このたび、1月18日(土)及び19日(日)に当センター兵庫県支部が実施する消防設備士試験(姫路市会場)に際し、電子申請をされた受験者が当センターからの案内に従って受験票をダウンロードした際、第三者の受験票が手元にダウンロードされる事態が発生しました。
この事象により、96人の受験申請者様の個人情報が受験票の形態で第三者にダウンロードされたことが判明いたしました。
対象の方には個別にご連絡し、事実関係のご説明と謝罪をしますとともに、お詫び文書を送付させていただいております。
このような事態を発生させ、受験者の皆様に多大なご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。
今後、今回の事態を踏まえて個人情報の保管及び管理に万全を期し、再発の防止に取り組んでまいります。
なお、令和7年2月25日に予定しております試験の合否発表につきましては、個人情報保護の観点から、ホームページへの掲載をとりやめさせていただきます。受験者の皆様におかれましては、従来から受験者全員に郵送しております試験結果通知書によりご確認いただきますようお願いいたします。
本学メールシステムにおいて、教職員2名、学生1名のメールアカウントがフィッシングによる不正アクセスを受け、2024年11月25日 11:15頃、11月26日 12:50頃、および 同日 15:30頃の3回に分けて、426件のフィッシングメールが送信されるという事案が発生しました。本件に関して、フィッシングメールを受け取られた皆様には多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。
本学は、この事態を重く受け止め、より一層の情報管理の徹底を図り、再発防止策を講じて参ります。なお、今回の不正アクセス先は主にメール送信サーバーであり、他サービスのデータをダウンロードするなどの情報漏洩に繋がる証跡は確認されておりません。
【2024年12月6日リリース分】
当社がXに開設している公式アカウント「なか卯【公式】(@nakau_info)」が2025年1月26日(日)、第三者による不正アクセスを受け、乗っ取られていたことが判明しました。
なお、お客様の個人情報流出などの二次被害は確認されていません。当該アカウントについては利用を一時停止し、運営再開に向け調整を行っています。当社を装った連絡や外部サイトに誘導するダイレクトメッセージなどが届いた場合は、絶対に開かないようお願い申し上げます。
お客様および関係者の皆様に、多大なるご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。
今後同様の事態が再び発生することのないよう、管理体制の一層の強化に努めてまいります。
【2025年1月28日(火)15時更新】
第三者による不正アクセスを受け停止していた当社X公式アカウント「なか卯【公式】(@nakau_info)」は、2025年1月28日(火)12時頃に復旧しました。当該事態による二次被害はこれまでに確認されていません。
この度、弊社「ハンズクラブアプリ」に対し、第三者による不正なアクセスが確認され、登録されている一部のお客様の個人情報(121,886 件)が漏洩したことが判明いたしました。
ご迷惑をお掛けしているお客様、すべての関係者のみなさまに多大なるご迷惑とご心配をお掛けする事態に至りましたことを、深くお詫び申し上げます。誠に申し訳ございません。
今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
なお、今回の不正アクセスによる、お客様クレジットカード情報の漏洩はございません。
また、現在のところハンズクラブポイントやハンズネットストアでの不正利用も確認されておりません。
本件に関する概要につきまして、下記の通りご報告いたします
2024 年 12 月 2 日にハンズクラブアプリへのログイン回数の異常を確認したため社内調査を開始し、同時にハンズクラブアプリを管理する外部の会社へ調査を依頼しました。
両社で調査を行った結果、11 月 27 日から不正アクセスが繰り返し行われていたことが 12 月 5 日に判明したため、緊急セキュリティ対策を実施しました。
その後、複数回の緊急セキュリティ対策を実施したことにより、新たな不正アクセスは現時点で確認されておりません。また、第三者調査機関にフォレンジック調査を依頼し、被害状況の解明を行いました。
弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会への報告、および所轄の警察署への報告を行いながら調査を進め、本日の発表に至りました。
弊社はこの度の事態を厳粛に受け止め、実施済みの緊急対策に加えてシステムのセキュリティ対策及び監視体制のより一層の強化を行い、再発防止を図ってまいります。
今回の直接の原因であった脆弱性について、対策を強化しました。
新たな不正アクセスがあった場合においても、早期発見および多層のセキュリティ対策を含めた監視体制を強化しました。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2024 年12 月 12 日、2025 年 1 月 23 日と重ねて報告を行っております。所轄の警察署にも発覚当初より相談を行っており、今後の捜査にも全面的に協力してまいります。
本件につきましては、不確定な情報の公開はいたずらに混乱を招くため、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は第三者調査機関の調査結果、及び再発防止策を実施したうえで発表を行うことといたしました。
それにより、今回の公表までお時間をいただきましたことを、深くお詫び申し上げます。
このたび、ハーメックのじり株式会社 (道の駅ゆーばるのじり) におきまして、悪意ある外部の第三者による、設備内パソコンの遠隔操作の痕跡が認められました。
現時点では、実際の個人情報流出は確認されていませんが、そのおそれまでは否定できないため、個人情報保護法 2 6条2 項に基づきお知らせいたします。
出荷者の皆様には、ご心配・ご迷惑をおかけいたしますことを、深くお詫び申し上げます。
令和6 年 11 月 26 日、業務時間中に PC でウェブサイトを閲覧していた社員が、ブラウザに表示されたサポートの電話番号に架電するよう誘導・欺罔され、その結果 PCに遠隔操作のソフトをインストールしてしまいました。
他の社員が異変に気付き、直ぐパソコンの電源を切りましたが、PC 内に出荷者様の個人データが保存されておりました。
・氏名
・住所
・電話番号
・金融機関コード及び支店コード
・口座番号及び名義
現在のところ、悪用されるなどの二次被害の発生は確認されておりません。
本件の事故発生を厳粛に受け止め、今後このような事態が発生しないように管理体制の強化に努めるとともに、再発防止に努め、個人情報の取り扱いについては社員への教育研修等を実施します。
また、個人情報等が含まれるデータには、アクセス権限を付与するなどの対策を講じます。
改めまして、皆様に多大なご迷惑とご心配をお掛けいたしましたことを、重ねてお詫び申し上げます。
2024年12月27日に公表いたしました「不正アクセスによるサイバー攻撃の被害について」に関して、弊社がお預かりしているお客さまデータ(以下、「本件データ」)の漏えい可能性に関する調査が完了したため、下記の通りご報告申し上げます。
なお、本件に関するお客さまからのお問い合わせは、下記のフリーダイヤルまでご連絡いただきますようお願い申し上げます。
専門機関による調査で、以下の事実を確認しました。
弊社で保有していたバックアップデータとの照合を行った結果、本件データの棄損・喪失は確認されませんでした。
データは全て個人情報保護法ガイドラインに沿った高度な暗号化が施されていたことを確認しました。IT 機器の通信ログ等による調査においても、本件データが閲覧または外部に持ち出された痕跡やログを消去・改ざんされた痕跡も確認されませんでした。
一方で、攻撃手法を解析した結果、弊社側にログ等が残らない挙動も確認されており、本件データが閲覧された可能性は完全には否定できませんでした。
お取引様をはじめ、関係各位におかけいたしますご心配ご迷惑につきまして、深くお詫び申し上げます。
以下、本件の概要とその影響およびこの度完了しました外部の専門調査会社(以下、「専門調査会社」といいます)による本件に関する調査の結果および再発防止に向けた取り組みにつきましてご報告申し上げます。
2024年9月27日朝、当該サーバーに記録されていた情報の一部がランサムウェア*1により暗号化され、使用できない状況になったことが発覚しました。
当社は、当該サーバーを管理委託している専門のシステム会社(以下、「管理委託会社」といいます)に通報しネットワークから遮断するなどの被害拡大防止策を速やかに講じ、同年10月6日に当該サーバーは不正アクセスを防ぐための措置を講じた上復旧しております。
一方、同年11月21日に警察当局から当社に対し、ランサムウェアにより暗号化された情報の一部がいわゆるダークサイト*2に公開されている可能性があるとの連絡があり、外部の専門調査会社にて調査した結果、ランサムウェアグループ(以下「攻撃者」といいます)が運営するダークウェブ上のリークサイトと呼ばれる特殊なウェブサイトを利用して一部の個人情報を含む取引情報が公開されていることが確認されましたが、一般的な検索エンジンでは当社情報の漏洩は確認されませんでした。尚、現時点において、個人情報等の二次被害は確認されておりませんが、個人情報保護委員会へ所定の報告を行っております。
*1:感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価(金銭や暗号資産)を要求する不正プログラムのこと。(警察庁HPから)
*2:一般的な検索エンジンでは表示されることがなく、専用のツールやブラウザを必要とするウェブサイトのこと。匿名性が高く、違法な取引などで利用されることが多いですが、通常一般の人が触れることはありません。
当社が導入していたVPN機器を経由して当該サーバーへの不正なアクセスが行われたものと考えられ、当該サーバーの総合脅威管理アプライアンスと呼ばれるセキュリティ機器が最新版へ更新されていなかったことが、今般のランサムウェアの不正アクセス攻撃を防ぐことができなかった主因と判断しております。
不正アクセスの対象となった個人情報に関係する方には、当社から個別にお知らせをするとともに、二次被害の疑いなどに関するお問い合わせ窓口を設置し、誠実に対応して参ります。
当社は今後当分の間、本件に起因した情報漏洩の発生有無を専門調査会社に委託して定期的に調査を実施することとしており、新たに報告すべき事項が判明した場合には、改めてお知らせいたします。
当社は今回の事態を重く受け止め、外部専門家と検討の上、共有ファイルサーバーのクラウド化、ウイルス対策ソフトの強化、VPNアクセスの多要素認証など、技術的施策を中心に再発防止策を実施(一部予定)いたしました。
また、管理的対策として、セキュリティ機器のバージョン更新確認など情報セキュリティ管理体制の見直し、規程の整備、社員の再教育を実施しています。
当社は本件を教訓として、お取引様をはじめとする関係各位の皆様と安心してお取引できる環境の維持向上に引き続き努めてまいります。