雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【セキュリティ事件簿#2023-169】シークス株式会社 不正アクセスによる個人情報流出のお詫びとお知らせ 2024/7/23
【セキュリティ事件簿#2024-327】同志社香里中学校・高等学校 個人情報を記録したUSBメモリの紛失につきまして 2024/7/22
平素は本校の教育活動にご理解とご支援を賜り感謝申し上げます。
このたび本校専任教諭が2023年度卒業生の成績の一部を記録したUSBメモリ(パスワード管理、データ暗号化等のセキュリティ付)を紛失したことにつきまして、お知らせいたしますとともに、謹んで深くお詫び申し上げます。
現在、遺失物として探しておりますが、未だUSBメモリの所在が確認できておりません。情報漏洩などの事実も確認されておりませんが、もし流出にお気づきになったり、個人情報の流出により実害を受けられたりした場合は、本校までご連絡ください。
今後、このようなことが起きないよう再発防止に全力を尽くす所存です。
【セキュリティ事件簿#2024-313】熊本市 上下水道局の委託事業者(東京ガスエンジニアリングソリューションズ株式会社)への不正アクセスによる情報漏えいの恐れについて 2024/7/22
当局の委託事業者(東京ガスエンジニアリングソリューションズ株式会社、以下「TGES」。)のネットワークが外部から不正アクセスを受け、一部のお客様に関する情報が外部から閲覧可能な状態になっていたことが判明しました。
1.経緯
7月17日(水曜日)9時27分、TGESより、同社のネットワークが外部からの不正アクセスを受け、システムの動作検証時に借用したデータの一部が閲覧可能な状況にあったとの連絡があり、個人情報の漏えいの可能性が判明しました。なお、TGESによれば、現時点での情報流出の痕跡は確認されておらず、ネットワークへの外部経路は遮断済みとの報告を受けています。
お客様にご心配おかけしておりますことを、深くお詫び申し上げます。
2.漏えいした恐れのある個人情報
熊本市の下水道をご利用の一部のお客様 約37,000人分の情報(水栓番号、住所、世帯人数、使用者名、使用水量等)(7月22日時点)
(注)電話番号、金融関係口座、クレジットカード情報は含まれておりません。
3.今後の対応
情報が漏えいした恐れのあるお客様への通知方法につきましては、TGESと協議の上、速やかに進めてまいります。また、今回の一連の経緯についてTGESから詳細報告を受けるとともに、原因究明および再発防止に向けた対策を求めていきます。
【セキュリティ事件簿#2024-313】新座市 水道マッピングシステム運用再委託先において個人情報が閲覧可能となってしまった事象について 2024/7/22
1.概要
本市では、配水管やお客様の引込み管等の情報を管理するシステムについて、運用業務を水道マッピングシステム株式会社に委託しております。
令和6年7月17日に同社から、再委託先である東京ガスエンジニアリングソリューションズ株式会社のネットワークが外部から不正アクセスを受け、お客様に関する情報が閲覧可能な状態になっていたとの報告があり、情報流出の可能性があることが判明しました。
なお、不正アクセス確認後、速やかにネットワークの外部からの接続遮断を行い、令和6年7月19日時点で個人情報の不正利用等は確認されておりません。
2.対象の情報
(1)年度 令和5年度
(2)件数 88,627件
(3)データ項目 お客様番号、水栓番号、使用者漢字氏名、水栓所在地、水栓所在地方書、使用水量、使用状況、口径、メーター設置年月日
3.今後の対応
委託業者に対し、個人情報の厳正な管理や情報セキュリティ指導の徹底について、再度指導・監督を行い、再発防止に努めてまいります。
【セキュリティ事件簿#2024-313】宇部市水道局 個人情報流出の可能性について 2024/7/23
宇部市水道局の業務委託先である東京ガスエンジニアリングソリューションズ株式会社のネットワークが外部からの不正アクセスを受けたことが判明しました。
同社は、不正アクセス確認後、外部との接続を遮断し、それ以降の不正なアクセスができないよう対策を講じられています。
お客様情報などの個人情報の流出の可能性については、現在その痕跡は、確認されておらず、また、情報が不正利用された事実も確認されていません。
お客様には、ご心配をおかけしておりますことを深くお詫び申し上げます。
今後、新たな事実が判明した場合は、改めて報告いたします。
1 業務委託の内容
水道施設情報管理システム(マッピングシステム)の保守・管理
※このシステムは、水道管などの施設情報を電子化し一元管理するものです。
2 流出の可能性がある個人情報
使用者名、住所、水栓番号
なお、電話番号、金融機関口座情報は、含まれておりません。
クラウドストライク、アップデートをしくじり顧客PCに対してBSOD(Blue Screen of Death)攻撃。~こういうことをされると自動アップデート機能は無効化せざるを得ない~
クラウドストライク社は、自社が提供するEDR製品のアップデートをしくじり、顧客のPCにブルースクリーンを発生させ、導入企業の業務遂行を妨害した。
ある意味、サプライチェーンリスクが発生した典型的な事例。
メーカーを信じて自動アップデートを行っているのに、こういうことをされると自動アップデートは怖くてできなくなる。
導入企業は自動アップデートを有効にしてセキュリティベンダーによる業務妨害のリスクにおびえるか、手動アップデートに切り替えてハッカーによる攻撃リスクにおびえるかのイヤな二択を迫られることになる。
クラウドストライク導入企業
導入しているのは事例を晒している企業を中心に以下の通り。
- バンダイナムコ
- サッポロホールディングス
- アステラス製薬
- 岐阜県中津川市教育委員会
- 株式会社三菱UFJ銀行
- ローツェ株式会社
- バリュエンステクノロジーズ株式会社
- 高知県庁
- マクセル株式会社
- 国立研究開発法人 国立環境研究所
- 国立研究開発法人農業・食品産業技術総合研究機構
- 株式会社 NTTデータ
- サッポロホールディングス株式会社
- 株式会社アスカネット
- ディップ株式会社
- Sansan株式会社
- 鴻池運輸
- 竹中工務店
- クックパッド株式会社
- Grupo Elfa
- Intermex
- Porter Airlines
- NetApp
- Locaweb
- Roper Technologies
- Vālenz Health
- SA Power Networks
- Cox Automotive
- State of Wyoming
- CMC Markets
- Banco Galicia
- Telus Health
- State of Wyoming
- Intel
- 他多数
クラウドストライクの声明
【セキュリティ事件簿#2024-326】集英社 「リマコミ+」におけるメールアドレス等の漏洩に関するお詫びとお知らせ 2024/7/8
この度、ウェブサイト「リマコミ+」において、システム設計上のミスにより ID 識別の不具合が生じました。これにより、一部のお客様のアカウントに第三者の方がログインしてしまう状況が発生し、メールアドレス等が、他の方に閲覧された可能性があることが判明いたしました。なお、閲覧された可能性のあるお客様全員に、すでにメールにてお詫びとご連絡を差し上げました。
関係する皆さまに多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。
本件についての詳細は以下の通りです。
1、<漏洩した可能性のあるメールアドレス件数>
157 件
(うち 5 件はクレジットカード名義を含む)
2、<発生期間>
2024 年 6 月 25 日 12:00~7 月 4 日 14:40 頃
3、<漏洩した可能性のあるメールアドレス以外の情報>
・ニックネーム
・アイコン(設定されていた場合)
・My 本棚(閲覧履歴・お気に入り・レンタル履歴・いいね履歴)
・コイン履歴
・登録されたクレジットカードの下4桁/有効期限/名義
※第三者によるクレジットカードの使用は発生しておりません。
※有償コインが第三者によって使用できる状況にありましたが、そのような使用の有無にかかわらず、該当するお客様には、有償コインの購入代金を全額返金する対応をいたしました。
4、<原因>
ウェブサイト開発時の ID 識別システム設計ミス
5、<再発防止策>
スタッフ全員に対して、情報セキュリティに関する意識を高めるとともに、適切な管理体制の徹底をはかり、再発防止に努めます。
【セキュリティ事件簿#2024-325】上智大学 ソフィアメールシステム上で学生間・卒業生間の個人情報が閲覧可能になっていた事案について 2024/7/16
このたび、本学学生・卒業生のみが利用できるソフィアメールシステム(以下本システム)において、ログインした在学生・卒業生が、同一グループ内の個人情報(学生氏名と学生番号を含んだアカウントID)を互いに閲覧できる状態であったことが判明しました。既に設定を変更し、閲覧できない状態としております。なお、パスワードの流出はありません。
学生・卒業生及びご父母・保証人の皆様、そして関係者の皆様に大変なご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。
1. 経緯等
2024年6月19日(水)に、本学学生から情報システム室サポート窓口宛に、本システムにおいて一定の手順を踏むと、他の学生の個人情報(氏名・学生番号を含んだアカウントID)が閲覧可能な状態にあるとの連絡が入りました。翌6月20日(木)に本システムのサポートベンダー等に事実関係や原因、対処方法について問合せをいたしましたが、事象の解消に至りませんでした。
その後、2024年7月8日(月)に、システム上の設定の漏れを確認し、対処いたしました。 また、7月11日(木)に別管理ツールの設定を確認し、しかるべく対処いたしました。なお、調査の過程において、卒業生グループのユーザーも、個人情報(氏名・在籍時の学生番号を含んだアカウントID)を相互閲覧できる可能性があったことが判明しました。こちらについても、設定変更を実施し、対処が完了しております。
2. 同一グループ内(※)で閲覧可能となっていた個人情報
① 個人情報の項目
学生氏名、学生番号を含んだアカウントID ※パスワードの流出はありません。
(卒業生は在籍時の学生番号を含んだアカウントID)
②個人情報の数
【学生グループ】
上智大学と上智大学短期大学部の学生15,160名(うち23名は短期大学部卒業生)
【卒業生グループ】
2016年3月以降の上智大学、上智大学短期大学部、上智社会福祉専門学校生の卒業生
2016年1月以降、専任・常勤の教職員として勤務し、その後退職された方々
計36,275名
(※)このグループは、在学生が含まれる「学生グループ」と、主に卒業生で構成される「卒業生グループ」の2種類があり、自身が所属するグループ以外は閲覧できない仕様でした。
3.対応状況と今後について
2024年7月8日と7月11日に設定を変更して、既に閲覧できないようにしております。対象となった学生・卒業生に対しては、メールで個別に謝罪と本事案についての説明の連絡を行っております。また、個人情報保護委員会および文部科学省にも報告しております。
本システムは学外者の閲覧ができないものであり、現時点において学外への情報漏えいや外部から情報が盗み取られた形跡や、当該個人情報が悪用されるといった事実も確認されておりません。クラウドツールは仕様変更の頻度が多いため、定期的に最新情報を収集し、各種システムの運用に真摯に取り組んでまいります。今後、再びこのような事態が生じることのないよう、サポートベンダーとの緊密な連携を図ります。