【セキュリティ事件簿#2024-103】株式会社アジャイルウェア 個人情報流出に関するお詫びとご報告 2024/3/7

この度、弊社お問い合わせページにおいて、一部のお客様の個人情報が他者から閲覧できる状態になっていたことが判明いたしました。

現在は原因の調査・対策は完了しております。

お客様の大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫び申し上げるとともに再発防止に努めさせていただく所存です。

1.経緯

2021年9月28日（火）、Lychee Redmine Webサイトの表示速度改善のため、Webページのキャッシュ保持対策を行いました。それ以降、一部のお客様の情報について、他者から閲覧できる状態になっていたことが、2024年2月27日（火）にお客様からの問い合わせで発覚しました。

発覚後、お問い合わせフォームを閉鎖し、原因究明と経緯や対象範囲の確認を行いました。

現在は問題は解消されており、通常通りご利用いただけます。

時系列

2024-02-27

15:48 お客様から問い合わせ（「お問い合わせページを利用した際、他の人の情報が表示される」）

15:49 調査開始

16:00 原因究明、対策までの間、問い合わせフォームを一時的に閉鎖（問い合わせページを非公開にした）

16:32 原因判明後、ページキャッシュのクリア及び、該当ページでのキャッシュを無効化する

2. お客様の情報が第三者に表示されるケース

Lychee Redmine Webサイト上の対象ページにおいて、

お客様がフォームに入力後[送信する]ボタンを押した際に、

必須項目が未入力だったなどの入力エラーが発生した場合で、

且つ、入力エラー発生時点から30分以内に同ページに第三者がアクセスした場合。

対象ページ

オンプレミス30日無料トライアルお申し込み

 https://lychee-redmine.jp/onpre-enter_application/

アップグレードお申し込みフォーム

 https://lychee-redmine.jp/upgrade/

フリープラン グレードアップキャンペーン（現在はページ閉鎖）

 https://lychee-redmine.jp/free-campaign/

お問い合わせ

 https://lychee-redmine.jp/contact/

訪問デモ・説明依頼（現在はページ閉鎖）

 https://lychee-redmine.jp/demo/

3. 閲覧された可能性のある情報

・氏名

・メールアドレス

・会社名

・所属部署

・役職

・電話番号

・お問い合わせ内容

4. 入力された情報を他者に閲覧された可能性のあるお客様

2021年9月28日(火）〜 2024年2月27日（火）に対象ページから問い合わせ内容を入力したお客様 : 1,208人

※期間中に問い合わせいただいたお客様の人数を集計

5. 今後の対応について

個人情報を閲覧された可能性のあるお客様には、弊社より、メールにて個別にご連絡いたします。

現在、影響範囲の特定および再発防止策に関して検討中のため、詳しい内容につきましては、改めてご報告いたします。

今回、このような事態を発生させてしまいましたこと、お客様に多大なご迷惑とご心配をおかけしましたこと、重ねてお詫び申し上げます。

【2024/3/15　追記】

この度は、お客さまをはじめ多くの関係者の皆様に多大なるご迷惑とご心配をおかけいたしましたことを、深くお詫び申し上げます。

調査の結果、新たに判明した事項につきまして、下記の通りご報告いたします。

なお、本件はID・パスワードの漏洩、不正アクセス等により発生したものではなく、悪質な情報漏洩、データ改竄は確認されておりません。

Lychee Redmine 製品WEBサイト内のフォームのみ対象となり、弊社がお客様にご提供しているLycheeクラウドや、LycheeRedmineをご利用中のお客様専用お問い合わせシステムは対象外です。

調査の結果、WEBサイトの該当フォームにて情報が閲覧できる状態になっていた可能性のあるお客様は1,210人でした。

※期間中に問い合わせいただいたお客様の人数を集計した件数になります。

このうち、お客様情報が第三者に表示されるケースは、お客様がフォームに入力後、送信ボタンを押した際に、必須項目が未入力だったなどの入力エラーが発生した場合で、且つ、入力エラー発生時点から30分以内に同ページに第三者がアクセスした場合のみとなります。

入力された情報を他者に閲覧された可能性のあるお客様には、近日中に個別にご連絡させていただきます。

再発防止策といたしまして、お客様情報を入力するフォームを設置しているページはすべてキャッシュを無効化する設定を実施致しました。加えて、よりセキュリティレベルの高い代替サービスの利用やWeb アプリケーション診断等の外部機関による評価の実施も検討してまいります。

改めまして、多くのお客さまに多大なるご迷惑とご心配をおかけしたことをお詫び申し上げるとともに、お客さまのご不安の解消と今後の再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-102】愛知陸運株式会社 当社サーバーへの不正アクセスに関するお知らせ 2024/3/8

この度、弊社内の一部のサーバーがウイルス (ランサムウェア)感染していることが判明し、社内調査を実施したところ、第三者からの外部攻撃を受けサーバー内のデータが暗号化されている事が判明致しました。個人情報の流出や不正利用は、現在確認されておりません。

お客様をはじめ関係者の皆様に多大なご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

弊社では、今後、更なるセキュリティ強化を図り、再発防止に努めてまいります。

１. 経緯

2024年2月19日社内サーバーへアクセス出来ない事象が発生。社内調査により、当日未明、サーバーに対してウィルス（ランサムウェア）による外部攻撃を確認。

個人情報保護委員会に報告。

豊田警察署・愛知県警 警備総務課サイバー攻撃対策隊に通報。

２. 関係者様の皆様へ

３月8日現在、情報の流出ならびに個人情報（氏名、年齢、住所、電話番号等）の不正利用などの報告は受けておりませんが、当該情報の不正利用や漏洩情報を利用した関係者様へのなりすましメール等のサイバー攻撃も想定されます。

不審な電話や電子メール等を受けた場合には、ご注意頂きますようお願い申し上げます。

3. 今後の対応

現在、関係各所と連携して対応をしております。

今後、早期の原因究明を行い、再発防止に努めてまいります。

リリース文（アーカイブ）

【搭乗記】日本航空JL646 鹿児島空港（KOJ）⇒羽田空港（HND）

 

用事が済んだので東京に帰る。

鹿児島は食が豊かでいい感じだった。

取り合えず黒豚のしゃぶしゃぶとトンカツを堪能することができた。

ガイドブックに載っているような店は平日でも予約なしで突撃すると満席で突き返される。

でもGoogle mapで検索すると候補はたくさん出てくる。

おひとり様用黒豚しゃぶしゃぶ＆とんかつセット@六白

空港移動

今回はドーミーイン鹿児島に泊まった。

個人的にはルートインを使うことが多いのだが、鹿児島の手ごろな場所にルートインが無く、大浴場付きホテルを探した宿泊。

ドーミーインはルートインより高いのだが、高い分良かった。

まず、大浴場が露天風呂付。

そして夜は風呂上がりにアイスのサービスがあり、朝は乳酸菌ドリンクのサービスがある。

更に夜には夜泣きそばが宿泊客に振舞われる。

貧乏根性丸出しで丸々太ってしまった。

ドーミーインは良い意味で、「人をダメにするホテル」だった。

話がそれたが、空港行のバスはホテルから徒歩5分の場所にあった。

肝心なキャッシュレス対応状況だが、まず交通系ICカードは非対応。

どうも、南国交通が運航する便に限ってクレカのキャッシュレスに対応しているらしい。

有難いことにちょうど乗ろうとしていたバスが南国交通運航便だった。

ちょうど1枚キャッシュレス対応のクレカがあるので、早速活用して鹿児島空港に向かう。

バスは途中鹿児島中央駅にだけ寄り、以降空港までノンストップ。

鹿児島中央駅までは乗車率2割程度だったが、鹿児島中央駅でたくさん乗ってきて、最終的に8割くらいの乗車率だったと思う。

ちなみにキャッシュレスの比率は3割くらいな感じ。

ちなみに鹿児島空港とは言うものの、空港自体は霧島市にあり、鹿児島市内からはなんだかんだで1時間弱はかかる感じ。

程なくしてバスは鹿児島空港に到着。

今回は空港についたらやっておかなければならないミッションがある。

それは、この時期限定の、JAL Wellness & Travelのチェックインスポット対応。

チェックインして50マイルゲットです。

チェックイン繋がりで、今回は（いまさらという気もするが）スマホのJALアプリでモバイルチェックインに挑戦してみた。

手荷物検査場やサクララウンジへの入場は問題なかったのだが、搭乗直前になってJALアプリ上から搭乗機の予約情報が消える珍事が発生。

QRコードをメールに送信しておいたため、何とか搭乗できたが、初のモバイルアプリ利用でトラウマになってしまった。

手荷物検査を終えてサクララウンジ入場。

松山のサクララウンジにはポンジュースが置かれていたが、ここ鹿児島のサクララウンジには焼酎が置かれていた。

地域の特産品を置いてくれる気遣い、好きです。

この日は到着機材遅れのため、15分ほど遅延。しかも羽田空港強風のため、大阪にダイバードする可能性もあるとのことだった。

搭乗時間が迫り、ゲートに移動。

隣のゲートは喜界島行き。鹿児島は与論島とか、種子島とかの島が多く、鹿児島空港がその起点になっているため、賑やかな印象。

フライト

今回の搭乗機はB737

機内の様子。搭乗率は9割行くか行かないか。

REGISTRATIONはJA622J

JA656Jの直近3日間のフライト実績はこんな感じ。

（太字が今回搭乗したフライト）

20 Mar 2024

Fukuoka (FUK) Tokyo (HND) JL326 18:05 19:45

Tokyo (HND) Fukuoka (FUK) JL323 15:05 17:00

Kagoshima (KOJ) Tokyo (HND) JL646 12:45 14:20　←搭乗便

Tokyo (HND) Kagoshima (KOJ) JL645 10:05 11:55

 Kagoshima (KOJ) Tokyo (HND) JL640 07:40 09:15

19 Mar 2024

 Tokyo (HND) Kagoshima (KOJ) JL655 19:15 21:10

Hiroshima (HIJ) Tokyo (HND) JL262 17:00 18:30

Tokyo (HND) Hiroshima (HIJ) JL263 14:40 16:05

Hiroshima (HIJ) Tokyo (HND) JL256 12:35 13:55

Tokyo (HND) Hiroshima (HIJ) JL257 10:10 11:35

Hiroshima (HIJ) Tokyo (HND) JL252 07:45 09:05

18 Mar 2024

Tokyo (HND) Hiroshima (HIJ) JL267 19:55 21:20

Kagoshima (KOJ) Tokyo (HND) JL650 17:20 19:00

Tokyo (HND) Kagoshima (KOJ) JL649 13:45 15:35

Kagoshima (KOJ) Tokyo (HND) JL644 11:00 12:35

Tokyo (HND) Kagoshima (KOJ) JL643 08:00 09:50

Tokushima (TKS) Tokyo (HND) JL464 20:35 21:50

寝ている間にドリンクサービスは通過してしまい、今回はノードリンクでのフライトとなった。

フライトは大島の横を通過し、

不穏な雲を突っ切って羽田空港へ。

普段機内で無く子供にイラッっとする私ですが、今日だけは同情できるくらい揺れました。

「懲りずにまた飛行機に乗ってね」って心の中で機内の子供たちにエールを送ります。

そして無事羽田着陸。

大阪にダイバードされなくてよかったです。ちなみにダイバードされていたら人生初の経験でした。

ちなみに人生初のモバイルアプリチェックインは大失敗でした。怖いので当面トラディショナルな方法でチェックインしたいと思います。

羽田着陸後のミッション

羽田についたら、まずはモノレールで浜松町駅に向かいます。

着いたら改札を出てマイルをゲットします。

今回も無事積算されました。

【Playback of flight JL646 on 20th MAR 2024】

【セキュリティ事件簿#2024-099】JRA 海外の駐在員事務所における個人情報等の漏えい 2024/3/15

この度、海外の駐在員事務所に勤務する職員1名が外部からのフィッシングメールによる被害を受け、同職員が使用するメールボックスの内容が不正にアクセスされたことにより個人情報等が漏えいした事案が発生いたしました。

この不正アクセスは、同職員が利用している現地のプロバイダーのメールボックスの内容に限定されたものであり、日本国内でJRAが管理・保有するお客様情報等については、一切漏えいはございません。

JRAでは、本件に起因する二次被害が発生することのないよう、既に個人情報等が漏えいした可能性のある方々に必要な対応を実施しており、これまでのところ、二次被害の発生は確認しておりませんが、情報セキュリティにおける重大なインシデントであると認識し、事案の公表を行うことといたしました。

今後につきましては、海外の駐在員事務所におけるインターネット環境のセキュリティ対策を強化するとともに、全職員に対して情報セキュリティ研修をより一層徹底することにより、再発防止に努めてまいります。

この度は、関係各位に多大なるご迷惑とご心配をお掛けしましたこと深くお詫び申し上げます。

漏えいしたと推察される個人情報等

海外の駐在員事務所に勤務する職員1名が使用するメールボックスに保存されていたJRA職員・競馬関係者等のメールアドレス（約500件）とメールに含まれる内容

リリース文（アーカイブ）

【セキュリティ事件簿#2024-098】株式会社Philo お客様の情報の漏洩可能性に関するお詫びとお知らせ 2024/3/7

弊社（株式会社Philo（旧社名：株式会社RIDENOW））は、カーシェアサービス「RIDENOW」（以下「弊社サービス」といいます。）を運営しておりましたが、この度、弊社システムへの不正アクセスにより、弊社サービスをご利用いただいていたお客様に関するデータが削除され、また、漏洩した可能性があることが判明いたしました。お客様には大変なご心配、ご迷惑をおかけすることとなり、心よりお詫び申し上げます。

漏洩の可能性があるのは、以下の各データの情報（合計約1700名分）でございます。なお、クレジットカードに関する情報は弊社システム内には保持しておりませんので、今回の不正アクセスによる漏洩の可能性はございません。

お客様の運転免許証及び車検証の画像

お客様の車両画像・車両キズ等の画像

お客様のプロフィール画像

お客様がトークルームにアップロードされた画像

お客様の操作等に関するログ情報

調査の結果、現時点で確認されているのは、お客様の個人情報が弊社システムから削除されたことのみであり、これが外部に漏洩した事実は確認されておりませんが、その可能性も完全には否定できない状況となっております。

データが漏洩した可能性のあるお客様には、順次、ご登録いただいているメールアドレスまたはご住所宛に、メールまたは文書を送付させていただき、お詫びと共に内容のご報告をさせていただいております。

また、弊社では、本件について、お客様からのご質問やご不安などにお答えするためのお問合せ窓口を設置いたしました。現状弊社にて把握している詳細とあわせてお知らせをさせていただきます。

＜経緯と対応＞

2024年2月2日、弊社サービスのデータ保管サーバー（Amazon Web Services S3。以下「AWS」といいます。）に対して、不正に侵入がなされている事実を確認いたしました。調査の結果、弊社サービスのリリース時から2024年2月2日までの間、単体利用可能なアクセスキーを利用することで、上記サーバーに保管されている情報にアクセスできる状態であったことが判明いたしました。

同日、直ちに上記サーバーのアクセスキーの変更を行った上、継続的に不正アクセスのモニタリング等の対応を実施しており、現時点で二次被害等は確認されておりません。

＜漏洩可能性が発生した原因＞

弊社は、2019年7月に弊社サービスのシステム開発を別会社から引き継ぎ、その後、弊社内で開発を行い弊社サービスをリリースしましたが、その際、当該別会社が発行した単体利用可能なアクセスキーを無効化または消去すべきところ、2024年2月2日まで、適切に処理されておりませんでした。

弊社として、お客様の個人情報を適正に取り扱うことは、企業の重要な社会的責務であることを改めて認識し、今後、お客様の個人情報の管理の徹底、セキュリティ機能の強化に向け、より一層尽力してまいります。

＜お客様へのお願い＞

現時点で本件に関わる個人情報の漏洩や不正利用等は確認されておりませんが、万が一お心当たりのない連絡等があった場合には、念のためご注意をお願いいたします。

なお、運転免許証の画像データが漏洩した可能性も否定はできない状況ではございますが、弊社としては、運転免許証の画像データだけで、本人確認手続を行い、例えば銀行口座を開設するといった悪用をすることは難しいものと考えております。

この度は、お客様に大変なご心配、ご迷惑をおかけしましたこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-097】山口県 やまぐちサッカー交流広場における個人情報漏えいの可能性の ある事案の発生について 2024/3/5

 

内 容

やまぐちサッカー交流広場 (山口市徳地船路 8 9 0番地、指定管理者 特定非営利活動法人八坂地区ひびむらづくり協議会) の職員が、施設のパソコン端末でインターネットを閲覧中、画面に称告が表示されたため、表示された連絡先に電話し、電話先の人物の指示に従いパソコンを操作したところ、画面が黒くなり端末が使用できなくなった。

その後、当該端末についてはネットワークから隅離したが、その間に施設のサーバーに不正アクセスされ、個人情報が漏えいした可能性があるもの。

関係する皆様には、大変ご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

事件発生日時

令和6年3月2日 (土) 2 0時頃

漏えいした可能性がある個人情報

指定管理者が主催した自主事業参加者名簿

(1 2 0 人の氏名、住所、年齢、生年月日、電話番号)

事件発生後の対応等

• 泌えいの可能性があった対象者に対し、指定管理者から電話又はメールにて事条発生についてのお知らせとお詫びを行っている。
• 不正アクセスによる個人情報の漏えいの可能性については、引き続き調査を行っている。
• 現在のところ、二次被害は確認されていない。

再発防止策

市が所管する指定管理者に対し、 情報セキュリティ及び情報機器の適切な取扱いについて改めて周知徹底を行う。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-096】株式会社オートバックスセブン JEGT公式XおよびYouTubeアカウント乗っ取り被害について 2024/3/1

 

このたび、当社が主催するeモータースポーツ「AUTOBACS JEGT GRAND PRIX」（以下、JEGT）を運営委託しているNGM株式会社（以下、NGM）が使用・管理するGoogleアカウントが何者かに不正アクセスされ、JEGT公式X（旧Twitter）およびYouTubeの乗っ取り被害が判明しました。

現在、二次被害は確認されておりませんが、万が一JEGTや当社を装ったダイレクトメッセージなどが届いた場合はお取扱いにご注意いただきますよう、お願いいたします。

現在、鋭意調査を続けておりますが、現時点で判明している事実およびNGMと弊社の対応につきまして、以下のとおりご報告いたします。

関係者の皆さまに多大なるご迷惑とご心配をお掛けすることとなり、深くお詫びいたします。

１．概要（2024年3月1日18時現在）

JEGT公式Xアカウント：

JEGTや当社とは無関係の投稿およびリポストをされてしまっている状態。なお、2024年2月25日以降のリポスト等を含むアカウントの操作は第三者によるものであり(※)、当社によるものではございません。リンク先へのアクセスやダイレクトメールへの反応等は行わないよう、ご注意ください。

JEGT公式YouTubeアカウント：

アカウント名、プロフィール写真、YouTubeチャンネルバナーが変更されている状態。また、JEGT公式動画が一部非公開および削除されています。

（※）2024年2月25日午後5時35分の「新着記事情報」という投稿は、乗っ取り被害を受ける前に設定した予約投稿です

２．現在の対応

現在、警察への相談、個人情報等情報漏えいの可能性を含む被害状況の確認、原因の調査、アカウント凍結・復旧に向けた対処を進めております。引き続き調査を進め、お知らせすべき内容が判明した場合は、速やかにお知らせいたします。

３．今後の対策と再発防止

当社では今回の事態を重く受け止め、外部専門機関の協力も得て原因究明を進めるとともに、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-096】NGM株式会社 弊社Googleアカウントの乗っ取り被害に関するご報告とお詫び 2024/3/4

 

このたび、弊社が管理・運用しておりますGoogleアカウントへの不正アクセスのため、弊社による当該アカウントの一切の操作が不能な状態となっておりますことをご報告申し上げます。

また本事案により、弊社がこれまでに主催、または顧客の皆様から委託等を受けて企画・運営しておりました各種大会・イベント等に関連するSNS等についても乗っ取られる被害が判明しております。

現在、二次被害は確認されておりませんが、万が一弊社や弊社の関係者を装ったダイレクトメッセージなどが届いた場合については、お取扱いにご注意いただきますようお願い申し上げます。

本事案における被害の内容や詳細な経緯等については鋭意調査を続けておりますが、現時点で判明している事実および弊社の対応につきまして、下記のとおりご報告いたします。

関係者の皆さまに多大なるご迷惑とご心配をお掛けすることとなり、深くお詫びいたします。

１．本事案の概要

弊社が管理・運用するGoogleアカウントについて、不明の第三者の不正アクセスによるログイン情報等の書き換えが行われていることが判明いたしました。

これにより、当該アカウントを通じたGoogle社提供の各サービス、当該アカウントをIDとするSNS等へのログイン及び一切の操作ができない状態となっております。

２．本事案により現在確認されている被害状況等

①　当該アカウントによるGoogle社の各サービスの利用・操作等が一切不能であるため、アカウント内の情報等について確認できない状況

②　Xアカウント「AUTOBACS JEGT GRAND PRIX（@Jegt_GP）」の乗っ取り被害

③　YouTubeチャンネル「JEGT GP Official（@jegtgpofficial3702）」の乗っ取り被害

３．現在の対応

現在、二次被害の防止を最優先に、警察への相談、個人情報等情報漏えいの可能性を含む被害状況の確認、原因の調査、アカウント凍結・復旧に向けた対処を進めております。引き続き調査を進め、お知らせすべき内容が判明した場合は、速やかにお知らせいたします。

４．今後の対策と再発防止

弊社では今回の事態を重く受け止め、外部専門機関の協力も得て原因究明を進めるとともに、弊社における各種情報管理体制やセキュリティシステム等を強化し、再発防止に努めてまいります。

リリース文（アーカイブ）