このたび、本院の医師が診療目的で取得した患者の個人情報を保存したSDカードを紛失した事案が発生いたしました。
本件に関し、患者の皆様及びご家族、関係者の皆様には多大なるご心配とご心痛をおかけしておりますことを、誠に申し訳なく、深くお詫び申し上げます。
現在、本院全診療科を対象に診察・診断画像等の取扱い等の点検を進めると同時に、早急に可能な限りの再発防止策を講じております。
また、当該診療科に対して個人情報の管理責任の重要性を徹底指導いたしました。
改めまして当院全構成員に対して、緊急の個人情報・セキュリティ研修を行う事で個人情報管理を含め法令順守の徹底指導を行うこととしております。
本院で治療を受けているすべての患者の皆様をはじめ、地域の皆様、関係各位の信頼を損なうこととなり、重ねて深くお詫び申し上げます。
今後このような事案が再度発生しないよう信頼の回復に努めてまいる所存です。
株式会社オリエンタル・ガード・リサーチ並びにその関連会社である株式会社OGRサービス(以下「当社ら」といいます)の一部の取引先関係者様の ご氏名及びメールアドレスが、外部からの不正アクセスにより、漏洩した可能性があることが判明致しました。取引先関係者様には大変なご迷惑とご心配をお掛けし、心よりお詫び申し上げます。
1. 漏洩の可能性のある対象者 対象となる可能性がある取引先関係者様は、2019年から当社らが管理するファイルサーバーに不正アクセスが発生しており、現時点までの調査においては当社ら管理の基幹システムに不正アクセスの確認はされておりません。
2. 漏洩の可能性のある個人情報 現在もなお検証中ですが、漏洩の可能性がある個人情報は、ご氏名(登録されていた場合のみ)等であり、メールアドレス等その他情報について漏洩の可能性はない見通しです。
3. 経緯及び対応 2025年6月 27 日(日本時間)に、当社の社員が社内のデータにアクセスしようとした際にファイルが開かないことが発覚、不正なアクセスがありファイルが暗号化されているのを確認、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。これを受け当社グループでは、直ちに不正アクセスの遮断と対処、当社グループのネットワークに対する監視強化を実施、加えて流出した可能性がある情報のモニタリングを継続しています。引き続き、被害状況及び原因の解明を進めています。なお、個人情報保護委員会への報告等、規制に沿った対応を実施致しました。今後も必要に応じこれらの関係機関と連携して対応してまいります。 今後メールアドレスを悪用した迷惑メールが送信される等の可能性がありますので、十分に ご注意いただくようお願い申し上げます。
今回の事態を重く受け止め、再びこのようなことがないよう、より一層 の情報管理体制の強化に努めると共に、不正アクセス等の犯罪行為には厳正に対処してまいります。
当ホームページが第三者からの不正アクセスにより別サイトに飛ばされてしまうというよう状況が続きました。
原因を特定しサイトを復旧しましたので報告いたします。
ご利用いただいておりますお客様におかれましては、大変ご迷惑をおかけいたしましたことを深くお詫び申し上げます。
本件につきまして、ご迷惑ご不便をおかけいたしましたことを重ねて深くお詫び申し上げますとともに、今後はさらに対策・監視を強化して運営して参ります。
現在のところ不適切なウェブサイトが表示されたことによる被害等の報告はございません。また、同ウェブサイトでの個人情報等の取扱いはないため流出はございません。
<期間>
2025年7月1日(火)午後5時頃〜7月4日(金)午後3時頃
■改ざん検知後の対応
改ざんがあったことの検知後直ちに当該ファイルの削除及び修正を行い、セキュリティの強化対策を施しました。また、他サーバでは同様の問題が発生していないことを確認いたしました。
2025年7月1日付でお知らせいたしました「当社グループ会社における不正アクセスによるシステム障害に関するお知らせ」のとおり、当社のグループ会社であるMITACHI(HK)COMPANY LIMITED(以下、「ミタチ香港」という。)のサーバーが第三者によって不正アクセスを受けたことによる被害が発生いたしました。本件における現時点の状況につきまして、以下の通りお知らせいたします。
お客様をはじめ、お取引先様、関係者の皆様にご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。
2025年6月30日(月)、ミタチ香港においてシステム障害が発生し、調査の結果、ミタチ香港のサーバーが第三者によって不正アクセスを受けたことによる被害が確認されました。ミタチ香港およびシステム接続のある、MITACHI ELECTRONICS(SHENZHEN)CO.,LTD.、MITACHI INTERNATIONAL(MALAYSIA)SDN. BHD.、PT. MITACHI INDONESIAにおいて、ネットワーク接続を速やかに遮断し、被害の拡大を防止するとともに、現地当局への届け出を行い、対策チームを立ち上げ、外部専門事業者の協力のもと復旧のための対応を開始いたしました。
2025年7月4日 (金 )時点におきまして、 MITACHI ELECTRONICS( SHENZHEN) CO.,LTD.、 MITACHI INTERNATIONAL(MALAYSIA)SDN. BHD.、PT. MITACHI INDONESIAにおいて、被害への対策を講じ、限定的に業務を開始しております。
ミタチ香港のサーバーが暗号化され、アクセスが不能な状況となっており、対策を講じ復旧に向け対応を進めております。なお、情報の流出につきましては現在調査中となりますが、サーバー内のデータの一部が漏えいした可能性を否定することはできないものと判断しております。
外部専門事業者と連携の上、早期復旧に向けた作業とともに、侵入経路の特定、被害範囲の調査を進めております。また、再発防止のためのセキュリティ対策の強化を図ってまいります。
本件が当社グループの業績に及ぼす影響につきましては、引き続き確認を行ってまいります。
今後、お知らせすべき内容が判明した場合には、速やかに情報を開示してまいります。
【2025/7/1リリース分】
平素よりポケモンセンターオンラインをご利用いただき、ありがとうございます。
この度、弊社サービス以外から何らかの手段で不正に入手したログインID(メールアドレス)とパスワードの情報を用いて、ポケモンセンターオンラインに不正ログインを行ったと思われる事象が発生していることを確認いたしましたため、被害の拡大防止のため緊急メンテナンスを実施させていただいておりました。
そこで会員の皆様のアカウントの安全を考慮いたしまして、すべての会員アカウントに対し、パスワードをリセットさせていただきました。
また、不正ログイン後、第三者から会員情報書き換えがあったことが疑われるアカウントについては停止させていただきました。予めご了承ください。
この件で多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
2025年7月3日(木)以降の初回ログイン時に、パスワードの再設定をお願いいたします。再設定にあたっては、以下の注意事項をご確認いただきますようお願いいたします。
再設定の手順につきましては、ログインパスワードの再設定についてご対応のお願いをご確認ください。
パスワード再設定時は下記3点を必ず守ってご対応をお願いいたします。
・過去にポケモンセンターオンラインで利用していたパスワードを使用しない
・他社サービスとは異なるパスワードを設定する
・第三者が容易に推測できるパスワードを使用しない
(例)ご自身やご家族のお名前、電話番号、生年月日、郵便番号、同じ文字の繰り返しやわかりやすい並びの文字列など
他のインターネットサイト(各種会員サイトの他、いわゆるECサイトなどを含む)のパスワードを使いまわして利用された場合、何らかの原因で他のインターネットサイトからパスワードが漏洩すると、第三者にアクセスされ、ポケモンセンターオンラインのアカウントを悪用される可能性があります。
パスワードを再設定していただき、アカウントにログイン可能な場合は、引き続きアカウントをご利用いただくことが可能です。
万が一、会員情報が心当たりがない内容に書き換えられている、また、マイページに身に覚えのない注文履歴があることにお気づきの場合は、お問い合わせフォームよりご連絡ください。
お客様個別に状況をご確認させていただき、ご案内いたします。
<漏洩した可能性のある個人情報の種類>
メールアドレス / 氏名 / 住所 / 電話番号 / 生年月日 / お届け先登録情報
※クレジットカード情報は弊社で保持しておりませんので、漏洩はございません。
2025年8月頃を目安にログイン時の二段階認証を導入予定です。
クラウドの安全神話を揺るがす事件が、またひとつ明るみに出た。
Oracle(オラクル)は、2025年3月に発覚した大規模なデータ侵害について、当初は「被害なし」と主張。しかし、数週間にわたり事実を否定し続けた末、訴訟をきっかけに一部顧客へ“こっそり”通知していたことが判明した。
もはや「隠ぺい」と呼ばずして、何と呼ぶのか。
問題の発端は、Oracle CloudのSSO(シングルサインオン)およびLDAPシステムから約600万件の認証関連データが流出したとされる事件。
ハッカーはこのデータをダークウェブ上で販売し、その正当性を証明するサンプルには実在する企業のログイン情報が含まれていた。
情報によれば、被害は最大14万テナントに及ぶ可能性がある。
Oracleは事件発覚当初から、「Oracle Cloudに対する侵害は存在しない」「漏えいした資格情報は古く、非現行システムに関わるもの」と繰り返し主張。
しかし、流出したデータには2024年の情報も含まれていたとする証言もあり、Oracleの説明との矛盾が次々と明らかに。
一部の顧客に対しては、FBIやCrowdStrikeが調査中であることを含め、裏で通知していたことも判明。
表では否定しながら、裏では認めていたという構図に、業界内外から厳しい視線が向けられている。
米テキサス州では、フロリダ州のMichael Toikach氏が集団訴訟を提起。
訴状では、Oracleが60日以内に被害者へ通知すべきだった義務を怠ったとして、テキサス州法違反を主張。
さらに訴訟は、Oracleが故意に情報を隠したことで、被害者に追加のリスクを与えたと強く非難。
「オラクルは、サイバー脅威を封じ込めたのかさえ明かしていない」「この沈黙は、被害者にとって最大の恐怖だ」と糾弾している。
セキュリティ専門家からも、今回のOracleの対応には厳しい批判が相次いでいる。
Beagle SecurityのアドバイザーSunil Varkey氏は、「クラウド事業者の信頼性を根本から揺るがす事件。テナント間の隔離が守られているという“神話”が崩れた」と指摘。
また、「SSOの侵害は、グローバル企業から中小企業まで全テナントを標的に変える“罠”」とし、もはや他人事では済まされない現実を突きつけている。
Oracleは今も公式には「侵害は存在しない」と言い続けているが、それを信じているセキュリティ関係者は皆無といっても過言ではない。
「漏えいは旧システム」と言いながら、データは2024年のもの
「顧客には影響なし」としながら、裏で限定的に通知
「SSOの侵害はない」と言いながら、SSOのトークンが販売されている
この一貫性のなさと情報開示の不誠実さは、Oracleという企業の本質=“隠ぺい体質”を浮き彫りにしている。
クラウドインフラを提供する企業にとって、最大の資産は「ユーザーからの信頼」であるはずだ。
だが今回のOracleは、その信頼を自ら投げ捨てるような対応を続けている。
今後、企業がクラウドサービスを選定する際、「サービスの機能」ではなく「その企業の誠実さ」を見る時代が来るのかもしれない。
「Oracle Cloud」は、今やその問いを投げかける象徴的存在となりつつあります。
出典:Oracle quietly admits data breach, days after lawsuit accused it of cover-up
Microsoft Intuneを利用しているシステム管理者にとって、ここ数日ちょっとした緊張感が走ったかもしれません。
米Microsoftが、セキュリティベースラインのカスタマイズ設定が更新時に保存されないという不具合の存在を認めたのです。
Intuneでは、セキュリティベースラインという形で推奨設定のテンプレートが提供されています。管理者はこれをもとに、自社に合わせた独自設定(カスタマイズ)を行うことが一般的です。
ところが今回、一部のバージョン(例:23H2→24H2など)に更新した際、これまでに行っていたカスタマイズが失われ、Microsoftの初期値に戻ってしまうという事象が確認されました。
Microsoftもこの問題を認識しており、現時点での対応策としては「設定を手動で再適用する」ことが推奨されています。
自動化や一元管理を目的にクラウドを導入している企業にとっては、手間もリスクも増える対応といえるでしょう。
あらためて整理すると、Microsoft Intuneはクラウドベースのエンドポイント管理ツールで、PCやスマートフォンなど多数のデバイスの設定・更新・セキュリティ管理を一括で行えるサービスです。
従来のWindows Server Update Services(WSUS)などのオンプレミス製品に代わる存在として多くの企業が採用しています。
一方で、Microsoft Configuration Manager(旧System Center Configuration Manager)と組み合わせて使われることもあり、こちらは引き続きオンプレ製品として提供されています。
今回の不具合は、特に独自のポリシー設定を重視している企業にとっては重大な問題です。
Microsoftが用意した「推奨値」をそのまま受け入れるのであれば影響は小さいものの、少しでも自社向けにカスタマイズしていると、更新によってその設定が上書き・消失するのは致命的です。
この事例は、「クラウド=万能ではない」ことを示す一例でもあります。
クラウド管理は便利な反面、自動アップデートや仕様変更がユーザーの意図しない形で適用されるリスクも存在します。
Intuneを導入している企業は、設定のバックアップや、更新後の検証プロセスを見直す機会と捉えるべきかもしれません。
本学は、5月26日(月)夕方、本学附属中学校教員が業務でパソコンを使用する中で、画面にサポート詐欺に関する虚偽の警告掲示が出た際に、遠隔操作ソフトをインストールさせられ、当該パソコンが外部者に不正アクセスされる事案が生じたことを令和7年6月3日に公表いたしました。
https://www.yamagata-u.ac.jp/jp/information/info/20250603/
事案発生後、外部者によりアクセス可能な状況となった個人情報について、改ざんや流出の可能性について調査を進めてまいりましたが、このたび、調査結果がまとまりましたので、次のとおりご報告いたします。
調査の結果、個人情報の改ざんは全く確認されませんでした。また、個人情報の流出についても、その可能性を完全に否定することはできませんが、明確な痕跡が確認されなかったことから、流出の可能性は極めて低いと判断しております。また、現時点では、流出の事実も二次被害も確認されておりません。
このような事態が発生し、生徒、保護者の皆様をはじめ関係の皆様に多大なご迷惑及びご心配をおかけすることになりましたことを、あらためてお詫び申し上げます。本学は、この度の事態を厳粛に受け止め、令和7年8月を情報セキュリティ強化月間として設定し、ポスターによる啓発活動、外部公開システムに対する脆弱性診断、標的型メール攻撃訓練、全学を対象にした緊急一斉点検等の施策を集中的に実施することにより、再発の防止に努めてまいります。
なお、身に覚えのない電話、郵便物、メール等や個人情報漏洩と考えられる事象をみかけた場合やご不明な点があります際は、以下の窓口までご連絡いただきますようお願いいたします。
【2025/6/3リリース分】