事故から学ぶ

秋葉山公園県民水泳場_不審メールに関するお詫びとお知らせ

事故概要

業種 行政の職員
発生時期 2022/1/28
漏えい人数 2000
事故概要

不審メールに関するお詫びとお知らせ
この度、当施設を名乗る不審メールが届いているとの連絡をお客さまから受け、事実関係を調査いたしましたところ、ウィルスの影響により当施設と過去にメール連絡をされた一部のお客さまへ不審メールが送信されたことをお知らせします。
ご利用いただいているお客さま及び関係者の皆さまには、多大なご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。本件の経緯及び今後の対応について、下記のとおりご報告いたします。
1. 事実の概要
当施設のパソコン1台が「Emotet」(エモテット)と想定されるウィルスに感染し、当施設を装ったメールが送信されました。
「Emotet」は、最近感染拡大しているウィルスです。
特徴は攻撃メールの受信者が過去にメールのやりとりをしたことのある、実在の相手の氏名、メールアドレス、メール内容等の一部が、攻撃メールに悪用され、「正規のメールへの返信を装う」内容となっています。
当該不審メールに添付されたファイル(エクセル、ワード、pdf、zip等)をパソコンで開いたり、本文中に記載のURLを開くことなどにより、マルウェア感染などの被害に及ぶ可能性がございますので、不審メールを受信された場合は、開かずにそのまま削除していただきますようご協力をお願いいたします。
※当施設を装って送信されているメールは、一例として以下のような内容になっています。
・発信元が「秋葉山公園県民水泳場」となってるが、発信元メールアドレスが全く違ったものになっている。
(何度も送られてくる場合、発信元アドレスが変わる)
・タイトルは「Re:お客さまの氏名」「Fw:お客さまの氏名」「Re:屋外プールキャンセル依頼」など数種類。
・本文には「ご確認ください。よろしくお願いします。」と簡単な文章があり、本文下部には「秋葉山公園県民水泳場」とありますが、当施設とは違う電話番号、FAX番号044-***-****及び、携帯番号があり、***@akibasan-pool.jpと正規のメールアドレスが記載されている。
・最下部にお客さまが問い合わせた本文が引用されている場合がある(文字化けしているものもある)
・excel(エクセル)の添付ファイルがついていて、添付ファイルを開くとマクロの実行(コンテンツの有効化)を促される。
以上のようなメールは当施設から送られたものではありません。このようなメールの添付ファイルは絶対に開かずメールそのものを削除してください。
このウイルスの詳細について
独立行政法人情報処理推進機構セキュリティセンター
(「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて)をご参照ください。
https://www.ipa.go.jp/security/announce/20191202.html
2. 現時点での被害状況
当該パソコンとメールのやり取りをした、お客さまのメールアドレス、氏名などのデータおよびメール本文が外部に流出した可能性がございます。
【流出した可能性のある情報】
・当施設の代表アドレスと直接メールのやりとりをした情報
(お名前、メールアドレス、本文に記載された内容)
・ホームページの問い合わせフォームから登録いただいた情報
(お名前、メールアドレス、問い合わせ本文、電話番号「記載された場合」)
・令和3年度夏季レジャープール予約キャンセルフォームから登録いただいた情報
(代表者のお名前、メールアドレス、予約番号、予約日時、予約人数)
【流出していない情報】
・令和3年度夏季レジャープール予約フォームから登録いただいた情報
(予約確認メール、キャンセル完了メールに含まれる情報)
・新型コロナウイルス感染拡大防止対策事前提出フォームから登録いただいた情報
・トレーニングルームで登録いただいた情報
・プール教室(大人、子ども)で申し込みいただいた情報
・流出した可能性のある情報を悪意のある第3者が利用し、当施設を装って(送付元が秋葉山公園県民水泳場となっているが、メールアドレスがまったく違うものになっている)今後何度も同じような内容のメールをお客さまに送る可能性があります。
・この不審メールを当施設から停止させる手段は残念ながらございません。お客さまで迷惑メール等へ登録し受信拒否をおこなっても、送信元メールアドレスを変えてメールを送信してくるようです。もし可能であればメールアドレスの変更をご検討お願い致します。
・万が一、スマートフォンでメールや添付ファイルを開いてもこのウイルスへの感染は確認されておりません。しかしながら念のため、不審なメールは開かず削除してください。
3. 今後の対応
当施設では、上記事態を重く受け止め、誠心誠意、適切な対応をさせていただくとともに、今後この様な事態が発生しないよう、職員の再教育を実施するとともに、アンチウイルスソフト、ファイヤーウォールなどの実施済みの対策に加え、ハード・ソフト両面でさらなるセキュリティの強化を実施いたします。
(2月2日追記)
・コンピュータウイルスの感染経路や個人情報の流出先等について和歌山県警察様にご相談し、警察本部サイバー犯罪対策課の捜査を受けました。今後も捜査に協力してまいります。
・今回の漏えい等事案に関して、個人情報保護委員会に事実関係及び再発防止策等について報告致しました。今後の対応等についても速やかに報告し、指導を仰いでまいります。
4.二次感染を防ぐために、お客さまへ重ねてのお願い(1月30日追記)
・当施設からの身に覚えのないメールの添付ファイルをパソコンで開いたり、メール本文中のURLリンクはクリックしないでください。
・自分が送信したメールへの返信に見えるメールであっても、不自然な点があれば添付ファイルは開かないでください。
・万が一、スマートフォンでメールや添付ファイルを開いてもこのウイルスへの感染は確認されておりません。しかしながら念のため、不審なメールは開かず削除してください。
・パソコンのOSやアプリケーション、セキュリティソフトを常に最新の状態に保ってください。
・信頼できないメールに添付されたWord文書やExcelファイルを開いた時に、マクロやセキュリティに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしないでください。
・メールや文書ファイルの閲覧中、身に覚えのない警告ウインドウが表示された際、その警告の意味が分からない場合は、操作を中断してください。
・WordやExcelのマクロ機能に関する設定の変更、Emotetに感染した場合の影響等については、下記 JPCERT/CC から公開されている注意喚起を併せてご参照ください。

引用元 秋葉山公園県民水泳場

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

システムの脆弱性と思慮されるが、システムの運用環境は常に変化するため、昨日まで安全でも今日には漏えいする、という状況が発生する。最低でも日単位でセキュリティー動向の最新情報を把握するとともに、サーバ管理会社とも密接な連絡を取り、安全対策を最新化しておくことが必要である。

具体例:

セキュリティーシステムは「自社も必ず攻撃を受ける」という意識で毎日ニュースをチェックし、その対策を考えるべきである。インターネットを利用したサービス提供事業者ならば、社内にもセキュリティーのエキスパートを育成し、セキュリティー専門会社との組み合わせでサービス全体の安全管理措置を講じていく必要がある。業者任せにしてはいけない。分からないまま済ませてはいけない。ユーザ数の多いサイトは最新ハッキング手法を試す実験場になっており、対策が後手に回るリスクを抱えている。常に最新対策情報を自ら得る体制を整えておくべきであろう。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。