【セキュリティ事件簿#2024-313】熊本市 上下水道局の委託事業者(東京ガスエンジニアリングソリューションズ株式会社)への不正アクセスによる情報漏えいの恐れについて 2024/7/22

 

当局の委託事業者(東京ガスエンジニアリングソリューションズ株式会社、以下「TGES」。)のネットワークが外部から不正アクセスを受け、一部のお客様に関する情報が外部から閲覧可能な状態になっていたことが判明しました。

1.経緯

7月17日(水曜日)9時27分、TGESより、同社のネットワークが外部からの不正アクセスを受け、システムの動作検証時に借用したデータの一部が閲覧可能な状況にあったとの連絡があり、個人情報の漏えいの可能性が判明しました。なお、TGESによれば、現時点での情報流出の痕跡は確認されておらず、ネットワークへの外部経路は遮断済みとの報告を受けています。

お客様にご心配おかけしておりますことを、深くお詫び申し上げます。

2.漏えいした恐れのある個人情報

熊本市の下水道をご利用の一部のお客様 約37,000人分の情報(水栓番号、住所、世帯人数、使用者名、使用水量等)(7月22日時点)

(注)電話番号、金融関係口座、クレジットカード情報は含まれておりません。

3.今後の対応

情報が漏えいした恐れのあるお客様への通知方法につきましては、TGESと協議の上、速やかに進めてまいります。また、今回の一連の経緯についてTGESから詳細報告を受けるとともに、原因究明および再発防止に向けた対策を求めていきます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-313】新座市 水道マッピングシステム運用再委託先において個人情報が閲覧可能となってしまった事象について 2024/7/22

 

1.概要

本市では、配水管やお客様の引込み管等の情報を管理するシステムについて、運用業務を水道マッピングシステム株式会社に委託しております。

令和6年7月17日に同社から、再委託先である東京ガスエンジニアリングソリューションズ株式会社のネットワークが外部から不正アクセスを受け、お客様に関する情報が閲覧可能な状態になっていたとの報告があり、情報流出の可能性があることが判明しました。

なお、不正アクセス確認後、速やかにネットワークの外部からの接続遮断を行い、令和6年7月19日時点で個人情報の不正利用等は確認されておりません。

2.対象の情報

 (1)年度 令和5年度

 (2)件数 88,627件

 (3)データ項目 お客様番号、水栓番号、使用者漢字氏名、水栓所在地、水栓所在地方書、使用水量、使用状況、口径、メーター設置年月日

3.今後の対応

委託業者に対し、個人情報の厳正な管理や情報セキュリティ指導の徹底について、再度指導・監督を行い、再発防止に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-313】宇部市水道局 個人情報流出の可能性について 2024/7/23

 

宇部市水道局の業務委託先である東京ガスエンジニアリングソリューションズ株式会社のネットワークが外部からの不正アクセスを受けたことが判明しました。

同社は、不正アクセス確認後、外部との接続を遮断し、それ以降の不正なアクセスができないよう対策を講じられています。

お客様情報などの個人情報の流出の可能性については、現在その痕跡は、確認されておらず、また、情報が不正利用された事実も確認されていません。

お客様には、ご心配をおかけしておりますことを深くお詫び申し上げます。

今後、新たな事実が判明した場合は、改めて報告いたします。

1 業務委託の内容

水道施設情報管理システム(マッピングシステム)の保守・管理

※このシステムは、水道管などの施設情報を電子化し一元管理するものです。

2 流出の可能性がある個人情報

使用者名、住所、水栓番号

なお、電話番号、金融機関口座情報は、含まれておりません。

リリース文アーカイブ

Labels:

クラウドストライク、アップデートをしくじり顧客PCに対してBSOD(Blue Screen of Death)攻撃。~こういうことをされると自動アップデート機能は無効化せざるを得ない~

 

クラウドストライク社は、自社が提供するEDR製品のアップデートをしくじり、顧客のPCにブルースクリーンを発生させ、導入企業の業務遂行を妨害した。

ある意味、サプライチェーンリスクが発生した典型的な事例。

メーカーを信じて自動アップデートを行っているのに、こういうことをされると自動アップデートは怖くてできなくなる。

導入企業は自動アップデートを有効にしてセキュリティベンダーによる業務妨害のリスクにおびえるか、手動アップデートに切り替えてハッカーによる攻撃リスクにおびえるかのイヤな二択を迫られることになる。

クラウドストライク導入企業

導入しているのは事例を晒している企業を中心に以下の通り。

  • バンダイナムコ
  • サッポロホールディングス
  • アステラス製薬
  • 岐阜県中津川市教育委員会
  • 株式会社三菱UFJ銀行
  • ローツェ株式会社
  • バリュエンステクノロジーズ株式会社
  • 高知県庁
  • マクセル株式会社
  • 国立研究開発法人 国立環境研究所
  • 国立研究開発法人農業・食品産業技術総合研究機構
  • 株式会社 NTTデータ
  • サッポロホールディングス株式会社
  • 株式会社アスカネット
  • ディップ株式会社
  • Sansan株式会社
  • 鴻池運輸
  • 竹中工務店
  • クックパッド株式会社
  • Grupo Elfa
  • Intermex
  • Porter Airlines
  • NetApp
  • Locaweb
  • Roper Technologies
  • Vālenz Health
  • SA Power Networks
  • Cox Automotive
  • State of Wyoming
  • CMC Markets
  • Banco Galicia
  • Telus Health
  • State of Wyoming
  • Intel
  • 他多数
導入事例を晒していない企業でもデルタ航空やユナイテッド航空が被害を受けた模様。

クラウドストライクの声明


大切なお客様とパートナーの皆様、

本日の障害につきまして、皆様に直接心よりお詫び申し上げます。CrowdStrikeの全員が、状況の重大さと影響を理解しています。問題を迅速に特定し、修正を展開したため、お客様のシステムの復旧を最優先事項として真摯に取り組めるようになりました。

この停止は、Windows ホストの Falcon コンテンツ更新で見つかった欠陥が原因でした。Mac ホストと Linux ホストは影響を受けません。これはセキュリティ攻撃やサイバー攻撃ではありませんでした。

CrowdStrikeは、影響を受けたお客様やパートナーと緊密に連携して、すべてのシステムが復旧し、お客様が信頼するサービスを提供できるようにしています。

CrowdStrikeは正常に動作しており、この問題はFalconプラットフォームシステムには影響しません。Falconセンサーが取り付けられている場合、保護に影響はありません。Falcon CompleteおよびFalcon OverWatchのサービスが中断されることはありません。

サポートポータルを通じて、次の場所で継続的な更新を提供します。
https://supportportal.crowdstrike.com/s/login/
CrowdStrikeのブログ https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/
最新情報については、引き続きこれらのサイトにアクセスしてください。

私たちは、CrowdStrikeのすべてを動員して、お客様とパートナーのチームを支援しています。ご質問がある場合や追加のサポートが必要な場合は、CrowdStrikeの担当者またはテクニカルサポートにお問い合わせください。

敵対者や悪意のある人物がこのようなイベントを悪用しようとすることはわかっています。皆さんには、警戒を怠らず、CrowdStrikeの公式担当者と連絡を取り合うことをお勧めします。当社のブログとテクニカルサポートは、引き続き最新のアップデートの公式チャネルです。

私にとって、お客様やパートナーがCrowdStrikeに寄せてくださる信頼と信頼ほど大切なものはありません。この事象を解決するにあたり、これがどのように発生したか、そしてこのようなことが二度と起こらないようにするために私たちが取っている措置について、完全な透明性を提供することを私はお約束します。

ジョージ・カーツ
CrowdStrike 創業者兼CEO

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-326】集英社 「リマコミ+」におけるメールアドレス等の漏洩に関するお詫びとお知らせ 2024/7/8

 

この度、ウェブサイト「リマコミ+」において、システム設計上のミスにより ID 識別の不具合が生じました。これにより、一部のお客様のアカウントに第三者の方がログインしてしまう状況が発生し、メールアドレス等が、他の方に閲覧された可能性があることが判明いたしました。なお、閲覧された可能性のあるお客様全員に、すでにメールにてお詫びとご連絡を差し上げました。

関係する皆さまに多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。

本件についての詳細は以下の通りです。

1、<漏洩した可能性のあるメールアドレス件数>

157 件

(うち 5 件はクレジットカード名義を含む)

2、<発生期間>

2024 年 6 月 25 日 12:00~7 月 4 日 14:40 頃

3、<漏洩した可能性のあるメールアドレス以外の情報>

・ニックネーム

・アイコン(設定されていた場合)

・My 本棚(閲覧履歴・お気に入り・レンタル履歴・いいね履歴)

・コイン履歴

・登録されたクレジットカードの下4桁/有効期限/名義

※第三者によるクレジットカードの使用は発生しておりません。

※有償コインが第三者によって使用できる状況にありましたが、そのような使用の有無にかかわらず、該当するお客様には、有償コインの購入代金を全額返金する対応をいたしました。

4、<原因>

ウェブサイト開発時の ID 識別システム設計ミス

5、<再発防止策>

スタッフ全員に対して、情報セキュリティに関する意識を高めるとともに、適切な管理体制の徹底をはかり、再発防止に努めます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-325】上智大学 ソフィアメールシステム上で学生間・卒業生間の個人情報が閲覧可能になっていた事案について 2024/7/16

 

このたび、本学学生・卒業生のみが利用できるソフィアメールシステム(以下本システム)において、ログインした在学生・卒業生が、同一グループ内の個人情報(学生氏名と学生番号を含んだアカウントID)を互いに閲覧できる状態であったことが判明しました。既に設定を変更し、閲覧できない状態としております。なお、パスワードの流出はありません。

学生・卒業生及びご父母・保証人の皆様、そして関係者の皆様に大変なご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

1. 経緯等

2024年6月19日(水)に、本学学生から情報システム室サポート窓口宛に、本システムにおいて一定の手順を踏むと、他の学生の個人情報(氏名・学生番号を含んだアカウントID)が閲覧可能な状態にあるとの連絡が入りました。翌6月20日(木)に本システムのサポートベンダー等に事実関係や原因、対処方法について問合せをいたしましたが、事象の解消に至りませんでした。

その後、2024年7月8日(月)に、システム上の設定の漏れを確認し、対処いたしました。 また、7月11日(木)に別管理ツールの設定を確認し、しかるべく対処いたしました。なお、調査の過程において、卒業生グループのユーザーも、個人情報(氏名・在籍時の学生番号を含んだアカウントID)を相互閲覧できる可能性があったことが判明しました。こちらについても、設定変更を実施し、対処が完了しております。

2. 同一グループ内(※)で閲覧可能となっていた個人情報

① 個人情報の項目

学生氏名、学生番号を含んだアカウントID  ※パスワードの流出はありません。

(卒業生は在籍時の学生番号を含んだアカウントID)

②個人情報の数

【学生グループ】

上智大学と上智大学短期大学部の学生15,160名(うち23名は短期大学部卒業生)

【卒業生グループ】

2016年3月以降の上智大学、上智大学短期大学部、上智社会福祉専門学校生の卒業生

2016年1月以降、専任・常勤の教職員として勤務し、その後退職された方々

計36,275名

(※)このグループは、在学生が含まれる「学生グループ」と、主に卒業生で構成される「卒業生グループ」の2種類があり、自身が所属するグループ以外は閲覧できない仕様でした。

3.対応状況と今後について

2024年7月8日と7月11日に設定を変更して、既に閲覧できないようにしております。対象となった学生・卒業生に対しては、メールで個別に謝罪と本事案についての説明の連絡を行っております。また、個人情報保護委員会および文部科学省にも報告しております。

本システムは学外者の閲覧ができないものであり、現時点において学外への情報漏えいや外部から情報が盗み取られた形跡や、当該個人情報が悪用されるといった事実も確認されておりません。クラウドツールは仕様変更の頻度が多いため、定期的に最新情報を収集し、各種システムの運用に真摯に取り組んでまいります。今後、再びこのような事態が生じることのないよう、サポートベンダーとの緊密な連携を図ります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-324】東京都の委託事業における個人情報の事故について 2024/7/5


産業労働局が実施する「次世代アントレプレナー育成プログラム」事業について、委託契約を締結しているNPO法人ETIC.の再委託先であるフロッグウェル株式会社において個人情報に関わる事故が発生しましたので、お知らせします。

関係者の皆様に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

委託事業者がイベントを行った際の申込時の個人情報が掲載されたホームページ等に、一時外部からアクセス可能な状態となっていた。

(1)判明時期

令和6年7月1日(月曜日)午前11時50分(委託事業者から報告を受けた時間)

(2)外部からアクセス可能な状態となっていた個人情報

イベント申込者延べ504名分の以下情報

氏名、性別、生年月日、属性、所属(学校名・会社名等)、電話番号、メールアドレス(以下、記載任意)現在のステージ、活動をスタートしたタイミング、本講座の参加動機、本講座に期待すること、事前の質問事項

2 経緯

  • 令和6年6月30日(日曜日)、委託事業者が運営するホームページにあるプライバシーポリシーにイベント申込者から「特定の方法で私の氏名で検索するとログインしていないのに、個人情報が表示される」旨の申し出がメールで届いた。

  • 委託事業者がシステムを確認したところ、再委託事業者の設定ミスにより、5月14日(火曜日)以降、特定の方法で外部からアクセスできる状態であることが判明した。※ログの解析の結果、申出者以外のアクセスは確認されておらず、二次被害は確認されていない。

  • 7月1日(月曜日)以降、データベースへの外部からのアクセスを遮断するとともに、個人情報の掲載がないことの確認等を行い、現時点で個人情報は見られない状態になっている。

3 対応

  • 当該情報のすべてについて、外部アクセスできない状態に変更する等の対応を実施

  • 申出者に対し、メールにて、経緯の説明及びお詫びを連絡

  • 外部から情報が見られる可能性のあったイベント申込者に対し、メールにて、経緯の説明及びお詫びを連絡

4 再発防止策

  • NPO法人ETIC.及びフロッグウェル株式会社に厳重に注意を行うとともに、原因の詳細究明及び再発防止策の作成を指示した。

  • 産業労働局における、委託業務を含めた個人情報の適切な管理について、改めて注意喚起を行った。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-223】東京都教育委員会 都立高等学校における個人情報の漏えいについて 2024/7/5

 

令和6年5月31日に報道発表した、都立高等学校における個人情報の漏えいについては、関係の皆様に、多大な御迷惑をお掛けしましたことを、深くお詫び申し上げます。

その後、調査確認等を行った結果を取りまとめましたので、御報告いたします。

1 事故の概要

5月15日(水曜日)、都立学校の生徒から、Microsoft Teams(以下「Teams」という。)において、個人情報が閲覧できる状態にあることについて、東京都教育委員会(以下「教育委員会」という。)に連絡があり、調査したところ、以下のことが分かった。

(1) 氏名のみ又は写真のみが、一時的に、他の都立学校においても閲覧できる状態となっていた学校数:11校(江北高校、晴海総合高校、東高校、芦花高校、新島高校、練馬工科高校、八王子東高校、南多摩中等教育学校、八王子西特別支援学校、多摩桜の丘学園、東久留米特別支援学校)

(2) 氏名に加え、「体育祭の種目」「生徒会役員」など、校内で周知されている情報が、一時的に、他の都立学校においても閲覧できる状態となっていた学校数:18校(葛飾野高校、白鷗高校・附属中学校、三田高校、墨田工科高校、神代高校、雪谷高校、駒場高校、北園高校、豊島高校、山崎高校、八王子北高校、清瀬高校、東久留米総合高校、小平南高校、多摩工科高校、城東特別支援学校、王子特別支援学校、八王子南特別支援学校)

(3) 氏名に加え、「生年月日」「電話番号」など、校内で周知されない情報が、一時的に、他の都立学校においても閲覧できる状態となっていた学校数:5校

なお、同生徒が同電子データを所持していないことを確認済みである。二次被害等の報告は受けていない。

2 事故の対応

1の(1)の11校について、生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。

1の(2)の18校について、生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。また、必要に応じて生徒の個別面談や保護者への個別の説明を行った。

1の(3)の5校について、以下のとおりである。

(1) 都立三鷹中等教育学校

ア 漏えいした情報等

5月16日(木曜日)、校長は、教育委員会からの通知に基づき、Teamsの公開範囲の設定について注意喚起を行うとともに、全てのチームの公開範囲を確認し、「プライベート」にするよう教員に指示をした。同校教諭は、他の教員から、自ら作成したTeamsのチームが「パブリック」であることを指摘され、同チーム内にアップロードしていたデータを削除した。個人情報が閲覧できる状態にあることについて、教育委員会に連絡をした都立学校の生徒の閲覧記録があったファイルに、463名分(在校生160名、卒業生303名)の個人情報(氏名、委員会、通知表所見等)が、5月16日まで、他の都立学校においても閲覧できる状態となっていた。

イ 同校のファイルを閲覧したことが確認できている都立学校関係者への対応

閲覧記録がある都立学校の関係者に対して、同ファイルを所持していないことを確認済みである。二次被害等の報告は受けていない。

ウ 事故発生後の対応

6月26日(水曜日)、同校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、6月27日(木曜日)、卒業生にお詫び文を送付した。6月29日(土曜日)、臨時保護者会を実施し、内容の説明と謝罪を行った。

(2) 都立大泉高等学校・附属中学校

ア 漏えいした情報等

同高校の部活動の生徒12名の個人情報(氏名、性別、生年月日、記録等)、その12名を含む同高校・附属中学校の部活動の生徒31名の個人情報(氏名、出席番号)及び生徒803名分の個人情報(氏名、出席番号)が、5月16日(木曜日)まで、他の都立学校においても閲覧できる状態となっていた。

イ 事故発生後の対応

6月24日(月曜日)、同高校の部活動の同生徒に対し個人情報が漏えいした事実の説明と謝罪を行い、対象となる保護者に対し、お詫び文を送付すると共に、電話で説明と謝罪を行った。6月25日(火曜日)、同高校・附属中学校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。

(3) 都立武蔵村山高等学校

ア 漏えいした情報等

同校の部活動生徒8名の個人情報(氏名、性別、生年月日、年齢)が5月16日(木曜日)まで、他の都立学校においても閲覧できる状態となっていた。

イ 事故発生後の対応

6月25日(火曜日)、同校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。6月25日(火曜日)から28日(金曜日)にかけて、対象となる保護者に対し、家庭訪問等により内容の説明と謝罪を実施した。

(4) 都立五日市高等学校

ア 漏えいした情報等

同校の卒業生8名の個人情報(氏名、クラス、携帯電話番号)が、5月16日(木曜日)まで、他の都立学校においても閲覧できる状態となっていた。

イ 事故発生後の対応

6月24日(月曜日)、卒業生の保護者に対して、電話により内容の説明と謝罪を行った。6月26日(水曜日)、同校の全生徒に対し生徒の個人情報が漏えいした事実の説明と謝罪を行い、保護者にお詫び文を送付した。

(5)  都立中央ろう学校

ア 漏えいした情報等

同校の全生徒116名の個人情報(氏名、学年、クラス)、うち10名については個人の特性等の追加の個人情報が、5月15日(水曜日)まで、他の都立学校においても閲覧できる状態となっていた。

イ 事故発生後の対応

6月27日(木曜日)までに、追加の個人情報が含まれていた10名の生徒及び保護者に対し、個別に内容の説明と謝罪を行った。7月3日(水曜日)、臨時保護者会を開催して説明と謝罪を行うとともに、全生徒への説明と謝罪を行った。

3 事故の原因

(1) 教職員専用のアカウントで取り扱うべき生徒の個人情報を、教職員及び生徒共有のアカウントで取り扱ったこと。

(2) Teamsにおいて「プライベート」としなければならないチームの公開範囲を、「パブリック」としたこと。

4 再発防止について

(1) Teams事故再発防止委員会を設置し、実態に即した研修内容やチェックリストとなるよう都立学校の教職員の意見を踏まえて検討を行い、教員向けの周知資料や研修資料等を作成し、全教職員の理解を着実に進める。併せて、システムの設定変更等も含めた検討を行う。

(2) 職員会議や企画調整会議等の場を活用し、校内周知を徹底する。

リリース文アーカイブ

【2024年5月31日リリース分】

リリース文アーカイブ

Labels:
登録: 投稿 (Atom)