【セキュリティ事件簿#2023-407】株式会社FANSMILE 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が2022年12月22日まで運営しておりました、リニューアル前の「NICO ONLINE SHOP(https://nico-online.com/)」（以下、「当サイト」といいます。）におきまして、お客様のクレジットカード決済情報13,084件を含む購入情報14,487件が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

■ 1.経緯

2023年2月22日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受けました。

弊社では、クレジットカード会社から上記連絡を受ける以前の2022年12月22日に、当サイトをリニューアルしておりましたが、あらゆる危険性を考慮し、2023年2月22日、当サイトでのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年4月30日、調査機関による調査が完了し、2021年3月2日～2022年12月22日の期間に当サイトで購入されたお客様のクレジットカード情報および個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

■ 2.個人情報漏えい状況

(1)原因

弊社が運営するサイトへの第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2021年3月2日～2022年12月22日の期間中に当サイトにおいてクレジットカード決済をされたお客様13,084件で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

2021年3月2日～2022年12月22日の期間中に当サイトにおいて購入されたお客様14,487件で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・郵便番号

・住所

・電話番号

・メールアドレス

・購入履歴

・会社名

・FAX番号

・性別

・生年月日

※なお、配送先を購入者住所とは別でご入力いただいた場合はそちらも対象となります。

上記 (2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

■ 3.お客様へのお願い

既に弊社では、決済代行会社と連携し、クレジットカード会社が漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

■ 4.公表までに時間を要した経緯について

2023年2月22日の漏えい懸念の発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

■ 5.再発防止策ならびにクレジットカード決済の再開時期について

リニューアル後（2022年12月23日～現在）の当サイトでは、不正アクセスの影響が無いことを第三者機関の調査で確認しております。また、このたびの事態を厳粛に受け止め、調査結果を踏まえて、より強固なセキュリティ対策と監視体制の強化を行い、再発防止に努めてまいります。リニューアル後の当サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会事務局には2023年2月24日に報告済みであり、また、所轄警察署にも2023年6月9日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-406】JR東日本ホテルメッツ 五反田 不正アクセスによるお客様の個人情報流出の可能性及びフィッシングサイトに誘導するメッセージの配信についてのお詫びとお知らせ

 

この度、JR東日本ホテルメッツ五反田におきまして、当ホテルで利用しているooking.com社（本社：アムステルダム（蘭））の宿泊予約情報管理システム（以下、管理システム）が不正アクセスを受け、一部のお客様の個人情報が流出した可能性を否定できない事態が発生いたしました。

また、悪意のある人物により一部のお客様に対してフィッシングサイト（※）へ誘導するメッセージが配信されたことを確認いたしました。

詳細についてはいずれも調査中でございますが、お客様にはご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。

また、お客さまにおかれましては、そのようなメッセージを受信した場合、記載されたURLリンクへアクセスされませんよう、お願い申し上げます。

※「フィッシングサイト」とは、不正な手法を用いて個人情報や金融情報を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。

１．事象の経緯

2023年10月5日（木）16時過ぎより、Booking.com経由でご予約いただいたお客様から、フィッシングサイトへ誘導するメールが届いているとのお問い合わせが当ホテルに寄せられたことで、管理システムが不正アクセスを受けたことが判明いたしました。

これを受けて、当社は直ちに管理システムへのログインパスワードの変更を行うとともに、Booking.com社経由の新たな宿泊予約の受付を停止する対応を行いましたが、管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性を否定できない状況です。不正アクセスの原因等については、現在当社及び関係機関において調査中です。

なお、Booking.com社以外の管理システムからご予約いただきましたお客様の個人情報の流出等は確認されておりません。

２．お客様への対応

お問い合わせいただきましたお客さまには、状況をご説明のうえ、記載されたURLリンクへのアクセスをされないようご案内しております。また、Booking.com社経由でご予約いただいたお客様へは、同内容の注意喚起のご連絡を差し上げております。

３．今後の対応と再発防止策

現在、関係機関と連携を取りつつ原因調査を進め、必要な対策を実施することにより再発防止に万全を期してまいります。また、詳細が明らかになりましたら随時報告させていただきます。

この度は、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-405】垂井町 歴史講演会当選者への連絡による個人メールアドレスの流出について

 

垂井町業務の委託事業者である株式会社ポニーキャニオン が、今和 5 年１０月５日（木）に送信した「垂井町歴史講演会にご当選の皆様」 において、誤って個人のメールアドレス２３６件が流出する事案が発生しましたので報告いたします。

１ 概要

垂井町 産業課において、歴史講演会の開催を企画し、業務を株式会社ポニーキャニオンへ委託しました。講演会の観覧希望者は応募制とし、開催日が近づいたことから、当選者の個人メールアドレスのみを委託事業者へ提供し、事業の概要及び注意事項を当選者へメール送信を行ったところ、誤って他人のメールアドレスが表示された状態で各個人あてに送信してしまったものです。

2 影響

送信先: ２３６名、流出対象者: ２３６名

3 経緯

１０月５日（木） 

午前１０時

委託事業者がメールを送信

午前１０時１０分

当該メールを受け取られた方から、メールアドレスが見られるようになっているとの電話が町へあった。確認したところ、誤って送信先全員を宛先（TO）で送っていたことが判明。町から委託事業者へ事故発生を伝える。

午前１１時４５分

委託事業者から対象者あて、お詫びとともに送信したメールを削除していただくようお願いする内容のメールを送信

10 月６日（金） 

午後１時３０分

町から対象者へお詫びと概要・経緯のメールを送信

４ 事案発生原因

委託事業者である株式会社ポニーキャニオンの担当者が、今回のメール送信にあたって、ダブルチェックなどの措置を行わず、一人で行ったことによるものです。

5 今後の対応

今回の件を重く受け止め、委託事業者に対し、情報セキュリティ対策を踏まえた業務執行体制の 確保を求め、個人情報の保護を徹底するようさらなる監督及び指導を行い、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-404】ART MON ZEN KYOTO 弊社InstagramとFacebookアカウントについてのお詫びとご報告

いつもART MON ZEN KYOTOをご愛顧賜りまして誠にありがとうございます。

2023年9月27日 、弊社Instagramアカウント＠hotel_art_mon_zen_kyotoと

FacebookアカウントART MON ZEN KYOTOが、第三者により不正アクセス及び乗っ取り被害を受けていたことが判明いたしました。

以下に、発生した事象と対処についてご報告申し上げます。

発生した事象について

弊社Instagramアカウント＠hotel_art_mon_zen_kyoto と

弊社FacebookアカウントART MON ZEN KYOTOに

おきまして悪意ある第三者による不正アクセス及び乗っ取り被害が発覚いたしました。

2023年9月27日以降、弊社からインスタグラムやFacebookを使用して投稿することやダイレクトメッセージをお送りすることはございません。 

万が一ダイレクトメッセージ等、弊社を装った連絡や弊社への誘導を装うURLがあった場合には開かれませぬようお願いいたします。

また開かれた場合にはスパムの恐れがございますので内容に従わないよう、ご注意くださいませ。

インスタグラムやFacebookにつきましては、被害の報告と解決のリクエストを運営会社に現在依頼中でございます。

対処について現在、再発防止のため原因の調査および、各ソーシャルメディアアカウントの

運用ポリシーの精査を行っております。

お客さまにはご迷惑とご心配をおかけし、誠に申し訳ございません。

今回の不正アクセスを防止する緊急対策として、直ちにWebサイトのセキュリティを強化いたしました。

お客様にご心配をお掛けいたしましたこと、心よりお詫び申し上げます。

全社一丸となって、お客さまの信頼回復に努めてまいりますので、引き続きご利用いただけますと幸いです。

今後とも宜しくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-403】株式会社マウンハーフジャパン 「MHJストア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が運営する「ＭＨＪストア」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報23,309件を含む個人情報最大25,326件が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

 なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールまたは書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年7月27日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年7月27日弊社が運営する「ＭＨＪストア」でのカード決済停止およびストアの閉鎖をいたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年8月27日、調査機関による調査が完了し、2021年3月2日～2023年7月18日の期間に　「ＭＨＪストア」で書籍の購入や検定・講座をお申込みされたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。7月18日までの期間となる理由は、2023年7月18日に「ＭＨＪストア」は異なるプラットフォームを使用した新ストアへリニューアルをおこなっているためです。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

　弊社が運営する「ＭＨＪストア」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏洩の可能性があるお客様

2021年3月21日～2023年7月18日の期間中に「ＭＨＪストア」においてクレジットカード決済をされたお客様23,309名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏洩の可能性があるお客様

過去に当サイトをご利用いただいたお客様最大25,326名で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・住所、郵便番号

・電話番号

・メールアドレス

・購入履歴

・性別

・生年月日

・会社名（任意入力項目）

・FAX番号（任意入力項目）

上記(2)(3)に該当する25,326名のお客様については、別途、電子メールまたは書状にて個別にご連絡申し上げます。

3.お客様へのお願い

　既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

　なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をおかけしないよう、弊社よりクレジットカード会社へ依頼しております。

4.公表が遅れた経緯について

2023年7月27日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことといたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年7月28日に報告済みであり、また、所轄警察署にも2023年9月8日被害申告をしており、今後捜査にも全面的に協力してまいります。

6.現在のＭＨＪストアについて

不正アクセスを受けたオンラインショップは2023年7月18日に閉鎖、同日に異なるプラットフォームを使用した新システムにリニューアルを行ないました。不正アクセスを受けたシステムとは相関関係がないことを確認した上で、より堅牢なシステムにて運営を再開する所存で御座いますので、ご迷惑をおかけしますが、今しばらくお待ちください。再開次第当サイトにてお知らせ申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-402】ハッキング被害に見舞われた日出町社会福祉協議会: メールアドレス流出とウェブサイトのダウン

 

日出町社会福祉協議会は、サイバー攻撃の対象となり、大きなデータ漏洩事故が発生しました。この攻撃により、約500件のメールアドレスが不正に流出しました。流出したメールアドレスの中には、協議会が提供する介護や子育て支援事業を利用していた個人の情報が含まれていたとされています。この事態は、協議会のホームページが利用できなくなるという結果をもたらしました。協議会の職員は、この問題に対処するために追われています。

協議会によれば、流出したメールアドレスの中には名前を含むものが15件あり、これらのメールアドレスは一時的にインターネット上の掲示板に公開されていました。この事件は協議会にとって予期せぬものであり、藤本英示事務局長は、「まさかうちの社会福祉協議会のサーバーにこのような攻撃を受けるとは全く予測していなかったので非常に驚いている」とコメントしています。

この事件は9月20日に発覚し、現時点で二次被害は確認されていないとのことです。協議会はこの事件に関する調査を急ピッチで進めており、今後の対応策を検討しています。さらに、協議会は利用者に対して個人情報の流出を通知し、関係者には注意を喚起しています。

協議会のウェブサイトは、この記事を執筆する現在も利用できない状態が続いています。これにより、協議会のサービスへのアクセスが困難になり、利用者にとっては大きな不便が生じています。協議会はウェブサイトの復旧を急ぎ、さらなる被害の拡大を防ぐために努力を続けています。

出典：日出町社協にサイバー攻撃「まさかうちが」メールアドレス約５００件流出　ＨＰも利用できない状態に　大分

【セキュリティ事件簿#2023-401】秋田書店 当社Webサーバへの不正アクセスについて

 

このたび、当社が管理運用するWebサーバにおきまして、第三者による不正アクセスを受け不正なメールフォームが設置されていたことが判明しました。

すでに当該Webサーバにて運用しておりましたWebサイトは閉鎖しておりますが、フィッシング詐欺メールに利用されていた可能性があることを確認しております。

なお、当該Webサーバには個人情報に関連するデータを扱っておらず、このたびの不正アクセスにおける個人情報の流出はございません。

今後、新たに報告すべき事項が判明次第、速やかにお知らせし、被害拡大の防止及び再発防止に向けて対応して参ります。

関係する皆さまには、多大なるご心配とご迷惑をおかけすることを、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-394】双日株式会社 当社元社員の逮捕について

 

本日、当社元社員が不正競争防止法違反の容疑で警視庁に逮捕されたと発表がありました。

このような事態に至り、お客様や株主などステークホルダーの皆様に多大なご心配とご迷惑をおかけすることになり、心よりお詫び申し上げます。

当社グループでは、かねてより、その持続的な成長と企業価値の向上のためにはコンプライアンスを徹底することが不可欠であると考え、特に、情報管理に関しては、キャリア入社社員に対して、前職で業務上知り得た機密情報を当社に持ち込まないことについて明記した誓約書を入社時に差入させるなどの未然防止および社員の教育と啓蒙に努めてまいりました。そのような中、このたび、上記元社員が、前職企業から情報を不正に持ち出したとして逮捕されたことは極めて遺憾です。当社で調査した結果、上記元社員に情報の持ち出しを指示したなどの事実、および情報を当社事業に不正に用いたとの事実など、組織的関与は把握しておりません。

しかしながら、引き続き捜査に全面的に協力するとともに、事態を重く受け止め、再発防止に向けたいっそうの取り組みを実施してまいります。

リリース文（アーカイブ）