2015年
日本年金機構
日本年金機構の年金情報管理システムサーバが外部からの不正アクセスにより情報漏えいしていたことが発覚。年金加入者の個人情報約125万件が流出しました。
流出した個人情報の内訳は
・基礎年金番号、氏名(流出件数 約3.1万件)
・基礎年金番号、氏名、生年月日(流出件数 約116.7万件)
・基礎年金番号、氏名、生年月日、住所(流出件数 約5.2万件)
日本年金機構の福岡市内オフィスで職員がメールに添付されているファイルを開封した際にPCがウイルスに感染し、このPCから機構内LANに接続され
細分化された複数のフォルダから情報を抜き取られたとされています。
アビッド・ライフ・メディア
アビッド・ライフ・メディアにて不正アクセスにより個人情報が流出していたことが発覚。 同社運営の不倫専用サイトのアシュレイ・マディソンがハッカー集団の「インパクトチーム」からの不正アクセスを受け、会員個人情報が盗取されました。
このハッカー集団はサイトの閉鎖を求め、応じない場合には会員個人情報を公開すると脅迫しています。
同社はこれまで、情報セキュリティ対策が万全であることを主張してきました。
千趣会
ベルネージュダイレクトが運営する出産内祝いギフトサイトに不正アクセスがあり、顧客情報が漏えいした可能性があると発表し、漏洩規模は13万1096件と想定されています。
不正アクセスがあったのは、「ベビパラハッピーギフト」「Pre-moギフト」「TOMATOMAギフト」「ベビパラギフト」の4サイト。
第三者調査機関のPayment Card Forensicsに調査を依頼し、同月31日までに脆弱性対策を実施したほか、Payment Card Forensicsから情報漏えいの可能性があると指摘を受けてサイトを閉鎖。漏えいの可能性がある顧客にメールで連絡し、関係機関と調整して不正アクセスの事実を公表したとしています。
東京大学
東京大学が管理する業務用PCがマルウェアに感染し、不正アクセスにより情報流出被害が確認されたと発表しました。
6月30日に、東京大学の教職員と一部学生のメールを管理する学内メールサーバの管理画面設定(モード)が変更されていることを発見し、同PCに保存された学内向けに提供するサービスの業務用アカウントが流出。
同PCと同サービスのサーバなどに保存されていた情報が流出した可能性があることが判明しました。流出した個人情報は3万6,300件に及ぶとされています。
株式会社サンリオ
2014年12月から提供する株主向けインターネットサービス「サンリオ株主ポイント倶楽部」が株主の個人情報が漏えいした可能性があると発表しました。
同社ではサービスを停止し、運営委託先のインベスター・ネットワークスが漏えい経路などの調査を進め、漏えいした可能性のある情報は株主番号や氏名、住所、性別、生年月日、メールアドレス、電話番号などであると報告されています。サービス登録者は6249人。
7日午前に株主から「ポイント倶楽部だけで使うメールアドレスに投資勧誘のメールが届いた」と通報があり発覚しました。
インベスター・ネットワークスは同日夕方に、調査中ながら原因特定に至っていないと発表。外部のセキュリティ専門家の協力も得て原因究明とセキュリティ強化を実施する上、警視庁への調査協力の要請や被害届の提出なども検討しているということです。
更に別件で、Sanrio Digitalにてデータベース内の個人情報がインターネット上からアクセス可能状態になっていることが発覚。同社にて、サンリオタウンのデータベースに脆弱性が存在し、個人情報が流出した恐れがある。
セキュリティ研究者によりこの問題が確認された。このデータベースの脆弱性により、特定のIPアドレスでデータベースへのアクセスが可能となっていた。現時点では個人情報の盗取や流出は確認されていない。
ユーザのパスワードは暗号化されているが、同社はパスワードを変更するよう呼びかけている。なお、このデータベースは他のサンリオサーバやサイトとは別となっているため、ほかのサービスに影響はない。
エアコンの森Plus
エアコン販売ウェブサイト「エアコンの森plus」が不正アクセスを受け、エアコン購入者のクレジットカード情報が流出した可能性があると発表しました。不正アクセスを受けたのは2015年6月。
クレジットカード会社から「個人情報流出の可能性がある」との報告を受け、調査を行った結果、個人情報が流出していたことが発覚しました。同サイトで2015年1月1日から7月1日の間、クレジットカード決済で商品を購入した顧客712人の個人情報(住所、カード番号など)が流出したと見られています。
現在は、同サイトのサービスはすべて停止しており、利用できない状態となっています。
BLUE LUG
ブルーラグが不正アクセスを受け、クレジットカード情報を含む個人情報が流出しました。
調査によると、同社のオンラインストアにて2回に渡り不正アクセス及び改ざんが発覚し、同社にて注文した顧客5名情報の流出が確認されました。
その後の調査の結果、5名以外のカード情報の流出は確認されておらず、カード情報以外の個人情報流出の形跡も確認されていないと発表。
その後、決済代行会社から得た情報を調査会社にて調査照会の委託を行ったところ、45件の個人情報が流出したことが判明した。
龍名館
龍名館東京にて不正アクセスを受け、代表メールアカウントが流出した。これにより、当該メールにて過去にメールのやり取りを行った顧客のメールアドレスが流出し、迷惑メール送信に悪用された。
顧客から不審なメールが送信されているとの通報により発覚。不正アクセス発覚後、同社は即座にパスワード変更を行い、監視チェックや不正アクセス詳細の原因調査を実施した。現在管理システムにて不正アクセスを監視しているが、現時点ではそれ以上の不正アクセスは確認されていない。また、顧客の宿泊履歴などの情報流出はない。
送信された迷惑メールを調査した結果、当該メールは開くとシステムに感染やダメージを与えるものではなく、個人情報や金融情報などを不正取得するウィルスを仕掛けたフィッシグ詐欺サイトに誘導される内容であることが判明した。
東京ガスオート
東京ガスの関係会社は不正アクセスにより個人情報が流出しました。東京ガスオートサービスにて、自動車整備委託先に提供するウェブサイトが外部からの不正アクセスを受け、顧客個人情報が流出。
東京ガスがグループの情報セキュリティ強化のため関係会社のサイト検査を行ったところ同委託先に提供してるサイトの脆弱性を確認し、調査を行った結果顧客情報の流出が発覚。
同社は不正アクセス発覚後、サイトを閉鎖し、ネットワークを遮断した。現時点では情報の悪用は確認されていないが、金融機関口座残高の動きなどに注意をするよう依頼した。また、同社は所轄の南千住警察署に被害報告を行った。
MRT株式会社
MRTにて元従業員が個人情報を不正取得し、流出しました。同社にてメディカルリサーチアンドテクノロジーに在籍し、システム管理を担当していた元従業員が、会社PCから業務用サーバにアクセスし、同社の医師や看護師個人情報を不正取得して私用PCに保存していたことにより流出した。
内部調査の結果流出が発覚。同医師は同社退職後、別の求人情報紹介会社の設立にかかわっているため、これらの情報が利用されていないかを現在調査している。なお、パスワードの流出などは確認されておらず、不正ログインの発生なども確認されていないが、セキュリティ強化のため、定期的にIDやパスワードを変更するよう呼びかけている。
長野県上田市
庁内ネットワークにおいて、3台のPCでマルウェア感染が判明したと発表。
2015年5月26日~6月3日の間に庁内LAN環境から不正アクセスされた可能性があり、6月12日にJPCERT/CCより上田市へ不正通信の発生に関する通報があったことで発覚。
個人情報を含む外部への情報漏えいは現在のところ確認されていない。
