画像：大阪市より引用 大阪市で2023年3月30日、大阪市保健所に勤務する派遣職員が市の許可を得ることなく、市の保有する新型コロナ感染者の氏名や性別などの個人情報1万7,914件を個人用端末にメール送信していた事実を明らかにしました。 大阪市によると、派遣職員は新型コロナ感染症の公費負担関連業務に従事していましたが、自宅での業務学習のために個人情報を含むデータを個人用端末に送信していたとのこと。派遣職員が様式の異なる資料で業務を遂行していることに市の職員が気付いたことにより判明しました。 大阪市が派遣職員に聞き取り調査したところ、個人用端末へのメール送信は事実であり、許可を得ていませんでした。また、派遣職員は個人用端末を用いて新型コロナウイルス感染者等情報把握・管理支援システム(HER-SYS)にもアクセスしており、3件の個人情報もダウンロードしていたことが判明しました。 大阪市はこのため

画像：名古屋市より引用 名古屋市は2023年3月28日、正当な理由なく市のファイルサーバーに不正アクセスしたとして、市の消防局に所属する30代男性消防士を停職1カ月・懲戒処分しました。 名古屋市によると問題の男性は2022年6月下旬までに、業務上の権限を利用してサーバーに不正アクセスし、人事係が管理する昇進試験の問題や回答データをコピーしていました。男性は昇進試験の受験しましたが、同僚が不正アクセスに気付き名古屋市に報告したため発覚しました。 名古屋市の聞き取り調査に対して、男性は事実を認め、反省をコメントしています。なお、試験問題や回答にはパスワードが設定されており、閲覧できなかったとのこと。男性は昇進試験に不合格となっています。 参照職員の懲戒処分について/名古屋市

画像：エン・ジャパン株式会社より引用 大手求人情報メディアサービスのエン・ジャパン株式会社は2023年3月30日、同社が運営する転職情報サイト「エン転職」のウェブサーバーが不正アクセスを受け、ユーザー25万5,765名分の履歴書情報が流出した可能性があると明らかにしました。 リスト型ハッキングとはユーザーが認証情報（IDやパスワード）を使いまわす傾向にあることを利用して、セキュリティの脆弱なサイトから流出した認証情報を別のサービスに入力するサイバー攻撃の1種です。エン・ジャパン社によると、同社のウェブサーバーは2023年3月20日～2023年3月27日にかけサイバー攻撃を受け、不正ログインが発生し続けていたとしています。 エン・ジャパン社は不正アクセス判明後、不正アクセスの接続元となるIPをブロックしたほか、被害拡大防止のため、被害の有無に関わらず全ユーザーアカウントのパスワードをリセット

画像：独立行政法人　大阪急性期・総合医療センターより引用 独立行政法人大阪急性期・総合医療センターは2023年3月28日、昨年度同院で発生したランサムウェア感染被害の調査報告にて、管理用IDやパスワードを使いまわしていたことや推定逸失利益が10億円超であることを明らかにしました。 同問題は2022年10月31日、同院にて発生したシステム障害を発端にしています。原因は同院から給食事業を請け負っている事業者のデータセンターが、サイバー攻撃によりＩＤ・パスワードが窃取されたことによるもので、攻撃者は事業者の端末を介して病院給食サーバーへの侵入。その後、センターが運用する基幹、部門システム、仮想統合、運用管理、NASサーバーにランサムウェアを拡散したほか電子カルテシステムにも被害懸念を引き起こし、同院をデータ暗号化による機能不全に陥れました。 調査報告では、感染が病院給食サーバーから基幹システム等

画像：東京都より引用 東京都は2023年3月17日、都生活文化スポーツ局が開催するウクライナ避難民支援連携フォーラムの資料を送信する際に誤送信が発生し、参加者および登壇者103名のメールアドレスが流出したと明らかにしました。 東京都は2023年3月16日、フォーラム参加者や登壇者に資料を事前配布するため、電子メールに添付し、外部一斉送信を試みました。ところが担当者は送信時、本来BCC欄に入力すべきところを「宛先」欄に入力したまま電子メールを送信。処理後、職員はミスに気付き取消対応を試みましたが、宛先欄にアドレスを入力したままの状態で自動送信が作動し、複数回に渡り誤送信が発生しました。 東京都は誤送信の原因について複数名での事前確認が徹底されていなかったと説明しています。また、誤送信はフォーラム開催中におきたもので、管理職をはじめ多くの職員が事務室にいなかったとも説明。局内でサイバーセキュリ

画像：IPA（情報処理推進機構）より引用 IPA（情報処理推進機構）は2023年3月8日、国内にて多数の被害をもたらしたEmotetに再始動の動きが確認されたと明らかにしました。 EmotetはWordなどOffice系ファイルを偽装して侵入し、感染端末からメール情報を盗み出したりや不審メールを拡散することで知られているマルウェアです。主な経路はフィッシングメールによる感染で、実在する組織や人物を名乗ることから、防御が難しいとされてきました。 新たに確認されたEmotetは、ZIPファイル内に500MBを超える巨大なWordファイルを設置したものです。IPAはファイルサイズの増大について「セキュリティソフトなどの検出回避を狙ったもの」と分析しています。 とはいえ、感染誘導の手口そのものに大きな変化は見られません。このためIPAは引き続き、「身に覚えのないメールの添付ファイルは開かない」、「

画像：株式会社ラウンドワンより引用 株式会社ラウンドワンは2023年2月27日、同社が運営するホームページが第三者により改ざんされたと明らかにしました。 説明によると、2023年2月25日より、ラウンドワン社の店舗料金案内ページの閲覧者が不適切なページに誘導される事態が発生したとのこと。ラウンドワン社が調査したところ、何者かが同社サーバーに不正アクセスを仕掛けており、ホームページを改ざんしていたことが判明しました。 ラウンドワン社は事態判明後、問題を修正し、現在は正常に稼働しています。また、改ざんによる同社からの情報流出も生じていないとのこと。同社は今後、セキュリティ強化により再発防止に努めるとしています。 参照ホームページ改ざんに関するお詫びと復旧のご報告/株式会社ラウンドワン

画像：株式会社文化放送より引用 株式会社文化放送は2023年2月23日、同社が運営する「A&G ショップ」にて電子メールの誤送信および訂正ミスが発生し、ショップ購入者のメールアドレス44件が流出したと明らかにしました。 説明によると、文化放送社では2023年2月22日、商品購入者を対象に出荷通知メールを発信しました。ところが、この電子メールは誤りであると判明したため、担当者が外部一斉送信形式で訂正メール発信を試みたところ、メールアドレスの流出ミスが発生しました。 同社によると、担当者は訂正メール対象者のメールアドレスを入力する際、本来は「BCC」欄に入力すべきところ「宛先」欄に入力し送信していました。電子メールは宛先欄に入力し送信すると、同報者のメールアドレスを表示するため、購入者間でお互いのメールアドレスを閲覧できるという、本来想定しない事態が発生。 同社はこのため、対象者らに経緯を説明

画像：東京都立産業技術高等専門学校より引用 東京都立産業技術高等専門学校は2023年2月9日、同校荒川キャンパスに所属する非常勤教員が学生141名の個人情報を記録したUSBメモリを紛失したと明らかにしました。 同校によると2022年2月9日、教員からUSBメモリの紛失について報告を受けたとのこと。教員が述べたところによると、USBメモリは2023年2月3日の使用を最後に所在がわからなくなっており、紛失に気付いたのは2022年2月9日とのこと。教員の通勤経路や自宅等の捜索をしましたが、公表時点で発見には至っていません。 USBメモリは教員が業務のために使用しており、学生141名の氏名や所属、成績データなどが記録されていました。公表時点で紛失情報の不正利用等は確認されていませんが、同校は情報流出の可能性を完全には否定できないと判断。対象となる学生らに個別に連絡を取り謝罪しました。 など、同校は

画像：トヨタファイナンス株式会社より引用 トヨタファイナンス株式会社は2023年2月13日、同社が提供するクレジットカード「TS CUBIC」の信用情報機関登録業務において、本来提供する必要のない情報まで提供していたと明らかにしました。 信用情報機関とは、クレジットカードやキャッシング契約などにおいて、契約内容や延滞情報、債務整理情報などを登録している機関です。信販や貸金業者などは申込審査など特定の業務において、定められた情報を信用情報機関に提供・照会しています。 ところが、同社はTS CUBICの契約業務において、本来登録する必要ない、申込者の金融機関の口座番号まで信用情報機関に提供していました。同社によると、原因はシステム設計時の考慮漏れによるもので、現在は該当情報の削除を完了しているとのこと。同社は今後、同様の事象が起きないように注意するとしています。 参照信用情報機関への不必要な情

画像：近畿大学九州短期大学より引用 近畿大学九州短期大学は2023年1月23日、同大職員が学生10名の進路や就職状況など個人情報を含んだ電子メールを、別の学生44名に誤送信したと明らかにしました。 説明によると職員は2022年12月15日、就職活動中の学生10名から得たヒアリングデータを報告書にまとめ、電子メールに添付し教員宛に送信を試みました。ところが、職員が宛先を指定する際、誤って学生44名が登録する休講通知用のメーリングリストに送信するミスが発生しました。 誤送信発生後、大学は誤送信先となった学生44名に対してメールの削除を依頼しました。また、流出対象となった学生10名には事情を説明し謝罪したとのこと。 大学は今後、ダブルチェックや個人情報を含むファイルのセキュリティ設定を徹底すると発表。さらにメール誤送信防止機能の導入を推進し、再発防止に努めるとしています。 参照就職支援に係るメー

画像：国土交通省近畿地方整備局より引用 国土交通省近畿地方整備局は2023年1月30日、同局・大阪国道事務所が発注した通行規則広告業務の受注者が、業務成果や関係者の個人情報を記録した電子媒体を紛失したと明らかにしました。 同局によると、広告業務を受注したのは株式会社神戸新聞事業社で、業務の従事者が移動中に、電子媒体を紛失したとのこと。従事者は紛失に気付き捜索するとともに、警察に届出などの対応を取りました。 大阪国道事務所が従事者に確認したところ、電子媒体には、業務の従事者や法人その他団体に関する情報が記録されていたことがわかっています。電子媒体は公表時点で発見に至っておらず、流出懸念が生じているとのこと。なお、流出懸念対象者には受注者が連絡し、謝罪しました。 大阪国道事務所は受注者に対し情報管理の徹底を指示し、再発を防止するよう求めました。 参照大阪国道事務所業務受注者における情報流出の疑

画像：嘉手納町より引用 沖縄県嘉手納町は2023年1月26日、町の町民保険課住基年金係が住民に宛てた電子メールを誤送信し、2022年4月1日～2022年7月13日に異動届を受け付けた住民675名分の個人情報（氏名、住所、異動事由など）を誤送信したと明らかにしました。 嘉手納町によると、係は2022年11月29日に住民から寄せられた住民登録に関する問合せに対応するため、参考資料を添付し電子メールを送信しました。ところが、担当者が本来添付すべき届様式（ひな形のようなもの）ではなく、住民個人情報を含む異動届の見出しを添付していたとのこと。届様式と異動届の見出しファイルは別の場所に保管されていましたが、職員は業務効率化のため、異動届の見出しファイルのコピーをデスクトップに添付していました。 係は誤送信時、ミスに気付いていませんでしたが、2023年1月3日になり受信した住民より嘉手納町に連絡が入り判

画像：奈良県総合医療センターより引用 奈良県総合医療センターは2023年1月6日、センターに所属する看護師のインスタグラム個人アカウントが何者かに乗っ取られ、画像加工および事実と異なる不適切な投稿を繰り返したとして謝罪しました。 問題の投稿は2023年1月5日に看護師が個人用に取得しているインスタグラムアカウントにて投稿されたものです。ナースコールが鳴っているのに年始カウントダウンに夢中になっていると思しき動画や防護衣を装着しポーズを取っていると思しき画像が公開されました。また「15:30に仕事終了したから定時1時間以上前に病院抜け出す笑バレたらクビ」などのテロップがついた画像も確認されています。 奈良県総合医療センターは問題の投稿について、不正アクセスによるものとして否定しています。同センターによると、投稿は何者かが看護師のアカウントを乗っ取り不正に加工・投稿したもので、事実ではなく、当

画像：武雄市より引用 佐賀県武雄市は2022年12月28日、武雄市まちづくり部にて誤送信が発生し、県内外の行政機関や担当者のメールアドレスなど59件を意図しないアドレスに外部送信したと明らかにしました。 武雄市によると誤送信は2022年12月27日、佐賀県からの電子メールを休暇中の職員に転送する際に起きたものです。原因は担当者による確認不足で、送信先アドレスの正誤やメールに含まれている他のアドレス表記の有無を十分にチェックしないまま、意図しないアドレスに向け送信したとしています。 武雄市によると、誤送信メールには、県内外行政機関のメールアドレス23件や担当者の業務用アドレス36件が記載されていました。市ではこのため、誤送信対象となった行政機関や担当者に謝罪。送信先には電子メールの削除を依頼しました。 参照【お詫び】メール誤送信による個人情報の流出について/武雄市

画像：株式会社KADOKAWAより引用 株式会社KADOKAWAは2023年1月9日、同社が所有・運営する複合施設「ところざわサクラタウン」の公式ツイッターが何者かに乗っ取られたと公表しました。 説明によると、同社は不正アクセスの判明後、さくらタウン公式アカウントの利用中止を決定し、Twitter社にアカウント停止および復旧を依頼しているとのこと。公表時点で攻撃を受けた原因等は明らかになっておらず、同社は調査およびセキュリティ対策を実施している状況です。 なお、不正アクセスによる二次被害等は確認されていないとのこと。今後の見通しは明らかになり次第、別途報告するとしています。 参照【お知らせ】ところざわサクラタウン公式Twitter不正アクセスについて/株式会社KADOKAWA

画像：関西電力株式会社より引用 関西電力株式会社は2022年12月27日、関西電力に所属する一部従業員が同社子会社で送配電事業を営む「関西電力送配電株式会社」が保有する新電力会社の契約情報1,327件を不正に閲覧していたと明らかにしました。 関西電力送配電株式会社は電力自由化以降、新電力会社の送配電事業も担当しています。公正競争の観点から各社の情報は法により適正に扱うことが求められているため、同社は関西電力と共同でシステムを使用しながら、関西電力の従業員が閲覧できる範囲に制限を課していました。 ところが、関西電力送配電社が調査したところ、関西電力の従業員が本来非公開とすべき契約情報を閲覧できる状態にあったことが判明しました。原因は電力自由化に伴うシステム改修時に起きた不具合で、従業員が一部業務においてシステムを使用した際、本来閲覧できないはずの契約情報が表示される状態にあったとのこと。 調

書籍「セキュリティ対策の基礎知識」 メルマガ登録でプレゼント！ セキュリティ対策で何をして良いかわからない 企業の情シス部門の方必見！ メルマガ登録は こちらから 画像：株式会社縁人より引用 株式会社縁人は2022年12月20日、同社がユーザー向けに発信したenひかり関連メールについて誤送信が発生し、ユーザーメールアドレス1,124件が流出したと明らかにしました。 説明によると同社は2022年12月10日、enひかりの電気料金改定を通知するため、ユーザーに向け案内メールを外部一斉送信しました。ところが、担当者が送信形式を設定する際、本来「BCC」とすべきところを「TO」に設定し送信するミスが起きたとのこと。 これにより、送信対象となったユーザー間でお互いのメールアドレスが表示される事態が発生。緑人社は対象ユーザーに謝罪しメールの削除を依頼するとともに、今後は誤送信を招く可能性の低いシステム

画像：国土交通省より引用 国土交通省は2022年12月8日、北海道開発局が電子メールを誤送信が発生し、同局開催の講習会参加者182名のメールアドレスが流出したと明らかにしました。 同局によると2022年12月5日、北海道開発局の職員が講習会参加者らに講習会資料を送付するため、外部一斉送信を行いました。ところが担当職員はメール送信時、誤って182名のメールアドレス一覧を120名に送信するミスを起こしました。 誤送信は送信先から資料の誤りについて指摘が入り、発覚しました。同局はこのため、誤送信先にメールアドレス一覧の削除を依頼し、確認したとのこと。同局は今後、個人情報の適正な管理を徹底し、再発を防止するとしています。 参照メール誤送信による個人情報の流出について

画像：宇部市より引用 山口県宇部市は2022年12月19日、勤務中に住民基本台帳システムおよび戸籍システムを利用し、個人情報の不正取得および証明書を発行したとして、50代職員を停職1年の懲戒処分にしました。 宇部市によると職員は2022年9月頃、祖父の相続不動産に関する法定相続人の情報を収集する目的で、勤務時間中に住民基本台帳および戸籍閲覧を行いました。また、職員は証明書発行を繰り返し、相続に必要な相関図を作成していました。 職員はその後、作成した相関図を司法書士に提出し、相続登記手続を依頼するとともに他の相続人5名に私的な文章を送付しました。ところが、自身の住所を知られていることに不審を感じた相続人が、宇部市に問合せたことから一連の不正行為が発覚。 宇部市はこのため、職員を停職処分にする決定。さらに職員を刑事告発すると説明しています。 参照職員の懲戒処分等について