2022/05/31

110人にメール誤送信でアドレス流出 三重県熊野市観光公社


三重県教委は2022年5月29日、県立熊野少年自然の家(熊野市金山町)のメール会員に対し、送信先同士でアドレスが分かる状態でメールを送信するミスがあったと発表した。

県教委によると、誤って送信したのは、施設を管理する熊野市観光公社(同市井戸町)の職員。施設のメール会員となっている110人にそば打ち体験教室の案内のメールを送信した際、設定を誤った。

送信してから翌日、メール会員から指摘があり、施設の職員が県に報告した。職員が送信先の全員に謝罪し、削除を依頼するメールを送った。今のところ、アドレスの流失による被害は報告されていないという。

公社の職員は、複数人による確認をしていなかった。県教委社会教育・文化財保護課は「メール送信の際には必ず複数で確認するよう指示する」としている。


出典:110人にメール誤送信、アドレス流出 熊野市観光公社 三重 

広島県で迷惑メールの相手にコロナ宿泊療養施設宿泊の個人データを誤送信


2022年5月30日、広島県は新型コロナの宿泊療養施設に入所していた感染者の個人データを、誤って流出させたことを明らかにしました。

個人データを誤って送信したのは、県東部の宿泊施設のスタッフです。

県は入院の必要がない軽症の感染者が宿泊するホテルの運営をJTB広島支店に委託していました。

委託スタッフはホテルに宿泊している5人の健康保険証のデータを迷惑メールを送ってきた相手に誤って送信したということです。

今のところ高額請求などの被害は報告されていないとしています。

県では運営を委託している他の宿泊施設でも個人データをメールでやりとりしていることから、メールを使わない方法で管理するように改め、再発防止に向けマニュアルを作成することにしています。

他人領収証を誤送付、寄付急増によるフロー変更でトラブル - 国連UNHCR協会


国連UNHCR協会は、寄付者に領収証を発送した際、一部で別人の領収書を封入するミスがあったことを明らかにした。

同協会によれば、2022年5月20日に委託先より寄付者へ領収証を発送した際、2000件において宛名と異なる領収証を封入、発送するミスが発生した。

領収証には、異なる寄付者の氏名、住所、寄付金額、寄付受領日などが印字されていた。

同委託先では、宛名を含む「案内状」と「領収証」を印刷、発送していたが、ウクライナ緊急支援の影響で寄付件数が急増。

5月にプリンタが故障して再印刷を行った際、プリンタ内に残存していた前月のデータを誤って選択したため、本来とは異なる宛名を案内状に印刷してしまったという。


出典:他人領収証を誤送付、寄付急増によるフロー変更でトラブル - 国連UNHCR協会 

Android向けの無償ウイルス対策ソフト / The best free antivirus for Android

 

セキュリティソフトなしでもあなたのAndroidスマホのセキュリティを維持することは可能です。しかし、一部の人にとってそれはリスクです。メールやメッセージング・プラットフォームからスマホで多くのファイルを開いたり、Playストアからであってもインストールするアプリの種類を少し自由にしすぎたりすると、リスクレベルは上がります。

あなたのAndroidデバイスは、これらの脅威や他の人から安全であることを確認したい場合, アンチウイルスソフトが役立ちます。実際には、Google Playで完全に無料のものがありますが、評判の良い会社から取得したいものです。Google Playからダウンロードしたウイルス対策ソフトが実はマルウェアでしたなんてオチはシャレになりません。

幸いなことに、ほとんどすべての主要なアンチウイルスメーカーが、あなたのデバイスを安全に保つ能力を持つAndroidアプリを提供しており、そのうちのいくつかは無料です。30日間の試用期間ではなく、あなたのデバイスにインストールされている限り無料なのです。中には、より制限された機能を持つものもありますが(無料であることのトレードオフであることが多い)、必要のないサブスクリプションにお金を払わずにデバイスをより安全に保ちたい場合は、これらのアプリをお勧めします。

1. Avira Security for Android


一番のお薦めはAviraです。まず、AV-TestA-V Comparativesの両方から最高の評価を得ていることです。前者では、2022年3月のリアルタイム攻撃テストと広範囲なマルウェアテストの両方で99.9パーセントを獲得しています。A-V Comparativesでは、2021年のモバイル・セキュリティ・レビューで約3,700のサンプルを使用して、Aviraは100パーセントの検出率を獲得しました。

また、Aviraはより多くの機能を備えています。ウイルススキャナ以外にも、1日100MBのVPN利用、いくつかのストレージ最適化機能、ID保護、パーミッションマネージャなどがある。

現時点では最高の保護とともに、いい機能が揃っている。


2. Bitdefender Antivirus for Android

もし、もっとシンプルで、同じように優れた保護機能を持つものをお探しなら、Bitdefenderをおいて他にはないでしょう。ルーマニアに本拠を置くこの会社は、実はPlayストアに2つのアプリを持っています。無料のものはBitdefender Antivirusで、Bitdefender Mobile Securityではありません。

無料版は、その名の通り、依頼されたときに携帯電話をスキャンします。また、Androidスマホの潜在的な攻撃経路である新しいアプリケーションをダウンロードした際には、Auto-pilotによる最小限の自動スキャンが行われます。

Bitdefenderは、2022年3月のリアルタイム攻撃および広範囲マルウェアテストにおいて、AV-Testから100パーセントを獲得しました。また、AV-Comparativesの2021年モバイルセキュリティレビューで100パーセントの検出率を獲得しています。


3. AVG Antivirus Free for Android

AVG Antivirus & Security for Androidは、もう一つの優れた保護オプションです。AV-Testでは、リアルタイムおよび広範囲のマルウェアテストで100%の保護率を記録し、最高の評価を得ました。しかし、AV-Comparativesでは、検出率は99.6パーセントで、誤検出は1つでした。そのため、3位とさせていただきました。もう一つの欠点は、他の製品がそうでないのに対して、この製品はパーソナライズド広告を使用してサポートしていることです。

しかし、その煩わしさにもかかわらず、AVGの無料Androidアプリについて気に入ることがたくさんある。それは、アプリやファイルをスキャンすることができます, クリーンアップジャンクファイル, と現在のWi-Fiネットワークをスキャンします。それはまた、悪意のあるウェブサイトの保護を持って, バックグラウンドアプリを殺す "RAM booster", Wi-Fiスピードテスト, とリモートであなたの電話を追跡して確保するための盗難防止機能。最後の機能は、AVGのアカウントが必要です。

AVGを所有しているAvastがお好みなら、そのアプリも良いですよ。AVGと同じ保護スコアで、無料なのにほとんど同じ機能セットでした。


4. Sophos Intercept for Mobile


ソフォスは、AV-Testのスコアのみを選択したため、A-V ComparativesではAndroidの解析は行っていません。AV-Testは、2022年3月にリアルタイムマルウェア攻撃について99.8パーセントを獲得しています。一方、広範囲に及ぶマルウェアのテストでは、ソフォスは100パーセントを獲得しています。

主な機能としては、アプリやファイルのマルウェアスキャン、悪意のあるWebページのブロック、悪意のあるリンクから保護するリンクチェッカー、Wi-Fiネットワークスキャン、プライバシーアドバイザなど、ソフォスは多くの機能を提供しています。

リアルタイム反応の他のアプリより若干スコアが低いですが、それでも非常に良いサービスですし、素敵な機能がたくさんあります。さらに、広告もありません。


Android用無料アンチウイルスの選び方

すでに簡単に触れましたが、アンチウイルスは必ず有名なセキュリティ会社から入手すべきです。また、サードパーティのテスト会社が、さまざまなAndroidアプリについてどのようなレポートを出しているかを確認するのもよい方法です。

その後、その会社がアプリに広告を使用しているかどうか、そして自分がそれに問題ないかどうかを確認する必要があります。最後に、あなたが探している機能を備えているかどうかを確認します。無料アプリに期待できる機能は、ここで取り上げたようなものがほとんどです。例えば、アクティブなリアルタイムスキャンを探している場合、それはほとんどのサービスにおいて有料オプションとなります。


テスト方法

これらのウイルス対策アプリについては、各候補のアプリをインストールして実行するとともに、第三者のテスト会社に相談し、アプリがどのような保護スコアを獲得したかを確認しました。また、主要なウイルス対策ベンダーが提供する「無料」アプリのうち、限定的な無料トライアルに過ぎないものは除外しました。無料サービスは、サブスクリプションによってより良いバージョンのアプリにアップグレードできるオプションがある、長期的なサービスであるべきです。

Androidユーザーのためのアンチウイルスの選択肢はたくさんありますが、これらの4つはあなたのリストの一番上にあるはずです。


出典:The best free antivirus for Android


2022/05/30

セミナー案内メール誤送信で関係者のメアド流出 - 積水ホームテクノ


積水ホームテクノは、メールの送信ミスがあり、関係者のメールアドレスが流出したことを明らかにした。

同社によれば、2022年5月13日9時半ごろ、中四国ウェルス営業所が関係者へ送信したウェブセミナーの案内メールにおいて誤送信が発生したもの。

送信先を誤って宛先に設定したため、メールアドレス1744件が受信者間で閲覧できる状態となった。

送信後、受信者から指摘があり問題が判明した。同社では対象となる関係者に謝罪し、誤送信したメールの削除を依頼している。


出典:セミナー案内メール誤送信で関係者のメアド流出 - 積水ホームテクノ

2022年の海外計画(初の海外発券敢行)

 

2022年は夏のボーナスで人生初のJAL海外発券にチャレンジしようと思っていた。

ところが、燃料サーチャージの金額がグングン上昇を続けており、2022年6月発券分から大幅に増額することが判明し、5月に前倒して発券することにした。

ちなみに2022年6月からの燃料サーチャージは以下の通り。


大幅っていうか、倍以上じゃん。。。

まずどこから発券するかだが、この時点で盛り上がっているのはバンコク発券とベトナム発券。

個人的には南朝鮮(SEL)発券も・・・と思ったのだが、あの国はゼロコロナ政策で観光目的の入国については現時点目途が立っていない(目途はたっていないが発券はできるっぽい)

という訳でバンコク発券に決定。

次に行先だが、ヨーロッパについては、ロシアとかいう独裁国家の元首プーチンがウクライナと戦争を始めたせいで難しそう(検索しても出てこない)

となると行先はアメリカとなるわけだが、8月は既にチケットが高額になっており、9月は特典航空券でモロッコ行きを予定しており、年末になってしまう。

一瞬シアトル行ってボーイングフィールドもいいかと思ったのだが、年末営業しているかどうかが分からない。

その他のアメリカの都市に行ってもやることがぱっと思い浮かばない。

という訳で無理してまでアメリカに行くことはせずに、国内のどこか行くことを考えてgoogleフライトを見てみる。。。


お!東京と福岡がほぼ同じ金額になっとるではないか!

ということは東京単純往復と同じ金額で福岡往復がオマケでついてくるということではないか!

ということでバンコク発博多ラーメン行きに決定。

いちお、下記のスケジュールで人生初の海外発券(②~⑤)が完了。

①2022年11月某日:HND->BKK@JL31 特典航空券(17,500マイル)

②2022年11月某日:BKK->HND@JL34

③2023年1月某日:HND->FUK@JL321

④2023年1月某日:FUK->HND@JL312

⑤2023年2月某日:HND->BKK@JL31

⑤から先のチケットは冬のボーナスでまた海外発券をする。

ただ、今回の海外発券なんだけどブッキングクラスがQで、変更&返金不可。

予定通り行けるのか、ちょいと不安

予定通り行くと今年は国内線・国際線合わせて15回くらい搭乗する感じ。

2022/05/29

あなたの生活からGoogleを取り除く方法 / How to remove Google from your life


 昔は、会社に悪態をつくのは簡単だった。失礼な接客、不運な食中毒、一国の軍隊に命じてストライキを無残に鎮圧した民間企業の関与が疑われる場合、労働者の権利を守るために立ち上がるなど、個人の不買運動のほぼすべての側面が、その企業の製品の購入を拒否することで満たされたのである。

しかし、今日、特にインターネット複合企業との関係を断ち切ろうとする場合、そのような動きははるかに困難になる可能性があります。Facebookに疲れた?Facebookの運営企業から手を引くのであれば、同じ企業が運営するInstagramとWhatsAppからも退会が必要です。

Googleはどうでしょうか?

Android OS、スマホのGoogle Pixel、Nestサーモスタット、FitBitデバイスなどのハードウェアを所有・生産し、Google Chrome、Gメール、Googleカレンダー、Googleハングアウト、YouTube、Wazeを運営するなど、オンライン巨大企業は検索エンジン以上の存在になっています。

Googleに別れを告げることは、Androidスマホの購入を断るというほど簡単なことではありません。それは、あなたの生活のいくつかの側面を変える可能性があることを意味し、あなたの周りの人々に影響を与えるものも含まれます。

ありがたいことに、この困難な作業は、サイバーセキュリティの伝道師であるCarey Parker氏がすでに引き受けており、彼は最近、MalwarebytesのLock and Codeポッドキャストで講演を行いました。パーカーによれば、Googleの製品が「嫌いだから」Googleを削除したかったわけではなく、むしろ彼はファンなのだという。むしろ、彼はファンです。その代わりに、彼は自分と自分のデータ・プライバシーを尊重してくれる他の企業をサポートするようになりたかったのです。

「Googleは私たちのことをたくさん知っています。」パーカーは、Googleが収益の圧倒的多数をオンライン広告から得ていることを説明し、それはユーザーから膨大なデータを収集しているからこそできることであると述べました。「私にとっては、Googleが私について知っている情報をできる限り制限すること、Googleが私についてすでに知っている情報をできる限り削除すること、そして、プライバシーを第一に考える企業をサポートすることでした」。

同じようにGoogleを使わない生活に踏み出したいと思っている人のために、パーカーさんが教えてくれたヒントを紹介します。

独立の第一歩—Search, Chrome, and Android

Googleの製品を一度にすべて削除すると、サービスや製品が多すぎて追跡できないため、大惨事になりかねません。その代わりに、パーカーは自分に直接影響を与える製品だけを取り除くことから、実験の第一歩を踏み出しました。

「私は一番簡単なもの、少なくとも一番簡単だと思うものから始めました」とパーカーは言います。「他のことにあまり影響を与えないようなことです。自分以外の誰にも影響を与えないようなものです。」

Parkerにとって、それはGoogle検索とWebブラウザーのGoogle Chromeのプロバイダーを取り除き、新しいプロバイダーを見つけることを意味した。Android端末からの移行については、長年iPhoneを使用してきたParkerには簡単なことでした。

Google検索に代わるものを探すにあたり、Parker氏は2つの提案をした。DuckDuckGoとStartpageという検索エンジンで、どちらも収益目的のユーザーデータ追跡を一切拒否していると主張している。例えば、靴を探している人にナイキやアディダスの広告を表示するように、検索結果に基づいて純粋に文脈的な広告を提供し、ユーザーの特定の検索に関するデータを記録または保存しないという。実際、スタートページはグーグルと連携して検索結果を配信しているが、ユーザーのIPアドレスや端末情報、閲覧履歴の収集は拒否しているとパーカー氏は言う。

"お金を稼ぐために人を追跡する必要はない "とパーカーは言った。"Startpageはその証拠だ"。

プライバシーに配慮した別のブラウザーを探していたところ、パーカー氏は個人的に気に入っているMozillaのFirefoxや、新進気鋭のブラウザーであるBraveを提案したのだそうです。

GmailとGCal

インターネットの検索や閲覧にさまざまな解決策を見出したパーカー氏は、その後、周囲に影響を与えるグーグルのサービスの代替案を探すことに注力したという。

「Google検索とGoogle Chromeが最初の層で、次に難しいのは、他の人を巻き込むので、GoogleメールとGoogleカレンダー、GmailとGcalです」パーカーは、「家族とカレンダーを共有しているので、私がしようとしているように、彼らがGoogleをやめるとは思わないので、そのために、私は少しの間そこにはまりそうですが、私はそれを最小限に抑えることができます」

Googleの機能のほとんどを満たし、カレンダー機能との統合も可能なメールプロバイダーと、同じプログラムのユーザー間で送受信するメッセージをエンドツーエンドで暗号化できるプロバイダーを探しました。

最初の提案は、Fastmailである。パーカーによれば、ファストメールは営利目的の電子メールプロバイダで、ユーザーは月額の利用料を支払って利用する。このメール・プロバイダーは、主要製品と直接連動するカレンダー・ソリューションも持っている。さらに良いのは、Fastmailがユーザーのデータを尊重することだとパーカーは言う。

「Fastmailは、データをマイニングしないと明言しており、デフォルトでエンドツーエンド暗号化されていなくても、プライバシーを重視しています。」とParkerは述べています。「このサービスは本当に素晴らしいもので、電子メール、カレンダー、連絡先など、一通りの機能が揃っています。私は、すべての仕事といくつかの個人的なことにそれを使用しています」

プロトンメールでは、ユーザー間で送信されるすべてのメールをエンドツーエンドで暗号化することができます。プロトンメールでは、ユーザー間で送信されるすべての電子メールをエンド・ツー・エンドで暗号化し、万が一、途中で第三者に傍受されたとしても、自分と相手以外にその電子メールを読むことはできないようになっています。

Google DriveとGoogle Docs

Googleの視界からさらに多くのデータを取り出したいユーザーにとって、日々のワークフローから外すべき最終的な製品がいくつかあるだけです。それは、クラウドストレージサービスの「Google Drive」と、クラウドベースのワープロ「Google Docs」だ。

パーカーは、それぞれの製品で頭痛や障害にぶつかりながらも、自分のプライバシーを尊重し、同様の機能セットを提供する代替品を見つけることに成功したのです。

パーカー氏は、適切なクラウドストレージプラットフォームを見つけるにあたり、BoxやDropboxなどの主要プレイヤーの中には、企業がユーザーのファイルをスキャンして情報を取得することを防ぐ、ユーザーのデータに対する意味のある暗号化を提供していないことを認識しました。

パーカー氏は、ユーザーが何を一番望んでいるかによって、いくつかの提案をした。もしユーザーがプライベートなファイルを安全に誰かに送りたいのであれば、オンラインサービスのスイス・トランスファーやメガを薦めた。これらのサービスでは、共有可能なリンクが有効な期間や、ファイルにアクセスする際にパスワードが必要かどうかなど、ファイルの共有方法に関する特定のパラメータをユーザーが設定することが可能だ。

純粋なストレージの選択肢として、Parker氏はクライアント側の暗号化機能を持つSync.comというサービスを薦めた。最近のクラウドストレージプロバイダーの多くは、データの安全性を約束してくれるが、サーバーに保存するデータの復号化キーも彼らが持っているとパーカーは説明する。

「マシンはこれらのドライブに保存されたファイルを、宣伝目的か、あるいは多くの場合、著作権違反のために審査します」とパーカー氏は言う。「映画や音楽を他の人と取引していないかどうかを確認するのだ。そして、そのことにフラグを立て、警告を発するのです」

しかし、Sync.comがユーザーに提供している暗号は、同社が回避できないものであることを、Parker氏は徹底的に調査した結果、突き止めた。

「Sync.comはエンドツーエンドで暗号化されています。裏側でSync.comがAmazon Web Servicesを使っていても、Amazonは私のファイルを見ることができません。」

Google ドキュメントに代わるものを探す際、Parker 氏は非常に苦労したそうです。Parker氏はまず、「安全で、非公開で、エンドツーエンドで暗号化されており、チェックボックスにチェックを入れるだけでよい」というソリューションを採用しようとしましたが、このソリューションのインターフェースと応答時間の遅さに失望してしまいました。次に、OnlyOfficeという選択肢もあったが、Parker氏が言うように、技術的なハードルが高く、クラウドサーバーを借りなければならない可能性もあり、「気の弱い人には向かない」ものであった。

Skiffは使いやすいインターフェースを備えているが、Google Docsの代替ツールであり、Google SpreadsheetsやGoogle Slidesといった他の関連ツールの代替にはならない、とParker氏は言う。Skiffのツールは、Skiff.orgで見ることができる。

Step by step

Googleをあなたの人生から排除することは、長く複雑なプロセスになる可能性がありますが、最初のうちは難しくありません。もし、自分がやっていることに疑問を感じたら、なぜこのプロセスを始めようと思ったのかを考えてみてください。あなたがパーカーのような人なら、あなたのデータを非公開にし、あなたとあなたの閲覧習慣からお金を稼ぐ会社の手に渡らないようにしようという気持ちになるはずです。

Googleは上場企業であり、株主のために利益を最大化するという受託者責任を負っています。米国でプライバシーに関する規制がなければ、金銭的なインセンティブは無視できないほど大きい。それは、テーブルの上にあるお金です。

パーカーは、グーグルが、ユーザーが自分のプライバシーではなく自分の資金で支払うことができるバージョンの製品を作るまでは(これが実現するという証拠はない)、ユーザーは「どんな時でも、グーグル製品は残念ながらあなたのデータを収益化でき、おそらく何らかの形で収益化するだろう」と考えるべきだと強調した。

諺にもあるように、パーカーは、"製品が無料であるなら、あなたはおそらく製品です。"と述べました。

出典:How to remove Google from your life

2022/05/28

オンラインバンキング専用ブラウザ!? / A special browser designed for online banking. Good idea, or not so much?


ドイツのSparkasse銀行が、特にオンラインバンキングを行うために設計されたブラウザを発表しました。S-Protectと呼ばれるこのブラウザは、macOSとWindowsのユーザー向けに提供されています。

銀行業務用のブラウザを別に用意することで、セキュリティの層を厚くすることができるため、このアイデアは興味深いものです。

ブラウザの分離

残念ながら、多くの人が最良のブラウザと感じるものと、プライバシーとセキュリティに関しての最良ブラウザには、低い相関関係があります。最も人気のあるブラウザの市場シェアを見ると、あまり競争せずに王座を奪っているブラウザが1つだけあります。GoogleのChromeです。しかし、ご存知のように、もっと安全でプライバシーを重視したブラウザがあります。

銀行業務だけに特化したブラウザを使うのはどうなのでしょうか?何が違うのでしょうか?

S-Protect

Sparkasse’sのウェブサイト(ドイツ語)によると、S-Protectはいわゆる「ハード化されたバンキング」ブラウザーだそうです。オンラインバンキングのための追加保護スクリーンと考えるのが最も適切でしょう。S-Protectは、お客様のコンピューターに潜むトロイの木馬やその他の悪質なプログラムが、オンラインバンキングを覗き見したり操作したりするのを防ぎます。S-Protectの設定と使用は簡単で、すべての金融取引において大きなセキュリティ上の優位性をもたらします。

ブラウザは、"protect browser "を開発しているCoronic GmbHによって構築されているようです。

メリット

S-プロテクトを導入するメリットは何でしょうか。

  • データ盗難、フィッシング攻撃、偽ウェブサイトからの追加保護
  • インストールや設定が不要な簡単操作
  • 自動ログイン機能
  • 他のセキュリティ対策に支障をきたさない

ブラウザは「know your friends」の原則に基づき、訪問できるサイトを銀行とそのパートナーのものに限定しているため、操作されたサイトや偽の銀行サイトなど、第三者のウェブサイトへのアクセスは自動的にブロックされます。

フィッシング対策

さらに、ブラウザはページのセキュリティ証明書をチェックし、その信頼性を確認する。しかし、ユーザーがメールクライアントでフィッシングのリンクをクリックした場合、そのURLはデフォルトのブラウザで開かれることになる。このとき、デフォルトのブラウザがS-Protectでなければ、フィッシングサイトが開かれてしまうのです。これはS-Protectのせいではないが、ユーザーは正しいブラウザを使うように気をつけなければならない。

ウイルス感染した端末でも安全?

Sparkasseは、このブラウザを、ウイルス感染したシステム上でも安全にオンラインバンキングできると主張していますが、このような行為を行わないよう強くお勧めします。また、このブラウザがどのようにハード化されているかについての情報は見つかりませんでした。例えば、S-Protectはブラウザのスクリーンショットをブロックすると主張していますが、キーロガーがあなたの行動を傍受することを阻止できるのでしょうか?

免責事項

このアイデアはメリットに値するとはいえ、奇跡が起こることを期待せず、注意深く見守るべきだと思います。多くのブラウザは、すでにサンドボックス機能を備えています。サンドボックス化とは、アプリケーション、ウェブブラウザ、コードの一部を、外部のセキュリティ脅威に対して安全な環境内に隔離することです。これにより、マルウェアがブラウザからシステムやネットワークに侵入するのを防ぐことができます。しかし、ブラウザがどんなに強化されていても、システム上のマルウェアがブラウザに影響を与えるのを阻止するという、逆の方法については、誰も良いレベルを実証していないのです。

出典:A special browser designed for online banking. Good idea, or not so much?:

2022/05/27

弊社を装った不審メールに関するお詫びとお知らせ 2022 年 5 月 25 日 ジェイドルフ製薬株式会社

 

平素は格別のご高配を賜り、厚く御礼申し上げます。 

この度、弊社の一部のパソコンがコンピューターウイルス「Emotet(エモテット)」に感 染し、2022 年 5 月 17 日より弊社社員を装った第三者からの不審なメール(なりすましメ ール)が複数の方へ発信されている事実を確認いたしました。 

当該メールを受信された皆様には多大なるご迷惑とご心配をお掛けしておりますことを深 くお詫び申し上げます。

 弊社からのメールは「*****@j-dolph.co.jp」を利用しております。当該不審メールでは、 送信者には弊社社員の氏名が表示されておりますが、@マーク以下が上記以外のアドレス から送信されていることを確認しております。

引き続き弊社社員からのメールであっても、メールアドレスも含めて確認いただき、「内 容に心当たりがない」メールを受信された場合、ウイルス感染、フィッシングサイトへの誘 導リスクが高いため、「メールの開封」、「添付ファイルの開封」、或いは「メール本文のUR Lのクリック」等を行うことなく削除していただきますようよろしくお願い致します。 

弊社では情報セキュリティ対策の強化に取り組んで参りましたが、今回の事象を受け被 害拡大の防止に努めるとともに、より一層の情報セキュリティ対策の強化に取り組んでま いります。 

何卒ご理解、ご協力を賜りますようよろしくお願い申し上げます。

プレスリリースアーカイブ

元弊社従業員による個人情報の不正使用について 2022 年 5 月 26 日 株式会社東急コミュニティー


このたび、弊社が東京都港区より指定管理を受けております港区民向け住宅において、元弊社従業員1名が、弊社退職時(2021 年9 月30 日付)にご入居者様の個人情報を持ち出し、退職後ご入居者様に挨拶等を行った事案が発生いたしました。本事案に伴いご入居者様14 名の氏名・住所・電話番号の個人情報が流出いたしました。

ご入居者様及び関係者の皆様に多大なるご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。

なお、該当するご入居者様に対しては、既に個別にご連絡およびご説明をさせていただきました。弊社はお客様の個人情報を取り扱う指定管理者として、コンプライアンスを重視し、社員教育にも努めてまいりました。また、退職にあたり個人情報の重要性について説明した上で、退職後の機密保持に関する誓約書を提出させておりましたが、この度の元従業員の行動は、こうした弊社の基本方針にも反するものであります。

改めまして弊社は今回の事態を重く受け止め、引き続きこれまで以上に個人情報の取り扱いについての社内教育並びに管理体制の強化に努め、再発防止に取り組んで参る所存でございます。


1. 流出した個人情報の件数 14 件

2.個人情報の流出時期、内容
 流出時期:2021 年12 月20 日
 内 容:氏名・住所・電話番号

3.経緯

2021 年 12 月 20 日、区民向け住宅のご入居者様より、元弊社従業員から連絡があった旨の匿名通報が港区に入る。弊社にて元従業員に確認した結果、弊社退職の際、一部区民向け住宅ご入居者様の個人情報を持ち帰り連絡を行ったことを確認。

4.発覚後の弊社対応
  • 2021 年12 月20 日、東京都港区への報告を実施
  • 2021 年12 月21 日~22 日、個人情報が流出した入居者14 名への電話による謝罪を実施
  • 2021 年12 月28 日、東京都港区に帯同し警察へ相談
  • 2022 年5 月26 日、国土交通省、一般社団法人 日本情報経済社会推進協議会(プライバシーマーク認証機関)へ報告を実施
5.再発防止策
  •  個人情報の取扱いに関する臨時教育の実施
  •  社内ルールの徹底に向けた定期的な社員教育の再実施
  •  退職予定者に対する個人情報取扱いに関する説明の更なる徹底
  •  私有物管理を含めた物理的安全管理措置の強化

生活保護システムを操作し過大支給となった保護費の清算情報を消除、減給2か月の懲戒処分に


大阪府富田林市は5月20日、職員の懲戒処分について発表した。

これは令和2(2020)年度に、生活支援課に所属していた職員が担当する生活保護受給世帯に対し、生活保護費の扶助額算定に必要な就労収入申告書の提出があった際に正当な処理を行わず、さらにシステムを作為的に操作し、過大支給となった保護費の清算情報を消除する不適切な処理を行ったことに対し処分を行ったというもの。

・処分概要
 所属:行政管理課(令和2(2020)年度は生活支援課に所属)
 階級:係長・男性
 年齢:38歳
 処分:減給(10分の1) 2か月

同市によると、過大支給額は合計246,882円となり、生活保護法に基づき受給世帯へ返還を求めていくことを検討しているという。

同市では再発防止策として、生活保護システムにおける決裁処理の際に使用するID及びパスワードの管理を厳格化したとのこと。


出典:生活保護システムを操作し過大支給となった保護費の清算情報を消除、減給2か月の懲戒処分に

全市民分の個人情報漏えい 職員2人を懲戒免職―岩手・釜石


岩手県釜石市は26日、全市民分の住民基本台帳の個人情報などを漏えいさせたとして、いずれも40代の総務企画部女性係長と建設部男性主査を同日付で懲戒免職処分とした。市は2人を県警に刑事告訴した。

市によると、係長は2020年1月17日、住民基本台帳の個人情報の閲覧権限がある主査に依頼し、全市民に相当する約3万人分の住所や氏名、生年月日などが記載されたデータをメールで自身の業務用パソコンに送付させるなどした。主査はこれ以外にも台帳データを私物のUSBメモリーに保存し、自宅のパソコンで使用していた。現時点で漏えいによる具体的な被害は確認されていない。

市の調べに対し、女性係長は「ただ個人情報を知りたかった」などと説明。主査はデータを持ち出した理由を明らかにしていないという。

セキュリテインシデントの原因別分類 Ver.20220511


セキュリティインシデントは世の中で日々起きており、それに伴って攻撃名称もいろいろ増えているが、個人的にセキュリティインシデントの原因はシステムの脆弱性か、人の脆弱性の二つしかないと思っている。

ただその二つだとざっくり過ぎるので、いろいろ見ていたら、JNSAに参考になりそうなものがあった。

ただ、個人的に首をかしげるものもあったので、もう少しサマってみたものが下記である。

今後この分類をベースに世の中で発生するインシデントの分類分けを進めてみたい。

尚、セキュリティインシデントの大半は結果として情報漏洩が伴うものの、サイト改ざんやDDoS等、サービス妨害系はその他に分類することにしてみる。

  • 設定ミス
    WebやSaaS等の設定ミスにより外部から閲覧できる状態になっていて、機密情報が閲覧される。(システム構成ミス)

  • 誤操作
    宛先違いによって、電子メール・FAX・郵便の誤送信が発生。情報の公開・管理ルールが明確化されておらず、誤って開示。(業務担当者によるミス)

  • 脆弱性
    OS、アプリケーション等のバグ・セキュリティホールなどにより、Web等から機密情報が閲覧可能、又は漏洩

  • 不正アクセス
    ネットワークを経由して、アクセス制御を破って侵入され、機密情報が外部に漏洩。(ソーシャルエンジニアリングやパスワードリスト攻撃を想定)

  • 内部犯行
    社員、派遣社員、外部委託業者、出入り業者、元社員などが故意・悪意問わずに持ち出した情報が外部に漏洩

  • 目的外使用
    組織が意図的に個人情報等の機密情報を目的以外の用途で使用・公開

  • 紛失
    電車、飲食店など外部の場所にPC、情報媒体を紛失または置き忘れ。引っ越し後に個人情報が分からなくなった。個人情報の受け渡しが不十分で受け取ったはずの個人情報が紛失した。

  • 盗難
    車上荒らし、事務所荒らしなどにより、PC等の情報媒体とともに機密情報が盗難。

  • マルウエア感染
    マルウエア感染による情報漏洩

  • その他
    上記に分類されないものやDDoS、サイト改ざん等情報漏洩ではないインシデント


出典:情報セキュリティインシデントに関する調査報告書

業務メールを私用メアドに送信、入力ミスで第三者に - 延岡市


宮崎県延岡市は、職員が個人情報を含む業務データを別の職員へメール送信した際、関係ない第三者に送信するミスがあったことを明らかにした。

同市によれば、2022年5月10日17時過ぎに同市職員が、業務で用いる表計算ファイルを、新型コロナウイルス感染症の濃厚接触者となり、自宅待機する別の職員へメールで送信しようとしたところ、第三者のメールアドレスへ誤送信するミスが発生したもの。

同ファイルには、新型コロナワクチン接種の国補助事業の支払いに関するデータが記録されており、関連業務を行った個人や法人の名称、住所、支払金額など138件の情報が含まれる。ファイルにパスワードなどは設定されていなかった。

自宅待機していた職員は、5月10日に提出期限の書類が未提出であるとの連絡を受け、自宅のパソコンで提出書類を作成しようと、私的に利用するフリーメールのメールアドレスへデータ送信を別の職員に依頼。

依頼を受けた職員が応じてデータを送信したところ、メールアドレスの入力を誤り、関係ない第三者へ送信してしまったという。


出典:業務メールを私用メアドに送信、入力ミスで第三者に - 延岡市

2022/05/26

エンドポイントセキュリティとリモートワーク / Endpoint security and remote work


リモートワークは、あらゆる規模、あらゆる業界の企業にとって新たな現実となっています。 現在、従業員の大半は、物理的な会社の外で職務を遂行しており、サイバーセキュリティの状況は、ゼロトラストなどの用語の採用により進化しています。 この新しい状況に対応するため、組織は根本的な変化を遂げ、従業員がどこからでも、どんなデバイスでも使えるようになりましたが、その結果、データセキュリティが犠牲になることも少なくありません。従業員のスマートフォンやタブレット端末への依存度が高まるというパラダイムシフトが起こり、これがエンドポイントセキュリティの新たな中心的存在となっています。

モバイル機器への依存度が高いことは、リモートワークの環境でも一貫しています。 ハイブリッドワークの新しい現実を示す逸話は枚挙にいとまがありません。 例えば、従業員が個人のタブレットを使ってSaaSアプリで機密データにアクセスしたり、学校のお迎えの間に仕事のZoomコールに出たりしています。  これらの話に共通しているのは、目の前のタスクを完了するために利用可能なあらゆるデバイスを使用することを圧倒的に好むということです。したがって、電子メールの送信、スプレッドシートの編集、CRMの更新、プレゼンテーションの作成など、従来とは異なるエンドポイントが圧倒的に使用されていることから、悪意のある攻撃者がモバイルに軸足を移したことは極めて理にかなっています。 

4.32億人のアクティブモバイルインターネットユーザー

56.89% 世界の総オンライントラフィックに占めるモバイルインターネットトラフィックの割合

リモートワークの導入でモバイルデバイスの活用形態は急速に変化しましたが、モバイルデバイスをリスクベクターとして認識することは、ほとんどの顧客にとってより緩やかなものでした。実際、Gartner 社によると、現在モバイル脅威検出ソリューションを採用している顧客はわずか 30%にすぎません。 多くの企業は、UEMソリューションがセキュリティを提供してくれる、あるいはiOSデバイスはすでに十分安全であると思い込んでいるのです。最も衝撃的なのは、歴史的にモバイルに対する攻撃を見たことがないので、心配する必要はないというものです。 このような考え方からすると、ハッカーが主要な攻撃経路として、またユーザー認証情報を取得するための侵入口として、モバイルに焦点を合わせていることは、これまた不思議なことではありません。

  • 2021年第3四半期、全世界で16.1%の企業向けデバイスが1つ(または複数)のフィッシングまたは悪質なリンクに遭遇

  • 2021年第3四半期、全世界で51.2%のパーソナルデバイスが1つ(またはそれ以上)のフィッシングや悪質なリンクに遭遇

このような考え方から見えてくるのは、規模や業種に関係なく、多くの組織がモバイルデバイスは重大なリスクをもたらさない、したがってデータセキュリティやコンプライアンス戦略において考慮する必要はないと考えている、ある種の甘さです。


エンドポイントセキュリティは、機密データを保護するための絶対条件であり、ノートパソコン、デスクトップ、モバイルデバイスが含まれる

アンチマルウェアがインストールされていないノートパソコンを従業員に支給する企業は一つもありませんが、ほとんどのモバイルデバイスにはそのような保護が施されていません。 その主な理由は、組織がモバイル・デバイス管理をモバイル・エンドポイント・セキュリティと同じだと考えているためです。 デバイス管理ツールは、デバイスをロックしたりワイプしたりすることはできますが、脅威をプロアクティブに検知するために必要な機能の大部分は備えていません。モバイルフィッシング、悪意のあるネットワーク接続、Pegasusのような高度な監視ソフトウェアなどの脅威を可視化できなければ、デバイス管理は真のモバイルセキュリティに必要な機能を提供するには程遠いものとなってしまいます。

サイバーセキュリティのプロでさえ、モバイルにおけるサイバー攻撃の現実を見落とすことがあります。 最近のブログ「5 Endpoint Attacks Your Antivirus Won't Catch」では、ルートキットやランサムウェアがモバイルでも同様に発生するにもかかわらず、全体のストーリーは従来のエンドポイントへの影響に独占されていました。

 

従来のセキュリティツールは、本質的にモバイルデバイスを保護するものではない

モバイルOS(iOS/Android)と従来のエンドポイントOS(Mac、Windows、Linuxなど)の間には、アーキテクチャ上の違いが存在するため、その保護方法も大きく異なっています。 このような違いにより、モバイル向けに設計されていない従来のエンドポイントセキュリティツールでは、適切なレベルの保護を提供することができません。

これは、Carbon Black、SentinelOne、Crowdstrikeといった大手EPP/EDRベンダーについて語る際に、特に言えることです。 これらのベンダーの中核機能は従来のエンドポイント専用ですが、モバイルセキュリティの要素をソリューションに取り入れることがトレンドとなっています。 戦略的なパートナーシップも生まれており、顧客がベンダーの統合を検討していることから、モバイル・セキュリティと従来のエンドポイント・セキュリティのエコシステムは今後も統合されていくと予想されます。 

さらに、ユーザーがスマートフォンやタブレット端末を操作する際には、これらのデバイスに特有の方法が非常に多く存在することも挙げられます。例えば、メールゲートウェイソリューションでは、SMSやQRコード経由で配信されるフィッシング攻撃から保護することはできません。また、OSの脆弱性が指摘され、すぐにパッチを適用する必要があるデバイスを、管理・非管理を問わずすべて特定することができますか? また、あるエンジニアが喫茶店で悪意のあるWiFiネットワークに接続し、中間者攻撃の犠牲になっていませんか? これらは、モバイル端末の保護に特化したモバイルエンドポイントセキュリティツールによってのみ軽減できる脅威や脆弱性のほんの一例に過ぎないのです。

リモートワークが加速し、「常時接続」の生産性が求められるようになったことで、従業員が仕事を遂行するために使用するデバイスの好みが変化しています。  仕事に関するほぼすべてのアプリケーションがクラウド上に存在するという事実は、ビジネスの進め方を変えました。 モバイルへの移行はすでに始まっているのです。企業はこの事実を認識し、モバイル・デバイスを含むエンドポイント・セキュリティの姿勢を更新する時期が来ていると言えます。 

出典:Endpoint security and remote work

遺言信託契約者情報を委託先に誤送信 - JA神奈川県信連


神奈川県信用農業協同組合連合会は、遺言信託契約者情報を委託先に誤送信するミスがあったことを明らかにした。

同会によれば、2022年4月26日に頒布用資料の作成にあたり、委託先の印刷業者へ原案データをメールで送信したが、遺言信託契約者2866人分の情報も添付されていたもの。

氏名、JA名、店舗名、契約時年齢および契約日、契約時の財産概況、遺言の変更有無、相続発生状況などの情報が含まれる。

翌27日、メール送信者とは別の担当者の指摘により誤送信が判明。誤送信先の事業者に、誤送信したメールとデータの削除を依頼し、同日対応が完了した。誤送信先以外への流出はないとしている。


出典:遺言信託契約者情報を委託先に誤送信 - JA神奈川県信連

都の医療機器産業参入支援事業でメアドが流出 - システムの不具合で


東京都が実施する医療機器産業の参入支援事業において、関係者のメールアドレスが流出したことがわかった。

都によれば、2022年5月20日13時半ごろ、業務を委託する日本コンベンションサービスがイベントを案内するメールマガジンを送信した際、メールアドレス1615件が受信者間に流出したもの。

プログラムの改修に起因するシステムの不具合があり、宛先に複数のメールアドレスを設定した状態でメールが送信されたという。同日メールの受信者から連絡があり問題が判明した。

同社では、対象となる送付先に謝罪するメールを送り、誤送信したメールの削除を依頼。あわせて電話で謝罪を行っている。


出典:都の医療機器産業参入支援事業でメアドが流出 - システムの不具合で

2022/05/25

メタバースの分岐点 / Meta vs. Varjo and Nvidia: The Bifurcation of the Metaverse


先日、Varjo Reality Cloud がベータ版を終了し、正式リリースになったという発表がありました。現在、基本的に2つのメタバース陣営が存在します。消費者と収益に焦点を当て、Oculusヘッドセットが前提となるMetaの陣営と、パフォーマンスとビジネスが主な焦点であるVarjo-Nvidiaの陣営です。

Meta

メタはしばしば、創業者兼CEOであるマーク・ザッカーバーグの悪い決断と思われるものを良く見せることに主眼を置いているようです。ザッカーバーグと同社のメタバースへの取り組みがどのように展開されるかについて、内部で論争が起きていました。経営陣は高品質を重視し、ザッカーバーグは手頃な価格を重視したいと考えている--これは、彼の金持ちぶりを考えるとちょっと皮肉なことだ。

一般的に、技術市場、特にVRへの取り組みで繰り返し見られることですが、マイクロソフトがARソリューションであるHoloLensで取った方法がベストです。まず、製品を正しく作ることに集中し、余分なコストを払える企業に提供する。その後、コストを削減し、最終的には(HoloLensは明らかにまだこの段階に入っていません)、より広範で消費者志向の強い市場にも受け入れられる価格になるようコストを削減します。

メタのOculusヘッドセットには、多くのゲームには問題ないそこそこの価格のコンシューマー向けソリューションがありますが、メタバースをレンダリングするとなると、その結果の品質は漫画的で、バーチャルリアリティ分野や現在の視聴者のためのフォトリアリスティックな目標とは大きく外れているように見えます。要するに、Oculusヘッドセットは印象的ではありますが、没入感に必要なレベルのVRを作成する性能は持っておらず、没入感こそが人々がメタバースに期待しているものなのです。

Metaのアプローチで非常に厄介な点は、プラットフォーム上で動作する特権と引き換えに、メタバース実装を開発者に過大請求しているように見えることです。これは、開発者のクリティカルマスを獲得するためのものです。開発者は、自分たちのソリューションを販売するために、より低コストの別のプラットフォームを探す動機となることは間違いありません。

VarjoとNvidia

この2社は競争関係にあるわけではありません。Varjoは、市場で最高のプロフェッショナルグレードのVRヘッドセットと思われるものを作っています。Nvidiaのメタバースへの取り組みは、主にそのOmniverseツールセットを取り巻くもので、フォトリアリスティックな体験を積極的に進めている。

Varjo のクラウドと Nvidia のクラウド リソースは、開発者を巻き込んで利用し、十分なコンテンツを確保し、ユーザーと開発者の両方が必要に応じてそのコンテンツにアクセスできるようにします。Metaとは対照的に、NvidiaとVarjoは、それぞれのプラットフォームでの開発を望む人々から1円でも多く搾り取ろうとするよりも、この段階でのアクセスを提供することを重視しているように見える。

Metaとは対照的に、VarjoとNvidiaの両社は、一つの例外を除いて現実とほぼ区別がつかないアバターや画像を披露している。

メタのアニメ調の作品に比べれば、グラフィック的にははるかにリアルなのですが、Varjoの人型アバターには、まだ感情を表現する機能がありません。


Nvidiaは、エモーションが可能で、はるかにリアルなアバターを展示しています。


つまり、両社がより緊密に協力することで、互いのリアリズムの問題を解決し、超リアルなメタバースの未来に向けて、大きく舵を切ることが可能になります。

まとめ

コンセプト的には、メタとNvidia、Varjoの両社は、それぞれのメタバース・ソリューションの価格と機能に関して、異なるものを持っています。

Metaは、新興のMetaプラットフォームで開発者向けのサービスに過剰な価格をつける一方で、低い参入価格と物理的な利便性に終始しています。NvidiaとVarjoの両社は、フォトリアリスティックな体験という目標に焦点を合わせています。

静岡県 119事業者分の個人情報、メールで漏えい


静岡県は2022年5月23日、県産農林水産物を使った加工品を表彰する「ふじのくに新商品セレクション」の受賞経験者に電子メールを送信した際に、個人情報を漏えいしたと発表した。  県によると、経済産業部マーケティング課の職員が4月20日、過去に受賞した事業者の依頼に応じ、2010~21年度の受賞商品の一覧データを送信した。本来は非公表とすべき119事業者の担当者名とメールアドレスを同時に送った。

別の職員が5月19日、誤送信に気付き、該当する事業者に謝罪。送信先に依頼してデータを削除した。県は今後、送信時に複数の職員で確認を徹底するなど再発防止策を講じる。


出典:静岡県 119事業者分の個人情報、メールで漏えい|あなたの静岡新聞:



群馬県発注の工事請け負う約3000社の情報流出


群馬県は23日、県発注の工事などを請け負う事業者約3000社の情報が流出したと発表しました。

県によりますと流出したのは県発注の工事や測量を請け負うのに必要なシステムに登録した約3000社の社名や担当者のメールアドレスなどです。県は、工事などを発注した事業者との間で、打ち合わせや工事後の記録などの流出を電子納品システムで管理していて、その運用保守業務をNECに委託しています。

NECは、システムの使い方などを周知するため、事業者向けの研修を自主的に行っていますが、研修の案内メールを一斉に送った際、システムミスで、事業者の一覧がダウンロードできるプログラムが含まれていたということです。ダウンロードが行われた期間は、今年2月3日から4月20日までで、ダウンロードしたのは26人でした。

NECが今月19日にミスに気づき、20日に県に報告しました。県では、NECに対し、ダウンロードの操作停止や、ダウンロードを行った26人に、ファイルを削除するよう求めたほか、システムの登録者には、ユーザーIDの変更も依頼したということです。


「CHUOHネットショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ


このたび、弊社が運営する「CHUOHネットショップ(https://www.shop-chuoh.com)」(以下、「当該サイト」といいます。)におきまして、 システムの一部の脆弱性を突いた第三者による不正アクセスを受け、お客様のクレジットカード情報(2,930件 )が 流出している可能性があることが判明いたしました(以下、「本件」といいます。)。 お客様をはじめ、関係者の皆様に多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

お客様をはじめ関係者の皆様には、重ねてお詫びを申し上げますとともに、本件に関する事案概要と弊社の対応につきまして、下記の通りご報告いたします。






1.経緯

2022年3月9日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、 2022年3月9日当該サイトでのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。 2022年4月15日、調査機関による調査が完了し、2021年4月23日~2022年3月9日の期間に、当該サイトで購入されたお客様クレジットカード情報が漏えいし、 一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因
弊社が運営する当該サイトのシステムの一部の脆弱性を突いたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏えいの可能性があるお客様
2021年4月23日~2022年3月9日の期間中に、当該サイトにおいてクレジットカード決済をされた2,270名のお客様のうち、 当該サイトでのお手続きにおいてクレジットカード情報を新規にご入力、または追加・更新・変更されたお客様で、漏えいした可能性のある情報は、以下の通りです。

  • カード名義人名
  • クレジットカード番号
  • 有効期限
  • セキュリティコード

上記に該当する2,270名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますが、クレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度確認をお願いいたします。

万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表の遅れた経緯について

2022年3月9日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、 不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、 発表は調査会社の調査結果、及びカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間いただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策、及び監視体制の強化を行い、再発防止を図ってまいります。

改修後の「当該サイト」の再開につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年4月18日に報告済みであり、また、所轄警察署にも2022年4月15日に被害相談しており、今後捜査にも全面的に協力してまいります。

マルウェア感染が原因と思われる本学メールアドレスを悪用したメール送信のお詫びについて 2022年5月24日 埼玉大学


このたび、本学教職員のパソコン1 台がマルウェア「Emotet」に感染し、当該パソコンに設定していたメールアカウント情報が漏えいしたことが原因と考えられる大量のメール送信が判明しました。
 
本学メールアドレス(~@gr.saitama-u.ac.jp)から届きました不審なメールにつきましては、添付ファイル並びにメール内に記載のweb ページ等を開かないようお願いいたします。

当該パソコンはすでにマルウェアの駆除を実施し、メールの不正送信を停止しております。

不審メールを受け取った皆様には、多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。

本学としては、この事態を重く受け止め、全構成員に対して改めてマルウェアに関する注意喚起を行い、再発防止の処置を講じていく所存です。

コンピュータウィルス(Emotet)の感染について 2022年5月24日 ときわ会グループ


この度、当グループの一部のパソコンがコンピュータウィルス(Emotet)に感染し、当グループ職員を装った第三者からの不審なメールが複数の方へ発信されている事実を確認致しました。
関係者の皆様、メールを受信された皆様にご迷惑をおかけしておりますことを深くお詫び申し上げます。

当グループでは[****@tokiwa.or.jp][****@shiko-gakuen.ed.jp][****@onahama-tokiwaen.com][****@sigmainc.jp][****@ichizan-kai.jp]のメールアドレスを使用しております。不審なメールにおいては、送信者には当グループ職員の氏名が表示されておりますが、上記と異なるメールアドレスから送信されていることを確認しております。このような不審メールに添付されているファイルを開いたりすると、コンピュータウィルスに感染して、パソコンに保存されている情報などを不正に取得されてしまう恐れがありますので、メールごと削除していただきますようお願い申し上げます。

今回の事態を受けまして、被害拡大防止に努めますとともに、より一層の情報セキュリティ強化に取り組んで参ります。関係者の皆様にはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

弊社を装った不審メールに関するお詫びとお知らせ|PIARY(ピアリー)


この度、弊社従業員の一部のパソコンがコンピュータウイルス「Emotet(エモテット)」に感染し、弊社従業員を装った不審なメールが複数の方へ送信されていることを確認いたしました。
感染したパソコンから、弊社従業員を装った内容でエクセルやワードを添付したメールが送信されたものと認識しております。 お客様ならびに関係者の方々には多大なるご迷惑とご心配をお掛けしましたことを、深くお詫び申し上げます。

なりすましメールの見分け方として
・送信者名がPIARYかつ個人名である
・送信元メールアドレスが@piary.jpドメインではない
が挙げられます。

上記に該当するなりすましメールの場合、添付されているファイルを開いたり、URLをクリックされたりしますと、 コンピューターウイルスへの感染や不正アクセス攻撃を受ける恐れがございますため、 上記の開封行為はせず必ずメールごと削除していただきますよう、お願い申し上げます。

弊社では個人情報保護およびコンピューターウイルス対策に取り組み、日々な不審メールのブロックなどを進めてまいりましたが、 今回の事態を受け、被害拡大の防止に努めるとともにより一層の情報セキュリティ対策の強化に取り組んでまいります。
何卒、ご理解とご協力を賜りますようお願い申し上げます。

休暇村を装った不審メールに関するお詫び 2022年5月23日 一般財団法人 休暇村協会


お客様各位

平素は格別のご高配を賜り、厚く御礼申し上げます。

この度、5月17日から休暇村富士と休暇村大久野島、休暇村帝釈峡において、一部のお客様へ当該休暇村を装った不審なメールが届く、マルウェア「Emotet(エモテット)」によるウイルス感染症状と類似した事象が発生しており、当該休暇村のコンピューターを即座にネットワークから遮断し調査を行っていたところですが、5月20日に一般社団法人JPCERTコーディネーションセンターより提供された最新のチェック機能(Emocheck Ver2.3)により、「Emotet(エモテット)」への感染が確認されました。

感染により、当該休暇村と電子メールでやり取りをさせていただいたことがあるお客様ならびに関係者様の電子メールが漏えいした可能性があります。
お客様ならびに関係者の皆様に多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。
 
不審メールの特徴として、送信者の氏名表示は休暇村名ですが、送信者のメールアドレスが「*****@qkamura.or.jp」とは別のドメインのメールアドレスであることが挙げられます。
また、不審メールには、パスワード付きZIP形式などのファイルが添付されているケースや、メール本文にURLが記載されているケースが多く、疑わしいメールが届きました際は、添付ファイルの開封や、本文中のURLをクリックせず、メールごと削除していただきますようお願い申し上げます。

休暇村協会では、コンピュータウイルス対策に取り組み、不審メールのブロックなどを進めてまいりましたが、今回の事象を受け、個人情報保護委員会への報告を行い、被害拡大の防止に努めるとともに、より一層の情報セキュリティ対策の強化に取り組んでまいります。

何卒、ご理解とご協力を賜りますようお願い申し上げます。

「宗家源吉兆庵オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年5月24日 株式会社 宗家 源吉兆庵


このたび、弊社が運営する「宗家源吉兆庵オンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(14,127件)が漏洩した可能性があることが判明いたしました。
日頃より弊社商品をご愛顧いただいておりますお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、クレジットカード情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、全力で再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様にはお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。


1.経緯
2022年3月7日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、不正アクセスの可能性が疑われたため、同日、外部からのアクセスを遮断すると同時に、弊社が運営する「宗家源吉兆庵オンラインショップ」でのカード決済を停止いたしました。
2022年3月14日、第三者調査機関による調査を開始いたしました。
2022年3月27日、調査機関による調査が完了し、2021年2月4日~2022年1月31日の期間に「宗家源吉兆庵オンラインショップ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。

なお、弊社では2022年2月1日より、「宗家源吉兆庵オンラインショップ」を環境の異なる新システムに切り替えております。今回のお客様クレジットカード情報の漏洩は切り替え前の旧システムにおいて使用されたクレジットカードにて確認されたものであり、新システムにおいて使用されたクレジットカード情報の漏洩は確認されておりません。


2.個人情報漏洩状況
(1)原因
弊社が運営する「宗家源吉兆庵オンラインショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)クレジットカード情報漏洩の可能性があるお客様
2021年2月4日~2022年1月31日の期間中に「宗家源吉兆庵オンラインショップ」においてクレジットカード決済をされたお客様14,127名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

期間中のご購入であっても2021年2月3日以前に登録済みのクレジットカードにて決済されたカード情報の流出は確認されておりません。

上記に該当する14,127名のお客様については、別途、電子メールにて個別にご連絡申し上げます。
なお、第三者調査機関による調査の結果、お客様の個人情報が格納されたフォルダへのアクセスが可能な状態にありましたが、現時点ではクレジットカード情報以外の個人情報の流出は確認されておりません。


3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。


4.公表が遅れた経緯について
2022年3月7日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招きかねないことより、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。


5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「宗家源吉兆庵オンラインショップ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年3月29日に報告済みであり、また、所轄警察署にも2022年4月6日被害報告を行っており、今後必要な捜査に全面的に協力してまいります。

2022/05/24

[イベント] RSA Conference 2022(2022/6/6-9)

 

RSAカンファレンスは、サイバーセキュリティの世界が一堂に会する場です。4日間にわたり、洞察力を高め、会話に加わり、組織とキャリアに大きな影響を与える可能性のあるソリューションを体験できます。この業界では多くの変化が起きていますが、私たちはそのすべてに先んじることができるよう、お手伝いします。また、ライブで参加できない方のために、デジタルパスもご用意しています。

RSAC 2022に参加することで、世界を脅威から守るための方法を変えるような決断を下すためのアイデアや知識を得ることができます。

対局サービス停止に関するお詫びとご報告 2022年5月22日 株式会社パンダネット


日頃はパンダネットをご利用いただきまして、誠にありがとうございます。
5月20日(金)午後から発生しておりました対局サービス停止に伴う、状況のご報告をさせていただきます。

5月20日(金)午後2時40分頃、対局が中断する等の障害が発生し原因を調べたところ、不正アクセスの痕跡を発見いたしました。弊社では、対局サービスに関わるお客様情報(メールアドレス・対局IDとパスワード)の流出などあらゆる可能性を想定して、速やかに対局サービス停止を行ない、不正アクセスを受けた対局サービスの状況・原因等の調査、復旧の検討、セキュリティの強化対策を開始いたしました。

対局サービスに関わるログ等を精査したところ、お客様情報の流出は確認されませんでした。安全の確認ができたため、サービス再開の準備を進め、5月22日(日)午前2時頃に、対局・観戦のサービスを再開させていただきました。日頃、弊社サービスを楽しんでいただいている皆様には、ご迷惑、ご心配をおかけいたしましたこと、深くお詫び申し上げます。

些少ながら、この度のお詫びとしてパンダポイント300ptを進呈させていただきます(対象:トクトクコース、対局コース、学習コースの会員様)。時期につきましては、5月分のパンダポイント付与の際を予定しております。

なお、緊急対応を行った関係で、一部サービスで不具合が発生する可能性がございますが、随時対応してまいります。

何かご不安な点がございましたら、下記の問い合わせ窓口までご連絡ください。

これまでのサービスに加え、皆様にさらに楽しんでいただけるように、新しいコンテンツを提供してまいりますので、今後ともパンダネットをご愛顧のほど、何卒よろしくお願い致します。

「CoSTORY」個人情報漏えいに関するお詫びとご報告 2022年5月20日 メディアジーン


このたび弊社が運営する「CoSTORY」におきまして、特定の方法によりアクセスすることで、一部個人情報が閲覧可能な状態となっていたことを確認致しました。現在、当件について不正利用の事実は確認出来ておりません。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

本件につきまして、以下の通りご報告致します。

 

発生内容

2022年4月18日午後2時30分~ 5月18日午前1時30分にかけて、特定の方法によりアクセスすることで、一部個人情報が閲覧可能な状態となっていたことを確認致しました。

当件について、不正利用の事実は確認出来ておりません。

 

閲覧出来る状態にあった情報

・メールアドレス 231件
・住所 78件
・お届け先名 78件

今回閲覧可能であった情報に、サイトにログインするためのパスワードやクレジットカード情報は含まれておりません。

※クレジットカード情報はセキュリティの観点から決済を外部に委託しているため、弊社管理のサーバでは保管しておりません

 

お客様対応について

該当のお客様には、5月20日にお詫びと経緯のご説明を順次個別にメールでご案内させていただいております。件名が「個人情報漏えいに関するお詫びとご報告」のメールを受信されたお客様は、本件の対象となります。

 

対策と再発防止について

本件発覚後、速やかに設定の変更対応を致しました。設定変更により、特定の方法でアクセスを行ったとしても、個人情報は閲覧出来ない状態となっております。

・設定修正(5月18日対応済み)
・個人情報保護委員会への報告(5月20日対応済み)
・一般財団法人 日本情報経済社会推進協会(JIPDEC)※への報告(5月20日対応済み)
・セキュリティ専門の第三者機関による調査依頼を予定

※JIPDECは個人情報を適切に取り扱っている事業者に付与されるプライバシーマーク制度の運営元です

 

お客様へのお願い

当件について、不正利用の事実は確認出来ておりませんが、メールアドレスが悪用され、スパムメール、フィッシング詐欺メールなどが送付される可能性がございます。万が一不審と思われるメールを受け取った場合は、直ちに消去していただくようお願い致します。さらにメールに添付されているファイルの開封や、記載されているアドレスへのアクセス、偽サイトの入力フォームへの入力等につきましても、十分ご注意いただくようお願い致します。

この度はユーザーの皆様に多大なご迷惑とご心配をおかけしましたこと、重ねてお詫び申し上げます。

外国人技能実習監理団体のメアドが流出 - 東京都


東京都の技能検定試験に関する業務でメールの送信ミスがあり、外国人技能実習の監理団体に関するメールアドレスが流出した。

都によれば、2022年5月17日14時半過ぎ、業務を受託する東京都職業能力開発協会において技能検定試験に関する通知を外国人技能実習の監理団体担当者592人にメール送信した際、誤送信が発生したもの。

送信先を誤って「CC」に設定したため、受信者間にメールアドレスが流出。同日、受信者から連絡があり送信ミスが判明した。

同協会では対象となる団体に謝罪。誤送信したメールの削除を依頼している。


出典:外国人技能実習監理団体のメアドが流出 - 東京都

同姓同名の別人の除籍謄本を誤交付 - 大阪市


大阪市は、生野区役所において同姓同名の別人の除籍謄本を誤って交付したことを明らかにした。

同市によれば、2022年5月18日に除籍謄本を交付したが、同姓同名の別人の謄本を誤って交付していたもの。誤交付した除籍謄本には、14人分の氏名、本籍、生年月日が記載されていた。

翌19日に交付を受けた住民が来庁し、除籍謄本が他人の戸籍であると申し出があり、内容を確認したところ誤交付が判明した。

申請を受けた窓口の担当者が氏名で検索したところ、同姓同名の該当者が1人あり、本籍地が異なっていたがそのまま発行したのが原因だという。

同市では経緯を説明のうえ謝罪。誤交付した除籍謄本を回収した。

プレスリリースアーカイブ

出典:同姓同名の別人の除籍謄本を誤交付 - 大阪市

2022/05/23

仙台市泉区の地域包括支援センター 利用者らのメールアドレス最大1138人分流出の疑い


仙台市は、高齢者支援サービスの利用者ら最大1138人分のメールアドレスが流出した疑いがあると発表しました。

流出の疑いがあるのは、高齢者の生活を支援する泉区の将監地域包括支援センターの利用者や関係者ら最大1138人分のメールアドレスです。

市によりますと、2022年5月13日に、利用者から「センターを名乗る不審なメールが届いている」と連絡があり発覚しました。

同様の連絡は約30件寄せられているということです。

メールアドレス以外の個人情報の流出は確認されていません。

原因は分かっていないということです。

将監地域包括支援センターは、市から委託された事業者が運営していて、利用者らに対して、不審なメールを開かないよう注意を呼び掛けています。

出典:仙台市泉区の地域包括支援センター 利用者らのメールアドレス最大1138人分流出の疑い

東京外郭環状道路(外環道)のトンネル工事が原因で東京都調布市の市道が陥没した事故を巡り、同市が地域住民との面談内容などを、個人情報を隠さずに事業者側に提供していたことが発覚


東京外郭環状道路(外環道)のトンネル工事が原因で東京都調布市の市道が陥没した事故を巡り、同市が地域住民との面談内容などを、個人情報を隠さずに事業者側に提供していたことが発覚し、長友貴樹市長が2022年5月21日、住民団体のメンバーらと面会して謝罪した。

長友市長は市内のホールで「外環被害住民連絡会・調布」のメンバーら約30人を前に「あってはならない事案を発生させた」と頭を下げた。

市は昨年11月、事故について市に情報公開請求した市民の個人情報を東日本高速道路などの事業者側に送っていたと発表し、関係職員を戒告の懲戒処分とした。

 しかし、これとは別に市は2020年10月~21年10月、住民団体と行った面談のメモや、住民団体から提出された固定資産税の減免を求める要請書など、計26件を、個人情報を隠さないなど不適切に提供していた。先月中旬に市個人情報保護審査会が出した意見書で明らかになった。

 市側は「市民の要望を事業者側に伝えるために提供した。許可を得ていなければ手落ちと言わざるを得ない」と説明した。

 住民側はメールで情報提供された可能性を指摘し、開示を求めてきたが、市はメールを削除しており、復元についても「緊急性もなく、情報公開の対象として取り扱ってもいない」と拒否した。

 住民団体共同代表の河村晴子さんは「他にも漏えいされた情報はあるはずで、復元されたメールを見なければ、誰がなぜ漏えいしたか分からない。市の言い分だと、都合の悪い情報を意図的に消すことが可能になる」と批判した。

出典:市道陥没の外環道トンネル工事、市が住民の個人情報漏えい…事業者に面談メモなど26件提供

当院職員を装った不審メールについて 2022年5月20日 秋田赤十字病院


この度、当院の一部のパソコンがコンピュータウィルス(Emotet)に感染し、当院職員を装った第三者からの不審なメールが複数の方へ発信されている事実を確認致しました。患者さんならびに関係者の皆様、メールを受信された皆様にご迷惑をおかけしておりますことを深くお詫び申し上げます。

当院では[****@akita-med.jrc.or.jp]のメールアドレスを使用しております。不審なメールにおいては、送信者に上記アドレスや当院職員の氏名が含まれている可能性があります。

このような不審メールに添付されているファイルを開いたりすると、コンピュータウィルスに感染して、パソコンに保存されている情報などを不正に取得されてしまう恐れがありますので、メールごと削除していただきますようお願い申し上げます。 

今回の事態を受けまして、被害拡大防止に努めますとともに、より一層の情報セキュリティ強化に取り組んで参ります。患者さんならびに関係者の皆様にはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

東映アニメの障害、原因はランサム - ソフトダウンロード契機に攻撃展開


東映アニメーションがサイバー攻撃を受けた問題で、同社はランサムウェアに起因する障害だったことを明らかにした。ソフトウェアのダウンロードをきっかけに攻撃が展開されたという。

同社では2022年3月6日にサイバー攻撃を確認。一部システムを停止したことから制作が困難となり、一部アニメ作品の制作に影響が出た。一時放映を延期したが、4月16日以降再開している。

同社によれば、従業員が業務上必要なソフトウェアを外部ウェブサイトよりダウンロードしたところ、同サイトが改ざんされており、ランサムウェアの侵入につながるソフトウェアが同時にダウンロードされたという。

3月6日には、外部の第三者より同社ネットワークに対してアクセスが行われ、サーバやパソコンがランサムウェアに感染、データを暗号化され、作品製作やそのほかの業務に遅延が生じたという。個人情報の外部流出などは確認されていない。

同社は被害発生以降、外部セキュリティ事業者の支援なども受けつつ、対策を実施。4月28日の時点で作品製作をはじめとする業務は概ね正常化したという。

復旧に経緯や改ざんされていたウェブサイト、ランサムウェアへ感染するきっかけとなったソフトウェアなどは具体的に明らかにしていない。本誌は同社に取材を求めたが、ウェブサイトで発表している以上のことは回答できないとし、コメントは得られなかった。


出典:東映アニメの障害、原因はランサム - ソフトダウンロード契機に攻撃展開

ほくせんカードの会員サイトにSQLi攻撃 - 顧客情報4.4万件が流出の可能性


クレジットカード事業を展開するほくせんは、クレジットカード会員向けサイトが不正アクセスを受けたことを明らかにした。顧客の個人情報や加盟店に関する情報が流出した可能性があるという。

同社によれば、クレジットカードの利用明細などを確認できる「ほくせんWebサービス」が、2022年1月17日に「SQLインジェクション」の脆弱性を突く不正アクセスを受けたもの。

同社では同サイトを停止。外部事業者が調査を行ったところ、サーバ内に保存されていた加盟店に関する情報615件含む4万4559件の個人情報が外部に流出した可能性があることが判明した。

3万9310件については、「ログインID」「パスワード」「メールアドレス」が流出。さらに190件については、これら情報にくわえて、「氏名」「住所」「電話番号」「生年月日」「性別」「口座情報」「暗証番号」が含まれる。

これ以外にメールアドレス5059件が流出した可能性があるが、クレジットカードの番号、有効期限、セキュリティコードの流出については否定した。


出典:ほくせんカードの会員サイトにSQLi攻撃 - 顧客情報4.4万件が流出の可能性

2022/05/22

Twitterのバッジを取り消すというフィッシング詐欺に注意。/ Don't Fall for This Phishing Scam Threatening to Revoke Your Twitter Badge



Twitterで有名な人をターゲットに、VIPバッジが危険であるという恐ろしい警告を出すフィッシング詐欺が発生しています。

被害者は、よく知られている青いチェックマークで表される認証済みアカウントのステータスに問題がある旨の偽警告を電子メールでターゲットに通知します。メールには、この警告を無視した場合、アカウントが停止される旨も記載されています。

Twitterユーザーの青いバッジを取り上げると脅す詐欺は新しいことではないのですが、一部の受信者は、Twitterサポートと話さずに、この詐欺メールに基づいて行動を起こしてしまいます。

BleepingComputerによると、この詐欺の指示に従った人は、一度だけでなく二度もデータの入力を求められ、攻撃者がデータを盗む前に正しい認証情報であることを確認されるのだそうです。

この詐欺の背後にあるフィッシングキットは、盗んだログイン情報を使って、Twitterにパスワードのリセットを要求します。被害者が偽のページに多要素認証のコードを入力すると、攻撃者はそれも盗み、被害者のアカウントに完全にアクセスできるようにします。その後、攻撃者は、被害者の認証済みステータスを利用して、暗号資産詐欺を行います。

このような詐欺事件は、PCだけでなく、モバイル端末でも専用のセキュリティ・ソリューションを使用する必要性を強調しています。プロが見ても、時には詐欺に引っかかってしまうことがあるのです。

サイバー犯罪者は、モバイル端末をターゲットに、フィッシング詐欺を発見するメカニズムがない場合、簡単に正規の詐欺として成立するような、信頼性の高い詐欺を仕掛けてくることが多くなっています。

出典:Don't Fall for This Phishing Scam Threatening to Revoke Your Twitter Badge

2022/05/21

JL464(TKS⇒HND)搭乗記


どこでもマイルで徳島へ行った際の復路。

今回は往復共に最終便となった。

徳島阿波踊り空港は搭乗待合室内にラウンジが存在しない。

これは痛恨。

さらに追い打ちをかけるようにこの日は15分の遅延。

実はラウンジの存在しない空港はこれが人生初。

やはり何事も事前準備が重要だなと感じた。

フライト時間は離陸後50分とのこと。

地図見たら、大阪と大差ないんだ。

機内が揺れるからとかの理由でこの日はコールドドリンクのサービスのみ。

席は通路側の足元が広い席をゲット。

目の前は壁をはさんでCAさんが向かいで座っている。

普段は窓側で景色を見ているが、通路側でCAさんの動きを見るのもなかなか面白い。


2022/05/20

クラウドサービスにオンプレ並みのベストフィットを期待してはいけない。/ The cloud security emperor has no pants

明確なオーナーを持たない部門横断的なチームで仕事をしたことがある人なら誰でも知っているように、「共有」責任や、「共同」責任は、しばしば、誰かが問題を処理していると思い込んでいることを意味します。チーム間に明確な取り組みがなければ、常に何かの問題が見落とされます。

責任共有モデルとクラウドサービスプロバイダー

クラウドサービスの「責任共有」モデルは、次のようなものです。

クラウドプロバイダーは、あるレベル以下のすべてのものを保護し(そのレベルとは一般に自社のソフトウェアのこと)、その保護に責任を持ちます。 これを家の土台に例えて考えてみましょう。 クラウド利用者であるあなたは、基礎の上にあるすべてのものを保護する、いわば家を守る責任があるのです。

しかし、家を見たことがある人なら、基礎とその上にあるものの間に必要なものを分ける単純な線が引けるわけではないことに気づくでしょう。 クラウドプラットフォームとその上で動作するアプリケーションの相互接続も同様です。

クラウドの設定ミスや複雑なツール

クラウドサービスをどのように設定するかは、その上で動作するアプリケーションの安全性に大きく影響します。 パブリッククラウドで構築していますか? Lambda関数を一般に公開していませんか? データレイクでLake Formationのアクセス制御を有効にしていないのでは? AzureSqlDBServerで高度なデータセキュリティを有効にしていますか?GCPのクラウド関数で、パブリックな呼び出し権限があるものがないですか?

この問題は、IaaS(Infrastructure-as-a-Service)のパブリッククラウドサービスにとどまりません。 DDoS防御のためにコンテンツ配信ネットワークを使用している場合、オリジンのホスト名を予測不可能にすることを忘れてはいませんか? SaaSサービス間のビジネス・アプリケーション・メッシュを統合する際、例えば財務部門だけが必要とするAPIを、誤ってどのユーザーにも呼び出させてはいないだろうか。

クラウド利用者が足元をすくわれる可能性は、たくさんあります。進んだクラウド・プラットフォームは、こうした見落としを少なくし、デフォルトの設定にならないようにするために多くのエネルギーを投入しています。 しかし、すべてのクラウド・サービスにおいて完璧なプロバイダーは無く、すべてのクラウド・プラットフォームが自社のシステムを安全に使用できるようにしているわけではありません。 さらに残念なことに、クラウドサービス提供者は、安全でないさまざまな設定の選択について顧客に伝えるインセンティブがないのです。

皮肉なことに、最も多くのセキュリティ・サービスを顧客に提供しているクラウド・プラットフォームは、そのサービスを利用する上で最も複雑な状況を生み出していることが多いです。 各ツールキットを正しく使用するには十分な知識が必要なため、クラウド・サービスを正しく設定するためのサービスを販売するビジネスが存在するほどです。

クラウドセキュリティを向上させるために

もしクラウド利用者がベンダーに、"これらのサービスの最も危険な使用方法と構成は何か?"と尋ねる方法があればいいのですが......。 

残念ながら、ほとんどのクラウド利用者は、自社のクラウド・サービスの利用に焦点を当てるのではなく、ベンダーが正しく設定されているかどうかを確認するために、NIST CSFやBITS SIGに基づく質問を巨大なスプレッドシートで質問票にしてベンダーに回答させているのが実情です。 

クラウド利用者はサードパーティのリスク管理プロセスを利用して、自社のセキュリティについて洞察に満ちた質問を始めるべき時なのかもしれません。

責任共有モデルで言えば、クラウドプロバイダーが素敵なズボンを履いていても、ベルトの締め方やシャツのサイズがクラウド利用者に完璧にフィットする可能性は低く、風通しが悪くなる服装だったり、最悪の場合、不愉快な姿をさらすことになり、それが責任共有モデルのクラウドサービスが意味するところとなります。

出典:The cloud security emperor has no pants

ワクチン接種の事務アルバイトが内部情報を漏えい。仙台市の管理システムを不正使用 2022年05月19日 キャリアリンク株式会社

 

仙台市は2022年5月18日、新型コロナウイルスワクチン接種の事務センター運営を委託しているキャリアリンク(東京都新宿区)で、アルバイトがシステムを不正利用し、内部情報を第三者に伝える事案が発生したと明らかにした。

問題のアルバイトは1月末から2月上旬にかけて、仙台市のワクチン接種進捗管理システムを不正利用。個人の名前を検索し、該当者がいない(仙台市に住んでいない)旨を第三者に伝えた。5月11日に名前を検索された個人の親族から通報があり問題が発覚。アルバイトが事実を認めたため12日に雇用契約を解除した。

仙台市とキャリアリンクは13日に、検索された個人の親族に経緯を説明し謝罪。同市は同社に口頭で厳重注意した上で、個人情報の取り扱いについて指導したとしている。

再発防止策として仙台市は、キャリアリンクにおいて個人情報の取り扱いに関する教育を徹底する他、定例打ち合わせなどで注意喚起し、取り組み状況を確認するとしている。

プレスリリースアーカイブ

出典:ワクチン接種の事務アルバイトが内部情報を漏えい 仙台市の管理システムを不正使用

学生の個人情報含む可能性があるUSBメモリを紛失 - 東京都立大


東京都立大学において、教員がUSBメモリを紛失した。学生の個人情報が保存されている可能性があるという。

東京都公立大学法人によれば、同大法学部の教員がUSBメモリを紛失したもの。5月2日に紛失に気づいて5月13日に同大へ報告した。4月26日にUSBメモリを確認したのを最後に所在がわからないという。

問題のUSBメモリには、同教員の担当科目を受講している学生89人の履修者名簿が保存されている可能性があり、氏名や学年、所属、学修番号、メールアドレスなどが含まれる。

同大では、対象となる学生に対し説明と謝罪を行っている。同大では、USBメモリの取り扱いに関する見直しや、事故発生時の迅速な対応などセキュリティ対策について検討し、職員に対してあらためて注意喚起を実施するとしている。


出典:学生の個人情報含む可能性があるUSBメモリを紛失 - 東京都立大