【セキュリティ事件簿#2024-118】日本ボディビル・フィットネス連盟 個人情報の漏出に関するお詫びとお知らせ 2024/3/29


益社団法人日本ボディビル・フィットネス連盟(以下、「JBBF」といいます。)が運用する会員管理システム(開発・保守:株式会社インターナショナルスポーツマーケティング 以下、「ISM」といいます。)において、個人情報の漏出が発生いたしました。

関係者の方々にご迷惑をお掛けしたことを深くお詫び申し上げます。

1.経緯

(1)3 月 22 日(金)

13 時に ISM において修正した会員管理システムのアップデート版をリリースしたところ、21 時頃、一部の会員から、請求メールの URL から決済システムを利用しようとすると会員情報の一部が閲覧可能な状態になるとの情報をメールで入手しました。

(2)3 月 23 日(土)

① 8 時には、JBBF において上記の手順を行うと会員情報が閲覧可能であることを確認し、直ちに ISM の担当者へシステムの遮断と調査を要請しました。

② 10 時にシステムが遮断されていることを確認しました。

2.漏出した個人情報

(1)個人情報の項目

 氏名、電話番号、住所

(2)対象となる会員様の件数

 399 件

(3)漏出した個人情報を閲覧できた可能性のある会員

 10名(上記の時間内に請求メールのURLから決済システムに進んだ会員様のみ)

3.原因

ISM の修正したアップデート版におけるシステム設定の不具合が原因であると同社より報告を受けております。

4.対応状況

直ちにシステムを遮断した上、個人情報の閲覧の可能性があった会員 10 名を特定し、個別にご連絡のうえお詫び申し上げ、万一、個人情報を取得されている場合には削除していただくことをお願いし、二次被害の発生を防止しました。また、個人情報が漏出した可能性のある全ての会員様に対しては、事実関係をご説明し、お詫び申し上げました。

5.再発防止のための対応

JBBF では今回の事態を重く受け止め、今後このような事態が発生しないよう、システムの不具合に関するチェック体制の強化を ISM へ強く申し入れるとともに、定期的なシステムのチェックや検証を行わせるなど体制を強化してより厳格かつ適正な個人情報の取り扱いに努めてまいります。

Labels:
Location: 日本、〒111-0053 東京都台東区浅草橋4丁目9−11

【セキュリティ事件簿#2024-117】TMT神津株式会社 当社システムへの不正アクセスについて 2024/3/26

 

このたび、当社システムが、2024年3月18日に外部からの不正アクセスを受けたことが判明しました。

現在、専門組織とともに調査し原因特定や被害情報の確認を行っております。

なお、現時点で、本件に関わる外部への情報流出は確認されておりません。

詳細が判明次第、影響のあった関係各位への報告を行ってまいります。

お客様をはじめ、関係者の皆様にご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

本件が当社業務に与える影響は精査中です。

今後、調査を進める中で開示すべき事項が発生すれば、速やかに開示を行います。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-117】TMTマシナリー株式会社 当社システムへの不正アクセス事案について 2024/3/26

TMTマシナリー株式会社

この度、弊社システムが2024年3月18日に外部からの不正アクセスを受けたことが判明いたしました。

現在、専門機関と連携し、原因究明および被害状況の確認を進めております。 

なお、現時点では、本件に関連して情報が外部に流出した事実はございません。 

詳細が判明次第、関係各位にご報告させていただきます。 

お客様ならびに関係者の皆様に多大なご迷惑をおかけしましたことを深くお詫び申し上げます。 

現在、本件が当社の事業運営に与える影響を精査しております。 

調査中に判明した開示すべき関連情報につきましては、速やかに開示いたします。


TMTマシナリー株式会社


Labels:

【セキュリティ事件簿#2024-117】株式会社CFC デザイン システムへの不正アクセスについて 2024/3/28

株式会社CFC デザイン
このたび、弊社の親会社である TMT マシナリーのシステムが、2024 年 3 月 18 日に外部からの不正アクセスを受けた事が判明しました。

弊社は親会社システムの傘下に置かれていることから、その影響を受けております。

現在、専門組織により原因特定や被害情報の確認が行われておりますが、現時点では本件による外部への情報流出は確認されておりません。

お客様をはじめ、関係の皆様にはご心配およびご迷惑をお掛けする事となり、深くお詫び申し上げます。

尚、かかる状況ではありますが、C/Cコンポジット製品の製造は継続しており、お客様とのお取引については影響を最小とするべく対応中です。

今後開示するべき事柄が発生した場合は、速やかに開示を行って参ります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-116】早稲田スポーツ新聞会 弊会ホームページにおけるウイルス感染に関するお詫びとお知らせ 2024/3/17

 早稲田スポーツ新聞会

平素より早稲田スポーツ新聞会をご愛読いただきまして、誠にありがとうございます。

2023年末より、弊会ホームページがコンピューターウイルスに感染していたことが判明いたしました。

このウイルスにより、以下の被害が発生しております。

・ページ上に広告が貼られる

・特定のページにアクセスできない

・意図せずファイルがダウンロードされる

2月29日以降に、弊会ホームページからファイルをダウンロードされた皆様におかれましては、添付ファイルを開かずに削除していただきますようお願いいたします。

読者の皆様、体育各部の関係者の皆様には多大なご迷惑、ご心配をお掛けしたことを心より深くお詫び申し上げます。

また再発防止のため当サイトを閉鎖しリニューアルすることを決定しました。ホームページの改修に伴い、2024年3月18日(月)より一時閉鎖させていただきたく存じます。

新サイトは、2024年4月上旬に公開予定です。

サイト閉鎖中は以下のブログにて、ホームページと同じ形式で記事の配信を行っていく予定です。

https://ameblo.jp/wasedasportsblog/

当会として今回の事態を重く受け止め、再発防止に努めるとともに、今後より一層の情報セキュリティ対策の強化に努めてまいります。何卒、ご理解とご協力を賜りますようお願い申し上げます。

今後も早稲田スポーツ新聞会をよろしくお願いいたします。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-114】Electronic Arts プロ e スポーツ選手のアカウントがハッキングされる 2024/3/20


現地時間17日日曜日に北部アメリカ地域対象に行われたALGS の大会中、Apex Legendsのプロ選手のアカウントがハッキングを受けました。

プレイヤーとゲームのセキュリティが最優先事項であり、当該競技を延期するとともに、ただちに問題調査および分析を開始いたしました。

当社チームにより、Apex Legendsのプレイヤーコミュニティを守りすべての人にとって安全な体験をお届けするための、階層化された一連のアップデートの中の最初のアップデートが展開されました。

皆様にはご不安を抱かせてしまい恐縮でございますが、
ご理解のほど何卒よろしくお願い申し上げます。

Labels:

【セキュリティ事件簿#2024-040】株式会社日刊工業新聞社 求職情報サイトにおける個人情報流出の可能性について調査結果のご報告 2024/4/2


当社が運営する求職情報ウェブサイト「ホワイトメーカーズ」 (URL:https://kyujinnikkan.com/)がサイト改ざん被害を受け、お客さまの個人情報(氏名・メールアドレス・暗号化されたパスワード)が外部流出した可能性を否定できないことにつきまして、2024年2月9日にお知らせ致しました。(以下、既報)

この度、外部専門機関の協力のもと進めてまいりましたフォレンジック調査が完了致しましたので、調査結果および再発防止に向けた取り組みにつきましてご報告申しあげます。

流出した可能性のあるお客さまをはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

1.調査結果概要

既報のとおり、「ホワイトメーカーズ」において利用しているCMS(コンテンツ・マネジメント・システム)のプラグインの脆弱性を悪用され、侵害を受けた可能性があります。その影響に伴い、遠隔操作を可能とする複数の不審なプログラムが設置され、不正に操作されていたと考えられます。

また、圧縮形式のファイルのダウンロードが確認されたことから、情報漏えいが発生していると考えられます。しかし、ダウンロード対象のファイルにおいて、データの詳細は判明しておりません。ただし、データベースへのアクセスが可能であったことを鑑みると、データベースの内容が漏えいしていた可能性は否定できません。

2.再発防止のための措置

(1)実施済みの措置

①パスワードの変更

データベースへのアクセスが可能であったことから、情報漏えいの可能性があると考えられるため、漏えいした情報が悪用される可能性を考慮し、以下の対策を実施致しました。

 ・管理者パスワードの変更
 ・データベースのパスワード変更
 ・該当サーバへのメンテナンス接続(FTP 等)の際に利用するID におけるパスワード変更
 ・レンタルサーバの管理コンソールへのログインパスワードの変更

②ソフトウェア、プラグインのバージョンアップ

脆弱性の対策を行うため、ソフトウェアやプラグインのバージョンアップを実施致しました。

③WAF(Web Application Firewall)の設定強化

Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するため、WAFの設定を強化しました。

(2)今後実施予定の措置

①脆弱性診断の定期的な実施

脆弱性対策を行うため、第三者による脆弱性診断を実施するプロセスを確立し、定着した運用として遂行してまいります。

②ソフトウェアの定期的なバージョンアップ運用の実施

脆弱性対策を行うため、ソフトウェアやプラグイン等を含めたバージョンアップを実施するプロセスを確立し、定着した運用として遂行してまいります。

③セキュリティ対策製品の導入

侵入検知システムなどのセキュリティ対策製品の導入を進めてまいります。また、必要に応じてセキュリティ監視等も行い、早期対処を可能とする体制構築を検討してまいります。

④ログ取得対象の見直しと外部保管

現状、当該サイトではアクセスログのみを保管しておりましたが、アプリケーションログ等、他のログも取得してまいります。併せて、サーバ内に保管するだけでなく、長期間の保管を想定し、外部保管も検討致します。

⑤改ざん検知システムの導入

改ざん被害を早期に検出するために、改ざん検知システムの導入を検討致します。

3.流出した可能性のある個人情報および対象人数(既報)

 ・個人情報:氏名、メールアドレス、暗号化済みパスワード
 ・対象人数:250人

4.お客さまへのお願い(既報)

身に覚えのない不審なメールが届いた場合、開封やリンク先へのアクセスはしないようご注意くださいますようお願い申し上げます。


【2024/2/9リリース文】

Labels:

【セキュリティ事件簿#2024-113】近畿大学 個人情報の流出について 2024/3/19

近畿大学

このたび、Googleフォームの設定ミスによる個人情報の流出が判明いたしました。
該当する方々、関係者のみなさまに、ご迷惑、ご心配をおかけしましたことを深くお詫び申しあげます。このような事態を招いたことを重く受け止め、今後、個人情報の取り扱いには厳重に注意し、再発防止に努めてまいります。
なお、本日までに、この個人情報の流出による被害の報告はありません。

1.事案の内容

令和6年(2024年)1月31日(水)から、 入学式パフォーマンスユニットKINDAI WELCOMES新入生メンバー募集の応募フォームを、近畿大学公式SNSおよび大学受験ポータルサイト「UCARO」で公開しました。2月28日(水)に、応募者から、応募済みの他者の回答内容が閲覧できる状況であるとメールで指摘を受け、確認したところ、Googleフォームの結果の概要を表示する設定をオンになった状態で公開する設定ミスにより、指摘のとおり個人情報が流出していたことが判明しました。

2.流出した情報

KINDAI WELCOMES新入生メンバーに応募した12人の氏名、入学予定の学部・学科、電話番号、メールアドレス、応募内容

3.対応

① 当該応募フォームにて回答内容を閲覧できないようすみやかに設定を変更しました。
② 対象者12人に状況を説明したうえでお詫びし、他者の個人情報を取得していた場合は削除するようお願いしました。

4.再発防止策

今後、このような事態を招くことがないよう、下記のとおり取り組んでまいります。
① Googleフォームを利用する場合は、設定について複数人でチェックを行い、登録テストを実施してから公開するように徹底する。
② 教職員の情報セキュリティ研修の受講を徹底する。

Labels:
登録: コメント (Atom)