雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
株式会社リケン 当社サーバーへの不正アクセスに関するお知らせ(第四報) 2022年11月11日
株式会社女性モード社 個人情報漏えいに関するお詫びとご報告 2022年11月9日
田沢医院 電子カルテの不具合について 2022年11月01日
ネクストリンクス株式会社 弊社ホームページへの不正アクセス改ざんに伴う情報流出可能性検証経緯のご報告とお詫び 2022年10月20日
この度、弊社ホームページに不正なページが存在するとの指摘を受け調査したところ、弊社ホームページの一部が不正アクセスにより改ざんされ、フィッシング詐欺に利用しようと試みられていたことが判明しました。また、弊社ホームページと同じサーバで運用しているメールサービスにも影響した可能性が発覚し、弊社メールアドレスでの送受信メールが漏洩した可能性があることが判明しました。なお、当該サーバは弊社内の環境と切り離されており、弊社内ネットワークやその他のサービスに影響を及ぼすことはございません。
現在、弊社ホームページにつきましてはセキュアな環境へ移設して再構成して公開しており、不正アクセスがあったサーバは運用を停止いたしました。また、メールにつきましては環境を変更して運用しており、現時点で個人情報等の流出は確認されておりません。
このような事態を招きましたことにより、お客様をはじめ関係者の皆様に多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
弊社では、これまでも個人情報等の取扱い業務にあたっては、情報管理の徹底に努めてまいりましたが、更なるセキュリティ強化を目的に社長直轄のセキュリティマネジメント室を設置し、再発防止に全力で取り組んでまいります。
1.経緯
2022年8月26日
20:47 委託先クラウドサービスセンター経由で「第三者より不審なWebサイトが公開されている報告あり」の連絡。
2022年8月29日
13:00 調査により当Webサイトに脆弱性があることを確認。不正サイトの削除、パスワードの変更、サービスの変更等を実施。
21:00 再度の改ざんを確認したためサービスを停止。
2022年8月30日
21:02 サーバ動作異常。メールサービスからメール受信不可となる。
2022年8月31日
09:00 社内環境でメールが取得できない事を確認。
10:00 委託先クラウドサービスセンターへサーバの状況を連絡して、サーバを再起動するも起動せず→委託先へ原因調査を依頼。
2022年9月1日
09:00 委託先クラウドサービスセンターから調査結果報告があり、必要なディレクトリが存在しないことが起動失敗の原因。
2022年9月2日
外部専門機関への協力要請
2022年9月5日
個人情報保護委員会、JIPDECへの報告
2022年9月30日
外部専門機関から調査結果の報告 ※調査結果報告書(アーカイブ)
2022年10月20日
セキュアな環境にてホームページを公開
2.流出の可能性があるデータ
対象
最大で、弊社が当該メールサービスの利用を開始した2014年10月から2022年8月31日まで(サーバ容量を考慮すると現実的には直近1年以内)の弊社メールアドレスでの送受信メール
項目
氏名、住所、電話番号、メールアドレス、メール本文または添付ファイルに含まれる情報
3.関係者様への対応
現在、情報の流出および不正利用等の報告は受けておりませんが、当該情報の不正利用や漏洩情報を利用した関係者様へのなりすましメール等のサイバー攻撃も想定されますので、不審な電子メール等が届いた場合には、メールは開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。
4.今後の対応
今回の事態を厳粛に受け止め、ホームページとメールサービスの運用を分離し、より強力なセキュリティ機能を有する環境へ移行しました。
今後もセキュリティマネジメント室を中心に、さらなるセキュリティの向上に努めてまいります。
大阪府 個人情報(電子メールアドレス)の流出について 2022年11月4日
(※1)大阪肢体不自由自立活動研究会は、大阪府内の特別支援学校(肢体不自由)及び肢体不自由教育・研究機関に所属する教員等で構成される研究会。大阪府立箕面支援学校は、令和4年度に大阪肢体不自由自立活動研究会の事務局を務めている。
(※2)参加者は、府内特別支援学校教職員、市町村小中学校教職員及び市町村教育委員会職員。
- 事務局の担当者が、講演会のアンケートを依頼するメールを参加者に一斉送信した。
- 参加者から「アドレスが見える状態になっている。」と学校へ連絡があり、「宛先」欄にアドレスを入力して送信していたことが判明した。
- 事務局の担当者から参加者に、メールで経緯説明及び謝罪を行った。
- 校長が府教育庁に報告した。
- 事務局の担当者から参加者に、メールの削除依頼を行った。
- メールを送信する際に、アドレスを「Bcc」欄に入力すべきところ誤って「宛先」欄に入力した。
- 外部の複数名にメールを送信する際は、送信前にアドレス及び入力欄に誤りがないか複数人で確認することとしていたが、それを怠った。
- 当該校及び研究会員に本件事案を共有し、個人情報の取扱い及び外部にメールを送信する際の誤送信の防止等に関することが記載された資料を配布し、注意喚起を行った。
- メール送信前には、すべてのアドレスが「Bcc」欄に入力されていることを必ず複数人で確認し、送信することを周知徹底する。
- 府教育庁から、全府立学校に対して、本件事案を周知するとともに、個人情報の取扱いについて万全を期すよう、注意喚起を行う。
国立大学法人琉球大学 懲戒処分の公表について 2022年11月11日
被処分者は、同じ部局所属の元客員研究員のID とパスワードを使用して、本来研究者本人が受講すべき不正防止のための2つの教育プログラム(e-APRIN、Webclass)を同研究員に代わって受講した。
また、被処分者は、その当時研究に全く従事しておらず、当面研究に従事する予定もなかった同じ部局所属の元職員から、科研費電子申請システムにログインするために必要なe-Rad のID とパスワードを聞き出したうえで、他人名義である元職員の名義で科研費の申請手続をした。
さらに、被処分者は、担当理事から、本件懲戒手続が開始された旨の告知を受けた際、口裏合わせや犯人捜しのようなことはしないように注意されたにもかかわらず、上記の元職員に対してLINEや電話で口裏合わせを依頼したり、調査内容を聞き出そうとする等の調査妨害行為を行った。上記の被処分者の行為のうち、代理受講行為は「研究活動における不正行為に準ずる不適切な行為(国立大学法人琉球大学職員就業規則第54条第16号、第9号)」に、他人名義での科研費申請は「公的研究費の使用及び管理における不正な行為に準ずる不適切な行為(同条第16号、第10号)」に、調査妨害行為は「不正又は非違行為に関わる調査を妨害する行為(同条第15号)」の懲戒事由にそれぞれ該当し、停職3月の懲戒処分とするのが相当であると判断された。
被処分者の行った不正行為等は、研究活動に携わる者として決して許されるものではありません。本学においてこのような事態が発生してしまったことは誠に遺憾であり、関係各方面に対して改めてお詫び申し上げます。本学としては、今回の事案を真摯に受け止め、職員に対して改めて研究倫理に関するルールを遵守するように周知徹底するなどして、再発防止に取り組んでまいります。