【セキュリティ事件簿#2023-469】積水ハウス株式会社 システム開発用クラウドサーバーのセキュリティ設定不備によるお客様情報等の外部漏えいについて


弊社が設計業務システムの開発を委託していた BIPROGY 株式会社(以下「BIPROGY 社」)のセキュリティ設定に不備があり、システム開発用クラウドサーバー(以下「当該サーバー」)より、お客様情報の漏えい及び漏えいしたおそれがあることがわかりましたのでお知らせいたします。お客様をはじめ多くの関係者の皆様にご迷惑とご心配をおかけしますことを謹んでお詫び申し上げます。今後は、委託先の情報セキュリティに関する監督強化を行うとともに、個人情報の取り扱いの一層の厳格化に取り組んでまいります。

【経緯及び状況】

  • 当該サーバーには、弊社から提供したお客様情報等が存在していましたが、11 月 6 日、外部からの不審なアクセスが検知されたため、当該サーバーを停止し、調査を開始しました。
  • 調査の結果、BIPROGY 社のセキュリティ設定の不備により、当該サーバーにおいて、11 月 10 日にお客様情報等の漏えい及び漏えいしたおそれがあることを確認しました。
  • お客様情報等の不正利用は現在確認されておりませんが、漏えいの有無も含め、IPROGY 社と共に引き続き調査を行います。
  • 当該サーバーは独立したものであり、弊社におけるその他のシステムに影響はありません。
  • 本件に関しては、弊社より個人情報保護委員会に報告を行っております。
【漏えいが確認されたお客様情報等】
対象範囲 : 2023 年に弊社が取得したお客様情報等
項目 : 
お客様の氏名、建築地住所及び図面 2 件
当該物件を担当した弊社従業員氏名 12 件

【漏えいしたおそれのあるお客様情報等】
対象範囲 : 2001 年から 2023 年の間に弊社が取得したお客様情報等
項目 : 
お客様の氏名及び建築地住所 11,707 件
お客様の氏名のみ 15,682 件
当該物件を担当した弊社従業員氏名 7,184 件

【お客様への対応】

  • 漏えいが確認されたお客様には弊社より連絡をさせていただきました。
  • 漏えいしたおそれのあるお客様につきましては、順次郵送やメール等で弊社よりご連絡をさせていただきます。そのため、ご連絡までにお時間を頂く可能性がございますが、何卒ご容赦くださいますようお願いいたします。
  • 漏えいが確認された及び漏えいしたおそれのある弊社従業員(退職者も含む)に対しても、順次郵送やメール等で弊社より連絡を行います。

【セキュリティ事件簿#2023-383】名古屋芸術大学 学生の個人情報の漏洩の可能性に関するお詫びとお知らせ


学生、教職員の皆様

この度、株式会社ECC(以下、ECCという。)より、名古屋芸術大学が入学前英語テスト他、英検オンラインプラクティスにおいて利用しているECCの学習支援システムサーバーへの外部からの不正アクセスが確認され、個人情報が漏洩した可能性を排除できないことが判明したとの報告がありました。現時点において、個人情報の不正利用などの事実は確認されておりませんが、今回の事態により関係各位に対して多大なご迷惑とご心配をおかけしておりますこと、深くお詫び申しあげます。

1. 本件の経緯


令和5年9月19日(火)にECCから、本学が英検オンラインプラクティスにおいて利用しているサーバーへの不正アクセスを9月12日(火)に確認した旨の通報がありました。その後のECCの調査により、令和5年5月16日(火)以降、複数回の不正アクセスがあり、今年度の英検オンラインプラクティス受講対象者の情報が漏洩した可能性のあることが判明しました。

2. 漏洩の可能性のある個人情報


(1)対象件数:在籍学生586人分

(2)対象項目:①氏名、②大学名、③学籍番号、④受験番号、⑤暗号化済みパスワード※、⑥英検オンラインプラクティス受講情報(受講者のみ)

※ 生年月日を暗号化したデータで、生年月日が流出することはありません。

3. 本件の対応窓口及び調査結果について


ECCからの報告とその後の調査を受け、令和5年10月13日(金)に該当学生に対し、上記2-(2)の個人情報が漏洩した可能性に関するお知らせとお詫びについて配信するとともに、対応窓口として連絡先メールアドレスの指定と、対面での相談機会を設定するなどして調査を開始しました。

そして調査の結果、個人情報を悪用された事実は確認されませんでした。


4. 再発防止策について


ECCにおいて、通信制限などセキュリティ強化を実施し、不正アクセスに用いられたアカウントのID/パスワードにつきましても強固なものに変更するなど再発防止策をすでに講じています。

本学では、今回の事態を重く受け止め、委託先の業者も含め、より一層、個人情報の保護、情報セキュリティ対策の適切な管理に努めてまいります。

【セキュリティ事件簿#2023-468】株式会社大西 不正アクセス発生による情報流出の可能性とお詫びについて


株式会社大西は、当社グループの情報システムに対する2023年7月の外部からの不正な攻撃(以下「本件」といいます。)により当社サーバのアクセス障害が発生し、保存されている関係者の情報が外部に流出した可能性のあることが判明しましたので、お知らせします。このたび、当社や外部機関などによる調査の結果がまとまりましたので、公表させていただくことといたしました。

当社や第三者機関などによる調査の結果、現時点で情報の不正使用などの二次被害は確認されておりません。関係者の皆様におかれましては、多大なご迷惑とご心配をおかけしますことをお詫び申し上げます。

1.流出した可能性のある情報

・グループ各社のお客様にかかる情報(電話番号、住所、事業者名・店名、代表者氏名・担当者氏名、メールアドレスなど)
・グループ各社のお取引先様にかかる情報(受注情報、請求情報、仕入先情報など)

※当社グループのECサイトにおけるクレジットカード情報につきましては、決済代行会社のシステムを利用しているため今回の対象外でございます。

2.事案発生と調査の経緯

当社グループのサーバが2023年7月21日、外部からの不正アクセスを受け、ファイルサーバに脅迫文が置かれた上でファイルの毀損が発生していることを確認しました。

発生直後に初期対応を行うとともに、原因の究明と対策を進めるため、当社グループの情報システム部門と契約するITシステム開発事業者、さらに第三者機関が慎重に調査を実施してまいりました。

このたびまとまった調査の結果 、VPN接続やウェブサーバの脆弱性を悪用して侵入された可能性が高く、管理権限を持つサーバを改ざんされたことで被害が拡大したとみられることが判明しました。

現時点では、当社グループの保有する個人情報を含む各種情報が外部へ流出した痕跡や、外部の攻撃者による当社情報の公開は確認しておりません。また、本件に起因する情報の不正利用など二次被害にかかる報告も受けておりません。

こうした状況も踏まえて、各種情報にかかるデータの外部流出の可能性は極めて低いと考えられます。しかしながら、情報流出の可能性を完全に否定すること、また流出の可能性がある情報の特定については、困難な状況となっております。

3.対応策

調査結果を受けて、システム侵入経路を封鎖するとともに、監視体制の強化をはじめとするセキュリティ対策を講じております。PCスキャンチェックなどを行い、再発防止のための措置を講じております。個人情報保護委員会にも報告しており、対応策について助言を受けているほか、警察にも相談しております。

4.今後の対応

当社グループはこれまでも、不正アクセス防止措置を講じてまいりましたが、今回の事態を重く受け止め、本件にかかる調査結果や外部機関の助言を踏まえた、さらなる管理体制の強化に努めてまいります。

【セキュリティ事件簿#2023-396】個人情報保護委員会 青森県上北郡野辺地町における保有個人情報の取扱いについての個人情報の保護に関する法律に基づく行政上の対応について

 

個人情報保護委員会(以下「当委員会」という。)は、令和5年 11 月 29 日、青森県上北郡野辺地町(以下「野辺地町」という。)における個人情報等の取扱いについて、野辺地町長に対し、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)第 157 条に基づく指導等を行った。

1.事案の概要

本件は、野辺地町健康づくり課において、同課で使用していたUSBメモリ(以下「本件USB」という。)が紛失し、本件USBに記録されていた町民に関する保有個人情報の漏えいのおそれが発生した事案である。

2.漏えいしたおそれのある保有個人情報とその件数

本件により漏えいしたおそれのある保有個人情報は、氏名、生年月日、性別、住所、健康診断結果及び新型コロナワクチン接種履歴等であり、本人数は 12,856 名である(本件が発覚した時点で死亡していた者 547 名を除く。また、健康診断結果が漏えいした本人数は 51 名である。)。

3.個人情報保護法上の問題点

個人情報保護法第 66 条第1項は、「行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。しかしながら、野辺地町では、個人情報等の取扱いについて、以下の問題点が認められた。

(1) 電子媒体等を持ち運ぶ場合の漏えい等の防止の不徹底(物理的安全管理措置の不備)

野辺地町では、本件USBを定められた場所に保管していたものの、当該保管場所の施錠が行われていなかった上、本件USBには、パスワード等によるアクセス制御も行われていなかった。

(2) 個人情報の取扱状況を確認する手段の整備の不徹底(組織的安全管理措置の不備)

野辺地町では、保管場所からのUSBメモリの持ち出し、返却に関する管理台帳を作成しておらず、USBメモリの取扱状況について確認できる適切な手段が整備されていなかった。

(3) 漏えい等安全管理上の問題への不十分な対応(組織的安全管理措置の不備)

野辺地町から当委員会に漏えい等報告(速報)が提出されたのは当該事案の発覚後 28 日目であり、当委員会への速やかな漏えい等報告が行われなかったことから、個人情報保護法第 68 条第1項の規定に則った適正な取扱いがなされておらず、保有個人情報の漏えい等の安全管理上の問題への対応が不十分であった。

4.個人情報保護法第 157 条に基づく指導及び第 156 条に基づく資料提出等の求めの内容

(1) 個人情報保護法第 66 条第1項、個人情報の保護に関する法律についてのガイドライン(行政機関等編)及び個人情報の保護に関する法律についての事務対応ガイド(行政機関等向け)に基づき、必要かつ適切な措置を講ずること。

(2) 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講ずること。

(3) 再発防止策の実施状況について、関係資料を提出の上、令和5年 12 月 28 日(木)までに説明するよう求める。

リリース文アーカイブ

【セキュリティ事件簿#2023-467】日本赤十字豊田看護大学における個人情報を含むUSBメモリの紛失について


このたび、本学の教員が個人情報を含むデータが保存されたUSBメモリを紛失する事故が発生しました。ここにご報告するとともに、関係する皆さまには、多大なご迷惑をおかけしたことを深くお詫び申し上げます。

1. USB メモリ紛失の概要

2023 年 11 月 17 日(金)に当該教員より、個人情報を含むデータが保存された USB メモリ4本を紛失した旨の第1報が大学にありました。当該教員が最後に USB メモリを確認したのは、2023 年 11 月17 日(金)であり、同日紛失に気付きました。速やかに公共交通機関、関係施設等を捜索しましたが、未だ発見に至っておらず、2023 年 11 月 20 日(月)に所轄警察署へ遺失物届を提出いたしました。当該教員からの事故報告書を受け、大学における対策を講じました。なお、現時点で本件の個人情報が第三者に流出したという情報や不正に使用された事実は確認されておりません。

2. 紛失した USB メモリに保存された情報

(1)本学学生の氏名及び学籍番号(138 名分)
(2)個人が特定できない研究データ
(3)当該教員履歴書

3. 現在の対応状況

 今回の事故報告書を受けて、以下のように対応いたしました。

(1)本学学生(138 名分)について
   事故の経緯を説明し謝罪した文書を対象学生各人宛メール配信しました。
(2)個人が特定できない研究データについて
   研究代表者及び本学研究倫理審査委員会委員長宛に、事故の経緯を文書にて報告しました。

4. 再発防止策等

本学教職員に対し、次のとおり周知徹底を図ってまいります。

(1)個人情報を学外に持ち出す場合は、本学が指定する情報の取り扱いルールを徹底します。
(2)USB メモリ紛失による漏洩リスクと対策を題材にセキュリティ講習会を実施します。
(3)個人情報を適正に管理することをあらためて注意喚起します。

今後は、個人情報の取り扱いについて、教職員に対しより一層の厳重な取り扱いの周知徹底を図るとともに、再発防止に努めてまいります。

【セキュリティ事件簿#2023-466】JCOM 株式会社 お客さまの個人情報漏えいに関するお知らせとお詫び

当社がメッシュWi-Fi(高機能Wi-Fi含む:以下メッシュWi-Fi)を提供するお客さま、および当社がメッシュWi-Fiを提供するケーブルテレビ事業者様のお客さま情報の一部が、漏えいしたことが確認されました。

お客さまにはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
本件の対象となるお客さまに対しては、準備が整い次第順次お知らせいたします。

1.概要


メッシュWi-Fiの提供元である、米国Plume Design社の提携先のモバイルアプリのアクセスログサーバに対して、外部からの不正アクセスがあり、当社ならびにケーブルテレビ事業者様の一部のお客さまの個人情報が漏洩したもの。

2.発覚の経緯


本事態を、Plume社販売代理店経由で2023年11月21日に報告を受けたことで判明。

3.お客さま情報の件数と内容

①J:COMのメッシュWi-Fiアプリをご利用されたことがある一部のお客さま:226,832件

・お客さまの氏名

②ケーブルテレビ事業者様のメッシュWi-Fiをご利用されたことがある一部のお客さま:5,109件

・お客さまの氏名

・メールアドレス

4.お客さまへの対応について


今後新たな事実が判明した場合には、当社ホームページにてお知らせいたします。

【セキュリティ事件簿#2023-465】中嶋製作所 弊社内システムがランサムウェアに感染し、情報流出可能性のご報告とお詫び


この度、ランサムウェアの BlackCat により、弊社内のパソコン、サーバー、ファイル等がウィルス感染していることが判明し、 社内調査を実施したところ、弊社営業担当者のメー
ルアドレス、お客様の見積書、 図面などが流出していることとが確認されました。 流出した情報の詳細は把握出来ていない状況です。また弊社社員の個人情報につきましても流出している可能性があります。

このような事態を招きましたことにつきましては、お客様をはじめ関係者の皆様に多大なご迷惑とご心配をお掛けしましたことを深くお詫び申し上げます。

弊社では、今後、更なるセキュリティ強化を図り、再発防止に努めてまいります。

1. 経緯

2023 年 11 月 6 日
社内基幹システムが平常通り作動しない事象が発生、 システムベンダーに連絡し、状況確認したところ、11 月 3 日にセキュリティ異常を検知していたととが判明。

2023 年 11 月 7 日
始業時から基幹システムならびにた会計システムが起動しない状況となり、システムベンダーに連絡し調査してもらった結果、ラランサムウェアウィルス(BlackCat) に感染しているととが判明し、社内調査した結果、複数のパソコン、サーバー、ファイルが感染している状況を確認。

2023 年 11 月 8 日
個人情報漏洩の恐れがあるため個人情報保護委員会に報告。

2023 年 11月9日
弊社代表者ならびに営業担当者宛に脅迫メールを受信。

2023 年 11 月 13 日
長野県警サイバー犯罪捜査課に通報。

2023 年 11 月 15 日
社内システムが復旧。 独立行政法人情報処理推進機構に報告。

2. 流出の可能性がある情報

お客様の見積書、図面、担当者名、電話番号、メールアドレス、メール本文または
添付ファイル、英社社員の個人情報など

3. 関係者様への対応

現在、 情報の流出ならびに個人情報の不正利用などの報告は受けておりませんが、当該情報の不正利用や漏洩情報を利用した関係者様へのなりすましメール等のサイバー攻撃も想定されますので、不審な電子メール等が届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願い致します。

4 . 今後の対応

現在、 警察と連携して対応しておりますが、 今後は、更なるセキュリティ対策強化をするととにより再発防止に努めてまいります。

【セキュリティ事件簿#2023-464】LINEヤフー株式会社 不正アクセスによる、情報漏えいに関するお知らせとお詫び


LINEヤフー株式会社は、このたび、第三者による不正アクセス(以下、本事案)を受け、ユーザー情報・取引先情報・従業者等*1に関する情報の漏えいがあることが判明しましたのでお知らせいたします。

本件につきまして、以下の通り報告いたしますとともに、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

なお、後述の当社へのアクセスの経路となったと推測される当社関係会社のシステムからは、当社の各サーバーに対するアクセスを遮断しております。11月27日時点でユーザー情報や取引先情報を利用した二次被害の報告は受けておりませんが、引き続き影響調査を進め必要な対応が発生した場合は速やかに対応してまいります。

■発生した事象

当社関係会社である韓国NAVER Cloud社の委託先かつ当社の委託先でもある企業の従業者が所持するPCがマルウェアに感染したことが契機となります。NAVER Cloud社と当社の従業者情報を扱う共通の認証基盤で管理されている旧LINE社の社内システムへネットワーク接続を許可していたことから、NAVER Cloud社のシステムを介し、10月9日、当社のシステムへ第三者による不正アクセスが行われました。
10月17日に当社システムへの不審なアクセスを検知し分析をしていたところ、10月27日に外部からの不正アクセスによる蓋然性が高いと判明したものです。当社では被害状況の把握と拡大の抑止の対応を実施しています。
また、関係省庁には適宜状況の報告を行っております。 

■本事案の影響

11月27日時点で、本件により漏えい(可能性も含みます)が確認できた個人情報は以下のとおりです。

〈ユーザーに関する情報〉

・ユーザーに関する個人情報 302,569件(うち日本ユーザー129,894件)
 推計値49,751件を含む(うち日本ユーザー15,454件):LINEユーザー内部識別子*2に紐づくサービス利用履歴など

 うち、通信の秘密*3に該当する情報 22,239件(うち日本ユーザー8,981件)
 推計値3,573件を含む(うち日本ユーザー31件)

口座情報、クレジットカード情報、LINEアプリにおけるトーク内容は上記に含まれません。 

〈取引先等に関する情報〉

・取引先等に関する個人情報 86,105件:取引先等のメールアドレス等
 ・取引先等のメールアドレス*4 86,071件
 ・取引先等の従業者の氏名、所属(会社、部署)、メールアドレス等 34件

〈従業者等に関する情報〉

・従業者等に関する個人情報 51,353件:氏名、社員番号、メールアドレス等
 ・ドキュメント管理システム内の従業者等に関する個人情報 6件
 ・認証基盤システム内の従業者等に関する個人情報*5 51,347件
  ・当社および当社グループ会社        30,409件
  ・NAVER社およびグループ会社      20,938件 

*1 当社、当社グループ会社、NAVERグループにおける従業員、業務委託先および派遣元等の従業者
*2 LINEのアプリケーション内部で機械的にユーザーを識別するためのものであり、友だち追加のためのID検索に用いるLINE IDとは異なります。
*3 メッセージのように特定者間のやり取りに関連する情報
*4 当社メーリングリストに含まれていた当社(当社グループ会社を含む)ドメイン以外のメールアドレス
*5 提供しているシステムに応じて会社を区分。本件数は、アカウント数であり重複がある。従業員数とは一致しない。

■時系列対応(日本時間)

2023/10/09:当社関係会社のサーバーを経由して当社サーバーに不正アクセス開始

2023/10/17:当社セキュリティ部門がシステムにて不審なアクセスを検知し調査開始

2023/10/27:外部からの不正アクセスである蓋然性が高いと判断
不正アクセスに使用された可能性のある従業者のパスワードをリセットし、当社関係会社から当社へのアクセスの経路となったと推測される当社関係会社のシステムから、当社の各サーバーに対するアクセスを順次遮断

2023/10/28:従業者の社内システムへの接続について再ログインを強制実施

2023/11/27:ユーザーおよび従業者等への通知を開始

■対象者へのお知らせおよび今後の方針について

二次被害のおそれがあると評価したユーザーの皆さまには、個別にご連絡いたします。それ以外の、取引先の皆さまを含むご連絡可能なお客様に対しても個別のご連絡を実施予定です。該当の既存ユーザーおよび現時点で退会されているユーザー、取引先の皆さまには、ご登録いただいたメールアドレス、またはLINE公式アカウント「LINE Official Account」を通じた「LINE」アプリへのメッセージの通知機能等を通じて個別にご案内いたします。また、該当する当社従業者につきましても、本事案の説明を行います。なお、個別にご連絡ができない皆さまには、本発表を以て、通知とさせていただきます。

当社にてアクセス遮断などの処置を実施しており、該当するユーザーの皆さまにご対応いただく事項はございませんが、当社を装ったメッセージにご注意くださいますようお願い申し上げます。また、巧妙な詐欺やフィッシングの可能性があるため、十分にご注意くださいますようお願い申し上げます。

今後、当社は旧LINE株式会社環境の社内システムで共通化しているNAVER Cloud社との従業者情報を扱う認証基盤環境の分離を実施するとともに、ネットワークアクセス管理を一層強化していく予定です。加えて、事象の契機となった、委託先の安全管理措置の是正に取り組みます。また、これらの再発防止策については、計画の妥当性・有効性・客観性の担保を目的として外部企業を交えた計画策定を実施していきます。

改めまして、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。