Security Incidents
毎日のように発生する事案について、新たに公表された事案をタイトルに示し、サイトに掲載されるお知らせへのリンクと事案の概要を月単位にまとめて示します。

 

本日追加→　  サービス妨害（DDos攻撃） 　りそな銀行

12月30日　「重要」「りそなグループアプリ・マイゲート」へ繋がりにくい状況について
原因　外部からの大量データ送付に起因し、「りそなグループアプリ・マイゲート」が断続的に繋がりにくい状況が発生しております
被害　一部のお客さまについては利用を制限させていただいております

　りそな銀行 個人向けネットバンキングで不具合 サイバー攻撃か | NHK

本日追加→　  不正アクセス（Webサイト改ざん） 　広島県

12月30日　【重要】「国際平和拠点ひろしま」ウェブサイトの不正アクセスについて | 広島県
原因　ウェブサイト「国際平和拠点ひろしま」が、現在、不正アクセスによりページが改ざんされているため、ウェブサイトを停止し、復旧作業を行っています
被害　ウェブサイト「国際平和拠点ひろしま」にはアクセスしないようにお願いします

　県ウェブサイトに不正アクセス ３７５１人分の個人情報流出か｜NHK 広島のニュース

不正アクセス（委託先） 　知床グランドホテル（北こぶし知床 ホテル&リゾート）

12月26日　宿泊施設の予約・販売管理システムへの不正アクセスの可能性についてのお詫びとお知らせ | 北海道 世界遺産｜北こぶし 知床 ホテル＆リゾート【公式】
原因　北こぶし知床 ホテル＆リゾートで利用している宿泊施設の予約・販売管理システムにおいて当施設のログインID 及びパスワードを第三者が不正にログイン操作を行い、オンライン予約サイトから宿泊予約した一部のお客様のご予約情報に対して不正アクセスを行った疑いを検出したと本件システムの提供ベンダーより報告がございましたのでお知らせいたします
被害　委託先の調査結果における不正アクセスの内容
→対象日：2024年 5月 23日から 2024年 10月 9日までのご宿泊日
　対象者：2024年 6月 9日以前に当施設への予約、予約に対する変更、予約に対する取消をされたお客様
　情報種類：予約者氏名、宿泊者氏名、電話番号、e-mail、年齢、性別、宿泊に関わる情報等

不正アクセス（委託先） 　知床グランドホテル（KiKi 知床ナチュラルリゾート）

12月26日　宿泊施設の予約・販売管理システムへの不正アクセスの可能性についてのお詫びとお知らせ | 北海道 知床 | キキシレトコナチュラルリゾート【公式】
原因　KIKI知床 ナチュラルリゾートで利用している宿泊施設の予約・販売管理システムにおいて当施設のログインID 及びパスワードを第三者が不正にログイン操作を行い、オンライン予約サイトから宿泊予約した一部のお客様のご予約情報に対して不正アクセスを行った疑いを検出したと本件システムの提供ベンダーより報告がございましたのでお知らせいたします
被害　委託先の調査結果における不正アクセスの内容
→対象日：2024年 6月 9日から 2024年 10月 9日までのご宿泊日
　対象者：2024年 6月 9日以前に当施設への予約、予約に対する変更、予約に対する取消をされたお客様
　情報種類：予約者氏名、宿泊者氏名、電話番号、e-mail、年齢、性別、宿泊に関わる情報等

不正アクセス（委託先） 　知床グランドホテル（知床夕陽のあたる家 ONSEN HOSTEL）

12月26日　宿泊施設の予約・販売管理システムへの不正アクセスの可能性についてのお詫びとお知らせ | 【公式HP】知床夕陽のあたる家 ONSEN HOSTEL
原因　知床夕陽のあたる家 ONSEN HOSTELで利用している宿泊施設の予約・販売管理システムにおいて当施設のログインID 及びパスワードを第三者が不正にログイン操作を行い、オンライン予約サイトから宿泊予約した一部のお客様のご予約情報に対して不正アクセスを行った疑いを検出したと本件システムの提供ベンダーより報告がございましたのでお知らせいたします
被害　委託先の調査結果における不正アクセスの内容
→対象日：2024年 6月 9日から 2024年 9月 9日までのご宿泊日
　対象者：2024年 6月 9日以前に当施設への予約、予約に対する変更、予約に対する取消をされたお客様
　情報種類：予約者氏名、宿泊者氏名、電話番号、e-mail、年齢、性別、宿泊に関わる情報等

不正アクセス（ランサムウェア） 　マルニ

12月26日　ランサムウェア被害の発生について | 株式会社マルニ
原因　2024年12月24日（火）、当社の複数のサーバーにて情報が暗号化されるランサムウェアによる被害が発生していることを確認しました
被害　現時点で情報漏洩は確認されていませんが、更なる調査を続けております

不正持出し（出向者：続報） 　大同生命保険

12月25日　当社出向者による情報漏えいについて
原因　大同生命から保険代理店に出向していた社員による情報漏えい事案が判明いいたしました
被害　代理店名：ジェイアンドエス保険サービス
→漏えい件数： 個人５０件、法人１７件
　漏えいしたお客さま情報：契約者名、被保険者名、保険金額、保険料、保険会社名 等
　発生時期：２０２０年６月・１２月

不正アクセス（ランサムウェア：調査報告） 　エイ・アイ・エス

12月24日　ランサムウェア攻撃に関する調査結果のご報告
原因　2024年11月5日に判明した、当社ファイルサーバー内のファイルが暗号化されるランサムウェア攻撃に関しまして、既報（11月8日付 第一報、11月15日付 第二報）の通り、セキュリティベンダー協力のもとフォレンジック調査と復旧に取り組んでおりましたが、この度フォレンジック調査および、すべての悪意のあるアプリケーションのクリーニングが完了いたしましたので、当該調査結果および再発防止に向けた取り組みについて、以下の通りご報告申しあげます
→SSLVPN経由でネットワーク内部に侵入された可能性が高いと判断されました
被害　漏えいのおそれがある個人情報ならびに企業情報について
→お取引先企業様に関する「会社名、会社住所、氏名、メールアドレス、電話番号」等の情報
　当社従業員、元従業員に関する「氏名、住所、生年月日、電話番号」等の情報
→ファイルサーバーに保存されていたデータが漏洩した可能性は否定できないものの、当社の調査の結果によっては、データの流出を直接示す証拠を見出すことはできませんでした

サービス妨害（DDos攻撃） 　三菱ＵＦＪ銀行

12月26日　ネットワーク不具合による各種サービスの影響について（12月26日18時45分時点）
原因　2024年12月26日15時頃より一部のお客さまにおいて、三菱ＵＦＪダイレクト（インターネットバンキング）の生体認証の利用が不安定な状態です
→BizSTATION及びCOMSUITE Portalにつきましても、ログインが不安定な状況が続いておりましたが、現在は安定しております
→本不具合は、外部からの不正な大量データ送付に起因するものであり、顧客データ流出やウイルス被害は生じておりません
被害　生体認証が利用できない場合は、しばらくお待ちいただいてから再度お試しください

　三菱UFJ“ログイン障害”原因はサイバー攻撃

不正アクセス（委託先） 　足立区

12月26日　【おわび】保育施設運営事業者に対するサイバー攻撃被害による個人情報漏洩の可能性について
原因　区が保育園の運営業務を委託しているライクキッズより「社内システムがランサムウェアによる攻撃を受けた」との報告がありました
被害　報告によると、2024年12月26日現在、具体的な情報漏洩の事実は確認されていないとのことですが、区として引き続き情報収集に努めてまいります
→対象園
　公設民営園：新田さくら保育園、青井おひさま保育園
　私立園：にじいろ保育園綾瀬、にじいろ保育園江北、にじいろ保育園梅島

不正アクセス（委託先：調査報告） 　損保ジャパン

12月26日　当社業務委託先鑑定会社におけるランサムウェア被害に伴う情報漏えいのおそれについて（その２）
原因　当社が損害調査業務の委託契約を締結している東京損保鑑定において、第三者の不正アクセスによるランサムウェア被害が発生し、その後、東京損保鑑定による調査が完了したとの報告を受けましたのでお知らせいたします
被害　サーバー外に保管されていた同社の会計データおよび当社の保有する会計データから、お客さま情報が漏えいしたおそれがある件数は約３８，０００件です

　損保ジャパンの委託先、3.8万件の個人情報が漏洩恐れ

サービス妨害（DDos攻撃） 　日本航空

12月26日　ネットワーク障害による運航への影響について（第5報）
原因　2024年12月26日7:24から社内外を繋ぐネットワーク機器で障害が発生し、社外システムと通信しているシステムで不具合が発生しておりました
→障害の原因ならびにシステム不具合による影響範囲を特定し、システムは復旧しました
→本件は、外部からの大量データの受信に起因する障害です
影響　本日出発する国内線、国際線は販売を再開しました
→本日出発する国内線のJAL Webサイト・JALアプリからの当日アップグレードのお手続き、ならびに空港空席待ちサービスを停止しています
→〔運航への影響〕16時00分現在
　30分以上の遅延便数：国内線53便 （最大遅延幅 1時間26分) 、国際線11便 （最大遅延幅 4時間02分)
　空港運用時間内の運航の見通しがたたなくなったため、以下の2便を欠航しました：2024年12月26日（木） JL287 東京(羽田)-出雲、2024年12月26日（木） JL126 大阪(伊丹)-東京(羽田)

【解説】JALサイバー攻撃で混乱…「DDoS（ディードス）攻撃」とは セキュリティー対策堅牢も…専門家が語る“更なる攻撃”の可能性「最悪のシナリオ」とは

不正アクセス（ネットワーク侵入） 　フジクラ

12月25日　当社ネットワークへの不正アクセスについて
原因　このたび、当社が管理するサーバに対し、第三者による不正なアクセス及び情報流出の痕跡があったことが確認されました
→保守委託先（NTTコミュニケーションズ）による原因分析調査の結果によると、本件の事案の原因は、保守委託先によるネットワーク保守・監視用VPN装置の管理に不備があり、その結果同装置に残っていた脆弱性が利用されたことによります
被害　本件により漏えいのおそれが生じた個人情報は、お取引先従業員、大学関係者その他の社外の方、並びに当社及びグループ会社の従業員・元従業員（ともに契約社員、派遣社員、アルバイト等含む）及びその家族等の個人情報で、氏名、住所、電話番号、メールアドレス、生年月日、性別等の連絡先情報・属性情報が中心であり、その他の従業員情報（当社が従業員から受領した情報も含む）や、人事関連情報、インボイス番号、銀行口座番号（暗証番号は含みません）等も一部含まれておりました

不正アクセス（ランサムウェア） 　ワイス・ワイス

12月25日　サイバー攻撃を受けたことによる お客様情報等の外部漏えいの可能性について
原因　このたび、弊社の業務管理システムより、お客様情報等の漏えいのおそれがあることが分かりましたのでお知らせいたします
→11月18日、当該システムがアクセス不可能な状態になっていることを弊社にて確認し、保守委託業者へ調査を依頼いたしました
被害　【お客様情報について】2016年1月以降に弊社が取得したお客様情報
→氏名のみ　147件、氏名および住所　17件、氏名および電話番号　8件、氏名、住所および電話番号　298件
【仕入先様情報について】2016年1月以降に弊社が取得した仕入先様情報
→ご担当者様氏名および住所　2件、ご担当者様氏名、住所および電話番号　14件、口座情報のみ　2件、口座情報および住所　6件、口座情報および電話番号　2件、口座情報、住所および電話番号　222件

設定ミス（アクセス権限） 　444（TechFUL）

12月25日　不正アクセスによる個人情報流出に関するお詫びとお知らせ | 444株式会社
原因　この度、弊社が運営する「TechFUL」において、サーバーへの不正アクセスにより、個人情報と重要情報の流出が疑われる事象が判明いたしました
→本番データベースのデータを開発用途に利用しており、開発用サーバーのアクセス制御設定に不備があったため、外部から開発用サーバーに対し攻撃者による不正侵入を受けました
被害　外部流出した個人情報 / 重要情報
→ユーザー情報：ログインID、ハッシュ化済みパスワード、氏名、ユーザー表示名、誕生日・所属・学籍番号・現住所・休暇中住所、キャリア希望、キャリア情報 (学歴、職歴)、スキル情報、自己PR、ログイン履歴、セッション参加履歴、問題解答履歴、求人応募情報、チャット履歴 、フォームからのお問い合わせ内容 (問い合わせ元メールアドレスを含む)
　学校情報：学校名、学部学科名、作成した問題コンテンツ
　企業情報：企業名、HP など会社基本情報、窓口担当者の連絡先メールアドレス、出稿した求人情報
　流出対象となるユーザー：2023年8月13日以前に ユーザー登録を行ったTechFULユーザー（データベース件数：45,576アカウント）、2023年8月13日以前に TechFULと契約した学校（データベース件数：475アカウント）、2023年8月13日以前に TechFULと契約した企業（データベース件数：264アカウント）

作業ミス（メール添付ファイル） 　新潟大学

12月25日　治験データファイルの誤送信について | | 関連情報 - 新潟大学
原因　令和6年11月21日、本学医歯学総合病院臨床研究推進センターにおきまして、治験データファイルを誤って、医薬品開発業務受託機関（CRO）1社へメールで送信してしまう事案が発生いたしました
被害　誤送信した治験データファイルの内容：本学医歯学総合病院と治験契約実績のある170社1770試験（うち、現在契約中試験273試験）にかかる企業名、課題名、請求金額及び症例数

不正持出し（出向者：調査報告） 　朝日生命保険

12月25日　保険代理店出向者による個人情報等の漏えいについて
原因　先般（2024年10月28日）、朝日生命保険から、保険代理店への出向者による情報漏えいについて公表いたしましたが、その継続調査が完了し、下記の通り追加の情報漏えいがございましたことをご報告申しあげます
被害　＜継続調査結果の概要＞
→対象代理店：ETERNAL
　漏えいした期間：2019年7月～2024年3月
　対象件数　継続調査判明：約23千件、前回公表：約36千件、合計：約59千件
　情報の内容：証券記号番号、契約者名、被保険者名 等

　朝日生命、代理店出向者が情報漏洩 新たに2万件超 - 日本経済新聞

不正アクセス（サーバー侵入：続報） 　熊本県

12月25日　くまもとグリーン農業ホームページへの不正アクセスによる個人情報流出の可能性について（第2報） - 熊本県ホームページ
原因　県が運用しているくまもとグリーン農業ホームページの一部が外部からの攻撃を受け、県が管理している生産宣言者及び応援宣言者の個人情報の一部（氏名、住所、電話番号）が流出した可能性があります
→11月26日（火曜日）12時頃、委託先のアクセスログ解析により、当該ページに対して大量のアクセス（計21,074回）が行われ、過負荷状態となってダウンしたことが判明し、11月29日（金曜日）に脆弱性を有していた当該ページは閉鎖しました
被害　12月3日（火曜日）にデータベースから非公表情報を削除するとともに、今後、新たに宣言される方の非公表情報もデータベースに取り込まないよう、プログラムを修正し再発防止対策を強化しました

不正アクセス（委託先：調査報告） 　三井住友海上

12月25日　業務委託先における不正アクセス被害に関する調査結果について
原因　２０２４年１０月７日に公表いたしました「業務委託先における不正アクセス被害に伴う情報漏えいのおそれについて」に関して、東京損保鑑定から調査完了の報告を受け、当社お客さま情報の漏えいのおそれがあることが判明しましたので、お知らせいたします
被害　漏えいのおそれがあるお客さま情報
　対象のお客さま：東京損保鑑定社に損害調査業務等を委託した当社のお客さま（約１２万件）
　対象の保険種類：火災保険、自動車保険、賠償責任保険など
　漏えいのおそれがあるお客さま情報の項目：保険契約者および被保険者の氏名、住所、電話番号、証券番号、（損害賠償事故の場合）事故相手方の氏名、損害査定のために提出された書類など

　三井住友海上 委託先不正アクセスで個人情報約12万件漏えいか | NHK

不正アクセス（ランサムウェア：調査報告） 　東京損保鑑定

12月25日　不正アクセスに関するご報告 その２ - 東京損保鑑定株式会社 | 損害保険鑑定のエキスパート
原因　2024年8月29日、社内のサーバにアクセスできない状態であることが判明し、サーバ保守業者にサーバの確認を依頼したところ、暗号化されていることが確認されました
→セキュリティ専門会社の調査によると、本件の原因は、UTM機器へのブルートフォース攻撃後に、当社サーバにRDP接続によって侵入され、ランサムウェアの実行によりファイルの暗号化及びドライブの暗号化が施されたことによるものと考えられます
被害　漏えい等が発生し、又は発生したおそれがある個人データ
　当社の取引先様から受託している個人データ
→保険契約者に関する個人データの項目：契約者及び被保険者の氏名・住所・電話番号等、証券番号、保険契約内容、事故概要等
→損害鑑定に係る対象事故の関係者に関する個人データの項目：氏名、住所、電話番号、事故概要等
→その他損害保険業務の関係者等に関する個人データの項目：氏名、その他鑑定業務において当社に委託される情報
　当社が保有している個人データ
→当社の従業員及び元従業員に関する情報：氏名、住所、電話番号、メールアドレス、経歴、社員番号、金融口座情報、勤怠等の人事情報、健康診断情報、その他雇用管理に必要な情報（91名分）
→採用候補者に関する情報：氏名、住所、メールアドレス、電話番号、経歴、その他採用活動に必要な情報（60名分）
→お取引先様担当者に関する情報：氏名、所属会社名、肩書、勤務先メールアドレス、勤務先電話番号等（約6,400名分）

作業ミス（メール配信：調査報告） 　テックウインド

12月24日　メール誤送信問題の原因についてのご報告
原因　2024年11月22日に発生しました、「AXELANOTEの更新期限」に関する誤送信問題につきまして、原因調査および対策の実施が完了しましたので、ご報告申し上げます
→弊社で利用している名刺管理システムに潜在していた問題に起因して、一部通常とは異なった操作を行ったことにより、意図せずに大量の誤送信が発生したことが確認されました
→メールの送信予約をした際、処理が完了するまでにシステムに発生するタイムラグ中にこれを取り消した場合、送信予約の取り消しがなされないという問題があり、これが本件の主たる原因となります
被害　今回の誤送信は、上記のお知らせにつきまして、弊社で利用している名刺管理システムを通して、特定のお客様1社に対し配信しましたところ、過去に名刺交換をさせていただき、同システムに登録しております不特定多数の方々に一斉に自動配信されました

認識不足（アカウント） 　Schoo

12月24日　個人情報漏えいのお知らせとお詫び
原因　このたび、弊社サービス「Schoo for Businessにおきまして、弊社のお客様の個人データが、特定条件下におけるお客様間で閲覧可能な状態にあり、これにより個人データ（主に所属会社名・氏名）が漏えいしていたことが判明いたしました
→試用アカウントの運用不備により、同一の管理アカウント配下で複数社のお客様の試用アカウントを発行・管理している状況が判明いたしました
→一部の販売代理店に対する弊社の運用指示に不備があり、同一の管理アカウント配下で複数社のお客様のIDを発行・管理している状況も判明いたしました
被害　本事案により漏えいが確認された個人データの総数は980件
→漏えいした個人データ項目：所属会社名、ユーザー名（氏名）、プロフィール画像

不正アクセス（アカウント：続報） 　クックパッド

12月24日　インスタグラム公式アカウントの復旧のお知らせ 及び 個人情報漏えいのおそれに関するお詫びとお知らせ
原因　2024年12月17日及び19日にお知らせいたしました、インスタグラム公式アカウントの乗っ取りにつきまして、アカウントが復旧いたしましたのでお知らせいたします
被害　乗っ取りに伴い、cookpad_jpのアカウント内でのダイレクトメッセージ機能内に記載されている個人情報が、当社以外の第三者に閲覧されたおそれがあります

　クックパッド、公式インスタ乗っ取られ「個人情報漏えいのおそれ」公表・謝罪 現在は復旧、一部キャンペーン中止も | ORICON NEWS

作業ミス（メール宛先指定） 　鹿児島市

12月23日　メールアドレスの漏えいについて
原因　令和６年１２月１８日 セミナーの対象者１８名に案内のメールを一斉送信する際、「BCC」で送信すべきところ誤って「TO」で送信してしまった
被害　漏えい等の個人情報： メールアドレス
対象人数： １８人

　市職員がセミナー参加者に一斉メール…アドレスも全員に見える状態だった 18人分の個人情報漏えいを発表 鹿児島市

作業ミス（委託先） 　宮城県

12月23日　受託事業者による個人情報の漏えいについて - 宮城県公式ウェブサイト
原因　宮城県（宮城障害者職業能力開発校）が障害者委託訓練の委託契約を締結している沖ワークウェルにおいて、個人情報の漏えい事故が発生しましたので、お知らせします
→受託事業者は、本県及び複数の自治体から障害者委託訓練を受託しているが、本県の委託訓練修了生等4名を含む46名分の個人情報について、東京都が実施する訓練の受講生1名に対し、誤って送信した
被害　発生時期：令和6年12月18日
漏えいした情報：氏名、性別、年齢、電話番号、障害情報等

不正アクセス（ランサムウェア：調査報告） 　駿台観光＆外語ビジネス専門学校

12月20日　不正アクセスによる情報漏洩の可能性について（確報）
原因　令和６年１０月１８日（金）に発生した第三者からの不正アクセスによる情報漏洩の可能性については、一連の調査から、学校内の情報の一部が使用不能となりその情報には学校内の事務関連の情報の他、一部の学生の氏名などの個人情報が含まれていたことも判明しました
被害　各種内部情報がリークサイトやダークウェブ等に掲載されたかどうか継続的な監視依頼を行い、本学情報の掲載や公開の有無について調査を実施いたしましたが、本学の情報の掲載や公開は確認されませんでした

不正アクセス（アカウント） 　日清紡ホールディングス

12月20日　不正アクセスによる個人情報漏えいのおそれについて ｜ニュースリリース
原因　第三者が当社の社内ネットワークへの不正アクセスを行い、これにより当社役職員等の個人情報の漏えいのおそれがあることが2024年12月6日に確認されました
→何らかの方法で認証情報を窃取した第三者が当社の社内ネットワークへ不正アクセスを行い、その結果、上記個人情報が漏洩したおそれがあるものと思われます
被害　今回の不正アクセスにより漏えいのおそれのある個人情報は、当社及び当社グループ会社の役職員（退職者を含みます。）の氏名、メールアドレス、社内ID及び所属です

不正アクセス（ランサムウェア） 　赤穂市

12月20日　教育委員会におけるコンピュータウイルス感染について
原因　令和６年１２月１８日（水）に、赤穂市教育委員会のコンピュータサーバにコンピュータウイルス（ランサムウェア）が侵入し、被害が生じていることが判明しましたので報告します
被害　本サーバには、市内小中学校で利用されている校務システムのデータが保存されていることから、学校運営の一部に支障が生じています
→サーバには小中学校の児童生徒の個人情報が保存されていました
　学校園所のメールの送受信、インターネットの利用が一時できませんでした。（復旧済）
　児童生徒のタブレット端末による学習が一時できませんでした。（復旧済）
　学校の校務系システムの利用ができませんでした。（一部復旧済）

　赤穂市教育委員会でランサムウエア被害、システムの一部は復旧のめど立たず | 日経クロステック（xTECH）

作業ミス（メール宛先指定） 　神奈川県

12月20日　産業振興課におけるメールアドレスの流出について - 神奈川県ホームページ
原因　産業振興課において、令和6年12月19日（木曜日）に、企業の担当者等にメールを送信する際、BCCで送信せず、全てのメールアドレスが互いに閲覧できる状態で送信したことが判明しました
被害　流出した情報：メールアドレス18件

作業ミス（委託先） 　千葉県

12月20日　個人情報漏えい事案の発生について／千葉県
原因　障害者が就職に必要な知識・技能を習得できるよう、障害者テクノスクールで実施している「障害者の多様なニーズに対応した委託訓練事業」において、e-ラーニングコースの受託者である沖ワークウェルの社員が、昨年度の本県訓練生2名を含む46名の個人情報が記載されたエクセルファイルを、東京都の訓練生1名へ誤送信したもの
被害　漏えい情報：株式会社沖ワークウェルは、同様の訓練を本県及び東京都をはじめ複数の自治体から受託しているが、その訓練生の情報（今年度及び昨年度分あわせて46名分）の、県名、氏名、性別、年齢、電話番号、メールアドレス、障害情報（障害種別・等級）等が漏えいした

作業ミス（委託先） 　神奈川県

12月20日　委託事業者による個人情報の漏えいについて - 神奈川県ホームページ
原因　令和6年12月18日（水曜日）13時06分頃、県が障害者委託訓練の委託契約を締結している沖ワークウェルにおいて、要配慮個人情報を含む個人情報の漏えい事故が発生しました
被害　漏えいした個人情報（本県の受講生2名について）：氏名、性別、年齢、連絡先、メールアドレス、障害特性、配慮事項、雇用保険受給の状況
→受託事業者は複数の自治体から訓練事業を委託されており、誤送信された資料には、障害者委託訓練の受講生46名分の個人情報が含まれています（うち2名分が本県の受講生）

不正アクセス（委託先） 　安曇野市

12月20日　病児・病後児保育事業におけるサイバー攻撃被害について
原因　市では、安曇野市病児・病後児保育事業の運営業務を安曇野赤十字病院に委託しており、そのうち保育業務を安曇野赤十字病院がライクキッズ株式会社に再委託しております
→この度、9月30日に再委託先であるライクキッズ株式会社において、ランサムウェアによる外部からの不正アクセスの形跡が検出されました
被害　施設名：病児・病後児保育室「あづみのキッズ♡けある〜む」（安曇野赤十字病院内）

作業ミス（メール添付ファイル） 　栃木県

12月20日　栃木県／障害者向け職業訓練における個人情報の漏えいについて
原因　令和6(2024)年12月18日(水曜日)　13時06分、栃木県(県央産業技術専門校)の障害者委託訓練(e-ラーニングコース)を受託している(株)沖ワークウェルが、東京都の障害者委託訓練受講生1名に対して、誤って各都県の障害者委託訓練生46名分(うち、栃木県の修了生5名分)の要配慮個人情報を含む個人情報をメール送信してしまったもの
被害　事業者による11月29日までの調査の結果、個人情報が閲覧された可能性はありますが、データの持ち出しの形跡は確認されておりません
→施設名：病児・病後児保育室「あづみのキッズ♡けある〜む」（安曇野赤十字病院内）

　障がい者向けの職業訓練の受託会社 個人情報をメールで誤送信 栃木県

不正アクセス（ランサムウェア） 　共栄フード

12月19日　弊社システムへの不正アクセスの発生について（お客様・お取引先様の皆様へ） | お知らせ｜共栄フードはパン粉の製造・販売・商品開発のトップブランド
原因　2024年11月21日深夜より22日午前にかけて弊社システムに対して不正アクセスを受け、サーバー内の一部電子ファイルが暗号化され、同時に一部の情報が外部に漏洩した可能性を認識するに至りました
→外部専門家による調査結果によれば、VPNを経由して不正アクセスが行われたものと推定されています
被害　漏洩可能性のある情報：代表者様の氏名(個人情報に該当)、事務所の住所と電話番号、業務に 使用されるメールアドレス、弊社からのお支払い先として登録頂いた銀行口座の 情報、等

不正アクセス（サーバー侵入） 　ティーエムジーインターナショナル（ミートガイ）

12月19日　不正アクセスによるシステム侵害発生のお詫びとお知らせ
原因　このたび、弊社が運営するミートガイ本店オンラインストアにおいて第三者による不正アクセスでのシステム侵害が判明いたしました
被害　個人情報の一部流出が懸念されたため、ミートガイ本店オンラインストアを停止し、ネットワーク等の稼働を部分的に見合わせており、事実実態を正確に把握するため外部専門機関に依頼し調査を行っています

不正アクセス（委託先） 　豊田市

12月19日　委託業者のランサムウェア被害に伴う個人情報の漏えいについて｜豊田市
原因　豊田市が印刷業務を委託しておりましたイセトーといいます。）が、ランサムウェア（コンピュータウイルスの一種）によるサイバー攻撃を受けました
→イセトーが、委託業務において取り扱う個人情報データを「豊田市個人情報取扱い及び情報セキュリティに関する特記」の規定に反して市の承諾なく複製し、かつ、社内規定の原則に反して本来は個人情報の取扱いをしないサーバ及びPCにデータを保管し、業務終了後も消去することなく残していました
被害　豊田市がイセトーに提供していたデータも被害にあい、個人情報が一時、インターネット上で閲覧可能な状態になっていました
→対象者数：148,620人
→データ（通知書等）の名称：市県民税通知書、軽自動車税納税通知書、軽自動車税納税証明書、固定資産・都市計画納税通知書、国民健康保険税納税通知書、市税催告書・督促状、市営住宅使用料等納付通知書、介護保険料納入通知書等、後期高齢者医療保険料納入通知書、非課税世帯等給付金確認書、新型コロナワクチン接種券、子育て世帯臨時特別給付金申請書
→上記に含まれる個人情報：住所、氏名、生年月日、税額、所得、控除、口座番号、保険料額、接種歴等

不正アクセス（ランサムウェア） 　静岡制御

12月18日　ランサムウェア攻撃に関するお知らせとお詫び （第１報） - 株式会社 静岡制御
原因　2024年12月17日、弊社サーバー等に対して第三者による不正アクセスを受け、ランサムウェア攻撃による被害を受けましたので、お知らせいたします
被害　被害を受けた可能性のある情報等：個人情報（従業員の住所・人事データ）、取引先情報（会社名・ご担当者様　部署・氏名・電話番号）、設計/製作データ

不正アクセス（ネットワーク侵入：調査報告） 　カナモト

12月18日　当社ネットワークへの不正アクセスによるシステム障害について（最終報告）
原因　当社は2024年11月6日に情報システムの一部に異常が発生したことを検知し、外部からのサイバー攻撃による不正アクセスにより システム障害が生じていることをお知らせいたしました
被害　外部専門機関による詳細な調査の結果、社内データが外部に持ち出された具体的な痕跡並びに情報流出の事実は確認されませんでした

不正アクセス（サーバー侵入） 　原田産業

12月18日　【重要】個人情報流出の可能性に関するお詫びとご報告｜ニュースリリース｜原田産業株式会社
原因　この度、弊社が運営する通販サイトでメール配信のために使用しているサーバーが不正アクセスを受け、一部のお客様の個人情報が流出した可能性があることが判明いたしました
被害　漏洩の可能性がある個人情報は以下の通りです
・2024年10月8日以降のご購入者様の住所、氏名、電話番号、商品購入情報
・2024年10月8日以降出荷のお届先様の住所、氏名、電話番号、商品購入情報

不正アクセス（サーバー侵入） 　東亜大学

12月18日　本学データサーバへの不正アクセスによる個人情報の流出の可能性に関するお知らせとお詫び ｜ 東亜大学
原因　このたび，本学の事務局内データサーバが不正アクセスを受けたことが確認されました
被害　データサーバに格納されていた個人情報：在学生・卒業生の氏名，住所，電話番号，学内ポータルサイトへのログイン用IDとパスワード，教職員のIDとパスワード等を含めた約8000名分

設定ミス（アクセス権限） 　三重県

12月18日　三重県：県立学校における個人情報の漏えいについて
原因　県立学校等の教職員及び生徒が使用するグループウェア内において、グループごとに保存しているファ　イルの一部が、他の県立高校等の教職員及び生徒から閲覧できる状態になっていたことにより、四日市工　業高等学校の個人情報が漏えいしました
被害　個人情報が含まれる四日市工業高等学校のファイルへのアクセスログを確認したところ、次の情報に、複数の生徒（６校１２名）からのアクセスがあったことが分かりました
→アカウントのID／パスワード、生徒のテスト成績（１科目）、体力測定結果、進路情報

　四日市工業高 約８００人分テスト成績などネットで閲覧可能に｜NHK 三重県のニュース

不正アクセス（委託先） 　日新火災海上保険

12月17日　当社業務委託先におけるランサムウェア被害に伴う情報漏えい等の可能性について
原因　当社が損害査定業務等の一部業務を委託している東京損保鑑定のサーバにおいてランサムウェア被害が発生し、当社のお客さまや事故のお相手様の情報等の漏えい等の可能性があることが東京損保鑑定からの報告により判明いたしました
被害　漏えい等の可能性のある情報等：699件（個人情報406件、法人情報293件）
【含まれるお客さま情報等】：契約者の氏名、被保険者の氏名・住所・電話番号、証券番号、保険事故のお相手様の氏名、その他当社が東京損保鑑定へ損害査定業務の委託時に提供する情報等

不正アクセス（アカウント） 　尾道市立大学

12月16日　尾道市立大学への不正アクセスによる個人情報の流出の可能性に関する事案について
原因　令和６年１２月２日（月）に本学の附属美術館のパソコン１台が不正アクセスを受けていた事案が確認され、附属美術館職員のアカウントが乗っ取られ不正なログインがなされていたことが判明しました
被害　当該パソコンに保存されていた個人情報
→２０１６年度から９年分の本学学生の情報（氏名、学籍番号）３，１５０件、広報配付先一覧（氏名、住所）６６件、学内メールアドレス一覧表、内線番号一覧表１１１件

　広島･尾道市立大　学生や教員の個人情報　延べ3327人分流出の可能性　悪用例は確認されず

不正アクセス（ランサムウェア） 　九州鉄鋼センター

12月13日　ランサムウェア被害の発生について
原因　2024年12月9日（月）朝、当社内の複数サーバーに保存しているファイルが暗号化されアクセスできない状態となっていることが判明しました
被害　ランサムウェアの感染が確認され、影響範囲や被害状況などの調査に取り組んでおります

不正アクセス（取引先：続報） 　アイネット

12月13日　弊社取引先のサーバーより弊社との取引データが外部に漏洩した件（第２報）
原因　2024年12月3日付にて、ベル・データより、「弊社との取引情報がベル・データのサーバーから外部に漏洩したことを確認した」との通知を受け取りました
被害　本件による漏洩情報：主に、ベル・データ様からレンタルもしくはリースを受けてお客さまに提供をしたシステム機器に関する取引情報216件となります
→弊社お客さまの社名11社、弊社お客さまの従業員に関する情報（お名前、メールアドレスなど）11件、弊社お客さまのIP情報12件、弊社の社名、弊社従業員に関する情報（名前、メールアドレスなど）157件

作業ミス（メール宛先指定） 　鹿沼市

12月13日　メールの誤送信による情報漏えいのお詫び(鹿沼さつきマラソン大会)
原因　12月12日（木曜日）、鹿沼さつきマラソン大会実行委員会事務局を担う鹿沼市教育委員会事務局スポーツ振興課からの案内メール送信に関し、受信者側から他の受信者の氏名やメールアドレスが表示されてしまうという不適切な事案が発生いたしました
→本来は受信者が他の送信先を見ることができない「BCC」によって送信すべきところを、誤って「TO」にて送信したことで、受信者が他の受信者の氏名・メールアドレスを閲覧できる状態となってしまいました
被害　鹿沼市教育委員会事務局スポーツ振興課職員が、当該大会の案内をする目的で、過去の参加者データを約1000件ごとのグループに分けて送信しました

不正アクセス（アカウント：続報） 　宮崎大学

12月13日　メールアカウントの不正利用事案について｜宮崎大学
原因　令和6年10月16日午後から、本学の特定のメールアドレスに外国から大量の配信不能メールが届くようになったため学内で調査したところ、何者かが当該アドレスを使用し、迷惑メールを送信していたことが判明しました
→当該メールアドレスに設定されていたパスワードの脆弱性によるものです
被害　使用された当該メールアドレスのファイルを確認したところ、個人情報が含まれていたことを令和6年10月17日に確認しました
→【本事案により漏洩の可能性のある個人情報】
→対象メール数 23,325通、対象メール内の学外者の個人情報 16,904件、対象メール内の学内者の個人情報 2,370件
→個人情報の種類：氏名、所属、役職、メールアドレス、住所、電話番号

　宮崎大学 約２万４０００人の個人情報が流出

不正アクセス（ランサムウェア：調査報告） 　丸東産業

12月13日　ランサムウェア被害に関する調査結果のご報告について
原因　2024 年9月30日、弊社の複数のサーバーにおいてランサムウェアによる被害が発生していることを確認しました
被害　外部専門家の調査の結果、被害サーバーに対して情報漏えいの痕跡が無いことと、情報閲覧の痕跡がないことにより、情報漏えいの可能性は極めて低いと考えられます

不正アクセス（サーバー侵入） 　EDUWARD Press

12月12日　不正アクセスによるシステム侵害発生のお詫びとお知らせ – エデュワードプレスオフィシャルサイト
原因　2024 年12 月4 日午前10 時30 分頃、弊社が運営する商品販売サイト「エデュワードプレスオンライン」において第三者による不正アクセスでのシステム侵害が判明いたしました
被害　個人情報の一部流出が懸念されたため、同サイトの稼働を見合わせており、事実実態を正確に把握するため外部専門機関に依頼し調査を進めておりま

作業ミス（ファイル誤保存） 　法政大学

12月12日　社会学部専任教員による個人情報の漏洩について（お詫び）
原因　2024年10月19日に、本学社会学部専任教員が、本来持ち歩きが禁止されている個人情報を含むファイルをUSBメモリにコピーし、さらに、本学多摩情報教育システム上の学生と教員が共有しているファイルサーバーに、誤って保存してしまう事態が発生しました
被害　計80件、延べ人数1683名分の個人情報を含む文書が、当該ファイルサーバー内で閲覧が可能な状態となっておりました

　法大、教員が「持ち歩き禁止」ファイルをコピーし個人情報漏洩　謝罪　学生ら1683名の成績評価など

不正アクセス（ランサムウェア：調査報告） 　三興商事

12月11日　サイバー攻撃によるシステムの停止事案の経緯報告
原因　2024年10月21日、当社のネットワークが第三者により不正にアクセスされ、当社のシステムに障害が生じるという事態が生じました
→不正アクセス者は、2024年10月21日15時51分、VPN接続を経由しguestアカウントを悪用して当社のネットワークにアクセスし、同日夜から当社のシステム・サーバーに対してリモートランサムウェア攻撃（ネットワーク上に存在するデータを暗号化する攻撃）を行いました
被害　この攻撃により、当社の社内システム、各サーバー内のデータは全てが暗号化されて使用不能となり、また、サーバー内には「身代金」の支払いを求めるメッセージが残されていました
→第三者専門業者の調査によると、外部への情報流出の形跡は確認されなかったとの報告を受けています

不正アクセス（ランサムウェア） 　浪速ポンプ製作所

12月11日　【重要なお知らせ】ランサムウェア攻撃による個人情報漏えいの可能性について（2024年12月11日）
原因　2024年9月10日から14日にかけて、第三者が不正に認証情報を取得し、弊社のサーバにアクセスしてランサムウェアを実行、ファイルが暗号化される被害を受けたことが確認されました
→この不正アクセスにより、弊社および取引先社員に関する個人情報が外部に漏えいした可能性があることが判明しました
被害　漏えいした可能性のある個人情報：以下の従業員個人情報が漏えいした可能性があることが判明しています
→「氏名、会社名、生年月日、性別、住所、電話番号（会社用）、メールアドレス（会社用）など」

不正アクセス（アカウント） 　大阪体育大学

12月10日　標的型攻撃メールによるアカウント情報の窃取被害について - 大阪体育大学
原因　2024年11月26日 15:53、本学の教職員を宛先とする標的型攻撃メールを多数受信しました
被害　このメールには、本学の認証サイトを巧妙に摸したフィッシングサイトへのリンクが埋め込まれており、一部教職員のアカウント情報が窃取される事態となりました
→情報セキュリティ担当への通報が早かったこと、それにより初動対応が迅速であったことから、窃取された情報は即日無効となり、さらなる被害の拡大はありませんでした

不正アクセス（アカウント） 　藤井寺市

12月10日　藤井寺市立小・中学校における学習用クラウドサービス アカウントの利用不能について
原因　市内小中学校の児童生徒及び教職員の利用している学習系ネットワークのマイクロソフトアカウントにログインできない事象が、令和６年１２月５日（木）夕方頃より発生しました
→１２月９日（月）に保守管理事業者からマイクロソフトの管理用アカウントへ第三者による不正アクセスが確認されたとの報告を受けました
被害　児童生徒及び教職員のマイクロソフトアカウント及びそれに関連付けられたクラウドサービスにログインできないため、学習データや教材データ等を利用できない状態です
→システム上のトラブル及びサイバー攻撃等の事態も想定し、１２月６日（金）に児童生徒の各端末の利用を停止しております

　大阪・藤井寺の学習系ネットワークに不正アクセス、被害届提出 成績は別サーバーで管理 - 産経ニュース

不正アクセス（ランサムウェア：続報） 　サイゼリヤ

12月10日　不正アクセスによる個人情報漏えいのお詫びとご報告 不正アクセスによる個人情報漏えいのお詫びとご報告
原因　当社のいくつかのサーバーにおいて2024年10月5日以降システム障害が発生し、一部のサービスが停止しました
→外部の情報セキュリティ対策企業へ調査を依頼したところ、2024年10月13日に、当社と無関係な第三者からの不正アクセス（いわゆるランサムウェア攻撃）を受けた事実が確認されました
被害　漏えい等が発生し、または発生した恐れがある個人情報
・お取引先企業様他関係者様に関する「氏名、住所、メールアドレス、電話番号」等の情報
　→対象となる件数：2,234件
・従業員、元従業員及びそのご家族に関する方の「氏名、住所、生年月日、電話番号、メールアドレス」等の情報
　→対象となる件数：58,853件

　サイゼリヤ、個人情報6万件超漏えいか 10月のランサムウェア攻撃で - ITmedia NEWS

不正アクセス（アカウント：調査報告） 　シード（PARKING PAY）

12月9日　【確報】パーキングペイにおける会員様のご登録情報流出についての調査報告
原因　パーキングペイの顧客情報が複数のハッカーフォーラムで流出しているという情報が寄せられ、当社でその真偽を確認した結果、事実である可能性が高いと判断しました
→過去にシステム開発業務を委託した先の企業に所属していた社員が所有していた端末から、情報窃取型のマルウェア等によって収集された認証情報を得た第三者により、Web管理システムに不正にアクセスされました
→調査の結果、社員（Ｂ）の個人環境が、弊社の管理画面への攻撃の起点となり、登録情報を窃取したと診断いたしました
→Webアクセスログを分析し、Webページの改竄やWebアプリケーションの改変などの侵害痕跡を調査した結果、明確な侵害痕跡は確認されませんでした
被害　閲覧・取得された情報項目：会員ID、Eメールアドレス、ポイント、車両ナンバー、招待コード

不正アクセス（委託先） 　郡山市

12月9日　「Out of KidZania in こおりやま2024事業」における再委託先事業者のサーバーへの不正アクセスについて
原因　「Out of KidZania in こおりやま2024事業」において、運営業務を委託している東北博報堂福島支社の再委託先である、エクシードコネクトのサーバーがランサムウェアの被害を受けたことに伴い、エクシードコネクトがサーバー内を調査した結果、本事業に係る個人情報が保管されていたことが判明しました
被害　サーバー内に保管されていた情報
「Out of KidZania in こおりやま2024事業」参加申込者の情報：1,513件
→（参加申込者氏名、性別、学年、保護者氏名、住所、電話番号、メールアドレス）

　イベント参加者の情報を保管するサーバーに不正アクセスがあったと郡山市が発表

不正持出し（出向者：続報） 　朝日生命保険

12月9日　保険代理店出向者による個人情報等の漏えいについて
原因　当社は、出向者による出向元への情報漏えいに関する継続調査を行っており、今般、下記事案が判明しましたので追加報告いたします
被害　＜判明事案の概要＞
　対象代理店数 1社
　発生時期 2020年1月～2024年8月
　対象件数 法人441社、個人595名
　情報の内容 法人契約情報：契約法人名、被保険者名(一部)、保険種目、保険会社、保険料
　　個人契約情報：契約者氏名、勤務先、保険種目、保険会社、保険料

　朝日生命、代理店出向者が情報漏洩 595人分 - 日本経済新聞

不正アクセス（ペイメントアプリケーション改ざん） 　三恵

12月9日　弊社が運営する「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」への不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ
原因　弊社が運営する「【公式】大人かわいい下着・ブラジャーの三恵通販サイト」の旧サイト（既に閉鎖済み）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等（71,943件）を含む個人情報（292,707件）が漏洩した可能性があることが判明いたしました
→旧サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため
被害　クレジットカード情報等漏えいの可能性があるお客様：2019 年12月27日～2024年5月15日の期間中に旧サイトにおいてクレジットカード決済をされたお客様71,943 名につきまして、以下の情報が漏洩した可能性がございます
→カード名義人名、クレジットカード番号、有効期限、セキュリティコード、メールアドレス、郵便番号、電話番号
個人情報のみ漏洩の可能性があるお客様：2024 年5月15日までに旧サイトをご利用されたお客様292,707名で、漏洩した可能性のある情報は以下のとおりです
→氏名、生年月日（任意入力項目）、性別（任意入力項目）、住所、電話番号、メールアドレス、旧サイトのログインパスワード（暗号化済み）、注文情報

　“不正アクセスで約29万人分 情報流出の可能性” 通販「三恵」 | NHK

不正アクセス（アカウント：調査報告） 　あいざわアセットマネジメント

12月6日　個人情報の流出について（最終報告）
原因　2024 年5 月13日、811通の投資を促すスパムメールが弊社の特定の社員から顧客等へ送信され、弊社でもスパムメールを受信し当該事態の発生を確認いたしました
→定期的なパスワードの変更がなされていなかったこと、二段階認証の導入を検討するものの対応せずにいたことで弊社のセキュリティ対策が脆弱な状態となっていたことが原因となります
被害　当該社員のクラウドeメールサービスのメールサーバーに保存されていたメール約2年分が2024年4月28日から5月13日にかけ複数回の不正アクセスによりダウンロードされ漏えいしたことが2024年5月15日に発覚
→漏えい等が発生し、又は発生したおそれがある個人情報の人数と漏えい等が発生した個人情報の項目調査により2,540人の個人情報が漏えいしたことが判明いたしました

不正アクセス（サーバー侵入：調査報告） 　KCJ GROUP（キッザニア）

12月6日　不正アクセス発生による一部のお客様の個人情報流出に関するお詫びと調査結果のご報告
原因　2024 年10 月16日に、弊社が運営するWebサイトへの不正アクセスを検知し、防御措置を行っておりましたが、10月17日に個人情報流出のおそれがあることが判明し、同日に情報流出の遮断措置を実施いたしました
→弊社が運営するキッザニアのWebサイトのプログラムの一部にセキュリティの脆弱性があり、外部より不正アクセスを受けたことが原因です
被害　2024 年10 月17日以前にキッザニア東京の予約時にご登録された一部のお客様の個人情報（内容は以下の通り）24,644 件です
→氏名、メールアドレス、電話番号、住所

　キッザニア、ウェブサイトへの不正アクセスで約2.5万件の個人情報流出が判明 - INTERNET Watch

不正アクセス（ネットワーク侵入） 　福原学園

12月6日　学園ネットワークへの不正アクセスについて
原因　学園のネットワークが、第三者からの不正なアクセスを受けていることが確認されたことから、安全が確認できるまで、外部との接続を緊急的に遮断しております
被害　現在、関係機関と連携し、協議を重ね調査を進めております

設定ミス（表示システム閲覧権限） 　集英社

12月6日　「週プレ グラジャパ！」ユーザー情報等漏洩に関するお詫びとお知らせ
原因　ウェブサイト「週プレ グラジャパ！」においてサイトの表示システムの設定ミスがあり、お客様の登録情報や購入履歴等を他の会員が閲覧できる状態にあったことが判明しました
→サイトの更新作業時における表示システムの設定ミス
被害　＜漏洩した可能性がある会員情報件数＞ 74 件 (うち66件は登録されたクレジットカードの下3桁含む)
＜発生期間＞ 2024 年11月25日（月）10：30～11月28日（木）20：45
＜漏洩した可能性のある情報＞ 会員ID、メールアドレス、ニックネーム、生年月、性別、月額サービスの利用状態、定期購読の利用状態、商品の購入履歴、予約済みの商品、保有チケット及びスタンプ枚数、保有クーポン、お気に入り情報、登録されたクレジットカードの下3桁

不正アクセス（サーバー侵入） 　京都大学経営管理大学院

12月5日　京都大学経営管理大学院メールサーバーへの不正アクセスによる被害および個人情報漏洩の可能性について
原因　京都大学経営管理大学院において運用・管理するメールサーバーが第三者による不正アクセスを受け、サーバーに保管されていたアカウントおよびメールアドレスが窃取された可能性があることが判明いたしました
被害　窃取された可能性のあるアカウント152件は、経営管理大学院で運用していた@gsm.kyoto-u.ac.jp のメールサーバーのアカウントとなります
→パスワードファイルに記載のアカウント名（メールアドレス）、暗号化されていたパスワード、氏名（ローマ字）の情報が窃取された可能性があります
@gsm.kyoto-u.ac.jp以外のメールアドレスの114件は、本メールサーバーで運用していたメーリングリストに記載されていたメールアドレスとなります

不正アクセス（ランサムウェア） 　井関農機

12月5日　当社グループ会社におけるランサムウェア被害の発⽣について
原因　11 ⽉ 27 ⽇(⽔)朝、井関農機のグループ会社であるヰセキ北海道において、⼀部のサーバーが第三者による不正アクセス（ランサムウェア攻撃）を受けたことを確認いたしました
被害　不正アクセスを受けたサーバーから情報が漏洩した可能性があるため、外部専⾨家の協⼒のもと、調査を続けております

プログラム不具合（アルバム機能：続報） 　LINEヤフー

12月5日　LINEアプリのアルバム機能における不具合のお知らせとお詫び
原因　2024年11月28日に発生したLINEのアルバムにおいてサムネイル画像が正しく表示されない不具合につきまして、11月30日に不具合の修正が完了し、現在はすべてのアルバムでサムネイル画像が正しく表示されております
→本不具合は、LINEのアルバムのサムネイル画像を作成するシステムのアップデート時に、同システムに関するプログラムの不備により発生しました
→LINEのアルバムでは、画像を長期保存するため、投稿から35日以上経過した画像を圧縮変換して保存しています。この圧縮したアルバムの画像をサムネイル画像に変換する工程で、処理が集中した際に、画像のデータが混在した状態で変換処理が行われたため、他のユーザーの画像が混在したサムネイルが表示されてしまいました
被害　影響範囲
　他のユーザーのアルバムのサムネイルに、自分のアルバムのサムネイルが表示されたユーザー：日本国内 約7万人(海外を含めると約13.5万人)と推定
　自分のアルバムのサムネイルに、他のユーザーのアルバムのサムネイルが表示されたユーザー：日本国内 約5.5万人(海外を含めると約11.4万人)と推定

　LINEアルバム機能の不具合　自分の画像が無関係の他人のLINEアプリに誤表示は約13.5万人｜TBS NEWS DIGbo

不正アクセス（ランサムウェア） 　denis japan

12月4日　当社外のステークホルダーの皆様および退職された従業員の皆様の個人情報への不正アクセスの可能性に関するお知らせとお詫び
原因　2024年1月16日、当社グループが管理するネットワークが、第三者により不正にアクセスされたことを確認しました
→外部専門家の協力を得て調査を行った結果、グループの一部のサーバー内の情報が侵害され、ランサムウェアによって暗号化され、アプリケーションやファイルサーバー内のデータがアクセス不可能になったことが判明しております
被害　当社外のステークホルダーの方々についての以下の個人データも影響を受けた可能性があることが判明いたしました
•ビジネス関連の情報（電話番号、メールアドレス、所属組織、所属部門、取引内容など）
退職された従業員の方々についての以下の個人データも影響を受けた可能性があることが判明いたしました
•人事関連情報（氏名、生年月日、住所、性別、電話番号、メールアドレス、顔写真、資格・免許、社会保険関連番号、税金等控除、ご家族の情報（氏名、生年月日、続柄、世帯主、職業、収入、心身障害））
•雇用者として保有する身体・健康情報（健康診断の結果、心身障害、出産・育児、診療・病歴など医療情報）
•ビジネス関連の情報（従業員番号、入社年月日、勤務場所、職位、所属、勤務形態、勤務状況）
•賃金関係情報（給与、賞与、手当、退職金、その他福利厚生、支払口座、税金関連情報）、人事・勤務評価、研修履歴

不正アクセス（アカウント） 　東京経済大学

12月4日　不正アクセスによる迷惑メール送信のお詫び | 東京経済大学
原因　2024年11月30日AM04:39頃より、本学事務職員のメールアカウントが学外より不正にアクセスを受け、学外者向けに大量の迷惑メールが送信されるという事案が発生しました
→当該メールアカウントに設定されていたパスワード情報が、学外の第三者により不正に窃取され、送信の踏み台とされたため
被害　本学職員のメールアドレス（2アドレス）から計15.6万通※もの大量の迷惑メールが発信されました

設定ミス（データーアクセス権限） 　大阪公立大学医学部附属病院

12月3日　個人情報の漏洩のお詫びとお知らせ
原因　当院において、患者さまの個人情報が漏洩する事案が発生しました
→当院と当院の医療連携登録医（以下、登録医）との間で当院カルテを共有閲覧する地域医療情報連携ネットワーク（以下、同ネットワーク）にて、通常、表示されるべきでない患者一覧が表示され、登録医が閲覧可能な状態であった
→地域医療患者一覧表示マスターの誤設定
被害　該当患者数、個人情報および閲覧可能者の範囲
　該当患者：618 名分（同ネットワークにて、当院と登録医間でのカルテ共有に同意いただいた患者さま）
　閲覧可能な状態にあった情報：「カナ氏名」「患者氏名」「性別」「年齢」「生年月日」「郵便番号」「住所」
　閲覧可能な医師： 125施設154名

設定ミス（フォーム閲覧権限） 　近畿大学

12月3日　個人情報の流出について | 重要なお知らせ | 近畿大学
原因　令和6年（2024年）11月15日（金）18時50分頃、入試運営業務に従事する学生158人に、アルバイトに関する情報登録フォームのURLを送付し、入力を依頼したところ、同日19時30分頃、学生から連絡があり、他の登録者の個人情報が閲覧できる状態であることが判明しました
被害　流出した情報
　対象者：フォームに情報を登録したアルバイト学生14人
　内　容：氏名、学部・学科、学年、学籍番号、住所、電話番号、メールアドレス、口座情報、生年月日

不正アクセス（ランサムウェア） 　イーエックスディー

12月2日　ランサムウェア被害の発生について ｜ INFORMATION ｜ インフォメーション ｜ EXD. Inc.
原因　11月28日（木）早朝に、当社のサーバーが暗号化されるランサムウェアによる被害が発生していることを確認しました
被害　情報流出につきましては現在調査中です

　福島県実施の事業 約5千件の個人情報流出の恐れ 県の下請け業者のサーバーに不正アクセスの被害：ニュース

不正アクセス（委託先） 　オリオンビール（オリオンホテル那覇）

12月2日　【重要なお知らせ】 お客様の個人データ漏えいの可能性に関するお詫びとお知らせ | 新着情報 | オリオンホテル那覇【公式】｜沖縄・那覇市の観光とビジネスに便利なホテル
原因　オリオンホテル 那覇で利用している宿泊施設の予約・販売管理システムであるTL-リンカーンが第三者による不正アクセスを受け、オンライン予約サイトから宿泊予約した一部のお客様のご予約情報が漏えいした疑いを検出したと本件システムの提供ベンダーであるシーナッツ社より報告がございましたのでお知らせいたします
→2024年8月20日、委託先より第三者が本件システムのログインID、パスワードを使用し、不正にログイン操作を行った疑いがある旨の連絡があり調査したところ、7月30日、31日にオンライン予約サイトから宿泊予約した一部のお客様のご予約情報が漏えいした可能性があることが確認されました
被害　漏えい等が発生、又はそのおそれがある個人データの内容＞
対象者：2024年7月30日から 2024年9月30日までのご宿泊日に、オンライン予約サイトから当施設への予約、予約に対する変更、予約に対する取消をされたお客様
情報項目：予約者氏名、住所、電話番号、メールアドレス、宿泊者氏名、 宿泊に関わる情報（宿泊日、泊数、室タイプ、室料金、宿泊人数等）

設定ミス（入力キャッシュ） 　TableCheck

12月2日　お客さま情報誤表示についてお詫びとお知らせ
原因　TableCheckの予約システム内で提供しているイベントや特定のプランのみを予約ページに表示する 「特集ページ」機能で、開発時のキャッシュ（一時記憶機能）設定の不備によりご予約時に入力いただいた個人情報が、別のお客様に誤表示される事象が一部で確認されました
被害　影響範囲：全契約店舗約11,000店舗のうち、特集ページ機能をオンにしている709店舗において特定の条件（後述）をすべて満たした場合に当該不具合が発生する可能性があることを確認しました
誤表示された個人情報：「特集ページ」からの予約時に入力いただいたユーザーの氏名、メールアドレス、電話番号
影響件数：500件以下（弊社内の検証シミュレーション結果に基づく）

　飲食店予約「TableCheck」他人の個人情報一部誤表示 キャッシュ設定不備、スタバロースタリーなどに影響 - ITmedia NEWS

設定ミス（委託先） 　スターバックス コーヒー ジャパン

12月2日　STARBUCKS RESERVE ROASTERY TOKYOの予約ページにおける入力内容が、一部誤表示された可能性について | スターバックス コーヒー ジャパン
原因　STARBUCKS RESERVE ROASTERY TOKYOで実施されるイベント予約、または限定メニュー等の予約機能として利用している、TableCheckが提供する「特集ページ」機能において、一部のお客様が予約時に入力した内容が、他のお客様の予約情報入力時に表示される可能性があったことが判明いたしました
被害　表示された可能性のある情報：お名前（姓・名）、メールアドレス、電話番号
影響を受けた可能性のあるイベント
　ロースタリーピアッティーニフライト 2024/6/21 ～ 9/1
　STARBUCKS RESERVE ROASTERY TOKYO UTSUWA BAR 2024/5/28 ～ 6/27
　シルクスクリーン体験イベント“5 years, 5 inspirations” 2024/7/30 ～ 8/31
影響を受けた可能性がある予約件数：18件

不正持出し（出向者：調査報告） 　アイリックコーポレーション

12月2日　お客様の契約情報等の漏えいに関するお詫びと再発防止策について
原因　2024年8月8日、お客様の契約に関する情報が、第一生命保険からの出向者により第一生命の子会社であるネオファースト生命保険に漏えいしていたことを発表し、その後、漏えい先であるネオファースト生命保険において調査をすすめてまいりました
→出向者による情報取得が慣習化していたことやそのデータを受け取っているネオファースト生命保険側も送信内容を正しく認識されていなかったことが要因です
被害　漏えい情報：契約者・被保険者の氏名・生年月日、証券番号、保険種類、保険会社名等
情報を提供していた期間：2015 年12月～2024年７月
漏えいしたお客様情報の数：3 万7千名

不正アクセス（ランサムウェア） 　神奈川県

12月2日　公益財団法人神奈川芸術文化財団への外部からのサーバ攻撃について - 神奈川県ホームページ
原因　神奈川県立県民ホール本館、KAAT神奈川芸術劇場、県立音楽堂の指定管理者である公益財団法人神奈川芸術文化財団が利用しているサーバに対して外部から攻撃を受けたことが判明しました
→サーバの管理者からランサムウェアに感染した可能性が高いとの報告を財団が受けた
被害　サーバ内に保存されていた情報
　施設の管理や事業実施に関する情報
　財団の内部管理に関する情報、財団の組織に関する情報
　公演の出演者や利用者とのやりとり等に関する情報

　神奈川の県民ホールなどの指定管理者 サイバー攻撃被害 個人情報の流出は

不正アクセス（ランサムウェア：続報） 　ZACROS（藤森工業）

12月2日　ランサムウェア被害の経過について
原因　2024年9月27日付「ランサムウェア被害の発生について」および2024年10月22日付「ランサムウェア被害の発生を受けた生産・出荷の現状について」でお知らせしました通り、当社で使用している生産管理システム及び基幹システムの一部のサーバーが、ランサムウェアの被害に遭い、保管していた情報の一部が暗号化される事案が発生いたしました
被害　公開が確認された情報
　法人関連情報・取引情報等 13件：弊社宛ご提案資料(表紙)、弊社内管理資料、等
　うち個人情報 38件：弊社役職員 氏名・肩書（2022年10月1日現在の弊社職制図上の情報）