現在判明している不正アクセスの他に、不正アクセスの有無、不正アクセスされた可能性のある情報の範囲・レベル等は確認中です。
また、ファイルサーバへアクセスし初期化が実行されているため、個人情報や機微情報等に影響が及んでいる可能性の有無も含めて影響範囲を調査しております。
当該事案の原因については現在調査中であり、調査が完了次第、再発防止策を講じてまいります。
なお、本件については警察に報告しております。
現時点で個人情報や機微情報の漏洩及び情報の悪用等による二次被害は確認されておりませんが、念のため、不審な連絡、訪問者等にはご注意ください。万が一本事案による情報漏洩が疑われる場合は、以下の問い合わせ先までご連絡ください。
ソフトバンク株式会社(以下「弊社」)は、弊社の業務委託先である株式会社UFジャパン(以下「UFジャパン」)から、弊社の携帯電話サービス(“ソフトバンク”および“ワイモバイル”)を契約されている個人のお客さまの情報が流出した可能性があることが判明しましたので、お知らせします。
流出した個人情報の件数は調査中ですが、現在判明している限りにおいては、約14万件に及ぶ可能性があります。情報の種類は、氏名、住所、電話番号などです。クレジットカード情報や口座情報、マイナンバーカードに関する情報などは含まれていません。なお、流出した可能性がある情報を用いたお客さまの被害などの事実は、現時点で確認されていません。これを受けて、弊社は2025年6月3日に監督官庁および関係機関へ報告するとともに、警察への相談を進めています。また、弊社の調査の過程において、UFジャパンが弊社の許諾なしに協力会社と契約していたことと、UFジャパンが弊社との契約上のルールに反した情報の取り扱いをしていたことが判明しています。
このたびは、お客さまに多大なご迷惑とご心配をおかけすることになり、深くおわび申し上げます。
弊社は、このような重大な事象が発生したことを真摯に受け止め、個人情報を取り扱う業務委託先に対する管理を強化して再発防止に努め、お客さまに安心していただけるように取り組んでいきます。
2025年3月下旬に、社外の第三者から、弊社のお客さまの個人情報に関して、UFジャパンの事業所内で不適切な取り扱いがされている可能性と、他社の通信事業者のサービス勧誘に利用している可能性があるとの申告を受けました。その後、弊社が調査した結果、下記の事実などが判明しました。
UFジャパンの協力会社を退職したA氏が、2024年12月にUFジャパンの事業所に不正に立ち入り、USBメモリーを情報管理端末に接続して、弊社のお客さまの個人情報を持ち出している可能性があることが判明しました(監視カメラの映像で確認)。一方で、弊社の調査に対して、A氏は個人情報の持ち出しについて、記憶にないと主張しています。
従業員B氏が、弊社のお客さまの個人情報を含むファイルをクラウドサービスにアップロードし、弊社の業務に携わっていない3人がその内容を閲覧できる状態になっていたことが判明しました。なお、現時点で、この3人が情報をダウンロードした形跡はありません。
弊社は業務委託先に対してセキュリティールールを定めていましたが、UFジャパンは、個人情報を取り扱うフロアへの社外の第三者の入退室の許容や警備員の未配置など、ずさんな運用を行っていました。さらに、弊社が実施したセキュリティー監査に対して虚偽の報告を行っていたことが判明しています。
件数(現在判明しているもの)
13万7,156件(①13万5,022件、②2,134件)
[注]
※ その他、弊社の社内システム以外で個人を特定することができない、社内の顧客管理番号のみが16万1,132件あったことが併せて判明しています。
“ソフトバンク”および“ワイモバイル”の携帯電話サービス
氏名、住所、生年月日、電話番号、性別、年齢、契約内容(料金プランなど)、サービスの利用に関する情報、社内の顧客管理番号など
[注]
※ ①と②ともに、クレジットカード情報や口座情報、マイナンバーカードに関する情報は含まれていません。
弊社は、UFジャパンが業務で使用していたパソコン全台のフォレンジック調査や、関係者への聞き取り調査、警察への相談などを進め、全容の解明に努めていきます。また、情報の流出の可能性の確認を継続的に行っていきます。
また、UFジャパンに対しては、委託してきた当該業務を5月20日に停止し、6月9日付で当該業務における同社との業務委託契約を解除しました。
本事案に関するお客さま専用の問い合わせ窓口を設置しました。
お客さま専用の問い合わせ窓口
電話番号 0800-111-6636
[注]
※ 受付時間:午前10時から午後7時まで
弊社のコールセンターと、“ソフトバンク”および“ワイモバイル”の取扱店以外からの、個人のお客さまへの営業目的での架電を原則廃止します。架電する場合は、お客さまの明確な承諾を得た上で実施します。
契約サポートなどの営業目的以外で個人のお客さまへの架電業務を行う委託先に対しては、個人情報を取り扱うための環境(設備・運用)を弊社が全て用意し、個人情報の取り扱いを常時監視するなど、より厳格な運用管理を行っていきます。
個人情報を取り扱う委託先に対する緊急監査を進めています。
このたび、当社の社内ネットワークが、ソフトウェアの脆弱性を原因とする不正アクセス(ゼロデイ攻撃※1)を受け、当社が保有するお客様・パートナー様・当社従業員の個人情報等の一部が外部に漏洩した可能性があることが判明しました。本事案の発生により、お取引先様をはじめ関係者の皆様に多大なるご迷惑、ご心配をおかけすることとなりましたことを深くお詫び申し上げます。
当社では不正アクセスを検知して以降、速やかに外部からのアクセスを制限するなどの対策を講じ、外部の専門機関と協力して侵入経路や影響範囲、原因分析等の調査を進めるとともに、お取引先様とも連携して必要な対応を進めてまいりました。個人情報保護法に基づき、個人の皆様へのご連絡の実施、あるいは準備も進めておりますが、今般、対外公表も併せて行うことといたしました。
2025年3月7日、当社のサーバーに対する不審なアクセスを検知し、直ちにサーバーをネットワークから隔離するなどの必要な対策を実施しました。その後、外部専門家の助言を受けながら影響範囲調査を実施する中で、第三者による不正アクセスの形跡が確認され、当社の社内利用サーバー内に保存されていたお客様・パートナー様・当社従業員の個人情報等の一部が外部に漏洩した可能性があることが判明しました。なお、当社がお客様に提供しておりますクラウドサービスには影響はございません。
不正アクセスの原因については、ネットワーク機器へのゼロデイ攻撃があったことが判明しております。
当社は、情報漏洩の可能性のあるお取引先様に対して、既に個別にご連絡を差し上げており、必要な対応を進めております。個人情報保護法に基づき、お取引先様のご協力のもと、個人の皆様への通知も実施、あるいは準備しておりますが、関係する方々へ広くお知らせする事が必要と判断し、このたび、公表させていただくことといたしました。
当社のお客様、パートナー様及び当社従業員に関する以下の個人情報が一部漏洩した可能性があることを確認しております。
氏名、会社名、所属、役職、会社住所、業務用メールアドレス・電話番号
氏名、業務用メールアドレス(当社貸与の当社ドメインアドレス)
氏名、所属、役職、業務用メールアドレス
本件について、現時点でSNS及びダークウェブで情報が拡散・流通している痕跡は見られず、また、漏洩した個人情報が悪用される等の二次被害も確認されておりませんが、身に覚えのない不審な電話やメールには応じないよう、ご注意ください。
本件については、既に警察への相談・通報をしており、また、個人情報保護委員会に必要な報告を行っています。
併せて、外部専門家の助言も受けながら、不正アクセスを受けた機器に対する隔離・再構築等の適切な対策、及び出口対策強化・ふるまい検知強化等の残存可能性のあるリスクへの対策を講じることで、当社の社内ネットワークは安全な状態を回復しております。
当社は、これまで情報セキュリティの強化に継続して取り組んでまいりましたが、今回の不正アクセスの事態に至ったことを厳粛に受け止め、再発防止に向けて万全を期すよう、セキュリティ対策の更なる強化に引き続き努めてまいります。
(※1)ゼロデイ攻撃:プログラムの脆弱性の存在が公表される前や、修正プログラムがリリースされる前に、その脆弱性を悪用して行われるサイバー攻撃
(※2)過去の契約者/在籍者を含む
このたび、ソフトバンク株式会社様(以下「ソフトバンク社」といいます。)の 2025年6月11日付プレスリリースにおいて公表されました件(以下「本件」といいます。)について、関係各位に多大なるご迷惑とご心配をおかけしましたこと、心より深くお詫び申し上げます。
本件は、弊社がソフトバンク社より受託していた業務(以下「本件業務」といいます。)を再委託していた企業(以下「再委託先」といいます。)の従業員が、
正当な権限を逸脱し、本件業務で取り扱う個人情報を不正に取得又は利用していた可能性がある事案です(以下「本件事案」といいます。)。
本件事案に弊社従業員が関与していないものの情報管理体制が不十分であった結果、重大な本件事案を招いたことを、深く反省しております。
弊社としては、ソフトバンク社の調査に全面的に協力し、本件事案の全容解明、原因と再発防止策を取りまとめてまいる所存ですが、これに加え、現在、以下の対応を進めております。
・弊社と再委託先との契約解除
・情報セキュリティ・コンプライアンス研修の全社的な実施(弊社が別の業務で業務を委託している先に対するものも含みます。)
・情報管理に関する社内規程の見直し等のガバナンス体制の強化
これらにより、今後、二度と同様の事態を起こさぬよう、弊社一丸となって、ガバナンス体制の構築と従業員教育に全力で取り組んでまいります。
最後に、本件事案により、ソフトバンク社はもちろんのこと、別の業務を弊社に委託いただいている多くのお客様の信頼を損ねる結果となったことを、重ねて、深くお詫び申し上げます。
このたび、本院の医師が診療目的で取得した患者の個人情報を保存したSDカードを紛失した事案が発生いたしました。
本件に関し、患者の皆様及びご家族、関係者の皆様には多大なるご心配とご心痛をおかけしておりますことを、誠に申し訳なく、深くお詫び申し上げます。
現在、本院全診療科を対象に診察・診断画像等の取扱い等の点検を進めると同時に、早急に可能な限りの再発防止策を講じております。
また、当該診療科に対して個人情報の管理責任の重要性を徹底指導いたしました。
改めまして当院全構成員に対して、緊急の個人情報・セキュリティ研修を行う事で個人情報管理を含め法令順守の徹底指導を行うこととしております。
本院で治療を受けているすべての患者の皆様をはじめ、地域の皆様、関係各位の信頼を損なうこととなり、重ねて深くお詫び申し上げます。
今後このような事案が再度発生しないよう信頼の回復に努めてまいる所存です。
株式会社オリエンタル・ガード・リサーチ並びにその関連会社である株式会社OGRサービス(以下「当社ら」といいます)の一部の取引先関係者様の ご氏名及びメールアドレスが、外部からの不正アクセスにより、漏洩した可能性があることが判明致しました。取引先関係者様には大変なご迷惑とご心配をお掛けし、心よりお詫び申し上げます。
1. 漏洩の可能性のある対象者 対象となる可能性がある取引先関係者様は、2019年から当社らが管理するファイルサーバーに不正アクセスが発生しており、現時点までの調査においては当社ら管理の基幹システムに不正アクセスの確認はされておりません。
2. 漏洩の可能性のある個人情報 現在もなお検証中ですが、漏洩の可能性がある個人情報は、ご氏名(登録されていた場合のみ)等であり、メールアドレス等その他情報について漏洩の可能性はない見通しです。
3. 経緯及び対応 2025年6月 27 日(日本時間)に、当社の社員が社内のデータにアクセスしようとした際にファイルが開かないことが発覚、不正なアクセスがありファイルが暗号化されているのを確認、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。これを受け当社グループでは、直ちに不正アクセスの遮断と対処、当社グループのネットワークに対する監視強化を実施、加えて流出した可能性がある情報のモニタリングを継続しています。引き続き、被害状況及び原因の解明を進めています。なお、個人情報保護委員会への報告等、規制に沿った対応を実施致しました。今後も必要に応じこれらの関係機関と連携して対応してまいります。 今後メールアドレスを悪用した迷惑メールが送信される等の可能性がありますので、十分に ご注意いただくようお願い申し上げます。
今回の事態を重く受け止め、再びこのようなことがないよう、より一層 の情報管理体制の強化に努めると共に、不正アクセス等の犯罪行為には厳正に対処してまいります。
当ホームページが第三者からの不正アクセスにより別サイトに飛ばされてしまうというよう状況が続きました。
原因を特定しサイトを復旧しましたので報告いたします。
ご利用いただいておりますお客様におかれましては、大変ご迷惑をおかけいたしましたことを深くお詫び申し上げます。
本件につきまして、ご迷惑ご不便をおかけいたしましたことを重ねて深くお詫び申し上げますとともに、今後はさらに対策・監視を強化して運営して参ります。
現在のところ不適切なウェブサイトが表示されたことによる被害等の報告はございません。また、同ウェブサイトでの個人情報等の取扱いはないため流出はございません。
<期間>
2025年7月1日(火)午後5時頃〜7月4日(金)午後3時頃
■改ざん検知後の対応
改ざんがあったことの検知後直ちに当該ファイルの削除及び修正を行い、セキュリティの強化対策を施しました。また、他サーバでは同様の問題が発生していないことを確認いたしました。
2025年7月1日付でお知らせいたしました「当社グループ会社における不正アクセスによるシステム障害に関するお知らせ」のとおり、当社のグループ会社であるMITACHI(HK)COMPANY LIMITED(以下、「ミタチ香港」という。)のサーバーが第三者によって不正アクセスを受けたことによる被害が発生いたしました。本件における現時点の状況につきまして、以下の通りお知らせいたします。
お客様をはじめ、お取引先様、関係者の皆様にご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。
2025年6月30日(月)、ミタチ香港においてシステム障害が発生し、調査の結果、ミタチ香港のサーバーが第三者によって不正アクセスを受けたことによる被害が確認されました。ミタチ香港およびシステム接続のある、MITACHI ELECTRONICS(SHENZHEN)CO.,LTD.、MITACHI INTERNATIONAL(MALAYSIA)SDN. BHD.、PT. MITACHI INDONESIAにおいて、ネットワーク接続を速やかに遮断し、被害の拡大を防止するとともに、現地当局への届け出を行い、対策チームを立ち上げ、外部専門事業者の協力のもと復旧のための対応を開始いたしました。
2025年7月4日 (金 )時点におきまして、 MITACHI ELECTRONICS( SHENZHEN) CO.,LTD.、 MITACHI INTERNATIONAL(MALAYSIA)SDN. BHD.、PT. MITACHI INDONESIAにおいて、被害への対策を講じ、限定的に業務を開始しております。
ミタチ香港のサーバーが暗号化され、アクセスが不能な状況となっており、対策を講じ復旧に向け対応を進めております。なお、情報の流出につきましては現在調査中となりますが、サーバー内のデータの一部が漏えいした可能性を否定することはできないものと判断しております。
外部専門事業者と連携の上、早期復旧に向けた作業とともに、侵入経路の特定、被害範囲の調査を進めております。また、再発防止のためのセキュリティ対策の強化を図ってまいります。
本件が当社グループの業績に及ぼす影響につきましては、引き続き確認を行ってまいります。
今後、お知らせすべき内容が判明した場合には、速やかに情報を開示してまいります。
【2025/7/1リリース分】