先週のサイバー事件簿 - 厚労省、個人情報記載の資料を誤って研究者に公開
8月15日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
○厚生労働省、削除すべき個人情報(5,640名分)を載せたまま診断書を研究者に公開
厚生労働省が明らかにしたところによると、同省が収集する指定難病患者に関するデータ(診断書情報)において、資料として研究者に公開するデータファイルに削除するべき個人情報が含まれていた。
発覚したのは8月5日。研究者からの利用申し出を受けて、厚生労働省が6月27日に提供したデータファイルに、削除するべき個人情報(5,640名分)を記載したシートが含まれていた。詳細は氏名、生年月日、住所など。
データファイル提供先の研究者は7施設に属しており、個人情報を含んだデータファイルがそのうち5施設に渡っていた。実際にデータファイルを閲覧した人数は6名。このデータファイルに記載していた情報は、IgA腎症、一次性膜性増殖性糸球体腎炎についてのもので、当該臨床調査個人票の全情報となる。診断書情報の時期は、平成26年6月15日〜平成30年11月12日(5,517人)、平成28年1月18日〜平成30年5月10日(123人)のもの。
今回の件が発生した原因として、情報削除の手順を失念したこと、それに対してのダブルチェックも行われていなかったことを挙げている。また、厚生労働省、および受託者も、提供用データの確認が不十分だったことを認めている。当該データファイルは8月9日までにすべて回収済み。研究者以外への流出はない。
○「ストークスケートリテイル」への不正アクセスで個人情報が流出
スケートボード専門ショップのストークスケートリテイルが運営する通販サイト「ストークスケートリテイル」が、第三者による不正アクセスを受けた。
不正アクセスは、システムのペイメントアプリケーションの改ざんによるもので、2022年3月16日に保守担当会社からの連絡を受けて発覚。2022年3月18日にカード決済を停止し、調査機関による調査を依頼した。調査の結果、2021年5月10日〜2022年3月18日の期間にストークスケートリテイルで商品を購入した顧客のクレジットカード情報(731名分)に流出の可能性がある。
流出した可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。登録済みカードでの注文や代引きは含まれていない。調査機関がログファイルなどを解析した結果、個人情報を格納していたデータベースへのアクセスが可能な状態だったが、データの流出はなかったとしている。
同社は該当する顧客に電子メール、または郵送で連絡。クレジットカード会社と連携し、流出した可能性のあるクレジットカードのモニタリングを実施している。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。
再発防止策として、システムのセキュリティ対策と監視体制を強化。不正アクセスを受けたシステムとサーバーを破棄し、2022年3月19日から新システムに移行して運用している。
○大阪市保健所、個人情報を含む写真データなどが漏洩
大阪市保健所職員(医師)がクラウドサービス上に保存していたデータが不正アクセスを受けた。対象は大阪市保健所職員の個人用端末で使用しているアカウントで、不正アクセスが判明したのは2022年4月25日。この端末を操作中にフィッシング詐欺にあい、個人で契約していたクラウドサービスのアカウントが乗っ取られた。
当該職員は、個人用端末で保存していたデータを外部のクラウドサービスに自動保存するよう設定。個人的な写真や業務上使用する資料の一部を撮影した写真が、不正アクセス者から閲覧できる状態となっていた。データに含まれる個人情報は、個人の名前、住所、電話番号、生年月日などを含む保健所内で取り扱う個人情報495件、法人情報2件。なお、現時点で個人情報悪用の事実はない。
今回の件は、個人情報などの取り扱いに関する認識が不十分であったこと、個人情報を持ち出す手続きをせずに資料を個人用端末で写真撮影・保存していたことを原因として挙げている。再発防止策として、個人情報などの管理徹底、さらなる意識の向上について指導を行うとしている。
○ハードオフ公式アプリで不正ログイン被害
ハードオフコーポレーションの公式アプリ「ハードオフ公式アプリ」が不正ログイン被害を受けた。外部からの不正ログイン試行は、8月9日に特定のIPアドレスから公式アプリの複数のアカウントに対して行われた。8月11日16時50分には不正ログインの成功を確認し、システムを緊急停止している。
8月12日には不正ログインの原因を特定して対策を完了。その際、全顧客のパスワードリセットを実行した。8月13日15時には「ハードオフ公式アプリ」「オフモール」「オファー買取アプリ」のサービスを再開している。
不正ログインによる被害は、「ハードオフ公式アプリ」に8月9日〜11日にログインした6,186アカウントが対象。一部には漏洩情報の可能性もあるという(メールアドレス、ログインパスワード、および登録済みのユーザーは氏名、住所、電話番号、性別、生年月日、職業を含む)。なお、オフモールにおける決済はすべて外部委託となっており、クレジットカード情報の漏洩はない。
同社は対象となる顧客に対して、マイページの内容を確認し、8月9日〜11日のオフモールでの購入履歴、公式アプリのエコポ利用履歴などを確認するよう呼びかけている。また、パスワードの再設定、他社サービスと同じメールアドレス/パスワードの組み合わせを利用している場合は変更することを推奨している。現在のところ個人情報の悪用はない。
○出光クレジット、会員サイト「ウェブステーション」が改ざん被害
出光クレジットの会員サイト「ウェブステーション」が第三者による改ざんを受けた。サイトの改ざんは、2022年7月28日に画面表示を最適化するサービスを提供する企業からの連絡で発覚。
「ウェブステーション」の新規登録・再登録画面の改ざんによって、入力した情報の一部が漏洩した可能性がある。調査の結果、改ざんが発生していたのは2022年7月19日〜2022年7月26日。漏洩した可能性のある情報は、クレジットカード番号、有効期限、セキュリティコード、生年月日。
同社では当該サービスの利用を停止し、漏洩した可能性のあるクレジットカードの利用状況のモニタリングを強化。不正利用を防止している。なお、現時点で対象となる会員のクレジットカードの不正利用はない。
○国税庁を騙るSMSに注意
8月12日の時点で、国税庁を騙ってフィッシングサイトへ誘導するSMSが拡散している。SMSの文例は以下の通り。
【国税庁8月12日】未払い税金お支払いのお願い。ご確認ください URL
税金のお支払い方法に問題があります、更新使手ください:URL
複数のフィッシングサイトが存在しており、差押最終通知などと表示して不安を煽り、個人情報やクレジットカード情報などを窃取しようとする。8月15日の時点でフィッシングサイトは稼働中。このようなSMSが来てもリンクは決してクリック/タップせず、不安が拭えないようなら最寄りの税務署に相談してみてほしい。
○厚生労働省、削除すべき個人情報(5,640名分)を載せたまま診断書を研究者に公開
厚生労働省が明らかにしたところによると、同省が収集する指定難病患者に関するデータ(診断書情報)において、資料として研究者に公開するデータファイルに削除するべき個人情報が含まれていた。
発覚したのは8月5日。研究者からの利用申し出を受けて、厚生労働省が6月27日に提供したデータファイルに、削除するべき個人情報(5,640名分)を記載したシートが含まれていた。詳細は氏名、生年月日、住所など。
今回の件が発生した原因として、情報削除の手順を失念したこと、それに対してのダブルチェックも行われていなかったことを挙げている。また、厚生労働省、および受託者も、提供用データの確認が不十分だったことを認めている。当該データファイルは8月9日までにすべて回収済み。研究者以外への流出はない。
○「ストークスケートリテイル」への不正アクセスで個人情報が流出
スケートボード専門ショップのストークスケートリテイルが運営する通販サイト「ストークスケートリテイル」が、第三者による不正アクセスを受けた。
不正アクセスは、システムのペイメントアプリケーションの改ざんによるもので、2022年3月16日に保守担当会社からの連絡を受けて発覚。2022年3月18日にカード決済を停止し、調査機関による調査を依頼した。調査の結果、2021年5月10日〜2022年3月18日の期間にストークスケートリテイルで商品を購入した顧客のクレジットカード情報(731名分)に流出の可能性がある。
流出した可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。登録済みカードでの注文や代引きは含まれていない。調査機関がログファイルなどを解析した結果、個人情報を格納していたデータベースへのアクセスが可能な状態だったが、データの流出はなかったとしている。
同社は該当する顧客に電子メール、または郵送で連絡。クレジットカード会社と連携し、流出した可能性のあるクレジットカードのモニタリングを実施している。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。
再発防止策として、システムのセキュリティ対策と監視体制を強化。不正アクセスを受けたシステムとサーバーを破棄し、2022年3月19日から新システムに移行して運用している。
○大阪市保健所、個人情報を含む写真データなどが漏洩
大阪市保健所職員(医師)がクラウドサービス上に保存していたデータが不正アクセスを受けた。対象は大阪市保健所職員の個人用端末で使用しているアカウントで、不正アクセスが判明したのは2022年4月25日。この端末を操作中にフィッシング詐欺にあい、個人で契約していたクラウドサービスのアカウントが乗っ取られた。
当該職員は、個人用端末で保存していたデータを外部のクラウドサービスに自動保存するよう設定。個人的な写真や業務上使用する資料の一部を撮影した写真が、不正アクセス者から閲覧できる状態となっていた。データに含まれる個人情報は、個人の名前、住所、電話番号、生年月日などを含む保健所内で取り扱う個人情報495件、法人情報2件。なお、現時点で個人情報悪用の事実はない。
今回の件は、個人情報などの取り扱いに関する認識が不十分であったこと、個人情報を持ち出す手続きをせずに資料を個人用端末で写真撮影・保存していたことを原因として挙げている。再発防止策として、個人情報などの管理徹底、さらなる意識の向上について指導を行うとしている。
○ハードオフ公式アプリで不正ログイン被害
ハードオフコーポレーションの公式アプリ「ハードオフ公式アプリ」が不正ログイン被害を受けた。外部からの不正ログイン試行は、8月9日に特定のIPアドレスから公式アプリの複数のアカウントに対して行われた。8月11日16時50分には不正ログインの成功を確認し、システムを緊急停止している。
8月12日には不正ログインの原因を特定して対策を完了。その際、全顧客のパスワードリセットを実行した。8月13日15時には「ハードオフ公式アプリ」「オフモール」「オファー買取アプリ」のサービスを再開している。
不正ログインによる被害は、「ハードオフ公式アプリ」に8月9日〜11日にログインした6,186アカウントが対象。一部には漏洩情報の可能性もあるという(メールアドレス、ログインパスワード、および登録済みのユーザーは氏名、住所、電話番号、性別、生年月日、職業を含む)。なお、オフモールにおける決済はすべて外部委託となっており、クレジットカード情報の漏洩はない。
同社は対象となる顧客に対して、マイページの内容を確認し、8月9日〜11日のオフモールでの購入履歴、公式アプリのエコポ利用履歴などを確認するよう呼びかけている。また、パスワードの再設定、他社サービスと同じメールアドレス/パスワードの組み合わせを利用している場合は変更することを推奨している。現在のところ個人情報の悪用はない。
○出光クレジット、会員サイト「ウェブステーション」が改ざん被害
出光クレジットの会員サイト「ウェブステーション」が第三者による改ざんを受けた。サイトの改ざんは、2022年7月28日に画面表示を最適化するサービスを提供する企業からの連絡で発覚。
「ウェブステーション」の新規登録・再登録画面の改ざんによって、入力した情報の一部が漏洩した可能性がある。調査の結果、改ざんが発生していたのは2022年7月19日〜2022年7月26日。漏洩した可能性のある情報は、クレジットカード番号、有効期限、セキュリティコード、生年月日。
同社では当該サービスの利用を停止し、漏洩した可能性のあるクレジットカードの利用状況のモニタリングを強化。不正利用を防止している。なお、現時点で対象となる会員のクレジットカードの不正利用はない。
○国税庁を騙るSMSに注意
8月12日の時点で、国税庁を騙ってフィッシングサイトへ誘導するSMSが拡散している。SMSの文例は以下の通り。
【国税庁8月12日】未払い税金お支払いのお願い。ご確認ください URL
税金のお支払い方法に問題があります、更新使手ください:URL
複数のフィッシングサイトが存在しており、差押最終通知などと表示して不安を煽り、個人情報やクレジットカード情報などを窃取しようとする。8月15日の時点でフィッシングサイトは稼働中。このようなSMSが来てもリンクは決してクリック/タップせず、不安が拭えないようなら最寄りの税務署に相談してみてほしい。
