【セキュリティ事件簿#2024-029】厚生労働省 私用メールアドレスの誤登録による第三者への個人情報の漏えい及びその対応状況・再発防止策について


このたび、厚生労働省において、職員の緊急連絡先である私用メールアドレスが当該職員本人により誤って登録されたことにより、休日、夜間等に業務の必要性から関係者にメールを一斉送信した際、第三者に当該メールが誤送信されていたことが、令和6年1月23日(火)に判明しました。当該メールには、行政機関の職員の公務用メールアドレスや私人の電話番号などの個人情報が含まれており、それらが漏えいしました(詳細は後述)。

事案の概要その他再発防止策等について下記のとおりお知らせいたします。

関係者の皆さまに深くお詫びしますとともに、再発防止のため、しっかりと取り組んでまいります。

1.事案の概要

職員の緊急連絡先である私用メールアドレスが本人により誤って登録されたことにより、令和5年9月15日(金)以降、休日などに業務の必要性から関係者にメールを一斉送信した際、第三者に当該メールが誤送信されていたことが、当該誤登録者の報告により、令和6年1月23日(火)に判明。

今回の事案において個人情報が漏えいした者は675名。

うち、
 ・ 公務メールアドレスが漏えいした行政機関職員は650名、
 ・ 電話番号が漏えいした私人は、25名
であることを確認した。

2.発生原因

職員の緊急連絡先である私用メールアドレスが当該職員本人により誤って登録されたこと。

また、誤登録後、当該職員において、休日、夜間等もリモートアクセスによる公務メールアドレスを用いた対応のみを行っていたため、私用メールアドレスにおける業務上のメール受信の有無の確認が行われなかったこと。

3.本事案に関する対応状況(被害の状況等)

誤送信先に対し、謝罪や削除依頼等の連絡をしている(当該誤送信先である、誤登録されたメールアドレスの所有者からの応答はこれまでない)。

4.再発防止策

テレワーク環境の改善を踏まえ、本省における私用メールアドレスの業務上の使用については、禁止する。

5.関係者への説明

個人情報が漏えいした行政機関職員や私人への謝罪(お手紙)の送付を行う予定。

【セキュリティ事件簿#2024-027】名港海運株式会社 海外子会社への不正アクセスについて

 

このたび、欧州における当社子会社「Meiko Europe N.V. (以下、ME)」において、2024年1月6日に第三者による不正アクセスを確認しました。

本不正アクセスの判明以降、MEおよび現地のセキュリティ専門会社による調査を行っておりますが、被害の全容を確認するには、一定の時間を要する見込みです。なお、本件は現地当局への報告を行っております。

関係者の皆さまにはご迷惑とご心配をおかけしており、深くお詫び申し上げます。

また、当社IT部門による調査の結果、現時点においてME以外の当社グループに影響がないことを確認しております。

リリース文アーカイブ

【セキュリティ事件簿#2024-026】ダイドーグループホールディングス株式会社 弊社サーバへの不正アクセス発生について


この度、本年 1 月 16 日(火)に、弊社を含むグループ企業等で利用するネットワークが第三者による不正アクセスを受けたことを確認しました。社内調査を実施した結果、不正アクセスにより、弊社サーバのデータの一部が読み出されたことが判明しました。

弊社は、危機管理委員会にて本件の対策方針を定め、現在、外部の専門機関等とも連携し、調査を進めております。今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

なお、不正アクセスを確認後、速やかに関係機関への報告を行うとともに、外部からのアクセスを制限するなどの対策は実施済みです。

本件に関し、ご心配をお掛けしますことを深くお詫び申し上げます。

サイバーセキュリティ・キャリア・フレームワークを使うべきか?


サイバーセキュリティ分野における最大の問題の1つは、技術革新に対応して役割と関連スキルセットが時とともに有機的に進化してきたことです。このため、雇用主によって同じ職務に割り当てられるスキルセットが異なることがよくあり、現在のスキル不足によって状況はさらに悪化しています。

このような食い違いは、企業にとっては人員計画を立てることを、求職者にとってはどのようにキャリアを築くべきかを判断することを、ともに非常に困難にしています。これを解決するために、必要とされていた透明性をもたらすキャリア・フレームワークが開発されました。これらのフレームワークは、候補者と職務をより正確にマッチングさせることで、雇用慣行と定着率の向上に役立つはずです。

米国のNICE

現在、多くのフレームワークが開発されており、それぞれ成熟度が異なっています。米国は、米国国立標準技術研究所(NIST)の「サイバーセキュリティ教育のための国家イニシアチブ(NICE)」でリードしており、当初は連邦省庁向けに開発されましたが、2020年に改訂されて以来、広く商業的に採用され始めています。NICE は、何が必要かを記述したタスク、知識、スキル(TKS)ステートメントで構成され、受験者はこれらに関連するコンピテンシーを達成することができます。雇用主はこれらのコンピテンシーを参照し、職務記述書に記載することになります。33の専門分野と52の職務をカバーする7つのカテゴリーがあるが、紛らわしいことに、1つの職務に複数の職務が含まれることもあります。

NICEには多くの側面があり、そのために理解するのが難しいかもしれません。そこで、National Initiative for Cybersecurity Careers and Studies(NICCS)は、ユーザーがフレームワークを理解するのを支援するために、Cyber Career Pathways Toolを開発しました。このツールは、どのスキルがどの職務に関連しているかを示し、また、転職を検討している候補者が関連職種を見極めるのに役立ちます。

英国のCCF

英国では、サイバーセキュリティ協議会(Cyber Security Council)がサイバー・キャリア・フレームワーク(Cyber Career Framework)を開発しています。このフレームワークは、16の専門分野を網羅し、労働生活、責任、給与、知識、スキル、転職(出世または横への移動)、資格に関する詳細情報を提供しています。

さらに、同協議会は今年初めに、インタラクティブなキャリアマッピングツールを展開しました。このツールは、サイバーセキュリティ分野でのキャリアを模索するために、他の分野から転職を希望する人々をサポートする目的で作成されました。

このフレームワークはまだ完成しておらず、Cyber Security Profession Chartered Standards (CSPCS) と並行して展開されています。CSPCSは、16の専門分野ごとに3つの認定基準(Associate、Principal、そして憧れのCharteredステータス)を提供することを目指しており、2025年までに大規模な改革を完了させる予定です。

EUのECSF

EUにおける欧州サイバーセキュリティ・スキルフレームワーク(ECSF)は、Enisa(欧州ネットワーク情報セキュリティ機関)が昨年9月に発表した最新のフレームワークです。このフレームワークは、12種類のサイバー職種のプロフィールを詳細にまとめており、代替可能な職名、職務概要、ミッション、成果物、主なタスク、主要なスキル、知識、コンピテンシーを「役割」として提示しています。さらに、雇用主、教育プロバイダー、候補者向けにガイダンスを提供するマニュアルも用意されており、それぞれの要件に適した情報を提供しています。また、ISACA、(ISC)2、ECSO(European Cyber Security Organisation)から提供された3つのユースケースも含まれています。

これらのフレームワークが各地域で広く採用されることで、雇用者にとってはサイバーセキュリティ分野の混乱が減少し、潜在的な採用者にとっては敷居が低くなることが期待されています。


日本のSecBok

情報セキュリティ知識分野(SecBoK)人材スキルマップは、セキュリティ関連の業務に従事する人材が必要とする知識とスキルを体系的に整理したものです。このスキルマップは、セキュリティの専門家から大学生まで、幅広い人々にとって参考資料として活用されています。

SecBoKは、16の役割(ロール)ごとに必要な前提スキルと必須スキルを詳細にまとめています。例えば、CISO(Chief Information Security Officer)、脆弱性診断士、インシデントハンドラーなど、さまざまなセキュリティ職種についての情報が含まれています。

特徴的な点として、以下の3つが挙げられます:
  • 知識分野カテゴリーの改定: 今注目されている「プラス・セキュリティ人材」について、業務の種類や立場に応じた基礎スキルを集約して追加い勝手を向上。
  • Job description(ジョブディスクリプション)の考え方: ジョブディスクリプションに基づくセキュリティ関連職種の募集例を提示。
  • プラス・セキュリティ人材育成や高等教育機関におけるシラバス作成の参考資料: SecBoK各ロールとの適合度の例や教育コースとのマッピング例を提供。
このスキルマップは、セキュリティ分野の混乱を減少させ、潜在的な採用者にとって敷居を低くすることを目指しています。

何を選択するか?

雇用者の視点から見ると、これらのフレームワークは、どのスキルセットがどの職務に適しているかを特定し、各職務内容に関連するものをリストアップするのに役立ちます。また、人員計画や、すでにいるスタッフのスキル開発にも役立ちます。ガイドは、明確で直線的な昇進の道筋を示し、キャリアプランの形成に役立ち、それによって定着率を向上させることが期待されています。

求職者側から見れば、フレームワークによって、さまざまな職務がどのように関連し、どの程度の給与が期待できるかを初めて知ることができ、自らのキャリア開発を計画することができます。また、転職可能なスキルを持っている人は、それを活かせる場所を探したり、具体的な職務について詳しく知ることができるでしょう。

しかし、このフレームワークは人材紹介部門にも関係があります。採用担当者は、無関係なスキルをまとめたり、非現実的な要求をしたりする職務記述書の書き直しに時間を費やす必要がなくなります。これらのマトリックスを参照することで、より職務に適した候補者を探し出し、面接プロセスの一部として情報を活用することができるようになるでしょう。このような小さな変化が採用の可能性を高め、サイバーセキュリティ格差の縮小に貢献することでしょう。

さらに網を広げれば、このフレームワークは、将来のサイバーセキュリティの専門家を教える教育プロバイダーの指針となり、大学のコースで何を学ぶべきかについての洞察を与えることになるでしょう。そしてベンダーも、自社のソリューションを運用するために必要なレベルやスキルセットを示すために、コンピテンシーを利用できるようになることでしょう。

数年後には、このコンピテンシーがなかったら、この分野はいったいどのように機能していたのだろうかと不思議に思うようになることでしょう。


【セキュリティ事件簿#2024-025】茨城東病院 患者個人情報を記録したUSBメモリの紛失について


この度、当院において、患者個人情報を記録したUSBメモリを紛失する事案が発生いたしました。このような事案が発生にしたことについて、個人情報を取り扱う医療機関として決してあってはならないことであり、深く反省いたしております。

恵者様及びそのご家旋並びに関係機関の皆様に深くお詫び申し上げますとともに、個人情報管理の徹底を図り、信頼回復に向けて二度とこの様なことを生じさせないよう再発防止に努めてまいります。

1. 紛失の経緯

令和5年12月18日 (月)、当院職員の申告により個人情報を含んだUSBメモリの紛失が判明いたしました。病院外に持ち出しはしていないため、院内で紛失したものと考えております。

同日以降、紛失場所の捜索、職員への開き取り確認を行い、併せて警察にも遺失の問い合わせをいたしましたが、現時点で発見には至っておりません。

2. 紛失したUSBメモリに保存されでいた個人情報

①患者情報

・忠者ID、氏名、病名、居住地域、診療科、入院日、退院日等 2, 533名分

・氏名、転院先、死亡日                    3, 605名分

②職員情報 (面談記録、勤務表)                     8名分

なお、当該USBメモリには、自動暗号化及びパスワードロック機能を設定しております。

3. 現在までの対応

対象の患者様及びご家族には、個別にご連絡のうえ、謝罪いたします。

また、現時点において、個人情報が外部に流失したことの情報や不正利用された事実等の被害は確認されておりません。

4. 再発防止策

全職員に対して個人情報管理の徹底とUSBメモリ等の外部電磁的記憶媒体にかかる関連規定の順守について周知徹底するとともに、個人情報の取り扱いに関する研修及び個人情報の管理状況の確認を定期的に実施する等対策を講じてまいります。

この度は、患者様及びご家族並びに関係者の皆様には多大なご迷惑とご心配をおかけしておりますことを、改めて深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-024】三浦工業 サイバー攻撃による弊社ホームページ改ざんに関するお詫びとご報告


2024年1月26日(金)17時00分頃から1月28日(日)11時21分までの間に、第三者からのサイバー攻撃によりホームページが改ざんされていた事が判明いたしました。

ご利用いただいておりますお客様の皆様には多大なご迷惑、ご心配をお掛けしたことを深くお詫び申し上げます。現在、原因と影響の調査を進めており、ホームページを閉じさせていただいております。

当サーバにはお客様の個人情報は保存されておりませんので、個人情報の流出はない見込みです。(お問い合わせなどでホームページより入力いただいた情報はホームページ内には保存されておりません。また、会員制サイトのお客様情報は設定されたIDと暗号化されたパスワード情報のみが保存されています)

改ざん内容

2024年1月26日(金)17時00分頃から1月28日(日)11時21分までの間に、ホームページ(三浦工業※1)にアクセスすると別サイト(アラビア語の通販サイト)へ誘導される状況が確認されました。

※1対象サイト コーポレート・製品サイト(miuraz.co.jp) 
                   カタログ会員サイトMyMIURA(mymiura.com)

ご利用のお客様へのお願い

上記期間中に、ホームページ(三浦工業※1)にアクセスされた可能性のあるお客様におかれましては、誠にお手数ですが、お手持ちのセキュリティソフトを最新の状態にし、不正なプログラムの感染確認・駆除の実施をお願い申し上げます。

また、参照先の不正なホームページにおいてIDやパスワードを入力してしまった場合は、同じパスワードを使っている全システム(他社サイトを含む)のパスワードを変更いただきます様、お願いいたします。

会員制サイトのIDにメールアドレスをご登録いただいていたお客様もおられましたので、こちらは個別にご連絡差し上げます。

今後原因や影響が判明した場合には本ホームページで引き続き報告させていただきます。

マリオットのポイント購入ボーナスセール(~2024年3月31日)


マリオットがポイント購入のボーナスを発表。2023年10月1日から12月31日の間にマリオット系列での滞在実績がある会員は40%ボーナス、その他の会員は35%のボーナスを獲得できる。

自分はマリオットポイントはJALマイルの間接購入手段と割り切っているため、宿泊実績は無いため35%ボーナス。

このボーナスは2,000ポイント以上の購入に適用され、2024年3月31日まで利用できる。

過去には、パンデミック(武漢ウイルス流行)時にこのボーナスが60%まで上昇したこともあったが、今回もそうなるかどうかはわからない。

感覚的に60%は無いだろう。50%ボーナスが最大だろうから、その時は全力で購入するとして、その他のボーナス時は少しずつ購入をしていく。

以前は為替の関係で購入をためらうシーンが多かったが、住信SBIネット銀行の外貨自動積立で毎月ドルを積み立て、積み立てたドルはJALペイに移して決済するという解決策を思いついた。

これでドルコスト平均法でドルを買い、ドルのまま決済できるので為替を気にする必要がなくなる。

とりあえず今回は50ドル分買ってみる。

マリオットポイントは毎年6万ポイント分購入(=25,000JALマイル)する方針。

あと、マリオットポイント購入時はTopCashback経由で購入するとキャッシュバックをゲットできるのでオススメ


出典:Buy Marriott Bonvoy points with up to a 40% bonus

【セキュリティ事件簿#2024-023】ディップ株式会社 求人掲載企業の管理画面への不正ログインに関するお詫びとお知らせ


当社が運営する求人情報サイト「バイトル」に掲載している株式会社サンライズワークス(以下、当該掲載企業)の応募者情報管理画面への不正ログインが発生し、不正ログインを行った第三者(以下、当該第三者)により当該掲載企業への応募者のうち20名の応募情報の一部と、不正ログインに使用したIDおよびパスワードが外部へメール送信されたことが判明いたしました。そのため、当該掲載企業への応募者の方は、当該第三者および送信されたIDおよびパスワードを用いてアクセスした者に、応募情報を閲覧された可能性があります。

関係者の皆様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

現在、鋭意調査を続けておりますが、現時点で判明している事実および本件への対応について以下のとおりご報告いたします。

■概要

当社が運営する求人情報サイト「バイトル」において、当該掲載企業のIDおよびパスワードを取得した第三者が、応募者を管理する管理画面に不正にログインし、当該掲載企業への応募者のうち20名の応募者情報の一部と、不正ログインに使用したIDおよびパスワードを、ご本人を含む応募者に対し、当該管理画面のメール送信機能を利用して送信しました。そのため、当該第三者および送信されたIDおよびパスワードを用いてアクセスした者は、当該掲載企業への応募者の方のうち1,296名の方の応募情報を閲覧した可能性があります。

当社は、メールを受信した応募者様からの問い合わせにより事象を確認し、本IDの停止処理および求人掲載を取り下げて被害拡大を防止するとともに、不正ログインの被害にあった当該掲載企業と協力して、調査を実施しております。また、調査の結果、閲覧された可能性がある応募者の方々を特定し、お詫びとご連絡を2024年1月31日(水)に完了したことをお知らせいたします。 送信された個人情報および 閲覧された可能性のある個人情報は以下の通りであり、クレジットカード情報等は含まれておりません。

なお、当社システムにおいては、掲載企業の皆様の管理画面へのログインパスワードは暗号化されて保管されており、当社のエンジニアを含めて閲覧および解読ができない仕様になっております。本事象を受けて当社システムのセキュリティ調査を改めて行っており、現時点では、当該掲載企業以外のID・パスワードが不正に利用された事実は確認されておりません。

■応募情報が送信された応募者

20名(2023年1月~7月に当該掲載企業に応募した応募者の一部)

・該当する個人情報の項目

 氏名、年齢、性別、メールアドレス、電話番号、現在の職業

■応募情報を閲覧された可能性がある応募者

1,296名(2023年1月~10月に当該掲載企業に応募した応募者の一部)

・該当する個人情報の項目(当社が実際に取得している項目は応募者によって異なるため、1名以上の応募者から取得している項目を挙げています。)

 氏名(よみがなを含む)、年齢、生年月日、性別、メールアドレス、電話番号、現在の職業、お住まいの都道府県・市区町村、学歴・職歴、運転免許の有無・パソコンスキルに関する情報、自己PR、連絡可能な日時、応募日時、応募した案件の情報

■本件への対応

当社の対応
  • 本アカウントの停止
  • 該当される方へのお詫びとお知らせ
  • 当該情報を送信された方への応募情報が記載されたメール削除のお願い
  • 本事象に関するログ・セキュリティ調査の実施
  • 当該掲載企業の管理画面に不正ログインした第三者に関する調査の実施
  • 個人情報保護委員会への報告
  • 麻布警察署への報告および協力
引き続き、不正ログインの被害を受けた当該掲載企業とともに、関係各機関と連携し、事実の確認および適切な対応に務めております。応募情報を閲覧された可能性がある応募者の方のうち、当社がメールで連絡可能な方には、お詫びのメールにてお知らせしておりますが、ご懸念がある応募者の方は、お問い合わせ先までご連絡をお願いいたします。

この度は皆様に多大なご迷惑ご心配をお掛けしますこと、改めて深くお詫び申し上げます。