１．概要
当社が利用するコールセンタシステムを提供するＮＴＴビジネスソリューションズの同システムの運用保守業務従事者（ＮＴＴビジネスソリューションズに派遣された元派遣社員）が、システム管理者アカウントを悪用のうえ、お客さまデータが保管されているサーバへアクセスし、お客さま情報を不正に持ち出し。
（１）不正に持ち出された件数

お客さま数：約900万件　クライアント数：59（現時点判明分）
※今後新たな情報が判明いたしましたら、随時公表してまいります。

事故発覚の経緯
2014年6月27日、株式会社ベネッセコーポレーションは、お客様からの問い合わせによりお客様の個人情報が社外に漏えいしている可能性を認識し、緊急対策本部を設置するとともに、これらの問い合わせで提供された情報を手がかりとして社内調査を開始しました。

令和５年９月３０日～１０月２日にかけて、海外のＩＰアドレスから当サービスへ大量のアクセスがあり、その一部アクセスでIDとパスワードが一致したためログインされたものです。当サービスに記載されているお客さまのメールアドレス、登録ＩＤ、秘密の質問・答え及び利用履歴について閲覧された可能性があります。ETCクレジットカード番号、車載器管理番号の漏洩の可能性はございません。

以前勤めていた東京の人材派遣会社の名刺情報管理システムに元同僚のIDなどを使って不正にアクセスし、取引先などの情報を転職先の同業他社に提供したとして不正アクセス禁止法違反などの疑いが持たれています。

　いずれも公式Webサイトが改ざんされ「2023年8月31日付で破産手続きを開始いたしました」のようにうその破産報告が掲載されたという。湘南国際村センター、新宿スタジオ、西島畜産においては迷惑メールの配信もあったとしている。

近年は多くの企業がデータの保管やサービスの提供にクラウドホスティングサービスを利用しており、「データはクラウドで保管しているから安心」と思っている管理者も多いはず。ところが、デンマークのクラウドホスティング企業であるCloudNordicは2023年8月、「ランサムウェアによってほぼすべての顧客のデータが暗号化され、アクセスできなくなってしまった」と報告しました。

ＩＤとパスワードは５桁の職員番号だったため、容易に推測できたという。市は４月２１日にパスワードを変更するよう職員に指示した。

社用PCから社内サーバにアクセスし、業務マニュアルのデータを持ち出したとされている。警察の調べに対し「転職先で役立つと思った」と話しているという。

都によれば、7月28日10時ごろ、業務委託先であるビーエスロジスティクスが都内の行政機関、法人、団体など43団体に対し、防災備蓄食品の寄付に関する案内メールを送信した際、送信先を誤って「CC」を利用するミスがあった。

団体の代表メールアドレス41件と業務用個人メールアドレス2件が、受信者間で閲覧できる状態となった。

GMWが運営するサービスが不正アクセスを受け、pictBLand のサイトが一時改ざんされた他、データベース情報が外部に流出した可能性がある。今回の不正アクセスによる影響を受けた件数は同社より2023年8月16日時点で明らかにされていないが、サービスの累計登録者数は約130万人

6月9日13時から同月22日23時過ぎにかけてログイン処理においてユーザー認証が正しく行われない状態となっていたという。期間中にログインした顧客が対象で、最大8万879人が影響を受けた可能性がある。

それを受けて対象期間を拡大し、対象者の精査を行なった結果、現時点で漏えいが発生、又は発生した可能性がある対象者数は最大44,144名に変更となりました。

■ご注意
・WOWOWからのメールや電話でのご連絡を詐欺やフィッシングと懸念されるお客様から、
　お問い合わせをいただくこともございます。ご面倒をおかけして誠に申し訳ございません。
　上記の内容、番号からのご連絡はWOWOWからのご連絡となりますのでご安心ください。
・WOWOWからのお電話で、お客さまに直接決済情報をお伺いすることはございませんが、
　お客さまからWOWOWへお電話いただいた際には、ご本人の特定のため、決済情報をお伺いする場合がございます。

内訳
市報あまがさき臨時号発行に伴う事務経費：2,641,188 円
尼崎市USBメモリ紛失事案調査委員会に要した経費：24,807,534 円
本件事案に伴う尼崎市職員の時間外勤務手当：2,052,283 円

愛知県豊田市において、メール送信時にBCCを用いて強制的に送信するシステムが一時停止し、メールアドレスが流出したことがわかった。委託先がライセンスの更新手続きを失念していたという。

メールシステムの運営を受託しているひまわりネットワークにおいて、同システムの稼働に必要なソフトウェアライセンスについて更新手続きをし忘れたことから、一時的にシステムが停止したという。

今後は次の対策を講じ、再発防止を徹底してまいります。
・ライセンス管理システム導入によるライセンス有効期限の管理強化
・ライセンス有効期限が近づいたことを知らせるアラート機能の導入
・テストメール送信による強制BCC機能の稼働状態の定期確認

DeNAの公式Twitterによれば、同社の新卒採用向けアカウント「@DeNA_shinsotsu」が乗っ取り被害に遭ったことが3月14日に判明したもの。

去年、兵庫県尼崎市ですべての市民の個人情報が入ったＵＳＢメモリーが一時、紛失した問題を受けて、市は来年度から情報セキュリティーについて専門的な知識を持った人材を外部から登用するなど管理体制を強化します。

-略-

また、個人情報を扱う業務に携わるすべての人に管理の意識を徹底してもらうため、委託先の事業者にも研修を行い、市の職員の研修の回数も増やすことにしています。
市は、これらに必要な経費としておよそ５８０万円を新年度予算案に計上します。

Linux Foundationは、オープンソースソフトウェアを安全に開発、使用する方法について学習できる無料オンラインコンテンツ「セキュアソフトウェア開発」の提供を開始した。

同コンテンツは、ソフトウェアやウェブアプリケーションの開発者など、セキュアなソフトウェアの開発方法を学習することができるオンライン講座。従来、英語で提供してきたが、日本語による受講にも対応した。

1. はじめに
2. パート1：要件、設計、および再利用 - 概要
3. セキュリティの基本
4. 安全な設計原則
5. 外部ソフトウェアの再利用
6. パート2：実装 - 概要
7. 入力の検証
8. データを安全に処理する
9. 他のプログラムを呼び出す
10. 出力の送信
11. パート3：検証およびより専門的なトピック
12. 検証
13. 脅威モデリング
14. 暗号化
15. その他のトピック
16. 最終試験

　報告書では、USBメモリーや関係するパソコンなどを調査した結果、個人情報の漏えいは確認されなかったということです。

　また、市が契約書等で定めていたにもかかわらず、承諾を得ることなく委託業務の再委託や再々委託が行われていたほか、メモリの運搬については「鍵付きの金属ケース」での運搬が規定されていましたが、行われていなかったと指摘。

　さらに委託先の従業員がデータ移転作業後の飲み会について異議や注意喚起を行わなかったなど委託業者側の管理監督が行き届いていなかったとしています。

　また、市側も外部業者の濫用を抑止し、データの管理者としてチェック機能を効かせられなかったとも指摘してます。

米Twitter社から漏えいしたTwitterアカウントデータ約540万件が、ハッカーフォーラムで公開されていると、米メディアBleeping Computerが報じている。公開されたのはアカウントのID、名前、ログイン名、電話番号、メールアドレスなど。1月に見つかったTwitterの脆弱性を突いた攻撃により盗まれたもので、8月には3万ドル（約405万円）で販売されていた。

In January 2022, a vulnerability in Twitter's platform allowed an attacker to build a database of the email addresses and phone numbers of millions of users of the social platform. In a disclosure notice later shared in August 2022, Twitter advised that the vulnerability was related to a bug introduced in June 2021 and that they are directly notifying impacted customers. The impacted data included either email address or phone number alongside other public information including the username, display name, bio, location and profile photo. The data included 6.7M unique email addresses across both active and suspended accounts, the latter appearing in a separate list of 1.4M addresses.

This only contains 5.4 Million users, and is missing the 1.4 Million suspended accounts mentioned in the description.

Compromised data: Usernames, Display names, Bios, Locations, Email addresses, Phone numbers


2022年1月、Twitterのプラットフォームの脆弱性により、攻撃者がソーシャルプラットフォームの数百万人のユーザーの電子メールアドレスと電話番号のデータベースを構築することができました。その後2022年8月に共有された開示通知で、Twitter社は、この脆弱性は2021年6月に導入されたバグに関連しており、影響を受けた顧客に直接通知していることを助言しました。影響を受けたデータには、ユーザー名、表示名、経歴、所在地、プロフィール写真などの公開情報とともに、メールアドレスや電話番号のいずれかが含まれていました。このデータには、有効なアカウントと停止中のアカウントの両方で、670万件のユニークなメールアドレスが含まれており、後者は140万件のアドレスの別リストに表示されています。

このデータには540万人のユーザーしか含まれておらず、説明にある140万人の停止中のアカウントは含まれていません。

漏洩したデータ。ユーザー名、ディスプレイ名、経歴、所在地、電子メールアドレス、電話番号

セキュリティ専門家による調査の結果、お客さまのメールアドレスおよびお客様管理番号が保管されているデータサーバーのアクセス履歴からは、第三者によるアクセスは確認することはできないものの、同時に完全には否定できない状況という。

「T-Connect（ティーコネクト）」とは、トヨタが展開する通信サポートサービスです。T-Connect（ティーコネクト）では、前身であるG-BOOKのサービスを継続しながら、専用アプリのダウンロードやAIによる案内、有人による対応など、様々な新サービスを追加しました。

T-Connect（ティーコネクト）対応車にはOSが装備されているので、エンジンをかけるとすぐに通信が始まります。T-Connect（ティーコネクト）の利用には「T-Connect（ティーコネクト）ナビ」の他に、モバイル回線を有しているスマホかケータイ、またはタブレットなどの機器が必要です。Wi-fi接続をする通信機器がない場合は「DCM」という専用機器を用意すればサービスを利用できます。

同社の委託元及び再委託先等を
含めた関係者全体が個人情報の適正な取扱いを図ることが可能な状態を醸成することが、抜本的な問題解決に向けて重要である。この点に関して、今後公表予定とされる尼崎市等での調査結果を十分に踏まえて、今後も、当委員会の追加対応の要否を継続検討することとしたい

なお、「DIY FACTORY Business」のサービスは終了しております。今後の再開につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、システム開発からコンテンツ制作までをDAITO VIETNAM（システム開発をメインとした子会社）で行うことで高い生産性を実現。今後はビジネス登録された業種情報をベースに、顧客グループ～個々に最適化された検索結果・レコメンドアルゴリズムの開発、さらなる物流拠点の拡大による事業者向け商材の在庫を強化していくことで、高い利便性の実現に向けて尽力いたします。

尼崎市の漏洩の件で情報セキュリティに詳しいという学識経験者がいろいろコメントしてるけど、自治体が置かれている状況を理解している学識経験者は皆無なんだなと実感
古いシステム、環境で良いなんて自治体関係者は誰も思っていない
そもそもなぜUSB等の可搬媒体を使用しているのかという問題は
各自治体が定めている個人情報保護条例に『外部とのオンライン結合を禁止』しているため、自治体から見ればどこともオンライン回線での接続は禁止されているためUSB等の可搬媒体を使用している
それでは個人情報保護条例を変えればいいという話になるが、それも簡単にはいかない
国が定めている個人情報保護法は平成14年に制定されたが、それ以前に各自治体で各自で自らの情報を守るために条例を定めている
一番早い自治体は確か神奈川県で昭和61年ぐらいに定めてたはず
国が法政化する遥か前から自治体は自ら情報漏洩の防衛を前提に条例を定めていた

　宮城県名取市は２９日、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表した。ダイヤルキー付きで移動中の開封を制限するほか、衛星利用測位システム（ＧＰＳ）で位置情報を追跡できる。

最高クラスの安全性を誇ると言われている暗号化USBデバイスの「IRONKEY（アイアンキー）」に入れ、保管することにしました。

ー略ー

その「アイアンキー」のパスワード入力失敗回数は10回まで…。最後の10回目まで間違えた場合には、この「アイアンキー」内のデータには永遠にアクセスできないようになってしまします。

セキュリティ事故

その日は最後に住民データをUSBメモリにしまって作業終了．気の合う仲間と共にガッツリと気を失うまで飲み明かした． 気がついたのは路上，はて？いつから眠っていたのだろうか？　今は午前3時．あれ？持っていたカバンが見当たらない！お酒を飲みすぎたせいか頭が痛い.とりあえずコンビニで水を買って飲もうと思い歩き出した. しかし,歩いているうちに自分がどこを歩いていたのか分からなくなってきた. そして,気づいた時には見知らぬ場所に立っていたのだ.
「ここは一体どこだ？」
まずは一旦自分の行動を振り返ってカバンを探してみる．どうするどうする？こんな時，社員教育では……
『迷ったらその場を動くな！』
そうだ,まずは動かないことが大切だ.じっとしていれば誰かに見つけてもらえるかも.でもこの場から動いてしまった方が早く見つけられるかも？そんな事を考えながらしばらくウロウロしていると,目の前に大きな未来像が見えてきた．そう，テレビで大々的に報じられて取引先の上長が頭を下げている姿だ．
「あの時は大変だったよ」
「えっ！？何ですかいきなり！」
部下の一人が驚いている.
「あぁすまないね.ちょっと思い出しただけさ」
私は今,会社からの帰り道にある公園にいる.ベンチに座ってぼんやりと夜

５月 30 日、セキュリティ関連の第三者より、本サービスの登録者情報を閲覧する機能を悪用できる可能性がある旨、注意喚起がありました。

所有者のメールアドレスのドメインが無効であったことを確認し、当該ドメインを5ドル支払い取得。その後所有者と同じメールアカウントを作成しPyPIのパスワードリセットを実行して所有者のアカウントを掌握。

広島県は30日、県東部の新型コロナウイルス感染者の宿泊療養施設で、患者5人の個人情報が流出したと発表した。スタッフが患者の氏名や生年月日、保険者番号などが記された健康保険証の写真を迷惑メールの発信元に誤送信したという。

5月6日に調査員が防府市内の商業施設で単位区別世帯名簿をコピーした際、名簿原本をコピー機に置き忘れたもの。

山口県は、国からの委託で実施する国民生活基礎調査の調査員が、個人情報含む世帯名簿をコピーした際、原本をコピー機に置き忘れたことを公表した。

世態票

単独世帯の状況、5月中の家計支出総額、世帯主との続柄、性、出生年月、配偶者の有無、医療保険の加入状況、公的年金・恩給の受給状況、公的年金の加入状況、就業状況等

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月4日(米国時間)、「F5 Releases Security Advisories Addressing Multiple Vulnerabilities｜CISA」において、F5ネットワークスのロードバランサー「F5 BIG-IP」に脆弱性が存在すると伝えた。

F5は2022年5月4日、CVE番号CVE-2022-1388でトラッキングされるBIG-IP製品のiControlRESTコンポーネントにおけるリモートコード実行の脆弱性についてのセキュリティアドバイザリを公開しました。脅威アクターがこの脆弱性を悪用すると、パッチ未適用のシステムで認証を回避して任意のコードを実行可能です。この脆弱性はCVSSスコア9.8となっており緊急の対応が必要です。当該アドバイザリの公開以降、パッチ未適用のシステムを探して大量のスキャン活動が行われ、実際の悪用も始まっています。

　引っ越し大手のサカイ引越センター（堺市）の利用者の住所や電話番号などの個人情報延べ約430人分が3月、川崎市宮前区の集合住宅のごみ捨て場に出されていたことが、関係者への取材で分かった。同社は事実を認め「真摯しんしに対応する」としているが、4月施行の改正個人情報保護法では、より厳しい管理が必要とされる。

　同社は本紙の取材に、この事実を把握していると認めた。従業員1人が本来シュレッダー処分すべき書類を自宅へ持ち帰り、一般ごみとして捨てていたという。

　「個人情報の記載書類については、社内マニュアルに基づき、シュレッダーなどをして持ち帰らないように指導教育を行っている」と説明。外部からの通報を受けて回収したといい、「詳細は調査中だが、お客さまへ真摯に対応を行ってまいります」と回答した。

　情報を持ち出したのはFace Expressの運用を担当するエアリンク（東京都港区）の元従業員。同社によると、元従業員は職務怠慢や社内規定違反により1月末で退職勧告を受け退職したが、その後に元従業員の個人PCにFace Expressのデータが保存されていることが分かったという。

　クレジットカード業界向けの情報セキュリティ基準「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている。

メタップスペイメントによれば、保持期間は非公開だが「長期間保存していた事実はない」としている。

　トヨタの工場では通常、全作業員が、潜在的な問題を発見した場合にライン全体を停止させる権限を持つ。作業を止めて問題を即時に解決することで、最終的には無駄な時間を減らせるという考え方だ。

　同事件は、被告人が音声合成ソフトウェアを用いて作られた楽曲の情報を共有するインターネット上のWebサイト「X」運営に際し、閲覧者の同意を得ずに使用する電子計算機のCPUに仮想通貨モネロの取引履歴の承認作業等の演算を行わせて報酬を取得しようと考え、2017年10月30日から11月8日までの期間にプログラムコードをサーバコンピュータ上のXを構成するファイル内に蔵置して保管したというもの。

ただし、仮想通貨のマイニングや取引にかかる手数料はノートンによって固定化されているものではなく、市況やその他の要因により変動します。そのため、ユーザーが引き出そうとする仮想通貨の額が手数料を下回る場合に引き出しがブロックされてしまい。このことがユーザーを混乱させていると、セキュリティニュースサイトのKrebs on Securityは説明しています。

同大によれば、2021年12月6日にUSBメモリの拾得者からの連絡で紛失していたことが判明したという。本誌取材に対し、USBメモリの所有者や利用目的、セキュリティ対策の実施状況、紛失した原因についてはコメントを避けている。

所在不明となっているのは、前日15日に預かった文書保管箱19箱のうちの１箱で、同団体の年金関係書類である「退職届」や「組合員期間等証明書」など個人情報を含む872人分の書類が収納されていたという。

オフィス以外で発生した機密文書の廃棄にもあらたに対応する。

社内関係者に対するヒアリングでは、ハードディスクの内部にデータは存在しなかったとする証言もあるが、消去した記録が残っておらず確認できないことから事態を公表した。

車両よりパソコンを持ち去られた車上荒らしと見られるが、ほかの場所に置き忘れた可能性も否定できないという。車両の施錠についても記憶が曖昧としている。窓ガラスが割られるといった被害はなかった。

紛失判明後に端末に対するログインパスワードを変更した。パソコン内のデータは、暗号化されていないという。

　警視庁は27日、東京都目黒区にある区営住宅の申込者38人分の個人情報が入ったフロッピーディスク（FD）2枚を紛失したと発表した。申込者が暴力団関係者かどうか照会するため、同区から個人情報を提供されていた。

大和リビングは、自社宛てに郵送した顧客情報含む書類が、郵送の過程で所在不明になったことを公表した。

同社によれば、10月8日に名古屋東営業所から東海支店宛てにレターパックプラスで郵送した書類が、所在不明となったもの。

現金、宝石等の貴重品を送る場合
必ず一般書留・現金書留（簡易書留を除きます。）としてください。

　日本郵便は12月15日、金融商品について顧客の取引内容を記載した「金融商品仲介補助簿」などを紛失したと発表した。合わせて約21万4000人分の顧客情報が記載されていたという。仲介補助簿には、氏名や記号番号、取引内容（購入・解約）、取引金額、銘柄などを記載しているという。

　仲介補助簿については保存場所や期間を定めていたが、各郵便局での保存期間の認識の違いや、保存する箱の入れ間違いにより、保存期間内に誤って廃棄してしまった。その他の書類についても「紙媒体で作成・保存すべき書類が膨大な環境にあることが、取扱いのミスにつながった」とした。

　LINE Payは、12月6日に一部ユーザーのキャンペーン情報がソフトウェア開発プラットフォーム「GitHub」上で閲覧できる状態になっていたと発表。氏名／住所／電話番号／メールアドレス／クレジットカード番号／銀行口座番号などは含まれておらず、現時点でのユーザーへの影響は確認されていない。

　徳島県つるぎ町の町立半田病院（１２０床）で、院内のシステムがサイバー攻撃を受けて電子カルテを使用できなくなる被害があり、同病院は２６日、システムを新しくした上で、停止していた新規患者の受け入れを来年１月４日に再開すると発表した。個人情報の保護と引き換えに求められていた「身代金」は支払わない。

　同病院はシステムの復旧を模索してきたが、地域医療への影響が長期化する恐れがあるとして断念。別のサーバーを用いるなどしてシステムを再構築することに決めた。システムの構築などにおよそ２億円かかるという。

病院によると21年12月29日に復旧が確認された。

病院は復旧方法について「今後のセキュリティー対策に関わるので公表しない」としている。