【セキュリティ事件簿#2023-365】仕事旅⾏社　不正アクセスに関するご報告（続報）　2023年9⽉8⽇

弊社では、2023 年 9 ⽉ 5 ⽇付にて各対象者へのご通知及びホームページへの掲載をさせて頂きました通り、弊社サーバに対して不正アクセスを受け、個⼈情報を含む情報が不正取得及び不正利⽤されたこと、並びにサービス運営に利⽤する情報が全て削除されるといった事案が⽣じております（以下「本件」といいます。）。

（参照：https://www.shigoto-ryokou.com/information/pdf/20230906_information.pdf）。

その後、2023 年 9 ⽉ 7 ⽇、不正アクセスを⾏ったと思われる者より弊社に対し、弊社と⽇本警察が⼀定の要求に従わない場合「データが公開される」旨のメールが送り付けられております。

再度のご連絡となりますが、本件により、弊社におきましては、会員情報等として登録されていたメールアドレスをはじめとする情報が不正取得された状況にあります。クレジットカード等、決済に関連する情報につきましては、今回のサーバには保管されいないため、流出はしておりません。

被害の拡⼤を防⽌するため、不正アクセス者及びその他の者より、不審な連絡を受けた場合、記載された電話番号やホームページに対しては、アクセス、問合せ、返信、要求への対応等は⾏わないよう、⼗分ご注意ください。

弊社は、今回の脅迫メールに関しても既に警察当局にも報告しており、今後も捜査に全⾯的に協⼒する所存でございます。また、弁護⼠とも連携のうえ、被害の拡⼤の防⽌と再発防⽌に向けて取り組んでまいります。

今後におきましても、本件の状況、犯⾏状況、弊社サービスの復旧状況につきましても、追ってご案内申し上げます。

本⽇時点でのご報告とご案内は以上のとおりでございます。

この度は、皆様には多⼤なるご迷惑とご⼼配をおかけしておりますこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-367】INAC神戸　申し込みフォーム誤設定による個人情報表示に関するお知らせとお詫び　2023年9月16日

9月15日(土)に実施しましたINAC神戸U-15セレクションの事前申し込みの受け付けにつきまして、申し込みいただいた56名の方の個人情報が申し込みフォーム上で閲覧できる状態となってしまいました。お客様の大切な情報をお預かりしているにもかかわらず、本件のような事が発生したこと、多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。

皆様には謹んでお詫び申し上げるとともに、本件について下記のとおりご報告いたします。

1．事象日時：2023年9月2日(土)～2023年9月11日(月)11時00分ごろ

2．公開した情報：お名前、住所、電話番号、サッカーチームやサッカーに関する経歴

3．対象：INAC神戸U-15セレクションにお申し込みいただいた皆様

4．経緯：

・INAC神戸U-15セレクションのお申し込みの回答期限終了後にGoogleフォームの「前の回答を表示」から閲覧できる状態が判明。

・Googleフォームを作成する段階で、誤って「前の回答を表示」する設定にしてしまったことが原因と考えられます。

5．対応：

・電話での問い合わせをいただいた後に、回答を表示できないよう設定を変更。

・対象のみなさまにメールにて事実関係の報告とお詫びをさせていただきました。

今回の事態を重く受け止め、個人情報の取り扱いには細心の注意を払い、再びこのようなことがないように再発防止に努めて参ります。

皆様に多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-366】マルキユー　『アミ姫 WEB キャンペーン』応募者データ不正アクセスによる個人情報流出の可能性について　2023年9月20日

2022 年 9 月 1 日～10 月 31 日実施の『アミ姫 WEB キャンペーン』にてご応募いただいたお客様の個人情報を管理するサーバーに不正アクセスがあったことが 2023 年 5 月 16 日に判明致しました。

弊社より直ちに、アミ姫 WEB キャンペーンを管理する外部委託先へ指示し、不正アクセスを受けたサーバーより個人情報データを移動し、安全な場所に隔離致しました。更に外部委託先と第三者機関にて調査を実施しましたが、現時点で本件に関わる個人情報が流失した事実は認められないものの、その可能性を完全に否定することは出来ませんでした。

弊社では調査と並行し、本件対象の 1,047 名の方に対し、ご応募いただいたメールアドレスに経緯を報告させて頂きましたが、9 月 20 日現在、数名の方と連絡が取れていないため、お心当たりのある方でまだ弊社と連絡が取れていない方は下記までご連絡をお願い致します。

この度は、皆様には多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

リリース文（アーカイブ）

(ISC)² Certified in Cybersecurity (CC) 受験体験記

サイバーセキュリティ人材が世界的に不足しているということで、(ISC)² は人材不足解消の取り組みの一環として、100万人を対象にCertified in Cybersecurity (CC)のオンライン自己学習コースと試験を無料で提供している。

そんな訳で、(ISC)² のエントリーレベル認定資格 Certified in Cybersecurity (CC) を受験してきた。

受験準備としては、まず最初に、(ISC)² Candidateに登録。すると、CC試験向けのオンラインセルフペーストレーニングと、試験のバウチャー（199USD相当）がもらえる。

このトレーニングでは(ISC)² におけるセキュリティの考え方を学べる。学習領域は5つのドメインから構成されていて、セキュリティ原則、事業継続、アクセス制御、ネットワークセキュリティ、およびセキュリティの運用に焦点を当てて学ぶ。

試験の予約はオンラインで可能。試験の言語も日本語で選択可能。テストセンターは日本だと東京と大阪、その他世界各地にある。

せっかく無料なので、何かチャレンジ（！？）でもしようと思い、タイ・バンコクの試験会場に予約を入れてみたのだが、日程の調整がつかなくなり、東京にある高田馬場の会場に変更した。

通常(ISC)² の試験予約変更は有料らしいのだが、CC試験は無料で変更できた。ただ、実際は変更ではなく、一旦予約をキャンセルした上で改めて予約する形態となった。

受験には2種類の身分証明書が必要。今回は運転免許証とマイナンバーカードを利用（海外で受験する場合はパスポートともう一つが必要になるので、やはり日本人は日本での受験がおススメ）

試験はコンピュータベース（CBT方式）で、多肢選択式の100問を解く形式。なお、一度回答すると後には戻れない一球入魂（！？）方式となっていた。

試験終了後、すぐに1枚の紙をくれ、その紙に合否結果が記載される。今回は無事合格（仮合格）だった。

合格の確定には承認申請の手続きを終える必要がある。

大きく2つのステップがあり、まずはオンライン申請（申請書の記入）。(ISC)² 認定を受けるには、エンドースメント（承認）のステップを受けなければならず、(ISC)² の倫理規約 (Code of Ethics) に合意する申請書記入の手続きを実施。

次に最初の年間維持費の支払い（50USD）。クレジットカードOK。

この手続きを終えることで Active Member になり、CC の認定デジタルバッジが取得できます。

資格の維持には年間維持費の支払い（50USD）と、3年間で 45 CPE クレジット（平均すると年間 15 CPE クレジット）が必要となります。

要は3年間で45時間分セミナーに参加したりして自己研鑽に努める必要が出てきます。

情報処理安全確保支援士は年間維持費は無料ですが、3年サイクルで約12万円分の講習受講義務が生じるため、支援士に比べればCCの維持費はリーズナブルです。

情報処理安全確保支援士は日本国内でしか通じないドメスティックな資格ですが、CCはエントリーレベルながら、グローバル資格となります。

個人的にはこれが(ISC)² 入会のいいきっかけになったと思っている（SSCPやCISSPには興味があったものの受験費用が高額過ぎてちょっと二の足を踏んでいた）。

(ISC)² の今回の取り組みに感謝。

【セキュリティ事件簿#2023-253】【ご報告】シェアオフィス「Lieffice」公式ウェブサイトへの不正アクセスに関する調査結果（お客さま情報の漏えいはありませんでした）　２０２３年９月２０日

７月３日、当社が運営するシェアオフィス「Lieffice」の公式ウェブサイトに対し、外部からの不正アクセスがあり、７月７日付の報道発表にて、不正アクセスの発生及びお客さま情報の漏えいの可能性がある旨を公表しました。

その後、同サイトにご登録いただいたお客さま情報について、外部への漏えいの有無を調査した結果、漏えいの事実がなかったことを確認しましたのでお知らせいたします。同サイトにご登録いただいたお客さまをはじめ関係される皆さまに、ご迷惑とご不安をおかけしましたことを、改めて深くお詫び申し上げます。

なお、非公開としていた同サイトは、不正アクセスの再発防止策を講じ、お客さまに安心してご利用いただけることを確認しましたので、９月２０日(水)から、サイトの公開および「Lieffice」全３店舗の営業を再開しました。

１．不正アクセスの概要

７月３日１７時ごろ、当社社員が「Lieffice」の公式ウェブサイトにアクセスしたところ、無関係のウェブサイトへ自動転送される状態になっていることを確認しました。

調査の結果、同日１６時ごろ、何者かによって不正にアクセスされ、公式ウェブサイトのHTMLファイルの情報が書き換えられていたことが判明しました。

２．お客さま情報の漏えいがなかったと判断した理由

調査の結果、公式ウェブサイトとお客さま情報データベースは、システムの構造上分離しており、公式ウェブサイトへの不正アクセスでは、お客さま情報データベースに到達することは不可能なため、情報は漏えいしていないと判断しました。

３．不正アクセスが発生した原因

公式ウェブページの管理システムであるソフトウェア(以下、ＣＭＳ)において「管理者アカウントのＩＤ及びパスワード設定が簡易だったため、比較的容易に不正アクセスできる状態となっていたこと」「一般的に広く普及しているＣＭＳを使用していたが故に、攻撃対象になりやすかったこと」の二点が原因だと考えています。

４．再発防止策

ＭＳを安全性が十分に確認されたソフトウェアに変更いたしました。また、パスワードについても直ちに複雑化いたしました。

加えて、Liefficeウェブサイトに対して、その他の問題がないかを調査するため、第三者による脆弱性診断を実施いたしました。診断において脆弱性の懸念があると指摘を受けた箇所については、改修を実施し、安全性を確保いたしました。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-365】仕事旅⾏社　弊社サーバへの不正アクセスのご報告と今後の対応　2023年9⽉6⽇

この度、弊社では、2023 年 9 ⽉ 4 ⽇深夜、業務上において利⽤しているサーバ（「仕事旅⾏サーバ」として、利⽤者の職業体験情報や会員情報を管理するサーバとなります）に対し、第三者による不正アクセスを受けました。

弊社では、この不正アクセスにより、サーバに保管していた個⼈情報を含む情報が不正取得及び不正利⽤されたこと、並びにサービス運営に利⽤する情報が全て削除されたことを確認しております（以下「本件」といいます）。

弊社では、本件によりサービス運営に関わるデータベースは全て削除されてしまい、通常営業を⾏うことは困難な状況に陥っております。現在、復旧に向けた作業を⾏っていますが、今後の業務開始に関しては現状未定となります。

なお、クレジットカード等、決済に関連する情報につきましては、今回のサーバには保管されておらず、流出はしておりませんが、会員情報等として登録されていたメールアドレスが漏洩したことにより、第三者から対象者に不審なメールが送信されているといった事象を確認しております。

皆様には、多⼤なるご迷惑とご⼼配をおかけしておりますこと、⼼よりお詫び申し上げます。

被害の拡⼤を防⽌するため、不審なメールに記載された電話番号や HP へのアクセス、メールアドレスへの問合せや、返信等は⾏わないよう、⼗分ご注意ください。

弊社は、発覚後、警察当局にも報告しており、今後も捜査に全⾯的に協⼒する所存でございます。また、弁護⼠とも連携のうえ、個⼈情報保護委員会にも報告し、ガイドラインに沿った対応を⾏い、再発防⽌に向けて取り組んでまいります。流出した情報の内容、犯⾏⼿⼝について詳細な調査を開始しており、判明しましたら、追ってご案内申し上げます。

以下、本件の概要等と皆様へのお願い事項につきまして、まとめさせて頂きましたので、ご確認を頂きますよう、お願い申し上げます。

１．事案内容

(1) 発覚⽇時

2023 年 9 ⽉ 5 ⽇（⽕）7:00 頃

(2) 流出の規模

①流出の規模

「仕事旅⾏サーバ」に保管されていた情報となります。

2011 年 2 ⽉から 2023 年 9 ⽉ 5 ⽇までに⼊⼒した情報となります。

②流出した主な情報

·⽒名（ふりがな）

·住所

·電話番号

·メールアドレス

·⽣年⽉⽇

·職業／業種／職種

·学歴・職務経歴（求⼈応募をされた⽅のみ）

③原因

悪意のある第三者による仕事旅⾏サーバにアップされていた外部メルマガ管理システムのセキュリティホールによる不正アクセスが原因となります。詳細は調査中となります。

２．弊社の対応

(1) 被害拡⼤防⽌等のため、緊急対応として実施した内容

·弊社 Web サーバの遮断

·対象者に緊急の注意喚起メールの送信

·サイトでの注意喚起の掲載

·サーバに関連するパスワードの変更

(2) ⾏政等との連携及び報告のため実施した内容

·管轄の警察署および警視庁サイバー犯罪対策課に報告

·個⼈情報保護委員会への報告

３．弊社の今後の対応

(1) 事実調査の推進

外部専⾨家からの助⾔を得ながら、流出した情報の内容や犯⾏⼿⼝等について、詳細な調査を推進中でございます。

(2) 再発防⽌策の策定準備

再発防⽌策の策定を進めております。実効性ある再発防⽌策にすべく、事実調査の結果を受け、対策を決定いたします。

４．皆様へのお願い

「あなたの個⼈情報を取得したから、悪⽤されたくなければ〜〜しろ」といった不審メール等が届いた場合、絶対に要求に応じないようご注意をお願いいたします。特に、以下の点はご注意ください。

・絶対に⾦銭は⽀払わないでください

・⾝に覚えのない代引き商品が届いた場合は受け取りを拒否してください

本⽇時点でのご報告とご案内は以上のとおりでございます。

この度は、皆様には多⼤なるご迷惑とご⼼配をおかけしておりますこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-364】大石田町　個人情報が閲覧できる状態になっていたことに関するお詫び　2023年9月17日

大石田町「新そばまつり」にお申込みいただいた情報が、他のお申込み者にも閲覧可能な状態となっていたことが判明しました。事前申し込みいただいた皆様にご迷惑をお掛けしたことを深くお詫び申し上げます。内容および対応については以下の通りです。

1.概要

大石田町新そばまつりへの前売券の事前申込に使用していたGoogle Formsの設定ミスにより、当該フォームに回答した前売券の事前申込者がアクセスできる結果画面で他の申込者の個人情報が閲覧できる状態にあったことがわかりました。令和5年9月17日（日）時点で閲覧できる状態にあったのは32名あり、そのうち情報を閲覧できたのは申込みいただいた日以前の申込者の申込内容に限ります。

2.個人情報が閲覧できる状態であった状況の概要

・件数閲覧できる状態であった可能性がある方 32名

・期間令和５年９月15日午後６時～9月17日午前10時

・閲覧できる状態であった可能性がある情報

フォームへ入力されていた以下の（1）～（5）の情報となります。

ただし、閲覧した際、申込内容の項目がそれぞれグラフ化されており、下記の項目について下記の順番で表示されており、個人を特定できる状態ではございませんでした。

なお、現時点において、個人情報が悪用されたなどの被害相談はございません。

（1）氏名（あいうえお順）

（2）住所（あいうえお順）

（3）郵便番号（数値順）

（4）電話番号（数値順）

（5）その他（申し込み枚数、参加希望日時順）

3.対応状況

令和5年9月17日（日）10:00頃にフォーム上で個人情報が閲覧可能であったことが判明したため。10時10分頃にホームページにアクセスできないように設定を変更しました。11:00頃までに、個人情報が閲覧できる状態を解消し、14:30頃に、個人情報が閲覧される可能性があった申込者には電子メール等を用いて、お詫びと経緯の説明を行いました。

4．再発防止のための対応

今後、このような事態が生じないよう、各職員に対して個人情報保護の重要性等についての指導を徹底するとともに、ホームページ掲載にあたっては担当者による複層的なチェックを行い、再発防止に努めてまいります。

リリース文（アーカイブ）