【セキュリティ事件簿#2024-210】元旦ビューティ工業株式会社 弊社サーバーへの不正アクセスによる被害および個人情報漏洩の可能性について 2024/5/27

 

弊社サーバーが第三者による不正アクセスを受け、サーバーに保管されていた個人情報を搾取された可能性があることが判明いたしました。現在の状況と今後の対応につきまして、次の通りご報告いたします。

１、経緯

弊社サーバーに対し、第三者からの攻撃が行われ、不審なプログラムが実行されていることが、2024年3月20日に判明いたしました。直ちに被害拡大の防止措置を行うとともに、情報漏洩などの被害状況を確認すべく、判明翌日から外部専門業者の協力を得ながら調査を続けてまいりました。調査の過程において、5月17日までは漏洩の痕跡は見当たらなかったものの、5月20日に情報漏洩の可能性があることが確認されたため、5月22日に個人情報保護委員会へ「漏洩のおそれ」として報告いたしました。

２、被害状況

現在、鋭意調査を続けておりますが、漏洩の可能性がある個人情報は以下の通りです。

・社員情報（氏名・住所・電話番号・メールアドレス）

・弊社協力企業情報（社名・氏名・住所・電話番号）

・顧客情報（氏名・住所・メールアドレス）

尚、現時点において、不正に得た情報が悪用されたという被害報告はございません。

３、今後の対応

本件につきましては引続き外部専門業者の協力を得ながら、事実の確認に努めております。また、現在は「漏洩の可能性」の段階でございますが、漏洩の事実や不正に得た情報が悪用されたという事実が生じた場合は改めて公表いたします。

なお、漏洩の事実や情報の悪用が確認されていない現段階におきましては 2024年３月期決算発表に及ぼす影響は無いと判断しております。この度は皆様に多大なご迷惑ご心配をお掛けしておりますこと、改めて深くお詫び申し上げます。弊社は今回の事態を重く受け止め、セキュリティ体制の改善およびネットワークに対する監視体制強化など、再発防止に向けまして全力で取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-032】こころネット株式会社 当社サーバーへの不正アクセス被害に関する追加対応のご報告 2024/5/27

当社は、2024年１月26日に公表いたしました「第三者による当社サーバーへの不正アクセス被害のお知らせ」及び2024年３月1日に公表いたしました「（開示事項の経過）当社サーバーへの不正アクセス被害に関する調査結果のご報告」のとおり、当社サーバーが第三者による不正アクセス被害を受けたことを確認し、外部専門家や警察と連携のうえ、調査・対応し、再発防止に努めてまいりました。その後、個人情報保護委員会への報告・相談を進める中で、個人情報が外部に流出した可能性が完全には払拭できないと判断しました。つきましては、追加の対応を進めることといたしましたので、以下のとおりご報告いたします。

関係各位の皆様にご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。

※フォレンジック調査とは、デジタル機器の記憶装置から証拠となるデータを抽出し、サーバーや通信機器等に蓄積されたログ等の証跡情報から発生事象を明らかにする手段や技術のこと。

１．発覚の経緯及びこれまでの対応状況

2024年１月16日、当社サーバーへのアクセス障害が発生し、再起動により復旧いたしました。

2024年１月16日～23日まで、当社のＩＴ担当部署にて調査した結果、当社サーバーへのパスワード改ざん、不明なファイルの生成及び大量アクセスを確認いたしました。これらの状況から、第三者による当社サーバーへの不正アクセスがなされたと判断し、当該サーバーに対してパスワード変更やサーバー停止等の措置を実施いたしました。

2024年１月24日、外部専門家を交えて、原因の特定、被害情報の確認、情報流出の有無等の調査を実施いたしました。その過程で、第三者による不正アクセス被害があったものと断定し、同日に対策本部の設置及び警察への通報等を行いました。

2024年１月25日、情報流出のおそれの可能性を考慮し、個人情報保護委員会へ報告いたしました。

2024年１月29日から、外部専門家によるフォレンジック調査を開始するとともに、被害を受けたサーバーの再構築やネットワーク環境の見直し等を直ちに実施いたしました。

2024年２月27日、外部専門家によるフォレンジック調査が完了し、調査報告を受領いたしました。

2024年３月19日、個人情報保護委員会へフォレンジック調査結果を報告いたしました。

2024年４月19日、個人情報保護委員会の見解をもとに調査結果の再精査を開始いたしました。

2024年５月27日、内容を精査する過程で、個人情報が外部に流出した可能性が完全には払拭できないという判断に至りました。

なお、2024年５月27日現在まで個人情報の流出は確認されておりません。

２．流出等のおそれがある対象者及び個人情報の項目

対象者 

・「対象のグループ企業」の利用履歴があるお客様

・当社グループの従業員

対象のグループ企業

・こころネット株式会社

・株式会社たまのや

・カンノ・トレーディング株式会社（石のカンノ）

・株式会社Ｗith Ｗedding

・株式会社北関東互助センター

項目

以下の項目のいずれか複数項目

・氏名

・生年月日

・性別

・住所

・電話番号

・メールアドレス

３．二次被害のおそれの有無及び内容

現時点においては不正使用等の二次被害が発生した事実は確認されておりません。

関係各位の皆様におかれましては、不審な問合せに十分ご注意いただきますようお願いいたします。万が一、第三者の悪用を確認した場合は、「４．お問合窓口」にご連絡ください。

４.お問合窓口

（略）

５．再発防止策及び今後の対応

上記の追加対応を進めるとともに、外部専門家のアドバイスを受けながら、システム・ネットワーク・デバイスのセキュリティ対策、情報セキュリティインシデントに対する体制の強化及び従業員に対するセキュリティ教育を図り再発防止に努めてまいります。

また、引き続き、警察への捜査協力及び個人情報保護委員会への報告等を行ってまいります。

なお、本件による当社の2025年３月期連結業績に与える影響は軽微であると判断しておりますが、公表すべき事項が生じた場合には、速やかにお知らせいたします。

リリース文（アーカイブ）

【2024年1月26日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-209】株式会社トラスト＆コミュニケーションズ 個人情報の漏えいのおそれについて 2024/4/26

 

4月9日、弊社の社員の業務用パソコン1台がサポート詐欺に遣い、その際巧みに遠隔操作ソフトがインストールされ、約10分間当該業務用パソコンが第三者によって遠隔操作されたことから、同パソコン内に保存していた資料等 (以下、お客様リスト等という。)がコピーされ抜き取られた可能性がある事象が発生しました。本件に関してのお客様からの被害や不審な接触等のご連絡はございません。

本件について、下記のとおり報告いたします。

今回の不祥事に対し、 心からお詫び申し上げますとともに、 再発防止に努めてまいります。

漏えいのおそれの範囲

お客様リストには、弊社既契約者 54 名様分の情報が記載されておりました。

リストの記載情報は、お客さまによって相違いたしますが、お名前、ご住所、電話番号、罹患された病名が記載さんれております。

判明後の対応

本事案判明後、対象のお客様全員に対して、 当社よりお詫びのお電話を差し上げているほか、ご連絡が取れなかったお客様にはお詫び状をお送りさせていただきました。

また、取引保険会社各社、監督当局に対しても報告しております。

今後の対応について

弊社としては、今回の事態を非常に重く受け止め、 情報管理について今後更なる厳格化を図り、再発防止に全力で取り組んで参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-208】山口県 特定非営利活動法人役員等の個人情報漏えいについて 2024/4/12

 

県では、特定非営利活動促進法に基づき特定非営利活動法人（以下「NPO法人」という。）から毎事業年度提出される事業報告書等について、県民生活課及びやまぐち県民活動支援センターにおいて閲覧に供するとともに、内閣府が運営するNPO法人ポータルサイト（以下「ポータルサイト」という。）に掲載し、公表しているところです。

この度、非公開とすべき個人の住所について、誤って閲覧請求者に公開した事案、及び、ポータルサイトに誤掲載していた事案が判明しましたので、下記のとおりお知らせします。

1　事案の概要

○4月5日（金曜日）に、閲覧請求者が県民生活課内においてNPO法人（1法人）の書類を閲覧していたところ、一部の役員名簿における役員の住所が黒塗りされておらず、閲覧できる状況になっていた。

○当該事案を受け、4月6日（土曜日）から4月8日（月曜日）にかけて、過去の閲覧記録及びポータルサイトに掲載している事業報告書等を確認したところ、他の法人においても、非公開とすべき個人の住所について、誤って公開していたことが判明した。

※令和2年の特定非営利活動促進法の改正に伴い、令和3年6月9日以降、閲覧・公表の対象から個人の住所を除外することとされている。

2　漏えいのあった個人情報（58法人・387名）

（1）閲覧に供したもの

事業報告書等に記載された役員等の住所

法人数	対象者数	発生日	発覚日
58法人	387名	令和3年8月25日から令和6年4月5日	令和6年4月5日から令和6年4月8日

（2）ポータルサイトに掲載したもの

平成30年度、31年度及び令和2年度事業報告書等における財産目録に記載された法人理事長の住所

法人数	対象者数	誤掲載期間	発覚日
1法人	1名	令和3年6月9日から令和6年4月7日	令和6年4月7日

※（1）で漏えいした個人情報と重複

3　発生原因

閲覧用書類の作成やポータルサイトへの掲載について、担当者のみで行っていたため、チェック体制が不十分であった。

4　県の対応

（1）個人情報が流出したNPO法人等への対応

○4月11日（木曜日）までに全58法人に電話連絡を行い、52法人に謝罪し、事態の概要等を説明した。

○連絡が取れなかった法人及び個人情報が漏えいした本人には、今後、文書により謝罪し、事態の概要等を通知する。

○ポータルサイトに誤掲載していた文書は、事案が判明した4月7日（日曜日）に掲載を取り下げ、後日、個人情報を除いて再度掲載した。

（2）再発防止の措置

○閲覧に供する全法人の関係書類を再確認し、非公開とすべき事項が閲覧できないよう措置を講ずる。

○閲覧用書類の作成やポータルサイトへの掲載について、複数職員で確認を行うなど、事務処理手順を見直し、チェック体制を強化・徹底する。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-207】鳥取県 消防防災航空センターホームページおける個人情報の漏えい 2024/5/21

 

消防防災航空センターがとりネットで公開しているヘリコプターの「運航の手引き」の中に、実際の救助事案の報告書を添付していたため、要救助者の個人情報がインターネット上に漏えいしました。

該当者には、消防防災航空センターより状況を説明し、謝罪しました。また、インターネット上に残っていた個人情報のデータも削除されていることが確認できました。

今後、同様な事案が起きないよう再発防止対策を講じて個人情報の適切な管理に努めます。

1 事案の概要

消防防災航空センターでは、災害発生時に効果的かつ安全に活動するための基本的事項を「運航の手引き」としてまとめ、ホームページで広く一般の方へ公開している。

このうち「鳥取県消防防災ヘリコプター運航管理要綱」に実際の緊急運航時の報告書を添付していたため、要救助者の個人情報がインターネット上に漏えいした。

2 漏えいした個人情報及び期間

○漏えいした個人情報（要救助者1名）

　(1) 住所、氏名、電話番号、生年月日、遭難の日時・場所、傷病者の状況

　(2) 接触時の状況及び対応

○漏えいしていた期間

　令和5年2月18日～令和6年3月10日

• このうち令和5年2月18日から令和6年2月25日までは、(1)(2)とも個人情報をPDFファイル上で白塗り（一部非開示）した状況で公開した（画面上では見えないが、データとしては確認できる状態）。
  
  
• 令和6年2月25日の更新時に白塗りの位置がずれ、(1)の情報がホームページ上で閲覧できる状況になっていた。

3 経過

• 3月10日に、隊員が消防防災航空センターホームページ上の当該ファイルに個人情報が記載されていることに気づき、ホームページから個人情報が含まれたファイル及び当ファイルへのリンクを削除した。

※ホームページ上のファイルは削除したが、記載されていたデータがインターネット上に残っており、検索は可能な状況であった。

• 消防防災航空センター所長から該当者に連絡し、情報漏えいを謝罪した（後日、文書で謝罪するとともにホームページに掲載していた情報を説明）。
  
  
• 5月、インターネット上に残っていた個人情報のデータが削除されたことを確認した。

第3者が当該個人情報を閲覧したり、他のサイトにデータを転載した情報は入っていない。

4　発生原因

○情報セキュリティ管理に関する意識の低さ、手順・ルールの認識不足

• 隊員がPDFファイル等の「非公開情報の上に図形等をかぶせ、人が読めなくする方法では、データを消したことにならない」という認識が不足していたため、個人情報の入った報告書を白塗りした様式を作成した。

○決裁過程及び公開前におけるチェック不足

• 紙文書で回覧・決裁を行っており、個人情報が白塗りで隠されていることに気付くことができなかった。
  
  
• 白塗りの位置がずれて個人情報が閲覧できる状態となっていることに気付かず掲載した。

5　再発防止策

○情報セキュリティ管理に関する意識の低さ、手順・ルールの認識不足

• 情報セキュリティ管理の基本について隊員に周知し、情報セキュリティへの意識を高め、個人情報が含まれているファイルは公開用文書の作成に利用しないよう徹底する。

○決裁過程及び公開前におけるチェック不足

• ホームページで公開する文書は必ずデータで確認するよう回覧・決裁の仕方を見直す。
  
  
• 他の隊員による最終確認を徹底する。

リリース分（アーカイブ）

【セキュリティ事件簿#2024-205】株式会社MIXI 不正ログインによる個人情報漏えいのおそれについて 2024/5/20

 

いつも SNS mixi をご利用いただき、ありがとうございます。

mixi運営事務局です。

2024年2月15日から3月16日にかけて ソーシャル・ネットワーキング サービス mixi (以下 SNS mixi) においてユーザー本人ではない第三者による不正ログインと思われる事象が確認されております。ログインすることで閲覧できる個人データが第三者に漏えいしたおそれがあるため、該当するアカウントのユーザーの方にご登録いただいているメールアドレスへメールをお送りしておりますのでご確認ください。

■概要

発生日: 2024年2月15日から3月16日

発生内容: 該当するお客様のアカウントに対して、第三者による不正とみられるログインが確認されました。アカウントの一時停止またはパスワードリセットにより、現在は当該第三者はお客様のアカウントにアクセスできないようになっております。

■漏えい等が発生したおそれがある個人データの項目

プロフィールや登録情報に設定されている下記項目

- 氏名

- 性別

- 生年月日

- メールアドレス

■原因

第三者が SNS mixi 以外で入手したメールアドレスとパスワードの組み合わせを使用してログインを試みたことによります。

■二次被害又はそのおそれの有無及びその内容

現時点において確認されている二次被害はありません。他のサービスで同じメールアドレスとパスワードを使用してログインされている場合、それらのアカウントも不正ログインや乗っ取りが発生する恐れがございます。もし現在も同じメールアドレス・パスワードを使用している場合には、速やかに変更いただきますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-204】東京都交通局 個人情報の漏えいについて 2024/5/24

 

都営交通モニター事業について、募集等を受託している事業者から応募者の方にメールを送信する際、29 名の方に宛名を間違えたメールを誤送信してしまう事故がありましたので、お知らせいたします。関係者の皆様には多大なるご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

１ 事故の概要

• 令和６年５月 23 日（木）、都営交通モニターの応募者（2,230 名）にメールを送信する際、誤って 29名の方に宛名を間違えたメールを送信する事故が発生しました。
  
  
• 都営交通モニター事業の募集・運営は株式会社エスアイ総合研究所（以下「受託会社」）に委託しており、応募者の個人情報も受託会社が管理していました。

２ 漏えいした個人情報

応募者 29 名分の氏名

３ 対応状況

昨日中に、29 名の方々に対して、受託会社からお詫びのメールを送信するとともに、本日、改めて電話にて謝罪をしている状況

※ 現時点では本件による二次被害は、報告されておりません。

４ 発生原因

 受託会社によるリスト整理の不備

５ 再発防止の対応

受託会社に対し、厳重な注意と個人情報保護に必要な措置を至急講じるよう、委託契約の規定に基づき指示をしました。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-203】仙台市立病院における個人情報漏えいについて 2024/5/24

 

市立病院において、当院職員が、ＳＮＳ上に担当患者１名のカルテの写真を掲載し、個人情報を漏えいさせる事案が発生しました。

現時点で情報の流出による被害等は確認されていませんが、当該患者の方に対し、ご迷惑をお掛けしたことを改めておわびするとともに、個人情報の取り扱いに係る適切な管理を徹底し、再発防止に努めてまいります。

１　事案の概要

４月１５日頃、当院の職員が、担当患者のカルテに記載されていた疾病の説明について、業務の参考にするため、電子カルテの内容を印刷したものを自己のスマートフォンで撮影し、写真データを保存する目的で自身のインスタグラムに投稿した。投稿する際、当該職員は患者に関連する個人情報を全て消去したつもりだったが、写真の一部分に当該患者の氏名とＩＤが残っていた。

５月１５日（水）に外部から匿名で指摘があり、その日のうちに当該データを削除したが、それまでの約１カ月間、当該情報が閲覧可能な状態となっていたもの。

２　対応等

５月２３日（木）に当該患者ご本人へ電話し、事案の説明と謝罪を行った。

３　漏えいした個人情報

市立病院に通院している患者１名分の氏名および病名

４　再発防止策

（１） 院内の全職員に対し、個人情報の適切な管理や取り扱いについて、院内会議および文書により改めて周知徹底を図る。

（２）毎年実施している個人情報保護研修や採用職員オリエンテーションにおいて、今回の事案を実際の事故例として、適切な個人情報の取り扱いに関する認識の徹底を図る。

リリース文（アーカイブ）