【セキュリティ事件簿#2023-182】函館大谷高等学校 個人情報漏えいの疑いに関するお詫びとご報告 2023年4月17日


令和5年3月、令和4年3月および令和3年3月に生徒等の個人情報が漏えいした可能性があることについて、以下にご報告いたします。

(概要)
令和5年3月22日11時14分、新入生の氏名印作成に必要なデータ(119名分)について、本校事務職員が制作業者の使用するメールアドレスに送信すべきところ、誤ったメールアドレス(以下、誤アドレス)にこれを送信。同日11時47分、制作業者からメールが届いていない旨の連絡があり、再送。これも不着となり、制作業者に確認したことにより、送信先のメールアドレスが誤っていたことが判明しました。
この誤送信に対してメールサーバーはエラーメッセージを返しておらず、誤アドレスは実在する可能性が極めて高いと推察されます。なお、調査の結果、以下のとおり、同様の事例が過去にも生じていたことが発覚しました。
  • 令和4年3月18日16時16分 令和4年度 新入生134名分
  • 令和4年3月18日16時26分 上に同じ
  • 令和3年3月18日13時19分 令和3年度新入生106名、在校生1名および新任職員3名分
個人情報はメールにExcel形式のファイルで添付されており、記載内容は以下のとおりです。
  • 受検番号
  • 氏名
  • 氏名カタカナ
(対処)
令和5年3月24日20時29分、誤アドレス宛に謝罪および報告をおこなうも、令和5年4月15日現在、これに返信はありません。同日18時2分、アドレスから推察されるプロバイダ運営法人の法人専用相談ページより対応を乞う連絡をおこない、これによって案内された問い合わせ電話窓口より経緯を報告するとともに、対応を依頼しましたが、一切おこなえないとの返答でした。

現時点では誤送信の相手によるメール開封について確認をすること、およびこれを回収することは事実上不可能と判断されます。データには氏名以外の個人に紐づけられる情報は含まれておらず、万一、データが閲覧された場合も悪用の可能性は低いと考えられ、また代表的な検索エンジンで当該のデータを検索しても、検索結果に表示されないことから、データが流出した可能性は極めて低いと考えられますが、重要な情報が届くべきではない第三者に届いたことは確実と思われ、このことについて、ご報告いたしますとともに、深くお詫び申し上げます。

本校は、今後このようなことが再び起こらないよう、メールをはじめとする連絡において個人情報を扱う際のルールを見直し、改善をおこないます。また、生徒をはじめとする学校関係者のプライバシーとセキュリティを守るべく、全力を尽くす所存です。

最後に、生徒、保護者各位と学校に関わるすべての方々の信頼を裏切ることになりましたこと、重ねてお詫び申し上げます。なお、4月18日、緊急全校集会を開催し、本件について全校生徒に通知、報告をおこなうとともに、保護者各位には書面にて通知、報告を行う予定です。ご不明な点等がございましたら、どうぞお問い合わせください。

DNS調査のツールとその使用方法(DNSRecon)

 

ネットワークセキュリティは現代の情報技術に不可欠な部分であり、DNSReconはその中でも強力なツールの一つです。DNSReconはDNS(ドメインネームシステム)情報を調査するためのツールで、セキュリティ分析やペネトレーションテストにおいて重宝します。今回はこのツールの概要と基本的な使用方法について解説します。

DNSReconとは?

DNSReconは、特定のドメインに関するDNSレコードを探索し、ゾーン転送を試み、DNSサーバーへのブルートフォース攻撃を行うなど、DNS情報収集のためのツールです。

DNSReconの基本的な使用方法

以下にDNSReconを使用する際の基本的なコマンドの一部を示します。

・特定のドメインのDNSレコードの確認

bash
dnsrecon -d example.com

上記のコマンドは、example.comに関連する一般的なDNSレコード(A、MX、NSなど)を探索します。

・ゾーン転送の試行

bash
dnsrecon -d example.com -a

このコマンドは、ドメインexample.comに対してゾーン転送を試みます。これにより、ドメインに関連する詳細なDNS情報が得られます。

・DNSサーバーのブルートフォース攻撃

bash
dnsrecon -d example.com -D subdomains.txt -t brt

このコマンドは、subdomains.txtにリストされたサブドメインに対してブルートフォース攻撃を試みます。


注意:DNSReconは情報収集ツールであり、適切な権限なく使用すると法的な問題を引き起こす可能性があります。常に適切な許可を得てから使用してください。

まとめ

DNSReconはDNS調査のためのパワフルなツールで、適切に使用するとセキュリティ分析やペネトレーションテストにおける重要な情報を得ることができます。この記事を通じて、基本的な使用方法について理解できたことを願っています。これからも安全なネットワークを保つために、これらのツールをうまく活用していきましょう。

出典:Subdomain Enumeration

【セキュリティ事件簿#2023-181】東日本高速道路株式会社 電子メールの誤送信についてのお詫び 2023年5月17日


このたび、弊社が配信する「IRメールマガジン」をお客さまへ電子メールにて送信した際、他のお客さまのメールアドレスを宛先に表示させて誤送信する事態を発生させてしまいました。

お客さまに多大なるご迷惑をお掛けしましたことを、心よりお詫び申し上げます。

1. 発生状況とお客さまへの対応

令和5年5月16日(火)11時59分、計383名のお客さまへ弊社より一斉メールを送信した際、本来、送信先がわからない「BCC」で送信するところを「宛先」で誤送信し、当該メールを受信した方以外のメールアドレスが表示されている状況となりました。

当該一斉メールを受信されましたすべてのお客さまへ、他のお客さまにメールアドレスを誤送信してしまったお詫びとともに、受信メールの削除をお願いしております。

 ≪誤送信メール件名≫

 「★NEXCO東日本★IRメールマガジン 第138号」

2. 今後の対応

このような事態を引き起こしましたことを深く反省し、今後は弊社社員に対する教育を改めて徹底し、再発防止に努めてまいります。

【セキュリティ事件簿#2023-180】株式会社カドヤ 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年5月17日

このたび、弊社が運営する「カドヤ公式オンラインショップ(以下「当サイト」といいます。)」におきまして、第三者による不正アクセスを受け、個人情報最大28,658名(内クレジットカード情報6,263名)が漏えいした可能性があることが判明いたしました。

日頃より当サイトをご愛顧くださっているお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メール及び書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じて参ります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告申し上げます。

1.経緯

2023年3月15日、一部のクレジットカード会社から、旧環境の当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受けました。漏えい懸念が判明した旧環境の当サイトの決済は2023年3月1日に停止、同日に異なるプラットフォーム及び決済システムの環境にリニューアルいたしておりましたが、一部のクレジットカード会社からの指示により一部のクレジットカード決済を2023年3月24日に停止いたしました。

2023年3月20日に第三者調査機関による調査を開始いたしました。2023年4月8日、第三者調査機関による調査が完了し、2021年4月30日~2023年3月1日の期間に当サイトで購入されたお客様のクレジットカード情報および過去に当サイトに個人情報を入力頂いたお客様の個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1) 原因

弊社が運営するサイトのシステムの一部の脆弱性をついた第三者の不正アクセスにより、サーバー内に侵入され、ペイメントアプリケーションの改ざんが行なわれたため。

(2) クレジットカード情報漏えいの可能性があるお客様

2021年4月30日~2023年3月1日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様最大6,263名で、漏えいした可能性のある情報は以下の通りです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

過去に当サイトをご利用いただいたお客様最大28,658名で、漏えいした可能性のある情報は以下のとおりです。


・氏名
・住所、郵便番号
・電話番号
・メールアドレス
・購入履歴
・会社名(任意入力項目)
・FAX番号(任意入力項目)
・性別(任意入力項目)
・生年月日(任意入力項目)

※なお、配送先を購入者住所とは別でご入力いただいた場合はそちらも対象となります。

上記(2)(3)に該当するお客様については、別途、電子メール及び書状にて個別にご連絡申し上げます。

3.クレジットカード情報漏えいに関してお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表までに時間を要した経緯について

2023年3月15日の漏えい懸念から今回のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびにクレジットカード決済の再開について

現在、一部クレジットカードがご利用いただけない状況でございますが、全てのカードがご利用可能になった際には当サイトにて改めてお知らせいたします。

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図って参ります。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年3月17日に報告済みであり、また、所轄警察署にも2023年4月14日に被害申告、2023年5月2日に被害届を受理頂いており、今後捜査にも全面的に協力して参ります。

6.現在のカドヤ公式オンラインショップについて

不正アクセスを受けたオンラインショップは2023年3月1日に閉鎖、同日に異なるプラットフォームを使用した新システムにリニューアルを行なっており、不正アクセスを受けたシステムとは相関関係がないことを確認した上で、より堅牢なシステムにて継続して運営いたしております。

また、一部のクレジットカード会社の決済停止状況については、再開次第当サイトにてお知らせ申し上げます。

スカンジナビア航空、DDoS攻撃後に300万ドルの身代金要求を受ける


スカンジナビア航空(SAS)は、そのオンラインサービスに対する長期間にわたる分散型サービス拒否(DDoS)攻撃の後、300万ドルの身代金要求を受けています。

Cybernewsの報告によれば、アノニマス・スーダンというハクティビストグループが、航空会社のウェブサイトとスマートフォンアプリを混乱させた後、その金銭的要求をTelegramチャンネルで公開しました。

暗号化されたチャンネルの投稿で、アノニマス・スーダンは身代金要求を300万ドルに引き上げ、航空会社に対して「これがますます増え続けることを期待してください」と述べました。これは、彼らが最初にDDoSキャンペーンを開始したときに要求したわずか3500ドルの身代金よりもはるかに多い額です。

奇妙なことに、アノニマス・スーダンは最新の攻撃に対して政治的な理由を一切示さず、代わりにそれが貧弱なカスタマーサービスへの反応であることを示唆しました。「我々はあなたたちに顧客に対する配慮のレッスンを教えるためにここにいます。我々はあなたたちを攻撃し続け、強度をさらに増すでしょう。我々が以前に言ったように、これは我々にとって何の違いも作りません。我々は単に攻撃し、あなたたちは被害を受けます」と彼らは述べています。

確かに、SASと取引を行う旅行者は、航空会社のウェブサイトにアクセスしたり、SASのモバイルアプリを使用したりする際に、貧弱なカスタマーサービスを経験しています。フラストレーションを感じた顧客たちは、SASのウェブサイトがオフラインになっているか、アプリが機能していないということをSNSで不満を述べています。

SASは、そのウェブサイトとスマートフォンが初めてオフラインになり、顧客データが露出した2月以来、アノニマス・スーダンの攻撃の対象となっています。

攻撃者が"アノニマス・スーダン"という名前を選んだことについては、彼らが実際にはスーダン出身ではない可能性があることに注意すべきです。このキャンペーンが代わりにロシアに関連している可能性があると一部で推測されています。

【セキュリティ事件簿#2023-179】四国ガス株式会社 個人情報流出のお知らせとお詫びについて 2023年5月3日


当社はこの度、第三者による不正アクセスを受けたことを確認いたしましたので、お知らせいたします。

2023 年 5 月 1 日、当社が運営する会員サイト「ガポタ」におきまして、一部会員さまのメールアドレスが流出したことが判明いたしました。現在、会員サイト「ガポタ」につきましては一時的に閉鎖し、管理運営の委託先におきまして不正アクセスを受けた範囲、流出情報の特定などの調査を進めておりますが、全容を把握するまでには、今しばらく時間を要する見込みでございます。詳細につきましては改めてお知らせいたします。なお、本件につきましては会員の皆さまに対しまして、個別にご通知いたしております。

当社は、被害の全容解明と速やかな復旧に向けて、全力で取り組んでまいります。

この度の、会員の皆さまをはじめ、関係各位に多大なご迷惑、ご心配をおかけすることとなり、深くお詫び申しあげます。

【セキュリティ事件簿#2023-178】ヒロセ株式会社 メール送信に関するお詫びについて  2023年5月11日


このたび、お客様へ展示会出展のご案内のメールを配信したところ、別のお客様の氏名とメールアドレスを宛先に表示させて送信していたことが判明しました。お客様に多大なるご心配、ご迷惑をおかけしましたこと、深くお詫び申し上げます。

1.概要

2023 年 5 月 11 日(水)13 時 2 分頃にご案内メールを送信する際に、480 名のお客様に対し、本来送信先がわからない「BCC」で送信するところを「CC」で誤送信し、当該メールを受信した方以外の、他の方の氏名とメールアドレスが表示されている状況となりました。

2.原因
メール配信前に内容確認を十分に行わなかったこと、チェック体制が未整備であったことが原因です。

3.お客様への対応

本件の発覚後、メール誤配信のあったお客様に対し、速やかにお詫びのメールをお送りしました。

3.再発防止策

本作業における作業手順の確立、ならびに、別担当者・上司等による複数チェック体制の整備を行うとともに、テストメール送信による確実な確認を行います。
また、コンプライアンス上の重大性を鑑み、個人情報取り扱い業務における作業管理体制を、全社員へ啓蒙してまいります。 

【セキュリティ事件簿#2023-177】ビーピークラフト株式会社 弊社が運営する「Beads&Parts通販サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年5月16日


このたび、弊社が運営する「Beads&Parts通販サイト」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報1,771件及び個人情報2,821件が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

なお、個人情報2,821件が最大漏えい件数となり、クレジットカード情報1,771件はこれに含まれております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年2月17日、弊社サイトを利用したお客様からBeads&Parts通販サイトが開けないと連絡が入りました。お客様の個人情報漏えいを懸念し、緊急対策として本サイトの閉鎖およびクレジットカード決済の停止をいたしました。また2023年2月20日一部のクレジットカード会社から弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、第三者調査機関による調査も開始いたしました。2023年3月25日、調査機関による調査が完了し、2023年1月12日~2023年2月17日の期間に 本サイトで購入されたお客様クレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

本サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2023年1月12日~2023年2月17日の期間中に本サイトにおいてクレジットカード決済をされたお客様1,771名で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

2023年1月12日~2023年2月17日の期間中に本サイトにおいて購入されたお客様2,821名で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・メールアドレス

・郵便番号

・住所

・電話番号

上記(2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年2月17日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の本サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月21日に報告済みであり、また、所轄警察署にも2023年4月13日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2023-176】Transbird株式会社 個人情報漏洩に関するご報告とお詫び 2023年4月28日


この度当社におきまして、東京都政策企画局より受託しておりましたインターネット都政モニターの募集に際し、システムの不具合により個人情報が漏洩する事故が発生いたしましたので、お知らせいたします。

応募者様をはじめ関係者の皆さまに多大なるご心配とご迷惑をおかけいたしておりますことを、深くお詫び申し上げます。

個人情報取り扱いにあたり、管理の徹底に努めてまいりましたが、この度の事態を受けまして改めて職員への個人情報保護教育を徹底し、再発防止に取り組んで参ります。

1.事故概要

インターネット都政モニターの募集サイトを令和5年4月21日(金)に立ち上げました。4月26日(水)18時よりSNSによる告知を開始したところ、システムに不具合が発生し、約2時間、応募者136名の登録完了を確認する画面に登録者本人とは別の名前およびメールアドレスが表示される事象が発生いたしました。

1)発生日時 令和5年4月26日 21時34分から23時27分の間

2)漏洩した可能性がある個人情報 

応募者1名の名前とメールアドレス

3)漏洩の原因

仮ID発行によるシステムの不具合

4)対応状況 4月26日23時27分不具合を解消しました。4月27日10時00分インターネット都政モニターの募集を一時停止しました。

4月27日名前とメールアドレスを表示させてしまった方へ謝罪のため訪問いたしました。表示させてしまった事実およびその状況を説明しお詫びいたしました。

5)今後の対応状況および進捗につきまして改めて公表いたします。

今回の事態を重く受け止め、再発防止に向けてシステムならびに情報管理体制の強化に努めてまいります。

週刊OSINT #2023-08号

 

ツール: Sengi

Tweetdeckは、多くの人々にとって複数のTwitter検索を整理するためのお気に入りの方法の一つです。そして数週間前に、MastodonやPleromaのために同様のことができるツールに偶然出会いました。そしてそれは単一のアカウントだけでなく、複数のアカウントを簡単に追加し、フィルター処理や整理、メッセージの送信を容易に行うことができます。今まではMastodonであまり活動的ではありませんでしたが、このツールを使えばより頻繁にチェックすることになると思います!


ツール: Outscraper

Roman Höfnerから『Outscraper』についてのヒントを受け取りました。Romanが2023-05号で話したBNDのスパイを追跡するために使用したという事実を考慮に入れると、この素晴らしツールに見えます。


GitHubの小技

先日、Ivano Somainiが共有した便利な小技に気付きました。GitHubのユーザーから電子メールアドレスを取得するためのさまざまなテクニックは多くの人が知っていますが、これは逆の方法です。電子メールアドレスで検索することで、そのアドレスを含むコミットを見つけることができます。


使用できる2つの検索オプションは次の通りです:

committer-email:user@email.com

author-email:user@email.com


小技: Detect Changes

Eva ProkofievがVisualpingについての小さなTwitterスレッドを投稿しました。このツールは、無料の利用枠も提供しており、ウェブサイトの変更を追跡することができます。EvaのTwitterプロフィールの例では、バイオグラフィーのわずかな変更が見つかり、強調されています。無料の利用枠が十分でない場合は、2020-48号にさかのぼって、Distill.ioに関するレビューもチェックすることをおすすめします。


小技: Arkenfox

DiscordのユーザーSwagaliciousが、Firefoxの興味深い設定セットへのリンクを共有しました。特定のファイルをFirefoxプロファイルのルートフォルダにコピーするだけで、Firefoxブラウザを強化することができます。使用を開始する前に、Wikiを読んでその動作原理を理解するようにしてください。単純なインストールやクリック&ランではないためです。技術的に詳しい方はぜひ試してみてください!


出典:Week in OSINT #2023-08

【セキュリティ事件簿#2023-175】トヨタコネクティッド株式会社 クラウド環境の誤設定によるお客様情報等の漏洩可能性に関するお詫びとお知らせについて 2023年5月12日


トヨタコネクティッド株式会社(以下、弊社)が管理するデータの一部が、クラウド環境の誤設定により、公開状態となっていたことが判明しました。本件判明後、外部からのアクセスを遮断する措置を実施しておりますが、弊社が管理する全てのクラウド環境を含めた調査を継続して実施しており、本日時点で判明している事案につき、お知らせさせていただきます。
お客様ならびに関係の皆さまには大変なご迷惑、ご心配をおかけすることを、お詫び申し上げます。

本日時点で把握している事案は以下のとおりです。

外部より閲覧された可能性があるお客様情報車載端末ID*1、車台番号*2、車両の位置情報、時刻
対象となるお客様2012年1月2日〜2023年4月17日の期間内にT-Connect/G-Link/G-Link Lite/G-BOOKを契約されていた方(約215万人)
外部からアクセスできる状態にあった期間2013年11月6日~2023年4月17日

*1車載機(ナビ端末)ごとの識別番号
*2車両一台ずつに割り当てられた識別番号


外部より閲覧された可能性がある情報弊社が提供する法人向けサービスから収集されたドライブレコーダーで車外を撮影した映像
外部からアクセスできる状態にあった期間2016年11月14日~2023年4月4日
車載端末ID、車台番号、車両の位置情報、時刻が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、お詫びとお知らせを個別にお送りさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置いたします。

このたびは、データ取扱いのルール説明・徹底が不十分だったことなどが主な原因であったと考えております。従業員への教育を徹底し、再発防止に取り組むと同時に、クラウド設定を監査するシステムを導入し、クラウド環境の設定調査を実施、および継続的に設定状況を監視する仕組みを構築いたします。

今回、外部より閲覧された可能性のあるお客様情報は、外部からアクセスした場合であっても、これらのデータのみでは、お客様が特定されるものではありません。本件判明後より、外部より閲覧された可能性のあるお客様情報について、ネット上での第三者による二次利用、コピーの残存有無の継続調査の際、その事実は確認されず、現在のところ、その他の二次被害も確認されておりませんが、引き続きプライバシーマーク付与事業者として、お客様の大切な個人情報やデータの取り扱いへの安全な管理の徹底、およびセキュリティ機能の強化に向け取り組んでまいります。

Webディレクトリ探索ツール三選: gobuster、ffuf、dirb

Webディレクトリ探索
Webディレクトリの探索は、セキュリティ評価やペネトレーションテストにおいて重要な要素です。今回は、Webディレクトリ探索を行うための3つの優れたツールを紹介し、それぞれの概要と主な特徴を解説します。これらのツールを使って、Webアプリケーションのセキュリティ評価をより効果的に行いましょう。

1.gobuster

gobusterは、高速かつ柔軟なWebディレクトリ探索ツールです。複数のスレッドを使用して並列にリクエストを送信し、効率的な攻撃を実行します。ワードリストベースの攻撃や拡張子の指定など、多くのカスタマイズオプションが提供されています。さらに、カスタムのHTTPヘッダを使用してリクエストを送信することも可能です。レポートの生成機能も備えているため、結果を整理しやすくなっています。

以下は、gobusterの実行例です:

bash
gobuster dir -u http://example.com -w wordlist.txt -t 10 -x php,html -o results.txt

 上記の例では、-uオプションで探索対象のURLを指定し、-wオプションでワードリストファイルを指定しています。-tオプションでは10のスレッド数を指定し、-xオプションで拡張子を指定しています。最後に、-oオプションで結果を保存するファイル名を指定しています。

2.ffuf

ffufは、高速かつパワフルなWebディレクトリ探索ツールです。並列リクエストを使用して大量のリクエストを効率的に処理します。ワードリストベースの攻撃やリクエストのマルチポジション、ワイルドカードサポートなど、柔軟なカスタマイズオプションがあります。さらに、リクエストのフィルタリング機能により、絞り込まれた結果を得ることができます。コマンドラインベースのツールとして提供されており、直感的で使いやすいインターフェースを持っています。

以下は、ffufの実行例です:

arduino
ffuf -w wordlist.txt -u http://example.com/FUZZ -t 20 -mc all -o results.txt

上記の例では、-wオプションでワードリストファイルを指定(URLの”FUZZ”の部分に当てはめ)し、-uオプションで探索対象のURLを指定しています。-tオプションでは20のスレッド数を指定し、-mcオプションで全ての応答を表示するよう設定しています。最後に、-oオプションで結果を保存するファイル名を指定しています。

3.dirb

dirbは、Webディレクトリやファイルの探索に使用される定番のツールです。ワードリストベースの攻撃やカスタムエクステンションのサポート、マルチスレッドサポートなどの特徴があります。また、レポートの生成機能も備えており、探索結果を整理しやすくなっています。コマンドラインツールとして提供されているため、柔軟性があり、多くのオプションを使ってカスタマイズすることができます。

以下は、dirbの実行例です:

arduino
dirb http://example.com -o results.txt -r -X .txt,.php

上記の例では、探索対象のURLを指定しています。-oオプションで結果を保存するファイル名を指定し、-rオプションでリクエストを再帰的に処理するよう設定しています。また、-Xオプションで拡張子を指定しています。


gobuster、ffuf、dirbは、それぞれ優れたWebディレクトリ探索ツールです。攻撃対象のWebアプリケーションの特性や要件に応じて、適切なツールを選択して利用することが重要です。また、効果的な探索を行うために、優れたワードリストの使用も重要です。その中でも、"SecLists"というワードリストがオススメです。SecListsは、セキュリティ関連の様々なワードリストを収集したもので、様々な攻撃シナリオに対応しています。以下のリンクからSecListsを入手することができます:

SecLists - GitHub

これらのツールとSecListsを組み合わせることで、より効果的かつ包括的なWebディレクトリ探索が可能となります。当然ですが、必要な許可を得た上で、セキュリティ評価やペネトレーションテストを実施するようにしてくださいね。

出典:Content Discovery(THM)

【セキュリティ事件簿#2023-174】兵庫医科大病院 当院職員所有のノートパソコン及びUSBメモリの盗難被害について(お詫び) 2023年5月2日


兵庫医科大学病院では、かねてより個人情報保護の方針を遵守すべく、病院職員に対して再三注意喚起とともに職員教育を行ってまいりましたが、この度、下記のとおり本学職員が所有するノートパソコン及びUSB メモリが盗難被害に遭う事案が発生いたしました。現在、関係当局による捜査が引き続き行われております。また、現時点におきましては、第三者への個人情報の流出の事実は確認されておりません。

この度の経緯等の詳細について報告申し上げるとともに、患者の皆様をはじめ、その他関係各位に多大なるご心配とご迷惑をおかけすることになりましたことを心よりお詫び申し上げます。

1.紛失した機器
ノートパソコン(アクセス制限有)1 台及びUSB メモリ(アクセス制限無)1 個

2.発覚の経緯
当院勤務医師が学会発表データを作成するため、所有するノートパソコンと受診患者さまの情報が保存された USB メモリを病院外に持ち出し、その後、駐車場に一時、駐車し、10 分ほどして車に戻ったところ、車の窓ガラスが割られており、鞄(ノートパソコン及びUSB が入った)が盗難(車上荒らし)されていることが判明しました。速やかに最寄りの警察署に届出を行い、翌4 月21 日(金)に当該医師は上司に状況と経過を報告のうえ、病院長へ当該事案について報告を行い、4 月 24 日(月)に当該医師により、「個人情報紛失・漏出届」を作成のうえ、病院長へ提出がありました。

3.機器に記録されていた情報
兵庫医科大学病院 呼吸器内科の患者さま32 名分に関する個人情報
(患者さま氏名、カルテ番号、生年月日、年齢、性別、病名 ※患者さまの住所、電話番号は含まれておりません)

4.対応
上記3 に該当する患者さまに対し、個別に連絡のうえ、お詫びと本件の経緯説明を行いました。

週刊OSINT #2023-06号

 

メディア: Intelligence Cycle

情報の収集と文書化の部分が終わったら、データを処理し、分析し、広める時がきます。これがいわゆる「情報収集サイクル」であり、最近ロンドンを拠点とする企業arcXがその重要性についてビデオを公開したということです。これは重要です。なぜなら、単にインターネットからデータや情報を収集するだけではOSINTとは言えず、先月オランダのOSINT Guyが述べたように、データ、情報、インテリジェンスは異なるものだからです。それぞれの意味を理解することが重要です。


チュートリアル: Documentation

OS Tradecraftでは、情報の文書化や収集のプロセスが詳しく説明されています。文書化の重要性だけでなく、正しい方法で行うための方法も説明されています。それは情報の整理について話しているだけでなく、コンプライアンスの部分や監査についても触れています。さらに、ウェブサイト全体をダウンロードするためのツールや、スクリーンショットを撮ったり画面を録画するための便利なアプリケーションのリストなど、いくつかの利用可能なツールについても言及しています。


記事: Verification

OSINT Combineのウェブサイトには先週、オンラインメディアの検証についての新しい記事が投稿されました。それは検証の重要性だけでなく、プロセス自体についても語っています。関連性や信頼性、信憑性、情報が裏付けられるかどうかについても言及しています。この記事は思考プロセスやディスインフォメーションの撲滅、ホークスの検証、オンラインでの調査、ファクトチェックの基礎などを示しています。これは主にオンラインで投稿された情報の検証に関連していますが、これは研究の結果にも適用することができます。なぜなら、誤った仮定が無実の被害者を何度も作ってしまったからです。

小技: Reporting

データの収集、処理、分析が終わった後は、調査結果を報告する時期かもしれません。Redditで「テンプレート」を求める人々が多く見かけますが、これはほとんど不可能なことです。なぜなら、様々な種類のオープンソースインテリジェンスレポートが存在するからです。例えば:

  • 犯罪組織
  • 軍事紛争
  • 関心のある人物
  • ジオロケーション
  • 事件の検証

このような標準的なテンプレートには、出生地や電話番号などの個人情報を記載する欄があれば、武力紛争の調査時には役に立たなくなります。また、関心のある人物のプロフィールを作成する際には、タイムラインに関するセクションを常に埋めることができるわけではありません。

しかし、インテリジェンスレポートには何が必要なのでしょうか?それについては、2022年12月に公開されたOHCHRバークレー・プロトコルを参照します。

報告書は、収集した情報を分析し、論理的な結論、推定、予測を導くために使用されます。報告書は、堅実な方法論を反映し、その方法論を対象の読者に説明できるようにする必要があります。報告書における基本情報の真実性と誠実性は重要です。

また、該当する場合には報告書に含まれるべきパートも述べられています。実際のバークレー・プロトコルにはなかったものですが、追加した最初のトピックは次の通りです:

導入

個人的な意見ですが、報告書はまず導入から始めるべきです。短い紹介を含めるべきです。イベント自体や情報が共有された場所に触れますが、事実に基づく内容を保つために、あらかじめ推測を含めないように注意してください。

目的

このセクションでは、調査の目的と研究の質問を説明します。目的がある場合、調査自体に明確な目標があります。これはまた、報告書の読者の焦点を絞るのに役立ちます。特定の発見の方向性や目的を確立することができます。

方法論

調査中に説明が必要な研究方法は、この部分に文書化されるか、外部の専門知識が必要とされます。調査中に特定の技術が一部で使用される場合、結果を提示する前に追加の説明が十分かもしれません。

活動

調査中に行われたすべてのステップを説明し、独立した検証を支援します。どのような手順が実行されたか、またいつ、何時に行われたかを文書化します。これにより、独立した調査者が結果を検証できるようになります。

情報源

調査中に使用されたデータの情報源とその品質については、このセクションで言及されます。どんな情報やインテリジェンスも、その信頼性に基づいて有効なものとなります。

不確実性

結論が一定ではない場合や調査において欠落がある場合は、それらを記載する必要があります。これにより、調査が偏見のないものとなることも保証されます。事実に基づいて記述しますが、明確なシナリオを書き留める必要がある場合や何かが不明確な場合には、それを言及することをためらわないでください。

結果

調査の結果はここで事実に基づいて記述されます。新たに発見された質問や調査の可能性のある新たな展開について触れることもありますが、何よりも見つかった内容の要約が含まれます。


そして、これを強調するには言い足りませんが、報告書を作成する際には、事実に固執し、特定の理論を偏好せず、確証バイアスに陥ることがありません。特定の答えを見つけるために推測を使用する場合や新たな調査を開始する場合でも、それが調査の残りに影響を与える作業理論にならないように注意してください。研究者として、プロセス全体で完全に偏見のない態度を持つべきです。

トレーニング: OSINT Exercises

研究の理論的な部分がすべて終わったら、スキルを実践する時です!ソフィア・サントスは、今年の1月に自身のウェブサイトでいくつかのOSINTのチャレンジを投稿しました。現在の執筆時点では、彼女のウェブサイトには5つのチャレンジがありますので、ぜひ挑戦してみてください。素晴らしいことは、行き詰まった時には、彼女がチャレンジの下に可能な解決策を説明したビデオを既に投稿していることです。これらのチャレンジ以外にも、ソフィアのウェブサイトは優れた記事の宝庫となっており、ぜひ彼女のサイトもチェックしてみてください!


出典:Week in OSINT #2023-06

2023年にフォローすべきサイバーセキュリティ関連のTwitterアカウント


2022年10月のイーロン・マスクによる買収後、多くのTwitterユーザーが離れて、より分散型のソーシャルメディアプラットフォームであるMastodonに移行しました。

オープンソースでクラウドファンディングされたMastodonは昨冬、新規アカウントが急増しましたが、多くの新規Mastodonユーザーは複雑なソーシャルネットワークを再構築するのに苦労し、その後、青い鳥のアプリに戻ってきました。サイバーセキュリティコミュニティにとって、Twitterはサイバー関連の全ての情報の主要なソーシャルメディアチャンネルのままです。

知識とリソースを拡大する精神で、ここでは、サイバーセキュリティのトピック、問題、ニュースについて学びたいと考えているすべての人に推奨する、23の厳選されたTwitterアカウントを紹介します。
  1. @matrosov | Alex Matrosov
  2. @r00tbsd | Paul Rascagnères
  3. @silascutler | Silas Cutler
  4. @Wanna_VanTa | Van Ta
  5. @n0x08 | Nate Warfield
  6. @LittleJoeTables | Joe DeMesy
  7. @greglesnewich | Greg Lesnewich
  8. @hasherezade | Aleksandra Doniec
  9. @stvemillertime | Steve Miller
  10. @kyleehmke | Kyle Ehmke
  11. @ophirharpaz | Ophir Harpaz
  12. @oxleyio | David Oxley
  13. @malwareunicorn | Amanda Rousseau
  14. @cybersecmeg | Meg West
  15. @AmarSaar | Saar Amar
  16. @ale_sp_brazil | Alexandre Borges
  17. @maddiestone | Maddie Stone
  18. @cyberwarship | Florian Hansemann
  19. @dinosn | Nicolas Krassas
  20. @h2jazi | Hossein Jazi
  21. @bushidotoken | Will Thomas
  22. @milenkowski | Aleksandar Milenkoski
  23. @tomヘーゲル | Tom Hegel
Twitterや他のマイクロブログプラットフォームの未来についての議論が落ち着くまでには、もうしばらく時間がかかるでしょう。

【セキュリティ事件簿#2023-173】産経新聞社 メールアドレス漏洩のお詫び 2023年5月10日


産経新聞社 NIE(※)事務局よりメルマガを送信した際、一部の受信者が他の受信者のメールアドレスを確認できる状態で誤って送信していたことが判明しました。漏洩したメールアドレスは340件です。関係する皆様には多大なるご迷惑をおかけしました。深くお詫び申し上げます。

※「Newspaper in Education(教育に新聞を)」の略。教育現場に新聞の活用を広める活動のこと

1:経緯

2023年5月9日午後8時50分ごろ、NIE 事務局より、NIEメルマガ第155号を一斉送信いたしました。その際、担当者が入力を誤り、登録されている方の一部に、各人のアドレスが見える形で送信してしまいました。この結果、340人(件、一部学校・組織を含む)の方(メール受信者)は、相互にメールアドレスが確認できる状態になりました。

2:流出した情報

産経新聞 NIE メルマガに登録されている方の一部340人(件)のメールアドレス、および、このうち一部の方のメール「表示名」としての氏名

3:受信者様への対応

本件メールを受信した340人には、5月10日午後 2 時 35 分ごろ、お詫びと当該メールの削除をお願いするメールをお送りしました。

4:再発防止策

一斉送信時には複数人による多段階チェックを必須とすることで、再発を防止します。

IHGポイント購入100%ボーナスフラッシュセール(2023/6/19~2023/6/26)

 

IHG One Rewardsは、100%ボーナスと上限引き上げを伴うポイント購入フラッシュセールを2023年6月26日まで開催しています。IHGは頻繁にポイントを販売しており(最大ボーナスは100%)、メンバーは毎年カレンダーごとに最大150,000ポイント(時折250,000ポイントの上限引き上げあり)を購入することができます。

セール中だからといってポイントを購入するのは意味がありません。しかし、それらをうまく活用する方法がある場合(現金よりもポイント払いの方が節約できる場合)、購入することで滞在費を大幅に削減することができます。

IHGは頻繁に100%ボーナスでセールを行うため、100%ボーナス以外(80%、etc)で購入することはあまり意味がありません。

尚、このオファーで購入されたポイントは、IHG One Rewardsエリートステータスにはカウントされません。

出典:LAST CALL: IHG Buy Points 100% Bonus Flash Sale Until June 26, 2023

【セキュリティ事件簿#2023-172】愛知県 里親、里子等に係る個人情報の漏洩について 2023年5月2日


昨日(5月1日(月))、愛知県尾張福祉相談センター(名古屋市中区)において、里親や里子に関する個人情報が漏洩する事案が発生しました。

このような事態を招いたことを、里親・里子の方々を始め、関係する皆様に御迷惑をおかけし、深くお詫びするとともに、個人情報の適切な管理及び取扱いの徹底を行い、再発防止に努めてまいります。

1 漏洩した個人情報

愛知県尾張福祉相談センターが養育を委託している里親・里子等の方々に関する次の情報(過去に委託していた里親・里子を含む。)
  • 里親63名分の個人情報
    氏名、住所、銀行口座情報、電話番号
  • 里子84名分の個人情報
    氏名、生年月日、年齢、学年、委託開始年月日、委託里親種別(※)
※委託里親種別:養育里親、専門里親、養子縁組里親、親族里親の別
  • 施設1か所の銀行口座情報
2 経緯

里子を委託中の里親には、毎月、福祉相談センター又は児童相談センターから里子養育費(※)が支払われている。尾張福祉相談センターでは、里親の負担軽減のため、請求金額を入力した請求書をエクセルで作成してPDF化し、里親にメールで送付し確認してもらっている。

5月1日(月)に、里親5名に請求書を送付したところ、送付した里親の1人から電話連絡があり、PDFではなく、誤って他の里親等の個人情報を含むエクセルファイルを送付したことが発覚した。

※里子養育費:里親に対して支払われる里子の生活費、学費等

3 当事者への対応

尾張福祉相談センターから、情報が漏洩した里親、里子、里子の親権者及び施設に、謝罪を行っている。

4 再発防止策

今回の事案を踏まえ、県の全ての福祉相談センター及び児童相談センターに対し、本日、次のとおり指示を行った。

<指示内容>
  • 個人情報を扱うことの重要性について、改めて職員に周知徹底すること。
  • 里子養育費請求書を始め、個人情報をメールで送付する際には、複数人で送付先と添付ファイルを確認すること。
  • 個人情報を含むファイルには必ずパスワードを設定し、担当者以外ではファイルを開けないようにすること。