【セキュリティ事件簿#2023-365】仕事旅⾏社 不正アクセスに関するご報告（続報） 2023年9⽉15⽇

 

時下ますますご盛栄のこととお慶び申し上げます。弊社では、関係する皆様に対し、ご通知及び公表をさせて頂きました通り、弊社サーバが不正アクセスを受け、個人情報を含む情報が不正に収奪及び利用されたこと、並びにサービス運営に必要な全ての情報が削除されるといった事案が生じております（以下「本件」といいます。）。

現在におきましても、調査の途中ではございますが、本報告日現在での調査結果及び再発防止に向けた取り組みの概要につきまして、下記の通りご報告申し上げます。

関係者の方々に多大なご迷惑をお掛けしておりますことを、改めて深くお詫び申し上げます。

1. 対応の経緯

2023年9月4日 弊社関係者より、弊社に関わる不審なメールが2通届いているとの連絡を受け、弊社サーバへの不正アクセスの疑いが浮上。ホームページを閉鎖し被害状況の把握に着手

2023年9月5日 不正アクセスの原因が弊社サーバ内に設置していた外部メールソフトのセキュリティホールであることが判明。同時に弊社のサーバデータが不正に削除されているのを確認

2023年9月5日 個人情報及び一部の企業情報の流出を確認

2023年9月5日 弁護士、所轄の警察署及び警視庁サイバー犯罪対策課、個人情報保護委員会に報告

2023年9月5日 「【重要】弊社に関する虚偽情報にご注意ください」公表

2023年9月6日 「【重要】弊社サーバへの不正アクセスのご報告と今後の対応」公表

2023年9月6日 弊社ホームページのトップページのみを限定して復旧

2023年9月8日 弊社関係者に対して、犯人と思われる人物より3通目のメール配信

2023年9月8日 情報の流出及び流出可能性について調査を継続

2023年9月8日 「【重要】不正アクセスに関するご報告（続報）」公表

2023年9月8日 愛宕警察署及び警視庁サイバー犯罪対策課へ情報を共有

2023年9月11日 セキュリティ専門企業へ原因究明調査を打診

2023年9月11日 問い合わせフォームを復旧。一般からの問い合わせ受付開始

2023年9月13日 セキュリティ会社にホームページセキュリティの脆弱性チェックの検討開始

2023年9月15日 弊社関係者に対して、犯人と思われる人物より4通目のメール配信

2023年9月15日 「【重要】不審メールに関するご連絡」公表

2. 被害の原因及び状況

外部専門家及び弊社システムエンジニアと共に、不正アクセスを受けたデータサーバの通信ログを調査した結果、本件の概要は以下の通りであることが判明しました。

2023 年 9 月 4 日深夜、弊社サーバにアップされていた外部メルマガ管理システムがサイバー攻撃を受け、弊社サーバが不正なアクセスを受けました。弊社では 2021 年頃から当該メルマガ管理システムの使用しておりませんでしたが、サーバ上で保管していたため攻撃の対象となりました。なお、当該システムは現在弊社サーバ上から完全に削除されています。

なお、特定の弁護士名を名乗る犯人より 3 回にわたり送信された一斉メールは、その送信範囲からすると、不正アクセス時に不当に取得された個人情報に対して送られたものであると判断しております。

また、弊社サーバの通信ログを解析した結果、弊社が利用していた外部メルマガ管理システムを起点に、不正アクセスをした者によってサーバ内のデータを全て削除されたと判断しております。これにより弊社の主なサービスは現在も運営できない状況に陥っております。（なお、本報告日現在におきましても復旧対応中となります。）

弊社では、所轄の警察署及び警視庁のサイバー犯罪対策課と連携を進めており、警察からは、既に調査を開始しているとの連絡を受けています。また、個人情報保護委員会に対しても、本件の報告を行っております。

3. 漏えい等したデータの内容

①流出の規模 「仕事旅行サーバ」に保管されていた情報となります。 2011 年 2 ⽉から 2023 年9 月 5 日までに入力された情報となります。

②流出した主な情報

·⽒名（ふりがな）

·住所 ·電話番号

メールアドレス

·⽣年⽉⽇

·職業／業種／性別／職種 ·学歴・職務経歴（求⼈応募をされた⽅のみ）

③漏洩した件数 33,670 件（2023 年 9 月 15 日現在）

※9 月 5 日時点で退会済みの顧客データも含まれます。

なお、弊社では、サービス販売等における決済取引は全て外部委託先のシステムを利用しております。このため、弊社は決済情報を一切保有しておらず、本件においてはクレジットカード情報等の流出はございません。

また、弊社の運営するサービスにログインする際に設定いただきましたパスワードに関しましても、ハッシュ化（二重暗号化）を行なっているため、流出はございません。

4. 再発防止に向けたセキュリティ強化策

本報告日現在で対策済みの事項及び今後の対策予定に分けてそれぞれご説明いたします。

【対策済】

(1) 被害拡⼤防⽌等のため実施した内容

1. 弊社 Web サーバの遮断

2. 対象者に緊急の注意喚起メールの送信

3. サイトでの注意喚起の公表

4. サーバに関連するパスワードの変更

5. 外部専門家との事実関係調査

(2) ⾏政等との連携及び報告のため実施した内容

1. 管轄の警察署及び警視庁サイバー犯罪対策課への報告

2. 個⼈情報保護委員会への報告

3. 外部のセキュリティ対策専門家への相談

【対策予定】

1. 外部の専門家による脆弱性チェックの実施

2. 再発防止策の策定

3. 外部専門家及びセキュリティ監督委員会等の提言を踏まえ、再発防止に向けた種々のセキュリティ強化の検討・体制の構築

4. （上記対策を講じた上での）安全性を担保したサービスの復旧

本報告日現在でのご報告とご案内は以上のとおりでございますが、今後におきましても、本件の状況、犯行状況、弊社サービスの復旧状況につきましては、引き続きご案内申し上げます。

この度は、皆様には多大なるご迷惑とご心配をおかけしておりますこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-370】厚生中央病院 個人情報漏洩のおそれについて 2023年9月14日

8月26日、当院職員が自宅で使用しているパソコンが、サポート詐欺の手口により遠隔操作される事態が発生しました。 

このパソコンに接続していたUSBメモリには、研究目的で①当院で診療（2020年2月20日～2021年9月17日）した新型コロナ感染症及びその疑いがあった患者等に関する情報771名分と②当院職員の感染対策として行った検査（2011年3月2日～2013年12月25日）に関する情報510名分のデータがありましたが、どちらのデータにも個人の連絡先は含まれておりません。　 

しかしながら、要配慮個人情報（診療内容や検査結果等）にあたる情報が含まれていることから、国の個人情報保護委員会へ報告するとともに、サポート詐欺による情報漏えいの可能性について調査を進めているところです。 

現時点では、データのコピーまたは閲覧がされた形跡は確認されておらず、また、被害等の報告を受けておりませんが、関係される皆さまにご心配をお掛けすることとなり深くお詫び申し上げます。 

事態を厳粛に受け止め、個人情報の取り扱いの徹底を行い、再発防止に取り組んでまいります。 

リリース文（アーカイブ）

2024年のフライト計画 ～JALワンワールド特典航空券の活用～

 

2024年のフライト計画を立ててみた。

今回はヨーロッパを視野に検討してみる。

気になっているポイントは2つあり、一つはリトアニアのカウナス。2016年に一度訪問しているが、小さい都市なので1日もあれば十分だろうと思っていたら、訪問すべき場所がたくさんあって全然足りなかった。

また、前回訪問以降、杉原博物記念館が修復されたということもあり、修復後の記念館を見てみたいというのもある。

リトアニア杉原千畝記念館 修復プロジェクト

もう一つはドイツ。

ドイツを代表するスーツケースのメーカーであるRIMOWAが2022年7月25日以降に購入した新品スーツケースに対して生涯保証の提供を始めた。

実はこの生涯保証の内容自体はあまり理解できていないのだが、少なくとも2022年7月25日以降の製品については無償か有償かは置いておいて、修理を受け付けてくれることだけは期待できる。

これまでスーツケースは長く使えるものが欲しいと思いつつも、結局5～6年使うと足が壊れて粗大ごみとなってしまい、新しく買い替える必要があったが、その手間がなくなる。

まさにRIMOWAのスーツケースを買えば、一生の相棒として使えるということである。

そんなRIMOWAのスーツケースは普通に20万近くするため、何とかして安く購入したい。

色々調べた結果、ドイツ現地調達（「koffer direkt」や「koffer 24」）＆VATリファンドという結論になった。

マイル(JAL)を見てみると、17万マイルくらい溜まっているため、有難く今回はこのマイルを活用して手配を試みる。

前回の発券でバンコクまでのチケットがあるため、この続きとヨーロッパ行きを検討する。

結論としては、無事全区間ビジネスクラスでの発券に成功した。

（計12万マイル＋諸税10万円程度）

バンコクまでのチケットがあるので、続きはバンコクからにするのがキレイなのだが、特典航空券のビジネスクラスの空きが無い。

周辺の空港や日程をずらしていろいろ調べてみるとホーチミン発東京行きのフライトにてビジネスクラスの空席を発見。という訳でバンコク-ホーチミン間は有償でチケットを切るとして、特典航空券のスタートはホーチミンとなった。

・SGN⇒NRT　@JL　※2024年5月予定

・HND⇒BKK　＠JL　※2024年10月予定

・BKK⇒HEL　＠AY　※2024年10月予定

　-東京からヘルシンキ行き直行便には空席が無かった。羽田発バンコク行きのJAL便と、バンコク発ヘルシンキ行きのフィンエアー便にてビジネスクラスの空席を見つけたため、バンコク経由のヘルシンキ行きに。

　-欧州域内（HEL-VNO、HEL-FRA）の移動は別切りの有償航空券にする予定。

・HEL⇒HND⇒ITM　@JL　※2024年10月予定

　-帰りはヘルシンキ発羽田行きの直行便をゲット。ただし、特典航空券のルールで途中降機した東京には戻れないため、東京乗り継ぎで大阪に移動（大阪から自宅のある東京ヘは別切りの有償航空券にする）

・KIX⇒KUL⇒BKK　@MH　※2025年4月予定

　-上述で一旦別切り航空券で東京に戻っているため、再び別切り航空券で大阪に移動したのち、マレーシア航空でクアラルンプール経由でバンコクに向かう。バンコク行きはJAL直行便もあるが、深夜便のため、寝るだけで終わってしまう。ビジネスクラスのサービスを存分に堪能するには昼間便がベストなため、敢えて昼間に飛ぶマレーシア航空を選択。気が向けばクアラルンプールに途中降機も可能。あとは運休しないことを祈るのみ。

今回の総旅程距離（TPMの合計）は19,841マイル。

12,000JALマイルで交換可能なTPMの上限は20,000マイルなので、レンジギリギリまで活用した感じ。

【セキュリティ事件簿#2023-369】日本大学医学部付属板橋病院 当院における個人情報漏えいについて 2023年09月19日

 

この度，当院患者様の情報を含む書類（ＰＤＦデータ）の一部について，第三者がインターネット上で閲覧可能な状態であったことが判明しました。

当院を御受診いただいている皆様には，多大な御迷惑と御心配をお掛けすることとなり，心よりお詫び申し上げます。

閲覧可能な状態にあったＰＤＦは，令和４年５月に使用した「医療材料使用報告書」９名分です。ＰＤＦ（当該データ）には以下の情報が含まれておりました。

【閲覧可能な状態にあった情報】

患者様の氏名，病歴番号，検査日，検査・処置名，使用した医療材料名（カテーテル等）

今回の原因は，保存の必要のない「医療材料使用報告書」のＰＤＦデータを，事務処理担当者が誤ってインターネット上から閲覧可能な環境に保存したことにあります。

当院では，発覚後直ちにＰＤＦデータを全て削除の上，該当する患者様には，既に個別にお詫びをした上で発生経緯等について御報告を終えております。当院では本件を重く受け止め，速やかに個人情報保護委員会など関係各所へ届け出るとともに二次被害防止を図っておりますが，現在までに閲覧された個人情報が不正に使用されたとの報告はございません。引き続き，関係各所と連携を取りつつ適切な対応に努めます。

当院におきましては，データ管理方法の見直し，更なる教職員教育，個人情報保護及び医療情報管理の徹底を図り，再発防止に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-368】エヌ・デーソフトウェア株式会社 不正アクセスによる当社メールアドレスを悪用したメール送信のお詫び 2023 年 9 月 15 日

このたび、当社社員１名のメールアカウントが不正アクセスされ、当該メールアドレスを悪用した 502 件のメール送信があったことが判明しました。

当社メールアドレス（～@ndsoft.jp）から届きました不審なメールにつきましては、メール内に記載の web ページ等を開かないようお願いいたします。

※現時点で web ページリンクはアクセス不能であることを確認しています。

当該メールアカウントおよび当該パソコンへ適切な対応を実施し、メールの不正送信を停止しております。

不審メールを受け取った皆様には、多大なご迷惑とご心配をお掛けし、深くお詫び申し上げます。

当社としては、この事態を重く受け止め、原因究明の調査を進め、再発防止の処置を講じていく所存です。

本件に関するご質問、お問い合わせ等は以下の連絡先にお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-365】仕事旅⾏社 不正アクセスに関するご報告（続報） 2023年9⽉8⽇

 

弊社では、2023 年 9 ⽉ 5 ⽇付にて各対象者へのご通知及びホームページへの掲載をさせて頂きました通り、弊社サーバに対して不正アクセスを受け、個⼈情報を含む情報が不正取得及び不正利⽤されたこと、並びにサービス運営に利⽤する情報が全て削除されるといった事案が⽣じております（以下「本件」といいます。）。

（参照：https://www.shigoto-ryokou.com/information/pdf/20230906_information.pdf）。

その後、2023 年 9 ⽉ 7 ⽇、不正アクセスを⾏ったと思われる者より弊社に対し、弊社と⽇本警察が⼀定の要求に従わない場合「データが公開される」旨のメールが送り付けられております。

再度のご連絡となりますが、本件により、弊社におきましては、会員情報等として登録されていたメールアドレスをはじめとする情報が不正取得された状況にあります。クレジットカード等、決済に関連する情報につきましては、今回のサーバには保管されいないため、流出はしておりません。

被害の拡⼤を防⽌するため、不正アクセス者及びその他の者より、不審な連絡を受けた場合、記載された電話番号やホームページに対しては、アクセス、問合せ、返信、要求への対応等は⾏わないよう、⼗分ご注意ください。

弊社は、今回の脅迫メールに関しても既に警察当局にも報告しており、今後も捜査に全⾯的に協⼒する所存でございます。また、弁護⼠とも連携のうえ、被害の拡⼤の防⽌と再発防⽌に向けて取り組んでまいります。

今後におきましても、本件の状況、犯⾏状況、弊社サービスの復旧状況につきましても、追ってご案内申し上げます。

本⽇時点でのご報告とご案内は以上のとおりでございます。

この度は、皆様には多⼤なるご迷惑とご⼼配をおかけしておりますこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-367】INAC神戸 申し込みフォーム誤設定による個人情報表示に関するお知らせとお詫び 2023年9月16日

9月15日(土)に実施しましたINAC神戸U-15セレクションの事前申し込みの受け付けにつきまして、申し込みいただいた56名の方の個人情報が申し込みフォーム上で閲覧できる状態となってしまいました。お客様の大切な情報をお預かりしているにもかかわらず、本件のような事が発生したこと、多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。

皆様には謹んでお詫び申し上げるとともに、本件について下記のとおりご報告いたします。

1．事象日時：2023年9月2日(土)～2023年9月11日(月)11時00分ごろ

2．公開した情報：お名前、住所、電話番号、サッカーチームやサッカーに関する経歴

3．対象：INAC神戸U-15セレクションにお申し込みいただいた皆様

4．経緯：

・INAC神戸U-15セレクションのお申し込みの回答期限終了後にGoogleフォームの「前の回答を表示」から閲覧できる状態が判明。

・Googleフォームを作成する段階で、誤って「前の回答を表示」する設定にしてしまったことが原因と考えられます。

5．対応：

・電話での問い合わせをいただいた後に、回答を表示できないよう設定を変更。

・対象のみなさまにメールにて事実関係の報告とお詫びをさせていただきました。

今回の事態を重く受け止め、個人情報の取り扱いには細心の注意を払い、再びこのようなことがないように再発防止に努めて参ります。

皆様に多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-366】マルキユー 『アミ姫 WEB キャンペーン』応募者データ不正アクセスによる個人情報流出の可能性について 2023年9月20日

2022 年 9 月 1 日～10 月 31 日実施の『アミ姫 WEB キャンペーン』にてご応募いただいたお客様の個人情報を管理するサーバーに不正アクセスがあったことが 2023 年 5 月 16 日に判明致しました。

弊社より直ちに、アミ姫 WEB キャンペーンを管理する外部委託先へ指示し、不正アクセスを受けたサーバーより個人情報データを移動し、安全な場所に隔離致しました。更に外部委託先と第三者機関にて調査を実施しましたが、現時点で本件に関わる個人情報が流失した事実は認められないものの、その可能性を完全に否定することは出来ませんでした。

弊社では調査と並行し、本件対象の 1,047 名の方に対し、ご応募いただいたメールアドレスに経緯を報告させて頂きましたが、9 月 20 日現在、数名の方と連絡が取れていないため、お心当たりのある方でまだ弊社と連絡が取れていない方は下記までご連絡をお願い致します。

この度は、皆様には多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

リリース文（アーカイブ）