【セキュリティ事件簿#2024-290】新日本製薬株式会社 当社サーバーへの不正アクセスについて 2024/7/5

新日本製薬
 

当社は、2024年6月6日付「当社サーバーへの不正アクセスについて」にて公表いたしましたとおり、当社サーバーに保管されていた業務関連データ等の一部が暗号化されるなどの、第三者からのランサムウェアによる不正アクセス攻撃を受けました。不正アクセスを確認後、速やかに対策本部を設置、外部専門機関の協力を受け、原因究明や被害状況の調査を進めてまいりました。

現時点で確認された事実として、当社サーバーに保管されていた業務関連データの外部への漏洩は確認されておりません。また、第三者の侵入経路、および今回の不正アクセスにより影響を受けたサーバー等の特定を完了し、これらについての再発防止策を実施しております。引き続き、対策本部のもと被害の全容解明および再発防止に総力を上げて取り組んでまいります。 

なお、当社の事業に関わる全ての業務は通常通り稼働しており、今後もセキュリティ対策の強化を進め、安全を確保した上で継続してまいります。

お客さまや関係者の皆さまには、多大なるご不安、ご心配をおかけし、改めて深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-288】国立研究開発法人宇宙航空研究開発機構 JAXAにおいて発生した不正アクセスによる情報漏洩について 2024/7/5

JAXA
 

宇宙航空研究開発機構(JAXA)において昨年発生した不正アクセスによる情報漏洩への対応状況について、以下のとおりお知らせいたします。

昨年10月、外部機関からの通報に基づき、JAXAの業務用イントラネットの一部のサーバに対する不正アクセス(以下、「本インシデント」といいます)を認知しました。その後速やかに不正通信先との通信遮断等の初期対応を実施しつつ、専門機関及びセキュリティベンダー等とも連携して調査を行い、事案の解明、対策の策定及び実施に取り組んできました。本インシデントの概要は別紙のとおりですが、その中で、JAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)が漏洩していたことを確認いたしました。

本インシデントについて、関係する皆様には多大なるご迷惑をお掛けしましたこと、深くお詫び申し上げます。

本インシデントで漏洩した情報については、相手方との関係もあることから詳細は差し控えさせていただきますが、情報が漏洩したご本人・関係者の皆様には個別に謝罪及びお知らせを行いました。現在のところ、関係者の皆様の事業活動に著しい支障が生じているという報告はありませんが、皆様に多大なご迷惑をお掛けしたことは大変遺憾であり、改めてお詫び申し上げます。

また、本インシデントにより、国内外の関係機関との協力を含め、事業遂行が困難になるようなことは生じていないと認識していますが、JAXAとしては信頼関係を損ないかねない事案として重く受け止めており、再発防止に向けて対策を強化してまいります。

なお、今年に入って複数回の不正アクセスが発生していますが、これらによる情報漏洩はないことを確認しています。昨年のインシデントを含めて、これらはいずれもVPN機器を狙ったものであることを確認しています。

JAXAとしては、脆弱性対応を迅速に行うための体制整備等の短期的対策及び更にセキュリティを強化するための恒久対策の策定を既に実施済です。現在、恒久対策の具体化を順次進めており、引き続き情報セキュリティ対策を一層強化していく所存です。

1. JAXAの対応状況

JAXAは、外部機関からの通報を踏まえて、攻撃元との通信遮断及びサーバ等のJAXAのネットワークからの切断など初期対応を速やかに実施しました。その上で、セキュリティベンダーによる侵害痕跡の調査、攻撃対象サーバ及び端末の詳細調査(フォレンジック調査)等を実施し、マルウェアを発見・除去したほか、内部通信の強化など、想定されるリスクに対する緊急対策を実施しました。

また、調査の過程で、Microsoft365(以下、「MS365」といいます)に対する不正アクセスの可能性が確認されたことから、Microsoft社の専門チームによる調査を実施し、更なる侵害が発生していないことを確認しました。

これらの対応を実施するにあたっては、警察、一般社団法人JPCERTコーディネーションセンター、独立行政法人情報処理推進機構(IPA)などの専門機関と連携し、不正な通信先の情報や使用されたマルウェア情報などを報告・共有して進めております。

2. 侵害範囲

初期調査、セキュリティベンダー及びMicrosoft社による調査並びにJAXAによる分析を踏まえ、本インシデントに関する主な侵害範囲を以下の通り明らかにしました。なお、侵害の過程では、未知のマルウェアが複数使用されていたことが確認されており、侵害の検知を困難にしておりました。

①第三者がVPN装置の脆弱性を起点にJAXAの一部のサーバ及び端末に侵入。先だって公表された脆弱性が悪用された可能性が高い。

②侵入したサーバからさらに侵害を広げ、アカウント情報等を窃取。

②窃取したアカウント情報等を用いて、MS365に対して正規ユーザを装った不正アクセスを実施。

3. 流出した情報

本インシデントにより、侵害を受けたJAXAの端末・サーバに保存されていた一部の情報(JAXA職員等の個人情報含む)が漏洩した可能性があります。また、MS365上でJAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)が漏洩したことを確認しております。関係する方々には既に個別にご説明及び謝罪を差し上げております。なお、本インシデントで侵害を受けた情報システムやネットワークにおいては、ロケットや衛星の運用等の機微な情報は扱われておりません。

4. 対策

本インシデントを受けて、脆弱性対応を迅速に行うための体制整備や内部通信ログの監視強化等の短期的対策を実施しました。加えて、更にセキュリティを強化するための恒久対策を検討し、エンドポイントを含めたネットワーク全体の更なる監視強化、外部からの接続方法の改善、運用管理の効率化・可視化、なりすまし対策の強化等の対策を策定しました。現在、これらの対策の計画の具体化をはかっているところです。

なお、上記の対策を進め監視を強化している中で、本年1月以降、複数回の不正アクセスを確認しました(その中には、ゼロデイ攻撃によるものも含まれます)が、情報漏洩等の被害が発生していないことを確認しました。

5. 今後の取組

サイバー攻撃がますます高度化し、攻撃も対策も常に進化し続ける中、JAXAは中核的宇宙開発機関として、迅速・的確なセキュリティ対応が求められていることを強く自覚し、本インシデントを受けた短期的対策及び恒久対策を着実に実施していく予定です。今後も専門機関を含めた関係機関と連携し、情報セキュリティを今後一層強化してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】豊田市 委託業者サーバー等のランサムウェア感染に伴う個人情報の流出について 2024/7/4

イセトー
 

豊田市から納税通知書などの印刷業務を受託している株式会社イセトー(本社:京都府京都市。以下「同社」という。)において、ランサムウェアの被害が発生し、本市の納税者等の個人情報が流出したことが判明しました。

なお、現時点において、個人情報が悪用されたとの報告は受けていません。

不審な電話や郵便物等があれば、最寄りの警察署にご相談ください。

判明日

令和6年7月2日(火曜日)


流出した個人情報

  • 対象者数(同社の報告を受け、豊田市で推計をしたもの)
    延べ約42万人

  • データ(通知書等)の名称
    市県民税、軽自動車税、固定資産税、都市計画税及び国民健康保険税の各納税通知書、市営住宅使用料等納付通知書、介護保険料納入通知書等、後期高齢者医療保険料納入通知書、新型コロナ予防接種券、非課税世帯等給付金確認書、子育て世帯臨時特別給付金申請書

  • 上記に含まれる個人情報
    氏名、住所、税額、生年月日、保険料、口座情報等
    (備考)口座情報についてはマスキング済みのもの。個人番号、電話番号は含まれていない。

経緯

  • 令和6年5月26日(日曜日)
    同社において複数のサーバー、PC端末がランサムウェアの被害を受ける。

  • 令和6年5月29日(水曜日)
    同社から本市に関する個人情報の流出はないとの報告が入る。

  • 令和6年6月18日(火曜日)午前11時
    同社がインターネット上で個人情報を含むデータの流出を確認。

  • 令和6年7月2日(火曜日)午後4時
    同社から本市に個人情報を含むデータが流出したとの報告が入る。

流出の原因

同社からの報告によると、各通知書等に係るシステム改修用データ等について、同社の担当者が本来業務終了後消去するべきところを消去せず、当該データが流出した。

【セキュリティ事件簿#2024-287】ミント神戸 Googleフォーム設定ミスによる個人情報漏えいについて 2024/7/4

ミント神戸
 

224年7月4日に発信したGoogleフォーム設定ミスによる個人情報漏えいに関し、以下の通り、お知らせいたします。

本件につきましては、関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

概要

下記フォームのGoogleフォームの設定ミスにより、お客様の情報が閲覧できる状態となっておりました。

・映画『インサイド・ヘッド2』特別試写会40組80名様をご招待!応募専用フォーム

原因は、ご応募の方法として用いておりましたGoogleフォームの設定が不十分であったことによるものです。該当されるお客様をはじめ、関係者の方々にご迷惑をおかけいたしましたこと深くお詫び申し上げます。

現在、閲覧可能な状態は解消されております。

弊社対応

事態判明後、対象となるお客様へ個別の電話と電子メールにて、事態のご説明とお詫びの連絡を行っております。

また弊社がGoogleフォームで運用している全てのWEBフォーム受付を再確認し、同様の設定ミスはなかったことを確認しております。

再発防止

再発防止に向けて、個人情報の収集および管理の際に厳守すべき事項を、改めて社内に周知徹底してまいります。

また今後も継続的に個人情報保護および情報セキュリティ教育を徹底し、情報管理への感度の引き上げを図り、再発防止に努めて参ります。

重ねてお詫び申し上げますとともに、今後ともご愛顧を賜りますようお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-286】特定非営利活動法人日本ネットワークセキュリティ協会 SECCON CTF for Girls において発生した 個人情報が第三者から閲覧可能になっていた事象についてのお知らせとお詫び 2024/6/26

SECCON
 

特定非営利活動法人日本ネットワークセキュリティ協会は、SECCON実行委員会が主催するイベントであるCTF for Girlsにおいて、イベント参加申込サイトにアクセスしたユーザ全員が、申込者情報の個人情報が閲覧可能な状態となっていた事象が判明しましたのでお知らせいたします。

本件につきまして、以下の通り報告いたしますとともに、ご関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

なお、当事象については、運用設定時の人為的ミスによるものであり、外部からの攻撃等によって発生したものではございません。また、2024年6月24日現在において、当該個人情報の不正利用は行われておりませんが、問合せ窓口を設けており、二次被害や不正利用が発生した場合は速やかに対応してまいります。

■発生した事象と対応

2024年5月31日14時46分に公開したSECCON実行委員会が主催するイベントCTF for Girlsにより運営されたイベント Kunoichi Cyber Game予選会の申込サイトにアクセスした者が、予選会申込の編集用ページにアクセスできる状態であり、2024年5月31日14時46分から6月19日13時19分までの間、予選会申込者の個人情報が閲覧可能な状態となっていた。

本件の時系列は下記のとおりとなります。

- 2024年5月31日14時46分:受付を開始(予選会申込サイトのフォーム公開)

- 2024年6月15日14時37分:予選会申込サイトの受付終了処理を実施

- 2024年6月19日 9時36分:外部からの指摘により事象が発覚

-2024年 6月19日 13時19分:予選会申込サイトフォームの権限変更し、外部から閲覧出来ないことを確認

-2024年 6月20日12時56分:参加者に対する謝罪および対応状況の連絡の実施


■閲覧可能な状態になっていた情報

件数:Kunoichi Cyber Game予選会申込サイトを利用した26名

(閲覧可能になっていた情報)

・氏名(ローマ字)

・メールアドレス

・Beginners CTF(同主催の別のイベント) で登録したチーム名

・国籍(日本国籍か否か)

・国内在住か国外在住か

・2024年11月15日時点で18歳以上~30歳未満か否か

・予選通過の場合、通過者に参加が認められるイベントCODEBLUE(2024年11月14日と2024年11月15日)に両日参加可能か

・予選通過の場合、チームメンバと協力して準備が進められるか


■原因

予選会申込サイトに利用したGoogleフォームのアクセス範囲・編集権限を「リンクを知っている全員」と設定したことが原因となります。

本設定により、Googleアカウントにログインした状態で、予選会申込サイトのフォームにて閲覧・回答を行ったGoogleユーザが、自身のGoogleアプリからGoogleフォームに移動した際に、「最近使用したフォーム」の欄に予選会申込サイトのフォームが表示され、申込者の情報が閲覧可能な画面に遷移が可能となっておりました。


■影響範囲

・Googleフォームから申込者の情報を大会主催者以外の者がダウンロードしたログはございません。

・現在のところ当該個人情報が不正に使用された事実は確認、報告されておりません。

・予選会申込サイトのフォームの操作ログを調査した結果、予選会の結果に影響するような操作は行われていませんでした。


■対応について

2024年6月20日より、本イベントの参加登録者全員に対し謝罪および対応状況の連絡を実施しております。

2024年6月24日に個人情報保護員会へインシデント発生の報告書実施いたしました。

 今後は、以下の対応を徹底し、再発防止に努めてまいります。

・Googleフォームのアクセス範囲・権限を「リンクを知っている全員」が設定できないようにポリシーにて強制する

・関係者間でGoogleフォームを共有する際は、関係者のアカウントからのみアクセスを許可する運用とする

・Googleフォームが適切な権限設定になっているか、また想定通りの挙動をしているかを、フォーム作成時に都度確認する

リリース文アーカイブ

【セキュリティ事件簿#2024-217】株式会社伊予銀行 業務委託先での不正アクセスによるお客さま情報の漏えいについて 2024/7/3

イセトー

株式会社伊予銀行(以下、当行)がお客さま向け各種帳票の作成・発送業務を委託しております株式会社イセトー(京都市中京区)(以下、イセトー社)より、イセトー社がランサムウェア(※)に感染したとの報告を 2024 年 5 月 27 日に受けました。本報告では、当行の委託業務に関する情報漏洩は発生していないとの説明を受けておりましたが、2024 年 6 月 25 日に改めてイセトー社より報告があり、当行のお客さまの情報が漏洩した事実が確認されたとの説明を受けました。

本情報漏洩は、イセトー社内の受託業務処理の作業工程において発生したものであり、現在、同社において漏洩情報の特定に向けて捜査機関や外部専門家により調査を進めております。なお、ランサムウェア被害があったイセトー社のネットワークと当行のネットワークは接続していないため、当行のネットワークに影響はございません。

今後の調査で新たにお客さまへのお知らせが必要な内容が判明した場合には、速やかにご報告いたします。

お客さまには、ご心配とご迷惑をおかけいたしますことを深くお詫び申し上げます。

なお、現時点において、当行のお客さまの情報が悪用されたという報告は受けておりませんが、氏名、住所、電話番号、口座番号、取引金額等の情報が漏洩している可能性があります。これらの情報を利用した電話・郵便物等による勧誘や詐欺には十分にご注意いただき、不審に思われた場合には、下記窓口および最寄りの警察にご相談いただきますようお願いいたします。

また、イセトー社では、当行委託業務を処理するネットワークの安全性を十分に確認のうえ、業務を再開しておりますので、お客さま向け各種帳票の作成・発送業務には影響ございません。

リリース文アーカイブ

【セキュリティ事件簿#2024-285】株式会社HAGS 弊社が運営する「hags-ec.com」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 2024/7/2

HAGS
 

このたび、弊社が運営する「hags-ec.com」におきまして、第三者による不正アクセスを受け、お客様の個人情報(21,398名)および、クレジットカード情報(1,432名)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記のとおりご報告いたします。

1.経緯

2024年1月16日、警視庁サイバーセキュリティ課から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年1月26日弊社が運営する「hags-ec.com」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年4月11日、調査機関による調査が完了し、2021年5月27日~2024年1月15日の期間に「hags-ec.com」で購入されたお客様のクレジットカード情報が漏洩した可能性があることを確認いたしました。また、過去に会員登録されたお客様の会員情報についても漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「hags-ec.com」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

①2021年5月27日~2024年1月15日の期間中に「hags-ec.com」においてクレジットカード決済をされたお客様1,432名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

②過去に「hags-ec.com」へ会員登録されたお客様21,398名で、漏洩した可能性のある情報は以下のとおりです。

・氏名

・メールアドレス

・住所

・FAX番号

・パスワード

3. 2021年5月27日~2024年1月15日の期間にカード決済されたお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024年1月16日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「hags-ec.com」のリニューアルのタイミングにつきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、個人情報保護委員会には2024年1月26日に報告済みであり、また、所轄警察署には2024年1月16日にすでに相談、報告を開始しており、今後捜査にも全面的に協力してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】ソニー損害保険株式会社 当社の委託会社における個人情報の漏えいについて 2024/7/4

イセトー
 

当社から書類の作成・発送を委託している株式会社イセトー(以下「イセトー社」)より、ランサムウェアによる被害を受け、当社お客さま情報の漏えいがあった旨の報告を受けました。

お客さまをはじめとする関係者の皆さまに、多大なるご心配・ご迷惑をお掛けしておりますことを深くお詫び申し上げます。

現在、情報漏えいが確認されている対象は以下のとおりで、該当のお客さまには速やかにお詫びとご説明を進めさせていただいております。

<情報漏えいが確認された対象>

・「郵便番号」「住所」「氏名」「顧客番号」:当社ご契約者1名分

・「証券番号」:当社ご契約者、および、過去のご契約者18名分

なお、本件は、2024年7月3日にイセトー社より発表のあった「ランサムウェア被害の発生について(続報2)(イセトー社のサイトにリンクします)」において、当社の上記お客さま情報が含まれていたものです。

本件に関しイセトー社で調査を継続しており、今後、新たに情報漏えい等が確認された場合には、該当のお客さまに対し速やかにご連絡するなど、適切な対応を進めてまいります。

リリース文アーカイブ