【セキュリティ事件簿#2023-327】個人情報保護委員会 長野県教育委員会に対する 個人情報の保護に関する法律に基づく行政上の対応について 2024/2/21

個人情報保護委員会（以下「当委員会」という。）は、令和６年２月 21 日、長野県教育委員会における個人情報等の取扱いについて、長野県教育委員会に対し、個人情報の保護に関する法律（平成 15 年法律第 57 号。以下「法」という。）第 157 条の規定による指導等を行った。

１．事案の概要

本件は、長野県教育委員会が所管する２つの高等学校の教諭２名（各高等学校それぞれ１名）がサポート詐欺1に遭い、当該サポート詐欺を図った攻撃者からの誘導に従い、校務用端末である PC（以下「校務用端末」という。）に遠隔操作ソフトを無断でインストールした結果、当該高等学校の生徒及び教職員に関する保有個人情報の漏えいのおそれが発生した事案である。

２．漏えいしたおそれのある保有個人情報とその本人数

本件により漏えいしたおそれのある保有個人情報は、生徒の氏名、生年月日、住所、成績、生徒指導に関する資料及び進路指導に関する資料等並びに教職員の氏名等であり、本人数は 14,231 人である。

３．法律上の問題点

法第 66 条第１項は、「行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。

この点に関し、長野県教育委員会では、個人情報等の取扱いについて、以下の問題点が認められた。

(1) 外部からの不正アクセスの防止の不徹底（技術的安全管理措置の不備）

本件各高等学校では、校務用端末についてインストールを制御する機能が備わっていたにもかかわらず、その設定を怠っていたことから、教職員なら誰でもインターネット上からソフトウェアのインストールをすることが可能な状況であった。

(2) 漏えい等の安全管理上の問題への不十分な対応（組織的安全管理措置の不備）

長野県教育委員会から当委員会に漏えい等報告（確報）が提出されたのは当該事案の発覚後 82 日目であり、当委員会への漏えい等報告（確報）が規定された期間内に行われなかったことから、法第 68 条第１項の規定に則った適正な取扱いがなされておらず、保有個人情報の漏えい等の安全管理上の問題への対応が不十分であった。

４．指導等の内容

(1) 法第 66 条第１項、個人情報の保護に関する法律についてのガイドライン（行政機関等編）及び個人情報の保護に関する法律についての事務対応ガイド（行政機関等向け）に基づき、必要かつ適切な措置を講ずること。

(2) 策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講ずること。

(3) 今後、法第 68 条第１項の規定による報告を要する事態が生じた場合には、規定された期間内に所定の事項を報告すること。また、そのような報告が可能となるよう、漏えい等事案に対応する体制の整備を行うこと。

(4) 再発防止策の実施状況について、関係資料を提出の上、令和６年３月 29 日（金）までに説明するよう求める。

リリース文（アーカイブ）

PDFidをつかってpdfファイルを解析する

 

潜む悪意を見逃すな！PDFファイルを素早く安全にスキャンするツール

PDFファイルは便利ですが、悪意のあるコードが埋め込まれている可能性もあり、セキュリティ上のリスクとなります。そこで今回は、PDFiDというツールをご紹介します。

PDFiDは、PDFファイル内の特定のキーワードをスキャンし、潜在的な脅威を素早く検出するツールです。 JavaScriptを含むPDFや、開いたときにアクションを実行するPDFなど、危険なファイルを見つけ出すことができます。

PDFiDの特長

• 軽量でシンプルな設計
• 高速なスキャン
• 難読化されたファイル名にも対応
• 疑わしいファイルのみを詳細な解析に送ることで、時間を節約

使い方

• aptコマンドでインストールします。
  
  sudo apt install pdfid
  
  
• 使い方

root@kali:~# pdfid -h
Usage: pdfid [options] [pdf-file|zip-file|url|@file] ...
Tool to test a PDF file

Arguments:
pdf-file and zip-file can be a single file, several files, and/or @file
@file: run PDFiD on each file listed in the text file specified
wildcards are supported

Source code put in the public domain by Didier Stevens, no Copyright
Use at your own risk
https://DidierStevens.com

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -s, --scan            scan the given directory
  -a, --all             display all the names
  -e, --extra           display extra data, like dates
  -f, --force           force the scan of the file, even without proper %PDF
                        header
  -d, --disarm          disable JavaScript and auto launch
  -p PLUGINS, --plugins=PLUGINS
                        plugins to load (separate plugins with a comma , ;
                        @file supported)
  -c, --csv             output csv data when using plugins
  -m MINIMUMSCORE, --minimumscore=MINIMUMSCORE
                        minimum score for plugin results output
  -v, --verbose         verbose (will also raise catched exceptions)
  -S SELECT, --select=SELECT
                        selection expression
  -n, --nozero          supress output for counts equal to zero
  -o OUTPUT, --output=OUTPUT
                        output to log file
  --pluginoptions=PLUGINOPTIONS
                        options for the plugin
  -l, --literalfilenames
                        take filenames literally, no wildcard matching
  --recursedir          Recurse directories (wildcards and here files (@...)
                        allowed)

• 実行例

root@kali:~# pdfid /usr/share/doc/texmf/fonts/lm/lm-info.pdf
PDFiD 0.0.12 /usr/share/doc/texmf/fonts/lm/lm-info.pdf
 PDF Header: %PDF-1.4
 obj                  526
 endobj               526
 stream               151
 endstream            151
 xref                   1
 trailer                1
 startxref              1
 /Page                 26
 /Encrypt               0
 /ObjStm                0
 /JS                    0
 /JavaScript            0
 /AA                    0
 /OpenAction            0
 /AcroForm              0
 /JBIG2Decode           0
 /RichMedia             0
 /Launch                0
 /EmbeddedFile          0
 /Colors > 2^24         0

PDFiDとpdf-parser.pyの使い分け

PDFiDは、PDFファイルの迅速なトリアージに最適です。疑わしいファイルが見つかった場合は、pdf-parser.pyなどの詳細な解析ツールを使ってさらに詳しく調べることをおすすめします。

PDFiDは、セキュリティ意識の高いすべてのユーザーにおすすめのツールです。 ぜひダウンロードして、あなたの大切なデータを悪意のある攻撃から守ってください。

参考①：MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -

参考②：pdfid | Kali Linux Tools

【セキュリティ事件簿#2024-053】NPO法人美原体育協会 不正アクセスによる個人情報の流出の可能性がある事案の発生について（お詫び） 2024/2/20

 

平素は、美原体育館等をご利用いただき、誠にありがとうございます。当体育館において、外部から業務用パソコンへの不正アクセスによる個人情報の流出の可能性があることが判明しました。

１ 不正アクセスを受けたパソコンの環境

• 当館の業務用パソコン端末は計 5 台。被害当時、5 台のうち当該パソコンと親機の 2 台のみ電源が入った状態で、2 月 12 日（月）午後 7 時～14 日（水）午前 8 時半の 間、電源が入った状態で外部と接続され、遠隔操作可能な状態にあった。

 ※稼働していなかったパソコンへの遠隔操作はないことが確認されている。また、当該 パソコンと親機は一時的に遠隔操作が可能な状態であったが、メールの送受信履歴 やリモート接続ソフトのログ上ではファイルを外部に送信した記録はなく情報流出 の可能性は低い。

２ 当該パソコンからアクセスが可能であった個人情報の項目及び件数

 【項目】美原体育館の利用者、同館のスポーツ教室利用者等の氏名、住所、電話番号、 生年月日、保護者名、一部の利用者の口座情報（銀行名、支店名、口座番号）

 【当該パソコン及び親機に保存されている個人情報の件数】 約 14,000 件

３ 発生の原因

• 業務中にインターネット検索をしていた際、誤って広告ページにアクセスしてしまっ たこと。
• 当該事案が発生した際、ただちに業務責任者へ共有すべきところ、情報インシデント が発生しているという認識がなかったため事業者内部の共有が遅れたこと。

４ 再発防止策

•  指定管理者内でのインシデント発生時の体制及び対応策について再確認し、セキュリティ対策の徹底により再発防止策を講じること。
   業務パソコン操作時にインターネット検索時の不審な広告やメール等にアクセスせ ず、万が一誤って接続し誘導・警告メッセージ等が出た場合には、すぐに当該パソコ ンの電源を切断し、ネットワークから遮断する。パスワードの変更及び個人情報を含 むファイルの管理を徹底する。
• 事案の発生から発覚まで職員間の共有がなく、市への報告が遅れたことから、今後、組織内の共有及び市への報告を直ちに行うこと。

５ 今後の対応

• 二次被害についても専門業者と継続して対策を講じ、指定管理者職員によるインターネット上のパトロールも実施します。
• 流出の可能性があった個人情報の対象となる方に対し、周知とお詫び及び被害が発生していないか聞き取りを行ってまいります。

市民の皆様をはじめ利用者や関係の皆様にはご心配とご迷惑をお掛けすることとなり深くお詫び申し上げます。

今後、このような事案を発生させないよう再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-052】株式会社クレイツ 弊社が運営していた「クレイツ公式オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/2/20

この度、弊社が運営していた「クレイツ公式オンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（4,748件）が漏えいし、また、お客様の個人情報（65,520名）が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

外部専門機関によるフォレンジック調査および社内調査が完了しましたので、調査結果および再発防止策についてご報告いたします。

なお、個人情報が漏えいした可能性のあるお客様には、本日より電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年4月3日、「クレイツ公式オンラインショップ」をリニューアル（旧サイトを閉鎖し、新サイトをオープン）しました。2023年6月1日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年6月1日弊社が運営する「クレイツ公式オンラインショップ（新サイト）」でのクレジットカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年7月26日、調査機関による調査が完了し、2021年4月21日～2023年4月3日の期間に「クレイツ公式オンラインショップ（旧サイト）」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。なお、新サイトで商品を購入したお客様のクレジットカード情報は漏洩していないことを確認しております。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況（フォレンジック調査及び社内調査により判明した事実）

(1)原因

第三者が、弊社が運営する旧サイトのシステムの一部の脆弱性を利用した不正な注文により、旧サイトを改ざんし、クレジットカード情報やその他の個人情報を入力する際にこれらの情報を窃取するプログラムを埋め込んだものと考えられます。

(2) クレジットカード情報漏えいの可能性があるお客様

2021年4月21日～2023年4月3日の期間中に旧サイトにおいてクレジットカード決済をされたお客様4,583名で、漏洩した可能性のある情報は以下のとおりです。

・クレジットカード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当する4,583名のお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げます。

(3)その他の個人情報が漏えいした可能性のあるお客様

2023年4月3日以前に旧サイトにおいて顧客情報を入力したことがあるお客様65,520名で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・生年月日

・性別

・住所

・電話番号

・メールアドレス

・「クレイツ公式オンラインショップ」ログインパスワード

・商品の配送先様氏名（配送先が購入者様と別の場合）

・商品の配送先様住所（配送先が購入者様と別の場合）

・商品の配送先様電話番号（配送先が購入者様と別の場合）

上記に該当する65,520名のお客様についても、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールが届かなかったお客様には書状にてご連絡申し上げます。

お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますが、クレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが、クレジットカードの裏面に記載の

クレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましては、お客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

公表が遅れた経緯について

2023年6月1日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招くおそれがあるため、十分な調査と調査結果を踏まえてお客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が必要不可欠であると判断し調査会社から調査結果を受領し、確実な情報をお知らせできるようにカード会社その他関係機関との連携を十分にとった上で公表することに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

現在ショッピングサービスを停止している新サイトについては、再開することとなりましたら、決定次第、改めて弊社Webサイト上にてお知らせいたします。

また、弊社は本件につきまして、監督官庁である個人情報保護委員会には2023年7月28日に報告済みであり、福岡県警南警察署生活安全課にも2023年7月31日に被害相談しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

Kivaローンで社会貢献しながらマイルをゲットできるか検証（2024年3月号）※3か月目

 

今月も2件の新規融資を実行する。

これで総投資案件は6件。

1月に融資実行した案件からの返済が始まった。返済率は15%前後

返済された金額は”Kiva Credit”として次回の融資実行時に請求金額から割引を受けることができる。というか、デフォルトでクレジットを使う設定になる。

クレジットを使ってしまうと検証にならないので、クレジットは毎回きちんと外すようにすることが重要。

■融資条件

• LOAN LENGTH：8 mths or less
• RISK RATING：4-5
• DEFAULT RATE：～1%
• PROFITABILITY：4%～

■新規融資案件 

融資No：2737152号（https://www.kiva.org/lend/2737152）

• 融資国：タジキスタン
• Lending partner：Humo
• 期間：8か月
• 融資実行：2024年3月
• 融資額：25USD（≒3,933円）
• 返済率：0%

融資No：2731801号（https://www.kiva.org/lend/2731801）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation (NWTF)
• 期間：8か月
• 融資実行：2024年3月
• 融資額：25USD（≒3,933円）
• 返済率：0%

■融資済み案件

融資No：2705613号（https://www.kiva.org/lend/2705613）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：16%

融資No：2707642号（https://www.kiva.org/lend/2707642）

• 融資国：ニカラグア
• Lending partner：FUNDENUSE
• 期間：8か月
• 融資実行：2024年1月
• 融資額：30USD（≒4,727.5円）
• 返済率：15%

融資No：2716127号（https://www.kiva.org/lend/2716127）

• 融資国：フィリピン
• Lending partner：Negros Women for Tomorrow Foundation
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：0%

融資No：2718123号（https://www.kiva.org/lend/2718123）

• 融資国：ニカラグア
• Lending partner：MiCredito
• 期間：8か月
• 融資実行：2024年2月
• 融資額：25USD（≒3,900.5円）
• 返済率：0%

【セキュリティ事件簿#2024-051】ビー・スクエア 重要・当社基幹サーバーに対するサイバー攻撃についてお知らせとお詫び 2024/2/13

 

2月8日、当社内にて管理運用する基幹サーバーに対して、第三者の不正アクセスによるサイバー攻撃を受け、社内システムに障害が発生したことを確認しました(以下「本件」といいます。)。　

お客様をはじめ関係者の皆様には深くお詫びを申し上げます。

本件の概要

2024年2月8日17時頃、当社内ファイルサーバーに不具合が生じているとの報告を受けました。

その後、当社内部にて調査をしたところ、サーバーがランサムウェアに感染していることが発覚したため、当該サーバーをネットワークから隔離するなどの被害拡大防止策を講じた上で、外部専門家の協力の下、対策チームを設置いたしました。

その後、同月9日に個人情報保護委員会に報告を行い、同時に第三者調査機関に調査を依頼しました。

第三者調査機関からの調査結果途中報告によると、本件について、当社ネットワークへの不正アクセスが行われたのち、サーバーに記録されていたデータがランサムウェアにより暗号化され、使用できない状況となったことを確認いたしました。

なお、当サイトからの個人情報の漏えいはありませんが、個人情報保護法に則った対応を進める予定です。

また、念のため一時的に当サイト内の全商品を非公開とさせていただいております。

復旧には一定期間を要する見込みであり、現在も復旧作業を継続しております。

今後は、再発防止を含めたセキュリティ強化に全力で取り組んでまいります。

お客様及び関係者の皆様には、ご不便およびご迷惑をお掛けし誠に申し訳ございません。 深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-049】株式会社近大アシスト 不正アクセスによる個人情報の流出について（お詫び）

令和5年（2023年）12月29日にご報告いたしましたとおり、このたび、当社のメールサーバーに不正アクセスがあり、当社ECサイトの顧客を中心とする近畿大学学生、卒業生、近畿大学病院職員、近畿大学病院採用予定者ならびに他大学教員の方々の個人情報が漏えいしたことが発覚いたしました。

現在までに270名分の個人情報漏えいが判明しており、他に被害がないか引き続き調査を行っております。なお、本日までに本件の情報流出による二次被害の報告はなく、ECサイトは令和5年（2023年）12月28日から運営を停止しております。

令和5年（2023年）12月29日の発表については、こちら(https://kindai-a.co.jp/news/668/)をご確認ください。

該当する皆様および関係者の方々に、多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。このような事態が発生したことを重く受け止め、引き続き被害の正確な把握と原因究明に努めるとともに、再発防止に向けて個人情報のより厳格な取り扱いと管理徹底に取り組んでまいります。

事案の内容

令和5年（2023年）12月9日、当社社員のメールアドレス宛に、メールデータをエクスポートしたという通知が届きました。本人に身に覚えがなかったため、メールサーバーの管理会社に問い合わせたところ、何者かが当社社員のメールアカウントに不正にログインしたうえ、当該アカウントを利用し、メールサーバーに不正にアクセスした形跡が見つかりました。

不正にログインされたメールアカウントは3つあり、そのうちの1つを使用して個人情報が記載されたメールデータが抜き取られ、そこには少なくとも263名分の個人情報が記載されていました。また、残り2つのメールアカウントでも、7名分の個人情報が閲覧された可能性がございます。

個人情報を抜き取られた263名のうち261名は、パソコンや実習着などを販売している当社運営のECサイト（アシストショップ）で、令和5年（2023年）3月から同年12月までの間に商品を購入した近畿大学学生および近畿大学病院職員の方々であり、残りの2名は当社が下宿先の紹介を行った近畿大学病院採用予定者の方々です。また、個人情報を閲覧された可能性のある7名は、近畿大学学生、卒業生および他大学教員の方々です。

流出した個人情報の項目

（１）ECサイトを利用された学生様及び病院職員様のもの（261人）

・氏名、電話番号、メールアドレス、住所、ECサイトでの購入品目

※クレジットカード情報および金融機関口座情報などの決済関連情報、各種パスワードは含まれておりません。

（２）住宅紹介を利用された令和6年（2024年）4月採用予定者様のもの（2人）

・氏名、電話番号、メールアドレス、住所

閲覧された可能性がある個人情報の項目

当社が印刷業務を受託した学生様、卒業生様及び他大学教員様のもの（7人）

・氏名、電話番号、メールアドレス、住所

対応

・被害に遭われた近畿大学学生、卒業生、近畿大学病院職員、近畿大学病院採用予定者ならびに他大学教員の方々に対し、状況の説明及びお詫びの通知の送付。

・不正アクセスを行った者を特定するため、引き続き調査。

・個人情報保護委員会へ報告。

・警察への情報提供。

再発防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります。

• 社内システムにおけるパスワードの複雑化、再設定および秘匿化
• よりセキュリティレベルの高いメールサービスへの移行
• 管理体制の見直しとシステム専門委託業者の導入によるシステム部門の強化
• 不正アクセスの有無についての定期的なチェック体制の構築
• 社内向け情報セキュリティ講習の実施

関係者の皆様へのお詫びと本件に関するお問い合わせ先

該当する皆様および関係者の方々に、多大なるご迷惑、ご心配をおかけしましたことを重ねて深くお詫び申し上げるとともに、該当する皆様および関係者の方々に、お詫びとお知らせを個別にご連絡いたします。

ご質問やご心配なことがございましたら、以下のお問い合わせ先までご連絡いただきますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-048】トヨタモビリティサービス株式会社 お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて

トヨタモビリティサービス株式会社が提供する社用車専用クラウドサービス「Booking Car」をご利用中、または過去ご利用いただいた企業・自治体の従業員・職員の方のメールアドレスおよびお客様識別番号（管理用の目的でお客様お一人お一人に割り振らせていただいている番号）、約25,000名分が漏洩した可能性があることが判明致しました。

「Booking Car」をご利用いただいている企業・自治体およびご登録いただいているお客様には大変なご迷惑、ご心配をおかけすることを、心よりお詫び申し上げます。

対象となるお客様は、2020年11月以降、「Booking Car」のご利用画面にてご自身のメールアドレスをご登録いただいた方となります。また、漏洩の可能性のある個人情報は以下のとおりでございます。なお、クレジットカードに関する情報は当システム内に保持しておりませんので、漏洩の可能性はございません。

1 写真アップロード操作で保存した写真データ（顔写真、車両キズ等）

2 車両登録でお客様が設定した車両の画像データ

3 車両・従業員登録に使用する一時ファイルやログ情報

調査の結果、お客様のメールアドレスおよびお客様識別番号が保管されているデータサーバーへの不正アクセスおよび保管データの削除が行われたことが判明いたしました。お客様の個人情報流出の事実は確認できておりませんが、完全には否定できない状況となっております。

メールアドレスおよびお客様識別番号が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、メールを送付させていただき、お詫びと共に内容のご報告をさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置致しました。

1. 経緯と対応

2024年2月2日、「Booking Car」のデータ保管サーバー（Amazon Web Services S3 以下「AWS」といいます。）に対して、システム開発以前から使用されていたアクセスキーを用いて、不正に侵入がなされている事実を確認いたしました。調査の結果、2020年10月～2024年2月2日までの間、システム開発以前から使用されていたアクセスキーを利用することで、データサーバーに保管されているメールアドレスおよびお客様識別番号にアクセスできることが判明致しました。同日、直ちにデータサーバーのアクセスキーの変更および継続的な不正アクセスのモニタリング等の対応を実施しており、現時点で二次被害等は確認されておりません。

なお、「Booking Car」のデータ保管サーバーは、「Booking Car」の運用および当社の提供する他のサービスとは別個独立したサーバーであり、「Booking Car」の運用および当社の提供する他のサービスに影響はございません。

2. 流出の可能性が発生した原因

2020年2月、「Booking Car」開発委託先企業が、過去のプロダクト開発に使用していたAWS保存領域を使用し、「Booking Car」の一部の開発を開始しましたが、その際、過去の別プロダクト用に設定したAWSアクセスキーを無効化または消去するべきところ、2024年2月2日まで、適切に処理されておりませんでした。

本件は、開発委託先企業におけるアクセスキーの不適切な取り扱いが原因であり、委託元企業として、改めて委託先企業とともに、お客様の個人情報取り扱いに関する管理の徹底、およびセキュリティ機能の強化に向けた取組みを進めてまいります。

弊社として、お客様の個人情報を適正に取り扱うことは、企業の重要な社会的責務であることを改めて認識し、お客様の個人情報保護・管理の徹底について、お客様から信頼を寄せていただけるサービスの実現に向け、より一層尽力してまいります。

お客様へのお願い

現時点で本件に関わる個人情報の不正利用は確認されておりませんが、差出人や件名に心当たりのない不審なメールを受信された場合は、ウイルス感染や不正アクセス等の危険がありますので、メール内に記載されたアドレス(URL)へのアクセスや添付ファイルの開封を行わず、メール自体を直ちに消去いただくようお願いいたします。

リリース文（アーカイブ）