【セキュリティ事件簿#2024-012】横浜市立みなと赤十字病院 個人情報の紛失について


このたび、当院におきまして、患者様の個人情報データを保存したUSBメモリを紛失したことが判明いたしました。

該当する患者の皆様、日頃より当院をご利用いただいている皆様にご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。

当院といたしまして、本事案を重く受け止めており、全職員に対して個人情報の取り扱いを厳重に行うよう改めて院内規程の周知徹底を図るとともに、個人情報保護・情報セキュリティ研修を重ねて実施し、再発防止に取り組んでまいります。

なお、現時点で院外への情報流出は確認されておりません。

このたびの個人情報データには、電話番号、住所は含まれておりませんが、今後、見覚えのない問合せなど不審な連絡がございましたら、当院お問合せ窓口までご連絡ください。

1 事案発覚の経緯(下記経緯参照)

令和5年9月7日、職員(医師)が論文作成のため、当院の診療科部門のシステムから個人の USB メモリに診療データ(1,092 件分)をコピーし、院内及び自宅で作業をしていました(12 月1日最終作業日)。12 月 28 日、当該 USB メモリがないことに気付き、年末年始にかけて探していましたが、見つからなかったため、令和6年1月9日、病院に紛失を報告し、発覚いたしました。

2 事案の内容

 紛失した USB メモリには、令和3年(2021 年)4月2日から令和5年(2023 年)9月7日までに当院循環器内科において、カテーテルアブレーション治療を実施した1,092 件分、1,011 名の患者様の診療データ(氏名、患者 ID、年齢、性別、生年月日、診断名(略記号)等)を保存しておりました。住所、電話番号は含まれておりません。当該 USB メモリ及びファイルには、パスワードを付けたか不明確でした。

※カテーテルアブレーション治療
アブレーション治療用のカテーテルで不整脈を起こす原因となっている異常な電気興奮
の発生箇所を焼き切る治療法です。

3 対 応

(1)紛失への対応
本事案発覚後、1月9日に横浜市、1月 10 日に国の「個人情報保護委員会」に「個人情報の保護に関する法律(個人情報保護法)」第 26 条及び「個人情報の保護に関する法律施行規則」第8条の規定に基づいて所定の届け出を行いました。

(2)当該患者様への対応
該当する患者様に対しまして、本事案についてのお詫びと一連の経緯を説明する書面をお送りしました(1月 16 日送付)。

4 再発防止策

個人情報の適切な取り扱いについて、院内での個人所有の記録媒体を使用禁止とし、業務上必要な場合には、病院の貸与するパスワードロック機能付きの記録媒体を使用するよう、院内規程及びマニュアルを見直しました。また、特に学術領域で個人情報を利用する場合に個人を特定できないような加工を行うことなど、院内規程及びマニュアルの遵守に関して、改めて全職員に対し、個人情報の取り扱いに関する研修及び情報セキュリティに関する研修を通じて、周知・徹底してまいります。

<経緯>

令和 5 年 9 月 7 日 
  • 職員(医師)が論文作成のため、診療科部門のシステムから個人の USB メモリに診療データ(1,092 件分)をコピー(当該 USB メモリ及びデータファイルへのパスワード設定は不明)
  • USB メモリは、院内・自宅での作業で使用
令和 5 年 12 月 1 日 
  • 最後に当該 USB メモリを使用
令和 5 年 12 月 28 日 
  • USB メモリの紛失に気付く
令和 5 年 12 月 29 日 
  • 上司の医師に報告
令和 6 年 1 月 9 日 
  • USB メモリを発見できず当該医師と上司が病院に報告
  • 病院から横浜市に報告
令和 6 年 1 月 16 日 
  • 対象の患者様全員へ書面を発送し謝罪
  • 院内に問い合わせ窓口を設置

【セキュリティ事件簿#2024-011】コムテック LINEキャンペーンにおける個人情報漏えいに関するお詫びとお知らせ


平素より格別のお引き立てを賜り、誠にありがとうございます。
このたび、「LINEの友だち追加でプレゼントキャンペーン」において応募者様の個人情報が一部閲覧できる状況にあったことが判明しました。

お客様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。
なお、現時点で当該個人情報の不正使用等の情報は確認されておりません。
事態の経緯と弊社の対応につきまして、下記の通りご報告いたします。

1.漏えいが確認された個人情報


件数 184件
対象
11月、12月にデジタルギフト配信済みのお客様 19件
1月にデジタルギフト配信予定のお客様 165件

漏えい情報 氏名、メールアドレス
閲覧可能期間 2023年11月29日(水)~2024年1月12日(金)までの45日間

2.原因


応募者様へデジタルギフトを送る配信登録作業時のミスにより、システム内で一部間違ったデータに書き換えが生じたことによって発生しておりました。

3.経緯について


2024年1月5日に11月応募者様から登録した情報が異なっている旨をご連絡いただき、キャンペーンで使用しているクラウドシステムを調査いたしました。ご連絡いただいたお客様の個人情報が異なっており、申込画面から他の方(1名)の個人情報(氏名、メールアドレス)が閲覧できることを確認いたしました。

ご連絡いただいた内容から本キャンペーンの全対象者様の情報を調査した結果、
・11月、12月にデジタルギフト配信済みのお客様 19件
・1月にデジタルギフト配信予定のお客様 165件
上記対象者の個人情報(氏名、メールアドレス)が他の方(1名)より閲覧できる状態にあることを確認いたしました。

4.対策について


・応募者様の申込み確認画面を閉鎖いたしました。
・クラウドシステムから対象情報を削除することによって、閲覧できない状態といたしました。

個人情報が漏えいした184名様には別途LINEにて本日より個別にご連絡を申し上げます。
弊社では、今回の事態を重く受け止め、個人情報取り扱い業務における管理体制の厳重化を全関係者へ徹底し、再発防止に努めてまいります。

2024年版 危険な航空会社ランキング


航空格付け会社のエアラインレイティングス(AirlineRatings)は、2024年の安全な航空会社トップ25を発表した。

ワンワールドアライアンスからは以下の航空会社が選出された。

JALも選出されてめでたい限り
  • カンタス航空(豪)
  • カタール航空(カタール)
  • フィンエアー(フィンランド)
  • キャセイパシフィック航空(香港)
  • アラスカ航空(米)
  • ブリティッシュ・エアウェイズ(英)
  • JAL(日)
  • アメリカン航空(米)
ちなみに上記が安全性の観点からの最高評価(7スター)を獲得し、さらに世界トップ25に選出された航空会社なのだが、いい機会なので他のワンワールドアライアンス加盟航空会社もチェックしておきたい

★★★★★★★(7スター)
  • イベリア航空
  • ロイヤル・エア・モロッコ
  • スリランカ航空
  • ロイヤル・ヨルダン航空
  • フィジー・エアウェイズ(oneworld connectメンバー)
★★★★★★(6スター)
  • オマーン航空(2024年加盟予定)
★★★(3スター)
  • マレーシア航空
残念なことに、マレーシア航空がワンワールドアライアンスの中でぶっちぎりに安全性評価が低い。

ついでに評価が低い、危険な航空会社も取り上げてみたい。

ちなみにロシアの航空会社はウクライナ侵攻の影響で評価ができないのか、星が無い。

ある意味ロシアの航空会社も危険なのだが、あまり面白くないのでシングススターの航空会社を挙げてみる。

  • Pakistan International Airlines / パキスタン国際航空
    カラチを本拠地とするパキスタンの航空会社。

  • Air Algérie / アルジェリア航空
    アルジェリアのアルジェを本拠地とする航空会社。

  • SCAT Airlines / SCAT航空
    カザフスタンのシムケントを本拠地とする航空会社。

  • Sriwijaya Air / スリウィジャヤ航空
    スマトラ島をベースにインドネシア国内の都市を結ぶインドネシアの航空会社

  • Airblue / エアブルー
    カラチを本拠地とするパキスタンの格安航空会社

  • Blue Wing Airlines
    スリナムの航空会社

  • Iran Aseman Airlines / イラン・アーセマーン航空
    イラン・テヘランに拠点をおく航空会社。

  • Nepal Airlines / ネパール航空
    ネパールで唯一の国営航空会社。また同国のフラッグ・キャリア。本拠地はカトマンズ。

昨年、23年度版を作っていたので、比較してみたが、危険な航空会社の顔ぶれは変わっていなかった。

【セキュリティ事件簿#2024-010】一般社団法人 大阪コレギウム・ムジクム 当団サーバへの不正アクセスについて


2024年1月3日、当団が管理するサーバに対して、メールマガジンの配信を行っているソフトウェアの脆弱性を突いた不正アクセスが発生いたしました。

確認された被害については以下の通りです。
  • メールマガジンにご登録いただいているお客様の、メールアドレスおよびお名前の情報の窃取
  • メールマガジンにご登録いただいいるお客様に向けて、配信システムを利用した迷惑メール(内容は当団Webサイトをハッキングした、というもの)の送信
  • 当団Webサイトのトップページの書き換え
お客様に多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

<対応状況>
1/3 18:42 頃 攻撃が開始される
1/3 21:10 頃~ メールマガジンご登録者様に対して迷惑メールが送信される
1/3 21:50 頃 Webサイトの改竄を確認
1/3 22:15 頃 サーバを停止
1/3 22:50 頃 サーバの隔離を終え、解析を開始
1/3 24:00 頃 メールマガジンシステムへの脆弱性攻撃である事を確認
1/4 21:40 頃 メールマガジンシステム等一部システムを停止した状態にて、Webサイトを暫定復旧
1/6 11:00 頃 セキュリティ上の不備の対処措置を行い、メールマガジンシステムを復旧

ご登録のお客様には現在、ご報告のメールをお送りしております。
本件による二次被害となるような事案は現時点確認されておりませんが、本件に関係すると疑われる不審な出来事などがございましたら、お知らせをいただけましたら幸いです。

この度の事態を重く受け止め、再発防止に向けた対策の強化を引き続き進めてまいります。
皆様に多大なるご迷惑、ご心配をおかけしましたことを重ねて深くお詫び申し上げます。

ランサムウェアギャングが発表した被害組織リスト(2023年8月~12月)BY StealthMole

 

 StealthMole(旧Dark Tracer)による、2023年8月~12月のランサムウェア被害を受けた日系企業。

株式会社 鼓月(www.kogetsu.com)

ランサムウェアギャング:Mallox

株式会社エフトリア(www.ftria.co.jp)

ランサムウェアギャング:NoEscape

関連事件簿:【セキュリティ事件簿#2023-335】株式会社エフトリア セキュリティに関する重要なご報告  

株式会社 小森コーポレーション(komori.com)

ランサムウェアギャング:CL0P


住商グローバル・ロジスティクス株式会社(sgl.co.th)

ランサムウェアギャング:LockBit


セイコーグループ株式会社(www.seiko.co.jp)

ランサムウェアギャング:BlackCat (ALPHV)

関連事件簿:【セキュリティ事件簿#2023-306】セイコーグループ株式会社 当社サーバに対する不正アクセスに関するお知らせ

株式会社井上製作所(inouemfg.com)

ランサムウェアギャング:LockBit


アイホン株式会社(www.aiphone.com)

ランサムウェアギャング:Money Message

関連事件簿:【セキュリティ事件簿#2023-353】アイホン 当社米国法人への不正アクセス発生について

アルプスアルパイン株式会社(www.alpsalpine.com)

ランサムウェアギャング:BlackByte

関連事件簿:【セキュリティ事件簿#2023-360】アルプスアルパイン株式会社 当社グループが管理するサーバへの不正アクセスについて

株式会社フジシールインターナショナル(www.fujiseal.com)

ランサムウェアギャング:Akira

関連事件簿:【セキュリティ事件簿#2023-504】株式会社フジシールインターナショナル 当社米国グループ会社におけるランサムウェア被害および復旧状況について

シチズン時計株式会社(citizen.co.uk)

ランサムウェアギャング:Ragnar_Locker

郵船ロジスティクス株式会社(www.yusen-logistics.com)

ランサムウェアギャング:BlackCat (ALPHV)

フォルシアクラリオン・エレクトロニクス株式会社(www.clarion.com)

ランサムウェアギャング:BlackCat (ALPHV)

ソニーグループ株式会社(sony.com)

ランサムウェアギャング:RansomedVC

セイコーエプソン株式会社(epson.es)

ランサムウェアギャング:STORMOUS

株式会社NTTドコモ(www.docomo.ne.jp)

ランサムウェアギャング:RansomedVC

シークス株式会社(siix.co.jp)

ランサムウェアギャング:BlackCat (ALPHV)

関連事件簿:【セキュリティ事件簿#2023-169】シークス株式会社 ランサムウェアによる不正アクセスについて

株式会社シマノ(shimano.com)

ランサムウェアギャング:LockBit


日本航空電子工業株式会社(www.jae.com)

ランサムウェアギャング:BlackCat (ALPHV)

関連事件簿:【セキュリティ事件簿#2023-505】日本航空電子工業株式会社 当社サーバへの不正アクセス発生について

THK株式会社(www.thk.com)

ランサムウェアギャング:Hunters International

株式会社レスターホールディングス(restargp.com)

ランサムウェアギャング:LockBit

関連事件簿:【セキュリティ事件簿#2023-472】株式会社レスターホールディングス 当社及びグループ会社サーバーへの不正アクセス発生のお知らせ

社会福祉法人北広島町社会福祉協議会(kitahirosima.jp)

ランサムウェアギャング:LockBit

関連事件簿:【セキュリティ事件簿#2023-506】北広島町社会福祉協議会におけるシステム不調発生のご報告とお詫びについて

日産自動車株式会社(www.nissan.com.au)

ランサムウェアギャング:Akira

【セキュリティ事件簿#2024-009】LINEヤフー 当社が利用する外部サービスの設定不備に関するお知らせ


このたび、旧LINE社のIT資産管理に利用している外部サービスのAPI*1設定不備により、登録している役職員*2の情報が外部から取得できる状態にあったことが判明いたしました。

なお、原因となるAPI*1設定不備の修正はすでに完了しております。 

1. 発生した事象

旧LINE社の社内資産管理・社内問合せ管理を目的として利用している外部サービスにおいて、当社によるAPI*1の設定不備により、登録している役職員情報が外部から取得できる状態にありました。 

本事象は、特定の操作により外部からデータ抽出が可能となっていた設定不備を、LINE Security Bug Bounty Program*3を通じた報告により判明いたしました。

外部から取得できる状態にあった情報は以下の通りです。現在は外部からのアクセスによる役職員情報等の取得ができないように設定変更を完了しております。

〈役職員に関する情報〉
氏名、メールアドレス、役職名 

<社内問い合わせに関する情報>
添付ファイル名、問い合わせ対応満足度サーベイ名、サーベイの回答者 
※ユーザー情報および取引先情報は上記に含まれません。

2.本事象の経緯と対応時系列

■2023年10月18日
・LINE Security Bug Bounty Programの参加者より、事象の通知を受け発覚
・担当が報告を受けて調査を開始
・外部からアクセス可能な設定になっていた機能を外部からアクセスできないように設定変更

■2023年10月19日
・利用するすべての環境で設定変更したことを確認

■2024年1月18日 
・本事象に関する公表を実施 

3.対象者へのお知らせ

該当する役職員には個別に連絡します。退職等により個別にご連絡ができない方には、本発表を以て、通知とさせていただきます。

本件によるフィッシング被害等の増加を含む二次被害は現時点で確認されておりませんが、漏えいしたメールアドレス宛てに第三者が不審なメール・詐欺メールを送信するおそれがございます。十分にご注意くださいますようお願い申し上げます。

関係者の皆さまに多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。

※なお、本件は11月27日に公表した「不正アクセスによる、情報漏えいに関するお知らせとお詫び」の事案との関連性はございません。

【セキュリティ事件簿#2024-008】横須賀市 電子メールの誤送付について


このたび、契約課において電子メールを誤送付したことを報告します。

1.事故の概要


(1)発生の経緯

令和6年1月16日(火曜日)、かながわ電子入札共同システムの資格申請を勧奨するメールを一斉送信する際に、宛名をBCCで送るべきところをTOで送ってしまい、メールを送信した事業者に、同時にメールを送信した事業者のメールアドレスが見えてしまうこととなりました。同日、メールを送信した職員がメールの送信状況を確認した際、誤送信が判明しました。

(2)漏洩した個人情報

個人の特定につながるおそれのあるメールアドレス。

一斉送信したメールの本文及び添付文書には、会社名や氏名を記載していませんでしたが、漏洩したメールアドレスの中に、個人の特定につながるおそれのあるメールアドレスが含まれていました。

(3)事故に係る個人情報の対象人数

71人

漏洩したメールアドレスは、165件ありましたが、その中で71件が個人の特定につながるおそれのあるメールアドレスでした。

2.事故発生後の対応

令和6年1月17日(水曜日)に、メールを送信した事業者へメールにて事情説明と謝罪、受信メールの削除依頼をしました。併せて1月16日(火曜日)に送信したメールをBCCにより再送信しました。

3.事故の発生原因

複数人による確認不足。

4.今後の防止策

今後は、複数人による確認作業の工程を見直し、誤送付が発生しないよう努めてまいります。

【セキュリティ事件簿#2024-007】株式会社ケーズホールディングス 通販サイトへの不正ログイン・なりすまし注文の発生について


株式会社ケーズホールディングス(以下「当社」)は、当社が運営するインターネット通販サイト(ケーズデンキオンラインショップ)において、不正に入手したと思われる情報を用いた第三者による不正ログイン、なりすまし注文が発生したことを確認いたしました。今後の調査により対象件数や状況が変動する可能性がございますが、現時点で確認できた事実と対応状況をご報告いたします。

現時点では、今回の不正によるお客様への直接的な金銭被害は発生していないことを確認しております。なお、不正ログイン被害の対象と見られるお客様には順次ご連絡を差し上げ、登録情報やパスワードの変更のお願いなどを進めております。引き続き、警察をはじめとする関係機関の協力を仰ぎつつ、不審なアクセスや注文が発生していないか注視して参ります。

現時点で確認している事実と当社の対応は下記の通りです。

1. 経緯

◇2024 年 1 月 12 日
注文情報のチェックで不審な注文を確認。
第三者が不正にログインし、登録情報の商品お届け先住所やメールアドレスを書き換え、不正なクレジットカードで注文する、なりすまし注文であることを確認。
※本件は、別途不正に入手したと思われるクレジットカードを使用した注文となります。なお、当社サイトではクレジットカード情報を保持しておりませんので、不正ログインに伴うクレジットカード情報の漏洩はございません。

◇2024 年 1 月 15 日
 警察に報告相談。

◇2024 年 1 月 16 日
 JUAS(一般社団法人 日本情報システム・ユーザー協会)、個人情報保護委員会に報告。

2. 不正ログイン・なりすまし注文の状況

(1)不正ログイン、情報の改ざんが発生したオンラインショップ会員数:8 件

(2)なりすまし注文件数:17 件
 ※上記のうち 12 件は出荷前に不正と判断できたため商品は出荷しておりません。

3. 当社の対応

・不正ログインが確認されたアカウントによる未出荷注文の出荷を停止。
・不正利用されたお客様のアカウントを停止。
・該当のお客様に連絡の上、登録情報やパスワードの変更を依頼。
・当社通販サイト上でパスワードの定期的な変更の注意喚起を実施。
・警察をはじめとする関係機関への報告、相談。

4. 対象となるサイト

当社が運営するインターネット通販サイト
「ケーズデンキオンラインショップ」(https://www.ksdenki.com/)

5. 今後の対応

従来より実施しておりました不正アクセス監視を継続の上、セキュリティレベルの向上に努
めて参ります。