【セキュリティ事件簿#2024-494】水産大学校 学生向け電子掲示情報が外部から閲覧可能状態にあったことについて 2024/11/12

 

本校の学生向け情報電子掲示システムにおいて、掲示情報が外部から閲覧可能状態にあったことにつきましては、令和6年9月11日に本校ホームページにてお知らせしているところですが、本事案の調査結果等をご報告いたします。

関係者の皆さまにご心配とご迷惑をお掛けしましたことを改めて深くお詫び申し上げます。

今後、このような問題が発生することのないよう、情報セキュリティの確保に関する取組を強化し、再発防止に努めてまいります。

なお、本日までに本事案に関する被害は確認されておりません。

1 事案の概要

令和6年9月5日、業務でウェブを検索していた本校職員の報告により、本校学生向け情報電子掲示システム内の情報がログイン認証なしで外部から閲覧可能状態にあることが判明しました。事象判明後、直ちにシステムへのアクセス制限を講じ、システム内の情報は外部から閲覧できない状態にしたところですが、その後の調査において、閲覧可能状態にあった期間は平成23年4月以降であることを把握しました。

現在、改修作業を行っていますが、システムの運用を再開するに当たっては、当該事象に係る改修の検証だけではなく、システム全体の安全性を十分に確認することとし、専門業者の協力のもと、必要な対応に取り組んでおります。

2 閲覧可能状態にあった情報の内容

(1) 平成23年度以降に在籍歴のある学生の個人データ: 4,122件

(2) 平成23年度以降に在籍歴のある教職員の個人データ: 314件

(3) 平成23年度以降に採用された非常勤講師の個人データ: 56件

(4) 閲覧可能状態にあった個人データの種類: 学籍番号、氏名(姓のみ、カナ又はローマ字表記のみを含む)、電話番号、メールアドレス、SNSアカウント

3 発生原因

本システムは、平成23年4月に全面更新を行いました。その際、当時のシステム関連機器の性能や利用者の利便性を考慮し、お知らせ情報(htmlファイル)や添付ファイルを素早く閲覧できるよう、ファイルのURLを直接入力することで、ログイン認証なしでもアクセスできる設計としました。この場合、閲覧しようとするファイルの数十桁に及ぶ完全なURLを正確に入力して適合させる必要があることから、外部からの閲覧は困難と判断し、全面更新以降、アクセスに係る部分の設計変更は行っておりませんでした。

しかしながら、今般、一部の検索エンジンによって、お知らせ情報の添付ファイルがクローリングされ、検索結果に当該ファイル名が表示される事態が発生しました。

なお、通信履歴を調査した結果、お知らせ情報の本文に該当するhtmlファイルが外部から閲覧された形跡は確認されておりません。

4 個人データが閲覧可能状態にあった方々へのご連絡

連絡先が確実に把握できる在校生及び在籍教職員の皆さまに対しましては、順次、電子メールにて、その事実を報告し、お詫び文を送付いたします。また、個人データの内容が姓のみ等で当該個人を特定できない場合及び卒業生、退職者等の皆さまに対しましては、本校ホームページに本事案に関するご報告と問い合わせ窓口に係るご案内を掲載し、個別に対応を行ってまいります。

5 再発防止に向けた取組

本事案に係る改修・検証及びシステム全体の安全性を担保するために必要な対応を講じるほか、今回の事案を踏まえ、システムの定期的な評価・検証を行う体制を強化するとともに、個人情報の取扱いを含めた情報セキュリティの確保を徹底し、再発防止に努めてまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-493】mog株式会社 個人情報漏洩の恐れに関するお詫びと調査結果のご報告 2024/11/12

 

弊社が運営する「こども栄養バランスmog オンラインストア(通信販売サイト)」におきまして、第三者による不正アクセスを受けたことを、2024年6月14日に「不正アクセスによるシステム侵害発生のお詫びとお知らせ」として公表いたしました。

このたび、第三者調査機関による調査の結果、クレジットカード情報(2,153件)、また、クレジットカード情報を除く個人情報(3,484件)が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報及びクレジットカード情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、電子メールが届かなかったお客様には、改めて郵送でご連絡申し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年6月14日に弊社ホームページにてご案内のとおり、警視庁から情報漏えい懸念を指摘する連絡が入ったため、2024年5月31日に弊社が運営する「こども栄養バランスmog オンラインストア」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年9月25日、調査機関による調査が完了し、2021年3月5日~2024年5月21日の期間に 「こども栄養バランスmog オンラインストア」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

なお、マイページでご登録いただいたカード情報は対象ではございません。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

弊社が運営する「こども栄養バランスmog オンラインストア」の委託先カートシステム運営会社のサーバーに不正アクセスがあり、弊社カートシステムの一部を改ざんされました。

(2)クレジットカード情報漏えいの可能性があるお客様

2021年3月5日~2024年5月21日の期間中に「こども栄養バランスmog オンラインストア」において新規にカード情報をご登録のうえご注文いただいたお客様(2,153件)で、漏えいした可能性のある情報は以下のとおりです。(既存のお客様の継続中の定期購入や、LINEやメール・電話でのご注文は対象となりません)。

・クレジットカード会員名

・クレジットカード番号

・クレジットカード有効期限月

・クレジットカード有効期限年

・クレジットカードセキュリティコード

(3)個人情報漏えいの可能性があるお客様

2021年3月5日~2024年5月21日の期間中に「こども栄養バランスmog オンラインストア」において新規にご購入いただいたお客様およびマイページへログインされたお客様(3,484件)で、漏えいした可能性のある情報は以下のとおりです(既存のお客様の継続中の定期購入、LINEやメール・電話でのご注文は対象となりません)。

・メールアドレス(ログインID)

・パスワード※

・生年月日(任意入力項目)

※ゲスト購入のお客様につきましてはパスワードの漏えいはございません。

購入者氏名(配送先氏名)・配送先住所・電話番号など、その他の情報は含まれておりません

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。また、電子メールが届かなかった(配信エラーが戻ってきた)お客様へは、改めて郵送でご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、クレジットカード情報漏えいの可能性があるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表の経緯について

2024年6月14日に弊社Webサイト等で、「不正アクセスによるシステム侵害発生のお詫びとお知らせ」のご案内をいたしましたが、その後の今回の公表に至るまで時間を要しましたことを深くお詫び申し上げます。不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、及びカード会社との連携を待ってから行うことにいたしました。

今回の調査結果のご報告に至るまでお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図ってまいります。

改修後の「こども栄養バランスmog オンラインストア」のweb注文受付再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年5月31日を初回として複数回報告済みであり、また、警視庁にも発覚当初から連携しており、今後の捜査にも全面的に協力してまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-426】株式会社倉業サービス  サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて 2024/11/11

 

2024 年 9 月 19 日「サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて(第 1 報)」及び同年 10 月 8 日「サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて(第 2 報)」にて公表しましたとおり、弊社サーバーに対するランサムウェア攻撃について外部専門家によるフォレンジック調査を進めておりましたが、調査結果を踏まえて以下のとおりご報告申し上げます。

1.サイバー攻撃の概要及び原因

2024 年 9 月 12 日、弊社システムを構築しているサーバーにおいて障害が発生し、サーバーの保守等の委託先企業を通じて調査を進めたところ、サーバーに対する不正アクセス及びランサムウェア攻撃があったことが同月 13 日に発覚しました。

その後、外部専門家によるフォレンジック調査の結果、当該不正アクセスはサーバーにおいて使用しているソフトウェアにあった脆弱性を悪用してなされたこと、この不正アクセスを契機としてランサムウェア攻撃がなされたことが判明しました。

2.漏えいのおそれがある個人情報

当社がお取引先様から受託した発送業務における発送先情報等(お取引先様ごとに情報の種類は異なることがあります)が漏えいしたおそれは否定できません。ただ、現時点では漏えいの具体的事実も確認しておりません。

3.再発防止策

今後、外部の専門家に相談してセキュリティと管理体制を強化し、再発防止に努めて参ります。

4.本件に関するお問い合わせ先

本件に関するお問い合わせは、当社に発送業務を委託したお取引先様へお願いいたします。なお、弊社へのお問い合わせについては、以下のお問い合わせ窓口までお願いいたします。

【2024年9月19日】

リリース文アーカイブ

Labels: ,

【セキュリティ事件簿#2024-264】アルテマイスター株式会社 当社サーバーへの不正アクセス発生のお知らせ 2024/11/7

アルテマイスター
 

このたび、当社のサーバが第三者による不正アクセスを受け、ランサムウェアを使⽤した攻撃により、当社で取り扱う個人情報が漏洩した可能性があることを確認いたしました。これを受け当社は対策チームを設置の上、専⾨業者および弁護⼠等外部の専⾨家の助⾔を受け、原因特定、被害状況の調査および再発防⽌策等の策定に取り組んでまいりました。調査の結果、判明した本事象の概要等につきまして、下記のとおりお知らせいたします。なお、本件につきましては個⼈情報保護委員会に法令上の報告を⾏っております。当社お取引先様、関係先の皆様に多⼤なるご⼼配とご迷惑をおかけすることになりましたこと深くお詫び申し上げます。

1. 概要

2024年6月15日当社サーバにおいてデータが暗号化されシステムへのアクセスができない状況を確認いたしました。その後の調査によりランサムウェア(身代金要求)による不正アクセス被害であることが判明致しました。警察への通報および関係機関への相談を行い、被害の拡大を防ぐために被害端末をネットワークから遮断し、外部専門家を交えて原因の特定、被害情報の確認、情報流出の有無などの調査を実施しました。当該サーバには個人情報が含まれており、個人情報の流出の可能性があることが判明しました。

外部専門機関による調査の結果、漏洩の痕跡は確認されていないため可能性は限りなく低いものと判断しておりますが、漏洩の可能性が完全に否定できないことからお客様へご報告を差し上げております。

2. 漏洩が発生した恐れのある個人情報

① 対象

当社小売店「アルテマイスター保志」にて顧客カードの作成を行って頂いたお客様

② 漏えいした可能性のある情報

氏名、住所、電話番号

3. 二次被害またはその恐れの有無

外部専門家の調査により外部へ情報が持ち出された痕跡はなく、二次被害の可能性については限りなく低いものと考えております。また、本事象に起因して発⽣した⼆次被害は現時点では確認されておりません。

4. 今後の対応、再発防止策について

セキュリティ専門会社の支援のもと現状のセキュリティ対策状況を網羅的に確認の上、再発防止のため、セキュリティ体制の強化、社員等への個人情報の取扱いルールの見直しおよび教育など、具体的な対策を実施するとともに、不正アクセス等の犯罪⾏為には厳正に対処してまいります。

リリース文アーカイブ

【2024年6月20日リリース分】

リリース文アーカイブ

Labels:
Location: 日本、〒965-0844 福島県会津若松市門田町大字一ノ堰村東40

【セキュリティ事件簿#2024-491】クラブツーリズム株式会社 当社サーバへの不正アクセスによる情報漏えいの可能性について 2024/11/8

 

当社は、10月30日、当社サーバの一部に対して、不正アクセスを受けたことを確認しました。当社が委託しているシステム会社の調査結果を確認した結果、外部漏えいした可能性のあるデータに、下記のとおり個人情報が含まれていることが判明しました。

現在、影響範囲の確認を行っております。なお、当該サーバはサービス提供前の新規構築中のサーバでございますので、当社ウェブサイト等には影響はございません。

本件については警察への相談を行うとともに、本日、個人情報保護委員会に報告を行いました。

お客様や関係先の皆様にご心配とご迷惑をおかけいたしますこと、深くお詫びを申し上げます。

1.判明した経緯とこれまでの対応

10月30日19時過ぎに、当社が委託しているシステム会社より、不正アクセスを受けたことの報告を受け、速やかに対象となるサーバの隔離を実施するとともに対策本部を設置し、被害状況の確認を行っています。

2.漏えいの可能性のある情報

以下の期間に当社の海外ツアーにお申込みからご帰国までの期間が含まれる一部のご参加者のデータ(氏名[ローマ字]、性別、年齢、生年月日、航空券予約番号[PNR]、旅券番号) 約4,000件

①2020年3月から8月、②2023年10月、③2024年9月

なお、クレジットカード情報等の決済に関する情報は含まれておりません。

3.今後の対応

当社ホームページでお知らせをするとともに、対象となるお客様へは、個別にメール、お手紙のいずれかにより、ご本人にご連絡をいたします。

原因の究明、影響の範囲について、専門のセキュリティ会社に委託し詳細の調査を行っております。

以上が、現時点で判明している情報であります。新たな事実が判明した際には、その都度公表をいたします。当社は、調査機関や関係機関の協力を受けながら調査を継続し、被害拡大の防止および再発防止に向けて、鋭意対応して参ります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2024-489】ウエルシア薬局株式会社 当社におけるサポート詐欺の不正アクセスに伴う情報漏えいのおそれがある事案の発生について 2024/11/8


当社は、当社が運営する公式通販サイト「ウエルシアドットコム」に携わる従業員が業務に使用するパソコン端末において、サポート詐欺による不正アクセスを受け、個人情報が漏えいしたおそれがあることが判明しましたことをお知らせいたします。本件に関わりお客様をはじめとしてご関係の皆様に多大なご迷惑をおかけいたしましたことを心よりお詫び申し上げます。

ウエルシア公式通販サイト「ウエルシアドットコム」 https://www.e-welcia.com

本件では、10 月 24 日に当社従業員がサポート詐欺のウェブサイトへ誘導され、遠隔操作ソフトをインストールさせられたことにより、不正なアクセスを受けたことが判明いたしました。

当該事実の判明後、本従業員のパソコン端末のインターネットおよび社内ネットワーク接続を遮断いたしましたが、一定の時間「ウエルシアドットコム」で過去にお買い物をされた一部のお客様の情報および当社従業員の情報が漏えいしたおそれがございます。

  • 顧客情報(退会者を含みます)
    (氏名、住所、電話番号、生年月日、性別、ウエルシアドットコムご利用時の ID とパスワード、購入商品 39,805 名分)

  • 当社およびグループの従業員情報
    (氏名、所属組織、会社のメールアドレス 931 名分)

本件につきましては、関係する行政機関へ報告をするとともに、外部の調査会社による詳細な被害状況と影響範囲の調査を開始し、現在も継続して被害情報の確認を行っております。なお、本日までの調査において本件に関わる漏えいの事実および被害は確認されておりません。

詳細な調査結果が判明しました際には、改めて公表をさせていただきます。

また、情報漏えいのおそれのある対象のお客様へのご連絡を進めております。併せて、個人情報を悪用し、迷惑メールが送付される可能性がございますため、不審なメール等を受け取られた場合には開封せず、削除いただきますようお願い申し上げます。

このような事態が発生し、お客様をはじめとするご関係の皆様には多大なご迷惑をおかけすることになり、改めまして深くお詫び申し上げます。当社はこの度の事態を厳粛に受け止め、今後の情報セキュリティに関わる社内での教育を徹底してまいります。また、個人情報を取り扱う業務プロセスの見直しおよび情報セキュリティ施策の強化を図ることにより、再発の防止に努めてまいります。

Labels:

【セキュリティ事件簿#2024-488】日本介護協会のサイト、荒らし共栄圏に改ざんされる

 介護事業の啓発活動をする一般社団法人の日本介護協会(大阪府大阪狭山市)のサイトが、何者かに改ざんされたことが5日、協会への取材で分かった。サイバー犯罪関連の情報交換をしているとされる集団の名称が記載されたため、協会はサイトを一時閉鎖。大阪府警などに相談したとしている。

平栗潤一理事長は「攻撃される心当たりがなく、戸惑っている。脅迫や金銭の要求は受けていないが、コンピューターウイルスの感染が心配だ」と話している。

平栗理事長によると、改ざんに気付いたのは3日午後。「荒らし共栄圏万歳」というメッセージのほか、協会と無関係の人物の名前や住所が記載されていた。サイト作成のソフトウエア「ワードプレス」が最新版でなく、セキュリティー上の欠点を悪用された可能性がある。

荒らし共栄圏はインターネット上の嫌がらせに加え、クレジットカードの不正利用や偽サイトに誘導して金銭をだまし取る「フィッシング詐欺」の手口を交流サイト(SNS)やネット掲示板で情報交換しているとされる。

出典:介護協会のサイト改ざん、大阪 サイバー犯罪関連集団の名称記載アーカイブ

Labels:

【セキュリティ事件簿#2024-487】なのはな農業協同組合 個人情報漏えいのおそれのある事案の発生に関するお詫び 2024/11/7

 

この度、なのはな農業協同組合( 以下「 当組合」といいます。) におきまして、 共済契約に関する個人情報の漏えいのおそれのある事案が発生しました。

ご契約者様はもちろん、組合員のみなさまに多大なるご迷惑とご心配をおかけする事態となりましたことに対しまして、心より、お詫びを申し上げます。

当組合といたしましては、今回の事態を重く受け止め、よりいっそう情報管理の厳格化を図り、ご契約者様の不安を解消するため、丁寧な説明と経過報告を随時進めてまいります。

今後は役職員や外部の有識者を交えた調査・ 検証委員会を設置し、関係機関とも連携して、実態を把握し再発防止に全力で取り組むとともに、なのはな農協の信頼回復に努めてまいり ます。なお、関係者の処分については、 本事案の調査による全容解明終了後すみやかに検討いたします。

1 事案の概要

令和6年3月頃から共済契約の解約件数が徐々に増加し 、元職員の挙績した契約に集中していたため、令和6年9月24日に共済端末利用履歴を確認したところ、元職員により令和5 年10月から令和6年1月にかけて出力された世帯保障台帳の用紙が紛失していることが発覚しました。元職員が持ち出した可能性も否定できず、 当事者より事情を聴取したところ、当組合の支店内にて廃棄したとの説明を受けました。

しかし、確実に廃棄処分がなされたかどうかにつき、確認が取れておらず、 外部に流出した可能性も否定できないことから 、弁護士と協議し警察にも相談するとともに、 行政庁にも報告いたしました。

2 漏えいした可能性のある個人情報

当組合において、令和6年1月20日以前に共済契約をご締結された、ご契約者様の氏名、 住所、電話番号、共済契約の内容、共済掛金振替決済口座番号及びご契約者様と同一世帯のご家族様の氏名、住所等(1813世帯、3741人、呉羽支店・中央支店及び和合支店の一部のご契約者様)。

なお、二次被害の有無については注視しながら 、心当たりのないセールスや不審な電話等がございましたら 、応対の際にはご注意いただくとともに、下記のお問い合わせ先まで至急ご連絡をお願い申し上げます。

3 今後の対応

今回対象の皆様には、本文書にてご報告及びお詫びを実施しております。

併せて、対象の皆様に対しまして、順次、改めてお詫びならびに詳細な内容について説明し てまいります。また、今後、新たな事項が判明した場合には、 ご契約者の皆様に対し、改めてご報告申し上げます。

リリース文アーカイブ

Labels:
登録: 投稿 (Atom)