【セキュリティ事件簿#2023-417】長野県南佐久郡佐久穂町 電子記録媒体(USB メモリ)の紛失について

 

佐久穂町役場の庁舎内で使用している電子記録媒体(USB メモリ)が庁舎内で紛失し、個人情報を含むデータが外部に流出した可能性を完全に否定できない事案が発生しました。関係の皆様及び町民の皆様に多大なご迷惑をおかけすることになりましたことを深くお詫び申し上げます。

再びこのような事態が起こらぬよう、情報及び情報記憶媒体の適正な管理を徹底し、必要な対策を講じて、再発防止に努めてまいります。

1 概要・経過

令和 5 年 10 月 4 日(水)に、住民税務課の職員から町税の口座振替業務を行うために使用している USB メモリが紛失しているとの報告がありました。同職員からの報告によると、令和 5 年 9 月 27 日(水)に町税の口座振替業務を行った際に USB メモリを使用し、その後職場のキャビネットで保管していたつもりでしたが、令和 5 年 10 月 3 日(火)に所定の場所にないことを確認しました。その後、捜索を行っていますが、発見に至っていません。

紛失した USB メモリには、4,138 名 4,740 件の口座情報(金融機関名、支店名、口座番号、口座名義等)、口座振替額が保存されています。なお、USB メモリにパスワード設定はされていませんでした。

現時点では、USB メモリの紛失による当該個人情報の不正使用や第三者への被害などの事実については確認されていません。

2 関係者への対応

個人情報が漏洩する可能性のある 4,138 名に対しては、令和 5 年 10 月 9 日(月)に、状
況の説明と謝罪の文書を発送しました。

3 再発防止策

再発を防止するために、次の対策を徹底します。

ア USB メモリは、パスワード等のセキュリティ機能があるものを使用すること。
イ USB メモリを使用する場合には、使用管理簿に記入すること。
ウ 使用後は USB メモリ内のデータを削除すること。
エ USB メモリは施錠可能な引出し等に保管し、施錠すること。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-416】福岡県 委託業務による個人情報の漏えい等事案について

1 概要

本県が、自動車税に係るコールセンター業務を委託した株式会社NTTマーケティングアクトProCX(以下「A社」という。)のコールセンターシステムの保守業者であるNTTビジネスソリューションズ株式会社において、元社員(1人)が不正に個人情報を取得し、流出したことが発覚しました。

このため、A社から10月13日(金)に本県に事案概要を報告されたもの(現在、警察による捜査中)。

<委託期間>

 平成27年度 平成27年6月11日~9月30日

 平成28年度 平成28年6月9日~9月25日

 平成29年度 平成29年5月31日~9月25日

 平成30年度 平成30年6月6日~10月15日

 令和元年度  令和元年5月31日~10月15日

2 漏えいした可能性のある個人情報

自動車税に関する納税者情報 最大約14万人分※

(氏名、電話番号、郵便番号、住所、年齢、生年月日)

※ 人数については、A社の社内調査で得られた電話番号データと、本県が所有する情報を照合することにより、確定する予定。

3 対応

A社は本日、相談窓口を設置するとともに、プレスリリースを行う。

A社からの情報については、随時、県HPにて周知を行う。

県は本日、個人情報保護委員会に報告。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-415】島根県立大学 個人情報が入ったノートパソコンの盗難について(お知らせとお詫び)

 

本学浜田キャンパスの教員が海外出張から帰国した際、空港で個人情報が入ったノートパソコンを盗まれました。この件についてお知らせし、お詫び申し上げます。

学生の皆様、保護者の皆様、ご関係の皆様には、ご心配をおかけすることとなり申し訳ありません。深くお詫び申し上げます。今後は、盗難を想定した情報保護のための具体策を含め、情報管理の更なる徹底に全学を挙げて取り組んでまいります。

1.盗難の概要について

9月22日(金)、本学浜田キャンパス教員が海外から帰国した際、鉄道の券売機で操作に困っている方の対応をしていた間にノートパソコンが入ったスーツケースを盗まれました。すぐに警察に被害届を提出しましたが、いまだ見つかっておりません。

なお、ノートパソコンにはパスワードを設定しており、現時点では、個人情報の第三者への流出や不正使用による被害などの事実は確認されていません。

2.盗難物品について

機内持ち込みサイズのスーツケースとサブバッグ
(スーツケースの中にノートパソコン1台が入っていた)

3.ノートパソコンに保存されていた個人情報について

①浜田キャンパス学部学生98名分の個人情報を一覧にした Excel ファイル。
②①のうち、学部学生が提出した課題レポート42名分。

※本学としては、この事案は国内で発生した事件で、犯人はいまだ捕まっておらず、盗まれた物品も見つかっておりません。そのため、対象となる個人情報についての詳細は、追加の被害が発生する可能性がありますので、公表は差し控えさせていただきます。

4.本件に関する今後の対応と再発防止策等について

①該当する学生の皆様には、10月11日までに本件に関するご報告と謝罪を学内メールにて行うとともに、被害への注意喚起、相談窓口をお知らせし、安心安全な大学生活が送れるよう教職員にてサポートして参ります。

②本学教職員に対する個人情報管理、情報機器等の保管及び管理の徹底をあらためて周知するとともに、より個人情報管理が徹底されるよう、学内で検討を行い、あらたな対策を実施します。

Labels:

【セキュリティ事件簿#2023-414】株式会社テイツー お客様の個人情報流出についてのお詫びとお知らせ

 

当社は、「ふるいち イオンモール幕張新都心店」のオープン(2023 年 10 月 19 日予定)に先立って、同店のグランドオープン記念として、トレーディングカードの web 事前抽選の受付を、当社の「ふるいち店舗情報サイト」(https://www.furu1.net/index.html)上で、2023 年 10 月 9 日 18:00 ごろから開始しました。

しかしながら、受付開始後複数の抽選申込者様から、抽選申込の入力内容確認画面において、抽選申込者様とは異なる個人情報が表示されるとのご指摘をいただき、20:00 ごろに抽選受付を停止しました。

本事案の発生を受け、当社内に同日中に「緊急対策本部」を設置し、影響範囲の調査を開始しました。現時点で上記の約 2 時間の間に抽選申込をされた抽選申込者様約 770 名の入力情報が、他の申込者様の入力内容確認画面に表示された可能性があることが判明しております。

また、ご指摘をいただいた抽選申込者様の他に同様の現象が発生していないかどうかを、「ふるいち店舗情報サイト」の保守委託先である株式会社サイト・パブリス(東京都千代田区九段南一丁目 4 番 5 号、代表取締役社長 二通 宏久)と共同で調査を行っております。

なお、流出した可能性のある個人情報は、氏名、生年月日、住所、電話番号、メールアドレスであり、クレジットカード情報等の決済に係る情報は含まれておりません。また、現時点で該当ページにおける抽選受付は停止しており、今後、上記の現象により新たな流出が生じる懸念はないものと考えております。

ご指摘をいただいた抽選申込者様をはじめとした本 web 事前抽選に関係する皆様に対し、多大なるご迷惑とご心配をおかけしておりますことをお詫びするとともに、当社の関係者の皆様に対してもご懸念を抱かせてしまいましたこと併せてお詫び申し上げます。上記調2査の進捗に応じて本 web 事前抽選に関係する皆様に個別に対応を行い、並びに調査結果及び再発防止策を速やかに取りまとめ、準備が整い次第改めて開示することをお知らせいたします。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-413】積水ハウス株式会社 弊社委託先企業におけるお客様名等の外部漏えいの可能性について


弊社が換気基礎捨て水切などの製造を委託しております山口金属曲板工業株式会社(本社:大阪市阿倍野区、以下「山口金属曲板工業社」)小郡事業所(山口県山口市)の生産システムサーバーがランサムウェアに感染し、不正に暗号化されたことにより、弊社部品の発注データが外部に漏えいした可能性があることがわかりましたので、お知らせいたします。お客様をはじめ多くの関係者の皆さまにご迷惑とご心配をおかけしますことを謹んでお詫び申し上げます。

【概要】

  • 9 月 19 日、弊社委託先の山口金属曲板工業社から、同社小郡事業所の生産システムサーバーがランサムウェアに感染し、当該サーバー内のデータが暗号化されアクセス不可能な状態になったとの連絡を受けました。サーバー内には、過去 15 年分の弊社部品の発注データが存在しており、当該データの中に、お客様の氏名(一部の方は建築地住所を含む)が含まれておりました。当該データについては外部に漏えいした可能性があります。
  • 生産システムについて代替手段を講じたことにより、弊社委託業務への影響は生じておりません。
  • 本件に関しては、弊社より個人情報保護委員会に報告をするとともに、山口金属曲板工業社より所轄警察署への相談を行っております。

【漏えいした可能性のある情報及びお客様への対応】

漏えいした可能性のある情報の範囲及び項目等につきましては、以下のとおりです。

対象範囲
弊社もしくは積水ハウスリフォーム株式会社にて請負契約を締結し、2007 年 12 月 6 日~2023年 10 月 23 日の間に着工または着工予定のお客様

項目
氏名のみ 109,406 件
氏名及び建築地住所 1,261 件

二次被害の有無:現在、お客様の氏名等の不正利用は確認されておりません。

※弊社発注データにお客様の情報が含まれていることが確認でき次第、順次郵送もしくはメール等でご連絡をいたします。そのため、ご連絡までに時間を頂く可能性がございますが、何卒ご容赦ください。

【原因及び再発防止策】

  • 本件は弊社委託先の生産システムサーバーの脆弱性により、ランサムウェアに感染したことが原因です。当該委託先においては保守ベンダーの変更等のセキュリティ向上施策を行いました。
  • 現在、弊社の生産調達部門の全委託先に対し、システムサーバーに対するウイルスチェックの実施要請を行い、状況の確認を進めております。また、委託先に存在する過去の発注データをネットワーク外で管理することや、データを削除することも要請いたしました。今後、委託先の情報セキュリティに関する監督強化の施策を行い、発注データの仕様変更等の対策を実施しますとともに、個人情報の取り扱いの一層の厳格化に取り組んでまいります。
Labels:

【セキュリティ事件簿#2023-413】山口金属曲板工業株式会社 当社取引先様のお客様氏名等の外部漏えいの可能性について

 

当社小郡事業所 (山口県山口市) において、 生産システムサーバーがランサムウェアに感染し、 不正に暗号化されたことにより、お取引先様のお客様氏名等を含む内部データが外部に漏えいした可能性があることがわかりましたので、お知らせいたします。

お客様をはじめ多くの関係者の皆さまにご迷惑とご心配やおかけしますことを謹んでお詫び申し上げます。

【概要】

  • 9 月19 日、当社小郡事業所の生産システムサーバーがランサムウェアに感染し、当該サーバー内のデータが暗号化されアクセス不可能な状態になりました。
  • 当該サーバー内には、お取引先様のお客様の氏名 (一部の建築地住所を含む) を含むデータが存在しており、当該データについては外部に漏えいした可能性があります。
  • 本件に関しまして、当社より所轄警察署への相談はすでに行っております。

【漏えいのおそれのあるお取引先様への対応】

  • 本件に関しましては、当該サーバー内のデータにお客様の氏名等が含まれていたお取引先様へ当社より報告を行っております。

【原因及び再発防止策】

  • 本件は当社生産システムサーバーの脆弱性により、ランサムウェアに感染したこととが原因です。 本件を受け、保守ベンダーの変更等のセキュリティ向上策を実施いたしました。
  • 再発防止のため、今後お取引先様から受領した発注データの管理を含め、情報セキュリティの一層の強化に取り組んでまいります。

この度は多くのお客様に対し、多大なご迷惑とご心配をおかけいたしましたこと、改めてお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-412】国際刑事裁判所がハッカーに侵入される

 

先週、国際刑事裁判所(ICC)のシステムがハッカーに侵害される事件が発生しました。

ICCは、オランダの当局と協力し、事件の調査を進めています。

ICCはまた、クラウド技術の採用を急ぐことを含め、サイバーセキュリティの防御を強化する努力を強化する計画を概説しました。

現時点では、攻撃の範囲やICCのシステムに対する影響、または攻撃者がネットワークからデータやファイルにアクセスまたは抽出したかどうかに関する情報は利用できません。

ICCは、「裁判所の基本的な業務が続くことを確認する」ことに焦点を当てて、「この事件の影響を分析し、軽減し続ける」と述べています​。

出典:Hackers breached International Criminal Court’s systems last week

Labels:

【セキュリティ事件簿#2023-411】Microsoft、未保護のAzureストレージを通じて38TBのプライベートデータをお漏らし

 

MicrosoftのAI研究部門は、2020年7月から始まり、公開のGitHubリポジトリにオープンソースのAI学習モデルを共有する過程で、重大なデータ漏洩事件を引き起こしていました。この事実は、ほぼ3年後の最近になってクラウドセキュリティ専門企業Wizによって発見されました。Wizのセキュリティリサーチャーは、Microsoftの従業員が誤って漏洩情報を含むAzure BlobストレージバケットのURLを共有したことを明らかにしました。

このデータ漏洩は、過度に許容的なShared Access Signature(SAS)トークンの使用に関連しているとMicrosoftは述べています。このAzureの機能は、データ共有を可能にし、しかしWizの研究者によれば、この機能は監視と取り消しに難航すると説明されています。正しく使用される場合、SASトークンは、ストレージアカウント内のリソースへの委任アクセスを安全に許可する手段を提供します。これには、クライアントのデータアクセスに対する正確な制御、彼らが対話できるリソースの指定、これらのリソースに対する権限の定義、およびSASトークンの有効期間の決定が含まれます。

Wizは警告して、監視とガバナンスの不足のため、SASトークンはセキュリティリスクをもたらし、その使用はできる限り制限されるべきであると述べています。これらのトークンは非常に追跡が困難で、MicrosoftはAzureポータル内でこれらを管理するための集中化された方法を提供していないためです。さらに、これらのトークンは効果的に永続的に設定され、有効期限に上限がないため、Account SASトークンを外部共有に使用することは安全ではなく、避けるべきであるとも述べています。

Wizの研究チームは、オープンソースモデルの他に、この内部ストレージアカウントは38TBの追加のプライベートデータへのアクセスも誤って許可していたことを発見しました。漏れたデータには、Microsoft社員の個人情報のバックアップ、Microsoftサービスのパスワード、秘密キー、および359名のMicrosoft社員からの30,000以上の内部Microsoft Teamsメッセージのアーカイブが含まれていました。この事件に対するMicrosoft Security Response Center (MSRC) チームのアドバイザリーでは、顧客データは漏洩せず、他の内部サービスもこの事件のために危険にさらされていないとMicrosoftは述べています。

出典:Microsoft leaks 38TB of private data via unsecured Azure storage

Labels:
登録: 投稿 (Atom)