【セキュリティ事件簿#2023-422】Suishow 株式会社 当社運営の「NauNau」をご利用いただいているお客様への 重要なお知らせとお詫びについて

2023 年 10 月 23 日付「Suishow 株式会社に関する報道について」にてお知らせいたしましたとおり、当社が運営する「NauNau」において、一時、少なくとも 200 万人以上のユーザの位置情報やチャットなどが外部から閲覧可能な状態が生じていたとの報道があり、これを受け、個人情報漏洩の可能性を含め第三者機関による調査を進めてまいりましたが、調査が終了いたしましたので、お知らせいたします。

調査の結果、セキュリティ設定の不備により、特定の手順を踏むことで個人情報の一部が不正に閲覧可能であったことが判明いたしましたが、第三者機関による調査で確認した範囲において情報流出の事実は確認されませんでした。調査結果等は下記のとおりです。

「NauNau」の利用者および関係者の皆さまには多大なご迷惑とご心配をおかけしましたことを、心よりお詫び申し上げます。現時点ではセキュリティ設定の見直しを行い、当該情報の不正な閲覧を行うことはできませんが、調査結果を踏まえ、再発防止策を策定し、セキュリティ向上に取り組んでまいります。なお、サービスの再開時期は、再発防止策（情報セキュリティ体制の見直しを含みます。）の策定と合わせて検討しておりますので、確定次第公表いたします。

■ 調査結果概要

「NauNau」が利用しているクラウドサービスにおいて、当社のセキュリティの設定に不備がある状態でサービスが運用されていたため、不正にデータベースにアクセスできる状態でした。

＜個人情報などにアクセスするための手段＞

上記状況において、ユーザの位置情報やチャット履歴などを取得するためには、クラウド上のデータベースへのアクセス情報を入手し、様々なリクエストを送信する必要があります。

第三者機関による調査の結果、これを実行するためには、SSL/TLS を利用したモバイルアプリの通信を傍受し解析する知識と、クラウドサービスの API へのリクエストを組み立てるための知識が必要であることがわかりました。

＜上記手段によりアクセス可能な情報と期間＞

2022/09/29～2023/05/08：ユーザの現在地：推定 304 万ユーザ分

2022/09/29～2023/03/02：チャット内容/画像：推定 167 万ユーザ分

2022/09/29～2023/10/20：生年月日：推定 283 万ユーザ分

2022/09/29～2023/10/20：個人情報を含まないその他のユーザ情報

(アプリの起動回数等)：推定 380 万ユーザ分

2022/10/22 20:34～20:58：ユーザの過去の位置履歴 ：6,753 ユーザ分

2023/06/13～2023/10/20：カップル・家族グループに所属しているユーザ：53,457 ユーザ分

2023/10/06～2023/10/20：特定アプリのインストール状況※1：38,070 ユーザ分

※1 「NauNau」には恋人がマッチングアプリ等をインストールしているか分かる機能があり、当該アプリ等のインストールの有無に関する情報

■ 本件の原因

「NauNau」が利用しているクラウドサービスにおいて、当社のセキュリティの設定に不備

がある状態でサービスが運用されていたため。

■ 経緯及び対応

2023 年 10 月 20 日(金) 当社に対し、報道機関から「NauNau」における個人情報漏洩の可能

性について指摘

2023 年 10 月 20 日(金) 当社にて状況調査、第三者機関への相談開始

2023 年 10 月 21 日(土) 「NauNau」のサービスを停止しアクセスを遮断

2023 年 10 月 23 日(月) 総務省及び個人情報保護委員会へ報告

2023 年 11 月 10 日(金) 第三者機関としてデジタルデータソリューション株式会社に個人情報

の流出の有無に関する調査を依頼し、調査開始

2023 年 11 月 20 日(月) 第三者機関として GMO サイバーセキュリティ by イエラエ株式会社

に表 1 記載の期間において「NauNau」上の情報に第三者がアクセスす

るための方法について調査を依頼し、調査開始

2023 年 12 月 4 日(月) 第三者機関による調査が完了

■ 再発防止策

専門機関である第三者機関の診断を受けた上で、再発防止策の検討を進めております。

改めまして、「NauNau」の利用者および関係者の皆さまに多大なるご迷惑とご心配をおか

けしましたことを、深くお詫び申し上げるとともに、再発防止に努めてまいります。

リリース文（アーカイブ）

ぶっ飛びOSINTガイド

免責事項：すべての情報（ツール、リンク、記事、テキスト、画像など）は教育目的でのみ提供されています！また、すべての情報は公的な情報源からのデータに基づいています。あなたの行動に対する責任は、作者ではなく、あなた自身にあります❗️

このマニュアルは、OSINT の専門家による長年の研究の集大成です。このガイドブックはアドバイスとルートの集大成だと思ってください！

これは教育を目的としています。

マインド・マッピング

マインドマップという概念を分解してみよう。様々な基準に従って情報を並べ替える方法を教えることは非常に重要で、どんな情報でも並べ替える練習ができると思います！

• マインドマップ(https://ja.wikipedia.org/wiki/%E3%83%9E%E3%82%A4%E3%83%B3%E3%83%89%E3%83%9E%E3%83%83%E3%83%97)

Maltego

Maltegoはデータマイニングツールで、様々なオープンソースデータリソースをマイニングし、そのデータを使ってつながりを分析するためのグラフを作成します。このグラフによって、名前、電子メールの組織構造、ドメイン、文書などの情報間のつながりを簡単に作ることができます。MaltegoはJavaを使用しているため、Windows、Mac、Linux上で動作し、BuscadorやKaliのような多くのOSINT Linuxで利用可能です。

基本的に、Maltegoは大量の情報を解析し、様々なオープンソースのウェブサイトを検索してくれます。Maltegoは、調査中のどの時点でもリソースとして使うことができますが、ターゲットがドメインである場合は、最初からMaltegoを使ってネットワークのマッピングを始めるのが理にかなっています。

• あなたとあなたのチームのためのトップOSINT & Infosecリソース（2022年版）： 100以上のブログ、ポッドキャスト、YouTube、書籍など！(https://www.maltego.com/blog/top-osint-infosec-resources-for-you-and-your-team/)
• MaltegoによるOSINT調査入門ガイド(https://wondersmithrae.medium.com/a-beginners-guide-to-osint-investigation-with-maltego-6b195f7245cc)
• Maltego - Cyber Weapons Lab - OSINTアナリストのように調査する(https://youtu.be/46st98FUf8s)
• OSINTスキルを学ぶ/開発するための無料のデジタルバッジ](https://www.reddit.com/r/OSINT/comments/kgew5d/free_digital_badges_for_learning_developing_osint/)

ちょっとしたヒント - 異なるIP、異なる時間範囲、異なる検索エンジンを使ってパワーサーチを実行する。

研修と実践

良いトレーニング教材

• OSINTのためのPython 21日間](https://github.com/cipher387/python-for-OSINT-21-days)
• Googledorking + dorksearch.com
• サーチライトオシント](https://tryhackme.com/room/searchlightosint)
• 初段](https://tryhackme.com/room/shodan)
• ジオロケーティング画像](https://tryhackme.com/room/geolocatingimages)
• Instruments-on-the-radio-waves + websdr.org + try 😅
• ソメジント](https://tryhackme.com/room/somesint)
• osintframework.com
• OSINT At Home YouTube プレイリスト](https://www.youtube.com/playlist?list=PLrFPX1Vfqk3ehZKSFeb9pVIHqxqrNW8Sy)
• myosint.training
• すごいサイバー・スキル](https://github.com/joe-shenouda/awesome-cyber-skills)
• すごい地図](https://github.com/simsieg/awesome-maps)

フォローすべきOSINTスペシャリスト。

• twitter.com/UKOSINT - ニュース、ツール、ジョーク
• twitter.com/dutch_osintguy - 有名な専門家、講演者
• twitter.com/jakecreps - 毎週木曜日に素晴らしいツールを投稿。
• twitter.com/OSINTtechniques - デジタルのパンくずを追う
• スルース・シート](https://medium.com/the-sleuth-sheet)
• OSINTエッセンシャル](https://osintessentials.medium.com/)
• Sector035](https://medium.com/@sector035) - 今週のOSINT
• Igor S. Bederov](https://medium.com/@ibederov_ja) - デジタル時代のシャーロック・ホームズ...
• twitter.com/OSINTHK - OSINTを使うボランティアたち
• 世界のOSINTコミュニティ](https://osintfr.com/en/home/) - フランスのOSINTコミュニティ
• twitter.com/OSINT_Research - ツールと素晴らしいデータ
• twitter.com/OSINTtechniques - ツールと素晴らしいデータ
• twitter.com/OsintJobs - OSINTの仕事
• www.reddit.com/r/OSINT - 最大のテーマ別サブReddit
• OSINT、ハッキング、セキュリティなどに関するチャンネル](https://telegra.ph/Channels-about-OSINT-Hacking-Security-and-so-on-04-19)

その他のリソース

• すごいOSINT＋暗号](https://github.com/aaarghhh/awesome_osint_criypto_web3_stuff)
• グーグルハッキング](https://seckrd.com/google-hacking)
• GOSI: GIACオープンソースインテリジェンス](https://www.giac.org/certification/open-source-intelligence-gosi)
• SEC487: オープンソースインテリジェンス(OSINT)の収集と分析](https://www.sans.org/cyber-security-courses/open-source-intelligence-gathering/)
• Inteltechniques.net
• ITセキュリティ講座](https://github.com/bkimminich/it-security-lecture/)
• r4venツール](https://github.com/spyboy-productions/r4ven)
• アンレダクター](https://github.com/BishopFox/unredacter)
• forensicdots.de
• メタ・シークレット・アプリ](https://github.com/meta-secret)
• イメージリサーチOSINT](https://github.com/cqcore/Image-Research-OSINT)
• セキュリティアナリストとして知っておくべき15のツール](https://osintteam.blog/15-tools-you-should-know-as-a-security-analyst-f95007e94d99)
• ポータブル・シークレット・アプリ](https://mprimi.github.io/portable-secret/)
• オープンソースインテリジェンステクニック](https://inteltechniques.com/book1.html)
• インターネット・インテリジェンス＆調査ハンドブック](https://www.amazon.com/Internet-Intelligence-Investigation-Handbook-practical/dp/B096TJMV7J)
• NATO OSINTハンドブック](https://github.com/lawsecnet/OPSEC/blob/master/NATO%20OSINT%20Handbook%20v1.2%20-%20Jan%202002.pdf)
• osintnewsletter.com
• ジオロケーションOSINT](https://github.com/cqcore/Geolocation-OSINT)
• geodetective.io
• またまたすごいOSINT本](https://t.me/osintkanal/2049)
• ソーシャルメディアOSINT](https://github.com/cqcore/Social-Media-OSINT)
• 顔を検索する魅力的な検索エンジン](https://www.makeuseof.com/tag/3-fascinating-search-engines-search-faces/)
• OSINTツール・メガリスト](https://pastebin.com/z0FUgiGb)
• OSINTの未来：ChatGPTで人探し](https://dorksearch.com/blog/future-of-osint-people-searching/)
• ジオロケーション：リテールパークにて](https://nixintel.info/osint/geolocation-at-the-retail-park/)

ツール(AI, ChatGPT, ML, その他)

近年、オープンソースの情報収集・分析に対する社会的関心が飛躍的に高まっている。この関心が高まるにつれ、ますます多くのOSINT調査がツールと自動化に依存するようになり、分析プロセスが置き去りにされています。OSINTは思考プロセスであると考えるべきである。OSINTの思考状態」は、調査のステップを追跡し、適切なツールとソースを選択し、データを分析し、実用的なインテリジェンスを生成するために報告するための鍵となります！

• OSINTツールマップ](https://metaosint.github.io/chart)
• シャーロック](https://github.com/sherlock-project/sherlock)
• gpt.censys.io
• ChatGeoPT](https://github.com/earth-genome/ChatGeoPT)
• ChatGPT for OSINT: Example](https://t.me/osintkanal/2009) | Tip： deepl.comを使ってください。
• 絵文字OSINT](https://www.dutchosintguy.com/post/cryptography-osint-can-you-read-emoji)
• アドバングル](http://advangle.com/)
• searchcode.com
• dorkgpt.com
• OSINT & ChatGPT: 103のアイデア](https://t.me/irozysk/9377)
• OSINT + AI](https://github.com/jiep/offensive-ai-compilation)
• OSINT - さん](https://github.com/Bafomet666/OSINT-SAN)
• OSINTバディ](https://github.com/jerlendds/osintbuddy)
• ChatGPT：OSINTのためのAI搭載秘密兵器](https://blog.gopenai.com/chatgpt-the-ai-powered-secret-weapon-for-osint-133a68d8302e)
• 道具を銀の雄牛のように扱うな！](https://osintessentials.medium.com/the-one-osint-tool-you-must-have-to-supercharge-your-investigations-94f5015b6318)
• 新しいOSINTのチートコード：ChatGPT](https://medium.com/the-sleuth-sheet/the-new-osint-cheat-code-chatgpt-cd54c190fa11)
• OSINTのためにChatGPTの力を活用する：あなたのAI OSINTアシスタントへの実践ガイド](https://hackernoon.com/harnessing-the-power-of-chatgpt-for-osint-a-practical-guide-to-your-ai-osint-assistant)
• すごい無料ChatGPT](https://github.com/LiLittleCat/awesome-free-chatgpt)
• 攻めのAI](https://github.com/jiep/offensive-ai-compilation)
• ビットコイン調査マニュアルAML](https://www.amazon.com/Bitcoin-Investigation-Manual-AML-Money-Laundering/dp/1077484070)

出典：The Atypical OSINT Guide

【セキュリティ事件簿#2023-477】和歌⼭県社会福祉協議会 個⼈情報の漏えい事案について

このたび、令和４年度、令和５年度に実施した「ふくしフォトコンテスト2022」「ふくしフォトコンテスト2023」の審査資料について、令和5年12⽉4⽇（⽉）13:00、応募者からの電話により、下記のとおり個⼈情報の漏えいが判明いたしました。

このような事態を招いたことを深く反省し、職員の個⼈情報の適切な取扱いを徹底し、再発防⽌に努めてまいります。

１．漏えい事案の概要

①令和４年度及び令和５年度に実施した「ふくしフォトコンテスト」の審査資料が、インターネット上に流出した。

下記３の審査資料を審査委員に事前送付（データ送信）する際、写真等のデータ容量が⼤きいため、 本会内部システムを活⽤し、「⼀般⾮公開設定（限定公開）」との認識でのアップロードを⾏ったところ、当該情報がインターネット上でも閲覧できる状態になっていた。

②審査委員に事前配布した資料（下記３）に、審査に直接関係のない個⼈情報を掲載していた。

２．主催

　和歌⼭県社会福祉法⼈経営者協議会、和歌⼭県社会福祉法⼈経営⻘年会

　社会福祉法⼈和歌⼭県社会福祉協議会

３．情報漏えいした資料（４点）

４．情報漏えいの原因

■当該システムの機能の誤認識

「限定公開は、本会ホームページ上には掲載されず、かつ、インターネット上でも閲覧できない状態であり、所定のURLを知り得た者しかアクセスできない」という認識であったが、実際はインターネット上で閲覧できる状態にあった。

■職員の個⼈情報の取扱いに関する認識不⾜

審査委員に対し個⼈情報を掲載した資料を配布していた。

５．対応

• 漏えいした情報は、本会システム管理業者に連絡し、判明直後（同⽇13:30）に削除しています。
• 対象者に対して個⼈情報を流出したことの通知と謝罪を⾏い、審査委員等には送信した個⼈データの廃棄確認を⾏っています。
• 再発防⽌策として、当該システム（限定公開機能）を活⽤した情報掲載やデータ送信を禁⽌するとともに、セキュリティの⾼い⼤容量データ送信システム導⼊の検討と、個⼈情報の取扱いにかかる安全管理及び職員指導を徹底します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-476】一般社団法人JBRC 情報管理不備についてのお詫びとご報告

この度、ＪＢＲＣホームページの「お問い合わせ」フォーム（https://www.jbrc.com/contact/input/）からいただいた問い合わせメールに添付されていた一部の資料が、インターネット上で閲覧可能な状態になっていることが判明いたしました。関係の皆様に、多大なご迷惑及びご心配をおかけしましたこと、心より深くお詫び申しあげます。

本件に関し、現段階で判明している事実と弊法人の対応についてご報告いたします。

１．経緯

本年11月6日、弊法人の関係先（排出事業者様等）に関する情報がインターネット上で閲覧可能な状態になっているとのご連絡を受けました。弊法人においてかかる状態を確認し、調査の結果、弊法人ホームページ上の「お問い合わせ」フォームから弊法人宛に送信された添付ファイルが閲覧可能な状態であることが判明しました。閲覧可能な状態にあった期間は、2018年6月1日0時頃から2023年11月10日11時頃まで（下記の対応完了時点）となり、かかる期間に送信された添付ファイル数は、約1,100件となります。

２．原因と対応

弊法人ホームページ上の「お問い合わせ」フォームの仕様において、送信された添付ファイルが、外部アクセスのリスクのあるフォルダに保存される状態に設定されていたことが判明しました。弊法人では、即座に添付ファイルが当該フォルダに保存されないように設定を変更しました。また、当該フォルダに保存されていたデータを全件確認し、「お問い合わせ」フォームにより送信された添付ファイルを含む約1,100件のデータを当該フォルダから削除する対応を実施し11月10日11時頃、完了しました。

また、閲覧されたことが確認された添付ファイルの送信者様には、11月17日に「お問い合わせメール情報管理不備についてのお詫び」と題する書簡を送付いたしました。

３．現在の状況とお願い

上記対応により、対応完了時点からの新たな情報流出は確認されておりません。また現時点では、今回の問題による二次被害等の報告は受けておりませんが、お気付きの点やお問い合わせがございましたら、下記のお問い合わせ窓口までお願いいたします。

４．再発防止について

弊法人は今回の事態を重く受け止め、今後は、職員一同、情報管理及び運営に関する意識をより一層高め、情報セキュリティー対策の強化徹底により、再発防止に全力で取り組んでまいります。多大なご迷惑とご心配をおかけしておりますこと重ねてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-475】群馬県みどり市 個人情報漏えいについてのお詫びとご報告

市ホームページ上の農地貸出希望情報の掲載ページ内におきまして、個人情報（氏名、住所、電話番号）を含んだものを誤って掲載してしまっていたことが判明いたしました。

関係者の皆様におかれましては、多大なご迷惑とご心配をおかけすることとなり、心からお詫び申し上げます。

判明の経緯と原因

• 令和5年10月6日(金)、農業委員会事務局のホームページ上のみどり市内の貸出等希望情報を更新いたしました。
• 令和5年11月28日(火)、職員が確認したところ、個人情報を含んだものを掲載してしまっていたことが判明いたしました。
• 同日、ホームページ上の内容を更新して早急に該当情報を削除いたしました。

個人情報の内容・掲載期間

内容

農地所有者67人分の「氏名、住所、電話番号」

掲載期間

 令和5年10月6日から11月28日まで（54日間）

対応状況

全対象者の方に経過説明を行い、謝罪させていただきました。

二次被害やおそれの有無

現在のところ、悪用されるなどの二次被害の発生は確認されておりませんが、引き続き状況の把握に努めます。本件について何かございましたら農業委員会事務局までご連絡をお願いします。

今後の対応

農業委員会事務局内で複数人でチェックを行い、このような事態が発生しないよう再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-473】大阪市コミュニティ協会 Googleフォームズからの個人情報漏えいについて（お詫びとご報告）

当会が住吉区役所からの委託事業・つながりの場づくり推進事業（子ども文化事業）において受付フォームの設定ミスにより参加者の個人情報が閲覧できる状態となりました。参加者の方をはじめ関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねてしまいましたことを深くお詫び申しあげますとともに、今後このようなことがないよう再発防止に努めてまいります。

１．概要

住吉区役所からの委託事業・つながりの場づくり推進事業（子ども文化事業）において、Googleフォームズからの申込受付を行った。その際使用したGoogleフォームズの設定画面において「結果の概要を表示する」がONになっていることに気づかず運用したため、送信ボタンを押した後に表示される画面内の「前の回答を表示」というボタンを押した場合に、当該フォームにすでに申込していた参加者および保護者の個人情報を含む回答結果の一覧が閲覧できる状態にあったということが、令和5年11月8日（水）、弊支部協議会インスタグラムのダイレクトメッセージに参加申込をした保護者よりコメントがあった。令和5年12月2日（土）に、インスタグラムを確認したところ、当該コメントを発見し、事実を認識したものである。

２．判明日時

　令和5年12月2日（土）午前5時

３．流出した個人情報（10組27名）

　参加者氏名、学年、性別

　保護者氏名、電話番号、メールアドレス

４．判明後の対応

　令和5年12月2日（土）午前5時10分　「結果の概要を表示する」をOFF

　　　　　　　　　　　  午後4時19分　支部協議会事務局長へ報告

　令和5年12月3日（日）午前11時50分　住吉区役所教育文化課へ口頭で報告

　　　　　　　　　　　  午後1時00分　事業開始時に出席者7組18名に状況を説明し、謝罪

　　　　　　　　　　　  午後5時00分　欠席者3組9名に電話で個別に状況を説明し、謝罪

５．原因

　フォームを作成した際、職員が回答完了後の動作確認を行っていなかったため

　「結果の概要を表示する」がONになったことが確認できなかった。

６．再発防止策

• フォームを作成後、業務責任者を含め複数名の職員によるダブルチェック等、入力から回答完了後までの動作確認を行う。
• チェックリストを用いたチェック体制の構築・運用を行う。
• 今後、同様の事象が発生した際には、速やかに発注者への報告を行う。
• 個人情報保護の研修を実施し、職員一人一人が個人情報の大切さを認識し、個人情報を適切に取扱う。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-474】株式会社徳岡 弊社が運営する「ボルドープリムール」「ボンルパ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が運営するECサイト「ボルドープリムール」「ボンルパ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（1755件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023 年 9 月 19 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023 年 9 月 19 日弊社が運営する「ボルドープリムール」でのカード決済を停止いたしました。

※「ボンルパ」についてはサイトリニューアルの為、2023 年 5 月より休止

同時に、第三者調査機関による調査も開始いたしました。2023 年 10 月 21 日、調査機関による調査が完了し、2021 年 3 月 17 日～2023 年 7 月 28 日の期間に EC サイト「ボルドープリムール」「ボンルパ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました

2.個人情報漏洩状況

(1)原因

弊社が運営する EC サイト「ボルドープリムール」「ボンルパ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021 年 3 月 17 日～2023 年 7 月 28 日の期間中に「ボルドープリムール」「ボンルパ」においてクレジットカード決済をされたお客様 974 名で、漏洩した可能性のある情報は以下のとおりです。

• カード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード

併せて、データベース上に保管されていた個人情報も漏洩した可能性があり、可能性のある部分は下記となります。

• 氏名
• 会社名
• 住所
• 電話番号
• FAX 番号
• メールアドレス
• 生年月日

上記に該当する 974 名のお客様については、別途、電子メールにて 個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023 年 9 月 19 日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトについて

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

個人情報漏洩の可能性が確認された「ボルドープリムール」「ボンルパ」につきましては、すべて閉鎖となります。

2023 年 7 月より運営しております、後継である「徳岡グランヴァン」にて今後のプリムールのお引渡し、新規の販売を行ってまいります。後継のサイトは国際的なセキュリティ基準に準拠し構築を行い今回の調査においても安全性を確認できており、調査会社及び監督官庁からも確認いただいております。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2023 年 9 月 28 日に報告済みであり、また、所轄の大阪府南警察署にも 2023 年9 月 29 日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-471】株式会社クロックワークス 【映画『カンダハル 突破せよ』感想投稿キャンペーンにおける個人情報の漏洩に関するお詫びとお知らせ】

このたび、当社配給映画『カンダハル 突破せよ』の公式X（旧Twitter）アカウントで実施した【映画『カンダハル 突破せよ』感想投稿キャンペーン】において当選者の個人情報が閲覧できる状況にあったことが判明しました。本件に関する概要につきまして、下記の通りご報告いたします。

ご迷惑をおかけした当選者の皆様には、個別にお詫びのご連絡をいたしました。

お客さまには多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。個人情報の適切な管理及び取扱の徹底を行い、再発防止に努めてまいります。

1）個⼈情報漏えいが発⽣した項⽬

当選された25名様のＸアカウント名、氏名、住所、電話番号、映画をご覧になった劇場名

※同キャンペーンの当選者33名に対して、11月24日（金曜日）午後3時49分よりダイレクトメッセージで景品送付先に関する情報入力の依頼を行い、11月28日（火曜日）午後2時8分までに入力を行った25名の方の情報が相互で閲覧可能な状態にありました。

2）原因

当社が設置した応募入力フォームにて、Googleフォームの機能である「前の回答を表示」の設定を誤ったことが原因で入力した方の個人情報が閲覧できる状態になっておりました。

3）経緯と対応状況

11月24日

・公式Xアカウントにて、該当の入力フォームを当選者へ随時送付

11月28日

・フォームを入力したお客様から当社公式WEBサイト経由でお問い合わせいただき、ほかのお客様の情報が閲覧できるようになっているとご連絡（この時点までで25名が回答）

・お問い合わせメールを確認し、直ちに第三者が他人の申込情報を閲覧できないよう設定を変更。同様のご指摘を公式XへのDM返信でもいただいていたことを確認。

現在の対応

・当選者様全員に、本件についてのご説明とお詫びのご連絡。

・本お知らせをHPにて公表。

4）再発防止策

・同様の事態が今後発生しないよう、フォーム作成と公開時のルール確立、複数名でのチェック体制の原則化、各社員に対して個人情報保護の重要性をはじめとした教育の徹底など、再発防止策を実施します。

この度の事態についてご指摘いただくまでの長期間、状況を認識できなかったことを重く受け止め、今後の運用体制についても検討・改善してまいります。

改めまして、本件について、多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

リリース文（アーカイブ）