【セキュリティ事件簿#2023-416】日本学生支援機構 委託事業者における個人情報の漏洩事案の発生について


独立行政法人日本学生支援機構は、奨学金相談センターの設置及び運営業務を株式会社NTTマーケティングアクトProCX(以下「委託事業者」という。)に委託していますが、今般、委託事業者がセンター運営に当たり利用するコールセンターシステムの保守事業者(NTTビジネスソリューションズ株式会社)の運用保守業務従事者(当時)1名が、同システム内の個人情報を不正に取得して持ち出す事案が発生しました。

持ち出された個人情報が第三者に流出された事実は、現時点では確認されておりません。

現時点において委託事業者から報告を受けている内容について、下記のとおりお知らせいたします。

1.不正に取得された個人情報

平成30年(2018年)3月19日以前に奨学金相談センターに問い合わせをした方の個人情報(氏名、電話番号、郵便番号、住所、生年月日)のうち、約5万件

 ※上記事項以外の個人情報の持ち出しは、現時点では確認されておりません。

 ※当該情報の内容等について、更なる特定作業を進めています。

2.不正に取得された時期

平成28年(2016年)3月17日、平成30年(2018年)3月19日

3.本件に係る対応状況

令和5年(2023年)10月12日(木曜日)委託事業者より本機構に事案概要の報告

令和5年(2023年)10月16日(月曜日)本機構より個人情報保護委員会に報告

令和5年(2023年)10月17日(火曜日)委託事業者等による報道発表及び記者会見

リリース文アーカイブ

【セキュリティ事件簿#2023-446】OLTA 【INVOY】顧客情報流出に関するご報告とお詫び(続報2 影響範囲について)


平素よりOLTAおよびFINUX(INVOY)のサービスをご利用いただき誠にありがとうございます。

2023年11月7日(火)に判明した、弊社関連会社(FINUX)が提供するクラウド請求書プラットフォーム「INVOY」において特定の条件に該当した一部のユーザー様の顧客情報が他のINVOYユーザー様から閲覧できる状態になっていた事象について、影響範囲ついて調査した結果をご報告いたします。

本事象の解消に向けて2023年11月7日(火)18時10分より緊急メンテナンスのためサービスを一時停止しておりましたが、2023年11月8日(水)2時58分に復旧し、現在は通常通りご利用いただけます。

ユーザー様および関係者の皆様には、大変なご迷惑とご心配をおかけしましたことを改めてお詫び申し上げます。

1. 発生事象

<概要>
今回判明したのは、2名以上のユーザーがほぼ同じタイミングでINVOYにログインした際、一方のユーザーの情報が他方に表示されてしまう(以下、誤表示)可能性がある、という不具合です。詳細については、後述の<具体的な誤表示の箇所>をご参照ください。
なお、本事象はインターネットブラウザ上の表示に関する不具合に限られ、発行した請求書に誤った情報が記載されたり、他ユーザーによって登録情報が書き換えられるといった問題が発生することはございません。

<対象となるユーザー様>
調査の結果、2名以上のユーザー様がほぼ同時、具体的には100ミリ秒(0.1秒)以内にINVOYにログインした際(以下、同時ログイン)に、上記事象が発生した場合があるとの推定に至りました。
2023年8月7日(月)13時頃から2023年11月07日(火)18:10までの期間(以下、当該期間)に行われた全てのログイン5,656,686回のうち、同時ログイン(可能性がある最大数)は40,854回と全体の約0.72%が発生の上限だったと推定しています。また、当該期間中に同時ログインを行ったユーザー様(可能性がある最大数)は6,501アカウントが上限であったと推定しています。このうち、実際に他ユーザー様によって閲覧がされた数は、誠に遺憾ながら詳細なログデータが残っていないため確認が難しい状況です。
ただし、同時ログインが行われても必ずしも他ユーザー様の情報が表示されたわけではないことや、当該期間におけるユーザー様からの本事象に関する障害報告が2件のみであったことからも、実際に閲覧がされた数は非常に少ないものと考えております。

<対象の顧客情報(更新あり)>
他ユーザー様が閲覧できる状態にあった可能性がある情報は、以下の通りです。
 ・ご登録のメールアドレス
 ・ユーザー名
 ・ユーザーの種別と権限(管理者か否か)
また、調査の結果、第一報の段階で対象の可能性がある情報としていたもののうち、以下については対象外であると判明しました。
 ・ユーザーID
 ・登録日時
 ・契約プラン
 ・パートナーコード(登録経路)
 ・請求書の発行枚数

なお、第一報よりお伝えしている通り、クレジットカード情報やパスワードなど金銭的被害に繋がる情報は含まれておりません。

<具体的な誤表示の箇所>
当該ログイン時、他ユーザー様の画面上に表示された可能性がある具体的な内容と場所の組み合わせは以下の2つです。

①【通常の利用方法で発生するもの】ログイン直後※1、ホーム画面サイドバーに表示されるユーザー名※2 

 ※1 請求書作成機能など別の画面に遷移すると正しいユーザー名に戻ります
 ※2 INVOY登録時に設定いただく表示用ユーザー名で、請求書用の氏名等とは異なります


②【通常の利用方法では発生しないもの】デベロッパーツール※3を表示した際に関連情報として出る各種情報※4

 ※3 開発者用の管理画面。通常の使用方法で表示されることはありません
 ※4 メールアドレス、ユーザー名、ユーザー種別・権限。詳細は<対象の顧客情報(更新あり)>をご参照ください

2. 原因

<概要(既報)>
2023年8月7日(月)に行った「INVOY」のアップデート対応において、当該不具合を引き起こすコードが含まれていたこと、また当該アップデートを本番環境に適用する前に実施すべきチェックが不十分であったことが原因です。

<詳細>
INVOYの画面表示の処理において、2名以上のユーザーより同時ログインがあった場合に当該事象が発生する可能性のあるバグが見つかりました。同時ログインの影響の調査不足によるものです。

3. 今後の対応

  • 他のINVOYユーザー様から顧客情報が閲覧できる状態になっていた可能性のあるユーザー様には、メールにてご連絡いたします。
  • 本事象に関して引き続き調査を実施し、新たな事項が判明した場合には可及的速やかに弊社ウェブサイトにてお知らせいたします。
  • 既に本事象が再発しないよう暫定措置を行いましたが、来週を目途に恒久対応を完了し、再発防止策についてもあわせて報告いたします。

【セキュリティ事件簿#2023-446】OLTA 【INVOY】顧客情報流出に関するご報告とお詫び(続報1 サービス復旧)


平素よりOLTAおよびFINUX(INVOY)のサービスをご利用いただき誠にありがとうございます。

弊社関連会社(FINUX)が提供しておりますクラウド請求書プラットフォーム「INVOY」におきまして、特定の条件に該当した一部のユーザー様の顧客情報が他のINVOYユーザー様から閲覧できる状態になっていたことが判明いたしました。

ユーザー様には、大変なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

本事象の解消に向けて、2023年11月7日(火)18時10分より緊急メンテナンスのためサービスを一時停止しておりましたが、2023年11月8日(水)2時58分に復旧し、現在は通常通りご利用いただけます。詳細な原因や影響範囲の調査を継続しており、今後新たな情報が判明する可能性がございますが、2023年11月8日2時時点で確認できている情報は以下の通りです。

1. 発生事象

<対象ユーザーと事象>
2名以上のユーザーがほぼ同じタイミングでINVOYにログインした際、一方のユーザーの情報が他方に表示されてしまう可能性がある不具合。

<対象の顧客情報>
他ユーザー様が閲覧できる状態にあった可能性がある情報は、以下の通りです。
・ユーザID
・ご登録のメールアドレス
・ユーザ名
・登録日時
・契約プラン
・パートナーコード(登録経路)
・請求書の発行枚数
・ユーザの種別と権限(管理者か否か)
なお、クレジットカード情報やパスワードなど金銭的被害に繋がる情報は含まれておりません。

<経緯>
10月4日(水)
・20時頃、本事象に類似の事象と思われる内容について、ユーザー様より問い合わせを受ける。調査を試みたものの当該事象に関する詳細な情報がなかったこと、問い合わせいただいたユーザ様と連絡がつかなかったことから、問題の確認など具体的な対応を実施せず。

11月7日(火)
・11時頃、対象ユーザー様より問い合わせ受け、調査を開始。
・14時頃、当該事象が再現することを確認。
・18時10分、緊急メンテナンスのためサービスを停止。

11月8日(水)
・2時58分、事象の解消を確認。サービスを復旧。

<対象サービス>
・INVOY(クラウド請求書プラットフォーム)

<サービスサイトURL>
https://www.invoy.jp/

2. 原因

2023年8月7日(月)に行った「INVOY」のアップデート対応において、当該不具合を引き起こすコードが含まれていたこと、また当該アップデートを本番環境に適用する前に実施すべきチェックが不十分であったことが原因です。

3. 今後の対応

本事象に関しまして引き続き調査を実施し、該当ユーザーの詳細情報が判明し次第、可及的速やかに弊社ウェブサイトにてお知らせいたします。

【セキュリティ事件簿#2023-446】OLTA 【INVOY】顧客情報流出に関するご報告とお詫び


平素よりOLTAおよびFINUX(INVOY)のサービスをご利用いただき誠にありがとうございます。

2023年11月7日(火)、弊社関連会社(FINUX)が提供しておりますクラウド請求書プラットフォーム「INVOY」におきまして、特定の条件に該当した一部のユーザー様の顧客情報が他のINVOYユーザー様から閲覧できる状態になっていることが判明いたしました。

他ユーザー様に閲覧できる状態にあった可能性がある情報は、以下の通りです。
・ユーザID
・ご登録のメールアドレス
・ユーザ名
・登録日時
・契約プラン
・パートナーコード
・請求書の発行枚数
・ユーザの種別と権限(管理者か否か)
なお、クレジットカード情報やパスワードなど金銭的被害に繋がる情報は含まれておりません。

本事象の解消のため、2023年11月7日(火)18時10分より緊急メンテナンスのためサービスを一時停止しております。

復旧の見通しについては、現時点では未定です。このリリース以後、原因の究明、問題解消および再発防止が完了するまで随時状況をお知らせ致します。

ユーザー様には、大変なご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。

【セキュリティ事件簿#2023-445】株式会社ホープ 当社子会社のサーバーへの不正アクセスについて


当社の子会社である株式会社ジチタイワークス(以下、ジチタイワークス社)のサーバーが、第三者による不正アクセスを受けたこと(以下、本件)を確認しましたのでお知らせいたします。関係者の皆様には多大なるご迷惑とご心配をおかけすることになり、深くお詫び申し上げます。

現時点で把握している本件の概要等は以下のとおりです。

■本件発覚の経緯

当社は、2023年10月23日18時頃、ジチタイワークス社が運営する「ジチタイワークスWEB」のWEBサイトが閲覧できなくなっている状況を確認しました。その後直ちに、WEBサイトを管理するサーバー管理委託業者に依頼し、当該業者を通じて不具合の原因調査を行ったところ、ジチタイワークス社のサーバーに対し、第三者による不正アクセスが行われ、データが削除されたことが原因であると判明しました。

それと同時に、「ジチタイワークス無料名刺」および「ジチタイワークスHA×SH(ハッシュ)」のWEBサイトも閲覧できなくなっている状況も確認しました。

ジチタイワークスWEB:https://jichitai.works/
ジチタイワークス無料名刺:https://meishi.jichitai.works/
ジチタイワークスHA×SH(ハッシュ):https://hash.jichitai.works/

■本件の影響

本件の影響については、以下のとおりです。

① 漏洩のおそれのある個人情報
不正アクセスを受けたサーバーのデータベースには、ジチタイワークス会員登録およびジチタイワークスHA×SH(ハッシュ)を通じて取得した個人情報20,912人分のデータを保存しているところ、現在調査中ではありますが、これらの個人情報が外部に漏洩した可能性があります。

個人情報には、所属団体、部署、役職、氏名、電話番号、メールアドレス、住所、生年月日のうち、一部又は全部が含まれています。不審なメールやハガキを受け取った場合は、身に覚えのない料金の請求には応じず、記載された連絡先には電話をせず、不安がありましたら、末尾の問い合わせ先や最寄りの警察署にご相談ください。また、不審なメールの添付ファイルの開封やリンク先にはアクセスせず、削除するようにしてください。

なお、要配慮個人情報や、クレジットカード情報などの財産的被害が生じる情報は取得・保有していないため、上記の漏洩のおそれがある個人情報に含まれておりません。

② データの滅失
上記個人情報を含むデータベースが削除された形跡があり、外部専門家の助言のもと復旧に向けて取り組んでおります。

③ ウェブサイトの障害
(1)ジチタイワークスWEB・ジチタイワークス無料名刺
・一時的なサイト閲覧不能(10月23日18時頃~24日1時頃)
※本件同様の不正アクセスは発生しない環境にした上で復旧しております。

(2)ジチタイワークス会員のマイページ、新規会員登録ページ
・一時的な利用不能(10月23日18時頃~26日16時頃)
※本件同様の不正アクセスは発生しない環境にした上で復旧しております。

(3)ジチタイワークスHA×SH(ハッシュ)
・サイトの閲覧、利用不能(10月23日18時頃~11月1日10時半頃)
※本件同様の不正アクセスは発生しない環境にした上で復旧しております。

■対応

当社は、本件を確認後、速やかに外部からのアクセス制限や侵入経路の遮断など必要な被害拡大の防止措置を講じており、復旧に向けて努めております。また、外部専門家の助言を受けながら、本件について、個人情報の漏洩の有無や範囲を含む技術的な調査を進めております。

今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

なお、当社グループ内で緊急対策本部を設置し、原因究明活動と二次被害防止対策とともに、福岡県警への相談、個人情報保護委員会への速報を行っております。

また、今後、個人データが漏洩したおそれがあるお客様および関係者の皆様には、ジチタイワークス社よりお詫びとお知らせを個別に順次ご連絡申し上げます。

当社およびジチタイワークス社としましては、速やかな対応とサービスの復旧に向けて取り組むとともに、今後の再発防止策について強化してまいります。

【セキュリティ事件簿#2023-444】株式会社ベルソニカ 重要なお知らせとお詫び


不正アクセスによる情報流出のお知らせとお詫びについて

 
この度、弊社におきまして、社内システムへの外部からの不正アクセスにより、一部の情報流出の発生を確認しましたので、下記の通り、ご報告致します。関係者様には、大変なご迷惑とご心配をお掛けし、心よりお詫び申し上げます。現在も調査を続けており、今後新たな情報が発生する可能性もありますが、現時点で判明している調査結果は下記の通りとなります。

1.流出を確認した情報

・お取引先業者様等のご担当者の氏名を含む情報 467件
 (氏名、住所、電話番号、所属部署、メールアドレス)
・社員・元社員に関する情報(本人及びその家族) 568件
 (氏名、住所、電話番号、生年月日、性別、メールアドレス、学歴)

2.発覚と対応経緯

・9月22日(金)不正アクセスの形跡を感知、直ちにネットワークを遮断。
・同日、静岡県警に連絡。
・9月25日(月)外部専門業者と感染状況及び被害状況の調査開始、静岡県警サイバー対策関係者と情報共有し捜査協力を進める。
・併せて個人情報保護委員会への報告を実施。
・10月3日(火)ベルソニカのデータを公開するとの情報を確認。
・10月13日(金)不正アクセスによって、ファイル名のみが公開された事を確認。
・不正アクセスされたPCとサーバーを特定し、ネットワークを遮断。
・現在、セキュリティレベルを上げ復旧対応中。

3.情報の流出が確認された方へのご対応

情報の流出が確認された方へは、個別にご連絡をとり、丁寧に経緯・状況の説明をしてまいります。なお不正アクセスにより盗まれ流出の可能性がある情報について、引続き調査を継続して参ります。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を徹底して参ります。

【セキュリティ事件簿#2023-443】東京大学情報基盤センター管理のサーバにおけるユーザ情報の一部が、学内端末の一部から閲覧可能となっていた件について


東京大学情報基盤センターが管理するサーバの設定ミスにより、本学構成員向けGoogle Workspace for Educationのパスワードハッシュ値(*)を含む利用者情報(†)が、学内に設置された、学内利用者用の端末の画面で閲覧できる状態であったことが判明しました。

現在はその設定を修正し、上記の状態は解消しています。利用者情報が実際に閲覧されたかどうかは不明で、現時点ではこれによる不正ログインなどの被害も確認されておりません。閲覧されたとしてもパスワードハッシュ値から直ちにパスワードがわかるわけではありませんが、以降の被害を防ぐために本日時点で有効なアカウントを有する全ての利用者に連絡を行い、パスワードの変更作業を行なうこととしました。

閲覧可能であった情報が万一悪用される可能性を減らすため、これ以上の詳細については全ての利用者のパスワード変更作業が行われた後に、利用者に対して開示する予定です。

このような事態が発生し関係の皆様には多大なご迷惑をおかけすることになりましたことを、深くお詫び申し上げます。

今後、システム構築時および構成変更時の設定内容の確認を徹底するなど、再発防止に努めてまいります。

(*) パスワードハッシュ値: パスワードを暗号化したもので、ハッシュ値からもとのパスワードを復元することは、パスワードの長さや複雑さにもよりますが、多くの計算を要します

(†) 端末の画面で閲覧可能であった情報
● 名前
● Google のEmailアドレス
● 大学の他のサービスで用いる共通ID
● 学生証番号
● パスワードのハッシュ値
● その他管理上必要な, 個人の属性と直接結びつかない情報

【セキュリティ事件簿#2023-442】西日本工業大学 不正アクセスによる迷惑メール送信のお詫び


このたび、本学で使用しているoffice365のアカウント1名分が第三者に不正に利用され、令和5年9月22日(金)0時30分頃から1時00分頃までの間において、約2,700件の迷惑メール(スパムメール)が送信されるという事案が発生しました。

本事案により迷惑メールを受信し、不快な思いをされた方々に深くお詫びを申し上げます。

なお、本件による個人情報などの流出は無かったことを確認しており、現時点において被害は報告されておりません。

本学としては、この事態を重く受け止め、メールアカウントの厳重な管理についての周知徹底、教職員および学生に対する情報セキュリティの意識啓発を行い、全学で再発防止に努めてまいります。