日付 |
タイトル・内容 |
24日 |
|
|
|
○概要
東京都港区において、個人情報が記載された名簿を紛失。
紛失したのは、7月28日に同区が事業者に委託して実施した「生物多様性みなとネットワーク意見交換会」の出席者名簿。会議終了後に返還するよう求めたところ、10月14日に紛失していることが判明した。
委託事業者は、会議終了後に名簿の原本を会社に持ち帰って保管し、出張先などにはコピーしたものを持ち出し作業していたと説明。
○紛失した個人情報の件数
28人分
○紛失した個人情報の内容
氏名、参加団体名 |
|
|
|
|
|
24日 |
|
|
|
○概要
アンケートリサーチサイト「アンとケイト」がパスワードリスト攻撃を受け、一部利用者のアカウントにおいてなりすましによる不正ログインが行われ、ポイントが窃取された。
10月5日〜10月7日13時にかけて、利用者以外の第三者によるログインの試行が20万9003回にわたり行われた。
不正ログインが成功した96件のアカウントにおいて、登録メールアドレスの改ざん被害が発生。さらにポイントがギフト券などに不正交換され、変更後の登録メールアドレスに送信されていたとのこと。
同サイトを運営するマーケティングアプリケーションズは、10月6日20時頃にポイント交換の異常に気が付き、調査を開始。同社以外で流出したと見られるアカウント情報を使用した「パスワードリスト攻撃」による不正ログインと判断。翌7日13時にポイントの交換申請について受付を停止した。
今回の問題を受け、全利用者に対しパスワードの変更を要請。パスワードの使い回しや予測しやすいパスワードの利用を避けるよう注意を呼びかけた。
調査は継続しており、セキュリティ対策を講じた上でポイントの交換申請について受付を再開する予定とのこと。 |
|
|
|
|
|
24日 |
|
|
|
○概要
関東運輸局山梨運輸支局において、自動車検査に関わる行政文書の誤廃棄が発生。
10月11日、保存期間を経過した文書を廃棄処分した際、保存期間が満了していないにもかかわらず誤って廃棄してしまったとのこと。
廃棄処分された書類は業者による溶解処理が行われており、個人情報など書類の記載内容が外部に流出するおそれはないとしている。
○誤廃棄のあった個人情報の件数/内容
2016年4月27日に扱った自動車検査票:191件
保安基準適合証:313件
(504件) |
|
|
|
|
|
18日 |
|
|
|
○概要
東京都豊島区立小学校の教諭が、児童の氏名が記載された書類など盗まれた。
10月12日17時50分頃、帰宅途中の教師が自転車の前かごに入れていた手提げ袋を盗まれた。
同校は、書面で対象となる児童の保護者に説明と謝罪を行った。また、全校児童の保護者を対象とした説明会を実施するとのこと。
○流出した個人情報の件数/内容
391人の氏名が記載された記録表
12人の氏名が記載された算数プリント |
|
|
|
|
|
17日 |
|
|
|
○概要
鳥取県が運営する海外向け観光情報サイト「Tourist information for Tottori,Japan」が不正アクセスを受け、約50万件のスパムメールが送信された。
10月4日1時〜2時にかけて、アカウントを不正に利用されスパムメールが送信。同サイトで利用していたレンタルサーバの運営会社から、同サイトの運営委託会社に同日18時頃に連絡があり問題が判明した。同日22時30分、メールサーバや問い合わせフォームを停止した。
今回の攻撃は、メールサーバに対するブルートフォース攻撃で、一部メールアカウントのIDとパスワードが特定されたとのこと。攻撃者は同アカウントを不正に利用し、海外の不特定多数に向けて約50万件のメールを送信したとみられている。
また、今回のスパム送信によりサーバのIPアドレスが海外の複数ISPにおいてブラックリストに追加された。それにより、同サーバより配信された正常なメールが不達となる不具合が生じていたが、現在はIPアドレスを変更している。
6日15時にセキュリティ対策は完了し、11日11時40分に同サイトのメールサーバや問い合わせフォームを再開。また、今回の不正アクセスによる個人情報の流出については否定している。 |
|
|
|
|
|
17日 |
|
|
|
○概要
日本財団において、フォーラムの参加者にメールを送信した際、誤送信が発生しメールアドレスが流出。
10月14日14時過ぎ、「日本財団ソーシャルイノベーションフォーラム2016」の参加者にテレビ放映についての案内メールを送信。その際に送信先のメールアドレスを誤って宛先に入力したため、受信者間でアドレスを閲覧できる状態となった。
同財団は、ウェブサイトで誤送信について報告し謝罪した。
○流出した個人情報の件数
189人
○流出した個人情報の内容
メールアドレス |
|
|
|
|
|
14日 |
|
|
|
○概要
埼玉県川口市都市計画部公園課の職員が、帰宅途中に業務用ファイルが保存されたポータブルハードディスクを紛失。
10月7日の業務終了後、職場の懇親会で飲酒し、その後大宮駅のベンチで居眠りをしてしまい、翌日の8日1時頃、ハードディスクの所在がわからなくなった。
紛失したハードディスクには、コピーしていた約93万7000件の業務ファイルが保存されており、そのうち約1万7000件に個人情報が含まれると見られている。
これらのファイルはセキュリティポリシーで持ち出しが禁止されているが、同職員は自宅で作業を行うために持ち出していた。
○流出した個人情報の内容
河川・公園に関する要望者(「市長への手紙」の差出人含む)、 申請・同意・契約等を行う者その他事業関係者の住所、氏名、 電話番号、年齢、性別、職業、メールアドレス、口座番号又 は会社・個人の印影
○URL
個人情報を含むコピーデータを格納したポータブルハードディスクの紛失について
http://www.city.kawaguchi.lg.jp/kbn/Files/1/40300103/attach/harddisc.pdf |
|
|
|
|
|
14日 |
|
|
|
○概要
岡山県真庭市においてメールの誤送信が発生、メールアドレスが流出。
10月3日15時半頃、コスモスの開花情報を提供するメールを送信した際、宛先にメールアドレスを入力し、送信。受信者間で閲覧できる状態となった。
対象となる関係者にメールで謝罪し、誤送信したメールの削除を依頼した。
○流出した個人情報の件数
156件
○流出した個人情報の内容
メールアドレス |
|
|
|
|
|
14日 |
|
|
|
○概要
東京都市大学においてメールの誤送信が発生。学生の個人情報が流出。
9月21日、知識工学部情報通信工学科の教員が、同学科の学生の個人情報を含むファイルをメールに添付し、誤って他の学生に送信した。ファイルには、パスワードが設定されていたとのこと。
同大学は、対象となる学生に説明会を行って説明と謝罪を実施した。メールを受信した学生には添付ファイルの削除を依頼し、1カ月後、削除が完了しているか確認を行うとしている。
○流出した個人情報の内容
氏名、学籍番号、所属研究室など |
|
|
|
|
|
13日 |
|
|
|
○概要
味の素において、キャンペーン当選者に一部無関係の住所が記載されたハガキを送付。
問題があったのは「新生活応援キャンペーン」の当選者に向けて送付したアンケートハガキ。一部において、住所の誤記載が発生。住所の末尾に関係のない別の当選者の建物名と部屋番号が記載されていた可能性がある。
10月2日にハガキの受取人から指摘があり判明。ハガキの発送を委託した凸版印刷において、ハガキを発送する送付先リストを作成する際にミスがあり、宛先の建物名と部屋番号が、氏名や番地までの住所情報とずれて印字されたとのこと。
多数のハガキが宛先不明で返送されているが、誤記載のあったハガキの配達状況など詳細を確認し、配達された場合は廃棄を依頼するとともに、相談窓口を開設して情報漏洩による被害の発生を防止するなど対応を進めるとしている。
○流出した個人情報の件数
(最大)1723件
○流出した個人情報の内容
建物名、部屋番号 |
|
|
|
|
|
12日 |
|
|
|
○概要
秋田市の市立図書館において、利用者の個人情報が保存されたノートパソコンが紛失。
所在がわからなくなっているのは、中央図書館明徳館が移動図書館で利用しているノートパソコンで、同館で「図書館利用カード」を作成した利用者の個人情報が保存されている。
今回の問題を受け、不審な電話などがあった場合は連絡するよう利用者に対しアナウンスを行っている。
○紛失した個人情報の件数
19万3844件
○紛失した個人情報の内容
氏名、電話番号、生年月日、登録者番号、10月7日時点の予約、貸出状況など |
|
|
|
|
|
11日 |
|
|
|
○概要
優良住宅ローン(長期固定金利の住宅ローン「フラット35」の提携業務など)が、不正アクセス被害に遭い、個人情報が流出。
9月30日、メールサーバに対する不正アクセスを確認。その後調査を進めていたところ、10月3日に不正アクセスと関係があると見られるメールが同社に届いた。
同社はこれを受け、顧客の個人情報を含むメールが外部に流出した可能性が高いと判断し、所管する官庁に報告した上で詳しい調査を進めている。詳しいがことがわかり次第、公表する予定とのこと。
○URL
弊社電子メールの管理サーバへの不正アクセス及び お客様の個人情報漏えいの可能性について
http://www.yuryoloan.jp/wp/wp-content/uploads/2016/10/20161005_YJL_release.pdf |
|
|
|
|
|
11日 |
|
|
|
○概要
富山大学水素同位体科学研究センター(核融合炉の燃料として使われる水素同位体の研究施設)のパソコンがマルウェアに感染。外部と大量の通信が行われていた。
2015年11月に研究者に送られたメールをきっかけにマルウェアに感染し、外部と大量の通信が行われていたことが判明。
同大は感染した端末内部のデータについて、すでに発表済みまたは公開を前提としているデータであるとし、機密情報の漏えいを否定。今回の問題を受け、セキュリティ対策の強化などを進めるとのこと。
○URL
富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について
https://www.u-toyama.ac.jp/news/2016/1011.html |
|
|
|
|
|
07日 |
|
|
|
○概要
東京都台東区において、メールマガジン送信時のミスにより登録者のメールアドレスが流出。
ミスがあったのは、9月28日に環境課が配信した「たいとう環境メールマガジン」。アドレスが表示された状態で送信したとのこと。
送信してから3時間後に、受信者から指摘があり問題が判明。同区は同日中にメールで謝罪し、誤送信したメールの削除を依頼した。
○流出した個人情報の件数
77人
○流出した個人情報の内容
メールマガジン |
|
|
|
|
|
07日 |
|
|
|
○概要
札幌市で複数のクリニックを運営する医療法人 新産健会において、取引先担当者の個人情報が登録された携帯電話を職員が紛失。
9月23日13時頃、職員が営業活動中に業務用の携帯電話を紛失、紛失後に携帯電話の利用停止措置をとった。
同法人は、対象となる関係者に説明と謝罪を行った。
○流出した個人情報の件数
200人分
○流出した個人情報の内容
氏名、電話番号
○URL
業務用携帯電話紛失のご報告とお詫び
http://shinsankenkai.or.jp/_sys/wp-content/uploads/2016/09/20160927.pdf |
|
|
|
|
|
07日 |
|
|
|
○概要
関西学院大学において、職員のミスにより学生や卒業生の個人情報が外部に漏えいした。
職員がメールにより誘導されたフィッシングサイトで、誤ってIDとパスワードを詐取されたことが原因とみられる。
同大は、学内への注意喚起を再度実施するなど再発防止に向けて対策を講じるとしている。
○流出した個人情報の件数
1466人分 |
|
|
|
|
|
06日 |
|
|
|
○概要
横浜市水道局において、委託先が顧客情報を記載した水道メーター取替伝票をが紛失。
9月29日13時頃、水道メーター取替業務を委託している大橋水道設備の従業員が、作業終了後に伝票をファイルしたバインダーを作業車に積み込んだが、施錠せず車から15分程度離れた。その後、バインダーがなくなっていることに気がついた。
水道メーター取替業務を委託している大橋水道設備の従業員が、9月29日に伝票をファイルしたバインダーの紛失に気付いたとのこと。
同局は対象となる顧客を訪問し、説明や謝罪を行う。
○紛失した個人情報の件数
45件
○紛失した個人情報の内容
氏名、住所 |
|
|
|
|
|
06日 |
|
|
|
○概要
音楽配信サービス「Spotify」において、不正広告が配信されたことが判明。
同サービスはフリーミアムモデルを採用した楽曲配信サービスで、配信曲は4000万曲以上にのぼる。広告表示により無料で利用できる「Spotify free」や、有料月額サービス「Spotify Premium」を展開。9月29日には日本国内向けにサービスを発表した。
無料版を導入している利用者による同サービスコミュニティサイトへの投稿により、今回の問題が発覚。
デフォルトブラウザにマルウェアサイトが表示されたり、操作なしにマルウェアに感染するおそれがあるなど、利用中の端末3台で問題が生じた。
同投稿に対し利用者から次のようなコメントが寄せられた。「数分おきに広告が表示された」「同じ症状が出てマルウェア駆除を行った」「トロイの木馬が自動的にダウンロードされ、感染しそうになった」など。題が生じた利用者の環境は、「Windows」や「Mac OS X」「Linux」など多岐にわたる。
これに対しSpotifyは、一部ユーザーにおいて、デフォルトブラウザに不審なポップアップが表示される問題が発生し、無料版の広告に関連する問題であることを確認したと説明している。
広告表示とマルウェア感染の因果関係については触れていないが、すでに問題の広告を停止し、監視を行っているとし、同様の問題を見かけた場合は通報してほしいとコミュニティにアナウンスした。
「Spotify」では、2011年3月にも表示するだけでマルウェアに感染のおそれがある広告が配信された経緯があり、同攻撃ではエクスプロイトキット「Blackhole」が利用され、偽セキュリティ対策ソフトへ感染するおそれがあった。 |
|
|
|
|
|
06日 |
|
|
|
○概要
大阪府立茨木支援学校において、教員が生徒の個人情報が記載された資料を、修学旅行先のトイレに置き忘れ、所在不明となっている。
9月28日14時頃、教員が東京スカイツリーのトイレを利用した際に、ズボンのポケットに入れていた資料を個室内の荷物用の棚に置いたが、生徒の介助で急いだ際に置き忘れ、見学終了後に資料の紛失に気付いた。
15時にトイレ清掃を行った業者に確認したが、資料は清掃の時点ですでになかったとのこと。
○紛失した個人情報の件数/内容
・生徒44人の氏名
・教員が担当する生徒6人の保護者の緊急連絡先
・3人の服薬情報など |
|
|
|
|
|
05日 |
|
|
|
○概要
Johnson&Johnsonの子会社であるAnimasが提供する医療機器「Animas OneTouch Ping」において、不正に操作を行ったり、応答内容を偽装されるなど、複数の脆弱性が含まれていることが判明。
同製品は、糖尿病患者に少量ずつ持続的にインスリンを注入するインスリンポンプで、独自プロトコルによる無線通信機能を備えており、メーターによる遠隔制御機能を実現しているが、通信内容を暗号化しておらず、複数の脆弱性が含まれていることがわかった。
脆弱性を発見したRapid7によれば、攻撃者が遠隔からメーターを偽装し、不正にインスリンの投与を行うことが可能で、利用者が操作をキャンセルしないと低血糖を引き起こすおそれがある。
※おもな脆弱性
1)治療に関する情報やパスワードなどの機密情報を平文で通信する「CVE-2016-5084」
2)ペアリング機能の安全性が不十分で、通信内容から「なりすまし」に利用できる情報を取得できる「CVE-2016-5085」
3)通信内容をキャプチャし、リプレイすることでなりすましによる操作が可能となる「CVE-2016-5086」
Rapid7は、これらの脆弱性の悪用リスクは比較的低く、パニックを引き起こすものではないと説明している。
Johnson&Johnsonでは、患者や医療関係者に通知するものの、脆弱性に対応したファームウェアをリリースする予定はなく、無線機能をオフにすることで脆弱性の影響は受けないとしている。 |
|
|
|
|
|