【セキュリティ事件簿#2023-121】株式会社サンケイアイ 不正アクセスによるシステム障害に関するお詫びとご報告 2023年4月4日


2023年4月3日(月)、当社の業務関連データ等を格納するサーバーに対しランサムウェアによる攻撃があり、保管していた一部のデータが書き換えられる事案が発生いたしました。現時点で判明しております被害の状況および当社の対応状況につきましては、以下のとおりです。

1 発覚の日時

2023年4月3日(月)午前9時頃

2 感染被害

当社、一部社員のPCおよび、サーバー内の一部保管データが、ランサムウエアに感染 し、閲覧不能の状態となる。

3 復旧の日時

2023年4月3日(月)午後5時頃

4 対応状況

本件発覚後、ネットワークを遮断し、サーバー管理者および外部の専門業者と連携の上 、速やかな復旧を行いました。現在、外部へのデータ流出については確認されておりません。調査の結果を待って改めてご報告させていただきます。

皆様にご心配をお掛けしておりますこと、心よりお詫び申し上げます。当社といたしましては引き続き本件の原因究明と再発防止に努めて参ります。

リリース文アーカイブ

【セキュリティ事件簿#2023-120】北九州市立大学 北九州市立大学教員の懲戒処分について 2023年4月13日


公立大学法人北九州市立大学において、以下のとおり懲戒処分を行ったので公表します。 

1 被処分者 

文学部人間関係学科 准教授 髙西 敏正 55歳 

2 処分年月日 

令和5年2月7日(令和5年2月10日退職) 

3 処分の種類

及び程度 懲戒処分 諭旨解雇 

4 処分理由 

 被処分者において、次の行為が確認された。

①研究費不正使用

②無許可兼業等

③不正アクセス行為の禁止等に関する法律違反

 これらの行為は、公立大学法人北九州市立大学職員就業規則第57条第1項第1号に規定する「正当な理由なく無断欠勤をした場合」、第3号に規定する「故意又は重大な過失により本学に損害を与えた場合」、第5号に規定する「本学の信用又は名誉を著しく傷つけた場合」及び第9号に規定する「前各号に定めるもののほか、この規則によって遵守すべき事項に違反し、又は前各号に準ずる不都合な行為があった場合」に該当するため。 

リリース文アーカイブ

【セキュリティ事件簿#2023-119】株式会社出前館 アカウント連携システム不備による『出前館』アカウント情報閲覧の恐れに関するお詫びとお知らせ 2023年3月24日


平素より、当社が運営するデリバリーサービス『出前館』をご利用いただきまして、誠にありがとうございます。

株式会社出前館は、2023年3月23日(木)、出前館サービスのアカウントと、サードパーティーとのアカウント連携システムにおける不備による情報閲覧の恐れを解消しましたのでお知らせいたします。本事象は、1台のPCやスマホを複数のお客さまが共有し、サードパーティーとアカウント連携し、出前館サービスを利用するケースにおいて、特定の操作でログインすると、共有したPCやスマホで出前館サービスを使ったお客さまの出前館サービスのアカウント情報の一部が不適切な範囲で閲覧できるおそれがあることが内部調査により判明したものです。このアカウント情報にはクレジットカード情報は含まれておりません。現在はシステム改修を行い、アカウント情報が閲覧できる問題を解消し、該当するお客さまへの通知を行っております。また現在、本件に関わる個人情報の不正利用は確認されておりません。

当社サービスをご利用中のお客さまをはじめ多くの関係者の皆さまには多大なるご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

概要

本事象は、お客さまが出前館サービスのアカウントとサードパーティーとのアカウントを連携した後、同じPCやスマホで別のお客さまがログインし、さらにその後、同じPCやスマホで最初のお客さまが再度、出前館サービスにログインをするという状況において、通常のログインではなく、「アカウント連携によるログイン」を選ぶという操作が起きた場合に発生しておりました。このケースでは、後にログインしたお客さまの出前館サービスにおけるアカウント情報の一部を、再度ログインした最初のお客さまが閲覧できるという状態になっておりました。現在は、アカウント情報の不適切な閲覧はできないようシステム改修が完了しております。

今回の対象アカウント数には、ご家族同士が同じパソコンやスマホで出前館サービスにログインしているケースや、お客さまご自身が出前館アカウントを複数保持し切り替えて利用しているケースなど、お客さまが意図して使用している例も対象となっているため、アカウント情報の不適切な閲覧が行われていないケースが含まれております。

影響期間
2020年~2023年3月23日(木)

対象のアカウント数
25万2,860アカウント

アカウント情報の内訳
氏名、生年月日、性別、住所、電話番号、メールアドレス

対応
今回の調査を受けて、2023年3月23日(木)にシステム改修を行い、現在本事象は解消しております。

【セキュリティ事件簿#2023-118】エイ・ケイ・フランチャイズシステム株式会社 ノートパソコンの盗難に関するご報告とお詫び 2023年3月22日


この度、弊社が運営するファミリーマート下記店舗のアルバイト従業員に係る個人情報漏えいの問題が発生しました。

なお、下記対象店舗には、弊社が第三者から過去に運営を引き継いだ店舗が含まれております。

[対象店舗] 
栗生四丁目店 
シーノ大宮店 
池袋グリーン大通り店
池袋北口店 
東池袋明治通り店 
としまエコミューゼタウン店
サンシャイン南店 
上野駅前店 
日本青年館店
伊藤忠ビル店 
メトロ外苑前店 
神宮スタジアム通り店
青山ビル店 
中野弥生町本郷通り店 
城陽寺田店
城陽平川店 
東大阪三島店 
一津屋三丁目店
堺大野芝町店 
光明池南店 
吉井町二丁目店
南海春木駅前店 
福岡蒲田店 
香椎パークポート店
福岡パルコ店 
福岡平和店 

計 26 店

このような事態を招いたことにつきまして、深くお詫び申し上げます。

〇個人情報漏えいのおそれが発生した状況
  • 令和 5 年 3 月 6 日の夜間、弊社社員が帰宅途中に立ち寄った先で、ロッカーに入れていたカバンが盗難被害にあいました。
  • 弊社は、直ちに警察に被害届を提出いたしましたが、現在まで、盗難にあったカバン及び内容物は発見、回収されておりません。
  • 盗難にあったカバン内にはノートパソコンが入っており、ノートパソコン内には、アルバイト従業員の個人情報ファイル(住所、氏名、生年月日、電話番号、性別、銀行口座、社会保険加入状況、時給 等)が含まれておりました。
当該ノートパソコンについては、ログインパスワードを設定しており、当該パスワードなしに個人情報ファイルにアクセスすることはできません。

また、個人情報ファイルは既退職者の方のデータを非表示設定しており、上記ログインパスワードとは別のパスワードを更に入力しなければ表示されることはありません。

現時点では第三者への個人情報の流出及び不正使用等は確認されておりません。

弊社では、今回の事態を重く受け止め、深く反省し、再発防止策を早急に実施すると共に、個人情報の適切な取り扱いを周知徹底致します。


【セキュリティ事件簿#2023-117】奈良女子大学 情報セキュリティインシデントの発生について 2023年3月29日


この度、学生 1 名の大学メールアドレス及びパスワードが詐取され、Microsoft365のサービスを悪用しメールが送信される事案が発生しました。調査したところ、Microsoft365 に格納されていたユーザー情報(氏名及びメールアドレス)の一覧が表示できる Web ページへのアクセス制限が適切になされていなかったため、当該アカウントでログインされ、ユーザー情報が閲覧された可能性があることが判明しました。

既に当該学生のメールアドレスのパスワードは変更しており、変更後の不正ログインは確認されていません。また、ユーザー情報が閲覧できる Web ページには直ちにアクセスを制限する設定を実施しました。

このような事案が発生し、関係の皆様に多大なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事案を重く受け止め、メールアドレス及びパスワードの厳重な取扱いを徹底するとともに、多要素認証の導入など再発防止措置を講じてまいります。

なお、現在までに、上記以外のメールアドレスやアカウントの悪用等に関する事実は確認されていません。また、この事案に関して、個人情報漏洩の可能性に該当する方に対しては、個別にお詫びと状況説明を行っています。

1.経緯
  1. 2023 年 3 月 3 日(金)に、学生 1 名の大学メールアドレスに不審なメールが大量に届いたとの相談が受信後すぐにあり、その場でパスワードを変更した。
    聞き取り調査の結果、当該学生が外部企業等のウェブサイト登録のため、大学のメールアドレスを用いた際に、本学で使用していたパスワードを使いまわしていたことが判明した。
  2. 大学のメールアドレスをアカウントとする Microsoft365 のサービスについて調べたところ、当該学生のアカウントで 2023 年 2 月 7 日(火)以降に不審なアクセスが複数回なされたことが判明した。
  3. 不審なメールを調査したところ、Microsoft365 の当該アカウントがスパムメールの送信元として悪用されていたことが判明した。上記1.でのパスワード変更後は不正な利用は確認されていない。
  4. Microsoft365 サービス上の Web ページで組織内のユーザー情報が閲覧できるページを点検したところ、情報漏洩の可能性があることが判明した。当該ページへはすぐにアクセス制限を実施した。
2.漏洩した可能性のある情報

 氏名・大学メールアドレス
教職員・・・ 1,144 件
学生 ・・・ 3,727 件

3.当該アカウントから送信されたスパムメール件数
 389 件

【セキュリティ事件簿#2023-116】東京都 個人情報(メールアドレス)の漏えいについて 2023年03月17日


生活文化スポーツ局において、個人情報を漏えいする事故が発生しましたので、お知らせします。

関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

(1)発生日
令和5年3月16日(木曜日)

(2)漏えいした個人情報
参加者及び登壇者103名のアドレス105件

(3)事故の概要
3月16日に開催した「ウクライナ避難民支援連携フォーラム」について、参加者及び登壇者に資料の事前配布のメールを送信するところ、誤ってメールアドレスをBCC欄ではなく宛先欄に入力して送信

2 経緯

  • 3月16日(木曜日) 13時50分
    • 「ウクライナ避難民支援連携フォーラム」参加者及び登壇者103名(アドレスは105件)に対し、職員がメールを宛先欄で一斉送信
      すぐに、メールの送信取消機能による処理を実施した結果、宛先欄にメールアドレスが入力された状態で、再度、メールが自動送信されてしまった。
  • 同日14時8分
    • メールの送信取消機能による処理を、再度実施。結果、宛先欄にメールアドレスが入力された状態で、3回目のメールが自動送信されてしまった。
  • 同日17時49分
    • 送信先に当該メールの削除依頼のメールを送信、電話での説明を開始
  • 同日18時29分
    • 取消処理のメールに対して、参加者の一人が全員宛に返信。その結果、宛先欄にメールアドレスが入力された状態でメールが送信された。
  • 同日19時41分
    • 「TO(宛先)」になっているものについては削除をお願いし、そのメールには返信しないようすることについて、再度、メールで依頼
  • 3月17日(金曜日)13時00分時点
    • 流出したメールアドレスの所有者に電話連絡。103名中98名へ謝罪・説明(5名不在)
    • 不在の5名の方には、引き続き連絡していく
    • 現在のところ二次被害等の連絡は受けていない
3 発生原因と再発防止策

(1)発生原因

本件は、外部の複数の相手先へ同時にメールを送る際、通常は複数の職員でBCC欄にメールアドレスが入力されていることを確認した上で送信しているところ、複数の職員での確認を行わなかったことが原因です。

また、フォーラム開催中であり、管理職をはじめ多くの職員が、事務室内におらず、送信を担当した職員がすぐに報告した上で対応することが困難だったため、適切な事後処理が行われなかったことによります。

(2)再発防止策

  • 局内の全部署に対し、事故の再発防止に確実に取り組むよう通知を発出するとともに、生活文化スポーツ局サイバーセキュリティ委員会を開催し、個人情報等の適正な取扱徹底について周知しました。
  • 今後は、外部の複数の相手先へメールを送付する際は、必ずメールアドレスをBCC欄に入力するとともに、他の職員による確認を行うというルールについて、全職員に再徹底し、再発防止を図ってまいります。
    また、局職員全員に改めて注意喚起を行い、事業執行体制も含め、全部署において再発防止に向けて万全を期してまいります。

【セキュリティ事件簿#2023-115】時事通信社 個人情報入りパソコン紛失に関するお知らせとおわび 2023年3月16日


このたび、当社編集局の記者が業務に使用する個人情報入りのノートパソコンを紛失したことが判明しました。以下、概要をお知らせするとともに、関係先の皆さまに深くおわび申し上げます。 

パソコンは、記者が主に記事執筆や取材資料の管理、メールの送受信などのために利用していました。紛失したのは2023年3月9日午前0時半から1時ごろにかけてで、場所は東京都港区内の路上です。タクシーに乗ろうとしたところパソコンを入れたリュックサックの紛失に気付き、周辺を捜すとともに遺失届を出しましたが、発見に至っていません。直前まで飲酒していて記憶があいまいなため、紛失時の状況は不明です。

パソコンには、取材対象者約70人分の氏名と住所等をまとめた記者作成のリストのほか、記者が取材内容をまとめたメモなども記録されていました。パソコンの立ち上げにはパスワード等の入力が必要で、紛失物の中にパスワードを類推できる情報は含まれておらず、現時点で個人情報の流出などは確認されておりません。

記録されていた個人情報の関係者には、おわびを申し上げているところです。今後は個人
情報の管理体制をより強化し、再発防止に努める所存です。関係者の皆さまには、多大なる
ご心配とご迷惑をお掛けすることを重ねて深くおわび申し上げます。

【セキュリティ事件簿#2023-031】日本臓器移植ネットワーク 当社団における不正アクセスに起因するメールデータの一部消失に関するお知らせ 2023年03月14日


当社団がメール業務を委託する事業者(メールサービスプロバイダ)において、外部からの不正アクセスにより、当社団の特定のメールアドレスにおいて一部データが消失したことが判明いたしました。

以下、消失したデータ、発覚の経緯と対応、今後の対応についてお知らせいたします。
また、該当の方々へはお詫びとご報告をさせていただいております。

なお、現時点において、本件に関わるデータの流出は確認されておらず、不正利用等は確認されておりません。

当社団では、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の情報セキュリティの強化に努めて参ります。

何卒ご理解とご協力を賜りますようお願い申し上げます。

1.消失したデータ
  • 当社団ホームページのお問い合わせフォームよりご連絡をいただいた方の中で、当社団より折り返し送受信をしたメールデータ
  • 最大199名・201件
  • 含まれている可能性のあるデータ:氏名、メールアドレス、会社名などの所属 (当社団よりメール送受信した宛先情報)、メール本文内容
  • お問い合わせフォームに入力していただいた電話番号・住所・お問い合わせ内容のデータは含まれていません
2.発覚の経緯と対応
  • 2023年1月16日
    当社団の特定のメールアドレスにおいて、一部のデータが消失している事実を当社団内部で発見。メールサービスを業務委託している事業者に問い合わせ。当該事業者において調査したところ、外部からの不正アクセスによるデータの消失であることが判明。
  • 2023年1月18日
    個人情報保護委員会へ不正アクセス事案の発生について報告。
    その後、継続的に報告、相談。
  • 2023年1月20日
    当社団ホームページにて不正アクセス事案の発生について公開。
  • 2023年1月26日
    所管警察署に被害届提出。
  • 2023年2月~3月現在
    消失データの調査及び関係機関との協議。
  • 2023年3月中旬
    該当する方々へのお詫びとご報告。
3.今後の対応

今後、早急に、セキュリティレベルの高いメール業務を委託する事業者(メールサービスプロバイダ)への見直しを図り、セキュリティ強化に努めて参ります。

【セキュリティ事件簿#2023-114】アイ工務店 お客様情報の流出に関するお詫びとご報告 2023年3月13日


このたび、弊社に資料請求等いただいたお客様情報が外部に流出していたことが判明いたしました。

当該お客様情報流出の概要と対応につきまして、下記のとおりご報告いたしますとともに、 お客様をはじめとする関係者の皆様に多大なるご心配をおかけしますこと、深くお詫び申し上げます。

1 概要

2023年3月4日、弊社顧客情報流出について外部から情報提供があり、事実確認の結果、元従員がお客様情報を不正に持ち出していたことが判明いたしました。

社内調査を進め、元従業員が転職した先の企業に不正に情報提供していた事実が判明したことから、当該企業へは個人データの返却といかなる利用も停止するよう申し入れており、併せて警察へも破害を申告しております。

2 対象となる個人データの内容

(1) 氏名
(2) 電話番号
(3) 住所
(4) メールアドレス
 ※ 銀行口座、クレジットカード番号の情報はありません。

3 再発防止に向けて

このたびの事態を厳粛に受け止め、 現状の管理体制の改善と監視体制の強化、 従業員教育の徹底を図り、全社的に再発防止に努めてまいります。

ランサムウェアギャングが発表した被害組織リスト(2023年2月・3月合併版)BY DARKTRACER

 

Dark Tracerによる、2023年2月、3月のランサムウェア被害を受けた日本企業。

・株式会社 孝(hyosung.jp)


・株式会社オーディオテクニカ(audio-technica.com)


・株式会社ソルパック(SOLPAC.CO.JP)




【セキュリティ事件簿#2023-113】平塚市 職員の懲戒処分 2023年3月10日


 地方公務員法第29条第1項の規定に基づき、次のとおり職員の懲戒処分を行いましたので報告いたします。

所属部局市長部局
職名主査
性別男性
年齢38歳
処分年月日令和5年3月10日
事案の概要1 当該職員は、令和4年7月12日に、権限が無いにもかかわらず、他の職員がログインしていた住民記録システムの端末から、同僚職員Aの家族の住所を不正に収集し、同僚職員Aを誹謗中傷する文書を、市民である同僚職員Aの家族に郵送した。
2 また、令和4年11月末から令和5年1月初旬の間に、前所属において、業務上知り、記憶していた市民の秘密情報を、同僚職員Bと同僚職員Cの計2人に対して、文書で漏えいした。
 さらに、同情報を市役所内のD課とE課の2課に対して、本市ウェブ内の各課への問い合わせフォームから送信し、漏えいした。
3 さらに、前所属において、平成29年度から令和3年度の間に住民記録システムの端末を利用し、約70人の市職員の個人情報を職務以外の目的で閲覧した。
処分内容停職6月
管理監督者の処分課長及び課長代理、課長(当時)及び課長代理(当時) 文書訓告

【セキュリティ事件簿#2023-112】豊田市 個人情報(電子メールアドレス)の流出について 2023年4月5日


豊田市から送信したメールの受信者のメールアドレスが流出した件(令和5年4月4日報道発表済み)について、本市において調査したところ、以下のとおり判明しました。

発生期間

令和5年4月1日(土曜日)午後6時9分~4日(火曜日)午後4時56分

※この間、「強制BCCシステム」が停止していた

流出したメールアドレス

652件(対象となるメール24通に含まれるメールアドレスの合計)

※個人情報に該当しないメールアドレス(当該メールに含まれる情報だけでは個人を特定するに至らないもの)を含む

原因(既報)

システム提供元のひまわりネットワーク株式会社が「強制BCCシステム」の稼働に必要なソフトウェアライセンスの更新作業を怠ったため、一時的に「強制BCCシステム」が作動しない状況となっていた。

判明後の対応

令和5年4月5日(水曜日)、流出したメールアドレスの対象者全員に、本件に関するお詫びと事情説明、当該メールの削除を依頼する旨のメールを順次個別に送信しているところ。

再発防止策
  • 市からシステム提供元の事業者に、ライセンス有効期限の管理及び更新手続きを徹底するよう指導(4月5日実施済み)
  • 同事業者において、「強制BCCシステム」のソフトウェアライセンスの有効期限が近づいたことを社内メール上で知らせるアラート機能を導入予定
  • 情報システム課及び事業者において日々の業務開始前に「強制BCCシステム」の稼働状況を双方で確認する
  • 市の職員に対し、「強制BCCシステム」の稼働状況にかかわらず、複数人宛に同時にメールを送信する際は「宛先(To)」や「CC」にアドレスを入力せず、「BCC」に入力するよう、研修等を実施し、徹底させる

【セキュリティ事件簿#2023-111】川崎設備工業株式会社 名刺管理システムへの不正アクセスによる情報漏えいに関するお知らせとお詫び 2023年3月31日


平素は格別のご高配を賜り厚く御礼申し上げます。

この度、弊社が利用する名刺管理システムから名刺情報(会社名、部署、役職、氏名、会社住所、電話番号、メールアドレス等)の漏えいが発生しましたので、お知らせいたします。

具体的には、名刺情報を管理しておりますシステムに社員以外の第三者が不正にログインして、名刺情報を閲覧したことが判明いたしました。

詳細及び対策につきましては下記のとおりです。

ご心配とご迷惑をおかけすることになり、心よりお詫び申し上げます。

■不正アクセスされた情報
弊社社員と名刺交換を行い、名刺管理システムに登録されている66,214件の名刺情報。

■経緯
2023年3月22日に名刺管理システムの運営会社より、不正なIPアドレスより弊社社員のIDでアクセスされていると連絡があり、当該社員に確認したところ、2023年2月13日に名刺管理システムの運営会社を名乗る担当者より電話とメールで連絡があり、IDとパスワードを詐取されていたことが判明しました。

■被害の状況
現時点で、営業メールや営業電話等の被害は確認されておりません。

■実施済の対応
現時点で、以下の再発防止策を含めた対応を行いました。
 ①名刺管理システムの当該社員のIDの停止
 ②名刺管理システムに登録されている全IDのパスワードの初期化
 ③全社員への注意喚起(IDやパスワードを安易に教えないこと)
 ④個人情報保護委員会への報告(速報)

■今後の対応
本件につきまして、重ねてお詫び申し上げますとともに、今回の事態を厳粛に受け止め、再発防止に努めて参ります。具体的には次のように取り組みます。
 ①データへのアクセスの二段階認証方式によるセキュリティ強化
 ②個人情報保護の重要性と情報セキュリティ及び個人情報保護規程に関する社員教育の徹底
 ③個人情報保護委員会への最終報告
また、順次、名刺管理システムに登録されているお取引様への連絡を進めてまいります。
今後とも変わらぬお引き立てのほど、 何卒よろしくお願い申し上げます。

【セキュリティ事件簿#2023-110】株式会社地元カンパニー 不正アクセス発生に関するお詫びとご報告 2023年3月31日


この度、弊社委託先においてPCへの不正アクセスを受ける被害が発生いたしました。

関係者の皆様へ多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。
なお、現時点で情報漏洩の有無を特定することが困難な状況であるため、漏洩の可能性がわずかでもある全てのお客様に本日より電子メールまたは封書にてご連絡を申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1,事象の概要
  • 弊社委託先PCにおいて、2023年3月16日11時頃、インターネット閲覧中に何らかのソフトウェアのインストールに誘導されたと思われる事象が発生いたしました
  • 当該ソフトウェアを使用し第三者がPC上に保存されたデータに不正にアクセスを行った可能性があります
  • 弊社システム上やクラウド上のデータへの不正なアクセスは確認されておりません
  • 現時点で個人情報の不正利用などの二次被害は確認されておりません
2,被害発覚後の対応

事象判明後、2023年3月16日13時頃までに以下の対応を完了しております
    • 当該PCをすべてのネットワークから遮断し、攻撃者からのアクセスを防止
    • 委託先のアカウントから弊社システム及びデータへのアクセスを停止
    • 委託先に貸与していた弊社システムのアカウントを停止
その後、以下の対応を実施しております
  • 委託先が使用していたPCやアカウントから弊社システム及びデータへのアクセス履歴を確認
  • 専門業者による調査を実施(現在調査中)
3,PC上に保存されていた個人情報
  • 受け取り日の指定が必要な商品のお届け先様の情報(荷届先名・郵便番号・住所・電話番号・メールアドレス)ならびにギフト贈り主様の情報(贈り主氏名)
4,再発防止策
  • PC上に個人情報を残さず、クラウド上で情報を扱う運用の徹底をおこないます
  • 情報セキュリティに関する業務委託先選定の基準を見直します
  • 委託先および社員に対し、情報セキュリティについての研修を実施いたします
なお、本件は警察にも被害届を提出しており、現在までに個人情報の不正利用等に関する報告は受けておりません。

当社では今回の事態を重く受け止め、引き続き二次被害発生状況の監視を行うとともに、再発防止に向けたセキュリティの強化等の対応をしてまいります。

また、本件に関する二次被害等の新たな情報に関しましては、弊社ホームページにてご報告いたします。

皆様へは多大なるご迷惑とご心配をおかけすることとなり、重ねて深くお詫び申し上げます。

【セキュリティ事件簿#2023-109】株式会社IDOM 当社サーバーへの不正アクセスに関するお知らせ 2023年4月3日


この度、当社は、当社サーバーに対して不正アクセス攻撃を受けたことを確認しましたので、お知らせいたします。

2023年3月30日に、当社のサーバーに不正なアクセスがあったことを確認いたしました。
現在、被害の拡大を防ぐために被害端末をネットワークから遮断し、不正アクセスを受けたファイルの特定、不正アクセスの原因調査、復旧作業を併行して進めておりますが、ネットワーク広域に攻撃の被害が及んでいることもあり、全ての特定・調査完了と日常業務への完全な復旧までにはしばらくの時間がかかる見込みとなっております。

警察をはじめシステム会社などの関係機関への報告と助言のもと、連携しながら対応を進めております。

今後、お知らせすべき事項が判明しましたら、改めて開示いたします。

関係各位には、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

【セキュリティ事件簿#2023-108】新潟医療福祉大学 本学ウェブサイトの改ざんに関するお詫びと復旧のご報告 2023年4月3日


2023年4月1日(土)、本学ウェブサイトが第三者からの不正アクセスにより改ざんされ、不適切なウェブサイトが表示されていたことが判明いたしました。このため、同ウェブサイトを一時的に閉鎖し調査を行っておりましたが、原因を特定した上で対策を実施しウェブサイトを復旧いたしましたのでご報告いたします。

なお、個人情報をはじめ学内で管理するデータに対する不正なアクセスは確認されておりませんことをご報告いたします。

ご利用いただいております皆さまには、ご心配やご迷惑、ご不便をお掛けいたしましたことを、深くお詫び申し上げます。

■経緯
2023年4月1日(土)21時40分頃、本学ウェブサイトで不正アクセスの可能性がある事を確認し、同22時10分に同ウェブサイトを閉鎖し調査を開始いたしました。並行して、同ウェブサイトの正常な状態への復旧作業と、ウェブサーバーのウイルスチェックなどの緊急対策を実施し、翌0時48分に閉鎖を解除、翌3時55分に復旧をいたしました。

■対象サイト
新潟医療福祉大学ウェブサイト
https://www.nuhw.ac.jp/

■改ざん内容とその影響
ウェブサイトを更新するシステムであるCMS(Contents Management System)に対して外部から不正にアクセスされ、ウェブサーバー内のファイルが書き換えられたことで、上記ウェブサイトにアクセスすると、悪意のあるウェブサイトへ自動的に誘導されてしまう状況となっておりました。現在のところ不適切なウェブサイトが表示されたことによる被害等の報告はございません。また、同ウェブサイトでの個人情報等の取扱いはないため流出はございません。

■改ざんの影響が考えられる期間
2023年4月1日(土) 20時51分 ~ 2023年4月1日(土) 22時10分

■主な対応内容
(1)今回攻撃対象となったCMSの脆弱性を特定し対策を実施
アクセスログの解析により、外部からの不正アクセスによってウェブサイトが改ざんされた原因である脆弱性を特定し、対策を実施いたしました。

(2)ウェブサイトの全コンテンツにおいて問題がないことを確認
ウェブサイトの全コンテンツにおいて、不具合箇所を修正し問題がないことを確認いたしました。

(3)ウェブサーバー内の全ファイルに対しウイルスチェックを実施
ウェブサーバーにおいてウイルスの検知数は0件であることを確認いたしました。

■ご利用の皆さまへのお願い
上記期間中に、本学ウェブサイトにアクセスされた可能性がある皆さまにおかれましては、誠にお手数ですが、お手持ちのセキュリティソフトを最新の状態にし、ウイルスチェック・駆除の実施をお願いいたします。

本件につきましては、ご迷惑及びご心配をお掛けいたしましたことを重ねて深くお詫び申し上げますと共に、今後はさらに対策・監視を強化し万全を期して運営して参ります。

【セキュリティ事件簿#2023-095】国土交通省 配信を停止している簡易型河川監視カメラの再開について 2023年3月31日


川の防災情報にて配信を停止している国土交通省が設置する簡易型河川監視カメラの一部(337 台)について、配信再開に向けた調整を進めています。

今回、停止をしている簡易型河川監視カメラを回収し、通信記録などの調査を行ったところ不正アクセスの疑いがある痕跡が確認されましたので、下記の対策を実施するものとしました。

対策を実施した簡易型河川監視カメラは、令和5年5月までを目標として順次、再開作業を進めてまいります。

【実施する対策】
 ・機器交換
 ・通信ポートの閉塞とパスワードの再設定

【参考情報】
 ・河川を監視する目的で設置しているカメラは全国で約10,000 台
 ・そのうち携帯電話回線で通信する簡易型河川監視カメラは全国で約5,000 台
 ・今回、停止している簡易型河川監視カメラは、全国で337 台
  (関東2 台、中部26 台、近畿261 台、中国37 台、四国5 台、九州6 台)

【セキュリティ事件簿#2023-022】株式会社アダストリア 不正アクセスに関する調査結果のご報告(第三報) 2023年3月31日


当社は、当社が管理運用するサーバー等が外部の第三者による不正アクセスを受け、一部のお客さまの個人情報が流出した可能性を否定できないこと(以下、本件)について、2023年1月19日付けおよび1月24日付けで公表(以下、既報※1、※2)いたしました。

この度、外部専門機関によるフォレンジック調査(※3)および社内調査が完了しましたので、調査結果および再発防止策についてご報告いたします。

なお、当社システムは現時点で復旧しており、本件判明時から現時点まで、本件に関わる情報流出は確認されておりません。また、流出可能性のある情報にクレジットカード情報などの決済情報、マイナンバー情報は含まれておりません。

お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

※1「当社サーバーへの不正アクセス発生について」https://www.adastria.co.jp/news/notice/entry-15640/

※2「お客さまの個人情報流出の可能性に関するお知らせとお詫び」https://www.adastria.co.jp/news/notice/entry-15641/

※3フォレンジック調査とは:デジタル機器の記憶装置から証拠となるデータを抽出したり、サーバーや通信機器などに蓄積された通信記録から違法行為の証拠となる活動記録を割り出し、記憶装置から証拠となるデータを割り出すなどの調査

1.    本件の対応経緯    

2023年1月18日早朝、当社が管理運用する一部の社内業務システムのサーバー等(以下、本件サーバー等)に対し、外部の第三者からの不正アクセスを受けたことを確認いたしました。当該事象の確認後、直ちに、被害拡大を防ぐためにネットワークの遮断、社内業務システムの停止などの対応を実施いたしました。同日午前に、対策本部を立ち上げ、外部専門機関の協力のもと、影響範囲の特定、原因や侵入経路の調査、復旧作業等の対応を開始。また、個人情報保護委員会への報告及び警察への相談を実施いたしました。

以後の対応経緯は以下の通りです。

  • 2023年1月19日(木)外部に対する公表(初報)
  • 2023年1月20日(金)~2023年2月17日(金)デジタルフォレンジックによる原因調査の実施
  • 2023年1月24日(火)外部に対する公表(第二報)
  • 2023年2月20日(月)外部専門機関よりフォレンジック調査の結果を受領
  • 2023年2月20日(月)~2023年3月20日(月)フォレンジック調査結果をもとに、社内調査を継続
  • 2023年3月20日(月)個人情報保護委員会へ確報を提出
  • 2023年3月31日(金)外部に対する公表(第三報)
2.    フォレンジック調査及び社内調査により判明した事実
  • 外部の第三者による侵入経路の特定
  • 不正アクセスの影響を受けた機器の特定
  • 流出の可能性が否定できない情報範囲の特定

3.    流出の可能性がある情報

前回のご報告後、新たに判明した流出の可能性がある情報は以下の通りです。

なお、クレジットカード情報などの決済情報、マイナンバー情報は含まれておりません。また、現時点で本件に関する情報流出は確認されておりません。

  • 2008年~2013年に、カスタマーサービスへ電話でお問い合わせをいただいた一部のお客さま情報
    (氏名・問い合わせ概要等)221,272件
  • 2008年以降に当社グループ(※4)に在籍した従業員情報(退職者含む)
    (氏名・住所・生年月日・人事情報等)94,435件
  • 2018年以降の新卒採用選考に参加された方のうち、一部の応募者情報
    (氏名・電話番号・メールアドレス等)22,063件
  • 2005年以降の中途採用・アルバイト採用選考に参加された方のうち、一部の応募者情報
    (氏名・電話番号・メールアドレス等)26,460件
  • 一部のお取引先さま情報
    (氏名・会社メールアドレス等)6,346件
※4 株式会社ゼットン、株式会社オープンアンドナチュラルは除きます。

4.    再発防止策

本件の調査結果を踏まえ、以下の対策をすでに実施しております。
  • 影響を受けた機器及びその可能性のある機器の利用停止
  • 各種アカウントのリセット、管理ポリシーの見直し、社内ネットワーク通信のセキュリティ強化
  • 最新のセキュリティ対策製品を活用した侵害調査、及び端末の不審プロセスの継続調査、監視、端末保護の実施 等
また、影響が確認されなかった機器においても、不正アクセスの影響を受けた痕跡がないことを確認し、セキュリティ対策ソフトを最新化した上でのフルスキャンの実施、アカウントのパスワードポリシーの強化、エンドポイント端末に対するリアルタイム監視体制の構築など、セキュリティの対策強化を実施いたしました。

今後も、外部専門機関との連携のもと、セキュリティと監視体制のさらなる強化を実施し、再発防止に努めてまいります。

5.    業績への影響
現時点で、本件にかかる業績予想等の変更はございません。今後開示すべき事項が発生した場合には速やかにお知らせいたします。

お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけいたしましたことを、重ねて深くお詫び申し上げます。

【セキュリティ事件簿#2023-107】株式会社NTTドコモ 「ぷらら」及び「ひかりTV」などをご利用のお客さまの個人情報流出の可能性のお知らせとお詫び 2023年3月31日


平素はNTTドコモのサービス・商品をご利用いただき、誠にありがとうございます。

この度、株式会社NTTドコモ(以下ドコモ)が「ぷらら」及び「ひかりTV」などに関する業務を委託している企業において、業務に使用しているパソコンからお客さま情報が流出した可能性があることをネットワーク監視によって確認いたしました。
現時点において、お客さま情報の不正利用などの事実は確認されておりませんが、お客さまにはご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。


【概要】
2023年3月30日(木)にドコモが業務を委託している企業において、業務に使用しているパソコンから、個人向けインターネット接続サービス(ISP)「ぷらら」及び「ひかりTV」のお客さま情報が流出した可能性があることを確認いたしました。

(1)発生日時
 2023年3月30日(木)13時40分ごろ
(2)流出した可能性がある件数
 最大 約529万件
(3)流出した可能性があるお客さま情報
 個人向けインターネット接続サービス(ISP)「ぷらら」及び「ひかりTV」のお客さま情報
 氏名/住所/電話番号/メールアドレス/生年月日/フレッツ回線ID/お客さま番号 
 ※クレジットカード情報及び金融機関口座情報などの決済関連情報は含まれておりません。

事象確認後、流出元と想定されるパソコンをネットワークから隔離いたしました。
現在も調査を継続しており、今後新たな情報が判明しましたら、随時公表してまいります。

【セキュリティ事件簿#2022】日本盛株式会社 弊社サーバーへの不正アクセスによる クレジットカード情報等漏洩に関するお詫びとお知らせ 2023年3月30日


このたび、 弊社が業務上使用するサーバーにおきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等 (23 件) が漏洩した可能性があることが判明いたしました。 お客様をはじめ、 関係者の皆様には多大なるこ迷宮及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報等が漏洩した可能性があるお客様には、個別に書面及びメールにてお詫びとお知らせを発送させていただきます。

親社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2022年9月18日午前9 時頃、 弊社が業務上利用するデータセンタの管理会社から、弊社のサーバーに不具合が生じているとの報告を受け、 弊社内部にて調査したところ、 サーバーがランサムウェア (悪意あるウィルス) に感染していることが発覚したため、 当該サーバーをネットワークから隔離するなどの被害拡大防止策を講じた上で、外部専門家の協力のもと、対策チームを設置いたしました。 その後、弊社の「通信販売 (お電話)」 及び「日本盛オンラインショップ (EC サイト)」の運営を 2022 年9月 20 日に停止しました。

そして、第三者調査機関に原因究明等について調査を依頼し、 2022年10月6日にランサムウェアにより社内システムのデータが暗号化された旨の調査結果の報告を受けましたが、その影響範囲について継続的に調査を進めておりました。その結果として 2023年2月24日、 第三者調査機関から最終調査結果の報告を受け、ランサムウェアにより暗号化されたデータの中に、2016年10月6日~2022年9月16日に弊社の「通信販売 (お電話)」でご注文いただいたお客様のうちの一部の方のクレジットカード情報等が記載された注文書やメモの画像データ (合計 23 件) が含まれており、漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の公表に至りました。

2.クレジットカード情報等漏洩状況

(1)原因

第三者調査機関からは、 弊社が導入していた VPN 機器 (データを暗号化して安全に通信す
るための専用線) の脆弱性を悪用し、 弊社サーバーに不正にアクセスされた事実を確認した
との報告を受けております。

弊社では、従来からクレジットカード情報が記載されたデータファイルにつきましてはサーバーには保存しないルールとしておりましたが、一部で当該運用の徹底ができていなかった部分があり、サーバー内に一部のお客様のクレジットカード情報が記載された画像データが保存される結果となりました。

(2) 漏洩した可能性のあるクレジットカード情報等

漏洩した可能性があるのは、2016年10月6日~2022年9月20日に通信販売 (お電話)でご注文をいただいたお客様のうちの一部の方 (23 名) に関する以下の情報です。

・クレジットカード番号
・有効期限
・氏名

3. お客様へのお願い

弊社では、 既にクレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、 今一度ご確認をお願いいたします。 万が一、 身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、傍せてお願い申し上げます。

なお、 お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、上弊社よりクレジットカード会社に依頼しております。

4. 公表までに時間を要した経緯について

2022年9月18 日に不正アクセスの事態を認識してから今回の公表に至るまで、 時間を要しましたことを深くお詫び申し上げます。

本来であれば 2022 年 10 月 25 日の公表時点ですぐにこ連絡し、注意を喚起するとともにお詫び申し上げるところではございま したが、不確定な情報の公開は徒に混乱を招き、 ご迷
惑を最小限に食い止める対応準備を整えてからの公表が不可欠であると判断し、調査会社の追加調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の公表までお時間をいただきましたこと、重ねてお詫び申し上げます。

【セキュリティ事件簿#2023-106】エン・ジャパン株式会社 「エン転職」への不正ログイン発生に関するお詫びとお願い 2023/03/30


この度、当社が運営する総合転職情報サイト「エン転職」を管理するWEBサーバーに対し、外部からの不正ログインが発生したことが判明しました。

本件により、ご利用ユーザー様および関係各位の皆様に、多大なご迷惑とご心配をおかけすることになりますことを、ここに深くお詫び申し上げます。なお、現時点におきまして個人情報の不正流用等の報告は確認されておりません。

被害拡大防止策として、「エン転職」をご利用いただいている全ユーザー様のパスワードのリセットを行ないました。ユーザー様におかれましては、「エン転職」のパスワードの再設定をお願い申し上げるとともに、当サイトに限らず、他のWEBサービスにおいて「エン転職」のアカウントと同じID(メールアドレス)およびパスワードをご使用の場合も、大変お手数ではございますが、第三者による悪用を防ぐため、早急に他のWEBサービスに設定されたパスワードの変更をお願いいたします。本件に関して、現時点で判明している概要と対応について、下記の通りご報告いたします。

1.概要および当社の対応について

2023年3月27日、「エン転職」のWEBサーバーにおいて不正なログインが確認されました。社内にて詳細な調査を行なった結果、2023年3月20日~3月27日の期間に、外部から不正に取得されたと思われるID(メールアドレス)およびパスワードを使ったなりすましによる不正ログイン(リスト型アカウントハッキング※)が発生し、一部のユーザー様のWeb履歴書にアクセスされた可能性があることが判明しました。

そのため、同日、不正ログインを試行していた送信元IPアドレス群からの通信をブロックするとともに、セキュリティ対策の強化を行いました。

また、所轄警察署への通報・相談、および個人情報保護委員会など関係省庁への報告をしております。

※リスト型アカウントハッキング(リスト型攻撃)は、何らかの手段により他者のIDおよびパスワードを入手した第三者が、これらのIDおよびパスワードをリストのように用いて様々なサイトにログインを試みることで、個人情報の閲覧等を行うサイバー攻撃をいいます。

2.不正ログインに関する情報

  • 不正ログインの対象:2000年から現在までに「エン転職」へご登録いただいた方のうち、255,765名分のWeb履歴書(退会者は除く)
  • 不正ログインが確認された期間:2023年3月20日~3月27日

3.ユーザーの皆様への対応について

  • 不正ログインに該当するユーザー様につきましては、本日3月30日15時にパスワードのリセットを実施いたしました。パスワードの再設定方法および注意点とあわせて、個別にメールにてお知らせいたします。次回「エン転職」をご利用時にパスワードの再設定をお願い申し上げます。
  • 被害拡大防止策として、不正ログインに該当しないユーザー様につきましても、3月30日15時にシステムにてパスワードのリセットを実施いたしました。パスワードの再設定方法および注意点とあわせて、個別にメールにてお知らせいたします。次回「エン転職」をご利用時にパスワードの再設定をお願い申し上げます。パスワードの再設定方法は、「エン転職」ログイン画面に記載しておりますのでご確認ください。
  • 当社コーポレートサイトおよび「エン転職」上に「お知らせ(https://employment.en-japan.com/info/20230330/)」を掲示いたしました。
  • 本日、ユーザー様相談窓口を設置いたしました。ご不安な方、ご質問がある方は下記までご連絡いただきますようお願い申し上げます。

4.再発防止策について

当社は、本件不正ログインを受け、徹底した調査を実施し、皆様に安心してご利用いただくサービスを提供するための再発防止策として、IDおよびパスワード認証以外のシステムセキュリティの高度化を図る等、さらなるセキュリティレベルの向上策に取り組んで参ります。

なお、現時点において「エン転職」への不正ログインによる履歴書をはじめとする情報の改ざんは確認されておりません。同様に、求職者様以外の企業様側の管理画面への不正ログインや情報の改ざんは確認されておりません。また、「エン転職」以外の当社サービスにおいて、同様の不正ログインは確認されておりません。

この度は、ご利用ユーザー様および関係各位の皆様へ多大なご迷惑とご心配をおかけしますこと、重ねてお詫び申し上げます。


【セキュリティ事件簿#2023-105】名古屋市消防局の31歳の男性消防士長、ファイルサーバに不正アクセスして昇任試験のデータを入手するも解凍に失敗。試験不合格に加えて懲戒処分のオマケもゲット!!

 

名古屋市消防局の昇任試験問題のデータを不正に入手したとして、消防士長が懲戒処分されました。データにはパスワードがかかっていて、消防士長は試験に「不合格」でした。

停職1カ月の懲戒処分を受けたのは、名古屋市消防局の31歳の男性消防士長で、2022年6月下旬までに総務部のファイルサーバーにアクセスし、受験する予定の昇任試験の問題などのデータを不正に入手しました。

消防士長は消防の指令システムの管理などをする担当で、他部署のサーバーにもアクセスする権限を持っていたということです。

試験問題のデータにはパスワードがかかっていたため、消防士長は中身を見ることはできず、昇任試験で不合格となっていました。

市の聞き取りに対して、消防士長は「ただただ反省させていただくしかできない」と話しているということです。

出典:昇任試験問題のデータを不正入手…名古屋市消防局の31歳職員を懲戒処分 内容見られず試験は「不合格」

【セキュリティ事件簿#2023-104】相澤病院 患者さん個⼈情報等の漏えい(不正取得)について(お詫び) 2023年3月29日


この度、退職した元職員により、退職後、当院のパソコンから患者さんの個⼈情報・医療情報及び当院の法⼈情報等が不正に取得され、漏えいしたことが発覚しました。

⽇頃、患者さん及びご家族の皆様には、当院にご信頼を寄せていただいているところ、この様な形で皆様の⼤切な情報が漏えいしてしまい、ご迷惑とご⼼配をおかけすることを⼼よりお詫び申し上げます。

事案概要

本年 1 ⽉、通院治療中の患者さんからの申し出により、元職員 A から他の医療機関での治療を勧誘されたとの事実が判明しました。関係部署職員への聞き取り、ネットワーク上の精査など、院内調査を速やかに実施したところ、以下の事案が 2 ⽉ 6 ⽇に発覚しました。

当院の調査によれば、2022 年 5 ⽉ 9 ⽇夜、元職員 A は後輩職員 B に対し、業務マニュアルが⾒たいと⾔って業務⽤のフォルダーに保存してあったデータをコピーして持ち去ったと思われます。データを持ち去った状況については警察に捜査をお願いしているところでありますので詳細は控えさせて頂きます。

後に当院において、持ち去られたと思われるデータを解析したところ、漏えいしたデータには、透析治療患者さん並びに⾼気圧酸素療法患者さんの個⼈情報及び医療情報、計 3,137 名分(内、亡くなられた⽅の情報が 868 名分)が保存されていたことが判明しております。

漏えいしたデータに含まれていた情報

透析治療患者さん並びに⾼気圧酸素療法患者さん(亡くなられた患者さん含む)の住所・⽒名・⽣年⽉⽇など基本的な識別情報のほか、各種医療情報、家族情報等が含まれていました。

当院の対応

当院と致しましては、本件事案の重⼤性を鑑み、事実発覚後、個⼈情報の保護に関する法律に基づき設置された内閣府の個⼈情報保護委員会へ 2 ⽉ 10 ⽇に報告しました。また、本件事案に厳正に対処すべく、松本警察署に事件相談を⾏い、同署に告訴状を提出するなど、事案の真相究明に全⾯的に協⼒をして参りました。

なお、公表により警察の捜査に⽀障を来すおそれがあったこと、漏えい情報が⼤量であり、漏えい情報の正確な把握及び整理に時間を要したことから公表が本⽇に⾄りました。公表・ご通知が遅れましたことを重ねてお詫び申し上げます。何卒、ご理解を賜りますようお願いを申し上げます。

患者さんへの対応

対象となる患者さんには、個別に漏えいしたデータの内容を記載した書⾯を速やかに発送し、通知とさせていただきますが、患者さんの特定・情報の整理等に⼀定の時間を要することに、重ねてご理解賜りますようお願い申し上げます。

患者さんへのお願い

本件につきましてご不明なことやお気づきのことがございましたら、恐れ⼊りますが、下記お問い合わせ先までご連絡いただきますようお願い申し上げます。

なお、本件に関して当院から患者さんに書⾯による通知をする前に、直接電話による調査・確認をすることはございませんので、くれぐれも、⾒知らぬ番号からの不審な電話等には対応されず、お近くの警察署にご連絡いただきますようお願いいたします。

【セキュリティ事件簿#2023-103】東京大学未来ビジョン研究センターへの不正アクセスによる情報流出について 2023年3月28日


東京大学未来ビジョン研究センターが管理するPCが、2022年7月中旬に受信した標的型攻撃メールによりマルウェアに感染いたしました。当該PCは2022年9月中旬の感染発覚後に隔離保全いたしましたが、2022年9月下旬より専門機関によるPC内の情報漏洩に関する調査、及び当該PC内に保存されていた情報の精査により、2023年1月下旬に以下の個人情報が流出した可能性があることが判明いたしました。

(1) 当センター主催イベントやプログラムのご案内先のメールアドレス 87件
(2) 会議出席者のメールアドレス 46件
(3) 本学学生のメールアドレス、学籍番号 38件
(4) 事務手続き書類に関する情報
(現住所、メールアドレス、一部に生年月日、銀行口座、UTokyoAccount初期設定情報を含む) 23件
(5) 当該PCを管理する当センター教員が責任者を務める研究ユニット関係者のメールアドレス
(一部に携帯電話番号、学籍番号、UTokyo Account初期設定情報を含む) 13件

上記207名のうち、既にメールアドレスが無効となっていた8名を除く199名の方々には個別に連絡を差し上げております。現時点では二次的被害等の情報は確認されていません。
このような事態が発生し、関係者のみなさまには多大なご迷惑をおかけいたしましたことを深くお詫び申し上げます。

今後、標的型攻撃メールのみならず個人情報及び職務上守秘・保護すべき情報の管理について、本センター全構成員に周知徹底し、再発防止に努めてまいります。

【セキュリティ事件簿#2023-102】株式会社ギンポーパック 不正アクセス及びこれに伴うシステム障害に関するお知らせ 2023年3月24日


この度、当社は、第三者による不正アクセスを受け、ランサムウェアによる被害を受けました。既に、下記のとおり、対策チームを設置の上、外部専⾨業者及び弁護⼠等専⾨家の助⾔を受け、原因特定、被害情報の確認及び情報流出の有無などについて調査を⾏い、⾃⼒での復旧対応を進めております。また、発覚後速やかに、個⼈情報保護委員会及び警察等への報告や連携を⾏っております。

本件に関しまして、お取引様をはじめとする関係する⽅々には、多⼤なるご不便、ご迷惑をおかけしておりますことを、深くお詫び申し上げます。

引き続き、外部専⾨家や警察とも連携のうえ、対応を進めて参る所存です。つきましては、誠に恐縮ではございますが、下記のとおり報告申し上げるとともに、何卒、格別の御理解とご⽀援を賜りますようお願い申し上げます。 

1. 概要
  • 当社は、2023 年 3 ⽉ 3 ⽇から 4 ⽇にかけて、ランサムウェアによる被害を受け、基幹システムが使⽤できない状況にあります。もっとも、現在、当社⼯場の⽣産機能には問題がなく、製品の製造・供給及び外部とのメール通信も可能な状態です。
  • 3 ⽉ 4 ⽇以降、個⼈情報保護委員会・警察等の公的機関に報告・相談を⾏い、また、専⾨の弁護⼠やセキュリティベンダーなど、外部の専⾨機関の⽀援を受け、調査・復旧を進めております。
  • 現段階では漏えい等の可能性がある情報の範囲等が明らかになっておらず、調査を進めてまいります。また、⽣産機能に問題はないものの、全ての復旧には 1〜2か⽉を要する⾒通しです。 
2. 漏えい等の可能性がある情報
現在調査中です。 

3. 発覚の経緯及び現在までの対応状況
  • 2023 年 3 ⽉ 3 ⽇夜から 4 ⽇早朝にかけて、当社業務システムにおいて障害を検知し、確認を⾏ったところ、社内サーバーに保存されていたファイルが暗号化されており、ランサムウェアによる被害に遭ったことが判明しました。当社は、直ちに、インターネット接続を遮断し、PC の使⽤を停⽌するなど、可能な範囲での被害拡⼤防⽌措置を講じるとともに、調査を開始しました。
  • 3 ⽉ 4 ⽇、外部の専⾨業者に依頼し、技術的な調査を開始いたしました。
  • 3 ⽉5⽇、調査により、当社の⽣産機能には問題がなく、製品の製造・供給は継続可能であることを確認しました。
  • 3 ⽉6⽇、復旧作業を開始し、紙ベースにて、お取引先様からの⽣産依頼受注、⽣産、発送依頼及び発送までの⼯程を滞りなく⾏えるように体制を整えました。以降、復旧作業を継続しております。
  • 3 ⽉8⽇、個⼈情報保護委員会に対する速報を⾏いました。
  • 3 ⽉ 10 ⽇、同種の問題を専⾨とする外部の弁護⼠に相談し、助⾔を得るとともに、今後の対応について連携を開始いたしました。
  • 3 ⽉ 16 ⽇、警察に被害を申告し、協議を⾏いました。 
4. 今後の対応
  • 引き続き、復旧作業を進めて参ります。(現在は、システムベンダーと共にサーバー再構築、⽣産管理システム及び会計システムの再構築を⾏っております。)なお、全ての復旧には1〜2か⽉程度かかる⾒込みです。
  • 引き続き、セキュリティベンダーを通じた調査を進め、漏えい等した情報の項⽬・件数、侵⼊経路、被害範囲等を調査して参ります。
  • 警察、個⼈情報保護委員会等への報告・相談及びこれらとの連携を進めて参ります。
  • 調査の内容を踏まえ、外部の弁護⼠及びセキュリティベンダーの助⾔の下、再発防⽌策を策定いたします。 

【セキュリティ事件簿#2023-101】住友不動産株式会社 「住友不動産のふれあい+S」システムへの第三者によるアクセスについて 2023年3月27日


この度、「住友不動産のふれあい+S」(以下「本サービス」といいます。)で利用している弊社外のクラウド型システムに保管されている個人情報が、アクセス権の設定不備により、第三者からアクセス可能な状態になっていたことが確認されました(以下「本件事態」といいます。)。

本サービスの利用者様に多大なるご心配をお掛けしましたことを、深くお詫び申し上げます。

弊社では、2023年3月19日深夜に利用者様からのご指摘を頂戴して本件事態を把握したため、直ちに対応を実施、翌20日までに、セキュリティの設定変更及びアクセス可能となっていたページの削除を完了いたしました。現在、第三者からのアクセスが不可能な状態となっており、不正利用等の被害報告は確認されておりません。

本件事態に伴い、第三者により個人情報へアクセス可能な状態になっていたのは、①サービス開始をした2023年1月19日から3月20日までの61日間、②3378件の個人情報(氏名、住所、メールアドレス、電話番号、生年月日等)です。

なお、本件事態に該当するお客様には、個別にご連絡をさせていただきました。

弊社では、今回の事態を厳粛に受け止め、弊社及びサイト構築を行ったシステム会社の自主チェックに加え、第三者によるセキュリティチェックを受けることにより、再発防止に努めてまいります。

【セキュリティ事件簿#2023-104】株式会社FRAGRANCY FRAGRANCYオンラインショップへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年3月28日


このたび、弊社が運営する「FRAGRANCYオンラインショップ(以下「当サイト」といいます。)」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報4,387件および個人情報最大16,347件が漏えいした可能性があることが判明いたしました。なお、個人情報16,347件が最大漏えい件数となりクレジットカード情報4,387件はこれに含まれております。日頃より当サイトをご愛顧くださっているお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メール等にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。 お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年12月23日、一部のクレジットカード会社から、当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、同日中に当サイトでの販売を全面的に停止致しました。併せて、2023年1月12日に第三者調査機関による調査を開始しました。2023年2月17日、第三者調査機関による調査が完了し、2021年6月4日~2022年12月23日の期間に当サイトで購入されたお客様のクレジットカード情報および過去に当サイトに個人情報を入力頂いたお客様の個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。 以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1) 原因

弊社が運営するサイトのシステムの一部の脆弱性を利用した第三者の不正アクセスにより、サーバー内に侵入され、ペイメントアプリケーションの改ざんが行なわれたため。

(2) クレジットカード情報漏えいの可能性があるお客様

2021年6月4日~2022年12月23日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様4,387名で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

過去に当サイトをご利用いただいたお客様最大16,347名で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・住所、郵便番号

・電話番号

・メールアドレス

・購入履歴

・会社名(任意入力項目)

・FAX番号(任意入力項目)

・性別(任意入力項目)

・生年月日(任意入力項目)

※なお、配送先を購入者住所とは別でご入力いただいた場合はそちらも対象となります。

3.クレジットカード情報漏洩に関してお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表までに時間を要した経緯について

2022年12月23日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに当サイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行ない、再発防止を図ってまいります。

改修後の当サイトの再開時期に関しましては、決定次第、改めてWebサイト等にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年12月26日及び2023年3月13日に報告済みであり、また、所轄警察署にも3月13日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2022】大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書について 2023年3月28日


大阪急性期・総合医療センターは令和4年10月31日早朝に発生したサイバー攻撃により電子カルテを含めた総合情報システムが利用できなくなり、救急診療や外来診療、予定手術などの診療機能に大きな支障が生じました。地域における中核的な役割を担う病院として、府民の皆様、とくに患者さんをはじめとする関係者の皆様に多大なるご迷惑、ご心配をおかけいたしましたことを、改めて深くお詫び申し上げます。また、さまざまな形でご支援をいただいた多くの皆様に厚く御礼申し上げます。

事件発生当日、電子カルテの異常を覚知し、ランサムウェアによる重大なシステム障害が発生していることが判明したため、幹部職員を招集して状況把握と紙カルテの運用など当面の診療体制の方針を決定しました。また、大阪府立病院機構本部、大阪府、大阪府警、大阪市保健所、内閣サイバーセキュリティセンター、厚生労働省医政局などの各方面に連絡をしました。特に厚生労働省からはサイバーセキュリティ初動対応支援チームの専門家が派遣され、発災当日からWEBを通じて多くの支援・有益な助言をいただき、ベンダーの方々の協力を得て、原因の究明に努めるとともに、職員および関係者が一丸となって復旧に取り組みました。

サイバー攻撃によるシステム障害を想定したBCP(事業継続計画)はそれまで策定されていませんでしたが、当センターは大阪府の基幹災害拠点病院であり、さまざまな災害に対応するためにBCPを整備、更新しており、これまでの災害対応の経験を生かして、発災当日の正午には第1回の「大規模システム障害における事業継続対策本部会議(BCP)会議」を開催し、医療現場の状況の把握、当面の医療継続の方針の決定などを行いました。BCP会議は当初は連日、3週目以降は数日おきに開催し、紙カルテの運用方法など診療現場での各部門間の対応のすり合わせを行いました。このようにして一部の入院診療を継続するとともに、外来診療を再開・漸増させることができました。また、BCP会議とは別に病院、基幹ベンダー、ネットワークベンダー、専門家チーム等の関係者によるシステム復旧会議が連日開催され、初動対応、進捗状況および復旧スケジュールの協議等が行われました。

地域における中核的な役割を担う病院で診療継続に障害が生じたという社会的責任から、発生当日に第1回目の記者会見を行い、以降も状況の進展に応じて記者会見や報道資料提供等により情報発信を行いました。

職員、関係者の皆様のご尽力により、障害発生から約6週間後に電子カルテシステムを含む基幹システムを再稼働させることができ、外来での電子カルテ運用が再開しました。12月中には病棟での電子カルテ運用を再開し、続いて通常診療に係る部門システムも令和5年1月11日に再開して、診療体制が復旧しました。 

システムの再開にあたっては、計2,000台以上のサーバーおよび端末を初期化してクリーンインストールを行うとともに、今回指摘された脆弱性の改善を実施し、今後の更なるサイバー攻撃に対しても対応できるための対策に取り組みました。

そして、このような事態を招いた原因究明と再発防止について検討いただくために外部有識者による情報セキュリティインシデント調査委員会を設置しましたところ、猪俣委員長をはじめ委員各位にご尽力いただき、多角的な視点からなる報告書と提言をまとめていただきました。今後、本提言を真摯に受けとめ、「ITガバナンスの確立」に全力で取り組んでいく所存です。また、本提言を公表することにより、全国の医療機関においてセキュリティ対策強化の取り組みに役立てていただければと存じます。

今回のシステム障害を通じて痛感したのは、電子カルテを含む情報システムなしでは診療のみならず医事、会計などすべての部門で病院の運営が立ち行かなくなってしまうこと、そして、それを支える医療情報システムには数多くの脆弱性が存在していることです。今後は各病院がセキュリティ強化に自ら取り組むとともに、厚生労働省をはじめとする行政からの具体的な支援、指導が不可欠であると考えています。



【セキュリティ事件簿#2023-100】株式会社ベビーランドタマベビー 弊社が運営する「ECサイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年3月23日


このたび、弊社が運営する「ECサイト ベビーランド」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(5,246件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年12月16日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受けました。該当するECサイトは2022年11月4日に閉鎖し、新サイトへ移行しておりましたがお客様の安全を考え2022年12月21日に新サイトでのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年2月24日、調査機関による調査が完了し、2021年3月9日~2022年10月28日の期間に「ECサイト ベビーランド」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。 

2.個人情報漏洩状況 

(1)原因
弊社が運営する「ECサイト ベビーランド」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
2021年3月9日~2022年10月28日の期間中に「ECサイト ベビーランド」においてクレジットカード決済をされたお客様5,246名で、漏洩した可能性のある情報は以下のとおりです。
    • カード名義人名
    • クレジットカード番号
    • カード有効期限
    • カードセキュリティコード
    • 顧客情報(会員登録時にご入力頂いたお名前、お名前(フリガナ)、会社名、住所、メールアドレス、電話番号、FAX番号、パスワード、性別、職業、生年月日)
上記に該当する5,246名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年12月16日の漏洩懸念発覚から今回のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営する新サイトのカード決済の再開について 

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

「ECサイト ベビーランド」での再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年12月16日に報告済みであり、また、所轄警察署にも2022年12月20日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2023-099】東京都 ホームページ掲載データへの個人情報の誤掲載について 2023年03月23日


当局において、以下の通りホームページに掲載したアンケート調査結果への個人情報の誤掲載が発生しましたので、お知らせします。

関係者の皆様には、多大なご迷惑をおかけし、深くお詫び申し上げます。

1 概要

当局が、都の施策の認知状況や都に求める取り組み等、スタートアップとの協働に関するアンケート調査の結果を、東京都オープンデータカタログサイトに掲載した際、データに個人情報(会社名、氏名、メールアドレス)が含まれていた。

サイト上の画面では、漢字や仮名文字のデータは記号等に変換され、判読できない状態であった。メールアドレスについても、セルの操作をしなければ判読できない状態であった。しかし、サイトからデータをダウンロードすると、データ末尾の個人情報が判読可能な状態であった。

2 経緯

  • 令和4年2月4日(金曜日)午後に、会社名等を含むデータを東京都オープンデータカタログサイトに掲載。約230名分の会社名、氏名、メールアドレスがダウンロード可能な状態となっていた。

  • 令和5年3月13日(月曜日)午後に、デジタルサービス局職員が当該サイト上のデータを点検したところ、個人情報が含まれていることを発見し、当日中に当該データを削除した。
3 その後の対応

該当の方々には、謝罪を行っています。
なお、現時点で、被害の報告はありません。

4 再発防止策

今後、このようなことを起こさないよう、掲載するデータに個人情報が含まれないことを、複数の職員でチェックすること等を徹底します。

【セキュリティ事件簿#2023-098】株式会社TRINUS 不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年3月22日


このたび、弊社が運営していた「TRINUS STORE」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(402件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年7月27日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日中に弊社が運営する「TRINUS STORE」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2022年11月9日、調査機関による調査が完了し、2021年4月22日~2022年7月27日の期間に「TRINUS STORE」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因
弊社が運営していた「TRINUS STORE」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様
2021年4月22日~2022年7月27日の期間中に「TRINUS STORE」においてクレジットカード決済をされたお客様402名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

その他、データベース管理用ツール”Adminer”の設置により、データベース内の顧客情報の漏えいの可能性もあります。

上記に該当する402名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年7月27日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

なお、「TRINUS STORE」はすでにサービスを終了しておりますので、再開はいたしません。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年7月28日に報告済みであり、また、所轄警察署にも2023年2月1日に被害申告しており、今後捜査にも全面的に協力してまいります。


【TryHackMeウォークスルー】Nmap Advanced Port Scans

 

Task 1  Introduction

ここは、Nmapシリーズ(ネットワークセキュリティ入門モジュールの一部)の3つ目です。

  1. Nmap Live Host Discovery
  2. Nmap Basic Port Scans
  3. Nmap Advanced Port Scans
  4. Nmap Post Port Scans
Nmap Basic Port Scansでは、TCPフラグについて説明し、TCPの3ウェイハンドシェイクを復習しました。接続を開始するために、TCPは最初のパケットにSYNフラグを設定する必要があります。その結果、受信した応答に基づいて、TCPポートが開いているかどうかを判断することができます。

セキュリティ研究者やハッカーは、下図と前回説明したTCPフラグを熟考し、実験を開始しました。TCPパケットを送信した場合、どのようなことが起こるのか、また、どのTCPコネクションにも属さないのに、1つまたは複数のフラグが設定されているのかを知りたいと考えました。


例えば、ACKフラグは、受信したデータを承認したいときに設定します。ACKスキャンは、そもそも送信も受信もされていないデータを承認しようとするようなものです。例えるなら、何も言っていないのに突然「はい、聞こえます、続けてください」と言われるようなものです。

ここでは、高度なスキャンの種類とスキャンオプションについて説明します。これらのスキャンの種類には、特定のシステムに対して有効なものもあれば、特定のネットワーク設定に有効なものもあります。ここでは、次のようなタイプのポートスキャンを取り上げます。

  • Null Scan
  • FIN Scan
  • Xmas Scan
  • Maimon Scan
  • ACK Scan
  • Window Scan
  • Custom Scan

さらに、以下を取り上げます。

  • Spoofing IP
  • Spoofing MAC
  • Decoy Scan
  • Fragmented Packets
  • Idle/Zombie Scan

ファイアウォールやIDSシステムを回避するためのオプションやテクニックについて説明します。また、Nmapからより詳細な情報を取得するためのオプションについても説明します。

■question

 ※無し


Task 2  TCP Null Scan, FIN Scan, and Xmas Scan

まずは、次の3種類のスキャンをご紹介します。

  • Null Scan
  • FIN Scan
  • Xmas Scan

Null Scan

Nullスキャンでは、フラグは設定されず、6 つのフラグビットはすべて 0 に設定されます。このスキャンは、-sN オプションを使用して選択することができます。フラグが設定されていないTCPパケットは、下図に示すように、オープンポートに到達しても何の応答も引き起こしません。したがって、Nmapの観点では、nullスキャンで応答がないのは、ポートが開いているか、ファイアウォールがパケットをブロックしているかのどちらかであることを示しています。


しかし、ポートが閉じている場合、ターゲットサーバーはRSTパケットで応答することが想定されます。その結果、RSTの応答がないことを利用して、閉じていないポートすなわちopenまたはfilteredを把握することができます。


以下は、Linuxサーバーに対するnullスキャンの例です。実施したnullスキャンでは、ターゲットシステム上の6つのオープンポートを正常に識別しています。null スキャンは、これらのポートが開いていることを確実に示すことはできず、ポートがファイアウォール ルールに起因して応答しない可能性もあります。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sN MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:30 BST
Nmap scan report for MACHINE_IP
Host is up (0.00066s latency).
Not shown: 994 closed ports
PORT    STATE         SERVICE
22/tcp  open|filtered ssh
25/tcp  open|filtered smtp
80/tcp  open|filtered http
110/tcp open|filtered pop3
111/tcp open|filtered rpcbind
143/tcp open|filtered imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 96.50 seconds

多くのNmapオプションはroot権限を必要とすることに注意してください。Nmapをrootで実行しているのでなければ、上の例のように-sNオプションを使用してsudoを使用する必要があります。

FIN Scan

FINスキャンは、FINフラグが設定されたTCPパケットを送信します。このスキャンタイプは、-sF オプションを使用して選択できます。同様に、TCPポートが開いている場合、応答は送信されません。ここでも、Nmapは、ポートが開いているか、ファイアウォールがこのTCPポートに関連するトラフィックをブロックしているかどうかを確認することはできません。


しかし、ポートが閉じられている場合、ターゲットシステムはRSTで応答します。その結果、どのポートが閉じられているかを知ることができ、この知識を使って開いているポートやフィルタリングされているポートを推測することができるようになります。ファイアウォールの中には、RSTを送信せずにトラフィックを「静かに」ドロップするものがあることは注目に値します。


以下は、Linuxサーバーに対するFINスキャンの例である。この結果は、先にnullスキャンを使用して得た結果とよく似ています。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sF MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:32 BST
Nmap scan report for MACHINE_IP
Host is up (0.0018s latency).
Not shown: 994 closed ports
PORT    STATE         SERVICE
22/tcp  open|filtered ssh
25/tcp  open|filtered smtp
80/tcp  open|filtered http
110/tcp open|filtered pop3
111/tcp open|filtered rpcbind
143/tcp open|filtered imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 96.52 seconds

Xmas Scan

Xmasスキャンは、クリスマスツリーのイルミネーションにちなんで名づけられました。Xmasスキャンは、FIN、PSH、URGフラグを同時に設定します。Xmasスキャンは、オプション-sXで選択することができます。

NullスキャンやFINスキャンと同様に、RSTパケットを受信した場合、そのポートはクローズされていることを意味します。それ以外の場合は、open|filteredと報告されます。

次の2つの図は、TCPポートが開いている場合と閉じている場合を示しています。


以下のコンソール出力は、Linuxサーバーに対するXmasスキャンの例を示しています。得られた結果は、nullスキャンやFINスキャンの結果とよく似ています。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sX MACHINE_IP

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:34 BST
Nmap scan report for MACHINE_IP
Host is up (0.00087s latency).
Not shown: 994 closed ports
PORT    STATE         SERVICE
22/tcp  open|filtered ssh
25/tcp  open|filtered smtp
80/tcp  open|filtered http
110/tcp open|filtered pop3
111/tcp open|filtered rpcbind
143/tcp open|filtered imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 84.85 seconds

これら3つのスキャンタイプを効率的に使用できるシナリオの1つは、ステートレス(非ステートフル)ファイアウォールの背後にあるターゲットをスキャンする場合です。ステートレスファイアウォールは、着信パケットにSYNフラグが設定されているかどうかをチェックし、接続の試行を検出します。SYNパケットと一致しないフラグの組み合わせを使用すると、ファイアウォールを欺き、その背後にあるシステムに到達することが可能になります。しかし、ステートフルファイアウォールは、このような細工を施したパケットをすべて実質的にブロックし、この種のスキャンを無意味なものにしてしまいます。

■question

In a null scan, how many flags are set to 1?
0


In a FIN scan, how many flags are set to 1?
1

In a Xmas scan, how many flags are set to 1?
3

Start the VM and load the AttackBox. Once both are ready, open the terminal on the AttackBox and use nmap to launch a FIN scan against the target VM. How many ports appear as open|filtered?
7

Repeat your scan launching a null scan against the target VM. How many ports appear as open|filtered?
7


Task 3  TCP Maimon Scan

Uriel Maimonは1996年にこのスキャンを初めて説明しました。このスキャンでは、FINビットとACKビットが設定さ れます。ターゲットは、応答としてRSTパケットを送信する必要があります。しかし、ある種のBSD由来のシステムでは、オープンポートを公開している場合、パケットをドロップします。このスキャンは、現代のネットワークで遭遇するほとんどのターゲットでは機能しません。しかし、ここではポートスキャンの仕組みとハッキングの考え方をより理解するために、取り入れています。このスキャンタイプを選択するには、-sM オプションを使用します。

ほとんどのターゲット・システムは、TCPポートが開いているかどうかに関係なく、RSTパケットで応答します。このような場合、開いているポートを発見することはできません。下図は、TCPポートが開いている場合と閉じている場合の両方で期待される動作を示しています。


以下のコンソール出力は、Linuxサーバーに対するTCP Maimonスキャンの一例です。前述の通り、オープンポートとクローズドポートは同じ動作をするため、Maimonスキャンではターゲットシステム上のオープンポートを発見することができませんでした。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sM 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:36 BST
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up (0.00095s latency).
All 1000 scanned ports on ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27) are closed
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.61 seconds

このタイプのスキャンは、システムを発見するために最初に選ぶスキャンではありませんが、いつ役に立つかわからないため、知っておくことは重要です。

■question

In the Maimon scan, how many flags are set?
2


Task 4  TCP ACK, Window, and Custom Scan

このタスクでは、TCP ACKスキャン、TCPウィンドウスキャンの実行方法、およびカスタムフラッグスキャンの作成方法について説明します。

TCP ACK Scan

まず、TCP ACKスキャンから説明します。その名の通り、ACKスキャンはACKフラグがセットされたTCPパケットを送信します。このスキャンを選択するには、-sAオプションを使用します。下の図に示すように、ターゲットはポートの状態に関係なく、ACKに対してRSTで応答することになります。この挙動は、ACKフラグが設定されたTCPパケットは、今回のケースとは異なり、何らかのデータの受信を確認するために、受信したTCPパケットに応答してのみ送信されるはずであるために起こります。したがって、このスキャンでは、単純なセットアップでは、ターゲット・ポートが開いているかどうかはわかりません。


次の例では、ファイアウォールをインストールする前にターゲットVMをスキャンしています。予想通り、どのポートが開いているのかを知ることはできませんでした。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sA 10.10.86.220

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:37 BST
Nmap scan report for 10.10.86.220
Host is up (0.0013s latency).
All 1000 scanned ports on MACHINE_IP are unfiltered
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.68 seconds

このようなスキャンは、ターゲットの前にファイアウォールがある場合に有効でしょう。その結果、どのACKパケットがレスポンスになったかに基づいて、どのポートがファイアウォールによってブロックされなかったかを知ることができます。つまり、このタイプのスキャンは、ファイアウォールのルールセットと構成を発見するのに適しています。

ターゲットVM 10.10.86.220にファイアウォールを設定した後、ACKスキャンを繰り返しました。今回、興味深い結果が得られました。下のコンソール出力に見られるように、ファイアウォールによってブロックされていないポートが3つあります。この結果は、ファイアウォールがこの3つのポート以外のすべてのポートをブロックしていることを示しています。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sA 10.10.86.220

Starting Nmap 7.60 ( https://nmap.org ) at 2021-09-07 11:34 BST
Nmap scan report for 10.10.86.220
Host is up (0.00046s latency).
Not shown: 997 filtered ports
PORT    STATE      SERVICE
22/tcp  unfiltered ssh
25/tcp  unfiltered smtp
80/tcp  unfiltered http
MAC Address: 02:78:C0:D0:4E:E9 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 15.45 seconds


Window Scan

もう1つの類似のスキャンは、TCPウィンドウ・スキャンです。TCPウィンドウ・スキャンは、ACKスキャンとほぼ同じですが、返されたRSTパケットのTCPウィンドウ・フィールドを検査するものです。特定のシステムでは、これによってポートが開いていることが判明することがあります。このスキャン・タイプは、オプション -sW で選択することができます。下図に示すように、ポートが開いているか閉じているかにかかわらず、「招かれざる」ACKパケットに対する返信としてRSTパケットを受け取ることが予想されます。


同様に、ファイアウォールのないLinuxシステムに対してTCPウィンドウ・スキャンを起動しても、あまり情報は得られません。以下のコンソール出力でわかるように、ファイアウォールのないLinuxサーバーに対するウィンドウスキャンの結果は、先に実行したACKスキャンと比較して、余分な情報を与えていないことがわかります。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sW 10.10.86.220

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:38 BST
Nmap scan report for 10.10.86.220
Host is up (0.0011s latency).
All 1000 scanned ports on ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27) are closed
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

しかし、ファイアウォールの背後にあるサーバーに対してTCPウィンドウスキャンを繰り返すと、より満足のいく結果が得られると思われます。以下のコンソール出力では、TCPウィンドウスキャンによって3つのポートがクローズドとして検出されたことが指摘されています。(これは、同じ3つのポートがフィルタリングされていないとラベル付けされたACKスキャンとは対照的です)。これらの3つのポートが閉じられていないことは分かっていますが、ファイアウォールがそれらをブロックしていないことを示す、異なる反応を示していることに気付かされます。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sW 10.10.86.220

Starting Nmap 7.60 ( https://nmap.org ) at 2021-09-07 11:39 BST
Nmap scan report for 10.10.86.220
Host is up (0.00040s latency).
Not shown: 997 filtered ports
PORT    STATE  SERVICE
22/tcp  closed ssh
25/tcp  closed smtp
80/tcp  closed http
MAC Address: 02:78:C0:D0:4E:E9 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 14.84 seconds


Custom Scan

内蔵のTCPスキャン・タイプを超える新しいTCPフラグの組み合わせを実験したい場合は、-scanflagsで行うことができます。例えば、SYN、RST、FINを同時に設定したい場合は、-scanflags RSTSYNFINを使用して設定することができます。下図に示すように、カスタムスキャンを開発する場合、異なるシナリオでの結果を正しく解釈するために、異なるポートがどのように動作するかを知っておく必要があります。


最後に、ACKスキャンとWindowsスキャンは、ファイアウォールルールをマッピングする上で非常に効率的でした。しかし、ファイアウォールが特定のポートをブロックしていないからといって、必ずしもそのポートでサービスが listenしているとは限らないということを覚えておくことが重要です。例えば、サービス変更に伴い、ファイアウォールルールを更新する必要がある可能性があります。したがって、ACKとWindowsスキャンは、サービスではなく、ファイアウォールのルールを公開していることになります。

■question

In TCP Window scan, how many flags are set?
1

You decided to experiment with a custom TCP scan that has the reset flag set. What would you add after --scanflags? 
RST


The VM received an update to its firewall ruleset. A new port is now allowed by the firewall. After you make sure that you have terminated the VM from Task 2, start the VM for this task. Launch the AttackBox if you haven't done that already. Once both are ready, open the terminal on the AttackBox and use Nmap to launch an ACK scan against the target VM. How many ports appear unfiltered?
4

What is the new port number that appeared?
443

Is there any service behind the newly discovered port number? (Y/N)
N


Task 5  Spoofing and Decoys

一部のネットワーク設定では、なりすましIPアドレスやなりすましMACアドレスを使ってターゲットシステムをスキャンすることができます。このようなスキャンは、応答をキャプチャできることを保証できる状況でのみ有益です。詐称したIPアドレスを使ってどこかランダムなネットワークからターゲットをスキャンしようとすると、自分にルーティングされたレスポンスがない可能性があり、スキャン結果も信頼できないものになる可能性があります。

次の図は、攻撃者がnmap -S SPOOFED_IP MACHINE_IPというコマンドを実行しているところです。その結果、Nmapは提供されたソースIPアドレスSPOOFED_IPを使用してすべてのパケットを作成します。ターゲットマシーンは、受信したパケットに応答して、宛先IPアドレスSPOOFED_IPに返信を送信します。このスキャンが機能し、正確な結果を得るためには、攻撃者はネットワークトラフィックを監視して、返信を分析する必要があります。


簡単に説明すると、詐称したIPアドレスでのスキャンは3ステップです:
  1. 攻撃者は、送信元IPアドレスを詐称したパケットを対象マシンに送信する。
  2. ターゲットマシンは、偽装されたIPアドレスを宛先として返信する。
  3. 攻撃者は返信をキャプチャしてオープンポートを把握する。
一般的に、-eを使用してネットワーク・インターフェイスを指定し、明示的にpingスキャン -Pn を無効にすることを想定しています。したがって、nmap -S SPOOFED_IP MACHINE_IPの代わりに、nmap -e NET_INTERFACE -Pn -S SPOOFED_IP MACHINE_IPを実行して、Nmapに使用するネットワークインターフェイスとping応答の受信を期待しないことを明示的に伝える必要があります。攻撃側のシステムが応答についてネットワークを監視できない場合、このスキャンは無意味となります。

ターゲットマシーンと同じサブネット上にいる場合、MACアドレスも偽装することができます。送信元MACアドレスは、-spoof-mac SPOOFED_MACで指定することができます。このアドレススプーフィングは、攻撃者とターゲットマシンが同じイーサネット(802.3)ネットワークまたは同じWiFi(802.11)上にある場合のみ可能です。

なりすましは、一定の条件を満たした最小限のケースでしか機能しません。そのため、攻撃者は囮を使うことで、ピンポイントで発見されることを防ぐことができます。コンセプトは簡単で、多くのIPアドレスからスキャンが行われているように見せかけ、攻撃者のIPアドレスがその中に紛れ込むようにするのです。下図のように、ターゲットマシンのスキャンは3つの異なるソースから送られているように見え、その結果、返信は囮にも送られることになります。


-D の後に特定またはランダムな IP アドレスを指定することで、おとりスキャンを起動することができます。例えば、nmap -D 10.10.0.1,10.10.0.2,ME MACHINE_IPは、MACHINE_IPのスキャンがIPアドレス10.10.0.1, 10.10.0.2 から来るように見せ、さらにMEで自分のIPアドレスを3番目に表示すべきことを指示します。別のコマンド例としては、nmap -D 10.10.0.1,10.10.0.2,RND,RND,ME MACHINE_IPがあり、3番目と4番目のソースIPアドレスはランダムに割り当てられ、5番目のソースは攻撃者のIPアドレスになる予定であることがわかります。つまり、後者のコマンドを実行するたびに、2つの新しいランダムなIPアドレスが3番目と4番目のおとりソースになると予想されます。

■question

What do you need to add to the command sudo nmap MACHINE_IP to make the scan appear as if coming from the source IP address 10.10.10.11 instead of your IP address?
-S 10.10.10.11

What do you need to add to the command sudo nmap MACHINE_IP to make the scan appear as if coming from the source IP addresses 10.10.20.21 and 10.10.20.28 in addition to your IP address?
-D 10.10.20.21,10.10.20.28

Task 6  Fragmented Packets

Firewall

ファイアウォールとは、パケットの通過を許可したり、遮断したりするソフトウェアやハードウェアのことです。ファイアウォールのルールに基づいて機能し、例外を除いてすべてのトラフィックをブロックしたり、例外を除いてすべてのトラフィックを許可したりすることができます。例えば、Webサーバーへのトラフィックを除き、サーバーへのトラフィックをすべてブロックすることができます。従来のファイアウォールは、少なくともIPヘッダーとトランスポート層ヘッダーを検査します。より高度なファイアウォールは、トランスポート層で運ばれるデータも検査しようとします。

IDS

侵入検知システム(IDS)は、ネットワークパケットを検査し、特定の行動パターンや特定のコンテンツシグネチャを検出します。IDSは、悪意のあるルールに合致した場合に警告を発します。IDSは、IPヘッダーとトランスポート層のヘッダーに加え、トランスポート層のデータコンテンツを検査し、悪意のあるパターンに一致するかどうかをチェックします。従来のファイアウォール/IDSがNmapの活動を検出する可能性を低くするには、どうすればよいのでしょうか。これに答えるのは簡単ではありません。しかし、ファイアウォール/IDSの種類によっては、パケットをより小さなパケットに分割することでうまくいく場合があります。

Fragmented Packets

Nmapには、パケットを断片化するためのオプション-fが用意されています。一度選択すると、IPデータは8バイト以下に分割されます。さらに-fを追加すると(-f -fまたは-ff)、データは8バイトではなく16バイトの断片に分割されます。デフォルト値は--mtuを使用して変更できますが、常に8の倍数を選択する必要があります。

フラグメンテーションを正しく理解するためには、下図のIPヘッダを見る必要があります。最初は複雑に見えるかもしれませんが、ほとんどのフィールドがわかっていることに気がつきます。特に、送信元アドレスは4行目に32ビット(4バイト)、宛先アドレスは5行目にさらに4バイトを占めていることに注目してください。複数のパケットに分割されるデータは、赤でハイライトされています。受信側での再組み立てを支援するために、IPは下図の2行目に示す識別(ID)とフラグメントオフセットを使用します。


sudo nmap -sS -p80 10.20.30.144 と sudo nmap -sS -p80 -f 10.20.30.144 を実行して比較してみましょう。もうお分かりのように、これはポート80でステルスTCP SYNスキャンを使用します。しかし、2番目のコマンドでは、NmapにIPパケットの断片化を要求しています。

最初の2行では、ARPクエリと応答が確認できます。ターゲットが同じイーサネット上にあるため、NmapはARPクエリを発行しました。2行目には、TCP SYN pingとその応答が示されています。5行目はポートスキャンの始まりで、Nmapはポート80にTCP SYNパケットを送信しています。この場合、IPヘッダは20バイト、TCPヘッダは24バイトである。TCPヘッダの最小サイズは20バイトであることに注意してください。


-f でフラグメントを要求すると、TCPヘッダーの24バイトは8バイトの倍数に分割され、最後のフラグメントにはTCPヘッダーの8バイト以下が含まれます。24は8で割り切れるので、3つのIPフラグメントが得られました。それぞれが20バイトのIPヘッダーと8バイトのTCPヘッダーを持ちます。5行目から7行目にかけて、3つのフラグメントが確認できます。


なお、-ff(または-f -f)を付けた場合、データの断片化は16の倍数になります。つまり、この場合、TCPヘッダーの24バイトは、2つのIPフラグメントに分割され、最初のフラグメントは16バイト、2番目のフラグメントはTCPヘッダーの8バイトを含みます。

一方、パケットのサイズを大きくして無難に見せたい場合は、オプション --data-length NUM を使用することができ、num にはパケットに追加したいバイト数を指定します。

■question

If the TCP segment has a size of 64, and -ff option is being used, how many IP fragments will you get?
4

Task 7  Idle/Zombie Scan

送信元IPアドレスを偽装することは、ステルススキャンを行う上で非常に有効な手段です。ただし、スプーフィングが機能するのは、特定のネットワーク設定に限られます。また、トラフィックを監視できる位置にいることが必要です。これらの制限を考慮すると、IPアドレスのスプーフィングはほとんど役に立ちませんが、アイドルスキャンでこの方法をアップグレードすることは可能です。

アイドルスキャン(ゾンビスキャン)には、ネットワークに接続され、通信可能なアイドルシステムが必要です。実際、Nmapは各プローブをアイドル(ゾンビ)ホストから発信されているように見せかけ、ゾンビホストが偽装されたプローブに対して何らかの応答を受け取ったかどうかを指標にチェックします。これは、IPヘッダーのIP識別(IP ID)値をチェックすることで実現されます。nmap -sI ZOMBIE_IP MACHINE_IP(ZOMBIE_IPはゾンビのIPアドレス)を使用して、アイドルスキャンを実行することができます。

アイドル(ゾンビ)スキャンでは、ポートが開いているかどうかを発見するために、次の3つのステップが必要です:
  1. アイドルホストの現在のIP IDを記録できるように、アイドルホストが応答するようにトリガーをかける。
  2. ターゲットのTCPポートにSYNパケットを送信する。このパケットは、アイドルホスト(ゾンビ)のIPアドレスから送信されているように見えるように偽装する必要があります。
  3. アイドルマシンを再度トリガーして応答させ、新しいIP IDと先に受信したIP IDを比較できるようにする。
図を使って説明しましょう。下の図では、攻撃者システムがアイドル状態のマシンであるマルチファンクションプリンターを探っているところです。SYN/ACKを送信すると、新たにインクリメントされたIP IDを含むRSTパケットで応答しています。


攻撃者は、次のステップでターゲットマシンのチェックしたいTCPポートにSYNパケットを送信します。ただし、このパケットは、アイドルホスト(ゾンビ)のIPアドレスを送信元として使用します。このとき、3つのシナリオが発生します。下図に示す最初のシナリオでは、TCPポートが閉じられているため、ターゲットマシンはRSTパケットでアイドルホストに応答します。アイドルホストは応答しないので、そのIP IDはインクリメントされません。


2番目のシナリオでは、以下に示すように、TCPポートが開いているため、ターゲットマシンはアイドルホスト(ゾンビ)に対してSYN/ACKで応答します。アイドルホストはこの予期せぬパケットにRSTパケットで応答し、IP IDをインクリメントします。


3つ目のシナリオでは、ファイアウォールルールによりターゲットマシンが全く応答しない。この応答の欠如は、閉じたポートの場合と同じ結果を招きます。アイドルホストはIP IDを増加させません。

最後のステップとして、攻撃者はアイドルホストに再度SYN/ACKを送信する。アイドルホストはRSTパケットで応答し、IP IDを再び1つ増加させる。攻撃者は、最初のステップで受信したRSTパケットのIP IDと、この3番目のステップで受信したRSTパケットのIP IDを比較する必要があります。その差が1であれば、ターゲットマシンのポートが閉じられたかフィルタリングされたことを意味します。しかし、その差が2であれば、ターゲットのポートが開いていたことを意味します。

このスキャンがアイドルスキャンと呼ばれるのは、スキャンの精度を上げるためにはアイドルホストの選択が不可欠であるためです。繰り返し述べておきます。もし「アイドルホスト」がビジーであれば、返されたIP IDはすべて無駄になってしまいます。

■question

You discovered a rarely-used network printer with the IP address 10.10.5.5, and you decide to use it as a zombie in your idle scan. What argument should you add to your Nmap command?
-sI 10.10.5.5

Task 8  Getting More Details

Nmapにその理由と結論に関する詳細を提供させたい場合は、--reasonの追加を検討することができます。後者の例では--reasonを追加しています。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sS 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:39 BST
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up (0.0020s latency).
Not shown: 994 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
111/tcp open  rpcbind
143/tcp open  imap
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.60 seconds

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sS --reason 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:40 BST
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up, received arp-response (0.0020s latency).
Not shown: 994 closed ports
Reason: 994 resets
PORT    STATE SERVICE REASON
22/tcp  open  ssh     syn-ack ttl 64
25/tcp  open  smtp    syn-ack ttl 64
80/tcp  open  http    syn-ack ttl 64
110/tcp open  pop3    syn-ack ttl 64
111/tcp open  rpcbind syn-ack ttl 64
143/tcp open  imap    syn-ack ttl 64
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.59 seconds

--reason フラグを指定すると、Nmap がシステムが稼働している、または特定のポートが開いていると結論づけた明確な理由が表示されます。上のコンソール出力では、Nmapが「arp-responseを受信した」ため、このシステムがオンラインと判断されたことがわかります。一方、Nmapが "syn-ack "パケットを受信して戻ってきたため、SSHポートが開いていると判断されたことがわかります。

より詳細な出力を得るには、-vで冗長な出力を、-vvでさらに冗長な出力が可能です。

Pentester Terminal
pentester@TryHackMe$ sudo nmap -sS -vv 10.10.252.27

Starting Nmap 7.60 ( https://nmap.org ) at 2021-08-30 10:41 BST
Initiating ARP Ping Scan at 10:41
Scanning 10.10.252.27 [1 port]
Completed ARP Ping Scan at 10:41, 0.22s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 10:41
Completed Parallel DNS resolution of 1 host. at 10:41, 0.00s elapsed
Initiating SYN Stealth Scan at 10:41
Scanning ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27) [1000 ports]
Discovered open port 22/tcp on 10.10.252.27
Discovered open port 25/tcp on 10.10.252.27
Discovered open port 80/tcp on 10.10.252.27
Discovered open port 110/tcp on 10.10.252.27
Discovered open port 111/tcp on 10.10.252.27
Discovered open port 143/tcp on 10.10.252.27
Completed SYN Stealth Scan at 10:41, 1.25s elapsed (1000 total ports)
Nmap scan report for ip-10-10-252-27.eu-west-1.compute.internal (10.10.252.27)
Host is up, received arp-response (0.0019s latency).
Scanned at 2021-08-30 10:41:02 BST for 1s
Not shown: 994 closed ports
Reason: 994 resets
PORT    STATE SERVICE REASON
22/tcp  open  ssh     syn-ack ttl 64
25/tcp  open  smtp    syn-ack ttl 64
80/tcp  open  http    syn-ack ttl 64
110/tcp open  pop3    syn-ack ttl 64
111/tcp open  rpcbind syn-ack ttl 64
143/tcp open  imap    syn-ack ttl 64
MAC Address: 02:45:BF:8A:2D:6B (Unknown)

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 1.59 seconds
           Raw packets sent: 1002 (44.072KB) | Rcvd: 1002 (40.092KB)

もし、-vvで満足できない場合は、-dでデバッグの詳細を、-ddでさらに詳細な情報を得ることができます。dを使えば、1画面を超える出力が得られます。

■question

Launch the AttackBox if you haven't done so already. After you make sure that you have terminated the VM from Task 4, start the VM for this task. Wait for it to load completely, then open the terminal on the AttackBox and use Nmap with nmap -sS -F --reason MACHINE_IP to scan the VM. What is the reason provided for the stated port(s) being open?(AttackBoxのターミナルを開き、Nmapをnmap -sS -F --reason MACHINE_IPで使用して、VMをスキャンします。指定されたポートが開いている理由は何ですか?)
syn-ack

Task 9  Summary

ここでは、次のようなスキャンの種類を扱いました。

Port Scan TypeExample Command
TCP Null Scansudo nmap -sN MACHINE_IP
TCP FIN Scansudo nmap -sF MACHINE_IP
TCP Xmas Scansudo nmap -sX MACHINE_IP
TCP Maimon Scansudo nmap -sM MACHINE_IP
TCP ACK Scansudo nmap -sA MACHINE_IP
TCP Window Scansudo nmap -sW MACHINE_IP
Custom TCP Scansudo nmap --scanflags URGACKPSHRSTSYNFIN MACHINE_IP
Spoofed Source IPsudo nmap -S SPOOFED_IP MACHINE_IP
Spoofed MAC Address--spoof-mac SPOOFED_MAC
Decoy Scannmap -D DECOY_IP,ME MACHINE_IP
Idle (Zombie) Scansudo nmap -sI ZOMBIE_IP MACHINE_IP
Fragment IP data into 8 bytes-f
Fragment IP data into 16 bytes-ff
オプション目的

--source-port PORT_NUM

specify source port number

--data-length NUM

append random data to reach given length
これらのスキャンタイプは、TCPフラグを予期せぬ方法で設定し、ポートに応答を促すことに依存しています。Null、FIN、Xmasスキャンは閉じたポートからの応答を、Maimon、ACK、Windowスキャンは開いたポートおよび閉じたポートからの応答を誘発します。

オプション目的
--reasonexplains how Nmap made its conclusion
-vverbose
-vvvery verbose
-ddebugging
-ddmore details for debugging

■question(無し)