【セキュリティ事件簿#2023-477】和歌⼭県社会福祉協議会 個⼈情報の漏えい事案について


このたび、令和4年度、令和5年度に実施した「ふくしフォトコンテスト2022」「ふくしフォトコンテスト2023」の審査資料について、令和5年12⽉4⽇(⽉)13:00、応募者からの電話により、下記のとおり個⼈情報の漏えいが判明いたしました。

このような事態を招いたことを深く反省し、職員の個⼈情報の適切な取扱いを徹底し、再発防⽌に努めてまいります。

1.漏えい事案の概要

①令和4年度及び令和5年度に実施した「ふくしフォトコンテスト」の審査資料が、インターネット上に流出した。

下記3の審査資料を審査委員に事前送付(データ送信)する際、写真等のデータ容量が⼤きいため、 本会内部システムを活⽤し、「⼀般⾮公開設定(限定公開)」との認識でのアップロードを⾏ったところ、当該情報がインターネット上でも閲覧できる状態になっていた。

②審査委員に事前配布した資料(下記3)に、審査に直接関係のない個⼈情報を掲載していた。

2.主催

 和歌⼭県社会福祉法⼈経営者協議会、和歌⼭県社会福祉法⼈経営⻘年会
 社会福祉法⼈和歌⼭県社会福祉協議会

3.情報漏えいした資料(4点)


4.情報漏えいの原因

■当該システムの機能の誤認識
「限定公開は、本会ホームページ上には掲載されず、かつ、インターネット上でも閲覧できない状態であり、所定のURLを知り得た者しかアクセスできない」という認識であったが、実際はインターネット上で閲覧できる状態にあった。

■職員の個⼈情報の取扱いに関する認識不⾜
審査委員に対し個⼈情報を掲載した資料を配布していた。

5.対応

  • 漏えいした情報は、本会システム管理業者に連絡し、判明直後(同⽇13:30)に削除しています。
  • 対象者に対して個⼈情報を流出したことの通知と謝罪を⾏い、審査委員等には送信した個⼈データの廃棄確認を⾏っています。
  • 再発防⽌策として、当該システム(限定公開機能)を活⽤した情報掲載やデータ送信を禁⽌するとともに、セキュリティの⾼い⼤容量データ送信システム導⼊の検討と、個⼈情報の取扱いにかかる安全管理及び職員指導を徹底します。
Labels:

【セキュリティ事件簿#2023-476】一般社団法人JBRC 情報管理不備についてのお詫びとご報告


この度、JBRCホームページの「お問い合わせ」フォーム(https://www.jbrc.com/contact/input/)からいただいた問い合わせメールに添付されていた一部の資料が、インターネット上で閲覧可能な状態になっていることが判明いたしました。関係の皆様に、多大なご迷惑及びご心配をおかけしましたこと、心より深くお詫び申しあげます。

本件に関し、現段階で判明している事実と弊法人の対応についてご報告いたします。

1.経緯


本年11月6日、弊法人の関係先(排出事業者様等)に関する情報がインターネット上で閲覧可能な状態になっているとのご連絡を受けました。弊法人においてかかる状態を確認し、調査の結果、弊法人ホームページ上の「お問い合わせ」フォームから弊法人宛に送信された添付ファイルが閲覧可能な状態であることが判明しました。閲覧可能な状態にあった期間は、2018年6月1日0時頃から2023年11月10日11時頃まで(下記の対応完了時点)となり、かかる期間に送信された添付ファイル数は、約1,100件となります。

2.原因と対応


弊法人ホームページ上の「お問い合わせ」フォームの仕様において、送信された添付ファイルが、外部アクセスのリスクのあるフォルダに保存される状態に設定されていたことが判明しました。弊法人では、即座に添付ファイルが当該フォルダに保存されないように設定を変更しました。また、当該フォルダに保存されていたデータを全件確認し、「お問い合わせ」フォームにより送信された添付ファイルを含む約1,100件のデータを当該フォルダから削除する対応を実施し11月10日11時頃、完了しました。

また、閲覧されたことが確認された添付ファイルの送信者様には、11月17日に「お問い合わせメール情報管理不備についてのお詫び」と題する書簡を送付いたしました。

3.現在の状況とお願い


上記対応により、対応完了時点からの新たな情報流出は確認されておりません。また現時点では、今回の問題による二次被害等の報告は受けておりませんが、お気付きの点やお問い合わせがございましたら、下記のお問い合わせ窓口までお願いいたします。

4.再発防止について


弊法人は今回の事態を重く受け止め、今後は、職員一同、情報管理及び運営に関する意識をより一層高め、情報セキュリティー対策の強化徹底により、再発防止に全力で取り組んでまいります。多大なご迷惑とご心配をおかけしておりますこと重ねてお詫び申し上げます。

Labels:

【セキュリティ事件簿#2023-475】群馬県みどり市 個人情報漏えいについてのお詫びとご報告


市ホームページ上の農地貸出希望情報の掲載ページ内におきまして、個人情報(氏名、住所、電話番号)を含んだものを誤って掲載してしまっていたことが判明いたしました。

関係者の皆様におかれましては、多大なご迷惑とご心配をおかけすることとなり、心からお詫び申し上げます。

判明の経緯と原因

  • 令和5年10月6日(金)、農業委員会事務局のホームページ上のみどり市内の貸出等希望情報を更新いたしました。
  • 令和5年11月28日(火)、職員が確認したところ、個人情報を含んだものを掲載してしまっていたことが判明いたしました。
  • 同日、ホームページ上の内容を更新して早急に該当情報を削除いたしました。

個人情報の内容・掲載期間

内容

農地所有者67人分の「氏名、住所、電話番号」

掲載期間

 令和5年10月6日から11月28日まで(54日間)

対応状況

全対象者の方に経過説明を行い、謝罪させていただきました。

二次被害やおそれの有無

現在のところ、悪用されるなどの二次被害の発生は確認されておりませんが、引き続き状況の把握に努めます。本件について何かございましたら農業委員会事務局までご連絡をお願いします。

今後の対応

農業委員会事務局内で複数人でチェックを行い、このような事態が発生しないよう再発防止に努めてまいります。

Labels:

【セキュリティ事件簿#2023-473】大阪市コミュニティ協会 Googleフォームズからの個人情報漏えいについて(お詫びとご報告)


当会が住吉区役所からの委託事業・つながりの場づくり推進事業(子ども文化事業)において受付フォームの設定ミスにより参加者の個人情報が閲覧できる状態となりました。参加者の方をはじめ関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねてしまいましたことを深くお詫び申しあげますとともに、今後このようなことがないよう再発防止に努めてまいります。

1.概要


住吉区役所からの委託事業・つながりの場づくり推進事業(子ども文化事業)において、Googleフォームズからの申込受付を行った。その際使用したGoogleフォームズの設定画面において「結果の概要を表示する」がONになっていることに気づかず運用したため、送信ボタンを押した後に表示される画面内の「前の回答を表示」というボタンを押した場合に、当該フォームにすでに申込していた参加者および保護者の個人情報を含む回答結果の一覧が閲覧できる状態にあったということが、令和5年11月8日(水)、弊支部協議会インスタグラムのダイレクトメッセージに参加申込をした保護者よりコメントがあった。令和5年12月2日(土)に、インスタグラムを確認したところ、当該コメントを発見し、事実を認識したものである。

2.判明日時


 令和5年12月2日(土)午前5時

3.流出した個人情報(10組27名)


 参加者氏名、学年、性別

 保護者氏名、電話番号、メールアドレス

4.判明後の対応


 令和5年12月2日(土)午前5時10分 「結果の概要を表示する」をOFF

             午後4時19分 支部協議会事務局長へ報告

 令和5年12月3日(日)午前11時50分 住吉区役所教育文化課へ口頭で報告

             午後1時00分 事業開始時に出席者7組18名に状況を説明し、謝罪

             午後5時00分 欠席者3組9名に電話で個別に状況を説明し、謝罪

5.原因


 フォームを作成した際、職員が回答完了後の動作確認を行っていなかったため

 「結果の概要を表示する」がONになったことが確認できなかった。

6.再発防止策


  • フォームを作成後、業務責任者を含め複数名の職員によるダブルチェック等、入力から回答完了後までの動作確認を行う。
  • チェックリストを用いたチェック体制の構築・運用を行う。
  • 今後、同様の事象が発生した際には、速やかに発注者への報告を行う。
  • 個人情報保護の研修を実施し、職員一人一人が個人情報の大切さを認識し、個人情報を適切に取扱う。
Labels:

【セキュリティ事件簿#2023-474】株式会社徳岡 弊社が運営する「ボルドープリムール」「ボンルパ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営するECサイト「ボルドープリムール」「ボンルパ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(1755件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023 年 9 月 19 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023 年 9 月 19 日弊社が運営する「ボルドープリムール」でのカード決済を停止いたしました。

※「ボンルパ」についてはサイトリニューアルの為、2023 年 5 月より休止

同時に、第三者調査機関による調査も開始いたしました。2023 年 10 月 21 日、調査機関による調査が完了し、2021 年 3 月 17 日~2023 年 7 月 28 日の期間に EC サイト「ボルドープリムール」「ボンルパ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました

2.個人情報漏洩状況

(1)原因
弊社が運営する EC サイト「ボルドープリムール」「ボンルパ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
2021 年 3 月 17 日~2023 年 7 月 28 日の期間中に「ボルドープリムール」「ボンルパ」においてクレジットカード決済をされたお客様 974 名で、漏洩した可能性のある情報は以下のとおりです。
    • カード名義人名
    • クレジットカード番号
    • 有効期限
    • セキュリティコード
併せて、データベース上に保管されていた個人情報も漏洩した可能性があり、可能性のある部分は下記となります。
    • 氏名
    • 会社名
    • 住所
    • 電話番号
    • FAX 番号
    • メールアドレス
    • 生年月日
上記に該当する 974 名のお客様については、別途、電子メールにて 個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023 年 9 月 19 日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトについて

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

個人情報漏洩の可能性が確認された「ボルドープリムール」「ボンルパ」につきましては、すべて閉鎖となります。

2023 年 7 月より運営しております、後継である「徳岡グランヴァン」にて今後のプリムールのお引渡し、新規の販売を行ってまいります。後継のサイトは国際的なセキュリティ基準に準拠し構築を行い今回の調査においても安全性を確認できており、調査会社及び監督官庁からも確認いただいております。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2023 年 9 月 28 日に報告済みであり、また、所轄の大阪府南警察署にも 2023 年9 月 29 日被害申告しており、今後捜査にも全面的に協力してまいります。

Labels:

【セキュリティ事件簿#2023-471】株式会社クロックワークス 【映画『カンダハル 突破せよ』感想投稿キャンペーンにおける個人情報の漏洩に関するお詫びとお知らせ】


このたび、当社配給映画『カンダハル 突破せよ』の公式X(旧Twitter)アカウントで実施した【映画『カンダハル 突破せよ』感想投稿キャンペーン】において当選者の個人情報が閲覧できる状況にあったことが判明しました。本件に関する概要につきまして、下記の通りご報告いたします。

ご迷惑をおかけした当選者の皆様には、個別にお詫びのご連絡をいたしました。
お客さまには多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。個人情報の適切な管理及び取扱の徹底を行い、再発防止に努めてまいります。

1)個⼈情報漏えいが発⽣した項⽬


当選された25名様のXアカウント名、氏名、住所、電話番号、映画をご覧になった劇場名

※同キャンペーンの当選者33名に対して、11月24日(金曜日)午後3時49分よりダイレクトメッセージで景品送付先に関する情報入力の依頼を行い、11月28日(火曜日)午後2時8分までに入力を行った25名の方の情報が相互で閲覧可能な状態にありました。

2)原因

当社が設置した応募入力フォームにて、Googleフォームの機能である「前の回答を表示」の設定を誤ったことが原因で入力した方の個人情報が閲覧できる状態になっておりました。

3)経緯と対応状況

11月24日
・公式Xアカウントにて、該当の入力フォームを当選者へ随時送付
11月28日
・フォームを入力したお客様から当社公式WEBサイト経由でお問い合わせいただき、ほかのお客様の情報が閲覧できるようになっているとご連絡(この時点までで25名が回答)
・お問い合わせメールを確認し、直ちに第三者が他人の申込情報を閲覧できないよう設定を変更。同様のご指摘を公式XへのDM返信でもいただいていたことを確認。
現在の対応
・当選者様全員に、本件についてのご説明とお詫びのご連絡。
・本お知らせをHPにて公表。

4)再発防止策

・同様の事態が今後発生しないよう、フォーム作成と公開時のルール確立、複数名でのチェック体制の原則化、各社員に対して個人情報保護の重要性をはじめとした教育の徹底など、再発防止策を実施します。

この度の事態についてご指摘いただくまでの長期間、状況を認識できなかったことを重く受け止め、今後の運用体制についても検討・改善してまいります。

改めまして、本件について、多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

Labels:

【セキュリティ事件簿#2023-472】株式会社レスターホールディングス 当社及びグループ会社サーバーへの不正アクセス発生のお知らせ


当社は、2023年12月5日、当社及びグループ会社のサーバー(株式会社レスターエレクトロニクス、株式会社レスターデバイス、株式会社レスターコミュニケーションズ、株式会社レスターソリューションサポート、株式会社バイテックエネスタ、株式会社バイテックベジタブルファクトリー)が第三者Lockbitと思われるランサムウェアによる不正アクセス(以下当該不正アクセス)を受け社内システムに障害が発生していることを確認いたしました。またお客様への出荷やカスタマーサポートなどにおいても影響が発生していることをご報告いたします。

当該不正アクセスの判明後、被害拡大を防ぐために各種サーバーの停止、外部ネットワークを遮断するなどの対応をしております。現在、当該不正アクセスを受けた内容、原因や経路の究明、情報漏洩の範囲などを外部の専門家の協力を得ながら調査を進めています。

現時点で確認できている情報漏洩の内容は以下の通りです。
ファイルサーバーのフォルダ情報画像2点、株式会社レスターコミュニケーションズのシステム図面4点、その他サンプル画像等8点、計14点

お客様への出荷活動は継続しておりますが、納入遅延など影響が発生する場合には速やかに担当営業よりご連絡させていただきます。お客様ならびにお取引先様、関係者の皆様に多大なご迷惑とご心配をお掛けすることとなりお詫び申し上げます。

今後、公表すべき事項が判明した場合には、速やかに当社ホームページなどでお知らせいたします。

Labels:

【セキュリティ事件簿#2023-448】株式会社アイテス 当社サーバーへの不正アクセスに関するお知らせと調査結果のご報告


株式会社アイテス(以下「当社」といいます。)は、第三者による不正アクセス攻撃を受けましたこと(以下「本インシデント」といいます。)を2023年10月23日に公表いたしました。

この度、外部専門機関の協力のもと進めてまいりました本インシデントに関する調査が完了し、報告書を受領しましたので、当該調査結果および再発防止に向けた取り組みにつきましてご報告申し上げます。なお、当社は今後も継続的にセキュリティ対策の強化を図ってまいります。

お客様ならびにご関係者の皆様につきましてはご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。

【対応経緯】

 ■2023年10月20日
  当社サーバーへの不正アクセスが発覚。
  同日、外部に接続しているネットワークをすぐに遮断し、外部専門機関へ報告・相談
 ■2023年10月23日
  警察および関係機関への報告を実施
 ■2023年10月23日
  本インシデントに関するお知らせをホームページへ掲載
 ■2023年10月25日
  外部専門機関へ詳細調査を依頼。依頼した調査内容は以下の通り。
   ・不正アクセス被害を受けた可能性のある機器に対する安全性確認
   ・被害を受けた機器のフォレンジック及び各種ログの解析を通した被害の詳細・範囲の分析
   ・侵入経路の調査、及び安全性確認
 ■2023年11月30日
  外部専門機関より調査報告を受領。
 ■2023年12月5日
  調査結果と再発防止策等についてホームページへ掲載

【調査結果】


 1.被害の原因
   調査の結果、攻撃者は当社ネットワークおよびサーバー等へ不正に侵入し、ランサムウェアによるデータ暗号化の侵害をしていたことを確認しました。
   なお、他のPCについてマルウェア感染等の被害は、確認されませんでした。

 2.影響範囲
   外部専門機関による調査では、当社のデータについて、情報窃取およびデータの外部転送等を示唆する明確な痕跡情報は確認されませんでした。

 3.二次被害について
   現時点で本インシデントにかかわる個人情報あるいはお客様情報情報の不正利用は確認されておりません。

【再発防止策について】

 当社では、本インシデントの発生を重く受け止め、再発防止に向けて外部専門機関からのアドバイスを受け以下の対策等を実施します。

  ・脆弱性管理の徹底
  ・強固な認証方式の利用
  ・適切なセキュリティ機能監視体制の整備
  ・インシデントに対する体制整備 等

Labels:
登録: 投稿 (Atom)