【セキュリティ事件簿#2023-413】山口金属曲板工業株式会社 当社取引先様のお客様氏名等の外部漏えいの可能性について

 

当社小郡事業所 (山口県山口市) において、 生産システムサーバーがランサムウェアに感染し、 不正に暗号化されたことにより、お取引先様のお客様氏名等を含む内部データが外部に漏えいした可能性があることがわかりましたので、お知らせいたします。

お客様をはじめ多くの関係者の皆さまにご迷惑とご心配やおかけしますことを謹んでお詫び申し上げます。

【概要】

• 9 月19 日、当社小郡事業所の生産システムサーバーがランサムウェアに感染し、当該サーバー内のデータが暗号化されアクセス不可能な状態になりました。
• 当該サーバー内には、お取引先様のお客様の氏名 (一部の建築地住所を含む) を含むデータが存在しており、当該データについては外部に漏えいした可能性があります。
• 本件に関しまして、当社より所轄警察署への相談はすでに行っております。

【漏えいのおそれのあるお取引先様への対応】

• 本件に関しましては、当該サーバー内のデータにお客様の氏名等が含まれていたお取引先様へ当社より報告を行っております。

【原因及び再発防止策】

• 本件は当社生産システムサーバーの脆弱性により、ランサムウェアに感染したこととが原因です。 本件を受け、保守ベンダーの変更等のセキュリティ向上策を実施いたしました。
• 再発防止のため、今後お取引先様から受領した発注データの管理を含め、情報セキュリティの一層の強化に取り組んでまいります。

この度は多くのお客様に対し、多大なご迷惑とご心配をおかけいたしましたこと、改めてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-412】国際刑事裁判所がハッカーに侵入される

 

先週、国際刑事裁判所（ICC）のシステムがハッカーに侵害される事件が発生しました。

ICCは、オランダの当局と協力し、事件の調査を進めています。

ICCはまた、クラウド技術の採用を急ぐことを含め、サイバーセキュリティの防御を強化する努力を強化する計画を概説しました。

現時点では、攻撃の範囲やICCのシステムに対する影響、または攻撃者がネットワークからデータやファイルにアクセスまたは抽出したかどうかに関する情報は利用できません。

ICCは、「裁判所の基本的な業務が続くことを確認する」ことに焦点を当てて、「この事件の影響を分析し、軽減し続ける」と述べています​。

出典：Hackers breached International Criminal Court’s systems last week

【セキュリティ事件簿#2023-411】Microsoft、未保護のAzureストレージを通じて38TBのプライベートデータをお漏らし

 

MicrosoftのAI研究部門は、2020年7月から始まり、公開のGitHubリポジトリにオープンソースのAI学習モデルを共有する過程で、重大なデータ漏洩事件を引き起こしていました。この事実は、ほぼ3年後の最近になってクラウドセキュリティ専門企業Wizによって発見されました。Wizのセキュリティリサーチャーは、Microsoftの従業員が誤って漏洩情報を含むAzure BlobストレージバケットのURLを共有したことを明らかにしました。

このデータ漏洩は、過度に許容的なShared Access Signature（SAS）トークンの使用に関連しているとMicrosoftは述べています。このAzureの機能は、データ共有を可能にし、しかしWizの研究者によれば、この機能は監視と取り消しに難航すると説明されています。正しく使用される場合、SASトークンは、ストレージアカウント内のリソースへの委任アクセスを安全に許可する手段を提供します。これには、クライアントのデータアクセスに対する正確な制御、彼らが対話できるリソースの指定、これらのリソースに対する権限の定義、およびSASトークンの有効期間の決定が含まれます。

Wizは警告して、監視とガバナンスの不足のため、SASトークンはセキュリティリスクをもたらし、その使用はできる限り制限されるべきであると述べています。これらのトークンは非常に追跡が困難で、MicrosoftはAzureポータル内でこれらを管理するための集中化された方法を提供していないためです。さらに、これらのトークンは効果的に永続的に設定され、有効期限に上限がないため、Account SASトークンを外部共有に使用することは安全ではなく、避けるべきであるとも述べています。

Wizの研究チームは、オープンソースモデルの他に、この内部ストレージアカウントは38TBの追加のプライベートデータへのアクセスも誤って許可していたことを発見しました。漏れたデータには、Microsoft社員の個人情報のバックアップ、Microsoftサービスのパスワード、秘密キー、および359名のMicrosoft社員からの30,000以上の内部Microsoft Teamsメッセージのアーカイブが含まれていました。この事件に対するMicrosoft Security Response Center (MSRC) チームのアドバイザリーでは、顧客データは漏洩せず、他の内部サービスもこの事件のために危険にさらされていないとMicrosoftは述べています。

出典：Microsoft leaks 38TB of private data via unsecured Azure storage

【セキュリティ事件簿#2023-410】株式会社サンリオ サンリオオンラインショップに係る個人情報漏洩に関するお知らせとお詫び

 

この度、株式会社サンリオ（本社：東京都品川区、以下「弊社」といいます）のオンラインショップ「サンリオオンラインショップ本店」にて、障害が発生し、一部のお客様において「マイページやご注文手続きページで、自分の情報でなく他のお客様の情報が表示される」という事象が発生いたしました（以下、「本件」といいます）。現時点では、お客様情報の不正利用などの事実は確認されておりませんが、皆様には多大なるご迷惑およびご心配をお掛けする事態にいたりましたこと、ここに深くお詫び申し上げますとともに、再発防止に向けて徹底を図る所存です。

1.経緯

2023年10月12日（木）13時20分～14時の間に、二人のお客様より弊社コンタクトセンターに対して「マイページやご注文手続きページで自分の情報でなく他のお客様の情報が表示される」というご連絡をいただきました。弊社にて調査を実施した結果、当該事象が発生していることを確認し、同日14時54分にオンラインショップの運営を一時的に停止いたしました。

その後の追加調査の結果、同日12時19分～14時54分の間、当該事象が発生する可能性がある状態となっていたことが判明いたしました。

2. 個人情報が表示されていた情報媒体

サンリオオンラインショップ本店。（実店舗やサンリオプラスアプリでは当該事象は発生しておりません）。

3. 発生期間（本人以外の個人情報が表示された発生期間）

2023年10月12日（木）12時19分～14時54分。

4.個人情報漏洩の対象となるお客様

上記3.の期間において、サンリオオンラインショップ本店へログインを⾏なった一部のお客様。

5. 漏洩が発生、もしくは発生した可能性があるお客様の数

最大145名のお客様情報。

6. 漏洩情報の種類

表示された可能性がある情報の種類は以下の通りとなります。

• 注文者情報【氏名/ニックネーム/メールアドレス/郵便番号/住所/電話番号】
• お子様情報【ニックネーム/生年月日/性別】
• お届け先情報【氏名/住所/電話番号】
• クレジットカード番号の下 3 桁/有効期限
• 注文商品名および金額

7.原因

大量アクセスに対応するためのサーバー負荷分散システムの誤設定（弊社オンラインショップのシステム運用会社である株式会社ビービーエフにて、弊社からの依頼に基づきサーバー負荷分散システムの設定を実施する際に、一部の設定に誤りがあったために発生）。

8.実施済みの対応と現在の状況

• 2023 年 10 月 12 日（木）14:54 にオンラインショップの運営を一時的に停止いたしました。結果、それ以降の漏洩は生じていない状況です。
• 本件の対象となる可能性があるお客様は特定済みであり、該当のお客様には、弊社より順次メールにてご連絡差し上げております。

9.今後の対応

弊社は、本件発生を重く受け止め、今後同様の事態が発生しないよう障害の要因となったシステムの障害対策強化・セキュリティ強化を実施し、信頼回復に全力を尽くして参ります。

皆様に、ご心配とご迷惑をお掛けしておりますことに、改めて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-409】株式会社リコー 不正アクセスによる情報流出に関するお知らせとお詫び

 

株式会社リコーは、このたび、クラウドストレージサービス「RICOH Drive」が第三者による不正アクセスを受け、お客様登録情報の一部が、外部に流出した可能性があることを確認しましたので、お知らせいたします。

お客様には多大なご心配、ご迷惑をおかけし、深くお詫び申し上げます。

1. 今回の不正アクセスによる情報流出の状況

• お客様のログインID（4,244ID）
  ＊このうち、ログインIDにメールアドレスを設定しているお客様が629件あります。
  ＊お客様の保存ファイル、パスワードなどの流出はございません。
  ＊IDはリコーグループ内での利用を除いた数となります。
  
  
• うち、ログインIDに加えて、登録氏名＋メールアドレス＋暗号化したパスワード（3件）
  ＊ユーザープロパティ情報への不正アクセスによるもの。
  ＊お客様の保存ファイルの流出はございません。
  
  
• うち、ログインIDに加えて、暗号化したパスワード（3件）
  ＊ユーザープロパティ情報への不正アクセスによるもの。
  ＊お客様の保存ファイルの流出はございません。

2. 発生とその把握の日時

発生：2023年9月18日 21時46分～同日 22時01分

把握：2023年10月4日 17時

3. 発生原因

• XXE（XML External Entity）脆弱性＊を利用した情報取得
  ＊アプリケーションがXMLを解析した際に、XMLの特殊構文を悪用されて発生する脆弱性

4. 対策

• 脆弱性への対応
• 監視体制の強化
• 該当するお客様に対する個別のご連絡と注意喚起

5. 二次被害又はそのおそれの有無及びその内容

想定される二次被害

• スパムメール等のメール受信
• “なりすまし”による不正ログイン

状況

現時点では確認されていませんが、今後、これらの個人情報を悪用し、フィッシングメールやスパムメール等が送付される可能性があります。不審なメールを受け取られた場合は慎重にご対応くださいますようよろしくお願いします。

また他のサイトにおいて不正ログインの試みが発生する可能性がありますので、十分に複雑なパスワードや多要素認証の利用をお願いします。

6. お客様へのお願い事項

• 不審なメールを受信した際には開封せずに削除をお願いいたします。
• 推察しやすい簡易なパスワードを設定している場合（1111など）は、パスワードの変更をお願いいたします。
• パスワードポリシーの設定（パスワードの長さ、複雑さ、アカウントロックまでのパスワードエラー回数の設定）の見直しをご検討ください。
• 2段階認証（ログイン時にメールアドレス入力とワンタイムパスワードの発行）は、なりすまし対策に最も有効な対策となりますので、ご検討ください。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-408】愛知県 「Ｘ投稿プレゼントキャンペーン」における個人情報の漏えいについて

昨日（10月12日（木曜日））、愛知・名古屋大河ドラマ展実行委員会（県と名古屋市で構成）が実施した「Ｘ（旧Twitter）投稿プレゼントキャンペーン」において、当選者のうち9名分の個人情報が漏えいする事案が判明しました。

　キャンペーン当選者の皆様を始め、関係者の方々に御迷惑をおかけし、深くお詫びするとともに、個人情報の適切な管理及び取扱の徹底を行い、再発防止に努めてまいります。

（参考）「Ｘ投稿プレゼントキャンペーン」について

期間：2023年8月19日（土曜日）から9月24日（日曜日）まで

内容：名古屋城金シャチ横丁の土産店「鯱上々」で、「家康」をテーマに写真を撮り、「鯱上々」内に隠されたキーワードとともにＸに写真を投稿した方のうち、抽選で100名の方に、Amazonギフトカード2,000円分をプレゼントするキャンペーン。

実施：愛知・名古屋大河ドラマ展実行委員会が株式会社ジェイアール東日本企画中部支社に委託して実施。

1　漏えいした個人情報​

　同キャンペーンの当選者のうち9名分の氏名、Ｘアカウント名及びメールアドレス

※同キャンペーンの当選者100名のうち最初の13名に対して、10月11日（水曜日）午後10時37分にダイレクトメッセージで景品送付先に関する情報入力の依頼を行い、10月12日（木曜日）午前9時49分までに入力を行った9名の方の情報が相互で閲覧可能な状態にありました。

2　原因

　大河ドラマ展ＰＲ業務の受託者である株式会社ジェイアール東日本企画中部支社（名古屋市中村区）が、同キャンペーンの当選者に対して送信した、景品（ギフトカードのシリアル番号）の送信先の入力フォームの設定に誤りがあったため。

3　経緯と対応

10月11日（水曜日）午後10時37分

同キャンペーンの当選者のうち最初の13名に対して、Ｘのダイレクトメッセージで入力フォームを送付し、景品の送付先に関する情報の入力を依頼した。

10月12日（木曜日）午前0時47分から午前9時11分まで

入力フォーム登録者全員の登録情報（氏名、Ｘアカウント、メールアドレス）が閲覧できる旨の報告が、当選者から3件寄せられた。

10月12日（木曜日）午前9時49分

受託者である株式会社ジェイアール東日本企画中部支社において確認したところ、個人情報の漏えいが確認されたため、管理者のみが閲覧可能な状態に設定を変更した。

10月12日（木曜日）午後7時から

個人情報が漏えいした入力フォーム記入者9名全員に対して、謝罪した。

 4　再発防止策

​　今回の事案を踏まえ、同様の事案が発生しないように、個人情報の適切な管理及び取扱について受託者を指導するとともに、県においても、業務期間内の受託者の管理及び取扱状況を確認することによりチェック体制を充実させ、再発防止を徹底します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-407】株式会社FANSMILE 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が2022年12月22日まで運営しておりました、リニューアル前の「NICO ONLINE SHOP(https://nico-online.com/)」（以下、「当サイト」といいます。）におきまして、お客様のクレジットカード決済情報13,084件を含む購入情報14,487件が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

■ 1.経緯

2023年2月22日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受けました。

弊社では、クレジットカード会社から上記連絡を受ける以前の2022年12月22日に、当サイトをリニューアルしておりましたが、あらゆる危険性を考慮し、2023年2月22日、当サイトでのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年4月30日、調査機関による調査が完了し、2021年3月2日～2022年12月22日の期間に当サイトで購入されたお客様のクレジットカード情報および個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

■ 2.個人情報漏えい状況

(1)原因

弊社が運営するサイトへの第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2021年3月2日～2022年12月22日の期間中に当サイトにおいてクレジットカード決済をされたお客様13,084件で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

2021年3月2日～2022年12月22日の期間中に当サイトにおいて購入されたお客様14,487件で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・郵便番号

・住所

・電話番号

・メールアドレス

・購入履歴

・会社名

・FAX番号

・性別

・生年月日

※なお、配送先を購入者住所とは別でご入力いただいた場合はそちらも対象となります。

上記 (2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

■ 3.お客様へのお願い

既に弊社では、決済代行会社と連携し、クレジットカード会社が漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

■ 4.公表までに時間を要した経緯について

2023年2月22日の漏えい懸念の発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

■ 5.再発防止策ならびにクレジットカード決済の再開時期について

リニューアル後（2022年12月23日～現在）の当サイトでは、不正アクセスの影響が無いことを第三者機関の調査で確認しております。また、このたびの事態を厳粛に受け止め、調査結果を踏まえて、より強固なセキュリティ対策と監視体制の強化を行い、再発防止に努めてまいります。リニューアル後の当サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会事務局には2023年2月24日に報告済みであり、また、所轄警察署にも2023年6月9日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-406】JR東日本ホテルメッツ 五反田 不正アクセスによるお客様の個人情報流出の可能性及びフィッシングサイトに誘導するメッセージの配信についてのお詫びとお知らせ

 

この度、JR東日本ホテルメッツ五反田におきまして、当ホテルで利用しているooking.com社（本社：アムステルダム（蘭））の宿泊予約情報管理システム（以下、管理システム）が不正アクセスを受け、一部のお客様の個人情報が流出した可能性を否定できない事態が発生いたしました。

また、悪意のある人物により一部のお客様に対してフィッシングサイト（※）へ誘導するメッセージが配信されたことを確認いたしました。

詳細についてはいずれも調査中でございますが、お客様にはご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。

また、お客さまにおかれましては、そのようなメッセージを受信した場合、記載されたURLリンクへアクセスされませんよう、お願い申し上げます。

※「フィッシングサイト」とは、不正な手法を用いて個人情報や金融情報を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。

１．事象の経緯

2023年10月5日（木）16時過ぎより、Booking.com経由でご予約いただいたお客様から、フィッシングサイトへ誘導するメールが届いているとのお問い合わせが当ホテルに寄せられたことで、管理システムが不正アクセスを受けたことが判明いたしました。

これを受けて、当社は直ちに管理システムへのログインパスワードの変更を行うとともに、Booking.com社経由の新たな宿泊予約の受付を停止する対応を行いましたが、管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性を否定できない状況です。不正アクセスの原因等については、現在当社及び関係機関において調査中です。

なお、Booking.com社以外の管理システムからご予約いただきましたお客様の個人情報の流出等は確認されておりません。

２．お客様への対応

お問い合わせいただきましたお客さまには、状況をご説明のうえ、記載されたURLリンクへのアクセスをされないようご案内しております。また、Booking.com社経由でご予約いただいたお客様へは、同内容の注意喚起のご連絡を差し上げております。

３．今後の対応と再発防止策

現在、関係機関と連携を取りつつ原因調査を進め、必要な対策を実施することにより再発防止に万全を期してまいります。また、詳細が明らかになりましたら随時報告させていただきます。

この度は、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）