【セキュリティ事件簿#2025-396】株式会社セキショウキャリアプラス 不正アクセスによる情報漏えいに関するお詫びとご報告 2025/10/10

 

株式会社セキショウキャリアプラスは、第三者によるサーバー内部への不正アクセスによる被害およびそれに伴う個人情報等のデータ漏えいについてお知らせします。

2025年9月10日(水)、グループ企業のセキショウベトナム(ベトナム・ハノイ)が運用するサーバーから顧客情報漏えいの懸念が生じたため、即座に当該サーバーを外部と遮断し運用を停止しました。

その後、グループ内に対策チームを設置し、外部専門機関の協力のもと状況把握を行った結果、当該サーバーが第三者による不正アクセスを受け、これにより保管されていた個人情報を含む社内データが漏えいしたものと判断いたしました。

今回のご報告に先立ち、該当するお客様には個別に連絡を差し上げております。尚、現時点で漏えいしたデータの悪用は確認されておりません。

【漏えいしたデータ】

①セキショウキャリアプラス、セキショウベトナムがベトナムおよびインドで開催した就職支援イベントにおいて、参加者としてご登録いただいた情報

・項目:氏名、生年月日、住所、電話番号、メールアドレス、解読されない暗号化されたパスワード等

・件数:最大のべ15,535名(内訳:ベトナム人のべ11,678名、インド人のべ3,857名)


②セキショウキャリアプラスが運営を受託し、茨城県で2021年に開催された「副業・兼業meet UP in茨城」に参加者としてご登録いただいた情報

・項目:氏名、生年月日、住所、電話番号、メールアドレス、解読されない暗号化されたパスワード等

・件数:日本人のべ42名


③上記イベント(①および②)において、出展した企業のご担当者様の情報

・項目:氏名、メールアドレス、解読されない暗号化されたパスワード等

・件数:最大のべ252名(内訳:日本人のべ228名、ベトナム人のべ24名)


※全ての情報に銀行口座番号、クレジットカード番号は含まれておりません。


【再発防止策】

セキショウグループでは、個人情報保護委員会、茨城県警察に被害状況を申告するとともに、対策チームを中心に原因究明と運用システムに対するセキュリティ対策の強化などの再発防止に着手しております。

『システムの強化と監視』

サーバーおよびアプリケーションを最新バージョンで再構築するとともに、セキュリティ監視ツールを整備し、不正侵入や新たな脆弱性を予防・検知いたします。また、定期的なアクセス・操作ログの分析および脆弱性診断を実施いたします。

『データ管理と教育』

個人情報の適正な管理を徹底するとともに、システム開発・運用に携わる従業員を対象に、セキュリティ教育を強化し、情報管理に関する意識向上を図ります。

本件におきまして、お客様にはご心配をお掛けする事態となりますことを深くお詫び申し上げます。対象となるお客様におかれましては、安全性を高めるため、パスワードをご変更いただくようお願いさせていただきます。

Labels:

【セキュリティ事件簿#2025-395】青木あすなろ建設 弊社社員を装った迷惑メール(なりすましメール)に関するお詫びと注意喚起 2025/9/11

 平素は格別のご高配を賜り、厚く御礼申し上げます。

2025 年 9 月 3 日、当社社員名のメールアドレスが第三者によって、迷惑メールの送信元として不正に利用される事態が発覚しました。

また、その結果、ドメイン名(@以降)が複数の迷惑メールブラックリストサイトに登録されてしまい、一部の取引先等におきまして、当社とのメールの送受信が正常に行えない可能性が出てきております。

この事態に対しまして、当社としましてはただちにメールアドレスの設定の一部を変更し、原因となった端末の隔離を行い、専門業者と対応策を協議しておりますが、冒頭の事態により、不特定多数の方に不審なメールが送信された可能性があります。

メールを受信された皆様には多大なご迷惑をお掛けいたしましたこと、深くお詫び申し上げます。

不正利用により送信されたメールは、フィッシングサイトへの誘導のリスクが高いため、当社の職員を装った不審なメールや心当たりのないメールを受信した場合は、メールの開封、添付ファイルの参照、メール本文中の URL のクリック等を行うことなく、削除していただきますようお願い申し上げます。

また、当社からの通常のメールが迷惑メールフォルダ等に分類されている可能性がございますので、誠に恐れ入りますが、可能であれば一度当該フォルダにアクセスいただき、当社からの通常のメールが分類されていないかご確認いただけますと大変幸甚です。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-394】京セラ関電エナジー合同会社 弊社メールシステムへの不正アクセス事案とお問い合わせ窓口一本化について 2025/10/7

 

平素より弊社サービスをご利用いただき、誠にありがとうございます。

このたび発生いたしました「弊社メールアドレスからの迷惑メール送信事案」に関しまして、調査の結果、不正アクセスによって弊社メールアドレスが不正に利用されたことが原因であることが判明いたしました。送信対象となりました皆様には、多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

なお、問題のメールは弊社が送信したものではございません。弊社からのものと見せかけた不審なメールを受信された場合は、ウイルス感染や不正アクセスなどの危険がございますので、添付ファイルの開封や本文中の URL のクリックは行わず、メールごと削除いただきますようお願い申し上げます。

今回の事案を受け、弊社では以下の対策を講じ、情報セキュリティ強化およびお客様への迅速かつ確実なご対応を徹底してまいります。

【弊社における対策】

1.お問い合わせ窓口の弊社ホームページ内の専用フォームへの一本化

今回、「迷惑メール」の原因となりました弊社お問い合わせ先メールアドレス(info@kyocerakanden.co.jp)については、アカウントを削除させて頂き、今後のお問い合わせ窓口については、弊社ホームページ内の専用フォームへの一本化をさせて頂きます。

<今後のお問い合わせ方法>

① 弊社ホームページへアクセス

https://www.kyocera-kanden.co.jp/contact

② 「お問い合わせフォーム」に必要事項をご入力のうえ送信してください。

③ 内容を確認のうえ、弊社担当者よりご連絡させて頂きます。

※弊社サービスをご契約頂いておりますお客様については、弊社からお送りさせて頂く各種メール記載のお問い合わせ先メールアドレスからもお問い合わせ他を頂くことが可能です。

2.迷惑メール対策を実施

当該メール送信については、弊社が利用しているホスティングサービスにて既に送信制限措置が実施されております。これにより、正規アカウントを利用した不正なメール送信についても制御されるよう対応済みです。

Labels:

【セキュリティ事件簿#2025-393】株式会社ダイヘン 海外関係会社のシステムに対する不正アクセスについて 2025/10/8

 

このたび、タイ国所在の当社グループ関係会社である DAIHEN ELECTRIC Co., Ltd.が運用するシステムにおいて、第三者からの不正アクセスを受け、同システム上の情報の一部が漏えいしたことが判明しました。

不正アクセスを受けました当該システムにつきましては、既に外部からのアクセス遮断やパスワードの変更等の必要な対策を講じ、操業や製品出荷への影響もございません。

なお、本件はDAIHEN ELECTRIC Co., Ltd.が運用するシステムで発生した事象であり、今回の事象により日本国内のサーバやネットワークに対する影響はございません。また、今回不正アクセスを受けました当該システムでは日本のお客様の情報は保持しておりません。

関係者の皆様には多大なるご心配をおかけしておりますことを深くお詫び申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-392】埼玉県商工会連合会 サイバー攻撃によるシステム障害の発生について 2025/10/7

 

平率から本会の事業運営にあたりましては、格別の御高配を賜り厚くお礼申し上げます。

このたび、本会においてサイバー攻撃の影響を受け、システム障害が発生しました。

本件について、現在、外部の専門機関と連携し、被害状況の把握や復旧への対応を進めております。現時点で判明している内容について、下記のとおり御報告いたします。

関係者の皆様には、御心配と御迷惑をおかけしておりますことを深くお詫び申し上げます。

1. 経緯

令和7年9月25日 (木) に、 本会のサーバが外部からサイバー攻撃を受け、システム障害を発生していることを確認しました。

埼玉県、個人情報保護委員会、全国商工会連合会に報告するとともに、埼玉県県警に相談しております。

2. 現在の状況

本会のサーバがサイバー攻撃を受け、システムに障害が発生したことを確認したため、同サーバで運用していたすべてのシステムを停止したうえで、外部機関に依頼し、被害状況の把握、原因の究明、システムの復旧作業を進めているところです。

なお、個人情報や機密情報の外部への流出について、外部機関の調査において、現時点では、流出の痕跡は確認されておりません。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-390】株式会社スペース 個人情報漏洩に関するお詫びとご報告 2025/10/7

 

このたび、弊社が管理を委託しているサーバーに対する不正アクセスにより、契約者・入居者様の個人情報の一部が外部に流出したことが判明いたしました。

ご関係の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。 

【漏洩の概要】 

•2025 年 7 月 28 日、捜査機関より「闇サイトに個人情報と思われるファイルが販売されている」との通報を受領しました。 

•フォレンジック調査会社等による調査の結果(2025 年 7 月 28 日~9 月 16日)、2025 年 4 月 13 日に弊社契約サーバー(※前記の「弊社が管理を委託しているサーバー」と同じサーバーを指し、以下「本件サーバー」といいます。)への不正アクセスと情報流出が確認されました。

【対象となる情報】 

①お問い合わせフォーム入力データ 約 1,900 件 

・氏名、メールアドレス、電話番号 

※これらの項目でフォームにご入力いただいた情報が漏洩しました。

② 契約リストファイル 約 4,200 件 

・建物名、部屋番号、ご契約者名、ご入居者名、契約期間、退去予告月数、建物所在地都道府県・市区町村 等 

※クレジットカード情報や銀行口座情報、パスワード等は含まれておりません。 

尚、直接ご連絡が困難なお客様への周知のため、本件については弊社ホームページにて公表いたします(直接ご連絡が可能なお客様へは、メール又は書面にて個別にご連絡させていただきます)。 

【原因】 

フォレンジック調査の結果、2025 年 4 月 13 日に、攻撃者が、管理者パスワードが記載されたファイルを不正に取得した後、同管理者パスワードを悪用して本件サーバーへ不正アクセスしたことが判明いたしました。 

【弊社の対応】 

・初期対応 

発覚後、速やかに当該サーバーに対し、さらなる漏洩が起こらないよう対策を講じました。

・今後の再発防止策 

弊社では同じことを繰り返さないために下記の再発防止策に全社員一丸となって取り組んで参る所存でございます。 

◼管理画面に対するアクセス制限の設定 

◼Web サイトの整理(再構築・リリース管理) 

◼脆弱性の管理体制の確立 

◼システム、アプリケーションログの監視、管理体制の確立 

◼事故対応に対する体制の確立 

◼委託先管理の見直し・強化 

【想定される影響】 

不審な電話・メール・なりすまし等の二次被害につながる可能性があります。 

【お願い】 

不審な電話・メール・なりすまし等に十分ご注意いただき、万一不審な点がありましたら下記窓口までご連絡ください。 

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-389】国土交通省 システム障害に伴う「Grasp」サイト停止のお知らせ 2025/10/2

本日、国土交通省ウェブマガジン「Grasp」サイトにおいて、原因不明のシステム障害が発生し、「Grasp」サイトを閲覧しようとした場合に偽サイトに誘導されるという事象が確認されました。

この影響により、現在、サイトを停止しておりますが、偽サイトへの誘導があった場合は、URL へのアクセスに応じることがないようにご注意ください。

当該システム障害については、現在、その原因究明と復旧を行っております。

ご不便をおかけし申し訳ございませんが、よろしくお願いいたします。 

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-388】熊本県警サーバー、不正アクセスで12万件の不審メールを送信

 

はじめに

警察機関という、一般市民から最も信頼されるべき組織が、メールサーバーの不正アクセス被害を受け、しかも 約12万件の不審メールを国内外に送信していた という事実は、単なるニュース以上の意味を持ちます。


情報セキュリティの弱点が、最前線を守る立場自身を“攻撃の踏み台”に変えてしまったこの事件を、改めて整理し、背景・リスク・教訓を探っていきます。

事実関係(報道ベースで確認できること)

以下は、現時点で報道されている範囲での事実です(公式リリースは見つかっていません)。

項目内容
発覚日2025年10月6日(職員から「メールが送れない」との通報)
不正アクセス形態国外からのアクセスが疑われる(県警発表)
被害規模約12万件のメールが送信 
到達件数送信済みのうち、約1万9,000件が相手側に到達 (=受信された疑い) 
メール内容現時点では具体内容は明らかになっていない 
情報流出今のところ、個人情報等の流出被害は確認されていないと県警はしている
対応措置該当アカウント(送信用)を停止/原因究明・対策を検討中 
法的視点不正アクセス禁止法違反の疑いを含め捜査を進めているとの報道 

問題点・リスク分析

この事件を読み解く上で、特に注目すべき問題点や潜在リスクを以下にまとめます。

1. “送信元”として利用される危険性(踏み台化リスク)

今回、不正アクセスを受けたメールアカウントが “送信用アカウント” であったとの報道があります。
つまり、本来の業務用途ではなくメール発信専用など限定された用途のアカウントが、外部攻撃者によって送り出し装置にされてしまった可能性があります。
こうなると、警察機関自身の信頼性が損なわれるだけでなく、さらなる拡散や標的攻撃の踏み台となる懸念があります。

2. 社会的信頼の失墜

警察組織が“脆弱な存在”として曝かれたこの事件は、住民・企業・他機関の信頼を揺るがします。
もし仮に被害が拡大したり、個人情報流出が発覚したりすれば、広範な批判を招くでしょう。

3. 調査・証拠記録の確保リスク

現時点ではアクセスログや内部記録など、詳細な証拠が公表されていません。
不正アクセス調査では、侵入経路・攻撃者の特定・被害範囲の確認が鍵ですが、これらにはログ保存・改ざん防止・監査体制が必須です。
警察機構自身が、そのような体制を普段から備えておく必要があります。

4. 再発防止策の不透明さ

記事報道を見る限り、県警は「原因究明と対策強化を図る」としていますが、具体的な防御強化策(二要素認証、IDS/IPS導入、ログ監視、ゼロトラスト構成など)は明らかにされていません。
読者・市民からすれば「本当に再発防止できるのか?」という不安が残ります。

5. 法制度との整合性・捜査の実効性

不正アクセス禁止法などの適用は可能との報道がありますが、警察機構自体が被害者でありつつ“公権力を行使する立場”であることから、捜査と透明性確保のバランスが問われます。

背景にある可能性と仮説

この手の事件では、以下のような要素が関係している可能性があります(あくまで仮説):

  • 外部委託先やソフトウェア脆弱性経由:県警のメールシステムや関連インフラを運用するベンダーや外部サービス経由での侵入

  • 認証情報の漏えい:職員のパスワード流出、フィッシング、使い回しパスワードなど

  • 脆弱なアクセス制御:VPN未使用、アクセス元IP制限が不十分、未更新のソフトウェア

  • モニタリング不足:異常な通信や送信トラフィックの警告システム未整備

  • 攻撃者の意図:単なるスパム拡散、偽メール送信、さらに別攻撃へのステップ、混乱を誘発する目的など

もし公的機関のシステムでこうした欠点があれば、他自治体・他県警にも同様のリスクがあると見るべきでしょう。

論点と読者への問いかけ

この事件を機に、読者に考えてもらいたい論点をいくつか挙げておきます。

  • 公的機関・警察が攻撃の踏み台とされる事態を、どれほど重く見るべきか

  • 住民として、自分の情報が“安全だ”と仮定できるのか

  • 透明性と説明責任:どこまで県警は内部の調査結果や対策を公表すべきか

  • 情報セキュリティへの投資と人的体制の強化:地方機関にも十分な予算・人的資源が割かれているか

結び・所感

「熊本県警サーバー、不正アクセスで12万件の不審メールを送信」という事件は、警察という “守る側” が、むしろ “漏らす側” の当事者になってしまった象徴的な出来事です。
ただのニュース見出しを超え、「信頼性・防御構造・透明性」の問いを社会に突きつける事案でもあります。

今後、県警がどのように調査を進め、どのような再発防止策を示すかが注目されます。
また、読者としても「公的機関の情報セキュリティ」に関して無関心ではいられない時代になったと言えるでしょう。

出典①:熊本県警のメールサーバーに不正アクセス 国内外に約12万件のメールが送信【熊本】アーカイブ

出典②:熊本県警に国外から不正アクセス メール12万件送信アーカイブ

Labels:
登録: コメント (Atom)