【セキュリティ事件簿#2023-489】ミニストップ株式会社 「ミニストップオンライン」における個人情報漏洩に関するお詫び

平素よりミニストップをご愛顧受け賜りまして、誠にありがとうございます。

このたび、当社ＥＣサイト「ミニストップオンライン」におきまして、個人情報漏洩が発生いたしました。発生内容については、下記の通りとなります。

〈発生事実〉

日時 ：１２月１９日 １１時３０分～１８時３０分

事象 ：

ご自身の購買履歴を他のお客さまがログイン後閲覧できる状態およびご自身がマイページにログイン後、他のお客さまの注文履歴が閲覧できる状態

当該情報：

購入商品、お名前、住所、電話番号、メールアドレス、クレジットカード下３桁

対象者 ：

ご自身の情報について他のお客さまが閲覧できる状態 １０名

他のお客さまの情報が閲覧できる状態 １１名

上記事象が重複している状態 ９名

個人情報漏洩の範囲： １名

※他のお客さまの情報を閲覧できる状態の方のログイン情報を確認した結果

原因 ：

店頭受取商品の受注確定時におけるデータ加工ミス。

上記発生確認以降、ＥＣサイトを即時閉鎖し対応しておりました。特定した対象者３０名のお客さまには１２月１９日、２０日に個別に電子メールにてお詫びとお知らせをご連絡しております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客さまにおかれましては、多大なるご迷惑、ご心配をおかけする事態となりましたことを重ねて深くお詫びを申し上げます。

現在、該当事象の復旧作業も完了したため、一部のページの公開を再開させていただきます。再開ページについては、お客さまのマイページのみとなります。商品の購入については、恒久的なシステム対応が完了したのち再開させていただきます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-488】国立大学法人大阪大学 不正アクセスによる収集データの漏えいについて

本年10月28日に本学が管理するシステムが不正にアクセスされ、一部のファイルが暗号化

されたことが、11月1日に判明いたしました。

判明後、直ちに同システム内にあるファイルは全て同システム外のネットワークから隔離

された安全な場所へ移動いたしましたが、調査の結果、当該不正アクセスにより閲覧できる

範囲に以下のデータが保存されておりましたのでご報告いたします。

・ニフレルのニフレルメイクス（2021年11月18-30日9:30-19:00）、Expocityの光の広場

 （2023年7月8日11:00-17:00）及びATCのセントラルアトリウム周辺（2023年7月5-20日11:00-17:00）

 で行われた当研究科所属の研究室における対話ロボットの効果の検証を目的としたイベント

 でフィールド実験を行った際に収集した顔写真（単にイベント場所の近くを通行されたのみ

 である不特定多数の方が写り込んでいる可能性があるものを含む。）　

・ロボットのCGを利用したオンライン会議実験で記録した動画（被漏えい者については全員が

 特定できたことから、当該人には個別に謝罪・報告済み）

本写真、動画だけでは個人を特定することは難しく、また、データ内容も要配慮個人情報や

財産的被害のおそれがある情報が含まれているものではないため、悪用の可能性は低いと

考えられますが、公開をご了承いただいていないものも含まれるため、今回事実を公開するに

至ったものです。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-487】IT導入補助金事業 事務局における個人情報を含むIT導入支援事業者情報の流出についてのお詫びとご報告

今般、TOPPAN株式会社が2023年8月1日より事務局として運営しております令和4年度第二次補正予算「サービス等生産性向上IT導入支援事業費補助金」（IT導入補助金2023後期事務局）におきまして、個人情報を含むIT導入支援事業者情報およびITツール情報等の本事業への登録情報が、外部からの操作で閲覧・取得されたことが判明いたしました。

本件につきまして、関係者の皆さまに多大なるご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

なお現在はシステムを改修し、個人情報の閲覧・取得はできないようになっております。

■発生した事象の概要

「サービス等生産性向上IT導入支援事業費補助金」（IT導入補助金2023後期事務局）ホームページにおいて、ホームページ上で公開されていない個人情報を含むIT導入支援事業者情報およびITツール情報を外部からの操作により閲覧・取得されました。事務局としましては、本状態を認識できておらず、外部からの指摘によりこの度の事象が判明しました。

■発生原因

「サービス等生産性向上IT導入支援事業費補助金」（IT導入補助金2023後期事務局）ホームページで使用されるプログラムの設計不備により、IT導入支援事業者情報およびITツール情報を外部から閲覧・取得可能な状態にあったため。

■発生期間

2023年8月1日～2023年12月12日 1時35分

■閲覧・取得された可能性のある個人情報数

38,269人分

■閲覧・取得された可能性のある 情報項目

①IT導入支援事業者の一部個人情報を含む、事業者の皆様に入力いただいた登録情報

※該当する個人情報の項目：役員氏名、担当者氏名、担当者メールアドレス

②ITツールの価格や一部個人情報を含む、事業者の皆様に入力いただいた登録情報

※該当する個人情報の項目：

・ITツール登録担当者氏名、メールアドレス

・実施者/販売者 氏名、メールアドレス

■二次被害について

現在、個人情報を含む事業者情報およびツール情報を利用した二次被害の報告は受けておりませんが、引き続き影響調査を進め、必要が生じた場合は速やかに対応してまいります。

■今後の対応と再発防止策について

既に、対象者の方々には個別にメールにてご連絡をさせていただいております。また、当該プログラムについては、厳重に総点検及び改修を実施し、現在は当該データの閲覧・取得ができないことを確認しております。

今後は、システム設計段階におけるセキュリティ機能の検証を強化し、再発防止を図ってまいります。

今後とも「サービス等生産性向上IT導入支援事業費補助金」へのご理解とご協力の程、何卒よろしくお願い申し上げます。

改めまして、この度の事象におきまして皆様にご迷惑をおかけしましたこと、謹んでお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-486】株式会社ヴィセント 弊社元社員の報道について

7/6より一部報道されておりますとおり、弊社元社員が在職中から退職後までの数か月もの期間に、数十回における社内サーバー等に不正アクセスし、弊社従業員のPWをのっとるなどでの業務を妨害した容疑で今回逮捕されております。現時点で弊社が把握している限り、お客様およびお取引先様の個人情報を含め、保管データの外部流出は確認されておりません。

弊社は、今般の事態を踏まえ、情報管理体制の一層の強化およびコンプライアンス教育の徹底を図り、企業理念に沿ったマネジメントを推進することで再発防止に努めてまいります。

今後、弊社から公表すべき事柄が発生した場合には、速やかに開示いたします。

リリース文（アーカイブ）

関連：内部関係者による海外VPNサービスを悪用した不正アクセスについてまとめてみた

関連：【速報】株式会社ヴィセントのシステムエンジニアさん、逮捕される

【セキュリティ事件簿#2023-485】ＡＧＣ株式会社 当社米国子会社への不正アクセスに伴うシステム障害について

当社は、日本時間 2023 年 12 月 15 日、当社子会社である AGC Automotive Americas 社（本社：米国ミシガン州）において、社内サーバーが第三者による不正アクセスを受けたことを確認しました。

詳細は調査中ですが、現時点で判明している内容を以下お知らせします。

１．発生事象

主に自動車用ガラスを生産する AGC Automotive Americas 社のシステムに対して、外部から不正なアクセスが行われ、現在、同社の一部のシステムに障害が発生し、生産および出荷に影響が出ています。

２．現時点で確認している被害内容

原因および被害の詳細については、現在調査を進めています。

３．今後の対応

今後、被害状況および影響範囲が判明次第、改めてお知らせします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-484】国連UNHCR協会公式Instagramアカウントについてのお詫びとご報告

2023年12月16日 夕刻、当協会Instagramアカウント(@japanforunhcr)が、第三者により乗っ取られていたことが判明いたしました。 以下に、発生した事象と対処についてご報告申し上げます。

発生した事象について

当協会Instagramアカウント(@japanforunhcr)におきまして悪意ある第三者による乗っ取りが発覚いたしました。

本日以降、当協会からインスタグラムを使用して投稿することやダイレクトメッセージをお送りすることはございません。 万が一ダイレクトメッセージ等、当協会を装った連絡や誘導を装うURLがあった場合には開かないようお願いいたします。 また開いてしまった場合にはスパムの恐れがございますため内容に従わないよう、ご注意くださいませ。

インスタグラムにつきましては、乗っ取られた旨の報告と解決のリクエストを運営会社に現在依頼中でございます。最新状況につきましては随時こちらのページにて公開してまいります。

対処について

2023年12月16日現在、当協会が管理している他のソーシャルメディアアカウント(Twitter,Facebook,LINE,YouTube)については、本件の影響がないことを確認いたしました。

▼国連UNHCR協会ソーシャルメディアアカウント一覧

X

https://twitter.com/japanforunhcr

Facebook

https://www.facebook.com/japanforunhcr

LINE

https://page.line.me/unhcr.jp

YouTube

https://www.youtube.com/user/JapanforUNHCR/

現在、今後の再発防止のため、原因の調査および、各ソーシャルメディアアカウントの運用ポリシーの精査を行っております。 本件についてご不明な点がございましたら お問い合わせフォームよりご連絡ください。

ご支援者さまにご迷惑とご心配をお掛けいたしましたこと、心よりお詫び申し上げます。今後、ご支援者さまの信頼回復に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-483】三愛病院 個人情報漏洩疑いの報告

１０月２４日に病院外において、当院の職員がサポート詐欺によってパソコンを遠隔操作される事態が発生しました。

今回の遠隔操作は金銭目的であり、個人情報の漏洩がどの程度であったかについては現在調査中ですが、このパソコンには７～１０年以上前の研究目的の学会発表資料やレントゲン写真等のデータが保存されており、要配慮個人情報（診療内容等）の漏洩に該当する可能性があるため、国の機関である個人情報保護委員会へ報告を行いました。

また、現時点、特定できておりませんが、このパソコンには個人の連絡先の情報は含まれていなかった可能性があり、被害等の報告も受けておりません。

この度の事態を厳粛に受け止め、下記再発防止に取り組んでまいります。

【再発防止に向けた今後の取り組み】

(1) 個人情報が保存された電子媒体の管理の強化・徹底

(2) 個人情報の漏洩リスクと対策を題材に、埼玉県警サイバー対策課による研修会の実施

患者さま、関係する皆さまへは多大なるご心配、ご迷惑をお掛けいたすこととなり、誠に申し訳ございません。深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-482】京都大学高等研究院 メールアカウント搾取によるメールアドレスの情報漏えいについて

令和５年１１月１９日京都大学高等研究院に在籍する者がメールアカウント情報を搾取され、１１月２０日フィッシングサイトに誘導するURLが記載された同アカウントを送信元とするフィッシングメールが大量に送信されました。

本学のメールアドレス（～@st.kyoto-u.ac.jp）から届きました不信なメールにつきましては、添付ファイル並びにメール内に記載のwebページ等を開かないようお願いいたします。

すでに、当該メールアカウントは凍結されており、メールの不正送信は停止しております。

不審なメールを受け取った皆様には、多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。

本院としては、この事態を重く受け止め、全構成員に対して改めてフィッシングメール等に関する注意喚起を行い、再発防止の措置を講じていく所存です。

●送信されたフィッシングメールの内容

　件名：Re:メールボックスの更新

　本文：京都大学メールボックスメンテナンス

　　　　ここをクリック　京都大学のメールアドレスを更新できるようにするため

　　　　または、このリンクをコピーします：(誘導先URL)

　　　　ありがとう

　　　　京都大学管理者

リリース文（アーカイブ）