2022/06/30

「https://www.sancity.jp/」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年6月29日 株式会社サンシティ


このたび、弊社が運営する「https://www.sancity.jp/」におきまして、第三者によ
る不正アクセスを受け、お客様のクレジットカード情報(1133 件)が漏洩した可能性が
あることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態とな
りましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫
びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関す
る概要につきまして、下記の通りご報告いたします。

1.経緯

2021 年 6 月 10 日、一部のクレジットカード会社から、弊社サイトを利用したお客様
のクレジットカード情報の漏洩懸念について連絡を受け、カード決済の停止を行いま
した。その後、別決済会社にてそれまでとは別の決済方法にて決済を再開しましたが、
調査が完了するまでは使用自体を停めることが最善であると判断し、停止にいたりま
した。

2021 年 11 月 10 日弊社が運営する「https://www.sancity.jp/」でのカード決済を完
全に停止いたしました。

その後、第三者調査機関による調査も開始いたしました。2022 年 4 月 7 日、調査機関
による調査が完了し 、 2020 年 2 月 23 日 ~ 2021 年 4 月 28 日 の 期 間に
「https://www.sancity.jp/」で購入されたお客様クレジットカード情報が漏洩し、
一部のお客様のクレジットカード情報が不正利用された可能性があることを確認い
たしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「https://www.sancity.jp/」のシステムの一部の脆弱性をついた
ことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが
行われたため。

(2)個人情報漏洩の可能性があるお客様

2020 年 2 月 23 日~2021 年 4 月 28 日の期間中に「https://www.sancity.jp/」に
おいてクレジットカード決済をされたお客様 1133 名で、漏洩した可能性のある情
報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

上記に該当する 1133 名のお客様については、別途、電子メールにて 個別にご連
絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカ
ードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細
書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、
身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジット
カードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申
し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手
数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード
会社に依頼しております。

4.公表が遅れた経緯について

2021 年 6 月 10 日の漏洩懸念発覚から今回の案内に至るまで、時間を要しましたこ
とを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び
申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公
開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整
えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およ
びカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリテ
ィ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「https://www.sancity.jp/」のクレジットカードの再開日につきましては、
決定次第、改めて Web サイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、個人情報保護委員会には 2022 年 5
月 10 日に報告済みであり、また、所轄警察署にも 2022 年 5 月 17 日被害申告してお
り、今後捜査にも全面的に協力してまいります。

個人情報漏えいの可能性に関するお知らせとお詫び 2022年6月27日 バリュエンスホールディングス株式会社


この度、なんぼやWEBサイト(以下「本サイト」といいます。)において、本サイトをご利用いただいた一部のお客様の個人情報が他者から閲覧できる状態になっていた可能性があることが判明いたしました。つきましては、本件の経緯等について下記のとおりご報告いたします。なお、本件の原因は既に特定しており、対応も完了しております。お客様をはじめ関係者の皆様に多大なるご迷惑、ご心配をおかけいたしますこと、深くお詫び申し上げます。

1. 経緯
2022年6月23日午前4時49分から午後5時57分の間、本サイトのご利用にあたり、申込情報の入力画面内において、他のお客様の情報が表示されて閲覧できる状態となっていた可能性があることが発覚いたしました。発覚後、システムの状況を確認したところ、本サービスの申込登録画面のキャッシュ(一度閲覧したホームページの情報を一時保存し、早く表示できるようにする機能)において、お客様が登録した情報が一時的に保存される設定になっていたことが原因であると判明したため、直ちにお客様が登録した情報を保存しない設定に変更をいたしました。現在は対応を完了しており、他者から閲覧されることはありません。

2. 個人情報を閲覧された可能性のあるお客様
なんぼやWEBサイト内入力フォームご利用の106回アクセスされたうち一部のお客様
・出張買取ページ
・時計修理宅配申込ページ
・問い合わせページ
・ブランドコンシェル予約ページ

3. 閲覧された可能性のある個人情報
・氏名(漢字及びフリガナ)
・性別
・生年月日
・住所
・電話番号
・メールアドレス

4. 原因と再発防止策
・今回キャッシュプラグインの変更にともなう設定不備が要因となります。
今後のなんぼやWEBサイトの改修時のテスト項目につき、社内外の関係者が共通のチェック項目を共有、テストを履行する体制構築を再度徹底いたします。
・また現在は各フォームがキャッシュされない設定であることは確認しておりますが、今後設定ミスが起こった場合に入力フォームが予期せずキャッシュされる状態であることを定期的かつ自動的にチェックする仕組みを導入する方針です。

5. 今後の対応について
個人情報を閲覧された可能性のあるお客様の個人情報が悪用される等の事象が発生した場合、弊社は各種法令に従い、適切な措置を講じる所存です。

BURPの代替になりそうなツール「Hetty」 / This looks great! A BURP alternative.


Hettyは、セキュリティ研究のためのHTTPツールキットです。Burp Suite Proのような商用ソフトウェアに代わるオープンソースとして、情報科学やバグバウンティコミュニティのニーズに合わせた強力な機能を提供することを目指しています。

機能紹介
  • マシンインザミドル(MITM)HTTPプロキシ、ログと高度な検索機能付き
  • 手動でリクエストを作成/編集し、プロキシされたリクエストを再生するためのHTTPクライアント
  • スコープをサポートし、作業の整理整頓を支援
  • 使いやすいWebベースの管理インターフェイス
  • プロジェクトベースのデータベースストレージにより、作業の整理整頓を支援
コミュニティ



インストール

Hettyのインストールとアップデートは、パッケージマネージャを利用するのが一番手っ取り早いです。

LINUX 

sudo snap install hetty


WINDOWS

scoop bucket add hettysoft https://github.com/hettysoft/scoop-bucket.git
scoop install hettysoft/hetty


または、GitHubからあなたのOSとアーキテクチャに対応した最新リリースをダウンロードし、バイナリを$PATH内のディレクトリに移動することも可能です。あなたのOSがいずれかのパッケージマネージャで利用できない場合や、GitHubのリリースに記載されていない場合は、ソースからコンパイルするか、Dockerイメージを使用することができます。

実行

インストールしたら、コマンドラインからHettyを起動します。

hetty

何もオプションを付けずに起動すると、このようになります。

  • ディスクに格納されるルート CA 証明書と秘密鍵を作成する。 ~/.hetty/
  • BadgerDB データベースを作成し、ディスクに格納する。 ~/.hetty/db/
  • リッスンするHTTPサーバーを実行します。 0.0.0.0:8080, 管理画面のプロキシおよびサービスに使用されます

以下のようなコンソール出力が表示されるはずです。

2022/03/01 11:09:15 INFO [main] Hetty (v0.5.1) is running on :8080 ...2022/03/01 11:09:15 INFO [main] Get started at http://localhost:8080

これで、http://localhost:8080、管理画面にアクセスできるようになります。


「やまなしくらしねっと」 のヘルプデスクを装った不審メールについて 2022年6月29日 山梨県

やまなしくらしねっとのヘルプデスクを電子メールにより利用している(または、過去に利用したことのある)利用者に対して、へルプデスクを装った不審メールが発信される可能性
があるため、お知らせします。

○経過

6月23日 

やまなしくらしねっとを含め全国の地方公共団体への電子申請サービスを提供している事業者が、ヘルプデスク業務用パソコンにおいて、過去にマルウェア(Emotet)に感染していたことを発見

 ※不審メールが発信されたとの報告が同サービスを利用する県外の自治体から寄せられ、同社において調査したところ感染した痕跡を検出

6月27日 

上記について、山梨県市町村総合事務組合(以下「組合」)を通じて、同社から連絡を受ける。

同日 やまなしくらしねっとのトップページ(お知らせ)に注意喚起に関する情報を掲載(運営主体である組合が対応)

6月29日 

やまなしくらしねっと利用者のうちヘルプデスクに問い合わせた方への注意喚起メールを送信済 

〇やまなしくらしねっとの利用者へのお願い

 次のようなメールが届いた場合は、メール本文の URL をクリックすることや添付ファイ
ルの開封は絶対に行わないでください。

[不審メールの一例]

 ・発信者メールアドレス:

正規 help-shinsei-yamanashi@s-kantan.com <help-shinsei-yamanashi@s-kantan.com>

不正 help-shinsei-yamanashi@s-kantan.com <xxxxx@xxx.xxx.xx>

 ・件名:「Re:XXXXXX(過去にヘルプデスクとやりとりしたメールの件名)」

 ・添付ファイル等:(ZIP 形式のファイルが添付されていることが多い。)


2022/06/29

カーニバルクルーズが2019年のデータ侵害に対して125万ドルの罰金を支払う / Carnival Cruises to pay $1.25 million fine for 2019 data breach


カーニバル・クルーズは、全米で18万人のカーニバル社員と顧客の情報が流出した2019年のデータ侵害への対応で46人に訴えられ、125万ドルの罰金を支払うことに同意しました。

この情報漏洩は2020年3月に同社が公表したもので、氏名、社会保障番号、住所、パスポート番号、運転免許証番号、支払いカード情報、健康情報などが含まれていました。数千人がこの情報漏洩の影響を受けました。

ハッカーはカーニバル社の従業員のメールアカウントにアクセスし、顧客情報に広くアクセスできるようになった。同社は、情報漏洩を発見したのが一般に公表する10カ月前の2019年5月であることを明らかにし、世間から反感を買いました。

ペンシルベニア州司法長官ジョシュ・シャピロ氏は、「個人情報が悪質な業者に流出した場合、消費者にできるだけ早く通知することが不可欠です」と述べています。遅れが生じれば、その個人データが悪用される可能性が高まります。

カーニバルは個人情報を電子メールで保存し、機密データを扱うのに「他の無秩序な方法」を使っていました。シャピロ氏によると、このようなデータの取り扱い方法は、情報漏えいの通知をより困難なものにします。

ニューヨークのレティシア・ジェームズ司法長官は、カーニバル・クルーズ・ラインは「何千人もの消費者の個人情報を保護することに失敗した」と述べた。

「今日のデジタル時代において、企業は消費者を詐欺から守るためにデータプライバシー対策を強化しなければならない 」と、ジェームズは言った。「休暇中のニューヨーカーが個人情報の流出を心配する必要はないはずだ」

カーニバル社は、金銭的な罰則と同時に、情報漏洩対策計画の実施、従業員への電子メール訓練プログラムの制定、独立した情報セキュリティ評価の実施などに同意した。


ショルダーサーフィンとは? / What is shoulder surfing?


人前で機密メールを送るとき、特定のアプリを使うとき、特定のウェブサイトにアクセスするとき、過去に一度は周囲に配慮したことがあるに違いありません。それは当然のことです。しかし、あなたが最も被害妄想的で自意識過剰な状態で画面を見ていると感じる監視の目は、実は本物のサイバーセキュリティの脅威である可能性があるということに、あなたは気づいていないかもしれません。

確かに、公共の場であればどこでも、ログイン認証情報を見つけ出して記憶することは、非常に鋭い洞察力を必要としますが、脅威がゼロでないことは確かです。あなたができないからといって、熟練したサイバー犯罪者ができないわけではありませんし、データを流出させると懲罰を科されるリスクがあるため、会社員は決して油断することができないのです。

ショルダーサーフィンとは、犯罪者が肩越しにログイン情報、またはその他の有用なデータや機密データを盗むという、直感的に分かるサイバーセキュリティ上の脅威のことです。クライアントのデータを安全に保ち、コンプライアンスに準拠したデータ運用を行うために、簡単に導入できる対策が数多くあります。

ショルダーサーフィンから身を守るにはどうしたらよいのでしょうか?

デバイスを傾ける

電車やバスの中でスマートフォンを使っているとき、肩越しに他人の嫌な視線を感じたら、端末を傾けるだけでいいのです。同様に、スマートフォンを下げて、角度を切ることもできます。

この方法は、タブレットやノートPCでは少し難しくなりますが、隣に座っている人が盗み見をしているのであれば、まだ有効です。ノートパソコンなら、画面を少し下に傾けることで、プライバシーを守りたいという意思表示をすることができます。

視界を遮る

これはより攻撃的な方法ですが、もしあなたが外出先で仕事の機密文書を見ているのなら、それはあなたの特権です。空いている方の手で、スマートフォンの危険にさらされている側を覆えばいいのです。

ノートパソコンなら、ケースや本、カバンなど、画面の脇に物をかざして、見晴らしの良い場所をふさぎましょう。冬場は、大きなコートが重宝します。

見えないところに座る

喫茶店や公共の場でリモートワークをする場合は、壁際の席を確保し、ノートパソコンの画面の向こう側を覗き見されないようにするのがベストです。さらに、壁がガラスや鏡でないことを確認し、外に座る場合は、人ごみを避け、壁際に座るようにしましょう。

通勤時にはあまり役に立ちませんが、ググっているものを隠したい場合は、バスの後部座席も有効です。

在宅勤務

自宅のWi-Fiが不安定で、公共の場で仕事をしなければならない場合、ショルダーサーフィンはのリスクは必ず付いて回ります。しかし、あなたが素晴らしいネット環境を自宅に持っている場合、それを活用します。会社のビジネスを覗き見されないようにするには、プライベートを守ること、家にいること、可能であれば実際にオフィスに行くことが一番です。

プライバシーディスプレイへの投資

市場には、開発の設計段階でショルダーサーフィンを意識したビジネス向けデバイスが数多く存在します。HPは、特定の角度からしか見えないように設計されたSure Viewディスプレイで、この領域のトップです。この技術は、例えば飛行機で隣の通路にいる乗客から顧客データを保護するのに役立ちます。

そのようなデバイスを持っていない場合でも、, サードパーティ製のメーカーは、簡単に見つけることができます。屋外での作業を頻繁に計画している場合は、わずかな費用で自分のデバイス用の取り外し可能なプライバシースクリーンを手に入れることができます。

アドレス乗っ取られ個人情報漏えいか 伊達市、大量の不審メールも


伊達市は2022年6月24日、市が運営する簡易宿泊所「とまっぺ」の予約などに使用するメールアドレスが乗っ取られ、受信履歴に残っていた17世帯37人分の住所や氏名、生年月日などの個人情報が漏えいした恐れがあると発表した。このアドレスから、外部に500通を超える不審なメールも送信されていた。

市によると、担当職員が10日午前9時ごろ、契約しているプロバイダー名が差し出し人のメールに記載されていたURLをクリックしパスワードを入力したところ、同宿泊所のメールパスワードが漏えいしたという。プロバイダーから連絡があり、気が付いた。

市はメールアドレスのパスワード変更やメール機能の停止、ウイルスチェックなどの初期対応を行った。24日現在、ウイルス感染や外部への被害は確認されていないが、該当者に連絡を取り、被害状況の有無を確認しているという。

市の担当者は「職員の情報セキュリティー管理を徹底し再発防止を図る」とコメントした。


名古屋大学への不正アクセスによる個人情報流出について 2022年6月28日 名古屋大学


この度、東海国立大学機構名古屋大学情報連携推進本部で運用しているQ&Aシステム(情報システムに関する問い合わせシステム)が第三者により不正にアクセスされ、メールアドレスが漏洩した可能性がある事案が確認されましたので、現在の状況と今後の対応についてお知らせします。

2022年5月16日(月)、Q&Aシステムのログを確認したところ、第三者から攻撃を受けていたことが判明しました。この攻撃は5月10日(火)4時27分から10時35分の間、及び5月14日(土)11時14分から5月15日(日)8時45分の間であり、アクセスログ解析の結果、当該システムに保存されていた、質問時に連絡先として記載されたメールアドレスが2,086件漏洩した可能性があります。

不審なアクセスの報告を受けた日に、プログラムを修正することにより当該システムの脆弱性を解消いたしました。現時点では、閲覧されたメールアドレスが悪用された事実は認められておりません。

漏洩した可能性のある方々には、登録されていたメールアドレスにメールにて事実関係をご説明するとともに、対応窓口の設置及びその連絡先をお伝えし、お詫び申し上げたところです。

このような事態を招き、関係者の皆様にご迷惑をおかけしましたことを深くお詫び申し上げます。

第三者に不正アクセスされた原因は、ブラインドSQLインジェクションと呼ばれる、Webアプリケーションのデータベースを不正に操作する攻撃によるものです。今後は、サーバー管理や情報セキュリティの確保に関する教育研修を強化し、構成員の意識向上を図るとともに、設備面ではWeb Application Firewall(WAF)の導入を検討するなど、再発防止に努めて参ります。

中学校で生徒のテスト結果一覧を誤配布 - 柏市


千葉県柏市の中学校において、教諭が生徒のタブレット端末に課題を配布する際、誤ってテスト結果一覧を配布するミスが発生した。

同市によれば、2022年6月24日10時半ごろ、教諭がタブレット端末を用いてクラウドサービス上で生徒に課題を配布しようとした際、誤って1年生119人に関する期末試験の得点一覧データを配布したという。

授業開始後、教諭が誤配布に気づき、クラウド上の対象データを削除。データを閲覧した生徒を特定し、生徒のタブレット端末から履歴データの削除を行うとともに、生徒個人のクラウド上からもデータを削除した。

同校では、保護者に対し書面による報告を行うとしている。

出典:中学校で生徒のテスト結果一覧を誤配布 - 柏市

結婚支援事業で会員個人情報を別人に誤送信 - 香川県


香川県は、かがわ縁結び支援センターで実施している結婚支援事業において、ボランティアが会員の個人情報含むメールを誤って別の会員に送信するミスがあったことを明らかにした。

同県によれば、2022年6月20日20時過ぎにボランティア(縁結びおせっかいさん)が会員2人に関する個人情報を記載したメールを、誤って別の会員2人に送信するミスがあったという。送信直後に誤送信に気づき、メールを受信した2人に謝罪のメールを送信した。

翌21日に同センターがボランティアからの誤送信の報告を確認。システム内に残った送信メールを削除し、個人情報が漏洩した2人と誤送信先の2人に説明と謝罪を行っている。


出典:結婚支援事業で会員個人情報を別人に誤送信 - 香川県

2022/06/28

HTTP/1.1 と HTTP/2 と HTTP/3 の差分 / HTTP/1.1 vs. HTTP/2 vs. HTTP/3


現在使われているHTTPプロトコルには、複数のバージョンがあります。HTTP/1.1、HTTP/2、HTTP/3 です。多くのソフトウェアがそうであるように、新しいHTTPの各バージョンは、前のバージョンの機能を基に構築されています。

HTTP/1.1

1997年にリリースされたHTTP/1.1は、HTTP/1.0の初期バージョンからわずか1年後、接続の持続性という考え方を導入し、閉じるよう指示があるまで接続を開いたままにするものでした。以前は、1つのコネクションにつき1つのリクエストしか許可されませんでした。コネクション・パーシステンスは、サーバーが多すぎるコネクションの問題を回避するのに役立ちます。また、安全な (HTTPS) 環境では、1 回の SSL ハンドシェイクで十分な場合に、複数の SSL ハンドシェイクによるオーバーヘッドを回避することができます。

インターネットの半分以上がまだHTTP/1.1を使用していますが、徐々にHTTP/2へと移行しつつあります。

HTTP/2

HTTPの新バージョンが登場するまでには20年近くを要した。2015年、HTTP/2は、Googleが開発した実験的なプロトコルであるSPDYから派生しました。他の重要な機能(大幅に改善されたヘッダー圧縮など)の中で、HTTP/2は、各接続がストリームを介して複数の同時リクエストを処理する機能を導入しました。ストリームはさらにフレームに分解され、その集合がサーバーから1つのパケットで送信され、クライアント側で再集合される。複数の同時リクエストをサポートすることで、HTTP/2はクライアントのネットワークリソースをより少なく使用することができます。これにより、サーバー側の混雑を緩和することができます。

2020年2月現在、上位1000万件のウェブサイトの43%がHTTP/2を使用しており、利用は拡大中です。

HTTP/3

HTTP/3の起源は、HTTP/2をUDPで暗号化して転送することで改善しようとしたGoogleの取り組み、QUICにある。もともと「HTTP over QUIC」と呼ばれていたHTTP/3は、現在もIETFで定義が進められています。HTTP/3は、TCPをUDPに置き換えたものです。UDPはTCPほど多くのルールを持っておらず、トランスポート層では便利ですが、アプリケーション層では対応しないと難点が生じます。そこでHTTP/3では、効果的で安全な通信に必要な、不足しているTCPの機能の一部を実装しています。すべてのTCPベースのプロトコルに存在するヘッドオブラインブロッキングの問題は、UDPとHTTP/3ではそれほど問題ではありません。

2020年2月現在、上位1000万サイトのうち4%強がHTTP/3を使用していますが、この数はプロトコルが定義されるにつれて増加すると予想されます。

バージョン比較

HTTP/1.1HTTP/2HTTP/3
リリース199720152018
主な新機能長さが不明なレスポンスに対して持続的な接続を可能にするため、chunkedエンコードを追加。ヘッダー圧縮による仮想同時ストリームを追加。TCPトランスポートをUDPトランスポートに置き換え。
接続処理順次、1件ずつリクエスト優先順位をつけて、一度に複数の依頼をすることがある優先順位をつけて、一度に複数の依頼をすることがある
ヘッダー圧縮(無し)HPACKQPACK
プロトコルタイプテキストバイナリバイナリ
Server Push不可
HTTPS可能だが、必須ではない推奨されるが必須ではない必須
Transport LayerTCPTCPUDP
普及度現在一般的に使われている利用拡大中、2020年2月時点で43%まだ実験段階、2020年2月時点で4.1%が使用

弊社利用サービス期間の情報漏洩について 2022年6月27日 13BASE


弊社にて利用しているサービス機関(セキュリティ上の観点から詳細は伏せます)より連絡があり、弊社のアカウントIDとパスワードが流出したとの事でした。

既に関連する対応は済ませておりますが、弊社のシステムログを確認し、WAFによる不正アクセス検知は確認されておらず、アクセスログ上の正常ではないアクセス(400番台・500番台・OpenVAS等のスキャンツール)はIPアドレスをリスト化しました。

今後、リスト化したIPアドレスからアクセスが続く様ならアクセス拒否を行うなどの対応を致します。

2022/06/27

[イベント] International Cyber Expo 2022(2022/9/27-28)

 

International Cyber Expoは、サイバーセキュリティの優れた頭脳が集まり、相互に接続された明日の世界の問題を探求する場所です。

2022年9月27日~28日にロンドンのオリンピアで開催されるInternational Cyber Expoは、業界コラボレーションのための出会いの場となるよう努めています。ここでは、吟味された上級サイバーセキュリティバイヤー、政府関係者、起業家からソフトウェア開発者、ベンチャーキャピタルまで、誰もが自分の経験、知識、リソースを仲間と共有できるよう歓迎されています。また、サイバーセキュリティ・ベンダーと、中堅企業、政府機関、重要な国家インフラ、公共機関のCISO、CIO、情報セキュリティ責任者などの意思決定者をつなぐことにも重点を置いています。

毎年開催されるサイバーセキュリティの展示会として、このイベントはコミュニティのために、コミュニティによって作られ、世界クラスのグローバルサイバーサミット、展示スペース、没入型ライブデモ、Beer Farmersとの提携による非公式のネットワーキングを開催しています。

このイベントの議題は、Ciaran Martin CB教授(NCSCの前CEO)を議長とし、政府、産業界、学界の信頼できる関係者で構成される多様で尊敬すべき諮問委員会によって形成されています。

【申し込み】
https://ice-2022.reg.buzz/mp 

【イベント詳細】
https://www.internationalcyberexpo.com

弊社Webサイト一時閉鎖のお知らせ 2022年6月24日 株式会社矢野経済研究所


平素より弊社Webサイトをご利用いただき誠にありがとうございます。
この度、外部からの不正アクセスが確認されたため、一時的に当Webサイトを閉鎖させていただくことになりました。

閉鎖期間中の対応は以下の通りです。なお、再開時期については改めてご案内させていただきます。

ご不便をおかけいたしますが、何卒ご理解いただきますようお願い申し上げます。


不正アクセスによる被害発生について 2022年6月24日 株式会社LITALICO、株式会社LITALICOパートナーズ



株式会社LITALICO及び株式会社LITALICOパートナーズは、2022年6月20日時点で第三者からの不正アクセスが行われたことを確認し、社内調査を行った結果、Phobosの亜種と推定されるランサムウェアによる一部の社内データの暗号化と、一部の社内サーバーに対する不正アクセスの被害を受けたことが判明致しました。

被害発生を認識後、速やかに警察への報告を行うとともに、被害の拡大防止策を講じた上で、社内チームと外部専門機関による調査・対応を行っております。詳細な調査結果が判明し次第、速やかにホームページ等にてお知らせいたします。

現時点では、お客様の個人情報等の外部への流出は確認されておりません。
また、本件による業務遂行における支障はございません。

本件により関係する方々に多大なるご心配をおかけすることを深くお詫び申し上げます。

「VIEW’s NET」への不正ログインに関するお詫びとお知らせ 2022年6月24日 株式会社ビューカード


ビューカード会員さま限定のインターネットサービス「VIEW’s NET」への不正ログイン
が発生したことが判明しましたので、以下の通りお知らせいたします。お客さまに多大なる
ご心配、ご迷惑をおかけしておりますことを心よりお詫び申し上げます。

1 概要
2022 年 6 月 22 日(水)11 時 42 分より、「VIEW’s NET」に対して不正なログインを
試みる行為がありました。これを受けて同日 19 時 11 分より 6 月 24 日(金)10 時まで、
以下の4サービスを停止させていただいておりました。

・VIEW’s NET
・ビューカードアプリ
・VIEW ショッピングステーション
・インターネットからのビューカードのお申込み

調査の結果、560 名のビューカード会員さまのアカウントへ不正と思われるログインが
あり、当該 560 名のお客さま情報(氏名、メールアドレス等)、クレジットカード情報
(カード番号の下 4 桁のみ)について閲覧された可能性があることが判明しました。

2 対応
セキュリティ対策を強化いたしました。

不正と思われるログインがあった 560 名のアカウントに対しては、6 月 23 日(木)19
時 30 分にご利用停止の措置を完了したうえで、当該のお客さまへのご連絡を開始して
おります。


不正アクセスによる メールアドレス漏洩事案の調査結果と今後の対応のお知らせ 2022年6月23日 株式会社エフシージー総合研究所


弊社は悪意ある第三者による不正アクセス攻撃を受け、弊社サーバー上に保有する約3万5千件のお客様のメールアドレスが漏洩した可能性(以下:本インシデント)があると、2022年5月24日に公表しました。

この度、第三者機関の協力を得て行った本インシデントに関する調査が完了いたしました。当該調査結果および再発防止の取り組みにつきまして、ご報告申しあげます。

なお、弊社サーバー等のシステムは復旧しております。技術的な対応につきましては、第三者機関を通じ、弊社保有のサーバーのクリーニングを実施し、安全性を確認しております。

サイバーセキュリティ強化のため、社内横断的に担当者を配置し、セキュリティと個人情報保護の強化を図り、弊社サービスを安心してご利用いただけるよう再発防止に努めてまいります。

お客様はじめ多くの関係先に多大なご心配、ご迷惑をおかけいたしました。あらためて深くお詫び申しあげます。

【本インシデントの概要】

第三者機関の検証の結果、弊社が運用するシステムに対する数次にわたるサイバー攻撃により、弊社サーバー上に保有していた35,206件のお客様メールアドレスの漏洩が確認されました。
具体的には、弊社の業務用食品原材料配合の検査ツール「そうけんくん規格書チェックツール」を利用された事業者のご担当者様35,201件、その他の申し込みをされた企業のご担当者様5件でした。
合計35,206件の漏洩したメールアドレスのうち、個人情報に該当するメールアドレスは6,269件でした。
なお、現時点におきましては、お客様に対する悪意あるサーバー攻撃等があった事実は把握しておりません。

【お客様へのご説明】

漏洩したメールアドレスのお客様には、あらためて本インシデントのご説明、弊社セキュリティの対策方針及びお客様におかれましても悪意あるサイバー攻撃等に十分ご注意いただきたい旨を直接お知らせするとともに、問い合わせ窓口を設けて個々のお客様にご説明させていただいております。

【再発防止の組織的対策】

外部機関に弊社システムの定期的な脆弱性診断やウイルスチェックなどセキュリティ強化策の助言を求め、社内横断のサイバーセキュリティ強化要員を置き、実効性のある組織的対策を行ってまいります。


尼崎市全住民の個人情報入りUSBメモリ、カバンごと発見される



尼崎市の全住民などに関する個人情報が保存されたUSBメモリを、同市委託先関係者が紛失した問題で、2022年6月24日に問題のUSBメモリが発見されたことがわかった。

今回の問題は、同市コールセンターのデータ移管作業にあたり、ネットワーク環境がなかったことから、委託先であるBIPROGY(旧日本ユニシス)の協力会社従業員が移管に必要となるデータをUSBメモリで持ち出して作業を実施したが、その後紛失したもの。

業務終了後にデータが入ったUSBメモリを所持したまま居酒屋へ立ち寄って飲食。その後帰路に向かう途中に眠り込み、翌日22日3時ごろ路上で目が冷めたときには、USBメモリが入ったカバンを紛失していた。同日報告を受けた同市では23日に事態を公表。その後も探索作業が進められていた。

当事者である協力会社従業員が、警察官同行のもと探していたところ、6月24日に吹田市内にあるマンション敷地内で紛失したカバンを発見、USBメモリを回収した。同日11時40分ごろ、委託先であるBIPROGYに報告があり、同社は同日午後、同市に発見を報告している。

同社は、紛失したUSBメモリがバックアップも含め2本だったことを明らかにしつつ、紛失当時と同じ状態でカバンに入っていたと説明。パスワードや内部のデータなども紛失当時と変わらない状態だったことを確認した。

USBメモリを紛失した協力企業従業員は、当時酒に酔っており記憶が曖昧で、発見場所で紛失したのか、第三者によって移動されたものかはわかっていない。


2022/06/26

Web3の世界におけるセキュリティリスク軽減の方法 / 7 best practices for Web3 security risk mitigation


Web3は急成長している技術ですが、その一方で熱い議論が交わされています。Web3の支持者は、ビッグテックの中央集権的なコントロールを広く否定し、分散化のためのビジョン、具体的には、ブロックチェーン・ベースのアーキテクチャを使用してパワーを分散し、エンドユーザーに大きなコントロール、利害、経済的利益を与えるインターネットを中心にまとまりを見せています。

技術開発者と企業は、Web3 の可能性を評価する際に、セキュリティに対する積極的なアプローチを取る必要があります。ブロックチェーンと暗号通貨は、ソーシャルエンジニアリング、インサイダー攻撃、欠陥のある実装といった従来の問題から、分散型アプリケーション、取引所、ウォレットにおけるWeb3ネイティブの悪用といった新しいクラスまで、セキュリティに関する懸念が高まっています。

ブロックチェーン領域における攻撃は、しばしば従来のアプリケーションよりも被害が大きくなります。これらの事象は不可逆的であり、スマートコントラクトを条件とするため、悪用された場合、単一のノードではなくネットワーク全体に連鎖します。

セキュリティリーダーは、Web3セキュリティのベストプラクティスを参考に、リスクを軽減することができます。

伝統的なセキュリティ設計の原則は、Web3システムにも他のシステムと同様に不可欠です。開発者は、セキュリティを意識した基準を設計し、製品、およびインフラストラクチャに組み込む必要があります。例えば、攻撃対象領域を最小化し、ゼロトラストフレームワークを考慮し、権限を分離して最小化するよう努力する必要があります。

セキュリティ・バイ・デザインの原則が第一ですが、組織はどのような種類のブロックチェーンを使用する予定なのかも検討する必要があります。

イーサリアムやソラナなどのパブリックブロックチェーンネットワークはオープンであり、誰でも参加することができます。また、ユーザーは用途に応じてさまざまな匿名性を享受することができます。これに対し、プライベート(許可制)のブロックチェーン・ネットワークは、ユーザーが自分の身元だけでなく、メンバーシップやアクセス権限も確認する必要があります。

パブリック、プライベートに関わらず、ブロックチェーンの種類によって複雑さが異なるため、1つのブロックチェーンを理解しても、すべてのブロックチェーンを理解したことにはなりません。サイドチェーン、マルチチェーン、クロスチェーン、フェデレーション、オラクル、その他の分散型台帳コンポーネントなど、さまざまなハイブリッドインフラは、スピード、効率、回復力など、セキュリティチームと接点を持つ他の基準にも影響を及ぼします。

Web3 の「西部開拓時代」には、テクノロジーだけでなく、デザイナーが考慮しなければならない法律的、文化的、経済的な力学が含まれています。たとえば、アイデンティティに関しては、特定の設定や統合が、Know Your Customer や GDPR などの既存のコンプライアンス体制に抵触する可能性があります。

ID 以外にも、暗号技術に関する規制は管轄地域によって異なります。さらに、多くのWeb3エンティティは、プロジェクトや分散型自律組織です。

また、ソーシャルエンジニアリングのセキュリティへの影響も考慮してください。Discordのコミュニティは、デジタル資産の利点をどのように誤解し、誇張するでしょうか。暗号プラットフォームの暗号化された金融化は、悪質な行為者にどのようなインセンティブを与えるのでしょうか。

サイバーリスク管理プログラムは、新たな脅威に対する理解を深め、緩和するために、業界の同業者と協力することで利益を得ることができます。Web3 の文脈では、GitHub や OODA Loop が最近リリースした Cryptocurrency Incident Database のようなオープンソースプラットフォームなど、従来のリソースに類似したチャネルがあります。OODA Loop は、Web3 プロジェクトの間でサイバーセキュリティ事件が多発していることに着目し、セキュリティ研究者やエンジニアが共通のサイバー攻撃カテゴリや根本原因を確認できるように、このデータベースを構築しました。また、ビルダーは、自社のプラットフォームで開発者向けのセキュリティガイダンスを公開する必要があります。Web3 の開発は比較的公開されているため、Reddit、Discord、Twitter などで調査を行うことも可能です。

組織は、開発プロセスの前と全体を通して、リスクをモデル化し、分析し、軽減する必要があります。ブロックチェーン開発者とセキュリティ専門家は、事前に以下のような質問をする必要があります。

  • コードの中で最も影響が大きいのはどの部分か?
  • インシデント対応プロトコルはどのように影響されますか?
  • 脆弱性はどのように報告されるのか?
  • リスクを高めるために、ユーザはどのようにサポートされるのか?
  • ユーザーの権限はどのように管理され、ウォレットやチェーンなどの相互運用性はどのように説明されるべきか?
  • 組織はコミュニティ参加型のガバナンスに対応していますか?
  • 違反が発生した場合、大規模な変更やチェーンの分岐はどのように処理されますか?

このような質問は、インシデントが発生したときよりも、むしろ先手を打って対処したほうがよいでしょう。その答えは、組織のサイバーセキュリティガバナンスプログラムに沿ったものであるべきです。

情報の品質やデータ操作のリスクを評価することは、オンチェーンかオフチェーンか、また、取引や所有権を確認するために必要な情報は何か、といった判断と関連付ける必要があります。

フィッシングなどの一般的な脅威には、テクノロジーのアーキテクチャと UX ワークフローの両方で対応する。例えば、セキュリティチームは、悪意のあるリンク検出ソフトウェアをブラウザにインストールするようユーザーに促し、多要素認証を要求し、オープンなWi-Fiネットワークを回避し、システムの更新を行うよう定期的にリマインダーを送信する必要があります。

また、プルーフ・オブ・ワーク型合意形成アルゴリズムの回避、マイニングプールの監視、他のノードの不審な行動の分析により、51%攻撃やシビル攻撃といったブロックチェーンアーキテクチャに特有のリスクを回避する必要があります。ブロックチェーンのキーとウォレットに関連する新しいユーザーの責任を考えると、セキュリティはユーザーのオンボーディング、コミュニケーション、およびエクスペリエンス・デザインに含まれる必要があります。

Web3 の開発ペースは速いですが、構築者は新しいコードやコミットを開始する前と後に、プロジェクトを評価し、テストする必要があります。これを怠ると、一般的なエクスプロイト、インサイダー攻撃のベクトル、ユーザーのプライバシー保護、その他のミスを見落としてしまい、違反や巨額の損失につながる可能性があります。

特に新興の開発企業は、従来の企業のようなセキュリティガバナンスがない可能性があるため、組織は定期的な監査も実施する必要があります。

その中には、開発の各段階で監査レベルのチェックを行う技術を開発したDeepReasonも含まれています。

セキュリティ・リーダーは、この新しいクラスのテクノロジーを取り入れるべきです。従来のセキュリティ手法も多く適用されますが、分散型台帳、暗号資産、ウォレット、およびデジタル通信の広範な金融化によって、セキュリティにはいくつかの明確な意味が生まれます。Web3 は企業とは無関係に思えるかもしれませんが、その根底にある技術は、企業とその顧客にとって大きな破壊的可能性を持っています。

出典:7 best practices for Web3 security risk mitigation

2022/06/25

週刊OSINT 2022-21号 / Week in OSINT #2022-21


今週は、興味深いコース、記事、ツールのヒント、そして膨大なリンク集をご紹介します!

オープンソースの情報、収集、分析に関する情報量が膨大になったことに驚かされます。特にここ数年のロックダウンの影響で、自由に利用できる情報や講座が間違いなく増えていて、これらがコミュニティと共有されるのは嬉しいことです。また、TwitterやDiscordなどで共有されているTipsの量もすごいですね。このような情報を定期的に再共有するコレクター集団の一員であることは、素晴らしいことです。

  • Geospatial Intelligence
  • SOCMINT Scraping and Analysis
  • Meta OSINT
  • Exif Viewers
  • Basic OSINT Investigations


トレーニング: Geospatial Intelligence

Dr DudeがTOCP Discordで地理空間情報についての無料講座をいくつか紹介してくれました。どれも基本的なこと、歴史、方法論、様々な分野でどのように使われるかをカバーしているが、USGIFによる完全無料のコースもある。GISの仕組み、衛星画像のさまざまなセンサー、人工知能やデータ解析といったことを教えてくれます。このコースでGEOINTのウィザードになれるとは思わないでほしいが、この専門分野の歴史と基本をすべて学ぶことができ、さらなる探求のための確かな基礎となるはずだ。


記事: SOCMINT Scraping and Analysis

Lauraは、ソーシャルメディアプラットフォームの基本的なデータ収集と分析に関するOS2INTのブログを共有しました。Instant Data Scraper、InVID/Weverifyプラグイン、Telegramメッセージをオープングループとチャンネルからスクレイピングするために作られたPythonツールについて書かれています。データの収集と分析の方法について、いくつかの良いリソースと説明がある、素晴らしいブログです。


リンク: Meta OSINT

Scottは、オープンソース・インテリジェンスに関する4000以上のリソース、ツール、記事、ブログの概要を作成した。素晴らしいインタラクティブなチャートでナビゲートすることもできるし、カテゴリごとにグループ化されたソースの完全なリストに飛び込むこともできる。膨大な数のリソースと、それを収集した素晴らしい仕事です。Scottさん、ありがとうございます。


ツール: Exif Viewers

JeffreyのExif Viewerがしばらくの間オフラインになっているため、他の解決策を探す必要がある人がいます。特に、Phil Harvey氏のExifToolのようなローカルソフトをインストールできない場合の解決策を探しているようです。これはおそらく最高のローカルツールですが、他にもいくつかの可能性があります。

拡張機能・アドオン

オンラインソリューション

もちろん、複数の拡張機能、アドオン、またはウェブサイトがありますが、ここですべてを追加することはできません。ブラウザの拡張機能の中には、表示したいフィールドを正確に指定しない限り、基本的な情報しか表示しないものがあります(Exif Viewer Classicなど)ので、ご注意ください。


記事: Basic OSINT Investigations

今月初め、Sofia SantosはOSINT調査の基本的なステップについて、軍事輸送を例にとって記事を書いた。彼女は、多くの新参者がOSINTとして見ているデータの収集にはあまり重点を置いていません。しかし、この記事では、すでに収集されたデータを使って、5つのWと1つのHの一部に答えています(リンク)。これから始めようとしている人、データの収集で止まっている人への良い入門書です。


出典:Week in OSINT #2022-21

オマーン航空がワンワールド・アライアンスに加盟 / Oman Air to join the oneworld alliance with Avios ‘earn and burn’ on the way

 

オマーン航空は、2022年6月20日、ブリティッシュ・エアウェイズと並んで、航空連合「ワンワールド」に加盟すると発表した。

これにより、2024年までにイギリスとマスカット間およびそれ以降の接続都市を結ぶオマーン航空のフライトでAviosを獲得・交換することができるようになります。

すでにオマーン航空と密接に連携しているカタール航空は、スポンサーとして、統合のためのサポートを提供することに同意しています。

オマーン航空が加わることで、ワンワールド・アライアンスはカタール航空やロイヤル・ヨルダン航空と並んで、中東でさらに強力な地位を築くことになります。

スターアライアンスにはエジプト航空、スカイチームにはミドルイースト航空とサウディア航空がありますが、スターアライアンスとスカイチームはやや無防備な状態になります。エミレーツ航空が主要アライアンスに加盟することはないでしょうが、エティハド航空に対しては、他の 2 つのグループのいずれかと提携するよう圧力がかかることになるかもしれません。

オマーン航空は、ワンワールド・アライアンスのルートマップに、オマーンのドゥクムとハサブ、バングラデシュのチッタゴンの 3 都市を新たに追加しました。 同航空はマスカット、サララ、バンコクにラウンジを有しています。

オマーン航空は現在、ボーイング737、ボーイング787、エアバスA330を使用し、20地域、41都市に就航しています。

オマーン航空は上品なオペレーションで、アライアンスに加わるにふさわしい存在です。唯一の欠点は、ブリティッシュ・エアウェイズがヘルシンキ(フィンエアーの本拠地)やクアラルンプール(マレーシア航空の本拠地)に運航しなくなったように、オマーン航空がワンワールドに加盟すると、オマーンへの自社便を再開する可能性が低くなることです。

参考までに、現在のワンワールド・アライアンス加盟航空会社は、アラスカ航空、アメリカン航空、British Airways、キャセイパシフィック航空、Finnair、Iberia、日本航空、マレーシア航空、カンタス航空、Qatar Airways、ロイヤル エア モロッコ、ロイヤル ヨルダン航空およびスリランカ航空となっています。Fiji Airlines は、「ワンワールド・コネクト」パートナー会員です。ロシアの航空会社である S7 は、現在メンバーシップを停止しています。

出典:Oman Air to join the oneworld alliance with Avios ‘earn and burn’ on the way

2022/06/24

GCC(Go Curry Cracker)式FIREアセットアロケーション2022 / GCC Asset Allocation 2022

 
私たちは、2012年後半からFIRE生活しています(9年以上。)

その間にライフスタイル(と予算)はかなり大きく変化しましたが、ほとんどの場合、ポートフォリオは大きく変わりません。

何が違うのか、なぜ違うのかを探ってみましょう。(大きな変化がいくつかあります。)

GCC Asset Allocation

2022年5月上旬現在、私たちのポートフォリオはこのようになっています。


Assets and Allocation

ポートフォリオは、引き続き株式、債券、現金が中心となっています。

以下はその内訳です。


米国株 77% → 主にVTI、一部S&P500と小型株信託を旧401kで運用。

国際株式 17% → 全てVXUS

債券 1% → 中期国債(IEI) 

オルタナティブ 4% → 全て100%VNQ(REIT)およびVTIの一部としてのREIT保有

キャッシュ 1%


興味深い比率をいくつか紹介します。

株式:債券&現金=98:2(株式100%から脱却傾向)

米国株:外国株=80:20


経年変化(今年はBIGな変化も)

これは、FIRE後の丸9年間における、私たちの流動的な純資産に対する配分比率の素晴らしいチャートです。当初から、株式と債券の比率は9対1くらいでした。これは、キャッシュフロー管理のために短期資金を貯めたため、多少変動しましたが、ほとんどの場合、一貫していました。武漢ウイルスのパンデミックの初期には、債券を売却して株式を買い増し、今ではポートフォリオはこれまでで最も株式偏重になっています。


これは、家を現金で購入し、その際に債券の99%を清算したことも理由の一つです。

また、同じデータをドル建てで見る方法もあります。


重要な点:

現在、FIRE時に保有していたポートフォリオ全体の価値よりも多くの米国株を保有しています。

私たちのポートフォリオの価値は、2年前とほぼ同じです... なぜなら、武漢ウイルスのパンデミック時に利確して家を買ったからです。

底値で債券を売って株を買ったので、その分利益が増えました。

じゃあ...私たちはタダで家を手に入れたの?

住宅ローンを組んで、その一部で株を買ったので、初めて純資産(緑の線)がポートフォリオの価値を下回りました(現在約10%ダウン😢)

なぜか?借り入れはオイシイからです。

家は、4%ルールで当てにならないので、ポートフォリオ/流動的純資産には含めない。

出典:GCC Asset Allocation 2022

クラウドフレアの大規模障害の原因は設定ミスだった。 ~Discord、Pixiv、Amazon、Skype、京都府、原神、VALORANT、マイニンテンドーストアなどが影響~



CDNプロバイダーの米Cloudflareは、2022年6月21日午後(日本時間)に発生したネットワーク障害についての報告を公開しました。

Cloudflareの報告によると障害はBGP(Border Gateway Protocol)の設定ミスが原因で、これにより東京データセンターを含む同社の主要な19のデータセンターで障害が発生したとのことです。

同社は過去1年半をかけて、東京データセンターを含むトラフィックの多い19のデータセンターに対して同社内で「Multi-Colo PoP」(MCP)と呼ばれる、接続のメッシュを作成するルーティングの追加レイヤーを用いてより復元力のある新しいアーキテクチャを展開してきました。

このメッシュを使用するとデータセンターの内部ネットワークの一部を簡単に無効化あるいは有効化でき、それによりメンテナンスやトラブルへの対処を行うことができるようになったとのことでした。

しかし今回の障害は、この新しいアーキテクチャのネットワークに対して、データセンター間のルーティングを設定するBGP設定にミスがあったことが原因だと報告されています。



盛岡四高で進路希望のデータ保存を誤り、生徒も閲覧可能に


宮城県教委は2022年6月22日、盛岡四高(上柿剛校長、生徒725人)で3年生の進路希望調査結果が、パソコンやタブレット端末上で生徒も閲覧できる状態で保存されていたと明らかにした。管理する教員が情報共有アプリ内の保存場所を誤った。現在は削除され、校外への情報流出はない。

県教委と同校によると、閲覧できたデータは、3年生240人分の氏名や志望大学・学部などを記した調査用紙のPDF。生徒と教員が課題の共有などに使う米マイクロソフトのアプリ「チームズ」内で16日から、3年生全員が見られる位置に保存されていた。

20日午後4時ごろに生徒の指摘で発覚。本来は閲覧を教員のみに制限すべきだった。学校は21日に生徒に謝罪し、閲覧状況を確認するアンケートを実施。23日に保護者説明会を開く。

出典:進路希望のデータ保存で誤り 盛岡四高、生徒も閲覧可能に | 岩手日報 IWATE NIPPOアーカイブ

佐賀新聞社、個人情報入りのファイルを誤送信


佐賀県は2022年6月22日、産学官でつくる「県産業人材確保プロジェクト推進会議」(事務局・県産業人材課)が実施予定の高校生の保護者向け企業合同説明会について、開催業務を委託していた佐賀新聞社(佐賀市)で、個人情報の流出事案が発生したと発表した。

県によると、同社は20日夕、7月の説明会で配布するパンフレットに関して、原稿をエクセルファイルに一覧化し、出展企業105社にメール送信。しかし、ファイルの別シートに、電話番号やメールアドレスなどが書かれた出展企業の担当者名簿も含まれていた。

翌日午前、出展企業から同社に指摘があり発覚。同社は出展企業に謝罪し、メールを削除してもらった。

佐賀新聞社地域ビジネス部の水町研一部長は取材に対し、「注意不足だった。個人情報の管理を徹底したい」と話した。

出典:県から事業受託の佐賀新聞社、個人情報入りのファイルを誤送信アーカイブ

誤発送による個人情報の流出について 2022年6月23日 港区


区は、成人の風しん対策事業の予防接種助成を申請した区民に対し、申請時に提出された健康診断結果票(記載項目:カナ氏名、生年月日、職場、身長体重、視力、血圧、風しん抗体検査等)を郵送で返却する際、並行して処理していた別の区民への発送物に誤封入して送付してしまいました。

区は、再発防止に向け、発送作業時の事務処理手順等を見直して個人情報の取扱いに厳正を期すともに、再発防止策を徹底し、区民の皆さまの信頼回復に努めてまいります。

経緯

6月15日(水曜)、保健予防課は、成人の風しん対策事業の予防接種助成を申請した区民2名に予防接種予診票を郵送しました。そのうち1名に対しては、申請時に提出された健康診断結果票の原本を返却のために同封して送付しました。

6月17日(金曜)、保健予防課に、予防接種予診票を受け取った方から「他人の健康診断結果票が同封されている」という問い合わせがあり、誤発送していたことが分かりました。

保健予防課は、誤った資料が届いた方のご自宅を訪問して直接謝罪をするとともに、当該資料を回収しました。

また、もう一人の方に対しても速やかに連絡をとって謝罪し、ご本人の希望により、郵送で健康診断結果票を返却しました。

原因

書類発送の際は複数の職員で発送物を確認していますが、今回、封緘の段階で書類の差し替えが発生し、その際にダブルチェックをせず発送してしまいました。

再発防止策

区は、直ちに、職員に向けた個人情報の取扱いに関する研修と再発防止対策検討会を実施し、職員に個人情報の重要性を再認識させるとともに、書類発送時の確認項目や作業環境、事務処理手順を見直し、再発防止に向けて徹底するよう指導しました。

TBカワシマ タイ販社に不正アクセス


トヨタ紡織は2022年6月23日、グループ会社TBカワシマの子会社であるタイの販売会社において、第三者による不正アクセスを受けたことを確認したと発表した。

不正アクセスを受けた機器をネットワーク接続から速やかに遮断しており、ほかの拠点への影響はないという。現時点では、同社グループにおける生産・販売活動への支障はなく、通常通り稼働しているとした。現在は現地の捜査機関へ被害申告の準備を進めており、捜査機関やサイバーセキュリティの専門機関と連携をしながら対応を進めるとしている。

なお、23日14時配信の日本経済新聞電子版記事によれば、サーバーにあるデータが漏えいしたほか、データが暗号化されて閲覧できない状態になっているもよう。

高校で学校説明会の申込者情報が閲覧可能に - 宮城県


宮城県の県立高校において、ウェブサイトより学校説明会へ申し込んだ中学生の個人情報が、第三者より閲覧できる状態だったことがわかった。

宮城県によれば、2022年6月20日9時から17時にかけて、ウェブサイトより同校の学校説明会へ申し込みをした中学生の個人情報最大101人分が申し込みフォーム上のボタンより閲覧できる状態となっていたもの。

同日17時前に申し込みを行った中学生の保護者から指摘があり問題が判明。氏名、在籍中学校名、保護者参加の有無、参加日時、体験授業の希望などが含まれる。

職員が設定を誤り、フォームを公開してしまったもので、公開前に動作確認なども行っていなかった。問題の発覚を受けて申し込みフォームによる受付を中止。入力済みの情報を閲覧できないよう修正した。

同校では、対象となる中学生の保護者に対してメールで経緯を説明して謝罪。在籍する中学校の校長に対しても、電話で説明と謝罪を行っている。

出典:高校で学校説明会の申込者情報が閲覧可能に - 宮城県

2022/06/23

ブロックチェーンを可視化したサイト[txstreet.com] / This is one of the best blockchain visualizers


ビットコインは、誕生から10年以上経った今でも、その基本的な技術を理解するのが難しい場合があります。ビットコインの取引をバスの乗客に見立てて可視化した新しいウェブサイトは、暗号通貨の仕組みについて驚くほど説得力のある洞察を提供し、その動きを見ていると不思議なほど心を奪われます。

TxStreet.comは、BitcoinとBitcoin Cashのネットワークからのリアルタイムの取引データを、一連のバスに乗り込む乗客のSouth Park風の漫画に変換したものである。このサイトは、Bitcoin CashがBitcoinから「フォーク」して以来、支持者が対立している2つのネットワークの対比を示すことも意図している。しかし、このサイトからは、暗号通貨の基本的な知識やネットワークの日々の現実について多くを学ぶことができるので、この争いに加わる必要はない。

TxStreetの各漫画のキャラクターは、あるアカウントから別のアカウントに移動する暗号通貨決済を表しています。キャラクターの大きさは送金額に相当し、歩く速度は送金者がシステム手数料を支払って確認を迅速化しているかどうかを反映しています。キャラクターは、ビットコイン用とビットコインキャッシュ用の2つの駅に停車しているバスに向かって移動する。バスは取引の「ブロック」を表しており、基本的にすべてのブロックチェーンシステムが多かれ少なかれ一定の間隔で収集、集計、確認する記録の集合体である。TxStreetバスとその乗客は、取引のブロックがネットワークによって確認され、それぞれのブロックチェーン(各通貨の取引履歴の不変の記録)に追加されるたびに出発する。これは、不可解に見えるシステムのシンプルなメタファーであり、群衆の波と流れには、癒しとサスペンスが同時に存在します。

PayPay、PPAP撲滅へ!


PayPayは2022年6月21日、パスワード付き圧縮ファイルをメールに添付して送信し、パスワードを記載したメールを別送する、いわゆる「PPAP」の受信を7月13日にやめると発表した。WordやExcelのマクロファイルを添付したメールの受信も停止。今後は「Box」「PrimeDrive」など、クラウドストレージ経由でのファイル共有を受け付ける。

今後、パスワード付き圧縮ファイルやMicrosoft Officeマクロファイルをメールで受け取った場合は、本文を除いて添付ファイルを削除する。パスワード付き圧縮ファイルやMicrosoft Officeマクロファイルでない添付ファイルは受け取るが、個人情報をはじめとした重要な情報は添付しないよう取引先などに呼び掛けている。

代替手段として、PayPayが使うBoxやPrimeDriveといったクラウドストレージを活用。事前の連絡があれば、送信元が使うクラウドストレージ経由でのファイル共有も認める場合があるという。

PPAPの利用を巡っては、2021年11月にIIJが受信を停止。22年に入ってからはソフトバンクやアイティメディアも停止した。いずれもEmotetなどマルウェア対策が理由という。

宮城県警のメールサーバが不正に利用され、約3万件の迷惑メールが送信される


宮城県警は2022年6月22日、県警のメールサーバーに国外からとみられるメールが不正に送りつけられ、国外に転送されたと発表した。不正に中継されたメールは約3万件に上った。

県警は「警察のメールサーバーが不正中継されたのは初めてとみられる。セキュリティー面の問題の有無や、原因を早急に明らかにする」としている。情報流出やウイルス感染は確認されていないという。

不正中継は21日午前1時半ごろから午後11時過ぎに発生。転送されたメールは英文でプロジェクトへの融資を勧誘する内容で、いずれも同じ文面だった。

送信元は複数の国からで、主に欧州の複数のアドレスに転送された。

都の電子申請システムで不具合 - 別人の教員選考受験票を表示


東京都教育委員会は、2020年度の教員採用選考において、受験票の一部が別人のものと置き換わっていたことを明らかにした。一部は閲覧やダウンロードが行われたという。

東京都によれば、電子申請システムで申し込みがあった受験者のうち、110人分の受験票データが、本人以外の受験者より閲覧、ダウンロードできる状態だったという。

受験票には、氏名、住所、受験校種、教科、選考区分、受験番号、障害配慮の有無などが記載されている。2022年6月15日に受験者より別の受験者の受験票が表示されたとの指摘があり問題が判明した。

電子申請システムの運用業者が調査を行ったところ、電子申請システムにデータをアップロードした際、不具合により異なる受験者の受験票データが保存されたという。保存時にエラーが発生し、再度保存作業を行ったものの、正しいデータが保存できていなかった。

同日、電子申請システムから受験票データを削除。さらにログを調査したところ、9人の受験者が別の受験者の受験票を閲覧したり、ダウンロードしたことがわかった。

都では対象となる受験者に対し、メールや電話で経緯を説明し、謝罪。誤った受験票にアクセスしていた9人に対しては、データをダウンロードしている場合にはデータを削除するよう求めた。


出典:都の電子申請システムで不具合 - 別人の教員選考受験票を表示

2022/06/22

LV Plus(デジタル資産およびアプリケーション向けのWeb3.0基盤プラットフォームパブリックチェーン)は詐欺(rug pull)だった模様 / We are seeing a rugpull on project @LV__Metaverse (LV PLUS) - $LVP, which has dropped more than >92%. ~$1.5M USD was taken.


LV__Metaverse(LV PLUS)は詐欺(rug pull)だった模様。LVPトークンの価値は92%以上下落しています。運営側は1,500USD以上を持ち去った模様。


当社サーバーへの不正アクセスの調査結果について  2022年6月21日 株式会社長栄


当社は2022年5月18日付「当社サーバーへの不正アクセスについて」にて、当社サーバーに対する第三者による不正アクセス(以下「本不正アクセス」といいます。)の恐れがある事象が発生したことをお知らせいたしました。

この度、外部調査機関による調査が完了しましたので、下記のとおり調査結果及び是正措置についてご報告いたします。

本不正アクセスに関して、関係するすべての皆様に多大なるご迷惑をおかけすることとなり、深くお詫び申し上げます。

1.調査内容
・EDRセンサーを導入した端末のリアルタイムのモニタリング及び脅威情報の調査
・フォレンジック収集データをもとにした侵害調査
・システム、アプリケーション、ネットワークおよび仮想化ホストに関連したログ調査
・攻撃者が使用したツール、マルウェアの解析及び調査
・根本原因の特定
・情報の外部流出に関する調査

2.調査結果
調査の結果、本不正アクセスによる情報窃取、外部流出の痕跡は確認されませんでした。

3.是正措置
・EDRによる検知アラート、収集情報の全体調査及び能動対処
・リモートアクセス環境のVPN装置の更新
・多要素認証の適用
・内部ネットワークの構成変更
・セキュリティ教育の実施(予定)
・インシデント発生時の対応フローの策定(予定)

4.業績への影響
本不正アクセスにおいて、当社の業績への重要な影響はございません


メルマガ本文に別人の個人情報を誤記載 - 名鉄観光バス


名鉄観光バスは、メールマガジンの件名と本文に、送信先の顧客とは異なる氏名とメールアドレスを記載して送信するミスがあったことを明らかにした。

同社によれば、2022年6月17日17時過ぎに送信したメールマガジンにおいて、受信者とは関係ない顧客の氏名とメールアドレスが、件名と本文中に記載されたという。

従業員が送信時の設定作業において、送信先と本文で異なる宛先のデータを参照するミスがあったという。

同社は、誤送信した同日に対象となる顧客に謝罪のメールを送信。2日後19日に発生原因の説明と、誤送信したメールの削除を依頼するメールを送信している。また事故の発生を受けて個人情報保護委員会へ報告書を提出した。


出典:メルマガ本文に別人の個人情報を誤記載 - 名鉄観光バス

イベント応募者情報を誤送信、フォーム設定が未更新で - 東京都建設局


東京都建設局と東京都道路整備保全公社は、イベントの応募者に関する個人情報を関係ない事業者へ誤ってメールで送信するミスがあったことを明らかにした。

2022年6月15日に東京都道路整備保全公社のウェブサイトで、イベント「夢のみち2022 親子体験ツアー」の参加募集を行ったところ、関係ない事業者に対して応募者の個人情報を誤って送信していたもの。

ウェブサイトに応募フォームを設置したが、過去に業務を委託していた事業者のメールアドレスを送信先より削除していなかったという。応募者8組分の氏名、住所、電話番号、年齢、メールアドレスなどが送信された。

翌16日に誤送信先より連絡があり問題が判明した。メールの送信設定を修正するとともに、誤って送信されたメールが誤送信先において削除されたことを確認。対象となる応募者に対して経緯の説明と謝罪を行っている。


出典:イベント応募者情報を誤送信、フォーム設定が未更新で - 東京都建設局