理に努めてまいりましたが、このたびの事態を真摯に受け止め、外部の専門家と検討の上、今後も継続的に強化してまいります。

関係者の皆様には多大なご迷惑とご心配をおかけする事態となりましたことを深くお詫び申し上げます。

なお、本件による業績予想の変更はありません。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-293】株式会社ダイセル 当社グループ タイ法人におけるランサムウェア被害の発生について 2023年7月14日

株式会社ダイセルは、当社グループのDaicel Safety Systems (Thailand) Co., Ltd. (DSST) の一部サーバーにおいてランサムウェア被害が発生したことを2023年7月4日に確認しましたのでお知らせいたします。

本件認識後、当該サーバーは即時隔離を実施した上で、被害拡大防止のための対策を講じております。また、外部専門家の協力のもと調査を開始するとともに、システムの保護と復旧に向けて作業を進めております。

現時点で外部への情報流出については確認されておりませんが、今後新たにお知らせすべき重要事項が判明した場合は、適切に対応させていただきます。

お客様・お取引様をはじめとする関係者の皆さまにはご心配をお掛けすることとなり、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-292】グローリー株式会社 当社グループのサーバへの不正アクセス発生について 2023 年７月５日

当社は、2023 年７月５日付で、当社グループが管理するサーバが第三者による不正アクセスを受け、一部の情報が漏洩したことを確認しました。

詳細に関しては調査中ですが、当社としては、外部の専門機関を起用した調査をさらに進め、開示すべき内容が判明した場合には、速やかにお知らせいたします。

なお、当社グループにおいては、本件の確認後、速やかに関係機関への報告を行うとともに、インターネットへの接続を遮断するなど被害の拡大を防止するための対策を実施しております。

関係者の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申しあげます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-291】国⽴研究開発法⼈産業技術総合研究所 情報漏えい事案の概要について ２０２３年７⽉５⽇

弊所材料・化学領域 触媒化学融合研究センター 元研究職員が、過去に秘密情報を持ち出していたことにより、不正競争防⽌法違反の容疑で逮捕・起訴されました。

弊所は、おおよそ 1 年前に本件情報漏えい事案を把握し、捜査当局に相談しつつ捜査に協⼒してまいりました。同時に、組織体制、ルール、システム上の強化策を積み重ねてきたところです。

なお、情報漏えいに加え、当該元職員が就業規則に反して、⼿続きなしに所外にて複数の兼業を⾏っていた事実も所として把握しております。 

リリース文（アーカイブ）

【セキュリティ事件簿#2023-290】大和インベスター・リレーションズ株式会社 会員様情報の流出について 2023 年 8 月 3 日

今般、大和インベスター・リレーションズ株式会社（以下、「当社」）が提供しているニュース・リリース自動配信「TD-COM サービス」において、当社の外部委託先によるシステム更改中の作業ミスによりメールが誤送信され、その結果、会員様の情報が漏えいしていることが判明いたしました。関係者の皆様に多大なるご迷惑とご心配をお掛けしておりますことを、深くお詫び申し上げます。

1.流出の概要

• TD-COM サービスにご登録いただいている会員様のうち、2,849 名分の情報が漏えいいたしました。
• 当該 2,849 名の会員様に対して送付したメールにつき、複数のアドレスを宛先（to）に含めて送付してしまった結果、今回の情報漏えいに至りました。

2.流出した情報の内容

• 2022 年 8 月 5 日（金）時点の会員様の氏名・メールアドレス・モニター会員番号

以上のような事態を踏まえ、当該会員様には順次、お詫びと事実関係のご連絡を行っております。

今回の事態を真摯に受け止め、原因究明を含めた外部委託先の調査を行うとともに、再発防止に向けてさらなる会員様情報の管理態勢の強化・徹底に努めて参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-289】内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について 2023年8月4日

今般、内閣サイバーセキュリティセンター（NISC）の電子メール関連システムに対し、不正通信があり、個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明しました。

これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されています。

NISCにおける本事案の経緯及び講じた措置は以下のとおりです。

• ６月13日　電子メール関連システムに係る不正通信の痕跡を発見。
• ６月14～15日　当該システムの状況を確認するため、速やかに運用を停止。不正通信の原因と疑われる機器を交換するとともに、他の機器等に異常がないことの確認や、内部監視の強化等の対策を実施の上で、当該システムを再稼働。
• ６月21日　保守運用事業者の調査により、不正通信が当該機器の脆弱性を原因とするものであることを示す証跡を発見（本事案について個人情報保護委員会に報告）。

これを受けて、外部専門機関等による調査を行った結果、現時点までに、NISCが令和４年10月上旬から令和５年６月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明したところです。

NISCにおいては、本事案により、メールアドレス等の個人情報が漏えいした可能性を排除できない方に対して個別に通知するとともに、事案の公表を行うこととしたところです。関係者の皆様には、ご迷惑をおかけすることになり、お詫び申し上げます。

なお、現時点で、具体的な個人情報の漏えい等は不明であり、個人情報の悪用等の被害は確認されていませんが、今後NISCを装った不審なメールが送付される等の可能性は否定できませんので、ご注意ください。

NISCでは、引き続きセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層の状況把握に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-288】気象庁及び気象研究所のメール関連機器に対する不正通信の発生について 2023年8月4日

気象庁及び気象研究所がそれぞれ使用しているメール関連機器に対して、 メーカーにおいてこれまで確認できていなかったシステムの脆弱性を狙った不正通信があったことが判明しました。 これは、国外においても確認されているメール関連機器の脆弱性を原因とするものであると考えられます。

気象庁及び気象研究所は、当該機器をセキュリティ対策を強化した機器に全て交換するなどの対策を講じてきたところですが、 令和４年６月上旬から令和５年５月下旬までに気象庁（気象研究所を含む全国の気象官署）にお送りいただいたメールのうち、 一部のデータが外部に流出した可能性があります。

お送りいただいたメールデータが外部に流出した可能性があると判明した方には、順次個別にご通知いたします。 関係者の皆様におかれましては、ご迷惑をおかけすることとなり、お詫び申し上げます。

ご通知に際し、個人情報をお伺いしたり、ウェブサイト（URL）へのアクセスをお願いしたりすることはありません。 気象庁からの連絡を装ったメールや電話等にご注意ください。

本件に関して、ご心配な点やご質問がございましたら以下のお問合せ先までご連絡くださいますようお願いいたします。

リリース文（アーカイブ）