不正アクセスによる「乗っ取り被害」を受けておりました、ヒマラヤ公式X(旧ツイッター )アカ ウン ト(@HimarayaSports)が、復旧しましたことをご報告いたします。
不正アクセス発覚後、X 社と復旧に向けて取り組んでおりましたが、2024年5月2日(木)に復旧に至りました。
その後、ポストやダイレクトメッセージ等を確認し、被害状況調査ならびにセキュリティ強化の実施を行ったうえで、無事運用できることが確認できましたので、本日2024年5月9日(木)より運用を再開いたします。
なお、当アカウントが保持する情報を全て確認したところ、個人情報に該当するものは含まれておりませんでした。
今後はさらにセキュリティを強化し、安全性を高めて運用してまいります。
また本件を受けまして、弊社が運用している他の SNS アカウントにつきましても同様にセキュリティの強化を実施いたしました。ご利用の皆様に各 SNS を安心して楽しんでいただけるよう、今後も努めてまいります。
このたびは皆様に多大なるご迷惑・ご心配をおかけし、深くお詫び申し上げます。
【2024年4月24日リリース分】
YouTubeにおいて公開されていた動画に本学医学部附属病院(以下「附属病院」という。)の電子カルテの入院患者一覧画面が映っており、42名の患者様の個人情報(漢字氏名、カナ氏名、患者番号、診療科、入院日等)が、当該全動画10分3秒のうち6秒間、公開されている状態となっておりました。
当該動画は附属病院が使用している製品の導入事例紹介動画で、附属病院同意の上、製品を開発した会社が作成し、令和5年11月23日から同社公式YouTubeチャンネルにて公開されていたものです。電子カルテの入院患者一覧画面映り込みの原因は、当該動画作成時にチェックをした際、患者様の個人情報が映ってしまっていることを見落としたことにあります。このことが令和6年4月23日に判明いたしましたので、直ちに本学より同社に動画公開停止を依頼し、同日中に動画の公開を停止しております。
42名の患者様はもとより、御家族、関係者の皆さまに深くお詫び申し上げます。
本学はこれまでも教職員並びに学生に個人情報の取り扱いに対する研修、指導を行ってまいりましたが、本件を受けて、改めて個人情報の厳正な管理、情報セキュリティの指導を徹底してまいります。
また、個人情報漏えいした可能性のある患者様には、個別に状況説明と謝罪をさせていただいております。
なお、これまでに本件の個人情報が不正に使用された事実は確認されておりません。
株式会社北洲(以下「当社」といいます。)は、第三者による不正アクセス攻撃を受けましたこと(以下「本インシデント」といいます。)を2024年3月15日に公表いたしました。
この度、外部専門機関の協力のもと進めてまいりました本インシデントに関する調査が完了しましたので、当該調査結果および再発防止に向けた取り組みにつきましてご報告申し上げます。なお、当社のシステムは現時点でほぼ復旧しており、今後も継続的にセキュリティ対策の強化を図ってまいります。
お客様ならびにご関係者の皆様につきましてはご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。
外部専門機関による詳細な調査の結果、社内データが外部に持ち出された痕跡並びに情報流出の事実は確認されませんでした。また、本件の被害に遭った機器以外のマルウェア感染等の被害も確認されませんでした。その他、外部において不正に公開されている事実や二次被害についても現時点において確認されておりません。
以上の外部専門機関の見解を踏まえ、当社といたしましては、社内データが外部に持ち出された可能性は極めて低いものであると判断しております。
一方で、攻撃者によって開かれた可能性のあるファイルが一部あることを確認しています。開かれた可能性のあるファイルには延べ34,902名分の個人情報を含む取引情報が含まれております。
以上の調査結果から本インシデントは、個人情報保護法の定める「個人情報流出のおそれ」の事案として結論づけております。
攻撃者により外部に持ち出された可能性を示す痕跡等は確認されなかったものの、個人情報を含むファイルが不正に開かれた可能性のある方には、個別にお知らせを行い、専用窓口にて二次被害の疑いなどに関するお問い合わせに対し、誠心誠意対応をして参ります。
当社サーバへの不正アクセスが発覚。
同日、外部に接続しているネットワークを即座に遮断し、外部専門機関へ報告・相談を実施。
以降、ネットワーク遮断の状況から被害拡大のリスクが最小となったことを確認し、専門機関による初動調査に移行。
専門機関の初動調査の速報により、外部からの悪意ある攻撃による被害であることを確認。
宮城県警察本部サイバー犯罪対策課への通報及び関係機関への報告を実施。
外部専門機関へ詳細調査を依頼。依頼した調査内容は以下の通り。
・不正アクセス被害を受けた可能性のある機器に対する安全性確認
・被害を受けた機器のフォレンジック調査及び各種ログの解析を通した被害の詳細・範囲の分析
・侵入経路の調査、及び安全性確認
宮城県警察本部 被害届受理。サイバー犯罪対策課による捜査を開始。
同日、本インシデントに関するお知らせをホームページへ掲載
外部専門機関より調査報告を受領。報告内容から社内データが外部に持ち出された可能性は極めて低い一方、一部のファイルが開かれた可能性があることを確認。
今後の再発防止策等について外部専門機関からのアドバイスを受け対策を実施。
調査結果と再発防止策等についてホームページへ掲載
今回の被害を受け、次の再発防止策を実施しております。
当社は、不正アクセスを受けたことを重く受け止め、セキュリティ体制を強化し、
再発防止に向けて総力を挙げて取り組んでまいります。
今後、お知らせすべき事実が判明した際には、改めてホームページ等にて公表いたします。本件により関係する方々に多大なるご心配をおかけすることを深くお詫び申し上げます。
都立小石川中等教育学校において、個人情報の漏えいが発生しました。
関係の皆様には、多大な御迷惑をお掛けしましたことを、深くお詫びを申し上げます。今後、再発防止を徹底してまいります。
同校主任教諭が、令和6年4月3日(水曜日)にMicrosoft Teams(以下「Teams」という。)にアップロードした同校生徒151名分の進路アンケート調査結果が、令和6年4月5日(金曜日)現在、閲覧できる状態となっていた。
(1) 確認日 令和6年4月5日(金曜日) 午後4時30分頃
(2) 閲覧できる状態となった個人情報
151名分の進路アンケート調査結果(クラス、名前、文理の志望の別、第一志望大学(国公立か私立か)、第一志望大学から第三志望大学までの大学名、学部、学科名、マーク模試で受験する科目、記述模試で受験する科目)
(1) 令和6年3月13日(水曜日)、同主任教諭は、令和6年5月に実施予定である外部模試の受験に際して必要となる進路情報を収集するため、5年生の全生徒に対して、教員及び生徒共有のアカウントで、Microsoft Formsにより回答する進路アンケートを実施した。
(2) 令和6年4月2日(火曜日)、同主任教諭は、教員及び生徒共有のアカウントで、同アンケートを集計してExcelファイルを作成し、同ファイルを保存するとともに、他の担当教員に送信した。
(3) 令和6年4月3日(水曜日)午後2時30分頃、同主任教諭は、Teamsに同ファイルをアップロードした。
(4) 令和6年4月5日(金曜日)午後4時30分頃、生徒のうちの1名が、同アンケート調査結果が閲覧できる状態であることに気付き、別の教員に相談したことから、事実が発覚した。
※ 学校からは、同アンケート調査結果を閲覧した生徒がいないことの報告があった。
令和6年4月5日(金曜日)午後5時頃、同教員から連絡を受けた同主任教諭は、情報拡散を防止するため、Teamsにアップロードされている同ファイルを削除した。
現在のところ、同ファイルの外部への流出等、二次被害等の報告は受けていない。
(1) 令和6年4月16日(火曜日)、該当の生徒・保護者に対し、経緯の説明と謝罪を行った。
(2) 同月17日(水曜日)、全学年保護者に対し、経緯の説明と謝罪を記載した通知文を発出した。
今後、個人情報を厳正に管理するとともに、教職員に対して情報セキュリティの教育・指導を徹底していく。また、Teamsの適正な運用について、指導を徹底していく。
全都立学校長に対しても、個人情報の取扱い等について再度周知徹底を図っていく。
2024年4月30日8時30分頃、当社が利用しているサーバーに対する外部からの不正アクセスの疑いを認識しました。
社内対策本部を設置し、影響可能性のあるサーバーおよびパソコンの停止、ネットワークの遮断を行い、影響範囲等の特定を進めておりますが、これまでに判明している事実および復旧状況を以下にてお知らせいたします。
認識した不正アクセスは、ランサムウエアであることを確認しました。
影響の範囲は特定されましたが、被害拡大を防止するために安全確認を順次進めております。
弊社からお客様に提供しているサービスには影響ございません。
本件に関しては、独立行政法人情報処理推進機構(IPA)に報告するとともに、警察にも届けております。
引き続き、当社サービスをお客様・お取引先様に安心してご利用いただけるよう、関係機関とも連携しながら対応を進めてまいります。
お客様・お取引先様に多大なるご迷惑およびご心配をおかけしますことを深くお詫び申し上げます。
このたび、弊社が運営するショップサイト「fofo」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(15,198件)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
2023年9月13日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受けました。サイトの更新状況および、決済代行会社様との契約更新に伴い、2023年4月1日時点ですでに弊社が運営する「fofo」のカード決済を停止しておりましたが、この事実を受け、第三者調査機関による調査も開始いたしました。2024年1月17日、調査機関による調査が完了し、2020年12月24日~2023年12月8日の期間に 「fofo」で購入されたお客様クレジットカード情報漏洩の可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
弊社が運営する「fofo」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、WebShellによるサーバー内の不正操作が行われたため。
2020年12月24日~2023年12月8日の期間中に「fofo」においてクレジットカード決済をされた15,198件が対象で、攻撃者によってサーバー上に以下のクレジットカード情報が平文で出力され保存された可能性があります。
・クレジットカード番号
・有効期限
・セキュリティコード
・会員氏名
・DBデータ
・ログイン情報
上記に該当する15,198名のお客様については、別途、電子メールにて個別にご連絡申し上げます。
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
2023年9月13日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。現在は当該サーバーを完全に停止し、新たなサイトの運用に向け鋭意対応中です。改修後の「fofo」の運用につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年9月22日及び2024年1月30日に報告済みであり、また、所轄警察署にも2023年9月25日に被害の相談、2024年2月27日に状況結果を申告しており、今後捜査にも全面的に協力してまいります。
この度、お客様向けのメール一括送信機能の確認のためにテストメールを社内に送信しようとしたところ、誤って社外の方233名に対してメールを送付してしまい、その結果、最大79名の方の氏名とメールアドレスが他の方に閲覧可能な状態になってしまう事案が発生しました。誤ったメールを送信をしてしまった方々には既に削除をお願いしておりますが、皆さまに多大なご迷惑とご心配をおかけしたことを深くお詫び申し上げます。
以下、経緯と原因、再発防止策となります。
2024年5月10日11時34分頃、当社の「資金調達クラウド」ユーザーのお客様向けのメール一括送信機能のテストのため、社内向けにテストメールを配信しようといたしました。その際、担当者の誤操作により233名のお客様にメールが誤って送付され、一部の方の個人情報(氏名及びメールアドレス)が他の方に送付されてしまったことがわかりました。
当社とお付き合いのある企業、最大12社79名の氏名とメールアドレス情報
担当者がシステムを使って送信処理を行う際、作業手順を誤ったことに起因しています。
本事案発見直後に当該メールの受信者である233名の方に対し、メール誤送信に関するお詫びと、当該メールの速やかな削除をお願いするメールを送信しております。
事故の原因は作業手順を誤ったことによるオペレーションミスによるものですが、同様のことを引き起こさないよう改めて作業手順を見直すとともに、ヒューマンエラーが起きることを想定してシステムの見直しも行ってまいります。また、個人情報の管理を一層強化してまいります。
ご迷惑をおかけしましたこと、重ねてお詫び申し上げます。
