【セキュリティ事件簿#2023-424】東京大学大学院総合文化研究科・教養学部への不正アクセスによる情報流出について


東京大学大学院総合文化研究科・教養学部(以下、「当該部局」という)が保有するPCが、標的型攻撃メールによりマルウェアに感染し、調査の結果、PC内の情報窃取の形跡が発見され、情報漏洩した可能性があることが判明いたしました。

上記判明後、漏洩した可能性のある情報の調査を慎重に進めてまいりました。調査結果の概要は以下のとおりです。 ご関係の皆さまには多大なご迷惑とご心配をお掛けすることになり、深くお詫び申し上げます。

本学では、今回の事態を重く受け止め、より一層、情報管理体制の強化や情報セキュリティ対策の適切な管理に努めて参ります。

1.本件発生の経緯

2023年1月18日、標的型攻撃メールの事案を調査していた専門機関からの指摘を受け、当該部局が保有するPC(当該部局所属の教員1名(以下、「利用者」という)が在宅勤務で使用していたもの)が2022年7月19日に受信した標的型攻撃メールによりマルウェアに感染していたことが発覚いたしました。

感染発覚後、当該PCを隔離保全し、同機関ならびに別の専門機関により、PC内の情報漏洩等に関する調査を行いました。調査の結果、2023年5月23日にPC内の情報窃取の形跡が発見され、以下の情報が漏洩した可能性があることが判明いたしました。

2.漏洩した可能性のある情報

(1) 本学教職員、学生、卒業生等の情報(氏名、所属、身分、学年、教職員番号、学生証番号、生年月日、性別、住所、電話番号、メールアドレス、学歴、職歴等のうち1つ以上の情報が含まれるもの):2,409件

(2) 利用者が在籍する学会会員、学会主催イベント等参加者の情報(氏名、所属、身分、生年月日、性別、住所、電話番号、メールアドレス、学歴・職歴等のうち1つ以上の情報が含まれるもの):1,082件

(3) 利用者が他大学で非常勤講師等として担当する授業の受講学生の情報(氏名、所属・学年、学生証番号、生年月日、性別、住所、電話番号、メールアドレス等のうち1つ以上の情報が含まれるもの):796件

(4) 過去の当該部局の学生成績・評価、過去の試験問題:24件

(5) 当該部局所属教員の評価等:30件

3.現在の対応、再発防止に向けた取組み

警察に捜査を依頼すると共に、漏洩した可能性のある情報について、メールアドレスを確認できた方々に対して、当該部局より、謝罪及び経緯説明の連絡を始めており、本件により被害が発生した場合はご連絡いただくよう案内しておりますが、現時点では二次的被害等の情報は確認されておりません。

本学では、情報漏洩したことと併せ、容易にマルウェアに感染したことを極めて重大な事態と認識し、個人情報の取扱いを含む情報セキュリティの確保に関して、本学情報セキュリティ・ポリシーに沿った対応を確実に実施できるよう、全構成員への指導、徹底をさらに強化し、対策に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-423】国立科学博物館 電子メール関連システムへの不正アクセスに伴う個人情報等漏えいのおそれについて

 

国立科学博物館では、個人情報保護に関する法律等に則り、個人情報等の適切な管理を行ってまいりましたが、この度、当館の利用している電子メール関連システムへの不正アクセスがあり、個人情報を含む電子メールデータ(電子メールアドレス及び電子メールの内容)の一部が外部へ漏えいしたおそれがあることが確認されました。これはメーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案が国外においても確認されています。

漏えいしたおそれのある方の把握が困難なため、このホームページでのお知らせをもって、ご本人への通知に代えさせていただきます。特に「3.二次被害又はそのおそれの有無及びその内容」についてご確認いただけますようお願い申し上げます。

ご心配、ご迷惑をおかけしましたことをお詫び申し上げます。

1.経緯

 5月24日 

メーカーから脆弱性及び修正パッチに関するメール連絡

 6月21日 

不正通信のおそれのある痕跡を発見

 7月6日、14日 

該当機器の交換を実施

 8月21日 

交換により取り外した機器を調査した結果、マルウェアを発見し、不正通信が当該機器の脆弱性によるものと判断

2.漏えいのおそれのある主な情報

 以下の期間に当館(@kahaku.go.jp)へ電子メールを送信された方の電子メールデータ(電子メールアドレス及び電子メールの内容)

  • 令和 4 年 10 月上旬~令和 5 年 5 月下旬

3.二次被害又はそのおそれの有無及びその内容

現時点で、漏えいの事実や情報の悪用等による二次被害は確認されていませんが、念のた
め、不審な連絡、訪問者等にはご注意いただきますようお願いいたします。

4.再発防止

現在は、セキュリティ対策を強化した電子メール関連システムの機器へ更新を行っており、今後もセキュリティ関係機関等とも連携しながら、一層の状況把握に努めてまいります。

リリース文アーカイブ

Labels:

【宿泊記】ホリデイ イン エクスプレス 大阪シティセンター御堂筋(Holiday Inn Express Osaka City Centre - Midosuji)

 

大阪1泊旅行をすることになり、ホリデイ イン エクスプレスに宿泊した。

旅行の経緯はこちらの搭乗記を参照。

最寄り駅は大阪メトロの本町駅で、駅から徒歩4分の場所にある。

本町駅は御堂筋線、中央線、四つ葉線の3線が乗り入れている。

ちなみに大阪メトロは御堂筋線や堺筋線など、筋肉隆々な路線が多い。


ホテル入口。レセプションは3階という、ちょっと変わった入り口になっている。

3階のレセプションでチェックイン。ここで、史上初の事態に遭遇する。

なんでも翌日に「阪神タイガース」ってやつと「オリックスバッファローズ」ってやつがホテルの前の通りでパレードをするらしく、稼働が高いのでレイトチェックアウトができないというのである。


レイトチェックアウトで14時までのんびり過ごそうと思っていたのに、11時に追い出される羽目になってしまった。


ま、レイトチェックアウトは保証ではないし、できない理由も明らかになっているので諦めるしかない。

しかし、エライ日にエライ所に泊まってしまった。

この勢いのまま宝くじでも買ったらひょっとしてひょっとするだろうか?

とりあえずポジティブにとらえてみることにする。

カードキーのケースはプラチナエリート専用になっていた。

英語だとあまり違和感ないのだが、直訳しているせいか、何故か安っぽく感じる。表面的に多言語化の対応を行っているのだろうか?


ちなみにこちらは翌朝貰ったコーヒーカップ。

原文は「MUST HAVE COFFEE」なのだが、「ぜったいマストなコーヒー。」になると、やはり安っぽく感じてしまう。


中途半端な日本語にするくらいなら、英語のままにしておいてほしいと思ってしまった。

若干話がそれてしまったが、新しいホテルのようで、設備はきれいだった。

中途半端な日本語が残念だったが、他のホリデイ イン エクスプレスと比較してよかったのは、アメニティが予め部屋に配置されている点。

海外でこれまで宿泊してきたホリデイ イン エクスプレスは、基本アメニティは置いてなく、フロントデスクに言えば無料でくれるスタイルとなっている。


ちなみにホテルの最上階は20階で、今回14階の部屋を割り当ててもらった。

アップグレードされたかは分からないが、翌朝パレードに群がる群衆が部屋から見えたので、いい部屋を割り当ててもらえたものと信じている。


ちなみに隣にお寺があるようで、朝は有難い鐘の音で目を覚ますことができる。


朝食は7時~10時まで。7:30~8:30が混むということだったので、8:30過ぎに行ったが、10時頃までずっと混雑していた。


IHGという国際ホテルチェーンということもあってか、イメージ的に宿泊客は2/3が外国人、朝食会場のホテルスタッフは1/2が外国人という感じだった。

外国人スタッフも東南アジア系、東アジア系、欧米系とバランスも良かった。

無料の朝食なので、種類が少ないとか文句は言いません(笑)

ちなみにクロワッサンはとても美味しかったです。


食後にコーヒーを貰って部屋で一休みした後、チェックアウトします。


ホテルを出ると大変なことになっていました。


でも動線についてはしっかり設計してくれていた様で、地下鉄の駅までスムーズに移動することができました。

パレード準備関係者の方々に感謝です。

え、パレードは見なかったのかって?

はい。興味ないので見ません。

人混みは苦手なのでさっさと退散します。

一口にホリデイ イン エクスプレスといっても、国ごとにいろいろ違いがあって面白かった。

Labels:

【セキュリティ事件簿#2023-422】株式会社モバイルファクトリー Suishow株式会社に関する報道について

 

2023年10月21日付けで、NHKより、株式会社モバイルファクトリー(本社:東京都品川区、代表取締役:宮嶌 裕二)の100%出資子会社であるSuishow株式会社(本社:東京都渋谷区、代表取締役:片岡 夏輝)の提供するサービス「NauNau」において、一時、少なくとも200万人以上のユーザーの位置情報やチャットなどが外部から閲覧可能な状態が生じていたとの報道がありました。関係者の皆様へ多大なるご迷惑とご心配をお掛けしていることを、深くお詫び申し上げます。現在、報道内容について、Suishow株式会社で個人情報漏洩の可能性を含めた事実確認を行っております。

なお、「NauNau」につきましては、現在、サービス提供を一時停止しており、第三者機関も交えた調査および対策が完了し、ユーザーに安心して利用いただけることが確認出来次第、再開の予定でおります。

また、グループ全体で、セキュリティと個人情報を含むデータ管理の強化を徹底してまいります。

今後、公表すべき内容が発生した場合には速やかに開示いたします。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-328】株式会社イトーキ 当社グループ会社ホームページに対する不正アクセスについて

 

2023 年8月 23 日付「当社グループ会社ホームページに対する不正アクセスについて」にて開示いたしましたとおり、当社グループ会社(株式会社イトーキエンジニアリングサービス)のホームページに対する不正アクセス(以下「本件」といいます。)により当該ホームページの閲覧障害が発生し、これを経由した各種お問い合わせが停止致しました。

この度、外部調査機関による本件についての調査を実施し、その結果等に基づき個人情報保護委員会に確報を提出いたしましたので、下記のとおりお知らせいたします。

関係者の皆様には多大なるご迷惑とご心配をお掛けいたしましたこと、深くお詫び申し上げます。

1.本件の概要等

2023 年 8月 21 日、当該グループ会社のホームページに閲覧障害が発生し、各種お問い合わせが停止いたしました。

外部調査機関による調査結果によると、不正アクセス者による不審なサインイン及び操作の痕跡が確認されており、異常の検知によりアカウントが停止となり、Web サーバも併せて停止されたと考えられるとのことです。加えて、Web サーバへの不審なログインやファイル作成等の侵入痕跡、探索の痕跡、データ送信の痕跡等は確認されず、情報漏洩の痕跡は確認できなかったとの報告を受けております。

また、現時点では、本件によって当該グループ会社が保有する個人情報を含む各種情報(以下「当該情報」といいます。)が外部へ流出した事実や、不正アクセス者による当該情報の公開は確認されておりません。

2.今後の対応
上記のとおり、現時点で当該グループ会社が保有する個人情報について明確な情報漏洩の痕跡は確認できておらず、本件に起因する個人情報の不正利用等の二次被害に関する報告は受けておりません。一方で、約2万件の個人情報の漏洩の可能性を完全には否定することが難しいため、該当の方に対しては、本日以降順次、個別にご案内申し上げる予定です。

また、当該ホームページにつきましては、セキュリティを強化の上、早急に復旧できるよう作業を進めております。

当社グループは、今回の事態を厳粛かつ真摯に受け止め、本調査結果や外部の専門家の助言をもとに、さらなるセキュリティの強化に取り組んでまいります。

なお、本件による業績予想の変更はありません。

Labels:

【セキュリティ事件簿#2023-418】三重県 県立高校における個人情報の漏洩のおそれのある事案の判明について

 

カシオ計算機株式会社の提供するICT教育アプリへの不正アクセスにより、同アプリに登録されている個人情報が漏洩した事案について、事業者より、本県の県立学校等の生徒・教員が含まれているおそれがあるとの報告がありました。10月23日時点で判明している内容は下記のとおりです。

1 本県における対象件数

 県立高校29校・県教育委員会事務局の氏名4,142件、メールアドレス1,134件

2 ICT教育アプリ

 カシオ計算機株式会社

 ICT教育アプリ「ClassPad.net(クラスパッド ドット ネット)」

※不正アクセスがあったのは開発環境で、システム停止など利用者への直接の影響はなかったと事業者より報告を受けています。

3 今後の対応等

・事業者に対して、引き続き漏洩状況の調査を行うとともに、調査結果の報告を求めています。

・個人情報の漏洩の可能性のある県立高校では、生徒に状況を伝えるとともに、不審なメールが届いた場合には、学校に連絡するように周知します。

・現時点では県立高校から被害等の報告はありません。

(参考)事業者の公表内容

 10月18日 カシオ計算機株式会社

 「不正アクセスによる個人情報漏えいのお詫びとご報告」

・対象件数

 <国内>個人と1,108の教育機関の計91,921件

 <海外>148の国と地域のお客様の計35,049件

・漏洩したおそれのある項目

 1.氏名 2.メールアドレス 3.国/地域 4.学校名・学年・学級名・出席番号(学籍番号)

 5.購買に関する情報( 注文明細 、決済手段、ライセンスコードなど)

   ※クレジットカード情報は含まれない

 6.本サービスの利用履歴やニックネームなど

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-330】株式会社スプリックス 当社子会社におけるランサムウェア攻撃に関する調査結果のご報告

 

2023 年8月 23 日付「当社子会社におけるランサムウェア被害の発生について」にて開示いたしましたとおり、当社子会社の株式会社湘南ゼミナールの一部情報システムに対する外部攻撃(以下「本件」といいます。)について公表いたしました。

このたび、外部専門機関によるフォレンジック調査(※)を実施しましたが、本件によって株式会社湘南ゼミナールが保有する個人情報を含む各種情報が外部へ流出した事実は確認されませんでした。また、当該調査結果等に基づき個人情報保護委員会に確報を提出いたしました。

※フォレンジック調査とは、デジタル機器の記憶装置から証拠となるデータを抽出し、サーバーや通信機器などに

蓄積されたログ等の証跡情報から発生事象を明らかにする手段や技術のことをいいます。

当社グループでは、これまでも当社グループの情報システムへの不正アクセスを防止するための措置を講じるとともに情報の適切な管理に努めてまいりましたが、このたびの事態を真摯に受け止め、外部の専門家と検討の上、今後も継続的にセキュリティの強化を図ってまいります。

関係者の皆様には多大なご迷惑とご心配をおかけする事態となりましたことを深くお詫び申し上げます。

 なお、本件が当社グループの業績に及ぼす影響については軽微と見込んでおります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-421】バカラパシフィック株式会社 不正アクセスに関するお知らせ

 

さて、この度、弊社サーバーへの不正アクセスにより、オンラインショップをはじめ、当社の活動が一部制限されております。

現段階では、お客様の個人情報や機密情報が漏洩したという事実は確認されておりませんが、速やかに、関係機関や外部専門家との連携のもと、復旧への対応を進めつつ、不正アクセスの原因特定・被害の全容解明・再発防止策の策定に取り組んでおります。

お客様には、多大なるご迷惑及びご心配をおかけしますことを深くお詫び申し上げます。

リリース文アーカイブ

Labels:
登録: 投稿 (Atom)