お客様並びに関係者の皆様には、多大なるご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。
2025年10月24日(金)に当社が運営するECカートシステム「たまごリピート」のサーバーログを監視していたところ、一部のサーバーに異常なアクセスを検知したため、直ちに調査実施したところ一部のサーバーに第三者による不正アクセスと考えられる痕跡を把握したことから、サーバーからネットワークを切り離すなど必要な対策を実施しました。また、さらなる被害拡大防止のため、不正アクセスの疑いがあるサーバーも一時的にネットワークから隔離し、プログラムの診断・確認作業を進めております。
現在、外部の専門家を入れる計画で協議を行っており、侵入方法並びに経路の特定、データなどの外部流出の可能性を含めた影響範囲について、調査・対応を進めております。皆様へのご迷惑を最小限に止めるべく取組んでまいります。
今後、お知らせすべき事項が明らかになりました場合には、速やかにお知らせいたします。
平素は格別のご高配を賜り厚く御礼申し上げます。
この度、弊社が受領した請求書情報のシステム登録業務を委託しているアクリーティブ株式会社(東京都千代田区 https://www.accretive.jp)における不正アクセス被害(詳細は2025年9月5日付当社WEBサイトに掲載しております 『業務委託先における不正アクセス被害および情報漏洩の可能性について』をご覧ください)にかかる同社による調査結果を以下の通りご報告いたします。お取引先様をはじめとする関係者の皆様には、多大なるご心配とご迷惑をおかけいたしましたことを深くお詫び申し上げます。
2025年8月25日にアクリーティブ株式会社のサーバーに対する第三者による不正アクセスがあり、同社サーバーの一部が暗号化され、閲覧不能な状態となりました。不正アクセスが確認されたサーバーは、発覚後ただちに外部からのアクセスを遮断する措置が講じられましたが、同社サーバーには弊社が受領した請求書情報が保管されていたことから、弊社は同社に対して情報流出の有無の調査依頼、ならびにお取引先様への影響確認などを行ってまいりました。
アクリーティブ株式会社は、2025年8月25日から2025年9月12日の期間に外部セキュリティ専門会社にフォレンジック調査の実施を依頼しましたが、2025年9月29日付でまとめられた結果では外部へのデータ流出の痕跡は確認されませんでした。
また、一般的な方法ではアクセスが困難なインターネット領域であるダークウェブの監視については、同じく外部の専門機関により、調査対象期間をインシデント発生の2025年8月25日に遡り設定のうえ、2025年9月5日以降継続して実施されておりますが、現時点までデータの流出は確認されておりません。なお、監視は2025年11月5日を目途に終了予定である旨同社より報告を受けております。
その他、本件に起因する情報の不正利用など二次的な被害は現時点まで確認されておりません。
2025年8月24日にアクリーティブ株式会社が外部業者に依頼して実施したファイアウォールの更新作業において設定ミスがあり、ファイアウォールの一部機能が停止した状態のまま機器が設置されました。その結果、同社サーバーへの不正アクセスが発生したものと考えれられております。
今後はアクリーティブ株式会社のセキュリティ環境や体制について、弊社が定期的な確認を実施し、必要に応じて改善指導や運用見直しを求めてまいります。特にファイアウォールの更新作業などセキュリティ面での変更や更新が行われた場合には、弊社が委託する業務にかかるリスク評価を行うなど、再発防止に努めてまいります。
漏洩等が発生した恐れがある個人情報は、お取引先様から受領した請求書に記載された、氏名、商号・屋号、住所、電話番号、当社との取引に関する情報、口座情報等となっておりますが、現時点で個人情報の漏えいの事実は確認されておりません。
以上、この度はお取引先様に多大なるご心配とご迷惑をおかけいたしましたことを重ねてお詫び申し上げます。今後とも変わらぬご支援を賜りますようお願い申し上げます。
このたび、当院に勤務する非常勤医師が使用していた自宅のパソコンが、不正アクセス(いわゆる「サポート詐欺」)の被害を受ける事案が発生いたしました。
当該端末には、当院患者さま数千件分の一部情報(氏名、生年月日、性別、住所、診療情報)が保存されておりました。
直ちに専門業者へ調査を依頼し、端末のアクセス履歴および情報流出の有無について詳細な解析を行った結果、個人情報が外部に流出した事実は確認されませんでした。
ただし、端末が一時的に遠隔操作を受けていたことから、念のため対象となる患者さまへは個別に文書でご報告を行っております。
患者さまをはじめ、関係する皆さまに多大なるご心配をおかけしましたことを、心より深くお詫び申し上げます。
令和7年8月29日、該当医師がウェブサイトを閲覧中に偽の警告画面が表示され、記載されていた電話番号に連絡した結果、遠隔操作による不正アクセスを受けました。
当院では発生直後から専門業者による調査を実施し、情報流出の有無を詳細に確認いたしました。
専門業者の解析により、2件のファイルにアクセスされた形跡はありましたが、いずれも個人情報を含むものではありませんでした。
また、その他のファイルについても個人情報の閲覧・持ち出しの痕跡は確認されておりません。
現時点で、個人情報が外部に漏洩した事実は確認されておりません。
当院では今回の事案を厳粛に受け止め、以下の対策を実施いたします。
個人情報を扱う端末の管理体制および情報持ち出しルールの見直し
職員に対する情報セキュリティ教育の強化
2025年10月30日、Microsoft Azure(以下「Azure」)を中心に、世界規模のクラウド障害が発生しました。多くの企業・サービスが影響を受け、「クラウド耐障害力(Resilience)」の再考を迫られた事件です。本稿では、何が起きたか、なぜ起きたか、そして今、企業が何を見直すべきかを整理します。
障害発生時刻:2025年10月29日午前 / UTC 15:45 頃から異常を観測。
記録された影響範囲:Azure を軸に、Microsoft 365、Xbox、ゲーム/エンタメ分野、航空・流通・金融のサービスも断続的に停止。
影響持続時間:約8時間超。
原因:Azure のグローバルエッジ・トラフィックルーティング機能である Azure Front Door(AFD) に対する“意図せぬ設定変更”がトリガー。
対応:設定変更の凍結、既知の良好な構成へのロールバック、トラフィックの別ルートへの切替。
AFD のように「1つのグローバルルーティング基盤」が多数のサービス・顧客トラフィックを集約しており、ここでの異常が「波及」しやすい構造です。
変更がトラフィック経路・エッジノードに及ぼす影響を十分に検証できておらず、誤った構成が「デプロイ済み」となった点が引き金でした。
クラウド事業者も効率化・統合化を進める中で、まさに「ハイパースケール」モデルの脆弱性が鮮明化しました。
大手のクラウド事業者1社に依存する構成は、今回のような「根幹サービス停止」で致命的になります。マルチクラウド/ハイブリッドクラウドの検討が必須です。
エントリポイントがダウンした際の代替ルートをあらかじめ設計・検証
DNS、CDN、エッジサービスに対する監視・アラート設計強化
クラウド基盤であっても「障害は起こる」という前提に立ち、具体的なシナリオを想定した演習が必要です。
「意図せぬ構成変更」が今回のトリガーであったことから、変更管理(Change Management)のプロセス設計見直しが求められます。
障害が業務に及ぼす“連鎖的影響”を定量・定性で把握し、被害最小化策をBCPとして整備しておくべきです。
今回の Azure 障害は、「ハイパースケールなクラウドサービスだから安心」という幻想を打ち砕くものでした。企業は今こそ「耐障害力=レジリエンス」を見直すフェーズにあります。特に、設定変更やルーティング基盤への依存度が高いサービスに対しては、構成の透明化・冗長化・訓練に抜かりなく備えておきたいところです。
出典①:Microsoft Azure Front Door Outage Analysis: October 29, 2025(アーカイブ)
出典②:Huge Microsoft outage hit 365, Xbox, and beyond — deployment of fix for Azure breakdown rolled out(アーカイブ)
出典③:Microsoft says it’s recovering after Azure outage took down 365, Xbox, and Starbucks(アーカイブ)
このたび、株式会社日本政策金融公庫(略称:日本公庫)が主催する「高校生ビジネスプラン・グランプリ」において、応募受付システムの設定不備がありました。その結果、応募登録者(学校の教員及び応募者の代表生徒)が検索を行うことにより、同じ「学校名」で登録された他の教員や生徒(応募者)の個人情報を閲覧できる状態であったことが判明しました。
本件につきまして、下記のとおりご報告いたしますとともに、関係者の皆さまに多大なるご迷惑・ご心配をおかけしますことを、深くお詫び申し上げます。
なお、システムの設定不備が判明した時点で直ちにシステムを修正し、個人情報の漏えいは生じないように対処しております。
2025 年9月 25 日(木)、「高校生ビジネスプラン・グランプリ」の応募受付システムにおいて、他の教員や生徒(応募者)の個人情報が閲覧できる状態となっている、との報告が応募登録者から寄せられていることを確認しました。
直ちに調査を行った結果、応募登録者が検索を行うことにより、同じ「学校名」の他の教員や生徒(応募者)に関する個人情報を閲覧できる状態となっているというシステムの設定不備が判明しました。このため、直ぐに当該検索機能を改修し、同日 12 時 30 分には個人情報の漏えいは生じない状態としました。
2021 年度にシステム改修を行い、新設・統廃合した学校の教員が登録に困らないよう、選択する「学校名」に、都道府県ごとに「該当なし(都道府県)」というフラグを新設しました。また、2023 年度には、「生徒も直接応募できるようにして欲しい」との要望を踏まえ、応募者の代表生徒も応募登録ができるよう、システム改修を行いました(2022 年度までは、応募登録できるのは教員のみでした。)。
これらシステム改修において、二つの設定不備が発生しておりました。一つ目は、学校名による検索機能制限の不備です。「該当なし(都道府県)」で登録された応募登録者は、同じ「該当なし(都道府県)」で登録された他の学校の教員や生徒(応募者)の個人情報が閲覧可能となったことです。二つ目は、応募者の代表生徒が応募登録をした場合でも検索機能に制限がかかっておらず、同じ「学校名」で登録された他の教員や生徒(応募者)の個人情報が閲覧可能となったことです。
このため、今回のような状態が生じておりました。
現時点で把握している事実関係は次のとおりです。
検索者と同じ「学校名」で登録されている6人(教員及び生徒)の個人情報(氏名、メールアドレス、学校名、学科、住所、電話番号)です。
検索者と同じ「学校名」で登録されていた教員及び生徒の個人情報(氏名、メールアドレス、学校名、学科、住所、電話番号)が閲覧される可能性がありました。閲覧される可能性があった 2021~2025 年度に応募した教員及び生徒については現在、調査中です。
<検索者が検索した場合に閲覧される可能性があった個人情報>
〇「学校名」で「A高校」を登録した応募登録者が検索した場合
「A高校」で登録されていた教員及び生徒の個人情報
※「B高校」など他の学校で登録されていた情報は閲覧されません。
〇「学校名」で「該当なし(都道府県)」を登録した応募登録者が検索した場合
「該当なし(都道府県)」で登録されていた学校の教員及び生徒の個人情報
※同一都道府県内で複数の学校が登録されていた場合、同一都道府県内の他の学校の教員及び生徒の個人情報が閲覧される可能性がありました。
実際の漏えいが(1)以外にあったかどうか等については、更なる調査を進めております。今後お伝えすべき事実が判明した際には、改めてご報告いたします。
なお、現時点の調査結果に即して、個人情報保護委員会に報告しております。
現時点において、当該情報の不正利用に関する報告や問い合わせはなく、二次被害は確認されておりません。
今後は、新たなシステムの開発や改修にあたり、設計段階から確認を徹底するなど同様の事態が生じないよう再発防止を徹底してまいります。
現時点で二次被害は確認されておりませんが、日本公庫関係者へのなりすましを含め、不審なメールや連絡があるおそれがあります。不審なメールや連絡を受け、ご不安・ご心配を感じられた場合は、高校生ビジネスプラン・グランプリ事務局(以下の「本件に関するお問い合わせ先」)までご連絡をお願いいたします。
県立川島ひばりが丘特別支援学校において、児童の個人情報が記載された電子ファイルを流出させる事故が発生しました。
なお、現在のところ、第三者による不正使用等の事実は確認されていません。
令和 7 年 9 月 19 日(金曜日)午後 3 時 30 分頃、県立川島ひばりが丘特別支援学校の職員1名が、学校関係者 302 名を対象に一斉メールを送信する際、児童 1名の個人情報が記載された電子ファイルを誤って添付し、送信した。
同日、午後 3 時 35 分頃、同メールを受信した同校の別の職員から管理職に報告があり、事故が発覚した。
・当該児童の氏名、性別、生年月日、住所
・入学前の経歴及び転学の記録
・保護者氏名
9月19日(金曜日) 当該児童の保護者へ電話連絡し、事故について報告するとともに謝罪した。また、全受信者に対して、メールで削除依頼を行った。
9月22日(月曜日) 同メールの削除を確認した。
9月24日(水曜日) 当該児童の保護者と面会し、事故について改めて謝罪した。
校長会議等を通じて、改めて全県立学校において個人情報の適正な管理を徹底するよう指示する。
T&D リース株式会社(代表取締役社長 根釜 健、以下「当社」)は、当社の元従業員が、離任に際し、当社のお客様情報を電磁的方法で不正に持ち出した事実が判明しましたのでご報告いたします。
お客様をはじめとする関係者の皆様に、多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。
本日時点で確認が出来ている事実関係は次のとおりとなります。
当社の元従業員が、離任日の 8 月 8 日、当社が貸与していた PC(会社 PC)を使用して、当社のサーバー内から大量の情報(下記のお客様情報、個人情報を含む)を電磁的方法で不正に持ち出しました。
8 月 12 日(翌営業日)、当社システム担当者が、元従業員が使用していた会社 PC の点検作業を行う中で、会社 PC 内の記録より、情報の持ち出し(ファイル送信)が発覚したものです。
下記のお客様情報を含むファイル。
但し、当該ファイルにはパスワードが付されておりました。
持ち出されたファイルには全てパスワードが付されておりました。
また、元従業員より、持ち出した情報を直ちに返却、消去、廃棄し、当該情報をいかなる目的にも利用しない旨の誓約書を、8 月 29 日付で受領しております。
当社は、本日時点において、お客様等社外から被害に関するご連絡等も受けておらず、本件持ち出しによる二次被害およびそのおそれは確認されておりません。しかしながら、ご住所及びお電話番号が契約に関する情報とともに持ち出されましたので、お客様におかれましては、当社を騙って契約情報にも言及する不審な電話・郵送物・電子メールがなされた場合には、応答にあたりご注意いただきますようお願いいたします。
元従業員に対しては、厳正に対処するとともに、二次被害防止の徹底を図るため、本件持ち出した情報の完全な削除、返却を求め、確認を進めて参ります。
速やかに全容解明を図り、再発防止策を策定・実施することで、お客様からの信頼回復に努めて参ります。
