【セキュリティ事件簿#2023-121】株式会社サンケイアイ 不正アクセスによるシステム障害に関するお詫びとご報告 2023年4月4日

２０２３年４月３日（月）、当社の業務関連データ等を格納するサーバーに対しランサムウェアによる攻撃があり、保管していた一部のデータが書き換えられる事案が発生いたしました。現時点で判明しております被害の状況および当社の対応状況につきましては、以下のとおりです。

１ 発覚の日時

２０２３年４月３日（月）午前９時頃

２ 感染被害

当社、一部社員のPCおよび、サーバー内の一部保管データが、ランサムウエアに感染 し、閲覧不能の状態となる。

３ 復旧の日時

２０２３年４月３日（月）午後５時頃

４ 対応状況

本件発覚後、ネットワークを遮断し、サーバー管理者および外部の専門業者と連携の上 、速やかな復旧を行いました。現在、外部へのデータ流出については確認されておりません。調査の結果を待って改めてご報告させていただきます。

皆様にご心配をお掛けしておりますこと、心よりお詫び申し上げます。当社といたしましては引き続き本件の原因究明と再発防止に努めて参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-120】北九州市立大学 北九州市立大学教員の懲戒処分について 2023年4月13日

公立大学法人北九州市立大学において、以下のとおり懲戒処分を行ったので公表します。 

１ 被処分者 

文学部人間関係学科 准教授 髙西 敏正 ５５歳 

２ 処分年月日 

令和５年２月７日（令和５年２月１０日退職） 

３ 処分の種類

及び程度 懲戒処分 諭旨解雇 

４ 処分理由 

 被処分者において、次の行為が確認された。

①研究費不正使用

②無許可兼業等

③不正アクセス行為の禁止等に関する法律違反

 これらの行為は、公立大学法人北九州市立大学職員就業規則第５７条第１項第１号に規定する「正当な理由なく無断欠勤をした場合」、第３号に規定する「故意又は重大な過失により本学に損害を与えた場合」、第５号に規定する「本学の信用又は名誉を著しく傷つけた場合」及び第９号に規定する「前各号に定めるもののほか、この規則によって遵守すべき事項に違反し、又は前各号に準ずる不都合な行為があった場合」に該当するため。 

リリース文（アーカイブ）

【セキュリティ事件簿#2023-119】株式会社出前館 アカウント連携システム不備による『出前館』アカウント情報閲覧の恐れに関するお詫びとお知らせ 2023年3月24日

平素より、当社が運営するデリバリーサービス『出前館』をご利用いただきまして、誠にありがとうございます。

株式会社出前館は、2023年3月23日（木）、出前館サービスのアカウントと、サードパーティーとのアカウント連携システムにおける不備による情報閲覧の恐れを解消しましたのでお知らせいたします。本事象は、１台のPCやスマホを複数のお客さまが共有し、サードパーティーとアカウント連携し、出前館サービスを利用するケースにおいて、特定の操作でログインすると、共有したPCやスマホで出前館サービスを使ったお客さまの出前館サービスのアカウント情報の一部が不適切な範囲で閲覧できるおそれがあることが内部調査により判明したものです。このアカウント情報にはクレジットカード情報は含まれておりません。現在はシステム改修を行い、アカウント情報が閲覧できる問題を解消し、該当するお客さまへの通知を行っております。また現在、本件に関わる個人情報の不正利用は確認されておりません。

当社サービスをご利用中のお客さまをはじめ多くの関係者の皆さまには多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

概要

本事象は、お客さまが出前館サービスのアカウントとサードパーティーとのアカウントを連携した後、同じPCやスマホで別のお客さまがログインし、さらにその後、同じPCやスマホで最初のお客さまが再度、出前館サービスにログインをするという状況において、通常のログインではなく、「アカウント連携によるログイン」を選ぶという操作が起きた場合に発生しておりました。このケースでは、後にログインしたお客さまの出前館サービスにおけるアカウント情報の一部を、再度ログインした最初のお客さまが閲覧できるという状態になっておりました。現在は、アカウント情報の不適切な閲覧はできないようシステム改修が完了しております。

今回の対象アカウント数には、ご家族同士が同じパソコンやスマホで出前館サービスにログインしているケースや、お客さまご自身が出前館アカウントを複数保持し切り替えて利用しているケースなど、お客さまが意図して使用している例も対象となっているため、アカウント情報の不適切な閲覧が行われていないケースが含まれております。

影響期間

2020年～2023年3月23日（木）

対象のアカウント数

25万2,860アカウント

アカウント情報の内訳

氏名、生年月日、性別、住所、電話番号、メールアドレス

対応

今回の調査を受けて、2023年3月23日（木）にシステム改修を行い、現在本事象は解消しております。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-118】エイ・ケイ・フランチャイズシステム株式会社 ノートパソコンの盗難に関するご報告とお詫び 2023年3月22日

この度、弊社が運営するファミリーマート下記店舗のアルバイト従業員に係る個人情報漏えいの問題が発生しました。

なお、下記対象店舗には、弊社が第三者から過去に運営を引き継いだ店舗が含まれております。

[対象店舗] 

栗生四丁目店 

シーノ大宮店 

池袋グリーン大通り店

池袋北口店 

東池袋明治通り店 

としまエコミューゼタウン店

サンシャイン南店 

上野駅前店 

日本青年館店

伊藤忠ビル店 

メトロ外苑前店 

神宮スタジアム通り店

青山ビル店 

中野弥生町本郷通り店 

城陽寺田店

城陽平川店 

東大阪三島店 

一津屋三丁目店

堺大野芝町店 

光明池南店 

吉井町二丁目店

南海春木駅前店 

福岡蒲田店 

香椎パークポート店

福岡パルコ店 

福岡平和店 

計 26 店

このような事態を招いたことにつきまして、深くお詫び申し上げます。

〇個人情報漏えいのおそれが発生した状況

• 令和 5 年 3 月 6 日の夜間、弊社社員が帰宅途中に立ち寄った先で、ロッカーに入れていたカバンが盗難被害にあいました。
• 弊社は、直ちに警察に被害届を提出いたしましたが、現在まで、盗難にあったカバン及び内容物は発見、回収されておりません。
• 盗難にあったカバン内にはノートパソコンが入っており、ノートパソコン内には、アルバイト従業員の個人情報ファイル（住所、氏名、生年月日、電話番号、性別、銀行口座、社会保険加入状況、時給 等）が含まれておりました。

当該ノートパソコンについては、ログインパスワードを設定しており、当該パスワードなしに個人情報ファイルにアクセスすることはできません。

また、個人情報ファイルは既退職者の方のデータを非表示設定しており、上記ログインパスワードとは別のパスワードを更に入力しなければ表示されることはありません。

現時点では第三者への個人情報の流出及び不正使用等は確認されておりません。

弊社では、今回の事態を重く受け止め、深く反省し、再発防止策を早急に実施すると共に、個人情報の適切な取り扱いを周知徹底致します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-117】奈良女子大学 情報セキュリティインシデントの発生について 2023年3月29日

この度、学生 1 名の大学メールアドレス及びパスワードが詐取され、Microsoft365のサービスを悪用しメールが送信される事案が発生しました。調査したところ、Microsoft365 に格納されていたユーザー情報（氏名及びメールアドレス）の一覧が表示できる Web ページへのアクセス制限が適切になされていなかったため、当該アカウントでログインされ、ユーザー情報が閲覧された可能性があることが判明しました。

既に当該学生のメールアドレスのパスワードは変更しており、変更後の不正ログインは確認されていません。また、ユーザー情報が閲覧できる Web ページには直ちにアクセスを制限する設定を実施しました。

このような事案が発生し、関係の皆様に多大なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事案を重く受け止め、メールアドレス及びパスワードの厳重な取扱いを徹底するとともに、多要素認証の導入など再発防止措置を講じてまいります。

なお、現在までに、上記以外のメールアドレスやアカウントの悪用等に関する事実は確認されていません。また、この事案に関して、個人情報漏洩の可能性に該当する方に対しては、個別にお詫びと状況説明を行っています。

1．経緯

1. 2023 年 3 月 3 日（金）に、学生 1 名の大学メールアドレスに不審なメールが大量に届いたとの相談が受信後すぐにあり、その場でパスワードを変更した。
   聞き取り調査の結果、当該学生が外部企業等のウェブサイト登録のため、大学のメールアドレスを用いた際に、本学で使用していたパスワードを使いまわしていたことが判明した。
2. 大学のメールアドレスをアカウントとする Microsoft365 のサービスについて調べたところ、当該学生のアカウントで 2023 年 2 月 7 日（火）以降に不審なアクセスが複数回なされたことが判明した。
3. 不審なメールを調査したところ、Microsoft365 の当該アカウントがスパムメールの送信元として悪用されていたことが判明した。上記1.でのパスワード変更後は不正な利用は確認されていない。
4. Microsoft365 サービス上の Web ページで組織内のユーザー情報が閲覧できるページを点検したところ、情報漏洩の可能性があることが判明した。当該ページへはすぐにアクセス制限を実施した。

2．漏洩した可能性のある情報

 氏名・大学メールアドレス

教職員・・・ 1,144 件

学生 ・・・ 3,727 件

３．当該アカウントから送信されたスパムメール件数

 389 件

リリース文（アーカイブ）

【セキュリティ事件簿#2023-116】東京都 個人情報（メールアドレス）の漏えいについて 2023年03月17日

生活文化スポーツ局において、個人情報を漏えいする事故が発生しましたので、お知らせします。

関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1　事故の概要

（1）発生日

令和5年3月16日（木曜日）

（2）漏えいした個人情報

参加者及び登壇者103名のアドレス105件

（3）事故の概要

3月16日に開催した「ウクライナ避難民支援連携フォーラム」について、参加者及び登壇者に資料の事前配布のメールを送信するところ、誤ってメールアドレスをBCC欄ではなく宛先欄に入力して送信

2　経緯

• 3月16日（木曜日）　13時50分
• 「ウクライナ避難民支援連携フォーラム」参加者及び登壇者103名（アドレスは105件）に対し、職員がメールを宛先欄で一斉送信
  すぐに、メールの送信取消機能による処理を実施した結果、宛先欄にメールアドレスが入力された状態で、再度、メールが自動送信されてしまった。
• 同日14時8分
• メールの送信取消機能による処理を、再度実施。結果、宛先欄にメールアドレスが入力された状態で、3回目のメールが自動送信されてしまった。
• 同日17時49分
• 送信先に当該メールの削除依頼のメールを送信、電話での説明を開始
• 同日18時29分
• 取消処理のメールに対して、参加者の一人が全員宛に返信。その結果、宛先欄にメールアドレスが入力された状態でメールが送信された。
• 同日19時41分
• 「TO（宛先）」になっているものについては削除をお願いし、そのメールには返信しないようすることについて、再度、メールで依頼
• 3月17日（金曜日）13時00分時点
• 流出したメールアドレスの所有者に電話連絡。103名中98名へ謝罪・説明（5名不在）
• 不在の5名の方には、引き続き連絡していく
• 現在のところ二次被害等の連絡は受けていない

3　発生原因と再発防止策

（1）発生原因

本件は、外部の複数の相手先へ同時にメールを送る際、通常は複数の職員でBCC欄にメールアドレスが入力されていることを確認した上で送信しているところ、複数の職員での確認を行わなかったことが原因です。

また、フォーラム開催中であり、管理職をはじめ多くの職員が、事務室内におらず、送信を担当した職員がすぐに報告した上で対応することが困難だったため、適切な事後処理が行われなかったことによります。

（2）再発防止策

• 局内の全部署に対し、事故の再発防止に確実に取り組むよう通知を発出するとともに、生活文化スポーツ局サイバーセキュリティ委員会を開催し、個人情報等の適正な取扱徹底について周知しました。
• 今後は、外部の複数の相手先へメールを送付する際は、必ずメールアドレスをBCC欄に入力するとともに、他の職員による確認を行うというルールについて、全職員に再徹底し、再発防止を図ってまいります。
  また、局職員全員に改めて注意喚起を行い、事業執行体制も含め、全部署において再発防止に向けて万全を期してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-115】時事通信社 個人情報入りパソコン紛失に関するお知らせとおわび 2023年3月16日

このたび、当社編集局の記者が業務に使用する個人情報入りのノートパソコンを紛失したことが判明しました。以下、概要をお知らせするとともに、関係先の皆さまに深くおわび申し上げます。 

パソコンは、記者が主に記事執筆や取材資料の管理、メールの送受信などのために利用していました。紛失したのは２０２３年３月９日午前０時半から１時ごろにかけてで、場所は東京都港区内の路上です。タクシーに乗ろうとしたところパソコンを入れたリュックサックの紛失に気付き、周辺を捜すとともに遺失届を出しましたが、発見に至っていません。直前まで飲酒していて記憶があいまいなため、紛失時の状況は不明です。

パソコンには、取材対象者約７０人分の氏名と住所等をまとめた記者作成のリストのほか、記者が取材内容をまとめたメモなども記録されていました。パソコンの立ち上げにはパスワード等の入力が必要で、紛失物の中にパスワードを類推できる情報は含まれておらず、現時点で個人情報の流出などは確認されておりません。

記録されていた個人情報の関係者には、おわびを申し上げているところです。今後は個人

情報の管理体制をより強化し、再発防止に努める所存です。関係者の皆さまには、多大なる

ご心配とご迷惑をお掛けすることを重ねて深くおわび申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-031】日本臓器移植ネットワーク 当社団における不正アクセスに起因するメールデータの一部消失に関するお知らせ 2023年03月14日

当社団がメール業務を委託する事業者（メールサービスプロバイダ）において、外部からの不正アクセスにより、当社団の特定のメールアドレスにおいて一部データが消失したことが判明いたしました。

以下、消失したデータ、発覚の経緯と対応、今後の対応についてお知らせいたします。

また、該当の方々へはお詫びとご報告をさせていただいております。

なお、現時点において、本件に関わるデータの流出は確認されておらず、不正利用等は確認されておりません。

当社団では、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の情報セキュリティの強化に努めて参ります。

何卒ご理解とご協力を賜りますようお願い申し上げます。

１．消失したデータ

• 当社団ホームページのお問い合わせフォームよりご連絡をいただいた方の中で、当社団より折り返し送受信をしたメールデータ
• 最大199名・201件
• 含まれている可能性のあるデータ：氏名、メールアドレス、会社名などの所属　（当社団よりメール送受信した宛先情報）、メール本文内容
• お問い合わせフォームに入力していただいた電話番号・住所・お問い合わせ内容のデータは含まれていません

２．発覚の経緯と対応

• 2023年1月16日
  当社団の特定のメールアドレスにおいて、一部のデータが消失している事実を当社団内部で発見。メールサービスを業務委託している事業者に問い合わせ。当該事業者において調査したところ、外部からの不正アクセスによるデータの消失であることが判明。
• 2023年1月18日
  個人情報保護委員会へ不正アクセス事案の発生について報告。
  その後、継続的に報告、相談。
• 2023年1月20日
  当社団ホームページにて不正アクセス事案の発生について公開。
• 2023年1月26日
  所管警察署に被害届提出。
• 2023年2月～3月現在
  消失データの調査及び関係機関との協議。
• 2023年3月中旬
  該当する方々へのお詫びとご報告。

３．今後の対応

今後、早急に、セキュリティレベルの高いメール業務を委託する事業者（メールサービスプロバイダ）への見直しを図り、セキュリティ強化に努めて参ります。

リリース文（アーカイブ）