【セキュリティ事件簿#2024-015】株式会社大藤つり具 お客様個人情報漏えいの可能性に関するご報告とお詫び

この度、弊社システムが外部からのランサムウェアに攻撃されたことにより、お客様個人情報の一部が流出した懸念のあることが判明いたしました。このほど、本事案に関して調査および精査が完了いたしましたので、当該調査結果についてご報告いたします。

お客様には、多大なるご迷惑とご心配をおかけしますこと、心より深くお詫び申し上げます。今回の事実を厳粛に受け止め、お客様のご不安の解消に向けて努力いたしますとともに、同様の事案が再び発生しないよう、個人情報管理体制の一層の強化を図ってまいります。

1.本事案の概要

2023年12月13日、弊社コンピューターシステムに対し侵害活動が行われていたことが確認されました。その後攻撃者はランサムウェアを作成および実行することにより弊社サーバー内のデータを暗号化いたしましたが、暗号化されたデータにお客様個人情報が含まれていることが判明いたしました。外部機関の調査によると、サーバー上の痕跡では外部への情報の持ち出しを明確に示すものは確認されておりませんが、調査の及ばない範囲もあることから、持ち出しのおそれは拭えない状況となっております。

2.漏えい等が発生したおそれのある項目

・お客様の会員番号・氏名・住所・生年月日・電話番号
要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。

・対象となるお客様
2018年3月より2023年11月までの期間に弊社よりダイレクトメールを送付したお客様。最大で約20万件程度と推察いたしております。

3.発生原因

インターネットから社内アクセスするためのVPN 装置が悪用され、ランサムウェアに不正に侵入されたものと見られます。その結果個人情報を含むデータの暗号化被害が発生いたしました。

4.二次被害またはそのおそれの有無

本事案に関し、現時点においてはデータの不正使用などの被害が発生した事実は確認されておりません。対象となったお客様には大変ご迷惑をおかけしますが、不審な問い合わせ等については十分ご注意いただきますようお願い申し上げます。弊社では被害の拡大防止に取り組んで参りますが、万一第三者によるデータの悪用が確認された場合に末尾記載のお問い合わせ窓口へ連絡いただきますようお願い申し上げます。

5.その他参考となる事項

本事案の対象になると考えられるお客様には、準備が整い次第個別に郵送にてご連絡させていただきます。また本事案に関してご不明な点がございましたら、下記のお問合せ窓口までご連絡をお願いいたします。2023年12月13日の事案発生後今回のご報告に至るまで時間を要しましたこと、深くお詫び申し上げます。弊社といたしましては不確定な情報による混乱を防ぐため、外部機関の調査結果を踏まえた上でのご報告が不可欠と判断いたしましたので、なにとぞご理解いただきたく存じます。なお、事案発生後ただちに個人情報保護委員会に報告し、また所轄警察署にも通報済みで今後の捜査にも全面的に協力してまいります。なお、ジャンプワールド運営会社である株式会社ジャンプのシステムには何の問題も生じておりませんのでご安心ください。

Labels:

【セキュリティ事件簿#2024-014】愛媛県 県ホームページ内の電子行政サービス「オープンデータ」における 個人情報流出について


1 概要

県ホームページ内の電子行政サービス「オープンデータ」で、指定障害児通所支援事業所等一覧表をエクセルファイルで公開していますが、令和 5 年 12 月 21 日に一覧表を更新した際、誤って個人情報が含まれた作業用のファイルを添付して公開していました。

令和 6 年 1 月 11 日、障がい福祉課に対し、外部の方から、個人情報が記載されたデータが公開されているとの通報があり、状況を確認したところ、誤ったファイルが公開されていたことが確認されたことから、即時に公開データを削除しました。

誤って公開されていた状況は次のとおりです。 
  • 期間
     令和 5 年 12 月 21 日(木)~令和 6 年 1 月 11 日(木)
  •  内容
     公表データを作成するための作業用データで、公表すべき障害児通所支援事業所名や事業所所在地などのほかに、事業所の設置法人代表者と施設管理者の個人住所、及び苦情窓口担当者氏名が記載されたエクセルファイル
  • 事業所数
    延べ508事業所
    ※事業所種別:児童発達支援、放課後等デイサービス、保育所等訪問支援、居宅訪問型児童発達支援、障害児相談支援事業所、障害児入所施設
  • 個人情報件数(実数)
    • 設置法人代表者の個人住所 205件
    • 事業所管理者の個人住所 318件
    • 施設の苦情窓口担当者の氏名 238件 計761件

2 判明した日

令和 6 年 1 月 11 日(木) 

3 判明後の対応等

  • 1月18日付けで、対象者の方々に対し、本事案に関する状況説明及び謝罪の文書を発送しました。
  • 1月18日から、障害児通所事業所等の設置法人に電話連絡し、本事案に関する状況説明及び謝罪を行っています。
  • 現時点において、二次被害は確認されておりません。
  • オープンデータは現在、正しいデータを添付し公開しています。 

4 発生の経緯及び原因

当該サイトの更新について、令和 5 年 12 月 21 日に担当職員がデータを作成し、サイトに掲載するデータを更新する際に、誤って公表ファイルではない作業用ファイルを添付していました。
また、更新作業終了後、オープンデータへの掲載状況確認ができておらず、他職員による確認も行っていなかったことから、誤ったファイルが公開されたままとなっていました。 

5 再発防止策

  • 情報セキュリティポリシーの遵守はもとより、個人情報が含まれるデータを扱う際には細心の注意を払う必要があることを改めて職員に周知し、緊張感を持った業務遂行を徹底します。
  • 作業用ファイルでは個人情報を除いて作業するとともに、作業用ファイルにパスワードを設定する等、公表データ作成の手順を見直します。また、ホームページ更新時は、担当者が公表前にプレビュー機能等を活用して誤りがないか確認するとともに、上位の職員が確認したうえで更新し、更新後も複数職員で確認するよう徹底します。 
Labels:

【セキュリティ事件簿#2024-013】埼玉県 生徒の個人情報の流出について


県立越谷東高等学校において、1学期の成績一覧表が流出する事故が発生しました。

なお、現在のところ、第三者による不正使用等の事実は確認されていません。

1  事故の概要

令和6年1月17日(水曜日)、県立越谷東高等学校の職員1名が、同職員が担任するクラスの生徒39名の1学期成績一覧表が印刷された用紙の裏に、生徒への指示をメモして、係の生徒に教室掲示させた。

同一覧表が印刷されていることに気付いた生徒が別の生徒に伝え、伝えられた生徒がスマートフォンのカメラ機能で同一覧表を撮影し、他の生徒に同一覧表の画像を送信した。

2  個人情報の内容

同職員の担任するクラス生徒39名分の氏名・各科目の1学期の成績・各科目の1学期の欠課時数

3  学校の対応

1月19日(金曜日)     

同一覧表の画像を送受信した生徒に、画像を削除するよう指示するとともに、送信した生徒については画像の消去を確認。

全校の生徒、保護者に対して、画像の拡散禁止及び削除を依頼。

1月22日(月曜日)~ 

画像を受信した生徒に再度、画像の転送を行っていないこと、画像を消去したことを確認し、緊急集会にて全校生徒に事故の概要を説明し謝罪するとともに、保護者説明会にて事故の概要を説明し謝罪。

4  再発防止策

今後、校長会議等を通じて、改めて全県立学校に個人情報の適正な管理を徹底するよう指示する。


Labels:

【セキュリティ事件簿#2024-012】横浜市立みなと赤十字病院 個人情報の紛失について


このたび、当院におきまして、患者様の個人情報データを保存したUSBメモリを紛失したことが判明いたしました。

該当する患者の皆様、日頃より当院をご利用いただいている皆様にご迷惑とご心配をおかけいたしましたこと、深くお詫び申し上げます。

当院といたしまして、本事案を重く受け止めており、全職員に対して個人情報の取り扱いを厳重に行うよう改めて院内規程の周知徹底を図るとともに、個人情報保護・情報セキュリティ研修を重ねて実施し、再発防止に取り組んでまいります。

なお、現時点で院外への情報流出は確認されておりません。

このたびの個人情報データには、電話番号、住所は含まれておりませんが、今後、見覚えのない問合せなど不審な連絡がございましたら、当院お問合せ窓口までご連絡ください。

1 事案発覚の経緯(下記経緯参照)

令和5年9月7日、職員(医師)が論文作成のため、当院の診療科部門のシステムから個人の USB メモリに診療データ(1,092 件分)をコピーし、院内及び自宅で作業をしていました(12 月1日最終作業日)。12 月 28 日、当該 USB メモリがないことに気付き、年末年始にかけて探していましたが、見つからなかったため、令和6年1月9日、病院に紛失を報告し、発覚いたしました。

2 事案の内容

 紛失した USB メモリには、令和3年(2021 年)4月2日から令和5年(2023 年)9月7日までに当院循環器内科において、カテーテルアブレーション治療を実施した1,092 件分、1,011 名の患者様の診療データ(氏名、患者 ID、年齢、性別、生年月日、診断名(略記号)等)を保存しておりました。住所、電話番号は含まれておりません。当該 USB メモリ及びファイルには、パスワードを付けたか不明確でした。

※カテーテルアブレーション治療
アブレーション治療用のカテーテルで不整脈を起こす原因となっている異常な電気興奮
の発生箇所を焼き切る治療法です。

3 対 応

(1)紛失への対応
本事案発覚後、1月9日に横浜市、1月 10 日に国の「個人情報保護委員会」に「個人情報の保護に関する法律(個人情報保護法)」第 26 条及び「個人情報の保護に関する法律施行規則」第8条の規定に基づいて所定の届け出を行いました。

(2)当該患者様への対応
該当する患者様に対しまして、本事案についてのお詫びと一連の経緯を説明する書面をお送りしました(1月 16 日送付)。

4 再発防止策

個人情報の適切な取り扱いについて、院内での個人所有の記録媒体を使用禁止とし、業務上必要な場合には、病院の貸与するパスワードロック機能付きの記録媒体を使用するよう、院内規程及びマニュアルを見直しました。また、特に学術領域で個人情報を利用する場合に個人を特定できないような加工を行うことなど、院内規程及びマニュアルの遵守に関して、改めて全職員に対し、個人情報の取り扱いに関する研修及び情報セキュリティに関する研修を通じて、周知・徹底してまいります。

<経緯>

令和 5 年 9 月 7 日 
  • 職員(医師)が論文作成のため、診療科部門のシステムから個人の USB メモリに診療データ(1,092 件分)をコピー(当該 USB メモリ及びデータファイルへのパスワード設定は不明)
  • USB メモリは、院内・自宅での作業で使用
令和 5 年 12 月 1 日 
  • 最後に当該 USB メモリを使用
令和 5 年 12 月 28 日 
  • USB メモリの紛失に気付く
令和 5 年 12 月 29 日 
  • 上司の医師に報告
令和 6 年 1 月 9 日 
  • USB メモリを発見できず当該医師と上司が病院に報告
  • 病院から横浜市に報告
令和 6 年 1 月 16 日 
  • 対象の患者様全員へ書面を発送し謝罪
  • 院内に問い合わせ窓口を設置
Labels:

【セキュリティ事件簿#2024-011】コムテック LINEキャンペーンにおける個人情報漏えいに関するお詫びとお知らせ


平素より格別のお引き立てを賜り、誠にありがとうございます。
このたび、「LINEの友だち追加でプレゼントキャンペーン」において応募者様の個人情報が一部閲覧できる状況にあったことが判明しました。

お客様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。
なお、現時点で当該個人情報の不正使用等の情報は確認されておりません。
事態の経緯と弊社の対応につきまして、下記の通りご報告いたします。

1.漏えいが確認された個人情報


件数 184件
対象
11月、12月にデジタルギフト配信済みのお客様 19件
1月にデジタルギフト配信予定のお客様 165件

漏えい情報 氏名、メールアドレス
閲覧可能期間 2023年11月29日(水)~2024年1月12日(金)までの45日間

2.原因


応募者様へデジタルギフトを送る配信登録作業時のミスにより、システム内で一部間違ったデータに書き換えが生じたことによって発生しておりました。

3.経緯について


2024年1月5日に11月応募者様から登録した情報が異なっている旨をご連絡いただき、キャンペーンで使用しているクラウドシステムを調査いたしました。ご連絡いただいたお客様の個人情報が異なっており、申込画面から他の方(1名)の個人情報(氏名、メールアドレス)が閲覧できることを確認いたしました。

ご連絡いただいた内容から本キャンペーンの全対象者様の情報を調査した結果、
・11月、12月にデジタルギフト配信済みのお客様 19件
・1月にデジタルギフト配信予定のお客様 165件
上記対象者の個人情報(氏名、メールアドレス)が他の方(1名)より閲覧できる状態にあることを確認いたしました。

4.対策について


・応募者様の申込み確認画面を閉鎖いたしました。
・クラウドシステムから対象情報を削除することによって、閲覧できない状態といたしました。

個人情報が漏えいした184名様には別途LINEにて本日より個別にご連絡を申し上げます。
弊社では、今回の事態を重く受け止め、個人情報取り扱い業務における管理体制の厳重化を全関係者へ徹底し、再発防止に努めてまいります。

Labels:

2024年版 危険な航空会社ランキング


航空格付け会社のエアラインレイティングス(AirlineRatings)は、2024年の安全な航空会社トップ25を発表した。

ワンワールドアライアンスからは以下の航空会社が選出された。

JALも選出されてめでたい限り
  • カンタス航空(豪)
  • カタール航空(カタール)
  • フィンエアー(フィンランド)
  • キャセイパシフィック航空(香港)
  • アラスカ航空(米)
  • ブリティッシュ・エアウェイズ(英)
  • JAL(日)
  • アメリカン航空(米)
ちなみに上記が安全性の観点からの最高評価(7スター)を獲得し、さらに世界トップ25に選出された航空会社なのだが、いい機会なので他のワンワールドアライアンス加盟航空会社もチェックしておきたい

★★★★★★★(7スター)
  • イベリア航空
  • ロイヤル・エア・モロッコ
  • スリランカ航空
  • ロイヤル・ヨルダン航空
  • フィジー・エアウェイズ(oneworld connectメンバー)
★★★★★★(6スター)
  • オマーン航空(2024年加盟予定)
★★★(3スター)
  • マレーシア航空
残念なことに、マレーシア航空がワンワールドアライアンスの中でぶっちぎりに安全性評価が低い。

ついでに評価が低い、危険な航空会社も取り上げてみたい。

ちなみにロシアの航空会社はウクライナ侵攻の影響で評価ができないのか、星が無い。

ある意味ロシアの航空会社も危険なのだが、あまり面白くないのでシングススターの航空会社を挙げてみる。

  • Pakistan International Airlines / パキスタン国際航空
    カラチを本拠地とするパキスタンの航空会社。

  • Air Algérie / アルジェリア航空
    アルジェリアのアルジェを本拠地とする航空会社。

  • SCAT Airlines / SCAT航空
    カザフスタンのシムケントを本拠地とする航空会社。

  • Sriwijaya Air / スリウィジャヤ航空
    スマトラ島をベースにインドネシア国内の都市を結ぶインドネシアの航空会社

  • Airblue / エアブルー
    カラチを本拠地とするパキスタンの格安航空会社

  • Blue Wing Airlines
    スリナムの航空会社

  • Iran Aseman Airlines / イラン・アーセマーン航空
    イラン・テヘランに拠点をおく航空会社。

  • Nepal Airlines / ネパール航空
    ネパールで唯一の国営航空会社。また同国のフラッグ・キャリア。本拠地はカトマンズ。

昨年、23年度版を作っていたので、比較してみたが、危険な航空会社の顔ぶれは変わっていなかった。

Labels:

【セキュリティ事件簿#2024-010】一般社団法人 大阪コレギウム・ムジクム 当団サーバへの不正アクセスについて


2024年1月3日、当団が管理するサーバに対して、メールマガジンの配信を行っているソフトウェアの脆弱性を突いた不正アクセスが発生いたしました。

確認された被害については以下の通りです。
  • メールマガジンにご登録いただいているお客様の、メールアドレスおよびお名前の情報の窃取
  • メールマガジンにご登録いただいいるお客様に向けて、配信システムを利用した迷惑メール(内容は当団Webサイトをハッキングした、というもの)の送信
  • 当団Webサイトのトップページの書き換え
お客様に多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

<対応状況>
1/3 18:42 頃 攻撃が開始される
1/3 21:10 頃~ メールマガジンご登録者様に対して迷惑メールが送信される
1/3 21:50 頃 Webサイトの改竄を確認
1/3 22:15 頃 サーバを停止
1/3 22:50 頃 サーバの隔離を終え、解析を開始
1/3 24:00 頃 メールマガジンシステムへの脆弱性攻撃である事を確認
1/4 21:40 頃 メールマガジンシステム等一部システムを停止した状態にて、Webサイトを暫定復旧
1/6 11:00 頃 セキュリティ上の不備の対処措置を行い、メールマガジンシステムを復旧

ご登録のお客様には現在、ご報告のメールをお送りしております。
本件による二次被害となるような事案は現時点確認されておりませんが、本件に関係すると疑われる不審な出来事などがございましたら、お知らせをいただけましたら幸いです。

この度の事態を重く受け止め、再発防止に向けた対策の強化を引き続き進めてまいります。
皆様に多大なるご迷惑、ご心配をおかけしましたことを重ねて深くお詫び申し上げます。

Labels:

ランサムウェアギャングが発表した被害組織リスト(2023年8月~12月)BY StealthMole

 

 StealthMole(旧Dark Tracer)による、2023年8月~12月のランサムウェア被害を受けた日系企業。

株式会社 鼓月(www.kogetsu.com)

ランサムウェアギャング:Mallox

株式会社エフトリア(www.ftria.co.jp)

ランサムウェアギャング:NoEscape

関連事件簿:【セキュリティ事件簿#2023-335】株式会社エフトリア セキュリティに関する重要なご報告  

株式会社 小森コーポレーション(komori.com)

ランサムウェアギャング:CL0P


住商グローバル・ロジスティクス株式会社(sgl.co.th)

ランサムウェアギャング:LockBit


セイコーグループ株式会社(www.seiko.co.jp)

ランサムウェアギャング:BlackCat (ALPHV)

関連事件簿:【セキュリティ事件簿#2023-306】セイコーグループ株式会社 当社サーバに対する不正アクセスに関するお知らせ

株式会社井上製作所(inouemfg.com)

ランサムウェアギャング:LockBit


アイホン株式会社(www.aiphone.com)

ランサムウェアギャング:Money Message

関連事件簿:【セキュリティ事件簿#2023-353】アイホン 当社米国法人への不正アクセス発生について

アルプスアルパイン株式会社(www.alpsalpine.com)

ランサムウェアギャング:BlackByte

関連事件簿:【セキュリティ事件簿#2023-360】アルプスアルパイン株式会社 当社グループが管理するサーバへの不正アクセスについて

株式会社フジシールインターナショナル(www.fujiseal.com)

ランサムウェアギャング:Akira

関連事件簿:【セキュリティ事件簿#2023-504】株式会社フジシールインターナショナル 当社米国グループ会社におけるランサムウェア被害および復旧状況について

シチズン時計株式会社(citizen.co.uk)

ランサムウェアギャング:Ragnar_Locker

郵船ロジスティクス株式会社(www.yusen-logistics.com)

ランサムウェアギャング:BlackCat (ALPHV)

フォルシアクラリオン・エレクトロニクス株式会社(www.clarion.com)

ランサムウェアギャング:BlackCat (ALPHV)

ソニーグループ株式会社(sony.com)

ランサムウェアギャング:RansomedVC

セイコーエプソン株式会社(epson.es)

ランサムウェアギャング:STORMOUS

株式会社NTTドコモ(www.docomo.ne.jp)

ランサムウェアギャング:RansomedVC

シークス株式会社(siix.co.jp)

ランサムウェアギャング:BlackCat (ALPHV)

関連事件簿:【セキュリティ事件簿#2023-169】シークス株式会社 ランサムウェアによる不正アクセスについて

株式会社シマノ(shimano.com)

ランサムウェアギャング:LockBit


日本航空電子工業株式会社(www.jae.com)

ランサムウェアギャング:BlackCat (ALPHV)

関連事件簿:【セキュリティ事件簿#2023-505】日本航空電子工業株式会社 当社サーバへの不正アクセス発生について

THK株式会社(www.thk.com)

ランサムウェアギャング:Hunters International

株式会社レスターホールディングス(restargp.com)

ランサムウェアギャング:LockBit

関連事件簿:【セキュリティ事件簿#2023-472】株式会社レスターホールディングス 当社及びグループ会社サーバーへの不正アクセス発生のお知らせ

社会福祉法人北広島町社会福祉協議会(kitahirosima.jp)

ランサムウェアギャング:LockBit

関連事件簿:【セキュリティ事件簿#2023-506】北広島町社会福祉協議会におけるシステム不調発生のご報告とお詫びについて

日産自動車株式会社(www.nissan.com.au)

ランサムウェアギャング:Akira

Labels:
登録: 投稿 (Atom)