XSSポリグロットとは　～入れ歯のポリグリップじゃないぞ～

Cross-site scripting (XSS)は、ウェブアプリケーションのセキュリティ脆弱性の一つであり、攻撃者が悪意のあるスクリプトを正当なウェブページに挿入することができます。この脆弱性をテストする際、さまざまなインジェクションの文脈に直面することがよくあります。それぞれの文脈に合わせてペイロードを変更するのは時間がかかる場合がありますが、XSSポリグロットはこの問題を解決するのに役立ちます。

XSSポリグロットとは何か？

XSSポリグロットは、その生の形式でさまざまなインジェクション文脈内で実行可能なXSSベクトルとして定義できます。

GitHubのHackVaultに掲載されているポリグロットは以下の通りです：


jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//<stYle/<titLe/<teXtarEa/<scRipt/--!><sVg/<sVg/oNloAd=alert()//>

このポリグロットは、さまざまな文脈でのXSS攻撃をカバーしており、その解剖学的な構造は非常に興味深いものとなっています。

まとめ

XSSポリグロットは、複数のインジェクション文脈で動作するXSSペイロードを作成する技術です。これにより、セキュリティ研究者やペネトレーションテスターは、特定の文脈に合わせてペイロードを変更する手間を省くことができます。HackVaultの記事は、この技術の深い洞察と実用的な例を提供しており、XSSの研究をしている人にとって非常に価値のあるリソースとなっています。

興味を持たれた方は、こちらのリンクから詳細を確認することができます。

出典：THM | Cross-site Scripting

【セキュリティ事件簿#2023-274】株式会社東玉　弊社が運営する「東玉オンラインショップ」への不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ　2023年7月25日

このたび、弊社が運営する「東玉オンラインショップ」（https://www.tougyoku.com/。以下「本件サイト」といいます。）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（38件）及び個人情報（1,244件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。なお、2023年4月5日時点でクレジットカード情報の漏洩した可能性が判明していたお客様には、二次被害の防止の観点から、既に第一報を電子メールにてお送りしておりますが、改めて、本日から個別にお詫びとお知らせをご連絡させていただいております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年3月17日、本件サイトを利用したお客様のクレジットカード情報の漏洩懸念を弊社において検知し、同日、本件サイトでのカード決済を停止いたしました。

また、第三者調査機関による調査も開始いたしました。2023年4月5日、同日時点でクレジットカード情報の漏洩した可能性が判明していたお客様に対して、二次被害の防止の観点から、第一報を電子メールにてお送りいたしました。2023年5月26日、調査機関による調査が完了し、2023年3月1日～2023年3月14日の期間に本件サイトで購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、また、2023年3月16日までに本件サイトにおいて会員登録又は商品の購入をされ

たお客様の個人情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.クレジットカード情報及び個人情報漏洩状況

(1)原因

弊社ではクレジットカード情報を保有しておりませんでしたが、本件サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏洩の可能性があるお客様

2023年3月1日～2023年3月14日の期間中に本件サイトにおいてクレジットカード決済をされたお客様（クレジットカード決済後、商品購入の取消しをされたお客様を含みます）30名で、漏洩した可能性のある情報は以下のとおりです。なお、弊社の店舗、その他弊社商品取扱店舗、展示会及び本件サイト以外の通販サイトにおいて、弊社の商品をご購入されたお客様は対象外となります。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏洩の可能性があるお客様

①2023年3月16日までに本件サイトにおいて会員登録をされたお客様265名で、漏洩した可能性のある情報は以下のとおりです。

・氏名

・住所

・電話番号

・メールアドレス（本件サイトのログインID）

・本件サイトのログインパスワード（暗号化されております）

・性別（※）

・生年月日（※）

（※）会員登録時に当該情報を入力されたお客様のみが対象です。

②2023年3月16日までに本件サイトにおいて商品の購入をされたお客様（商品購入後、商品購入の取消しをされたお客様を含みます）1,007名で、漏洩した可能性のある情報は以下のとおりです。

・氏名

・住所

・電話番号

・メールアドレス

・お届け先情報

・（名前旗・名前木札に記載した）お名前・生年月日（※）

（※）名前旗・名前木札をご購入されたお客様のみが対象です。

③上記②の商品購入においてお届け先として指定された商品ご購入者以外のお客様187名で、漏洩した可能性のある情報は以下のとおりです。

・氏名

・住所

・電話番号

上記⑵⑶に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

3.お客様へのお願い

(1)クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記2.⑵の対象となるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2)ログインID・パスワード変更のお願い

本件サイトのログインパスワードは暗号化されておりましたが、2023年3月16日までに本件サイトにおいて会員登録をされたお客様におかれましては、念のため、たいへんお手数ですが、本件サイト内のMYページより、現在使用されている本件サイトのログインパスワードを変更していただきますようお願い申し上げます。なお、パスワードをお忘れの場合は、MYページのログイン画面より「パスワードを忘れた方はこちらからパスワードの再発行を行ってください。」を選択の上、パスワードの再発行をお願いいたします。

また、他のサイトで本件サイトと同一の値のログインID・パスワードを使用されている場合には、念のため、当該他のサイトにおいてもログインID・パスワード変更のお手続をいただきますよう、併せてお願い申し上げます。

(3)不審なメール及び電話への注意喚起

身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.公表が遅れた経緯について

2023年3月17日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびにクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

本件サイトにおけるクレジットカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

なお、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年3月20日に報告済みであり、また、所轄警察署にも2023年3月30日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-208】株式会社エムケイシステム　当社サーバへの不正アクセスに関する調査結果のご報告（第３報）　2023年７月19日

当社は、当社サービスを提供しているデータセンター上のサーバがランサムウェアによる第三者からの不正アクセスを受け、当社が保有するお客様の個人情報が流出したおそれがあること及びデータの暗号化により正常にサービスが提供できない状況になっていたこと（以下、「本事案」といいます。）について、2023年６月６日から2023年６月21日にかけて公表いたしました。

この度、外部専門機関による本事案に関するフォレンジック調査（※）が完了し、報告書を受領しましたので、当該調査結果及び再発防止に向けた取り組みにつきましてご報告申し上げます。

当社システムは現時点でほぼ復旧しており、現時点まで本事案に関わる情報流出は確認されておりません。なお、当社はマイナンバーについては高度な暗号化処理を施しており、今回の流出の恐れがある情報範囲には含まれておりません。

お客様はじめ関係各位の皆様に多大なご迷惑をお掛けしましたことを深くお詫び申し上げます。

※フォレンジック調査とは、デジタル機器の記憶装置から証拠となるデータを抽出し、サーバや通信機器などに蓄積されたログ等の証跡情報から発生事象を明らかにする手段や技術のことをいいます。

１．発生事象

2023年６月５日（月）未明、弊社情報ネットワーク内の複数のサーバがサイバー攻撃を受け、サーバ上のデータが暗号化されました。この攻撃により、暗号化されたデータへのアクセスができなくなり、結果としてシステムが停止し、当社サービスの対象である約 3,400 ユーザーの大半に対して正常にサービスを提供できない状況となり、再構築を余儀なくされる事態となりました。

２．本事案の対応経緯

2023年６月５日（月）未明、弊社担当者が弊社のデータセンターで稼働するサーバへアクセスできないことからシステム異常を認知しました。事象を認知した後、弊社担当者がデータセンターへ入館し状況を確認した結果、弊社サービスを使用しているサーバがランサムウェアに感染していることが判明しました。事象確認後、同日９時頃からデータセンターで稼働していた全てのサーバをネットワークから遮断し、マルウェアの感染拡大や被害拡大防止のための対処を行いました。

本事案に関する主な対応経緯は以下の通りです。

日付	対応状況
2023/6/5（月）6:00頃	システムやサービスにアクセスできない状況を確認、システム異常を検知
2023/6/5（月）7:00頃	弊社内での調査開始。ランサムウェアによる感染を認知
2023/6/5（月）	ランサムウェア被害対策本部設置
2023/6/5（月）午後	外部の情報セキュリティ専門会社へ対応要請～状況ヒアリングや初動対応及び原因調査のためのデータ保全等を実施
2023/6/6（火）	大阪府警（捜査当局）へ本事案について連絡、事情聴取に対応
2023/6/6（火）	「第三者によるランサムウェア感染被害のお知らせ」適時開示
2023/6/8（木）	個人情報保護委員会へ報告
2023/6/9（金）	「第三者によるランサムウェア感染被害への対応状況のお知らせ」適時開示
事案発生直後～現在	システム復旧に向けた再構築（継続対応中）
2023/6/21（水）	「第三者によるランサムウェア感染被害への対応状況のお知らせ（第２報）」適時開示
2023/6月中旬～現在	再発防止策及び対策強化（継続対応中）
2023/6/30（金）0 時	一部サービスの再開：社労夢 V5.0（社労夢シリーズ、ネット de顧問、ネット de事務組合）、DirectHR
2023/7/7（金）9時	一部サービスの再開：社労夢 V3.4（社労夢シリーズ、ネット de顧問、ネット de事務組合）、MYNABOX、MYNABOX CL
2023/7/11（火）0時	一部サービスの再開：一般企業向け社労夢 CompanyEdition V5.0、DirectHR、MYNABOX
2023/7/19（水）	個人情報保護委員会へ確報を提出
2023/7/19（水）	当社サーバへの不正アクセスに関するお知らせと調査結果のご報告（本報告）

３．フォレンジック調査により判明した事実

外部の第三者による侵入経路の特定
不正アクセスの影響を受けたサーバ機器の特定
侵害状況及び流出の恐れがある情報範囲の特定

※今後の情報セキュリティ面のことを考慮し、上記判明した事実の内容については、詳細の公表を控えさせて頂きます。

４．情報漏洩の有無について

調査の結果、本事案がランサムウェアによる侵害であることから、何らかのデータが攻撃者によって窃取された可能性は完全には否定できませんが、情報窃取及びデータの外部転送等に関する痕跡は確認されませんでした。また、現時点において、当社情報がダークウェブ等に掲載されていないか調査を実施してきましたが、当社情報の掲載や公開は確認されませんでした。

以上、調査の結果、情報漏洩の事実が確認されていないことをご報告申し上げます。

５．サービス再開について

2023年６月30日（金）よりAWS基盤（クラウド環境）での環境を構築し、順次、サービスを再開いたしました。これまでに提供を再開したサービスは以下の通りです。

・これまでに再開したサービス

社労夢 V5.0

社労夢 V3.4

社労夢 CompanyEdition（V5.0のサービス）

ネット de 顧問

MYNABOX

MYNABOX CL

ネット de 事務組合

DirectHR

・７月下旬に再開を予定しているサービス

SR-SaaS

社労夢 CompanyEdition（V3.4のサービス）

６．再発防止策

本事案については、外部専門機関による調査に基づき、「３．フォレンジック調査により判明した事実」により判明した本事案の発生原因及び推奨された以下の①から⑥までの再発防止策を踏まえ、外部専門機関と連携して今後の情報セキュリティ面の強化及び再発防止のための対策を講じております。

①適切なアクセス制限の実施

②脆弱性管理の徹底

③強固な認証方法の利用

④定期的なアカウントの棚卸し

⑤定期的なログレビューの実施

⑥インシデントに対する体制整備

本ご報告公表時点において対策済みの事項及び今後の対策予定に分けてそれぞれご説明いたします。

（１）対策済

・各機器の OS 及びソフトウェアの最新化

・ウイルス対策ソフトを最新化した上でのフルスキャンの実施

・アカウントのパスワードポリシーの強化、パスワード再設定

・エンドポイント端末への EDR 導入及び保護、SOC による常時監視

・セキュリティ対策を実装したクラウド環境（AWS）での新規構築

・再構築及び再開サービスに対するペネトレーションテストの実施

・アカウントの棚卸し（不要アカウントの無効化または削除）

・ログの安全な保管及び長期保存の設定実施

・ファイアウォールポリシーの見直し、強化

（２）対策予定

今後、CIS Control Version 8（情報セキュリティガイドライン）の管理策を参考とし、以下の対策を推進します。

・ネットワークセキュリティ対策強化

・エンドポイントセキュリティ対策強化

・OS 及びソフトウェアの更新管理の徹底

・ペネトレーションテスト（脆弱性検査等）の定期的な実施

・リスクアセスメント、情報セキュリティ監査の定期的な実施

・情報セキュリティの運用体制見直し（情報セキュリティ専門家活用）

・情報セキュリティインシデントに対する体制整備（CSIRT 構築運用）

・従業員に対するセキュリティ教育（定期的な啓発活動）

・事業継続計画（IT-BCP）の見直し

７．第 2 四半期（累計）及び通期連結業績予想について

当社は、2023年６月29日付「業績予想の修正に関するお知らせ」において、第 2 四半期（累計）及び通期連結業績予想につきまして、連結業績予想を一旦取り下げ、未定といたしました。

本事案により影響を受けた対象ユーザー様に対する６月ご利用分について請求を停止することとしましたが、７月ご利用分についてもサービスの提供が順次のリリースとなったことから、一部ユーザー様については日割りでのご請求となる見込みであります。また、インフラ設備の再構築費用、セキュリティ強化のための費用などコストの増加が見込まれます。

しかしながら、今回の不正アクセスによる対象ユーザー様の解約や新規受注の減少の影響を現時点で正確に見積ることが困難であり、かつ、システム復旧やセキュリティ強化のための各種費用が今後も増加する可能性があります。現時点において適正かつ合理的な計画の策定が困難であることから、通期連結業績予想については、策定次第公表させていただきます。

なお、現時点におきましては、１株当たり８円の年間配当予想の修正はございませんが、通期連結業績予想の確定後、修正が必要な場合は、改めて公表いたします。今後も企業価値の向上に努め、株主の皆様へ安定的な利益還元が実現できるように取り組んでまいります。

リリース文（アーカイブ）

ブラインドXSSの検出を簡単に: 「XSS Hunter Express」の力

近年、ウェブセキュリティは日々の生活の中でますます重要な役割を果たしています。特に、クロスサイトスクリプティング（XSS）のような脆弱性は、デジタルエコシステム全体の安全性を脅かす可能性があります。そこで、今日は「XSS Hunter Express」という驚くべきツールを紹介したいと思います。

「XSS Hunter Express」は、XSS Hunterの簡単にセットアップできるバージョンで、わずか5分でセットアップが完了します。このツールは、ブラインドクロスサイトスクリプティングの脆弱性をテストし、検出するための最速の方法を提供します。主な特徴として、管理されたXSSペイロード、強力なXSSプローブ、完全にDocker化された環境、自動TLS/SSLセットアップ、ページのスクリーンショットなどがあります。

ウェブアプリケーションのセキュリティテストに関心がある方や、最新のセキュリティツールを探している方には、この「XSS Hunter Express」は絶対に見逃せないツールです。詳細やセットアップ方法については、公式のGitHubページを参照してください。

ウェブセキュリティを強化し、デジタル空間をより安全な場所にするための一歩として、このツールを活用してみてください。

出典：Cross-site Scripting

【セキュリティ事件簿#2023-273】鳥取県　鳥取県民スポーツ・レクリエーション祭参加募集サイトに係る個人情報の流出　2023年07月20日

県が公益財団法人鳥取県スポーツ協会に委託実施している「鳥取県民スポーツ・レクリエーション祭」について、同協会のサイトで競技ごとに申込書ファイルを掲載し参加者を募集していたところ、ソフトテニスについて、過去の参加者の個人情報が掲載されたファイルが掲示されていたことが判明しました。該当者に対しては同協会より状況を説明し謝罪を行いました。今後、このようなことが起きないよう再発防止対策を講じます。

判明した日時

令和5年7月18日（火）　9時42分

経緯

令和5年度「県民スポレク祭」について、県スポーツ協会ではホームページで要項や参加申込書をダウンロードできる形で掲載（様式等は各競技団体等が作成し県スポーツ協会に提供）していたところ、境港市スポーツ協会の担当者から「ソフトテニスの参加申込書ファイルに個人名等が出ている」旨、県スポーツ協会に連絡があった。
内容を確認したところ、参加申込エクセルファイル中、過去（平成22年度）の東伯郡男子チーム13名の個人情報が掲載された部分が確認され、同ファイルを直ちにホームページから削除。

発生原因

東伯郡ソフトテニス協会が提供したファイルを県スポーツ協会が内容を十分確認せず、7月12日から判明時点までホームページに掲載していたもの。

流出した個人情報

平成22年度当時のソフトテニス東伯郡男子チーム13名の氏名、生年月日又は学年、年齢、住所

対応状況

県スポーツ協会において7月20日までに該当者全てに経緯の説明及び謝罪を終え、いずれも了承を得た。

再発防止策

(1)県は県スポーツ協会に対し、改めて個人情報の取扱いについて厳重に注意するとともに、個人情報の適正な管理の徹底及び以下の再発防止策を徹底するよう指示した。

協会における作業手順を再点検するとともに、職員への周知徹底を図ること。
ホームページのアップは個人情報の有無について2名以上でダブルチェックを行った上で行うこと。

(2)県スポーツ協会は、毎年度職員研修を実施し、個人情報の取扱いについて厳重に注意し、県が指導した上記の再発防止策を徹底すること。

鳥取県民スポーツ・レクリエーション祭（県民スポレク祭）

趣旨　広く県民にスポーツ・レクリエーション活動を全県的な規模で実践する場を提供することで県民一人ひとりにスポレク活動への参加意欲を喚起し、県内各地での生涯を通じたスポレク活動の振興に資する。
期日等　実施種目／水泳、陸上、スキー他45競技
夏季大会／8月26・27日、秋季大会（ソフトテニスも）／10月28・29日、冬季大会／2月11日ほか

リリース文（アーカイブ）

【セキュリティ事件簿#2023-272】北海道大学病院における個人情報を含むUSBメモリの紛失について　2023年7月24日

このたび、本院臨床検査技師が、共同研究のために昭和大学病院より提供された患者様(178名分)の個人情報が保存されたUSBメモリを紛失する事態が発生しました。

本院では、個人情報の取扱いについて策定したガイドラインに基づき厳重な取扱いの周知徹底を図ってきたところですが、この様な事態が発生しましたことは、重大な問題であると受け止めており、関係の皆様に多大なご心配及びご迷惑をおかけしたことを深くお詫び申し上げます。

【USBメモリ紛失の概要】

本件は、令和5年7月3日（月）に当該臨床検査技師より、個人情報が保存されたUSBメモリを紛失した旨の報告が本院にありました。当該臨床検査技師が紛失したUSBメモリを最後に確認したのは令和5年6月29日（木）であり、ただちに学内各所の捜索、警察への遺失届を行いましたが、現時点において発見には至っておりません。

なお、現時点で本件の個人情報が第三者に流出したという情報や不正に使用された事実は確認されておりません。

【紛失したUSBメモリに保存されていた個人情報】

昭和大学病院の患者情報（患者ID、氏名、生年月日、年齢、性別、診断名）178名分

【現在の対応状況】

今回の事態を受けて、対象となる患者様については、謝罪及び経緯を説明した文書を送付し、このことによる被害が発生した場合は、北海道大学病院または昭和大学までご連絡頂くよう案内いたしました。

【本院における個人情報等の機密情報の取扱いとの関連について】

本院では、「北海道大学病院における個人情報管理に関するガイドライン」を策定し、個人情報の持ち出しにあたっては、指定区域外へ持ち出す場合は誓約書を作成するなどの手続きを定めている他、要機密情報をUSBメモリ等の外部記録媒体に保存する場合には当該外部記録媒体を暗号化する、または、当該要機密情報を暗号化することとしております。

しかしながら、紛失したUSBメモリは、指定区域外に持ち出され、暗号化はされておりませんでした。

【再発防止に向けた今後の取組】

本院全教職員に対し、次のとおり周知徹底を図ってまいります。

個人情報が保存された電子媒体の管理の強化・徹底
USBメモリ紛失による漏洩リスクと対策を題材にセキュリティ講習会を実施
「北海道大学病院における個人情報管理に関するガイドライン」等に基づいて適正に管理することをあらためて注意喚起

事実関係の確認並びにUSBメモリに保存されていた内容を特定する作業に時間を要し、この時期の公表となりました。公表が遅れましたこと重ねて深くお詫び申し上げます。

今後は、個人情報の取扱いについて、教職員に対してより一層の厳重な取扱いの周知徹底を図るとともに、再発防止に努めて参ります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-271】近畿大学　学生・教職員のメールアドレス等の流出についてお知らせとお詫び　2023年7月13日

このたび、近畿大学奈良キャンパスで利用しているドメイン（nara.kindai.ac.jp）において、利用者のアカウント情報の一部が不正に取得され、漏えいしたことが判明しました。詳細は現在調査中ですが、アカウント情報3,549件の漏えいの疑いがあります。なお、今のところ、この情報流出による被害の報告はありません。

該当する方々には、ご迷惑、ご心配をおかけしましたことを深くお詫び申しあげます。このような事態を招いたことを重く受け止め、今後、原因の究明に努めるとともに、個人情報の取り扱いについてはさらに厳重に注意し、セキュリティ対策を強化して再発防止に努めてまいります。

１．事案の内容

令和5年（2023年）7月10日（月）18:00頃、提携業者から、奈良キャンパスのドメイン利用者のアカウント情報の一部が、不適切なデータ交換が行われているウェブサイトに公開されている、との情報提供がありました。直ちに本学で確認を行ったところ、アカウント情報3,549件の漏えいの疑いがあることがわかりました。流出の経路や原因は現在調査中であり、未だ不明です。

２．漏えいした可能性のある情報

近畿大学奈良キャンパスで利用しているドメイン（nara.kindai.ac.jp）におけるアカウント情報3,549件の「ユーザー名」「メールアドレス」

３．対応

7月11日（火）、漏えい元となった情報へのアクセス制限を実施するとともに、奈良キャンパスの学生・教職員に向けて、当該事実の報告とパスワード変更及び2段階認証の設定依頼、2次被害に対する注意喚起を行いました。現在、流出経路の特定と原因の解明に努めています。

なお、本日までにこの情報流出による被害の報告はありません。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-270】公立学校共済組合　個人情報漏えいについてお詫びとご報告　2023年7月25日

公立学校共済組合兵庫支部が保有している人間ドック受診決定者の個人情報について、人間ドックシステム保守業務を委託している業者（㈱ファインシステム）の不適切なデータの取り扱いに起因して、2020年度に実施した１医療機関分（301名）の個人情報が、インターネット上で閲覧可能な状況になっていたことが判明しました。なお、現在のところ、本件に関しての被害等の報告はございません。

今回の件でご迷惑、ご心配をおかけした皆さまにお詫び申し上げますとともに、再発防止に取り組んでまいります。

１事案発生の経緯と対応

（１）令和５年７月14日（金）

組合員の方から「インターネットで自分の名前を検索したところ、人間ドックの受診決定一覧が閲覧可能な状態である。」旨の連絡により発覚した。
人間ドックシステム保守管理業者である㈱ファインシステムに連絡し、業者のテスト公開用のサーバーに個人情報が含まれたファイルが存在していることを確認。直ちに当該ファイルが表示されないようサーバーのインターネット接続を切断
各検索サイト事業者に対して本件に関する情報の削除を依頼

（２）令和５年７月15日（土）削除完了

（３）令和５年７月18日（火）流出原因の調査、対応策の検討

（４）令和５年７月20日（木）

2020年度当該医療機関の人間ドック受診が決定した301名に対して本件に関するお詫び文書を発送

２漏えいした情報

｢2020年度人間ドック医療機関別受診決定者一覧｣のうち１医療機関 301名分

内容：組合員番号、所属名、所属電話番号、組合員氏名、当時の年齢、性別、住所（自宅・所属）
閲覧可能期間：令和２年12月17日～令和５年７月14日

※受診決定者の一覧にある氏名で検索した場合のみ表示される。

３漏えいの原因

（１）令和２年12月17日㈱ファインシステムが公立学校共済組合兵庫支部において人間ドックシステムのメンテナンス作業を行った後、システムの修正内容を再確認するため、システムのプログラムデータをＵＳＢメモリにコピーし持ち帰った。※そのデータの中に個人情報の入ったデータが含まれていた。

（２）同日、ＵＳＢメモリにコピーしたプログラムデータを㈱ファインシステムのテスト公開用サーバーにコピーした。テスト公開用サーバーはインターネットに接続可能な状態にあったため、個人情報が含まれるデータは外部から閲覧可能な状況になっていた。

４今後の対応

（１）㈱ファインシステムでは再発防止のため①USBを用いないデータ受渡作業方法の検討②インターネットからアクセスできないサーバーでの作業の実施③サーバー適用作業時には複数人で確認するなどの措置を講じます。

（２）公立学校共済組合兵庫支部では、改めて委託業者による個人情報の取扱いに係る責任体制の強化を求めるとともに個人情報の適正管理方法の周知徹底を図ってまいります。

リリース文（アーカイブ）

登録: 投稿 (Atom)