【セキュリティ事件簿#2023-352】茨城・土浦市役所職員、同僚の人事情報を不正収集し書類送検される。

茨城県土浦市役所の31歳の男性職員が、他の職員の人事評価や役職、経歴などの情報を不正に収集し、私用のハードディスクに保存していたとして、不正アクセス禁止法違反および市の個人情報保護条例違反の疑いで書類送検されました。この事件は、昨年9月に「人事課しか知らない情報を知っている職員がいる」との情報が別の職員から提供されたことをきっかけに発覚しました。

男性職員は、2021年12月18日に市のサーバーから836人の職員の情報を収集し、私用のハードディスクに保存していたとされています。彼はこの行為について、「自らの評価を上げるため、希望部署などの職員の評価を知りたかった」と説明しています。また、彼は今年3月から休職中であり、外部への情報の漏洩は確認されていません。

土浦市役所はこの事件について、市民や関係者に対して謝罪し、新たなセキュリティーシステムの導入や職員教育の強化を行うとの声明を発表しました。

出典：不正アクセス疑い、茨城・土浦市職員を書類送検

【セキュリティ事件簿#2023-351】高知工科大学　不正アクセス及び個人情報の漏洩の可能性に関するお知らせとお詫び　2023年9月4日

この度、本学の教員が運用している研究用サーバを介して、本学のサーバを含む本法人ネットワーク内の複数のサーバへの不正な侵入及び不審なプログラムの書込みがあった事案が確認されました。これに関連し、不正アクセス者により本学の教職員・学生を含む関係者の個人情報が参照された可能性を排除できないと判断いたしましたのでお知らせいたします。

なお、現在のところ、これらの情報を悪用した被害は確認されておりませんが、個人の情報が漏洩した可能性のある方々に対して謝罪するとともに、事案の説明及び二次被害を防ぐための対応についてお願いをしているところです。

このような事態が発生し、関係者のみなさまには多大なご迷惑をおかけしましたことを深くお詫び申し上げます。本学では、今回の事態を重く受け止め、調査及び原因究明に努めるとともに、ソフト・ハードの両面から情報セキュリティ対策を再点検し、より一層強化することで再発防止に取り組んでまいります。

１本件の経緯

① ［不正アクセス検知］

令和 5 年 8 月 13 日（日）、本学の教員が運用している研究用サーバを経由して、本法人ネットワーク内のサーバへの不正アクセスが検知され、不審なプログラムが書き込まれていました。この際、本学の教職員に付与された複数の業務用アカウントが不正に利用されたことが判明いたしました。

② ［事後調査］

不正アクセス検知以降調査を進めた結果、令和 5 年 8 月７日（月）以降に本学の他の研究用サーバへも不正に侵入され、それらを介して、本学 Web サーバ及びメールサーバへも不正にアクセスが行われていたことが判明いたしました。

※本事案については、8 月 14 日（月）に文部科学省に第一報を入れるとともに、高知県警察にも報告いたしました。

２漏洩の可能性のある情報

① 不正アクセス者により収集された情報

本法人教職員のメールアドレス 991 件（一部氏名含む）

※退職者等、削除済みメールアドレス含む

本学への求人実績のある企業・団体等のメールアドレス 808 件（一部電話番号含む）

② 一時的に参照可能な状態にあった情報

不正にアクセスされた業務用アカウント７人分の送受信メールのうち 1 人の受信メールに次の本学学生の個人情報リストが含まれていました。

氏名、メールアドレス、授業の予習及び復習課題の評価 98 人分
氏名、学籍番号及び所属研究室名 56 人分

３現在までの対応

本事案の発覚後ただちに、不正に利用された業務用アカウントのパスワードを変更し、不正アクセスに利用された研究用サーバをネットワークから遮断し、隔離しました。不正アクセスを受けた法人内の業務用サーバについては、ウイルスチェックにより不審なプログラムを駆除し、セキュリティアップデートを最新の状態にしました。さらに、全教職員に対して、パスワード変更をはじめとするアカウントのセキュリティ強化等の注意喚起を実施しました。

４今後の対応

再発防止に向けて、情報セキュリティポリシーの見直しをはじめ、ネットワークのセキュリティ強化を図るとともに、全教職員に対して個人情報の取扱い及び業務用アカウントの適切な管理を行うよう、周知徹底を継続して参ります。

また、本事案を受けて、問い合わせ窓口を次のとおり設置し、漏洩の可能性のあった方々からの問い合わせに対応いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-350】株式会社ベネフィット-イオン　弊社が運営する「体臭対策ドットコム」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ　2023年9月4日

このたび、弊社が運営する「体臭対策ドットコム」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（244件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メール及び書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

２０２３年３月１７日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、２０２３年３月１７日弊社が運営する「体臭対策ドットコム」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。２０２３年５月１９日、調査機関による調査が完了し、２０２２年１１月５日～２０２３年３月１７日の期間に「体臭対策ドットコム」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因
弊社が運営する「体臭対策ドットコム」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
２０２２年１１月５日～２０２３年３月１７日の期間中に「体臭対策ドットコム」においてクレジットカード決済をされたお客様227名で、漏洩した可能性のある情報は以下のとおりです。

クレジットカード番号
有効期限
セキュリティコード

【ユーザ個人情報】

メールマガジンリスト：氏名・メールアドレス
購買履歴：住所、電話番号、氏名、購買情報、IPアドレス

上記に該当する227名のお客様については、別途、電子メール及び書状にてにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

２０２３年３月１７日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「体臭対策ドットコム」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には２０２３年３月１７日に報告済みであり、また、所轄警察署にも２０２３年8月8日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-349】神奈川県　委託事業者による個人情報の流出について　2023年09月04日

生活困窮者支援を行う民間事業者のホームページが不正アクセスを受け、県の委託事業に関連して当該事業者が収集した個人や団体のメールアドレスが流出していることが判明しました。

1 概要

県の研修事業の委託先である民間団体「かながわ生活困窮者自立支援ネットワーク」が運営する「かながわ生活応援サイト」が不正アクセスを受けたことにより、本日、県の所属メールアドレス及び職員の業務用個人メールアドレスに、複数の不審メールが送付されました。

当団体に状況を確認したところ、研修参加者に関する個人情報の流出が判明しました。

2 流出した個人情報

県の委託事業により収集している個人情報は、研修参加者の所属、氏名、メールアドレスですが、詳細については、委託事業者において、現在確認中です。

なお、これまでの研修参加者を含む流出データ数は約500名分です。

また、流出したデータについては、抜き出された可能性も含めて、当団体からはアクセスができない状況となっており、バックアップもないため、1件ごとの詳細は不明です。

3 今後の対応

データの復旧は難しい状況ですが、個人情報の流出など詳細については、委託事業者において、現在確認中です。

リリース文（アーカイブ）

かながわ生活困窮者自立支援ネットワーク（アーカイブ）

【セキュリティ事件簿#2023-348】新宿スタジオ、公式Webサイトを改ざんされる

8月31日から9月4日の間に、公式ウェブサイトが不正に改ざんされ、虚偽の「破産」情報が掲載されたという被害が報告されている。これらの情報は事実ではなく、関連性はまだ明らかではないが、調査が進行中である。

被害を受けたのは、鹿児島市の中華料理店「鹿児島王将」、神奈川県三浦郡の研修施設「湘南国際村センター」、東京都杉並区のコンサルティング会社「コミュニケーションコンサルティング」、東京都渋谷区の映像会社「新宿スタジオ」、東京都中野区の精肉店「西島畜産」など。

これらのサイトには、「2023年8月31日に破産手続きを開始した」との偽の情報が掲載されていた。また、湘南国際村センター、新宿スタジオ、西島畜産では、迷惑メールの送信も確認されている。

湘南国際村センターは、ファイル転送サーバーが攻撃を受け、データが改ざんされたと明らかにした。一方、西島畜産は、店舗で使用しているメール配信システムに不正アクセスの疑いがあり、ウェブサイトのデータも削除されたことが判明している。

出典：公式サイトに「破産した」の偽情報　改ざんの被害続々　研修施設、コンサルなどで

【セキュリティ事件簿#2023-347】コミュニケーションコンサルティング　お客様への大切なお知らせ　2023年9月5日

平素より格別のご高配に賜り厚く御礼申し上げます。　

2023年9月4日午前0時頃、第三者からの不正アクセスにより弊社ホームページが改ざんされている事実が判明しました。

これをうけ、弊社ホームページを一時メンテナンスいたしました。

改ざん内容として「2023年9月4日付で破産手続きを開始いたしました。」との記載がございましたが、全くの事実無根です。本件に関してまして警視庁に報告を済ませております。

皆様にはたいへんご迷惑、ご心配をおかけし、誠に申し訳ございませんでした。

今後もコミュニケーションコンサルティングは皆様がゴールを実現するサポートに全力を尽くします。引き続きよろしくお願い申し上げます。　　

リリース文（アーカイブ）

【セキュリティ事件簿#2023-346】山形大学　本学への不正アクセスによる個人情報の流出の可能性に関するお知らせとお詫び　2023年9月1日

このたび、本学で運用している研究室ホームページのサーバが不正アクセスを受け、改ざん・不正プログラムが書き込まれるという事案が確認され、本学が保有する個人情報が漏洩した可能性を排除できないということが判明しましたのでお知らせいたします。

今回このような事案が発生し、関係者の皆様に大変なご迷惑をお掛けすることとなり、深くお詫び申し上げます。本学では、今回の事態を重く受け止め、より一層、個人情報の保護、情報セキュリティ対策の適切な管理に努めて参ります。

１．本件の経緯

令和5年7月1日（土）にコンテンツサポート業者から、本学が運営している研究室の外部公開ホームページが改ざんされている旨の通報がありました。本学が調査したところ、当該ホームページで使用しているコンテンツマネージメントシステムを第三者から不正利用されたために、不正アクセスを受け、改ざん・不正なプログラムが書き込まれるという事案が確認されました。不正なプログラムは、当該サーバの仕様上、当該サーバ内の他のサイトの保存領域にもアクセス可能であること、そして当該サーバにある150サイトのうち、2つのサイトにおいて個人情報が保管されていることが判明しました。

２．漏洩の可能性のある個人情報

本学で使用していた氏名やメールアドレス等を含めた個人情報380人分

３．現在までの対応

発覚した７月１日（土）に改ざんされたドメインのホームページを閉鎖しました。対応後、再び、不正アクセスが確認されたため、７月１０日（月）に該当サーバ内の全てのホームページを閉鎖しました。これまでのところ、個人情報を悪用された事実は確認されておりません。個人情報が漏洩した可能性がある方に対して、事実関係の説明、謝罪、対応窓口の設置を行いました。

なお、個人情報を取り扱うサイトは、セキュリティが強化された別サーバに移行する等の対策を行い、運営を再開しております。

４．今後の対応

個人情報を収集・保存する目的で使用する本学のサイトについて、点検・確認を実施します。

また、コンテンツマネージメントシステムの利用時には、管理者及び運用責任者を登録制にすることで管理体制を強化します。さらに、全教職員を対象とした情報セキュリティに関する研修を改めて実施して、個人情報の取り扱いについては、これまで以上に気を付けるよう徹底します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-345】株式会社西島畜産　サイトメンテナンスのお知らせ　２０２３年９月２日

２０２３年９月２日深夜に第三者からの不正アクセスによるホームページ改ざんを受け、お客様及びお取引先様にはご心配及び多大なるご迷惑をおかけし、誠に申し訳ございません。既に警察に被害届を提出致しました

弊社小売店舗で利用しているメールマガジン配信システムに不正アクセスがあった可能性があり、メール配信システムが悪用され、一部のお客様にメールが配信されてしまいました。一部のお客様のメールアドレスが流失した可能性があります。現在、メールアドレスを悪用されたことによる被害は報告されていませんが、警察にこれまでの事実を伝え対応をしております。また、ホームページのデータも全て削除されておりました。

お客様には多大なるご迷惑、ご心配をおかけすることになりましたこと深くお詫び申し上げます。弊社は今回の事態を重く受け止め、今後は個人情報保護対策の強化を徹底し再発防止に努めて参ります。何卒ご理解賜わりますよう、宜しくお願い申し上げます。

なお、お肉のお取り寄せ通販サイト及び自社配達は、不正アクセスを受けたものとは全く異なるサーバー・システムで運営しているため、影響はなく、クレジットカード情報をはじめとする個人情報の流出はありません。

現在、ホームページはメンテナンス中となりますが、不正アクセスを受けたサーバーではなく、新規のサーバーを用意しホームページの再構築を進めております。

お客様ならびにお取引先様には、大変ご迷惑をおかけし誠に申し訳ございませんでした。

今後もお客様にお喜びいただけるような店舗づくりを目指してまいりますので、今後とも何卒宜しくお願い申し上げます。

リリース文（アーカイブ）

登録: 投稿 (Atom)