サンドラッグアカウントに不正ログインした中国人が逮捕される。


警視庁サイバー犯罪対策課は2023年2月2日、サンドラッグの公式アプリを利用して他人のアカウントに不正アクセスした疑いで、中国籍・無職の20代男性を逮捕したと明らかにしました。

情報によると、逮捕された男性は2022年7月、埼玉県に住む30代女性のアカウントにログインし、ポイントを使用して化粧品などを購入した疑いがあるとのこと。サンドラッグ社は2022年7月に19,000件ものリスト型攻撃被害を発表しており、容疑者は一連の攻撃に関与した疑いが持たれています。

リスト型攻撃とは、外部サービスで流出した認証情報を利用して、別のサービスに不正ログインを試みるというものです。多くのユーザーは複数のサービスにまたがり共通したパスワードを設定する傾向があるため、既に多数の被害が確認されています。


【セキュリティ事件簿#2023-071】サクサビジネスシステム株式会社  当社の委託⼯事店が管理するファイルサーバへのランサムウェア侵⼊に関する調査結果について 2023年2⽉2⽇


当社の委託⼯事店より、当該委託⼯事店が管理するファイルサーバへランサムウェアの侵⼊を確認したとの報告を受け、2023 年1⽉ 20 ⽇に当社およびサクサホールディングス株式会社のホームページにおいて、その事実概要についてご報告をいたしました。

その後、2023 年1⽉ 27 ⽇に当社は、当該委託⼯事店から専⾨業者による被害状況および情報漏洩等の調査結果と、その調査を踏まえ個⼈情報等の情報漏洩は無いと判断した旨の報告を受けました。

当社において、その調査結果を精査したところ、個⼈情報等の情報漏洩の可能性は極めて低いものと判断しております。

お客様には、多⼤なるご⼼配をおかけしておりますことを⼼よりお詫び申しあげます。

なお、本件に関わるお客様情報の流出や不正利⽤等は確認されておりませんが、ご不明な点等がございましたら、⼤変お⼿数をお掛けしますが、以下のお問合せ先までご連絡くださいますようお願い申しあげます。 

【セキュリティ事件簿#2023-070】アイティアクセス株式会社 個⼈情報の漏えいに関するお詫びとお知らせ  2023年2⽉3⽇


今般、当社が特定の事業者様向けに提供している Smart Skin Care サービスの⼀部機能において、個⼈情報が第三者の個⼈情報に上書きされる不具合が発⽣していたことが判明いたしました。

このような事態が発⽣しましたことにより、皆様及び関係者の皆様に対し、多⼤なご迷惑とご⼼配をおかけすることになりましたことを深くお詫び申し上げます。なお、他の事業者様への影響につきましては、現在、鋭意調査を続けております。

本件に関する内容と対応等につきまして、下記のとおりご報告申し上げます。

1. 経緯

2023 年 1 ⽉ 31 ⽇、特定の事業者様のエンドユーザー様の 3 名の個⼈情報が、第三者である別のエンドユーザー様 3 名に上書きされ、閲覧可能な状態になっていることが判明いたしました。

発覚後、特定の事業者様にご協⼒いただき Smart Skin Care サービスの使⽤停⽌対応を⾏っております。

また、あわせて、原因の究明と経緯や影響範囲の確認を開始しました。

なお、Smart Skin Care およびリモチェにおけるログイン ID やパスワードの漏えいはなく、 当該個⼈情報に不特定多数の第三者がアクセスできることはないため、当該個⼈情報が漏えいすることはありません。また、現時点におきまして、当該個⼈情報をもとにした⼆次被害が発⽣したという事実は確認しておりません。

2. 漏えいした個⼈情報

当社 Smart Skin Care スコープで測定された 3 名のうち、1 名の⽅の個⼈情報(⽒名、年齢、⽣年⽉⽇等)が漏えいした事実を確認しております。また、残り 2 名の⽅の個⼈情報については漏えいした可能性がございますが、不具合発⽣後、アプリへのログイン履歴が⾒られないことから、その可能性は低いものと判断しております。なお、上書きされた 2 名の⽅の個⼈情報については、現在元通りに修復されております。

3. 今後の対応

漏えいが判明した特定の事業者様及びエンドユーザー様に対しては、個別に連絡し、お詫びと経緯のご説明を申し上げます。

この度の個⼈情報の漏えいにつきましては、誠に遺憾であり、当社といたしましては、これを深刻に受け⽌め、原因の究明を図り、社内体制の⾒直しと再発防⽌に努めてまいります。

【セキュリティ事件簿#2022】株式会社ジェイ・クリエイション 不正アクセスによる情報漏えいに関するお詫びとお知らせ 2023年1月27日


平素よりご愛顧賜りまして誠にありがとうございます。
2022 年 12 月 2 日付「当社内サーバへのサイバー攻撃について」にてご報告いたしましたとおり、当社が運用するサーバに対する外部からの不正なアクセスが確認され、当該サーバおよび、当社従業員が業務に使用する PC 端末に保管されていたデータ等の一部が暗号化されていることが判明し、当社の一部業務に支障をきたすこと(以下、「本件」といいます。)となりました。 

お客様をはじめ、関係者の皆様に多大なるご迷惑とご心配をおかけする事態になりましたことを心よりお詫び申し上げます。 

当社は、本件の発覚後、直ちに当該サーバおよび PC 端末を外部とのネットワークから隔離して、これ以上の不正アクセスを防ぐとともに、現在までに、関係各局へ連絡の上、外部専門家、警察等の協力を得て、被害の全容解明と速やかな復旧に向け、対応を進めております。

調査を進めるなかで、被害を受けたサーバおよび、PC 端末に保管されていたデータの一部が盗取され、当社が保有していたお客様等の個人情報の一部が漏えいしたことを外部専門家の調査を通じて確認いたしました。

漏洩したデータに含まれる個人情報と当社の対応は、次の通りです。

1.漏えいを確認した個人情報
(1) お取引先様 :合計2件(会社名、役職名、氏名)
(2) 当社 :合計4件(会社名、部署名、役職名、氏名)

2.個人情報の漏えいが確認された方々への対応
個別にご連絡を行い経緯・状況のご説明を実施しました。

なお、現時点において流出した個人情報の不正流用などの二次被害は確認されておりません。また、今後の調査の進捗に応じて対象件数や状況が変動した場合は、速やかにご報告いたします。

当社は、再発防止に向け、引き続き外部の専門家等の協力を得ながら、より一層のセキュリティ強化と安全性の確保に努めてまいります。


【セキュリティ事件簿#2023-069】柴田町 本町職員の不祥事について 2023年2月1日


このたび、本町職員の非違行為について、下記のとおり懲戒処分を行いました。
 
 1 所属部署  町長部局
 2 職  位  次長
 3 性  別  女性
 4 年  齢  60歳代
 5 処分年月日 令和5年1月31日
 6 処分内容  停職1か月(令和5年2月1日から)
 7 処分に至った事実の概要

(1)昨年12月、町職員同士のトラブルが原因で、当該職員が相手職員(同僚職員)の個人情報を自己の目的で不正に取得し、利用したことが判明した。 

(2)当該職員への聞き取りや住民情報システムのログ等を調査した結果、当該職員は、職務の用以外で住民情報システムを使用し、同僚職員の個人情報を不当に利用したことが確認された。

(3)個人情報を不当に利用したことから、地方公務員法で定める服務義務違反にあたるため、令和5年1月23日に職員分限懲戒審査会を開催し、町長へ答申後、停職1か月(令和5年2月1日から)の処分に決定した。なお、当該職員は、令和5年2月1日付で依願退職した。

 【今回の不祥事における謝罪のコメント(町長)】
今回、本町職員の非違行為は、町の名誉を著しく損なうとともに、全体の奉仕者としての町職員の信用を失墜させ、本町行政への信頼をも損なうものであります。
今回の件につきましては、職員同士のこととは言え、個人情報の安全かつ適正な管理に重大な責任を持つ自治体の長として、大変重く受け止めなければならないものと考えております。
このような行為が起きたことを猛省するとともに、二度と不祥事が繰り返されることのないよう、不祥事の再発防止と服務規律の確保等、なお一層の綱紀粛正の徹底を図り、町民の皆様の信頼回復に努めてまいります。

【セキュリティ事件簿#2023-068】株式会社三京商会 弊社が運営する「三京商会 公式ショップ」への不正アクセスによる お客様情報 漏えいに関するお詫びとお知らせ 2023年2月20日


このたび、弊社が運営する「三京商会 公式ショップ」 (https://www.the-sankyo.com/。以下「本件サイト」といいます。) におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等 (9,416件) 及び個人情報(最大49,330件) が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態と
なりましたごと、深くお詫び申し上げます。

クレジットカード情報等及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別に差し上げております。なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳証に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2022年8月26日、決済代行会社から、本件サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受けました。同日、本件サイト内からクレジットカード決済の選択肢を削除した後、同月31日、本件サイトでのカード決済を停止するとともに、本件サイトでのサービス和全般の提供も停止いたしました。

また、第三者調査機関による調査も開始いたしました。2022年11月24日、調査機関による調査が完了し、2020年7月28日2021年12月20日の期間に本件サイトで購入されたお客様のクレジッ トカード情報等が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、また、2020年7月28日までに本件サイトにおいて会員登録をされたお客様、同日までに本件サイトにおいてご購入されたお客様、及び同日までに弊社に対し電話注文をされたお客様の個人情報が漏洩した可能性があることを確認いたしました。 以上の事実が確認できたため、本日の発表に至りました。

2. クレジットカード情報等及び個人情報漏洩状況

(1)原因

弊社ではクレジットカード情報を保有しておりませんでしたが、本件サイトのシステムの一部の脆弱性をついたことによる弟三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報等漏洩の可能性があるお客様

2020年7月28日2021年12月20日の期間中に本件サイトにおいてクレジットカード決済をされたお客様8,794名につきまして、以下の情報が漏洩した可能性がございます。なお、弊社の店舗及び本件サイト以外の通販サイトにおいて、弊社の商品をご購入されたお客様は対象外となります。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・メールアドレス (本件サイトのログインID)
・本件サイトのログインバスワード

(3)個人情報漏洩の可能性があるお客様

①2020年7月28日までに本件サイトにおいて会員登録をされたお客様及び同日までに本件サイトにおいてご購入されたお客様最大46,614名につきまして、以下の情報が漏洩した可能性がございます。

・氏名
・住所
・電話番号
・メールアドレス
・性別 (※1)
・生年月日 (※1)
・職業 (※1)
・本件サイトのログインバスワード (※2)
・本件サイトの会員ID (※2)
・注文情報 (※3)

(※1) 本件サイトにて会員登録時又はご購入時に当該情報を入力されたお客様が対象です。

(※2) 本件サイトにて会員登録をされたお客様が対象です。

(※3) 本件サイトにてご購入されたお客様が対象です。

②2020年7月28日までに弊社に対し電話注文をされたお客様2,716名につきまして、以下の情報が漏洩した可能性がございます。

・氏名
・住所
・電話番号
・注文情報

上記(2)及び(3)①に該当するお客様につきましては、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールにてお届けできなかったお客様及び(3)②にのみ該当するお客様につきましては、書状にてご連絡させていただきます。

なお、不正アクセスがあった旧システムを用いたサイトは、既に閉鎖しており、新たな情報漏洩は発生しない状況にあります。 弊社ウェブサイト (「三京商会 公式ショップ」) は、2022年9月12日以降、独立した全く別の新しいシステムを用いた環境で運営しており、新システムの安全性は確認済みであるため、現在はクレジットカードによる決済を除く決済方法で運用しております。

3.お客様へのお願い

(1)クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万がー、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記2. (2) の対象となるお客様がクレジッ トカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2)ログインパスワードの再設定及び他のサイトにおけるログインID・パスワード変更のお願い

弊社では、新システムへの移行に伴いバスワードリセットを実施しております。

2022年9月1日以前に本件サイトにおいて会員登録をされたお客様で、まだパスワードの再設定がお済みでないお客様におかれましては、たいへんお手数ですが、新システムに移行した弊社ウェブサイト (「三京商会 公式ショップ」) 内の「パスワード再設定のお願い」 のページ (https://www.the-sankyo.com/f/infomember) より、本件サイトのログインバスワードを用設定していただきますようお願い申し上げます。

また、他のサイトで本件サイトと同一の値のログインID・バスワードを使用されている場合には、念のため、当該他のサイトにおいてもログインID・バスワード変更のお手続をしていただきますよう、併せてお願い申し上げます。

(3)不番なメール及び電話への注意喚起

身に覚えのない電子メールが届いた場合には、メールを開かない、不番なリンクや流付ファイルをクリックしない等の対応をお願いいたします。不番な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.公表が遅れた経緯について

2022年8月26日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調舎結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたごと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

剖社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリテイ対策および監視体制の強化を行い、再発防止を図ってまいります。

不正アクセスが認められた旧システムは、既に運用を停止し、現在は安全性が確認されている新システムに移行していますが、新システムにおけるクレジットカード決済の再開日につきましては、決定次第、改めて弊社ウェブサイト ( 「三京商会公式ショップ」) 上においてお知らせいたします。

なお、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年8月26日に報告済みであり、また、所轄警察署にも調舎結果を踏まえて2022年12月5日に被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2023-067】株式会社アイ・オー・データ機器 2023年2月7日のお客様へのメール誤送信のお詫びとご報告 2023年02月10日


日頃より弊社商品をご愛顧賜り、誠にありがとうございます。

この度、2023年2月7日に、一部のお客様にお送りしましたメールにつきまして、別のお客様の情報を誤送信していたことが発覚いたしました。
該当のお客様には同日、メールにてお詫びと誤送信したメールの削除をお願いいたしました。

なお、本メールが届いていないお客様につきましては対象外となります。

本件につきまして、弊社ホームページでもご報告させていただくとともに、お客様及び関係者の皆様に多大なるご迷惑とご心配をお掛け致しますこと、深くお詫び申し上げます。

1.経緯

弊社より、2月7日に、弊社商品「HDL-XR/XVシリーズ」をご利用いただいております、一部のお客様にメールにてご案内後に、本メールを受け取られましたお客様より、メールの内容に記載されている情報に、別のお客様の情報の記載があることのご指摘をいただきました。

弊社にて確認した結果、お客様の情報を別のお客様に誤送信していたことを確認いたしました。

なお、本件につきまして、個人情報保護委員会にも報告済みとなります。

2.誤送信した内容及び発生件数

本メールの誤送信の内容としましては、1人のお客様のメールアドレスに別の1人のお客様の会社名、管理者名、製品名、シリアル番号、MACアドレス(※1)、製品の設置場所の法人名、部署名、氏名、住所(以下、本件情報といいます)をメール本文に記載してしまった状況となります。

また、誤送信の発生件数は、1,257件(※2)となります。

※1 シリアル番号、MACアドレス情報を他のお客様が知り得ても、当該情報によって製品、サービスへの影響を与えることはないことを確認済みです。

※2 リスト形式で誤送信された状況ではありません。

3.発生原因

送信データ編集時に、人為的な操作ミスにより、メールアドレスと本文に記載すべき本件情報にズレが生じ、またメール送信前のチェックが不十分であった結果、別のお客様のメールアドレスに本件情報を誤送信しました。

4.今後の対応

今後の対応としましては、送信データ編集時の手順及びチェック方法の見直しに取り組んでまいります。また、体制の見直しと社内教育徹底の上、再発防止に取り組んでまいります。

【セキュリティ事件簿#2023-066】Global News View お詫びとお知らせ 2023年2月3日


平素よりGNVをご愛読いただきありがとうございます。

2023年1月10日からGNVのサイトシステムに問題が発生し、記事、ポッドキャストの配信が滞っていました。楽しみにしていただいていた皆さんには大変ご迷惑をおかけしました。

問題の原因を究明したところ、外部からの攻撃によりサイトデータが不正ファイルに改ざんされ、それによりサイトが不具合起こしていることが判明しました。

現在、サイトは復旧して通常通り記事、ポッドキャストの配信を再開しています。今回に関して、何者がどういった意図で攻撃をしたのかまでは残念ながら判明していません。しかし、GNVではこれからも「報道されない世界」の情報を皆さんにお届けするべく、配信を続けて行きます。

また、サイトのセキュリティ対策もこれまで以上に慎重に行っていきます。

引き続きGNVをよろしくお願いいたします。