【セキュリティ事件簿#2024-215】株式会社フォーバル 弊社への不正アクセスについて 2024/5/29

フォーバル
 

日頃より、弊社サービスや商品をご利用くださいまして、誠にありがとうございます。

2023年11月17日に発生しましたシステム障害に関して、調査の結果、社内ネットワークへの第三者による不正アクセスを受け、情報漏えいのおそれが確認されました。

影響範囲におきましては、弊社DB上にある法人情報(過去に取引したことのある企業情報を含め※法人名・代表者名・住所・連絡先※電話番号およびメールアドレス・本社住所など各企業のHP上に公表されている情報のDB化されたもの)が対象になります。

人事・財務情報および特定個人情報についてはクラウドまたは外部委託を行っていたため、影響はございません。

なお、不正アクセスを受けた機器のネットワーク接続など関連するサーバの接続などは発生確認時より速やかに遮断し、各調査機関ならびに個人情報保護委員会への報告・相談を行うと同時にシステムの調査・復旧を進めてまいりましたため、現在は一部を除くシステムへの影響はないことを確認しております。

今回の不正アクセスはランサムウェア(身代金要求型ウィルス)による攻撃が原因であることが特定されておりますが、弊社のシステム運用により被害を軽微に留めることが出来ております。

また、今回の攻撃による外部からの被害報告は受けておりません。

引き続き、監視と詳細調査の継続を行いますが、この度、システム障害によるお客様をはじめ、関係する皆様にご心配とご迷惑をおかけすることになりましたこと、深くお詫び申し上げます。

フォーバルグループでは、改めて一層のセキュリティ対策を強化し、皆様のお役に立てるように引き続き、取り組んでまいります。

なお、本件の当社グループの前期業績に及ぼす影響については限定的でございます。

引き続き、フォーバルグループをよろしくお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-214】株式会社ネクストレベル 不正アクセスによる個人情報漏えいのお知らせとお詫び 2024/5/24

ネクストレベル
 

平素はネクストレベルをご利用いただき誠にありがとうございます。

株式会社ネクストレベル(大阪府大阪市 代表取締役社長・志村康雄)は、当社が管理運営する「ネクストレベル」のプラットフォーム加盟企業に付与しておりました管理画面から、ワーカーデータベースに対する不正なアクセスにより、一部のワーカー様の個人情報が抜き取られるという事態が発生したことが判明いたしましたのでご報告いたします。

当社は、本件発覚後、警察への被害相談及び個人情報保護委員会への報告を行い、通知先となるメールアドレスが把握できているワーカー様に対するご通知を実施しておりましたが、その他のワーカー様への通知方法の検討に時間を要し、大切な情報の公表が遅くなってしまったことを、深くお詫び申し上げます。

ワーカーの皆様をはじめ多くの関係先の皆様にご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

・発覚の経緯

2023年7月14日、第三者から、一部のワーカー様の個人情報が漏えいしているとの情報提供がありました。

当社が直ちに外部のシステム専門家と連携しつつ、調査を実施したところ、当社が管理運営する「ネクストレベル」のプラットフォーム加盟企業に付与していた管理画面から、ワーカーデータベースに対する不正なアクセスにより、一部のワーカー様の個人情報が抜き取られるという事態が発生していたことが発覚いたしました。

・対象となる情報の内容と件数

内容:当社が管理運営する「ネクストレベル」に登録・エントリーされているワーカー様のID、氏名、性別、生年月日、住所、電話番号、メールアドレス、口座情報、勤務経歴及び勤務条件、資格、緊急連絡先、当社システム上に保存されていた身分証明書写真データにアクセスするためのリンクURL(既に変更・セキュリティ措置済)。なお、当社はマイナンバーを取得しておりませんので、漏えい情報にマイナンバーは含まれません。

件数:496,119件

・現在までの対応

本件発覚後、当社は直ちに当該プラットフォーム加盟企業のアカウントの停止等、必要な緊急対策を実施いたしました。

また、システム会社と連携の上、セキュリティ向上のためのアップデートを行い、同様の事態が発生しないよう改善措置を実施済です。

発覚後、同個人情報を転得したと称する者からの連絡がありました。当社は、警察への被害相談を実施すると共に、警察署において、警察官立ち合いの下、同人物からワーカー様の個人情報を含むUSBメモリの返還を受けました。当該人物は、個人情報は複製していないと述べておりましたが、同事実の確認はできません。

なお、後述のとおり、同返還に関して、当社が資金提供等を申し出た事実はありません。

また、当社は、2023年11月、個人情報保護法に基づき、個人情報保護委員会への報告を実施するとともに、通知先となるメールアドレスが把握できているワーカー様に対するご通知を実施いたしました。

個人情報保護委員会への報告及びワーカー様へのご通知までに時間を要したことにつきましては、心よりお詫び申し上げます。

また、一部ワーカー様へのご通知が遅延しておりますことについても、心よりお詫び申し上げます。

なお、一部SNSにおいて、当社役職員がワーカー様の個人情報を売買した、あるいは、個人情報回収のために金員提供を申し出たなどの投稿が散見されますが、全くの事実無根です。

正確な情報は当社リリースをご確認いただけますよう、重ねてお願い申し上げます。

現在までのところ、本件に関わる個人情報の不正利用等は確認されておりません。

※本リリースに記載するほか、漏えいに至った経緯や、漏えいした個人情報の内容の詳細等につきましては、大変申し訳ございませんが、今後の対応や、個人情報不正利用防止の観点から、差し控えさせていただきます。

・今後の対策と再発防止

当社は、この事態を重く受け止め、外部の専門機関の協力を得つつ、情報セキュリティ体制のさらなる強化を図り再発を防ぐため、最善の努力を惜しまない所存です。

リリース文アーカイブ

【セキュリティ事件簿#2024-031】ヤマモリ株式会社 『伊勢醤油本舗オンラインショップ』不正アクセスによる クレジットカード情報流出懸念に関するお詫びとお知らせ 2024/5/28

 

このたび、弊社子会社の伊勢醤油本舗株式会社が運営するオンライン通販サイト(以下、EC サイト)において、お客様の個人情報(9,034 名)および、クレジットカード情報(2,727名)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑をおかけしておりますことを深くお詫び申し上げます。なお、個人情報が漏洩した可能性のあるお客様には、本日より、順次、電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。

本件は 2024 年 1 月 18 日に EC サイトに第三者による不正アクセスを受けた可能性があることが判明、同日中にオンライン決済サービスとの切り離しを実施致しました。弊社では、このたびの事態を厳粛に受け止め、お客様には誠心誠意、適切な対応をさせていただくとともに、再発防止の対策を徹底してまいります。

1. 経緯

2024 年 1 月 18 日、伊勢醤油本舗株式会社の EC サイトが使用するショッピング構築システムにて第三者による不正アクセスを受けた可能性があることが警察からの指摘で判明致しました。これを受け、当日内にネットワークからの切り離しを実施、捜査に必要な情報を提出。併せて 1 月 31 日より第三者調査機関による調査を開始致しました。

2024 年 2 月 19 日にカード決済代行会社およびカード会社を通じて被害の発生有無を確認致しました。

2024 年 2 月 29 日、第三者調査機関の調査結果にて、お客様情報の窃取などの攻撃が行われた可能性があることが判明しました。2021 年 6 月 10 日~2024 年 1 月 18 日の期間に「伊勢醤油オンラインショップ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認致しました。

以上の事実が確認できたため、本日の発表に至りました。

2.対象となるサイト

伊勢醤油本舗オンラインショップ(https://www.isesyoyu.co.jp/)

※電話やハガキ、FAX でご注文されたお客様は含みません。

※ヤマモリ株式会社公式オンラインショップ(楽天市場、Yahoo!ショッピング)は対象ではございません。

3.原因

伊勢醤油オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の

不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

4.流出が懸念される情報

(1) 個人情報漏えいの可能性があるお客様

当サイトにおいて購入されたお客様 9,034 名で、漏えいした可能性のある情報は以下のとおりです。

氏名

メールアドレス

郵便番号

住所

電話番号

FAX 番号(任意入力項目)

生年月日(任意入力項目)

性別(任意入力項目)

(2) クレジットカード情報漏えいの可能性があるお客様

2021 年 6 月 10 日~2024 年 1 月 18 日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様 2,727 名で、漏えいした可能性のある情報は以下のとおりです。

カード名義人名

クレジットカード番号

有効期限

セキュリティコード

および伊勢醤油オンラインショップログイン用のパスワード

上記に該当する 9,034 名のお客様については、別途、電子メールおよび書状にて 個別にご連絡申し上げます。

5.お客様への対応

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願い致します。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。また、お客様がクレジットカード番号の変更をご希望の場合は、クレジットカードの再発行手数料のご負担をおかけしないよう、弊社よりカード会社に依頼しております。

6.公表が遅れた経緯について

2024 年 1 月 18 日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止めるべく対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

7.現在の状況

現在、オンラインショッピングによるご注文は停止しており、お電話でのご注文の際は、別のお支払方法(代引きまたは振込)でのお支払いをお願いしております。

所轄警察には 2024 年 1 月 18 日、所轄官庁(個人情報保護委員会)には 2024 年 1 月 31日にすでに相談、報告を開始しており、今後捜査にも全面的に協力してまいります。

8.今後の対応

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「伊勢醤油オンラインショップ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせ致します。

【2024/1/9リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-212】川崎市 個人情報を含む USB メモリの所在不明について 2024/5/27

川崎市
 

まちづくり局交通政策室では、ペーパレス化や過去の申請資料の検索を迅速化するため、過年度(平成5年度、平成17年度~平成28年度)に申請された駐車施設附置届出書等(紙資料)1,660件(同一の者からの申請を除くと664件)をスキャンしてハードディスクに保存するとともにバックアップのためUSB メモリに一時的に保存しておりました。

令和6年5月16日(木)、担当職員がスキャンしたデータを保存するため、交通政策室内(本庁舎内執務室)の保管場所を確認したところ、USB メモリが保管されておらず、捜索の結果、USB メモリ2個(USB メモリ①、USB メモリ②)の所在不明が判明し、現時点においても発見にいたっておりませんので、お知らせいたします。

なお、現時点では個人情報の漏えいは確認されておりません。

また、USB メモリに保存しているデータはバックアップ用であるため、業務への支障はない見込みです。

1 所在不明の USB メモリに含まれる個人情報

USB メモリ①に保存しているもの:申請総数1,660件(同一の者からの申請を除くと664件)

個人による申請件数:143件

  • 駐車施設附置(変更)届出書に記載の申請者情報(氏名、住所、電話番号)は、34件
  • 総合調整条例の事業概要書及び協議書に記載の申請者情報(氏名、住所、電話番号)は、100件
  • 大規模小売店舗立地法の規定による届出に記載の申請者情報(氏名、住所、電話番号)は、9件
  • なお、上記のうち、同一個人の申請(変更)による重複を除いた件数は、128件

法人による申請件数:1,517件

  • 駐車施設附置(変更)届出書に記載の申請者情報(法人の代表者の氏名等)は、1,111件
  • 総合調整条例の事業概要書及び協議書に記載の申請者情報(法人の代表者の氏名等)は、326件
  • 大規模小売店舗立地法の規定による届出に記載の申請者情報(法人の代表者の氏名等)は、80件
  • なお、上記のうち、同一法人の申請(変更)による重複等を除いた件数は、536件

※上記全て、届出書等をスキャンした「画像ファイル」として保存

USB メモリ②は庁舎移転時のデータ転送用で使用していたため、保存しているデータはありません

2 経 過

3月 7日(木)

担当者が USB メモリ①にスキャンデータを保存(最終使用日)

5月16日(木)

15時半頃、USB メモリ①の所在不明を覚知したことから担当者が上司へ報告し、交通政策室内での捜索に着手

また、当室所管の USB 台帳と現物を突合したところ、新たに USB メモリ②が所在不明であることが判明し、合わせて捜索に着手

5月17日(金)

引き続き所在不明の USB メモリ①②の捜索を継続

~5月24日(金)

また、令和6年4月1日付けで当室から他部署へ異動した職員を含め、当室所属の全職員(30名)に対し聞き取り調査を実施。USB メモリ②については、最終使用者から、1月23日に使用後、データを削除して保管場所へ戻したことを確認

 職員への聞き取りの結果、所在不明となっている USB メモリ①②の外部への持ち出しは確認されていない。

5月27日(月)

対象となる申請者へ今回の事案とお詫びを記載した通知を発送

3 原 因

上記1に記載の情報のバックアップを目的に一時的に USB メモリにデータを保存していたが、USB メモリの利用記録を作成し、貸出返却を確実に行う管理を不注意により怠ったため所在不明となったもの。

4 今後の対応

当該 USB メモリの捜索を継続します。

また、まちづくり局内各所属で所有する USB メモリを原則廃止し、局の総務部門での一括管理とするなど、取扱いについて全面的に見直すとともに、改めて、職員に対して、情報セキュリティの重要性について十分理解させるための研修等を実施するなど、再発防止に向け、個人情報を含むデータの取扱に関する規則等を徹底するよう改めて指導してまいります。

対象となる申請者の方にはお詫び文などにより今回の事案のお知らせと謝罪をしてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-211】知多メディアスネットワーク株式会社 個人情報の漏えいに関するお詫び 2024/5/8

知多メディアスネットワーク
 

いつも当社のサービスをご利用いただき、誠にありがとうございます。

この度、メディアスアプリ(PC版)において、CNCIグループ他社の個人情報が表示される事象が判明しました。

お客様並びに関係者の皆様に多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

当社では、これまで個人情報取扱いにあたり、厳格な取扱い・管理の徹底に努めてまいりましたが、今回情報漏えいが発生したことを踏まえ、より一層の情報管理体制の強化に取り組んでまいります。

1.経緯

2024年5月1日当社お客様から「利用明細を印刷した際、別の方の情報が記載されている」とのご連絡を頂きました。

内容確認と調査の結果、4月22日に印刷した利用明細から

共通システムを利用する別のCNCIグループ2社の個人情報が表示されていたことが判明しました。

漏えいした個人情報につきましては、お客様のご協力のもと、印刷物を回収するとともにデータ保管はされていないことを確認しております。

2.漏えいした個人情報

(1)表示されたお客様情報

  ・氏名

  ・住所

  ・ご利用サービス

  ・お引き落とし口座番号の一部(下4桁は伏字、※金融機関名は含みません)

   ※クレジットカード・電話番号・メールアドレス等の情報は含まれておりません。

(2)対象となるお客様の人数

  ・漏えいのあった人数:CNCIグループ2社 各1名(計2名)

  ・漏えいの可能性があった人数: 7名

   ※漏洩の可能性がある先の7名の方とは連絡が取れ、別の方の情報を閲覧したり印刷したりした事実がないことの確認がとれております。

3.原因

アプリサーバーの能力向上のため2024年4月19日に変更したシステム構成の不具合により共通システムを利用する別のCNCIグループ2社の個人情報が表示されました。

尚、システム変更による効果が発揮されなかったため、4月24日に従来の構成に戻しました。

4.対応および再発防止策

(発覚直後に実施済み)

  ・対象のCNCIグループ2社に連絡し、対象のお客様へ連絡しました。

  ・アクセスログを確認し、期間中に利用明細を印刷したお客様に表示内容を確認しました。

(今後速やかに実施)

 ・より強固なシステムへの構成変更を検討します。

リリース文アーカイブ

【セキュリティ事件簿#2024-210】元旦ビューティ工業株式会社 弊社サーバーへの不正アクセスによる被害および個人情報漏洩の可能性について  2024/5/27

 

弊社サーバーが第三者による不正アクセスを受け、サーバーに保管されていた個人情報を搾取された可能性があることが判明いたしました。現在の状況と今後の対応につきまして、次の通りご報告いたします。

1、経緯

弊社サーバーに対し、第三者からの攻撃が行われ、不審なプログラムが実行されていることが、2024年3月20日に判明いたしました。直ちに被害拡大の防止措置を行うとともに、情報漏洩などの被害状況を確認すべく、判明翌日から外部専門業者の協力を得ながら調査を続けてまいりました。調査の過程において、5月17日までは漏洩の痕跡は見当たらなかったものの、5月20日に情報漏洩の可能性があることが確認されたため、5月22日に個人情報保護委員会へ「漏洩のおそれ」として報告いたしました。

2、被害状況

現在、鋭意調査を続けておりますが、漏洩の可能性がある個人情報は以下の通りです。

・社員情報(氏名・住所・電話番号・メールアドレス)

・弊社協力企業情報(社名・氏名・住所・電話番号)

・顧客情報(氏名・住所・メールアドレス)

尚、現時点において、不正に得た情報が悪用されたという被害報告はございません。

3、今後の対応

本件につきましては引続き外部専門業者の協力を得ながら、事実の確認に努めております。また、現在は「漏洩の可能性」の段階でございますが、漏洩の事実や不正に得た情報が悪用されたという事実が生じた場合は改めて公表いたします。

なお、漏洩の事実や情報の悪用が確認されていない現段階におきましては 2024年3月期決算発表に及ぼす影響は無いと判断しております。この度は皆様に多大なご迷惑ご心配をお掛けしておりますこと、改めて深くお詫び申し上げます。弊社は今回の事態を重く受け止め、セキュリティ体制の改善およびネットワークに対する監視体制強化など、再発防止に向けまして全力で取り組んでまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-032】こころネット株式会社 当社サーバーへの不正アクセス被害に関する追加対応のご報告 2024/5/27

こころネット

当社は、2024年1月26日に公表いたしました「第三者による当社サーバーへの不正アクセス被害のお知らせ」及び2024年3月1日に公表いたしました「(開示事項の経過)当社サーバーへの不正アクセス被害に関する調査結果のご報告」のとおり、当社サーバーが第三者による不正アクセス被害を受けたことを確認し、外部専門家や警察と連携のうえ、調査・対応し、再発防止に努めてまいりました。その後、個人情報保護委員会への報告・相談を進める中で、個人情報が外部に流出した可能性が完全には払拭できないと判断しました。つきましては、追加の対応を進めることといたしましたので、以下のとおりご報告いたします。

関係各位の皆様にご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。

※フォレンジック調査とは、デジタル機器の記憶装置から証拠となるデータを抽出し、サーバーや通信機器等に蓄積されたログ等の証跡情報から発生事象を明らかにする手段や技術のこと。

1.発覚の経緯及びこれまでの対応状況

2024年1月16日、当社サーバーへのアクセス障害が発生し、再起動により復旧いたしました。

2024年1月16日~23日まで、当社のIT担当部署にて調査した結果、当社サーバーへのパスワード改ざん、不明なファイルの生成及び大量アクセスを確認いたしました。これらの状況から、第三者による当社サーバーへの不正アクセスがなされたと判断し、当該サーバーに対してパスワード変更やサーバー停止等の措置を実施いたしました。

2024年1月24日、外部専門家を交えて、原因の特定、被害情報の確認、情報流出の有無等の調査を実施いたしました。その過程で、第三者による不正アクセス被害があったものと断定し、同日に対策本部の設置及び警察への通報等を行いました。

2024年1月25日、情報流出のおそれの可能性を考慮し、個人情報保護委員会へ報告いたしました。

2024年1月29日から、外部専門家によるフォレンジック調査を開始するとともに、被害を受けたサーバーの再構築やネットワーク環境の見直し等を直ちに実施いたしました。

2024年2月27日、外部専門家によるフォレンジック調査が完了し、調査報告を受領いたしました。

2024年3月19日、個人情報保護委員会へフォレンジック調査結果を報告いたしました。

2024年4月19日、個人情報保護委員会の見解をもとに調査結果の再精査を開始いたしました。

2024年5月27日、内容を精査する過程で、個人情報が外部に流出した可能性が完全には払拭できないという判断に至りました。

なお、2024年5月27日現在まで個人情報の流出は確認されておりません。

2.流出等のおそれがある対象者及び個人情報の項目

対象者 

・「対象のグループ企業」の利用履歴があるお客様
・当社グループの従業員

対象のグループ企業

・こころネット株式会社
・株式会社たまのや
・カンノ・トレーディング株式会社(石のカンノ)
・株式会社With Wedding
・株式会社北関東互助センター

項目

以下の項目のいずれか複数項目
・氏名
・生年月日
・性別
・住所
・電話番号
・メールアドレス

3.二次被害のおそれの有無及び内容

現時点においては不正使用等の二次被害が発生した事実は確認されておりません。

関係各位の皆様におかれましては、不審な問合せに十分ご注意いただきますようお願いいたします。万が一、第三者の悪用を確認した場合は、「4.お問合窓口」にご連絡ください。

4.お問合窓口

(略)

5.再発防止策及び今後の対応

上記の追加対応を進めるとともに、外部専門家のアドバイスを受けながら、システム・ネットワーク・デバイスのセキュリティ対策、情報セキュリティインシデントに対する体制の強化及び従業員に対するセキュリティ教育を図り再発防止に努めてまいります。

また、引き続き、警察への捜査協力及び個人情報保護委員会への報告等を行ってまいります。

なお、本件による当社の2025年3月期連結業績に与える影響は軽微であると判断しておりますが、公表すべき事項が生じた場合には、速やかにお知らせいたします。


【2024年1月26日リリース分】

【セキュリティ事件簿#2024-209】株式会社トラスト&コミュニケーションズ 個人情報の漏えいのおそれについて 2024/4/26

株式会社トラスト&コミュニケーションズ
 

4月9日、弊社の社員の業務用パソコン1台がサポート詐欺に遣い、その際巧みに遠隔操作ソフトがインストールされ、約10分間当該業務用パソコンが第三者によって遠隔操作されたことから、同パソコン内に保存していた資料等 (以下、お客様リスト等という。)がコピーされ抜き取られた可能性がある事象が発生しました。本件に関してのお客様からの被害や不審な接触等のご連絡はございません。

本件について、下記のとおり報告いたします。

今回の不祥事に対し、 心からお詫び申し上げますとともに、 再発防止に努めてまいります。

漏えいのおそれの範囲

お客様リストには、弊社既契約者 54 名様分の情報が記載されておりました。

リストの記載情報は、お客さまによって相違いたしますが、お名前、ご住所、電話番号、罹患された病名が記載さんれております。

判明後の対応

本事案判明後、対象のお客様全員に対して、 当社よりお詫びのお電話を差し上げているほか、ご連絡が取れなかったお客様にはお詫び状をお送りさせていただきました。

また、取引保険会社各社、監督当局に対しても報告しております。

今後の対応について

弊社としては、今回の事態を非常に重く受け止め、 情報管理について今後更なる厳格化を図り、再発防止に全力で取り組んで参ります。

リリース文アーカイブ