日付 |
タイトル・内容 |
22日 |
|
|
|
【状況】
メールサービスへの不正アクセスにより、学内職員のメールアドレスから全教職員228名あてに個人情報を含む学内情報を添付したメールが8月20日に一斉送信された
【対応】
8月20日
・午前9時頃:全教職員にメールで当該不審メールは、開かずに削除するよう周知
・午前10時頃:大学全体のメールサーバーを停止し調査
・メールサービスへの不正アクセス及び管理者パスワードの書き換え、約20人のユーザー登録の削除を確認
・午後2時半頃:高知県警察本部サイバー犯罪対策担当部署に相談
8月21日
・午前10時:緊急の部局長会を開催し、状況及び当面の対策等について報告
・午後1時:教職員用メールサーバーを復旧し、全教職員に学内メールサーバーから外部メールの自動転送を設定している場合のパスワードの変更、自動転送を希望する場合は登録制とすることを全教職員に周知
・午後4時頃:関連する大学院のWEBサイト上の全ページが削除されていることを確認
8月22日
午前9時:高知県警察本部サイバー犯罪対策担当部署に捜査を依頼
【漏えいした個人情報を含む学内の情報】
1)永国寺図書館の蔵書の除却についてのコメント案を事前に調整したメール
2)蔵書の除却についての情報開示請求書
3)酒気帯び運転で検挙された職員への対応について協議したメール
4)職員のネット購入履歴 |
|
|
|
|
|
22日 |
|
|
|
EUにおける「一般データ保護規則(GDPR)」の理解を促すため、日本語による仮訳を提供しているが、あらたに「規則に基づく個人データ侵害通知に関するガイドライン」「自動化された個人に対する意思決定とプロファイリングに関するガイドライン」を追加公開
・規則に基づく個人データ侵害通知に関するガイドライン(PDF)
https://www.ppc.go.jp/files/pdf/tsuuchi_guideline.pdf
・自動化された個人に対する意思決定とプロファイリングに関するガイドライン(PDF)
https://www.ppc.go.jp/files/pdf/profiling_guideline.pdf |
|
|
|
|
|
13日 |
|
|
|
【状況】
メールサーバが外部からの攻撃(不正アクセス)を受け、従業員のメールアカウント不正利用が発生し、15件の氏名とメールアドレスが読み取られた
【経緯】
・2018年6月15日、従業員のメールアカウントが不正利用され、大量のスパムメールが発信された
・該当メールアカウントの受信ボックス内の一部メールについて読み取られている事が判明
・該当メールアカウントのパスワードを変更し、メールアカウントの制御を取り戻した
【再発防止対策】
・セキュリティポリシーを強化
・情報セキュリティに関する強化策の実施を継続
|
|
|
|
|
|
05日 |
|
|
|
【状況】
第三者による不正アクセスを受け、顧客のクレジットカード情報(最大77,198件)の以下情報が流出
・カード会員名
・クレジットカード番号
・有効期限
【経緯】
2018年6月6日:クレジットカード会社から顧客のクレジットカード情報の流出懸念の連絡
2018年6月8日:運営する「Webショッピングサイト」でのカード決済を停止
第三者調査機関「Payment Card Forensics株式会社」による調査を開始
2018年7月12日:調査が完了
2017年1月14日〜2018年5月25日の期間に「Webショッピングサイト」利用顧客クレジットカード情報が流出
【原因】
システムの脆弱性をついた第三者の不正アクセス
【対応】
利用者はクレジットカードのご利用明細書に身に覚えのない請求項目がないかの確認を依頼
クレジットカードの差し替え希望の場合、カード再発行の手数料の負担はない
【対策】
調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図る
2018年7月23日:監督官庁である個人情報保護委員会にはに報告、警察署に相談 |
|
|
|
|
|
02日 |
|
|
|
■ キャンペーン期間
2018年8月1日(水)〜 2018年8月31日(金)
複数のインターネットサービスで同じアカウントID、パスワードを使い回すことにより「パスワードリスト攻撃」による被害が継続的に発生している。
パスワードリスト攻撃による被害の軽減には、サービス提供企業・組織における対策の実施もさることながら、サービス利用者による適切なアカウント管理が重要。
サービス利用者へのパスワード使い回しを控えるように広く呼びかけるため、「STOP! パスワード使い回し!」キャンペーンを実施。
■ 賛同企業・組織を募集
自社サイトでキャンペーンバナー、「STOP! パスワード使い回し!」啓発コンテンツの掲載協力
http://www.jpcert.or.jp/pr/2018/stop-password2018.html#tips0 |
|
|
|
|
|
01日 |
|
|
|
【状況】
2018年2月22日に、機構が管理している「がん治療認定医変更届システム」から登録情報が流出
【期間】
2017年6月初旬〜2018年2月22日
【原因】
システムの脆弱性に対して外部の第三者による不正攻撃で複数回にわたって情報流出が発生
【流出情報】
メールアドレスとログインパスワードの組合せ29,678件(計24,599名分)。
内訳は以下のとおり
1)認定期間中の「がん治療認定医」:18,378件(うち、11,395件は初期パスワードのまま)
2)認定期間終了となった「がん治療認定医」:699件(うち、615件は初期パスワードのまま)
3)「がん治療認定医」ではないが、過去にセミナーまたは試験の申込者:5,522件(全て初期パスワードのまま)
4)上記1)のうち、最初に流出した後にメールアドレスあるいはパスワードを変更した方:5,079件
【ユーザへの対応依頼】
本システムの登録パスワードを他のサービスで使い回している場合は、すみやかに変更
【機構の対応】
2月22日:「変更届システム」を隔離し、ホームページで公表
2月23日:情報処理推進機構(IPA)の標的型サイバー攻撃特別相談窓口に報告・相談
委託先が管理するサーバの全てのシステムに対して脆弱性診断および改修依頼
3月中旬〜:所轄警察署に相談
3月22日:「認定医名簿」をネットワークから隔離
ホームページに「不正アクセスによる登録情報の流出に関するご報告とお願い」を掲載
3月末から4月初めにかけて、情報流出の可能性のある方全員にメールで周知
4月初旬〜:外部の民間調査機関に相談・調査依頼
5月末〜:外部の民間調査機関から調査報告を受領し、データ解析開始
6月中旬:システムセキュリティ専門会社に脆弱性診断実施を委託、報告書受領
新しい委託先に新システム(認定医申込・申請・管理)を構築することを決定
被害件数が確定し、所轄警察署に「不正アクセス被疑事件」として再度相談
7月中旬:所轄警察署に「被害届」提出
【再発防止策】
セキュリティ強化および定期的な脆弱性診断実施を含めた新システム構築
|
|
|
|
|
|