つなワタリ@捨て身の「プロ無謀家」(@27watari)です。私の元に届いた迷惑メールの実例紹介を中心にしつつ、あわせて迷惑メールに関連したニュース(不正アクセスによる情報流失、詐欺メール最新情報など)を記事にしています。とにかく! くれぐれも迷惑メールに引っかからないようにしてくださいね。
今回は予備校や学習塾のフランチャイズチェーンを展開する城南進学研究社のウェブサーバが不正アクセスを受け、個人情報3万4263件が流出した可能性があるという話題です。
【目次】本記事の内容
城南進学研究社で個人情報(3万4263件)が流出の可能性
城南進学研究社のサイトが不正アクセスを受け、資料請求や体験学習を申し込んだ顧客の個人情報3万4263件が流出した可能性があることが発表されました。
○流出した時期
2020年7月11日頃
○流出した人数
3万4263件
○流出した内容
2016年4月以降に資料請求や体験学習を申し込んだ顧客の個人情報(保護者氏名、本人氏名十余、電話番号、学年、学校名、生年月日、年齢、メールアドレスなど、サイトによって入力情報に差異アリ)
※個人の成績情報、パスワード、銀行口座、クレジットカード等の情報は含まれていない
○流出した原因
サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスによる。
○報告と謝罪文
公式サイトには2020年7月16日に謝罪文が掲載されました(pdfデータによる謝罪文をトップページに「ホームページに対する不正アクセスおよびお客様情報の流出の疑いに関するお知らせとお詫び」という表題でリンク)。
これです(一部のみ)。
念のために文章にも残しておきます。
令和2 年7 月16 日
各 位
会社名 株式会社城南進学研究社
代表者名 代表取締役社長CEO 下村 勝己
( J A S D A Q ・コ- ド4 7 2 0 )
問合せ先 取締役常務執行役員CFO 杉山 幸広
ホームページに対する不正アクセス及びお客様情報の流出の疑いに関するお知らせとお詫び
この度、弊社の公式ホームページ(HP)を管理しているWEB サーバに、第三者による不正アクセスがあり、HP 内のデータの消失とお客様の個人情報が流出している疑いがあることが判明いたしました。WEB サーバの管理会社が調査をした結果、外部からの不正アクセスによるサイバー攻撃の可能性が高いとの報告を受けております。
当社といたしましては、事態を重く受け止め、所轄の川崎警察署および神奈川県警察本部に被害状況の詳細を報告し、警察による捜査が開始されております。また、個人情報保護委員会、独立行政法人情報処理推進機構(IPA)、ならびに経済産業省に報告を行っております。なお、現時点において、二次被害の問い合わせはございません。
このような事態が発生し、生徒および保護者の皆様、塾を運営いただいているフランチャイズオーナーの皆様、ご関係者の皆様に多大なご迷惑とご心配をおかけすることになりましたことを、深くお詫び申し上げるとともに、現時点で判明している内容につき下記に詳細をご報告いたします。
記
1. 流失した可能性があるデータ等の内容
(ア)HP 内コンテンツの全データ
・城南予備校DUO(https://www.johnan.jp/)
・城南コベッツ(https://www.covez.jp/)
・城南AO 推薦塾(https://ao-suisenjuku.jp/)
・デキタス(https://dekitus.johnan.jp/)
・城南ルミナ保育園立川(https://www.johnan.jp/rumina/)
(イ)個人情報
「城南予備校」、「城南予備校DUO」、「城南コベッツ」、「くぼたのうけん」、「城南ブレインパーク」、「城南ルミナ保育園立川」、「城南進学研究社」の資料請求画面から2016 年4 月以降に資料請求、体験学習等にお申し込みいただき情報を入力した方の個人情報(現在把握可能な件数は34,263 件)
※ホームページ以外から登録いただいた方の個人情報は今回の流出には含まれておりま
せん。
※個人の成績情報、パスワード、銀行口座、クレジットカード等の情報は含まれておりま
せん。
※株式会社城南進学研究社本体が運営するホームページに対する不正アクセスは確認さ
れておらず、流出した可能性のあるデータは、上記(ア)及び(イ)に記載のデータ等
のみです。
2. 発覚から現在までの経緯(報告書には表組みで掲載)
7 月11 日(土)9:00
当社社員がHP の確認作業をしようとしたところ、閲覧できなくなっていたため、HP の制作会社、システム運営会社に確認の連絡。
7 月11 日(土)12:10
システム運営会社から不正アクセスとデータ消失の疑いの連絡。
7 月11 日(土)12:40
城南進学研究社サイトにて、各サイトの不具合情報を掲載。
7 月11 日(土)17:50
対策本部を設置。対応策を社内で協議。
7 月13 日(月)13:20
神奈川県川崎警察署および神奈川県警察本部の捜査員が当社に来訪。関係者が状況を説明し、今後の対応を協議。
7 月14 日(火)18:00
個人情報保護委員会および情報処理推進機構へ報告。
7 月14 日(火)18:30
経済産業省へ報告。
3. 不正アクセスされたHP のWEB システムに対する対応状況
・ 2020年7月11日20時より、二次被害の防止のため、該当サーバを停止。別サーバにてお知らせ掲出。
・サーバへの不正アクセスの状況調査を実施し、ネットワークおよびシステムのセキュリティ診断、対策の実施。
・代替サーバの設定、コンテンツの再構築作業。
・復旧につきましては、見通しが立った段階でお知らせします。
4. 再発防止策について
今回の事態を厳粛に受け止め、システムのセキュリティ強化および監視体制、定期的な脆弱性診断、管理職を含む個人情報管理教育の徹底ならびにリスクマネジメント体制の強化を行い、再発防止を図ってまいります。
5. 業績への影響について
本件が当社連結業績に与える影響につきましては、現在精査中であり、状況が判明し次第、速やかにお知らせします。
以上、本件不正アクセスに関する状況をご報告するとともに、関係各位に多々のご迷惑とご心配をおかけいたしましたことを、重ねてお詫び申し上げます。
以 上
なお、本件に関するお問い合わせにつきましては、下記各問い合わせ先にご連絡いただけますようお願い致します。
<生徒、保護者、一般の皆様からのお問い合わせ>
城南進学研究社 コールセンター
フリーダイヤル: 0120-501-284
受付時間:午前9: 00~ 午後6: 00
受付開始日: 2020年7月16日 午後3時より
<報道関係者様からのお問い合わせ>
城南進学研究社 マーケティング本部
電話番号:044-246-2071
企業が不正アクセスを受けた際の危機対応マニュアル
各企業・団体はこういった不正アクセスで個人情報が抜かれてしまった場合、それぞに危機管理・危機対応マニュアルを作っていると思います。
もしもこれから対応される企業や団体があるようでしたら、下記を参考にしてください。
◯城南進学研究社の「不正アクセスへの対応」は素早かった
城南進学研究社の対応を箇条書きにします。
<不正アクセスへの対応>
・サイトの不具合確認(土曜日朝発生確認)
・システム運営会社に問い合わせ(同時に不具合情報をサイトに掲載)
・対策本部を設置、対応策の協議
・警察への被害届け? 問い合わせ?(ここまで土曜の夕方までに対応スミ)
・警察に状況報告、対応協議(翌週月曜日以降)
・個人情報保護委員会および情報処理推進機構へ報告
・経済産業省へ報告
※個人情報保護委員会(Personal Information Protection Commission、略称:PPC)……内閣府の外局として2014年に設置。特定個人情報の取扱いに関する監視・監督(立入検査、報告徴求、指導、助言、勧告、命令等の権限の行使)、特定個人情報保護評価に関すること(指針の策定や評価書の承認)、特定個人情報の保護についての広報・啓発などを行っている。
●公式サイト https://www.ppc.go.jp/
※情報処理推進機構(Information-technology Promotion Agency, Japan、略称:IPA)……2004年に設立された独立行政法人。“頼れるIT社会”の実現に向け、コンピュータウイルスやセキュリティに関係する調査・情報提供などを行ってきている。
●公式サイト https://www.ipa.go.jp/
この辺の対応の流れは、じつにスピード感がありますね。城南進学研究社さん独自で危機管理マニュアルを作っていたのか、経済産業省からの常日頃から指導?されていたのかはわかりません。
◯各企業の危機管理の意識や対応状況はどんな感じなのか?
ある調査によると、保有する情報(顧客情報、従業員情報、営業秘密等)の漏えいについて危機意識をかなり持っている企業は60%ほど、多少は持っている企業は30%ほど。企業の90%は危機感を持っているようです。※株式会社エス・ピー・ネットワーク「情報漏えい時の危機対応」より
さらに保有する情報(顧客情報、従業員情報、営業秘密等)を管理するための規程やマニュアル整備の問いに「整備されている」と答えたのは、81.9%でした。かなり危機意識は高いようです。
しかし、事故発生の対応手順を作成しているかどうか、という問いには、有事の際の準備をしているのは68.6%程度でした。
マニュアルはあったも、いざというときに誰もが対応できるような状況にはなっていないようです。
◯情報漏えいに対応は3パターンある
情報セキュリティ大学院(https://www.iisec.ac.jp/)による「情報セキュリティ事故対応ガイドブック」によると、情報漏えい事故には、「システム障害による喪失」「システムへの攻撃による被害」「紛失や盗難、原因不明の事故」3パターンあるようです。
不正アクセスは2番目ですね。
この場合の具体的な対応手順は下記のとおりです。
◯不正アクセスによるシステム攻撃で情報が漏えいした場合の対応
・異常確認→外部組織(サーバーなど)に連絡&確認
・責任者に報告
・被害があるかどうかの確認
・対策本部設置
・法的措置を検討するか判断→届け出(警察、経済産業省など)
※内容によって必要な組織に報告と相談
・サイト復旧の判断と対応
・報告書作成
・周知
以上のような形が基本的な流れです。
なにか起きた場合は、冷静に素早く対処したいものです。
迷惑メールが届く原因、対策、セキュリティソフトなどの情報
迷惑メールに関する参考情報をまとめています。
せひ参考にしてください。
迷惑メールの原因、対策、セキュリティソフト、詐欺被害相談の情報です。
ワンステップで! とっても簡単に詐欺メールを知る方法があった!
迷惑メール・詐欺メール・勧誘メールは年々増えています。しかも恐ろしく巧妙になってきています。共通する狙いは、財産を奪うことです。もし引っかかってしまうと、人生を食えるわす場合もあります。とくに下記のメールにはくれぐれも注意してください。
<人生を狂わす迷惑メール・詐欺メール>
・フッシング詐欺メール(ECサイト、銀行系)
・架空請求メール(偽の請求)
・乗っ取りメール(マルウェア)
・勧誘メール(副業などの甘い罠)など
<もし引っかかったら>
すぐに関係各所にしかるべき行動をとるしかありません。
気が動転している場合は、まずは冷静になるしかありません。お問い合わせしてくだされば、道筋だけですが無料でアドバイスいたします。また、詐欺にあった場合は、誰にも言えずに悶々とするケースも少なくありません。メールではありますが、聞き役にはなれます。遠慮なくこちらまでメッセージをください。
私は法律事務所の人間でもありませんし、解決する力はありません。しかし、公的な相談機関などの情報をお伝えすることはできます。
世の中は恐ろしいことに、詐欺被害を解決すると謳っておきながら、さらに高額な費用を騙し取るような連中もいますので、お気をつけください。
※当方は個人の人格尊重の理念のもと、相談に関する個人情報を適正に取り扱い、個人情報を保護し、尊重いたします。
<記事原稿など承ります>
詐欺メールに関する原稿執筆、アドバイスなどを有料にて承ります。原稿料は要相談(別途お見積り)ですが、200字で3,000円程度とお考えください。
では!
↓[ Googleセレクト 関連コンテンツ ]↓
wordpressやるなら
エックスサーバーがオススメ!
このサイトはスタート時より「wordpress × エックスサーバー」によって運営しております。他のサーバーとも契約をして別サイトを構築しておりますが、エックスサーバーの使い勝手がイチバンです。セキュリティ、サポートに満足しております。しかも低コストです。利用者が多いので情報がネットに多いことも助かります。
詳細は下記ボタンより
急いでおりますが、お荷物の到着をお待ちしています(日本郵便を装い、あなたの荷物は配達を待っていますと促す詐欺メール) | 迷惑メール1976
