この誤送信を起こしたのは、熊本県観光連盟から委託を受けていた日本旅行熊本支店であり、熊本豪雨の被災地域支援を目的とした「くまもと行くモン旅割!」の運営・管理業務を担当していました。事業に関連する電子メールを事業者らに送信する際に、このミスが発生しました。
現在、このメールアドレスの流出による具体的な被害は報告されていません。日本旅行社は公式に謝罪を行い、熊本県観光連盟からは情報の適切な取扱いについての指導を受けています。
【セキュリティ事件簿#2023-375】熊本県観光連盟の委託事業にて、委託先の日本旅行熊本支店がメール送信ミスでアドレスをお漏らしする。
【セキュリティ事件簿#2023-374】埼玉県 生徒の個人情報を含むUSBメモリの紛失について 2023年9月22日
県立飯能高等学校において、生徒の個人情報を含むUSBメモリを紛失する事故が発生しました。
なお、現在のところ、第三者による不正使用等の事実は確認されていません
1 事故の概要
9月9日(土曜日)午後6時頃、県立飯能高等学校の職員が生徒の個人情報を含むUSBメモリを生徒会室に置いたまま部屋を出た。
9月10日(日曜日)午前7時頃、当該職員がUSBメモリを生徒会室に置き忘れたことに気づき、その後、生徒会室を捜索したが見つからなかった。
2 個人情報の内容
75名分の生徒氏名
3 学校の対応
9月10日(日曜日)~ 当該職員が生徒会室を捜索
9月15日(金曜日)~ 全教職員で生徒会室及び校内を捜索
生徒及び保護者に対して事故の経緯を説明し謝罪した
4 再発防止策
今後、校長会議等を通じて、改めて全県立学校において個人情報の適正な管理を徹底するよう指示する。
【セキュリティ事件簿#2023-373】ホテルウィングインターナショナルプレミアム東京四谷 不正アクセスによりお客様の個人情報が第三者に閲覧された可能性とフィッシングサイトに誘導するメッセージ配信についてのお詫びとお知らせ 2023年9月22日
1.事象の内容
2023年9月14日(木)未明、複数のお客様からのお問い合わせを受けて調べた結果、「Booking.com 」経由で宿泊予約された一部のお客様に対して、管理システムのメール機能を使用し、「お客様のクレジットカードが予約システムのセキュリティチェックを通過せず、無効と判断された。そのため、ご予約がキャンセルされる可能性がある」「簡単なカード認証手続きが必要」「この手続きを12 時間以内に完了しない場合、ご予約がキャンセルになります」という文章とフィッシングサイトへ誘導するURL リンクが貼付されたメッセージが配信されていることを確認いたしました。確認後、直ちに公式ホームページに注意喚起のお知らせを掲載しております。
また、同日より「Booking.com 」経由の新たな宿泊予約の受付を停止しておりますが、現在、不正アクセスの原因等について調査を進めております。
2.お客様へのお願い
上記のようなメッセージや疑わしいメッセージを受信された場合、貼付されたURLリンクへアクセスされないよう、お願い申し上げます。お問い合わせいただいたお客様には、フィッシングサイトへの流入を防ぐための注意喚起を随時行っております。
3.今後の対応と再発防止策
現在、関係機関と連携を取り、原因調査を進めております。必要な対策を実施することにより再発防止に努めてまいります。また、詳細が明らかになりましたら随時、公式サイトにて報告させていただきます。この度は、お客様に多大なご迷惑とご心配をおかけしますことを、重ねて深くお詫び申し上げます。
【セキュリティ事件簿#2023-372】山陽SC開発株式会社 弊社メールアカウントへの不正アクセスによる迷惑メール送信についてのお知らせとお詫び 2023年9月22日
2023年9月22日、弊社が関係者様宛に使用しておりますメールアカウントの1つから「迷惑メール」が送信されたことが判明いたしました。
お客様をはじめ、多くの関係先の皆様にご心配をおかけしますこと、深くお詫び申し上げます。
当該メールアカウントについては事案の発生確認後、速やかにパスワードを変更するなどの対策を講じております。
また、現時点では個人情報漏洩などの二次被害は確認されておりません。
なお、弊社が運営いたします「岡山一番街」「さんすて岡山」「さんすて倉敷」「さんすて福山」の営業に関する影響はございません。
今後も必要な対策を講じることにより再発防止に万全を期してまいります。
この度はお客様をはじめ、多くの関係先の皆様にご心配をおかけしますこと、重ねて深くお詫び申し上げます。
【セキュリティ事件簿#2023-371】中学校で生徒のGoogleアカウントのパスワード一覧が教師のずさんな管理により漏れる ~何故に教員はパスワード一覧を印刷して持ち歩くかねー~
岡山県の津山市教育委員会は22日、市内の中学校で、生徒2人がほかの生徒のグーグルアカウントを使って、不正にアクセスしていたと発表した。
市教委などは不正アクセス禁止法違反などの疑いもあるとみて津山署に相談している。市教委によると、4月13日の授業中、生徒1人が、教壇の上に置いてあった1クラス約30人分の名前やID、パスワードを記載した一覧表を、教員が教壇を離れた隙にタブレットのカメラを使って撮影した。
夏休みに入った7月末以降、この生徒を含む2人が、計8人のアカウントを使ってアクセスした。
その上で、2人は嫌がらせやからかい目的に、それぞれが保存している体育や音楽の課題に取り組む動画をダウンロードしたり、壁紙を貼り替えたりした。
校外への流出は確認されていないという。
9月14日、ほかの生徒の保護者から「不正アクセスのうわさがある」との情報が学校に寄せられて発覚した。
一覧表は職員室内で取り扱う決まりになっていたが、教員はパスワードを忘れた生徒のため、印刷して持ち出したという。
【セキュリティ事件簿#2023-365】富山県 県委託業務受託者のホームページへの不正アクセスによる情報漏洩について 2023年9月15日
県委託業務の受託者ホームページのサーバーシステムが不正アクセスを受けたことにより、県の委託業務により事業者が取得した個人情報が漏洩する事案が発生しましたので、お知らせします。
1.内容
県の「まちのなりわい継業モデル事業」(令和3年度~令和5年度)及び「商店街プロフェッショナル体験モデル事業」(平成29年度~平成30年度)の委託事業者(株式会社仕事旅行社)のホームページのサーバーシステムに不正アクセスがあり、サーバーシステムに保存されている情報が不正に取得された。
不正に取得された情報には、県の上記委託業務により事業者が取得した個人情報(氏名、生年月日、性別、職業、学校名、住所、電話番号、メールアドレス)が、44人分含まれていた。
2.委託事業者における経緯
令和5年9月4日
委託事業者の関係者より、委託事業者から不審なメールが届いている旨の連絡があり、サーバーへの不正アクセスの疑惑が浮上。
令和5年9月5日
個人情報および一部の企業情報の流出を確認。
専門の弁護士、管轄の警察署及び警視庁サイバー犯罪対策課に通報。
ホームページに虚偽情報への注意喚起文を掲載。
委託事業者に関する虚偽情報についての注意喚起を対象者へメールで連絡。
令和5年9月6日
個人情報および一部の企業情報の流出について公表。
不正アクセスと今後の対応について対象者へメールで連絡。
令和5年9月8日
不正アクセスに関する続報を公表し、管轄の警察署及び警視庁サイバー犯罪対策課へ情報を共有。
不正アクセスの続報について対象者へメールで連絡。
令和5年9月11日
セキュリティ専門企業へ原因究明調査を打診。
3.県の対応
委託事業者へ、随時、対応状況等を確認。引き続き、原因究明や二次被害防止等の対応を依頼。
「まちのなりわい継業モデル事業」の参加者募集について、委託事業者ホームページとは別のシステムを利用し、安全性を確保したうえで再開予定。
【セキュリティ事件簿#2023-365】仕事旅⾏社 不正アクセスに関するご報告(続報) 2023年9⽉15⽇
時下ますますご盛栄のこととお慶び申し上げます。弊社では、関係する皆様に対し、ご通知及び公表をさせて頂きました通り、弊社サーバが不正アクセスを受け、個人情報を含む情報が不正に収奪及び利用されたこと、並びにサービス運営に必要な全ての情報が削除されるといった事案が生じております(以下「本件」といいます。)。
現在におきましても、調査の途中ではございますが、本報告日現在での調査結果及び再発防止に向けた取り組みの概要につきまして、下記の通りご報告申し上げます。
関係者の方々に多大なご迷惑をお掛けしておりますことを、改めて深くお詫び申し上げます。
1. 対応の経緯
2023年9月4日 弊社関係者より、弊社に関わる不審なメールが2通届いているとの連絡を受け、弊社サーバへの不正アクセスの疑いが浮上。ホームページを閉鎖し被害状況の把握に着手
2023年9月5日 不正アクセスの原因が弊社サーバ内に設置していた外部メールソフトのセキュリティホールであることが判明。同時に弊社のサーバデータが不正に削除されているのを確認
2023年9月5日 個人情報及び一部の企業情報の流出を確認
2023年9月5日 弁護士、所轄の警察署及び警視庁サイバー犯罪対策課、個人情報保護委員会に報告
2023年9月5日 「【重要】弊社に関する虚偽情報にご注意ください」公表
2023年9月6日 「【重要】弊社サーバへの不正アクセスのご報告と今後の対応」公表
2023年9月6日 弊社ホームページのトップページのみを限定して復旧
2023年9月8日 弊社関係者に対して、犯人と思われる人物より3通目のメール配信
2023年9月8日 情報の流出及び流出可能性について調査を継続
2023年9月8日 「【重要】不正アクセスに関するご報告(続報)」公表
2023年9月8日 愛宕警察署及び警視庁サイバー犯罪対策課へ情報を共有
2023年9月11日 セキュリティ専門企業へ原因究明調査を打診
2023年9月11日 問い合わせフォームを復旧。一般からの問い合わせ受付開始
2023年9月13日 セキュリティ会社にホームページセキュリティの脆弱性チェックの検討開始
2023年9月15日 弊社関係者に対して、犯人と思われる人物より4通目のメール配信
2023年9月15日 「【重要】不審メールに関するご連絡」公表
2. 被害の原因及び状況
外部専門家及び弊社システムエンジニアと共に、不正アクセスを受けたデータサーバの通信ログを調査した結果、本件の概要は以下の通りであることが判明しました。
2023 年 9 月 4 日深夜、弊社サーバにアップされていた外部メルマガ管理システムがサイバー攻撃を受け、弊社サーバが不正なアクセスを受けました。弊社では 2021 年頃から当該メルマガ管理システムの使用しておりませんでしたが、サーバ上で保管していたため攻撃の対象となりました。なお、当該システムは現在弊社サーバ上から完全に削除されています。
なお、特定の弁護士名を名乗る犯人より 3 回にわたり送信された一斉メールは、その送信範囲からすると、不正アクセス時に不当に取得された個人情報に対して送られたものであると判断しております。
また、弊社サーバの通信ログを解析した結果、弊社が利用していた外部メルマガ管理システムを起点に、不正アクセスをした者によってサーバ内のデータを全て削除されたと判断しております。これにより弊社の主なサービスは現在も運営できない状況に陥っております。(なお、本報告日現在におきましても復旧対応中となります。)
弊社では、所轄の警察署及び警視庁のサイバー犯罪対策課と連携を進めており、警察からは、既に調査を開始しているとの連絡を受けています。また、個人情報保護委員会に対しても、本件の報告を行っております。
3. 漏えい等したデータの内容
①流出の規模 「仕事旅行サーバ」に保管されていた情報となります。 2011 年 2 ⽉から 2023 年9 月 5 日までに入力された情報となります。
②流出した主な情報
·⽒名(ふりがな)
·住所 ·電話番号
メールアドレス
·⽣年⽉⽇
·職業/業種/性別/職種 ·学歴・職務経歴(求⼈応募をされた⽅のみ)
③漏洩した件数 33,670 件(2023 年 9 月 15 日現在)
※9 月 5 日時点で退会済みの顧客データも含まれます。
なお、弊社では、サービス販売等における決済取引は全て外部委託先のシステムを利用しております。このため、弊社は決済情報を一切保有しておらず、本件においてはクレジットカード情報等の流出はございません。
また、弊社の運営するサービスにログインする際に設定いただきましたパスワードに関しましても、ハッシュ化(二重暗号化)を行なっているため、流出はございません。
4. 再発防止に向けたセキュリティ強化策
本報告日現在で対策済みの事項及び今後の対策予定に分けてそれぞれご説明いたします。
【対策済】
(1) 被害拡⼤防⽌等のため実施した内容
1. 弊社 Web サーバの遮断
2. 対象者に緊急の注意喚起メールの送信
3. サイトでの注意喚起の公表
4. サーバに関連するパスワードの変更
5. 外部専門家との事実関係調査
(2) ⾏政等との連携及び報告のため実施した内容
1. 管轄の警察署及び警視庁サイバー犯罪対策課への報告
2. 個⼈情報保護委員会への報告
3. 外部のセキュリティ対策専門家への相談
【対策予定】
1. 外部の専門家による脆弱性チェックの実施
2. 再発防止策の策定
3. 外部専門家及びセキュリティ監督委員会等の提言を踏まえ、再発防止に向けた種々のセキュリティ強化の検討・体制の構築
4. (上記対策を講じた上での)安全性を担保したサービスの復旧
本報告日現在でのご報告とご案内は以上のとおりでございますが、今後におきましても、本件の状況、犯行状況、弊社サービスの復旧状況につきましては、引き続きご案内申し上げます。
この度は、皆様には多大なるご迷惑とご心配をおかけしておりますこと、重ねてお詫び申し上げます。
【セキュリティ事件簿#2023-370】厚生中央病院 個人情報漏洩のおそれについて 2023年9月14日
8月26日、当院職員が自宅で使用しているパソコンが、サポート詐欺の手口により遠隔操作される事態が発生しました。
このパソコンに接続していたUSBメモリには、研究目的で①当院で診療(2020年2月20日~2021年9月17日)した新型コロナ感染症及びその疑いがあった患者等に関する情報771名分と②当院職員の感染対策として行った検査(2011年3月2日~2013年12月25日)に関する情報510名分のデータがありましたが、どちらのデータにも個人の連絡先は含まれておりません。
しかしながら、要配慮個人情報(診療内容や検査結果等)にあたる情報が含まれていることから、国の個人情報保護委員会へ報告するとともに、サポート詐欺による情報漏えいの可能性について調査を進めているところです。
現時点では、データのコピーまたは閲覧がされた形跡は確認されておらず、また、被害等の報告を受けておりませんが、関係される皆さまにご心配をお掛けすることとなり深くお詫び申し上げます。
事態を厳粛に受け止め、個人情報の取り扱いの徹底を行い、再発防止に取り組んでまいります。
登録:
投稿 (Atom)