【セキュリティ事件簿#2024-496】キタイ設計株式会社 弊社サーバーへの不正アクセスに関するご報告 2024/11/13

 

弊社ではISO27001の認証取得を含めセキュリティ対策の強化を進めて参りましたが、さる2024年10月7日(月)外部からの不正アクセスが確認されました。

滋賀県警察本部サイバー犯罪対策課からの情報提供もあり、直ちに外部とのネットワークを遮断するとともに、サイバーセキュリティ専門家（以下「外部専門家」という。）の協力を仰ぎ、原因究明、被害状況の調査に努めてまいりました。

その結果と今後の取り組みについて下記の通りご報告申し上げます。

１．警察への被害届の提出

不正アクセスにかかる業務妨害に対して、警察に被害届を提出し受理されております。

２．調査の結果

外部専門家の調査(2024年11月6日報告)により、外部(リモートアクセス)からの不正アクセスが確認されましたが、実被害は確認できておりません。しかしながら、サーバー内に保管されていた業務関連データが不正に外部送信された可能性は否定できないことが判明いたしました。

３．今後の取り組み

(1) 情報漏洩についての調査・監視

現時点では、お客様の業務関連データがインターネット上に公開されるなどの具体的な情報漏洩の事実は確認されておりませんが、今後とも外部専門家の協力を得て、引き続き情報漏洩にかかる調査・監視を継続してまいります。

(2) 現在および今後のセキュリティ対策

現在、セキュリティ対策の更なる強化を進め安全を確保した上で、業務を継続しているところです。今後も調査を継続しつつ外部専門家の協力を得て、高度なレベルでのセキュリティ対策を講じてまいります。関係者の皆様には、ご心配をおかけしておりますことお詫び申し上げるとともに、再発防止に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-495】アクシスコンサルティング株式会社 ご登録者様情報およびお取引先様情報の流出に関するお詫びとご報告 2024/11/13

 

平素より当社をご愛顧いただき、誠にありがとうございます。

このたび、当社におきまして、当社のサービスにご登録いただいているご登録者様（以下「ご登録者様」といいます。）およびお取引先様の個人情報が外部に流出していたことが判明いたしました。

このたびの情報流出の概要と対応につきまして、下記のとおりご報告いたしますとともに、ご登録者様およびお取引先様をはじめとする関係者の皆様に、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

なお、2024年11月8日時点で流出が判明しているデータを削除した旨の連絡を受領しています。

1. 情報流出の概要および原因

2024年10月9日、当社のご登録者様よりお問い合わせを受け調査をいたしましたところ、当社の元従業員がご登録者様およびお取引先様の個人情報等を転職先企業に持ち出していたことが判明いたしました。本件の原因は、情報保護に関する内部管理体制が不十分であったことであると考えられます。

今回の情報流出に関しまして、現時点で判明している範囲では、影響は限定的であり、現時点の調査で判明している漏えい件数は、1,306名分です。今後も引き続き調査を進め、改めて公表いたします。

また、今回の流出は、外部からの不正アクセスによるものではなく、弊社の元従業員が在職中に情報を持ち出したことによるものであると確認されております。過去に遡って調査を行った結果、現時点ではその他の不正アクセスの事実も確認されておりません。

なお、一次対応として、持ち出された情報は、削除した旨の連絡を受領しています。今後は、お客様の情報保護を最優先に、さらなるセキュリティ強化と再発防止に向けた取り組みを進めてまいります。

2. 漏えいの対象となった情報の項目と件数

項目：当社のご登録者様およびお取引先様の「氏名」・「生年月日」・「住所」・「電話番号」・「メールアドレス」・「勤務先の会社名」・「所属する部署名」の全部または一部

件数：1,306名分

なお、当社ではクレジットカード情報は収集しておらず、直ちに経済的な被害が生じるおそれはございません。

3. これまでの経緯

• 2024年10月9日：ご登録者様から元従業員よりコンタクトを受けた旨のご連絡を受け、調査を開始
• 2024年10月15日：ログ解析調査により元従業員によりご登録者様およびお取引先様の個人情報が持ち出されていたこと確認。また、持ち出された情報の件数の確認および対象者の特定作業を開始
• 2024年10月17日：プライバシーマーク審査機関である日本情報システム・ユーザー協会へ本件について報告（速報）
• 2024年10月21日：監督官庁である個人情報保護委員会へ本件について報告（速報）
• 2024年10月29日：元従業員および元従業員が現在在籍している転職先企業に対して元従業員が持ち出したデータを削除するよう要求
• 2024年10月29日：元従業員および現在在籍している企業に対してデータ削除の通知
• 2024年11月8日：元従業員および転職先企業より元従業員が持ち出したデータを削除し、今後使用しない旨の連絡を受領

4. ご登録者様への対応

本日、2024年11月13日より個人情報が漏えいしたおそれのあるご登録者様およびお取引先様（「氏名」・「生年月日」・「住所」・「電話番号」・「メールアドレス」・「勤務先の会社名」・「役職」の全部または一部の情報の漏えいがあった方）へ、お詫びのメールもしくはSMSをお送りいたします。

5. 再発防止策

このたびの事態を厳粛に受け止め情報保護に関する取り組みが不十分であったことを反省し、今後は退職前にデータ持ち出しに関するログの調査を実施する等、一層のセキュリティ体制の強化、監視体制の見直し、従業員教育の徹底を図り、再発防止に努めてまいります。お客様におかれましては、多大なるご心配とご迷惑をおかけしますことを改めてお詫び申し上げます。今後とも一層のサービス向上に努めてまいりますので、何卒ご理解賜りますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-494】水産大学校 学生向け電子掲示情報が外部から閲覧可能状態にあったことについて 2024/11/12

 

本校の学生向け情報電子掲示システムにおいて、掲示情報が外部から閲覧可能状態にあったことにつきましては、令和６年９月１１日に本校ホームページにてお知らせしているところですが、本事案の調査結果等をご報告いたします。

関係者の皆さまにご心配とご迷惑をお掛けしましたことを改めて深くお詫び申し上げます。

今後、このような問題が発生することのないよう、情報セキュリティの確保に関する取組を強化し、再発防止に努めてまいります。

なお、本日までに本事案に関する被害は確認されておりません。

１　事案の概要

令和６年９月５日、業務でウェブを検索していた本校職員の報告により、本校学生向け情報電子掲示システム内の情報がログイン認証なしで外部から閲覧可能状態にあることが判明しました。事象判明後、直ちにシステムへのアクセス制限を講じ、システム内の情報は外部から閲覧できない状態にしたところですが、その後の調査において、閲覧可能状態にあった期間は平成２３年４月以降であることを把握しました。

現在、改修作業を行っていますが、システムの運用を再開するに当たっては、当該事象に係る改修の検証だけではなく、システム全体の安全性を十分に確認することとし、専門業者の協力のもと、必要な対応に取り組んでおります。

２　閲覧可能状態にあった情報の内容

（１）　平成２３年度以降に在籍歴のある学生の個人データ：　4,122件

（２）　平成２３年度以降に在籍歴のある教職員の個人データ：　314件

（３）　平成２３年度以降に採用された非常勤講師の個人データ：　56件

（４）　閲覧可能状態にあった個人データの種類：　学籍番号、氏名（姓のみ、カナ又はローマ字表記のみを含む）、電話番号、メールアドレス、ＳＮＳアカウント

３　発生原因

本システムは、平成２３年４月に全面更新を行いました。その際、当時のシステム関連機器の性能や利用者の利便性を考慮し、お知らせ情報（ｈｔｍｌファイル）や添付ファイルを素早く閲覧できるよう、ファイルのＵＲＬを直接入力することで、ログイン認証なしでもアクセスできる設計としました。この場合、閲覧しようとするファイルの数十桁に及ぶ完全なＵＲＬを正確に入力して適合させる必要があることから、外部からの閲覧は困難と判断し、全面更新以降、アクセスに係る部分の設計変更は行っておりませんでした。

しかしながら、今般、一部の検索エンジンによって、お知らせ情報の添付ファイルがクローリングされ、検索結果に当該ファイル名が表示される事態が発生しました。

なお、通信履歴を調査した結果、お知らせ情報の本文に該当するｈｔｍｌファイルが外部から閲覧された形跡は確認されておりません。

４　個人データが閲覧可能状態にあった方々へのご連絡

連絡先が確実に把握できる在校生及び在籍教職員の皆さまに対しましては、順次、電子メールにて、その事実を報告し、お詫び文を送付いたします。また、個人データの内容が姓のみ等で当該個人を特定できない場合及び卒業生、退職者等の皆さまに対しましては、本校ホームページに本事案に関するご報告と問い合わせ窓口に係るご案内を掲載し、個別に対応を行ってまいります。

５　再発防止に向けた取組

本事案に係る改修・検証及びシステム全体の安全性を担保するために必要な対応を講じるほか、今回の事案を踏まえ、システムの定期的な評価・検証を行う体制を強化するとともに、個人情報の取扱いを含めた情報セキュリティの確保を徹底し、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-493】mog株式会社 個人情報漏洩の恐れに関するお詫びと調査結果のご報告 2024/11/12

 

弊社が運営する「こども栄養バランスmog オンラインストア（通信販売サイト）」におきまして、第三者による不正アクセスを受けたことを、2024年6月14日に「不正アクセスによるシステム侵害発生のお詫びとお知らせ」として公表いたしました。

このたび、第三者調査機関による調査の結果、クレジットカード情報（2,153件）、また、クレジットカード情報を除く個人情報（3,484件）が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報及びクレジットカード情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、電子メールが届かなかったお客様には、改めて郵送でご連絡申し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年6月14日に弊社ホームページにてご案内のとおり、警視庁から情報漏えい懸念を指摘する連絡が入ったため、2024年5月31日に弊社が運営する「こども栄養バランスmog オンラインストア」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年9月25日、調査機関による調査が完了し、2021年3月5日～2024年5月21日の期間に　「こども栄養バランスmog オンラインストア」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

なお、マイページでご登録いただいたカード情報は対象ではございません。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

弊社が運営する「こども栄養バランスmog オンラインストア」の委託先カートシステム運営会社のサーバーに不正アクセスがあり、弊社カートシステムの一部を改ざんされました。

(2)クレジットカード情報漏えいの可能性があるお客様

2021年3月5日～2024年5月21日の期間中に「こども栄養バランスmog オンラインストア」において新規にカード情報をご登録のうえご注文いただいたお客様（2,153件）で、漏えいした可能性のある情報は以下のとおりです。(既存のお客様の継続中の定期購入や、LINEやメール・電話でのご注文は対象となりません)。

・クレジットカード会員名

・クレジットカード番号

・クレジットカード有効期限月

・クレジットカード有効期限年

・クレジットカードセキュリティコード

(3)個人情報漏えいの可能性があるお客様

2021年3月5日～2024年5月21日の期間中に「こども栄養バランスmog　オンラインストア」において新規にご購入いただいたお客様およびマイページへログインされたお客様(3,484件)で、漏えいした可能性のある情報は以下のとおりです(既存のお客様の継続中の定期購入、LINEやメール・電話でのご注文は対象となりません)。

・メールアドレス（ログインID）

・パスワード※

・生年月日（任意入力項目）

※ゲスト購入のお客様につきましてはパスワードの漏えいはございません。

購入者氏名（配送先氏名）・配送先住所・電話番号など、その他の情報は含まれておりません

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。また、電子メールが届かなかった（配信エラーが戻ってきた）お客様へは、改めて郵送でご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、クレジットカード情報漏えいの可能性があるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表の経緯について

2024年6月14日に弊社Webサイト等で、「不正アクセスによるシステム侵害発生のお詫びとお知らせ」のご案内をいたしましたが、その後の今回の公表に至るまで時間を要しましたことを深くお詫び申し上げます。不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、及びカード会社との連携を待ってから行うことにいたしました。

今回の調査結果のご報告に至るまでお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図ってまいります。

改修後の「こども栄養バランスmog オンラインストア」のweb注文受付再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年5月31日を初回として複数回報告済みであり、また、警視庁にも発覚当初から連携しており、今後の捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-426】株式会社倉業サービス サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて 2024/11/11

 

2024 年 9 月 19 日「サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて（第 1 報）」及び同年 10 月 8 日「サイバー攻撃による情報漏洩の可能性のお知らせとお詫びについて（第 2 報）」にて公表しましたとおり、弊社サーバーに対するランサムウェア攻撃について外部専門家によるフォレンジック調査を進めておりましたが、調査結果を踏まえて以下のとおりご報告申し上げます。

１．サイバー攻撃の概要及び原因

2024 年 9 月 12 日、弊社システムを構築しているサーバーにおいて障害が発生し、サーバーの保守等の委託先企業を通じて調査を進めたところ、サーバーに対する不正アクセス及びランサムウェア攻撃があったことが同月 13 日に発覚しました。

その後、外部専門家によるフォレンジック調査の結果、当該不正アクセスはサーバーにおいて使用しているソフトウェアにあった脆弱性を悪用してなされたこと、この不正アクセスを契機としてランサムウェア攻撃がなされたことが判明しました。

２．漏えいのおそれがある個人情報

当社がお取引先様から受託した発送業務における発送先情報等（お取引先様ごとに情報の種類は異なることがあります）が漏えいしたおそれは否定できません。ただ、現時点では漏えいの具体的事実も確認しておりません。

３．再発防止策

今後、外部の専門家に相談してセキュリティと管理体制を強化し、再発防止に努めて参ります。

４．本件に関するお問い合わせ先

本件に関するお問い合わせは、当社に発送業務を委託したお取引先様へお願いいたします。なお、弊社へのお問い合わせについては、以下のお問い合わせ窓口までお願いいたします。

リリース文（アーカイブ）

【2024年9月19日】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-492】株式会社エイ・アイ・エス ランサムウェア被害に関するお知らせ 2024/11/9

 

このたび、当社の社内サーバーの一部が第三者によるランサムウェア攻撃を受け、保存されているファイルが暗号化される被害が確認されましたのでお知らせいたします。

現在、影響の範囲や被害状況の詳細について調査を進めており、復旧対応に取り組んでおります。現時点で判明している内容を以下の通りご報告いたします。

お客さま、お取引先さま、関係者の皆さまには多大なるご迷惑とご心配をおかけしておりますことを、心より深くお詫び申し上げます。

＜現況＞

令和6年11月5日AM8:00に、当社の一部サーバーが暗号化されるランサムウェアの被害を受けたことを確認いたしました。

現在、個人情報を含む影響範囲や被害の有無については調査中であり、全容の把握にはなお時間を要する見込みです。

また、本件に関しましては、警察および個人情報保護委員会へ速やかに報告し、外部専門家や関係機関と協力の上で原因究明、再発防止、ならびに復旧に向けて全力で取り組んでおります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-264】アルテマイスター株式会社 当社サーバーへの不正アクセス発生のお知らせ 2024/11/7

 

このたび、当社のサーバが第三者による不正アクセスを受け、ランサムウェアを使⽤した攻撃により、当社で取り扱う個人情報が漏洩した可能性があることを確認いたしました。これを受け当社は対策チームを設置の上、専⾨業者および弁護⼠等外部の専⾨家の助⾔を受け、原因特定、被害状況の調査および再発防⽌策等の策定に取り組んでまいりました。調査の結果、判明した本事象の概要等につきまして、下記のとおりお知らせいたします。なお、本件につきましては個⼈情報保護委員会に法令上の報告を⾏っております。当社お取引先様、関係先の皆様に多⼤なるご⼼配とご迷惑をおかけすることになりましたこと深くお詫び申し上げます。

１． 概要

2024年6月15日当社サーバにおいてデータが暗号化されシステムへのアクセスができない状況を確認いたしました。その後の調査によりランサムウェア（身代金要求）による不正アクセス被害であることが判明致しました。警察への通報および関係機関への相談を行い、被害の拡大を防ぐために被害端末をネットワークから遮断し、外部専門家を交えて原因の特定、被害情報の確認、情報流出の有無などの調査を実施しました。当該サーバには個人情報が含まれており、個人情報の流出の可能性があることが判明しました。

外部専門機関による調査の結果、漏洩の痕跡は確認されていないため可能性は限りなく低いものと判断しておりますが、漏洩の可能性が完全に否定できないことからお客様へご報告を差し上げております。

２． 漏洩が発生した恐れのある個人情報

① 対象

当社小売店「アルテマイスター保志」にて顧客カードの作成を行って頂いたお客様

② 漏えいした可能性のある情報

氏名、住所、電話番号

３． 二次被害またはその恐れの有無

外部専門家の調査により外部へ情報が持ち出された痕跡はなく、二次被害の可能性については限りなく低いものと考えております。また、本事象に起因して発⽣した⼆次被害は現時点では確認されておりません。

４． 今後の対応、再発防止策について

セキュリティ専門会社の支援のもと現状のセキュリティ対策状況を網羅的に確認の上、再発防止のため、セキュリティ体制の強化、社員等への個人情報の取扱いルールの見直しおよび教育など、具体的な対策を実施するとともに、不正アクセス等の犯罪⾏為には厳正に対処してまいります。

リリース文（アーカイブ）

【2024年6月20日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-491】クラブツーリズム株式会社 当社サーバへの不正アクセスによる情報漏えいの可能性について 2024/11/8

 

当社は、10月30日、当社サーバの一部に対して、不正アクセスを受けたことを確認しました。当社が委託しているシステム会社の調査結果を確認した結果、外部漏えいした可能性のあるデータに、下記のとおり個人情報が含まれていることが判明しました。

現在、影響範囲の確認を行っております。なお、当該サーバはサービス提供前の新規構築中のサーバでございますので、当社ウェブサイト等には影響はございません。

本件については警察への相談を行うとともに、本日、個人情報保護委員会に報告を行いました。

お客様や関係先の皆様にご心配とご迷惑をおかけいたしますこと、深くお詫びを申し上げます。

１.判明した経緯とこれまでの対応

10月30日19時過ぎに、当社が委託しているシステム会社より、不正アクセスを受けたことの報告を受け、速やかに対象となるサーバの隔離を実施するとともに対策本部を設置し、被害状況の確認を行っています。

2.漏えいの可能性のある情報

以下の期間に当社の海外ツアーにお申込みからご帰国までの期間が含まれる一部のご参加者のデータ（氏名[ローマ字]、性別、年齢、生年月日、航空券予約番号[PNR]、旅券番号）　約4,000件

①2020年3月から8月、②2023年10月、③2024年9月

なお、クレジットカード情報等の決済に関する情報は含まれておりません。

3.今後の対応

当社ホームページでお知らせをするとともに、対象となるお客様へは、個別にメール、お手紙のいずれかにより、ご本人にご連絡をいたします。

原因の究明、影響の範囲について、専門のセキュリティ会社に委託し詳細の調査を行っております。

以上が、現時点で判明している情報であります。新たな事実が判明した際には、その都度公表をいたします。当社は、調査機関や関係機関の協力を受けながら調査を継続し、被害拡大の防止および再発防止に向けて、鋭意対応して参ります。

リリース文（アーカイブ）