【セキュリティ事件簿#2024-255】森永製菓株式会社 不正アクセスによる役職員等の個人情報漏えいのおそれのお知らせとお詫び 2024/6/18

森永製菓
 

森永製菓株式会社のサーバー機器が外部からの不正アクセスを受け、当社およびグループ会社の役職員等の一部の個人情報が外部へ流出したおそれがあることが判明しました。

関係者の皆さまに多大なご迷惑とご心配をおかけすることになり深くお詫び申し上げます。

なお、既に侵入経路を特定・遮断しており、現時点で不正使用などの二次被害は確認されていません。

【漏えいのおそれのある個人情報】

当社及びグループ会社の役職員、委託業務従事者(退職者、元従業者の一部を含む)の個人情報 4,882件

  • 氏名 
  • 所属(会社名、部署名等) 
  • メールアドレス(ドメイン名:@morinaga.co.jp/@morinaga.com)
  • 社内システムログインID  
  • 読み取り不可能なようにランダムな文字列に変換(ハッシュ化)されたパスワード

※お客様の個人情報は含まれておりません。

2024年4月9日、当社サーバーで不審な動作を認知後、すみやかに個人情報保護委員会へ報告いたしました。現在、外部の専門機関による調査を進めており、個人情報が外部に流出した明確な証拠は見つかっていませんが、漏えいの可能性を完全に否定することが困難な状況であることから、漏えいのおそれのある対象の方に対し郵送またはメール等で個別に連絡いたします。

リリース文アーカイブ

【セキュリティ事件簿#2024-254】松竹株式会社 個人情報が閲覧可能となる状態が 生じましたことに関するご報告とお詫び 2024/6/17

松竹
 

平素よりお引き立てを賜りまして誠にありがとうございます。

この度、弊社会員組織「松竹歌舞伎会」にて、大阪松竹座「七月大歌舞伎」の切符ご購入者様限定で募集いたしました「大阪松竹座『船乗り込み』開催と乗船者募集のお知らせ」におきまして、ご応募いただきましたお客様の個人情報が、同様に当該申請フォームにアクセスされた方から閲覧可能な状態になっていたことが判明いたしました。

原因はご応募の方法として用いました Google フォームの設定が不十分であったことによるものです。該当されるお客様をはじめ、関係者の方々にご迷惑をおかけいたしましたことを深くお詫び申し上げます。

・閲覧が可能となった個人情報の件数:111 件(111 名様分)

・閲覧が可能となっていた期間:

2024 年 6 月 11 日(火)16 時 30 分頃 ~ 同 6 月 12 日(水)12 時 50 分頃

・閲覧可能となりました個人情報:上記時間帯でご応募いただいたお客様の以下の情報

「歌舞伎会会員番号」「氏名」「参加人数」「メールアドレス」「郵便番号」「住所」個人情報が閲覧可能となりましたのは、当該フォームにアクセスが可能であった限定的なお客様であり、その他の外部から当該情報にアクセスできる状態ではございませんでした。

また各情報は個人毎には紐付けられない表示となっておりました為、個人を特定することは困難であると判断しております。対象者 111 名の皆様には、それぞれに文書にて弊社よりお詫びをお送りさせていただきました。

今後はこのような事態を起こさないよう、お客様にご利用いただくフォームの公開時におけるテスト確認とチェック体制の強化を図り、再発防止に努めてまいります。

重ねてお詫び申し上げますとともに今後ともご愛顧を賜りますようお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-252】川崎市社会福祉協議会 お詫びとご報告 2024/6/17

 

本会の実施事業の申込み受付において、誤った設定をしてしまったために、お申込み頂いた方の個人情報が一時的に他のお申込者様から閲覧できる状態となっておりました。

お申込み頂いた皆様に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

【経緯】

社会福祉法人川崎市社会福祉協議会の支部である川崎区社会福祉協議会において、地域の主催事業の申込み受付を、5月23日より開始いたしました。

その後、6月5日に定員を超過したため申込みを終了しましたが、その際にお申込み者様より、申込み状況を確認したいというご要望をいただき、受付に使用した Google フォームを「結果の概要を表示する」に設定しました。

この設定の変更により、その後の申込フォームに設置される「前の回答を表示」というリンクを選ぶと、お申込み頂いた方の氏名、電話番号、メールアドレスがそれぞれの項目ごとに閲覧できる状況となっておりました。

氏名、電話、メールアドレスそれぞれの項目ごとにまとめられていたため、個人の情報を一体的に把握できる閲覧状況ではございませんでした。

お申込みいただいた方の人数は118名でした。

なお、6月14日にお申込み頂いた方より閲覧可能であるというご指摘をいただき、同日午前9時20分に設定を変更し、情報の閲覧を停止したところでございます。

【対応】

15日から17日にかけて、対象となる方全員へ電話及び電子メールにより、事態のご説明とお詫びの連絡を行っております。

また、本会の他の Google フォームについて全て確認を行い、同様の設定はしていないことを確認しております。

※全員にお電話をおかけする中100名の方には直接お話をさせていただいております。なお、18名の方については留守電及び電子メールでお詫びとご説明をさせていただいたところです(令和6年6月17日16時30分現在)

【再発防止策】

再発防止に向けて、個人情報の収集および管理の際に遵守すべき事項を職員全員に周知徹底してまいります。

また、今後も継続的に個人情報保護およびセキュリティガイドラインの順守を徹底し、情報管理体制の強化に取り組んでまいります。

【セキュリティ事件簿#2024-217】東京都 委託事業者におけるコンピュータウイルス感染について 2024/6/17

イセトー
 

教育庁から「就学支援金受給資格認定審査等に係る運用業務委託」を受託している事業者(以下「受託事業者」といいます。)の再委託先である株式会社イセトー(以下「再委託先」といいます。)において、ランサムウェア被害が発生し、生徒等の個人情報が流出した可能性がありますので、お知らせします。

関係する生徒・保護者に対し深くお詫びするとともに、経緯等をお知らせします。

なお、現時点で第三者への流出は確認されていません。 

1 流出の可能性がある個人情報

令和5年度の就学支援金受給資格認定審査等に係る生徒19名及びその保護者18名の個人情報(生徒の氏名・在籍高校・課程・学年・就学支援金審査結果、保護者の住所・氏名等)

2 経緯

(1) 令和6年5月26日(日)、再委託先のネットワークでランサムウェア被害が発生

(2) 令和6年6月6日(木)に受託事業者から、ランサムウェア被害が発生した再委託先の端末に令和5年度の生徒19名・保護者18名の個人情報が含まれている旨の連絡あり

なお、個人情報が含まれていたデータには、パスワードを設定していた。 

3 事故発生後の対応

(1) 受託事業者に対し、早急な調査の実施、調査結果の都への報告等を求めた。

(2) 当該保護者に対して、事故に係る説明・謝罪を行った。

4 再発防止策

今後、都として受託事業者の業務に対する監督指導の徹底を通じて、再発防止に向けて万全を期していく。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】西宮市 委託業務受託者へのサイバー攻撃について 2024/6/11

イセトー
 

1.事実(事故、事件)内容

本市が固定資産税・都市計画税納税通知書の封入封緘業務を委託している株式会社イセトーから、サイバー攻撃によりコンピューターウィルスに感染し、個人情報流出のおそれがある事案が発生したと報告を受けました。

2.経過

5月26日 

株式会社イセトーがサイバー攻撃により身代金要求型ウィルス・ランサムウェアの被害にあったことが判明。

6月4日 

株式会社イセトーから、本市固定資産税・都市計画税納税通知書のデータ5件程度がランサムウェアに感染したサーバーに保存されていたとの報告を受ける。

6月6日 

株式会社イセトーの社内調査により、ランサムウェアに感染したサーバーに固定資産税・都市計画税納税通知書の宛名情報78件(住所、氏名、課税情報等)が保存されていたことが判明。

3.今後の対応等

現在のところ、個人情報の流出は確認されておりませんが、事業者が警察へ連絡の上、状況を確認中です。事業者に対し、流出の有無を確認するとともに、速やかな社内調査結果の詳細な報告と適切な対策を求めております。

本市としましては、報告内容等を精査の上、今後の対応を検討してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】岸和田市 受託業者のサーバーがランサムウェア被害を受けました。 2024/6/11

イセトー
 

概要

令和5年2月に本市が委託した「令和5年4月23日執行 岸和田市議会議員一般選挙に伴う投票所入場整理券・封筒の印刷及び封入封緘業務」の受託事業者・株式会社イセトー(以下、受託事業者)より「サーバーがランサムウェア被害を受けた」との報告を受けました。

詳細

令和6年5月29日(水曜日)、受託事業者より「令和6年5月26日に複数のサーバー、端末内の情報が暗号化されるランサムウェアによる被害が発生した」と報告を受けました。この時点では「本市のデータについて個人情報の流出はない」とのことでした。

しかし、6月6日(木曜日)、受託事業者より「調査を進めたところ、個人情報が記載された5名分の投票所入場整理券のPDFデータが、ランサムウェアの被害にあった端末内に保存されていたことが判明した」との報告がありました。

投票所入場整理券のPDFデータはパスワードを付与し、端末に保存していました。通常であれば、保存期間が経過すると自動でデータが削除される仕組みとなっています。本件では、封入封緘作業の際、5名分の投票所入場整理券が破れ、新たに作成する必要が生じたため、5名分のデータを別の端末にパスワードを付与した状態で移行し、保存していました。5名分のデータを保存していた端末は自動でデータが削除される仕組みとはなっておらず、当該端末がランサムウェアの被害にあったものです。

今後の対応

個人情報が流出したか否かは現時点で不明ですが、該当の5名に対しては直接、上記内容の報告を行っており、今後の調査状況を適宜お伝えします。

受託事業者においては「現在、外部専門家と連携し、捜査機関にも都度連絡しながら調査を進めている」とのことですので、上記5名の個人情報を含めた本市の関連情報の流出確認を早急に進めるよう求めています。

リリース文アーカイブ

【セキュリティ事件簿#2024-217】大田区 委託業者におけるコンピューターウイルス感染について 2024/6/13

イセトー

 がん検診等ご案内帳票類の印刷、封入及び発送業務を委託している株式会社イセトーから、サイバー攻撃によりコンピューターウイルスに感染し、46件の個人情報流出のおそれがあるとの報告を受けました。なお、現時点で第三者への流出は確認されていません。

1 経過

令和6年5月26日(日曜日)

区ががん検診等ご案内帳票類の印刷、封入及び発送業務を委託している事業者において、一部のサーバーにランサムウェア被害が発生しました。

令和6年5月30日(木曜日)

委託業者担当者より、大田区民の情報はランサムウェア被害に遭ったネットワークと遮断されているため、個人情報流出のおそれはないとの報告を受けました。

令和6年6月10日(月曜日)

委託業者の調査の結果、被害にあったサーバーに以下の個人情報を含むデータが保存されていたとの報告を受けました。

2 流出のおそれのある情報

令和6年度がん検診受診券の画像データ(対象者の氏名、住所等) 46名分

3 今後の対応

株式会社イセトーに対し、引続き個人情報流出の有無の確認を継続するとともに、速やかな調査の実施、報告と適切な対応を求めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-251】株式会社アルファユニ 弊社が運営する「アルファユニ 公式ショップ」への不正アクセスによる お客様情報漏えいに関するお詫びとお知らせ 2024/6/17

アルファユニ


このたび、弊社が運営する「アルファユニ公式ショップ」(https://alpha-uni.com以下「本件サイト」といいます)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等(1054名)及び個人情報(3126名)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報等及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールにてお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年1月18日、千葉県警本部サイバー犯罪対策課より、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2024年1月18日、本件サイト内でのカード決済を停止いたしました。 同時に、第三者調査機関による調査も開始いたしました。2024年3月14日、調査機関による調査が完了し、2021年5月21日~2024年1月2日の期間に本件サイトで購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、また2024年2月13日までに本件サイトにおいて会員登録されたお客様の個人情報が閲覧された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.クレジットカード情報漏洩状況

(1)原因

本件サイトのシステムの一部の脆弱性をつき、一般ユーザーを装い不正注文してきた第三者の攻撃により、システムの改ざんが行われたため。

(2)クレジットカード情報漏洩の可能性があるお客様

2021年5月21日~2024年1月2日の期間中に本件サイトにおいてクレジットカード決済をされたお客様1054名につきまして、以下の情報が漏洩した可能性ございます。

・クレジットカード番号

・有効期限

・セキュリティコード

・本件サイトのログイン情報(メールアドレス、パスワード、電話番号)

3.個人情報漏洩状況

(1)原因

上記2(1)同様、一般ユーザーを装い不正注文してきた第三者の攻撃により、システムの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2024年2月13日までに本件サイトにおいて会員登録をされたお客様3126名につきましては、以下の情報を閲覧された可能性がございます。

・氏名

・住所

・電話番号

・メールアドレス

・団体名

・性別

・注文情報(※)

(※)ご購入されたお客様

上記2及び3に該当するお客様につきましては、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールにてお届けできなかったお客様につきましては、書状にて個別にご連絡させていただきます。

4.お客様へのお願い

(1)クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。 お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記2(2)の対象となるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2)ログインパスワードの再設定のお願い

2021年5月21日~2024年1月2日の期間中に本件サイトからクレジットカードでご購入されたお客様におかれましては、たいへんお手数ですが、ログインパスワードの再設定をお願いいたします。

ログインパスワードの再設定はこちら(https://alpha-uni.com/mypage/login)

なお、2024年7月にオープンいたします新システムの移行の際には、再度パスワードの設定を重ねてお願い申し上げます。

5.公表が遅れた経緯について

2024年1月18日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。 本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

6.再発防止策ならびに弊社が今後運営する新サイトについて

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえて新システムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。 また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年1月24日に報告済みであり、また、所轄警察署にも2024年2月7日被害申告しており、今後捜査にも全面的に協力してまいります。

改修後の「アルファユニ公式ショップ」の再開日につきましては、2024年7月を予定しており、決定次第、改めてWebサイト上にてお知らせいたします。

リリース文アーカイブ