【セキュリティ事件簿#2024-217】横須賀市 委託業務受託事業者のサーバーに対する不正アクセスについて 2024/6/7

 

このたび、令和5年の統一地方選挙時において、業務委託を行った事業者（以下、受託事業者）のサーバーがランサムウエアによる被害を受け、その中に本市18人分の有権者の個人情報（住所・氏名）が含まれており、外部に情報が流出した可能性がある旨の報告を受けました。

このような事態を発生させ、市民の皆様へ多大なご迷惑とご心配をおかけしますことに深くお詫び申し上げます。

1.事案の概要

（1）受託事業者

株式会社イセトー横浜支店

（2）委託内容（委託期間）

令和5年執行統一地方選挙投票案内作成委託業務

（令和5年2月1日～4月23日）

（3）外部に流出した可能性のある個人情報（項目及び件数）

項目：住所、氏名

件数：18人分

2.発生の経緯

令和6年5月26日に受託事業者のサーバーがランサムウエアによる被害を受けました。

令和6年6月6日に本市の有権者の個人情報が含まれている旨が判明し、受託事業者から事故に至った経緯について、次のとおり説明がありました。

• 本市からの委託業務である投票案内の印刷、封入・封緘、郵便局への持ち込みのうち、封入・封緘する工程は、別の事業者に再委託していた。
  
  
• 封入・封緘の作業において18人分の破損が生じた。
  
  
• 破損分は再度印刷する必要があるため、再委託先の事業者が破損した宛名券面を写真に撮り、画像データにした上で、受託事業者に電子メールで送信した。
  
  
• 電子メールを受信した受託事業者が、画像データをパソコン内にダウンロードし消去されずに残っていたため、今回のランサムウエアによる被害を受けた。

現時点では、情報が流出した事実は確認できておりませんが、受託事業者では、対策本部を設置のうえ、外部専門家と連携し調査を継続中とのことです。

3.今後の対応について

同様の事案が発生しないよう、受託事業者とともに業務プロセスの改善を計るとともに、流出した可能性がある個人情報に関しては必要な措置を講じてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】茨城県 業務委託先事業者への不正アクセスによる個人情報流出のおそれについて 2024/6/12

 

茨城県後期高齢者医療広域連合が事業を委託する株式会社イセトーのシステムが、「ランサムウェア」というコンピュータウイルスに感染したことにより、被保険者の住所や氏名などが流出したおそれがあることが判明いたしましたので、下記のとおりご報告いたします。

１　これまでの経緯

令和６年５月２８日（火）事業者から、利用するシステムがランサムウェアに感染したが、個人情報のデータは、感染が確認されたシステムからは隔離されているため、流出の事実は確認されていないとの報告がありました。

令和６年６月６日（木）感染が確認されたコンピュータ内を調査したところ、当広域連合のデータが残っており、個人情報が流出した可能性があるとの報告がありました。

２　個人情報の種類及び件数

医療費通知書（住所、氏名、被保険者番号、受診医療機関名、医療費の額）　３２件

３　対応状況

情報流出のおそれがある被保険者に対し、電話、文書等で状況説明を実施中です。

また、現在のところ、流出や不正利用等の被害は確認されておりませんが、当広域連合といたしましては、株式会社イセトーに対し、情報流出の有無、原因の究明及び適切な対応を求めております。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】愛媛県 委託業者におけるコンピュータウイルス感染について 2024/6/8

 

自動車税種別割の納税通知書の印刷等業務を委託している事業者（株式会社イセトー営業統括本部（大阪市））から、サイバー攻撃によりコンピュータウイルスに感染し、個人情報流出のおそれがある事案が発生したとの報告がありました。

○流出のおそれのあるデータ

　令和5年度の自動車税種別割納税通知書の画像データ（住所、氏名等　80件）

　※1　調査中のため正確な数字等詳細は不明です。

　※2　現時点で、第三者への流出は確認されていません。

○経過

5月29日　

株式会社イセトーより身代金要求型ウイルス・ランサムウェア感染（5月26日）の報告（本県関係の被害なし）

6月7日　  

社内調査の結果、本県関係を含む個人情報データが流出したおそれがある旨の報告

○今後の対応

株式会社イセトーに対し、速やかな情報流出の有無の確認等、詳細調査の実施、報告と適切な対策の実施を指示しています。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】パナソニック健康保険組合 ランサムウェア攻撃による組合員様の個人情報の流出につきまして 2024/6/27

 

この度、当健保の委託業者（株式会社イセトー）がランサムウェアによる攻撃を受け、組合員様の個人情報が流出し、ダークサイトにアップロードされるという事案が、本日（6/27）発覚いたしました。流出した情報は 2022 年 6 月 30 日に当健保が委託業者に提供した「ジェネリック差額通知データ情報」で、通知対象者様の住所、氏名、保険証の記号・番号、医療機関名、医薬品名などが含まれておりました。

現在、委託業者と連携をとり対象者様の特定を急いでおり、情報が確定次第、すみやかに対象者様へお詫びとご報告をさせていただきます。

組合員様の重要な個人情報の管理につきましては、平素より厳格に取り扱ってまいりましたが、今回このような流出事故を起こしたことにつきまして、深くお詫び申しあげます。

また組合員様にはご心配とご迷惑をおかけしておりますことを重ねてお詫び申しあげますとともに、原因の究明並びに再発防止に最大限の努力をしてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-217】株式会社クボタクレジット 業務委託先への不正アクセスによる個人情報漏えいについて 2024/7/1

 

株式会社クボタクレジットが利用明細等の印刷・発送を委託している株式会社イセトー (https://www. iseto. co. jp/)がランサムウェアに感染し、 お客様の個人情報が泌えいしたことが判明しました。

詳細については現在確認を進めておりますが、お客様にご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

なお、現時点でお客様の個人情報が悪用されたという報告は受けておりません。 今後、 新たな事実が判明した場合は、改めて報告いたします。

1 . 事象の経緯

5月26日 

イセトー社 (以下、同社) のサーバーや PC がランサムウェアに感染。

同社がイントラネット、感染が疑われるサーバー、PCを休止し、調査を開始。

5月28日 

クボタクレジットが同社からランサムウェア感染の事実、およびデータの漏えいはない旨、報告を受ける。

6月18日

同社とセキュリティー会社がデータの漏えいを確認。

6月26日 

漏えいしたデータにクボタクレジットのお客様の個人情報が含まれることを同社が確認。

6月27日 

クボタクレジットのシステム担当者が同社から情報漏えいの第一報を受ける。

以後、同社に協力を要請し、漏えいしたお客様の個人情報の確認作業を進める。

7月1日  

漏えいした対象のお客様を特定。

2. 漏えいが確認された個人情報

(1) データの種類

2022 年 9 月度の利用明細・請求書印刷用データ

(2) 含まれる個人情報

氏名、住所、 利用・請求明細 (商品名、 金額、 支払回数等) 、 引落口座情報の一部 (金融機関名、名義、特定できないように数ケタを伏字に加工した口座番号)

※なお、上記以外に電話番号などのお客様からお預かりしている情報の漏えいは確認されておりません。

(3) 対象となるお客様の数

61, 424 名 (個人のほか、法人や団体等の名義のものも含みます)

3. お客様へのお願い

身に覚えのない郵便物などが届いた場合には最寄りの警察署にご相談ください。

4 . 今後の対応

関係機関 (個人情報保護委員会等) に報告するとともに、情報漏えいが疑われるお客様には10 日以内を目途にお知らせの手紙を発送できるよう、準備を進めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-278】太陽工業株式会社 サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて 2024/7/1

 

このたび、当社において２０２４年6月8日に当社情報システムに異常を検知し、翌9日に外部よりサイバー攻撃を受け、当社の情報システムの一部に被害が発生していることを確認しました。 

本件について、現在全社対策本部を設置し、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応を進めております。また、関係機関への相談を開始しており、対応についてご指導をいただいております。 

現時点では、内容を特定することは出来ておりませんが、その後の調査により情報漏洩の可能性があるため、個人情報保護委員会への届出を行うとともに、本件を徹底的に調査し、早期の解明と、再発防止にむけての、今後のあらゆる予防措置を講じて対応してまいります。 

このたび、お取引様、関係先の皆様に大変なるご不安とご迷惑をおかけすることとなり、深くお詫び申し上げます。 

リリース文（アーカイブ）

航空格付け会社SKYTRAX(スカイトラックス)社による「2024世界の航空会社トップ10」とワンワールド加盟航空会社内の順位をチェックしてみる

 

航空格付け会社SKYTRAX(スカイトラックス)社は、「2024世界の航空会社トップ10」を発表した。総合ランキングのトップは、前年2位のカタール航空が選ばれた。前年1位だったシンガポール航空は2位。日本からは、ANAが4位(前年3位)、JALが6位(前年5位)にランクインした。

航空会社ランキングとなる「The World Airlines Awards」は、世界中の利用者の満足度調査をもとにスカイトラックスが1999年から実施しているもの。航空会社に対して登録料などを課さず、すべての調査費用はスカイトラックスが負担することで公平性と独立性を担保している。また、各賞のロゴなどの使用料も求めていない。

オンラインによる調査は2023年9月から2024年5月にかけて実施された。日本を含む100カ国以上の利用者が参加。ユーザー情報はスクリーニングされ、重複したエントリー、疑わしいエントリー、不適格なエントリーを除外するなど厳格なルールのもとで調査が行われた。最終的に、アワードには350社以上の航空会社が記載されている。

ちなみにワンワールドアライアンスメンバーに限って抽出すると以下のような感じになる。

【The World's Top 100 Airlines in 2024　※ワンワールドメンバーのみ】

1位：Qatar Airways（前年2位）

5位：Cathay Pacific Airways（前年8位）

6位：Japan Airlines（前年5位）

13位：British Airways（前年18位）

14位：Fiji Airways（前年15位）

15位：Iberia（前年14位）

23位：Finnair（前年24位）

24位：Qantas Airways（前年17位）

39位：Malaysia Airlines（前年47位）

55位：Royal Air Maroc（前年53位）

60位：Alaska Airlines（前年52位）

62位：Iberia Express（前年ランク外）

78位：American Airlines（前年82位）

ランク外：Royal Jordanian（前年ランク外）

ランク外：SriLankan Airlines（前年ランク外）

出典：The World Airlines Awards

【セキュリティ事件簿#2024-177】株式会社岸和田スポーツ 弊社が運営する「Kemari87KISHISPO公式通販サイト」への不正アクセスによる クレジットカード情報及び個人情報漏洩に関するお詫びとお知らせ 2024/6/19

 

このたび、弊社が運営する「Kemari87KISHISPO公式通販サイト（https://www.kishispo.net/）」（以下、弊社ECサイト）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（13,960名）及び個人情報（38,664名）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年2月6日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、弊社が運営するECサイトでのカード決済を停止し、2024年2月14日より第三者調査機関による調査を開始いたしました。

2024年2月26日、第三者調査機関による調査が完了し、2021年2月24日～2024年1月17日の期間に　弊社ECサイトで購入されたお客様のクレジットカード情報及び個人情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社ECサイトのシステムの一部の脆弱性を利用するために第三者が2021年2月21日から2021年2月24日にかけて不正注文を行い、注文データの参照が行われたことを起点として不正なスクリプトが実行されたと考えられます。

(2) クレジットカード情報漏洩の可能性があるお客様

2021年2月24日～2024年1月17日の期間中に弊社ECサイトにおいてクレジットカード決済をされたお客様13,960名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

・メールアドレス（パスワードの漏洩はありません）

・郵便番号

・住所

・電話番号

(3)個人情報漏洩の可能性があるお客様

2021年2月24日～2024年1月17日の期間中に弊社ECサイトにおいてご購入されたお客様38,664名で、 漏洩した可能性のある情報は以下のとおりです。

・氏名

・メールアドレス（パスワードの漏洩はありません）

・郵便番号

・住所

・電話番号

漏洩懸念のあるお客様には、別途、電子メールにてご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024年2月6日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトのクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の弊社ECサイトのクレジットカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、 監督官庁である個人情報保護委員会には2024年2月7日に報告済みであり、また大阪府警察本部サイバーセキュリティ対策課に2024年2月9日に被害申告しており、システム情報等も提供しております。今後捜査にも全面的に協力してまいります。

6.漏えい件数の追加修正について（お詫び）

このたび、漏えい対象のお客様を特定するにあたり、システムエラーが生じていたことが判明いたしましたので、漏えい件数についてお詫びして訂正いたします。

尚、影響のありましたお客様には6/19より個別にご通知させていただきます。

ご迷惑をおかけし誠に申し訳ございませんでした。

リリース文（アーカイブ）

【2024年5月14日リリース分】

リリース文（アーカイブ）