航空格付け会社SKYTRAX(スカイトラックス)社による「2024世界の航空会社トップ10」とワンワールド加盟航空会社内の順位をチェックしてみる

The World's Best Airlines of 2024
 

航空格付け会社SKYTRAX(スカイトラックス)社は、「2024世界の航空会社トップ10」を発表した。総合ランキングのトップは、前年2位のカタール航空が選ばれた。前年1位だったシンガポール航空は2位。日本からは、ANAが4位(前年3位)、JALが6位(前年5位)にランクインした。

航空会社ランキングとなる「The World Airlines Awards」は、世界中の利用者の満足度調査をもとにスカイトラックスが1999年から実施しているもの。航空会社に対して登録料などを課さず、すべての調査費用はスカイトラックスが負担することで公平性と独立性を担保している。また、各賞のロゴなどの使用料も求めていない。

オンラインによる調査は2023年9月から2024年5月にかけて実施された。日本を含む100カ国以上の利用者が参加。ユーザー情報はスクリーニングされ、重複したエントリー、疑わしいエントリー、不適格なエントリーを除外するなど厳格なルールのもとで調査が行われた。最終的に、アワードには350社以上の航空会社が記載されている。

ちなみにワンワールドアライアンスメンバーに限って抽出すると以下のような感じになる。

【The World's Top 100 Airlines in 2024 ※ワンワールドメンバーのみ】

1位:Qatar Airways(前年2位)

5位:Cathay Pacific Airways(前年8位)

6位:Japan Airlines(前年5位)

13位:British Airways(前年18位)

14位:Fiji Airways(前年15位)

15位:Iberia(前年14位)

23位:Finnair(前年24位)

24位:Qantas Airways(前年17位)

39位:Malaysia Airlines(前年47位)

55位:Royal Air Maroc(前年53位)

60位:Alaska Airlines(前年52位)

62位:Iberia Express(前年ランク外)

78位:American Airlines(前年82位)

ランク外:Royal Jordanian(前年ランク外)

ランク外:SriLankan Airlines(前年ランク外)

出典:The World Airlines Awards

【セキュリティ事件簿#2024-177】株式会社岸和田スポーツ 弊社が運営する「Kemari87KISHISPO公式通販サイト」への不正アクセスによる クレジットカード情報及び個人情報漏洩に関するお詫びとお知らせ 2024/6/19

株式会社岸和田スポーツ
 

このたび、弊社が運営する「Kemari87KISHISPO公式通販サイト(https://www.kishispo.net/)」(以下、弊社ECサイト)におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(13,960名)及び個人情報(38,664名)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年2月6日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、弊社が運営するECサイトでのカード決済を停止し、2024年2月14日より第三者調査機関による調査を開始いたしました。

2024年2月26日、第三者調査機関による調査が完了し、2021年2月24日~2024年1月17日の期間に 弊社ECサイトで購入されたお客様のクレジットカード情報及び個人情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社ECサイトのシステムの一部の脆弱性を利用するために第三者が2021年2月21日から2021年2月24日にかけて不正注文を行い、注文データの参照が行われたことを起点として不正なスクリプトが実行されたと考えられます。

(2) クレジットカード情報漏洩の可能性があるお客様

2021年2月24日~2024年1月17日の期間中に弊社ECサイトにおいてクレジットカード決済をされたお客様13,960名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
・メールアドレス(パスワードの漏洩はありません)
・郵便番号
・住所
・電話番号

(3)個人情報漏洩の可能性があるお客様

2021年2月24日~2024年1月17日の期間中に弊社ECサイトにおいてご購入されたお客様38,664名で、 漏洩した可能性のある情報は以下のとおりです。

・氏名
・メールアドレス(パスワードの漏洩はありません)
・郵便番号
・住所
・電話番号

漏洩懸念のあるお客様には、別途、電子メールにてご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024年2月6日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトのクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の弊社ECサイトのクレジットカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、 監督官庁である個人情報保護委員会には2024年2月7日に報告済みであり、また大阪府警察本部サイバーセキュリティ対策課に2024年2月9日に被害申告しており、システム情報等も提供しております。今後捜査にも全面的に協力してまいります。

6.漏えい件数の追加修正について(お詫び)

このたび、漏えい対象のお客様を特定するにあたり、システムエラーが生じていたことが判明いたしましたので、漏えい件数についてお詫びして訂正いたします。

尚、影響のありましたお客様には6/19より個別にご通知させていただきます。

ご迷惑をおかけし誠に申し訳ございませんでした。

リリース文アーカイブ

【2024年5月14日リリース分】

リリース文アーカイブ

旅行中に必要なアプリ7選


スマートフォンは旅行中に役立つ貴重なツールです。その機能を最大限に引き出すには、役立つアプリをインストールし、出発前にアップデートしておく必要があります。

今回は外出時に役立つアプリのリストを紹介します。

これなしでは旅行できないかもです。

Tripit



Tripitアプリで旅行計画を整理しておくと、簡単にすべての情報にアクセスできる。ホテルの住所、ディナーの予約と時間、etc。Tripitは近くのレストラン、バー、ATMの場所、コンビニエンスストアも提案してくれます。更に旅行先の安全レベルも教えてくれます。

FlightAware



これはフライト状況を把握するためのアプリで、フライトの遅延時に有利です。

このアプリのお気に入りのひとつは、到着便(これから乗る飛行機)の状況を簡単に知ることができることです。

その飛行機が午後2時30分まで到着しないのに、あなたが午後2時15分に搭乗する予定であれば、フライトが遅れているというアナウンスが流れます。

例えば、私の乗る飛行機が天候のために遅れている場合、飛行機を追跡しておけば人ゴミ溢れる搭乗ゲートで最新情報を聞くのを待つ代わりに、ラウンジに残って仕事をすることができます。

TripAdvisor



トリップアドバイザーは、旅行中に地元の観光スポットを探すのにも使えます。

アプリを開いて近くにどんなものがあるか見てみると、知らなかった博物館や歴史的な場所を見つけることができます。

また、実際に訪れた人たちのレビューやヒントを読むこともでき、コメントはとても参考になるものからそうでないものまで様々です。

Google Maps



数ある地図アプリの中で最も便利です。

車での道案内だけでなく、徒歩での道案内もできるし、Uberと連携して現在地までの乗車料金の目安も教えてくれます。

更に、私がグーグルマップは公共交通機関の情報を教えてくれる機能もあります。

Yelp



外出先で食事をする場所を探すのにYelpが使えるかもしれません。

徒歩圏内や、現在地から目的地までの間にある店を並べ替えるのに便利です。

特定の時間に営業している店だけを絞り込んだり(ランチタイムしか営業していない店だと意味が無い)、店の雰囲気(静かな夜を過ごしたいのにやかましい店では意味が無い)を調べたりできます。

White Noise



ホワイトノイズ(white noise)は、すべての周波数が同じ強度で均等に含まれている音のことを指し、ラジオやテレビのチューニングが合っていないときに聞こえる「シャー」という音のようなものです。

ホワイトノイズは以下のような用途で利用されます:

  1. 睡眠の補助: 背景音として使用することで、他の突発的な音(車の音や人の話し声など)をマスクして、睡眠の質を向上させることができます。

  2. 集中力の向上: 勉強や仕事の際にホワイトノイズを流すことで、周囲の雑音を遮断し、集中力を高める効果があります。

  3. 治療やリラクゼーション: ティニタス(耳鳴り)治療や瞑想、リラクゼーションの際にホワイトノイズが使用されることがあります。
ホワイトノイズアプリには、"車の屋根に降る雨 "や "衣類乾燥機 "など、40種類以上の環境音が用意されています。自分のプレイリストをミックスすることもできます。

Uber



Uberにいろいろ問題がある。しかし、彼らのアプリはわかりやすく、世界中の多くの国で使えます。

歩くには遠すぎるし、公共交通機関が利用できないとき、大都市を移動するためにUberを活用できます。ロサンゼルス、シカゴ、ニューヨークのようないくつかの都市では、Uberを利用することが、地元の人々や観光客が街を移動するための常套手段になっており、タクシーを拾うよりはるかに楽です。

【セキュリティ事件簿#2024-277】株式会社パルグループホールディングス サーバートラブルの発生に関するお知らせ 2024/6/28

3COINS
 

このたび、当社グループの一部サーバーが第三者による不正アクセスを受け、サーバートラブルが発生したことをお知らせいたします。本件について、現在対策本部を設置し、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応を進めております。また、警察などの関係機関へ相談し助言を受けております。

トラブルの全容を把握するにはいましばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。また、今後につきましても、随時弊社ホームページおよびアプリにてご案内させていただきます。

お客さま、お取引先さま、関係先の皆さまに多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

1.経緯

6 月16 日(日)に発生したシステム障害の調査・分析を行なったところ、当社グループの複数サーバーで第三者による不正アクセスによるトラブルが発生していることを確認しました。

2.現在の状況 ※6 月28 日(金) 12 時時点

<店舗の営業について>

全店通常営業を行っております。各種決済サービスにつきましてもご利用いただけます。

<EC・PALCLOSETの営業について>

通常営業を行っております。各種決済サービスにつきましてもご利用いただけます。

<ポイントサービスについて>

店舗での PALCLOSET アプリのポイントサービスについて、ポイントの使用は可能ですが、付与の翌日反映ができておらずシステム復旧後に反映され使用可能となります。詳しくはパルクローゼットの WEB サイトをご参照ください。

3.個人情報について

当社の現役職員・過去に在籍されていた役職員のお名前・ご住所・給与振込銀行口座番号・メールアドレスや休職者の傷病の情報が漏洩する可能性があります。

なお、PALCLOSETの会員様の会員情報に関しては、今回トラブルが発生したシステムとは別システムで運用しているため WEB、アプリ等を含め漏洩しておりません。また、本件に関しては 6 月 17 日(月)に個人情報保護委員会へ報告しており、今後は委員会からの指導等に従ってまいります。

4.業績への影響

今回のトラブルが当社グループの 2025 年2月期業績に及ぼす影響については、精査中ですが軽微であると考えております。また、月次売上高報告および 7 月9 日公表予定の第1四半期決算については、影響を精査の上、開示時期も含め必要な場合は速やかに公表いたします。

引き続き外部専門家や警察と連携の上、原因追求、そしてシステムの保護と復旧に向けて全力で取り組んでまいります。

【セキュリティ事件簿#2024-276】株式会社アットリーフ 個人情報が閲覧できる状態であったことに関するお詫び 2024/5/23

アットリーフ
 

弊社が提供する「寮助」(学生寮向け欠食・外泊・点呼システム)におきまして、プログラム設計および設定の不備により、個人情報が閲覧できる状態であったことを深くお詫び申し上げます。内容および対応につきましては以下の通りです。

1. 概要

弊社が提供している「寮助」(欠食・外泊・点呼システム)において、一部のWEBページが認証なく閲覧できる状態となっておりました。閲覧できる状態であった期間および情報は以下となります。

【閲覧できる状態であった期間】

2015年9月~2024年4月(システムの導入時期により異なります。)

【閲覧できる状態であった情報】

氏名、学年、学科、クラス、寮棟名、部屋番号、点呼時間(一部の学校のみ)

2. 原因

当該WEBページはサイネージのように運用することを想定して設計していたため、WEBページを自動更新させる目的で認証機能を実装しなかったことが本件の原因となります。

3. 対応状況

2024年4月26日に「寮助」を導入いただいている学校からご指摘を受け、同日のうちに当該WEBページを閉鎖いたしました。その後、5月2日までに全ての「寮助」の機能 を完全停止いたしました。また、現在は当該WEBページへの認証機能の実装、管理者ページへのIPアドレス制限等の対応を進めております。

4. 再発防止のための対応

弊社は、今回の事態を厳粛に受け止め、今後このような事態が生じないよう、全社員に対して個人情報保護の重要性等についての教育を徹底するとともに、システム開発にあたっては、複数のシステム担当者によるチェック、さらにシステム開発部門以外の担当者による複層的なチェックを行う等、システム開発における個人情報の管理を強化し、再発防止に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-274】岐阜薬科大学2024年度オープンキャンパスへ参加申込みをされた方の個人情報が閲覧可能となる状態が生じましたこと、並びにメールアドレスが漏えいしたことについてのご報告とお詫び 2024/6/26

 

このたび、2024年度オープンキャンパスへ参加申込みをされた方の個人情報が、本学HPの申込画面(以下「申込みフォーム」)上で、申込後において閲覧できる状態にあったことが判明しました。

参加申込みをされた皆様に、多大なるご迷惑をおかけする事態になりましたことを心よりお詫び申し上げますとともに、申込みフォームを一時的に閉鎖したことから、オープンキャンパスに関心をお寄せいただいた多くの皆様に、ご不便やご心配をおかけしましたことを深くお詫び申し上げます。

また、このことを受け、ご迷惑をおかけした皆様へ、ご報告とお詫びをメール送信する際に、23名の方のメールアドレスを漏えいすることとなり、重ねてお詫び申し上げます。

本学としては、このような事態を招いたことを重く受け止め、個人情報の適正な取扱いをいっそう徹底するとともに、再発防止に努めてまいります。

概要

本学オープンキャンパスの参加者を申込みフォームより募集しておりましたが、参加申込者が他の申込者の情報を閲覧できる状態になっておりました。

事案発覚後、直ちに申込フォームを閉鎖しました。

なお、事案が発覚した21日夕刻には、参加申し込み者が他の申込者の情報を閲覧できない状態であることの動作確認を経て、受付を再開しております。

現時点において、このことによる被害の発生は確認できておりません。

閲覧できた可能性がある個人情報

該当される方

6月21日 午前10時40分までに参加申込された方(320名)

※申込後にリンク先に表示されて閲覧可能となるのは、最大100名分

閲覧可能期間

2024年6月20日(木)正午~2024年6月21日(金)午前10時40分頃

個人情報の内容

お名前、フリガナ、電話番号、高校名

なお、それぞれの内容は紐づけされておりません。

原因

申込みフォーム(Googleフォーム)の設定ミスにより、申込完了後に表示される「前の回答を表示」というリンクをクリックすると、他の申込者の情報の一部を閲覧できる状態となっておりました。

現在は、設定の変更によりこのリンクの表示は消えております。

メールアドレス漏えいの経緯と原因

以上の事案に関し、ご報告とお詫びを320名の皆様へメール送信しましたが、1回目に送信できなかった23名の方に再送信する際、日頃から使用しているアカウントの自動B㏄機能が適用されると勘違いして、宛先欄に23名のメールアドレスを設定したため。

再発防止策

このような事態を招いたことを重く受け止め、事務処理における複数チェックなどチェック体制の強化を図るとともに、個人情報の適正な取扱いをいっそう徹底してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-273】三菱 UFJ オルタナティブインベストメンツ株式会社 弊社を装ったスパムメールに関するお詫びとお知らせ 2024/6/17

三菱 UFJ オルタナティブインベストメンツ
平素は格別のご高配を賜り、厚く御礼申し上げます。

2024 年 5 月 21 日に、弊社名および弊社社員を装ったスパムメールが複数の方へ送信されました件、メールを受信された皆様には多大なご迷惑をお掛けしましたことを深くお詫び申し上げます。

その後、本件について外部のセキュリティ専門企業 の協力のもと弊社内で調査を進めました結果、以下の事象および流出可能性のあるお客様情報が存在することが判明致しました。調査の内容、流出可能性のあるお客様情報の内容および現在の対応状況について以下の通りでございますが、お客様の情報について流出した可能性が生じたことについて、深くお詫び申し上げます。

1. 調査の内容

(1)2024 年 5 月 21 日発信の弊社名および弊社社員を装ったスパムメールについて

不審メールの送信元および添付されていたファイルのコンピュータ・ウイルス有無を調査いたしました。その結果、当該メールが当社から発信されたものではないこと、当該添付ファイルにはフィッシングサイトへの URL リンクが存在していることが分かっております。

(2)発生原因について

弊社内で行いました調査の結果、本件は 2024 年 5 月 13 日に弊社社員が受信した不審メールに起因するものと判明いたしました。当該不審メールの受信履歴から情報流出元となった可能性のある PC を特定し、外部のセキュリティ専門企業 の協力のもとログ解析等を実施した結果、メール等の一部が流出している可能性が判明しました。

2. 流出可能性のあるお客様情報

上記調査の結果、流出可能性のあるお客様情報は以下のとおりです。弊社では情報流出の事実までは確認できておりませんが、お客様の二次被害・類似被害防止の観点から「流出可能性のある」お客様情報をお知らせするものです。お手数をおかけして誠に申し訳ございませんが、お客様の業務(メール連絡等)において所謂「なりすまし」メールがお客様に送信される等の不正行為に利用される可能性があることを念頭にご留意頂けますと幸いです。
  • お客様情報(法人名・ご担当者名・メールアドレス)
  • お取引に関する一部の情報(私募の取扱いに関する契約書等)
  • 業務に関するお客様情報(契約書等)

3. 再発防止について

これまでの調査の過程で判明した事項に基づき、更なるデータ流出を防止するため、2024 年 5 月 24 日までに以下の不正アクセス遮断措置を実施いたしました。これにより、不審メールを受信した者を含む弊社社員全員について、外部からの不正アクセスを遮断することができたものと判断しております。
  • 外部インターネットから使用アプリケーション(Microsoft365)へのアクセス遮断
  • 弊社社員の PC ログインパスワードの変更
  • 社内 PC 向けリモート操作ツールのパスワード一斉変更
  • 本件メールに添付されていたファイル中のURLへの弊社社員アクセス遮断
  • 不正にデータを窃取するために利用されたアプリケーションの削除及びインストール機能のブロック(Microsoft365)
なお、上記の通り、2024 年 5 月 21 日発信のメールについては、フィッシングサイトへの URL リンクがございますので、添付ファイルは開封せず、メールごと削除いただきますようお願い致します。

本件に起因する情報の再流出への対応は完了致しましたが、更なるサイバーセキュリティの態勢強化に引き続き取り組んでまいります。ご迷惑・ご心配をお掛けしてしまい誠に申し訳ございませんが、引き続きよろしくお願い申し上げます。

【セキュリティ事件簿#2024-272】上智大学 メールの誤送信による個人情報の流出について 2024/6/26

上智大学
 

このたび、本学から海外の協定校に留学プログラム参加者リストをメールにて送信した際に、本学学生の個人情報を含んだファイルを誤って添付して送信する事案が発生いたしました。 

該当する学生およびご父母・保証人の皆様、そして関係者の皆様に大変なご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。本学は本事案を重大なセキュリティインシデントと受け止めております。今回の事案を重く受け止め、個人情報の適切な管理について教職員に対する一層の周知徹底を図り、再発防止に努めてまいります。 

1.経緯等 

2024年5月16日に、留学プログラムを所管するグローバル教育センターにおいて、短期プログラム に参加する学生のリストを作成しました。リスト作成にあたり本学に在籍する学生情報を含むマスターデータを用いましたが、その際に、マスターデータのシートの削除を行うことなく、海外協定校の担当者にメール添付で当該リストを送信しました。2024年6月7日に、グローバル教育センターにおいて、別のプログラムの参加者リストを作成した際に、マスターデータが残ったままのファイルを発見したことから、本件の誤送信が発覚しました。

2.誤送信したファイルに含まれていた情報および送信先

① 個人情報の項目

上智大学に在籍する全正規生の学生番号、所属学部・学科、学年、学生氏名、生年月日、国籍

② 個人情報の数  

13,949名

③ 送信先  

海外協定校3校のプログラム担当者(各校1名、計3名)

3.対応状況

本事案の発覚後、送信先の協定校担当者に対してただちに当該データの削除を依頼し、誤送信された個人情報を含む添付ファイルは削除されていることを確認しております。また、全ての学生に対して、メールで個別に謝罪と本事案についての説明の連絡を行っております。なお、本日までにこの情報流出による被害の報告はありません(2024年6月25日現在)。担当部署においては、学生やご父母・保証人の方の相談に随時応じてまいります。

4.今後について

このような事態を発生させてしまい、ご関係の皆様には多大なご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。本事案を全教職員に周知し、個人情報の取り扱いについて改めて注意喚起を行うとともに、メール送信時に添付ファイルも含めて確認の徹底を図り再発防止に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-271】株式会社北海道産地直送センター ECサイト「産地直送センター」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/6/26

北海道産地直送センター
 

このたび、弊社が運営するECサイト「産地直送センター」(以下「産地直送センター」)におきまして、第三者による不正アクセスを受けたことによって、お客様のクレジットカード情報(18,443名)及び個人情報(54,583名)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

また、「産地直送センター」は2024年4月24日をもちまして閉鎖しており、再開の予定はございません。

今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年4月19日、一部のクレジットカード会社から、「産地直送センター」を利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日、直ちに「産地直送センター」でのカード決済を停止いたしました。そのうえで、当該懸念に関する状況把握のため、第三者調査機関の選定作業を開始し、2024年4月25日より第三者調査機関による調査を開始いたしました。

2024年5月9日、当該調査機関による調査が完了し、2021年3月30日~2024年4月19日の期間に「産地直送センター」でご注文時に入力されたお客様のクレジットカード情報および個人情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、ならびに、2019年4月12日~2024年4月24日に「産地直送センター」システムにご入力いただいた個人情報に漏洩のおそれがあることを確認いたしました。

以上のとおり、本事案について弊社として本事案に関する事実関係が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

2021年3月30日、「産地直送センター」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスによりペイメントアプリケーションの改ざんが行われました。また、「産地直送センター」のデータベースに記録されている個人情報が漏洩した可能性が否定できないことが判明いたしました。

(2)クレジットカード情報漏洩の可能性があるお客様

2021年3月30日~2024年4月19日の期間中に「産地直送センター」においてクレジットカード決済をされたお客様は18,443名であり、これらのお客様について以下の情報が漏洩した可能性がございます。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏洩の可能性があるお客様

2019年4月12日~2024年4月24日の期間中に「産地直送センター」に個人情報を入力し、データを送信されたお客様、ならびにご注文品の送付先として登録されたお客様は54,583名であり、これらのお客様について以下の情報が漏洩した可能性がございます。

  • 氏名・郵便番号・住所・電話番号を含むご注文情報

  • 氏名・住所・メールアドレス・電話番号・FAX番号・性別・職業・生年月日・会社名を含む会員登録情報

上記に該当する54,583名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

(1) クレジットカード不正利用のご確認とお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引について、モニタリングを継続して実施し、当該クレジットカードの不正利用防止に努めております。

誠に恐縮ではございますが、お客様におかれましてもクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をいただきますようお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差替えをご希望される場合、カード再発行の手数料につきましてお客様にご負担をお掛けしないよう、弊社において手数料を負担する形でクレジットカード会社にご協力を依頼しております。

(2)その他の個人情報について

お客様のもとに差出人や件名に心当たりのない不審なメールが届いた際には、ウイルス感染や不正アクセス等の危険がございますので、メールに添付されているファイルは開封せず、メール自体を直ちに消去いただくようお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.公表が遅れた経緯について

2024年4月19日の漏洩懸念発覚から今回のご案内をさせていただくに至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば漏洩懸念が発覚した時点で直ちにお客様にご連絡し注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報をお客様にお伝えすることは却っていたずらに混乱を招いてしまうことから、お客様へのご迷惑を最小限に食い止める準備を整えてから告知させていただくことが不可欠であると判断し、第三者調査機関の調査結果、及びカード会社との協力体制を整えてから告知させていただくことといたしました。

今回のご案内までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに「産地直送センター」の再開について

「産地直送センター」は、本件発覚に先立つ2024年3月24日に閉店しており、一部媒体経由での限定公開商品に限って営業しておりました。弊社は本件の発覚を受け、事態を厳粛に受け止め、2024年4月24日にそれら限定公開商品も含めた営業を完全に停止いたしました。今後も再開はしない方針です。

なお、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年4月22日に報告済みであり、また、北海道警察本部サイバー犯罪対策課にも2024年4月22日に被害申告しており、今後も捜査に全面的に協力して参る所存です。

リリース文アーカイブ

【セキュリティ事件簿#2024-268】印西総合病院 Webサイト改ざんに関するご報告とお詫び 2024/6/24

 

このたび、当院Webサイトにおいて、不正アクセスによりサイトが改ざんされ、本来とは異なるページが表示されていたことが判明いたしました。

現在は復旧し、作業が完了しておりますが、ご利用いただくみなさまに、ご心配をおかけしたことをお詫び申し上げます。

当院におきましてはサイト上に個人情報等の取り扱いがなく、現在のところ被害について、ご報告はいただいておりません。

<改ざん期間>

2024年6月22日(土)1時頃〜同日9時30分頃

<サイトをご覧のみなさまへのお願い>

当サイトにてマルウェア等の感染は確認されておりませんが、上記の期間にアクセスされた可能性のあるみなさまにおかれましては、お手持ちのセキュリティソフトを最新の状態にし、駆除の実施や、ブラウザのキャッシュクリア等のご対応をお願い申し上げます。

今後、このような問題が発生しないよう、さらに対策を強化し、運営に臨んでまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-267】お茶の水女子大学 本学講演会の申込フォームにおける個人情報の漏洩について 2024/6/19

 

この度、講演会「AI時代の人間の創造性、想像力」の申込フォームにおいて、設定に不備があり、申込者の個人情報が一時的に第三者から閲覧できる状態となっておりました。

関係者の皆様に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。


1.概要

閲覧された可能性がある申込者の件数:197件

期間:2024年5月24日(金)12時30分~6月13日(木)16時40分

閲覧可能であった個人情報、申込内容:

(1)メールアドレス

(2)お名前

(3)ご所属(学校名・お勤め先等)

(4)ご所属の都道府県

(5)属性(学生、教員、大学関係者等)

(6)教員・保護者の別

(7)当日、撮影・録画・録音を行わないことの承諾欄

(8)本講演会をどのようにお知りになりましたか?

(9)講師に質問があればお書きください

(10)参加に関するお問い合わせ運営・ご参加に関するご質問・ご要望等

(11)次回以降のイベントのお知らせをお送りしてもよろしいでしょうか?


2.原因

Google Formsにてフォーム作成時に、「共同編集者を追加」の設定にて、「一般的なアクセス」の項目を「リンクを知っている全員」にしていました。

結果、該当のフォームにて閲覧・回答を行ったユーザが、自身のGoogleアカウントのGoogleアプリからフォームに移動した際に、「最近使用したフォーム」の欄に回答したフォームが表示され、そこから申込者の情報が閲覧可能な画面に遷移が可能となっておりました。


3.現在の状況

6月13日(木)16時40分に、該当フォームの設定を修正し、申込者の情報へアクセスできない状態であることを確認いたしました。

197名の皆様には、6月18日に事態のご説明とお詫びの連絡を行いました。

また、学内に対してフォーム利用時の注意喚起を実施いたしました。


4.今後の対応

今後はこのような事態を起こさないよう、フォーム公開時のマニュアルの整備および周知徹底をはかり、再発防止に努めてまいります。

リリース文アーカイブ

バグバウンティで使えるおすすめツール10選


バグバウンティなどの Web アプリケーションを対象とした脆弱性調査でよく使われる、おすすめのツールを10個紹介します。

免責事項
本稿の内容は、セキュリティに関する知見を広く共有する目的であり、悪用行為を推奨するものではありません。

注意点
紹介するツールの中には、ファジング(総当たり)による列挙や検証を行うものが含まれています。

総当たりを行うツールは、対象に負荷をかけたり、悪影響を与えるリクエストを送る可能性があるため、使用には十分な注意が必要です。

総当たりツールを利用する場合は、対象の規約(スキャンツールの利用やレート制限など)を十分に確認し、規約に従って慎重に実行してください。

Burp Suite

Burp Suiteは、Webアプリケーションのセキュリティテストを行うための統合ツールです。サイバーセキュリティの専門家や開発者が、アプリケーションの脆弱性を発見し、修正するのに役立ちます。

主な機能は以下の通りです:

  1. プロキシ:ブラウザとサーバー間の通信をインターセプトし、編集、再送信が可能です。
  2. スキャナー:自動でWebアプリケーションの脆弱性を検出します。
  3. インジェクター:SQLインジェクションやクロスサイトスクリプティング(XSS)などの攻撃をシミュレーションします。
  4. リピーター:特定のリクエストを何度も送り、挙動を確認します。
  5. シーケンサー:トークンの乱数性や一意性を分析します。
これらのツールを使うことで、セキュリティの弱点を効率的に発見し、改善することができます。Burp Suiteは、プロフェッショナル版と無料版があり、プロフェッショナル版ではより高度な機能が利用できます。

ffuf

ffuf (Fuzz Faster U Fool) は、Webアプリケーションのディレクトリやファイルの強制探索を行うためのツールです。セキュリティテストやペネトレーションテストにおいて、隠れたコンテンツを発見するのに役立ちます。ffufは高速で柔軟性があり、カスタムワードリストを使用したり、さまざまなプロトコルをサポートするなど、多くの機能を備えています。

主な特徴:

  1. 高速な探索:高いパフォーマンスで多くのリクエストを迅速に処理。
  2. 柔軟な出力形式:JSON、CSV、HTMLなど、さまざまな形式で結果を出力可能。
  3. カスタマイズ可能なリクエスト:ヘッダーやパラメータを自由に設定。

実行例:

以下は、ffufを使ってターゲットサイト(例:www.example.com)のディレクトリを探索する簡単なコマンド例です。
ffuf -u http://www.example.com/FUZZ -w /path/to/wordlist.txt

解説:

  • -u:ターゲットURLを指定。FUZZ はワードリストのエントリが置換される部分。
  • -w:使用するワードリストのパスを指定。
例えば、以下のようなワードリスト(wordlist.txt)があった場合:
admin
login
test

このワードリストを使用して実行すると、以下のURLに対してリクエストが送信されます:
  • http://www.example.com/admin
  • http://www.example.com/login
  • http://www.example.com/test
このようにして、ffufを用いることで、Webアプリケーションの隠れたディレクトリやファイルを効率的に見つけることができます。

※ffuf は総当たりによる列挙のため、十分に注意して利用してください。

subfinder

subfinderは、サブドメインの探索に特化した高速で効率的なツールです。セキュリティテストや脆弱性評価の際に、ターゲットドメインのサブドメインをリストアップするのに役立ちます。subfinderは、複数のデータソースから情報を収集し、潜在的なサブドメインを検出するための強力な機能を備えています。

主な特徴:

  1. 高速かつ効率的:多くのサブドメインを迅速に探索可能。
  2. 多様なデータソース:DNSデータベース、API、パッシブDNSサービスなど、複数のソースから情報を収集。
  3. 簡単な使用方法:コマンドラインインターフェースを介してシンプルに操作。

実行例:

以下は、subfinderを使ってターゲットドメイン(例:example.com)のサブドメインを探索する簡単なコマンド例です。
subfinder -d example.com

解説:

  • -d:ターゲットドメインを指定。
このコマンドを実行すると、subfinderは指定されたドメインに関連するサブドメインを検索し、結果を標準出力に表示します。例えば、以下のような結果が得られます:
www.example.com
mail.example.com
blog.example.com

このように、subfinderを用いることで、ターゲットドメインのサブドメインを迅速かつ効果的に発見することができます。

nuclei

Nucleiは、セキュリティテストや脆弱性スキャンを自動化するための高速でカスタマイズ可能なツールです。テンプレートベースのアプローチを採用しており、さまざまなタイプの脆弱性に対するテストを簡単に実行できます。セキュリティ研究者やペネトレーションテスターにとって、Nucleiは効果的で柔軟なスキャンツールです。

主な特徴:

  1. テンプレートベース:再利用可能なテンプレートを使用して多様な脆弱性を検出。
  2. 高いパフォーマンス:大量のターゲットに対して迅速にスキャンを実行。
  3. カスタマイズ可能:ユーザーが独自のテンプレートを作成可能。

実行例:

以下は、Nucleiを使ってターゲットサイト(例:www.example.com)をスキャンする簡単なコマンド例です。
nuclei -u http://www.example.com -t /path/to/templates

解説:

  • -u:スキャン対象のURLを指定。
  • -t:使用するテンプレートのディレクトリパスを指定。
例えば、次のようなテンプレートがある場合:
id: example-vuln

info:
  name: Example Vulnerability
  author: yourname
  severity: medium

requests:
  - method: GET
    path:
      - "{{BaseURL}}/vulnerable-path"
    matchers:
      - type: word
        words:
          - "vulnerable"

このテンプレートを使って実行すると、指定したURLの「/vulnerable-path」にアクセスし、レスポンスに「vulnerable」という単語が含まれているかをチェックします。

テンプレートを指定して実行するコマンド例:
nuclei -u http://www.example.com -t /path/to/templates/example-vuln.yaml

このように、Nucleiを用いることで、多様な脆弱性に対するスキャンを効率的に実行し、潜在的なセキュリティリスクを発見することができます。

naabu

Naabuは、高速で効率的なポートスキャナーです。特定のホストやネットワーク内の開いているポートを迅速にスキャンし、潜在的なセキュリティリスクを特定するのに役立ちます。Naabuは、ネットワークのペネトレーションテストやセキュリティ監査の際に利用され、単一のホストから大規模なネットワークまで対応できます。

主な特徴:

  1. 高速スキャン:多くのポートを短時間でスキャン可能。
  2. カスタマイズ可能:特定のポートや範囲を指定してスキャンを実行。
  3. 柔軟な出力形式:結果を標準出力やファイルに出力可能。

実行例:

以下は、Naabuを使ってターゲットホスト(例:192.168.1.1)の開いているポートをスキャンする簡単なコマンド例です。
naabu -host 192.168.1.1

解説:

  • -host:スキャン対象のホストを指定。

特定のポート範囲を指定してスキャンする場合の例:
naabu -host 192.168.1.1 -p 1-1000

解説:

  • -p:スキャンするポートの範囲を指定。ここでは1番から1000番ポートまでを指定。

結果をファイルに出力する例:
naabu -host 192.168.1.1 -o results.txt

解説:

  • -o:スキャン結果を指定したファイルに出力。ここではresults.txtに保存。
このように、Naabuを用いることで、ネットワーク内の開いているポートを迅速に特定し、潜在的なセキュリティリスクを評価することができます。

getallurls (gau)

getallurls (gau) は、特定のドメインから利用可能なすべてのURLを収集するためのツールです。ペネトレーションテストやセキュリティリサーチの際に、Webアプリケーション内のすべてのエンドポイントやリソースをリストアップするのに役立ちます。gauは、複数のデータソースを利用して効率的にURLを収集します。

主な特徴:

  1. 複数のデータソース:Wayback Machine、Common Crawl、URLScanなどからURLを収集。
  2. シンプルなインターフェース:簡単なコマンドで実行可能。
  3. 効率的な収集:高速で多数のURLを収集。

実行例:

以下は、gauを使って特定のドメイン(例:example.com)のURLを収集する簡単なコマンド例です。
gau example.com

解説:

  • このコマンドは、example.com ドメインに関連するすべてのURLを収集します。

特定のデータソースを指定する場合の例:
gau --providers wayback,commoncrawl example.com

解説:

  • --providers:使用するデータソースを指定。ここではwaybackとcommoncrawlを指定しています。

結果をファイルに保存する例:
gau example.com -o urls.txt

解説:

  • -o:収集したURLを指定したファイルに保存。ここではurls.txtに出力します。
このように、gauを用いることで、Webアプリケーション内のすべてのエンドポイントを効率的に収集し、潜在的なセキュリティリスクを評価するための情報を得ることができます。

xnLinkFinder

xnLinkFinderは、WebアプリケーションのJavaScriptファイルからエンドポイントやURLを抽出するためのツールです。セキュリティリサーチャーやペネトレーションテスターにとって、アプリケーション内の隠れたエンドポイントを見つけ出し、脆弱性を評価するのに役立ちます。xnLinkFinderは、静的解析を行い、JavaScriptファイルに埋め込まれたURLやAPIエンドポイントを効率的に抽出します。

主な特徴:

  1. JavaScript解析:JavaScriptファイル内のURLやAPIエンドポイントを抽出。
  2. 簡単な使用方法:シンプルなコマンドラインインターフェース。
  3. 効果的な検出:埋め込まれたリソースや隠れたエンドポイントを効果的に発見。

実行例:

以下は、xnLinkFinderを使って特定のURL(例:http://example.com/script.js)のJavaScriptファイルからエンドポイントを抽出する簡単なコマンド例です。
python3 xnLinkFinder.py -i http://example.com/script.js -o results.txt

解説:

  • -i:解析するJavaScriptファイルのURLを指定。
  • -o:抽出結果を保存するファイル名を指定。ここではresults.txtに出力。

特定のディレクトリ内のすべてのJavaScriptファイルを解析する場合の例:
python3 xnLinkFinder.py -i /path/to/javascript/files/ -o results.txt

解説:

  • -i:解析するJavaScriptファイルが格納されたディレクトリを指定。
  • -o:抽出結果を保存するファイル名を指定。ここではresults.txtに出力。

特定のパターンにマッチするエンドポイントのみを抽出する場合の例:
nuclei -u http://www.example.com -t /path/to/templates/example-vuln.yaml

解説:

  • -p:抽出するエンドポイントのパターンを指定。ここでは/api/を含むURLのみを抽出。
このように、xnLinkFinderを用いることで、Webアプリケーション内のJavaScriptファイルから隠れたエンドポイントを効率的に抽出し、セキュリティ評価を行うための情報を得ることができます。

dirseaech

Dirsearchは、Webアプリケーションのディレクトリやファイルを強制探索(ブルートフォース)するためのコマンドラインツールです。セキュリティテストやペネトレーションテストにおいて、隠れたコンテンツや管理ページ、バックアップファイルなどを発見するのに役立ちます。Dirsearchは、多言語対応でカスタマイズ可能なワードリストを使用し、効率的に探索を行います。

主な特徴:

  1. 高速探索:高いパフォーマンスで多数のディレクトリやファイルを迅速にスキャン。
  2. カスタマイズ可能:特定のファイル拡張子やディレクトリを指定可能。
  3. 多言語対応:Pythonで書かれ、さまざまなオプションで柔軟に対応。

実行例:

以下は、Dirsearchを使って特定のターゲットサイト(例:http://example.com)のディレクトリを探索する簡単なコマンド例です。
dirsearch -u http://example.com -w /path/to/wordlist.txt

解説:

  • -u:ターゲットURLを指定。
  • -w:使用するワードリストのパスを指定。

特定の拡張子を探索する場合の例:
dirsearch -u http://example.com -w /path/to/wordlist.txt -e php,html,js

解説:

  • -e:探索するファイルの拡張子を指定。ここではphp、html、jsファイルを指定。

結果をファイルに保存する場合の例:
dirsearch -u http://example.com -w /path/to/wordlist.txt -o results.txt

解説:

  • -o:探索結果を指定したファイルに保存。ここではresults.txtに出力。

複数のスレッドを使用して探索を高速化する場合の例:
dirsearch -u http://example.com -w /path/to/wordlist.txt -t 50

解説:

  • -t:使用するスレッド数を指定。ここでは50スレッドを使用。
このように、Dirsearchを用いることで、Webアプリケーション内の隠れたディレクトリやファイルを効率的に探索し、潜在的なセキュリティリスクを発見することができます。

※dirseaech は総当たりによる列挙のため、十分に注意して利用してください。

Arjun

Arjunは、WebアプリケーションのエンドポイントからGETおよびPOSTリクエストに使用される隠れたパラメータを探し出すためのツールです。セキュリティテストやペネトレーションテストにおいて、アプリケーションの動作を深く理解し、潜在的なセキュリティリスクを評価するのに役立ちます。Arjunは、高速で効率的に作動し、数秒以内に数百のパラメータを検出することができます。

主な特徴:

  1. 高速スキャン:数秒で数百のパラメータを発見。
  2. 対応プロトコル:HTTPおよびHTTPSプロトコルに対応。
  3. カスタマイズ可能:リクエスト方法やパラメータの指定が柔軟。

実行例:

以下は、Arjunを使って特定のURL(例:http://example.com/search)のGETリクエストパラメータを探索する簡単なコマンド例です。
arjun -u http://example.com/search

解説:

  • -u:探索対象のURLを指定。

POSTリクエストのパラメータを探索する場合の例:
arjun -u http://example.com/login -m POST

解説:

  • -m:リクエストメソッドを指定。ここではPOSTを指定。

特定のパラメータリストを使用する場合の例:
arjun -u http://example.com/search --get-params /path/to/params.txt

解説:

  • --get-params:使用するパラメータリストのパスを指定。

結果をファイルに保存する場合の例:
arjun -u http://example.com/search -o results.json

解説:

  • -o:探索結果を指定したファイルに保存。ここではresults.jsonに出力。
このように、Arjunを用いることで、Webアプリケーション内の隠れたGETおよびPOSTパラメータを効率的に探索し、セキュリティ評価を行うための情報を得ることができます。

byp4xx

byp4xxは、Webアプリケーションのセキュリティテストにおいて、HTTPステータスコードに基づいて検証を行うツールです。特に、セキュリティヘッダーの欠落や誤った設定、アクセス制御の不備などを検出するために設計されています。このツールは、ブルートフォース攻撃を使用して、潜在的な攻撃手法を実行するために利用されます。

主な特徴:

  1. HTTPステータスコードに基づく攻撃:さまざまなステータスコードを用いた攻撃を実行。
  2. セキュリティヘッダーの検証:セキュリティヘッダーの設定ミスを発見。
  3. ブルートフォース攻撃:アクセス制御の回避やディレクトリの発見に役立つ攻撃を実行。

実行例:

以下は、byp4xxを使って特定のURL(例:http://example.com/login)に対して攻撃を行う簡単なコマンド例です。
byp4xx -u http://example.com/login

解説:

  • -u:攻撃対象のURLを指定。

特定のステータスコードを試す場合の例:
byp4xx -u http://example.com/admin -c 403,401,500

解説:

  • -c:攻撃で使用するステータスコードをカンマ区切りで指定。ここでは403 Forbidden、401 Unauthorized、500 Internal Server Errorを試す。

攻撃対象のパラメータを指定する場合の例:
byp4xx -u http://example.com/search -p "query=test"

解説:

  • -p:攻撃対象のパラメータを指定。ここではquery=testを使用。

結果をファイルに保存する場合の例:
byp4xx -u http://example.com/login -o results.txt

解説:

  • -o:攻撃の結果を指定したファイルに保存。ここではresults.txtに出力。
byp4xxを使用することで、Webアプリケーションのセキュリティ強化に寄与する可能性がありますが、実行は適切な許可を得て行ってください。

役に立つWindows向けフリーソフト


これから紹介するフリーソフトは、必需品と楽しい補助アプリをミックスしたもので、ほとんどすべてのコンピューターにインストールする価値があります。

さっそく見ていこう!

Ninite


Niniteを使えば、新しいコンピュータを簡単にセットアップすることができます。Niniteのウェブサイトにアクセスし、インストールしたいフリーソフトを選択するだけです。プログラムを実行すると、Niniteがすべてのプログラムを順番にインストールし、多くの無料アプリがこっそり入れようとするバンドルウェアのオファーを自動的に拒否してくれます。

唯一欠点を言うと、筆者イチオシのブラウザであるBraveには対応していません。

有料版にアップグレードする価値はありますか?

Ninite Updaterという有料の補完ユーティリティがあり、年間10ドルで、デスクトップ・プログラムすべてを簡単に最新の状態に保つことができますが、必須ではないです。

Unchecky


誤って不要なクソアプリをインストールしてしまうことは、フリーソフトウェアの最大のリスクのひとつです。Niniteが対応していないフリーソフトにはUncheckyで対応することが可能です。Uncheckyは、あなたがプログラムをインストールしようとしているとき、すべてのチェックボックスのチェックを自動的に外し、怪しいクソアプリがあなたのPCに忍び込もうとした際に警告してくれます。

有料版にアップグレードする価値はありますか?

必須ではないです。

7-Zip

WindowsはネイティブでZIPファイルの作成と解凍ができますが、もし別の圧縮アーカイブとにらめっこすることになったら、それを処理する専用のプログラムが必要です。その多くは有料です。7-Zipはオープンソースで完全に無料であり、Windowsの右クリック・コンテキスト・メニューからアーカイブのあらゆるニーズを実行できます。7-Zipアーカイブをパスワードで暗号化して安全に送ることもできます。

有料版にアップグレードする価値はありますか?

いいえ。7-Zipは素晴らしく、WinZipのような有料のパラレルは、料金を正当化するのに十分ではありません。もしあなたが一日中巨大なアーカイブファイルの解凍に費やしているのであれば、WinZipのような高速なユーティリティを使う価値があるかもしれません。マイクロソフトは、RARと7-ZipファイルのサポートをWindows自体に直接統合することに取り組んでいます。

VLC

Windows 10と11には厄介な問題があります。Windows 7と違って、OEMの素のままではDVDを再生できないのです。メーカーが販売するPCを購入した場合は、DVD再生プログラムがインストールされているかもしれませんが、そうでない場合は、VLCメディアプレーヤーを使うことで、無料で映画や音楽、ポッドキャストなどを再生することができます。ちょっといじれば、(一部の)ブルーレイディスクも再生できます。

有料版にアップグレードする価値はあるのでしょうか?

いいえ。VLCはとにかく素晴らしく、この無料の主力ソフトと比較して、その価値を正当化できる有料オプションは見当たりません。しかし、VideoLANのハードワークに対する感謝の気持ちとして、VideoLAN団体に寄付を送ることはできます。

SpaceSniffer


コンピュータのストレージ容量の管理は大変です。Windowsはドライブの残り容量を教えてくれますが、それだけです。容量が足りなくなったら、100万種類ものディレクトリをチェックし、ゴミ掃除が必要です。Uderzo SoftwareのSpaceSnifferは、ドライブ全体をスキャンし、ファイルやフォルダを視覚的なグリッドで表示することでこれを解決します。

WinDirStatは、SpaceSnifferと同様の動作をするもう1つのフリーソフトです。最新の大容量ゲームをインストールするために空き容量を確保したいのであれば、このうちの1つをPCにインストールしておくといいでしょう。

有料版にアップグレードする価値はありますか?

不要です。

Recuva

削除したファイルを元に戻したい場合はどうすればいいのでしょうか?Recuvaは、CCleanerのメーカーであるPiriformが提供する、クリーンでシンプルなファイル復元プログラムです。

注意: Recuvaはすべての削除ファイルを復元できるわけではないし、Eraser(これも一流の無料プログラム)のような安全な削除ツールでプログラムを消去した場合は、その確率はさらに低くなります。

有料版にアップグレードする価値はありますか?

そうかもしれません。Recuvaはファイルの復元に役立ちますが、仮想ハードディスク・ドライブのサポートや自動アップデートなどのパワーユーザー機能が必要なら、Recuva Proに20ドル払う価値があるかもしれません。

Sumatra PDF


Adobe Readerは多くの人に愛用されているPDFリーダーかもしれませんが、使い勝手が悪く、常にアップデートされ、頻繁にマルウェアの標的にされています。基本的な機能だけが必要なら、代わりにSumatra PDFを利用しよう。Sumatraは、多くのフル機能PDFリーダーに見られるような派手な機能はありませんが、普及率が低いため、ハッカーはSumatra PDFを相手にしていないようで、その観点からも安全性は高いです。

世界のセキュリティカンファレンス10選

セキュリティカンファレンス


サイバーセキュリティの世界において、コミュニケーションとイノベーションの柱として君臨するイベントがある。これらのイベントの多くは10年以上にわたって開催されており、単なるカンファレンスではなく、専門家、実務家、愛好家が最新の脅威について議論し、洞察を共有し、サイバー空間の悪党と戦うための戦略を練る場となっています。

以下では、サイバーセキュリティの展望に大きな影響を与えるサイバーセキュリティ・イベントのトップ10を掘り下げます。

1. RSAカンファレンス

開催年数:30年以上
開催場所:米国カリフォルニア州サンフランシスコ
開催日(2024年):5月6日~9日
ホームページ:https://www.rsaconference.com/
参加費:500USD~2,500USD

RSAカンファレンスは、サイバーセキュリティの分野で巨大な存在となっています。毎年、業界リーダーやセキュリティ専門家から研究者や愛好家まで、数千人もの参加者が集まります。このイベントは、画期的なイノベーションと戦略を発表するための道標です。

2. Black Hat Asia

開催年数:20年以上
開催場所:通常はシンガポールで開催
開催日(2024年):4月16日~19日
ウェブサイト:https://www.blackhat.com/asia-24/
参加費:1,800SGD~2,200SGD

Black Hat Asiaは、20年以上にわたって開催されているサイバーセキュリティのプレミアカンファレンスです。米国、欧州、中東での開催を含むグローバルなBlack Hatシリーズの一環として、Black Hat Asiaはアジア太平洋地域のサイバーセキュリティ・カレンダーにおける重要なイベントとして機能しています。このカンファレンスは、深い技術的な内容で知られ、セキュリティ研究者、実務家、愛好家が最新の知見、方法論、イノベーションを共有する場を提供しています。

イベントの構成


  • ブリーフィング:業界の専門家による技術セッションで、脆弱性、脅威インテリジェンス、防御戦略など幅広いトピックを扱う。
  • トレーニング:侵入テストからインシデント対応まで、サイバーセキュリティの様々な側面を掘り下げる実践的なコース。
  • アーセナル: 研究者や開発者がオープンソースのツールや製品を実演するユニークなコーナー。
  • ビジネスホール: サイバーセキュリティをリードする企業が最新の製品やソリューションを展示し、ネットワーキングやビジネスチャンスを促進する展示エリア。

ハイライト


  • 基調講演: サイバーセキュリティ業界の著名人による講演で、現在のトレンドと将来の課題についての洞察を提供します。
  • ワークショップとセッション:最先端の研究、新たな攻撃ベクトル、防御メカニズムなどを取り上げます。
  • ネットワーキングの機会: 参加者は、世界中の同業者、専門家、ベンダーとつながる機会があり、コラボレーションと知識交換を促進します。

Black Hat Asiaは、サイバーセキュリティの専門家にとって、この分野のトップから学び、最新の脅威に関する最新情報を入手し、没頭型のトレーニングセッションを通じて実践的なスキルを身につけるまたとない機会を提供します。アジア太平洋地域におけるサイバーセキュリティへの理解を深めたい方にとって、このイベントは必見です。

3. DEF CON

開催年数:30年以上
開催場所:米国ネバダ州ラスベガス
開催日(2024年):8月8日~11日
ウェブページ:https://defcon.org/html/defcon-32/dc-32-index.html
参加費:440USD

32回目を迎えるDEF CONには、ハッカー、セキュリティ専門家、政府関係者など、さまざまな顔ぶれが集まり、多彩なアクティビティが繰り広げられます。

このイベントでは、ワークショップ、CTF(Capture the Flag)コンテスト、さまざまなサイバーセキュリティのトピックに関する洞察に満ちた講演が行われます。活気あるハッカー文化とコミュニティ主導の精神が、DEF CONをユニークで貴重な体験にしています。

4. SANS Cyber Threat Intelligence Summit

開催年数:10年以上
開催場所:米国ワシントンDC
開催日(2024年):1月29日~30日
ウェブページ:https://www.sans.org/webcasts/cyber-threat-intelligence-summit-solutions-track-2024/
参加費:1,899USD~2,099USD

このサミットは、脅威インテリジェンスの技術と科学に特化したものです。一流の専門家が一堂に会し、見識を共有し、脅威行為者の行動を分析し、脅威インテリジェンスの実践的な応用について議論します。

5. InfoSec World 2024

開催年数:25年以上
開催場所:米国フロリダ州オーランド
開催日(2024年):10月30日
ウェブページ:https://infosec-conferences.com
参加費:1,995USD

InfoSec Worldは、情報セキュリティのあらゆる側面をカバーする包括的なイベントです。基調講演、分科会、実践的なワークショップを組み合わせた内容で、サイバーセキュリティの専門家にとって欠かせない集まりとなっています。

6. Cybersec Europe

開催年数:5年以上
開催場所:ベルギー、ブリュッセル、ブリュッセル・エキスポ
開催日(2024年):5月29日~30日
ホームページ:https://cybersecurity-centre.europa.eu/events/cybersec-europe-29-30-may-2024-brussels-belgium-2024-05-29_en
参加費:499EUR~1,299EUR

Cybersec Europeは、欧州のサイバーセキュリティの課題とソリューションに焦点を当て、戦略、ヒューマンファイアウォール、ハイブリッドIT保護、データ保護などを取り上げる。イベントには、基調講演、ワークショップ、総合的な展示フロアが含まれます。

このイベントは、協力的な取り組みと国境を越えた情報共有を通じて、欧州のサイバーセキュリティ態勢を強化することを目的としています。また、専門家同士のネットワーキングや知識交換の場も提供しています。

7. Gartner セキュリティ&リスク・マネジメント・サミット

開催年数:15年以上
開催場所:英国、ロンドン
開催日:2024年9月23日~25日
ウェブページ:https://www.gartner.com/en/conferences/emea/security-risk-management-uk
参加費:1,795GBP~4,795GBP

ガートナー・セキュリティ&リスク・マネジメント・サミットは、脅威インテリジェンスとリスク軽減に関する戦略的洞察を提供します。このサミットでは、リサーチ主導のセッション、ガートナーのアナリストによる戦略的ガイダンス、数多くのネットワーキングの機会が提供されます。

SOCRadarは、サイバーセキュリティの重要なプレーヤーとして積極的に参加し、高度な脅威インテリジェンスと効果的なリスク管理戦略に関する議論に貢献することが期待されています。

このサミットは、今日のセキュリティおよびリスク管理のリーダーが直面する最も差し迫った課題に対処し、戦略的計画と投資の意思決定を形成する上で影響力を持ちます。

【セキュリティ事件簿#2024-265】千葉大学 本学ウェブサイトを経由した不正なメールの送信について 2024/6/20

千葉大学
 

本学環境健康フィールド科学センターのウェブサイト公開のために運用していたウェブサーバが、迷惑メールの送信に利用されていたことが判明いたしました。関係者の皆様にご迷惑をおかけしましたことを深くお詫び申し上げますとともに、本件について以下の通りお知らせいたします。

1.発覚の経緯

2024年6月11日(火)、本学ウェブサイトサーバのホスティングサービス事業者より、当該サーバから迷惑メールが配信されていた(これまで約6万件)ことが確認されたため、緊急措置として当該サーバ上のすべてのファイルにアクセスできないよう措置を行った旨通報があり、本事案が発覚しました。

2.原因

本学およびホスティングサービス事業者で連携して調査をした結果、当該サイトのコンテンツ領域に保存されていたサイト更新用ソフトウェアのスクリプトファイルが攻撃者に悪用され、本学の意図しない迷惑メールの送信が行われていたと考えられます。

3.現在の状況

当該サーバのファイルは現在一律アクセスを禁止しております。これにより、サーバ内外からのアクセスは遮断され、これ以上の不正なメール送信も不可能な状態です。また、当該措置の影響により、現在環境健康フィールド科学センターのウェブサイトはご覧いただけない状態となっております。

なお、本件による個人情報や機密情報の漏洩はございません。また、行われたのは本学サーバを介したメール送信であり、これらのメールが本学のアドレスから送信されたというわけではございません。

4.今後の対応

当該ウェブサイトのサーバ上のファイルを走査し、不正に改ざんないしは設置されたファイルを削除するなど、サイトの復旧に向けて対応してまいります。

また、当該ウェブサイト以外に学外公開しているものについて、同様の攻撃が行われていないかなどを調査し、再発の防止に努めてまいります。

なお、環境健康フィールド科学センターのウェブサイトにつきましては、上記対応後安全が確認され次第再度公開する予定です。

リリース文アーカイブ

【セキュリティ事件簿#2024-264】アルテマイスター株式会社 当社サーバーへの不正アクセス発生のお知らせ 2024/6/20

アルテマイスター
 

6月15日(土)、当社ネットワークの一部が第三者による不正アクセス(ランサムウェア攻撃)を受けたことを確認いたしました。

警察への通報および関係機関への相談を行い、被害の拡大を防ぐために被害端末をネットワークから遮断し、外部専門家を交えて原因の特定、被害情報の確認、情報流出の有無などの調査に取り組んでおります。

当社は今回の事態を厳粛に受け止め、再発防止に努めてまいりますとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。

今後、お知らせすべき事項が判明した際には、改めて開示いたします。

お取引先様、関係先の皆様には、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-263】株式会社ラストワンマイル お客様情報の流出に関するお知らせとお詫び 2024/6/10

ラストワンマイル
 

このたび、弊社が展開するサービス「まるっとシリーズ」をご利用中のお客様へ展開するお客様情報の変更や解約時に申請いただくものとして使用している Google フォーム(以下「申請フォーム」といいます。)について、本来専用アカウントのみ編集可能な状態へ設定するところ、公開設定を誤っており、申請フォームへご入力いただいた情報についてリンク先を知る全員が閲覧可能な状態となっていたことが判明いたしました。

このような事態を引き起こしたことにより、ご迷惑とご心配をおかけしましたことを深くお詫び申し上げますとともに、今後の対応につきまして誠心誠意取り組んでまいる所存です。

本件の概要と対応について、下記の通りご報告申し上げます。

1.経緯と対応

2024 年6月 10 日、申請フォームで他の顧客情報が閲覧できるとお客様よりご連絡をいただき、本来専用アカウントのみ編集可能な状態へ設定するところ、公開設定を誤っており、申請フォームの情報が、リンク先を知る全員が閲覧可能な状態となっていたことが判明いたしました。申請フォームについては、判明後直ちに弊社内の専用アカウントのみ編集可能な状態へ設定を変更し、リンクを知っていても自身の入力ができるのみの状態へ設定変更しております。

その他、弊社にてすべての仕様を再度確認し、同様の問題は発生していないことを確認いたしました。

2.当該情報が閲覧可能となっていた期間

2024 年4月 26 日~2024 年6月 10 日

3.閲覧可能となっていた情報

・ご利用者様の氏名
・ご利用者様の住所
・ご利用者様の電話番号
・ご利用者様のメールアドレス
・ご利用者様の会員 ID

4.影響範囲

420 人の申請フォームの情報が、リンク先を知る全員が閲覧可能な状態となっておりました。

5.被害の状況

現時点において、当該情報の不正利用に関する報告やお問い合わせはございません。

また、当該情報についてランダムに抽出してインターネット検索を実施していますが、当該情報がインターネットで不正に公開されている状況は確認されておりません。

当該状況については、今後も継続的に監視することとしていますので、状況の変化が確認された際には、速やかにお知らせいたします。

6.原因

申請フォームの作成作業時に、申請フォームの作業担当者の設定ミスによりリンク先を知る全員が閲覧できる設定に指定していたことによるものです。

この度は皆様に多大なるご心配とご迷惑をおかけしておりますことを、改めてお詫び申しあげます。弊社らは今回の事態を厳粛に受け止め、再発防止に向けてより一層の情報管理体制の強化・徹底に努めてまいります。

【セキュリティ事件簿#2024-108】株式会社日本経営データ・センター 弊社業務サーバ攻撃被害に関する調査結果のご報告 2024/6/19

日本経営データ・センター

小規模事業者持続化補助金は、独立行政法人中小企業基盤整備機構が補助金を交付又は委託し、日本商工会議所、全国商工会連合会、株式会社日本経営データ・センター(以下弊社という。)が実施している事業です。 

既に2024年3月22日に公表しましたとおり、弊社が運営している小規模事業者持続化補助金事務局(以下「補助金事務局」という。)のサーバが、第三者による不正アクセス攻撃を受け(以下「本インシデント」という。)、データの一部を滅失及び暗号化されるランサムウェア被害が発生いたしました。

このたび、外部専門機関の協力のもと進めてまいりました本インシデントに関する調査が完了しましたので、当該調査結果及び再発防止に向けた取り組みにつきましてご報告申し上げます。

補助金申請者並びに関係者の皆様には、ご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。弊社では引き続きセキュリティ強化を図り、より安全・安心な環境での業務を行ってまいります。

【調査結果】


1. 被害の原因


調査の結果、攻撃者は補助金事務局ネットワーク及びサーバ等へ不正に侵入し、ランサムウェアによりデータの一部を滅失及び暗号化していたことを確認いたしました。なお、パソコンについてマルウェア感染等の被害は、確認されませんでした。

2. 影響範囲


外部専門機関による調査では、補助金事務局が管理しているデータについて、情報窃取及び    データの外部転送等を示唆する明確な痕跡情報は確認されませんでした。

3. 二次被害について


現時点で本インシデントにかかわる二次被害は確認されておりません。

【再発防止について】


弊社では、これまでも不正アクセスを防止するための措置を講じるとともに、情報の適切な管理に努めてまいりました。しかしながら、今回の事案を受け、より高度な情報セキュリティレベルを実現するために、外部専門機関による脆弱性診断の結果やアドバイスに基づき、セキュリティ監視体制の強化を行い、再発防止に取り組んでまいります。


【2024年3月22日リリース分】

【セキュリティ事件簿#2024-262】三重県文化振興事業団が管理するメールアドレスのユーザーアカウントの不正窃取の発生について 2024/6/14

三重県
 

公益財団法人三重県文化振興事業団が管理するメールアドレスのユーザーアカウントが外部より不正に窃取され、不正窃取者が所有するメールアドレスを宛て先として約7万件の迷惑メールが送信されたことが判明しました。

メールを受信された方におかれましては、三重県文化振興事業団(三重県総合文化センター、三重県文化会館)の名称がタイトルに入っていても身に覚えのないメールは開封せず、そのまま削除していただきますようお願いいたします。

(1) 経緯

令和6年6月14日(金曜日)午前9時頃、職員が定期監視のためサーバログを確認したところ、同日午前1時50分頃外部より当該メールアカウントが窃取され、迷惑メールが当該メールアカウントを発信元として送信されていることを確認しました。

同日午前9時30分に当該アカウントを削除し、パスワードの変更・アカウントの再作成を実施しており(作業完了:10時45分)、現在、迷惑メールが当該アカウントから発信されることはありません。

また、メールサーバから他の情報漏洩はなかったことを確認しています。

なお、メールアカウントが窃取された原因については、現在調査中です。

(2)対象メールアドレス

kenbun@center-mie.or.jp

(3)迷惑メール発信件数

メールサーバデータログの解析の結果、送信された詳細な件数や送付先、送信内容は不明ですが、不正窃取者が所有するメールアドレスを宛て先として送信された迷惑メールの総数は約20万件、配信不可を示すエラーが約13万件記録されているため、実際に送信されたのは約7万件と推測されます。

(4)今後の対応方針

今後、警察の捜査に協力するとともに、情報セキュリティ対策を徹底します。

また、迷惑メールに関わるお問い合わせについて、下記の窓口で相談を受け付けます。

リリース文アーカイブ

【セキュリティ事件簿#2024-261】株式会社ダイセル 当社グループ フランス法人におけるランサムウェア被害の発生について 2024/6/18

ダイセル
株式会社ダイセルは、当社グループのChiral Technologies Europe S.A.S. (以下、CTE)の一部サーバーにおいてランサムウェア被害が発生したことを2024年6月7日に確認しましたのでお知らせいたします。

本件認識後、当該サーバーは即時隔離を実施した上で、被害拡大防止のための対策を講じております。また、外部専門家の協力のもと調査を開始するとともに、システムの保護と復旧に向けて作業を進めております。

現時点で外部への情報流出については確認されておりませんが、今後新たにお知らせすべき重要事項が判明した場合は、適切に対応させていただきます。

お客様・お取引様をはじめとする関係者の皆さまにはご心配をお掛けすることとなり、深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-260】箱根・芦ノ湖 はなをり  Booking.com からの不正メールについて 2024/6/18

booking.com
 

現在、Booking.com 経由で「箱根・芦ノ湖 はなをり(所在:神奈川県足柄下郡箱根町)」を予約された一部のお客さまに対して、Booking.com および当ホテルが意図していないメール(当方とは関係のない外部サイトへ誘導するなど)が送信される事象を確認しています。

Booking.com および当ホテルでは、メールなどを用いてお客さまの ID 番号やクレジットカード情報などの個人情報を求めることは一切行っておりません。

このようなメールに記載された URL にアクセスすることのないようご注意ください。

リリース文アーカイブ

【セキュリティ事件簿#2024-259】ハーメルン [障害] 2024/06/16 17:17~6/17 01:00頃 サイト全域 2024/6/17

ハーメルン
 

期間:

 2024/06/16 17:17~6/17 01:00頃

現象:

該当時間帯中、DDoSアタックによる通信帯域の輻輳(混雑)によりページを表示できない事象が発生

影響範囲:

サイト全域

状況:

対策を仮実施。

認証画面が表示されずタイムアウトする場合、時間をおいてご確認ください。

一部の国や環境では、認証画面を通過できず利用できない事象が起こります。

(追記) 12:55

オプション的な一部の機能(読み上げ・縦書きPDF・挿絵・一部の投票系機能等)については対応中のため一時的にアクセスできない場合があります。

リリース文アーカイブ

【セキュリティ事件簿#2024-258】浜松市 ロコモーショントレーニング事業における個人情報の漏洩に関するお詫びとご報告 2024/6/19

浜松市
 

この度、「ロコトレ事業登録団体一覧表」の掲載に際して、令和5年度時点での申請者様及び事務担当者様の個人情報が漏洩したことが判明いたしました。

つきましては、令和6年5月24日から令和6年6月13日までに、一覧表をダウンロードした方は、速やかにデータを削除していただくよう、お願い申し上げます。

多大なるご迷惑とご心配をおかけしていることを、皆様に深くお詫び申し上げますとともに、今回の事態を重く受け止め、今後、個人情報の管理には万全を期し、再発防止に努めてまいります。

概要

令和6年5月24日、本市ホームページに「ロコトレ事業登録団体一覧表」のエクセルファイルを掲載いたしましたが、令和6年6月13日、登録団体の関係者の方から、一覧表において個人情報が確認できるとの情報提供がありました。

本市で調査したところ、一覧表として表示された画面には個人情報は含まれませんが、パソコンを利用して特定の操作を加えることで、団体登録申請者及び事務担当者の個人情報が含まれた別のシートが表示されることが判明しました。なお、スマートフォンでは、別のシートを見ることはできません。

一覧表は、事実が判明した6月13日のうちに、個人情報を削除したものに差し替えました。

令和6年5月24日から6月13日までの掲載期間中における、本市ホームページの該当ページへのアクセス数は241件ですが、一覧表のダウンロード件数の確認は不可能でした。

リリース文アーカイブ

【セキュリティ事件簿#2024-257】群馬県 個人情報の不正使用について 2024/6/17

ぐんまフラワーパーク
ぐんまフラワーパークの年間パスポート購入者及びボランティアの個人情報が不正使用される事案が発生しました。

今後、このようなことが起きないよう適切な事務処理を徹底し、再発防止に万全を期してまいります。

1 概要

ぐんまフラワーパークの元指定管理者である(株)ぐんまフラワー管理は、指定管理期間(※注1)中に入手した個人情報(※注2)を自社で経営するレストランの集客のため、不正使用(営業案内ハガキの発送)しました。

1回目:令和6年2月上旬、園内ボランティア(111名)

2回目:令和6年5月29日、ぐんまフラワーパーク年間パスポート購入者(273名)

※注1 指定管理期間:平成18年4月1日から令和5年3月31日まで

※注2 ぐんまフラワーパーク年間パスポート購入者及び園内ボランティアの名簿

2 原因

(株)ぐんまフラワー管理は、指定管理期間満了後、個人情報を県へ直ちに引渡す義務を果たしていませんでした。

また、県も個人情報の引き渡しを指示せず、回収していなかったため、1年2か月の間、個人情報が適切に管理されていない状態にありました。

3 経緯

令和6年5月31日(金曜日)に「ぐんまフラワーパーク」の年間パスポートを購入していた方から営業案内ハガキが届いたとの連絡があり、個人情報の不正使用が発覚しました。

同日、県は、(株)ぐんまフラワー管理に出向き、年間パスポート購入者名簿(9,623名)やボランティア名簿(111名)などの個人情報を回収しました。

また、県は、(株)ぐんまフラワー管理に対して再発防止を指導するとともに、個人情報の完全な引渡しと不正使用を行わない旨の誓約書提出を求め、これを受領しました。

4 今後の対応

(1)謝罪・事実関係の説明

営業案内ハガキを受け取った方へは、県から、謝罪と事実関係を説明させていただく文書を発出いたします。

(2)再発防止の徹底

県が指定管理やその他の委託契約等で保有している個人情報などについて、契約終了後に確実に情報を回収するなど、契約等の厳守を徹底してまいります。

※本事案での第三者への個人情報の流出はありません

リリース文アーカイブ

【セキュリティ事件簿#2024-256】アカデミア・ミュージック株式会社 弊社が運営する EC サイト「アカデミア・ミュージック」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2024/6/18

アカデミア・ミュージック
 

このたび、弊社が運営する「アカデミア・ミュージック」におきまして、第三者による不正アクセスを受け、クレジットカード情報(4696 件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。電子メールをお届けできなかったお客様には、書状にてご連絡をさせて頂きます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024 年 1 月 15 日、警察から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡があり、2024 年 1 月 15 日および 2024 年 1 月 18 日、2024 年1 月 19 日に封じ込め措置を取りました。また、2024 年 1 月 25 日、カード会社よりクレジットカード決済を停止するよう連絡を受け、2024 年 1 月 25 日弊社が運営する「アカデミア・ミュージック」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024 年 4 月 1 日、調査機関による調査が完了し、2021 年 4 月 10 日~2024 年 1 月 14 日の期間に「アカデミア・ミュージック」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「アカデミア・ミュージック」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021 年 4 月 10 日~2024 年 1 月 14 日の期間中に「アカデミア・ミュージック」においてクレジットカード決済をされたお客様 4324 名で、漏洩した可能性のある情報は以下のとおりです。

・クレジットカード番号
・有効期限
・セキュリティコード
・メールアドレス
・電話番号

上記に該当する 4324 名のお客様については、別途、電子メールにて個別にご連絡申し上げます 。電子メールをお届けできなかったお客様には、書状にてご連絡をさせて頂きます。

なお、上記に該当するお客様のうち会員登録されているお客様 2092 名については、上記の項目のほか、以下の情報が漏洩した可能性があります。

・弊社サイトへのログインパスワード
・弊社サイトにご登録頂いたお名前
・弊社サイトにご登録頂いたお名前(ふりがな)
・弊社サイトにご登録頂いた会社名(任意項目)
・弊社サイトにご登録頂いたご住所
・弊社サイトにご登録頂いた FAX 番号(任意項目)
・弊社サイトにご登録頂いた生年月日(任意項目)
・弊社サイトにご登録頂いた性別(任意項目)
・弊社サイトにご登録頂いた職業(任意項目)
・弊社サイトにご登録頂いたお届け先
・ご注文履歴

会員登録されているお客様については、弊社サイトのログインパスワードをリセットさせて頂いております。

誠にお手数ではございますが、次回ご利用の際には、ログイン画面にて「ログイン情報をお忘れですか?」をクリックして頂き、パスワード再発行のお手続きをして頂きますようお願い申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024 年 1 月 15 日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびにクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後のクレジットカード決済の再開日につきましては、決定次第、改めて Web サイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2024 年 1 月 19 日に報告済みであり、また、所轄警察署にも 2024 年 1 月 15 日被害申告しており、今後捜査にも全面的に協力してまいります。