【セキュリティ事件簿#2024-217】株式会社伊予銀行 業務委託先での不正アクセスによるお客さま情報の漏えいについて 2024/7/3

イセトー

株式会社伊予銀行(以下、当行)がお客さま向け各種帳票の作成・発送業務を委託しております株式会社イセトー(京都市中京区)(以下、イセトー社)より、イセトー社がランサムウェア(※)に感染したとの報告を 2024 年 5 月 27 日に受けました。本報告では、当行の委託業務に関する情報漏洩は発生していないとの説明を受けておりましたが、2024 年 6 月 25 日に改めてイセトー社より報告があり、当行のお客さまの情報が漏洩した事実が確認されたとの説明を受けました。

本情報漏洩は、イセトー社内の受託業務処理の作業工程において発生したものであり、現在、同社において漏洩情報の特定に向けて捜査機関や外部専門家により調査を進めております。なお、ランサムウェア被害があったイセトー社のネットワークと当行のネットワークは接続していないため、当行のネットワークに影響はございません。

今後の調査で新たにお客さまへのお知らせが必要な内容が判明した場合には、速やかにご報告いたします。

お客さまには、ご心配とご迷惑をおかけいたしますことを深くお詫び申し上げます。

なお、現時点において、当行のお客さまの情報が悪用されたという報告は受けておりませんが、氏名、住所、電話番号、口座番号、取引金額等の情報が漏洩している可能性があります。これらの情報を利用した電話・郵便物等による勧誘や詐欺には十分にご注意いただき、不審に思われた場合には、下記窓口および最寄りの警察にご相談いただきますようお願いいたします。

また、イセトー社では、当行委託業務を処理するネットワークの安全性を十分に確認のうえ、業務を再開しておりますので、お客さま向け各種帳票の作成・発送業務には影響ございません。

リリース文アーカイブ

【セキュリティ事件簿#2024-285】株式会社HAGS 弊社が運営する「hags-ec.com」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2024/7/2

HAGS
 

このたび、弊社が運営する「hags-ec.com」におきまして、第三者による不正アクセスを受け、お客様の個人情報(21,398名)および、クレジットカード情報(1,432名)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記のとおりご報告いたします。

1.経緯

2024年1月16日、警視庁サイバーセキュリティ課から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年1月26日弊社が運営する「hags-ec.com」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年4月11日、調査機関による調査が完了し、2021年5月27日~2024年1月15日の期間に「hags-ec.com」で購入されたお客様のクレジットカード情報が漏洩した可能性があることを確認いたしました。また、過去に会員登録されたお客様の会員情報についても漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「hags-ec.com」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

①2021年5月27日~2024年1月15日の期間中に「hags-ec.com」においてクレジットカード決済をされたお客様1,432名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

②過去に「hags-ec.com」へ会員登録されたお客様21,398名で、漏洩した可能性のある情報は以下のとおりです。

・氏名

・メールアドレス

・住所

・FAX番号

・パスワード

3. 2021年5月27日~2024年1月15日の期間にカード決済されたお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024年1月16日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「hags-ec.com」のリニューアルのタイミングにつきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、個人情報保護委員会には2024年1月26日に報告済みであり、また、所轄警察署には2024年1月16日にすでに相談、報告を開始しており、今後捜査にも全面的に協力してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】ソニー損害保険株式会社 当社の委託会社における個人情報の漏えいについて 2024/7/4

イセトー
 

当社から書類の作成・発送を委託している株式会社イセトー(以下「イセトー社」)より、ランサムウェアによる被害を受け、当社お客さま情報の漏えいがあった旨の報告を受けました。

お客さまをはじめとする関係者の皆さまに、多大なるご心配・ご迷惑をお掛けしておりますことを深くお詫び申し上げます。

現在、情報漏えいが確認されている対象は以下のとおりで、該当のお客さまには速やかにお詫びとご説明を進めさせていただいております。

<情報漏えいが確認された対象>

・「郵便番号」「住所」「氏名」「顧客番号」:当社ご契約者1名分

・「証券番号」:当社ご契約者、および、過去のご契約者18名分

なお、本件は、2024年7月3日にイセトー社より発表のあった「ランサムウェア被害の発生について(続報2)(イセトー社のサイトにリンクします)」において、当社の上記お客さま情報が含まれていたものです。

本件に関しイセトー社で調査を継続しており、今後、新たに情報漏えい等が確認された場合には、該当のお客さまに対し速やかにご連絡するなど、適切な対応を進めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】静清信用金庫 個人情報漏洩に関するお詫びとお知らせ  2024/7/4

イセトー
 

平素は格別のご高配を賜り厚くお礼申し上げます。

当信用金庫が業務委託する外部業者(株式会社東海信金ビジネス)の再委託先業者(株式会社イセトー)において、ランサムウェア感染による一部お客さま情報が漏洩したことが判明いたしましたのでお知らせいたします。

お客さまには多大なご迷惑とご心配をおかけいたしますこと誠に申し訳なく、深くお詫び申し上げます。本件の経緯および今後の対応について下記の通りご報告いたします。

1.経緯

5月26日にお客さま向けハガキ帳票作成を再委託しているイセトーが利用しているサーバがランサムウェアに感染していることが発覚し、サーバ内の情報が暗号化される被害が発生しました。

イセトーでは感染が疑われるサーバ、PC、ネットワークを遮断して調査を開始し、6月26日にイセトーから東海信金ビジネスに対し、個人情報漏洩の可能性がある旨の第一報がありました。このため、両社において更に確認作業を進めた結果、7月1日に漏洩した個人情報が特定され、一部のお客さまにおいて個人情報の流出があることが判明したものです。

2.漏洩の可能性のある情報

(1)個人情報の項目

氏名

(注)対象はダイレクトメール作成時に出力されるログデータ上の氏名のみであり、この他に金融機関コードと支店コードも漏洩の可能性がありますが、ダイレクトメールの内容の漏洩はございません。

(2)対象顧客件数

2,713 件

3.今後の対応

本件については現在再委託業者において調査を継続中ですが、本件の事故発生を厳粛に受け止め、委託先及び再委託先の管理を含め、より一層の管理体制の強化に努めるとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。

【セキュリティ事件簿#2024-217】しずおか焼津信用金庫 個人情報漏洩に関するお詫びとお知らせ  2024/7/4

イセトー
 

平素は格別のご高配を賜り厚くお礼申し上げます。

当信用金庫が業務委託する外部業者(株式会社東海信金ビジネス)の再委託先業者(株式会社イセトー)において、ランサムウェア感染による一部お客様情報が漏洩したことが判明いたしましたのでお知らせいたします。

お客様には多大なご迷惑とご心配をおかけいたしますこと誠に申し訳なく、深くお詫び申し上げます。本件の経緯および今後の対応について下記の通りご報告いたします。

1.経緯

5月26日にお客様向けハガキ帳票作成を再委託している株式会社イセトーが利用しているサーバがランサムウェアに感染していることが発覚し、サーバ内の情報が暗号化される被害が発生しました。

株式会社イセトーでは感染が疑われるサーバ、PC、ネットワークを遮断して調査を開始し、6月26日に株式会社イセトーから株式会社東海信金ビジネスに対し、個人情報漏洩の可能性がある旨の第一報がありました。このため、両社において更に確認作業を進めた結果、7月1日に漏洩した個人情報が特定され、一部のお客様において個人情報の流出があることが判明したものです。

2.漏洩の可能性のある情報

(1)個人情報の項目

氏名

(注)対象はダイレクトメール作成時に出力されるログデータ上の氏名のみであり、この他に金融機関コードと支店コードも漏洩の可能性がありますが、ダイレクトメールの内容の漏洩はございません。

(2)対象顧客件数

4,653件

3.今後の対応

本件については現在再委託業者において調査を継続中ですが、本件の事故発生を厳粛に受け止め、委託先及び再委託先の管理を含め、より一層の管理体制の強化に努めるとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。

【セキュリティ事件簿#2024-284】株式会社J-MAX 当社連結子会社サーバーへの不正アクセスについて 2024/7/4

J-MAX
当社は、当社連結子会社の一部サーバーに対する不正アクセスが発生したことをお知らせいたします。

本件について、外部専門家の助言を受けながら、影響範囲等の調査と早期復旧への対応を進めております。なお、被害の全容及び原因の把握には、今しばらく時間を要する見込みですが、現時点で判明している内容について、下記のとおりご報告いたします。

お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。

1. 不正アクセス発覚の経緯

2024 年6月26日(水)の早朝に当社連結子会社のサーバーに不正アクセスが発生していることを確認し、直ちに全てのサーバー及びパソコンをネットワークから隔離いたしました。

2. 現在の状況と今後の対応

今回の被害に対応するため、対策本部を設置し、外部専門家の協力を得ながら原因究明及び情報漏洩の有無について調査を進めております。なお、現時点では、外部への情報流出の事実は確認されておりません。また、当該当社連結子会社の製品の生産及び出荷に影響は生じておりません。皆様へのご迷惑を最小限に止めるべく、引き続き早期復旧及び再発防止に取り組んでまいります。

3. 今後の見通し

本件が2025年3月期の連結業績に与える影響につきましては、現在精査中です。今後、開示すべき事項が発生した場合には速やかに開示いたします。

【セキュリティ事件簿#2024-217】高松市 印刷業務委託先のランサムウェア被害による情報漏えいについて 2024/7/3

イセトー
 

本市が印刷業務を委託している事業者の内部サーバーがコンピューターウイルス(ランサムウェア)に感染し、下記の個人情報がインターネット上に公開され、ダウンロード可能な状態になっていたことが判明しました。

現在、委託事業者において、漏えいした情報の内容等を含め、詳細な調査を行っているところですが、市民の皆様に御迷惑と御心配をおかけしておりますことを深くお詫びいたします。

なお、現時点で、本件に関わる悪用した事例や被害の報告はありません。今後、新たな事実が判明した場合は、改めて報告いたします。

1 経 過

(1)令和6年5月28日(火)本市が印刷業務を委託している事業者より、内部のサーバーがコンピューターウイルス(ランサムウェア)に感染したが、個人情報は、インターネット環境から分離された別のサーバーで保存しているため、漏えいはないとの報告があり、その後、事業者が調査した結果、税関係等で個人情報の漏えいのおそれがあり、令和6年6月7日(金)に市民税課及び健康づくり推進課名で報道発表した。

(2)引き続き、事業者が調査した結果、当初、漏えいのおそれがないと報告のあった下記のデータについて、個人情報を含むデータがインターネット上に公開され、ダウンロード可能な状態になっていたことが判明した旨の報告が、7月1日(月)にあった。

2 委託事業者

 株式会社イセトー(情報処理サービス、コンピューター用紙の製造・販売等)

本社:京都市中京区烏丸通御池上ル二条殿町 552

3 漏えいが確認された個人情報

(1) 影響人数 1,595人

(2) 内 容 個別避難計画に関するデータ(令和4年度分)の住所、氏名等

<個別避難計画とは>

避難行動要支援者ごとに、緊急連絡先や避難支援者、避難経路などの情報が記載され ており、災害情報や避難者の手助けが地域の中で素早く、安全に行われるよう作成された計画。本市は、この計画を保管するとともに、地域コミュニティ協議会等に情報提供している。

4 今後の対応

漏えいした情報の内容等については、引き続き、委託事業者において調査中で、判明次第報告するとともに、再発防止の徹底を7月1日(月)付けで要請しています。その結果を踏まえて、対象者に謝罪文を送付するほか、本市としての対応を検討してまいります。 

リリース文アーカイブ

【セキュリティ事件簿#2024-283】江藤病院 Webサイト改ざんに関するご報告とお詫び 2024/6/24

 

このたび、当院Webサイトにおいて、不正アクセスによりサイトが改ざんされ、本来とは異なるページが表示されていたことが判明いたしました。

現在は復旧し、作業が完了しておりますが、ご利用いただくみなさまに、ご心配をおかけしたことをお詫び申し上げます。

当院におきましてはサイト上に個人情報等の取り扱いがなく、現在のところ被害について、ご報告はいただいておりません。

<改ざん期間>

2024年6月22日(土)1時頃〜同日9時30分頃

<サイトをご覧のみなさまへのお願い>

当サイトにてマルウェア等の感染は確認されておりませんが、上記の期間にアクセスされた可能性のあるみなさまにおかれましては、お手持ちのセキュリティソフトを最新の状態にし、駆除の実施や、ブラウザのキャッシュクリア等のご対応をお願い申し上げます。

今後、このような問題が発生しないよう、さらに対策を強化し、運営に臨んでまいります。

この件につきましてご不明な点がございましたら、下記までお問い合わせください。

リリース文アーカイブ