【セキュリティ事件簿#2024-192】東京都教育委員会 都立中等教育学校における個人情報の漏えいについて 2024/4/17

東京都教育委員会
 

都立小石川中等教育学校において、個人情報の漏えいが発生しました。

関係の皆様には、多大な御迷惑をお掛けしましたことを、深くお詫びを申し上げます。今後、再発防止を徹底してまいります。

1 事故の概要 

同校主任教諭が、令和6年4月3日(水曜日)にMicrosoft Teams(以下「Teams」という。)にアップロードした同校生徒151名分の進路アンケート調査結果が、令和6年4月5日(金曜日)現在、閲覧できる状態となっていた。

(1) 確認日  令和6年4月5日(金曜日) 午後4時30分頃

(2) 閲覧できる状態となった個人情報

151名分の進路アンケート調査結果(クラス、名前、文理の志望の別、第一志望大学(国公立か私立か)、第一志望大学から第三志望大学までの大学名、学部、学科名、マーク模試で受験する科目、記述模試で受験する科目)

2 事故の経緯

(1) 令和6年3月13日(水曜日)、同主任教諭は、令和6年5月に実施予定である外部模試の受験に際して必要となる進路情報を収集するため、5年生の全生徒に対して、教員及び生徒共有のアカウントで、Microsoft Formsにより回答する進路アンケートを実施した。

(2)  令和6年4月2日(火曜日)、同主任教諭は、教員及び生徒共有のアカウントで、同アンケートを集計してExcelファイルを作成し、同ファイルを保存するとともに、他の担当教員に送信した。

(3)  令和6年4月3日(水曜日)午後2時30分頃、同主任教諭は、Teamsに同ファイルをアップロードした。

(4)  令和6年4月5日(金曜日)午後4時30分頃、生徒のうちの1名が、同アンケート調査結果が閲覧できる状態であることに気付き、別の教員に相談したことから、事実が発覚した。

※ 学校からは、同アンケート調査結果を閲覧した生徒がいないことの報告があった。

3 事故発生後の対応

令和6年4月5日(金曜日)午後5時頃、同教員から連絡を受けた同主任教諭は、情報拡散を防止するため、Teamsにアップロードされている同ファイルを削除した。

 現在のところ、同ファイルの外部への流出等、二次被害等の報告は受けていない。

4 生徒及び保護者への説明及び謝罪

(1) 令和6年4月16日(火曜日)、該当の生徒・保護者に対し、経緯の説明と謝罪を行った。

(2) 同月17日(水曜日)、全学年保護者に対し、経緯の説明と謝罪を記載した通知文を発出した。

5 再発防止について 

今後、個人情報を厳正に管理するとともに、教職員に対して情報セキュリティの教育・指導を徹底していく。また、Teamsの適正な運用について、指導を徹底していく。

 全都立学校長に対しても、個人情報の取扱い等について再度周知徹底を図っていく。

リリース文アーカイブ

【セキュリティ事件簿#2024-191】株式会社日本取引所グループ 当社メールアドレスからの不審メールの送信について 2024/5/10

株式会社日本取引所グループ
 

2024年5月8日23時頃に、当社グループの海外駐在員事務所のメールアカウント(@jpxldn.co.uk)を利用した不審メールの送信が行われるという事案が発生しました。

不審または身に覚えのないメールを受信された場合は該当のメールを削除いただき、添付ファイルの開封やリンク先へのアクセスはお控えください。

当該メールアカウントについては事案の発生確認後、アカウントを停止させております。

メールを受信された皆さまには多大なるご迷惑をお掛けしましたことを、深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-189】宮崎電子機器株式会社 当社サーバーへの不正アクセスについて 2024/4/30

 

2024年4月30日8時30分頃、当社が利用しているサーバーに対する外部からの不正アクセスの疑いを認識しました。

社内対策本部を設置し、影響可能性のあるサーバーおよびパソコンの停止、ネットワークの遮断を行い、影響範囲等の特定を進めておりますが、これまでに判明している事実および復旧状況を以下にてお知らせいたします。

認識した不正アクセスは、ランサムウエアであることを確認しました。

影響の範囲は特定されましたが、被害拡大を防止するために安全確認を順次進めております。

弊社からお客様に提供しているサービスには影響ございません。

本件に関しては、独立行政法人情報処理推進機構(IPA)に報告するとともに、警察にも届けております。

引き続き、当社サービスをお客様・お取引先様に安心してご利用いただけるよう、関係機関とも連携しながら対応を進めてまいります。

お客様・お取引先様に多大なるご迷惑およびご心配をおかけしますことを深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-188】株式会社インテンス 弊社が運営するショップサイト「fofo」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/5/20

株式会社インテンス
 

このたび、弊社が運営するショップサイト「fofo」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(15,198件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年9月13日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受けました。サイトの更新状況および、決済代行会社様との契約更新に伴い、2023年4月1日時点ですでに弊社が運営する「fofo」のカード決済を停止しておりましたが、この事実を受け、第三者調査機関による調査も開始いたしました。2024年1月17日、調査機関による調査が完了し、2020年12月24日~2023年12月8日の期間に 「fofo」で購入されたお客様クレジットカード情報漏洩の可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「fofo」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、WebShellによるサーバー内の不正操作が行われたため。

(2)個人情報漏洩の可能性があるお客様

2020年12月24日~2023年12月8日の期間中に「fofo」においてクレジットカード決済をされた15,198件が対象で、攻撃者によってサーバー上に以下のクレジットカード情報が平文で出力され保存された可能性があります。

・クレジットカード番号

・有効期限

・セキュリティコード

・会員氏名

・DBデータ

・ログイン情報

上記に該当する15,198名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年9月13日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。現在は当該サーバーを完全に停止し、新たなサイトの運用に向け鋭意対応中です。改修後の「fofo」の運用につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年9月22日及び2024年1月30日に報告済みであり、また、所轄警察署にも2023年9月25日に被害の相談、2024年2月27日に状況結果を申告しており、今後捜査にも全面的に協力してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-187】株式会社M&Aクラウド お客様の氏名を含むメール誤送信のご報告とお詫び 2024/5/10

株式会社M&Aクラウド
 

この度、お客様向けのメール一括送信機能の確認のためにテストメールを社内に送信しようとしたところ、誤って社外の方233名に対してメールを送付してしまい、その結果、最大79名の方の氏名とメールアドレスが他の方に閲覧可能な状態になってしまう事案が発生しました。誤ったメールを送信をしてしまった方々には既に削除をお願いしておりますが、皆さまに多大なご迷惑とご心配をおかけしたことを深くお詫び申し上げます。

以下、経緯と原因、再発防止策となります。

1.経緯

2024年5月10日11時34分頃、当社の「資金調達クラウド」ユーザーのお客様向けのメール一括送信機能のテストのため、社内向けにテストメールを配信しようといたしました。その際、担当者の誤操作により233名のお客様にメールが誤って送付され、一部の方の個人情報(氏名及びメールアドレス)が他の方に送付されてしまったことがわかりました。

2.流出した可能性がある情報

当社とお付き合いのある企業、最大12社79名の氏名とメールアドレス情報

3.原因

担当者がシステムを使って送信処理を行う際、作業手順を誤ったことに起因しています。

4.お客様への対応

本事案発見直後に当該メールの受信者である233名の方に対し、メール誤送信に関するお詫びと、当該メールの速やかな削除をお願いするメールを送信しております。

5.今後の対応策

事故の原因は作業手順を誤ったことによるオペレーションミスによるものですが、同様のことを引き起こさないよう改めて作業手順を見直すとともに、ヒューマンエラーが起きることを想定してシステムの見直しも行ってまいります。また、個人情報の管理を一層強化してまいります。

ご迷惑をおかけしましたこと、重ねてお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-186】埼玉県 「公文書検索・閲覧システム」における個人情報等の不開示情報の誤掲載について 2024/5/17

 

県「公文書検索・閲覧システム」において個人情報等の不開示情報を含む文書が複数掲載されていることが判明しました。

1 事故の概要

令和6年4月11日、個人情報を含む文書が県の「公文書検索・閲覧システム」で閲覧できる状態にあることが判明しました。これを踏まえ、農林部内全課所において点検作業を行い、他にも不開示情報とすべき文書が閲覧できる状態にあることが判明しました。

2 誤掲載の詳細

農林部内3課(農業政策課、農業ビジネス支援課、森づくり課)11地域機関(7農林振興センター、2家畜保健衛生所、農業技術研究センター、農業大学校)において、不開示情報とすべき文書73件の誤掲載が判明しました。

不開示情報文書件数 73件

うち個人情報 41件

 (個人の人数) (187人分)

うち法人不利益情報 35件(うち3件は個人情報と重複)

 (法人数) (30法人分)

【誤掲載の事例】

誤掲載してしまった文書の不開示情報の主なものは、以下のとおり。

<個人情報>氏名が41件(187人分)、住所が12件(59人分)、生年月日が5件(20人分)、メールアドレスが3件(27人分)、電話番号が3件(24人分)、年齢が2件(78人分)

<法人不利益情報>契約書の相手方などの法人印鑑の印影が27件(21法人分)

3 対応

判明後、直ちに不開示情報を削除し、不開示情報とすべきであった個人及び法人に対して順次謝罪を行っています。

4 再発防止策

外部に提供される情報については、複数人によりチェックし、再発防止を徹底するとともに、文書管理システムの適正な運用を徹底します。

職員に対しては個人情報の取扱いについて、再度徹底します。

リリース文アーカイブ

【セキュリティ事件簿#2024-023】ディップ株式会社 求人掲載企業の管理画面への不正ログインに関するお知らせ 2024/5/17

dip
 

当社が運営する求人情報サイト「バイトル」に掲載している株式会社アローズコーポレーション(以下、当該掲載企業)が管理するアカウント(以下、本アカウント)を用いた応募者情報管理画面への不正ログインが発生し、不正ログインを行った第三者(以下、当該第三者)により当該掲載企業への応募者のうち12名の応募情報の一部と、不正ログインに使用したIDおよびパスワードが外部へメール送信されたことが判明いたしました。そのため、当該掲載企業への応募者の方は、当該第三者および送信されたIDおよびパスワードを用いてアクセスした者に、応募情報を閲覧された可能性があります。現在のところ、当該応募情報を利用した二次被害の申し出は受領しておりません。

関係者の皆様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

現在、鋭意調査を続けておりますが、現時点で判明している事実および本件への対応について以下のとおりご報告いたします。

■概要

当社が運営する求人情報サイト「バイトル」において、当該掲載企業の本アカウントのIDおよびパスワードを取得した第三者が、本アカウントの応募者を管理する管理画面に不正にログインし、当該掲載企業への応募者のうち12名の応募者情報の一部と、不正ログインに使用したIDおよびパスワードを、ご本人を含む応募者に対し、当該管理画面のメール送信機能を利用して送信しました。また、当該第三者および送信されたIDおよびパスワードを用いてアクセスした者は、当該掲載企業が本アカウントを用いて管理していた応募者の方のうち3,193名の方の応募情報を閲覧した可能性があります。

当社は、メールを受信した応募者様からの問い合わせにより事象を確認し、本アカウントの停止処理および求人掲載を取り下げて被害拡大を防止するとともに、不正ログインの被害にあった当該掲載企業と協力して、調査を実施しております。送信された個人情報および 閲覧された可能性のある個人情報は以下の通りであり、クレジットカード情報等は含まれておりません。

なお、当社システムにおいては、掲載企業の皆様の管理画面へのログインパスワードは暗号化されて保管されており、当社のエンジニアを含めて閲覧および解読ができない仕様になっております。本事象を受けて当社システムのセキュリティ調査を改めて行っており、現時点では、当該掲載企業以外のID・パスワードが不正に利用された事実は確認されておりません。

今回被害を受けた掲載企業は、2024年1月31日にお知らせいたしました管理画面への不正ログインの被害にあったサンライズワークス社の関連会社であり、手法やアクセスログ等が同等であることから、同一人物による不正アクセスの疑いが非常に強いと考えております。また、その他の企業では同様のアクセスログは確認されておりません。

■応募情報が送信された応募者

12名(当該掲載企業に応募した応募者の一部)

  • 該当する個人情報の項目

氏名、年齢、性別、メールアドレス、電話番号、現在の職業

■応募情報を閲覧された可能性がある応募者

 3,193名(当該掲載企業に応募した応募者の一部)

  • 該当する応募情報の項目(当社が実際に取得している項目は応募者によって異なるため、1名以上の応募者から取得している項目を挙げています。)

氏名(よみがなを含む)、年齢、生年月日、性別、メールアドレス、電話番号、現在の職業、お住まいの都道府県・市区町村、学歴・職歴、運転免許の有無・パソコンスキルに関する情報、自己PR、連絡可能な日時、応募日時、応募した案件の情報

■本件への対応

・当社の対応

・本アカウントの停止

・該当される方へのお詫びとお知らせ

・当該情報を送信された方への応募情報が記載されたメール削除のお願い

・本事象に関するログ・セキュリティ調査の実施

・当該掲載企業の管理画面に不正ログインした第三者に関する調査の実施

・総務省関東総合通信局への報告

引き続き、不正ログインの被害を受けた当該掲載企業とともに、関係各機関と連携し、事実の確認および適切な対応に務めております。応募情報を閲覧された可能性がある応募者の方のうち、当社がメールで連絡可能な方には、お詫びのメールにてお知らせしておりますが、ご懸念がある応募者の方は、以下のお問い合わせ先までご連絡をお願いいたします。

この度は皆様に多大なご迷惑ご心配をお掛けしますこと、改めて深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-185】大東文化大学 学生の個人情報の漏えいのおそれがある事案の発生について 2024/5/17

大東文化大学
 

2024年3月27日にホームページに第一報をお知らせしたように、この度本学の非常勤講師(以下、非常勤講師)より、所有するパソコンが外部からの不正アクセスを受け、個人情報が漏えいしたおそれがある旨の報告を受けました。

現時点において、本事案に関わる被害報告等は受けておりませんが、今回の事案により学生・保護者並びに関係各位に対して多大なご迷惑とご心配をおかけしておりますことを深くお詫び申しあげます。

1. 事象

非常勤講師が自宅において、自身の所有するパソコンを使用中にウィルスに感染した旨のアラートが表示され、アラートの後に続いて表示されたウィルス対策のサポートセンターの連絡先が正規のサポートと思い込み電話をし、その指示に従うことにより自身のパソコンへの不正アクセスを許してしまいました。

結果として、非常勤講師がサポート詐欺と気づきネットワークを遮断するまでの約2時間パソコン内のデータにアクセスできる状況が発生しておりました。

その後、非常勤講師は警察への被害届や関係先への報告等をおこない、本学にも本事案の第一報がございました。

2.漏えいしたおそれのある個人情報

上記1のパソコンに保存されていた非常勤講師が担当する2023年度板橋校舎開講1科目分の履修情報等のデータ

(1)対象件数:在籍学生69人分(2024年3月卒業者も在籍学生に含む) 

(2)対象項目:氏名、学籍番号、大学から付与したメールアドレス、成績に関する情報

3. 本件への対応

個人情報が漏洩したおそれのある学生に対し、上記2-(2)の個人情報が漏えいした可能性に関するお知らせとお詫びについてメール配信するとともに、不審なメール等に注意するよう注意喚起並びに本事案に対する相談窓口の周知をおこないました。

4. 再発防止策について

教職員に対して本事案を共有し、同様の手口による不正アクセス防止のため資料をポータルサイト上で配付し周知徹底をおこない、今後も継続的に情報セキュリティに関する注意喚起及び啓蒙活動を実施してまいります。

本学では、今回の事態を重く受け止め、より一層、個人情報の保護の適切な管理に努めてまいります。

リリース文アーカイブ