【セキュリティ事件簿#2023-444】株式会社ベルソニカ 重要なお知らせとお詫び

不正アクセスによる情報流出のお知らせとお詫びについて

　

この度、弊社におきまして、社内システムへの外部からの不正アクセスにより、一部の情報流出の発生を確認しましたので、下記の通り、ご報告致します。関係者様には、大変なご迷惑とご心配をお掛けし、心よりお詫び申し上げます。現在も調査を続けており、今後新たな情報が発生する可能性もありますが、現時点で判明している調査結果は下記の通りとなります。

１．流出を確認した情報

・お取引先業者様等のご担当者の氏名を含む情報　467件

　(氏名、住所、電話番号、所属部署、メールアドレス)

・社員・元社員に関する情報(本人及びその家族)　568件

　(氏名、住所、電話番号、生年月日、性別、メールアドレス、学歴)

２．発覚と対応経緯

・9月22日(金)不正アクセスの形跡を感知、直ちにネットワークを遮断。

・同日、静岡県警に連絡。

・9月25日(月)外部専門業者と感染状況及び被害状況の調査開始、静岡県警サイバー対策関係者と情報共有し捜査協力を進める。

・併せて個人情報保護委員会への報告を実施。

・10月3日(火)ベルソニカのデータを公開するとの情報を確認。

・10月13日(金)不正アクセスによって、ファイル名のみが公開された事を確認。

・不正アクセスされたPCとサーバーを特定し、ネットワークを遮断。

・現在、セキュリティレベルを上げ復旧対応中。

3．情報の流出が確認された方へのご対応

情報の流出が確認された方へは、個別にご連絡をとり、丁寧に経緯・状況の説明をしてまいります。なお不正アクセスにより盗まれ流出の可能性がある情報について、引続き調査を継続して参ります。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を徹底して参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-443】東京大学情報基盤センター管理のサーバにおけるユーザ情報の一部が、学内端末の一部から閲覧可能となっていた件について

東京大学情報基盤センターが管理するサーバの設定ミスにより、本学構成員向けGoogle Workspace for Educationのパスワードハッシュ値(*)を含む利用者情報(†)が、学内に設置された、学内利用者用の端末の画面で閲覧できる状態であったことが判明しました。

現在はその設定を修正し、上記の状態は解消しています。利用者情報が実際に閲覧されたかどうかは不明で、現時点ではこれによる不正ログインなどの被害も確認されておりません。閲覧されたとしてもパスワードハッシュ値から直ちにパスワードがわかるわけではありませんが、以降の被害を防ぐために本日時点で有効なアカウントを有する全ての利用者に連絡を行い、パスワードの変更作業を行なうこととしました。

閲覧可能であった情報が万一悪用される可能性を減らすため、これ以上の詳細については全ての利用者のパスワード変更作業が行われた後に、利用者に対して開示する予定です。

このような事態が発生し関係の皆様には多大なご迷惑をおかけすることになりましたことを、深くお詫び申し上げます。

今後、システム構築時および構成変更時の設定内容の確認を徹底するなど、再発防止に努めてまいります。

(*) パスワードハッシュ値: パスワードを暗号化したもので、ハッシュ値からもとのパスワードを復元することは、パスワードの長さや複雑さにもよりますが、多くの計算を要します

(†) 端末の画面で閲覧可能であった情報

● 名前

● Google のEmailアドレス

● 大学の他のサービスで用いる共通ID

● 学生証番号

● パスワードのハッシュ値

● その他管理上必要な, 個人の属性と直接結びつかない情報

リリース文（アーカイブ）

【セキュリティ事件簿#2023-442】西日本工業大学 不正アクセスによる迷惑メール送信のお詫び

このたび、本学で使用しているoffice365のアカウント1名分が第三者に不正に利用され、令和5年9月22日（金）0時30分頃から1時00分頃までの間において、約2,700件の迷惑メール（スパムメール）が送信されるという事案が発生しました。

本事案により迷惑メールを受信し、不快な思いをされた方々に深くお詫びを申し上げます。

なお、本件による個人情報などの流出は無かったことを確認しており、現時点において被害は報告されておりません。

本学としては、この事態を重く受け止め、メールアカウントの厳重な管理についての周知徹底、教職員および学生に対する情報セキュリティの意識啓発を行い、全学で再発防止に努めてまいります。

リリース文（アーカイブ）

ハワイアン航空とアラスカ航空が合併。ハワイアン航空、ワンワールド加盟か！

ハワイアン航空とアラスカ航空は、19億ドルの合併契約を締結しました。これにより、ハワイアン航空はワンワールドアライアンスの一員になる可能性があります。

アラスカ航空はワンワールドアライアンスの新メンバーで、2021年3月に加盟しました。オマーン航空も2024年に加盟する予定です。

ハワイアン航空とアラスカ航空は、合併により米国で5番目に大きな航空会社となり、365機を保有することになります。これにより、ハワイと米国西海岸の138の目的地にアクセス可能となり、更にワンワールドアライアンスを通じて1,200以上の目的地にアクセスできるようになります。

合併は、2024年末までに完了する予定です。

ハワイアン航空とアラスカ航空の合併により、ハワイと米国西海岸の旅行者は、より多くの選択肢とメリットを享受できるようになります。合併により、両社は以下が可能になります。

• ハワイと米国西海岸の間の接続強化
• ハワイへのアクセス拡大
• グローバルなネットワークとサービスの提供

合併は、ワンワールドアライアンスにとっても大きなメリットとなります。ハワイアン航空の加入により、アライアンスは米国西海岸と太平洋地域への存在感を高めることができます。

出典：Hawaiian Airlines to merge with Alaska Airlines

【セキュリティ事件簿#2023-441】共同通信社 不正アクセスによる職員等の個人情報漏えいの恐れのお知らせとおわび

一般社団法人共同通信社のサーバー機器が外部からの不正アクセスを受け、当社が管理している当社およびグループ会社の職員等４３１３人の個人情報が外部へ流出した恐れがあることが判明しました。現時点で不正使用などの二次被害は確認されていません。関係者の皆さまに多大なご迷惑とご心配をお掛けすることになり深くおわびいたします。なお不正アクセスを受けたサーバーには取材に関する情報は一切含まれていません。

【漏えいの恐れのある個人情報】

当社及びグループ会社の従業員、委託業務従事者（4313人）※退職者、元従業者の一部を含む

・氏名　・ユーザーID　・社員番号　・会社名　・部署、役職名　・メールアドレス　・ランダムな文字列の（ハッシュ化された）パスワード

2023年7月22日、当社サーバーで不審な動作を認知後、個人情報保護委員会へ報告を行うとともに、第三者機関（外部の専門業者）に調査協力を依頼していました。これまでの調査では個人情報が外部に流出した明確な証拠は見つかっていませんが、漏えいの可能性を完全に否定することが困難な状況であることから、漏えいの恐れのある対象の方に対し、ホームページで広報するとともにメール等でも個別に連絡いたします。

これらの個人情報を悪用した不審なメールを受け取られた場合は注意して対応していただくようお願いいたします。

今回の事態を重く受け止め、今後もセキュリティー対策の強化に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-440】株式会社近商ストア 当社サーバへの不正アクセスによる情報漏えいの可能性について

当社は、 1 0月 3 1 日、当社データセンターに設置の一部サーバにおいて第三者のランサムウェアによる不正アクセスを受けたことを確認しました。 保守・メンテナンスを委託している専門会社に調査を依頼し状況を確認した結果、外部漏えいの可能性があるデータに、下記の通り個人情報が含まれていることが判明しました。

現在、影響範囲の確認、原因の究明を進めています。

なお、本件については警察への相談を行うとともに、本日、個人情報保護委員会に報告を行いました。

お客様や関係先の皆様にご心配とご迷惑をおかけしますこと深くお詫び申し上げます。

1. 判明した経緯とこれまでの対応

1 0月3 1日午前7時過ぎに、当社データセンターのサーバの異常停止を検知しました。

当社は保守・メンテナンスを委託している専門会社に依頼し、ただちに全サーバの緊急点検を行いました。 その後、本件不正アクセスはランサムウェア攻撃であったことを確認し,速やかに対策本部を設置し、被害拡大防止のため攻撃を受けたサーバへのアクセスを遮断し、原因究明、被害状況の確認等を行っています。

調査の結果、当社が保有するネットスーパー会員様約1 7, 0 0 0名、当社従業員および扶養家族約 1 2, 0 0 0名などの個人情報が不正アクセスのあったサーズバに保存されていたことが判明しました。現時点ではお客さまから被害の報告は受けておりません。

2. 漏えいの可能性のある情報

(1 ) KINSHO・Harvesネットスーー会員 (学園前店、高の原店、日庭全店、あやめ池上店、真美ケ丘店の 5店舗) 約17, 0 0 0名のお客さまの以下の情報

①氏名 ②住所  ③電話番号 メールアドレス 生年月日

クレジットカード情報など決済に関する情報は含まれておりません。

( 2 ) 会社が保有している、当社従業員および扶養家族 約 1 2, 0 0 0名の個人情報

( 3 ) お問い合わせ頂いたお客様等の個人情報 約7, 000件

( 4 ) 一部の取引先様に関する約1, 4 0 0件の取引情報など

※不正アクセスを受けた当該サーバは、近商ストアで保有している独立したサーバです。他の近鉄グループが保有しているサーバには、影響はびございません。

3. 今後の対応

( 1 ) 対象となるお客さまべへの対応

ホームページでお知らせすると共に、ネットスーペパー会員様には、現在個別にメールにてご連絡しております。

( 2 ) KINSHO・Harvesネットスーパーの営業について

原因究明および被害状況の確認のため、 1 0月3 1日午後の配送分からの受注を当面の間見合わせております。

なお、各店舗の営業は通常通り行っております。

以上が現時点で判明している情報ではありますが、新たな情報が判明しました際には、その都度公表いたします。 当社は、近鉄グループの専門機関や関係機関の協力を受けながら調査を継続し、被害拡大の防止および再発防止に向けて対応してまいります。お客様ならびに関係者の皆様におかれましては、不審なメールや通知が届いた場合は、開封およびリンク先へはアクセスしないようにご注意のほどお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-439】大阪市 大阪市立中学校における個人情報を含む文書の漏えいについて

大阪市立中学校の教員が、令和5年10月2日（月曜日）、「数学科単元テスト範囲表（以下、「テスト範囲表」という。）」を個人情報が記載された用紙を裏紙として再利用して印刷し、一部の生徒に対して配付していたことが判明しました。

このたびの事案が発生しましたことにつきまして、関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、再発防止に努めてまいります。

1 　概要と事実経過

令和5年10月2日（月曜日）18時20分頃、ある大阪市立中学校の教頭に、テスト範囲表を受け取った生徒の保護者から「配付されたテスト範囲表の裏に個人情報が記載されている」との連絡がありました。すぐに教頭が担当教員に確認したところ、9月28日（木曜日）の授業で3年生生徒にテスト範囲表を配付するにあたり、9月27日（水曜日）にA4サイズの裏紙35枚を再利用して計70部印刷した際、裏面に計28世帯69名の個人情報が記載されている用紙を一部再利用していたことが判明しました。

令和5年10月3日（火曜日）以降、教員がテスト範囲表を配付した生徒の全家庭を訪問した結果、配付した70部のうち54部を回収し、16部は家庭で破棄されていることを確認しました。また、回収した54部のうち8部が個人情報の含まれた文書を裏面として利用していたことが判明しました。

2　 再利用された個人情報を含む文書と記載内容

• 平成29年度10月　振替結果一覧表（給食）1項
  学年、組、生徒名、口座番号、口座名義、振替不能理由
• 平成29年度10月　振替結果一覧表（給食）2項
  学年、組、生徒名、口座番号、口座名義、振替不能理由
• 平成29年度4・5月分学校給食費督促状作成リスト
  学年、組、生徒名、保護者名、郵便番号、住所、未納金額
• 給食費未納一覧（年度不明）
  保護者名、生徒名等

計28世帯69名分

3　判明後の対応

令和5年10月5日（木曜日）から10月13日（金曜日）までに、校長及び教頭が個人情報漏えいの対象となる家庭に訪問し、経過説明及び謝罪を終える見込みです。

4　原因

当該校では、個人情報が含まれる文書は再利用置き場に入れないよう周知していたものの周知が徹底していなかったこと、「テスト範囲表」の印刷及び配付時に裏面の確認をしていなかったこと、また、管理職による指導が不十分であったことが原因です。

5 　再発防止について

教育委員会といたしましては、これまでも各校に対して個人情報の管理を指導していたにもかかわらず、このような事案を起こしたことについて深く受け止めております。

当該校に対しては、再発防止策として、個人情報を含む文書の適切な廃棄を徹底すること及び個人情報管理に関する校内規定を点検する等、管理の徹底を指導してまいります。

各校に対しては、今回の事案を共有するとともに注意喚起を図り、個人情報の管理の徹底と、さらなる意識の向上について指導し、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-438】東京医科歯科大学 学園祭ＨＰ上で個人情報が一時的に閲覧可能な状態になっていた事例について

この度、東京医科歯科大学の学園祭である第 72 回お茶の水祭（2023 年 10 月 14 日～15日開催）の特定のイベント 1 件への参加申し込みフォームに不備があり、個人情報延べ 44名分の漏えいが発生しました。44 名の皆様には既に事情説明と謝罪を済ませておりますが、関係者の皆様にご迷惑とご心労を与えてしまったことを深くお詫び申し上げます。

１．概要

今般、お茶の水祭の高校生向け企画「診療体験」について、google forms にてご応募くださった方々におかれまして、参加情報を送信した後の画面に表示されるリンク先 URLをクリックした場合に、他の参加者の個人情報が閲覧できる状態になっておりました。

本件は、募集に使用したgoogle formsの設定に誤りがあったことが原因でございます。現在は、設定を変更し他の参加者の個人情報を閲覧できない状態にした上で、google forms での応募ページを閉鎖しております。

他の参加者の個人情報が閲覧できた期間は 2023 年 9 月 19 日 17 時頃から同 10 月 3 日11 時頃まででした。閲覧できた情報は、氏名とふりがな、学校名、メールアドレス、イベント内での呼び名（ニックネーム）、個人情報の取扱いについての同意の有無などです。個人情報が google forms 上で閲覧状態になってしまった延べ 44 名の皆様には、東京医科歯科大学お茶の水祭実行委員会委員、及び東京医科歯科大学学生支援事務室より事情説明と謝罪の連絡を取りました。

２．再発防止

以下の対応を行うことで、本事故の再発防止とし、情報の適切な取り扱いの徹底を図ります。

• 本事案について次期東京医科歯科大学お茶の水祭実行委員会委員への引き継ぎに記載し、来年以降の実行委員会委員となる学生に必ず確認させることとします。
• 学生がお茶の水祭において個人情報の収集を行う場合は、担当部署である東京医科歯科大学学生支援事務室に収集目的・収集項目・管理方法・破棄方法を報告及び相談を行い、学生支援事務室が認めた場合に限り、申請フォームを作成・公開することとします。
• 全学生、及び職員に対し、個人情報の正しい取り扱いについて、再周知を徹底します。

リリース文（アーカイブ）