【セキュリティ事件簿#2024-022】株式会社ファインエイド 不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ

このたび、弊社が運営する「健康いきいきライフスタイル」のウェブサイト（以下「弊社サイト」といいます。）におきまして、第三者による不正アクセスを受け、当サイトをご利用いただいた一部のお客様の個人情報（5,193名分）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

個人情報が漏洩した可能性のあるお客様には、本日より、電子メール又は書面にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年12月11日、一部のクレジットカード会社から、弊社サイトを利用したお客様の個人情報の漏洩懸念について連絡を受け、2023年12月12日、弊社サイトでのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年12月26日、調査機関による調査が完了し、2021年1月5日から2023年11月15日までの期間に弊社サイトを利用いただいた一部のお客様の個人情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。 

2.個人情報漏洩状況 

(1)原因

弊社サイトのシステムの一部の脆弱性を悪用したクロスサイトスクリプティングの手法による第三者の不正アクセスにより、サーバ内に、クレジットカード決済実行時に処理される個人情報を取得するためのアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

個人情報漏洩の可能性がある期間は、2021年1月5日～2023年11月15日であり、漏洩の可能性がある対象者は、弊社サイト（「健康いきいきライフスタイル」）をご利用されたお客様5,193名です。漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

・氏名

・住所

・メールアドレス

・電話番号

・FAX番号

・注文履歴

・生年月日

・性別

上記に該当する5,193名のお客様については、別途、電子メール又は書面にて　個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカード情報による取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、クレジットカード情報の漏洩の可能性があるお客様につきましては、クレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年12月11日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知を行うべきと判断し、また、初期の調査からさらなる漏洩のおそれは小さいと判断されたことから、調査会社から調査結果を受領し、カード会社その他関係機関との連携を十分に行ってから公表することにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について 

弊社サイトは、2023年11月15日、従前の脆弱性を克服し、十分なセキュリティ対策および監視体制を備えた新環境へ移行しておりますが、本事案を受けてカード利用は現在も停止中です。もっとも、このたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制のさらなる強化を検討し、再発防止を図ってまいります。

弊社が運営する「健康いきいきライフスタイル」の再開日につきましては、決定次第、改めて弊社のWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年12月12日に報告済みであり、また、所轄警察署にも2023年12月12日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-021】日東製網株式会社 第三者によるランサムウェア感染被害のお知らせ

このたび、当社のサーバーが第三者による不正アクセスを受け、ランサムウェア感染被害を受けましたので、お知らせいたします。

本件につきましては、既に対策本部を設置のうえ、外部専門家の助言を受けながら、原因特定、被害情報の確認、情報流出の有無などの調査を行い、復旧への対応を進めており、警察への相談をしております。引き続き、外部専門家等と連携のうえ、対応を進めていく方針です。

被害の全容を把握するには今しばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。

お取引様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

１．経緯

１月 16 日(火)午前８時頃に外部から不正アクセスを受けサーバーに保存している各種ファイルが暗号化されていること等を同日確認しました。

発覚時より直ちに、外部専門家と共に状況調査を行い、ランサムウェアの感染拡大を防ぐための必要な対応を行いました。

１月 17 日(水)に全社対策本部を設置し、情報共有すると共に、復旧に向けての対応を進めております。また、警察への相談しました。

２．被害を受けた情報

サーバーに保存していた各種業務データ、業務用ソフトウエアが暗号化されアクセス不能な状況となっております。なお、情報流出につきましては現在調査中です。

３．今後の対応

外部専門家及びシステム関係機関等と連携のうえ、早期復旧に向け作業を進めると共に、通常の業務遂行が可能となるよう対応を進めております。皆様へのご迷惑を最小限に止めるべく取組んでまいります。

なお、本件による当社グル－プの業績への影響については現在精査中であり、開示が必要な場合は速やかに公表いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスへの対応に関して

 

昨年、当社春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことに関して、以下の通り続報致します。

本件につきましては、速やかに対策本部を設置のうえ、外部専門家による原因の特定、被害状況の確認、情報流出の有無などの調査を行いました。

その結果、業務に使用していない PC にインストールされていたリモートデスクトップツールを通じた不正アクセスがあり、春日井工場のデータの一部がロックされましたが、バックアップ・データにより復旧できております。他のデバイスについてはこれまでに実施してきたセキュリティー強化の効果もあって影響を受けなかったものと判断しております。

今後は、導入済みのセキュリティーツールの運用強化も含め、適時、外部専門家のアドバイスを受けるなど、セキュリティー対策の拡充に努めて参ります。

改めまして、この度の件でご心配をお掛けしましたことを、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-508】大東市立生涯学習センター アクロス 当センターメールアカウントへの不正アクセスのお詫びとご報告

 

2023年12月13日、当センターのメールアカウント(info@daito-across.jp)が第三者による不正アクセス攻撃をうける事象が発生し、調査・対応しましたのでお知らせします。

不正アクセスに伴って、当センターを装った「なりすましメール」が不正に発信されているという事実を確認いたしました。

本件に関しまして、再発防止に向けた対策を実施してまいります。関係者の皆様には、多大なるご迷惑およびご心配をおかけしますことを深くお詫びいたします。

経緯及び対応2023年12月13日1時頃、当センターを装った「なりすましメール」が大量に配信されていることを検知、アカウントを一時凍結しました。

これを受けて調査した結果、当センターのメールアカウントに対して不正アクセスが行われていることが判明しました。

不正アクセスされていたメールアカウントのパスワードについては12月13日に変更を行いました。

影響範囲および今後の対応daito-across.jpドメインをつかった複数の不正メールが送信された事象を確認しています。

また上記アカウントのメールボックス内の情報がダウンロードされた痕跡はいまのところ確認されておりませんが、メールボックス内の情報にアクセスできた可能性がございます。

当センターとしては、本件について引き続き調査を進めるとともに、調査結果を踏まえ、セキュリティ強化策を実施し、今後は更に不正アクセスを防止するための再発防止策を講じてまいります。今後、新たにお知らせすべき内容が判明した場合、速やかに情報を開示いたします。

当センターを装った不審メールにつきまして万一、当センターのメールを装った不審なメールが届いておりましたら、本文中に記載されているURLをクリックしたり、添付されているファイル等を開封したりせず、メールごと削除していただきますようお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-507】北海道銀行 個人情報漏えいに関するお詫びとご報告

この度、北海道銀行（以下、当行）におきまして、下記の個人情報漏えいが発生しました。

お客さまにおかれましては、多大なるご迷惑とご心配をおかけする事態になりましたことを心よりお詫び申し上げます。

お客さま情報の厳重な管理を求められる金融機関といたしまして、今回の事態を重く受け止め、情報管理につきましては、役職員に対し教育を徹底し再発防止に努めてまいります。

 １．事案の概要

2023 年 12 月 18 日 10 時 50 分頃、毎月データを送信している相手先に対して、本来お渡しすべきデータの他、誤ってお渡しすべきでない個人情報が記載されたファイルを電子メールに添付して送信しました。

同日 11 時頃、当行側で誤ったファイルを添付したことに気づき、直ちに相手先を訪問し当日中にデータを削除していただいたことを確認しており、二次流出の懸念はないものと認識しております。

２．漏えいした個人情報

（１）2023 年 12 月 1 日から 2023 年 12 月 15 日までの期間において、「ほくほくPay」の決済口座を当行に登録されているご利用者のカタカナ氏名・ご利用金額・ご利用日時等（210 名）。

（２）2023 年 12 月 1 日から 2023 年 12 月 15 日までの期間において、「ほくほくPay」が利用された店舗（加盟店）運営者である個人事業主の漢字氏名（2 名）。

※氏名以外の個人を識別できる情報（住所、電話番号、口座番号、預金残高等）は含まれておりません。

３．発生原因

当行では電子メール送信の際は、担当者・検証者による 2 名での手続きを経て送信を行っておりますが、担当者・検証者ともに添付ファイルの内容確認を十分に行わなかったことが原因です。

４．再発防止策

役職員に対し個人情報の重要性と厳格な管理を改めて周知し、電子メールの運用ルールを徹底させ再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-020】オープンワーク株式会社 個人情報漏えいに関するお詫びとご報告

この度の「令和六年能登半島地震」によって、お亡くなりになられた方々のご冥福を心よりお祈り申し上げますとともに、被害にあわれた方々にお見舞い申し上げます。被災された地域の皆様の安全と、一日も早い復興をお祈り申し上げます。

当社が運営する転職・就職のための情報プラットフォーム「OpenWork」上で収集した個人情報について、弊社から配信するメールの設定不備により、一部ユーザー様の個人情報漏えいが起きていることが発覚いたしましたのでご報告いたします。

2024 年 1 月 22 日から 1 月 24 日にかけて弊社から配信した一部のメールについて、ユーザー様の「氏名」および「求人の閲覧履歴（最大で直近 5 件分）」が他のユーザー様に誤って送信されておりました。

本件発覚後、すみやかに該当メールの配信を停止しております。

本件の対象となるユーザー様には順次、ご連絡いたします。ユーザーの皆様および関係各位の皆様に多大なご迷惑とご心配をおかけしていることを、ここに深くお詫び申し上げます。

本件に関する概要と対応について、下記の通りご報告いたします。

1．概要および当社の対応について

2024 年 1 月 22 日に一部ユーザー様向けメールの設定を変更し、メールを配信いたしました。1 月 24 日に誤送信に関する問い合わせがあり、社内の調査によって、ユーザー様の個人情報が他のユーザー様に誤って送信されていることを確認し、同日、13 時 10 分に該当メールの配信を停止しております。

2．メール誤送信の詳細

■事象：

以下の期間に OpenWork から配信した一部のメールにおいて、ユーザー様（A）の「氏名」および「求人の閲覧履歴（最大で直近 5 件分）」を他のユーザー様（B）に送信しておりました。

■対象：

A に該当する人数：98 名

B に該当する人数：2,094 名

■期間：

2024 年 1 月 22 日～2024 年 1 月 24 日

3．ユーザーの皆様への対応について

2024 年 1 月 24 日 13 時 10 分に該当のメール配信を停止いたしました。また、本件の対象となるユーザー様には順次、ご連絡させていただきます。

4．再発防止策について

今回の事態を重く受け止め、今後このような事態が発生しないよう、個人情報保護の重要性等についての社内教育を徹底するとともに、個人情報取り扱いフローの見直しなど内部管理体制のより一層の強化とコンプライアンスの徹底に取組んでまいります。なお、本件は個人情報漏えいに該当致しますので、JIPDEC への報告を速やかに行います。

この度は、ユーザーの皆様および関係各位の皆様へ多大なご迷惑をおかけしますこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-019】滋賀レイクス Googleフォーム誤操作による企画申込者の個人情報漏えいについて

1月23日に発信したフードメニューの購入事前予約受付において、WEBフォームの設定ミスにより、申込者22名の個人情報が一時的に他の申込者から閲覧できる状態となっておりました。

対象となった皆様に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

概要

株式会社滋賀レイクスターズでは、1月31日のホームゲームで数量限定で販売予定のフードメニュー「ダンク3兄弟 トマホークステーキ」のオンライン時前予約の受付を、23日午後6時40分頃に一般公開いたしました。

その際、受付に使用したGoogleフォームの設定で「結果の概要を表示する」をONに切り替えた状態で公開しており、申込画面で記入事項を送信した後に画面表示される「前の回答を表示」というボタンを押すと、その時点で申込が完了している方の氏名、メールアドレス、電話番号が閲覧できる状態となっておりました。

弊社の公式WEBサイト問い合わせフォームより本件の指摘があり、事態を認識した弊社スタッフが同日午後10時30分頃に設定切り替えを行いましたが、その時点までに申込をいただいていた22名の個人情報が一時的に申込者から閲覧できる状態でした。

なお、設定切り替え以降は、閲覧可能な状態は解消されております。

弊社対応

24日に、対象となる22名へ電子メールと個別の電話により、事態のご説明とお詫びの連絡を行っております。

また、弊社がGoogleフォームで運用しているWEBフォーム受付を全社的に確認し、同様の誤設定はなかったことを確認しております。

原因 

Googleフォームで申込フォームを作成後、担当者が「結果の概要を表示する」をONにする誤操作を行っておりました。社内では質問項目のダブルチェックを行っておりましたが、デフォルト設定では当該設定はOFFであるため、全設定が正常であるかの確認は十分に行われておりませんでした。

再発防止策

再発防止に向けて、個人情報の収集および管理の際に遵守すべき事項を、改めて全社員に周知徹底してまいります。

また、今後も継続的に個人情報保護および情報セキュリティ教育を徹底し、情報管理への感度の引き上げを図るとともに、全社的な情報管理体制の強化に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-018】ベルサンテグループ ホームページ改ざん被害に伴う復旧 不審メール送信によるメールアドレス流出

平素は格別のお引き立てを賜り、厚く御礼申し上げます。

2023年12月24日に、当社サーバーが、第三者による不正アクセス被害を受けました。

関係者の皆様には深くお詫びを申し上げますとともに、今般、第三者調査機関による調査が完了いたしましたので、弊社ホームページ改ざん被害に伴う復旧及び不審メール送信によるメールア ドレス流出状況の検証結果をご報告いたします。 

なお、既に当社サーバーは復旧しており、現時点では業務への影響がないことを併せてご報告させていただきます。

【弊社ホームページ改ざん被害内容及び復旧について】

2023年 12 月 24 日未明に、何者かにより弊社ホームページが改ざんされたことが判明いたしました。 弊社データは外部業者が保守しているサーバーにて管理しておりましたが、そのサーバー内に侵入及び改ざんされたことが確認されております。 復旧のため、まずは侵入される前のデータの安全確認を行った後に、新たな外部クラウドサーバーにてホームページの運用を2023年 12 月 28日より開始いたしました。 またスタッフ専用サイトにつきましては、より安全確認に時間を要したため、1 月17日に復旧いたしました。

尚、一部データが見れない状況のため、今後修正していきます。

 【不審メール送信によるメールアドレス流出経緯、及び流出状況報告】 

2023年12 月 24 日未明に、弁護士を名乗った送信者より、下記内容のメール送信がなされました。

・ベルサンテ株式会社が業績悪化の為、12 月 24 日付で破産手続きを開始した。 

・今後の対応は破産管財人及び顧問弁護士が行う。 

送信先：弊社派遣スタッフ（過去勤務者を含む）

被害確認後、早急に各サーバーの状況確認を行い、多くの個人情報や顧客情報を管理するサーバーへの被害が無い旨を確認しましたが、 2020 年 7 月 22 日まで使用していたメール送信システム（外部業者が保守しているサーバーにて管理）に何者かが侵入し、そのシステム内よりメールを送信されたことが判明いたしました。 そのシステムでは当時勤務いただいておりましたスタッフの方専用のメール送信用として活用していたシス テムとなります。 そのシステム内には一部のメールアドレスを保存しており、その一部が侵入者に閲覧された可能性 があると確認いたしました。 

改めまして、関係者の皆様には、心よりお詫び申し上げます。

 尚、メールアドレス以外の個人情報については、安全確認がなされたサーバーにて管理しており、そのサーバーへのウィルス感染はもちろん、部外者からの侵入形跡もなく、脆弱性もないことにより、個人を特定する情報（名前、住所、電話番号、マイナンバーなど）は一切外部へ流出していないことが確認されました。 

当社では、不正アクセス防止の措置及びセキュリティ対策について努めて参りましたが、このたびの事態を厳粛に受け止め、今後、個人情報等の保護・対策について徹底して参りたいと存じます。 

皆様には、大変ご心配とご不便をおかけいたしましたが、今後とも何卒よろしくお願いいたします。

リリース文（アーカイブ）