【セキュリティ事件簿#2023-344】福岡市 個人情報の流出事案について 2023年9月1日


下記のとおり、個人情報の流出事案が発生いたしました。関係者の皆様に深くお詫びし申し上げますとともに、再発防止を図ってまいります。

1 事案概要
東平尾公園管理事務所(指定管理者:公益財団法人福岡市緑のまちづくり協会。以下、「協会」という。)の職員が、勤務時間中に自席端末からニュースサイトを閲覧していたところ、サポート詐欺に誘導され、端末を遠隔操作された。
しばらくして詐欺であると気づき、電源を遮断したが、その間に、協会のサーバーに不正アクセスされ、104 名分の個人情報が流出した可能性があるもの。

2 流出した可能性があると想定される個人情報:104 名
① 平成 30 年度ベスト電器スタジアムバックヤードツアー参加者名簿(32 名)
  • 氏名(漢字・フリガナ) ・郵便番号 ・住所 ・年齢
  • 属性(小学校名、学年、参加団体名)
② 東平尾公園野球場及び体育館の利用団体代表者連絡先一覧(72 名)
  • 団体名 ・代表者連絡先 ・代表者氏名(カナ) ・団体人数 ・種目

3 事案発生日時
 令和5年8月 16 日 19 時 55 分頃

4 事案発覚日時
 令和5年8月 23 日 11 時 40 分頃

5 事案発生後の対応等
 現在、対象者に対し、電話などにより事案発生について説明、謝罪を行っている。

6 再発防止策
 情報セキュリティ研修を行い、情報機器の適切な取扱いについて改めて周知徹底を行い、再発防止策を講じる。

Labels:

【セキュリティ事件簿#2023-343】奈良県 不正に取得された教職員のメールアドレスからの不審なメールの送信について 2003年9月1日


このたび、奈良県教育委員会が運用しているドメイン(e-net.nara.jp)において、教職員のメールアドレスが不正に取得され、漏えいしたことが判明しました。詳細は現在調査中です。

現在のところ、不正取得された1件のメールアドレスから約 1,500 件の宛先にメールが送付されたことが確認されています。

不審なメールが送付された方々には、ご迷惑、ご心配をおかけしましたことを深くお詫び申しあげます。このような事態を招いたことを重く受け止め、今後、原因の究明に努めるとともに、セキュリティ対策を強化し再発防止に努めてまいります。

1 事案の内容
  • 8月 25 日(金)及び 28 日(月)に、メールアドレスを不正取得された者に対し、メール受信者から不審なメールが届いたと申告。
  • 8月 30 日(水)教育研究所(@e-net.nara.jp 管理者)に、メール受信者から不審なメールが届いたと連絡。県教育委員会が当該アカウントの履歴等を確認。同アカウントから約 1,500 件のメールが送信されていることを確認。
2 原因

外部からのメールを受信した際、確認が不十分なまま、メール本文中の URL をクリックしたため、メールアドレスを不正に取得されたもの。

3 対応
  • 8月 30 日(水)当該アカウントの停止
  • 8月 31 日(木)不審なメールの送信先に状況説明と謝罪をメールにて連絡。
  • 8月 31 日(木)全教職員(e-net.nara.jp のアドレス付与者)に不審メールへの対応について注意喚起をメールにて実施
  • 引き続き、ログを解析し、さらなる情報流出がないかの確認と流出経路の特定中。なお、上記不審なメール送信の他、本日までにこの情報流出による被害の報告はない。
Labels:

【セキュリティ事件簿#2023-342】株式会社湘南国際村協会 弊社を装った迷惑メール(なりすましメール)につきまして 2023年9月1日


本日、実在する弁護士および弁護士事務所の名前で、湘南国際村協会のお客様や関係者あてに、
当協会が8月31日付で破産手続きを開始した、との事実無根のメールが配信されました。

これらのメールは弊社社員になりすまして送信された悪質なメールで、
弊社及び弊社代理人が送付したメールではございません。

また、当協会のFTPサーバーもハッキングされ、データを書き換えられましたため、
9月1日午前4時半ごろより16時ごろまでホームページを表示することができない状態となっておりました。

当サーバーへのアクセスログの確認および被害の状況につきまして確認を進めております。
詳細が判明しましたら、改めてご報告させていただきます。

メールを受信された皆様には多大なご迷惑をおかけしましたことを、深くお詫び申し上げます。

Labels:

【セキュリティ事件簿#2023-341】鹿児島餃子の王将 お客様へお知らせ 2023年9月1日

 

いつも鹿児島餃子の王将をご利用いただき誠にありがとうございます。

2023年8月31日21時頃より、第三者からの不正アクセスにより当社ホームページが改ざんされていることが判明致しました。

これに伴い、同サイトを2023年9月1日(金)9時00分~9月1日(金)17時30分の間、メンテナンスをさせていただきました。

改ざん内容として、「2023年8月31日付で破産手続きを開始いたしました。」という情報が記載されておりましたが、まったくの事実無根でございます。 今回の件に関しましては、既に警察に被害届を提出致しております。

お客様ならびにお取引先様には、大変ご迷惑をおかけし誠に申し訳ございませんでした。

今後も、お客様が喜ばれる店舗造りを目指して参りますので、引き続きよろしくお願い申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-340】オリエンタルエアブリッジ株式会社 退職者による社内情報のデータ持ち出しについて 2023年8月28日


平素は格別のご高配を賜り、厚く御礼申し上げます。

報道されておりますとおり、昨年当社を退職した社員が、退職直前に会社の機密情報を持ち出したことが確認されております。

お客様には多大なるご心配とご迷惑をおかけしておりますことをお詫び申し上げます。

警察による捜査の結果、今回持ち出された社内情報が元社員から第三者に渡った事実は確認されておりませんので、お客様が航空機をご利用いただく際の安全につきまして影響はございません。

再発防止につきましては、航空局および専門家の意見を聞きながら実施しておりますが、引き続き情報セキュリティの強化に努めて参りたいと存じます。

改めて、お客様にご心配とご迷惑をおかけすることをお詫び申し上げます。

Labels:

【セキュリティ事件簿#2023-339】総務省 NAVER Corporation への検索関連データの提供に関する 利用者周知及び安全管理措置の実施等について(指導及び要請) 2023年8月30日


貴社(ヤフー株式会社)においては、Yahoo!JAPAN の検索エンジン技術の開発・検証の観点から、NAVER Corporation(以下「NAVER 社」という。)に対して、令和5年5月 18 日から同年7月 26 日までの間の検索関連データの提供を試験的に行っていた(以下「試験運用」という。)。その際に、慎重な取扱いが求められる情報である位置情報等(約 756 万のユニークブラウザ分の検索クエリ等(うち、位置情報は約410 万のユニークブラウザ分))を利用者に対して事前の十分な周知を行うことなく、NAVER 社へ提供し利用させていたほか、NAVER 社により物理的に提供情報のコピー等を行うことが可能な状態となっていたなど、安全管理措置に不十分な点があった。

貴社の Yahoo!検索は、多くの利用者が日常的に利用しているサービスであることに鑑みれば、今後とも利用者が安心して貴社が提供する電気通信役務を利用することができるよう、以下の措置を講ずることにより、貴社の電気通信事業に対する信頼を確保し、もって電気通信役務の円滑な提供の確保と利用者の利益の保護を図ることが求められる。

以上を踏まえ、下記の1及び2について、必要な措置を実施されたい。また、その実施状況について、1については、令和5年9月 29 日までに報告されたい。また、2については、対応次第、随時状況を報告されたい。なお、今後新たな懸念が生じた場合等には、追加的な報告や調査、措置の実施を求める可能性がある旨を御承知おき願いたい。

1 NAVER 社への検索関連データの提供に関し、以下の各事項のとおり実施されたい。
(1)利用者周知に関する事項
(ア)提供する位置情報及びその利用目的について、利用者が事前に十分に理解できるよう適切な方法で周知を行うこと。
(イ)試験運用において、(ア)の対応が未実施だったことを踏まえ、貴社組織における利用者の利益の保護に係るガバナンスの在り方について見直しを行うこと。
(ウ)利用者に対し、位置情報の提供に同意しない手段を用意することが望ましいと考えられるため、当該手段について検討を行うこと。

(2) 安全管理措置に関する事項
(ア) NAVER 社による位置情報のコピー等が物理的に不可能な状態となる措置(VDI の導入等)か、それと同等の措置を講ずること。
(イ) 貴社において、NAVER 社による安全管理措置の実施状況の監査を行う体制の構築等を図ること。

2 本事案が発生したことや、貴社が利用者の利益に及ぼす影響が大きい電気通信役務を提供していることを踏まえ、当該役務の高い信頼性を保持し、利用者が安心・安全で信頼できるサービスを選択できるよう、貴社が提供する電気通信役務に関し、特定利用者情報規律※に係る以下の対応を行うことが望ましい。
※電気通信事業法(昭和 59 年法律第 86 号)第 27 条の6及び同法第 27 条の8

(1) 次に掲げる事項の公表
①取得する特定利用者情報の内容(当該特定利用者情報を取得する方法を含む。)に関する事項
②特定利用者情報の利用の目的及び方法に関する事項
③特定利用者情報の安全管理の方法に関する次の事項
    • 安全管理措置の概要
    • 外国に所在する第三者に特定利用者情報の取扱いを委託する場合における、当該外国の名称及び当該特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の有無
④利用者からの苦情又は相談に応ずる営業所、事務所その他の事業場の連絡先に関する事項
⑤過去 10 年間に生じた電気通信事業法第 28 条第1項第2号イ及びロに掲げる事故の時期及び内容の公表に関する事項

(2) 次に掲げる事項の総務省への報告
①特定利用者情報の漏えい、滅失又は毀損の防止その他の当該特定利用者情報の安全管理に関する次に掲げる事項
    • 組織的安全管理措置に関すること。
    • 人的安全管理措置に関すること。
    • 物理的安全管理措置に関すること。
    • 技術的安全管理措置に関すること。
    • 特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の把握の体制に関すること。
②特定利用者情報の取扱いを第三者に委託する場合における当該委託を受けた者に対する監督に関する次に掲げる事項
    • 委託先の選定の方法に関すること。
    • 委託契約において定める特定利用者情報の取扱いに関すること。
    • 委託先における特定利用者情報の取扱状況の把握の体制及び方法に関
③情報取扱方針の策定及び公表に関する事項
④電気通信事業法第 27 条の9の規定による評価に関する次に掲げる事項
    • 当該評価の実施並びに当該評価の結果の情報取扱規程及び情報取扱方針への反映の体制に関すること。
    • 当該評価を行う項目、方法及び頻度に関すること。
⑤特定利用者情報を取り扱う従事者に対する監督に関する事項

Labels:

【セキュリティ事件簿#2022】株式会社フルノシステムズ 不正アクセスによる個人情報流出に関するご報告(最終報) およびサポートセンター再開に関して 2023年8月22日

 

株式会社フルノシステムズ(本社:東京都墨田区、代表取締役社長:中谷聡志、古野電気㈱関連会社)は、2022年12月19日および2023年1月27日にお知らせいたしました「不正アクセスによる個人情報流出」につきまして外部専門機関とともに原因調査を進めてまいりました。以下に調査の結果およびサポートセンターWebサイト(ii-desk)の再開につきましてご案内申し上げます。

不正アクセスによる個人情報流出では、ご利用のお客様をはじめ関係者の皆様に多大なるご心配とご迷惑をおかけいたしましたこと、改めまして深くお詫び申し上げます。今後はこのような事故が発生しないよう、再発防止に取り組んでまいります。また、サポートセンターWebサイトの再開まで大変長らくお待たせし、誠に申し訳ございませんでした。引き続き弊社製品およびサービスをご愛顧賜りますよう、よろしくお願い申し上げます。

1.不正アクセスによる個人情報流出に関するご報告(最終報)

①不正アクセスおよび個人情報流出の原因

調査の結果、以下の要因によって2022年11月18日から2022年11月20日にかけて、サポートセンターWebサイトへの不正アクセスによる個人情報流出が発生しておりました。

  • 外部ネットワークからのアクセスに対して適切な対策がされていなかった
  • WEBアプリケーションに脆弱性があり対策がされていなかった
  • 不正侵入監視が不十分であった
  • 定期的な脆弱性診断が実施されていなかった

②対策および再発防止

弊社では今回の事態を重く受け止め、サポートセンターに関わるシステムに以下のセキュリティ対策および再発防止策を実施いたします。

  • 外部ネットワークからのアクセス制限の強化
  • 外部専門機関によるペネトレーションテストの実施および指摘された脆弱性の改修と対策の強化
  • アクセスログの定期監視による不正侵入監視の強化
  • システム全体に対しての定期的な脆弱性診断の実施

■不正アクセスによる個人情報流出に関するこれまでのお知らせ

[2022年12月19日] 不正アクセス発生による個人情報流出の可能性に関するお詫びとお知らせ

https://www.furunosystems.co.jp/news/info/20221219001451.html

[2023年1月27日]  不正アクセス発生による個人情報流出に関する[対象範囲確定]のお知らせと今後の対応について

https://www.furunosystems.co.jp/news/info/20230127001469.html

2.サポートセンターの再開

原因の明確化および対策と再発防止の実施により、サポートセンターに関わるシステムを安全に運営できる準備が整いました。よって、停止していたサポートセンターWebサイトを2023年8月22日(火)より再開させていただきます。

<パスワード変更のお願い>

サポートセンターWebサイト再開後、初回ログインの際にパスワード変更画面に遷移いたします。大変申し訳ございませんが、パスワードの変更をお願いいたします。

この処置はパスワードポリシーを今以上に強化することで、今後より安心してご利用いただくためのセキュリティ向上の一環としてお客様にご協力をお願いするものでございます。何卒、ご理解とご協力をお願い申し上げます。

リリース文アーカイブ

Labels:

【セキュリティ事件簿#2023-338】⾧崎県立大学  本学が利用するサーバーへの不正アクセスによる学生・教員等の氏名等 個人情報漏洩のおそれについて  2023年8月22日

 

本学が利用しているe-ラーニングシステム(manabie)が第三者による不正アクセスを受け、サーバーに保管されていた個人情報が流出したおそれがあることが判明いたしました。

関係する皆様にご迷惑をおかけしましたことを心よりお詫び申し上げます。

詳細は委託業者等を含めて確認中でありますが、以下、現在の状況についてお知らせします。 

1.経緯

令和5年8月4日(金)9 時 16 分頃、大学の公式ホームページを通じて、e-ラーニングシステム(manabie)が不正アクセスを受けているとの情報提供がありました。

直ちにネットワーク切断等初動対応を行いましたが、個人情報漏洩の有無について、未だ不明です。今後、原因も含めて詳細を調査し、その結果は適宜公表します。

2.個人情報漏洩の可能性について

平成 28 年度~令和5年度までに、本e-ラーニングシステム(manabie)を利用した学生(卒業生を含む)・教員・地域連携者(計約 6500 人分)の以下の情報が漏洩した可能性があります。

「氏名」、「性別」、「電話番号」、「メールアドレス」、「パスワード」、

「学籍番号」、「本システムに関連する特定科目の成績または評価指標」

 なお、現時点において、情報が流出し悪用されたという被害情報はありません。

リリース文アーカイブ

Labels:
登録: 投稿 (Atom)