【セキュリティ事件簿#2023-325】日本ゼオン株式会社 不正アクセス発生による個人情報流出可能性のお知らせとお詫び 2023年8月23日

この度、当社サーバー機器に対して、外部の攻撃者による不正アクセスが発生し、当社が管理している個人情報の一部が外部へ流出した可能性があることが判明いたしました。現時点において、個人情報の不正利用などの事実は確認されておりませんが、関係者の皆さまに多大なご迷惑、ご心配をお掛けすることになり、誠に申し訳ございません。心よりお詫び申し上げます。

【本件の概要】

2023 年 8 月 16 日、当社および当社グループ会社が利用しているサーバー機器に対する外部からの攻撃を検知しました。このため、当社は直ちにサーバー機器の保守ベンダーと連絡を取り、ネットワークからの切り離しなど必要な対策を同日中に実施しました。

その後のセキュリティ専門ベンダーとの調査にて、当社アカウント管理システム（ディレクトリサーバー）への不正アクセスの形跡が確認され、個人情報の一部が外部へ流出した可能性があることが判明いたしました。なお、当システム以外のサーバーに対する不正アクセスによる情報流出は現時点で確認されておりません。今後、新たにご報告すべき事象が判明した場合は、ホームページ上でお知らせいたします。

【外部に流出した可能性がある個人情報の内容】 （下記（1）～（2）の合計 13,434 件）

（１）当社が管理しているグループアドレスに登録されているお客様・取引先様の情報（8,236 件）

・お客様・取引先様ドメインのメールアドレスおよび氏名

※当社アカウント管理システム（ディレクトリサーバー）にはお客様・取引先様ドメインのメールアドレスおよび氏名のみが登録されておりますので、それ以外の情報が外部流出した可能性はありません。

（２）当社および当社グループ会社の社員および協力会社社員などのアカウント情報（5,198 件）

・当社および当社グループ各社が発行したユーザーID

・当社および当社グループ各社が発行したメールアドレス

・名前（漢字）

・名前（ローマ字）

・会社名

・部署名

・組織コード

・社員番号

・電話番号

これらの個人情報を悪用し、スパムメール、フィッシング詐欺メール等が送付される可能性があります。不審なメールやコンタクトを受け取られた場合、慎重にご対応くださいますようお願いいたします。

【当社の対応】

（1）当社ホームページでの公表

2023 年 8 月 23 日に本件を当社ホームページの「お知らせ」ページにて公表いたしました。

（2）行政機関への報告

2023 年 8 月 22 日に個人情報保護委員会に報告いたしました。

当社では今回の事態を重く受け止め、外部専門機関の協力も得て原因究明を進めるとともに、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-324】ホテル京阪 淀屋橋 不正アクセスについてのお詫びとお知らせ 2023年8月10日

今般、ホテル京阪 淀屋橋におきまして、利用するBooking.com社（本社：オランダ、アムステルダム）の宿泊予約情報管理システムが不正アクセスを受け、同社経由で当ホテルをご予約いただきました一部のお客さまに対し、フィッシングサイト（不正な手法を用いて個人情報や経済的価値のある情報を搾取する偽のＷＥＢサイト）へ誘導するメッセージが配信されたことを確認いたしました。

現在のところ、お客さまの個人情報の流出については確認が取れておらず、詳細につきましても調査中でございますが、お客さまには多大なるご迷惑とご心配をおかけしておりますこと、深くお詫びを申し上げます。

また、お客さまにおかれましては、そのようなメッセージを受信された場合、貼付されたＵＲＬリンクへアクセスされませんよう、お願い申し上げます。

不正アクセスの原因等につきましては、当社および関係機関において現在も調査中でございます。引き続き原因調査を進め、必要な対策を講じることで再発防止に万全を期してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-323】上條器械店 当社サーバへの不正アクセスに関するご報告とお詫び 2023年8月18日

日頃、ご愛顧賜りまして誠にありがとうございます。

2023年6月19日にご報告いたしましたとおり、このたび、当社において業務上使用するサーバに対して、第三者による不正アクセス攻撃を受けました（以下「本件」といいます。）。

お客様をはじめ関係者の皆様には深くお詫びを申し上げますとともに、今般、第三者調査機関による調査が完了いたしましたので、本件の概要等につきまして、下記のとおりご報告いたします。

なお、既に当社サーバは復旧しており、現時点では業務への影響はございませんことを併せてご報告させていただきます。

2023年6月19日の発表については、こちらをご確認ください。

1．本件の概要等

2023年6月14日、業務システムへのアクセス障害が確認されたため、調査を行った結果、一部の業務システムの起動ファイルが暗号化されており、ランサムウェアに感染した可能性を確認しました。当該サーバをネットワークから隔離するなどの被害拡大防止策を講じた上で、速やかに第三者調査機関に調査を依頼しました。その後、2023年6月29日、第三者調査機関による調査が完了し、その結果、本件について、 2023年6月12日午前2時頃に当社ネットワークへの不正アクセスが行われたのち、同月14日午前3時頃より、サーバに記録されていたデータがランサムウェアにより暗号化され、使用できない状況となったことを確認いたしました。

第三者調査機関からは、個人データを外部に送信したことを示す明確な痕跡は見つかっていないものの、当社が保有していた一部のお客様の個人データの漏えいの可能性は否定できない旨の報告を受けております。

なお、当社は本件につきまして、個人情報保護委員会に報告済みでございます。また、警察にも被害申告しており、今後捜査にも全面的に協力してまいります。

2．関係者の皆様へのお詫びと本件に関するお問い合わせ窓口

お客様をはじめ、関係者の皆様には多大なご迷惑およびご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

個人データが暗号化され、かつ漏えいした可能性が否定できないお客様には、お詫びとお知らせ（暗号化され、かつ漏えいの可能性が否定できないデータ項目 を記載したもの）を個別に順次ご連絡申し上げます。

また、本件に関するお問い合わせにつきましては、専用の問い合わせ窓口を設置しております。ご質問やご心配なことがございましたら、以下のお問い合わせ窓口までご連絡いただきますようお願い申し上げます。

当社では、これまでもサーバ・コンピュータへの不正アクセスを防止するための措置を講じるとともに情報の適切な管理に努めてまいりましたが、このたびの事態を厳粛に受け止め、外部の専門家と検討の上、既に種々の再発防止策を整備しており、今後も随時改善を図る予定でございます。

リリース文（アーカイブ）

大規模言語モデルアプリケーションのためのOWASP TOP 10リリース

OWASP (Open Web Applications Security Project)は、アプリケーション・セキュリティのリスク、脆弱性、影響、緩和策につい て、長年にわたって取り組んできたコミュニティ・プロジェクトです。もともとはウェブ・アプリケーションでしたが、あらゆる技術やプラットフォームが統合されるにつれて、APIの世界、モバイル・アプリの世界、あるいは、今日のトピックのように、ChatGPTの登場によって今日流行しているLLM（大規模言語モデル）をベースとしたアプリケーションへとその活動を広げてきました。 OWASP TOP 10 for Large Language Model Applications v_0.1 LLMのような人工知能モデルに基づくアプリケーションで最も悪用される10の脆弱性です。これは一見の価値があります。 OWASP Top 10 List for LLMs version 0.1 LLM01:2023 - Prompt Injections その1は、もちろん、プロンプト・インジェクションのテクニックで、モデル・ビルダーが望まない反応をさせるために、モデルに課された制限を迂回し、望まないアクションを生成させたり、プライベートなデータを漏えいさせたりすることに重点を置いています。その例として、私がChatGPTにアメリカ合衆国大統領を殺すアイデアを求めていたとき、彼はそれを私に与えようとはしませんでした...最初は。 Si le presionas un poco... te da todas sus ideas para matar a POTUS 結局のところ、LLMにはリレーショナルデータベースに例えられる知識データベースが含まれています。このデータにはアクセス制限がありますが、プロンプト・インジェクションのテクニックはこれらの制限をバイパスし、LLMの知識データベースのアクセスすべきでない部分にアクセスします。プロンプト・インジェクションは、私たちが愛するSQLインジェクションのテクニックに相当しますが、LLMの世界でのテクニックです。 LLM02:2023 - Data Leakage 意図しないデータ漏洩。LLMは訓練され、知らず知らずのうちに機密情報、専有データ、あるいは漏らしてはいけない情報を漏らしています。これは、元のデータセットで使用された機密性の高いデータを推論して再構築することで、LLMがどの程度漏れるかを測定した学術論文の記事を書いた際に話したことだ。 Proceso de reconstrucción e inferencia de PII en LLMs LLM03:2023 - Inadequate Sandboxing LLM は外部リソース、サードパーティのデータソース、インターネット、あるいは保護された API への呼び出しに接続されるかもしれません。外部リソースへの接続へのアクセスがうまく区分けされていない場合、誰かが LLM に、あるいは LLM を通して望まないアクションを実行させることが可能です。例えば、攻撃者はどのプロンプトがリソースへの訪問やAPIやサービスコールの消費を操作するインターネット検索を生成するかを知ることができ、それを利用して自分に有利になるようにすることができます。 OWASP Top 10 List for LLMs version 0.1 LLM04:2023 - Unauthorized Code Execution 前のケースと似ていますが、この場合LLMはAPIやシェルコマンドコールなど、コマンドを実行できるシステムに接続されています。例えば、システムコールを使ってリソースを検索する LLM があり、攻撃者はプロンプトを使ってその LLM をだまし、システム上で悪意のあるアクションを実行する不要なコマンドを実行させることができます。ファイル->fake.doc "を探すようにLLMに指示することもできます。 LLM05:2023 - SSRF Vulnerabilities もちろん、APIコールを実行できるのであれば、LLMバックエンドからDMZバックエンドへのSQLインジェクションは可能です。あるいはポートやサービスのスキャン、あるいは LLM を使って接続文字列パラメータのポリューションを実行することもできます。もしLLMが最終的にネットワーク上のAPI経由でHTTP呼び出しに接続されるなら、プロンプトを操作してこのような攻撃を行うことができます。 LLM06:2023 - Overreliance on LLM-generated Content この欠陥は、部分的な、不正確な、あるいは不正確なデータで訓練されたLLMが持つ意味、そしてこの脆弱性を持つLLMをベースとしたビジネスアプリケーションに依存している組織に与える影響を物語っています。その影響は、修正するはずだったパラメータに大きな影響を与える可能性があります。 LLM07:2023 - Inadequate AI Alignment この場合、私たちはLLMモデルが、解決しようとしている問題とまったく一致していないデータでトレーニングされたものを扱っています。言い換えれば、LLMに期待されている作業範囲を解決することができないデータで学習されたモデルです。 OWASP Top 10 List for LLMs version 0.1 LLM08:2023 - Insufficient Access Controls LLMが知識データベースであることを理解するならば、これらのLLMへのアクセス制御の管理は強化されなければならないことを理解しなければなりません。システム内のどのユーザーがどのLLMにアクセスできるかを知ることは、アプリケーション全体のセキュリティの重要な一部となります。強固なアクセス制御を保証するために、セキュリティ・メカニズムを適切に管理することが鍵となります。 LLM09:2023 - Improper Error Handling ウェブ・テクノロジーのハッキングの世界から来た人なら、これは心得ていることでしょう。私は長年、エラーメッセージに現れる情報について書いてきましたが、それはシステムからデータを抽出するために使うことができます。探していたファイルやサーバーの名前を教えてくれたウェブページから、探していたデータを教えてくれたODBCデータベースのエラーまで。同じように、LLMが管理するシステムからのエラーもあります。 外部リソースにアクセスし、プロンプトを操作してエラーを含むコマンドを生成し、そのエラーメッセージがLLMのレスポンスに届くことを想像してください。 LLM10:2023 - Training Data Poisoning そして最後のものは、AIの世界からのものです。それは、LLMがどのようなデータで訓練されているかを知り、偽の、誤った、あるいは意図的な情報でそれを操作することです。LLMが再訓練されると、それに依存するシステムは、訓練データの汚染された操作に基づいて攻撃者によって操作された結果を得ることになります。 さらに多くのことが起こるでしょう LLMハッキングは、ペンテストや監査、レッドチームチームの世界では大変な作業になる分野だからです。しかし、その反対もあります。フォレンジック分析、デバッグ、ブルーチームにおける要塞化、構築プロセスの監査。エキサイティングなことが目白押しです。

出典：OWASP TOP 10 for Large Language Model Applications v_0.1

【セキュリティ事件簿#2023-322】帝京平成大学 キャリアカウンセリングにおける個人情報の不適切な取り扱いに関わるお詫びならびにご報告 2023年8月18日

去る2023年8月7日にホームページにて公表のとおり、本学がキャリアカウンセリングを委託する株式会社東京海上日動キャリアサービス（以下、「TCS」）において個人情報管理における不適切な取り扱いが発覚し、調査と対応を進めております。

皆様に多大なご心配、ご迷惑をおかけしておりますことを心からお詫び申し上げます。今回のような事態を招いた事実を厳粛に受け止め、再発防止に全力で取り組んで参ります。

本件に関わる事実関係等につきまして、以下の通りご報告いたします。

1．本件に関わる事実関係

本学千葉キャンパス就職支援室にて学生のキャリアカウンセリングを実施するTCSのキャリアカウンセラー1名が、キャリアカウンセリング面談時の手書きメモの一部を自宅へ持ち帰り、手書きメモの裏面を再利用して自宅外に持ち出したものを飲食店に遺失しました。これを拾得された第三者から、2023年8月3日に本学へご連絡を頂いたことにより判明したものです。

このことを受け、本学およびTCSにて、実際に外部流出した手書きメモおよび流出の可能性のある手書きメモを特定し、漏えいを確認された方、漏えいした可能性のある方への書面でのご連絡を2023年8月17日より順次行っております。 

なお本学、TCSそれぞれで本件につき個人情報保護委員会へ報告をしております。

2．調査結果の概要

本学千葉キャンパスにおいて、当該キャリアカウンセラーによるキャリアカウンセリングは、2018年4月19日から2023年7月20日までの期間行われ、面談者の一部の手書きメモが外部に持ち出されたこと、もしくは持ち出された可能性があることが確認されました。なお、当該キャリアカウンセラーによるキャリアカウンセリングは、2023年7月20日をもって終了しております。

（1）個人情報の概要（注1）

• 氏名（の一部）、学籍番号（の一部）、携帯電話番号等の情報
• キャリアカウンセリング面談日、志望先、採用面接の状況、応募シートの添削内容等のキャリアカウンセリングに関わる情報

（2）対象者数

• 外部に持ち出され、実際に第三者が取得したことが確認されたもの：12名
• 2023年8月17日までの時点で本学において手書きメモの現物が確認できないもの：807名（注２）

（注１）面談によって記載のなかった情報もあります。

（注２）これには手書きメモをとっていない面談も含まれます。

現時点では、第三者に取得された情報を悪用等された事実は、本学およびTCSでは確認されておりません。改めまして、ご自分の就職のご相談にいらして頂いた学生・卒業生の皆様、ご家族の皆様、本拾得物をご提供頂いた方、ならびに本件により図らずもご迷惑を被られた方々に心よりお詫び申し上げます。

3．今後の対応

実際に面談記録が外部流出し漏えいの確認された方、漏えいの可能性のある方へ、本件の事実経緯、ご本人の漏えいもしくは漏えい可能性のある個人情報の内容、万一、ご不安やご不明な点がある場合のお問い合わせ窓口の連絡先について、書面でのご連絡を2023年8月17日より順次行っております。

4．再発防止策

（1）全キャリアカウンセラーに対し、個人情報の研修を8月中に実施し、情報管理の重要性について改めて意識の徹底を図ります。

（2）キャリアカウンセリング面談時の手書きメモは、面談を終えたら即時システム入力し、当日中に裁断廃棄することをダブルチェックいたします。

（3）本学、TCS双方でキャリアカウンセリング業務の流れについて定期的にチェックを実施いたします。

（4）面談記録に関わる管理プロセスの見直しによる、情報のトレーサビリティを含む管理の強化や、これに関する定期的なモニタリングを実施して参ります。

本学、TCSともに、今回のような事態を招いた事実を厳粛に受け止め、再発防止に全力で取り組んで参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-321】株式会社たん熊北店 弊社が運営する「たん熊北店 オンラインストア」への不正アクセスによる お客様情報漏えいに関するお詫びとお知らせ 2023年8月14日

このたび、弊社が運営する「たん熊北店　オンラインストア」（https://www.tankumakita.jp/shopping/。以下「本件サイト」といいます。）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等（1,123件）及び個人情報（最大6,907件）が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報等及び個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

※本件に関しまして弊社と別会社である「京料理　本家たん熊」様は一切関係ございません。本件に関する一切のお問合せは末尾記載の「株式会社たん熊北店　お客様相談窓口」にお願い申し上げます。

1．経緯

2023年2月21日、決済代行会社から、本件サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、同日、本件サイトでのカード決済を停止いたしました。

また、第三者調査機関による調査も開始いたしました。2023年5月19日、調査機関による調査が完了し、2021年2月22日～2023年2月10日の期間に本件サイトで購入されたお客様のクレジットカード情報等が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があること、また、2023年2月13日までに本件サイトにおいて会員登録又は商品の購入をされたお客様の個人情報が漏えいした可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2．クレジットカード情報等及び個人情報漏えい状況

(1)原因

弊社ではクレジットカード情報を保有しておりませんでしたが、本件サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われました。

(2)クレジットカード情報等漏えいの可能性があるお客様

2021年2月22日～2023年2月10日の期間中に本件サイトにてクレジットカード決済をされたお客様1,123名で、漏えいした可能性のある情報は以下のとおりです。なお、弊社の店舗及び本件サイト以外の通販サイトにおいて、弊社の商品をご購入されたお客様は対象外となります。

• カード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード
• メールアドレス（本件サイトのログインID）
• 本件サイトのログインパスワード

(3)個人情報漏えいの可能性があるお客様

①2023年2月13日までに本件サイトにて会員登録をされたお客様1,980名で、漏えいした可能性のある情報は以下のとおりです。

• 氏名
• 住所
• 電話番号
• メールアドレス
• 本件サイトのログインパスワード
• 性別（※）
• 誕生日（※）
• FAX番号（※）

（※）会員登録時に当該情報を入力されたお客様のみが対象です。

②2023年2月13日までに本件サイトにて商品の購入をされたお客様3,452名で、漏えいした可能性のある情報は以下のとおりです。

• 氏名
• 住所
• 電話番号
• メールアドレス
• お届け先情報
• 性別（※）
• 誕生日（※）
• FAX番号（※）

（※）本件サイトでの商品ご購入時に当該情報を入力されたお客様のみが対象です。

③上記②の商品購入においてお届け先として指定された商品ご購入者以外のお客様1,475名で、漏えいした可能性のある情報は以下のとおりです。

• 氏名
• 住所
• 電話番号

上記⑵⑶に該当するお客様につきましては、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

3.お客様へのお願い

(1) クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記2.⑵の対象となるお客様がクレジットカードの差替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2) ログインパスワードの再設定及び他のサイトにおけるログインID・パスワード変更のお願い

弊社では、新システムへの移行に伴いパスワードリセットを実施しております。2023年2月12日以前に本件サイトにて会員登録をされたお客様で、まだパスワードの再設定がお済みでないお客様におかれましては、たいへんお手数ですが、新システムに移行した弊社ウェブサイト（「たん熊北店　オンラインストア」）内の「パスワードの再発行」のページ（https://www.tankumakita.jp/shopping/forgot）より、本件サイトのログインパスワードを再設定していただきますようお願い申し上げます。また、他のサイトで本件サイトと同一の値のログインID・パスワードを使用されている場合には、念のため、当該他のサイトにおいてもログインID・パスワード変更のお手続をしていただきますよう、併せてお願い申し上げます。

(3) 不審なメール及び電話への注意喚起

身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.公表が遅れた経緯について

2023年2月21日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

不正アクセスが認められた旧システムは、既に運用を停止し、現在は新システムに移行しておりますが、新システムにおけるクレジットカード決済の再開日など今後につきましては、決定次第、改めて弊社ウェブサイト（「たん熊北店　オンラインストア」）上にてお知らせいたします。

なお、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月21日に報告済みであり、また、所轄警察署にも調査結果を踏まえて2023年6月2日に被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-320】株式会社HUGE 不正アクセスによる個人情報流出に関するお詫びとご報告について 2023年8月21日

2023年8月6日（日）、当社が管理運用する顧客管理システム「The HUGE CLUB（以下THCという）」に対する不正アクセスにより、一部のお客様の個人情報（氏名・電話番号・メールアドレス・生年月日・性別・予約履歴・ポイント履歴）が外部流出した可能性を否定できないことが判明いたしました。今回の情報にクレジットカード情報は含まれておりません。二次被害や更なる被害の拡大を防ぐため、所轄警察署や有識者の意見を参考にしながら、早期に謝罪及びご報告をするタイミングを見計らい、本日の公表とさせていただきました。お客様をはじめ多くの関係先の皆様に多大なご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

1．本件の概要

① 発生

8月6日早朝、当社が管理運用するTHCサーバに障害が発生し原因を調べたところ、第三者による不正アクセスの痕跡を発見いたしました。この影響によりTHCにおいて予約ができないなどの障害が発生いたしました。当社ではさらなる拡大を防ぐため、直ちにアクセスキーの無効化を行い、8月７日に対策本部を立上げ、不正アクセスを受けたサーバの範囲と状況・原因等の調査、復旧の検討を開始いたしました。

② 調査の経緯

初期調査段階で、THCサーバへの不正な侵入と内部の一部データが削除されていることを確認いたしました。また侵入されたサーバには一部のお客様情報を保管するファイルが含まれており、その情報が削除されていることが分かりました。

お客様の個人情報が外部に持ち出された可能性につきまして、現在本件に関わる個人情報の不正利用等は確認されておりません。しかしながら流出の可能性を完全に否定することは難しく、今後も引き続き調査を継続して参ります。

２． 漏えい等が発生したおそれがある個人データの項目

① 対象

2021年6月15日から2022年9月19日の間に「The HUGE CLUB」をご登録いただいたお客様　96,938人

② 情報

氏名、電話番号、メールアドレス、生年月日、性別、予約履歴、ポイント履歴

尚、クレジットカード情報は含まれておりません。

３．原因

外部専門家の見解を含めて総合的に検証した結果、侵入経路はTHCと連携する現在開発中のECサイトからTHCサーバへのアクセス情報の一部が盗まれ、THCサーバへ侵入された可能性が高いものと考えております。

４．二次被害又はそのおそれの有無及びその内容

外部専門家への相談も含めて現在調査中です。

今後、HUGEの名前を騙った電子メールでの詐欺に注意をしていただき、アドレス末尾のドメインがhuge.co.jpであることを確認していただく、 メール記載のURLにアクセスをしない、添付ファイルは開かない等について、ご注意いただけますようお願い申し上げます。

お客様へのご対応について

本事案の対象となるお客様には、8月10日（木）にメールにてお詫びと経緯のご報告をさせていただきました。今後のご報告につきましても、準備が整い次第、順次個別にご連絡をさせていただきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-319】日置市 懲戒処分の公表 2023年8月4日

事案

１ 件 名 コンピュータの不適正使用

２ 処分日 令和５年８月４日（金）

３ 処分者

(1) 教育委員会 主査 （ 36歳）  

ア 概要

当該職員は、業務用パソコンから他の職員のＩＤとパスワードを推測し、 令和５年１月１日から４月 21日までの間に、 61人、延べ697回にわたり不正ログインを行い、メール等の閲覧を行った。

また、人事評価記録書等の電子データを自身の業務用パソコンに保存した。

 イ 処 分 

職 名 等	処分内容	期 間	備 考
教育委員会 主査	減給（ 1/10）	３月	８月４日付け

(2) 教育委員会 課長補佐 （ 58歳）

ア 概要

当該職員は、業務用パソコンから他の職員のＩＤとパスワードを推測し、令和５年１月１日から４月 21日までの間に、 14人、延べ 38回にわたり不正ログインを行い、メール等の閲覧を行った。

また、職員の給与明細の閲覧を行った。

イ 処分 

職 名 等	処分内容	期 間	備 考
教育委員会 課長補佐	戒告	－	８月４日付け

(3) 産業建設部 主事補 （ 23歳）

ア 概要

当該職員は、業務用パソコンから他の職員のＩＤとパスワードを推測し、令和５年１月１日から４月 21日までの間に、 37人、延べ232回にわたり不正ログインを行い、メール等の閲覧を行った。

イ 処分 

職 名 等	処分内容	期 間	備 考
産業建設部 主事補	戒告	－	８月４日付け

(4) 管理監督責任（当時含む）

 所属長を厳重注意（８月４日付け）

【市長・教育長コメント】

コンピュータの不適正使用を行い、本市行政の信頼を大きく損ねたことを市民の皆様に深くお詫び申し上げます。

今後は、職員一人ひとりがより一層のコンプライアンスの徹底を図るため、情報セキュリティ研修を実施するとともに、再発防止と市民の皆様への信頼回復に職員一丸となって取り組んでまいります。

リリース文（アーカイブ）