【セキュリティ事件簿#2022】日本経済新聞社 「日経スマートクリップ」サービスのサーバーへの不正アクセスについて(第2報) 2023年2月14日


日本経済新聞社の新聞記事クリッピングサービス「日経スマートクリップ」で利用するサーバーに対し、外部から不正アクセスがあったことは2022年12月23日付でお知らせしましたが、外部の専門機関の協力を得て実施した社内調査の結果、顧客企業の一部利用者の個人情報が流出した可能性を否定できないことが判明しました。

情報が流出したおそれのある利用者は949人(過去の「日経スマートクリップ」利用者を含む)です。なお、現時点で、外部への情報流出は確認されておりません。関係先の皆様にはご迷惑とご心配をおかけしていることを深くおわび申し上げます。

不正アクセスは2022年12月14日に判明しました。影響があったのは、子会社の日経メディアマーケティング(日経MM)が契約するホスティングサーバーからサービスを受けている一部の顧客企業です。流出したおそれがある個人情報はメールアドレスのほか、一部利用者については氏名や利用者IDなどが含まれます。

当社は不正アクセスを確認後、被害の拡大を防ぐために当該サーバーへの外部アクセスを遮断するなどの対応を実施してきました。顧客企業には代替サービスを適宜提供しています。引き続き外部の専門機関の助言を得ながら、情報セキュリティ対策をさらに強化するとともに、個人情報の管理を徹底し、再発防止に努めてまいります。

Labels:

【セキュリティ事件簿#2023-060】ソースネクスト株式会社 弊社が運営する「ソースネクストオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年2月14日


このたび、当サイト(www.sourcenext.com)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報112,132件および個人情報120,982件が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

なお、個人情報120,982件が最大漏えい件数となりクレジットカード情報112,132件はこれに含まれております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

経緯

2023年1月4日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、2023年1月5日、当サイトでのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年1月23日、調査機関による調査が完了し、2022年11月15日~2023年1月17日の期間に当サイトで購入されたお客様のクレジットカード情報および個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

個人情報漏えい状況

原因
弊社が運営するサイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行なわれたため。

クレジットカード情報漏えいの可能性があるお客様
2022年11月15日~2023年1月17日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様112,132名で、漏えいした可能性のある情報は以下のとおりです。
    • カード名義人名
    • クレジットカード番号
    • 有効期限
    • セキュリティコード
個人情報漏えいの可能性があるお客様
2022年11月15日~2023年1月17日の期間中に当サイトにおいて購入されたお客様120,982名で、漏えいした可能性のある情報は以下のとおりです。

    • 氏名
    • メールアドレス(パスワードの漏えいはありません)
    • 郵便番号(任意入力項目)
    • 住所(任意入力項目)
    • 電話番号(任意入力項目)
上記 (2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

公表までに時間を要した経緯について

2023年1月4日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

再発防止策ならびにクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行ない、再発防止を図ってまいります。

改修後の当サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年1月6日に、総務省関東総合通信局には2023年1月13日に報告済みであり、また、所轄警察署にも2023年1月10日被害申告しており、今後捜査にも全面的に協力してまいります。

Labels:

【セキュリティ事件簿#2023-059】国立大学法人鹿児島大学 メールアドレス誤登録による情報漏洩について 2023年2月9日


この度、本学教職員によるメーリングリストのメールアドレス誤登録により、個人情報を含む電子メールが一部学外に漏えいする事案が発生しました。

今回このような事案が発生し、関係者の皆様に大変なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事案を重く受け止め、学内の全教職員に対し、電子メールの運用方法の見直しや注意喚起等を改めて行い、再発防止の処置を講じていく所存です。

なお、誤登録されたメールアドレスは既に正しいアドレスに修正し、さらに誤登録に使用されたドメイン宛の送信を停止させる設定対応を行っております。現時点では、情報の悪用等の事実は確認されておりません。また、この事案に関して個人情報の漏えいに該当する方に対しては、個別にお詫びと状況説明を行っております。

1. 経緯

(1)2022年11月22日(火)に他機関で発生、公表された事案を受け、本学でも独自に調査を行った。

調査の結果、本来、メールアドレスのドメインを「@gmail.com」とすべきところを、「@gmai.com」としてアカウント登録しているメーリングリスト3つが、本学2研究室において発見され、実際にメッセージ送信されていることが確認された。

(2)「@gmai.com」は、ドッペルゲンガー・ドメインと呼ばれるもので、情報を搾取する悪質なドメインである。

当該ドメインは、エラーを発出することなく、メールを受信してしまうため、誤登録に直ちに気づくことが出来なかった。

(3)2022年11月24日(木)に、誤登録されたメールアドレスへの対応(削除)ならびに翌11月25日(金)に誤登録に使用されたドメイン宛の送信を停止させる設定対応を行い、それ以降、送信は確認されていない。

(4)利用していたメーリングリストは、主に当該研究室の近況報告やイベントの案内送信用として活用していた。

2. 漏洩した情報(3つのメーリングリストの合計)

(1)漏洩していた恐れのある期間:2020年6月26日~2022年11月24日
(2)「@gmai.com」宛に転送された電子メール 702件
(3)電子メール及び添付ファイルに含まれていた個人情報等(実人数)829名
 ▼学内教職員 270名
  氏名・メールアドレス(一部に電話番号等含む) 125名
  氏名(一部に電話番号等含む) 97名
  メールアドレスのみ 48名
 ▼学内学生 382名
  氏名・学籍番号 109名
  氏名・メールアドレス 232名
  氏名 41名
 ▼学外関係者 177名
  氏名・メールアドレス(一部に電話番号等含む) 83名
  氏名(一部に電話番号等含む) 93名
  メールアドレスのみ 1名
  (※論文著者名などで一般に公表されている氏名等も一律にカウントしています。)

3. 対策(再発防止策含む)

(1)メールアドレス登録時の注意喚起ならびにチェック体制の徹底
(2)ドッペルゲンガー・ドメインに関する情報収集及び通信遮断措置
(3)定期的なモニタリングによる予防

Labels:

【セキュリティ事件簿#2023-058】群馬県 DX産業人材育成支援事業における個人情報の漏洩について 2023年2月10日


群馬県が実施している「群馬県DX産業人材育成支援事業」において、受講生の個人情報(氏名・メールアドレス)が漏洩する事案が発生しました。 今後、このようなことがないよう管理・監督を徹底し、再発防止に万全を期してまいります。

1 概要

本県から委託を受け、当該事業の事務局を運営している有限責任監査法人トーマツ(以下、「事務局」という。)が受講生に対し、ファイル共有システムを通じて、研修開始時におこなったオリエンテーション(研修の進め方の説明、受講生による自己紹介を実施)を録画した動画ファイルを共有した際、事務局による同システムの設定・運用のミスにより、受講生の個人情報(氏名・メールアドレス)が同じ講座を受ける他の受講生でも閲覧できる状態にあったことが特定の受講生からの指摘で判明したもの。

2 経緯

2月1日(水曜日) 

 特定の受講生(オリエンテーション不参加者)から事務局に対し、ファイル共有システム上において、他の受講生の個人情報が閲覧できる状態にあると、個人情報管理の不備を指摘する連絡があった。

2月2日(木曜日)

 事務局は受講生からの指摘事項を確認後、直ちにファイル共有システムの使用を中止し、受講生が個人情報を閲覧できないように対応。

2月3日(金曜日)

 県は事務局からの報告を受け、事務局に対し、ファイル共有システムを使用していた期間内に受講生による個人情報へのアクセス、ダウンロード等の有無を調査するよう指示。

2月7日(火曜日)

 県は事実関係を確認後、個人情報の漏洩が該当する講座の受講生に連絡し、個人情報が他の受講生に閲覧され、漏洩したことを伝え、謝罪した。

3 個人情報の漏洩が該当する講座及び受講生数 

  • デジタルリテラシー向上講座 受講生20名   
  • DX推進人材(ビジネスプランナー)基礎講座 受講生20名   
  • データ利活用基礎講座 受講生20名
なお、複数の講座を受講している受講生がいるため、実人数としては50名

4 今後の対応

県は事務局に対し、個人情報の厳正な管理や情報セキュリティ指導の徹底、受講者へのファイル共有時には複数名での確認の徹底等を指示した。

Labels: ,

【セキュリティ事件簿#2023-057】東京電力エナジーパートナー株式会社 他社専用IDおよびパスワードの取得による社外WEBサイトの不適切な利用について 2023年2月10日


当社は、2023年2月2日、経済産業省資源エネルギー庁が管理・運営するWEBサイト「再生可能エネルギー電子申請」(以下、「当該サイト」)を利用するため、東京電力パワーグリッド株式会社(以下、「東電PG」)に配布されたIDおよびパスワードを、当社社員が使用していたことを確認し、本日、同庁から報告徴収を受けましたので、お知らせいたします。

<本件の背景と経緯>

  • 当社が担う再生可能エネルギーの固定価格買取制度(以下、「FIT制度」)に関する交付金申請手続きにおいて、再生可能エネルギー源の電力買取義務者は、手続きの一環として、交付金額の確定のため、対象となる発電者が非課税事業者か否かを確認しております。
  • 当社は、2017年3月までFIT制度における電力買取義務者であったことから、交付金申請に必要な情報(非課税事業者か否かの確認)※1を得るために、当該サイトを使用しておりましたが、2017年4月のFIT制度の変更に伴い、買取義務者が一般送配電事業者(東電PG)へと変更になったことから、それ以降、当該サイトの利用は一般送配電事業に所属する社員のみに制限されました。
  • 当社はその後、交付金申請手続きについて東電PGへ業務委託※2しており、当該サイトを利用せず、FIT発電者の契約名義から非課税事業者か否かの確認を行っておりました。
  • そうした中、2022年7月、当社の社内システム変更に伴い、交付金申請手続きにおける非課税事業者確認のデータ数が増加したことから、正確性を期すために当社社員が東電PG社員へ当該サイトの利用可否を相談し、IDおよびパスワードの提供を受け、当該サイトが一般送配電事業者に限定されていることを認識せず利用いたしました。
  • その後も当社は、交付金申請手続きにあたり当該システムの利用を継続していましたが、本年2月1日、当該システム画面に「一般送配電事業者ログイン」と表示されていたことを不審に思った当社の他社員が上司に報告し、2月2日、東電PGへ照会したことで、本事案が判明いたしました。
当社は、2023年2月2日、本事案を速やかに東電PGへ報告し、当社が当該サイトへアクセスできないよう、東電PGにて即日パスワード変更を実施しております。また、本事案の事実関係の把握をはじめ、同様の事案等がないか社内調査を進めております。

当社といたしましては、本事案の発生を大変重く受け止めており、原因分析および再発防止策の策定を進めてまいります。

※1 FIT制度において当社が受け取る交付金に関して、事業税非課税事業者との取引分に係る事業税相当額の加算を受けるため事業税の非課税事業者か否かの確認を当該サイトで行っていた。
※2 非課税事業者か否かの確認業務については、当社の業務効率性の観点から当社にて実施する業務委託であった。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-001】株式会社タカミヤ 当社サーバーに対する不正アクセスに関するお知らせ(第2報) 2023年2月10日


当社は、当社が令和5年(2023年)1月23日に公表した「当社サーバーに対する不正アクセスに関するお知らせ」(以下「既報」といいます。)のとおり、当社並びに当社の子会社である株式会社キャディアン、株式会社トータル都市整備、株式会社青森アトム、株式会社エコ・トライ、株式会社タカミヤの愛菜、八女カイセー株式会社、株式会社イワタ、株式会社ヒラマツ及び株式会社ナカヤ機材(以下、各子会社を総称して「子会社ら」といい、当社と子会社らを総称して「当社グループ」といいます。)のサーバーに対して第三者による不正アクセスを受け、ランサムウェア感染被害を受けたことを確認しました。

当社は、事案発覚以後対策本部を設置のうえ、速やかに、関係機関や外部専門機関との連携のもと、復旧への対応を進めつつ、不正アクセスの原因特定・被害の全容解明・再発防止策の策定に取り組んで参りました。これらの取り組みにつきまして、下記のとおりご報告申し上げます。

本件に関して、お取引先、株主・投資家の皆様をはじめとする関係する方々には、多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

1.不正アクセスの概要

調査の結果によれば、攻撃者は、当社ベトナム拠点に対して不正アクセスを行ったうえで当社グループの社内サーバーに侵入し、ランサムウェアを実行し、ファイルの暗号化を行ったものと考えられます。既報の後も引き続きベトナム拠点に存在するサーバー等について調査を実施しましたが、外部専門機関から、さらなる調査を実施しても有益な情報が得られない旨の見解が示されており、調査を終了しております。なお、不正アクセスの原因及び再発防止策は後述のとおりです。

2.漏えい等の可能性がある情報

 漏えいの可能性がある情報は以下のとおりです。
(1)個人情報について
確認できた事実関係の概要は次の通りです。対象となるお客様には、可能な限り個別にご連絡させていただいております。

<当社及び当社のお取引先の一般消費者のお客様関連>
氏名、住所、年齢、電話番号、メールアドレス、性別 

<当社のお取引先関連(お取引先・協力会社の役職員を含む)>
氏名、住所、所属会社(又は団体)、会社所在地、会社電話番号、所属部署、役職、電話番号、メールアドレス、性別、顔写真、本籍地、血液型、年齢、生年月日、雇入年月日、健康診断結果、健康保険番号(下4桁)又は健康保険証(写し)、年金番号(下4桁)、雇用保険番号(下4桁)、建設業退職金共済手帳番号又は建設業退職金共済手帳(写し)、自動車運転免許証番号又は自動車運転免許証(写し)、技能取得免許名称又は免許証(写し)、保有資格名称又は資格証(写し)

<当社の退職者>
氏名、住所、電話番号、生年月日(ご家族含む)、メールアドレス、マイナンバー(ご家族含む)、その他人事情報等

<当社の採用選考に応募されたことのある方>
氏名、住所、電話番号、生年月日、メールアドレス、学歴、職歴(中途採用の場合)

<当社の株主>
氏名、住所、保有株式数又は保有されていた株式数

(2)顧客情報等
 不正アクセスを受けたファイルサーバ内に、業務関連情報や当社の社内情報に関するファイルが含まれていることが確認されました。

3.発覚の経緯及びこれまでの対応経緯

  • 令和4年(2022年)12月8日、攻撃が発生しました。
  • 12月15日、当社の業務システムへのアクセス障害を確認したことから、当社のシステム管理者が調査を行い、社内サーバーに保存されていたファイルが暗号化されるなど、ランサムウェアであるLockBitに感染したことが判明しました。このため、当社は、当社のシステム管理者に、直ちに可能な範囲での被害拡大防止措置を講じさせるとともに、本件の対策本部を設置しました。
  • 12月16日、当社のシステム管理者の調査により、当社の業務遂行における支障を生じさせない最低限の業務システムの復旧は可能な見込みであることが判明し、直ちに復旧作業を開始するとともに、外部専門家の弁護士及びセキュリティ専門企業に本件の対応に関する支援を依頼しました。
  • 12月19日、当社において個人情報保護委員会に対する速報を行うとともに、攻撃対象サーバーに関するデジタルフォレンジック調査を実施する外部専門機関の選定作業等を開始しました。
  • 継続調査により、子会社らにおける本件の影響を確認したため、12月23日、子会社らに関しても個人情報保護委員会に対する速報を行いました。
  • 令和5年(2023年)1月7日、当社グループに対してランサムウェア攻撃をしたと名乗るものからメールを受信し、また、攻撃者のリークサイトに弊社名が掲載されていることを確認しました。
  • 1月10日、攻撃者のリークサイトへの掲載を踏まえ、外部専門機関を起用したダークウェブ調査も開始しました。
  • 1月11日の午前、当社において大阪府警担当課と会議を行い、現状の調査状況を報告し、今後の捜査の進め方につき協議を行いました。
  • 1月11日、攻撃対象サーバーに関するデジタルフォレンジック調査を実施する外部専門機関からデジタルフォレンジック調査の初期報告を受けました。
  • 1月18日、デジタルフォレンジック調査の初期報告をもとに社内リリースを公表しました。
  • 1月19日、大阪府警担当課を訪問し、被害届を提出しました。
  • 1月23日、東京証券取引所及び当社のホームページにて対外公表を実施いたしました。
  • 同日、本件に関するお問い合わせ窓口となるコールセンターを設置しました。
  • 1月26日、デジタルフォレンジック調査を実施する外部専門機関から、更なる調査を実施しても有益な情報が得られない可能性が高い旨の意見を受領し、調査を終了しました。
  • 2月2日、ダークウェブ調査を実施した外部専門機関から、Lockbitのリークサイト以外には、個人情報を含む当社の情報の流出は確認されなかった旨の初回報告を受けました。
  • 本日(2023/2/10)、個人情報保護委員会への確報を行う予定です。

4.調査結果及び再発防止策

(1) 影響範囲
「2.漏えい等の可能性がある情報」に列挙した各情報が暗号化されたこと、また、これらの情報について漏えいのおそれが否定できないことを確認しております。他方で、1月 10日から開始したダークウェブ調査は現在も継続中であり、現在までにダークウェブ上での情報の流出は確認されていません。また、リークサイトにおいては、マイナンバーを含む個人データの公開はされていない可能性が高いと考えられます。

(2) 不正アクセスの原因
当社ベトナム拠点が不正アクセスを受けたのは、当該拠点に設置されていたセキュリティシステムに脆弱性があったことによるものであると考えられます。また、攻撃者による不審な挙動のログを監視する体制が十分とまではいえず、その後の攻撃を阻止することができなかったと考えております。

(3) 再発防止策
当社は、以下のとおり再発防止と情報セキュリティの強化に取り組んでまいります。
【対応済み】
    • 被害発覚日である令和4年(2022 年)12 月 15 日にインターネット回線を遮断しました。
    • 同月 16 日、セキュリティシステムに全てのパッチを適用した上、復旧作業を進めました。
    • セキュリティソフトのログを確認し、問題がない端末から順次ネットワークへの接続を再開させ、業務を復旧させました。
    • 被害前から実施している当社グループネットワーク内の異常通信の監視及び自動検知について、継続して実施しています。
    • セキュリティシステム、ネットワーク、認証機能を変更・強化しました。
    • マルウェア等の感染の早期検知・対応を目的とした最新の EDR 製品を追加的に導入することにより、エンドポイントレベルでの可視化及び情報収集を実施しました。
    • データバックアップ方法の見直し及び多重化を実施しました。
【対応予定】
  • 当社グループネットワーク内の異常通信の監視及び自動検知をさらに強化するため、外部 SOC ベンダーによるネットワークの常時監視を実施するとともに、不正なトランザクションが検出された場合の早期かつ適切な対応を実施することができる体制を構築します。
  • 管理ログの設定及び保存方法を見直します。
  • 当社グループの全役職員を対象とする、セキュリティに関する e ラーニング教育を実施します。


Labels:

【セキュリティ事件簿#2023-056】株式会社丹野こんにゃく 弊社が運営する「丹野こんにゃくオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年2月8日


このたび、弊社が運営する「丹野こんにゃくオンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(861件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。なお、個人情報が漏洩した可能性のあるお客様には、本日より電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、全力で再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年11月11日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、不正アクセスの可能性が疑われたため、同日、外部からのアクセスを遮断すると同時に、弊社が運営する「丹野こんにゃくオンラインショップ」でのカード決済を停止いたしました。

2022年11月17日、第三者調査機関による調査も開始いたしました。

2022年12月9日、調査機関による調査が完了し、2021年3月9日~2022年3月31日までの間に「丹野こんにゃくオンラインショップ」で購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

なお、弊社では、2022年4月1日より「丹野こんにゃくオンラインショップ」を環境の異なる新システムに切り替えております。今回のクレジットカード情報漏洩は、切り替え前の旧システムにおいて使用されたクレジットカードにて確認されたものであり、新システムにおいて使用されたクレジットカード情報の漏洩は確認されておりません。

 *旧システムURL:https://shop.tannokonnyaku.co.jp/
 *新システムURL:https://www.tankon.shop/

2.個人情報漏えい状況

(1)原因
 弊社が運営する「丹野こんにゃくオンラインショップ」のシステムの一部に脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
 2021年3月9日~2022年3月31日の期間中に「丹野こんにゃくオンラインショップ」においてクレジットカード決済をされたお客様861件で、漏洩した可能性のある情報は以下のとおりです。
 ・カード名義人名
 ・クレジットカード番号
 ・有効期限
 ・セキュリティコード

 上記に該当する861件のお客様については、別途、電子メールおよび書状にて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目の記載がないか、今一度ご確認をお願いいたします。万が一身に覚えのない請求項目の記載があった場合には、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問合せいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年11月11日の漏洩懸念発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制強化を行い、再発防止を図ってまいります。

改修後の「丹野こんにゃくオンラインショップ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年11月11日に報告済みであり、また所轄警察署にも2022年12月1日被害申告しており、今後捜査にも全面的に協力してまいります。

尚、メールでのお問い合わせは24時間受付となりますが、ご回答は相談窓口受付時間内とさせていただきます。

このたびは、皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、誠に申し訳ございません。

重ねまして、深くお詫び申し上げます。

Labels:

【セキュリティ事件簿#2023-055】明治大学 本学サーバーへの不正アクセスによる被害および個人情報漏洩の可能性について 2023年2月9日


本学生田キャンパスにおいて運用・管理する教育研究システムが第三者による不正アクセスを受け、サーバーに保管されていたメールアドレスが窃取された可能性があることが判明いたしました。

関係する皆様に多大なご迷惑をおかけしましたことを心よりお詫び申し上げます。
現在の状況と今後の対応につきまして、次のとおりご報告いたします。

1 経緯

生田キャンパスの教育研究システムのサーバーに対し、第三者からの攻撃が行われ、不審なプログラムが実行されていることが、2022 年 10 月 19 日に判明いたしました。直ちに被害拡大の防止措置を行うとともに、情報漏洩などの被害状況を確認すべく、同年 10 月から 12 月にかけて外部専門業者の協力を得ながら調査を続けてまいりました。

調査の結果、攻撃は同年 7 月 25 日から複数回にわたって行われており、学生および本学構成員36,692件のメールアドレスが窃取された可能性があることが判明いたしました。

2 被害状況

窃取された可能性のあるメールアドレス 36,692 件は、MeijiMail のサービス名称で本学が構成員に対して発行しているものです。全ての方々について、氏名・住所・電話番号・パスワード・成績情報などの個人情報は、窃取されていないことを確認しております。しかしながら、このうちの 48 件については、メールアドレスから氏名が類推されることを確認いたしました。

なお、現時点において、不正に得た情報が悪用されたという被害報告はございません。

3 メールアドレスから氏名が類推される可能性がある方々への対応

すでに、メールアドレスから氏名が類推される可能性がある方々に対し、その事実を報告し、謝罪文を送付しております。また、その他の方々にも、本学学生・教職員向けのポータルサイト(Oh-o!Meiji システム)を通じて報告をしております。併せて、本件に関する問い合わせ窓口を案内し、個別に対応を行っております。

4 被害の拡大防止および再発防止について

事態を把握した 2022 年 10 月 19 日中に、不正に使用されたアカウントの停止や、通信の遮断などの対策をいたしました。また、攻撃プログラムの除去およびセキュリティに関連した脆弱性の点検を行い、被害の拡大防止措置を取っております。

現在、引き続き専門業者の協力のもと原因究明調査を行っております。詳しい原因が判明次第、事態の再発防止と早期発見に向けたさらなる対策を講じてまいります。

Labels:
登録: 投稿 (Atom)