【セキュリティ事件簿#2024-368】株式会社e431 個人情報漏洩に関するお詫びとご報告 2024/8/9

 

平素より格別のご高配を賜り、厚く御礼申し上げます。

この度、株式会社e431(以下「弊社」といいます。)におきまして、下記の個人情報漏洩のおそれ(以下「本件」といいます。)が発生しました。お客様におかれまして、多大なるご迷惑とご心配をおかけする事態になりましたこと、心よりお詫び申し上げます。

弊社は、今回の事態を重く受け止め、ネットワークセキュリティ対策の実施や弊社従業員に対し情報管理に関する教育を徹底し、再発防止に努めて参ります。

1.本件事象の経緯

2024年6月10日、社内システムサーバー(※)の外部からのサイバー攻撃によるランサムウェア感染を確認。

当該サーバーを物理的にネットワークから遮断し、外部業者へ調査を依頼。

2024年6月26日、専門業者による調査が必要なため業者にサーバーを送り調査を開始。

2024年7月23日、調査の結果、個人データ(会社名や担当者氏名など)が、漏洩したおそれがあることを確認。

※当社ECサイトe431.jpのサーバーではございません。

2.個人情報漏洩の可能性があるお客様および漏洩の可能性がある情報

2021年3月以前に弊社ECサイトに会員登録及びご注文をされたお客様の氏名、会社名、住所 等(お客様により漏洩の可能性がある情報は異なります)。

個人情報漏洩の可能性があるお客様についてはメールもしくは郵送にて個別にご案内いたします。

※クレジットカード情報の漏えいはありません

3.発生原因

社内システムサーバーの脆弱性をついたことによる第三者の不正アクセスにより、サーバー内のデータが暗号化されました。現在、情報の流出ならびに個人情報の不正利用などの報告は受けておりませんが、当該情報の不正利用や漏洩情報を利用した関係者様へのなりすましによる攻撃等が想定されますので、不審な電話や郵便物等が届いた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。また、最寄りの警察署へご相談ください。

4.再発防止策

既に、関係機関(個人情報保護委員会等)に報告を行い、セキュリティ強化のため、以下の対策を実施および検討をしております。

・異常な通信を早期に検知できるシステムの導入を実施済

・従業員への研修などを通じた個人情報保護意識の向上

なお、現在は、弊社ECサイトの会員様の情報などはECシステムベンダーが運用・利用するサーバーに保存され管理されています。

リリース文アーカイブ

【セキュリティ事件簿#2024-367】株式会社幸和製作所 ランサムウェア被害の発生について 2024/8/23

 

このたび、当社の一部サーバーが暗号化されるランサムウェア被害が発生したことをお知らせいたします。本件について、現在対策本部を設置し、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応を進めております。また、警察などの関係機関への相談を開始しています。

被害の全容を把握するには今しばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

1.経緯

2024年8月21日(水)に外部から不正アクセスを受けサーバーに保存している各種ファイルが暗号化されていること等を2024年8月22日(木)に確認しました。

直ちに、外部専門家の協力のもと調査を開始し、迅速に対応を進めるべく対策本部を立上げました。

2. 被害を受けた情報

今回の被害に対応するため、社内システムをサーバーから切り離しています。

サーバーに保存していた各種業務データ、業務用ソフトウェアが暗号化されアクセス不能な状況となっております。なお、現時点では情報流出の事実は確認されておりません。

3.今後の対応

外部専門家および情報システムグループ等と連携のうえ、早期復旧に向け作業を進めており、通常の業務遂行が可能となるよう対応を進めております。

皆様へのご迷惑を最小限に留めるべく取組んでまいります。

なお、本件が当社の今期の業績予想に及ぼす影響については現在精査中であり、開示が必要な場合は速やかに公表いたします。

【セキュリティ事件簿#2024-366】株式会社サンテク 不正アクセスを受けたことに関するお知らせ 2024/8/21

 

2024年8月3日に発覚しました当社ネットワークの一部が第三者による不正アクセスを受けたことにより、多大なるご不便とご迷惑をおかけいたしましたことを深くお詫び申し上げます。

 現在、不正アクセスの可能性があるサーバー等に対して、外部専門調査機関の協力のもとログ調査とフォレンジック調査を順次進めております。

現時点で情報の流出は確認されておりませんが、引き続き外部専門調査機関と連携のうえ調査を継続するとともに、捜査機関にも都度連絡を行ってまいります。

また、公表すべき内容が判明した場合は、速やかに行ってまいります。

 何卒ご理解とご協力を賜りますよう、お願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-365】株式会社マクアケ 「Makuake」サイトのログイン不具合に関するご報告とお詫び 2024/8/20

 

株式会社マクアケ(以下、「当社」)が運営するアタラシイものや体験の応援購入サービス「Makuake」にて、2024年8月19日(月)15時13分から16時1分までの約48分の間、一部のユーザーのログイン状態が他のアカウントに入れ替わる不具合が発生していたことが確認されました。事象を確認した後、直ちに不具合の解消と全ユーザーの強制ログアウト処理をしており、現在は復旧し、正常にアクセスいただけます。

本不具合によりユーザーの皆さまにご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。なお、本不具合が生じた対象のアカウントの皆さまのご登録メールアドレス宛に、8月19日時点で個別に電子メールにてお詫びとお知らせをご連絡しております。ユーザーの皆さまにおかれましては、ご自身の元に当該のメールが届いていないかをご確認いただけますと幸いです。

この度発生した不具合の詳細を、以下の通りご報告いたします。

■発生の経緯と対応及び再発防止について

8月19日15時29分にユーザーからお問合せがあり、事象の詳細を確認したところ、8月19日15時13分から16時1分までの約48分の間、「Makuake」にログインする際の情報の取り扱いに不具合が生じ、一部のユーザーのログイン状態が最大10分の間、他のアカウントのものと入れ替わる事象の発生を確認しました。

事象を確認した後、直ちに不具合の解消と全ユーザーの強制ログアウト処理をしており、現在は復旧し、正常にアクセスいただけます。

社内調査の結果、同19日15時13分に内部的な認証フローの変更対応をリリースした後、本不具合が生じたことが判明いたしました。

なお、本不具合は内部システム変更により発生したものであり、サイバー攻撃などの外部に起因するものではございません。

当社としては、本不具合の発生を重く受け止め、開発項目のリリース時におけるチェック体制を見直し、同様の事態を再び発生させないよう再発防止に努めてまいります。

■影響範囲及び対応状況

お問い合わせをいただいた後、直ちに特別調査チームを設置し、該当時間におけるログを分析したところ、3,916名のアカウントに対して他のユーザーアカウントとの入れ替わりが発生していたことを確認しました。なお、対象のアカウントの皆さまに対しては、電子メールにてお詫びとお知らせを個別にご連絡しております。

<ユーザーにおける影響範囲及び対応状況>

・入れ替わったアカウントの登録情報が閲覧された可能性について

本不具合により、アカウントが入れ替わったユーザーが別のアカウントの登録情報(氏名、電話番号、住所、Makuakeメッセージ内の送受信情報、登録済みクレジットカードの下四桁/有効期限)を閲覧/変更した可能性があります。本不具合の対象のユーザーの皆さまにおかれましては、身に覚えのない電話は受けない、不審なダイレクトメールが届いても反応しないなどの対応をお願いいたします。

なお、本不具合による下四桁/有効期限以外の決済に必要なカード情報の漏えいのおそれはございません。

・入れ替わったアカウントからの応援購入について

他のユーザーアカウントに入れ替わった状態で行われた可能性のある応援購入(1決済)について、クレジットカード決済の場合、当社のシステム上、決済時にカード選択と同時にセキュリティコードの入力が必須となっているため、他者名義での処理がされていないことが確認できています。

現金決済(コンビニ決済、ペイジー決済、銀行振込)の場合、応援購入のお申し込み時に入れ替わっているアカウントの情報登録が必要ないため、他者名義での応援購入のお申し込みが可能でしたが、現状の調査において決済は確認されておりません。

また、該当のユーザーには個別にご連絡をさせていただきます。

・その他

本不具合の発生時間において、本不具合の対象アカウントにおけるマイページ上でのユーザー情報の入力はログを分析した結果、現状確認されておりません。なお、現在も調査を続けており、事象が発覚した場合は個別にご対応させていただきます。

<実行者における影響範囲及び対応状況>

・入れ替わったアカウントの登録情報が閲覧された可能性について

本不具合により、アカウントが入れ替わったユーザーから実行者アカウントの登録情報が閲覧された可能性があります。該当の実行者の皆様には8月19日時点でご連絡をしておりますが、別途対応いたします。

■すべてのユーザーの皆さまへ

影響のあったユーザーの皆さまをはじめ、全てのユーザーの皆さまにご迷惑とご心配をおかけしたこと、重ねて深くお詫び申し上げます。

当社としては、本不具合の発生を重く受け止め、同様の事態を再び発生させないよう再発防止に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-174】東急株式会社 ファイルサーバ等への不正アクセスに関するご報告 2024/8/20

東急株式会社
 

2024年4月28日に発生した東急株式会社(以下、東急)の連結子会社(東急ストア子会社)である東光食品株式会社(以下、東光食品)のファイルサーバ等(情報保管機器)への不正アクセスにより、データの一部が不正に読み出された件(以下、本件)に関し、多大なるご心配とご迷惑をおかけいたしましたこと深くお詫び申し上げるとともに、再発防止に努めてまいります。

詳細は下記のとおりです。 

1.本件の概要と調査経緯

  • 2024年4月28日に東急が構築中の社内で利用する新たなネットワーク基盤の検証用環境(以下、検証用環境)が第三者からの不正アクセスを受け、検証用環境を経由して東急の既存ネットワーク環境(以下、既存ネットワーク環境)へ不正な接続が行われ、既存ネットワーク環境にあった東光食品が管理しているファイルサーバからお客さま等の個人情報が外部へ流出した可能性があることが判明しました。

  • 不正アクセス発見後、ログ等により発生原因を突き止め、直ちに拡大防止の措置を行いましたが、東光食品が管理するファイルサーバからデータの一部が持ち出された形跡を確認しました。

  • 持ち出されたデータの特定ができなかったことから、東光食品が管理するファイルサーバに含まれる全てのデータが持ち出されたことを想定し、全ファイルに含まれるすべての個人データの調査を行い、流出した可能性のある個人データの特定を行いました。
※個人情報保護委員会に報告済みです。
※東光食品が管理しているファイルサーバ以外の機器から、個人データの持ち出しがないことは確認しています。
※現時点において、お客さまの個人情報等の不正利用などの事実は確認されておりません。
※検証用環境と既存ネットワーク環境の接続は切断済、かつ東光食品が管理しているファイルサーバは別の仕組みに変更が完了しているとともに、ランサムウェア等による暗号化やマルウェア等がないことを確認しています。 

2.流出した可能性がある個人データ 

属性主な情報件数
個人のお客さまに関するもの氏名、住所、電話番号、メールアドレス901件
お取引事業者さまに関するもの氏名、所属(会社、部署)、住所、電話番号、メールアドレス9,942件
従業員に関するもの
(退職者情報含む)
氏名、住所、電話番号、メールアドレス5,802件
※マイナンバーカード、クレジットカード情報は含まれておりません

3.本件の発生原因

  • 検証用環境が脆弱な状態となっていたこと

  • 既存ネットワーク環境にあった東光食品が管理しているファイルサーバが脆弱な設定となっていたこと

  • 個人データの削除を含む、管理ルールが徹底されていなかったこと

4.再発防止策

  • 東急は、検証用環境を含め、ネットワーク全体のセキュリティ管理強化を行いました。

  • 東光食品は、発生原因となったファイルサーバの入れ替えを完了し、原因となった設定の改善を完了しております。また、個人情報に関する管理体制を強化し、改めて個人情報の管理ルールについて、従業員へ徹底してまいります。 

【2024年5月9日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-217】公文教育研究会 業務委託先へのランサムウェア攻撃による個人情報の漏えいについて 2024/8/20

イセトー
 

弊社の業務委託先である株式会社イセトーがランサムウェアの攻撃を受けたことにより、弊社からの発送物の印刷・封入・送付業務を委託するために弊社から提供していた個人情報が漏えいした件について、生徒、保護者、指導者をはじめとする皆様にご不安とご迷惑をおかけしておりますことを心よりお詫び申し上げます。

8月1日に株式会社イセトーからの最終報告を受けるとともに、以下のとおり、並行して行っていた弊社における全漏えいデータの調査も完了いたしましたので、ご報告申し上げます。

なお、現時点において漏えいした個人情報を悪用された事例は確認されておりません。

1.経緯

弊社の業務委託先である株式会社イセトーがランサムウェアによるサーバー攻撃を受けて個人情報が漏えいするという事案が発生し、2024年6月28日、弊社が業務委託している個人情報が当該攻撃を受けたサーバーに含まれていることが発覚いたしました(同年6月29日付弊社オフィシャルサイトにて公表させていただいております)。

株式会社イセトーより、漏えいした情報に、会員様の住所、電話番号、iKUMONサイトの認証コード・セキュリティコードの情報が含まれているとの報告を受けたことから、その情報が含まれている漏えいデータについて、弊社独自の調査を優先的に実施し、漏えいしたデータに上記情報が含まれていた4,678名を特定いたしました。2024年7月5日、その調査結果について弊社オフィシャルサイトにて公表し、あわせて同日以降順次、対象の皆様に対して登録のご住所に個別に「個人情報の漏えいに関するお詫びとお知らせ」(封筒に「重要文書在中/差出人:株式会社公文教育研究会」と記載)のお手紙をお送りいたしました。また、上記対象者以外の方に状況をご報告する為に、同年7月22日以降順次、教室経由でお手紙をお渡ししております。

その後、さらに弊社において調査を継続し、この度調査を完了いたしました。

その結果、下記2に記載のとおり、新たに個人情報の漏えいが判明いたしました。

なお、新たに漏えいが判明した個人情報には会員様の連絡先情報(住所または電話番号)は含まれておりません。

2.継続調査の結果、新たに判明した漏えい情報

会員情報について

1)2023年2月時点において算数・数学、英語、国語を学習いただいた会員様の以下の情報

■氏名、会員番号、学習教材、教室名、学年、入会年月、在籍月数

対象者数:724,998名

※2023年1月末までの退会者は含まれませんが、2月休会者は含みます。

2)2023年2月時点における公文認定テストの受験資格を満たした一部の会員様の以下の情報

■氏名、会員番号、学習教材、教室名、学年、受験可能な公文認定テストの種類、過去に合格した公文認定テストのうち最高位のテストの種類

対象者数:71,446名

※公文認定テストは公文教育研究会の内部テストです。高い教材に進んだ生徒の学力を確認する為に、予め、受験対象となる教材進度が定められ、その条件を満たした生徒が対象となります。

3)2023年度第2回(8月)公文認定テストを受験された一部の会員様の以下の情報

■氏名、会員番号、教室名、受験された公文認定テスト名・スコア・合格情報

対象者数:2名

4)2023年2月におけるBaby Kumon会員様の以下の情報

■氏名、生年月日、年齢、入会年月、教室名、保護者氏名

対象者数:9,922名

※2023年1月末までの退会者は含まれませんが、2月未実施の方は含みます。

上記各項目の対象者には重複する方がいらっしゃいますので、漏えい件数の総数は739,714名です。

指導者情報について

1)公文式指導者の以下の情報

■氏名、教室名、住所、教室電話番号、請求内容、銀行口座情報

対象者数:17,481名

※銀行口座情報については、1名を除き、銀行口座番号の下3桁はマスキングされている(例:1234***)ことが確認できております。なお、教室開設応募者の情報は含まれておりません。

3.今後の対応

上記対象の皆様に対して、9月中旬に個別にお手紙をお送りしてご報告させていただく予定です。

ご連絡にお時間を要しておりますことをお詫び申し上げます。

なお、0・1・2歳の親子向けサービスであるBaby Kumonの会員情報については、入会時に弊社では住所および電話番号の情報を取得していないため、ご連絡を差し上げることができません。そのため、お手数をおかけし大変申し訳ございませんが、対象者であるかどうかのご確認を希望される場合は、こちらのアンケートフォームから必要事項をご記入ください。

元・現Baby Kumon会員様ご案内送付情報入力フォーム|公文教育研究会

このアンケートフォームにてお問い合わせをいただき、対象者であったと判明した皆様には、アンケートフォームにご入力いただきましたご住所宛に個別にお手紙をお送りさせていただきます。

対象者ではなかった皆様には、アンケートフォームにご入力いただきましたメールアドレス宛に対象外であった旨のお知らせをお送りさせていただきます。

4.再発防止への取り組み

今後同様の被害を防止し、また万一の場合にも被害を最小限とするために、以下の対策の実施を進めております。また、今後も継続的に改善をしてまいります。再発防止に向けた取り組みとその改善は、皆様の個人情報を適切に管理するために弊社の最優先課題として取り組んでまいります。

■弊社業務委託先に対して:監督の強化と取引の見直し

これまで実施してきた委託先における安全管理措置に対する弊社の審査基準を厳格化し、その基準に基づく委託先の管理状況の再確認と取引の見直しを進めております。

本件が、業務委託先がランサムウェアによる攻撃を受けたことにより発生したものであることを踏まえて、とくに、会員データおよび指導者データの取り扱いを委託している委託先における不正アクセスへの具体的な対策とデータの消去を含めたデータ運用方法をより詳細に確認しております。

あわせて、上記の個人情報の安全管理が担保されるように、業務委託契約書や秘密保持契約書における委託先との契約条項を見直し、委託条件を厳格化いたします。

また、委託先における個人情報の管理状況の確認・審査に加えて、不定期の監査なども今後実施してまいります。

■弊社内でのルールの再徹底について:ルールの厳格化と社員教育の徹底

個人情報の取り扱いを委託する際に、下記の点を含め、情報の提供時、業務終了時の対応について、より詳細な手順を定め、ルールを強化するとともに、社員に対して既存のルールとあわせて周知・徹底を図っております。

・委託先に個人情報を含むデータ提供をする際に提供データを最小限とする

・業務終了時の委託先における提供データの削除・廃棄を徹底し、その確認と記録を行う

今後も継続して、個人情報の取り扱いを委託する際の社内ルール等を含む個人情報保護に関する社員研修を定期的に実施し、安全で適切な個人情報の取り扱いの徹底を図ってまいります。

リリース文アーカイブ

【2024年6月29日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-363】応用地質株式会社 兵庫県森林クラウドシステム内の造林補助金申請機能における情報漏洩に関するお詫び 2024/8/14

 

当社が兵庫県から受託した、兵庫県森林クラウドシステムと治山事業支援システムの統合作業において、造林補助金申請機能の閲覧権限の設定を誤ったことにより、システム利用者である林業事業体3社が他社の行った造林補助金申請を、2024年8月1日~8月7日の間、閲覧できる状態となっておりました。

本件に関して、兵庫県ならびに関係者の皆様に多大なご迷惑をおかけしたことを、深くお詫び申し上げます。

今後、情報管理の徹底と再発防止に向けて、全力で取り組んでまいります。

なお、当社の森林クラウドシステムならびに治山事業支援システムをご利用中の他のお客様への影響はございません。

リリース文アーカイブ

【セキュリティ事件簿#2024-362】株式会社フォトクリエイト 弊社サイト「オールスポーツコミュニティ」を利用したクレジットカード不正利用につきまして 2024/8/13

令和6年8月11日(日)17:54頃より、弊社運営サイト「オールスポーツコミュニティ」において、クレジットカードの不正利用が試みられていることが判明いたしました。

8/12(月)に弊社で事象を把握し、状況確認と対策を進めており、現在は不正なアクセスを制御しております。

また、不正な注文や決済の成立は確認されておりません。

なお、弊社で注文確定まで至らない状況であっても、カード番号が実在することを確認し、他社のインターネット通販などで不正利用が行われる可能性もございます。

身に覚えのない請求がございましたら、お手数をお掛けいたしますが、ご利用のカード会社までお問い合わせくださいますよう、お願い申し上げます。

また、デビットカードの場合は即時引き落としとなっている可能性もありますため、

以下の情報をお教えいただけましたら状況確認と対応をさせていただきます。

====================

カード会社:

カード番号:上(左)6桁 

   :下(右)2桁

有効期限:○年○月

利用速報の受信日時:

金額:円

====================

—————————————————————————————————

なお、弊社ではセキュリティシステムの導入など情報セキュリティには十分注意しており、情報が漏洩した事実もございませんが、引き続き対策を強化して参ります。

ご理解とご協力をいただきますよう何卒よろしくお願い申し上げます。

リリース文アーカイブ