【セキュリティ事件簿#2024-217】株式会社東海信金ビジネス 「業務委託先への不正アクセスによる個人情報漏えい」 に関する調査結果と再発防止策等について 2024/11/15


2024 年 7 月 5 日に公表いたしました、業務委託先(以下「イセトー社」)への不正アクセスによる個人情報漏えい事案につきまして、お客様及び委託元信用金庫様に多大なるご迷惑とご心配をおかけしましたことを改めて深くお詫び申し上げます。

イセトー社が複数のセキュリティ専門会社に委託して行った調査等により明らかになった原因及び再発防止策、並びに今後の当社対応につきまして、下記のとおりご報告申し上げます。

当社としては、今般の事案の反省を踏まえ、改めて個人情報の取扱いにかかる社内教育を強化するとともに、今後の業務委託先管理になお一層の万全を期し、お客様や委託元信用金庫様の負託に応えてまいります。

1.本事案の概要(2024 年 7 月 5 日公表済)

2024 年 5 月 26 日に当社がダイレクトメールの印刷・発送を委託しているイセトー社のサーバーやパソコンがランサムウェアに感染し、同年 7 月 1 日には委託元信用金庫のお客様の個人情報が漏えいしたことが確認されました。

(1) 漏えいしたデータの種類

2023 年 9 月時点のダイレクトメール作成時に出力されるログデータ

(2) 含まれる個人情報

氏名
※なお、ダイレクトメール自体の内容の漏えいはありません。

(3)対象件数

69,403 件(委託元信用金庫が公表した名寄せ後件数合計) ※延べ 77,202 件

2.個人情報漏えいの原因と再発防止策の概要

(1) 
イセトー社では、受託業務にかかる個人情報については一般事務に使用するネットワークとは異なる閉域のネットワーク内のみで処理を行い、作業終了後に速やかに削除するルールとなっています。しかしながら、受託業務に付随する一部の事務処理が本来個人情報を取り扱ってはならないネットワーク上で行われ、かつ当該個人情報の一部が処理終了後も削除されないまま残存していました。この理由について、イセトー社では、受託業務に伴って付随的に発生するデータの処理がルール化されておらず、全社的な統制がとれていなかったためとしています。

直接的な原因はランサムウェア被害によるネットワークへの侵害ですが、上述のような個人情報の取扱いの結果、不正アクセスによって個人情報が窃取されることとなりました。

なお、7 月 5 日付で公表した内容以外の情報が漏えいした事実は確認されておらず、これまでお客様における二次被害も確認されておりません。

(2) 
上記原因を踏まえ、イセトー社では概要以下のとおり再発防止策に取り組んでい
るほか、特別調査委員会を設置して調査結果の検証等を進めています。

 

① ランサムウェア侵害に関する再発防止策
  • いわゆる「ゼロトラスト」を前提とした体制への移行(VPN を使用しない体制とし、認証強化を図るとともに、不正アクセスが起こらない環境を構築)等
② データ保管に関しての再発防止策
  • 預託データを一般事務に使用するネットワーク内に移送できない仕組みを構築し、今後は、閉域のネットワークのみでデータを処理(認証強化)
  • 削除ルール、保管期限を明確に定め、個人情報の削除とチェックを徹底し、監査で確認
③ 社員の意識に関する再発防止策
  • 個人情報を含む情報セキュリティに関する教育、業務プロセス変更に伴うルール遵守に関する教育を実施 
  • 業務執行体制の変更ならびに行動規範に関する教育など、定期的な教育を継続
④ 内部統制を管轄する部門の創設
  • 承認プロセスの明確化、事務フローの再構築、リスク評価基準の再設定などを行う内部統制部門を創設等
(3)
 当社では、イセトー社に対し引き続き再発防止策の実行計画に基づく着実な実施と品質保証を強く求めるとともに、個人情報の取扱いの適切性、ネットワークの安全性等を確認した上で同社から報告書を受理し、当面の業務委託を継続しています。 
なお、当社は報告書の受理に際し、イセトー社に以下の点を申し入れており、進捗の都度、報告を受けることとしています。

 

① 原因に関し、現在実施中の特別調査委員会の調査等によって今後新たな事実が判明した場合には、速やかに報告するとともにその概要を公表すること

 

② 再発防止策に関し、当面の間、その進捗状況を毎月報告すること

 

③ 品質保証に関し、再発防止策の有効性とネットワークの安全性が客観的に確認できるよう早急に外部専門家によるシステム監査を受検し、その結果を報告すること

 

④ 事業継続計画に関し、まとまり次第その概要を報告するとともに、引き続き財務情報を継続的に開示すること

(4) 
今後の業務委託について、当社としては、イセトー社が講じる再発防止策の有効性やネットワークの安全性、事業継続計画の妥当性等を検証するとともに、業務委託先の変更など他の選択肢を含め引き続き検討してまいります。

3.委託先管理にかかる今後の当社対応

(1) 
当社では、イセトー社を含めた個人情報を取り扱う業務委託先に対して、業務委託契約に基づき定期監査や必要に応じ実地調査等を行っていますが、今後これまで以上に臨時監査や実地調査を機動的に実施するとともに、業務委託先が実施する外部専門家によるシステム監査や各種認証等の状況を随時確認し、必要に応じて改善を求めるなど委託業務の安全性と品質の向上に努めてまいります。

 

(2)
また、上記業務委託先に対して、金融庁と日本銀行が金融機関のサイバーセキュリティ管理態勢の強化を促すために整備・公表しているサイバーセキュリティセルフアセスメント(CSSA)点検票に準じた再点検を要請するなど、委託先管理を強化することといたします。

 

(3) 
更に、業務委託先における事業継続に懸念がないかを定期的に確認するため、全ての業務委託先に対して財務情報の継続的開示を求めてまいります。

 

(4) 
現在の業務委託契約の内容については、現時点では概ね妥当なものと考えていますが、今後必要が生じた場合には速やかに見直しを行うなど、適切な委託先管理に努めてまいります。


【2024年7月5日リリース分】

【セキュリティ事件簿#2024-505】株式会社あさひ ネット通販サイト(ご自宅配送)における個人情報漏えいの可能性について 2024/9/18

 

日頃よりサイクルベースあさひネット通販サイトをご愛顧いただき、誠にありがとうございます。

2024年9月13日(金)に、弊社ネット通販サイトのご自宅配送に関わる倉庫管理システムを提供する株式会社関通(以下「関通」)から「ランサムウェアによるサイバー攻撃を受けた結果、個人情報漏えいの可能性がある」との報告を受けて以降、お客様には多大なご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。

以下のお知らせにてご案内をいたしておりました「対象のお客様」について、より詳細な限定ができましたため、ご案内申し上げます。対象のお客様には別途メールにてご連絡いたします。

新たに対象が判明したお客様にはご迷惑をおかけしておりますこと、またご案内が遅くなりましたこと深くお詫び申し上げます。

2024.09.18 ネット通販サイト(ご自宅配送)における個人情報漏えいの可能性について

<対象のお客様>

ネット通販サイト(公式オンラインストア、楽天市場店、Yahoo!店)でご自宅配送を指定してご注文をいただき、2024年6月26日(水)から9月26日(木)までに「ご注文商品 発送完了のお知らせ」 メールを受け取られたお客様。

※ご注文をキャンセルされた場合も含まれます。

※ネットで注文、お店で受取りサービスは対象外です。

なお、本事案につきまして、株式会社関通より2024年10月21日付で「現時点までにお客様の個人情報が漏えいした事実は確認されなかった」との最終報告を受けております。詳細については以下のお知らせにてご確認いただきますようお願いいたします。

2024.10.23 【更新】ネット通販サイト(ご自宅配送)における個人情報漏えいの可能性について

引き続き、弊社ではセキュリティ対策の強化に努め、お客様に安心してご利用いただける環境を整えてまいります。今後ともサイクルベースあさひを何卒よろしくお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-504】群馬県産業支援機構 迷惑メール送信事案の発生について 2024/11/15

 

このたび、公益財団法人 群馬県産業支援機構「よろず支援拠点」のメールアカウントを不正利用し、第三者からの迷惑メールが送信されていたことが判明しました。

つきましては、当機構から不審なメールを受信された方におかれましては、ご注意いただき、リンク先は開かずに速やかに削除してくださいますようお願いいたします。

なお、現時点で本事象による個人情報等の機微情報の流失は確認されておりません。

この度は、多くの方々に大変なご迷惑をおかけしましたことを、深くお詫び申し上げます。

1. 概要

令和 6 年 11 月 12 日(火)18 時 59 分から 22 時 20 分にかけて、当機構内「群馬県よろず支援拠点」職員が利用するメールアカウントが第三者に不正に利用され、このメールアドレスから大量の迷惑メールの送信が行われました。送信された件数は調査中ですが、数千件以上と見込まれております。

2. 不正に使用されたアカウント

当機構内「群馬県よろず支援拠点」ドメイン(@yorozu-gunma.go.jp)

3. 原因

原因は現在精査中ですが、「群馬県よろず支援拠点」事業で利用しているメールアカウント2件に対して、外部から不正侵入が行われ、不正使用されたものであると考えられます。

4.対応状況

迷惑メールの送信が行われたことを管理サーバーが検知し、当該アカウントへのアクセスを遮断する等必要な措置を実施しました。

5. お客様へのお願い

該当ドメインから「内容に心当たりがない」「怪しい」と思われるメールを受信された場合は、ウイルス感染やフィッシングサイトへの誘導などのリスクがあります。

添付ファイルの参照やメール本文中の URL のクリック等を行うことなく、メールを削除していただきますよう、よろしくお願いいたします。

6. 再発防止策について

事実関係の詳細が判明次第、セキュリティの安全性について見直しを行い再度徹底致します。

7. その他

新たにお伝えすべき情報があるときは、当ホームページ上で適宜情報開示を行ってまいります。

なお、「よろず支援拠点」(※)以外の職員が利用するメールカウント(ドメイン名「@ginf.or.jp」)についての不正利用は確認されておりません。

※よろず支援拠点とは、国が全国に設置している無料の経営相談所です。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】静清信用金庫 個人情報漏洩に関するお詫びとお知らせ  2024/11/18

イセトー
 

平素は格別のご高配を賜り厚くお礼申し上げます。

当金庫が業務委託している株式会社東海信金ビジネスの再委託先である株式会社イセトー(以下「イセトー社」)において、ランサムウェア感染により一部お客さま情報が漏えいした件につきまして、7月4日付で当金庫ホームページに公表いたしましたが、その後の調査により詳細が明らかになりましたので、調査結果と再発防止策についてお知らせいたします。

なお、7月4日付で公表した内容以外の情報が漏えいした事実は確認されておらず、これまでお客さまにおける二次被害も確認されておりません。

お客さまに多大なご迷惑とご心配をおかけいたしましたこと、改めて深くお詫び申し上げます。 

1.事案の概要(令和6年7月4日公表済)

令和6年5月26日にダイレクトメールの印刷・発送を委託しているイセトー社のサーバーやパソコンがランサムウェアに感染し、同年7月1日に当信用金庫の一部のお客さまの個人情報が漏えいしたことが確認されました。

(1) 漏えいしたデータの種類

ダイレクトメール作成時に出力されるログデータ

(2) 含まれる個人情報

氏名

※なお、ダイレクトメール自体の内容の漏えいはありません。

(3) 対象顧客件数

2,702 件

※詳細調査の結果、7月4日付で公表した件数(2,713 件)から 11 件少なくなっております。

2.調査結果と再発防止策

業務委託先である東海信金ビジネスのホームページ内に掲載されております。

大変お手数をおかけしますが、以下のリンクよりご確認ください。

【東海信金ビジネス HP】https://shinkin-tokai.co.jp/news20241115.pdf 

リリース文アーカイブ

【2024年7月4日リリース分】

【セキュリティ事件簿#2024-478】株式会社別大興産 ランサムウェア被害に伴う情報漏えいのおそれに関するお知らせ 2024/11/18

 

株式会社別大興産(以下、弊社といいます)は、弊社サーバおよびその周辺機器(以下サーバ等といいます)において第三者によるランサムウェア攻撃の被害を確認し、弊社が保有する個人情報を含むデータが複製され外部へ持ち出されたおそれが発生しましたのでご報告いたします。

お客さまをはじめ関係者の皆さまにご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。

1.概要

弊社が管理するサーバ等のデータベースに対して、外部からサイバー攻撃が行われ、その結果、サーバ等が使用できない状態となりました。画面には不正アクセスによってデータを使用できなくしたこと、個人情報を含むデータを複製したこと、金銭を支払わないとデータを第三者へ売却することを示す内容が表示されており、個人情報の漏えいが疑われる状態となっています。従業員が使用しているパソコン端末では被害はありませんでした。

2.経緯

2024年10月24日(木)7:40頃、システム担当者がサーバの稼働状態を確認したところ、上記の「概要」で記載している内容を確認しました。10月25日(金)時点で漏えいされた個人情報および漏えいによる被害の連絡は受けておりません。

3.原因

ランサムウェア被害に伴う情報漏えいに係る調査(弊社ネットワークへの侵入経路、侵入後の情報へのアクセス、情報の持ち出し)を進める中で、弊社サーバ等に悪意のある通信の侵入を許してしまった経路の一つに、当社が業務委託を行った企業(以下、委託会社といいます。)が設置したセキュリティ機器の設定に不備があったことが一因となっている可能性があることが判明いたしました。現在は、上記の設定不備は解消しております。なお、情報漏えいの全容については継続し調査を行っている状況です。

4.現在の対応

現在、攻撃対象となったサーバ等は全て停止しております。

なお、10月24日(木)に個人情報保護委員会、公益財団法人くまもと産業支援財団九州プライバシーマーク審査センター、大分県別府警察署へ報告をしました。また、顧問弁護士事務所と連携し、法的対応・措置を実施して参ります。

5.漏えいのおそれがある個人情報

ログ解析の結果、データが外部へ持ち出された可能性があることが判明しました。現段階では個人情報が漏えいしたかどうかまでは特定に至っておりません。

ログ解析によって判明した情報は持ち出されたデータ「量(byte)」のみであり、どのようなデータが持ち出されたかは明確になっておりません。今後別の調査専門会社へ依頼し、さらなるログ解析を進める予定ですが、持ち出されたデータの「種類」、「数」、「対象となる個人」等は最終的に確定できない可能性がございます。

インターネット上に公開されている情報の調査を行ったところ、今回持ち出された情報が出回る等の事象は現時点では見られませんが、漏えいした個人情報を悪用され実際に被害に遭われました場合、真摯に対応をさせていただきますので下記コールセンターへご連絡をいただきますようお願い申し上げます。被害に遭われた際は、大変お手数ですが被害に遭われたことがわかる資料などの保管をお願いいたします。また、心当たりのない電話やメール等を受け取った場合には、対応にご留意いただきますようお願い申し上げます。

6.対象となるお客さま数

現時点においては、サーバ等が使用できないため正確な数字が計測できません。

7.お客さまへの対応

サーバ等が使用できないためお客さまへ個別にアクセスできない状況でございます。状況は随時ホームページにて公表いたします。

8.サービスのご利用

現在、データの復元を急いでおりますが、復旧に要する期間は不明です。そのため、一部の業務で遅延等が発生するおそれがあります。

9.今後の対策

ログ解析の結果をふまえ、セキュリティ強化施策を行います。また、あらためて従業員に対する教育を徹底し再発防止を徹底してまいります。

10.弊社からのお願い

本件に関する情報漏えいの被害を拡大させ、対象の方々のプライバシーを侵害し、生活や事業に深刻な影響を与え、犯罪を助長するおそれもございますので、SNS等を通じた拡散はお控え下さいますよう、ご協力をお願い申し上げます。

スパムメールの送付や関連したフェイク情報の発信、漏えい情報の対象となった方々や当社および当社関係会社従業員等への誹謗中傷その他の迷惑行為が発生した場合は、当社は警察と連携して厳正に対応し、関係するすべての方々のプライバシーと安全を守り、二次被害が最小限となるよう努めてまいります。

お客様、お取引先様をはじめとする関係者の皆様には多大なるご心配とご迷惑をおかけしておりますことを、重ねてお詫び申し上げます。

また、今回の事態を重く受け止め、原因の追究と情報セキュリティ体制の一層の強化、徹底を図り、再発防止に尽くしてまいります。

リリース文アーカイブ

【2024/10/28リリース分】

リリース文アーカイブ

【2024年10月25日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-503】室蘭工業大学 本学への不正アクセスによる個人情報の流出の可能性に関するお知らせとお詫び 2024/11/18

 

このたび、本学の研究室サーバが不正アクセスを受けていた事案が確認され、当該サーバに格納されていた個人情報が漏洩した可能性を排除できないということが判明しましたのでお知らせいたします。

今回このような事案が発生し、関係者の皆様に大変なご迷惑をお掛けすることとなり、深くお詫び申し上げます。本学では、今回の事態を重く受け止め、より一層、個人情報の保護、情報セキュリティ対策の適切な管理に努めて参ります。

1.本件の経緯

令和6年10月27日(日)に本学の研究室サーバが不正アクセスを受けていた事案が確認され、研究室教員のアカウントが乗っ取られ不正なログインがなされていたことが判明しました。

2.漏洩の可能性のある個人情報

当該研究室に所属する在学生及び所属していた卒業(修了)生の氏名や住所、電話番号等を含めた個人情報159名分

3.現在までの対応

該当サーバを含む当該研究室のネットワークを停止し、内部調査を実施するとともに、研究室関係者のアカウントのパスワード変更、当該研究室の全てのサーバ及びパソコンのウイルス検査を実施しました。

4.二次被害又はそのおそれ

現在、個人情報が漏洩した可能性がある方に対して、順次報告とお詫びのご連絡を進めているところですが、このことによる被害と思われる事案が発生した場合には、以下担当までご連絡いただくようお願いいたします。なお、これまでのところ外部に個人情報が流失したという情報や第三者に情報が不正に使用されたという事実は確認されておりません。

リリース文アーカイブ

【セキュリティ事件簿#2024-502】一般社団法人日本電気協会 当会新聞部システムの一部への不正アクセス確認について 2024/11/15

 

11 月 14 日(木)午後4時30分頃、当会新聞部の顧客管理情報を含む業務管理システムの一部が第三者による不正アクセス(ランサムウェア攻撃)を受けたことを確認いたしました。

現在、ランサムウェア攻撃対策本部を立ち上げ、攻撃による被害状況や不正アクセスの経緯等の確認、及び再発防止策等について、順次必要な対応を講じて参ります。

関係者の皆様には、ご心配及びご迷惑をおかけしておりますこと、深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-501】帝塚山学院大学 不正アクセスによる迷惑メール送信のお詫び 2024/11/11

 

このたび、本学のメールシステムにおいて、学生1名のメールアカウントが不正アクセスを受け、多量の迷惑メールの送信に悪用されるという事案が発生いたしました。当該利用者のメールアカウントは、事象の認知後、直ちに利用停止の措置を行いました。

本件に関して、迷惑メールを受け取られた皆様には多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。

詳細は以下の通りです。

迷惑メール送信期間:2024年10月1日(火)18:19 ~ 19:00頃

送信メール件数:3,433件

送信先メールアドレス数:19,839アドレス

本学としては、この事態を重く受け止め、メールアカウントやパスワードの厳格な管理、メールアカウント利用者への適切な取り扱いについて周知するとともに、技術的な再発防止システムの導入を検討して参ります。

リリース文アーカイブ