平素は格別のお引き立てを賜り厚く御礼申し上げます。
2024 年 7 月 22 日に、当社名および当社社員を装ったスパムメールが複数の方へ送信されていることを確認いたしました。メールを受信された皆様には多大なるご迷惑とご心配をおかけいたしましたこと、心よりお詫び申し上げます。
今回の不正アクセスによる機密情報の漏洩はなかったことを確認しております。
また、メールサーバーにおいては外部からのアクセスを遮断し、以降は迷惑メールの送付は行われておりません。
また、送信されたメールはフィッシングメールであることを確認しており、皆様に於かれましては、当該メールおよび添付ファイルの開封、URL のクリック等を行うことなく、削除していただきますよう、お願い申し上げます。
弊社におきましては、警視庁サイバーセキュリティ対策本部への通報・相談を行い、不正アクセス防止等での情報セキュリティには十分注意して、対策をより強化して参ります。
ご迷惑・ご心配をお掛けし誠に申し訳ございませんが、よろしくお願い申し上げます。
一般財団法人日本データ通信協会では、電気通信主任技術者講習(※1)の受講者の関係者へお知らせを送信する際、個人の氏名が入った電子メールを該当者以外の方のメールアドレスに誤って送信してしまいました。
関係の方々にご迷惑をお掛けしましたことを深くお詫び申し上げます。
令和6年 7 月 8 日(月)、電気通信主任技術者講習の受講者の(所属会社等における)申請責任者に対して、お知らせ「事前課題受講のお願い」を送信する際、氏名(申請責任者 1 名及び受講者 1 名)が入った電子メール 17 通を別会社の申請責任者のメールアドレスに誤って送信してしまいました。
同日、誤送信先である会社の申請責任者の方からの申告により事案が発覚したことを受け、ただちに当該誤送信先の方に該当メールの削除をお願いし、既に 17 通全て削除した旨の連絡をいただいております。これにより、拡散や 2 次被害などは生じないと考えております。
また、氏名等を誤送信してしまった受講者の関係者の方々に対して、事案のご説明とお詫びを申し上げております。
今後このような事態が生じないよう、電子メール送信前に送信者以外の者が宛先と文書内容を再確認すること等、個人情報のより一層厳重かつ適正な管理に努めて参ります。
※1 電気通信主任技術者講習:電気通信事業法第 49 条第4項で規定する講習。当協会は、電気通信事業法第 85 条の 2 の規定に基づく登録講習機関として講習を行っています。
この度、当社におきまして、個人情報が含まれた当社従業員の業務用ノートパソコン1台が紛失する事故が発生いたしました。このような事態を招き、お取引先様をはじめとする関係各位に多大なるご迷惑、ご心配をおかけすることとなり、深くお詫び申し上げます。
本件に関する経緯及び対応につきまして、以下のとおりご報告申し上げます。なお、紛失したパソコンは、紛失発覚後から当社内のセキュリティ監視システムを通じてリモート調査を継続しておりますが、現時点では第三者による不正使用などの事実は確認されておりません。
2024年7月20日(土)の未明、当社社員が帰宅途中にパソコンが入ったカバンを紛失いたしました。紛失の発覚後、直ちに警察に遺失物届を提出するとともに、盗難の可能性も含めて関係各所への問い合わせ、並びにリモートロック等のセキュリティ施策と並行して捜索も継続しておりますが、現在までに紛失したパソコンの所在の確認、回収には至っておりません。
紛失したノートパソコンに新たにご契約いただきましたお客様(2社)から委託されましたシステム移行に伴う約6,000 人分の顧客情報(氏名、性別、Email アドレス等)が保存されておりました。なお、当社サービスの顧客情報、クレジットカード情報は含まれておりません。
引き続き関係各所からの情報収集に努めるとともに、当該パソコンの捜索に全力を尽くします。当社といたしましては、今回の紛失事案を重く受け止め、パソコンの社外持ち出し時の厳格な管理をより一層徹底するとともに、顧客情報移行フローの見直し及び個人情報の適切な取り扱いについても改めて周知徹底するなど、全従業員に対する教育・指導の再徹底を行い、再発防止に努めてまいります。
紛失したパソコンからの個人情報の流出につきましては、今後も継続してリモートによる調査及び監視を行うとともに、新しい事実が判明した際には、改めてご報告いたします。
なお、個人情報保護法に基づく報告及び委託元への報告は実施済みです。
全体としては360USD(前月比+50USD)の投資に対して、163USD(前月比+48USD)が返済されている感じ。
投資案件は全14件。
内2件が完済。内4件に何らかの遅延が発生している模様。
現在、「ひなターンみやざき」を閉鎖しています。
インターネットの検索結果から「ひなターンみやざき」へアクセスすると、当ホームページとは関係のないサイトが表示される状況を、2024年7月30日に確認しました。当該状況の確認の後、「ひなターンみやざき」を閉鎖する対応を行い、改ざん内容の詳細な確認と原因究明をおこなっています。
「ひなターンみやざき」とは、県外ICT技術者と県内ICT企業とのマッチング支援のために、交流会の案内や県内ICT企業の紹介、移住情報などを提供するサイトです。当サイトにメールアドレス等を登録された方には、メールマガジンの配信をおこなっています。
2024年7月30日(火曜日)サイト管理業者の点検作業中に判明
7月26日(金曜日)のサイト管理業者による点検作業では問題がなかった事を確認しています。
現在、サーバー内の登録者(91名)の登録データについて、外部からの不正アクセスの有無を調査しています。
(登録データとは、ニックネーム・メールアドレス・性別・年齢・職種・出身地(「宮崎県」か「それ以外」の2択)・居住地(県単位で選択)・メールマガジン希望の有無・求人相談の有無・宮崎県とのつながり、です。)
現在、調査中です。
原因が判明次第、今後改ざんされることのないよう適切な措置を講じるとともに、サーバー内に登録者データが残らないように改善した上で運用を再開することとしています。
2024年6月25日よりご報告させていただいておりました、当社グループが運営するオーディションにおける個人情報流出があった事案(※)につきまして、漏えい対象者の皆様をはじめ、ファンの皆様、関係者の皆様には大変なご迷惑、ご心配をおかけすることを心より深くお詫び申し上げます。
本事案における原因と影響範囲の特定に向けて、当社および外部機関によるログ情報の調査・分析、社内関係者へのヒアリングなどの詳細調査を実施しておりましたが、この度、調査及び精査が完了いたしましたので、当該調査結果及び再発防止に向けた取り組みについてご報告いたします。
本事案の経緯としまして、まず対象のオーディションにおけるGoogle Formsの編集用URLの閲覧範囲が「このリンクを知っているインターネット上の全員が閲覧できます」と設定されていたことから、この編集用URLのリンクを知っていれば、誰でも、編集用URLにアクセスし、上記個人情報を閲覧できる状態でありました。
ただし、オーディション応募フォーム上に掲載されているURL(回答用URL)と、回答内容が確認できるURL(編集用URL)は別のものとなっており、オーディションページに掲載されているURLは回答用URLであったこと、さらには回答用URLから編集用URLを容易に推察できるものでなかったことから、個人情報を閲覧できるURLがオーディションページ上で一般公開されていたわけではありませんでした。
しかしながら、該当のフォームにて閲覧・回答を行ったユーザが、自身のGoogleアカウントのGoogleアプリからフォームに移動した際に、「最近使用したフォーム」の欄に回答したフォームが表示され、そこから申込者の情報が閲覧可能な画面に遷移が可能となっておりました。
なお、本事案に関して外部機関による調査を依頼した結果、外部からの意図しないアクセスが発生した2024年6月4日 当時には、Google Formsの予告・通知のない仕様変更により、回答用URL から編集用URL を特定可能となる手法が存在していた可能性が高いことが判明いたしました。
この事象については2024年6月4日前後から発生したと推定され、2024年6月26日時点では既に再現ができなくなっていたことも確認されました。
以上の経緯から、2024年6月4日から該当フォームの閲覧制限を行った2024年6月25日の期間において、当社が意図していない外部の第三者が閲覧できる状況であったことがわかりました。
本件を受け、当該インシデントと類似したケースを想定し、当社グループ内のGoogleドキュメント全般について、外部の第三者からの意図しないアクセス(漏えいの可能性)がないか、外部機関によるアクセスログの調査も実施いたしました。
その結果、第三者からの意図しないアクセスが確認されるのは、既に皆様にお知らせした以下の4つのGoogle Formsのみであることが確認されました。
「ぶいすぽっ!JP オーディション」
「Brave group総合オーディション」(グローバル向けの「Brave group総合オーディション」を含む)
「HareVare VLiverオーディション」
「ぶいすぽっ!切り抜き動画」のチャンネル許諾申請用Google Forms
具体的には、
①漏洩開始したと考えられる6月4日~6月25日において外部からのアクセス数が多いファイル
②2024年6月中の外部からのアクセスの割合が高いファイル
③1日当たりのアクセスログが異常値としてみなされるファイル
以上3つの観点から外部調査を行ったところ、オーディションフォームの他に5つのファイルが該当いたしましたが、いずれも外部からのアクセスは、当社が社内ルールに従ってリンクを共有した外部ユーザーのものと推定できるものであり、意図しない不正なアクセスはなかったことを確認いたしました。
本事案については、既に以下の施策を実施しております。
当社グループ内全てのGoogle Workspaceにおいて、作成されたGoogle Formsを洗い出し、権限を「制限付き」(当社のドメインによるアクセス又は当社の許可がなければアクセスできない)に変更。
今後の再発防止策として、①ファイル共有設定・権限の見直しによる制御、②個人情報の取り扱いに関するルールの整備・及び運用、③個人情報が含まれる情報取得時のアンケートツールの検討を行って参ります。
なお、再発防止策は2024年9月を目途に完了する予定です。
Google Formsを含む全てのGoogle Workspaceサービスについて、「リンクを知っている全員への共有」等、アクセス制限がない公開設定を無効化することにより外部共有の制御を実施いたします。
個人情報に関する管理体制の強化、規程やルール等の見直し及び社内への周知を徹底して行い、個人情報を含めた情報管理に関する役員及び全従業員の意識の向上に取り組んでまいります。
個人情報を含む情報を取得するアンケートにおいては、Google Formsではない、メンバーを限定した利用が可能な外部サービスの利用を検討してまいります。
本事案後、一時閉鎖の対応を取らせていただいているオーディションにつきまして、順次再開してまいります。
外部サービスの導入以前におきましては、まずはご応募時に入力いただく情報から「ご本名」「お電話番号」等といった個人情報の取得を制限し、当社でご用意した独自フォームにてご応募を受け付けて参ります。
当社といたしましては今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化及び徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしましたこと、改めて心より深くお詫び申し上げます。
【2024年6月25日リリース分】