| 日付 |
タイトル・内容 |
| 29日 |
 |
|
|
【状況】
3月下旬に社員が東京都内でノートパソコン(名刺情報等、数百件程度の個人情報が含む)を紛失したが、パスワードでロックされており、直ちに情報が流出することはないと考えられる
【対応】
警視庁に遺失物届けを提出し捜索を継続も、当該端末は未発見
【再発防止】
個人情報の厳格な管理をより一層徹底するとともに社員教育を進める
|
|
|
|
|
|
| 29日 |
|
|
|
【状況】
2019年3月21日、ネットワーク上の不正アクセスがあり、同ネットワークに接続されているサーバーに保存されておりましたお客様の情報が最大310万件社外に流出した可能性があることが判明(クレジットカードに関する情報は不含)
【対象販売店】
トヨタ東京販売ホールディングス株式会社傘下
・東京トヨタ自動車株式会社、東京トヨペット株式会社、トヨタ東京カローラ株式会社、ネッツトヨタ東京株式会社、トヨタメトロジック株式会社の5社に加えて、レクサス小石川販売株式会社、ジャミール商事株式会社(レクサス練馬)およびトヨタ西東京カローラ株式会社
【再発防止】
トヨタグループ全体における情報セキュリティ対策を改めて徹底
|
|
|
|
|
|
| 28日 |
|
|
|
【状況】
・3月17日に同一IPアドレス(中国及び国内)より、ID(メールアドレス)・パスワードを使って、2,929回にわたる“なりすまし”による不正アクセスが行われ、そのうち6件不正ログインされ、6名分のお客様情報(氏名、会員ランク、保有ポイント数)が、第三者に閲覧された可能性があることが判明
【対応】
・不正ログインされた顧客IDに、ただちにログインできないように対応
・不正ログインされた顧客及びログイン失敗IDに含まれていた顧客に対して、状況を速やかに連絡
・不正アクセスが行われた特定IPアドレスからのアクセスをブロック
・セシールオンラインショップの、ID・パスワード管理徹底のお願いと注意喚起
【再発防止】
セキュリティレベルの向上策を検討し、オンラインショップの信頼性向上に引き続き努める
|
|
|
|
|
|
| 27日 |
|
|
|
【状況】
平成31年3月26日、ホームページに「平成31・32年度一般競争(指名競争)有資格業者索引名簿」を掲載
申請事業者に対し、その旨をメールで通知した際、本来、bccで送信すべきところ、他社のメールアドレスが分かる状態で送信
【内容】
他社のメールアドレス(99社分)が分かる状態で、順次送信(1メールにつき100社ずつ順次送信。合計12,785社に送信)
【対応】
関係者(12,785社)に対しお詫びとともに、当該メールの削除を依頼
【再発防止】
・メールを一斉送信する際は、送信前に文書送信者以外の者が宛先を再度確認することを徹底し、より厳重かつ適正な管理に努める
・個人情報の重要性・適切な取扱方法について研修を実施
|
|
|
|
|
|
| 26日 |
|
|
|
【状況】
関係帳票等の内部調査を行ったところ、本店営業部、二の宮支店、工大前支店において、顧客情報関連資料の紛失が判明したが、紛失した資料は他の廃棄すべき資料の廃棄作業時に、当該資料を格納していた箱を誤って搬出し、誤廃棄したものと判断
【内容】
本店営業部、二の宮支店、工大前支店の資料に含まれる個人情報
1)渉外関係帳表綴(センタ送信対象取引明細表、センタ送信結果リスト、窓口装置入力照合表、修正データ一覧表):約6,260件
2)窓口装置入力照合表:約450件
3)受取書発行一覧表綴:約15,920件
【再発防止】
顧客情報管理を一層徹底
|
|
|
|
|
|
| 26日 |
|
|
|
【状況】
・2018年12月28日にクレジットカード会社から決済代行会社を通じて、弊社ショッピングサイト「歯学書ドットコム」で情報流出の懸念がある旨の連絡
・調査実施で流出懸念が判明し、被害拡大防止のため直ちにショッピングサイト「歯学書ドットコム」でのカード決済のご利用を停止
・第三者調査機関に調査を依頼
【原因】
システムの一部の脆弱性をついたことによる第三者の不正アクセス
【流出情報】
1)クレジットカード情報を含む個人情報
対象:2012年11月11日から2018年12月28日の間に、「歯学書ドットコム」でクレジット決済をした利用者
流出件数:最大で5,689件
流出個人情報:クレジットカード番号、カード会員名、クレジットカード有効期限、セキュリティコード、住所、メールアドレス、電話番号、生年月日
2)クレジットカード情報以外の個人情報
対象:2018年12月28日までのサイト利用者
流出件数:最大で23,000件
流出個人情報:氏名、住所、ユーザーID、メールアドレス、電話番号、FAX番号、職種、歯科医院名、生年月日、所属学会
【対応】
・クレジットカード会社に、該当するクレジットカード情報を報告し、それ以降の不正利用の防止モニタリング依頼
・システムの脆弱性および管理体制の不備な点を実施可能な施策を行ない、セキュリティの強化・改修を実施
・所轄警察である本富士警察署には2019年2月22日に被害申告
・監督官庁である個人情報保護委員会には2019年2月25日に報告
・5月7日、会員コンテンツおよび歯学書ドットコム販売再開(クレジット決済を除く)
【再発防止】
・システムのセキュリティ対策および監視体制の強化
|
|
|
|
|
|
| 25日 |
|
|
|
【概要】
2017年11月にサイバーセキュリティ経営ガイドライン Ver 2.0を発行
ガイドラインは、米国のサイバーセキュリティフレームワークとの整合を意識し、攻撃検知対策やインシデント対応など、深刻化するサイバー攻撃への対応強化を狙った改訂
ガイドライン記載の「重要10項目」を実践するには、具体的な事例から手順や着手の際の考え方などを把握し理解する必要があるため、サイバー攻撃への備えをさらに強化するため、国内での実践事例を基にしたプラクティス集を作成
第1章 経営とサイバーセキュリティ
第2章 サイバーセキュリティ経営ガイドライン実践のプラクティス
第3章 セキュリティ担当者の悩みと取組みのプラクティス
付録 サイバーセキュリティに関する用語集
サイバーセキュリティ対策の参考情報
【詳細ページ】
https://www.ipa.go.jp/security/fy30/reports/ciso/index.html
|
|
|
|
|
|
| 20日 |
|
|
|
【状況】
3月19日、新サイト開設案内をPCジャングル、PCジャングル楽天市場店、PCジャングルYahoo!ショッピング店、MOBILEジャングル、PCジャングルAmazon店の5サイトの購入履歴のある顧客にメール配信した際、アドレスを「TO」で設定してしまったため、送信者全員のメールアドレスが受信した顧客に表示された
【誤送信したメールアドレス(合計4,358件)】
・PCジャングル:1,000件
・PCジャングル楽天市場店:582件
・PCジャングルYahoo!ショッピング店:1,000件
・MOBILEジャングル:1,000件
・PCジャングルAmazon店:776件
【対応】
3月19日14時46分頃にお詫びと送信したメールの削除を依頼
|
|
|
|
|
|
| 19日 |
|
|
|
【状況】
2019年年3月18日、第三者による不正アクセスによりる情報流出の可能性をセキュリティ専門家から連絡、調査の結果その事実が判明
【漏えい情報】
・サービス提供者
氏名、メールアドレス、ハッシュ化されたパスワード、電話番号、クレジットカード情報の一部
・提供サービス利用者
氏名、メールアドレス、ハッシュ化されたパスワード、クレジットカード情報の一部
いずれも、決済に必要な全体のカード番号・カード名義人名・セキュリティコードは保存しておらず、カードの不正利用の可能性は低い
【対応】
・不正アクセスの侵入経路を遮断し、当該パスワードのリセット及び管理を厳重化
・関係省庁およびセキュリティ専門機関に相談及び報告を実施
【再発防止】
・定期的な外部機関による調査の実施
・不正や異常を検知しやすい仕組みの導入
・更なる情報セキュリティ管理体制の強化
|
|
|
|
|
|
| 16日 |
|
|
|
【状況】
2019年3月16日にサーバースケールアウト時の人為的ミスにより、841名の会員情報の漏洩が発生
規模を漏洩の原因となったキャッシュの設定が有効となったサーバーにログインしかつ障害発生時間帯に操作をされた方を漏洩の可能性のある最大値と判断し、操作画面毎のアクセスログから特定
【漏えい情報】
・氏名・電話番号・住所・メールアドレスの漏洩の可能性のある会員:25名
・氏名・氏名カナ・電話番号・住所・メールアドレス・性別・生年月日・秘密の質問・秘密の質問の答えの漏洩の可能性のある会員:81名
・ログインID・氏名の漏洩の可能性のある会員:42名
・氏名漏洩の可能性のある会員:693名
|
|
|
|
|
|
| 14日 |
|
|
|
【状況】
クラウド環境上で運営しているファイル転送サービス「宅ふぁいる便」に使用している一部サーバーの脆弱性を攻撃され不正アクセスが行われた結果、顧客が外部に漏えいが発生
1.被害の状況
1)漏洩件数:481万5,399件
2)漏洩内容
氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、職業・業種・職種(*)、居住地の都道府県名、メールアドレス2、メールアドレス3
加えて、2005年から2012年の期間でのみ、お客さまに回答いただいていた必須入力情報でない、居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者、子供
2.原因
1)本サービスのセキュリティ対策に継続的に取り組んでいましたが、一部サーバーの脆弱性を攻撃され、不正アクセスが発生
3.経緯
1)サーバー内に不審なファイルが保存されていることを検知し、直ちに調査を開始した結果、悪意のある第三者による不正なオペレーションが実行されたと判定し、本サービスを停止
2)サービス停止後、外部セキュリティ専門事業者の協力を得て詳細調査(各種ログより、被害状況、影響範囲および被害を引き起こした原因を分析)を実施した結果、悪意のある第三者により情報が外部に持ち出されたことが判明
3)詳細調査を進めた結果、これまでにご報告した漏洩情報(件数や内容)以外のお客さま情報の漏洩がなかったこと、お客さまからの一時預かりファイルの漏洩がなかったことを確認
4.再発防止策
・サイバー攻撃に対する対策と監視の強化に加えて、今後の第三者によるセキュリティ監査結果を踏まえた再発防止策に取り組む
・社内横断的にこの再発防止策を早期に実行するために、「セキュリティ強化対策部」を設置
|
|
|
|
|
|
| 09日 |
|
|
|
【状況】
2019年3月8日、一斉メール配信時、同報者に対しメール本文中に他者のメールアドレスが表示されていた
「bcc」により一斉メール配信したところ、宛名添付作業の不手際により、全てのメールアドレスが「bcc」欄に入力されず、一方で入力されなかったメールアドレスがメール本文中に添付記載された状態で配信
【原因】
分割保管していたメールアドレスを「bcc」欄にコピーし一斉メール配信した際に、誤データ(“)が混在していたことを見過ごした
【流出情報】
3,497名のメールアドレス(※一部に氏名・ニックネームを含みますが、住所・電話番号等の情報は流出していない)
【対応】
・本来の分割保管されたメールアドレス情報を整理の上、安全な配信作業を確実に行うシステムを早急に確立し、また、その運用手順について社内教育を徹底
・個人情報保護委員会へ報告
|
|
|
|
|
|
| 08日 |
|
|
|
【状況】
元従業員が不正に機密情報を外部に持ち出した事実が発覚し、刑事告訴を行った結果、2019年3月7日付で京都府警から京都地方検察庁に書類送検された
1)不正な持ち出しの概要
2018年5月に当時所属していた部門で保管されていた情報を不正に持ち出したことが、社内調査により発覚
なお、これまでの社内調査や警察による捜査において、持ち出された情報の外部漏えいは確認されていない
2)持ち出しが確認されている情報項目
・患者情報:885名分
・顧客およびアンケート回答者など(主に医療従事者)の個人情報:2,603名分
(所属・氏名・電話番号・メールアドレス など)
・その他当社技術および営業情報 など
【経緯】
・2018年7月下旬、元従業員が退職することを受け、これまで機密情報に触れる仕事に従事していたことから、使用していたパソコン端末を調べたところ、機密情報を書き出したログを確認
・ログの情報をもとに、本人に確認したところ、USBを使って社用パソコンから情報を抜き取り、私物パソコンに移し替えたことを認めた
・持ち出した情報は、データ消去専用ソフトを使って私物パソコンから直ちに消去
同時に、私物パソコンの書き出しログ調査から、当該情報は私物パソコンから外部に書き出されていないことを確認
・2018年7月31日、重大な不正行為が明らかになったため、元従業員を懲戒解雇
・2018年11月、不正競争防止法違反容疑で、元従業員を京都府警に刑事告訴
・2019年3月7日、元従業員は京都府警から京都地方検察庁に書類送検された
【対応】
・情報持ち出しに該当する医療機関に対し、本件の事実を説明・謝罪
・該当する患者に対しては、医療機関側で対応を依頼
・にコールセンターを設置し、患者等からのお問い合わせに対応
・個人情報に該当する顧客(医療従事者など)については、説明ならびに謝罪を進めていく
|
|
|
|
|
|
| 06日 |
|
|
|
【状況】
LINEからの連絡に見せかけて、LINEに登録しているメールアドレスとパスワードを入力させ、アカウントを乗っ取る
【メール件名】
LINE【重要情報】
[LINE緊急問題]
【特徴】
・本文内にログイン画面へのURLを記載し、そのURLにアクセスするよう促している
・日本語に不自然な部分がある
【対応】
1)2019/03/06現在フィッシングサイトは稼働中であり、JPCERT/CC にテイクダウン(サイト閉鎖)を依頼中
フィッシングサイトは停止しても再び稼働したり、URLフィルタで警告が出ないこともあるため、引き続き注意
2)フィッシングサイトでアカウント情報(メールアドレス・パスワードなど)を絶対に入力しないように注意
3)類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会(info@antiphishing.jp)まで連絡
【フィッシングサイトにログインしてしまった場合の対処法】
・LINEのパスワードを変更する
・他社サービスのパスワードを変更する
・LINEに連絡する(dl_pm-report@linecorp.com)
【その他類似のフィッシング情報】
・2019.03.04 ゆうちょ銀行をかたるフィッシング
(ゆうちょ銀行からのご連絡)
・2019.03.04 VJA グループ (Vpass) をかたるフィッシング
(【重要】クレジットカードから緊急のご連絡 )
・2019.03.04 Amazon をかたるフィッシング
([緊急の通知] Amazoneプライムのお支払いにご指定のクレジットカード有効期限が切れています!)
|
|
|
|
|
|
| 06日 |
|
|
|
【状況】
1)2019年3月2日、病院職員が開催された研修会で当センター備品の端末を用いて講師として説明を行った後、会食・飲酒し、帰宅途中に当該端末等が入った荷物を電車内に置き忘れ、紛失
2)紛失直後から駅、警察に問合せや届出を行い、端末の機能で探索を試みたが見つかっていない
3)3月4日、端末内の情報を消去する機能を使用して、情報の消去(コマンド送信)を実施
【流出情報】
・端末には、約25名分の患者を撮影した画像データが保存されており、うち22名分は顔周辺が写っていた
・画像は、作業療法時に患者に見せる(フィードバック)等の目的で、口頭で本人の了承を得て撮影
・画像データ以外の患者の個人情報(住所、氏名等)は、いっさい保存されていない
【再発防止策】
・個人情報の管理体制を再点検し、再発防止を講じる
・当センターで業務を行う全ての者に対して個人情報の適正な管理の徹底を図るよう改めて周知、注意喚起(特に、情報機器を業務外で利用しないこと、情報を許可なく持ち出さないことを徹底)
・事実関係について確認の上、職員に法令違反等があれば、厳正に対処する
|
|
|
|
|
|
| 06日 |
|
|
|
安全にウェブサイトを運用管理するために、ウェブサイト運営者、システムおよびネットワーク管理者が確認・対策すべき情報を公開
・「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」
https://www.ipa.go.jp/security/vuln/websitecheck.html
・「ウェブサイト運営のファーストステップ」
https://www.ipa.go.jp/files/000071949.pdf
1.ウェブアプリケーションのセキュリティ対策
(1)公開すべきでないファイルを公開していませんか?
(2)不要になったページやウェブサイトを公開していませんか?
(3)「安全なウェブサイトの作り方」に取り上げられている脆弱性への対策をしていますか?
(4)ウェブアプリケーションを構成しているソフトウェアの脆弱性対策を定期的にしていますか?
(5)不必要なエラーメッセージを返していませんか?
(6)ウェブアプリケーションのログを保管し、定期的に確認していますか?
(7)インターネットを介して送受信する通信内容の暗号化はできていますか?
(8)不正ログインの対策はできていますか?
2.ウェブサーバのセキュリティ対策
(9)OSやサーバソフトウェア、ミドルウェアをバージョンアップしていますか?
(10)不要なサービスやアプリケーションがありませんか?
(11)不要なアカウントが登録されていませんか?
(12)推測されやすい単純なパスワードを使用していませんか?
(13)ファイル、ディレクトリへの適切なアクセス制御をしていますか?
(14)ウェブサーバのログを保管し、定期的に確認していますか?
3.ネットワークのセキュリティ対策
(15)ルータなどを使用してネットワークの境界で不要な通信を遮断していますか?
(16)ファイアウォールを使用して、適切に通信をフィルタリングしていますか?
(17)ウェブサーバ(または、ウェブアプリケーション)への不正な通信を検知または、遮断していますか?
(18)ネットワーク機器のログを保管し、定期的に確認していますか?
4.その他のセキュリティ対策
(19)クラウドなどのサービス利用において、自組織の責任範囲を把握した上で、必要な対策を実施できていますか?
(20)定期的にセキュリティ検査(診断)、監査していますか?
|
|
|
|
|
|
| 06日 |
|
|
|
【概要】
ウェブサイト運営者、システムおよびネットワーク管理者のための「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」を公開
1.ウェブアプリケーションのセキュリティ対策
2.ウェブサーバのセキュリティ対策
3.ネットワークのセキュリティ対策
4.その他のセキュリティ対策
上記のテーマで、20項目のポイントを解説
【チェックリストのダウンロード】
・ウェブサイトのセキュリティ対策のチェックポイント20ヶ条 チェックリスト(エクセル)
【参考資料】
・知っていますか?脆弱性
・安全なウェブサイトの作り方
・ウェブサイト運営者のための脆弱性対応ガイド
・ウェブサイト構築事業者のための脆弱性対応ガイド
・セキュリティ担当者のための脆弱性対応ガイド
・ウェブサイト運営のファーストステップ〜ウェブサイト運営者がまず知っておくべき脅威と責任〜
【詳細ページ】
https://www.ipa.go.jp/security/vuln/websitecheck.html
|
|
|
|
|
|
