【セキュリティ事件簿#2023-414】株式会社テイツー お客様の個人情報流出についてのお詫びとお知らせ

 

当社は、「ふるいち イオンモール幕張新都心店」のオープン(2023 年 10 月 19 日予定)に先立って、同店のグランドオープン記念として、トレーディングカードの web 事前抽選の受付を、当社の「ふるいち店舗情報サイト」(https://www.furu1.net/index.html)上で、2023 年 10 月 9 日 18:00 ごろから開始しました。

しかしながら、受付開始後複数の抽選申込者様から、抽選申込の入力内容確認画面において、抽選申込者様とは異なる個人情報が表示されるとのご指摘をいただき、20:00 ごろに抽選受付を停止しました。

本事案の発生を受け、当社内に同日中に「緊急対策本部」を設置し、影響範囲の調査を開始しました。現時点で上記の約 2 時間の間に抽選申込をされた抽選申込者様約 770 名の入力情報が、他の申込者様の入力内容確認画面に表示された可能性があることが判明しております。

また、ご指摘をいただいた抽選申込者様の他に同様の現象が発生していないかどうかを、「ふるいち店舗情報サイト」の保守委託先である株式会社サイト・パブリス(東京都千代田区九段南一丁目 4 番 5 号、代表取締役社長 二通 宏久)と共同で調査を行っております。

なお、流出した可能性のある個人情報は、氏名、生年月日、住所、電話番号、メールアドレスであり、クレジットカード情報等の決済に係る情報は含まれておりません。また、現時点で該当ページにおける抽選受付は停止しており、今後、上記の現象により新たな流出が生じる懸念はないものと考えております。

ご指摘をいただいた抽選申込者様をはじめとした本 web 事前抽選に関係する皆様に対し、多大なるご迷惑とご心配をおかけしておりますことをお詫びするとともに、当社の関係者の皆様に対してもご懸念を抱かせてしまいましたこと併せてお詫び申し上げます。上記調2査の進捗に応じて本 web 事前抽選に関係する皆様に個別に対応を行い、並びに調査結果及び再発防止策を速やかに取りまとめ、準備が整い次第改めて開示することをお知らせいたします。

リリース文アーカイブ

【セキュリティ事件簿#2023-413】積水ハウス株式会社 弊社委託先企業におけるお客様名等の外部漏えいの可能性について


弊社が換気基礎捨て水切などの製造を委託しております山口金属曲板工業株式会社(本社:大阪市阿倍野区、以下「山口金属曲板工業社」)小郡事業所(山口県山口市)の生産システムサーバーがランサムウェアに感染し、不正に暗号化されたことにより、弊社部品の発注データが外部に漏えいした可能性があることがわかりましたので、お知らせいたします。お客様をはじめ多くの関係者の皆さまにご迷惑とご心配をおかけしますことを謹んでお詫び申し上げます。

【概要】

  • 9 月 19 日、弊社委託先の山口金属曲板工業社から、同社小郡事業所の生産システムサーバーがランサムウェアに感染し、当該サーバー内のデータが暗号化されアクセス不可能な状態になったとの連絡を受けました。サーバー内には、過去 15 年分の弊社部品の発注データが存在しており、当該データの中に、お客様の氏名(一部の方は建築地住所を含む)が含まれておりました。当該データについては外部に漏えいした可能性があります。
  • 生産システムについて代替手段を講じたことにより、弊社委託業務への影響は生じておりません。
  • 本件に関しては、弊社より個人情報保護委員会に報告をするとともに、山口金属曲板工業社より所轄警察署への相談を行っております。

【漏えいした可能性のある情報及びお客様への対応】

漏えいした可能性のある情報の範囲及び項目等につきましては、以下のとおりです。

対象範囲
弊社もしくは積水ハウスリフォーム株式会社にて請負契約を締結し、2007 年 12 月 6 日~2023年 10 月 23 日の間に着工または着工予定のお客様

項目
氏名のみ 109,406 件
氏名及び建築地住所 1,261 件

二次被害の有無:現在、お客様の氏名等の不正利用は確認されておりません。

※弊社発注データにお客様の情報が含まれていることが確認でき次第、順次郵送もしくはメール等でご連絡をいたします。そのため、ご連絡までに時間を頂く可能性がございますが、何卒ご容赦ください。

【原因及び再発防止策】

  • 本件は弊社委託先の生産システムサーバーの脆弱性により、ランサムウェアに感染したことが原因です。当該委託先においては保守ベンダーの変更等のセキュリティ向上施策を行いました。
  • 現在、弊社の生産調達部門の全委託先に対し、システムサーバーに対するウイルスチェックの実施要請を行い、状況の確認を進めております。また、委託先に存在する過去の発注データをネットワーク外で管理することや、データを削除することも要請いたしました。今後、委託先の情報セキュリティに関する監督強化の施策を行い、発注データの仕様変更等の対策を実施しますとともに、個人情報の取り扱いの一層の厳格化に取り組んでまいります。

【セキュリティ事件簿#2023-413】山口金属曲板工業株式会社 当社取引先様のお客様氏名等の外部漏えいの可能性について

 

当社小郡事業所 (山口県山口市) において、 生産システムサーバーがランサムウェアに感染し、 不正に暗号化されたことにより、お取引先様のお客様氏名等を含む内部データが外部に漏えいした可能性があることがわかりましたので、お知らせいたします。

お客様をはじめ多くの関係者の皆さまにご迷惑とご心配やおかけしますことを謹んでお詫び申し上げます。

【概要】

  • 9 月19 日、当社小郡事業所の生産システムサーバーがランサムウェアに感染し、当該サーバー内のデータが暗号化されアクセス不可能な状態になりました。
  • 当該サーバー内には、お取引先様のお客様の氏名 (一部の建築地住所を含む) を含むデータが存在しており、当該データについては外部に漏えいした可能性があります。
  • 本件に関しまして、当社より所轄警察署への相談はすでに行っております。

【漏えいのおそれのあるお取引先様への対応】

  • 本件に関しましては、当該サーバー内のデータにお客様の氏名等が含まれていたお取引先様へ当社より報告を行っております。

【原因及び再発防止策】

  • 本件は当社生産システムサーバーの脆弱性により、ランサムウェアに感染したこととが原因です。 本件を受け、保守ベンダーの変更等のセキュリティ向上策を実施いたしました。
  • 再発防止のため、今後お取引先様から受領した発注データの管理を含め、情報セキュリティの一層の強化に取り組んでまいります。

この度は多くのお客様に対し、多大なご迷惑とご心配をおかけいたしましたこと、改めてお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-412】国際刑事裁判所がハッカーに侵入される

 

先週、国際刑事裁判所(ICC)のシステムがハッカーに侵害される事件が発生しました。

ICCは、オランダの当局と協力し、事件の調査を進めています。

ICCはまた、クラウド技術の採用を急ぐことを含め、サイバーセキュリティの防御を強化する努力を強化する計画を概説しました。

現時点では、攻撃の範囲やICCのシステムに対する影響、または攻撃者がネットワークからデータやファイルにアクセスまたは抽出したかどうかに関する情報は利用できません。

ICCは、「裁判所の基本的な業務が続くことを確認する」ことに焦点を当てて、「この事件の影響を分析し、軽減し続ける」と述べています​。

出典:Hackers breached International Criminal Court’s systems last week

【セキュリティ事件簿#2023-411】Microsoft、未保護のAzureストレージを通じて38TBのプライベートデータをお漏らし

 

MicrosoftのAI研究部門は、2020年7月から始まり、公開のGitHubリポジトリにオープンソースのAI学習モデルを共有する過程で、重大なデータ漏洩事件を引き起こしていました。この事実は、ほぼ3年後の最近になってクラウドセキュリティ専門企業Wizによって発見されました。Wizのセキュリティリサーチャーは、Microsoftの従業員が誤って漏洩情報を含むAzure BlobストレージバケットのURLを共有したことを明らかにしました。

このデータ漏洩は、過度に許容的なShared Access Signature(SAS)トークンの使用に関連しているとMicrosoftは述べています。このAzureの機能は、データ共有を可能にし、しかしWizの研究者によれば、この機能は監視と取り消しに難航すると説明されています。正しく使用される場合、SASトークンは、ストレージアカウント内のリソースへの委任アクセスを安全に許可する手段を提供します。これには、クライアントのデータアクセスに対する正確な制御、彼らが対話できるリソースの指定、これらのリソースに対する権限の定義、およびSASトークンの有効期間の決定が含まれます。

Wizは警告して、監視とガバナンスの不足のため、SASトークンはセキュリティリスクをもたらし、その使用はできる限り制限されるべきであると述べています。これらのトークンは非常に追跡が困難で、MicrosoftはAzureポータル内でこれらを管理するための集中化された方法を提供していないためです。さらに、これらのトークンは効果的に永続的に設定され、有効期限に上限がないため、Account SASトークンを外部共有に使用することは安全ではなく、避けるべきであるとも述べています。

Wizの研究チームは、オープンソースモデルの他に、この内部ストレージアカウントは38TBの追加のプライベートデータへのアクセスも誤って許可していたことを発見しました。漏れたデータには、Microsoft社員の個人情報のバックアップ、Microsoftサービスのパスワード、秘密キー、および359名のMicrosoft社員からの30,000以上の内部Microsoft Teamsメッセージのアーカイブが含まれていました。この事件に対するMicrosoft Security Response Center (MSRC) チームのアドバイザリーでは、顧客データは漏洩せず、他の内部サービスもこの事件のために危険にさらされていないとMicrosoftは述べています。

出典:Microsoft leaks 38TB of private data via unsecured Azure storage

【セキュリティ事件簿#2023-410】株式会社サンリオ  サンリオオンラインショップに係る個人情報漏洩に関するお知らせとお詫び

 

この度、株式会社サンリオ(本社:東京都品川区、以下「弊社」といいます)のオンラインショップ「サンリオオンラインショップ本店」にて、障害が発生し、一部のお客様において「マイページやご注文手続きページで、自分の情報でなく他のお客様の情報が表示される」という事象が発生いたしました(以下、「本件」といいます)。現時点では、お客様情報の不正利用などの事実は確認されておりませんが、皆様には多大なるご迷惑およびご心配をお掛けする事態にいたりましたこと、ここに深くお詫び申し上げますとともに、再発防止に向けて徹底を図る所存です。

1.経緯

2023年10月12日(木)13時20分~14時の間に、二人のお客様より弊社コンタクトセンターに対して「マイページやご注文手続きページで自分の情報でなく他のお客様の情報が表示される」というご連絡をいただきました。弊社にて調査を実施した結果、当該事象が発生していることを確認し、同日14時54分にオンラインショップの運営を一時的に停止いたしました。

その後の追加調査の結果、同日12時19分~14時54分の間、当該事象が発生する可能性がある状態となっていたことが判明いたしました。

2. 個人情報が表示されていた情報媒体

サンリオオンラインショップ本店。(実店舗やサンリオプラスアプリでは当該事象は発生しておりません)。

3. 発生期間(本人以外の個人情報が表示された発生期間)

2023年10月12日(木)12時19分~14時54分。

4.個人情報漏洩の対象となるお客様

上記3.の期間において、サンリオオンラインショップ本店へログインを⾏なった一部のお客様。

5. 漏洩が発生、もしくは発生した可能性があるお客様の数

最大145名のお客様情報。

6. 漏洩情報の種類

表示された可能性がある情報の種類は以下の通りとなります。

    • 注文者情報【氏名/ニックネーム/メールアドレス/郵便番号/住所/電話番号】
    • お子様情報【ニックネーム/生年月日/性別】
    • お届け先情報【氏名/住所/電話番号】
    • クレジットカード番号の下 3 桁/有効期限
    • 注文商品名および金額

7.原因

大量アクセスに対応するためのサーバー負荷分散システムの誤設定(弊社オンラインショップのシステム運用会社である株式会社ビービーエフにて、弊社からの依頼に基づきサーバー負荷分散システムの設定を実施する際に、一部の設定に誤りがあったために発生)。

8.実施済みの対応と現在の状況

  • 2023 年 10 月 12 日(木)14:54 にオンラインショップの運営を一時的に停止いたしました。結果、それ以降の漏洩は生じていない状況です。
  • 本件の対象となる可能性があるお客様は特定済みであり、該当のお客様には、弊社より順次メールにてご連絡差し上げております。

9.今後の対応

弊社は、本件発生を重く受け止め、今後同様の事態が発生しないよう障害の要因となったシステムの障害対策強化・セキュリティ強化を実施し、信頼回復に全力を尽くして参ります。
皆様に、ご心配とご迷惑をお掛けしておりますことに、改めて深くお詫び申し上げます。

【セキュリティ事件簿#2023-409】株式会社リコー 不正アクセスによる情報流出に関するお知らせとお詫び

 

株式会社リコーは、このたび、クラウドストレージサービス「RICOH Drive」が第三者による不正アクセスを受け、お客様登録情報の一部が、外部に流出した可能性があることを確認しましたので、お知らせいたします。

お客様には多大なご心配、ご迷惑をおかけし、深くお詫び申し上げます。

1. 今回の不正アクセスによる情報流出の状況

  • お客様のログインID(4,244ID)
    *このうち、ログインIDにメールアドレスを設定しているお客様が629件あります。
    *お客様の保存ファイル、パスワードなどの流出はございません。
    *IDはリコーグループ内での利用を除いた数となります。

  • うち、ログインIDに加えて、登録氏名+メールアドレス+暗号化したパスワード(3件)
    *ユーザープロパティ情報への不正アクセスによるもの。
    *お客様の保存ファイルの流出はございません。

  • うち、ログインIDに加えて、暗号化したパスワード(3件)
    *ユーザープロパティ情報への不正アクセスによるもの。
    *お客様の保存ファイルの流出はございません。

2. 発生とその把握の日時

発生:2023年9月18日 21時46分~同日 22時01分

把握:2023年10月4日 17時

3. 発生原因

  • XXE(XML External Entity)脆弱性*を利用した情報取得
    *アプリケーションがXMLを解析した際に、XMLの特殊構文を悪用されて発生する脆弱性

4. 対策

  • 脆弱性への対応
  • 監視体制の強化
  • 該当するお客様に対する個別のご連絡と注意喚起

5. 二次被害又はそのおそれの有無及びその内容

想定される二次被害

  • スパムメール等のメール受信
  • “なりすまし”による不正ログイン

状況

現時点では確認されていませんが、今後、これらの個人情報を悪用し、フィッシングメールやスパムメール等が送付される可能性があります。不審なメールを受け取られた場合は慎重にご対応くださいますようよろしくお願いします。

また他のサイトにおいて不正ログインの試みが発生する可能性がありますので、十分に複雑なパスワードや多要素認証の利用をお願いします。

6. お客様へのお願い事項

  • 不審なメールを受信した際には開封せずに削除をお願いいたします。
  • 推察しやすい簡易なパスワードを設定している場合(1111など)は、パスワードの変更をお願いいたします。
  • パスワードポリシーの設定(パスワードの長さ、複雑さ、アカウントロックまでのパスワードエラー回数の設定)の見直しをご検討ください。
  • 2段階認証(ログイン時にメールアドレス入力とワンタイムパスワードの発行)は、なりすまし対策に最も有効な対策となりますので、ご検討ください。

リリース文アーカイブ

【セキュリティ事件簿#2023-408】愛知県 「X投稿プレゼントキャンペーン」における個人情報の漏えいについて


昨日(10月12日(木曜日))、愛知・名古屋大河ドラマ展実行委員会(県と名古屋市で構成)が実施した「X(旧Twitter)投稿プレゼントキャンペーン」において、当選者のうち9名分の個人情報が漏えいする事案が判明しました。

 キャンペーン当選者の皆様を始め、関係者の方々に御迷惑をおかけし、深くお詫びするとともに、個人情報の適切な管理及び取扱の徹底を行い、再発防止に努めてまいります。

(参考)「X投稿プレゼントキャンペーン」について

期間:2023年8月19日(土曜日)から9月24日(日曜日)まで

内容:名古屋城金シャチ横丁の土産店「鯱上々」で、「家康」をテーマに写真を撮り、「鯱上々」内に隠されたキーワードとともにXに写真を投稿した方のうち、抽選で100名の方に、Amazonギフトカード2,000円分をプレゼントするキャンペーン。

実施:愛知・名古屋大河ドラマ展実行委員会が株式会社ジェイアール東日本企画中部支社に委託して実施。

1 漏えいした個人情報​

 同キャンペーンの当選者のうち9名分の氏名、Xアカウント名及びメールアドレス

※同キャンペーンの当選者100名のうち最初の13名に対して、10月11日(水曜日)午後10時37分にダイレクトメッセージで景品送付先に関する情報入力の依頼を行い、10月12日(木曜日)午前9時49分までに入力を行った9名の方の情報が相互で閲覧可能な状態にありました。

2 原因

 大河ドラマ展PR業務の受託者である株式会社ジェイアール東日本企画中部支社(名古屋市中村区)が、同キャンペーンの当選者に対して送信した、景品(ギフトカードのシリアル番号)の送信先の入力フォームの設定に誤りがあったため。

3 経緯と対応

10月11日(水曜日)午後10時37分

同キャンペーンの当選者のうち最初の13名に対して、Xのダイレクトメッセージで入力フォームを送付し、景品の送付先に関する情報の入力を依頼した。

10月12日(木曜日)午前0時47分から午前9時11分まで

入力フォーム登録者全員の登録情報(氏名、Xアカウント、メールアドレス)が閲覧できる旨の報告が、当選者から3件寄せられた。

10月12日(木曜日)午前9時49分

受託者である株式会社ジェイアール東日本企画中部支社において確認したところ、個人情報の漏えいが確認されたため、管理者のみが閲覧可能な状態に設定を変更した。

10月12日(木曜日)午後7時から

個人情報が漏えいした入力フォーム記入者9名全員に対して、謝罪した。

 4 再発防止策

​ 今回の事案を踏まえ、同様の事案が発生しないように、個人情報の適切な管理及び取扱について受託者を指導するとともに、県においても、業務期間内の受託者の管理及び取扱状況を確認することによりチェック体制を充実させ、再発防止を徹底します。

リリース文アーカイブ