【セキュリティ事件簿#2025-371】東京都の委託事業における不正アクセス被害について 2025/9/19

 

産業労働局が実施する「TOKYO特定技能Jobマッチング支援事業」の委託事業者である株式会社パソナ(以下、「委託事業者」という。)において、個人情報漏えいの可能性がある事故が発生しましたのでお知らせします。

関係者の皆様に多大なご迷惑をおかけし、深くお詫び申し上げます。今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

委託事業者において、従業員のパソコンが外部から不正なアクセスを受け、個人情報が漏えいした可能性があることが判明した。

(1)発生日時

令和7年9月16日(火曜日) 16時30分頃

(2)漏えいの可能性がある情報

「TOKYO特定技能Jobマッチング支援事業」にエントリーした800名の方の以下の情報

氏名、生年月日、住所、電話番号、メールアドレス、出身国、在留資格、日本語能力のレベル、合格した特定技能試験の分野、紹介先企業

2 経緯

(1)9月16日(火曜日)16時17分、委託事業者の従業員が業務目的外でパソコンを利用中に詐欺サイトに接続される。その後、詐欺目的の偽サイトである可能性が高いリモートアクセスサービスによるサポート接続が開始される。

(2)同日16時40分、パソコンがロックされたため、従業員は画面に表示された番号へ電話し、電話の指示に従い画面入力や画面に表示されたアイコンのクリックを行う。

(3)同日16時41分、対応方法確認のため、従業員は上司へ本件を報告。上司の指示により、従業員のパソコンを社内Wi-Fiから切断し、切電。その後、情報セキュリティ統括室による被害状況の調査を実施。

(4)9月18日(木曜日)17時頃、調査の結果、以下のことが判明。

1)データファイル等での外部送信は確認できなかったこと

2)外部第三者によるファイル表示画面の閲覧等による個人情報の漏えいの可能性が否定できないこと

(5)同日18時45分、委託事業者から東京都担当者へ報告。

3 事故発生後の対応

9月19日より個人情報漏えいの可能性がある800名の方に対して、Eメール及び電話にて事故の経緯説明と謝罪を行うとともに、被害の有無等を確認している。なお、現時点では二次被害は確認されていない。

本件は、個人情報の保護に関する法律施行規則第43条3号及び4号に該当するため、同法第68条第1項により、9月19日に国の個人情報保護委員会に対して速報として報告した。

4 再発防止策

委託事業者に対し、都はこれまでも個人情報の取扱い及び情報管理の徹底等について指導を行ってきましたが、厳重注意を行うとともに、改めて社員教育の徹底や事故発生時の迅速な対応などについて指導を行い、再発防止を図って参ります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-370】アサヒ通信株式会社 ランサムウェア攻撃によるシステム障害について続報と調査結果のご報告 2025/9/8

 先般、今年4月に発生いたしました当社システムへのランサムウェア攻撃につきまして、お客様ならびに関係者の皆様に多大なるご心配とご迷惑をおかけしておりますことを、重ねて深くお詫び申し上げます。

第一報でお知らせいたしました通り、専門業者によるウイルスの駆除、システムの復旧に加え、詳細な調査を進めてまいりましたが、この度、その調査結果をご報告させていただきます。

1.専門業者による詳細調査結果のご報告

この度、専門業者によるサーバー攻撃に関する詳細調査が完了いたしました。

調査の結果、一部のサーバーにおいて不正アクセスを受け、データが暗号化されていたことが改めて確認されました。

また、今回特定された侵入経路や攻撃手法についても、専門的な分析が完了しております。

2.情報漏洩の可能性について

今回の調査において、一部の取引先情報が外部に流出した可能性があることが判明いたしました。

現時点では、本件に起因する不正利用や、流出した可能性のある情報が悪用されたといった二次被害の報告は確認されておりません。

詳細な情報(流出した可能性のある情報の内容及び範囲等)につきましては、対象となる取引先の皆様に対し、2025年10月31日までに、別途、個別に詳細をご連絡させていただきます。恐れ入りますが、個別のご連絡をご確認いただけますようお願い申し上げます。

なお、本件について、関係省庁への報告を順次行っております。

3.システム復旧と再発防止策の強化

今回の攻撃により影響を受けたシステムは、専門業者の協力のもと、既に安全な状態での復旧が完了し、安定稼働しております。

また、今回の調査結果を踏まえ、再発防止策をより一層強化いたしました。具体的には以下の対策を実施しております。

*  システム全体のセキュリティパッチ適用と脆弱性診断の定期的実施

*   VPN接続時の多要素認証設定追加とアクセス制御の厳格化

*   EDR導入の推進

*  従業員への情報セキュリティ教育の徹底と緊急時対応訓練の実施

当社は、今回の事態を厳粛に受け止め、お客様ならびに関係者の皆様の信頼回復に全力を尽くすとともに、今後もセキュリティ対策への投資を継続し、より強固な情報セキュリティ体制を構築してまいります。

4.本件に関するお問い合わせ先

本件に関しましてご不明な点がございましたら、下記までお問い合わせください。

アサヒ通信株式会社 管理部 OAシステム課

お客様ならびに関係者の皆様には、重ねてご心配とご迷惑をおかけいたしますが、何卒ご理解とご協力をお願い申し上げます。

リリース文アーカイブ

Labels:

OSINTでサイトの持ち主を特定する方法と便利ツールまとめ


インターネットの世界では、匿名性を盾にして活動するサイトも多く存在します。時には「このサイトの運営者は誰だろう?」と調べる必要が出てくることもあります。
本記事では、OSINT(Open Source Intelligence:公開情報からの情報収集) を活用して、ウェブサイトの所有者を特定するための手順と便利ツールをまとめました。チェックリスト的に活用いただけます。

1. サイト自体から情報を探る

まずは対象のサイトを隅々まで調べます。

  • 連絡先:メールアドレス、電話番号、住所、SNSリンク

  • プライバシーポリシー:運営組織名や代表者が記載される場合あり

  • 問い合わせフォーム/メルマガ:登録して送られてくるメールの差出人を確認

  • 写真や画像:逆画像検索で他サイトやSNSアカウントへたどれる可能性あり

  • テキストや著者情報:記事の署名や同じ文章をGoogle検索し、他サイトの関連情報を確認

これだけでも運営者に近づける手がかりが見つかることがあります。

2. 検索エンジンを活用する

Googleの高度な検索オプション(ドークス)を活用します。

  • "example.com" -site:example.com :自サイト以外での言及を探す

  • filetype:pdf site:example.com :公開文書を発見

  • 特定SNS内検索:シェアや言及を調査

検索エンジンは最も手軽で効果的なアプローチです。

3. WHOIS情報を確認する

ドメイン登録情報を調べるのも定番です。

  • Whoxy現在のWHOIS情報+履歴の確認

  • Whoisologyメールアドレスやキーワードから逆引き検索

多くの場合は「プライバシープロテクション」で隠されていますが、過去の履歴に手がかりが残っていることもあります。

4. ウェブアーカイブやキャッシュ

過去のサイトの状態を調べることで、削除済みの情報を取り戻せます。

  • Archive.org時系列でスナップショットを確認、差分比較も可能

  • Archive.is保存とスクリーンショットに特化

  • CachedPagesGoogleキャッシュ+アーカイブを横断

古い情報が運営者の手掛かりになることは少なくありません。

5. サイトの変更を監視する

継続的に運営者を追跡するなら、サイト更新を監視します。

運営者の行動パターンを把握するのに有効です。

6. Google広告・解析IDから関連サイトを調査

サイトに埋め込まれた Google AnalyticsAdSense のIDは、同一人物が管理する他サイト特定の手掛かりになります。
調査に便利なサービス:

特にAdSense IDは個人認証が必要なため、信頼度が高い指標です。

7. メタデータを確認する

画像や文書ファイルに含まれるメタデータから運営者情報が得られる場合があります。

  • imgonline EXIF Viewer画像ファイルのExif情報を確認

  • Metagoofil:対象サイトからPDF/Word/Excel等を収集し、メタデータを自動抽出

運営者のユーザー名や組織名が残っているケースもあります。

8. サイトの技術情報を調べる

  • VirusTotalセキュリティチェックとIP・リンク関係の解析

  • crt.shSSL証明書の履歴を検索し、組織名や登録メールを発見

  • Web-check.as93.netDNS記録、サーバーロケーション、リダイレクトなどを可視化

直接的な特定には繋がらなくても、他情報と組み合わせることで突破口になることがあります。

まとめ

サイトの所有者を特定するのは一筋縄ではいきません。しかし、WHOIS・アーカイブ・広告ID・メタデータ・技術情報 などを組み合わせれば、匿名性の裏に隠れた運営者像に近づくことができます。

大切なのは「小さな断片を集めてつなぎ合わせる」こと。
本記事のチェックリストを活用し、OSINT調査を効率的に進めてみてください。


【セキュリティ事件簿#2025-369】江東区 小学校教員によるメール誤送信について 2025/8/28

 

小学校において、メールアドレスが漏えいする事故が発生しましたので、お知らせします。

関係する皆様には多大なるご心配とご迷惑をおかけし、心よりお詫び申し上げます。

なお、現時点で、本事案における二次被害は確認されていません。

1 事故の概要

令和7年8月22日(金)、江東区立小学校において、教員を補充するため、小学校での勤務を希望する方約1,000名に対して募集案内のメールを送信した際、メールアドレスをBCC欄ではなく、宛先欄に入力したため、小学校での勤務を希望する方のメールアドレスが漏えいする事故が発生した。

2 漏えいした個人情報

小学校での勤務を希望する方約1,000件のメールアドレス

3 事故発覚後の対応

令和7年8月27日(水)、メールアドレスが漏えいした方に対し、謝罪のメールを送信した。

また、江東区教育委員会が江東区内の全校園長に対し、あらためて個人情報の適正な管理に関する通達を行い、情報セキュリティ対策の徹底及び再発防止を指示した。

リリース文

Labels:

【セキュリティ事件簿#2025-368】関東学院大学 個人情報を保存したノートパソコンの紛失について 2025/8/29

 この度、本学教職員が7月末に電車内において個人情報を保存したノートパソコンを紛失する事案が発生しました。

関係者の皆様に多大なるご心配とご迷惑をおかけしますことを深くお詫び申し上げます。

紛失したノートパソコンには、個人情報として学生氏名、学籍番号、学生の授業に関するデータが保存されておりましたが、ハードディスクドライブは暗号化される仕様になっており、現時点では、本件による個人情報流出の事実は確認されておりません。また、当該ノートパソコンには、パスワードが設定されており、パソコンに設定のクラウドアカウントについては第三者による不正ログインがないことを確認しております。

なお、該当する学生に対しては、すでに文書で事情説明とお詫びをしております。

本学では今回の事態を重く受け止め、深く反省するとともに、個人情報及び職務上守秘・保護すべき情報の管理体制の強化を図り、本学の全構成員に改めて周知徹底し、再発防止に努める所存です。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-367】田辺市 障害福祉室における個人情報の漏えいについて 2025/8/22

 

この度、障害福祉室において市ホームページで公表していたデータファイルに個人情報が含まれ、これが閲覧できる状態となっていたことで、個人情報が漏えいしたことが判明いたしました。

対象となる皆様には多大なるご心配、ご迷惑をおかけしましたことを深くお詫び申し上げます。

今後は、このような事態を招いたことの反省の上に立ち、職員の個人情報保護及び情報セキュリティに関する意識を高めるとともに、これまで以上に個人情報を適切に取扱うことを徹底し、再発防止に努めてまいります。

なお、事案の詳細につきましては、下記のとおりです。

1.事実経過

令和7年8月4日(月曜日)、市民の方から障害福祉室に対し、市ホームページに掲載されている特定のデータに個人情報が含まれているのではないか、調べてほしいという連絡が寄せられました。そこで当該データファイルを確認しましたところ、当該データには個人情報が含まれ、一定の操作を行うとその個人情報が表示される設定となっていたことが判明しました。

2.漏えいした個人情報等

令和5年度に当室が実施したイベントに参加した19名分の個人情報

・氏名、住所、電話番号、メールアドレス、勤務先、職業及び参加希望動機

3.データが公開されていた期間

令和6年3月27日から令和7年8月4日まで

4.判明後の対応

令和7年8月4日(月曜日)午後

当該データファイルが閲覧、ダウンロードできないよう市ホームページから削除しました。また、インターネット上の一部検索サイトにおいて、特定のキーワードで検索した場合、検索結果の説明文に当該個人情報の一部が表示されてしまうことを確認したため、検索サイト運営会社にこれを修正してもらうための依頼を行いました。

令和7年8月6日(水曜日)午後

検索サイト運営会社で修正されたことにより、当該個人情報が検索結果の説明文に表示されないことを確認しました。

令和7年8月7日(木曜日)から14日(木曜日)

個人情報を掲載してしまっていた方に対し、経過説明及び謝罪を行いました。

5.発生の原因

担当職員において、データファイルに一定の操作を行うと個人情報が表示される設定を行っていた事を失念し、個人情報を削除せずにそのままホームページへ掲載するための手続を行ってしまったことが原因です。

なお、データファイル名等の情報につきましては、具体的にこれを公表することで、被害に遭われた方が特定されるなどし、二次被害に繋がる恐れがあるため公表を差し控えます。

6.再発防止対策

職員の個人情報保護及び情報セキュリティに関する意識を高めるとともに、ホームページにデータファイルを掲載する場合は、今回使用したファイル形式での掲載を行わないことを原則とし、それでもなお掲載する必要があるときには、複数の職員で確認することを徹底し、再発防止に努めます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-366】秩父市 メール誤送信事案について 2025/8/29

 

令和7年7月30日、秩父宮記念市民会館市職員が「夏休みだよ!ホールdeわくどき!舞台体験2025(映画クラス)」参加申込者あてにメールを一斉送信した際に、メール文章中に、参加申込者一人の個人情報を記載したままメールを送信してしまいました。

1.発生日時

令和7年7月30日(水)17時11分

2.情報漏えい経緯

令和7年7月30日(水)17時11分に、秩父宮記念市民会館から「夏休みだよ!ホールdeわくどき!舞台体験2025(映画クラス)」参加申込者あてに当日の案内メールを一斉送信した際(送信件数:12件)に、メール文章中に参加申込者一人の氏名・住所・電話番号等の個人情報を記載したまま送信をしてしまいました。

3、対応

全参加申込者あてに、同日18時8分、本件についてメールにてお詫びし、当該メールを削除していただくようお願いしました。

また、令和7年7月31日(木)には、参加申込者全員に、電話にて直接お詫びと当該メールの削除を依頼しました。

4、今後の対応

本件につきましては、人為的なミス、チェック体制の不備が原因であるため、秩父宮記念市民会館職員の再発防止に向けたチェック体制を強化するとともに、個人情報の適切な管理を徹底してまいります。

また、秩父市全職員に対し、個人情報の保護を再啓発するとともに、情報セキュリティー研修・教育を徹底してまいります。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2025-365】就労移行支援事業所CONNECT 個人情報の取り扱いに関するお知らせ 2025/8/20

 

このたび、当事業所のご利用者の個人情報が漏えいする事案が発生致しました。ご利用者ならびに関係者の皆様に、多大なるご迷惑とご心配をおかけしましたこと、心より深くお詫び申し上げます。

該当者には、SMS・メール・郵送にて個別に通知しておりますが、一部の方は宛先不明などの理由でご連絡できておりません。以下の詳細をご確認いただき、心当たりのある方は、大変お手数ではございますが、専用窓口までご連絡いただきますようお願い申し上げます。

今後はこのような事態を二度と起こさぬよう、情報管理体制の強化と社員教育の徹底に取り組んで参ります。

甚だ略儀ながら、書中をもちましてお詫びかたがたご報告申し上げます。

情報漏えいの可能性のある方

2022年12月6日から2025年2月17日までに、就労移行支援事業所CONNECTの各事業所で体験利用された方に情報漏えいの可能性があります。

漏えいの経緯

2025年6月19日(木)、弊社従業員が当事業所を体験利用中のA氏に対し、誤って他の利用者や利用検討者の個人情報が記載されたエクセルファイルをメールにて送信しました。6月20日(金)、A氏より当事業所にご連絡をいただいたことで発覚しました。

漏えいの内容

氏名、生年月日、障がい名、手帳の有無、障がいの症状、かかりつけ病院名、主治医、受給者証の有無等の福祉サービスの支給情報などの要配慮事項を含みます。

二次被害の可能性

6月20日(金)、A氏よりご連絡をいただき、同日弊社マネージャーよりDMおよび電話にて謝罪をしました。この時点で、ファイルの削除や情報を悪用しないことに同意いただいています。

また、7月4日(水)、責任者より、オンライン面談にて改めて本件に関する謝罪とファイルの削除および情報の取り扱いに関する合意書の締結に同意いただきました。また同日、弊社従業員確認のもと、ファイル(メール)を削除していただきました。7月14日(月)、合意書に署名していただきました。

大変なご迷惑をおかけしたA氏ですが、真摯にご対応いただき、二次被害のリスクは最小限に留めることができていると考えています。また、現時点で、二次被害の報告はございません。

被害を受けた方へのご対応

今回、情報漏えいの被害を受けた方に、解決金(損害賠償金)1万円をお支払いさせていただきます。お支払い方法は、銀行振込とさせていただきます。銀行振込以外のお支払いは出来かねますので、ご了承ください。

再発防止対策

今回の事実を重く受け止め、全従業員に対して本件に関する説明ならびに個人情報取り扱いに関する意識強化を実施しています。また、個人情報保護強化対策委員会を設置し、二度とこのような過失がないよう、再発防止策を徹底します。具体的には以下のような対策を進めます。

①機密ファイルを送信する際は、ダブルチェックや承認フローなどの義務化

②従業員への個人情報取り扱いに対するリテラシーの強化(研修の実施)

③従業員のクラウドサービス等に対するリテラシーの強化(研修の実施)

④クラウド等でのファイルやデータの管理体制の強化

⑤事業所内での紙媒体の資料の取扱いに関するルールの強化

⑥PCやタブレット等のICT機器の取扱いに関するルールの強化

⑦個人情報の取扱いに対するヒヤリハット案件を調査し、対策を講じる

個人情報保護委員会への報告

6月24日(火)に、個人情報保護委員会へ速報報告、7月18日(金)には、漏えい状況を対象者へ通知する手段について確報(続報)報告を行っています。今後は、法令に基づいた通知義務を全て終えた時点で、最終的な確報を行う予定です。今後も法令に基づき、本件に誠実に対応を進める所存です。

リリース文アーカイブ

Labels:
登録: コメント (Atom)