|
大規模言語モデルアプリケーションのためのOWASP TOP 10リリース
【セキュリティ事件簿#2023-322】帝京平成大学 キャリアカウンセリングにおける個人情報の不適切な取り扱いに関わるお詫びならびにご報告 2023年8月18日
去る2023年8月7日にホームページにて公表のとおり、本学がキャリアカウンセリングを委託する株式会社東京海上日動キャリアサービス(以下、「TCS」)において個人情報管理における不適切な取り扱いが発覚し、調査と対応を進めております。
皆様に多大なご心配、ご迷惑をおかけしておりますことを心からお詫び申し上げます。今回のような事態を招いた事実を厳粛に受け止め、再発防止に全力で取り組んで参ります。
本件に関わる事実関係等につきまして、以下の通りご報告いたします。
1.本件に関わる事実関係
本学千葉キャンパス就職支援室にて学生のキャリアカウンセリングを実施するTCSのキャリアカウンセラー1名が、キャリアカウンセリング面談時の手書きメモの一部を自宅へ持ち帰り、手書きメモの裏面を再利用して自宅外に持ち出したものを飲食店に遺失しました。これを拾得された第三者から、2023年8月3日に本学へご連絡を頂いたことにより判明したものです。
このことを受け、本学およびTCSにて、実際に外部流出した手書きメモおよび流出の可能性のある手書きメモを特定し、漏えいを確認された方、漏えいした可能性のある方への書面でのご連絡を2023年8月17日より順次行っております。
なお本学、TCSそれぞれで本件につき個人情報保護委員会へ報告をしております。
2.調査結果の概要
本学千葉キャンパスにおいて、当該キャリアカウンセラーによるキャリアカウンセリングは、2018年4月19日から2023年7月20日までの期間行われ、面談者の一部の手書きメモが外部に持ち出されたこと、もしくは持ち出された可能性があることが確認されました。なお、当該キャリアカウンセラーによるキャリアカウンセリングは、2023年7月20日をもって終了しております。
(1)個人情報の概要(注1)
- 氏名(の一部)、学籍番号(の一部)、携帯電話番号等の情報
- キャリアカウンセリング面談日、志望先、採用面接の状況、応募シートの添削内容等のキャリアカウンセリングに関わる情報
(2)対象者数
- 外部に持ち出され、実際に第三者が取得したことが確認されたもの:12名
- 2023年8月17日までの時点で本学において手書きメモの現物が確認できないもの:807名(注2)
(注1)面談によって記載のなかった情報もあります。
(注2)これには手書きメモをとっていない面談も含まれます。
現時点では、第三者に取得された情報を悪用等された事実は、本学およびTCSでは確認されておりません。改めまして、ご自分の就職のご相談にいらして頂いた学生・卒業生の皆様、ご家族の皆様、本拾得物をご提供頂いた方、ならびに本件により図らずもご迷惑を被られた方々に心よりお詫び申し上げます。
3.今後の対応
実際に面談記録が外部流出し漏えいの確認された方、漏えいの可能性のある方へ、本件の事実経緯、ご本人の漏えいもしくは漏えい可能性のある個人情報の内容、万一、ご不安やご不明な点がある場合のお問い合わせ窓口の連絡先について、書面でのご連絡を2023年8月17日より順次行っております。
4.再発防止策
(1)全キャリアカウンセラーに対し、個人情報の研修を8月中に実施し、情報管理の重要性について改めて意識の徹底を図ります。
(2)キャリアカウンセリング面談時の手書きメモは、面談を終えたら即時システム入力し、当日中に裁断廃棄することをダブルチェックいたします。
(3)本学、TCS双方でキャリアカウンセリング業務の流れについて定期的にチェックを実施いたします。
(4)面談記録に関わる管理プロセスの見直しによる、情報のトレーサビリティを含む管理の強化や、これに関する定期的なモニタリングを実施して参ります。
本学、TCSともに、今回のような事態を招いた事実を厳粛に受け止め、再発防止に全力で取り組んで参ります。
【セキュリティ事件簿#2023-321】株式会社たん熊北店 弊社が運営する「たん熊北店 オンラインストア」への不正アクセスによる お客様情報漏えいに関するお詫びとお知らせ 2023年8月14日
このたび、弊社が運営する「たん熊北店 オンラインストア」(https://www.tankumakita.jp/shopping/。以下「本件サイト」といいます。)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等(1,123件)及び個人情報(最大6,907件)が漏えいした可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、クレジットカード情報等及び個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
※本件に関しまして弊社と別会社である「京料理 本家たん熊」様は一切関係ございません。本件に関する一切のお問合せは末尾記載の「株式会社たん熊北店 お客様相談窓口」にお願い申し上げます。
1.経緯
2023年2月21日、決済代行会社から、本件サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、同日、本件サイトでのカード決済を停止いたしました。
また、第三者調査機関による調査も開始いたしました。2023年5月19日、調査機関による調査が完了し、2021年2月22日~2023年2月10日の期間に本件サイトで購入されたお客様のクレジットカード情報等が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があること、また、2023年2月13日までに本件サイトにおいて会員登録又は商品の購入をされたお客様の個人情報が漏えいした可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2.クレジットカード情報等及び個人情報漏えい状況
(1)原因
弊社ではクレジットカード情報を保有しておりませんでしたが、本件サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われました。
(2)クレジットカード情報等漏えいの可能性があるお客様
2021年2月22日~2023年2月10日の期間中に本件サイトにてクレジットカード決済をされたお客様1,123名で、漏えいした可能性のある情報は以下のとおりです。なお、弊社の店舗及び本件サイト以外の通販サイトにおいて、弊社の商品をご購入されたお客様は対象外となります。
- カード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
- メールアドレス(本件サイトのログインID)
- 本件サイトのログインパスワード
(3)個人情報漏えいの可能性があるお客様
①2023年2月13日までに本件サイトにて会員登録をされたお客様1,980名で、漏えいした可能性のある情報は以下のとおりです。
- 氏名
- 住所
- 電話番号
- メールアドレス
- 本件サイトのログインパスワード
- 性別(※)
- 誕生日(※)
- FAX番号(※)
(※)会員登録時に当該情報を入力されたお客様のみが対象です。
②2023年2月13日までに本件サイトにて商品の購入をされたお客様3,452名で、漏えいした可能性のある情報は以下のとおりです。
- 氏名
- 住所
- 電話番号
- メールアドレス
- お届け先情報
- 性別(※)
- 誕生日(※)
- FAX番号(※)
(※)本件サイトでの商品ご購入時に当該情報を入力されたお客様のみが対象です。
③上記②の商品購入においてお届け先として指定された商品ご購入者以外のお客様1,475名で、漏えいした可能性のある情報は以下のとおりです。
- 氏名
- 住所
- 電話番号
上記⑵⑶に該当するお客様につきましては、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。
3.お客様へのお願い
(1) クレジットカード不正利用のご確認のお願い
既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。なお、上記2.⑵の対象となるお客様がクレジットカードの差替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
(2) ログインパスワードの再設定及び他のサイトにおけるログインID・パスワード変更のお願い
弊社では、新システムへの移行に伴いパスワードリセットを実施しております。2023年2月12日以前に本件サイトにて会員登録をされたお客様で、まだパスワードの再設定がお済みでないお客様におかれましては、たいへんお手数ですが、新システムに移行した弊社ウェブサイト(「たん熊北店 オンラインストア」)内の「パスワードの再発行」のページ(https://www.tankumakita.jp/shopping/forgot)より、本件サイトのログインパスワードを再設定していただきますようお願い申し上げます。また、他のサイトで本件サイトと同一の値のログインID・パスワードを使用されている場合には、念のため、当該他のサイトにおいてもログインID・パスワード変更のお手続をしていただきますよう、併せてお願い申し上げます。
(3) 不審なメール及び電話への注意喚起
身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。
4.公表が遅れた経緯について
2023年2月21日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
不正アクセスが認められた旧システムは、既に運用を停止し、現在は新システムに移行しておりますが、新システムにおけるクレジットカード決済の再開日など今後につきましては、決定次第、改めて弊社ウェブサイト(「たん熊北店 オンラインストア」)上にてお知らせいたします。
なお、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月21日に報告済みであり、また、所轄警察署にも調査結果を踏まえて2023年6月2日に被害申告しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2023-320】株式会社HUGE 不正アクセスによる個人情報流出に関するお詫びとご報告について 2023年8月21日
2023年8月6日(日)、当社が管理運用する顧客管理システム「The HUGE CLUB(以下THCという)」に対する不正アクセスにより、一部のお客様の個人情報(氏名・電話番号・メールアドレス・生年月日・性別・予約履歴・ポイント履歴)が外部流出した可能性を否定できないことが判明いたしました。今回の情報にクレジットカード情報は含まれておりません。二次被害や更なる被害の拡大を防ぐため、所轄警察署や有識者の意見を参考にしながら、早期に謝罪及びご報告をするタイミングを見計らい、本日の公表とさせていただきました。お客様をはじめ多くの関係先の皆様に多大なご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。
1.本件の概要
① 発生
8月6日早朝、当社が管理運用するTHCサーバに障害が発生し原因を調べたところ、第三者による不正アクセスの痕跡を発見いたしました。この影響によりTHCにおいて予約ができないなどの障害が発生いたしました。当社ではさらなる拡大を防ぐため、直ちにアクセスキーの無効化を行い、8月7日に対策本部を立上げ、不正アクセスを受けたサーバの範囲と状況・原因等の調査、復旧の検討を開始いたしました。
② 調査の経緯
初期調査段階で、THCサーバへの不正な侵入と内部の一部データが削除されていることを確認いたしました。また侵入されたサーバには一部のお客様情報を保管するファイルが含まれており、その情報が削除されていることが分かりました。
お客様の個人情報が外部に持ち出された可能性につきまして、現在本件に関わる個人情報の不正利用等は確認されておりません。しかしながら流出の可能性を完全に否定することは難しく、今後も引き続き調査を継続して参ります。
2. 漏えい等が発生したおそれがある個人データの項目
① 対象
2021年6月15日から2022年9月19日の間に「The HUGE CLUB」をご登録いただいたお客様 96,938人
② 情報
氏名、電話番号、メールアドレス、生年月日、性別、予約履歴、ポイント履歴
尚、クレジットカード情報は含まれておりません。
3.原因
外部専門家の見解を含めて総合的に検証した結果、侵入経路はTHCと連携する現在開発中のECサイトからTHCサーバへのアクセス情報の一部が盗まれ、THCサーバへ侵入された可能性が高いものと考えております。
4.二次被害又はそのおそれの有無及びその内容
外部専門家への相談も含めて現在調査中です。
今後、HUGEの名前を騙った電子メールでの詐欺に注意をしていただき、アドレス末尾のドメインがhuge.co.jpであることを確認していただく、 メール記載のURLにアクセスをしない、添付ファイルは開かない等について、ご注意いただけますようお願い申し上げます。
お客様へのご対応について
本事案の対象となるお客様には、8月10日(木)にメールにてお詫びと経緯のご報告をさせていただきました。今後のご報告につきましても、準備が整い次第、順次個別にご連絡をさせていただきます。
【セキュリティ事件簿#2023-319】日置市 懲戒処分の公表 2023年8月4日
事案
1 件 名 コンピュータの不適正使用
2 処分日 令和5年8月4日(金)
3 処分者
(1) 教育委員会 主査 ( 36歳)
ア 概要
当該職員は、業務用パソコンから他の職員のIDとパスワードを推測し、 令和5年1月1日から4月 21日までの間に、 61人、延べ697回にわたり不正ログインを行い、メール等の閲覧を行った。また、人事評価記録書等の電子データを自身の業務用パソコンに保存した。イ 処 分
職 名 等 処分内容 期 間 備 考 教育委員会 主査 減給( 1/10) 3月 8月4日付け
(2) 教育委員会 課長補佐 ( 58歳)ア 概要当該職員は、業務用パソコンから他の職員のIDとパスワードを推測し、令和5年1月1日から4月 21日までの間に、 14人、延べ 38回にわたり不正ログインを行い、メール等の閲覧を行った。また、職員の給与明細の閲覧を行った。イ 処分
(3) 産業建設部 主事補 ( 23歳)ア 概要当該職員は、業務用パソコンから他の職員のIDとパスワードを推測し、令和5年1月1日から4月 21日までの間に、 37人、延べ232回にわたり不正ログインを行い、メール等の閲覧を行った。イ 処分
(4) 管理監督責任(当時含む)所属長を厳重注意(8月4日付け)
【市長・教育長コメント】
コンピュータの不適正使用を行い、本市行政の信頼を大きく損ねたことを市民の皆様に深くお詫び申し上げます。
今後は、職員一人ひとりがより一層のコンプライアンスの徹底を図るため、情報セキュリティ研修を実施するとともに、再発防止と市民の皆様への信頼回復に職員一丸となって取り組んでまいります。
【セキュリティ事件簿#2023-318】日本学術振興会が利用しているファイル転送サービス(Proself) への不正アクセスについて 2023年8月9日
平素より、本会への御理解、御協力をいただき誠にありがとうございます。
今般、独立行政法人日本学術振興会がファイル転送サービスとして利用していたサービス(Proself)について、不正アクセスが行われたことが判明しました。これは、去る 7 月20 日に発表された Proself の脆弱性を原因とするものであると考えられます。
これを受けて、サービス開発業者による調査を行った結果、Proself に保存されている情報の流出や不正アップロードが行われた痕跡は確認されていません。また、現在までのところ、今回の不正アクセスに起因すると思われる被害(二次被害を含む)は確認されていませ
ん。
なお、7 月 31 日において脆弱性が解消された Proself を新たな別サーバに再インストールし、運用を再開しております。
関係する皆様には御心配をおかけすることになり、お詫び申し上げます。日本学術振興会では、今後とも関係機関等とも連携しながら、引き続きセキュリティ対策の強化に努めてまいります。
今回の事案の経緯及び講じた措置は以下のとおりです。
| 7 月 27 日 | 本会利用のサービスに不正アクセスが行われた旨、サービス開発業者から報告あり。当該サービスを停止。 |
| 7 月 28 日 | 新サーバへのデータ移行を実施。すべての保存ファイルにウイルススキャンを開始。 |
| 7 月 29 日 | すべての保存ファイルにウイルス感染がなかったことを確認。 |
| 7 月 31 日 | 脆弱性が解消された Proself を新たな別サーバに再インストール。運用を再開。 |
| 8 月 7 日 | Proself に保存されている情報の流出や不正アップロードが行われた痕跡は確認されていないことをサービス開発業者から報告。 |
【セキュリティ事件簿#2023-317】ザボディショップ 購入ポイント付与等サービスの一時停止に関するお詫びとお知らせ
平素よりザボディショップをご愛顧いただき、誠にありがとうございます。
本年7月18日以降、ランサムウェアによる不正アクセスを受けたことにより当社のシステム障害が発生しております。
これに伴い 各種サービスの提供に支障が生じております。
本事案の調査は続いておりますが、当社システムから外部にデータが流出した事実は確認されておりません。
お客様ならびに、関係各位の皆様にはご不便をおかけすることになり深くお詫び申し上げます。
・購入ポイント付与の一時停止
▷ECオンラインでご購入の場合
当社商品をオンラインでご購入いただいた際のポイント付与サービスは通常と同様にご購入品到着後約30日で付与ポイントを反映の予定です。
▷店舗でご購入の場合
店頭でご購入いただいた際のポイント付与サービスは現在一時的にご利用いただけない事象が発生しております。以下の対応を行っております 。何卒ご了承くださいますようお願い申し上げます。
(1)製品購入ポイント
後日システム復旧後の翌日に付与されます。反映までお時間をいただいておりますので、ご購入レシートを必ずお手元に保管いただきますようお願いいたします。
また、ポイント利用による購入はシステム復旧までご利用いただくことができません。近く期限が切れるポイントについては、スタッフまでお申し出ください。
(2)MOST LOVE及びシーズナルキャンペーンポイント
キャンペーンに該当するポイント付与を製品購入金額からディスカウントいたします。
▷アプリウェルカムクーポン発行の一時停止
店舗にて公式アプリ会員登録後に購入されたお客様に翌日発行されるアプリウェルカムクーポン(10%オフクーポン)は、システムが復旧次第、アプリ内にクーポンが発行されます(発行された日から30日間有効となります)。
本件に関するお問い合わせにつきましては、以下に記載いたしますお客様相談室までご連絡いただきますようお願い申し上げます。
【セキュリティ事件簿#2023-316】埼玉県 部活動体験参加申込者の個人情報の誤掲載について 2023年8月9日
県立川越南高等学校において、部活動体験の参加申込フォームで申込者の個人情報が他の申込者から閲覧できる状態になる事故が発生しました。
なお、現在のところ、第三者による不正使用等の事実は確認されていません。
1 事故の概要
県立川越南高等学校の職員が中学生向けの部活動体験の参加申込フォームを作成した際、Googleフォームの「結果の概要を表示する」機能を誤って有効に設定した。
令和5年6月15日(木曜日)、同申込フォームに参加者から申し込みが始まる。
8月8日(火曜日)、申し込みをした中学生の保護者から学校に指摘があり、管理職に報告され、事故が発覚した。
2 個人情報の内容
申込者67名分の生徒氏名、在籍中学校、生年月日、電話番号
3 学校の対応
8月8日(火曜日) 事故発覚後、参加申込フォームから個人情報を閲覧できないように設定した。
8月9日(水曜日) 申し込みをした生徒及び保護者に対し、事故について報告するとともに謝罪をした。
4 再発防止策
今後、校長会議等を通じて、改めて全県立学校において個人情報の適正な管理を徹底するよう指示する。
登録:
投稿 (Atom)