【セキュリティ事件簿#2025-492】株式会社フクリコ 「セゾンフクリコ（セゾンカード版）」リニューアル時のシステム不具合による 個人情報漏えいについてのお詫びとお知らせ 2025/10/31

 

このたび、弊社が運営する「セゾンフクリコ（セゾンカード版）」におきまして、お客様の個人情報（34 件）がログインした時に第三者の個人情報と入れ替わってしまい第三者の個人情報が閲覧できる状態であったため、個人情報が流出した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2025 年 10 月 30 日、午後 8 時に「セゾンフクリコ（セゾンカード版）」リリースを行いましたがログインした後に、他の方の個人情報になってしまうというシステムの不具合を確認し、午後 21 時 50 分に「セゾンフクリコ（セゾンカード版）」をメンテナンス中にさせて頂きました。

2.個人情報漏えい状況

(1)原因

弊社システムの一部で不具合が発生し、特定の操作により内容が入れ替わる事象が確認されています。原因は現在調査中で、判明次第ご案内します。

(2)個人情報が漏えいした可能性のあるお客様

2024 年 7 月 1 日～2025 年 10 月 30 日の期間中に「セゾンフクリコ（セゾンカード版）」において顧客情報を入力したことがあるお客様 83,214 件のうち 34 件の個人情報件で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・フリガナ

・生年月日

・性別

・住所

・郵便番号

・電話番号

・メールアドレス

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

ご不安やご心配がある場合は、セゾンフクリコお客様相談窓口までご連絡ください。

4.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

「セゾンフクリコ（セゾンカード版）」の再開日は決まり次第、Web サイトでお知らせします。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-473】日本ビジネスシステムズ株式会社 当社システムへの不正アクセス発生について 2025/11/27

 

2025年11月5日付及び、11月14日付にてお知らせしました当社システムへの不正アクセスに関し、外部専門家と共同調査を経た結果をご報告いたします。

10月29日にサイバー攻撃の恐れがある不審な通信ログを検知し、関係するシステム・機器を即時遮断しました。初動調査により不正アクセスが判明し、外部専門家と共同調査を進めた結果、当社管理サーバー及び、従業者に貸与しているパソコンに対して特定のアカウントから不正アクセス・アクセスの試みがあったことを確認しました。その後、当社セキュリティ管轄部門が外部の専門家と協力しログ等の証跡確認を行った結果、顧客情報の漏洩やファイルが持ち出された痕跡は確認されませんでした。また、攻撃者が一部従業者の情報について閲覧した可能性がありましたが、被害は確認されておりません。

この度は、当社社内システムへの不正アクセスに関し、お客さま、お取引先様をはじめ、関係する皆さまにご心配をおかけいたしましたことを心よりお詫び申し上げます。

当社はこの度の不正アクセスを厳粛に受け止め、外部専門家の協力を得ながら一層のセキュリティ強化に努めて参ります。

【2025/11/14リリース分】

リリース文（アーカイブ）

Kali Tools #011｜Burp Suite：Web脆弱性診断の必須ローカルプロキシ

※本記事は学習用途・自己所有環境のみを対象とし、他者環境への無断スキャンは不正アクセス禁止法に該当します。

Burp Suite はWebアプリ診断の中心となるローカルプロキシツールです。通信の可視化・改ざん・再送・自動スキャンを一体で扱えるため、手動診断から高度な検証まで一気通貫で実施できます。Kali Linux標準搭載で、導入も容易です。

■ Burp Suite とは

Burp Suite は、Webアプリケーションの脆弱性診断に広く利用されている統合プロキシツールです。
ブラウザとサーバー間の通信をローカルプロキシで中継し、
リクエスト・レスポンスの可視化／改ざん／再送／自動スキャン
といった一連の操作をまとめて行えるのが最大の特徴です。

Kali Linux にも標準で収録されており、Web診断の“中心ツール”として常に名前が挙がります。

入手先はコチラ

■ Burp Suite の主な構成

Burp Suite は複数の機能モジュールで構成されています。
代表的なものは次のとおりです。

● Proxy

ブラウザとサーバーの通信を傍受し、内容を解析・改変できる Burp Suite の中心機能。
Intercept（通信の一時停止）を ON にすると、送受信前に通信内容を自由に編集できます。

● Repeater

個別のリクエストを手動で繰り返し送信し、レスポンスの変化を確認するツール。
パラメータの調整や攻撃の再現に非常に便利です。

● Intruder

多数のパラメータを自動生成して送信する攻撃シミュレーションツール。
ブルートフォース、Fuzzing、パラメータ汚染などの検証に利用されます。

● Scanner（有料版）

自動脆弱性スキャン機能。
クロスサイトスクリプティング、SQLインジェクション、CSRFなど
主要な脆弱性を自動で検出してくれます。

● Decoder / Comparer / Sequencer

• 文字列のデコード・エンコード

• 2つのレスポンス比較

• セッションIDのランダム性分析

など、診断作業を補助するツール群です。

■ よく使う基本操作

● Intercept ON/OFF

通信を一時停止して内容を確認・編集。
ログインフォーム、Cookie、ヘッダ情報などの解析に必須。

● Send to Repeater

気になるリクエストは右クリック → Repeater へ送って
何度でも再送信しながら差分を観察できます。

● Send to Intruder

ブルートフォースやパラメータ操作時に使用。
対象パラメータを選択 → Payload を設定 → 自動送信。

■ 何ができるのか（Use Case）

• 認証・セッション管理の検証

• XSS / SQLi の再現・確認

• パラメータの強制変更

• API の挙動解析

• 非推奨メソッドの確認

• エラーメッセージ解析

• HTTPヘッダの改ざん

• セッションIDの強度分析

Webアプリ診断に必要な機能がほぼすべて揃っています。

■ まとめ

Burp Suite は、プロキシ・解析・攻撃再現を一体化したWeb脆弱性診断の定番ツールです。
Kali Linux に標準搭載されているため導入も簡単で、手動診断から自動スキャンまで幅広く活用できます。

【参考】BurpSuiteJapan Burp Suite ハンズオントレーニング資料

1. HTTP基礎入門（バックアップ）
   
   
2. Burp Suite導入・操作（バックアップ）
   
   
3. Burp Suite実践編（バックアップ）
   
   
4. Burp Suite回答編（バックアップ）

【参考】
Burp Suite Startup マニュアル（バックアップ）

▼ 関連記事（Kali Toolsシリーズ）

• #001｜OWASP ZAPでWeb脆弱性を自動診断

• #006｜Weevely：軽量Webシェルでリモート操作を自動化

• #009｜John the Ripper：パスワード強度を検証する定番ツール

セキュリティインシデント（事件簿）総合ページ

■ セキュリティインシデントとは

セキュリティインシデントとは、情報システムやネットワークに関して、機密性・完全性・可用性を損なう事象の総称です。
日本国内では、企業・自治体・教育機関などで、毎日のように情報漏えい・不正アクセス・マルウェア感染などの事件が発生しています。

本ページは、当ブログにおける 「セキュリティインシデント（事件簿）」カテゴリの総合ガイド です。
インシデントの種類を体系的に整理し、最新事例への導線を確保することで、読者が “今なにが起きているか” を素早く把握できることを目的としています。

■ このカテゴリの目的

当ブログのセキュリティインシデント記事は以下を目的に毎日更新しています。

● 1. 日本国内のセキュリティ事案を“継続的に記録”

ニュース記事や公式リリースをもとに、事実ベースで内容を整理しています。

● 2. 誰でも理解しやすい「11分類」で体系化

インシデントの性質が一目で分かるよう、分類を標準化しています。

● 3. 読者のリテラシー向上に貢献

似た事案が繰り返し発生する背景から、組織の課題や傾向を読み解くことができます。

● 4. 日常的にインシデントを追う人のための“アーカイブ”

毎日のチェックを習慣化している方向けに、高い網羅性で収集しています。

■ インシデント分類（11カテゴリ）

当ブログの事件簿は、以下の 11分類 に整理しています。
それぞれの定義を明確化することで、読み手と検索エンジンが内容を正しく理解できるように設計しています。

---

1. 不正アクセス（Unauthorized Access）

外部攻撃者がシステムに不正に侵入する事案。パスワード総当たり、アカウント情報漏えい、設定不備の悪用など多様。

2. マルウェア感染（Malware / Ransomware）

ウイルス・ランサムウェア・トロイの木馬などに感染した事案。暗号化被害や業務停止を伴うケースが多い。

3. 2次被害（Secondary Damage）

一次漏えいした情報が、別の攻撃（なりすまし、金銭詐取など）に悪用されて発生する派生的な被害。

4. 誤操作（Human Error）

誤送信・誤設定・誤公開など、人為的ミスによって情報が漏えいする事案。

5. 設定ミス（Misconfiguration）

サーバー設定、アクセス権、クラウドの公開範囲などのミスにより、情報が外部に露出するケース。

6. 内部犯行（Insider Threat）

従業員・契約社員・関係者による不正持ち出し、目的外閲覧、悪意のある操作など。

7. 脆弱性（Vulnerability Exploit）

未修正の脆弱性を攻撃に利用され、システムに侵害が発生したケース。

8. 紛失（Loss / Theft）

PC・スマートフォン・USBメモリ・紙資料など、物理媒体の紛失・盗難による漏えい。

9. 目的外使用（Improper Use）

システムを正規用途以外に利用した結果、情報が不正に露出したり、誤利用につながるケース。

10. 最終報告（Follow-up / Final Report）

初報後の続報・調査結果・最終報告をまとめた記事。時系列で理解しやすくしています。

11. その他（Other Incidents）

上記分類に明確に当てはまらない事案をここに分類。

■ 最新のセキュリティインシデント

■ 関連カテゴリ

セキュリティインシデントをより深く理解するために、以下のカテゴリも合わせて参照できます。

• セキュリティ（基礎・ニュース・考察）

• Kali Linux / 攻撃ツール解説（Kali Tools）

• OSINT（オープンソース情報収集）

• クラウドのリスク

■ 本カテゴリの活用方法

• 自分の所属組織で起こりうる類似事案を把握

• 定期的な情報セキュリティ教育の素材として利用

• インシデントの傾向（原因の多い分類）を分析

• 過去の事件から内部統制・体制構築のヒントを得る

■ よくある質問（FAQ）

● Q1：最も多いインシデント分類は？

→ 年間を通して 不正アクセス、マルウェア感染 が多く、自治体では誤操作や設定ミスも目立ちます。

● Q2：自治体のインシデントはなぜ多い？

→ 外部委託、システムの複雑化、クラウド設定不備、人員不足などが原因として繰り返し見られます。

● Q3：続報・最終報告の行方はどこで確認できる？

→ 当ブログでは「最終報告」ラベルで全てまとめています。

出典：情報セキュリティインシデントに関する調査報告書（アーカイブ）

【セキュリティ事件簿#2025-491】株式会社タマダホールディングスグループ 弊社にて発生したセキュリティインシデントについて 2025/11/27

 

貴社益々のご清栄のこととお慶び申し上げます。平素は格別のご高配を賜り、厚くお礼申し上げます。

11 月10 日（月）に弊社にて発生したセキュリティインシデントについて、お取引先様、関係者の皆様に多大なるご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。

現在、緊急対策本部を中心とした専門家の調査により、被害状況の詳細と原因が判明してまいりました。

システムの全面復旧には今しばらく時間を要する見込みですが、現時点（2025年11月26日17時）での調査結果および対応状況を、下記の通りご報告いたします。

1.        経緯と原因

11月10日（月）、弊社サーバに対し外部からの不正アクセスを検知いたしました。直ちに外部専門家と連携し調査を行った結果、悪意ある第三者が「総当たり攻撃（ブルートフォース攻撃）」により社内ネットワークゲートウェイの認証を突破し、一部サーバへ侵入を試みていたことが判明いたしました。

2.        被害の状況

攻撃者によるサーバへの侵入およびデータの取り出しと思われる挙動を確認した直後、ネットワークの遮断（隔離措置）を実施いたしました。早期発見と遮断措置により、現時点において、当社グループおよびお取引先様等に関わる個人情報を含む、情報の外部流出事実は確認されておりません。

3.        現在の対応と復旧状況

これまでに、全サーバおよびPCのウイルス検査、パスワードの再設定、ログ解析、監視体制の強化を実施いたしました。一部のシステムについては安全確認が取れたものから順次復旧作業を完了しておりますが、一部のサーバ利用は現在も停止しております。

4.        今後の対応

警察への被害届提出および関係省庁へも事案の届出済みであり、今後とも関係機関との連携を進めるとともに、システムの全面復旧に全力を挙げて取り組んでまいります。また、今回の事態を厳粛に受け止め、情報セキュリティ管理体制の抜本的な見直しを行い、再発防止策を徹底してまいる所存です。

お問い合わせにつきましては、各担当者へ直接ご連絡いただくか、追ってホームページにてご案内申し上げます。

 改めまして、お取引先様には多大なるご迷惑とご不便をおかけしておりますことを、重ねてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-490】京都大学 Webサイトへの不正アクセスについて 2025/11/26

 

このたび本研究科の図書館Webサイトの一部が、第三者からの不正アクセスにより改ざんされていることが判明しました。そのため同Webサイトは閉鎖し、代替となる簡易な仮サイトを公開しております。そのことによりサイト検索や学位論文検索などができなくなりました。ご不便をおかけすることとなり申し訳ありません。 

2026年4月にはセキュリティ対策を万全に施したWebサイトのリニューアルを実施する予定です。旧Webサイトは引き続き調査を実施して、原因究明、再発防止策を検討してまいります。

皆様に多大なるご不便とご心配をおかけしていることに対し、深くお詫び申し上げます。

なお、今回不正アクセスにより改ざんされたWebサイトには、外部公開している情報しか保管されていないため、個人情報の漏えいはありません。

◎対象サイト

京都大学文学研究科図書館Webサイト

https://www.library.bun.kyoto-u.ac.jp/

◎ 改ざんによる影響が考えられる期間

2025年2月6日～11月13日

◎改ざんの内容とその影響

サイトの脆弱性を狙った攻撃により、2016年3月から2025年2月までの記事（約100件）コンテンツへの不正なスクリプトの埋め込みの事実が判明しました。このコードが訪問者のブラウザ上で実行されたことで、不審な広告の表示や外部のWebサイトへの強制的なリダイレクトが発生した可能性があります。

【ご訪問くださった皆様へのお願い】

当サイト訪問後に不審なポップアップが表示された方や、不審なリダイレクト等に遭った可能性がある方は、念のためご自身のデバイスでセキュリティスキャンを実施してください。

◎主な対応内容と今後の予定について

・2025年11月26日、Webサイトを閉鎖し、代替となる静的仮サイトを公開しました。

・2026年4月にはCMS本体、テーマ、およびプラグインのすべてのファイルを最新のクリーンな状態に置き換え、脆弱性を排除したサイトにリニューアルします。

今後、各情報システムにおける脆弱性対策の実施フローを再確認し、対策・監視を強化し万全を期して運営してまいります。

本件につきましては、ご迷惑及びご心配をお掛けしましたことを重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-489】一般財団法人新日本検定協会 サイバー攻撃の影響によるシステム障害について 2025/11/27

 

一般財団法人新日本検定協会（本部 東京都港区、 代表理事/会長　阿久根泰一）は11月26日、サイバー攻撃の影響を受けシステム障害が発生しました。

同日から対策本部を立ち上げ調査を進めた結果、当会のサーバーが外部からの攻撃を受けたことを確認しました。さらなる被害の拡大を防ぐため、サイバー攻撃の詳細については情報開示を差し控えさせていただきます。　

この遮断措置に伴い、各種業務に影響が生じています。関連して、社外の方々からの電子メールについては、攻撃を受けたシステムとは別のシステムを使用しておりますので、受発信は可能となっております。

現時点で個人情報や顧客データなどの外部への流出は確認されていませんが、引き続き調査を進めております。

復旧に向けた調査および対応を進めていますが、現時点で復旧のめどは立っていません。

取引先の皆さまにご迷惑をおかけしますことをおわび申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-488】ワイエイシイホールディングス株式会社 連結子会社におけるランサムウェア被害発生のお知らせ 2025/11/26

 

このたび、当社の連結子会社であるワイエイシイガーター株式会社（本社：東京都青梅市、代表取締役社長：伊藤利彦、以下、「ガーター社」といいます。）の社内サーバーが第三者による不正アクセスを受け、ランサムウェア感染によるシステム障害が発生したことをお知らせいたします。

お取引様、関係先の皆様にご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

記

１．発覚経緯

2025 年 11 月 25 日(火)未明（日本時間）より、ガーター社において社内サーバーの異常を検知、その後の調査によりランサムウェアへの感染が発見されました。

２．現在の状況と今後の対応

（１）当該サーバーは当社グループ間を含む外部ネットワークから遮断し、現在、外部専門家の協力のもと、状況の精査と原因究明、ならびに復旧への対応を進めております。

（２）現時点では、ガーター社が保有する個人情報や顧客データ等機密情報の外部への流失は確認されておりません。

３．業績への影響

本件が 2025 年度の当社連結業績に及ぼす影響については軽微である見込みでありますが、今後開示すべき事項が発生した場合には、速やかにお知らせいたします。

リリース文（アーカイブ）