航空格付け会社SKYTRAX(スカイトラックス)社による「2024世界の航空会社トップ10」とワンワールド加盟航空会社内の順位をチェックしてみる

 

航空格付け会社SKYTRAX(スカイトラックス)社は、「2024世界の航空会社トップ10」を発表した。総合ランキングのトップは、前年2位のカタール航空が選ばれた。前年1位だったシンガポール航空は2位。日本からは、ANAが4位(前年3位)、JALが6位(前年5位)にランクインした。

航空会社ランキングとなる「The World Airlines Awards」は、世界中の利用者の満足度調査をもとにスカイトラックスが1999年から実施しているもの。航空会社に対して登録料などを課さず、すべての調査費用はスカイトラックスが負担することで公平性と独立性を担保している。また、各賞のロゴなどの使用料も求めていない。

オンラインによる調査は2023年9月から2024年5月にかけて実施された。日本を含む100カ国以上の利用者が参加。ユーザー情報はスクリーニングされ、重複したエントリー、疑わしいエントリー、不適格なエントリーを除外するなど厳格なルールのもとで調査が行われた。最終的に、アワードには350社以上の航空会社が記載されている。

ちなみにワンワールドアライアンスメンバーに限って抽出すると以下のような感じになる。

【The World's Top 100 Airlines in 2024　※ワンワールドメンバーのみ】

1位：Qatar Airways（前年2位）

5位：Cathay Pacific Airways（前年8位）

6位：Japan Airlines（前年5位）

13位：British Airways（前年18位）

14位：Fiji Airways（前年15位）

15位：Iberia（前年14位）

23位：Finnair（前年24位）

24位：Qantas Airways（前年17位）

39位：Malaysia Airlines（前年47位）

55位：Royal Air Maroc（前年53位）

60位：Alaska Airlines（前年52位）

62位：Iberia Express（前年ランク外）

78位：American Airlines（前年82位）

ランク外：Royal Jordanian（前年ランク外）

ランク外：SriLankan Airlines（前年ランク外）

出典：The World Airlines Awards

【セキュリティ事件簿#2024-177】株式会社岸和田スポーツ 弊社が運営する「Kemari87KISHISPO公式通販サイト」への不正アクセスによる クレジットカード情報及び個人情報漏洩に関するお詫びとお知らせ 2024/6/19

 

このたび、弊社が運営する「Kemari87KISHISPO公式通販サイト（https://www.kishispo.net/）」（以下、弊社ECサイト）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（13,960名）及び個人情報（38,664名）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年2月6日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、弊社が運営するECサイトでのカード決済を停止し、2024年2月14日より第三者調査機関による調査を開始いたしました。

2024年2月26日、第三者調査機関による調査が完了し、2021年2月24日～2024年1月17日の期間に　弊社ECサイトで購入されたお客様のクレジットカード情報及び個人情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社ECサイトのシステムの一部の脆弱性を利用するために第三者が2021年2月21日から2021年2月24日にかけて不正注文を行い、注文データの参照が行われたことを起点として不正なスクリプトが実行されたと考えられます。

(2) クレジットカード情報漏洩の可能性があるお客様

2021年2月24日～2024年1月17日の期間中に弊社ECサイトにおいてクレジットカード決済をされたお客様13,960名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

・メールアドレス（パスワードの漏洩はありません）

・郵便番号

・住所

・電話番号

(3)個人情報漏洩の可能性があるお客様

2021年2月24日～2024年1月17日の期間中に弊社ECサイトにおいてご購入されたお客様38,664名で、 漏洩した可能性のある情報は以下のとおりです。

・氏名

・メールアドレス（パスワードの漏洩はありません）

・郵便番号

・住所

・電話番号

漏洩懸念のあるお客様には、別途、電子メールにてご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2024年2月6日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトのクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の弊社ECサイトのクレジットカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、 監督官庁である個人情報保護委員会には2024年2月7日に報告済みであり、また大阪府警察本部サイバーセキュリティ対策課に2024年2月9日に被害申告しており、システム情報等も提供しております。今後捜査にも全面的に協力してまいります。

6.漏えい件数の追加修正について（お詫び）

このたび、漏えい対象のお客様を特定するにあたり、システムエラーが生じていたことが判明いたしましたので、漏えい件数についてお詫びして訂正いたします。

尚、影響のありましたお客様には6/19より個別にご通知させていただきます。

ご迷惑をおかけし誠に申し訳ございませんでした。

リリース文（アーカイブ）

【2024年5月14日リリース分】

リリース文（アーカイブ）

旅行中に必要なアプリ７選

スマートフォンは旅行中に役立つ貴重なツールです。その機能を最大限に引き出すには、役立つアプリをインストールし、出発前にアップデートしておく必要があります。

今回は外出時に役立つアプリのリストを紹介します。

これなしでは旅行できないかもです。

Tripit

Tripitアプリで旅行計画を整理しておくと、簡単にすべての情報にアクセスできる。ホテルの住所、ディナーの予約と時間、etc。Tripitは近くのレストラン、バー、ATMの場所、コンビニエンスストアも提案してくれます。更に旅行先の安全レベルも教えてくれます。

FlightAware

これはフライト状況を把握するためのアプリで、フライトの遅延時に有利です。

このアプリのお気に入りのひとつは、到着便（これから乗る飛行機）の状況を簡単に知ることができることです。

その飛行機が午後2時30分まで到着しないのに、あなたが午後2時15分に搭乗する予定であれば、フライトが遅れているというアナウンスが流れます。

例えば、私の乗る飛行機が天候のために遅れている場合、飛行機を追跡しておけば人ゴミ溢れる搭乗ゲートで最新情報を聞くのを待つ代わりに、ラウンジに残って仕事をすることができます。

TripAdvisor

トリップアドバイザーは、旅行中に地元の観光スポットを探すのにも使えます。

アプリを開いて近くにどんなものがあるか見てみると、知らなかった博物館や歴史的な場所を見つけることができます。

また、実際に訪れた人たちのレビューやヒントを読むこともでき、コメントはとても参考になるものからそうでないものまで様々です。

Google Maps

数ある地図アプリの中で最も便利です。

車での道案内だけでなく、徒歩での道案内もできるし、Uberと連携して現在地までの乗車料金の目安も教えてくれます。

更に、私がグーグルマップは公共交通機関の情報を教えてくれる機能もあります。

Yelp

外出先で食事をする場所を探すのにYelpが使えるかもしれません。

徒歩圏内や、現在地から目的地までの間にある店を並べ替えるのに便利です。

特定の時間に営業している店だけを絞り込んだり（ランチタイムしか営業していない店だと意味が無い）、店の雰囲気（静かな夜を過ごしたいのにやかましい店では意味が無い）を調べたりできます。

White Noise

ホワイトノイズ（white noise）は、すべての周波数が同じ強度で均等に含まれている音のことを指し、ラジオやテレビのチューニングが合っていないときに聞こえる「シャー」という音のようなものです。

ホワイトノイズは以下のような用途で利用されます：

1. 睡眠の補助: 背景音として使用することで、他の突発的な音（車の音や人の話し声など）をマスクして、睡眠の質を向上させることができます。
   
   
2. 集中力の向上: 勉強や仕事の際にホワイトノイズを流すことで、周囲の雑音を遮断し、集中力を高める効果があります。
   
   
3. 治療やリラクゼーション: ティニタス（耳鳴り）治療や瞑想、リラクゼーションの際にホワイトノイズが使用されることがあります。

ホワイトノイズアプリには、"車の屋根に降る雨 "や "衣類乾燥機 "など、40種類以上の環境音が用意されています。自分のプレイリストをミックスすることもできます。

Uber

Uberにいろいろ問題がある。しかし、彼らのアプリはわかりやすく、世界中の多くの国で使えます。

歩くには遠すぎるし、公共交通機関が利用できないとき、大都市を移動するためにUberを活用できます。ロサンゼルス、シカゴ、ニューヨークのようないくつかの都市では、Uberを利用することが、地元の人々や観光客が街を移動するための常套手段になっており、タクシーを拾うよりはるかに楽です。

出典：7 APPS YOU NEED TO HAVE WHEN TRAVELING

【セキュリティ事件簿#2024-277】株式会社パルグループホールディングス サーバートラブルの発生に関するお知らせ 2024/6/28

 

このたび、当社グループの一部サーバーが第三者による不正アクセスを受け、サーバートラブルが発生したことをお知らせいたします。本件について、現在対策本部を設置し、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応を進めております。また、警察などの関係機関へ相談し助言を受けております。

トラブルの全容を把握するにはいましばらく時間を要する見込みですが、現時点で判明している内容について、下記の通りご報告いたします。また、今後につきましても、随時弊社ホームページおよびアプリにてご案内させていただきます。

お客さま、お取引先さま、関係先の皆さまに多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

１．経緯

6 月16 日（日）に発生したシステム障害の調査・分析を行なったところ、当社グループの複数サーバーで第三者による不正アクセスによるトラブルが発生していることを確認しました。

２．現在の状況 ※6 月28 日（金） 12 時時点

＜店舗の営業について＞

全店通常営業を行っております。各種決済サービスにつきましてもご利用いただけます。

＜ＥＣ・ＰＡＬＣＬＯＳＥＴの営業について＞

通常営業を行っております。各種決済サービスにつきましてもご利用いただけます。

＜ポイントサービスについて＞

店舗での PALCLOSET アプリのポイントサービスについて、ポイントの使用は可能ですが、付与の翌日反映ができておらずシステム復旧後に反映され使用可能となります。詳しくはパルクローゼットの WEB サイトをご参照ください。

３．個人情報について

当社の現役職員・過去に在籍されていた役職員のお名前・ご住所・給与振込銀行口座番号・メールアドレスや休職者の傷病の情報が漏洩する可能性があります。

なお、ＰＡＬＣＬＯＳＥＴの会員様の会員情報に関しては、今回トラブルが発生したシステムとは別システムで運用しているため WEB、アプリ等を含め漏洩しておりません。また、本件に関しては 6 月 17 日（月）に個人情報保護委員会へ報告しており、今後は委員会からの指導等に従ってまいります。

４．業績への影響

今回のトラブルが当社グループの 2025 年２月期業績に及ぼす影響については、精査中ですが軽微であると考えております。また、月次売上高報告および 7 月9 日公表予定の第１四半期決算については、影響を精査の上、開示時期も含め必要な場合は速やかに公表いたします。

引き続き外部専門家や警察と連携の上、原因追求、そしてシステムの保護と復旧に向けて全力で取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-276】株式会社アットリーフ 個人情報が閲覧できる状態であったことに関するお詫び 2024/5/23

 

弊社が提供する「寮助」（学生寮向け欠食・外泊・点呼システム）におきまして、プログラム設計および設定の不備により、個人情報が閲覧できる状態であったことを深くお詫び申し上げます。内容および対応につきましては以下の通りです。

1. 概要

弊社が提供している「寮助」（欠食・外泊・点呼システム）において、一部のWEBページが認証なく閲覧できる状態となっておりました。閲覧できる状態であった期間および情報は以下となります。

【閲覧できる状態であった期間】

2015年9月～2024年4月（システムの導入時期により異なります。）

【閲覧できる状態であった情報】

氏名、学年、学科、クラス、寮棟名、部屋番号、点呼時間（一部の学校のみ）

2. 原因

当該WEBページはサイネージのように運用することを想定して設計していたため、WEBページを自動更新させる目的で認証機能を実装しなかったことが本件の原因となります。

3. 対応状況

2024年4月26日に「寮助」を導入いただいている学校からご指摘を受け、同日のうちに当該WEBページを閉鎖いたしました。その後、5月2日までに全ての「寮助」の機能 を完全停止いたしました。また、現在は当該WEBページへの認証機能の実装、管理者ページへのIPアドレス制限等の対応を進めております。

4. 再発防止のための対応

弊社は、今回の事態を厳粛に受け止め、今後このような事態が生じないよう、全社員に対して個人情報保護の重要性等についての教育を徹底するとともに、システム開発にあたっては、複数のシステム担当者によるチェック、さらにシステム開発部門以外の担当者による複層的なチェックを行う等、システム開発における個人情報の管理を強化し、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-274】岐阜薬科大学2024年度オープンキャンパスへ参加申込みをされた方の個人情報が閲覧可能となる状態が生じましたこと、並びにメールアドレスが漏えいしたことについてのご報告とお詫び 2024/6/26

 

このたび、2024年度オープンキャンパスへ参加申込みをされた方の個人情報が、本学HPの申込画面（以下「申込みフォーム」）上で、申込後において閲覧できる状態にあったことが判明しました。

参加申込みをされた皆様に、多大なるご迷惑をおかけする事態になりましたことを心よりお詫び申し上げますとともに、申込みフォームを一時的に閉鎖したことから、オープンキャンパスに関心をお寄せいただいた多くの皆様に、ご不便やご心配をおかけしましたことを深くお詫び申し上げます。

また、このことを受け、ご迷惑をおかけした皆様へ、ご報告とお詫びをメール送信する際に、23名の方のメールアドレスを漏えいすることとなり、重ねてお詫び申し上げます。

本学としては、このような事態を招いたことを重く受け止め、個人情報の適正な取扱いをいっそう徹底するとともに、再発防止に努めてまいります。

概要

本学オープンキャンパスの参加者を申込みフォームより募集しておりましたが、参加申込者が他の申込者の情報を閲覧できる状態になっておりました。

事案発覚後、直ちに申込フォームを閉鎖しました。

なお、事案が発覚した21日夕刻には、参加申し込み者が他の申込者の情報を閲覧できない状態であることの動作確認を経て、受付を再開しております。

現時点において、このことによる被害の発生は確認できておりません。

閲覧できた可能性がある個人情報

該当される方

6月21日　午前10時40分までに参加申込された方（320名）

※申込後にリンク先に表示されて閲覧可能となるのは、最大100名分

閲覧可能期間

2024年6月20日（木）正午～2024年6月21日（金）午前10時40分頃

個人情報の内容

お名前、フリガナ、電話番号、高校名

なお、それぞれの内容は紐づけされておりません。

原因

申込みフォーム（Googleフォーム）の設定ミスにより、申込完了後に表示される「前の回答を表示」というリンクをクリックすると、他の申込者の情報の一部を閲覧できる状態となっておりました。

現在は、設定の変更によりこのリンクの表示は消えております。

メールアドレス漏えいの経緯と原因

以上の事案に関し、ご報告とお詫びを320名の皆様へメール送信しましたが、1回目に送信できなかった23名の方に再送信する際、日頃から使用しているアカウントの自動B㏄機能が適用されると勘違いして、宛先欄に23名のメールアドレスを設定したため。

再発防止策

このような事態を招いたことを重く受け止め、事務処理における複数チェックなどチェック体制の強化を図るとともに、個人情報の適正な取扱いをいっそう徹底してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-273】三菱 UFJ オルタナティブインベストメンツ株式会社 弊社を装ったスパムメールに関するお詫びとお知らせ 2024/6/17

平素は格別のご高配を賜り、厚く御礼申し上げます。

2024 年 5 月 21 日に、弊社名および弊社社員を装ったスパムメールが複数の方へ送信されました件、メールを受信された皆様には多大なご迷惑をお掛けしましたことを深くお詫び申し上げます。

その後、本件について外部のセキュリティ専門企業 の協力のもと弊社内で調査を進めました結果、以下の事象および流出可能性のあるお客様情報が存在することが判明致しました。調査の内容、流出可能性のあるお客様情報の内容および現在の対応状況について以下の通りでございますが、お客様の情報について流出した可能性が生じたことについて、深くお詫び申し上げます。

1. 調査の内容

（１）2024 年 5 月 21 日発信の弊社名および弊社社員を装ったスパムメールについて

不審メールの送信元および添付されていたファイルのコンピュータ・ウイルス有無を調査いたしました。その結果、当該メールが当社から発信されたものではないこと、当該添付ファイルにはフィッシングサイトへの URL リンクが存在していることが分かっております。

（２）発生原因について

弊社内で行いました調査の結果、本件は 2024 年 5 月 13 日に弊社社員が受信した不審メールに起因するものと判明いたしました。当該不審メールの受信履歴から情報流出元となった可能性のある PC を特定し、外部のセキュリティ専門企業 の協力のもとログ解析等を実施した結果、メール等の一部が流出している可能性が判明しました。

2. 流出可能性のあるお客様情報

上記調査の結果、流出可能性のあるお客様情報は以下のとおりです。弊社では情報流出の事実までは確認できておりませんが、お客様の二次被害・類似被害防止の観点から「流出可能性のある」お客様情報をお知らせするものです。お手数をおかけして誠に申し訳ございませんが、お客様の業務（メール連絡等）において所謂「なりすまし」メールがお客様に送信される等の不正行為に利用される可能性があることを念頭にご留意頂けますと幸いです。

• お客様情報（法人名・ご担当者名・メールアドレス）
• お取引に関する一部の情報（私募の取扱いに関する契約書等）
• 業務に関するお客様情報（契約書等）

3. 再発防止について

これまでの調査の過程で判明した事項に基づき、更なるデータ流出を防止するため、2024 年 5 月 24 日までに以下の不正アクセス遮断措置を実施いたしました。これにより、不審メールを受信した者を含む弊社社員全員について、外部からの不正アクセスを遮断することができたものと判断しております。

• 外部インターネットから使用アプリケーション（Microsoft365）へのアクセス遮断
• 弊社社員の PC ログインパスワードの変更
• 社内 PC 向けリモート操作ツールのパスワード一斉変更
• 本件メールに添付されていたファイル中のURLへの弊社社員アクセス遮断
• 不正にデータを窃取するために利用されたアプリケーションの削除及びインストール機能のブロック（Microsoft365）

なお、上記の通り、2024 年 5 月 21 日発信のメールについては、フィッシングサイトへの URL リンクがございますので、添付ファイルは開封せず、メールごと削除いただきますようお願い致します。

本件に起因する情報の再流出への対応は完了致しましたが、更なるサイバーセキュリティの態勢強化に引き続き取り組んでまいります。ご迷惑・ご心配をお掛けしてしまい誠に申し訳ございませんが、引き続きよろしくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-272】上智大学 メールの誤送信による個人情報の流出について 2024/6/26

 

このたび、本学から海外の協定校に留学プログラム参加者リストをメールにて送信した際に、本学学生の個人情報を含んだファイルを誤って添付して送信する事案が発生いたしました。 

該当する学生およびご父母・保証人の皆様、そして関係者の皆様に大変なご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。本学は本事案を重大なセキュリティインシデントと受け止めております。今回の事案を重く受け止め、個人情報の適切な管理について教職員に対する一層の周知徹底を図り、再発防止に努めてまいります。 

１．経緯等 

2024年5月16日に、留学プログラムを所管するグローバル教育センターにおいて、短期プログラム に参加する学生のリストを作成しました。リスト作成にあたり本学に在籍する学生情報を含むマスターデータを用いましたが、その際に、マスターデータのシートの削除を行うことなく、海外協定校の担当者にメール添付で当該リストを送信しました。2024年6月7日に、グローバル教育センターにおいて、別のプログラムの参加者リストを作成した際に、マスターデータが残ったままのファイルを発見したことから、本件の誤送信が発覚しました。

２．誤送信したファイルに含まれていた情報および送信先

①　個人情報の項目

上智大学に在籍する全正規生の学生番号、所属学部・学科、学年、学生氏名、生年月日、国籍

②　個人情報の数 　

13,949名

③　送信先 　

海外協定校3校のプログラム担当者（各校1名、計3名）

３．対応状況

本事案の発覚後、送信先の協定校担当者に対してただちに当該データの削除を依頼し、誤送信された個人情報を含む添付ファイルは削除されていることを確認しております。また、全ての学生に対して、メールで個別に謝罪と本事案についての説明の連絡を行っております。なお、本日までにこの情報流出による被害の報告はありません（2024年6月25日現在）。担当部署においては、学生やご父母・保証人の方の相談に随時応じてまいります。

４．今後について

このような事態を発生させてしまい、ご関係の皆様には多大なご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。本事案を全教職員に周知し、個人情報の取り扱いについて改めて注意喚起を行うとともに、メール送信時に添付ファイルも含めて確認の徹底を図り再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-271】株式会社北海道産地直送センター ECサイト「産地直送センター」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/6/26

 

このたび、弊社が運営するECサイト「産地直送センター」（以下「産地直送センター」）におきまして、第三者による不正アクセスを受けたことによって、お客様のクレジットカード情報（18,443名）及び個人情報（54,583名）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

また、「産地直送センター」は2024年4月24日をもちまして閉鎖しており、再開の予定はございません。

今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2024年4月19日、一部のクレジットカード会社から、「産地直送センター」を利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、同日、直ちに「産地直送センター」でのカード決済を停止いたしました。そのうえで、当該懸念に関する状況把握のため、第三者調査機関の選定作業を開始し、2024年4月25日より第三者調査機関による調査を開始いたしました。

2024年5月9日、当該調査機関による調査が完了し、2021年3月30日～2024年4月19日の期間に「産地直送センター」でご注文時に入力されたお客様のクレジットカード情報および個人情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、ならびに、2019年4月12日～2024年4月24日に「産地直送センター」システムにご入力いただいた個人情報に漏洩のおそれがあることを確認いたしました。

以上のとおり、本事案について弊社として本事案に関する事実関係が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

2021年3月30日、「産地直送センター」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスによりペイメントアプリケーションの改ざんが行われました。また、「産地直送センター」のデータベースに記録されている個人情報が漏洩した可能性が否定できないことが判明いたしました。

(2)クレジットカード情報漏洩の可能性があるお客様

2021年3月30日～2024年4月19日の期間中に「産地直送センター」においてクレジットカード決済をされたお客様は18,443名であり、これらのお客様について以下の情報が漏洩した可能性がございます。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏洩の可能性があるお客様

2019年4月12日～2024年4月24日の期間中に「産地直送センター」に個人情報を入力し、データを送信されたお客様、ならびにご注文品の送付先として登録されたお客様は54,583名であり、これらのお客様について以下の情報が漏洩した可能性がございます。

• 氏名・郵便番号・住所・電話番号を含むご注文情報
  
  
• 氏名・住所・メールアドレス・電話番号・FAX番号・性別・職業・生年月日・会社名を含む会員登録情報

上記に該当する54,583名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

(1) クレジットカード不正利用のご確認とお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引について、モニタリングを継続して実施し、当該クレジットカードの不正利用防止に努めております。

誠に恐縮ではございますが、お客様におかれましてもクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をいただきますようお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差替えをご希望される場合、カード再発行の手数料につきましてお客様にご負担をお掛けしないよう、弊社において手数料を負担する形でクレジットカード会社にご協力を依頼しております。

(2)その他の個人情報について

お客様のもとに差出人や件名に心当たりのない不審なメールが届いた際には、ウイルス感染や不正アクセス等の危険がございますので、メールに添付されているファイルは開封せず、メール自体を直ちに消去いただくようお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.公表が遅れた経緯について

2024年4月19日の漏洩懸念発覚から今回のご案内をさせていただくに至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば漏洩懸念が発覚した時点で直ちにお客様にご連絡し注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報をお客様にお伝えすることは却っていたずらに混乱を招いてしまうことから、お客様へのご迷惑を最小限に食い止める準備を整えてから告知させていただくことが不可欠であると判断し、第三者調査機関の調査結果、及びカード会社との協力体制を整えてから告知させていただくことといたしました。

今回のご案内までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに「産地直送センター」の再開について

「産地直送センター」は、本件発覚に先立つ2024年3月24日に閉店しており、一部媒体経由での限定公開商品に限って営業しておりました。弊社は本件の発覚を受け、事態を厳粛に受け止め、2024年4月24日にそれら限定公開商品も含めた営業を完全に停止いたしました。今後も再開はしない方針です。

なお、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年4月22日に報告済みであり、また、北海道警察本部サイバー犯罪対策課にも2024年4月22日に被害申告しており、今後も捜査に全面的に協力して参る所存です。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-270】株式会社Brave group 個人情報流出に関するお詫びとご報告 2024/6/25

 

本日、当社グループである株式会社バーチャルエンターテイメントが運営する、ぶいすぽっ！公式アカウントより「ぶいすぽっ！JP オーディションに関しての情報について」のお知らせを出させていただきました。

調査を進行している最中となりますが、同一日にBrave groupの運営する「Brave group総合オーディション」および株式会社ENILISの運営する「HareVare VLiverオーディション」においても同様の個人情報流出の可能性があることが判明いたしました。

この度は、漏えい対象者の皆様はもとより、ファンの皆様、関係者の皆様には大変なご迷惑、ご心配をおかけすることを心より深くお詫び申し上げます。

現在、本事案については慎重に調査を続けている最中ではありますが、現時点（2024/6/25 22:00）で判明している情報についてお知らせ申し上げます。

本来、漏えい対象者の皆様にも速やかに個別に謝罪、ご連絡すべき事態と認識しております。

ただ、上記のような状況であるため、今しばらくお待ちいただけますようお願いいたします。

概要

当社グループで利用しているクラウドサービス「Googleドライブ」で管理するファイルにおいて、「ぶいすぽっ！JP オーディション」の応募者用Google Formにご回答いただいた内容が、同Formの「編集用URL」を知るに至った第三者において、閲覧可能な状態にあったことが2024/6/25 17:15に判明いたしました。

ただし、編集用URLはオーディションサイト上で一般公開されていた状態ではなく、何らかの形で編集用URLが流出した可能性が高いと考えております。

また、アクセス履歴の調査を進行している最中となりますが、同一日にBrave groupの運営する「Brave group総合オーディション」および株式会社ENILISの運営する「HareVare VLiverオーディション」においても同様の個人情報流出の可能性が判明いたしました。

上記状況に照らし、故意による漏えいや不正アクセスの可能性も十分あり得るため、今後、慎重に調査を続けて参ります。

2024年6月25日時点で判明している内容

詳細は現在調査中ですが、現時点（2024/6/25 22:00）で判明している状況は以下のとおりです。

ただし、あくまで現時点までに判明した情報であり、今後の調査により変動する可能性もございますので、予めご了承ください。

「ぶいすぽっ！JP オーディション」

1.閲覧可能な状態にあった回答内容の件数

　約7,000件

2.漏えいの対象者

　「ぶいすぽっ！JP オーディション」に応募いただいた皆様

3.発生した可能性のある期間

　2024/6/4 20:05　~　2024/6/25 17:50

4.閲覧可能な状態にあった個人情報の項目

・氏名

・お住いの都道府県（ただし、誤って住所まで入力されていた方については住所）

・電話番号

・生年月日

・使用SNS

・志望動機など

「Brave group総合オーディション」

1.閲覧可能な状態にあった回答内容の件数

　約2,610件

2.漏えいの対象者

　「Brave group総合オーディション」に応募いただいた皆様

3.発生した可能性のある期間

　2024/6/4 19:40　~　2024/6/25 17:50

4.閲覧可能な状態にあった個人情報の項目

・氏名

・お住いの都道府県（ただし、誤って住所まで入力されていた方については住所）

・電話番号

・生年月日

・使用SNS

・志望動機など

「HareVare VLiverオーディション」

1.閲覧可能な状態にあった回答内容の件数

　約1,043件

2.漏えいの対象者

　「HareVare VLiverオーディション」に応募いただいた皆様

3.発生した可能性のある期間

　2024/6/4 20:16　~　2024/6/25 17:50

4.閲覧可能な状態にあった個人情報の項目

・氏名

・お住いの都道府県（ただし、誤って住所まで入力されていた方については住所）

・電話番号

・生年月日

・使用SNS

・志望動機など

漏えいの経緯

Google formの編集用URLの閲覧・編集範囲が「このリンクを知っているインターネット上の全員が閲覧できます」と設定されていたことから、この編集用URLのリンクを知っていれば、誰でも、編集用URLにアクセスし、上記個人情報を閲覧できる状態でありました。

ただし、オーディション応募フォーム上に掲載されているURL（回答用URL）と、回答内容が確認できるURL（編集用URL）は別のものとなっており、オーディションページに掲載されているURLは回答用URLであったことから、個人情報を閲覧できるURLがオーディションページ上で一般公開されていたわけではありませんでした。

本事象から推測するに、編集用URLにアクセスできる可能性としては以下の3つの可能性があり、現在調査中となります。

• 第三者から編集用URLについて管理者宛に編集権限のリクエストが届き、それを何らかの理由で許可してしまった可能性。
• ただし、2024/6/25 17:15に確認したところ、当社グループ外の特定のユーザーに編集権限が付与されていた事象は確認されませんでした。そのため、この可能性は低いと考えられます。
• 何らかの理由により、当社グループ内より編集用URLが第三者に漏えいし、当該第三者から編集用URLの情報流出が拡大してしまった可能性。
• 不正アクセスにより、編集用URLが流出してしまった可能性。

なお、本事案が判明後、2024/06/25 17:50にクラウドサービス上のファイルへのアクセス制限を実施し、第三者が編集用URLにアクセスできる状態は解消しております。

また、現時点においては不正使用などの被害が発生した事実は確認されておりません。

本事案の判明の経緯

社内の問い合わせ内容の再確認をしたところ、2024/6/18 11:23と2024/6/25 16:28に、上記事象に気が付いた2名の方よりぶいすぽっ！公式XのDMのリクエスト欄にて問い合わせをいただいておりました。

ただ、DMのリクエスト欄における問い合わせであったことから当社グループ内での確認が遅れ、2024/6/25 17:01にお問い合わせをいただいた1名の方によるX投稿が話題に上っていることが2024/6/25 17:15に判明し、上記2件のお問い合わせの存在も含めて本事案が当社グループ内で判明いたしました。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-269】株式会社駒井ハルテック 当社におけるシステム隊害についてのお知らせ 2024/6/25

 

このたび当社におけるサイバー攻撃によるものと思われるシステム障害 (以下、「本件」) の発生について、下記のとおりお知らせいたします。

お取引様、関係者の皆様に多大なるご迷盛とご心配をおかけすることとなり、深くお詫び申し上げます。

2024年6月24日、当社においてサイバー攻撃によるものと思われるシステム障害の発生を確認いたしました。

本件により現在、当社内のシステムを停止しております。本件について、本日、対策本部を設置し外部専門家等と連携をとり調査をすすめるとともに、生産や営業活動に必要なシステムを早急に復旧させ、再開を実現すべく対応してまいります。

今後、お知らせすべき事項が明らかになりました場合には、速やかに開示を行います。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-268】印西総合病院 Webサイト改ざんに関するご報告とお詫び 2024/6/24

 

このたび、当院Webサイトにおいて、不正アクセスによりサイトが改ざんされ、本来とは異なるページが表示されていたことが判明いたしました。

現在は復旧し、作業が完了しておりますが、ご利用いただくみなさまに、ご心配をおかけしたことをお詫び申し上げます。

当院におきましてはサイト上に個人情報等の取り扱いがなく、現在のところ被害について、ご報告はいただいておりません。

＜改ざん期間＞

2024年6月22日（土）1時頃〜同日9時30分頃

＜サイトをご覧のみなさまへのお願い＞

当サイトにてマルウェア等の感染は確認されておりませんが、上記の期間にアクセスされた可能性のあるみなさまにおかれましては、お手持ちのセキュリティソフトを最新の状態にし、駆除の実施や、ブラウザのキャッシュクリア等のご対応をお願い申し上げます。

今後、このような問題が発生しないよう、さらに対策を強化し、運営に臨んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-267】お茶の水女子大学 本学講演会の申込フォームにおける個人情報の漏洩について 2024/6/19

 

この度、講演会「AI時代の人間の創造性、想像力」の申込フォームにおいて、設定に不備があり、申込者の個人情報が一時的に第三者から閲覧できる状態となっておりました。

関係者の皆様に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

1．概要

閲覧された可能性がある申込者の件数：197件

期間：2024年5月24日（金）12時30分～6月13日（木）16時40分

閲覧可能であった個人情報、申込内容：

(1)メールアドレス

(2)お名前

(3)ご所属（学校名・お勤め先等）

(4)ご所属の都道府県

(5)属性（学生、教員、大学関係者等）

(6)教員・保護者の別

(7)当日、撮影・録画・録音を行わないことの承諾欄

(8)本講演会をどのようにお知りになりましたか？

(9)講師に質問があればお書きください

(10)参加に関するお問い合わせ運営・ご参加に関するご質問・ご要望等

(11)次回以降のイベントのお知らせをお送りしてもよろしいでしょうか？

2．原因

Google Formsにてフォーム作成時に、「共同編集者を追加」の設定にて、「一般的なアクセス」の項目を「リンクを知っている全員」にしていました。

結果、該当のフォームにて閲覧・回答を行ったユーザが、自身のGoogleアカウントのGoogleアプリからフォームに移動した際に、「最近使用したフォーム」の欄に回答したフォームが表示され、そこから申込者の情報が閲覧可能な画面に遷移が可能となっておりました。

3．現在の状況

6月13日（木）16時40分に、該当フォームの設定を修正し、申込者の情報へアクセスできない状態であることを確認いたしました。

197名の皆様には、6月18日に事態のご説明とお詫びの連絡を行いました。

また、学内に対してフォーム利用時の注意喚起を実施いたしました。

4．今後の対応

今後はこのような事態を起こさないよう、フォーム公開時のマニュアルの整備および周知徹底をはかり、再発防止に努めてまいります。

リリース文（アーカイブ）

バグバウンティで使えるおすすめツール10選

バグバウンティなどの Web アプリケーションを対象とした脆弱性調査でよく使われる、おすすめのツールを10個紹介します。

免責事項

本稿の内容は、セキュリティに関する知見を広く共有する目的であり、悪用行為を推奨するものではありません。

注意点

紹介するツールの中には、ファジング（総当たり）による列挙や検証を行うものが含まれています。

総当たりを行うツールは、対象に負荷をかけたり、悪影響を与えるリクエストを送る可能性があるため、使用には十分な注意が必要です。

総当たりツールを利用する場合は、対象の規約（スキャンツールの利用やレート制限など）を十分に確認し、規約に従って慎重に実行してください。

Burp Suite

Burp Suiteは、Webアプリケーションのセキュリティテストを行うための統合ツールです。サイバーセキュリティの専門家や開発者が、アプリケーションの脆弱性を発見し、修正するのに役立ちます。

主な機能は以下の通りです：

1. プロキシ：ブラウザとサーバー間の通信をインターセプトし、編集、再送信が可能です。
2. スキャナー：自動でWebアプリケーションの脆弱性を検出します。
3. インジェクター：SQLインジェクションやクロスサイトスクリプティング（XSS）などの攻撃をシミュレーションします。
4. リピーター：特定のリクエストを何度も送り、挙動を確認します。
5. シーケンサー：トークンの乱数性や一意性を分析します。

これらのツールを使うことで、セキュリティの弱点を効率的に発見し、改善することができます。Burp Suiteは、プロフェッショナル版と無料版があり、プロフェッショナル版ではより高度な機能が利用できます。

ffuf

ffuf (Fuzz Faster U Fool) は、Webアプリケーションのディレクトリやファイルの強制探索を行うためのツールです。セキュリティテストやペネトレーションテストにおいて、隠れたコンテンツを発見するのに役立ちます。ffufは高速で柔軟性があり、カスタムワードリストを使用したり、さまざまなプロトコルをサポートするなど、多くの機能を備えています。

主な特徴：

1. 高速な探索：高いパフォーマンスで多くのリクエストを迅速に処理。
2. 柔軟な出力形式：JSON、CSV、HTMLなど、さまざまな形式で結果を出力可能。
3. カスタマイズ可能なリクエスト：ヘッダーやパラメータを自由に設定。

実行例：

以下は、ffufを使ってターゲットサイト（例：www.example.com）のディレクトリを探索する簡単なコマンド例です。

ffuf -u http://www.example.com/FUZZ -w /path/to/wordlist.txt

解説：

• -u：ターゲットURLを指定。FUZZ はワードリストのエントリが置換される部分。
• -w：使用するワードリストのパスを指定。

例えば、以下のようなワードリスト（wordlist.txt）があった場合：

admin
login
test

このワードリストを使用して実行すると、以下のURLに対してリクエストが送信されます：

• http://www.example.com/admin
• http://www.example.com/login
• http://www.example.com/test

このようにして、ffufを用いることで、Webアプリケーションの隠れたディレクトリやファイルを効率的に見つけることができます。

※ffuf は総当たりによる列挙のため、十分に注意して利用してください。

subfinder

subfinderは、サブドメインの探索に特化した高速で効率的なツールです。セキュリティテストや脆弱性評価の際に、ターゲットドメインのサブドメインをリストアップするのに役立ちます。subfinderは、複数のデータソースから情報を収集し、潜在的なサブドメインを検出するための強力な機能を備えています。

主な特徴：

1. 高速かつ効率的：多くのサブドメインを迅速に探索可能。
2. 多様なデータソース：DNSデータベース、API、パッシブDNSサービスなど、複数のソースから情報を収集。
3. 簡単な使用方法：コマンドラインインターフェースを介してシンプルに操作。

実行例：

以下は、subfinderを使ってターゲットドメイン（例：example.com）のサブドメインを探索する簡単なコマンド例です。

subfinder -d example.com

解説：

• -d：ターゲットドメインを指定。

このコマンドを実行すると、subfinderは指定されたドメインに関連するサブドメインを検索し、結果を標準出力に表示します。例えば、以下のような結果が得られます：

www.example.com
mail.example.com
blog.example.com

このように、subfinderを用いることで、ターゲットドメインのサブドメインを迅速かつ効果的に発見することができます。

nuclei

Nucleiは、セキュリティテストや脆弱性スキャンを自動化するための高速でカスタマイズ可能なツールです。テンプレートベースのアプローチを採用しており、さまざまなタイプの脆弱性に対するテストを簡単に実行できます。セキュリティ研究者やペネトレーションテスターにとって、Nucleiは効果的で柔軟なスキャンツールです。

主な特徴：

1. テンプレートベース：再利用可能なテンプレートを使用して多様な脆弱性を検出。
2. 高いパフォーマンス：大量のターゲットに対して迅速にスキャンを実行。
3. カスタマイズ可能：ユーザーが独自のテンプレートを作成可能。

実行例：

以下は、Nucleiを使ってターゲットサイト（例：www.example.com）をスキャンする簡単なコマンド例です。

nuclei -u http://www.example.com -t /path/to/templates

解説：

• -u：スキャン対象のURLを指定。
• -t：使用するテンプレートのディレクトリパスを指定。

例えば、次のようなテンプレートがある場合：

id: example-vuln

info:
  name: Example Vulnerability
  author: yourname
  severity: medium

requests:
  - method: GET
    path:
      - "{{BaseURL}}/vulnerable-path"
    matchers:
      - type: word
        words:
          - "vulnerable"

このテンプレートを使って実行すると、指定したURLの「/vulnerable-path」にアクセスし、レスポンスに「vulnerable」という単語が含まれているかをチェックします。

テンプレートを指定して実行するコマンド例：

nuclei -u http://www.example.com -t /path/to/templates/example-vuln.yaml

このように、Nucleiを用いることで、多様な脆弱性に対するスキャンを効率的に実行し、潜在的なセキュリティリスクを発見することができます。

naabu

Naabuは、高速で効率的なポートスキャナーです。特定のホストやネットワーク内の開いているポートを迅速にスキャンし、潜在的なセキュリティリスクを特定するのに役立ちます。Naabuは、ネットワークのペネトレーションテストやセキュリティ監査の際に利用され、単一のホストから大規模なネットワークまで対応できます。

主な特徴：

1. 高速スキャン：多くのポートを短時間でスキャン可能。
2. カスタマイズ可能：特定のポートや範囲を指定してスキャンを実行。
3. 柔軟な出力形式：結果を標準出力やファイルに出力可能。

実行例：

以下は、Naabuを使ってターゲットホスト（例：192.168.1.1）の開いているポートをスキャンする簡単なコマンド例です。

naabu -host 192.168.1.1

解説：

• -host：スキャン対象のホストを指定。

特定のポート範囲を指定してスキャンする場合の例：

naabu -host 192.168.1.1 -p 1-1000

解説：

• -p：スキャンするポートの範囲を指定。ここでは1番から1000番ポートまでを指定。

結果をファイルに出力する例：

naabu -host 192.168.1.1 -o results.txt

解説：

• -o：スキャン結果を指定したファイルに出力。ここではresults.txtに保存。

このように、Naabuを用いることで、ネットワーク内の開いているポートを迅速に特定し、潜在的なセキュリティリスクを評価することができます。

getallurls (gau)

getallurls (gau) は、特定のドメインから利用可能なすべてのURLを収集するためのツールです。ペネトレーションテストやセキュリティリサーチの際に、Webアプリケーション内のすべてのエンドポイントやリソースをリストアップするのに役立ちます。gauは、複数のデータソースを利用して効率的にURLを収集します。

主な特徴：

1. 複数のデータソース：Wayback Machine、Common Crawl、URLScanなどからURLを収集。
2. シンプルなインターフェース：簡単なコマンドで実行可能。
3. 効率的な収集：高速で多数のURLを収集。

実行例：

以下は、gauを使って特定のドメイン（例：example.com）のURLを収集する簡単なコマンド例です。

gau example.com

解説：

• このコマンドは、example.com ドメインに関連するすべてのURLを収集します。

特定のデータソースを指定する場合の例：

gau --providers wayback,commoncrawl example.com

解説：

• --providers：使用するデータソースを指定。ここではwaybackとcommoncrawlを指定しています。

結果をファイルに保存する例：

gau example.com -o urls.txt

解説：

• -o：収集したURLを指定したファイルに保存。ここではurls.txtに出力します。

このように、gauを用いることで、Webアプリケーション内のすべてのエンドポイントを効率的に収集し、潜在的なセキュリティリスクを評価するための情報を得ることができます。

xnLinkFinder

xnLinkFinderは、WebアプリケーションのJavaScriptファイルからエンドポイントやURLを抽出するためのツールです。セキュリティリサーチャーやペネトレーションテスターにとって、アプリケーション内の隠れたエンドポイントを見つけ出し、脆弱性を評価するのに役立ちます。xnLinkFinderは、静的解析を行い、JavaScriptファイルに埋め込まれたURLやAPIエンドポイントを効率的に抽出します。

主な特徴：

1. JavaScript解析：JavaScriptファイル内のURLやAPIエンドポイントを抽出。
2. 簡単な使用方法：シンプルなコマンドラインインターフェース。
3. 効果的な検出：埋め込まれたリソースや隠れたエンドポイントを効果的に発見。

実行例：

以下は、xnLinkFinderを使って特定のURL（例：http://example.com/script.js）のJavaScriptファイルからエンドポイントを抽出する簡単なコマンド例です。

python3 xnLinkFinder.py -i http://example.com/script.js -o results.txt

解説：

• -i：解析するJavaScriptファイルのURLを指定。
• -o：抽出結果を保存するファイル名を指定。ここではresults.txtに出力。

特定のディレクトリ内のすべてのJavaScriptファイルを解析する場合の例：

python3 xnLinkFinder.py -i /path/to/javascript/files/ -o results.txt

解説：

• -i：解析するJavaScriptファイルが格納されたディレクトリを指定。
• -o：抽出結果を保存するファイル名を指定。ここではresults.txtに出力。

特定のパターンにマッチするエンドポイントのみを抽出する場合の例：

nuclei -u http://www.example.com -t /path/to/templates/example-vuln.yaml

解説：

• -p：抽出するエンドポイントのパターンを指定。ここでは/api/を含むURLのみを抽出。

このように、xnLinkFinderを用いることで、Webアプリケーション内のJavaScriptファイルから隠れたエンドポイントを効率的に抽出し、セキュリティ評価を行うための情報を得ることができます。

dirseaech

Dirsearchは、Webアプリケーションのディレクトリやファイルを強制探索（ブルートフォース）するためのコマンドラインツールです。セキュリティテストやペネトレーションテストにおいて、隠れたコンテンツや管理ページ、バックアップファイルなどを発見するのに役立ちます。Dirsearchは、多言語対応でカスタマイズ可能なワードリストを使用し、効率的に探索を行います。

主な特徴：

1. 高速探索：高いパフォーマンスで多数のディレクトリやファイルを迅速にスキャン。
2. カスタマイズ可能：特定のファイル拡張子やディレクトリを指定可能。
3. 多言語対応：Pythonで書かれ、さまざまなオプションで柔軟に対応。

実行例：

以下は、Dirsearchを使って特定のターゲットサイト（例：http://example.com）のディレクトリを探索する簡単なコマンド例です。

dirsearch -u http://example.com -w /path/to/wordlist.txt

解説：

• -u：ターゲットURLを指定。
• -w：使用するワードリストのパスを指定。

特定の拡張子を探索する場合の例：

dirsearch -u http://example.com -w /path/to/wordlist.txt -e php,html,js

解説：

• -e：探索するファイルの拡張子を指定。ここではphp、html、jsファイルを指定。

結果をファイルに保存する場合の例：

dirsearch -u http://example.com -w /path/to/wordlist.txt -o results.txt

解説：

• -o：探索結果を指定したファイルに保存。ここではresults.txtに出力。

複数のスレッドを使用して探索を高速化する場合の例：

dirsearch -u http://example.com -w /path/to/wordlist.txt -t 50

解説：

• -t：使用するスレッド数を指定。ここでは50スレッドを使用。

このように、Dirsearchを用いることで、Webアプリケーション内の隠れたディレクトリやファイルを効率的に探索し、潜在的なセキュリティリスクを発見することができます。

※dirseaech は総当たりによる列挙のため、十分に注意して利用してください。

Arjun

Arjunは、WebアプリケーションのエンドポイントからGETおよびPOSTリクエストに使用される隠れたパラメータを探し出すためのツールです。セキュリティテストやペネトレーションテストにおいて、アプリケーションの動作を深く理解し、潜在的なセキュリティリスクを評価するのに役立ちます。Arjunは、高速で効率的に作動し、数秒以内に数百のパラメータを検出することができます。

主な特徴：

1. 高速スキャン：数秒で数百のパラメータを発見。
2. 対応プロトコル：HTTPおよびHTTPSプロトコルに対応。
3. カスタマイズ可能：リクエスト方法やパラメータの指定が柔軟。

実行例：

以下は、Arjunを使って特定のURL（例：http://example.com/search）のGETリクエストパラメータを探索する簡単なコマンド例です。

arjun -u http://example.com/search

解説：

• -u：探索対象のURLを指定。

POSTリクエストのパラメータを探索する場合の例：

arjun -u http://example.com/login -m POST

解説：

• -m：リクエストメソッドを指定。ここではPOSTを指定。

特定のパラメータリストを使用する場合の例：

arjun -u http://example.com/search --get-params /path/to/params.txt

解説：

• --get-params：使用するパラメータリストのパスを指定。

結果をファイルに保存する場合の例：

arjun -u http://example.com/search -o results.json

解説：

• -o：探索結果を指定したファイルに保存。ここではresults.jsonに出力。

このように、Arjunを用いることで、Webアプリケーション内の隠れたGETおよびPOSTパラメータを効率的に探索し、セキュリティ評価を行うための情報を得ることができます。

byp4xx

byp4xxは、Webアプリケーションのセキュリティテストにおいて、HTTPステータスコードに基づいて検証を行うツールです。特に、セキュリティヘッダーの欠落や誤った設定、アクセス制御の不備などを検出するために設計されています。このツールは、ブルートフォース攻撃を使用して、潜在的な攻撃手法を実行するために利用されます。

主な特徴：

1. HTTPステータスコードに基づく攻撃：さまざまなステータスコードを用いた攻撃を実行。
2. セキュリティヘッダーの検証：セキュリティヘッダーの設定ミスを発見。
3. ブルートフォース攻撃：アクセス制御の回避やディレクトリの発見に役立つ攻撃を実行。

実行例：

以下は、byp4xxを使って特定のURL（例：http://example.com/login）に対して攻撃を行う簡単なコマンド例です。

byp4xx -u http://example.com/login

解説：

• -u：攻撃対象のURLを指定。

特定のステータスコードを試す場合の例：

byp4xx -u http://example.com/admin -c 403,401,500

解説：

• -c：攻撃で使用するステータスコードをカンマ区切りで指定。ここでは403 Forbidden、401 Unauthorized、500 Internal Server Errorを試す。

攻撃対象のパラメータを指定する場合の例：

byp4xx -u http://example.com/search -p "query=test"

解説：

• -p：攻撃対象のパラメータを指定。ここではquery=testを使用。

結果をファイルに保存する場合の例：

byp4xx -u http://example.com/login -o results.txt

解説：

• -o：攻撃の結果を指定したファイルに保存。ここではresults.txtに出力。

byp4xxを使用することで、Webアプリケーションのセキュリティ強化に寄与する可能性がありますが、実行は適切な許可を得て行ってください。

出典：バグバウンティで使えるおすすめのツール10選

役に立つWindows向けフリーソフト

これから紹介するフリーソフトは、必需品と楽しい補助アプリをミックスしたもので、ほとんどすべてのコンピューターにインストールする価値があります。

さっそく見ていこう！

Ninite

Niniteを使えば、新しいコンピュータを簡単にセットアップすることができます。Niniteのウェブサイトにアクセスし、インストールしたいフリーソフトを選択するだけです。プログラムを実行すると、Niniteがすべてのプログラムを順番にインストールし、多くの無料アプリがこっそり入れようとするバンドルウェアのオファーを自動的に拒否してくれます。

唯一欠点を言うと、筆者イチオシのブラウザであるBraveには対応していません。

有料版にアップグレードする価値はありますか？

Ninite Updaterという有料の補完ユーティリティがあり、年間10ドルで、デスクトップ・プログラムすべてを簡単に最新の状態に保つことができますが、必須ではないです。

Unchecky

誤って不要なクソアプリをインストールしてしまうことは、フリーソフトウェアの最大のリスクのひとつです。Niniteが対応していないフリーソフトにはUncheckyで対応することが可能です。Uncheckyは、あなたがプログラムをインストールしようとしているとき、すべてのチェックボックスのチェックを自動的に外し、怪しいクソアプリがあなたのPCに忍び込もうとした際に警告してくれます。

有料版にアップグレードする価値はありますか？

必須ではないです。

7-Zip

WindowsはネイティブでZIPファイルの作成と解凍ができますが、もし別の圧縮アーカイブとにらめっこすることになったら、それを処理する専用のプログラムが必要です。その多くは有料です。7-Zipはオープンソースで完全に無料であり、Windowsの右クリック・コンテキスト・メニューからアーカイブのあらゆるニーズを実行できます。7-Zipアーカイブをパスワードで暗号化して安全に送ることもできます。

有料版にアップグレードする価値はありますか？

いいえ。7-Zipは素晴らしく、WinZipのような有料のパラレルは、料金を正当化するのに十分ではありません。もしあなたが一日中巨大なアーカイブファイルの解凍に費やしているのであれば、WinZipのような高速なユーティリティを使う価値があるかもしれません。マイクロソフトは、RARと7-ZipファイルのサポートをWindows自体に直接統合することに取り組んでいます。

VLC

Windows 10と11には厄介な問題があります。Windows 7と違って、OEMの素のままではDVDを再生できないのです。メーカーが販売するPCを購入した場合は、DVD再生プログラムがインストールされているかもしれませんが、そうでない場合は、VLCメディアプレーヤーを使うことで、無料で映画や音楽、ポッドキャストなどを再生することができます。ちょっといじれば、（一部の）ブルーレイディスクも再生できます。

有料版にアップグレードする価値はあるのでしょうか？

いいえ。VLCはとにかく素晴らしく、この無料の主力ソフトと比較して、その価値を正当化できる有料オプションは見当たりません。しかし、VideoLANのハードワークに対する感謝の気持ちとして、VideoLAN団体に寄付を送ることはできます。

SpaceSniffer

コンピュータのストレージ容量の管理は大変です。Windowsはドライブの残り容量を教えてくれますが、それだけです。容量が足りなくなったら、100万種類ものディレクトリをチェックし、ゴミ掃除が必要です。Uderzo SoftwareのSpaceSnifferは、ドライブ全体をスキャンし、ファイルやフォルダを視覚的なグリッドで表示することでこれを解決します。

WinDirStatは、SpaceSnifferと同様の動作をするもう1つのフリーソフトです。最新の大容量ゲームをインストールするために空き容量を確保したいのであれば、このうちの1つをPCにインストールしておくといいでしょう。

有料版にアップグレードする価値はありますか？

不要です。

Recuva

削除したファイルを元に戻したい場合はどうすればいいのでしょうか？Recuvaは、CCleanerのメーカーであるPiriformが提供する、クリーンでシンプルなファイル復元プログラムです。

注意： Recuvaはすべての削除ファイルを復元できるわけではないし、Eraser（これも一流の無料プログラム）のような安全な削除ツールでプログラムを消去した場合は、その確率はさらに低くなります。

有料版にアップグレードする価値はありますか？

そうかもしれません。Recuvaはファイルの復元に役立ちますが、仮想ハードディスク・ドライブのサポートや自動アップデートなどのパワーユーザー機能が必要なら、Recuva Proに20ドル払う価値があるかもしれません。

Sumatra PDF

Adobe Readerは多くの人に愛用されているPDFリーダーかもしれませんが、使い勝手が悪く、常にアップデートされ、頻繁にマルウェアの標的にされています。基本的な機能だけが必要なら、代わりにSumatra PDFを利用しよう。Sumatraは、多くのフル機能PDFリーダーに見られるような派手な機能はありませんが、普及率が低いため、ハッカーはSumatra PDFを相手にしていないようで、その観点からも安全性は高いです。

出典：The best free software for your PC

世界のセキュリティカンファレンス10選

サイバーセキュリティの世界において、コミュニケーションとイノベーションの柱として君臨するイベントがある。これらのイベントの多くは10年以上にわたって開催されており、単なるカンファレンスではなく、専門家、実務家、愛好家が最新の脅威について議論し、洞察を共有し、サイバー空間の悪党と戦うための戦略を練る場となっています。

以下では、サイバーセキュリティの展望に大きな影響を与えるサイバーセキュリティ・イベントのトップ10を掘り下げます。

1. RSAカンファレンス

開催年数：30年以上

開催場所：米国カリフォルニア州サンフランシスコ

開催日（2024年）：5月6日～9日

ホームページ：https://www.rsaconference.com/

参加費：500USD～2,500USD

RSAカンファレンスは、サイバーセキュリティの分野で巨大な存在となっています。毎年、業界リーダーやセキュリティ専門家から研究者や愛好家まで、数千人もの参加者が集まります。このイベントは、画期的なイノベーションと戦略を発表するための道標です。

2. Black Hat Asia

開催年数：20年以上

開催場所：通常はシンガポールで開催

開催日（2024年）：4月16日～19日

ウェブサイト：https://www.blackhat.com/asia-24/

参加費：1,800SGD～2,200SGD

Black Hat Asiaは、20年以上にわたって開催されているサイバーセキュリティのプレミアカンファレンスです。米国、欧州、中東での開催を含むグローバルなBlack Hatシリーズの一環として、Black Hat Asiaはアジア太平洋地域のサイバーセキュリティ・カレンダーにおける重要なイベントとして機能しています。このカンファレンスは、深い技術的な内容で知られ、セキュリティ研究者、実務家、愛好家が最新の知見、方法論、イノベーションを共有する場を提供しています。

イベントの構成

• ブリーフィング：業界の専門家による技術セッションで、脆弱性、脅威インテリジェンス、防御戦略など幅広いトピックを扱う。
• トレーニング：侵入テストからインシデント対応まで、サイバーセキュリティの様々な側面を掘り下げる実践的なコース。
• アーセナル： 研究者や開発者がオープンソースのツールや製品を実演するユニークなコーナー。
• ビジネスホール： サイバーセキュリティをリードする企業が最新の製品やソリューションを展示し、ネットワーキングやビジネスチャンスを促進する展示エリア。

ハイライト

• 基調講演： サイバーセキュリティ業界の著名人による講演で、現在のトレンドと将来の課題についての洞察を提供します。
• ワークショップとセッション：最先端の研究、新たな攻撃ベクトル、防御メカニズムなどを取り上げます。
• ネットワーキングの機会： 参加者は、世界中の同業者、専門家、ベンダーとつながる機会があり、コラボレーションと知識交換を促進します。

Black Hat Asiaは、サイバーセキュリティの専門家にとって、この分野のトップから学び、最新の脅威に関する最新情報を入手し、没頭型のトレーニングセッションを通じて実践的なスキルを身につけるまたとない機会を提供します。アジア太平洋地域におけるサイバーセキュリティへの理解を深めたい方にとって、このイベントは必見です。

3. DEF CON

開催年数：30年以上

開催場所：米国ネバダ州ラスベガス

開催日（2024年）：8月8日～11日

ウェブページ：https://defcon.org/html/defcon-32/dc-32-index.html

参加費：440USD

32回目を迎えるDEF CONには、ハッカー、セキュリティ専門家、政府関係者など、さまざまな顔ぶれが集まり、多彩なアクティビティが繰り広げられます。

このイベントでは、ワークショップ、CTF（Capture the Flag）コンテスト、さまざまなサイバーセキュリティのトピックに関する洞察に満ちた講演が行われます。活気あるハッカー文化とコミュニティ主導の精神が、DEF CONをユニークで貴重な体験にしています。

4. SANS Cyber Threat Intelligence Summit

開催年数：10年以上

開催場所：米国ワシントンDC

開催日（2024年）：1月29日～30日

ウェブページ：https://www.sans.org/webcasts/cyber-threat-intelligence-summit-solutions-track-2024/

参加費：1,899USD～2,099USD

このサミットは、脅威インテリジェンスの技術と科学に特化したものです。一流の専門家が一堂に会し、見識を共有し、脅威行為者の行動を分析し、脅威インテリジェンスの実践的な応用について議論します。

5. InfoSec World 2024

開催年数：25年以上

開催場所：米国フロリダ州オーランド

開催日（2024年）：10月30日

ウェブページ：https://infosec-conferences.com

参加費：1,995USD

InfoSec Worldは、情報セキュリティのあらゆる側面をカバーする包括的なイベントです。基調講演、分科会、実践的なワークショップを組み合わせた内容で、サイバーセキュリティの専門家にとって欠かせない集まりとなっています。

6. Cybersec Europe

開催年数：5年以上

開催場所：ベルギー、ブリュッセル、ブリュッセル・エキスポ

開催日（2024年）：5月29日～30日

ホームページ：https://cybersecurity-centre.europa.eu/events/cybersec-europe-29-30-may-2024-brussels-belgium-2024-05-29_en

参加費：499EUR～1,299EUR

Cybersec Europeは、欧州のサイバーセキュリティの課題とソリューションに焦点を当て、戦略、ヒューマンファイアウォール、ハイブリッドIT保護、データ保護などを取り上げる。イベントには、基調講演、ワークショップ、総合的な展示フロアが含まれます。

このイベントは、協力的な取り組みと国境を越えた情報共有を通じて、欧州のサイバーセキュリティ態勢を強化することを目的としています。また、専門家同士のネットワーキングや知識交換の場も提供しています。

7. Gartner セキュリティ＆リスク・マネジメント・サミット

開催年数：15年以上

開催場所：英国、ロンドン

開催日：2024年9月23日～25日

ウェブページ：https://www.gartner.com/en/conferences/emea/security-risk-management-uk

参加費：1,795GBP～4,795GBP

ガートナー・セキュリティ＆リスク・マネジメント・サミットは、脅威インテリジェンスとリスク軽減に関する戦略的洞察を提供します。このサミットでは、リサーチ主導のセッション、ガートナーのアナリストによる戦略的ガイダンス、数多くのネットワーキングの機会が提供されます。

SOCRadarは、サイバーセキュリティの重要なプレーヤーとして積極的に参加し、高度な脅威インテリジェンスと効果的なリスク管理戦略に関する議論に貢献することが期待されています。

このサミットは、今日のセキュリティおよびリスク管理のリーダーが直面する最も差し迫った課題に対処し、戦略的計画と投資の意思決定を形成する上で影響力を持ちます。

出典：Top 10 Cybersecurity Conferences

【セキュリティ事件簿#2024-265】千葉大学 本学ウェブサイトを経由した不正なメールの送信について 2024/6/20

 

本学環境健康フィールド科学センターのウェブサイト公開のために運用していたウェブサーバが、迷惑メールの送信に利用されていたことが判明いたしました。関係者の皆様にご迷惑をおかけしましたことを深くお詫び申し上げますとともに、本件について以下の通りお知らせいたします。

１．発覚の経緯

2024年６月11日（火）、本学ウェブサイトサーバのホスティングサービス事業者より、当該サーバから迷惑メールが配信されていた（これまで約６万件）ことが確認されたため、緊急措置として当該サーバ上のすべてのファイルにアクセスできないよう措置を行った旨通報があり、本事案が発覚しました。

２．原因

本学およびホスティングサービス事業者で連携して調査をした結果、当該サイトのコンテンツ領域に保存されていたサイト更新用ソフトウェアのスクリプトファイルが攻撃者に悪用され、本学の意図しない迷惑メールの送信が行われていたと考えられます。

３．現在の状況

当該サーバのファイルは現在一律アクセスを禁止しております。これにより、サーバ内外からのアクセスは遮断され、これ以上の不正なメール送信も不可能な状態です。また、当該措置の影響により、現在環境健康フィールド科学センターのウェブサイトはご覧いただけない状態となっております。

なお、本件による個人情報や機密情報の漏洩はございません。また、行われたのは本学サーバを介したメール送信であり、これらのメールが本学のアドレスから送信されたというわけではございません。

４．今後の対応

当該ウェブサイトのサーバ上のファイルを走査し、不正に改ざんないしは設置されたファイルを削除するなど、サイトの復旧に向けて対応してまいります。

また、当該ウェブサイト以外に学外公開しているものについて、同様の攻撃が行われていないかなどを調査し、再発の防止に努めてまいります。

なお、環境健康フィールド科学センターのウェブサイトにつきましては、上記対応後安全が確認され次第再度公開する予定です。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-264】アルテマイスター株式会社 当社サーバーへの不正アクセス発生のお知らせ 2024/6/20

 

6月15日（土）、当社ネットワークの一部が第三者による不正アクセス（ランサムウェア攻撃）を受けたことを確認いたしました。

警察への通報および関係機関への相談を行い、被害の拡大を防ぐために被害端末をネットワークから遮断し、外部専門家を交えて原因の特定、被害情報の確認、情報流出の有無などの調査に取り組んでおります。

当社は今回の事態を厳粛に受け止め、再発防止に努めてまいりますとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。

今後、お知らせすべき事項が判明した際には、改めて開示いたします。

お取引先様、関係先の皆様には、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-263】株式会社ラストワンマイル お客様情報の流出に関するお知らせとお詫び 2024/6/10

 

このたび、弊社が展開するサービス「まるっとシリーズ」をご利用中のお客様へ展開するお客様情報の変更や解約時に申請いただくものとして使用している Google フォーム(以下「申請フォーム」といいます。)について、本来専用アカウントのみ編集可能な状態へ設定するところ、公開設定を誤っており、申請フォームへご入力いただいた情報についてリンク先を知る全員が閲覧可能な状態となっていたことが判明いたしました。

このような事態を引き起こしたことにより、ご迷惑とご心配をおかけしましたことを深くお詫び申し上げますとともに、今後の対応につきまして誠心誠意取り組んでまいる所存です。

本件の概要と対応について、下記の通りご報告申し上げます。

１.経緯と対応

2024 年６月 10 日、申請フォームで他の顧客情報が閲覧できるとお客様よりご連絡をいただき、本来専用アカウントのみ編集可能な状態へ設定するところ、公開設定を誤っており、申請フォームの情報が、リンク先を知る全員が閲覧可能な状態となっていたことが判明いたしました。申請フォームについては、判明後直ちに弊社内の専用アカウントのみ編集可能な状態へ設定を変更し、リンクを知っていても自身の入力ができるのみの状態へ設定変更しております。

その他、弊社にてすべての仕様を再度確認し、同様の問題は発生していないことを確認いたしました。

２.当該情報が閲覧可能となっていた期間

2024 年４月 26 日～2024 年６月 10 日

３.閲覧可能となっていた情報

・ご利用者様の氏名

・ご利用者様の住所

・ご利用者様の電話番号

・ご利用者様のメールアドレス

・ご利用者様の会員 ID

４.影響範囲

420 人の申請フォームの情報が、リンク先を知る全員が閲覧可能な状態となっておりました。

５.被害の状況

現時点において、当該情報の不正利用に関する報告やお問い合わせはございません。

また、当該情報についてランダムに抽出してインターネット検索を実施していますが、当該情報がインターネットで不正に公開されている状況は確認されておりません。

当該状況については、今後も継続的に監視することとしていますので、状況の変化が確認された際には、速やかにお知らせいたします。

６.原因

申請フォームの作成作業時に、申請フォームの作業担当者の設定ミスによりリンク先を知る全員が閲覧できる設定に指定していたことによるものです。

この度は皆様に多大なるご心配とご迷惑をおかけしておりますことを、改めてお詫び申しあげます。弊社らは今回の事態を厳粛に受け止め、再発防止に向けてより一層の情報管理体制の強化・徹底に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-108】株式会社日本経営データ・センター 弊社業務サーバ攻撃被害に関する調査結果のご報告 2024/6/19

小規模事業者持続化補助金は、独立行政法人中小企業基盤整備機構が補助金を交付又は委託し、日本商工会議所、全国商工会連合会、株式会社日本経営データ・センター（以下弊社という。）が実施している事業です。 

既に2024年3月22日に公表しましたとおり、弊社が運営している小規模事業者持続化補助金事務局（以下「補助金事務局」という。）のサーバが、第三者による不正アクセス攻撃を受け（以下「本インシデント」という。）、データの一部を滅失及び暗号化されるランサムウェア被害が発生いたしました。

このたび、外部専門機関の協力のもと進めてまいりました本インシデントに関する調査が完了しましたので、当該調査結果及び再発防止に向けた取り組みにつきましてご報告申し上げます。

補助金申請者並びに関係者の皆様には、ご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。弊社では引き続きセキュリティ強化を図り、より安全・安心な環境での業務を行ってまいります。

【調査結果】

1． 被害の原因

調査の結果、攻撃者は補助金事務局ネットワーク及びサーバ等へ不正に侵入し、ランサムウェアによりデータの一部を滅失及び暗号化していたことを確認いたしました。なお、パソコンについてマルウェア感染等の被害は、確認されませんでした。

2． 影響範囲

外部専門機関による調査では、補助金事務局が管理しているデータについて、情報窃取及び　　　　データの外部転送等を示唆する明確な痕跡情報は確認されませんでした。

3． 二次被害について

現時点で本インシデントにかかわる二次被害は確認されておりません。

【再発防止について】

弊社では、これまでも不正アクセスを防止するための措置を講じるとともに、情報の適切な管理に努めてまいりました。しかしながら、今回の事案を受け、より高度な情報セキュリティレベルを実現するために、外部専門機関による脆弱性診断の結果やアドバイスに基づき、セキュリティ監視体制の強化を行い、再発防止に取り組んでまいります。

リリース文（アーカイブ）

【2024年3月22日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-262】三重県文化振興事業団が管理するメールアドレスのユーザーアカウントの不正窃取の発生について 2024/6/14

 

公益財団法人三重県文化振興事業団が管理するメールアドレスのユーザーアカウントが外部より不正に窃取され、不正窃取者が所有するメールアドレスを宛て先として約7万件の迷惑メールが送信されたことが判明しました。

メールを受信された方におかれましては、三重県文化振興事業団（三重県総合文化センター、三重県文化会館）の名称がタイトルに入っていても身に覚えのないメールは開封せず、そのまま削除していただきますようお願いいたします。

（1） 経緯

令和6年6月14日（金曜日）午前9時頃、職員が定期監視のためサーバログを確認したところ、同日午前1時50分頃外部より当該メールアカウントが窃取され、迷惑メールが当該メールアカウントを発信元として送信されていることを確認しました。

同日午前9時30分に当該アカウントを削除し、パスワードの変更・アカウントの再作成を実施しており（作業完了：10時45分）、現在、迷惑メールが当該アカウントから発信されることはありません。

また、メールサーバから他の情報漏洩はなかったことを確認しています。

なお、メールアカウントが窃取された原因については、現在調査中です。

（2）対象メールアドレス

kenbun@center-mie.or.jp

（3）迷惑メール発信件数

メールサーバデータログの解析の結果、送信された詳細な件数や送付先、送信内容は不明ですが、不正窃取者が所有するメールアドレスを宛て先として送信された迷惑メールの総数は約20万件、配信不可を示すエラーが約13万件記録されているため、実際に送信されたのは約7万件と推測されます。

（4）今後の対応方針

今後、警察の捜査に協力するとともに、情報セキュリティ対策を徹底します。

また、迷惑メールに関わるお問い合わせについて、下記の窓口で相談を受け付けます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-261】株式会社ダイセル 当社グループ フランス法人におけるランサムウェア被害の発生について 2024/6/18

株式会社ダイセルは、当社グループのChiral Technologies Europe S.A.S. (以下、CTE)の一部サーバーにおいてランサムウェア被害が発生したことを2024年6月7日に確認しましたのでお知らせいたします。

本件認識後、当該サーバーは即時隔離を実施した上で、被害拡大防止のための対策を講じております。また、外部専門家の協力のもと調査を開始するとともに、システムの保護と復旧に向けて作業を進めております。

現時点で外部への情報流出については確認されておりませんが、今後新たにお知らせすべき重要事項が判明した場合は、適切に対応させていただきます。

お客様・お取引様をはじめとする関係者の皆さまにはご心配をお掛けすることとなり、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-260】箱根・芦ノ湖 はなをり Booking.com からの不正メールについて 2024/6/18

 

現在、Booking.com 経由で「箱根・芦ノ湖 はなをり(所在：神奈川県足柄下郡箱根町）」を予約された一部のお客さまに対して、Booking.com および当ホテルが意図していないメール（当方とは関係のない外部サイトへ誘導するなど）が送信される事象を確認しています。

Booking.com および当ホテルでは、メールなどを用いてお客さまの ID 番号やクレジットカード情報などの個人情報を求めることは一切行っておりません。

このようなメールに記載された URL にアクセスすることのないようご注意ください。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-259】ハーメルン [障害] 2024/06/16 17:17～6/17 01:00頃 サイト全域 2024/6/17

 

期間：

　2024/06/16 17:17～6/17 01:00頃

現象：

該当時間帯中、DDoSアタックによる通信帯域の輻輳(混雑)によりページを表示できない事象が発生

影響範囲：

サイト全域

状況：

対策を仮実施。

認証画面が表示されずタイムアウトする場合、時間をおいてご確認ください。

一部の国や環境では、認証画面を通過できず利用できない事象が起こります。

(追記) 12:55

オプション的な一部の機能（読み上げ・縦書きPDF・挿絵・一部の投票系機能等）については対応中のため一時的にアクセスできない場合があります。

リリース文（アーカイブ）