【セキュリティ事件簿#2023-490】株式会社マルミミ 不正アクセスによる個人情報漏洩のお詫びとご報告


この度、弊社が業務受託し運用おこなっております「千葉県立君津亀山青少年自然の家」Webサイトのウエブサーバーにインストールしておりましたメールマガジン配信システム(メールマガジンの名称は「きみかめ通信」。令和5年2月1日に配信を終了)に対して、外部より不正アクセスがあり、弊社にて調査した結果、令和5年12月11日、何者かにより(メールマガジンにご登録いただいています皆様)の個人情報(メールアドレス)がCSVファイル形式でダウンロードさたれことが判明いたしました。

本件でご登録いただいたお客様をはじめ関係各位の皆様に多大なるご迷惑とご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

また、令和5年12月12日の不正アクセス発覚から正確な被害状況の確認までに、お時間を要してしまいましたこと、重ねてお詫びを申し上げますとともに詳細につきましては、下記をご参照くださいますようお願いいたします。

弊社では、個人情報に関して厳重なセキュリティ対策を行ってまいりましたが、まだまだ不十分であったことを痛感し、以後このような事態が発生しないよう改めてセキュリティ対策の強化と抜本的見直しに取り組み、再発防止に努めてまいる所存です。

1)個人情報閲覧および取得操作が確認された個人情報

・ メールマガジン(きみかめ通信)登録者613名様分のメールアドレス

2)経緯

令和5年12月12日(火)9時頃、千葉県立君津亀山青少年自然の家様よりメールマガジン(以下きみかめ通信)が不正操作され配信されたとの連絡を受けました。

弊社でアクセスログ解析等の調査した結果、外部からのメールマガジン配信システム※への不正アクセスおよび不正操作が行われたことが判明しました。

不正操作により、ユーザーパスワード、配信元、件名等が書き換えられたうえで、メール配信システムより、きみかめ通信が1回配信されたことを確認しました。また、きみかめ通信登録者613名分のメールアドレスがCSVファイル形式でダウンロードされた形跡をアクセスログより確認しました。

上記以外の個人情報に関する不正利用等の被害の発生は確認されておりません。


3)発生後の対応

1.対応措置

12月12日午後、パスワード変更をおこない、ウエブサーバーよりメールマガジン配信システムを完全に削除しました。

2.各所への報告/届出

千葉県立君津亀山青少年自然の家様と千葉県教育庁教育振興部生涯学習課に不正アクセスの詳細を報告致しました。


4)不正アクセスの原因

メールマガジン配信システムは、「千葉県立君津亀山青少年自然の家」Webサイトのウエブサーバーに2010年にインストールし運用開始しました。2023年2月の終了後もシステムはウェブサーバーに配信可能の状態で保存されていました。また、メールマガジン配信システムの開発会社より脆弱性(https://www.acmailer.jp/info/de.cgi?id=103)の報告、システムのアップデートがアナウンスされておりました。弊社にてメールマガジン配信システムのアップデートを怠り、さらに未使用状態で配信システムを保存しておいたことにより、不正アクセスを招く結果となりました。

5)再発防止への取り組み

上記の発生原因を踏まえ、弊社において以下の通り再発防止策を実施します。

  1. 外部開発によるシステムの使用については、クライアント様へ運用に問題がないかを定期的に確認いたします。
  2. 外部開発によるシステムを使用する場合は、開発会社からの情報提供を定期的に確認し最新の状態保持に努めます。
  3. 外部開発システムに関わらず、Webサーバー内における個人情報・公的情報・企業情報の取り扱いにおいては、最新のセキュリティ対策を講じ、定期的にバックアップ、更新等の作業をおこないます。
あわせて、弊社が受託運用中の他のWebサイトの同様の事案がないかを確認し、問題がある場合には適切に対応いたします。

【セキュリティ事件簿#2023-489】ミニストップ株式会社 「ミニストップオンライン」における個人情報漏洩に関するお詫び


平素よりミニストップをご愛顧受け賜りまして、誠にありがとうございます。

このたび、当社ECサイト「ミニストップオンライン」におきまして、個人情報漏洩が発生いたしました。発生内容については、下記の通りとなります。

〈発生事実〉
日時 :12月19日 11時30分~18時30分

事象 :
ご自身の購買履歴を他のお客さまがログイン後閲覧できる状態およびご自身がマイページにログイン後、他のお客さまの注文履歴が閲覧できる状態

当該情報:
購入商品、お名前、住所、電話番号、メールアドレス、クレジットカード下3桁

対象者 :
ご自身の情報について他のお客さまが閲覧できる状態 10名
他のお客さまの情報が閲覧できる状態 11名
上記事象が重複している状態 9名
個人情報漏洩の範囲: 1名

※他のお客さまの情報を閲覧できる状態の方のログイン情報を確認した結果

原因 :
店頭受取商品の受注確定時におけるデータ加工ミス。

上記発生確認以降、ECサイトを即時閉鎖し対応しておりました。特定した対象者30名のお客さまには12月19日、20日に個別に電子メールにてお詫びとお知らせをご連絡しております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客さまにおかれましては、多大なるご迷惑、ご心配をおかけする事態となりましたことを重ねて深くお詫びを申し上げます。

現在、該当事象の復旧作業も完了したため、一部のページの公開を再開させていただきます。再開ページについては、お客さまのマイページのみとなります。商品の購入については、恒久的なシステム対応が完了したのち再開させていただきます。

【セキュリティ事件簿#2023-488】国立大学法人大阪大学 不正アクセスによる収集データの漏えいについて


本年10月28日に本学が管理するシステムが不正にアクセスされ、一部のファイルが暗号化
されたことが、11月1日に判明いたしました。

判明後、直ちに同システム内にあるファイルは全て同システム外のネットワークから隔離
された安全な場所へ移動いたしましたが、調査の結果、当該不正アクセスにより閲覧できる
範囲に以下のデータが保存されておりましたのでご報告いたします。

・ニフレルのニフレルメイクス(2021年11月18-30日9:30-19:00)、Expocityの光の広場
 (2023年7月8日11:00-17:00)及びATCのセントラルアトリウム周辺(2023年7月5-20日11:00-17:00)
 で行われた当研究科所属の研究室における対話ロボットの効果の検証を目的としたイベント
 でフィールド実験を行った際に収集した顔写真(単にイベント場所の近くを通行されたのみ
 である不特定多数の方が写り込んでいる可能性があるものを含む。) 
・ロボットのCGを利用したオンライン会議実験で記録した動画(被漏えい者については全員が
 特定できたことから、当該人には個別に謝罪・報告済み)

本写真、動画だけでは個人を特定することは難しく、また、データ内容も要配慮個人情報や
財産的被害のおそれがある情報が含まれているものではないため、悪用の可能性は低いと
考えられますが、公開をご了承いただいていないものも含まれるため、今回事実を公開するに
至ったものです。

【セキュリティ事件簿#2023-487】IT導入補助金事業 事務局における個人情報を含むIT導入支援事業者情報の流出についてのお詫びとご報告


今般、TOPPAN株式会社が2023年8月1日より事務局として運営しております令和4年度第二次補正予算「サービス等生産性向上IT導入支援事業費補助金」(IT導入補助金2023後期事務局)におきまして、個人情報を含むIT導入支援事業者情報およびITツール情報等の本事業への登録情報が、外部からの操作で閲覧・取得されたことが判明いたしました。
本件につきまして、関係者の皆さまに多大なるご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。
なお現在はシステムを改修し、個人情報の閲覧・取得はできないようになっております。

■発生した事象の概要
「サービス等生産性向上IT導入支援事業費補助金」(IT導入補助金2023後期事務局)ホームページにおいて、ホームページ上で公開されていない個人情報を含むIT導入支援事業者情報およびITツール情報を外部からの操作により閲覧・取得されました。事務局としましては、本状態を認識できておらず、外部からの指摘によりこの度の事象が判明しました。

■発生原因
「サービス等生産性向上IT導入支援事業費補助金」(IT導入補助金2023後期事務局)ホームページで使用されるプログラムの設計不備により、IT導入支援事業者情報およびITツール情報を外部から閲覧・取得可能な状態にあったため。

■発生期間
2023年8月1日~2023年12月12日 1時35分

■閲覧・取得された可能性のある個人情報数
38,269人分

■閲覧・取得された可能性のある 情報項目
①IT導入支援事業者の一部個人情報を含む、事業者の皆様に入力いただいた登録情報
※該当する個人情報の項目:役員氏名、担当者氏名、担当者メールアドレス

②ITツールの価格や一部個人情報を含む、事業者の皆様に入力いただいた登録情報
※該当する個人情報の項目:
・ITツール登録担当者氏名、メールアドレス
・実施者/販売者 氏名、メールアドレス

■二次被害について
現在、個人情報を含む事業者情報およびツール情報を利用した二次被害の報告は受けておりませんが、引き続き影響調査を進め、必要が生じた場合は速やかに対応してまいります。

■今後の対応と再発防止策について
既に、対象者の方々には個別にメールにてご連絡をさせていただいております。また、当該プログラムについては、厳重に総点検及び改修を実施し、現在は当該データの閲覧・取得ができないことを確認しております。
今後は、システム設計段階におけるセキュリティ機能の検証を強化し、再発防止を図ってまいります。
今後とも「サービス等生産性向上IT導入支援事業費補助金」へのご理解とご協力の程、何卒よろしくお願い申し上げます。
改めまして、この度の事象におきまして皆様にご迷惑をおかけしましたこと、謹んでお詫び申し上げます。

【セキュリティ事件簿#2023-486】株式会社ヴィセント 弊社元社員の報道について

7/6より一部報道されておりますとおり、弊社元社員が在職中から退職後までの数か月もの期間に、数十回における社内サーバー等に不正アクセスし、弊社従業員のPWをのっとるなどでの業務を妨害した容疑で今回逮捕されております。現時点で弊社が把握している限り、お客様およびお取引先様の個人情報を含め、保管データの外部流出は確認されておりません。

弊社は、今般の事態を踏まえ、情報管理体制の一層の強化およびコンプライアンス教育の徹底を図り、企業理念に沿ったマネジメントを推進することで再発防止に努めてまいります。

今後、弊社から公表すべき事柄が発生した場合には、速やかに開示いたします。



【セキュリティ事件簿#2023-485】AGC株式会社 当社米国子会社への不正アクセスに伴うシステム障害について


当社は、日本時間 2023 年 12 月 15 日、当社子会社である AGC Automotive Americas 社(本社:米国ミシガン州)において、社内サーバーが第三者による不正アクセスを受けたことを確認しました。

詳細は調査中ですが、現時点で判明している内容を以下お知らせします。

1.発生事象
主に自動車用ガラスを生産する AGC Automotive Americas 社のシステムに対して、外部から不正なアクセスが行われ、現在、同社の一部のシステムに障害が発生し、生産および出荷に影響が出ています。

2.現時点で確認している被害内容
原因および被害の詳細については、現在調査を進めています。

3.今後の対応
今後、被害状況および影響範囲が判明次第、改めてお知らせします。

【セキュリティ事件簿#2023-484】国連UNHCR協会公式Instagramアカウントについてのお詫びとご報告


2023年12月16日 夕刻、当協会Instagramアカウント(@japanforunhcr)が、第三者により乗っ取られていたことが判明いたしました。 以下に、発生した事象と対処についてご報告申し上げます。

発生した事象について

当協会Instagramアカウント(@japanforunhcr)におきまして悪意ある第三者による乗っ取りが発覚いたしました。

本日以降、当協会からインスタグラムを使用して投稿することやダイレクトメッセージをお送りすることはございません。 万が一ダイレクトメッセージ等、当協会を装った連絡や誘導を装うURLがあった場合には開かないようお願いいたします。 また開いてしまった場合にはスパムの恐れがございますため内容に従わないよう、ご注意くださいませ。

インスタグラムにつきましては、乗っ取られた旨の報告と解決のリクエストを運営会社に現在依頼中でございます。最新状況につきましては随時こちらのページにて公開してまいります。

対処について

2023年12月16日現在、当協会が管理している他のソーシャルメディアアカウント(Twitter,Facebook,LINE,YouTube)については、本件の影響がないことを確認いたしました。

▼国連UNHCR協会ソーシャルメディアアカウント一覧
X
https://twitter.com/japanforunhcr
Facebook
https://www.facebook.com/japanforunhcr
LINE
https://page.line.me/unhcr.jp
YouTube
https://www.youtube.com/user/JapanforUNHCR/

現在、今後の再発防止のため、原因の調査および、各ソーシャルメディアアカウントの運用ポリシーの精査を行っております。 本件についてご不明な点がございましたら お問い合わせフォームよりご連絡ください。

ご支援者さまにご迷惑とご心配をお掛けいたしましたこと、心よりお詫び申し上げます。今後、ご支援者さまの信頼回復に努めてまいります。

【セキュリティ事件簿#2023-483】三愛病院 個人情報漏洩疑いの報告


10月24日に病院外において、当院の職員がサポート詐欺によってパソコンを遠隔操作される事態が発生しました。

今回の遠隔操作は金銭目的であり、個人情報の漏洩がどの程度であったかについては現在調査中ですが、このパソコンには7~10年以上前の研究目的の学会発表資料やレントゲン写真等のデータが保存されており、要配慮個人情報(診療内容等)の漏洩に該当する可能性があるため、国の機関である個人情報保護委員会へ報告を行いました。

また、現時点、特定できておりませんが、このパソコンには個人の連絡先の情報は含まれていなかった可能性があり、被害等の報告も受けておりません。

この度の事態を厳粛に受け止め、下記再発防止に取り組んでまいります。

【再発防止に向けた今後の取り組み】

(1) 個人情報が保存された電子媒体の管理の強化・徹底

(2) 個人情報の漏洩リスクと対策を題材に、埼玉県警サイバー対策課による研修会の実施

患者さま、関係する皆さまへは多大なるご心配、ご迷惑をお掛けいたすこととなり、誠に申し訳ございません。深くお詫び申し上げます。