【セキュリティ事件簿#2024-302】京都府警が京都の事業者インシデントゼロを目指して構築したサイトでインシデント発生 2024/7/4


京都府警は7月4日、府警が事務局を務める中小企業向けの情報セキュリティ支援サイトが改竄(かいざん)され、アクセスしようとすると別のサイトに接続される状態になっていたことを明らかにした。不正アクセスを受けたとみられる。府警は利用者のメールアドレスなどの個人情報が流出した可能性は低いとしている。

サイトは「京都中小企業情報セキュリティ支援ネットワーク Ksisnet(ケーシスネット)」。府警が事務局として運営に関わり、京都府内の中小企業を対象に情報セキュリティに関する情報発信などを行っていた。サイトのサーバ管理は京都市内のWeb制作会社に委託していたという。

府警によると、2日午後5時ごろ、サイトの更新作業を行っていた府警の担当者が改竄に気付いた。サイトにアクセスしようとすると、スポーツ賭博関連のサイトを紹介しているとみられる中国語のサイトに接続される状態になっていたという。府警はサイトを停止、原因を調査している。

【セキュリティ事件簿#2024-301】岩手県立大学 岩手県立大学サマーセミナー 2024 へ参加申込みをされた方の個人情報が 閲覧可能な状態になっていたことについての御報告 2024/7/10

岩手県立大学
 

このたび、岩手県立大学サマーセミナー 2024 申込みフォームの設定誤りにより、申込みフォーム上で、参加 申込者が他の申込者の情報(申込みフォームに入力した全情報)を閲覧できる状態にあったことが判明しました 。

参加申込みをされた皆様、関係機関の皆様に、多大なる御迷惑をおかけする事態になりましたことを心よりお詫び申し上げます。

本学としては、このような事態を招いたことを重く受け止め、個人情報の適正な取扱いを一層徹底するとともに、再発防止に努めてまいります。

1 概要

本学サマーセミナー2024 の参加者を申込みフォームより募集しておりましたが、Google フォームの設定ミスにより、申込みフォーム上で参加申込者が他の申込者の情報を閲覧できる状態にあったことが判明しました。

本事案が発覚した令和6年7月6日午後に申込みフォームの設定を変更し、現在は、他の申込者の情報を閲覧できない状態であるこ とを確認しております。

なお、これまでのところ、個人情報が悪用されたなどの被害相談はありません。

2 閲覧できる状態であった個人情報

(1)該当される方

岩手県立大学サマーセミナー 2024 申込フォームにより

令和6年7月6日(土)午前 11 時 48 分までに参加申込みされた方

(高校生 60 名)

(2)閲覧可能期間

令和6年6月 24 日(月)~令和6年7月6日(土)午後 0時 43 分

(3)個人情報の内容

ア 氏名(フリガナ)

イ 郵便番号

ウ 住所

エ 電話番号

オ メールアドレス

カ 学校名、学年

3 原因

申込みフォーム(Google フォーム)の設定誤りにより、申込完了後に表示される「前の回答を表示」というリンクをクリックすると、他の申込者の情報を閲覧できる状態となっておりました。

4 対応状況

令和6年7月6日(土)、申込者からの メール連絡を受け、同日午後0時 43 分に申込みフォームの設定を変更し、個人情報が閲覧できる状態を解消しました。

令和6年7月8日には、個人情報が閲覧される状態にあった申込者 60 名に電子メールにより、お詫びと経緯の報告を行いました。

また、令和6年7月9日には、申込者の所属する高等学校長等関係機関に文書によりお詫びと経緯の報告を行いました。

なお、本事案の発生を受け、本学事務局において Google フォームを利用している事業について直ちに確認した結果、同様の事案は発生していないことを確認しております。

5 再発防止策

今後、このような事態が生じないよう、各職員に対して個人情報保護の重要性等についての教育を徹底するとともに、申込みフォーム作成に当たっては複数の担当者によるチェックを行うなど実効的な措置を講じ、再発防止に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-266】株式会社ベルシステム 24 ホールディングス 海外子会社のシステムに対する不正アクセスについて 2024/7/11

 

6 月 17 日(月)に発覚いたしました、当社子会社「BELLSYSTEM24 VIETNAM Inc.(ベルシステム 24 ベトナム)」が利用するサーバーへの不正アクセスの発生により、多大なるご心配とご迷惑をおかけいたしましたこと深くお詫び申し上げます。

現在、当社対策本部にて統制をとり、ベルシステム 24 ベトナムと連携しながら、外部専門家の協力のもと対応を進めております。ベルシステム 24 ベトナムでは、被害を受けたサーバーを停止し、クライアント企業各社様のデータを取り扱う領域とは切り離し業務遂行しております。

フォレンジック調査会社など専門家を含め被害状況の調査を継続中ですが、このたび一部のクライアント企業様からコールセンター受託業務にてお預かりしているお客様情報が漏洩した可能性があることが判明しました。該当のクライアント企業様にはすでに連携を開始しております。

この度の事態を真摯に受け止め、引き続き外部専門家と連携のうえ、調査を継続するとともに捜査機関にも都度連絡を行っております。今後、お知らせすべき事項が判明しましたら、速やかに開示いたします。

関係者の皆様に多大なるご心配、ご迷惑をおかけしておりますことを、重ねて深くお詫び申し上げます。

リリース文アーカイブ

【2024年6月21日】

【セキュリティ事件簿#2024-300】一般財団法人不動産適正取引推進機構 令和 6 年度宅地建物取引土資格試験における個人情報の漏えいについて 2024/7/5

 

当機構が各都道府県知事から委任を受けている宅地建物取引士資格試験の実施事務に際し、下記の通り、個人情報の漏洩が発生いたしました。 誠に申し訳ありませんでした。

関係する皆様に深くお詫びいたしますとともに、現時点で判明している事項をご報告いたします。

また、受験希望者の皆様で、 下記の「マイページ」 の登録に係るシステムの異常にお気づきの方は、問合せ先 (03-3435-8181) までご一報頂ければ幸いです。

1 漏えいの概要

① 漏えいした情報と漏えい先

1) 受験希望者の氏名 (カナ) が他の受験希望者に漏洩しました。

2) 受験希望者のメールアドレスが他の受験希望者に漏洩しました。

※ 現時点では 1) 及び 2) それぞそれ 2 件発生していることが確認されています。

② 漏えいの経緯

  • 受験希望者の方 (A 様) が宅地建物取引土資格試験の申し込みを行うため、 A 様のメールアドレスを登録して宅建試験システムのマイページを作成し、本人情報を登録しようとしたところ、 当該メールアドレスに別人 (B 様) 宛のマイページ登録完了メールが届くという事案が発生しました。

  • 当該登録完了メールはB様の氏名 (カナ) が記載されており、A様が B 様の氏名(カナ) を知りえる状況が発生しました。

  • また、B 様がA様と同様のマイページ作成作業を行っている際に、A 様のメールアドレスを知りえる状況が発生しました。

  • この件については、7 月3日 (水) にA様からご連絡があり、個人情報の漏洩が判明いたしました。

  • 調査の結果、これまでにご連絡を頂いた件を含めて同様の状況が 2 件発生していたことがわかりました。

2 漏えいの原因、他の漏えいの有無、対応等

① 原因

  • 現在調査中です。

② 他の漏えいの有無

  • 現在調査中です。

③ これまでの対応

  • 原因となっている可能性のある部分について、システムのブログラムを改修しました。

  • 漏えいの事実が確認された 2 件の受験希望者の方計4 名に対して、連絡の取れた方から順次、事実関係をお伝えするとともに、謝罪を行っております。

④ 今後の対応

  • 引き続き原因の特定と個人情報漏えいの範囲について調査を行っています。

  • 今回の第 1 報を通じ、受験申込者の皆様に同様の異常の発生に関する情報提供を頂けますようお願いいたします。

  • 本件の状況については、今後も報告してまいります。

【セキュリティ事件簿#2024-275】税理士法人髙野総合会計事務所 ランサムウェア被害発生についてのお知らせ 2024/7/10

 

2024年6月10日に公表しました「ランサムウェア被害発生についてのお知らせ(初報)」につきまして、外部専門機関などの支援を受けながら影響の範囲等の調査と復旧への対応を継続して進めておりますが、現時点で調査により新たに判明した内容について下記の通りご報告いたします。

お取引先様、関係先の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

1.発生した事象と経緯

6月4日(火)夜に税理士法人髙野総合会計事務所、髙野総合コンサルティング株式会社及び監査法人TSK(以下、当グループとします。)のデータ管理サーバにおいて発生したアラートを契機に、速やかに当該データサーバの隔離および当グループネットワークのインターネット遮断を実施し、委託業者(※1)による調査を行ったところ、6月6日(木)夜にランサムウェアによる被害が発生していることを確認しました。

(※1)当グループのITシステムの保守を委託している業者 

2. 外部専門機関の調査で判明した内容

(1) 本事象の原因 

6月7日(金)より外部専門機関による調査を開始しましたが、現時点において下記の事項が判明しております。

  • 6月4日(火)に外部(海外)より複数サーバに対して不正アクセスが行われていたこと

  • 不正アクセスに先立つ5月26日(日)に行われた当グループのインターネット接続点に設置する通信機器の更新作業において、委託業者が通信機器の設定を誤った結果、当グループのデータサーバに不正アクセスできる状態であったこと

  • 当該経路から不正アクセスが行われ、ウィルス対策ソフトの停止を含む当グループのセキュリティ対策の無効化が行われたのちに、ランサムウェアが実行された可能性が高いこと

(2)影響を受けた情報の範囲

調査の結果、データサーバの一部で保管しているファイルがランサムウェアにより暗号化されていることが判明しました。暗号化されたデータには、お取引先様からお預かりしたデータも含まれており、当該お預かりしたデータには氏名、住所、電話番号等の 個人情報が含まれていることを確認しております。なお、個人情報保護法に基づき、お取引先様と連携して対応を進めております。

(3)情報漏えいの可能性

現時点では、個人情報を含む各種情報が外部に流出したことを示す事実や、攻撃者によって情報が公開されている事実は確認されておりません。

ただし、調査の結果、外部との微量な通信が確認されているため、情報漏えいの可能性を完全に否定することはできておりません。

3. 現在および今後の対応

外部専門機関による原因の特定および被害確認のための調査は継続して実施しております。

一方、本事象の影響を受けない形で新たなシステム環境を構築し、早期の業務復旧に向けた対応を開始しております。

お知らせすべき新たな事実が判明しましたら、続報にてお知らせいたします。

リリース文アーカイブ

【2024年6月10日リリース分】

リリース文アーカイブ

【セキュリティ事件簿#2024-275】東京海上日動火災保険株式会社 当社業務委託先におけるランサムウェア被害に伴う 情報漏えいのおそれについて 2024/7/10

髙野総合会計事務所
 

当社が損害査定業務等の一部業務を委託している税理士法人髙野総合会計事務所(以下「髙野総合会計」)のサーバにおいてランサムウェア被害が発生し、当社お客様情報の漏えいのおそれがあることが、髙野総合会計からの報告により判明いたしました。

お客様および関係者の皆様に大変なご心配、ご迷惑をおかけすることとなり深くお詫び申し上げます。

<情報漏えいのおそれがある当社お客様情報>(本日時点)

① 当社の一部の損害査定業務に係る項目:計 3,957 件

【保険種目】

・専門職業人賠償責任保険(3,691 件) ・請負賠償責任保険(3 件)
・施設賠償責任保険(5 件) ・生産物賠償責任保険(3 件)
・その他賠償責任保険(7 件) ・信用保険(246 件)
・動産総合保険※2(1 件) ・自動車保険(1 件)

【含まれる個人情報】

契約者の氏名、被保険者の氏名・住所・電話番号、証券番号、保険事故のお相手様※3の
氏名、損害査定のためにご提出頂いた書類一式、髙野総合会計が損害査定を実施した結
果の報告書等

② 当社浜松支店(旧:浜松支社)の一部委託先の財務状況に係る項目:計 11 件

【含まれる個人情報】

委託先従業員の氏名・生年月日・雇用形態・職務・給与情報等

※2 動産総合保険の賠償責任担保条項に係る保険事故が対象となります。

※3 保険事故のお相手様とは、賠償責任保険および動産総合保険の賠償責任担保条項において被保険者に損害賠償請求を行われた方、信用保険において被保険者の取引先(債務者)または従業員の方をいいます。

なお、現時点で髙野総合会計からは以下の報告を受けております。
  • 2024 年 6 月 4 日に髙野総合会計のデータサーバにおいてアラートを検知し調査した結果、データサーバの一部で保管しているファイルが暗号化され、情報漏えいのおそれがあることを確認した。

  • 現在、外部の専門家と連携し、全容把握のための調査を継続している。
当社では、情報漏えいのおそれがあるお客様情報について特定を進めており、特定できたお客様については、速やかに通知してまいります。なお、現時点で情報の不正利用は確認されておりません。

【セキュリティ事件簿#2024-299】東京都 個人情報の漏えいについて 2024/7/8

東京しごと財団
 

(公財)東京しごと財団(以下、財団という。)において、個人情報を漏えいさせる事故が発生しましたので、お知らせします。

関係者の皆様には、多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、このようなことのないよう、情報管理を徹底してまいります。

1 事故の概要

財団では、「シニア中小企業サポート人材プログラム」として、再就職を目指す方に向けたプログラムを提供し、受講された方のうち希望者について企業への人材情報の提供を行い、企業からの面接のリクエストにつなげる支援を実施している。

このたび、この支援を希望された方56名について、本来、個人が特定されないよう匿名加工を施した人材情報を提供すべきところ、個人が特定できる内部保存用のファイルを、488社に対しEメールで誤って送付した。

2 発生日時

令和6年7月3日(水曜日)17時26分

3 漏えいした個人情報

本来送信予定の項目

「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」

実際に送信してしまった項目

上記に加え、「漢字氏名」「年齢」「性別」

4 経緯

(1)令和6年7月3日(水曜日)17時26分、財団の職員が、488社に対し、匿名加工が施されていない受講者56名の個人情報が含まれた事務局用ファイルをメールで送信。

(2)同日17時40分、当該職員が送信したメールを確認し、誤ったファイルの送信を発見。

(3)同日17時49分、メール削除依頼のメールを全ての宛先(488社)に送信。あわせて、個別に電話やメールで連絡し、謝罪及び削除の依頼を開始。

同月8日(月曜日)までに486社に連絡が終了。連絡のついていない残り2社については、メールで経緯の説明及び削除依頼を行うとともに、継続して電話で連絡をしている。

(4)同月4日(木曜日)、受講者56名に対して、状況の説明と謝罪を開始し、同月8日(月曜日)までに55名に連絡が終了。連絡のついていない残り1名については、メールで経緯の説明と謝罪を行うとともに、継続して電話で連絡をしている。

(5)現時点で二次被害等の報告はない。

5 再発防止策

  • 個人情報の適切な取扱い及びメール送信内容のダブルチェックを改めて徹底する。

  • 産業労働局における、委託業務を含めた個人情報の適切な管理について、改めて注意喚起を行った。

リリース文アーカイブ

【セキュリティ事件簿#2024-298】奈良市が使用していたインターネットドメインの第三者による再使用について 2024/6/7

 

運用を停止した独自ドメインにご注意ください

奈良市が過去に使用していた1つのインターネットドメイン(ホームページアドレス)が第三者に再使用されていることが判明しました。

これらのインターネットドメインを利用して奈良市が開設していたホームページは既に閉鎖しており、再利用されたインターネットドメインを使って現在開設されているホームページは、当市とは全く無関係ですので、ご注意ください。

ドメインを再使用されている市が過去に開設していたホームページの名称

「ならのはるをめざして」

奈良市東部地域の観光・民泊に関する特設サイトとして令和3年度まで開設。

現在「ならのはるをめざして」は閉鎖され、後継サイトとして、「さとやま 奈良市東部地域」(https://www.city.nara.lg.jp/site/naraharu/)があります。

リリース文アーカイブ

【セキュリティ事件簿#2024-297】国立研究開発法人量子科学技術研究開発機構 QST病院の独立ネットワークのシステムにおけるランサムウェア被害について 2024/7/9

QST
 

国立研究開発法人量子科学技術研究開発機構(以下「QST」という。)のQST病院(千葉市稲毛区)が、診療業務用ネットワークとは独立したネットワークで運用管理しているシステム(重粒子線治療多施設共同臨床研究システム(J-CROS)、放射線治療症例全国登録システム(JROD)。以下「本システム」という。)において、ランサムウェア(注1)被害が発生しました。

本システムに登録されている症例情報は全て匿名化されており、患者さんの個人情報は含まれておりません(注2)。また、診療業務を含むQST病院の業務に影響はありません。

<本システムの概要>

全国の重粒子線治療施設が連携して実施する臨床試験の支援を目的としたJ-CROSと、放射線治療の実態調査研究等を目的としたJRODの2つのシステムから構成されています。本システムは、各事業に参加している全国の医療機関から重粒子線治療や放射線治療の匿名化された症例情報を登録し、重粒子線治療や放射線治療の効果や安全性、最適な施行方法などを明らかにすることへの貢献を目的としたものです。

1.経緯

令和6年1月11日(木)16時頃に本システムにおける異常を認識し、その態様からランサムウェア被害と推定できたため、同日17時40分に本システムのネットワークを遮断しました。

これまで文部科学省・厚生労働省及び個人情報保護委員会等の関係機関への報告、所轄の警察への相談、J-CROS・JROD関係医療機関への報告及び謝罪を行っています。専門機関に対して調査を依頼し、侵入経路に関する調査結果及びランサムウェア攻撃に対する再発防止策を講じたため公表するものです。

2.被害状況

本システムを構成する複数サーバ内のファイルが別名ファイルに置き換えられるランサムウェアによる不正アクセスが発生し、本システムが管理する匿名化された症例情報(J-CROS:約2.5万件、JROD:約45万件)の利用ができない状態になりました。一方、バックアップを保存しているためJ-CROS, JRODの事業に支障はなく、現在は安全なオフラインでの運用を再開しています。

現時点で情報漏えいは確認されていませんが、仮にデータが流出した場合であっても、本システムに登録されている症例情報は全て匿名化処理が行われており、患者さん個人が特定されることはありません。

本システムはQSTの基幹ネットワークやQST病院の診療系ネットワークから切り離されているため、QST病院の診療業務を含むQSTの業務に支障はありません。

3.原因

調査の結果、令和6年1月11日に攻撃者がネットワーク機器から不正に侵入し、本システム内部の複数サーバにアクセスして情報を暗号化するランサムウェア攻撃を行ったことを確認しました。

攻撃を受けた要因としては、ネットワーク機器のソフトウェアの更新が適切に行われていなかったこと、複数サーバの管理者アカウントで同一のパスワードを利用した認証を行っていたこと​等が挙げられます。

また、各部署で個別に管理しているネットワークに対するQST本部の情報セキュリティの管理体制が不十分だったことも要因と認識しております。

4.再発防止措置

QSTにおいて、以下のランサムウェア攻撃に対する再発防止措置を講じました。

  • ネットワーク機器のソフトウェアの更新を迅速に適用し、脆弱性を塞ぐ​

  • 多要素認証(例:ワンタイムパスワード)などの強固な認証方式の徹底​

  • 理事長直轄の下で外部のセキュリティの専門家が指導的な役割を果たす体制を早期に構築する​

多くの患者さんの大切な情報を扱う病院において、こうした事案が発生したことについて、大変重く受け止めております。ご心配、ご迷惑をお掛けしている医療機関の皆様に対しまして、深くお詫び申し上げます。

本システムに登録されている情報の漏えい等については、これまでの調査においては確認されていませんが、継続し調査を進めてまいります。

注1:「ランサムウェア」

感染すると端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価を要求する不正プログラム

注2:

ただし、J-CROSの実施機関担当者(24名)およびJRODの治療担当医師等(1088名)の個人情報(氏名及び所属機関情報)を含んでいます。

 リリース文アーカイブ

【セキュリティ事件簿#2024-296】浪江町職員の逮捕について 2024/7/3

 

このたび、本町職員が逮捕される事案が発生しました。

復興へ向けて全町一丸となって取り組んでいる中、また、公務員として高い倫理観が強く求められる中で、このような不祥事は誠に遺憾であり、町民の信頼を著しく失墜させる事態となりましたことを深くお詫び申し上げます。

今後、このようなことが起きぬよう、改めて職員に対し綱紀粛正、服務規律の徹底を図り、町民の皆様の信頼回復に努めてまいります。

なお、本町としましては、警察の捜査に全面協力するとともに、当該職員の処分につきましては、事実関係を詳細に確認のうえ対応いたします。

リリース文アーカイブ

【セキュリティ事件簿#2024-095】富士通株式会社 個人情報を含む情報漏えいのおそれについて 2024/7/9


2024年3月15日にお知らせしました個人情報を含む情報漏えいのおそれについて、調査結果および既に実施済みの対策についてお知らせいたします。なお、本事案の対象となるお客様については、個別にご報告済みです。

関係者の皆様には、多大なるご心配、ご迷惑をおかけしましたことを、深くお詫び申し上げます。

1. 調査結果

本事案での影響範囲および原因の特定に向けて、当社および外部の専門調査会社によるログ情報の調査・分析、社内関係者へのヒアリングなどの詳細調査を実施した結果、以下の事実が判明しました。

(1)マルウェアの挙動および影響範囲


当社の業務パソコン1台にマルウェアが蔵置された後、当該パソコンを起点に他の業務パソコンに影響を広げるマルウェアの挙動が確認されています。このマルウェアはランサムウェアではなく、様々な偽装を行って検知されにくくするなど高度な手法によって攻撃を行う類のものであり、発見が非常に困難な攻撃であったことが判明しました。

業務パソコンの調査を行った結果、マルウェア感染が確認された業務パソコン、およびその業務パソコンから複製指示のコマンドが実行され情報を転送された他の業務パソコンの台数は、当初検知していた49台以外に無かったことが確認されました。これらはすべて日本国内の当社内ネットワークにおいて使用されているものであり、日本以外のネットワーク環境下での業務パソコンへの影響の拡大は確認されておりません。

なお、これらの業務パソコンについては、当社が提供しているクラウドサービスを管理する端末ではありません。また、当社がお客様に対して提供しているサービスへのアクセスの痕跡も確認されなかったことから、お客様環境も含めた社外への被害の拡大はないものと判断しております。

(2)情報漏えいの影響範囲


当社が保有する各種ログ(通信ログ、操作ログ)を調査した結果、一部のファイルについてはマルウェアの挙動により、複製指示のコマンドが実行されております。これらのファイルは不正に持ち出されたおそれがあるため、持ち出されたものと想定してお客様への対応を行っております。複製が可能であったファイルには一部の方の個人情報やお客様の業務に関連する情報が含まれており、それらの対象となるお客様には個別にご報告を行い、必要な対応を進めております。なお、現時点で個人情報やお客様の業務に関連する情報が悪用されたという報告は受けておりません。

2. 対策・対処

本事案については、既に以下の施策を実施しております。

(1)不審な挙動を感知後、被害の疑いがあるすべての業務パソコンを社内ネットワーク環境から隔離、初期化。

(2)攻撃者が利用する侵入元の外部サーバとの接続を遮断。

(3)今回のマルウェアによる攻撃方法の特徴をパターン化し、社内のすべての業務パソコンに対しセキュリティ監視ルールを実装。また、ウイルス検知ソフトの機能強化およびアップデートを実施。

当社といたしましては、今回の事案を受け、更なる情報セキュリティの強化に努めてまいります。


【2024年3月15日リリース分】


【セキュリティ事件簿#2024-295】ベルトラ株式会社 ベルトラ公式FacebookおよびInstagramアカウントに関するお詫びとお知らせ 2024/7/8

 

2024年7月8日現在、ベルトラ公式FacebookおよびInstagramアカウントが第三者により不正にアクセスされ、乗っ取り被害にあったことが判明しました。以下に発生した事象と対処についてご報告申し上げます。

1.発生している事象

2024年7月8日午後4時頃、ベルトラ公式FacebookおよびInstagramアカウントにおいて第三者による不正アクセスが発生しました。その後、アカウントの乗っ取りが発覚しました。

2.本件に関する対処

現在、警察に被害を報告するとともに、メタ社に乗っ取られた旨の報告とサービスの停止ならびに解決を依頼しています。復旧予定やお知らせすべき内容が判明した場合には、速やかに弊社コーポレートサイトにてご報告いたします。

3.お客様へのお願い

現時点で個人情報の流出や、フォロワーの皆様への直接的な被害が及んでいるという報告はございませんが、2024年7月8日午後2時以降に弊社アカウントを使用した投稿やダイレクトメッセージはお送りしておりません。万が一、ダイレクトメッセージ等、ベルトラを装った連絡があった場合には、メッセージを開かず、URL先にもアクセスしないようお願いいたします。

皆様にはご迷惑とご心配をおかけし、誠に申し訳ございません。今後とも、セキュリティの強化に努めてまいりますので、何卒ご理解とご協力を賜りますようお願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-294】公益社団法⼈⾃動⾞技術会 個⼈情報漏えいに関するお詫びとご報告 2024/7/3

⾃動⾞技術会
 

この度、⾃動⾞技術会におきまして、下記の個⼈情報漏えいが発⽣しました。

会員またご関係者におかれましては、多⼤なるご迷惑とご⼼配をおかけする事態になりましたことを⼼よりお詫び申し上げます。 

1. 事案の概要

⾃動運転 AI チャレンジ 2024 の参加登録フォームの誤設定等により、2024 年 5 ⽉ 31 ⽇より 2024 年 7 ⽉ 1 ⽇まで、特定の条件下において、第三者が他⼈の回答情報を閲覧できる状態が発⽣しておりました。尚、2024 年 7 ⽉ 1 ⽇の 17 時 30 分以降は外部からは上記回答情報を閲覧できない状態となっております。

2. 閲覧された可能性のある個⼈情報

上記期間中に当該フォームより参加登録のあった 354 名の⽒名、メールアドレス、所属会社名・学校名。上記に加え、⼊⼒のあった場合、所属研究室名、研究室連絡先メールアドレス。尚、現時点で上記情報の流出による被害は確認できておりません。

3. 発⽣原因

Google フォームの共同編集者を「リンクを知っている全員」と誤設定しました。これにより、編集⽤の URL を⼊⼿すれば誰もが登録された個⼈情報にアクセス可能でした。ただし、上記の編集⽤の URL は外部公開しておらず、閲覧可能となる条件は、①参加登録希望者が Google アカウントにログインの上、当該参加登録フォームにアクセスすることに加え、②当該参加登録希望者の Google ドライブ上に⽣成されたショートカットから、フォームにアクセスすることが必要になります。

4. 今後の対応

再発防⽌のため、役職員にむけて、個⼈情報保護及び情報セキュリティポリシーの周知とセキュリティ教育の徹底を図り、厳格かつ適正な個⼈情報の管理及び取り扱いに努めてまいります。

リリース文アーカイブ

バグバウンティで使えるおすすめのブラウザ拡張機能


今回は、バグバウンティ活動もサポートし、脆弱性の発見を効率化するためのおすすめのブラウザ拡張機能を10個ご紹介します。各拡張機能の特長や使い方、具体的な利用シーンについて詳しく解説していきます。ぜひ最後までご覧ください。

Wappalyzer



Wappalyzerは、ウェブサイトが使用している技術を簡単に特定できる強力なブラウザ拡張機能です。このツールを使えば、サイトが利用しているコンテンツ管理システム(CMS)、Eコマースプラットフォーム、サーバーソフトウェア、JavaScriptフレームワーク、アナリティクスツールなど、さまざまな技術スタックを瞬時に把握することができます。

特長

  • 多岐にわたるテクノロジーの検出:Wappalyzerは数百種類以上のテクノロジーを識別することができ、サイトの詳細なプロファイルを提供します。

  • リアルタイム分析:ウェブページにアクセスするたびに、Wappalyzerがそのページを自動的に分析して表示します。

  • 使いやすさ:インストールしてブラウザのツールバーにアイコンを追加するだけで、簡単に利用できます。

利用シーン

Wappalyzerは特定のテクノロジーに関連する脆弱性を探す際に非常に役立ちます。例えば、特定のCMSやフレームワークに既知の脆弱性がある場合、そのプロダクトを使用しているサイトを迅速に特定し、効率的に脆弱性を検証することができます。また、新しいターゲットサイトのプロダクトスタックを迅速に把握することで、どのような攻撃手法が効果的かを判断する助けにもなります。

Shodan


Shodanは、インターネット上に接続されたデバイスやサービスを検索するための強力なツールです。このブラウザ拡張機能を利用すると、訪問しているウェブサイトやネットワークの情報を簡単に取得でき、潜在的な脆弱性を特定する手助けをしてくれます。

特長

  • デバイスの検出:Shodanは、ウェブカメラ、ルーター、サーバー、プリンター、さらには産業制御システムなど、さまざまなインターネット接続デバイスを検出できます。

  • 詳細なメタデータの表示:IPアドレス、ホスト名、オープンポート、サービス、バナー情報など、ターゲットの詳細なメタデータを表示します。

  • リアルタイム情報:アクセスしているウェブサイトやデバイスの情報をリアルタイムで取得し、潜在的な脆弱性を迅速に特定できます。

利用シーン

Shodanはバグバウンティの活動において、特に以下のようなシーンで役立ちます。

  • ネットワークスキャン:特定のネットワークセグメント内のすべてのデバイスをスキャンし、オープンポートや公開されているサービスを確認することで、攻撃のエントリーポイントを見つけることができます。

  • 脆弱性の特定:既知の脆弱性を持つデバイスやサービスを特定し、検証を行います。例えば、Shodanは特定のソフトウェアバージョンや設定の問題を持つデバイスをリストアップすることができます。

  • インテリジェンスの収集:攻撃対象の技術インフラやセキュリティレベルについてのインテリジェンスを収集し、効果的な攻撃シナリオを構築するための情報を提供します。

Retire.js



Retire.jsは、JavaScriptライブラリに含まれる既知の脆弱性を検出するためのブラウザ拡張機能です。ウェブアプリケーションが使用しているJavaScriptライブラリのバージョンを特定し、そのバージョンに存在する既知の脆弱性を簡単に確認できます。

特長

  • 既知の脆弱性の検出:Retire.jsは、脆弱なJavaScriptライブラリのバージョンを検出し、詳細な脆弱性情報を提供します。

  • リアルタイム解析:ウェブページを読み込む際にリアルタイムで解析し、脆弱なライブラリが使用されている場合に通知します。

  • 詳細なレポート:検出された脆弱性について、CVE(Common Vulnerabilities and Exposures)番号や脆弱性の詳細な説明を含むレポートを生成します。

利用シーン

Retire.jsは、以下のようなバグバウンティのシナリオで特に役立ちます。

  • ライブラリの検証:ターゲットウェブサイトが使用しているJavaScriptライブラリのバージョンを確認し、既知の脆弱性が存在するかどうかを検証します。特に、古いバージョンのライブラリを使用している場合、その脆弱性を突く可能性があります。

  • 脆弱性の特定:サイトが依存しているサードパーティのJavaScriptライブラリに既知の脆弱性があるかを確認することができます。

  • セキュリティ評価:ウェブアプリケーションのセキュリティ評価を行う際に、使用されているJavaScriptライブラリの安全性を確認し、改善提案を行うための情報を提供します。

Hackbar



Hackbarは、ウェブアプリケーションのテストや脆弱性の発見をサポートします。このツールは、URLやパラメータの操作を簡単に行えるインターフェースを提供し、SQLインジェクション、クロスサイトスクリプティング(XSS)、リモートファイルインクルージョン(RFI)などの攻撃をシミュレートすることができます。

HackbarはブラウザのDeveloper tools (F12押下で出てくるやつ)内にある”HackBar tab”内で活用します。

特長

  • URLエンコーディングとデコーディング:Hackbarは、URLエンコーディングやデコーディングをワンクリックで行える機能を提供し、特殊文字やエスケープシーケンスを簡単に操作できます。

  • パラメータの操作:リクエストパラメータの編集や挿入を迅速に行うことができ、SQLインジェクションやXSSなどのテストを効率的に実施できます。

  • リクエストの再送信:修正したリクエストをすぐに再送信できるため、テストの効率が向上します。

  • カスタマイズ可能なペイロード:頻繁に使用するペイロードを保存し、必要に応じてすぐに挿入できる機能を提供します。

利用シーン

Hackbarは、バグバウンティ活動において以下のようなシナリオで特に役立ちます。

  • SQLインジェクションのテスト:URLやパラメータにSQLインジェクションのペイロードを挿入し、サーバーの応答を確認することで、脆弱性の有無を検証します。

  • クロスサイトスクリプティング(XSS)のテスト:入力フィールドやURLパラメータにXSSペイロードを挿入し、スクリプトの実行可否を確認します。

  • リモートファイルインクルージョン(RFI)のテスト:URLやパラメータにRFIペイロードを挿入し、外部ファイルの読み込みが可能かどうかをテストします。

  • ペネトレーションテストの迅速化:リクエストの再送信やペイロードのカスタマイズ機能を活用し、効率的に脆弱性の発見と報告を行います。

Mitaka



Mitakaは、オンラインリソースを迅速に調査し、脅威情報を収集するためのブラウザ拡張機能です。このツールは、IPアドレス、ドメイン、URL、ハッシュなどのデータをさまざまな脅威インテリジェンスプラットフォームやOSINT(オープンソースインテリジェンス)ツールを通じて検索し、詳細な情報を提供します。

特長

  • 複数のインテリジェンスソース:Mitakaは、VirusTotal、Shodan、Censys、AbuseIPDBなどの複数の脅威インテリジェンスプラットフォームと統合されており、一度の検索で広範な情報を取得できます。

  • 多機能な検索:IPアドレス、ドメイン、URL、ファイルハッシュ(MD5、SHA-1、SHA-256)など、さまざまなタイプのデータを検索対象とすることができます。

  • カスタマイズ可能:設定をカスタマイズすることで、自分がよく利用するインテリジェンスソースを優先的に表示させることができます。

利用シーン

Mitakaは、バグバウンティやセキュリティ調査のさまざまな場面で役立ちます。

  • 脆弱性調査:特定のIPアドレスやドメインに関連する脅威情報を収集し、既知の脆弱性や過去の攻撃履歴を確認できます。

  • マルウェア分析:疑わしいURLやファイルハッシュを検索し、マルウェアの存在やその詳細な情報を調査します。

  • インシデント対応:セキュリティインシデント発生時に、関連するIPアドレスやドメインの詳細情報を迅速に収集し、対応策を講じます。

  • 情報収集とレポート作成:バグバウンティの報告書作成時に、対象の技術的背景やリスクを詳細に記述するための情報を収集します。

Trufflehog



Trufflehogは、ソースコードリポジトリやプロジェクトファイル内に存在する機密情報(シークレット)を検出するためのブラウザ拡張機能です。このツールは、APIキー、パスワード、秘密鍵などの機密情報が誤って公開されていないかを確認し、セキュリティリスクを未然に防ぐための重要な役割を果たします。

特長

  • 高精度の検出:Trufflehogは、単純な文字列検索だけでなく、正規表現やヒューリスティックな分析を用いて機密情報を高精度に検出します。

  • 対応するリポジトリ:GitHubやGitLabなどの主要なソースコードホスティングプラットフォームに対応しており、リポジトリ全体を迅速にスキャンできます。

  • リアルタイム通知:検出された機密情報について、リアルタイムで通知し、即座に対策を講じることができます。

  • 簡単な操作:インストールしてブラウザのツールバーにアイコンを追加するだけで、任意のリポジトリを簡単にスキャンできます。

利用シーン

Trufflehogは、バグバウンティやセキュリティ監査のさまざまなシナリオで役立ちます。

  • コードレビュー:リポジトリのコードレビュー時に、機密情報が含まれていないかを確認し、セキュリティリスクを低減します。

  • 継続的インテグレーション(CI)/継続的デリバリー(CD):CI/CDパイプラインにTrufflehogを組み込むことで、新しいコードが追加されるたびに自動的にスキャンし、機密情報の漏洩を防ぎます。

  • 脆弱性評価:プロジェクトの脆弱性評価を行う際に、誤って公開されている機密情報を特定し、リスク評価と対策を行います。

  • インシデント対応:セキュリティインシデント発生時に、リポジトリ内の機密情報漏洩の有無を迅速に確認し、被害の拡大を防ぎます。

DotGit



DotGitは、Gitリポジトリ内に存在する機密情報(シークレット)やメタデータを検出するためのブラウザ拡張機能です。このツールは、誤って公開されたAPIキー、パスワード、証明書などを迅速に特定し、セキュリティリスクを軽減するために役立ちます。

特長

  • 機密情報の検出:DotGitは、Gitリポジトリ内のファイルやコミット履歴をスキャンし、機密情報が含まれていないかを検出します。

  • メタデータの解析:ファイルの変更履歴やコミットメッセージなどのメタデータを解析し、潜在的なセキュリティリスクを特定します。

  • リアルタイム通知:機密情報やメタデータにリスクが検出された場合、リアルタイムで通知します。

  • 使いやすいインターフェース:シンプルで直感的なインターフェースにより、簡単にリポジトリをスキャンし、リスクを確認できます。

利用シーン

DotGitは、以下のようなバグバウンティやセキュリティ管理のシナリオで役立ちます。

  • コードレビュー:リポジトリのコードレビュー時に、誤ってコミットされた機密情報やセキュリティリスクを特定し、問題を早期に発見します。

  • セキュリティ監査:定期的なセキュリティ監査の一環として、リポジトリをスキャンし、潜在的なリスクを評価します。

  • インシデント対応:セキュリティインシデント発生時に、リポジトリ内の機密情報漏洩の有無を迅速に確認し、被害の拡大を防ぎます。

  • 継続的インテグレーション(CI)/継続的デリバリー(CD):CI/CDパイプラインにDotGitを組み込むことで、新しいコードが追加されるたびに自動的にスキャンし、機密情報の漏洩を防ぎます。

FoxyProxy Standard


FoxyProxy Standardは、プロキシサーバーの設定を簡単に切り替えられるブラウザ拡張機能です。異なるプロキシサーバーを切り替えることで、テスト環境や調査対象に応じたアクセスを効率的に管理することができます。

特長

  • 複数のプロキシ設定:複数のプロキシ設定を保存し、必要に応じて簡単に切り替えることができます。各プロキシの詳細な設定も可能です。

  • URLパターンマッチング:特定のURLパターンに基づいてプロキシを自動的に切り替えることができ、柔軟なアクセス管理を実現します。

  • 簡単な操作:ブラウザのツールバーからワンクリックでプロキシのオンオフを切り替えることができ、直感的で使いやすいインターフェースを提供します。

  • ログ機能:プロキシを通じた通信のログを記録し、後から詳細な分析を行うことが可能です。

利用シーン

FoxyProxy Standardは、以下のようなバグバウンティやセキュリティ調査のシナリオで特に役立ちます。

  • 地域制限の回避:異なるプロキシサーバーを利用することで、地域制限を回避し、さまざまな国からのアクセスをシミュレートできます。

  • テスト環境の切り替え:異なるプロキシを使用して、テスト環境や本番環境など、異なる環境へのアクセスを迅速に切り替えることができます。

  • 匿名アクセス:匿名プロキシを利用して、テスト対象に対して匿名でアクセスし、調査活動を行うことができます。

  • ネットワークトラフィックの解析:特定のプロキシを通じたネットワークトラフィックを解析し、セキュリティリスクや異常な挙動を検出します。

Cookie-Editor


Cookie-Editorは、ブラウザ内のクッキー(Cookie)を管理・編集するための拡張機能です。このツールは、クッキーの追加、削除、編集、検索を簡単に行うことができますので、セッション管理や認証に関連するテストに役立ちます。

特長

  • 簡単な編集:クッキーの値、ドメイン、パス、有効期限などを簡単に編集できます。これにより、認証やセッション管理のテストが迅速に行えます。

  • クッキーの追加と削除:新しいクッキーを追加したり、既存のクッキーを削除したりすることができます。これにより、クッキーに依存する機能の動作を検証できます。

  • クッキーの検索:特定のクッキーをすばやく見つけるための検索機能が搭載されています。大量のクッキーが存在する場合でも、目的のクッキーを簡単に特定できます。

  • エクスポートとインポート:クッキーのエクスポートとインポートが可能で、異なるブラウザやデバイス間でクッキーを移行するのが簡単です。

利用シーン

Cookie-Editorは、以下のようなバグバウンティやセキュリティテストのシナリオで特に役立ちます。

  • セッションハイジャックのテスト:他のユーザーのセッションを再現するために、特定のクッキーを編集して認証情報を操作し、セッションハイジャックの脆弱性を検証します。

  • クロスサイトスクリプティング(XSS)のテスト:XSS攻撃をシミュレートし、クッキーを通じてセッション情報やその他の機密データが漏洩する可能性を評価します。

  • 認証とセッション管理のテスト:クッキーを操作して、アプリケーションの認証およびセッション管理機能に関する脆弱性を検出します。

  • セキュリティポリシーの確認:クッキーの属性(セキュア、HttpOnly、SameSiteなど)を確認し、セキュリティポリシーが適切に実装されているかを評価します。

JAL燃油サーチャージの定点観測(~2024年9月)

燃料チャージ

燃油サーチャージ(JAL)の定点観測を行っていきます。

燃料サーチャージの元ネタはシンガポールケロシンとされており、シンガポールケロシンはTradingViewで確認できる(銘柄コード:AKS1!)


TradingView(銘柄コード:AKS1!)

燃料サーチャージはシンガポールケロシンの遅行指数となっており、約2か月ほど遅れている。

つまり、シンガポールケロシンが上昇している状況であれば早めに航空券を抑えた方が良い。

逆にシンガポールケロシンの価格が天井を打って下降している状況で、スケジュール的に余裕があるのであれば、次の燃料サーチャージの改定まで待つのが良い。

https://www.jal.co.jp/jp/ja/inter/fare/fuel/detail.html


【日本欧州、北米、中東、オセアニア】※片道

2024年6月~2024年9月:35,000円

2024年4月~2024年5月:33,000円

2024年2月~2024年3月:43,600円

2023年12月~2024年1月:47,000円

2023年10月~2023年11月:33,400円

2023年8月~2023年9月:28,800円

2023年6月~2023年7月:33,400円

2023年4月~2023年5月:36,800円

2022年12月~2023年3月:47,000円

2022年10月~11月:57,200円

2022年8月~9月:47,000円

2022年6月~2022年7月:36,800円

2022年4月~2022年5月:20,200円

2022年2月~2022年3月:17,500円

2021年10月~2022年1月:11,600円

2021年6月~2021年9月:7,700円

2020年6月~2021年5月:0円

2019年10月~2020年5月:10,500円

2019年8月~2019年9月:14,000円

2019年6月~2019年7月:10,500円

2019年4月~2019年5月:7,000円

2019年2月~2019年3月:17,500円

2018年8月~2019年1月:14,000円

2018年2月~2018年7月:10,500円

2017年12月~2018年1月:7,000円

2017年8月~2017年11月:3,500円

2017年4月~2017年7月:7,000円

2017年2月~2017年3月:3,500円

2016年4月~2017年1月:0円

2015年12月~2016年3月:7,000円


【日本-ハワイ、インドネシア、インド、スリランカ】※片道

2024年6月~2024年9月:22,500円

2024年4月~2024年5月:21,000円

2024年2月~2024年3月:28,200円

2023年12月~2024年1月:30,500円

2023年10月~2023年11月:21,300円

2023年8月~2023年9月:18,400円

2023年6月~2023年7月:21,300円

2023年4月~2023年5月:23,600円

2022年12月~2023年3月:30,500円

2022年10月~11月:37,400円

2022年8月~9月:30,500円

2022年6月~2022年7月:23,600円

2022年4月~2022年5月:12,700円

2022年2月~2022年3月:11,000円

2021年10月~2022年1月:6,600円

2021年6月~2021年9月:4,400円

2020年6月~2021年5月:0円

2019年10月~2020年5月:6,000円

2019年8月~2019年9月:8,500円

2019年6月~2019年7月:6,000円

2019年4月~2019年5月:4,000円

2019年2月~2019年3月:11,000円

2018年8月~2019年1月:8,500円

2018年2月~2018年7月:6,000円

2017年12月~2018年1月:4,000円

2017年8月~2017年11月:2,000円

2017年4月~2017年7月:4,000円

2017年2月~2017年3月:2,000円

2016年4月~2017年1月:0円

2015年12月~2016年3月:4,000円


【日本-タイ、マレーシア、シンガポール、ブルネイ、ロシア(ノヴォシビルスク)】※片道

2024年6月~2024年9月:18,500円

2024年4月~2024年5月:18,000円

2024年2月~2024年3月:23,000円

2023年12月~2024年1月:24,700円

2023年10月~2023年11月:17,900円

2023年8月~2023年9月:15,000円

2023年6月~2023年7月:17,900円

2023年4月~2023年5月:19,600円

2022年12月~2023年3月:24,700円

2022年10月~11月:29,800円

2022年8月~9月:24,700円

2022年6月~2022年7月:19,600円

2022年4月~2022年5月:9,800円

2022年2月~2022年3月:8,500円

2021年10月~2022年1月:5,000円

2021年6月~2021年9月:3,300円

2020年6月~2021年5月:0円

2019年10月~2020年5月:4,500円

2019年8月~2019年9月:6,500円

2019年6月~2019年7月:4,500円

2019年4月~2019年5月:3,000円

2019年2月~2019年3月:8,500円

2018年8月~2019年1月:6,500円

2018年2月~2018年7月:4,500円

2017年12月~2018年1月:3,000円

2017年8月~2017年11月:1,500円

2017年4月~2017年7月:3,000円

2017年2月~2017年3月:1,500円

2016年4月~2017年1月:0円

2015年12月~2016年3月:3,000円


【日本-グアム、パラオ、フィリピン、ベトナム、モンゴル、ロシア(イルクーツク)】※片道

2024年6月~2024年9月:12,000円

2024年4月~2024年5月:11,000円

2024年2月~2024年3月:16,100円

2023年12月~2024年1月:17,800円

2023年10月~2023年11月:11,000円

2023年8月~2023年9月:9,200円

2023年6月~2023年7月:11,000円

2023年4月~2023年5月:12,700円

2022年12月~2023年3月:17,800円

2022年10月~11月:22,900円

2022年8月~9月:17,800円

2022年6月~2022年7月:12,700円

2022年4月~2022年5月:5,800円

2022年2月~2022年3月:5,000円

2021年10月~2022年1月:3,300円

2021年6月~2021年9月:2,200円

2020年6月~2021年5月:0円

2019年10月~2020年5月:3,000円

2019年8月~2019年9月:4,000円

2019年6月~2019年7月:3,000円

2019年4月~2019年5月:2,000円

2019年2月~2019年3月:5,000円

2018年8月~2019年1月:4,000円

2018年2月~2018年7月:3,000円

2017年12月~2018年1月:2,000円

2017年8月~2017年11月:1,000円

2017年4月~2017年7月:2,000円

2017年2月~2017年3月:1,000円

2016年4月~2017年1月:0円

2015年12月~2016年3月:2,000円


【日本-中国、台湾】※片道

2024年6月~2024年9月:9,200円

2024年4月~2024年5月:8,500円

2024年2月~2024年3月:10,300円

2023年12月~2024年1月:11,100円

2023年10月~2023年11月:8,400円

2023年8月~2023年9月:7,100円

2023年6月~2023年7月:8,400円

2023年4月~2023年5月:9,900円

2022年12月~2023年3月:11,400円

2022年10月~11月:12,900円

2022年8月~9月:11,400円

2022年6月~2022年7月:9,900円

2022年4月~2022年5月:5,200円

2022年2月~2022年3月:4,500円

2021年10月~2022年1月:2,800円

2021年6月~2021年9月:1,700円

2020年6月~2021年5月:0円

2019年10月~2020年5月:2,500円

2019年8月~2019年9月:3,500円

2019年6月~2019年7月:2,500円

2019年4月~2019年5月:1,500円

2019年2月~2019年3月:4,500円

2018年8月~2019年1月:3,500円

2018年2月~2018年7月:2,500円

2017年12月~2018年1月:1,500円

2017年8月~2017年11月:500円

2017年4月~2017年7月:1,500円

2017年2月~2017年3月:500円

2016年4月~2017年1月:0円

2015年12月~2016年3月:1,500円


【日本-韓国、極東ロシア】※片道

2024年6月~2024年9月:4,000円

2024年4月~2024年5月:3,500円

2024年2月~2024年3月:5,300円

2023年12月~2024年1月:5,900円

2023年10月~2023年11月:3,500円

2023年8月~2023年9月:2,900円

2023年6月~2023年7月:3,500円

2023年4月~2023年5月:4,100円

2022年12月~2023年3月:5,900円

2022年10月~11月:7,700円

2022年8月~9月:5,900円

2022年6月~2022年7月:4,100円

2022年4月~2022年5月:1,800円

2022年2月~2022年3月:1,500円

2021年10月~2022年1月:600円

2021年6月~2021年9月:400円

2020年6月~2021年5月:0円

2019年10月~2020年5月:500円

2019年8月~2019年9月:1,000円

2019年6月~2019年7月:500円

2019年4月~2019年5月:300円

2019年2月~2019年3月:1,500円

2018年8月~2019年1月:1,000円

2018年2月~2018年7月:500円

2017年12月~2018年1月:300円

2017年8月~2017年11月:200円

2017年4月~2017年7月:300円

2017年2月~2017年3月:200円

2016年4月~2017年1月:0円

2015年12月~2016年3月:300円

ーー

一部の国では消費者保護などの趣旨で、燃油サーチャージ禁止もしくは一定額以内というルールがある。

アジア・オセアニア地域では、シンガポール、タイ、ベトナム、フィリピン、オーストラリア、ニュージーランド等が該当するので、これらの国を出発地とする海外発券を行うと、サーチャージの影響を回避することが可能。

JALマイルの特典航空券でも、サーチャージ禁止国を出発国にすると、サーチャージが0円になるし、サーチャージ不要の航空会社を選択するという手段もある。

サーチャージ不要になる代表的なJAL提携航空会社は以下のとおり。

  • アメリカン航空
  • ハワイアン航空
  • マレーシア航空
  • 大韓航空
  • カタール航空
  • エールフランス
  • スリランカ航空

こういった仕組みもうまく活用していきたい。

参考:燃油サーチャージの推移 2023年最新!過去7年間をシンプルに網羅

参考:【燃油サーチャージがない航空会社一覧】JALマイルを使ったJMB提携航空特典航空券が激アツ

【セキュリティ事件簿#2024-293】株式会社大遊 個人情報流出に関するお詫びとご報告 2024/7/5

GateRuler
 

弊社が運営するTCG「ゲートルーラー」に係わる提供サービスの一つ、公認大会において結果報告に用いるGoogle Formsページが存在しておりますが、該当ページにおける編集用URLを知るに至った第三者により閲覧可能な状態となっておりました。

2024年06月27日 未明に、発見者様よりご報告をいただき、直ちに該当のGoogle Formsページにはアクセスを行えない設定をいたしました。第三者より閲覧が可能であった個人情報は以下の通りです。

  • 大会結果報告フォームに記載いただいた店舗名・ニックネーム・お名前
  • ご記載いただいたメールアドレス

本件に対する対応としましては、以下の通りになります。

  • Google Formsに限らず、URLにより共有可能なGoogle Docsで管理されているファイルは、これをアカウントによる認証をもって共有をする設定へ変更。
  • 以前の担当者のアカウントに所有権のあったファイルの所有権を、弊社管理のアカウントへ移管または削除。

以上再発防止に努めるとともに、本件における情報流出の該当者の皆様には深くお詫びいたします。

リリース文アーカイブ

IHG One Rewards ボーナスポイント&レートプロモーション更新 2024年7月 ※気になったものだけ


個人的に気なるもののみ抜粋。

2025年12月31日までアジア太平洋地域で最低15%割引


2024年12月31日までアジア太平洋地域で最低15%割引

予備リンク

■2025年6月13日までのヨーロッパ&アジア向けサマーセール15%オフ(9月12日までに予約)


■RailcardでIHGホテルの予約を20%割引

IHGは英国のRailcardと提携しており、世界中のホテルに滞在する場合、カード所有者にまともな割引を提供しています。
  • 5日前までにご予約ください
  • 滞在には、木曜日、金曜日、土曜日、または日曜日の夜を含める必要があります
  • 少なくとも20%節約% 最高のフレキシブルレートから
  • 3日前まで無料でキャンセル
  • 予約時に1泊分のデポジットが必要
オファーページには2022年のプロモーション終了日が記載されていますが、そうではありません。特別料金が見つからない場合は、コーポレートコードとして786996886を入力してください。



ワンワールドアライアンスメンバーでイケてるビジネスクラスシート

 

世界の主要航空会社から新しいビジネスクラス・スイートが続々と登場しています。

ほぼ必然のスライドドアの向こう側には、ワイヤレス充電パッドや4Kビデオスクリーン、Bluetoothオーディオストリーミング(ノイズキャンセリングヘッドホンやイヤホンへの直接アクセス)など、ハイテク装備が期待できます。

今年は、既にハワイアン航空、ルフトハンザ、日本航空から、それぞれ印象的な新しいビジネスクラスが既にデビューしています。

今回はワンワールドアライアンスメンバーの素敵なビジネスクラスを紹介します。


JAL A350ビジネスクラス


日本航空(JAL)は、2024年1月にエアバスA350-1000型機をデビューさせ、東京-ニューヨーク間で就航しています。

JALは、「すべてのクラスで新しい座席を採用した機内インテリア、パーソナライズされた機内サービス、そして全体的により静かな乗り心地」を目指しており、グレーとワインレッドの配色のビジネスクラス54席はすべてスライドドアで仕切られています。

ビジネスクラスは1.32m(52インチ)の控えめなパーティションで囲まれています。

特徴は客室内のワードローブとヘッドレストに内蔵されたステレオスピーカーで、ヘッドホンを使わずに機内エンターテインメントシステムを楽しむことができます。

JALはA350型機の機内について、「日本の美のエレガンスに浸り、静寂に包まれ、日本の美を凝縮した落ち着いた雰囲気を提供する」と述べています。


カタール航空 Qsuite 2.0


カタール航空のQsuiteビジネスクラスは、業界のベンチマークであり、「最高のシート」と広く評価されています。

中東の航空会社であるカタール航空は、ボーイング777-9型機の就航時期が2025年から2026年に変更されたため、7月下旬に第2世代のQsuiteを発表する予定であると発表しました。

元 CEO の Akbar Al Baker 氏は、Qsuite 2.0 を「現在の Qsuite を大幅に強化したものです。Qsuite のおかげで人々は皆カタール航空で予約するようになっており、Qsuite は今や誰もが本当に知っているブランドです」と説明しました。

初期の報告によると、Qsuiteは航空機の燃費効率を高めるため、より軽量な素材に見直し、壁とドアの高さを見直し、収納を増やし、乗客の足元により広いスペースを確保する可能性を求めているという。


キャセイパシフィック航空 777 Aria Suitesビジネスクラス


香港を拠点とする航空会社キャセイパシフィック航空は、同社のフラッグシップ機であるボーイング777-300型機に新たなビジネスクラスを導入し、新時代に突入します。

2010年にデビューし、2016年に改良されたこの航空会社の長年のビジネスクラスを、多くの意味で再構築したもので、主な特徴としては、スライド式のクローズドドア、24インチの巨大な4Kビデオスクリーン、ワイヤレス充電、穏やかな曲線と木目のような模様のある表面など、より温かみのある外観と感触が挙げられます。

そして、ついに中央席の間に仕切りスクリーンが設置されます!


マレーシア航空 A330neo、A350ビジネスクラス


マレーシア航空にA330neoの初号機が導入され、世界を飛び回る多くの人々にとって馴染み深い、新鮮な国際線ビジネスクラスが導入される予定です。

ブリティッシュ・エアウェイズのクラブ・スイート・ビジネスクラスやエティハド航空のA350ビジネス・スタジオ・スイートにも採用されているコリンズ・エアロスペース社のエレベーション・プラットフォームを使用しています。

これらのA330neo型機は、クアラルンプールを拠点とする航空会社の主力機A330に取って代わるもので、アジア、太平洋、中東の路線を独占しています。最初のA330neo路線はクアラルンプール-メルボルン間に就航する予定です。


アメリカン航空 フラッグシップ・スイート 


このビジネスクラスのシートは、ファーストクラスを駆逐するほど優れている(とアメリカン航空は考えている)。

まったく新しいボーイング777と787のフラッグシップ・スイートは、アメリカン航空の現在のビジネスクラスよりも広いパーソナルスペースと、今やほぼ必須となったスライドドアを備えています。

その他の快適な設備としては、複数の収納スペース、AC電源、USB-AとUSB-Cのデュアルソケット、スマートフォン用のワイヤレス充電などがあります。

出典:The best new business class seats arriving in 2024

PontaポイントからJALのマイル交換で20%のレートアップキャンペーン(2024年7月1日~7月31日)

ponta
 

キャンペーン期間

2024年7月1日(月)~7月31日(水)

2024年7月31日(水)午後11時59分までにマイルへの交換申し込み完了した方が対象。

キャンペーン詳細

期間中、Pontaポイントからマイルへの交換で、ポイント交換レートが20%アップ。

通常:100Pontaポイント → 50マイル

キャンペーン期間:100Pontaポイント → 50マイル+10マイル=60マイル

1マイル未満の端数については切り捨て。

対象者

JMB×Ponta会員または、JMBローソンPontaカードVisaを持つJMB日本地区会員

キャンペーンマイル積算時期

2024年8月末頃予定

※通常マイルと別に積算。

コメント

ポイントは貯めるだけではなく、定常的に使っていくことも重要。

自分はキャンペーンの都度、保有ポイントの10%をJALに移行することにしている。

出典:PontaポイントからJALのマイル交換レート20%アップキャンペーン

Kivaローンで社会貢献しながらマイルをゲットできるか検証(2024年7月号)※7か月目

 

1.融資済み案件の状況

全体としては310USD(前月比+50USD)の投資に対して、115USD(前月比+30USD)が返済されている感じ。

投資案件は全12件。内5件に何らかの遅延が発生している模様。

融資No:2705613号(https://www.kiva.org/lend/2705613)

  • 融資国:フィリピン
  • Lending partner:Negros Women for Tomorrow Foundation
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)
  • 返済率:68%⇒84% ※遅延発生中

融資No:2707642号(https://www.kiva.org/lend/2707642)

  • 融資国:ニカラグア
  • Lending partner:FUNDENUSE
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)
  • 返済率:63%81%

融資No:2716127号(https://www.kiva.org/lend/2716127)

  • 融資国:フィリピン
  • Lending partner:Negros Women for Tomorrow Foundation
  • 期間:8か月
  • 融資実行:2024年2月
  • 融資額:25USD(≒3,900.5円)
  • 返済率:52%72% ※遅延発生中

融資No:2718123号(https://www.kiva.org/lend/2718123)

  • 融資国:ニカラグア
  • Lending partner:MiCredito
  • 期間:8か月
  • 融資実行:2024年2月
  • 融資額:25USD(≒3,900.5円)
  • 返済率:22%⇒22% ※遅延発生中

融資No:2737152号(https://www.kiva.org/lend/2737152)

  • 融資国:タジキスタン
  • Lending partner:Humo
  • 期間:8か月
  • 融資実行:2024年3月
  • 融資額:25USD(≒3,933円)
  • 返済率:31%47%

融資No:2731801号(https://www.kiva.org/lend/2731801)

  • 融資国:フィリピン
  • Lending partner:Negros Women for Tomorrow Foundation (NWTF)
  • 期間:8か月
  • 融資実行:2024年3月
  • 融資額:25USD(≒3,933円)
  • 返済率:36%56% ※遅延発生中

融資No:2751150号(https://www.kiva.org/lend/2751150)

  • 融資国:ニカラグア
  • Lending partner:MiCredito
  • 期間:8か月
  • 融資実行:2024年4月
  • 融資額:25USD(≒3,952.5円)
  • 返済率:0%⇒0%

融資No:2738778号(https://www.kiva.org/lend/2738778)

  • 融資国:パラグアイ
  • Lending partner:Fundación Paraguaya
  • 期間:8か月
  • 融資実行:2024年4月
  • 融資額:25USD(≒3,952.5円)
  • 返済率:43%⇒48% ※遅延発生中

融資No:2757831号(https://www.kiva.org/lend/2757831)

  • 融資国:ニカラグア
  • Lending partner:MiCredito
  • 期間:8か月
  • 融資実行:2024年5月
  • 融資額:25USD(≒4,060.5円)
  • 返済率:0%0%

融資No:2771828号(https://www.kiva.org/lend/2771828)

  • 融資国:ニカラグア
  • Lending partner:MiCredito
  • 期間:8か月
  • 融資実行:2024年5月
  • 融資額:25USD(≒4,060.5円)
  • 返済率:0%⇒16%

融資No:2783502号(https://www.kiva.org/lend/2783502)

  • 融資国:フィリピン
  • Lending partner:NWTF
  • 期間:8か月
  • 融資実行:2024年6月
  • 融資額:25USD(≒4,099円)
  • 返済率:0%⇒0%

融資No:2778268号(https://www.kiva.org/lend/2778268)

  • 融資国:フィリピン
  • Lending partner:NWTF
  • 期間:8か月
  • 融資実行:2024年6月
  • 融資額:25USD(≒4,099円)
  • 返済率:0%⇒0%

2.新規融資案件 

融資条件

  • LOAN LENGTH:8 mths or less

  • RISK RATING:4-5
    星0.5はその団体の機関債務不履行リスクが相対的に高いことを意味し、5つ星の格付けは、その団体の債務不履行リスクが相対的に低いことを意味します。

  • DEFAULT RATE:~1%
    返済に失敗した(もはや返済していない)終了ローンの割合。

  • PROFITABILITY:4%~
    フィールド・パートナーの収益性を示す指標。

今月の新規融資先

融資No:2806766号(https://www.kiva.org/lend/2806766)

  • 融資国:フィリピン
  • Lending partner:NWTF
  • 期間:8か月
  • 融資実行:2024年7月
  • 融資額:25USD(≒4,204円)
  • 返済率:0%

融資No:2800157号(https://www.kiva.org/lend/2800157)

  • 融資国:フィリピン
  • Lending partner:NWTF
  • 期間:8か月
  • 融資実行:2024年7月
  • 融資額:25USD(≒4,204円)
  • 返済率:0%

【セキュリティ事件簿#2024-292】個人情報保護委員会 メールの誤送信について 2024/7/4

 

個人情報保護委員会事務局において、当事務局が主催する認定個人情報保護団体向けの説明会の開催案内をメールにて送信する際に、誤送信が発生いたしました。

関係者の方々にご迷惑をお掛けしたことを深くお詫び申し上げます。

1 概要

令和6年7月2日(火)16 時頃に、当事務局主催の認定個人情報保護団体向けの説明会の開催案内をメールにて送信する際に、送信先としていた 96 件のメールアドレスが送信先全員に表示される形でメールを一斉送信していたことが判明しました。

2 メールの誤送信の原因

本件説明会の案内メールを送信する際に、操作を誤り、送信先としていた方々全員のメールアドレスが表示される形でメールを一斉送信しました。

3 対応状況

同日に、送信先の方々に対してメールにより誤りがあった旨をお伝えしました。その後、送信先の方々に対してメールによりお詫びをお伝えするとともに、最初に送信したメールの削除をお願いしました。

4 再発防止のための対応

当事務局は、今回の事態を重く受け止め、メール送信時の注意事項について、改めて職員に対して注意喚起を行いました。今後このような事態が発生しないよう、職員に対して個人情報を取り扱う際の留意点や漏えい事案発生時の対応等についての教育を徹底するとともに、外部へのメール送信に当たっては、事前に複数人で確認することを改めて徹底するなど、より厳格かつ適正な個人情報の取扱いに努めてまいります。

【セキュリティ事件簿#2024-291】ユニテックフーズ株式会社 不正アクセスによる情報漏洩の可能性に関するお詫びとお知らせ 2024/7/5

ユニテックフーズ
 

ユニテックフーズ株式会社(本社:東京都中央区 代表取締役社長:大橋高弘)は、当社が所有するサーバに対する不正アクセスにより、当社の個人情報を含む一部の情報が外部に流出した可能性が判明いたしましたのでお知らせいたします。

関係先の皆さまにはご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。

1. 概要

① 発生

2024 年6月 24 日(月)当社の社員がサーバ上のファイルの拡張子が書き換えられていることを発見いたしました。その後、外部専門機関協力のもと、直ちに外部ネットワークとの遮断を行ない、サーバを調べたところ、第三者による不正アクセスが原因であることを確認いたしました。

② 調査の経緯

当社では更なる拡大を防ぐために直ちに外部専門機関協力のもと、不正アクセスを受けたサーバの範囲と状況、感染経路等の調査およびデータ復旧の検討を開始いたしました。

現在、不正アクセスを受けたサーバ内に保存されていた情報について確認中ですが、その情報が外部に持ち出された可能性があることから、この度お知らせすることといたしました。

なお、個人情報保護委員会ならびに警視庁への報告は完了しております。

③ 今後の対応

当社は外部流失データの確定および今回の侵入経路を特定させるために、外部調査機関による調査を行うこととしております。それにより、今まで以上に厳重な情報セキュリティ体制強化を行い、さらなる不正アクセスが発生しないよう対策をとってまいります。また、調査の結果、新たに報告すべき事項が判明した場合は、速やかにお知らせいたします。

2. 復旧状況

個人情報等が保管されていたサーバは、現在はバックアップデータによって復旧しており、当社業務は正常に行われております。

【セキュリティ事件簿#2024-217】富士信用金庫 個人情報漏えいに関するお詫びとお知らせ 2024/7/5

イセトー
 

平素は格別のご高配を賜り厚くお礼申し上げます。

当金庫が業務委託する外部業者(株式会社東海信金ビジネス)の再委託先業者(株式会社イセトー)において、ランサムウェア感染による一部お客様情報が漏えいしたことが判明いたしましたのでお知らせいたします。

お客様には多大なご迷惑とご心配をおかけいたしますこと誠に申し訳なく、深くお詫び申し上げます。本件の経緯および今後の対応について下記の通りご報告いたします。

1.経緯

5月26日にお客様向けハガキ帳票作成を再委託しているイセトーが利用しているサーバがランサムウェアに感染していることが発覚し、サーバ内の情報が暗号化される被害が発生しました。

イセトーでは感染が疑われるサーバ、PC、ネットワークを遮断して調査を開始し、6月26日にイセトーから東海信金ビジネスに対し、個人情報漏えいの可能性がある旨の第一報がありました。このため、両社において更に確認作業を進めた結果、7月1日に漏えいした個人情報が特定され、一部のお客様において個人情報の流出があることが判明したものです。

2.漏えいの可能性のある情報

(1)個人情報の項目

氏名、金融機関コード、支店コード

(注)対象はダイレクトメール作成時に出力されるログデータ上の氏名、金融機関コード、支店コードであり、ダイレクトメールの内容の漏えいはございません。

(2)対象顧客人数

1,245件

3.今後の対応

本件については、現在再委託業者において調査を継続中ですが、本件の事故発生を厳粛に受け止め、委託先及び再委託先の管理を含め、より一層の管理体制の強化に努めるとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-290】新日本製薬株式会社 当社サーバーへの不正アクセスについて 2024/7/5

新日本製薬
 

当社は、2024年6月6日付「当社サーバーへの不正アクセスについて」にて公表いたしましたとおり、当社サーバーに保管されていた業務関連データ等の一部が暗号化されるなどの、第三者からのランサムウェアによる不正アクセス攻撃を受けました。不正アクセスを確認後、速やかに対策本部を設置、外部専門機関の協力を受け、原因究明や被害状況の調査を進めてまいりました。

現時点で確認された事実として、当社サーバーに保管されていた業務関連データの外部への漏洩は確認されておりません。また、第三者の侵入経路、および今回の不正アクセスにより影響を受けたサーバー等の特定を完了し、これらについての再発防止策を実施しております。引き続き、対策本部のもと被害の全容解明および再発防止に総力を上げて取り組んでまいります。 

なお、当社の事業に関わる全ての業務は通常通り稼働しており、今後もセキュリティ対策の強化を進め、安全を確保した上で継続してまいります。

お客さまや関係者の皆さまには、多大なるご不安、ご心配をおかけし、改めて深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-289】ニシオホールディングス株式会社 サイバー攻撃によるシステム障害のお知らせ 2024/7/4

ニシオホールディングス
 

2024年7月4日に当社情報システムの一部に異常が発生したことを検知し、外部からのサイバー攻撃によるものと思われるシステム障害が生じていることをお知らせいたします。

本件について、現在対策本部を設置し、外部専門家の助言を受けながら影響範囲や情報漏洩の有無等の調査と復旧への対応を進めております。

全容等判明次第、追って速やかにご報告させていただきます。

【現時点で発覚している攻撃対象範囲】

・ニシオホールディングス株式会社

・西尾レントオール株式会社

・ニシオワークサポート株式会社

・ニシオレントオール北海道株式会社

・ニシオレントオールTC株式会社

・西尾開発株式会社

関係者の皆様に多大なるご心配、ご迷惑をおかけしておりますことを、深くお詫び申し上げます。

リリース文アーカイブ