【セキュリティ事件簿#2024-057】足立東部病院 令和 5 年 12 月 4 日に発生いたしました不正アクセスにつきまして 2024/2/7

この度、当院にて不正アクセスが確認されました。

PC 端末のアクセス以外、個人情報の漏洩は確認されておらず、また診察の影響もありません。

詳細は以下の通りです。

1.不正アクセス判明の経緯

資料作成のため、インターネット検索作業をしていた当院職員が、詐欺広告の誘導により遠隔で PC 内を操作されました。

内容を調査したところ、令和 5 年 12 月 4 日 14:06 から 14:22 に不正にアクセスされたログが残っており、当院職員および業務委託業者の更新作業はなかったことから、第三者による不正アクセスと判断しました。

2.不正アクセスがされた内容と対応

詐欺広告の誘導により、記載されている電話番号に電話をし、遠隔操作ソフトをインストールされ、PC 内を操作されました。

別途連絡を受けた当院 SE が、すぐに当該職員に電話を切り、ネットワーク遮断をするように指示致しましたが、結果として 16 分間遠隔操作をされてしまいました。

外部セキュリティ機関に相談しながら、遠隔ソフトのアンインストールと当該時刻のログをすべて調査致しました。

ログの調査は終了しており、外部への流出は認められませんでした。

3.病院運営及び個人情報への影響につきまして

医療情報システム（電子カルテ等）はインターネットから分離しており、診察への影響はございません。

当該 PC に、患者様の電子カルテの ID と氏名のみ記載されたエクセルファイルが保管されておりました。

院内ネットワークストレージ内に職員のマイナンバーカード通知書のコピーが 1 枚保管されておりました。

4.今後の対応

セキュリティ教育を教材にて、即日法人全体で実施し、令和 6 年 1 月に当院全職員にて、個人情報保護委員会研修を受講致しました。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-056】株式会社ビザビ 「備中あんたび２」サイクリングイベント参加者募集における個人情報の漏えいに関するお詫び 2024/1/29

このたび、株式会社ビザビが倉敷市から受託した「備中あんたび２」サイクリングイベント参加者募集において、参加申込者様の個人情報が閲覧できる状態になっていたことが判明いたしました。

参加申込者様をはじめ、関係者の皆様に多大なご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。

現時点では本件による、当該個人情報の不正利用等の被害は報告されておりません。

弊社といたしましては、このような事態を招いたことを重く受け止め、再発防止の対策を講じてまいります。

お申込者様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年1月19日、受託事業における専用の申込フォームを開設し、事業の参加申込を開始。

2024年1月22日、事業委託者より、株先会社ビザビに対し、外部から個人情報が閲覧可能になっているとの情報提供があったため、申込フォームの受付を至急停止するよう要請があり、速やかに、申込フォームの停止、削除を行い、その後は閲覧可能状態を是正した。

また、直ちに、32名のお申込者様へ電子メールとお電話にて謝罪と経緯の説明を行った。

2.対象の個人情報

お申込者様の氏名・住所・電話番号：32件

3.お申込者様への対応

個人情報が閲覧された可能性があるお申込者様には、電子メールとお電話にて、謝罪と経緯の説明を行いました。

4.再発防止に向けた対策

弊社ではこのたびの事態を厳粛に受け止め、全従業員を対象に、個人情報保護及び情報セキュリティ教育を徹底し、より一層の情報セキュリティ強化に取り組んでまいります。

改めて、お申込者様に多大なご迷惑とご心配をお掛けいたしましたこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

ランサムウェアギャングが発表した被害組織リスト（2024年1月～2月）BY StealthMole

 

StealthMole（旧Dark Tracer）による、2024年1月～2月のランサムウェア被害を受けた日系企業のリスト。

shinwajpn.co.jp

• 組織名：進和外語アカデミー
• ランサムウエアギャング：LockBit

agc.com

• 組織名：AGC株式会社
• ランサムウエアギャング：Black Basta
• 関連事件簿：【セキュリティ事件簿#2023-485】ＡＧＣ株式会社　当社米国子会社への不正アクセスに伴うシステム障害について

soken-ce.co.jp

• 組織名：綜研化学株式会社
• ランサムウエアギャング：LockBit
• 関連事件簿：【セキュリティ事件簿#2024-001】綜研化学株式会社　ランサムウェア被害の発生について

【セキュリティ事件簿#2024-055】株式会社ラック オンライン受講システムでの個人情報漏えいの報告とお詫び 2024/2/21

当社ラックセキュリティアカデミーのオンライン受講システムにおいて、コース申し込みをいただいた方1名への情報閲覧の権限設定の際に作業ミスがありました。その結果、2024年1月10日～1月15日の間、1名の方が、過去に他のコースを受講した19名の方々のお名前、メールアドレス、受講履歴などの個人情報を閲覧できる状態になっていました。

通報を受けた後、直ちに原因と影響範囲の調査、および設定ミスの修正を実施し、ご迷惑をおかけした皆様（合計20名）への連絡と謝罪をおこないました。さらに、オンライン受講システム上のすべての登録データを調査し、同様の問題が無いこと、通報いただいた1名の方以外に受講者情報が漏えいしていないことを確認し、一連の経緯を関係機関へ報告しました。

あらためて今回の設定ミスによりご迷惑をおかけした皆様へお詫びするとともに、今後このような事故が再び発生しないよう、業務運用手順と管理体制の継続的な改善に取り組んでまいります。

リリース文（アーカイブ）

PontaポイントからJALのマイル交換で20％のレートアップキャンペーン（2024年3月1日～3月31日）

 

キャンペーン期間

2024年3月1日（金）～3月31日（日）

※2024年3月31日（日）午後11時59分までにマイルへの交換申込完了が必須

キャンペーン詳細

期間中、Pontaポイントからマイルへの交換を申し込むと、通常の交換マイル＋20%分ボーナスマイルをプレゼント

例：100Pontaポイント交換した場合、通常50マイルのところ、さらにボーナスマイル10マイルをプレゼント。（合計60マイル）

※1マイル未満の端数は切り捨て。

対象者

JMB×Ponta会員または、JMBローソンPontaカードVisaを持っている人

ボーナスマイル積算時期

2024年4月末頃予定

※通常マイルと別に積算

コメント

ポイントは貯めるだけではなく、使っていくことにも慣れることが重要。

Pontaはポイント数の変動があれば有効期限が伸びていくが使い方を忘れると大変なので、保有ポイントの10%をJALに移行することにする。

【セキュリティ事件簿#2024-054】個人情報保護委員会 株式会社四谷大塚に対する 個人情報の保護に関する法律に基づく行政上の対応について 2024/2/29

 

個人情報保護委員会（以下「当委員会」という。）は、令和６年２月 29 日、株式会社四谷大塚（以下「四谷大塚」という。）における個人情報等の取扱いについて、個人情報の保護に関する法律（平成 15 年法律第 57 号。以下「法」という。）第 147 条の規定による指導等を行った。

１．事案の概要

本件は、中学受験のための学習塾を運営する四谷大塚において、令和４年４月～令和５年８月まで勤務していたＸが、在職中に、Ａ校舎に通う小学生児童（以下「在校児童」という。）の写真及び動画とともに、四谷大塚が管理する在校児童の個人データを検索して閲覧し、Ｘの私用スマートフォンに入力して記録し、６人分の個人データ（氏名、年齢、生年月日、住所、所属小学校名及び電話番号、以下「本件個人データ」という。）をＸの SNSアカウントに掲載して漏えいさせた事案である（以下「本件漏えい事案」という。）。

２．事実関係

(1) 事案発覚の経緯

四谷大塚は、令和５年８月 10 日、メディア関係者から、Ｘが、在校児童の写真等を、氏名などの個人情報とともに SNS に掲載しているとの情報提供を受けた。そのため、同日、Ｘから事情を聴取したところ、個人情報の掲載等の事実を認めたことから、在校児童の個人データを管理する業務システム（以下「本件システム」という。）について、Ｘのアクセス権を停止するとともに警察に通報した。

(2) Ｘによる在校児童の個人データ持ち出しの態様

四谷大塚によれば、Ｘは、令和４年４月に採用され、Ａ校舎に所属し、理科、算数及び国語の授業を担当していたところ、解雇された令和５年８月頃までに、自身に業務上付与された ID 及びパスワードで本件システムにログインし、在校児童の個人データを検索し閲覧した。そして、Ｘは、自身のスマートフォンに、個人データを打ち込んで記録し、６人分の本件個人データを SNS アカウントに送信して投稿した。

(3) 当委員会に対する漏えい等報告の提出の状況

四谷大塚は、当委員会に対し、法第 26 条第１項の規定に基づき、令和５年 10 月６日付けで漏えい等報告書（速報）を提出し、同月 13 日付けで漏えい等報告書（確報）を提出した（個人情報の保護に関する法律施行規則（平成 28 年個人情報保護委員会規則第３号。以下「規則」という。）第７条第３号「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」についての報告）。

３．法律上の問題点－安全管理措置（法第 23 条）の不備

法第 23 条において、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならないとされている。また、個人情報の保護に関する法律についてのガイドライン（通則編）（以下「ガイドライン」という。）「10（別添）講ずべき安全管理措置の内容」に、「安全管理措置を講ずるための具体的な手法については、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものである」と記載されているように、個人情報取扱事業者は、当然その事業内容によって、取り扱う個人データの量や種類も異なるものであるから、それに応じた安全管理措置が求められている。

四谷大塚は、小学生を対象とした中学受験のための学習塾であるところ、全校で約 8,700人（令和６年１月１日現在）の児童が在校し、大量のこどもの個人情報を取得し、管理・利用している企業であり、また、生徒の氏名、生年月日、住所、小学校名及び成績等、管理する個人データの項目も多い。

こどもの個人データについては、こどもの「安全」を守る等の観点から、特に取扱いに注意が必要であり、組織的、人的、物理的及び技術的という多角的な観点からリスクを検討し、必要かつ適切な安全管理措置を講ずる必要がある。

本件で、四谷大塚における個人データの取扱いに関する安全管理措置には、以下のとおり組織的安全管理措置に問題点が認められた。

(1) 組織体制の整備及び漏えい等事案に対応する体制の整備が不十分であったこと

ガイドラインにおいて、個人情報取扱事業者は、安全管理措置を講ずるための組織体制を整備しなければならず（10-3(1)組織体制の整備）、また、漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備しなければならないとされている（10-3(4)漏えい等事案に対応する体制の整備）。

しかしながら、四谷大塚では、大量の児童の個人データを保有及び管理しているにもかかわらず、人的なリソース不足を理由にコンプライアンス及びリスク管理に関する部署を設置しておらず、また、責任者の設置はしていたものの、漏えい等事案が発生した場合に当委員会に報告するための体制が機能していなかった。そのため、令和５年８月10 日に本件漏えい事態が発覚してから約２か月後の、同年 10 月６日に速報、同月 13 日に確報を提出したものである。

ガイドラインにおいて、速報の提出期限である「速やか」の目安については、個別の事案によるものの、個人情報取扱事業者が当該事態を知った時点から概ね３～５日以内とされている（3-5-3-3 速報（規則第８条第１項関係））。また、確報の提出期限については、規則第８条第２項において「当該事態を知った日から 30 日以内（当該事態が前条第３号に定めるものである場合にあっては、60 日以内）」とされている。しかし、四谷大塚が速報を提出したのは、本件事態の発覚日から 58 日目であり、確報を提出したのは 65日目であることから、組織体制の整備及び漏えい等事案に対応する体制整備に不備があったものと認められる。

(2) 取扱状況の把握及び安全管理措置の見直しが不十分であったこと

ガイドラインにおいて、個人情報取扱事業者は、個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組まなければならないとされている（10-3(5)取扱状況の把握及び安全管理措置の見直し）。

四谷大塚によれば、責任者である塾長（会社全体を統括する者）が定期的に内部監査を実施していたとのことであるが、監査の項目は、研修の実施状況を確認するにとどまるものであり、個人データの取扱状況については確認していなかった。

したがって、四谷大塚においては、個人データの取扱状況の把握及び安全管理措置の見直しに不備があったものと認められる。

(3) 小括

このように四谷大塚においては、組織的安全管理措置（組織体制の整備、漏えい等事案に対応する体制の整備、並びに取扱状況の把握及び安全管理措置の見直し）に不備が認められた。四谷大塚においては、本件漏えい事案を重く受け止め、こどもの個人データを取り扱う事業者として、今回の指導事項を含め、個人データの安全管理措置の実施について、より一層留意するべきである。

４．指導等の内容

(1) 法第 147 条の規定による指導

• 個人データの安全管理措置を講ずるための組織体制を整備すること。
• 漏えい等事案の発生又は兆候を把握した場合に、個人情報保護委員会に対し適切かつ迅速に対応するための体制を整備し、法の改正などに応じて適宜見直すこと。
• 個人データの取扱状況を確認するために、定期的に監査を実施すること。
• 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し（必要に応じて見直すことを含む。）、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。また、その遵守状況の確認を定期的に実施すること。

(2) 法第 146 条第１項の規定による報告等の求め

• 指導に係る改善措置の実施状況について令和６年５月 31 日（金）までに関係資料を添付の上、報告するよう求める。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-327】個人情報保護委員会 長野県教育委員会に対する 個人情報の保護に関する法律に基づく行政上の対応について 2024/2/21

個人情報保護委員会（以下「当委員会」という。）は、令和６年２月 21 日、長野県教育委員会における個人情報等の取扱いについて、長野県教育委員会に対し、個人情報の保護に関する法律（平成 15 年法律第 57 号。以下「法」という。）第 157 条の規定による指導等を行った。

１．事案の概要

本件は、長野県教育委員会が所管する２つの高等学校の教諭２名（各高等学校それぞれ１名）がサポート詐欺1に遭い、当該サポート詐欺を図った攻撃者からの誘導に従い、校務用端末である PC（以下「校務用端末」という。）に遠隔操作ソフトを無断でインストールした結果、当該高等学校の生徒及び教職員に関する保有個人情報の漏えいのおそれが発生した事案である。

２．漏えいしたおそれのある保有個人情報とその本人数

本件により漏えいしたおそれのある保有個人情報は、生徒の氏名、生年月日、住所、成績、生徒指導に関する資料及び進路指導に関する資料等並びに教職員の氏名等であり、本人数は 14,231 人である。

３．法律上の問題点

法第 66 条第１項は、「行政機関の長等は、保有個人情報の漏えい、滅失又は毀損の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。

この点に関し、長野県教育委員会では、個人情報等の取扱いについて、以下の問題点が認められた。

(1) 外部からの不正アクセスの防止の不徹底（技術的安全管理措置の不備）

本件各高等学校では、校務用端末についてインストールを制御する機能が備わっていたにもかかわらず、その設定を怠っていたことから、教職員なら誰でもインターネット上からソフトウェアのインストールをすることが可能な状況であった。

(2) 漏えい等の安全管理上の問題への不十分な対応（組織的安全管理措置の不備）

長野県教育委員会から当委員会に漏えい等報告（確報）が提出されたのは当該事案の発覚後 82 日目であり、当委員会への漏えい等報告（確報）が規定された期間内に行われなかったことから、法第 68 条第１項の規定に則った適正な取扱いがなされておらず、保有個人情報の漏えい等の安全管理上の問題への対応が不十分であった。

４．指導等の内容

(1) 法第 66 条第１項、個人情報の保護に関する法律についてのガイドライン（行政機関等編）及び個人情報の保護に関する法律についての事務対応ガイド（行政機関等向け）に基づき、必要かつ適切な措置を講ずること。

(2) 策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に保有個人情報の漏えい等の防止その他の保有個人情報の安全管理のために必要かつ適切な措置を講ずること。

(3) 今後、法第 68 条第１項の規定による報告を要する事態が生じた場合には、規定された期間内に所定の事項を報告すること。また、そのような報告が可能となるよう、漏えい等事案に対応する体制の整備を行うこと。

(4) 再発防止策の実施状況について、関係資料を提出の上、令和６年３月 29 日（金）までに説明するよう求める。

リリース文（アーカイブ）

PDFidをつかってpdfファイルを解析する

 

潜む悪意を見逃すな！PDFファイルを素早く安全にスキャンするツール

PDFファイルは便利ですが、悪意のあるコードが埋め込まれている可能性もあり、セキュリティ上のリスクとなります。そこで今回は、PDFiDというツールをご紹介します。

PDFiDは、PDFファイル内の特定のキーワードをスキャンし、潜在的な脅威を素早く検出するツールです。 JavaScriptを含むPDFや、開いたときにアクションを実行するPDFなど、危険なファイルを見つけ出すことができます。

PDFiDの特長

• 軽量でシンプルな設計
• 高速なスキャン
• 難読化されたファイル名にも対応
• 疑わしいファイルのみを詳細な解析に送ることで、時間を節約

使い方

• aptコマンドでインストールします。
  
  sudo apt install pdfid
  
  
• 使い方

root@kali:~# pdfid -h
Usage: pdfid [options] [pdf-file|zip-file|url|@file] ...
Tool to test a PDF file

Arguments:
pdf-file and zip-file can be a single file, several files, and/or @file
@file: run PDFiD on each file listed in the text file specified
wildcards are supported

Source code put in the public domain by Didier Stevens, no Copyright
Use at your own risk
https://DidierStevens.com

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -s, --scan            scan the given directory
  -a, --all             display all the names
  -e, --extra           display extra data, like dates
  -f, --force           force the scan of the file, even without proper %PDF
                        header
  -d, --disarm          disable JavaScript and auto launch
  -p PLUGINS, --plugins=PLUGINS
                        plugins to load (separate plugins with a comma , ;
                        @file supported)
  -c, --csv             output csv data when using plugins
  -m MINIMUMSCORE, --minimumscore=MINIMUMSCORE
                        minimum score for plugin results output
  -v, --verbose         verbose (will also raise catched exceptions)
  -S SELECT, --select=SELECT
                        selection expression
  -n, --nozero          supress output for counts equal to zero
  -o OUTPUT, --output=OUTPUT
                        output to log file
  --pluginoptions=PLUGINOPTIONS
                        options for the plugin
  -l, --literalfilenames
                        take filenames literally, no wildcard matching
  --recursedir          Recurse directories (wildcards and here files (@...)
                        allowed)

• 実行例

root@kali:~# pdfid /usr/share/doc/texmf/fonts/lm/lm-info.pdf
PDFiD 0.0.12 /usr/share/doc/texmf/fonts/lm/lm-info.pdf
 PDF Header: %PDF-1.4
 obj                  526
 endobj               526
 stream               151
 endstream            151
 xref                   1
 trailer                1
 startxref              1
 /Page                 26
 /Encrypt               0
 /ObjStm                0
 /JS                    0
 /JavaScript            0
 /AA                    0
 /OpenAction            0
 /AcroForm              0
 /JBIG2Decode           0
 /RichMedia             0
 /Launch                0
 /EmbeddedFile          0
 /Colors > 2^24         0

PDFiDとpdf-parser.pyの使い分け

PDFiDは、PDFファイルの迅速なトリアージに最適です。疑わしいファイルが見つかった場合は、pdf-parser.pyなどの詳細な解析ツールを使ってさらに詳しく調べることをおすすめします。

PDFiDは、セキュリティ意識の高いすべてのユーザーにおすすめのツールです。 ぜひダウンロードして、あなたの大切なデータを悪意のある攻撃から守ってください。

参考①：MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 -

参考②：pdfid | Kali Linux Tools