【セキュリティ事件簿#2025-372】スターバックス コーヒー ジャパン 株式会社 Blue Yonder社の提供サービスへの不正アクセスによる弊社従業員の個人情報漏洩について 2025/9/19

 平素よりスターバックス コーヒーをご利用いただき、厚く御礼申し上げます。

この度、弊社が利用しているシステムサービスを提供するBlue Yonder社（以降「BY社」）に対し、外部からの不正アクセスによるサイバー攻撃が発生し、BY社が使用しているデータ転送システムから弊社の個人情報の一部が漏洩したことが判明いたしました。

今回漏洩した情報には、弊社及び弊社とライセンス契約を締結している取引先（以降「ライセンシー様」）の従業員（直営店舗とライセンス店舗の正社員、アルバイト）の個人情報が含まれております。なお、漏洩した情報に一般のお客様の情報は含まれておりません。また、住所、連絡先、金融情報、マイナンバー等の情報も含まれておりません。

対象となる皆様には、個別にご報告とお詫びを進めておりますが、退職などにより連絡先が確認できない方々もいらっしゃるため、この場を借りて公表させていただきます。あわせて、お問い合わせ窓口を設置し、誠意をもって対応いたします。

対象となる皆様に多大なご不安とご迷惑をおかけしておりますことを、心より深くお詫び申し上げます。今後BY社と緊密に連携し、全容の究明と再発防止に全力で取り組んでまいります。

1.概要

BY社が提供する以下のSaaSサービスにおいて漏洩が発生いたしました。

・Work Force Management（WFM）：シフト作成ツール

このシステムには、弊社及びライセンシー様の全店舗従業員の氏名、従業員ID、生年月日、勤怠情報などが保管されておりましたが、今回漏洩したのはその一部となります。

2.漏洩した個人情報

対象者

・従業員および退職者：約31,500名（2025年9月16日時点：暫定）

　※BY社がサイバー攻撃を受けた際に、データ転送システム上にデータが保存されていた従業員

　※退職者、ライセンシー様の従業員も含みます

　※一般のお客様の情報は漏洩しておりません

漏洩した情報（2025年9月16日時点：暫定）

・従業員ID（約31,500名）

・漢字氏名（約31,500名）

　※フリガナ等の読み仮名情報は含まれておりません

・生年月日（約50名）

・契約開始日（約50名）

・職位（約50名）

・店舗番号

漏洩していない情報

・住所、電話番号、メールアドレス

・所属店舗名、部署情報

・給与、賞与等の処遇情報

・銀行口座情報

・マイナンバー

3.漏洩による影響について

漏洩した情報は従業員IDと漢字氏名、一部の生年月日に限定されておりますが、企業と紐づけられる可能性があるため、以下の点にご注意ください。

・スターバックスを装った不審な電話やメールにご注意ください

・身に覚えのない請求や勧誘があった場合は、下記窓口までご連絡ください

・個人情報の確認を求める連絡には慎重に対応してください

4.今後の対応

被害防止策

・対象者向け専用相談窓口の設置

・不審な連絡等に関する注意喚起の実施

再発防止策

・BY社に対し、セキュリティ体制の抜本的強化を要請

・委託先管理基準の見直しと監査体制の強化

・個人情報を扱うシステムの総点検実施

現在も調査を継続しております。今後新たな情報が確認されましたら改めてご報告いたします。

5.経緯：時系列

日付	BY社の動き	弊社の動き
2025/5/29	BY社からスターバックスに「2024年12月ハッカー集団からのサイバー攻撃があり、スターバックスの従業員の個人情報が漏洩した可能性がある。現在調査中」との第一報 （人数、規模は不明と連絡あり）	-
2025/6/17	-	個人情報保護委員会に報告 （弊社従業員の個人情報漏洩の可能性あり）
2025/6/20	BY社からスターバックスに「データ①」を提供 （BY社でデータ内の人数確認などの精査は実施しないと連絡あり）	-
-	-	BY社より受領した「データ①」の精査し「弊社の従業員約110名の個人情報」であることを確認。 社内データと照合して、全員と直接連絡が取れることを確認
2025/7/28	-	個人情報保護委員会に報告 （「データ①」の内容を確報）
2025/7/29	BY社からスターバックスに「6/20提供の「データ①」は、サンプルデータであり、全量データではないことが判明」と報告。再調査の開始	-
2025/8/6	-	個人情報保護委員会に報告 （BY社の7/29の内容を報告）
2025/9/9	BY社からスターバックスに「データ②」を提供	-
-	-	「データ②」を精査し「弊社及びライセンシーの従業員約31,500名の個人情報」であることを確認。 社内データと照合し、退職者データ等も含まれるため、全員と直接連絡を取ることが困難と判断
2025/9/12	-	個人情報保護委員会に報告 （「データ②」の内容）
2025/9/18	-	社内通知開始 （メールと社内コミュニケーションツール）
2025/9/19	-	対外告知開始

改めまして、この度は皆様に多大なるご心配をおかけしておりますことを深くお詫び申し上げます。この度の事案を厳粛に受け止め、信頼回復に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-371】東京都の委託事業における不正アクセス被害について 2025/9/19

 

産業労働局が実施する「TOKYO特定技能Jobマッチング支援事業」の委託事業者である株式会社パソナ（以下、「委託事業者」という。）において、個人情報漏えいの可能性がある事故が発生しましたのでお知らせします。

関係者の皆様に多大なご迷惑をおかけし、深くお詫び申し上げます。今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1　事故の概要

委託事業者において、従業員のパソコンが外部から不正なアクセスを受け、個人情報が漏えいした可能性があることが判明した。

（1）発生日時

令和7年9月16日（火曜日）　16時30分頃

（2）漏えいの可能性がある情報

「TOKYO特定技能Jobマッチング支援事業」にエントリーした800名の方の以下の情報

氏名、生年月日、住所、電話番号、メールアドレス、出身国、在留資格、日本語能力のレベル、合格した特定技能試験の分野、紹介先企業

2　経緯

（1）9月16日（火曜日）16時17分、委託事業者の従業員が業務目的外でパソコンを利用中に詐欺サイトに接続される。その後、詐欺目的の偽サイトである可能性が高いリモートアクセスサービスによるサポート接続が開始される。

（2）同日16時40分、パソコンがロックされたため、従業員は画面に表示された番号へ電話し、電話の指示に従い画面入力や画面に表示されたアイコンのクリックを行う。

（3）同日16時41分、対応方法確認のため、従業員は上司へ本件を報告。上司の指示により、従業員のパソコンを社内Wi－Fiから切断し、切電。その後、情報セキュリティ統括室による被害状況の調査を実施。

（4）9月18日（木曜日）17時頃、調査の結果、以下のことが判明。

1）データファイル等での外部送信は確認できなかったこと

2）外部第三者によるファイル表示画面の閲覧等による個人情報の漏えいの可能性が否定できないこと

（5）同日18時45分、委託事業者から東京都担当者へ報告。

3　事故発生後の対応

9月19日より個人情報漏えいの可能性がある800名の方に対して、Eメール及び電話にて事故の経緯説明と謝罪を行うとともに、被害の有無等を確認している。なお、現時点では二次被害は確認されていない。

本件は、個人情報の保護に関する法律施行規則第43条3号及び4号に該当するため、同法第68条第1項により、9月19日に国の個人情報保護委員会に対して速報として報告した。

4　再発防止策

委託事業者に対し、都はこれまでも個人情報の取扱い及び情報管理の徹底等について指導を行ってきましたが、厳重注意を行うとともに、改めて社員教育の徹底や事故発生時の迅速な対応などについて指導を行い、再発防止を図って参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-370】アサヒ通信株式会社 ランサムウェア攻撃によるシステム障害について続報と調査結果のご報告 2025/9/8

 先般、今年4月に発生いたしました当社システムへのランサムウェア攻撃につきまして、お客様ならびに関係者の皆様に多大なるご心配とご迷惑をおかけしておりますことを、重ねて深くお詫び申し上げます。

第一報でお知らせいたしました通り、専門業者によるウイルスの駆除、システムの復旧に加え、詳細な調査を進めてまいりましたが、この度、その調査結果をご報告させていただきます。

1.専門業者による詳細調査結果のご報告

この度、専門業者によるサーバー攻撃に関する詳細調査が完了いたしました。

調査の結果、一部のサーバーにおいて不正アクセスを受け、データが暗号化されていたことが改めて確認されました。

また、今回特定された侵入経路や攻撃手法についても、専門的な分析が完了しております。

2.情報漏洩の可能性について

今回の調査において、一部の取引先情報が外部に流出した可能性があることが判明いたしました。

現時点では、本件に起因する不正利用や、流出した可能性のある情報が悪用されたといった二次被害の報告は確認されておりません。

詳細な情報（流出した可能性のある情報の内容及び範囲等）につきましては、対象となる取引先の皆様に対し、2025年10月31日までに、別途、個別に詳細をご連絡させていただきます。恐れ入りますが、個別のご連絡をご確認いただけますようお願い申し上げます。

なお、本件について、関係省庁への報告を順次行っております。

3.システム復旧と再発防止策の強化

今回の攻撃により影響を受けたシステムは、専門業者の協力のもと、既に安全な状態での復旧が完了し、安定稼働しております。

また、今回の調査結果を踏まえ、再発防止策をより一層強化いたしました。具体的には以下の対策を実施しております。

*  システム全体のセキュリティパッチ適用と脆弱性診断の定期的実施

*   VPN接続時の多要素認証設定追加とアクセス制御の厳格化

*   EDR導入の推進

*  従業員への情報セキュリティ教育の徹底と緊急時対応訓練の実施

当社は、今回の事態を厳粛に受け止め、お客様ならびに関係者の皆様の信頼回復に全力を尽くすとともに、今後もセキュリティ対策への投資を継続し、より強固な情報セキュリティ体制を構築してまいります。

4.本件に関するお問い合わせ先

本件に関しましてご不明な点がございましたら、下記までお問い合わせください。

アサヒ通信株式会社 管理部 OAシステム課

お客様ならびに関係者の皆様には、重ねてご心配とご迷惑をおかけいたしますが、何卒ご理解とご協力をお願い申し上げます。

リリース文（アーカイブ）

OSINTでサイトの持ち主を特定する方法と便利ツールまとめ

インターネットの世界では、匿名性を盾にして活動するサイトも多く存在します。時には「このサイトの運営者は誰だろう？」と調べる必要が出てくることもあります。
本記事では、OSINT（Open Source Intelligence：公開情報からの情報収集） を活用して、ウェブサイトの所有者を特定するための手順と便利ツールをまとめました。チェックリスト的に活用いただけます。

---

1. サイト自体から情報を探る

まずは対象のサイトを隅々まで調べます。

• 連絡先：メールアドレス、電話番号、住所、SNSリンク

• プライバシーポリシー：運営組織名や代表者が記載される場合あり

• 問い合わせフォーム／メルマガ：登録して送られてくるメールの差出人を確認

• 写真や画像：逆画像検索で他サイトやSNSアカウントへたどれる可能性あり

• テキストや著者情報：記事の署名や同じ文章をGoogle検索し、他サイトの関連情報を確認

これだけでも運営者に近づける手がかりが見つかることがあります。

---

2. 検索エンジンを活用する

Googleの高度な検索オプション（ドークス）を活用します。

• "example.com" -site:example.com ：自サイト以外での言及を探す

• filetype:pdf site:example.com ：公開文書を発見

• 特定SNS内検索：シェアや言及を調査

検索エンジンは最も手軽で効果的なアプローチです。

---

3. WHOIS情報を確認する

ドメイン登録情報を調べるのも定番です。

• Whoxy：現在のWHOIS情報＋履歴の確認

• Whoisology：メールアドレスやキーワードから逆引き検索

多くの場合は「プライバシープロテクション」で隠されていますが、過去の履歴に手がかりが残っていることもあります。

---

4. ウェブアーカイブやキャッシュ

過去のサイトの状態を調べることで、削除済みの情報を取り戻せます。

• Archive.org：時系列でスナップショットを確認、差分比較も可能

• Archive.is：保存とスクリーンショットに特化

• CachedPages：Googleキャッシュ＋アーカイブを横断

古い情報が運営者の手掛かりになることは少なくありません。

---

5. サイトの変更を監視する

継続的に運営者を追跡するなら、サイト更新を監視します。

• Distill.io：ブラウザ拡張で最大25ページを監視

• FollowThatPage：更新情報をメールで通知

• ChangeDetection.io：大規模監視が可能な有料サービス

運営者の行動パターンを把握するのに有効です。

---

6. Google広告・解析IDから関連サイトを調査

サイトに埋め込まれた Google Analytics や AdSense のIDは、同一人物が管理する他サイト特定の手掛かりになります。
調査に便利なサービス：

• AnalyzeID

• DNSlytics

• SpyOnWeb

特にAdSense IDは個人認証が必要なため、信頼度が高い指標です。

---

7. メタデータを確認する

画像や文書ファイルに含まれるメタデータから運営者情報が得られる場合があります。

• imgonline EXIF Viewer：画像ファイルのExif情報を確認

• Metagoofil：対象サイトからPDF/Word/Excel等を収集し、メタデータを自動抽出

運営者のユーザー名や組織名が残っているケースもあります。

---

8. サイトの技術情報を調べる

• VirusTotal：セキュリティチェックとIP・リンク関係の解析

• crt.sh：SSL証明書の履歴を検索し、組織名や登録メールを発見

• Web-check.as93.net：DNS記録、サーバーロケーション、リダイレクトなどを可視化

直接的な特定には繋がらなくても、他情報と組み合わせることで突破口になることがあります。

---

まとめ

サイトの所有者を特定するのは一筋縄ではいきません。しかし、WHOIS・アーカイブ・広告ID・メタデータ・技術情報 などを組み合わせれば、匿名性の裏に隠れた運営者像に近づくことができます。

大切なのは「小さな断片を集めてつなぎ合わせる」こと。
本記事のチェックリストを活用し、OSINT調査を効率的に進めてみてください。

出典：Пошук власника сайту. Websites OSINT

【セキュリティ事件簿#2025-369】江東区 小学校教員によるメール誤送信について 2025/8/28

 

小学校において、メールアドレスが漏えいする事故が発生しましたので、お知らせします。

関係する皆様には多大なるご心配とご迷惑をおかけし、心よりお詫び申し上げます。

なお、現時点で、本事案における二次被害は確認されていません。

1　事故の概要

令和７年８月２２日（金）、江東区立小学校において、教員を補充するため、小学校での勤務を希望する方約１，０００名に対して募集案内のメールを送信した際、メールアドレスをBCC欄ではなく、宛先欄に入力したため、小学校での勤務を希望する方のメールアドレスが漏えいする事故が発生した。

2　漏えいした個人情報

小学校での勤務を希望する方約１，０００件のメールアドレス

3　事故発覚後の対応

令和７年８月２７日（水）、メールアドレスが漏えいした方に対し、謝罪のメールを送信した。

また、江東区教育委員会が江東区内の全校園長に対し、あらためて個人情報の適正な管理に関する通達を行い、情報セキュリティ対策の徹底及び再発防止を指示した。

リリース文

【セキュリティ事件簿#2025-368】関東学院大学 個人情報を保存したノートパソコンの紛失について 2025/8/29

 この度、本学教職員が7月末に電車内において個人情報を保存したノートパソコンを紛失する事案が発生しました。

関係者の皆様に多大なるご心配とご迷惑をおかけしますことを深くお詫び申し上げます。

紛失したノートパソコンには、個人情報として学生氏名、学籍番号、学生の授業に関するデータが保存されておりましたが、ハードディスクドライブは暗号化される仕様になっており、現時点では、本件による個人情報流出の事実は確認されておりません。また、当該ノートパソコンには、パスワードが設定されており、パソコンに設定のクラウドアカウントについては第三者による不正ログインがないことを確認しております。

なお、該当する学生に対しては、すでに文書で事情説明とお詫びをしております。

本学では今回の事態を重く受け止め、深く反省するとともに、個人情報及び職務上守秘・保護すべき情報の管理体制の強化を図り、本学の全構成員に改めて周知徹底し、再発防止に努める所存です。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-367】田辺市 障害福祉室における個人情報の漏えいについて 2025/8/22

 

この度、障害福祉室において市ホームページで公表していたデータファイルに個人情報が含まれ、これが閲覧できる状態となっていたことで、個人情報が漏えいしたことが判明いたしました。

対象となる皆様には多大なるご心配、ご迷惑をおかけしましたことを深くお詫び申し上げます。

今後は、このような事態を招いたことの反省の上に立ち、職員の個人情報保護及び情報セキュリティに関する意識を高めるとともに、これまで以上に個人情報を適切に取扱うことを徹底し、再発防止に努めてまいります。

なお、事案の詳細につきましては、下記のとおりです。

１．事実経過

令和７年８月４日（月曜日）、市民の方から障害福祉室に対し、市ホームページに掲載されている特定のデータに個人情報が含まれているのではないか、調べてほしいという連絡が寄せられました。そこで当該データファイルを確認しましたところ、当該データには個人情報が含まれ、一定の操作を行うとその個人情報が表示される設定となっていたことが判明しました。

２．漏えいした個人情報等

令和５年度に当室が実施したイベントに参加した19名分の個人情報

・氏名、住所、電話番号、メールアドレス、勤務先、職業及び参加希望動機

３．データが公開されていた期間

令和６年３月27日から令和７年８月４日まで

４．判明後の対応

令和７年８月４日（月曜日）午後

当該データファイルが閲覧、ダウンロードできないよう市ホームページから削除しました。また、インターネット上の一部検索サイトにおいて、特定のキーワードで検索した場合、検索結果の説明文に当該個人情報の一部が表示されてしまうことを確認したため、検索サイト運営会社にこれを修正してもらうための依頼を行いました。

令和７年８月６日（水曜日）午後

検索サイト運営会社で修正されたことにより、当該個人情報が検索結果の説明文に表示されないことを確認しました。

令和７年８月７日（木曜日）から14日（木曜日）

個人情報を掲載してしまっていた方に対し、経過説明及び謝罪を行いました。

５．発生の原因

担当職員において、データファイルに一定の操作を行うと個人情報が表示される設定を行っていた事を失念し、個人情報を削除せずにそのままホームページへ掲載するための手続を行ってしまったことが原因です。

なお、データファイル名等の情報につきましては、具体的にこれを公表することで、被害に遭われた方が特定されるなどし、二次被害に繋がる恐れがあるため公表を差し控えます。

６．再発防止対策

職員の個人情報保護及び情報セキュリティに関する意識を高めるとともに、ホームページにデータファイルを掲載する場合は、今回使用したファイル形式での掲載を行わないことを原則とし、それでもなお掲載する必要があるときには、複数の職員で確認することを徹底し、再発防止に努めます。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-366】秩父市 メール誤送信事案について 2025/8/29

 

令和7年7月30日、秩父宮記念市民会館市職員が「夏休みだよ！ホールdeわくどき！舞台体験2025（映画クラス）」参加申込者あてにメールを一斉送信した際に、メール文章中に、参加申込者一人の個人情報を記載したままメールを送信してしまいました。

1．発生日時

令和7年7月30日（水）17時11分

2．情報漏えい経緯

令和7年7月30日（水）17時11分に、秩父宮記念市民会館から「夏休みだよ！ホールdeわくどき！舞台体験2025（映画クラス）」参加申込者あてに当日の案内メールを一斉送信した際（送信件数：12件）に、メール文章中に参加申込者一人の氏名・住所・電話番号等の個人情報を記載したまま送信をしてしまいました。

3、対応

全参加申込者あてに、同日18時8分、本件についてメールにてお詫びし、当該メールを削除していただくようお願いしました。

また、令和7年7月31日（木）には、参加申込者全員に、電話にて直接お詫びと当該メールの削除を依頼しました。

4、今後の対応

本件につきましては、人為的なミス、チェック体制の不備が原因であるため、秩父宮記念市民会館職員の再発防止に向けたチェック体制を強化するとともに、個人情報の適切な管理を徹底してまいります。

また、秩父市全職員に対し、個人情報の保護を再啓発するとともに、情報セキュリティー研修・教育を徹底してまいります。

リリース文（アーカイブ）