【セキュリティ事件簿#2025-495】沖縄県 個人情報が含まれる保存先のURLの誤送信に関するお知らせとお詫び 2025/10/31

 

この度、企画部地域・離島課において実施している、「令和7年度離島・過疎地域づくりDX促進事業」のモニターツアー実施に係る応募者の個人情報が含まれる保存先のURLの誤送信が判明しました。

ご迷惑をおかけした応募者の皆様に対し深くお詫び申し上げますとともに、再発防止に努めます。

1　事案の概要

（1）誤送信した個人情報が含まれる保存先のURL

　・オーダーメイド型大宜味村モニターツアー応募者リスト

（2）誤送信した個人情報が含まれる保存先のURLに含まれていた個人情報等

　・プログラム応募者代表4名

メールアドレス、氏名、性別、年齢、住所、電話番号、特別な配慮の有無、職業、参加動機、移住の際の世帯構成、参加条件の確認、今回のプログラムに期待すること

　・同行者1名

　氏名、年齢、続柄

　・緊急連絡先4名

　氏名、連絡先、続柄

（3）誤送信が判明した経緯及び情報漏えいの可能性等

• 受託業者が、モニターツアー開催後、参加者1名へ「事後アンケート」のURLを送信すべきところ、誤って「応募者リスト」のURLを送信したものです。その後、受信した当該参加者より指摘があり、個人情報が含まれる保存先のURLの誤送信が判明しました。当URLをクリックすれば誰でも閲覧可能な状態になっていました。
  
  
• 受信した参加者1名に対しては、当該メールの削除依頼を行うとともに、ダウンロードによるデータ保存が無いことを確認しました。このことから当該参加者以外への情報漏えいの可能性は無いものと考えています。
  
  
• なお、現時点で本件に関する二次被害等の事象は確認されていません。

2　本件への対応

• 「応募者リスト」に記載のある応募者9名については、現在3名に対し、事案の内容を受託業者より直接連絡し、謝罪したところです。まだ、連絡がついていない6名に対しては、引き続き連絡をしております。
  
  
• 当該URLは現在、制限をかけており、閲覧できない状態としています。

3　再発防止策

• 受託業者からは、クラウドサービスの管理設定を見直し、デフォルトの共有設定を「制限付き」に変更することに加え、クラウドサービスの適切な利用方法に関する注意喚起と研修を実施する旨の報告を受けました。
  
  
• 受託業者に対し、メール送信時のセルフチェックおよび、重要情報の場合はダブルチェックを義務化します。
  
  
• 当該事案を重く受け止め、情報管理に関する取扱いをより一層徹底してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-494】熊谷市 令和7年国勢調査指導員の電子メール誤送信による個人情報の漏えいについて 2025/10/30

 

この度、令和7年国勢調査の事務作業中において、電子メールの誤送信による個人情報の漏えいが発生していたことが判明いたしました。経緯等については以下のとおりです。

事案の概要

1　発生の日時　令和7年10月21日（火曜日）　16時20分

2　発覚の経緯

市職員である当該指導員は、郵送による調査票の提出状況について担当地区の調査員と共有するため、自ら整理した調査対象者の名簿を調査員に電子データにより知らせるべく、当該指導員が通常業務で使用しているパソコンから、自身が所有する携帯端末へ当該名簿（PDFファイル）を添付した電子メールを送信しました。

その後、携帯端末に電子メールが届いていなかったことから、送信履歴を確認したところ、誤ったメールアドレスに送信していたことが判明したものです。

3　漏えいした情報

世帯主と思われる方の氏名および住所（175件）

4　誤送信への対応

漏えいした情報に係る対象世帯の皆様へは、先日本市職員が、直接御自宅を訪問し本事案に対する説明と謝罪を、御不在であった場合には通知等をポストに投函させていただきました。

また、事案発覚後、直ちに国および県の関係機関へ報告をしております。

5　被害状況等

本事案による個人情報の不正使用等の事実は、現在のところ確認されておりません。

なお、二次被害を防止するため、対象世帯の公表を控えておりますが、職員による訪問または通知の投函がされていない世帯につきましては、本事案の対象外であるものと御理解ください。

また、今回の事案に関し、市役所から「個人情報の削除に必要な手続きがある」といった電話をすることはありませんので御注意ください。

不審な電話等がありましたら、庶務課統計係までお知らせください。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-493】株式会社サモリット 不正アクセスによる個人情報の漏えいの可能性に関するお知らせ 2025/10/30

 平素より弊社（株式会社サモリット）が運営する【アーゼオンラインストア】をご利用いただき、誠にありがとうございます。

この度、当店【アーゼオンラインストア】におきまして、第三者によるお客様の個人情報への不正アクセスが生じたおそれがある事をお知らせいたします。当店をご利用のお客様には多大なるご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。

1.経緯

2025 年 10 月 25 日に当社が運営する【アーゼオンラインストア】のシステム運用を委託していたベンダ（テモナ株式会社）から、一部のサーバーに異常なアクセスを検知した旨の報告を受けました。また、その後の調査により、第三者による不正アクセスとみられる痕跡を確認されたとの報告を受け、同日からサービスの一時停止を実施し、影響範囲の特定および原因調査を開始しております。現在、委託先ベンダでは外部の専門家と侵入方法並びに経路の特定、個人情報の漏洩の可能性などについて調査しておりますが、現時点において、個人情報の漏えいの可能性があるお客様や具体的な情報等は特定されておりません。

2.個人情報の漏えいの可能性の状況

(1)原因

当店【アーゼオンラインストア】のカートシステムを運営する委託先ベンダに対する第三者の不正アクセスにより、委託先が管理するサーバー上のアプリケーションの一部に存在する脆弱性を悪用された不正アクセスが行われたことが原因と考えております。

(2)個人情報の漏えいの可能性があるお客様情報

【アーゼオンラインストア】をご利用いただいたことのあるお客様で、漏洩した可能性のある情報は以下のとおりです。

氏名/生年月日/性別/住所/電話番号/メールアドレス/パスワード/会員番号/ロ グイン ID/配送先情報/購買履歴

漏えい等の可能性のある情報の項目の中に、クレジットカード情報等の経済的な二次被害を直接生じさせ得る情報は現時点では確認されておりません。以上のほか、当社においては、現時点で、本件に起因する個人情報を用いた不正利用等の二次被害については、確認されておりません。

3.お客様へのお願い

当社では、委託先ベンダと連携し、事案の調査を継続して実施し、個人情報の不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますが、身の覚えのない不審な連絡には応答されないよう、十分ご注意ください。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-492】株式会社フクリコ 「セゾンフクリコ（セゾンカード版）」リニューアル時のシステム不具合による 個人情報漏えいについてのお詫びとお知らせ 2025/10/31

 

このたび、弊社が運営する「セゾンフクリコ（セゾンカード版）」におきまして、お客様の個人情報（34 件）がログインした時に第三者の個人情報と入れ替わってしまい第三者の個人情報が閲覧できる状態であったため、個人情報が流出した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2025 年 10 月 30 日、午後 8 時に「セゾンフクリコ（セゾンカード版）」リリースを行いましたがログインした後に、他の方の個人情報になってしまうというシステムの不具合を確認し、午後 21 時 50 分に「セゾンフクリコ（セゾンカード版）」をメンテナンス中にさせて頂きました。

2.個人情報漏えい状況

(1)原因

弊社システムの一部で不具合が発生し、特定の操作により内容が入れ替わる事象が確認されています。原因は現在調査中で、判明次第ご案内します。

(2)個人情報が漏えいした可能性のあるお客様

2024 年 7 月 1 日～2025 年 10 月 30 日の期間中に「セゾンフクリコ（セゾンカード版）」において顧客情報を入力したことがあるお客様 83,214 件のうち 34 件の個人情報件で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・フリガナ

・生年月日

・性別

・住所

・郵便番号

・電話番号

・メールアドレス

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

ご不安やご心配がある場合は、セゾンフクリコお客様相談窓口までご連絡ください。

4.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

「セゾンフクリコ（セゾンカード版）」の再開日は決まり次第、Web サイトでお知らせします。

リリース文（アーカイブ）

【セキュリティ事件簿#2025-473】日本ビジネスシステムズ株式会社 当社システムへの不正アクセス発生について 2025/11/27

 

2025年11月5日付及び、11月14日付にてお知らせしました当社システムへの不正アクセスに関し、外部専門家と共同調査を経た結果をご報告いたします。

10月29日にサイバー攻撃の恐れがある不審な通信ログを検知し、関係するシステム・機器を即時遮断しました。初動調査により不正アクセスが判明し、外部専門家と共同調査を進めた結果、当社管理サーバー及び、従業者に貸与しているパソコンに対して特定のアカウントから不正アクセス・アクセスの試みがあったことを確認しました。その後、当社セキュリティ管轄部門が外部の専門家と協力しログ等の証跡確認を行った結果、顧客情報の漏洩やファイルが持ち出された痕跡は確認されませんでした。また、攻撃者が一部従業者の情報について閲覧した可能性がありましたが、被害は確認されておりません。

この度は、当社社内システムへの不正アクセスに関し、お客さま、お取引先様をはじめ、関係する皆さまにご心配をおかけいたしましたことを心よりお詫び申し上げます。

当社はこの度の不正アクセスを厳粛に受け止め、外部専門家の協力を得ながら一層のセキュリティ強化に努めて参ります。

【2025/11/14リリース分】

リリース文（アーカイブ）

Kali Tools #011｜Burp Suite：Web脆弱性診断の必須ローカルプロキシ

※本記事は学習用途・自己所有環境のみを対象とし、他者環境への無断スキャンは不正アクセス禁止法に該当します。

Burp Suite はWebアプリ診断の中心となるローカルプロキシツールです。通信の可視化・改ざん・再送・自動スキャンを一体で扱えるため、手動診断から高度な検証まで一気通貫で実施できます。Kali Linux標準搭載で、導入も容易です。

■ Burp Suite とは

Burp Suite は、Webアプリケーションの脆弱性診断に広く利用されている統合プロキシツールです。
ブラウザとサーバー間の通信をローカルプロキシで中継し、
リクエスト・レスポンスの可視化／改ざん／再送／自動スキャン
といった一連の操作をまとめて行えるのが最大の特徴です。

Kali Linux にも標準で収録されており、Web診断の“中心ツール”として常に名前が挙がります。

入手先はコチラ

■ Burp Suite の主な構成

Burp Suite は複数の機能モジュールで構成されています。
代表的なものは次のとおりです。

● Proxy

ブラウザとサーバーの通信を傍受し、内容を解析・改変できる Burp Suite の中心機能。
Intercept（通信の一時停止）を ON にすると、送受信前に通信内容を自由に編集できます。

● Repeater

個別のリクエストを手動で繰り返し送信し、レスポンスの変化を確認するツール。
パラメータの調整や攻撃の再現に非常に便利です。

● Intruder

多数のパラメータを自動生成して送信する攻撃シミュレーションツール。
ブルートフォース、Fuzzing、パラメータ汚染などの検証に利用されます。

● Scanner（有料版）

自動脆弱性スキャン機能。
クロスサイトスクリプティング、SQLインジェクション、CSRFなど
主要な脆弱性を自動で検出してくれます。

● Decoder / Comparer / Sequencer

• 文字列のデコード・エンコード

• 2つのレスポンス比較

• セッションIDのランダム性分析

など、診断作業を補助するツール群です。

■ よく使う基本操作

● Intercept ON/OFF

通信を一時停止して内容を確認・編集。
ログインフォーム、Cookie、ヘッダ情報などの解析に必須。

● Send to Repeater

気になるリクエストは右クリック → Repeater へ送って
何度でも再送信しながら差分を観察できます。

● Send to Intruder

ブルートフォースやパラメータ操作時に使用。
対象パラメータを選択 → Payload を設定 → 自動送信。

■ 何ができるのか（Use Case）

• 認証・セッション管理の検証

• XSS / SQLi の再現・確認

• パラメータの強制変更

• API の挙動解析

• 非推奨メソッドの確認

• エラーメッセージ解析

• HTTPヘッダの改ざん

• セッションIDの強度分析

Webアプリ診断に必要な機能がほぼすべて揃っています。

■ まとめ

Burp Suite は、プロキシ・解析・攻撃再現を一体化したWeb脆弱性診断の定番ツールです。
Kali Linux に標準搭載されているため導入も簡単で、手動診断から自動スキャンまで幅広く活用できます。

【参考】BurpSuiteJapan Burp Suite ハンズオントレーニング資料

1. HTTP基礎入門（バックアップ）
   
   
2. Burp Suite導入・操作（バックアップ）
   
   
3. Burp Suite実践編（バックアップ）
   
   
4. Burp Suite回答編（バックアップ）

【参考】
Burp Suite Startup マニュアル（バックアップ）

▼ 関連記事（Kali Toolsシリーズ）

• #001｜OWASP ZAPでWeb脆弱性を自動診断

• #006｜Weevely：軽量Webシェルでリモート操作を自動化

• #009｜John the Ripper：パスワード強度を検証する定番ツール

セキュリティインシデント（事件簿）総合ページ

■ セキュリティインシデントとは

セキュリティインシデントとは、情報システムやネットワークに関して、機密性・完全性・可用性を損なう事象の総称です。
日本国内では、企業・自治体・教育機関などで、毎日のように情報漏えい・不正アクセス・マルウェア感染などの事件が発生しています。

本ページは、当ブログにおける 「セキュリティインシデント（事件簿）」カテゴリの総合ガイド です。
インシデントの種類を体系的に整理し、最新事例への導線を確保することで、読者が “今なにが起きているか” を素早く把握できることを目的としています。

■ このカテゴリの目的

当ブログのセキュリティインシデント記事は以下を目的に毎日更新しています。

● 1. 日本国内のセキュリティ事案を“継続的に記録”

ニュース記事や公式リリースをもとに、事実ベースで内容を整理しています。

● 2. 誰でも理解しやすい「11分類」で体系化

インシデントの性質が一目で分かるよう、分類を標準化しています。

● 3. 読者のリテラシー向上に貢献

似た事案が繰り返し発生する背景から、組織の課題や傾向を読み解くことができます。

● 4. 日常的にインシデントを追う人のための“アーカイブ”

毎日のチェックを習慣化している方向けに、高い網羅性で収集しています。

■ インシデント分類（11カテゴリ）

当ブログの事件簿は、以下の 11分類 に整理しています。
それぞれの定義を明確化することで、読み手と検索エンジンが内容を正しく理解できるように設計しています。

---

1. 不正アクセス（Unauthorized Access）

外部攻撃者がシステムに不正に侵入する事案。パスワード総当たり、アカウント情報漏えい、設定不備の悪用など多様。

2. マルウェア感染（Malware / Ransomware）

ウイルス・ランサムウェア・トロイの木馬などに感染した事案。暗号化被害や業務停止を伴うケースが多い。

3. 2次被害（Secondary Damage）

一次漏えいした情報が、別の攻撃（なりすまし、金銭詐取など）に悪用されて発生する派生的な被害。

4. 誤操作（Human Error）

誤送信・誤設定・誤公開など、人為的ミスによって情報が漏えいする事案。

5. 設定ミス（Misconfiguration）

サーバー設定、アクセス権、クラウドの公開範囲などのミスにより、情報が外部に露出するケース。

6. 内部犯行（Insider Threat）

従業員・契約社員・関係者による不正持ち出し、目的外閲覧、悪意のある操作など。

7. 脆弱性（Vulnerability Exploit）

未修正の脆弱性を攻撃に利用され、システムに侵害が発生したケース。

8. 紛失（Loss / Theft）

PC・スマートフォン・USBメモリ・紙資料など、物理媒体の紛失・盗難による漏えい。

9. 目的外使用（Improper Use）

システムを正規用途以外に利用した結果、情報が不正に露出したり、誤利用につながるケース。

10. 最終報告（Follow-up / Final Report）

初報後の続報・調査結果・最終報告をまとめた記事。時系列で理解しやすくしています。

11. その他（Other Incidents）

上記分類に明確に当てはまらない事案をここに分類。

■ 最新のセキュリティインシデント

■ 関連カテゴリ

セキュリティインシデントをより深く理解するために、以下のカテゴリも合わせて参照できます。

• セキュリティ（基礎・ニュース・考察）

• Kali Linux / 攻撃ツール解説（Kali Tools）

• OSINT（オープンソース情報収集）

• クラウドのリスク

■ 本カテゴリの活用方法

• 自分の所属組織で起こりうる類似事案を把握

• 定期的な情報セキュリティ教育の素材として利用

• インシデントの傾向（原因の多い分類）を分析

• 過去の事件から内部統制・体制構築のヒントを得る

■ よくある質問（FAQ）

● Q1：最も多いインシデント分類は？

→ 年間を通して 不正アクセス、マルウェア感染 が多く、自治体では誤操作や設定ミスも目立ちます。

● Q2：自治体のインシデントはなぜ多い？

→ 外部委託、システムの複雑化、クラウド設定不備、人員不足などが原因として繰り返し見られます。

● Q3：続報・最終報告の行方はどこで確認できる？

→ 当ブログでは「最終報告」ラベルで全てまとめています。

出典：情報セキュリティインシデントに関する調査報告書（アーカイブ）

【セキュリティ事件簿#2025-491】株式会社タマダホールディングスグループ 弊社にて発生したセキュリティインシデントについて 2025/11/27

 

貴社益々のご清栄のこととお慶び申し上げます。平素は格別のご高配を賜り、厚くお礼申し上げます。

11 月10 日（月）に弊社にて発生したセキュリティインシデントについて、お取引先様、関係者の皆様に多大なるご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。

現在、緊急対策本部を中心とした専門家の調査により、被害状況の詳細と原因が判明してまいりました。

システムの全面復旧には今しばらく時間を要する見込みですが、現時点（2025年11月26日17時）での調査結果および対応状況を、下記の通りご報告いたします。

1.        経緯と原因

11月10日（月）、弊社サーバに対し外部からの不正アクセスを検知いたしました。直ちに外部専門家と連携し調査を行った結果、悪意ある第三者が「総当たり攻撃（ブルートフォース攻撃）」により社内ネットワークゲートウェイの認証を突破し、一部サーバへ侵入を試みていたことが判明いたしました。

2.        被害の状況

攻撃者によるサーバへの侵入およびデータの取り出しと思われる挙動を確認した直後、ネットワークの遮断（隔離措置）を実施いたしました。早期発見と遮断措置により、現時点において、当社グループおよびお取引先様等に関わる個人情報を含む、情報の外部流出事実は確認されておりません。

3.        現在の対応と復旧状況

これまでに、全サーバおよびPCのウイルス検査、パスワードの再設定、ログ解析、監視体制の強化を実施いたしました。一部のシステムについては安全確認が取れたものから順次復旧作業を完了しておりますが、一部のサーバ利用は現在も停止しております。

4.        今後の対応

警察への被害届提出および関係省庁へも事案の届出済みであり、今後とも関係機関との連携を進めるとともに、システムの全面復旧に全力を挙げて取り組んでまいります。また、今回の事態を厳粛に受け止め、情報セキュリティ管理体制の抜本的な見直しを行い、再発防止策を徹底してまいる所存です。

お問い合わせにつきましては、各担当者へ直接ご連絡いただくか、追ってホームページにてご案内申し上げます。

 改めまして、お取引先様には多大なるご迷惑とご不便をおかけしておりますことを、重ねてお詫び申し上げます。

リリース文（アーカイブ）