【セキュリティ事件簿#2024-335】税理士法人夏目事務所 不正アクセスによる個人情報等の漏えいに関するお詫びとお知らせ 2024/7/22

 

このたび、弊所のサーバーが第三者からのランサムウェアによる不正アクセス攻撃を受け、弊所で保管していた個人情報等の情報について漏えいした可能性があることを確認いたしました。

弊所の顧問先、お取引先の皆様に、多大なるご心配をおかけする事態となりますこと、深くお詫び申し上げます。

弊所は、本件を厳粛に受け止め、再発防止策を講じてまいります。

1. 本件の概要

弊所のサーバーに対する第三者からの不正アクセスです。当該不正アクセスにより、サーバーに保管していた個人情報等が漏えいした可能性がございます。

2024 年 5 月 19 日、弊所のシステムが正常に稼働しない事象が発生したため、確認をしたところ、サーバーがランサムウェアの被害を受けたことが判明いたしました。

その後、専門会社による調査の結果、攻撃の内容から、個人情報等の漏えいの可能性を否定できないものと判断いたしました。

2. 漏えい懸念対象者と情報の内容

弊所が顧問先、お取引先から税務申告のためにお預かりした情報となります。

※クレジットカード情報は弊所にて保有しておりませんので漏えいの可能性はありません。 

3. 弊所の対応

(1) 専用ご相談窓口の設置

本件専用のご相談窓口を設置いたしました。

(2) 顧問先等、お取引先様へのお詫びのご案内

個別通知可能な顧問先・お取引先については、弊所担当者により個別にご案内をいたしております。

(3) 関係行政機関への報告

① 個人情報保護委員会に報告いたしました。
② 警視庁サイバーセキュリティ対策本部に報告いたしました。 

4. 再発防止策

専門会社と協議のうえ、ネットワーク機器などを取り替え、セキリュティ機能を強化したシステム構築をいたします。

5. 二次被害防止へのご協力のお願い

現在のところ二次被害の発生の報告は受けておりませんが、不審な郵便物等が届くなどの二次被害にご注意をお願いいたします。ご不安等がございましたら弊所までご連絡をお願いいたします。警察当局に捜査協力を依頼する等、対策を講じてまいります。

6. 発表とご案内まで期間を要したことのお詫び

弊所が本件の疑いを認知した日から本日のご案内まで期間を要しましたことを、深くお詫び申し上げます。認知した日に発表とご案内を行うことも検討しましたところ、不確定な情報をもって発表することからは、より一層のご不安をお掛けすることにつながるため、本日、発表を行うことと決定いたしました。お時間をいただきましたこと、お詫び申し上げます。 

【セキュリティ事件簿#2024-334】株式会社朋栄 お客さまに関する情報漏えいについてのお詫びとお知らせ 2024/7/19

 

このたび、損害保険ジャパン社から弊社への出向転籍者により、アパートローン利用者様向け火災保険をご契約いただいているお客さまに関する情報が損害保険ジャパン社に漏えいしていたことが、同社からの報告により判明いたしました。

お客さまには多大なご迷惑とご心配をおかけすることになりましたことを、深くお詫び申し上げます。

現時点で確認している事実は以下のとおりです。

■漏えいの内容

1.対象者

アパートローン利用者様向け火災保険契約者

2.対象期間

2021 年 5 月~11 月、2022 年 2 月~2024 年 5 月始期契約

3.漏えいしたお客さま数

1,518 名(個人 890 名、法人 628 社)

4.漏えいした情報

保険契約者名、法人個人区分、保険会社名(損害保険会社 4 社)、保険種目、

保険始期、保険料、紹介先、弊社担当者名、弊社案件番号等

5.漏えいした情報の使途

損害保険ジャパン社員からの契約シェア確認の要請に対し、同社からの出向転籍者が情報提供を行っていたものです。

損害保険ジャパン社から外部への漏えいがないことは確認しております。

■今後の対応

1.お客さまへのご連絡

漏えいが確認されたお客さまへは、順次郵送等によりご連絡させていただきます。

2.信頼回復に向けた取組み

このような事態を発生させたことを真摯に受け止め、社内調査を通じて全容を把握するとともに、判明した原因に対する再発防止策を社内徹底することでお客さまからの信頼回復を図ってまいります。 

【セキュリティ事件簿#2024-334】株式会社トータル保険サービス お客様の契約情報等の漏えいについて 2024/7/12

 

弊社株式会社トータル保険サービスは損害保険ジャパン株式会社(以下「SJ 社」といいます。)の取扱代理店ですが、このたび、弊社のお客様がご契約されている損害保険契約に関する情報(一部個人情報を含みます)が、弊社から SJ 社に漏えいしていたことが判明いたしました。現時点では、SJ 社から弊社への出向者による情報漏えいであることは判明していますが、詳細については現在調査を進めているところです。

お客様にはご迷惑とご心配をおかけすることになり深くお詫び申し上げます。

現時点で確認できています事実関係は以下のとおりです。

1.経緯

  • 7月 10日(水)、SJ 社から弊社に対する報告により発覚

2.漏えいが確認された情報

  • 保険契約者名(法人名および一部代表者名等)、保険会社名(SJ 社を含む損害保険会社計19社)、保険種目、保険期間、保険料、弊社担当部署名、弊社担当者名等

3.対象となる延べ契約件数

  • 約 2,700 件

4.今後の対応

  • 関係機関に報告するとともに、対象となるお客様には順次ご連絡させていただきます。また、これと並行して調査を進めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-334】株式会社千葉銀行 お客さまに関する情報漏えいについてのお詫びとお知らせ 2024/7/26

 

株式会社千葉銀行(取締役頭取 米本 努、以下「当行」)において、複数の損害保険会社から受託している火災保険等の保険料に係る集金情報が、損害保険ジャパン株式会社(以下、「同社」)に漏えいしていたことが、同社からの報告により判明いたしました。

お客さまをはじめとする関係者の皆さまに、ご迷惑とご心配をおかけすることを、心よりお詫び申し上げます。

現時点で確認できている事実関係は以下の通りです。

1.漏えいの内容

(1) 対象者

当行または保険代理店である東方エージェンシー株式会社の募集により火災保険等を申し込み、当行に口座振替等を依頼した個人および法人のお客さま

(2) 漏えいが確認されたまたは漏えいのおそれがある情報

契約者名、取引店番号、取引店名、顧客番号、証券番号、保険料、保険会社名、保険種類、商品名

(3) 漏えいが確認されたまたは漏えいのおそれがあるお客さまの数(最大)

個人のお客さま:約 10,800 先

法人のお客さま:約 700 先

※他の損害保険会社の火災保険商品の当行における取扱開始(2002 年 4 月)以降の累計

(4) 対象期間(最大)

2002 年4月~2024 年4月

※現時点では、2008 年以降の同社からの出向者による情報漏えいが判明しています。なお、同社より2008 年以前の情報についても漏えいの可能性があると指摘されているため、現在、調査を進めております。

(5) 漏えいした情報の使途

同社において、各損害保険会社のシェア確認のために取引店番号と保険料の情報が利用されました。

一方、契約者名、証券番号等、個人が特定できる情報は利用していない旨の報告を受けています。

また、漏えいした集金情報は同社から外部に流出していないことを同社に確認しております。

2.二次被害のおそれ

現時点では、漏えいした個人情報の悪用等による二次被害またはそのおそれは確認されておりません。

3.今後の対応

(1)お客さまへのご案内

漏えいまたは漏えいのおそれが確認されたお客さまに対して、個別連絡等を通じてご案内していきます。

(2)信頼回復に向けた取組み

当行はこの事態を真摯に受け止め、社内調査を進め全容を把握するとともに、判明した原因に対する再発防止策を徹底することで、お客さまからの信頼回復を図ってまいります。

リリース文アーカイブ

【KALI LINUX】 John the Ripper ~パスワードクラッカー~


今日は「John the Ripper」を紹介したいと思います。

John the Ripperはオープンソースのパスワードクラッカーで、複数のアルゴリズムを使ってパスワードをブルートフォースすることができます。様々な種類のドキュメントやアーカイブのパスワードを解除したり、様々なリソースのシンプルなユーザーパスワードを解除することができます。Johnの欠点は、ハッシュをクラックすることしかできないことです。つまり、暗号化されたファイルを直接扱うことはできません。例えばオフィス文書を開き、そこにパスワードを入力するようなことはできません。

以下の例では、JohnがすでにインストールされているKali Linuxを使って説明します。インストールは以下のコマンドで行えます。

# sudo apt install john -y

例として、暗号化されたアーカイブのパスワードをクラックする方法を見てみましょう。

ハッシュ値の抽出

まず、問題のファイルのハッシュを計算(抽出)する必要があります。zip2johnと呼ばれる補助ユーティリティーを使います。

ここで、アーカイブがあるフォルダに移動します。

# cd (ファイルパス)

zip2johnを実行し、結果(抽出したハッシュ)をTest.txtという同じフォルダに保存します。

# zip2john Test.zip > Text.txt

異なるファイル形式からハッシュを抽出する場合は、補助ユーティリティの名称が変わります。いくつか例を挙げてみましょう。

rarファイルからハッシュを抽出する場合。

# rar2john Test.rar > Text.txt

7zアーカイブからハッシュを抽出する場合。

# 7z2john.pl '/mnt/disk_d/Arch/from_kali.7z'

MS Word 2019ファイルからハッシュを抽出する場合。

# office2john.py '/mnt/disk_d/Share/Secret.docx' 2>/dev/null

Wi-Fiハッキングのためのハンドシェイクからハッシュを抽出する場合。

# wpapcap2john ~/RT-725140.pcap

キャプチャしたネットワークトラフィックからVNCハンドシェイクのハッシュを抽出する場合。

# vncpcap2john '/home/mial/VNC.pcapng'

SSHキーのハッシュを抽出する場合。

# ssh2john id_rsa > Text.txt

この抽出したText.txtファイルに対して、johnコマンドで解析を進めます。

ランニング

最も頻繁に使われるオプションとしては、--mask(パスワードを生成するためのマスク)と--wordlist(辞書ファイルの指定)が挙げられます。

辞書ファイルを用いた解析を行うには、辞書が必要です。Kali Linuxにはseclistsと呼ばれるパッケージが用意されているのでインストールします。

# sudo apt install seclists -y

/usr/share/seclists/ 配下にファイルが展開されます。

辞書攻撃を行うには、次のようなコマンドを実行します。
john --wordlist=(辞書ファイル)

辞書として、/usr/share/seclists/Passwords/rockyou.txtファイルを使う場合、コマンドは以下のようになります。

john --wordlist=/usr/share/seclists/Passwords/rockyou.txt Text.txt

実行結果の例は以下となり、pass123がパスワードであることが分かります。

# sudo john --wordlist=/usr/share/seclists/Passwords/rockyou.txt Text.txt
Using default input encoding: UTF-8
Loaded 1 password hash (PKZIP [32/64])
Will run 8 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
pass123          (secure_1605054835063.zip/zippy/flag.txt)
1g 0:00:00:00 DONE (2024-07-26 21:44) 8.333g/s 136533p/s 136533c/s 136533C/s 123456..christal
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

マスク攻撃を行うには、次のような形式のコマンドを使用します。

./john --mask=(マスクハッシュ)

例えば、こんな感じです。

./john --mask='?d?d?d?d?d?d' Text.txt

マスク別にパスワードを把握するためのちょっとしたメモをご紹介します。

Static Characters.
Ranges in the syntax [aouei] or [a-z]. Or both, [0-9abcdef] is the same as [0-9a-f].
Fillers that are just an abbreviated form for ranges, such as ?l, which is 100% equivalent to [a-z].
?l is lowercase ASCII letters
?u are ASCII uppercase letters.
?d are numbers
?s are special characters (all printable ASCII characters except those included in ?l, ?u, or ?d)
?a is full "printable" ASCII. Note that for formats that are not case-sensitive (e.g., LM), this designation includes only lowercase characters, which significantly reduces the key space (the number of possible password candidates), but still covers all possible variants available for a given hash type.
?B is all 8-bit (0x80-0xff)
?b is all (0x01-0xff) (the NULL character is currently not supported by the kernel).
?h are lowercase hexadecimal digits (0-9, a-f)
?H are upper case HEX digits (0-9, A-F)
?L are lowercase, non-ASCII letters
?U are uppercase letters, non-ASCII
?D are "numbers", non-ASCII
?S is for non-ASCII "special characters"
?A is all valid characters in the current code page (including ASCII). Note that for formats that do not recognize case (e.g. LM), this includes only lowercase characters, which greatly reduces the number of password candidates without compromising cracking.
Fillers that are user-defined, so we can, for example, set the value to ?1 and assign it a value, such as [?u?l]. In Hashcat, this is called "user-defined character sets".
?1 .. ?9 is a user-defined placeholder 1 . 9
Fillers for hybrid mask mode:
?w is in Hybrid Mask Mode denotes the source word created by the parent mode.
?W is like ?w except that the source word is case-sensitive (so PassWord becomes PASSWORD).

今回は、John the Ripperの用途の一つをざっと見てみましたが、決してそれだけではありません。

LinuxでJohnを使えない場合は、開発者が気を利かせて、WindowsやMacOSで使える可能性を加えてくれましたが、これはお勧めできません。興味のある方は、インターネット上にたくさんのガイドや記事があります。

以上、ここから先は誠意を持って対応してください この記事がどなたかのお役に立てれば幸いです。

出典:Брутфорс - John the Ripper

出典:John The Ripper


【セキュリティ事件簿#2024-237】ニデックインスツルメンツ株式会社 弊社の不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ 2024/7/25

ニデックインスツルメンツ
 

日頃よりニデックインスツルメンツ株式会社をご愛顧いただき、誠にありがとうございます。 このたび、当社及び当社のグループ会社(以下「当社グループ」といいます。)は、2024年6月10日及 び同月27日付けで当社及びニデック株式会社のウェブサイトにて公表させていただきましたとおり、外 部の悪質な攻撃者(以下「本件攻撃者」といいます。)からサイバー攻撃を受け、複数のサーバー内のファイルが暗号化されるランサムウェア被害を受けました(以下「本件」といいます。)。

本通知では、本件に関する当社グループの現時点での調査結果を再度ご報告申し上げます(一部の内容は、これまでに公表した内容と重複します。)。

なお、本件に関するランサムウェア被害は当社グループ以外のニデック株式会社及びそのグループ会社へは波及していないことを重ねてご報告させていただきます。

改めまして、皆さまにご迷惑とご心配をおかけしておりますことを心より深くお詫び申し上げます。

1. 本件の概要

2024年5月26日、ランサムウェアによる当社保有の業務システム等への不正アクセスが発生し、システム内の情報が暗号化されました。

調査の結果、当社ホームページにて6月27日付けで公表した「弊社への不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ」のとおり、当社のみならず、国内当社グループのニデックマテリアル株式会社・東京丸善工業株式会社・ニデックインスツルメンツ秋田株式会社・株式会社サンセイキ・ニデックインスツルメンツサービスエンジニアリング株式会社・一般社団法人ニデックオルゴール記念館すわのね及び一部の当社海外現地法人(注)の社内システムのサーバー及びファイルサーバー等における一部データについて暗号化されたこと、及び本件攻撃者によるリークサイトにおいて、本件に関連すると思われるダウンロードサイトへのリンクが掲載され、当社グループが保有する情報の一部が外部の第三者に漏えいした可能性が否定できないことが判明しました。なお、その後の調査により、現在当該ファイルは当該ダウンロードサイトからダウンロードできなくなっていることが確認されています。

これまでの対応経緯の詳細につきましては後述いたします。

注:当社グループとは別のネットワーク構成であるため、下記9社は、本件の影響を受けておりません。

① SCD:Co.,Ltd

② SCD:(Guangzhou):Co.,LTD

③ SCD:(Hong:Kong):Co.,LTD

④ ニデックインスツルメンツ(米国)株式会社

⑤ ニデックインスツルメンツ(メキシコ)株式会社

⑥ ニデックインスツルメンツ(欧州)株式会社

⑦ ニデックジェンマークオートメーション株式会社

⑧ ニデックジェンマークオートメーション(蘇州)株式会社

⑨ ニデックジェンマークオートメーション(欧州)株式会社

2. 漏えい等が発生し、または発生したおそれがある個人データの項目と件数

  • お取引先様他関係者の皆様に関する情報

  -個人データの項目

  氏名、性別、住所、生年月日、電話番号、メールアドレス

  -個人データの件数

  318,151 件

  (個人データの延べ件数であり、ご本人様の人数は 318,151 よりも少なくなります)

  • 当社のオルゴールをご購入いただいたお客様及び当社主催のイベント等にご参加いただいた皆様に関する情報

  -個人データの項目

  氏名、性別、住所、電話番号、メールアドレス

  -個人データの件数

  71,089 件

  (個人データの延べ件数であり、ご本人様の人数は 71,089 よりも少なくなります)

  • 当社のオルゴールをご購入いただいたお客様及び当社主催のイベント等にご参加いただいた皆様に関する情報

  -個人データの項目

  氏名、性別、住所、電話番号、メールアドレス

  -個人データの件数

  71,089 件

  (個人データの延べ件数であり、ご本人様の人数は 71,089 よりも少なくなります)

3. 原因と対応状況

(1) 原因

本件の原因は、本件攻撃者が、システムの管理者アカウントの ID 及びパスワードを何らかの形で不正に取得し、当社の業務システム内にアクセスしたことにあると考えられます。

(2) 対応状況

初期的には、暫定対処として、すべての ID に対するパスワードの変更及びサイバー攻撃を受けた端末のネットワークからの隔離を行いました。

また、当社は、現在までに、インターネットに接続する場合は、原則としてクリーン PC(社内ネットワークに接続しない端末)を使用するとともに、クリーン PC 以外の端末は、メールやウェブ会議を利用する場合等の業務上必要な最小限のものを除き、インターネットとの通信を遮断することで、外部からの不審な通信を受け付けないようにしております。メールについても、接続元 IP アドレス制限を行い、意図しない第三者の利用を防止しております。これらの措置を含む総合的なセキュリティ対策により、外部の方々が保有・管理するシステムに影響が及ぼすことのないよう努めております。

4. 二次被害またはそのおそれの有無及びその内容

「1. 本件の概要」に記載したとおり、本件攻撃者によるリークサイトからはデータのダウンロードができなくなっていることを確認しております。また、「2. 漏えい等が発生し、または発生したおそれがある個人データの項目と件数」に記載のとおり、漏えい等の可能性のある情報の項目の中に、クレジットカード情報等の経済的な二次被害を直接生じさせ得る情報は含まれておりません。以上のほか、当社においては、現時点で、本件に起因する個人データを用いた不正利用等の二次被害については、確認されておりません。

万が一、当社グループを騙り、又は本件攻撃者を自称する等の不審なメール等を受信された場合は開かず、また、当該メッセージに記載された URL 等へのアクセスはしないようお願い申し上げます。

5. 再発防止策

当社は、本件を受け、社内アカウントの不正使用を防止するため、全ての社内アカウントのパスワードを変更し、不要なアカウントについては削除しました。また、業務システムへの不正アクセスを防止するため、社外から VPN(※)を通じて社内ネットワークに接続することが可能なユーザを限定する設定に変更しました。

また、当社グループは、本件を受け、更なる情報管理体制の強化に努め、本件の再発防止に取り組んで参ります。

※「Virtual:Private:Network」の略称で、インターネット上に設定された仮想の専用線であり、特定の人のみが利用できる専用ネットワークを指します。

6. お問い合わせ先

本件に関するお問合せは下記の連絡先までお願いいたします。

0570-004066【ナビダイヤル】

7. これまでの対応経緯の詳細

本件に関する当社グループのこれまでの対応経緯は以下のとおりです。なお、当社グループ及びニデック株式会社は、本件攻撃者からの身代金要求には一切応じておらず、また、外部セキュリティ専門機関と連携し、リークサイトの継続的な監視を続けております。

  • 5 月 26 日、当社の情報システム部の社員が、本件に関する攻撃を検知しました。同日中に、初動対応として、EDR ソフトやマルウェアの駆除ソフトを利用し、本件の原因となったマルウェアの駆除を行いました。また、弊社内で対策チームを組織しました。

  • 5 月 27 日、当社グループの全社員に指示の上、当社グループの全 PC について、本件の原因となったマルウェアが起動されていないことを確認しました。

同日、バックアップデータからのデータ復旧によって、最低限の対外的業務継続体制を構築しました。

  • 5 月 28 日、当社グループの情報が外部の第三者に漏えいした可能性が否定できないことから、本件について長野県警に通報・相談を開始しました。加えて同日以降、社内基幹システムおよび周辺システムの復旧を行うとともに、セキュリティ製品を取り扱うベンダーと連携の上、復旧対応等を試みてまいりました。

  • 6 月 3 日、外部セキュリティ専門機関に依頼の上、事実関係の専門調査を開始しました。

なお、本件攻撃者からは、当社への攻撃と並行して当社の親会社であるニデック株式会社に対し身代金の支払要求がありましたが、反社会的勢力に対する利益供与には応じられないこと等の理由から現時点に至るまで、身代金の支払いは一切実施しておりません。

  • 6 月 10 日、当社及びニデック株式会社のホームページにおいて、「弊社にて発生したセキュリティインシデントについて」を公表いたしました。また、同日、当社において個人情報保護委員会に対する速報を行うとともに、従業員に対して同旨の正式な社内通知を行いました。また、当社以外の国内グループ会社も、翌 11 日、個人情報保護委員会に対する速報を行いました。

  • 6 月 12 日、外部弁護士への相談を開始しました。

また、同日、外部セキュリティ専門機関から、初期的な調査の報告を受けました。

  • 6 月 18 日、本件攻撃者によるリークサイトにおいて、当社グループに関連すると思われるダウンロードリンクが掲載され、ダウンロードが可能な状態になっていることを確認しました。ただし、その後の調査により、6 月 19 日以降、そのダウンロードができない状態になっていることを確認しております。

  • 6 月 26 日、当社の調査により、本件攻撃者によって不正アクセスが可能であったインスツルメンツサーバー内に、ニデック株式会社の一部の株主様の個人データが保存されており、当該株主様の個人データが漏えい等したおそれが否定できないことが判明したため、当社は、ニデック株式会社に対し、当該漏えい等のおそれについて報告しました。

  • 7 月 12 日、漏えい等の可能性のある情報の項目・件数等の調査及び個人データが漏えい等した可能性のあるご本人様の特定が完了いたしました。

  • 7 月 15 日、お取引先様及びお客様に、より安心・信頼いただける環境の構築が完了いたしました。その具体的な内容は、前記 3(2)「対応状況」をご参照ください。

  • 7 月 24 日、個人情報保護委員会への確報を行いました。

  • 7 月 25 日以降順次、個人データが漏えい等した可能性のあるご本人様に対し、その旨をご報告する通知書を送付するとともに、個別に通知することができないご本人様等に向けて、本日、当社ホームページにおいて「ランサムウェア感染に関するお詫びとご報告」を公表いたしました。

お客様をはじめ、関係者の皆様にご迷惑及びご心配をおかけする事態となりましたこと、改めて深くお詫び申し上げます。

リリース文アーカイブ

【2024年6月27日リリース分】

リリース文アーカイブ

【2024年6月10日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-313】長万部町 長万部町水道ガス課のシステム管理業務委託先への不正アクセスによる 個人情報流出の可能性についてお詫びとお知らせ 2024/7/22

 

長万部町水道ガス課で使用しているシステム管理業務の委託先である東京ガスエンジニアリングソリューションズ株式会社(以下「TGES」)のネットワークへの不正アクセスを受けたことが判明いたしました。

TGESは不正アクセス確認後、外部との接続遮断を行い、それ以降の不正なアクセスが出来ないように対策を講じているとのことです。また、現時点で、長万部町の個人情報が流出した痕跡は確認されておらず、情報が不正利用された事実も確認されていないと報告を受けております。

このたびは、町民の皆様にご心配をおかけしておりますことを、深くお詫び申し上げます。今後、新たな事実が判明した場合はあらためてご報告いたします。

1.対象となる個人情報

個人情報の内容 : 氏名、使用者番号、住所、方書、電話番号等

※銀行口座情報は含まれておりません。

2.今後の対応について

業務委託先のTGESと連携し、状況の把握を進め、適切に対応させていただきます。

なお、本件に関してのお問い合わせは、下記窓口までご連絡いただきますようお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-333】熊本日日新聞社 個人情報が閲覧できる状態になっていたことのご報告とお詫び 2024/7/23

 

熊本日日新聞社が運営する能日電子版会員の個人情報が、web上で閲覧できる状態になかっていたことが判明しました。 現時点では、 個人情報の拡散及び悪用等は確認されておりません。 関係者のみなさまにご迷惑をお掛けしたことを深くお詫びします。内容および対応については以下の通りです。

【個人情報が閲覧できる状態であった状況の概要】

  • 2021年8月時点の能日電子版の利用者 (1D 会員) 名簿

2万8777人分

  • WEB上の名簿へのアクセス確認数

8件13アクセス (7月21日10時56分~7月22日11時58分)

  • 閲覧可能だった個人情報

氏名、住所、電話番号、メールアドレス

【発生原因について】

態日電子版のサーバ移行に伴い、委託している開発ベンダーのシステム環境の設定内容に不備があったため

【対応について】

7月22日11時30分ごろ、社外からの電話連絡で、会員情報が閲覧可能な状態であることを確認。開発ベンダーに直ちに連絡し、同日12時20分ごろまでに閲覧可能な状態を解消しました。

国の個人情報保護委員会には当該事案の発生について速やかに報告しました。 個人情報が閲覧される可能性があったご本人に対しては、23日に電子メールにてお詫びと経緯の説明を行いました。

【再発防止のための対応】

今後、このような事態が生じないよう、徒業員に対して個人情報保護の重要性についての教育を徹底します。 個人情報に関連する業務を行うにあたっては、熊日及び開発ベンダー担当者による複層的なチェックを徹底するなど、再発防止に努めてまいります。

リリース文アーカイブ