この度、本社サーバーがコンピュータウイルス「LockBitランサムウェア 」に感染しました。
今回の不正アクセスの直接の原因は、セキュリティ強化の一環で FortiGate(統合型セキュリティアプライアンス)の設置を昨年に依頼しましたスターティア株式会社(https://www.startia.co.jp/)が設置の際に使用していた test アカウントを削除せずそのまま放置し、悪意のある第三者が test アカウントを使用して弊社のサーバーに侵入した事によるものとなります。
なお、現時点では、社内情報の流出の事実は確認されておりません。また、被害サーバーにはお客様情報は入っておりません。
関係する皆さまには、多大なご迷惑とご心配をおかけすることとなり、心よりお詫び申し上げます。
対応としましては、感染が判明した当該サーバーをすべてネットワークから遮断する対策を講じるとともに、弊社全部署で使用しているすべてのパソコンの検査を進めております。また、外部の専門機関の助言を得ながら、データ流出の有無を確認して参ります。詳細が判明しましたら改めてお知らせいたします。
本学附属福岡中学校において、下記のとおり、要配慮個人情報を含む生徒の健康管理のデータについて、全校生徒が閲覧できる状態であったことが判明しましたので、ご報告いたします。
本学附属福岡中学校において、要配慮個人情報を含む生徒の健康管理のデータを、令和6年4月20日(土)12時27分から16時07分まで、教職員及び生徒に提供している「Google Workspace for Education classroom(クラスルーム)」の生徒用クラスルームに誤って掲載してしまい、全校生徒が閲覧できる状態であったことが判明しました。
この事態を把握した同校では、4月20日(土)16時07分に当該データを削除しました。
4月23日(火)現在、当該個人情報の拡散による被害は確認されていません。
4月20日(土)から、全ての生徒の家庭へ電話連絡と謝罪を行い、22日(月)に全校集会を開催し、生徒に経緯の説明と謝罪を、23日(火)に保護者説明会を開催し、謝罪の上、経緯、内容及び再発防止について説明を行いました。
本件を重く受け止め、個人情報の適切な管理についての改善を図るとともに、生徒の心のケアに努めます。
このたび、弊社が運営する「味市春香なごみオンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(16,407件)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させて頂きます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
2023年6月1日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日弊社が運営する「味市春香なごみオンラインショップ」でのクレジットカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2023年8月21日、調査機関による調査が完了し、2021年1月27日~2023年5月15日の期間に「味市春香なごみオンラインショップ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
弊社が運営する「味市春香なごみオンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
2021年1月27日~2023年5月15日の期間中に「味市春香なごみオンラインショップ」においてクレジットカード決済をされたお客様15,274名で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・注文情報(氏名・住所・メールアドレス・電話番号・FAX番号等含む)
・会員登録情報(氏名・住所・メールアドレス・電話番号・FAX番号等含む)
・メール送信履歴(メール本文履歴内に、注文情報・会員情報・配送先情報含む)
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、クレジットカード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
今般、株式会社ハイクでは、当社のクラウド型データ管理システム ハイクワークスにおいて、ユーザー情報および撮影データが第三者からアクセスしうる状態にあったことを、2024年4月11日16時頃に確認いたしました。
本事象の認知後、速やかに当該システムに対する第三者からのアクセスを不可能とするよう設定変更を完了いたしました。
4月12日にセキュリティ専門企業に依頼し、ログ解析等の調査を実施いたしました。その結果、不正アクセスは見当たらず情報漏洩もございませんでしたのでお知らせいたします。
ハイクワークス管理者様、ユーザー様におかれましては、ご迷惑をおかけいたしておりますことを深くお詫び申し上げます。
本件の概要は以下のとおりです。
クラウド型データ管理システム ハイクワークスにおいて、一部の情報が第三者からアクセスしうる状態であったことが2024年4月11日16時頃に判明。
このため、暫定対応として同日4月11日18:25に第三者からアクセスを不可能とするよう設定変更を完了。
2023年12月23日~2024年4月11日
ハイクワークス管理者および全ユーザー
・管理者ID
・管理者パスワード
・管理者名
・ライセンス有効期限
・ログイン履歴
・一時処理用画像ファイル(アップロード/ダウンロード両方)
・ハイクカム用設定ファイル
・バウンスメールから取得した画像
なお、上記の管理者情報を利用して不正にログインした際にアクセス可能な情報は以下の通りとなりますが、調査の結果、不正アクセスの痕跡はありませんでした。
・ユーザーの認証情報を含む全ての情報
・調査対象期間:2023年12月11日~2024年4月11日
(内2024年01月4日~2024年1月16日のログはサーバ入れ替えにより欠落していたため調査不可)
クラウド型データ管理システム ハイクワークスの内部データ管理設定の不備および確認の不足により、第三者によるアクセス可能な状態にあったことに起因いたします。
本事案については、現時点で以下の通り対応いたします。
・本情報開示による周知および注意喚起
・該当する方への個別連絡
・本件に対する対応窓口の設置
・システムセキュリティ設計の見直し
・セキュリティ診断企業によるシステムのセキュリティ診断の実施
ハイクでは、貴重な情報をお預かりする企業として今回の事象を真摯に受け止め、今般発生した問題に限らず一層のセキュリティ強化につとめてまいります。
ご本人様および関係先の皆様には多大なるご迷惑、ご心配をお掛けしておりますことを深くお詫び申し上げます。
本日現在、当社において判明している事実は以下の通りです。
当社が、2020年7月1日から2023年9月30日の間、ご本人様によるスタッフ登録または求職申込手続き書類の回収に使用していた、ワークスタイルテック株式会社( https://workstyletech.com/ )が提供するクラウドサービス「WelcomeHR」において、ご本人様からアップロードされた個人データが外部から閲覧可能な状態にあり、実際に第三者によってダウンロードが行われていた事実が判明しました。
以下の期間に「WelcomeHR」を使用して派遣スタッフ登録または求職申込手続きを行われた際に、登録フォームに入力・アップロードされた情報の一部
2020年7月1日〜2020年10月31日 株式会社スタッフサポーター
2020年11月1日〜2021年9月30日 株式会社ツナグ・スタッフィング
2021年10月1日〜2022年2月28日 株式会社ツナググループHC
2022年3月1日〜2023年9月30日 株式会社LeafNxT
(※)上記の各法人はいずれも当社または当社が現在事業を承継している当社のグループ会社となります。株式会社ツナグ・スタッフィングは2020年11月1日付で株式会社スタッフサポーターを吸収合併し、株式会社ツナグ・スタッフィングは2021年10月1日付で人材派遣・有料職業紹介事業を株式会社ツナググループHCに事業承継しました。当社は2022年3月1日付で株式会社ツナググループHCから人材派遣・有料職業紹介事業を事業承継しております。
ご本人様が「WelcomeHR」を用いて入力またはアップロードされた、氏名、性別、電話番号、住所、ご本人様がアップロードされた各種画像データ(本人確認書類、マイナンバー確認書類等)
26,829人
当社がマイナンバーを含む個人情報の取扱いを委託していた「WelcomeHR」の運営元であるワークスタイルテック株式会社において、サーバのアクセス権限を誤って設定していた結果、外部から閲覧可能な状態となっていたことが原因であると同社から報告を受けております。
なお、「WelcomeHR」から個人情報の漏えいが発生した時点において、当社とワークスタイルテック株式会社間における「WelcomeHR」利用に関する契約は終了していましたが、同契約の終了後も「WelcomeHR」において、本件に係る個人情報が保存されていたため、本件が発生するに至りました。
詳細につきましては以下のワークスタイルテック株式会社による公表内容もご参照下さい。
ワークスタイルテック株式会社「弊社サービスをご利用いただいているお客様への重要なご報告とお詫び」(2024年3月29日)
対象となるご本人様には、当社より順次個別にご連絡を差し上げ、お詫びとご説明をさせていただいております。
行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の4および個人情報の保護に関する法律第26条第1項に基づく個人情報保護委員会への報告(速報)は2024年4月2日付で行っております。
当社として、今回の事態を厳粛に受け止め、個人情報の取扱いに関する委託先の選定および監督を厳格化するとともに、社内においても個人情報の取扱いの周知徹底を行い、再発防止に取り組んでまいります。
本件に関するお問い合わせは、ワークスタイルテック株式会社にて承っております。
ワークスタイルテック株式会社
メールアドレス: support@workstyletech.com
専用ダイヤル: 050-1808-4985
受付時間: 月曜から金曜日 9時から12時および13時から17時
※「フィッシングサイト」とは、不正な手法を用いて個人情報や金融情報を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。
また、悪意のある人物により一部のお客様に対してフィッシングサイト(※)へ誘導するメッセージが配信されたことが確認されました。
詳細についてはいずれも調査中でございますが、お客様にはご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。
※「フィッシングサイト」とは、不正な手法を用いて個人情報や金融情報を詐取するために、実在のウェブサイトを装った偽のウェブサイトのことを指します。
2024年4月13日、Expedia社経由で宿泊を予約された一部のお客様に対して、管理システムのメッセンジャー機能を使用してフィッシングサイトへ誘導するURLリンクが付されたメッセージが配信されたことが判明し調査をしたところ、管理システムが悪意のある人物により不正アクセスを受けたことが判明しました。
これを受けて、Expedia社経由の新たな宿泊予約の受付を停止しました。また管理システムに保存されているお客様の個人情報が第三者により閲覧された可能性も否定できない状況です。
お客様におかれましては、そのようなメッセージの配信を受けた場合、貼付されたURLリンクへ
のアクセスをされないよう、お願い申し上げます。
原因は現在調査中であり、Expedia社以外の管理システムからご予約いただきましたお客様の個人情報の流出等は確認されておりません。
Expedia社経由の宿泊予約情報(宿泊日を2022年4月14日から2024年8月15日とするもの)に含まれるお客様の個人情報(住所・氏名・電話番号)が流出した可能性があります。
事象①のお客様の一部(宿泊日を2024年4月13日チェックアウトから2024年8月15日とするもの)に、Expedia社の管理システム内のメッセンジャー機能を通じて、フィッシングサイトへ誘導するURLリンクが付されたメッセージが配信されました。
上記事象②に該当するお客様へは、フィッシングサイトへの流入を防ぐため注意喚起連絡を既に実施済みです。またお問い合わせについては、個別にご返答しております。
現在、関係機関と連携を取りつつ原因調査を進め、必要な対策を実施することにより再発防止に万全を期してまいります。
また、詳細が明らかになりましたら随時報告させていただきます。
この度は、お客様には多大なご迷惑とご心配をおかけしますこと、重ねて深くお詫び申し上げます。
