このたび、本学教員1名のメールアカウントが不正にアクセスを受け、迷惑メールが送信されるという事案が発生しました。
現在、本件につきましては、公的外部専門機関および県警と連携し、原因の特定、被害状況の確認等の調査を実施しております。
関係者の皆様に大変なご迷惑をおかけすることになり、深くお詫び申し上げます。
【セキュリティ事件簿#2024-406】株式会社スマサポ 情報漏えいのおそれに関するお知らせとお詫び 2024/9/13
弊社(本社:東京都中央区,代表取締役社長:小田慎三)が2017年9月から2021年3月までの間に業務提携契約を締結しておりましたIHI運搬機械株式会社(本社:東京都中央区,代表取締役社長:赤松真生。以下,「IUK」といいます。)より、IUKが弊社と共同して提供しておりました賃貸不動産の内覧申請および開錠・施錠操作を行うことができる賃貸不動産内覧サービス(以下、「本サービス」といいます)に関して、IUKにおいて情報漏えいのおそれが生じた旨のお知らせが公表されましたので、以下のとおりご報告申しあげます。
関係者の皆さまに多大なるご迷惑とご心配をおかけしますことを、深くお詫び申しあげます。
1.IUKの公表内容
https://www.iuk.co.jp/news/pdf/20240913newsrelease.pdf
※リンク先は、IHI運搬機械(株)に帰属するページとなります。
2.IUKとの関係
2021年3月に本サービスの業務提携契約は解消されており、現時点で取引関係はございません。
【セキュリティ事件簿#2024-405】IHI運搬機器株式会社 情報漏えいのおそれに関するお知らせとお詫び 2024/9/13
弊社(本社:東京都中央区,代表取締役社長:赤松真生。以下,「IUK」といいます。)が,2017 年 9月から 2021 年 3 月までの間,株式会社スマサポ(本社:東京都中央区,代表取締役社長:小田慎三。以下,「スマサポ」といいます。)と共同して提供しておりました賃貸不動産の内覧申請および開錠・施錠操作を行うことができる賃貸不動産内覧サービス(以下,「本サービス」といいます。)に関し,情報漏えいのおそれが生じたことにつき,以下のとおりご報告申しあげます。
関係者の皆さまにご迷惑とご心配をおかけしますことを,深くお詫び申しあげます。
1. 発生した事象
2024 年 7 月 18 日に,本サービスで使用していたクラウドサービスのデータサーバーに以下の事象が確認されました。
(1) パブリックアクセスが可能なストレージがあったこと
(2) 本サービス開発時に使用していたアクセスキーが有効な状態となっていたこと
(3) 弊社およびスマサポ以外の者によるアクセスの形跡が認められたこと
これらの事象の判明後,速やかにアクセス遮断の措置を講じ,いずれの事象も既に解消されております。
また,ストレージ内の情報の窃取・漏えいは確認されておりませんが,アクセスログが確認できない期間があることから,情報漏えいのおそれが否定できないと考えております。
2. 漏えいの懸念がある情報
2017 年 9 月から 2021 年 3 月までの間にご登録いただきました以下の情報となります。
(1) 本サービスをご利用いただきました不動産管理会社様および不動産仲介事業者様等のご担当者様の氏名,電話番号,メールアドレスおよび宅地建物取引業者免許証の写し
(2) 不動産管理会社様および不動産仲介事業者様等を通じて,本サービスを用いた不動産の内覧のお申込みをされたご利用者様の氏名,電話番号,メールアドレス
(3) 本サービスを用いて内覧する物件の住所
3. 今後の取り組み方針
今回の事象は本サービス開発時に設定したクラウドサービスのアクセスキーが漏えいし,使用されたことによるものと判明しております。
アクセスキー等の管理徹底,および不正アクセスとマルウェア感染の常時監視を行い,更なるセキュリティ強化に努めてまいります。
【セキュリティ事件簿#2024-403】岐阜県 物件調査再委託業者サーバーへの不正アクセスについて 2024/9/12
可茂土木事務所が令和4年度に発注した白川町内における河川改修工事の物件調査委託業務において、業務を受注した日本工営都市空間株式会社岐阜営業所(以下「受託者」という。)から業務の一部を受託した柴山コンサルタント株式会社(以下「再委託先事業者」という。)のサーバーに不正アクセスがあり、個人情報等の漏えいの可能性があることが判明しました。
1 事案の概要
6月30日(日)に再委託先事業者のサーバーが不正アクセスを受け、再委託先事業者が調査をした結果、本日、個人情報等の漏えいの可能性がある旨、受託者から県に報告がありました。
これを踏まえて、当該委託業務の調査対象者12者に事案の概要を説明のうえ謝罪を行いました。
○不正アクセスにより漏えいの可能性がある情報の概要
・調査対象者数:12者(個人11名、法人1社)
・調査対象者の個人情報等の内容
氏名、住所、家族構成、生年月日、電話番号、補償物件に関する情報(補償算定額、建物等の種類・寸法・形状・数量・配置、写真等)
・受託者の調査者氏名:2名
2 経緯
令和6年6月30日(日) 再委託先事業者において不正アクセス被害を確認
7月19日(金) 受託者から可茂土木事務所に報告、同事務所が受託者に調査を指示
8月 9日(金) 受託者から中間報告(詳細が判明していないため、調査を継続)
9月12日(木) 受託者から調査結果の報告、直ちに、調査対象者へ説明及び謝罪
3 現在の状況
現時点において、本事案に係るトラブル等は確認されていません。
4 今後の対応
本件の受託者に対し、個人情報を含む情報の取扱いルールの再確認を指示し、より一層の情報管理の徹底を図ります。
【セキュリティ事件簿#2024-402】株式会社アベニュー 不正アクセスによる個人情報漏えいのおそれのお知らせとお詫び 2024/8/26
本年4月上旬に、賃貸管理会社の株式会社アベニュー及び関連会社のサーバー機器がランサムウェアに感染し、お客様の個人情報が外部へ流出したおそれがあることが判明しました。
関係者の皆さまに多大なご迷惑とご心配をおかけすることになり深くお詫び申し上げます。
今回の直接の原因は、賃貸管理会社のアベニュー及び関連会社のシステム保守を委託している会社により、セキュリティ機器の設定変更が行われた際に、委託先会社担当者による設定上のミスによりセキュリティの不備が発生した点にあり、これにより第三者による弊社サーバーへの不正アクセスの痕跡が確認されました。
なお、その後、上記不備については速やかに侵入経路を特定しセキュリティ上の不備は解消されています。他方、不備の解消までの間に実際にデータが流出したかは不明となっております。
【漏えいのおそれのある個人情報】
物件の入居者及び退去者に関する以下の個人情報
・氏名・住所・生年月日・電話番号・メールアドレス等申込情報
・勤務先・勤務先住所・勤務先電話番号
【事故発生後の対応】
当社は、サーバーへの不正アクセスを認知後、個人情報保護委員会及び警察へ報告いたしました。外部の専門機関による調査でも、個人情報が外部に流出したかは不明ですが、その可能性を完全に否定することが困難な状況であることから、漏えいのおそれのある対象の方に対し郵送またはメール等で個別に連絡いたします。
これらの個人情報を悪用した何らかの不審な電話・メール等を受け取られた場合は注意して対応していただくようお願いいたします。
今回の事態を重く受け止め、今後もセキュリティ対策の強化に取り組んでまいります。
【セキュリティ事件簿#2024-401】愛知県 業務委託先における個人情報の漏えいのおそれについて 2024/9/12
このたび、本県の公共事業における測量・設計等業務の委託先である柴山コンサルタント株式会社(以下、同社という)、柴山コンサルタント司法書士法人、柴山コンサルタント土地家屋調査士法人、柴山コンサルタント税理士法人及び株式会社柴山事務所(以下、柴山グループという)のデータを管理するサーバーの一つに対して、第三者からの不正アクセス被害があり、柴山グループが保有していた個人情報が漏えいしたおそれがあると、同社から報告がありました。
当該報告では、柴山グループが保有していた個人情報の漏えい内容は特定されておらず、県の情報が保管されていたサーバーへのアクセスはないが、不正アクセスされたサーバーを経由して情報漏えいした可能性を否定できないことから、本県の委託業務に係る情報も漏えいしたおそれのある情報の中に含まれるとのことです。
本県の公共事業にご協力いただいた皆様を始め、関係者の方々にご迷惑をおかけしたことを深くお詫びするとともに、個人情報の適切な管理及び取扱いの徹底を行い、再発防止に努めてまいります。
1 被害状況
(1)不正アクセスを受けた会社
- 柴山コンサルタント株式会社(本県の業務委託先)
- 柴山コンサルタント司法書士法人
- 柴山コンサルタント土地家屋調査士法人
- 柴山コンサルタント税理士法人
- 株式会社柴山事務所
(2)経緯
- 2024 年6月 30 日(日)
柴山グループが管理するサーバーが不正アクセスの被害を受けた。
- 2024 年7月2日(火)
同社が愛知県警に相談し、被害届を提出した。
- 2024 年7月 11 日(木)
同社が情報セキュリティ委託業者へ、情報漏えいに関する調査を依頼した。
- 2024 年7月 19 日(金)
同社から本県に対して、不正アクセスを受けたこと、個人情報の漏えいについて調査中であること、不正利用等は現時点では確認されていないことの報告があった。
- 2024 年9月 12 日(木)
同社から本県に対して、同社の情報セキュリティ委託業者による調査の結果、個人情報が漏えいしたおそれ(※)がある旨の報告があった。
※漏えいしたおそれと判断した同社の考え方
- 同社が管理するサーバーは三つあり、それぞれが接続されている。
- そのうち一つのサーバーに対して、不正アクセスがあった。
- 一方、県の委託業務のデータが保管されているサーバーには不正アクセスはなかった。
- しかしながら、
①漏えい情報を調査した結果、どの情報が漏えいしたかは特定されなかった。
②サーバー間のデータ移動について調査した結果、サーバー間のデータ移動に関して特定できなかった。 - ①②により情報漏えいの可能性を否定できないため、漏えいのおそれがあると判断した。
(3)漏えいしたおそれのある個人情報
柴山グループが保有していた個人情報が漏えいしたおそれがあり、そのうち、本県の委託業務に係るものはのべ 683 名分であった。
個人情報については、契約約款に基づき委託先においても管理している。
| 委託業務名 | 件数 | のべ人数 | 主な個人情報 |
|---|---|---|---|
| 用地調査及び物件調査業務委託(※1) | 36件 | 413名 | 用地調査 住所、氏名、電話番号、実測面積、境界標の座標に関する情報 物件調査 住所、氏名、電話番号、建物の情報(建築年度、構造、規模、配置) |
| 測量及び設計業務委託(※2) | 4件 | 226名 | 住所、氏名、電話番号、実測面積、境界標の座標に関する情報 |
| 事業損失防止調査業務委託(※3) | 4件 | 16名 | 住所、氏名、電話番号、建物の情報(建築年度、構造、規模、配置) |
| 住宅工作物調査等委託(※4) | 2件 | 28名 | 住所、氏名、電話番号 |
(4)柴山グループの対応
同社において、本日から、漏えいしたおそれのある対象者宛てに順次お知らせするとともに、問合せ窓口を設置して対応する。
2 県の対応(再発防止策)
県としては、今回の事案を踏まえ、個人情報の適正な管理及び取扱いについて、受託者を指導するとともに、同様の事案が発生しないよう、関係団体に対し、個人情報の漏えいの防止その他の安全管理の一層の徹底を図り、再発防止に努める。
【セキュリティ事件簿#2024-400】柴山コンサルタント株式会社 当グループサーバーへの不正アクセスについてのお知らせ 2024/9/12
日頃、ご愛顧賜りまして誠にありがとうございます。
このたび、柴山コンサルタント株式会社、柴山コンサルタント司法書士法人、柴山コンサルタント土地家屋調査士法人、柴山コンサルタント税理士法人及び株式会社柴山事務所(以下「当グループ」といいます。)のデータを管理するサーバーに対して、第三者による不正アクセス攻撃を受けました(以下「本件」といいます。)。
今般、セキュリティ専門機関による調査が完了し、当グループが管理するサーバー内に保存された個人データが、漏えいした可能性があることが判明いたしました。
お客様をはじめ関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、既に被害にあったサーバは復旧しており、現時点では業務への影響はございませんことを併せてご報告させていただきます。
1.本件の概要等
2024 年6月 30 日、当グループは、コンピュータシステムの異常を確認し、直ちにネットワークの遮断等の必要な措置を実施するとともに、セキュリティ専門機関に調査を依頼しました。その後、当グループが管理するサーバーへの不正アクセスが行われたのち、サーバーに記録されていたデータ(当グループの取引先からの委託にともなって記録されていたデータを含みます。)がランサムウェアにより暗号化されたことが判明いたしました。
なお、当グループは、本件につきまして、個人情報保護委員会に報告済みでございます。
また、警察にも被害申告しており、今後捜査にも全面的に協力してまいります。
2.原因
詳細の特定には至らなかったものの、セキュリティ専門機関からは、フィッシングの可能性が推測されるとの報告を受けております。
3.二次被害又はそのおそれの有無
二次被害のおそれは完全には否定できませんが、現時点で本件に起因する個人情報の不正利用等の二次被害に関する報告は受けておりません。
4.お客様および関係者の皆様へのお詫びと本件に関するお問い合わせ先
お客様をはじめ、関係者の皆様には多大なご迷惑およびご心配をおかけする事態となりましたことを、深くお詫び申し上げます。
個人データが漏えいした可能性があるお客様および関係者の皆様には、お詫びとお知らせ(漏えいの可能性があるデータ項目を記載したもの)を個別に順次ご通知いたします。
なお、本件に関するお問い合わせは以下のコールセンターまたはメールアドレスまでお願いいたします。
当グループでは、これまでも不正アクセスを防止するための措置を講じるとともに、情報の適切な管理に努めてまいりましたが、このたびの事態を受け、外部の専門家とも検討の上、既に種々の再発防止策を整備しており、今後も随時改善を図る予定でございます。
改めまして、本件につきましてお客様および関係者の皆様にご迷惑をおかけしましたこと、謹んでお詫び申し上げます。
【セキュリティ事件簿#2024-399】三陽物産株式会社 不正アクセスによる個人情報流出の可能性のお知らせ 2024/9/6
当社は、悪意ある第三者による社内サーバーへの不正アクセスを受け、調査を進めてきましたが、お客様・お取引先様・従業員等に関する個人情報流出の可能性が否定できないことが判明したため、法律の専門家および外部専門機関等と協議の結果、個人情報保護法等の法令に基づき、皆さまにお知らせすることといたしました。
現時点では本件に関わる個人情報の不正利用の事実は確認されておりません。
〈発生の経緯〉
8月27日早朝、社内システムへのアクセスができないことが判明し、調査を開始したところ、複数のサーバーでデータが不正に暗号化されていることが確認されました。被害の拡大を防ぐために、不正アクセスを受けた可能性のある全てのサーバーへのアクセスを遮断し、当社内機器に対してウィルススキャンを実施、安全性を確認しております。
今後については、復旧作業を進めると同時に、原因及び被害状況の調査を進めてまいります。なお、8月28日に警察当局への届け出、8月31日に個人情報保護委員会への報告は完了しております。
この度は、お客様ならびに関係者の皆様へ多大なご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。
登録:
投稿 (Atom)