サイバー攻撃による情報漏えいのおそれの公表とお詫び(第一報)
平素よりNekozouneko Group及び当団体各種サービスのご利用を賜り誠にありがとうございます。
この度、当団体においてサイバー攻撃による情報漏えいのおそれが生じたため、電気通信事業における個人情報等の保護に関するガイドライン第十六条第六項に基づき、7月5日時点で調査済みの内容をここに公表いたします。
概要
- 6月29日午前0時45分頃、運営関係者1名による不正なコンテンツのスパム送信を確認しました。即時、他の運営関係者によって内部データへのアクセス権をはく奪する措置を講じました。
- 同日午前6時頃、当人による調査で、私物の端末がコンピューターウイルスに感染していることが発覚いたしました。これにより、当該端末内に保存されていた当団体の運営に関する認証情報、コミュニケーションツール「Discord」で閲覧が可能なすべての情報及び当人がアクセス可能な共有ドライブ内のすべての情報が外部に流出した可能性があります。
- 6月30日午後9時4分頃、当団体の情報システム上で使用する一部のアカウントに対する不正アクセスを確認しましたが、即時認証情報の変更を実施したため、これによる被害は確認しておりません。
- 現時点で第三者が容易にアクセスできる媒体に個人データを含む内部データが公開されたことは確認しておりません。
- 当該端末は必要な措置を講じ、安全な状態に移行しておりますが、なお現在も当団体の情報システムからは隔離しております。
- 7月5日現在、個人情報保護委員会に規則第十六条第一項第一号及び第四号に該当する事案として速報の報告書を提出しております。
漏えいのおそれがある個人データ
現時点で確認できる最大の項目と件数を表示しておりますが、今後の続報により項目と件数は変動する可能性があります。
下記の内容に該当する方には、順次個別で通知を行ってまいります。
| 該当者 | 内容 | 種別 | 件数(該当者数) |
| Nekozouneko Serverを利用したことがある方 | ・処罰履歴(プレイヤー名、理由、日時) ・サブアカウント情報 ・お問い合わせ内容(チケットを含む) | 個人データ(ただし、一部要配慮個人情報を含む可能性あり) | 最大9万2938名 |
| Nekozouneko Groupの所属に係り、応募したことがある方 | ・応募内容(メールアドレス、年齢、性別、所有資格を含む) ・二次試験内容(面接内容、筆記試験の回答内容) ・審査結果(合否、評価) | 要配慮個人情報 | 最大302件 |
| Nekozouneko Groupに所属している方(脱退済みの方を含む) | ・懲罰に関する情報(面談記録、議事録) | 要配慮個人情報 | 最大5名 |
※内容がすべて対象となるわけではなく、そのうち一部のみが対象となる場合もあります。
※上記の個人データには、クレジットカード情報は含まれておりません。
二次被害のおそれの有無
現時点において、本件に起因する二次被害の発生は確認されておりません。
しかしながら、漏えいのおそれがある個人データは要配慮個人情報を含み、当該情報が悪意のある第三者に渡った場合、該当者に対する不当な差別及び偏見の助長に発展するおそれや、フィッシング詐欺等の標的にされるおそれも否定できません。
本件に関するお問い合わせ窓口
「個人情報に関するお問い合わせ窓口」
メールアドレス:admin@nekozouneko.com
Nekozouneko Group関係者の方(保護者の方を含む)は、下記よりお問い合わせください。
https://group.nekozouneko.net/parents サイト最下部「連絡先」より「緊急時や個人情報に関するお問い合わせ」
再発防止策
本件により、下記の再発防止策(実施予定のものを含む)を掲げることといたしました。
- 内部データへのアクセス権を見直し、必要最低限の権限管理を再構築します。
- BYODにおけるセキュリティリスクを再確認し、事前に想定されるリスクについてはその対応についてマニュアル化を行います。
- 運営関係者に対するセキュリティ教育をより細分化すること及び定期的な内部監査を実施することにより、継続的な情報セキュリティガバナンスの強化に努めます。
- より多様な検出が可能なセキュリティ製品の導入及び開発を検討し、人為的ミスの早期発見と予防に努めます。
お詫び
この度は、本件につきまして多くの皆様にご迷惑をおかけしていることをお詫び申し上げます。
今後、より詳しい調査を進めるとともに再発防止策に真摯に取り組み、組織全体におけるセキュリティ対策の改善に一層尽力してまいります。
引き続きご不便をおかけいたしますが、ご理解賜りますようお願い申し上げます。
