【セキュリティ事件簿#2023-463】株式会社エンラージ商事 弊社が運営する「エンラージ商事オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営する「エンラージ商事オフィシャルショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(2,602件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

 なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯


2023年2月21日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年2月24日弊社が運営する「エンラージ商事オフィシャルショップ」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年7月14日、調査機関による調査が完了し、2021年5月16日~2022年5月20日の期間に 「エンラージ商事オフィシャルショップ」で購入されたお客様クレジットカード情報の漏洩の可能性があることが判明し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況


(1)原因

弊社が運営する「エンラージ商事オフィシャルショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年5月16日~2022年5月20日の期間中に「エンラージ商事オフィシャルショップ」においてクレジットカード決済をされたお客様2,432名で、漏洩した可能性のある情報は以下のとおりです。

・ECサイトの認証情報(メールアドレス、パスワード、電話番号)

・カード番号

・カード有効期限

・セキュリティコード

上記に該当する2,432名のお客様については、別途、電子メールにて 個別にご連絡申し上げます。

3.お客様へのお願い


既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について


2023年2月21日の漏洩懸念判明から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について


弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「エンラージ商事オフィシャルショップのクレジットカード決済」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月27日に報告済みであり、また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月27日に報告済みであり、また、警察にも2023年10月25日に連絡・相談をしております。

Labels:

【セキュリティ事件簿#2023-462】大阪府 個人情報の流出について


農政室推進課において、受託事業者である一般社団法人大阪府農業会議(以下「受託事業者」という。)に委託し実施したアンケート調査支援業務について、アンケートの回答者が回答後に自身の回答内容をウェブで閲覧した際、別の回答者の回答内容が閲覧できる状態にあったという事案が発生しました。

このような事態を招きましたことを深くお詫び申し上げるとともに、今後、再発防止に取り組んでまいります。
 

1.流出した情報

 ・農地所有者氏名、筆数、地番、地目、面積、アンケート回答内容 1名分
 ・農地所有者氏名、筆数、地番、地目、面積 13名分
 

2.アンケート調査の方法


当該アンケート調査は、受託事業者が府内市町村の農業委員会(※)に調査フォームを提供し、各委員会が紙媒体もしくはウェブで回答を回収している。

(※)農地法に基づく売買・貸借の許可、農地転用案件への意見具申、遊休農地の調査・指導などを中心に農地に関する事務を執行する行政委員会として各市町村に設置。

3.事案の経緯

○令和5年5月
  • 千早赤阪村農業委員会がアンケート調査を実施した。
○令和5年10月13日(金曜日) 
  • 柏原市農業委員会がアンケート調査を実施した。
○令和5年11月2日(木曜日)
  • ウェブで回答した柏原市のアンケート回答者から柏原市農業委員会へ、ウェブ上で回答内容を確認したところ、別の回答者の回答が表示されるとの連絡があった。
  • 柏原市農業委員会職員が無作為に選んだ柏原市の回答者の回答結果閲覧画面を確認したところ、別の回答者の回答内容が表示されたため、柏原市農業委員会職員が受託事業者へ連絡した。
  • 受託事業者がアンケート回答フォームを作成した業者(以下「業者」という。)に連絡し、原因調査及びシステムの不具合の解消を指示した。
  • 業者がシステムを確認したところ、柏原市の回答結果閲覧画面を開くと、千早赤阪村の回答結果が表示されることが判明した。
  • 業者がシステムの不具合を解消し、受託事業者へ連絡した。

〇令和5年11月6日(月曜日) 
  • 受託事業者が府へ本事案を報告し、府は個人情報の流出件数の精査等を指示した。
〇令和5年11月6日(月曜日)以降
  • 受託事業者が個人情報の漏洩した千早赤阪村の回答者へ経緯説明及び謝罪を行った。

4.原因

  • 業者が回答フォームを作成した際、柏原市のウェブ回答者の回答結果閲覧画面のURLが、誤って千早赤阪村の回答結果閲覧画面のURLとなっていた。また、受託事業者及び業者において動作確認を行っていなかった。

5.再発防止策

  • 府から受託事業者に対し、今後回答フォームを作成する際にはチェックシートを作成し、業者と受託事業者の双方において、複数人での回答フォームの動作確認を徹底するよう指示した。
Labels:

【セキュリティ事件簿#2023-461】中津市民病院 財務会計システムへの不正アクセスによる情報流出の可能性について


この度、当院の財務会計システムサーバに外部からの不正アクセスがあり、 以下の情報が流出した可能性があることが 11 月 14 日(火)に判明いたしました。

現在、流出した可能性のある情報内容の特定及び原因究明に取り組んでおりますが、現時点
で情報の流出や不正利用などの事実は確認されておりません。

また、財務会計システムは電子カルテシステム等の他のネットワークとは接続していないため、患者情報の流出はなく、診療業務への影響はありません。

現在までに確認できている事実及び対応について下記の通りご報告申し上げます。

1. 流出の可能性がある情報について
取引先各社の住所・会社名・代表者名・口座情報・取引金額

2. 経緯及び状況について
11 月 13 日(月)に財務会計システムサーバの異常を認識し、詳細を調査した結果、ランサムウェアに感染していることが 11 月 14 日(火)に判明しました。 直ちに感染したサーパ機器をネットワークから切り離し、現在、感染経路や時期について調査を実施中です。

3. 今後の対応について
この度の事案を深く受け止め、引続き調査を進めるとともに、再発防止に向けた外部ネットワークからの不正侵入防止策の強化やその他の院内システムの再点検を実施するなどして、より一層の情報セキュリティ強化に取り組んでまいります。

リリース文アーカイブ) 

Labels:

【セキュリティ事件簿#2023-460】東海大学 個人情報を含むリモート個別面談申込情報の誤掲載について


本学学生の保護者を対象とするリモート個別面談の申し込み時にご入力いただいた個人情報が、6日間にわたって教職員以外でも閲覧できる状態にあったことが判明いたしました。なお、現時点では第三者による当該個人情報の悪用等の事実は確認されておりません。

この度の事態により、個人面談を希望し個人情報を入力された保護者の皆様、学生の皆さま、ならびに関係各位におかれましては、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

1. 経緯

2023年10月5日(木)9時30分頃、本学体育学部の教員が、保護者を対象としたリモート個別面談の基本情報が記入されたスプレッドシート(ネットワーク上のファイル)のURLを自身の担当する授業のレポート課題のURLと取り違えて掲載し、授業支援システム「Open LMS」上に公開してしまいました。当該教員は直後に誤掲載に気づきURLを修正したものの、情報の更新を自動的に知らせる通知メールが同システムから当該授業の履修者63名に既に送信されていました。そのメール本文中にスプレッドシートのURLが記載されていたことから、同スプレッドシートがロックされた11日(水)10時までの6日間にわたって、教職員以外でも閲覧・ダウンロードできる状態にありました。

本件は、14日(土)にリモート個別面談の委託企業から、既にロックされているスプレッドシートのURLに教職員以外から不審なアクセスがあった可能性があるとの連絡が入ったことから、聞き取りも含めた詳細な調査を開始し、経緯が判明いたしました。

2. URLの誤掲載で閲覧可能となった個人情報の内容

保護者対象のリモート個別面談を申し込まれた440名の①学生氏名②学生証番号③申込者氏名④申込者メールアドレス⑤申込者電話番号⑥特に面談したい内容⑦面談をしたい具体的事項

3. 対応

2023年10月5日(木)、当該教員が授業支援システム上にプレッドシートのURLを公開した約15分後に誤りに気付き、直ちにシステム上からURLを修正しました。また、6日(金)と17日(火)の2回、履修学生63名に対し、ファイルをダウンロードしている場合は削除するようメールにて通知しました。さらに、19日(木)の授業時間帯に当該教員と管轄部署が改めて履修学生にお詫びと説明を行うと同時に、個人情報保護への協力について要請しました。また、該当者に対し、お詫びと状況説明のための連絡をいたしました。

4. 再発防止に向けた今後の取組

本学では、「東海大学情報セキュリティポリシー」に則り、情報資源や個人情報などの適切な管理に努めてまいりましたが、この度の事態を重く受け止め、教職員への通達や研修等を通じて情報資源の管理徹底と個人情報の取り扱いについて、より一層の意識向上を図り、再発防止に取り組んでまいります。

Labels:

【セキュリティ事件簿#2023-459】株式会社ダイナックホールディングス 弊社従業員の不適切な SNS 投稿についてのお詫びとお知らせ

この度、弊社子会社㈱ダイナックパートナーズが運営受託しておりますゴルフ場(オータニにしきカントリークラブ)のレストランに勤務する従業員が、業務で知り得たお客様(2 名)の個人情報を本人の SNS で投稿するという事案が発生いたしました。弊社として今般の事態を厳粛に受け止め、当該関係者の皆様に誠意をもって謝罪させていただくとともに、当該従業員及び担当役員に対して厳正に処分を行う所存でございます。

弊社は、本事案を真摯に受け止め、個人情報保護に関する教育を再度徹底するとともに、再発防止に努めてまいります。この度は関係者の皆様に大変ご迷惑をおかけしましたことを深くお詫び申し上げます。



Labels:

【セキュリティ事件簿#2023-458】ヤマハ発動機株式会社 フィリピン子会社に対する不正アクセスについて

 

このたび、ヤマハ発動機株式会社(以下、当社)のフィリピンにおける二輪車製造・販売子会社「ヤマハモーターフィリピン(以下、YMPH)」が管理する一部のサーバに対し、第三者による不正アクセスおよびランサムウェア攻撃(以下、本攻撃)を受け、YMPHが保有する社員情報の一部が流出していることを確認しましたので、お知らせいたします。

本攻撃の判明以降、当社IT部門とYMPHによる対策チームを設置し、外部のセキュリティ専門会社の協力を得ながら、被害拡大の防止措置を講じた上で、影響範囲等の調査と復旧への対策を進めています。被害の全容を把握するには、一定の時間を要する見込みですが、現時点で判明している内容については下記のとおりです。

関係の皆さまにはご心配とご迷惑をお掛けすることとなり、お詫び申し上げます。

1.経緯

10月25日、YMPHがランサムウェア攻撃を受けていることを確認しました。同日、当社IT部門とYMPHによる対策チームを設置し、外部のセキュリティ専門会社の助言を受けながら、被害拡大の防止措置、影響範囲等の調査と復旧への対策を進めております。

 10月27日、YMPHは、フィリピン当局へ報告しました。

 11月16日、YMPHで保有する社員情報の一部が流出していることを確認しました。

2.現在の状況と今後の対応

現在、YMPHの本攻撃被害に遭ったサーバ以外のシステムは復旧しています。本攻撃はYMPHが管理する一部のサーバへの攻撃に留まり、本社を含めた当社グループへの影響はないことを確認しています。引き続き監視を継続するとともに、被害のあったYMPHのシステムの早期の全面復旧に向けた対応を継続いたします。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-457】明和證券株式会社 当社メールサーバへの不正アクセス発生について

 

当社は、11 月 5 日に、当社ホームページのお問い合わせフォームに使用しているメールアドレス( info@meiwa-sec.co.jp )のメールサーバへの第三者による不正アクセスを受けたことを確認しました。調査の結果、不正なアクセスによりお問い合わせフォームからお問い合わせいただいた内容や当該メールアドレス宛に送られた内容等が読みだされている可能性があります。

なお、不正アクセス確認後、速やかにパスワードのリセット、アクセス監視強化等の対策を講じております。

当該の方々や関係する方に多大なるご心配とご迷惑をおかけしますことを、深くお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスに関するお知らせ

 

当社は、2023 年 11 月 6 日に春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことを確認いたしました。

本件につきましては、速やかに対策本部を設置のうえ、外部専門家の助言を受けながら、原因特定、被害状況の確認、情報流出の有無などの調査を行うとともに、復旧への対応を進めております。影響について調査中ですが、開示が必要な場合は速やかに公表いたします。

1.今後の対応

外部専門家及び警察と連携して早期復旧に向けた取組みを進めるとともに、さらなる管理強化を実施してまいります。

2.不明点に関するお問い合わせ

 ご不明点に関しましては、ホームページの『お問い合わせ』までお願いいたします。戦略企画部より回答申し上げます。

関係各位におかれましては、ご心配およびご迷惑をおかけしますことを深くお詫び申し上げます。

Labels:
登録: 投稿 (Atom)