【セキュリティ事件簿#2023-453】東浦町 町が利用する外部メールアドレスの第三者による不正利用

町が利用する外部メールアドレスとパスワードを第三者に不正に入手されたのち、なりすましにより不特定多数に大量のメールを送信していることが発覚しました。

現在のところ、個人情報の流出及び不正プログラムが仕込まれるなどの被害は確認されていません。

現在は、パスワードを変更するとともに、当該アドレスの使用を停止し、調査を進めています。

また、当該アドレスを常時使用しているパソコンについて、ウイルス対策ソフトによるスキャンを実施した結果、ウイルス等に感染している形跡はありませんでした。

経緯


(1)11月10日(金曜日)

 午後3時26分以降に大量の送信エラーメールを受信しました。

(2)11月11日(土曜日)

 メールアドレスのドメイン管理元から「大量のメールが送信されている事象を確認し、不正利用されている恐れがある。」という旨のメールを受信しました。

(3)11月13日(月曜日)

 大量の送信エラーメールを受信したことをきっかけに被害を受けたことを町として認識、その後、調査を開始しました。

(4)11月14日(火曜日)

 午前11時の時点で合計約500件の送信エラーメールを受信したことを確認しました。


この度は、関係者各位及び住民の皆様にご心配をおかけしましたことをお詫び申し上げます。

現在、警察等と連携して対応にあたっているところであり、引き続き調査を進めてまいります。

【セキュリティ事件簿#2023-452】株式会社Geolocation Technology 採用応募者様の個人情報が閲覧できる状態になっていたことに関するお詫び(第2報)


2023年11月11日付「採用応募者様の個人情報が閲覧できる状態になっていたことに関するお詫び」(https://ssl4.eir-parts.net/doc/4018/tdnet/2360564/00.pdf)にて公表いたしました件について、その後の調査を通じて確認した事実関係及び再発防止策等をご報告いたします。  

2023年11月8日に、当社コーポレートサイトの設定不備により、2019年5月1日から2023年4月14日までの間、当社のコーポレートサイトの採用応募フォーム(変更前の応募サイト)から中途採用に応募いただいた、履歴書および職務経歴書が閲覧可能となっている可能性があることを確認いたしました。直ちに対処を行い、2023年11月10日に、これらの書類は閲覧できない状態であることを確認しております。現時点において、履歴書および職務経歴書の不正利用等は報告されておりません。   

本事案について、一般財団法人 日本情報経済社会推進協会(JIPDEC)に報告いたしました。  

対象となられた皆さまには多大なご迷惑とご心配をお掛けいたしましたこと、深くお詫び申し上げます。 

1.本事案の概要と経緯   

2023年11月8日に、インターネット上で履歴書および職務経歴書のファイルが閲覧可能となっている旨のご連絡をいただきました。   

これを受け、直ちに調査を開始したところ、当該資料が、当社コーポレートサイトのフォルダに格納されておりましたが、そのフォルダが誤って「公開」の設定になっていることを確認し、直ちに対処するとともに、2023年11月10日に、これらの書類がすべて閲覧できない状態であることを確認いたしました。   

今回問題となった採用応募フォームは、2019年5月1日から2023年4月14日までの間、運用されており、この期間に応募いただいた履歴書および職務経歴書が閲覧可能となっている可能性があることを確認いたしました。

(1)閲覧を確認した又は閲覧のおそれがある情報     
a)応募者様の数       
閲覧のおそれがある応募者様の数(※106名) 
※2023年11月11日付公表の108名の中に、2名の重複がありました。     

b)情報の内容       
履歴書および職務経歴書に記載された応募者様の情報、職務経歴など。 


(2)発生原因   
今回問題となった採用応募フォームは、外部ツールを利用して、制作していました。本外部ツールは、採用応募フォームに添付して送信したファイル(履歴書および職務経歴書のファイル)をフォルダに配置するようになっており、外部ツールの仕様の理解不足から、このフォルダが誤って「公開」の設定になっていました。さらに、外部公開されているフォルダにファイルを保管し続けておりました。   
この結果、インターネット上で履歴書および職務経歴書のファイルが閲覧可能となっていました。

2.再発防止策と今後の対応 

(1)再発防止策   
今後、ウェブサイト制作において、以下のルールを周知徹底するとともに、ルールが厳守されていることを監視・点検し、今回のような事案が決して再発しないよう、取り組んでまいります。

・外部ツールの利用の有無、利用目的の明確化、責任者による利用承認 
・制作したウェブサイトから入力された取扱情報および格納場所の明確化 
・取扱情報の公開・非公開の確認および、責任者による妥当性の承認   

当社内部における、採用応募の手順を見直し、当社コーポレートサイトからの応募書類(履歴書・職務経歴書など)は、直接メールで受け取るようにいたします。コーポレートサイト以外からの応募書類については、指定のツールやサイトを介し、受け取るようにします。受け取った応募書類は、人事関係者だけが非公開の場所で取り扱うように徹底し、採用活動が完了した応募書類は、直ちに破棄するとともに、責任者が監視・点検してまいります。 

(2)閲覧を確認した又は閲覧のおそれがある応募者様への対応 
現在までに閲覧を確認した又は閲覧のおそれがある応募者様につきましては、書面にてご連絡を差し上げます。

【セキュリティ事件簿#2023-451】ジュテック株式会社 ランサムウェア攻撃に関するお知らせとお詫び


このたび、弊社は、弊社サーバ等に対して第三者による不正アクセスを受け、ランサムウェア攻撃による被害を受けましたので、お知らせいたします。なお、現時点では、暗号化の対象となったデータの漏えいは確認されておりません。

本件につきましては、既に、外部専門家の助言のもと、被害状況、原因等の調査を行い、また、発覚後速やかに、個人情報保護委員会に報告を行うとともに、警察への被害申告及び相談を行い、所轄警察署に被害届を提出し受理されております。

取引先様をはじめ、多くの関係者の皆様にご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。全社員が一丸となって再発防止に努めて参る所存ですので、何卒ご理解賜りますようお願い申し上げます。

1. 概要及び原因

攻撃者は、流出済みのVPN の認証情報を利用し、弊社の業務用サーバ等に不正にアクセスし、ランサムウェアを実行し、データの暗号化を行ったものと考えられます。なお、フォレンジック調査及びダークウェブ調査を行っておりますが、現時点で、暗号化の対象となったデータの漏えいは確認されておりません。

2. 被害を受けた可能性のある情報等

被害を受けた可能性のある情報等は、以下のとおりです。詳細につきましては、後記のお問い合わせ先までご連絡ください

(1) 個人情報
弊社従業員(退職者を含みます。)の氏名、住所、扶養家族の概要、給与、評価など人事に関する情報
採用にご応募いただいた方の氏名、住所、ご提出いただいた資料等の情報
取引先担当者様の氏名、所属、連絡先等

(2) 取引先様に関する情報
弊社のお客様及び仕入先様の会社概要、取引内容、商品に関する情報等

3. 発覚の経緯及びこれまでの対応状況
  •  8 月28 日、弊社の業務用サーバへのアクセス障害を確認し、ランサムウェア攻撃を受けたことを認識しました。弊社は、直ちに関係する端末をネットワークから切断するとともに、システムの運用・保守を委託しているベンダーと連携し、被害状況の調査及びシステムの復旧に着手しました。なお、攻撃者からは、対象となったPCの画面を通じて金銭の支払いを要求するメッセージを受領しましたが、弊社はこれに応じておりません。
  •  同日、大阪府警察に被害を申告しました。
  •  同月31 日、個人情報保護委員会に対し個人情報保護法に基づく速報を行いました。
  •  9 月11 日、所轄警察署に被害届を提出しました。
  •  同月12 日、フォレンジック調査会社に調査を依頼しました。
  •  10 月10 日、セキュリティベンダー及びサイバーセキュリティを専門とする弁護士に相談し、これ以降、継続的に助言を受けております。
  •  同月12 日、フォレンジック調査が完了し、報告書を受領しました。
  •  同月26 日、個人情報保護委員会に対し個人情報保護法に基づく確報を行いました。

4. 再発防止策

  • 今回のランサムウェア攻撃は、VPN を通じた不正アクセスによって行われたことから、より脆弱性管理が容易なリモートアクセス方式を導入しました。
  • クラウドサービスへのアクセスについて、端末証明書を導入し、外部からアクセスできないようにしました。
  • 不審なアクセスを検知し、マルウェアを実行前に検知・隔離するソリューションを導入しました。
  • セキュリティポリシーの見直し、定期的な従業員への教育、サイバー攻撃対応訓練の実施、不審な操作等の監視などを行うことを決定し、順次実行予定です。

【セキュリティ事件簿#2023-450】雲雀丘学園中学校・高等学校 個人情報を記録したUSBメモリの紛失について(お詫び)


このたび、本校において、個人情報を記録したUSBメモリの紛失がありました。関係の皆様に多大なるご迷惑をおかけしたことを深くお詫び申し上げます。

記録されていた情報は、朝礼時に実施している高校3年生の「国語小テスト」(令和5年4月から10月に実施分)の成績(名前、点数)約270人分及び試験問題です。つきましては、高校3年生の生徒の皆さんに経緯の説明と謝罪を行うとともに、高校3年保護者の皆様を対象に臨時保護者会を実施いたします。

本校としては、学校法人雲雀丘学園が定めた「個人情報保護に関する学園共通の遵守事項」の教職員への周知徹底を図るとともに、再び同様の事態が生じないよう日常的に点検を行うなど、再発防止に取り組んでまいります。

【セキュリティ事件簿#2023-449】一般財団法人日本情報経済社会推進協会 【お詫び】プライバシーマーク審査関連資料の漏えいについて(第2報)


2023年8月10日付「プライバシーマーク審査関連資料の漏えいについて」※1 にて公表いたしました件について、その後の調査を通じて確認した事実関係及び再発防止策等をご報告いたします。

当協会と審査業務に関する契約を締結していたプライバシーマーク審査員1名(以下、当該審査員)が、個人所有のパソコンにより審査業務を行った後、本来廃棄すべき審査関連資料を、審査業務委託契約及び当協会の規程に違反して外部記憶媒体等に保管していたところ、当該情報が外部に漏えいしたことが判明いたしました。本件についてデジタルフォレンジック※2調査等を行った結果、これまでにプライバシーマークを取得した事業者様のうち最大888社の審査関連資料と、審査員名簿(過去のものを含む)が漏えいしたおそれがあることを確認いたしました。なお、現時点において、審査関連資料及び審査員名簿の不正利用等は報告されておりません。

関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。プライバシーマークを付与する立場である当協会がこのような事態を起こしたことについて極めて重く受け止め、当協会を挙げて再発防止に取り組んでまいります。

※2 コンピューターなどの電子機器に残る記録の証拠保全や調査、分析を行う手段や技術の総称

1.本事案の概要と経緯

2023年8月8日、過去にプライバシーマークを取得されていた事業者様1社から当協会に対し、インターネット上で自社に関するプライバシーマークの審査関連資料と思われるファイルが閲覧可能となっている旨のご連絡をいただきました。

これを受け、当協会で直ちに調査を開始したところ、当該資料は当該審査員が作成したものであることを確認し、情報の漏えい元と推定されるパソコン及び周辺機器をネットワークから隔離いたしました。

なお、当該審査員は当協会の他に一般社団法人日本印刷産業連合会の審査業務も受託しており、当該審査関連資料も同様に保管していました。

その後、外部の専門調査機関と連携し調査を進めたところ、当該審査員が2005年10月から2023年7月までに実施したプライバシーマーク審査の関連資料と2005年から2011年まで当協会と契約していた審査員名簿(一般社団法人日本印刷産業連合会は2008年から2011年)が、少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていたことがわかりました。また、その期間中に少なくとも3種類のランサムウェアによる攻撃を受けて暗号化されたファイルがあることも確認いたしました。

(1)漏えいを確認した又は漏えいのおそれがある情報

①プライバシーマーク取得事業者様
a)事業者様の数
漏えいを確認した事業者様の数 1社
漏えいのおそれがある事業者様の数
最大888社(当協会審査分 500社、一般社団法人日本印刷産業連合会審査分 388社)

b)情報の内容
<事業者様情報>
・事業者名
・所在地、電話番号
・代表者名、個人情報保護管理者名、個人情報保護監査責任者名及び担当者名並びに当該者の役職名及び部署名並びに一部担当者のメールアドレス(当協会分約3,500名、一般社団法人日本印刷産業連合会分は調査中)
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。

<審査関連資料>
審査員がプライバシーマークの審査にあたって作成した審査報告書及び関連資料
・個人情報保護規程類の整備状況
・個人情報保護規程類に基づく運用状況
・個人情報保護マネジメントシステムの体制

②審査員名簿※3
 ※3 当協会若しくは一般社団法人日本印刷産業連合会とプライバシーマーク審査業務委託契約を現在締結している又は過去に締結していた審査員の名簿
a)審査員の数
漏えいのおそれがある審査員の数(当協会642名、一般社団法人日本印刷産業連合会27名)

b)情報の内容
氏名、メールアドレス、電話番号、住所
なお、銀行口座番号、クレジットカード番号等の情報は一切含まれておりません。

(2)発生原因

①当協会は、審査員に対して当協会が事前に許可した場合に限り、審査員が自宅で個人所有のパソコンを用いてプライバシーマークの審査業務の一部を行うことを認めておりました。

ただし、許可の申請に当たっては、事前にパソコンの機種やOSのバージョン、ウイルス対策等の作業環境に関する情報を提出させるとともに、作業終了後、当該審査関連資料は廃棄することと定めておりました。

しかしながら、当該審査員は、許可の申請の際に届けていない機器を複数用いるなど、申請内容と大きく異なる作業環境において審査作業を行っていたことに加え、作業終了後も審査関連資料を保管し続けておりました。

このような状況下、審査関連資料及び審査員名簿を保管していたファイルサーバー(NAS:Network Attached Storage)に適切なセキュリティ対策がなされておらず、インターネット上で閲覧できる状態となっていました。

本件判明後、当協会は直ちに当該審査員に対する審査業務の委託を停止し、11月9日付で審査員資格を取り消しました。

②当協会は、審査業務委託契約に基づく作業終了後に審査関連資料を全て廃棄しているとの審査員の届出を信用して確認しておりませんでした。

2.再発防止策と今後の対応

(1)再発防止策

①当協会と審査業務委託契約を締結している全審査員に対し、個人所有のパソコン等に審査関連資料を保管していないことを確認し、万一保管している資料があれば速やかに廃棄するよう指示しました。また、個人所有のパソコンでの審査作業を全面的に禁止いたしました。今後は、当協会が貸与する十分なセキュリティ対策(他の機器との接続不可を含む。)を施したパソコンのみを用いて審査業務を行うこととします。(貸与完了予定時期:本年12月)

また、全ての審査員に対して、審査関連資料の適切な取扱いを改めて周知徹底するとともに、貸与パソコンの取扱状況の監視・点検を行います。

さらに、これらに関する定期的な研修を強化し、今回のような事案が決して再発しないよう、取り組んでまいります。

②上記①の措置が確実に行われていることを担保するために、担当部門が行う貸与パソコンの取扱い状況の監視・点検や審査員研修の実施状況について、担当部門以外の者が定期的に監査するなど、当協会としての監査体制を強化します。

③他の審査機関の審査員に対しても、個人所有のパソコン等に審査関連資料を保管していないことを確認し、万一保管している資料があれば速やかに廃棄するよう指示したことを確認しました。また、各審査機関の実態をふまえて、当協会と同じようなレベルでのセキュリティを確保するよう要請しました。

(2)漏えいを確認した又は漏えいのおそれがある事業者様及び審査員への対応

現在までに漏えいを確認した事業者様及び漏えいのおそれがある事業者様につきましては、既に書面にてご連絡を差し上げております。専用のご相談窓口(コールセンター)を設置いたしましたので、ご不明な点等がございましたらご連絡ください。また、個人情報の漏えいのおそれがある審査員につきましても、既にご連絡いたしております。

【セキュリティ事件簿#2023-448】株式会社アイテス 当社に対するランサムウェア攻撃による情報流出の可能性に関するお詫びとご報告

 

この度、当社のシステムが外部からランサムウェアによる攻撃を受けた事を確認しましたのでお知らせ致します。現時点において、取引先関係者様に関する情報の不正利用などの事実は確認されておりませんが、取引先関係者様にはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

なお、社外で運用しております当社ホームページや、メールサーバ等には被害が及んでいない事を確認しております。

【概要】

2023年10月20日(金)に、当社の社内サーバに対しランサムウェアによる攻撃があり、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。

(1)発生日時:2023 年10 月20 日(金)午前1 時00 分頃

(2)流出した可能性がある情報:調査中

事象確認後、すべての社内サーバについてはネットワークから隔離いたしました。現在も調査を継続しており、今後新たな情報が判明しましたら、随時ご報告致します。なお、個人情報保護委員会への報告や警察への届け出等の対応を実施致しました。今後も必要に応じこれらの関係機関と連携して対応してまいります。

当社では、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の情報管理体制の強化に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2023-447】グラントマト株式会社 当社サーバへの不正アクセスについて

 

グラントマト株式会社(以下「当社」といいます。)は、本年10月27日、当社の一部のサーバに対し、第三者による不正アクセスを受けたことを確認いたしました。直ちに、外部専門機関の協力を得て調査を行い、状況を確認した結果、不正アクセスを受けたサーバ内に保存されていた情報の一部が暗号化され、流出した可能性があることが判明しましたので、ご報告いたします。

現在、不正アクセスを受けたサーバ内に保存されていた情報について確認中ですが、今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

当社は、外部専門機関の協力を受けながら、調査を継続し、被害拡大の防止及び再発防止に向けて総力を挙げて対応して参ります。

関係する皆さまには、多大なるご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。お客様やお取引先様におかれましては、不審なメールや通知が届いた場合は、開封及びリンク先へアクセスせず、直ちに当社までご連絡いただきますよう宜しくお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-325】日本ゼオン株式会社 不正アクセス発生(8 月 23 日付お知らせ)に関する 社内調査ならびに第三者調査完了について

当社サーバー機器に対して、外部の攻撃者による不正アクセスが発生し、当社が管理している個人情報の一部が外部へ流出した可能性があることにつき、2023 年 8 月 23 日に当社ウェブサイトにお知らせを掲載いたしました。

前回ご報告以降に継続実施した社内調査、ならびにセキュリティ専門ベンダーによる第三者調査が完了いたしましたので、以下の通りご報告いたします。

関係者の皆さまに多大なご迷惑、ご心配をお掛けすることになり、誠に申し訳ございません。心よりお詫び申し上げます。

【第三者調査の結果について】

攻撃者の不正アクセスによる被害は、前回ご報告の通り当社アカウント管理システム(ディレクトリサーバー)のデータが外部流出した可能性のみであり、他の形跡がないことを改めて確認いたしました。

【外部に流出した可能性がある個人情報の内容】 

(下記(1)~(2)の合計 13,434 件)

(1)当社が管理しているグループアドレスに登録されているお客様・取引先様の情報(8,236 件)

・お客様・取引先様ドメインのメールアドレスおよび氏名

個人情報が流出した可能性がある皆様には、2023 年 8 月 24日に本件をお知らせするメールを送信いたしました。

(メール通知が無い方に関しては、本件の対象外とご認識いただいて問題ございません)

※当社アカウント管理システム(ディレクトリサーバー)にはお客様・取引先様ドメインのメールアドレスおよび氏名のみが登録されておりますので、それ以外の情報が外部流出した可能性はありません。

(2)当社および当社グループ会社の社員および協力会社社員などのアカウント情報(5,198 件)

・当社および当社グループ各社が発行したユーザーID

・当社および当社グループ各社が発行したメールアドレス

・名前(漢字)

・名前(ローマ字)

・会社名

・部署名

・組織コード

・社員番号

・電話番号

これらの個人情報を悪用し、スパムメール、フィッシング詐欺メール等が送付される可能性があります。不審なメールやコンタクトを受け取られた場合、慎重にご対応くださいますようお願いいたします。

【当社の対応】

(1)行政機関への報告

経済産業省ならびに個人情報保護委員会に対し、第三者調査の結果を受け、2023 年10月16日に「確報」を提出いたしました。

(2)個人情報が流出した可能性がある方への対応

該当される皆様には、前述の通り、個別にメールでお知らせいたしました。

外部から受けた攻撃の手口等詳細については、行政機関に報告および相談を行っており、本お知らせ等の発信内容についても、連携して進めさせていただいております。

当社では今回の事態を重く受け止め、外部専門機関の協力も得て、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。

リリース文アーカイブ