【セキュリティ事件簿#2024-101】梅小路ポテル京都 不正アクセスによるお客様の個人情報流出の可能性とフィッシングサイトに誘導するメッセージの配信について 2024/4/10

booking.com

Booking.com社が提供し、梅小路ポテル京都において管理・利用する宿泊予約情報管理システム(以下、管理システム)が不正アクセスを受けログインをされたこと、また一部のお客様に対してフィッシングサイトへ誘導するメッセージが配信されたことにつきまして、お客様・関係者の皆様にご心配をおかけしており深くお詫び申し上げます。前回(2024年 3月6日)のお知らせ以降、調査により判明しました事実につきまして、以下のとおりご報告いたします。

調査結果

事象①(管理システムへの不正ログインによる個人情報の流出の可能性について)

管理システム内の宿泊予約情報(宿泊日を2023年3月6日から2024年12月31日とするもの)に含まれるお客様の個人情報(住所・氏名・電話番号・クレジットカード情報含む)が流出した可能性につきましては、システム提供元のBooking.com社へ調査を依頼し、確認を行った結果、情報の閲覧及び流出を含め、管理システム内の個人情報が侵害を受けた形跡は確認されなかったとの報告を受けております。

事象②(フィッシングサイトへの誘導メッセージが一部のお客様に配信された影響について)

管理システム内のメッセンジャー機能を通じて、フィッシングサイトへ誘導するURLリンクが付されたメッセージが一部のお客様(162名)に配信された件につきましては、クレジットカード番号の入力を促す内容が確認されたものの、お客様への直接的な金銭被害は確認されませんでした。

今後の対応と再発防止策

今回の事象を踏まえ、従業員に対する教育等を再度実施しました。今後も引き続き、更なる対策の強化を行ってまいります。また、今後万が一、個人情報流出やフィッシングによるお客様の被害が確認された場合には、関係先に速やかに連絡し、必要な対応をいたします。

リリース文アーカイブ

【2024/3/6リリース分】

リリース文アーカイブ) 

【セキュリティ事件簿#2024-127】お茶の水女子大学研究室サーバへの不正アクセスについて 2024/4/2


お茶の水女子大学の研究室にて運用していた計算用サーバが、不正アクセスにより攻撃の踏み台とされていたことが判明いたしました。

1.本件の経緯

2024年3月18日(月)、外部機関より本学ネットワーク(IPアドレス:133.65.145.181)より不審な通信があるとの通報がありました。調査したところ、研究室にて運用している計算用サーバが、意図しない海外からの不正ログインをうけ攻撃の踏み台とされていたことが判明いたしました。

2.原因

当該サーバの構築時に「test」というユーザが作成され、そのユーザに安易なパスワードが設定されていました。また、学外に対して適切なセキュリティ対策なしにリモート接続(SSH)可能な状態で運用しておりました。結果、大量のログインを試行され不正なログインに繋がりました。

3.現在の状況

当該サーバはネットワークから遮断されております。

計算用のサーバであったため、個人情報や機密情報の漏洩はございません。

4.今後の対応

今回このような事案が発生し、関係者の皆さまにご迷惑をおかけしましたことを深くお詫び申し上げます。今後、大学として学外公開しているサーバの棚卸およびサーバのセキュリティ対策の確認・指導を行い、再発の防止に取り組んでまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-126】一般社団法人環境パートナーシップ会議 関東ESD活動支援センターのメールマガジン配信システムへの不正アクセスに関するお詫びとご報告 2024/3/15

関東ESD活動支援センター
 

この度、関東地方ESD活動支援センター業務を受託運営しております一般社団法人環境パートナーシップ会議が管理・発行するメールマガジン「関東ESDニュース」配信サービスに対する第三者からの不正アクセスにより、当該メールマガジン配信用登録情報が流出したことが判明致しました。

皆様には、多大なご心配とご迷惑をおかけ致しておりますことを深くお詫び申し上げます。

1 流出が確認された登録情報 

2024年3月8日以前にメールマガジンに登録をいただいたご利用者様のメールアドレス・氏名・フリガナ・所属・肩書(一部の方)2,296件の情報

2 流出の経緯

(1)不正アクセスがあったメールマガジン

 [関東ESDニュース]

(2)流出の内容(原因)

関東ESDニュースの配信サービスに対する第三者からの不正アクセスがあり、配信先メールアドレスとして登録されている情報が流出したことが判明しました。

(3) 不正アクセスの時期

 2024年3月6日

(4) 対応状況

不正アクセスが判明した3月7日深夜に当該プログラムを停止、3月8日11時30分に当該プログラムから登録情報全件を削除しております。

また、当該メールマガジン配信の新たな登録は行っておりません。

また、情報流出の対象のお客様には、個別にお詫びとご説明のメールをさせて頂いております。

今後新たな事実が判明致しました場合は、同ホームページ等を通じ、逐次お知らせさせて頂きます。

大変申し訳ございませんが、関東地方ESD活動支援センターを装うメールや、詐欺の可能性のある不審なメール等には、何卒ご注意くださいますようお願い申し上げます。

この度は、大切なお客さま情報をお預かりしておりながら、大変なご心配と多大なご迷惑をおかけ致しておりますことを重ねて深くお詫び申し上げます。

警察機関とも連携を取りながら、引き続き調査を進めてまいりますと共に、改めてセキュリティ対策の強化及び再発防止に努めてまいる所存です。

リリース文アーカイブ

【セキュリティ事件簿#2024-125】株式会社クラレ 当社グループ元従業員による情報の不正な持ち出しに関するお知らせ 2024/3/25

株式会社クラレ
 

当社は、欧州グループ会社の元従業員が退職直前に当社が保有する情報(個人情報を含む)を不正に持ち出したことを確認いたしました。

持ち出されたデータは、すでに当社に返却され、さらなる外部流出はないことを確認しました。

当社は本件を把握した後、直ちに欧州の個人情報保護当局に報告しております。現時点で本件による個人の権利侵害の恐れは生じておりません。

当社は機密情報を保護するため、法的措置を含むあらゆる必要な措置を講じており、引続き調査と対策を実施してまいります。

今後、当社から公表すべき事項が発生した場合には、速やかにお知らせいたします。

ステークホルダーの皆様にご心配をおかけすることとなり、深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-124】マルカワみそ株式会社 当サイトへの不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2024/4/2

マルカワみそ株式会社
 

このたび、弊社が運営する「マルカワみそ公式サイト」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(5,447件)および個人情報89,673名分が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報および個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させて頂きます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年11月6日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023年11月6日弊社が運営する「マルカワみそ公式サイト」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。

2023年12月20日、調査機関による調査が完了し、2023年3月11日~2023年11月13日の期間に「マルカワみそ公式サイト」にてクレジットカード決済で購入されたお客様、および、マイページにてカード情報の登録・変更をされたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「マルカワみそ公式サイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため

(2)クレジットカード情報漏洩の可能性があるお客様

2023年3月11日~2023年11月13日の期間中に「マルカワみそ公式サイト」においてクレジットカード決済をされたお客様、およびマイページにてクレジットカード情報の登録・変更をされたお客様4,851名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏洩の可能性があるお客様

サイトオープンから2023年11月13日の期間中に「マルカワみそ公式サイト」においてご購入されたお客様、またはマイページにご登録されたお客様89,673名で、漏洩した可能性のある情報は以下のとおりです。

・氏名

・フリガナ(任意入力項目)

・メールアドレス

・郵便番号

・住所

・電話番号

・FAX番号

・お届け先情報(任意入力項目)

・購入履歴

※電話注文時のメールアドレス、インターネット注文時のFAX番号、未入力の任意項目など、ご提供頂いていない項目は漏洩対象ではございません。

上記(2)に該当する4,851名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させて頂きます。

また、「マルカワみそ公式サイト」からの購入、またはマイページへの登録・変更に至らずとも、不正アクセスにより弊社サイトに作成された偽のクレジットカード情報入力フォームにカード情報を入力されたお客様につきましてもクレジットカード情報が漏洩した可能性がございます。その場合、弊社では特定することができないため、お心当たりのあるお客様は、弊社窓口までご連絡ください。

また、上記(3)に該当する89,673名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

偽のクレジットカード情報入力フォームのみに入力されたクレジットカード情報も漏洩した可能性がございますが、特定はできておりません。特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社お問い合わせ窓口までご連絡ください。

4.公表までに時間を要した経緯について

2023年11月6日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびにクレジットカード決済再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「マルカワみそ公式サイト」におけるクレジットカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年11月6日に、また、所轄警察署である福井県越前警察署には2023年11月8日に報告済みであり、2024年2月14日に被害届を提出済みです。今後捜査にも全面的に協力してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-122】株式会社フュートレック 不正アクセス発生による社内システム障害に関する調査報告のお知らせ 2024/4/1

株式会社フュートレック
 

当社は、当社ホームページにおいて 2024 年3月 12 日に「社内システム障害の発生に関するお詫び」を、また 2024 年3月 13 日に「不正アクセス発生による社内システム障害に関するお詫び(第2報)」を公表いたしましたとおり、当社の一部サーバ等の機器が外部から不正アクセスを受けたことを確認いたしました。

現在も調査及び復旧作業を継続しておりますが、現時点で判明している事実関係及び当社の対応について、以下のとおりお知らせいたします。

お客様をはじめ関係者の皆様には大変なご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。

1.発覚の経緯と当社の対応

3月 11 日 当社社内システムに障害が発生したことを確認しましたため、社内ネットワークの遮断等の対応を行いました。また、外部専門家等と共に原因や影響範囲についての調査を開始し、同時にお客様に提供している商用ネットワーク(本番環境)に対する確認を行いました。

3月 12 日午後6時頃 調査により、当社の一部サーバ等の機器が外部から不正アクセスを受けたことを確認いたしましたため、社内の対策本部を設置及び警察等の関係機関への届出を行いました。

3月 18 日以降 機器の安全性の確認、及び暫定対策を実施した環境から順次社内の機器及びネットワークを復旧しております。

3月 27 日 外部専門調査会社からフォレンジック調査報告(※)を受けました。

(※)フォレンジック調査とは、コンピュータ等の電子機器に残る記録の証拠保全や調査、分析を行う手段や技術のことです。

2.フォレンジック調査及びこれまでの調査により判明した事実

外部専門調査会社によるフォレンジック調査の結果、ランサムウエアが実行されていること及び当社のサーバ内のデータが外部に流出した可能性があることが確認されました。現時点では、このデータの内容についての特定はできておりません。引き続き調査を進めてまいります。また、調査の範囲において、3月9日に最初の外部からの不正なアクセスがあったことを確認しております。

これまでの社内調査の結果、当社がお客様に対して提供しております商用ネットワーク(本番環境)に対しては、不正なアクセスは確認されておりません。

3.今後の対応

この度の不正なアクセス被害により、お客様をはじめ関係者の皆様には多大なご迷惑をお掛けいたしましたことを深く受け止め、引き続き外部専門家のアドバイスを受けながら、セキュリティ対策の強化を図ると共に、被害の全容解明に向け取り組んでまいります。

また、当社が提供しておりますネットワークサービス等につきましては、安全性を確認の上、段階的な復旧を進めておりますが、完全な復旧にはまだ少し日数を要する見込みです。状況に進展ございましたらお知らせいたします。

なお、本件が、当社 2024 年3月期連結業績に与える影響については、現在精査中です。今後、開示すべき事項が生じた場合には、速やかにお知らせいたします。

リリース文アーカイブ

【セキュリティ事件簿#2024-121】株式会社住宅性能評価センター 不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/3/13


弊社が提供しております「現場支援システム※」が令和6年1月11日、外部から不正アクセスを受け、当該システムのデータの一部が窃取されたことが判明いたしました。

漏えいした恐れのある利用者情報にご登録いただいた皆様の個人情報とみなされるデータが含まれていることが判明いたしましたので、お知らせいたします。

皆様には多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。
現時点で判明している事実及び弊社の対応について以下の通りご報告いたします。

※現場支援システムは弊社が交付した確認申請の現場検査の検査希望日等を申請するシステムです。

【概要】

令和6年1月11日に「現場支援システム」の動作に不具合が発生したため、調査をした結果、外部からの不正アクセスによって、当該システムのデータサーバーから利用者情報及び建物情報が窃取されておりました。

その後、当該サーバーには、窃取された当該情報を復元する代わりに金銭を要求する文章の保存が確認されたことから個人情報の漏えいの恐れがあることが発覚いたしました。

【漏えいした恐れのある個人情報】

(1)「現場支援システム」において取り扱う利用者情報(氏名、メールアドレス、電話番号)

     弊社の従業員を含め、総数1,429件

(2)「現場支援システム」において取り扱う建物情報(物件名称、建設地の地名地番)

     総数214,832件

(1)に関しましては、漏えいした恐れがある情報には所属されている会社名は記載されておりません。

また、二次被害となるような事案は発生しておりません。

(2)に関しましては、漏えいした恐れがある個人情報の項目は「物件名称」及び「建設地の地名地番」であり、(1)と同様に会社名等は記載されておりません。

また、二次被害となるような事案は発生しておりません。なお、これらの情報は特定行政庁にて閲覧可能な公開情報でもあり、仮に本データを第三者が入手した場合であっても、当該情報を悪用される懸念は極めて限定的であると考えております。

【原因】

「現場支援システム」のデータサーバーを管理するシステムが悪意ある外部から不正アクセスを受けたことが原因です。

【弊社の対応】

弊社は、本件発覚直後に「現場支援システム」の稼働を停止しております。同システムは独立したサーバーで運用されており、不正アクセスによる被害が弊社の扱う他のシステムに影響を及ぼすことはございません。

また、弊社の扱う他のシステムに関しても緊急監査を実施いたしましたが、安全性に問題は無いことが確認されております。

「現場支援システム」の再稼働につきましては現在検討中でございますが、当面は弊社申請システム「F-2Web」による検査予約機能のご利用をご検討ください。

弊社は今回の事態を発生させたことを厳粛に受け止め、セキュリティ体制の改善、監視体制強化等、再発防止に全力で取り組んでまいります。

この度は、多大なるご迷惑とご心配をおかけしておりますことを重ねて深くお詫び申し上げます。

【セキュリティ事件簿#2024-120】北九州市立大学 不正アクセスによる個人情報漏洩のおそれに関するお知らせとお詫び 2024/3/29

北九州市立大学
 

このたび、本学教員が使用しているパソコンが不正アクセスを受けた事案が発生しました。

本学で調査した結果、パソコンに保存されていた個人情報が漏洩した( 閲覧された)可能性を排除できないということが判明しましたのでお知らせいたします。

今回このような事案が発生し、関係者の皆様に大変なご迷惑をお掛けすることとなり、深くお詫び申し上げます。

1.本件の経緯

2024 年 3 月 11 日 月)18 時 25 分頃、外国語学部中国学科の教員が自宅にて業務用のパソコンを使用中、第三者から不正アクセスを受け、遠隔操作によりパソコン内のファイルを閲覧された可能性のある事案が発生しました。

3 月 12 日 火)朝、当該教員から連絡を受けた本学情報セキュリティ部門において、当該パソコンの電源を切りネットワーク遮断を行う指示を行いました。

その後、本学において当該パソコンを調査した結果、当該パソコン内には本学学生及び当該教員の交友関係者に関する個人情報のファイルが保存されていたことを確認しました。

また、不正アクセスに使用されたソフトウエアを特定し、その機能として、ファイルの持ち出し及びコピーはできず、閲覧のみ可能なことが判明しました。

これまでのところ、個人情報が漏洩した事実は確認されておりません。

2.漏洩の可能性のある個人情報

 1)本学学生に関する個人情報

2020 年度2学期、2021 年度1学期、同年度2学期、2022 年度1学期、同年度2学期の各ファイル内における当該教員が担当していた授業科目を受講した学生の学籍番号、氏名、素点 当該科目のみ) 計 162 人

なお、当該ファイル毎に、十分な長さの異なるパスワードが設定されており、第三者の閲覧による漏洩の可能性は極めて低いと考えています。

 2)当該教員の交友関係者 本学学生ではない)に関する個人情報

92 名の住所、氏名、電話番号、メールアドレスで、当該ファイルにはパスワードの設定はありませんでした。

3.本事案の対象者への対応

 1)学生について

 在学生につきましては、ご当人に本件の状況説明とお詫びを行うことにしています。

卒業等により連絡が取れない方につきましては、当ホームページをもって本件の状況説明及びお詫びとさせて頂きます。また、ご不明な点等ございましたら、下記連絡先までお問い合わせくださいますようお願いいたします。

 2)当該教員の交友関係者について

当該教員より事実関係の説明及び謝罪を行う予定です。

4.今後の対応

全教職員を対象とした情報セキュリティに関する研修を改めて実施し、個人情報の取り扱いや不正アクセスへの対応について、周知徹底を継続してまいります。