【セキュリティ事件簿#2023-355】関西ペイント株式会社 当社海外子会社への不正アクセスについて 2023年09月05日

関西ペイント株式会社（本社：大阪府大阪市中央区、代表取締役社長：毛利 訓士）の海外子会社であるKansai Nerolac Paints Ltd（本社：インドムンバイ、以下「KNPL」）において、2023年8月20日に第三者による不正アクセス（以下「本件不正アクセス」）を受けたことを確認しました。

KNPLでは本件不正アクセスの確認後、速やかに外部からのアクセスを制限、侵入経路の調査など必要な対策を講じており、関係機関への報告を実施しています。

現在、セキュリティ専門機関の協力を得て原因および影響範囲の特定を進めるとともに、セキュリティの強化および再発防止策の検討を進めています。

本件不正アクセスは、ランサムウェア（身代金要求型不正プログラム）によるものと確認しておりますが、詳細は現在調査中です。

KNPLでは既に営業活動を再開しております。また、現時点で、日本国内のシステムへの影響はないことを確認しております。

関係する皆さまに多大なるご迷惑とご心配をおかけすることになり深くお詫び申し上げます。関西ペイントグループでは、あらためてセキュリティ対策を強化し、再発防止に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-354】ブリストル・マイヤーズ スクイブ株式会社 セキュアファイル転送サービス「MOVEit」への不正アクセスによる 個人情報の流出に関するお詫び 2023 年 8 月 29 日

 

この度、弊社がセキュアファイル転送サービスとして利用する Progress Software 社の「MOVEit」において、脆弱性が発覚し、弊社が取扱う個人情報を含むデータの一部が不正にアクセスされた可能性があることが判明しました。なお、「MOVEit」の脆弱性については、米国を含めて各報道機関により報じられているとおりです。

弊社は本件を非常に深刻に受け止め、迅速に対応し調査するための措置を講じており、サイバーセキュリティの主要な専門家と協力して、不正な方法でアクセスされたデータを分析・調査いたしました。

皆さまにはご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。

1． 経緯

5 月 31 日（水）、Progress Software 社から、弊社が第三者との情報共有のために使用する、同社のセキュアファイル転送ソフトウェア「MOVEit」において、重大な脆弱性が見つかり、ProgressSoftware 社の多くの顧客企業に影響を与えており、その結果、同システム上で保管されているデータが不正にアクセスされた可能性があるとの警告がありました。これを受け、弊社はこの問題を収め、リスクを軽減するため、外部のフォレンジック調査機関に調査を依頼し、迅速かつ包括的な対応を行いました。また、弊社日本法人においては、速やかに、個人情報保護委員会に本件の報告を行いました。

2． 現在の状況と影響範囲

サイバーセキュリティの専門家の協力のもと、調査を行った結果、MOVEit」のサーバーへの不正アクセスが情報漏えいの原因であると判明しました。また、調査の結果、2018年6月13日から 2023年 5 月 31 日までに弊社が運営する医療従事者専用サイトに任意にアカウントのご登録をいただいた医療従事者（※）及び弊社からヘルスケア、メディカル、サイエンスに関する情報を受け取ることにご同意頂いた医療従事者の皆様並びに 2014 年 2 月 28 日から 2023 年 5 月 31 日の期間中に弊社日本法人に在籍されていた弊社の役職員の皆様に関する以下のデータが流出した可能性があることが判明しました。なお、クレジットカード情報やマイナンバーに関する情報は、漏えいしたおそれはありません。

（※）対象となる医療従事者の方は、2018 年 6 月 13 日から 2023 年 5 月 31 日までに以下の専用サイトに登録された方になります。

https://www.bmshealthcare.jp/

https://www.bmsoncology.jp/

https://www.car-t.jp/

https://www.eliquis.jp/

https://www.empliciti.jp/

https://www.hemapedia.jp/

https://www.orencia.jp/

https://www.sotyktu.jp/

https://www.sprycel.jp/

https://www.yervoy.jp/ 

■流出した可能性のある個人情報

• 弊社が運営する医療従事者専用サイトに任意にアカウントのご登録をいただいた医療従事者の皆様に関する以下の情報
  - 氏名、 勤務先、 勤務先住所、 勤務先電話番号、 E メールアドレス、職業、ハッシュ化されたパスワード
•  2014 年 2 月 28 日から 2023 年 5 月 31 日の期間中に弊社日本法人に在籍されていた方に関する以下の情報
  - 氏名、生年月日、性別、住所、電話番号、業務用メールアドレス（ご退職された場合は現在は利用不可）
  - 弊社に勤務していた情報（入社日、離職日、ジョブグループ、ジョブ ID、役職名、現職・退職に関する情報、職種、担当していた施設の情報、出身地域等に関する情報）

3． 今後の対応

弊社は、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。引き続き、この件についての調査を継続し、皆様へのご迷惑を最小限に止めるべく取り組んでまいります。

また、パスワードを含め、流出した可能性のある個人情報については、ハッシュ化するなど一定の措置を講じており、現時点では二次被害の報告等は受けておりませんが、二次被害を可能な限り予防するべく、弊社が運営する医療従事者専用サイトにご登録をいただいた医療従事者の皆様におかれましては、パスワードの変更手続きをお願いしたく存じます。大変お手数をおかけしますが、ご協力のほど、よろしくお願いいたします。

万が一、身に覚えのない電子メール等が届いた場合には、不審な添付ファイルを開かない、不審な URL リンクをクリックしない等のご対応をお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-353】アイホン 当社米国法人への不正アクセス発生について 2023年8月18日

 

2023年7月25日（米国時間）、当社米国の販売子会社であるAIPHONE CORPORATIONにおいて、第三者による社内ネットワークへの不正アクセスを受けたことが確認されました。

本事象を確認後、被害拡大を防止するため、ただちに他拠点とのネットワークを遮断する等の対策を講じ、外部の専門機関による調査を行っております。なお、現時点において当社グループの他拠点への影響及び、外部への情報漏洩やお客様をはじめ関係各位に影響を及ぼす被害は確認されておりません。今後、当社の経営成績に重要な影響を及ぼすことが明らかになった場合は、速やかに開示いたします。

御取引先様をはじめとする関係各位におかれましては、ご心配をお掛けすること深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-352】茨城・土浦市役所職員、同僚の人事情報を不正収集し書類送検される。

 茨城県土浦市役所の31歳の男性職員が、他の職員の人事評価や役職、経歴などの情報を不正に収集し、私用のハードディスクに保存していたとして、不正アクセス禁止法違反および市の個人情報保護条例違反の疑いで書類送検されました。この事件は、昨年9月に「人事課しか知らない情報を知っている職員がいる」との情報が別の職員から提供されたことをきっかけに発覚しました。

男性職員は、2021年12月18日に市のサーバーから836人の職員の情報を収集し、私用のハードディスクに保存していたとされています。彼はこの行為について、「自らの評価を上げるため、希望部署などの職員の評価を知りたかった」と説明しています。また、彼は今年3月から休職中であり、外部への情報の漏洩は確認されていません。

土浦市役所はこの事件について、市民や関係者に対して謝罪し、新たなセキュリティーシステムの導入や職員教育の強化を行うとの声明を発表しました。

出典：不正アクセス疑い、茨城・土浦市職員を書類送検

【セキュリティ事件簿#2023-351】高知工科大学 不正アクセス及び個人情報の漏洩の可能性に関するお知らせとお詫び 2023年9月4日

この度、本学の教員が運用している研究用サーバを介して、本学のサーバを含む本法人ネットワーク内の複数のサーバへの不正な侵入及び不審なプログラムの書込みがあった事案が確認されました。これに関連し、不正アクセス者により本学の教職員・学生を含む関係者の個人情報が参照された可能性を排除できないと判断いたしましたのでお知らせいたします。

なお、現在のところ、これらの情報を悪用した被害は確認されておりませんが、個人の情報が漏洩した可能性のある方々に対して謝罪するとともに、事案の説明及び二次被害を防ぐための対応についてお願いをしているところです。

このような事態が発生し、関係者のみなさまには多大なご迷惑をおかけしましたことを深くお詫び申し上げます。本学では、今回の事態を重く受け止め、調査及び原因究明に努めるとともに、ソフト・ハードの両面から情報セキュリティ対策を再点検し、より一層強化することで再発防止に取り組んでまいります。

１ 本件の経緯

① ［不正アクセス検知］

令和 5 年 8 月 13 日（日）、本学の教員が運用している研究用サーバを経由して、本法人ネットワーク内のサーバへの不正アクセスが検知され、不審なプログラムが書き込まれていました。この際、本学の教職員に付与された複数の業務用アカウントが不正に利用されたことが判明いたしました。

② ［事後調査］

不正アクセス検知以降調査を進めた結果、令和 5 年 8 月７日（月）以降に本学の他の研究用サーバへも不正に侵入され、それらを介して、本学 Web サーバ及びメールサーバへも不正にアクセスが行われていたことが判明いたしました。

 

※本事案については、8 月 14 日（月）に文部科学省に第一報を入れるとともに、高知県警察にも報告いたしました。

２ 漏洩の可能性のある情報

① 不正アクセス者により収集された情報

• 本法人教職員のメールアドレス 991 件（一部氏名含む）

※退職者等、削除済みメールアドレス含む

• 本学への求人実績のある企業・団体等のメールアドレス 808 件（一部電話番号含む）

② 一時的に参照可能な状態にあった情報

不正にアクセスされた業務用アカウント７人分の送受信メールのうち 1 人の受信メールに次の本学学生の個人情報リストが含まれていました。

• 氏名、メールアドレス、授業の予習及び復習課題の評価 98 人分
• 氏名、学籍番号及び所属研究室名 56 人分

３ 現在までの対応

本事案の発覚後ただちに、不正に利用された業務用アカウントのパスワードを変更し、不正アクセスに利用された研究用サーバをネットワークから遮断し、隔離しました。不正アクセスを受けた法人内の業務用サーバについては、ウイルスチェックにより不審なプログラムを駆除し、セキュリティアップデートを最新の状態にしました。さらに、全教職員に対して、パスワード変更をはじめとするアカウントのセキュリティ強化等の注意喚起を実施しました。

４ 今後の対応

再発防止に向けて、情報セキュリティポリシーの見直しをはじめ、ネットワークのセキュリティ強化を図るとともに、全教職員に対して個人情報の取扱い及び業務用アカウントの適切な管理を行うよう、周知徹底を継続して参ります。

また、本事案を受けて、問い合わせ窓口を次のとおり設置し、漏洩の可能性のあった方々からの問い合わせに対応いたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-350】株式会社ベネフィット-イオン 弊社が運営する「体臭対策ドットコム」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2023年9月4日

このたび、弊社が運営する「体臭対策ドットコム」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（244件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メール及び書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

２０２３年３月１７日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、２０２３年３月１７日弊社が運営する「体臭対策ドットコム」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。２０２３年５月１９日、調査機関による調査が完了し、２０２２年１１月５日～２０２３年３月１７日の期間に「体臭対策ドットコム」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「体臭対策ドットコム」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

２０２２年１１月５日～２０２３年３月１７日の期間中に「体臭対策ドットコム」においてクレジットカード決済をされたお客様227名で、漏洩した可能性のある情報は以下のとおりです。

• クレジットカード番号
• 有効期限
• セキュリティコード

【ユーザ個人情報】

• メールマガジンリスト：氏名・メールアドレス
• 購買履歴：住所、電話番号、氏名、購買情報、IPアドレス

上記に該当する227名のお客様については、別途、電子メール及び書状にてにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

２０２３年３月１７日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「体臭対策ドットコム」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には２０２３年３月１７日に報告済みであり、また、所轄警察署にも２０２３年8月8日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-349】神奈川県 委託事業者による個人情報の流出について 2023年09月04日

生活困窮者支援を行う民間事業者のホームページが不正アクセスを受け、県の委託事業に関連して当該事業者が収集した個人や団体のメールアドレスが流出していることが判明しました。

1 概要

県の研修事業の委託先である民間団体「かながわ生活困窮者自立支援ネットワーク」が運営する「かながわ生活応援サイト」が不正アクセスを受けたことにより、 本日、県の所属メールアドレス及び職員の業務用個人メールアドレスに、複数の不審メールが送付されました。

当団体に状況を確認したところ、研修参加者に関する個人情報の流出が判明しました。

2 流出した個人情報

県の委託事業により収集している個人情報は、研修参加者の所属、氏名、メールアドレスですが、詳細については、委託事業者において、現在確認中です。

なお、これまでの研修参加者を含む流出データ数は約500名分です。

また、流出したデータについては、抜き出された可能性も含めて、当団体からはアクセスができない状況となっており、バックアップもないため、1件ごとの詳細は不明です。

3 今後の対応

データの復旧は難しい状況ですが、個人情報の流出など詳細については、委託事業者において、現在確認中です。

リリース文（アーカイブ）

かながわ生活困窮者自立支援ネットワーク（アーカイブ）

【セキュリティ事件簿#2023-348】新宿スタジオ、公式Webサイトを改ざんされる

8月31日から9月4日の間に、公式ウェブサイトが不正に改ざんされ、虚偽の「破産」情報が掲載されたという被害が報告されている。これらの情報は事実ではなく、関連性はまだ明らかではないが、調査が進行中である。

被害を受けたのは、鹿児島市の中華料理店「鹿児島王将」、神奈川県三浦郡の研修施設「湘南国際村センター」、東京都杉並区のコンサルティング会社「コミュニケーションコンサルティング」、東京都渋谷区の映像会社「新宿スタジオ」、東京都中野区の精肉店「西島畜産」など。

これらのサイトには、「2023年8月31日に破産手続きを開始した」との偽の情報が掲載されていた。また、湘南国際村センター、新宿スタジオ、西島畜産では、迷惑メールの送信も確認されている。

湘南国際村センターは、ファイル転送サーバーが攻撃を受け、データが改ざんされたと明らかにした。一方、西島畜産は、店舗で使用しているメール配信システムに不正アクセスの疑いがあり、ウェブサイトのデータも削除されたことが判明している。

出典：公式サイトに「破産した」の偽情報　改ざんの被害続々　研修施設、コンサルなどで

【セキュリティ事件簿#2023-347】コミュニケーションコンサルティング お客様への大切なお知らせ 2023年9月5日

 

平素より格別のご高配に賜り厚く御礼申し上げます。　

2023年9月4日午前0時頃、第三者からの不正アクセスにより弊社ホームページが改ざんされている事実が判明しました。

これをうけ、弊社ホームページを一時メンテナンスいたしました。

改ざん内容として「2023年9月4日付で破産手続きを開始いたしました。」との記載がございましたが、全くの事実無根です。本件に関してまして警視庁に報告を済ませております。

皆様にはたいへんご迷惑、ご心配をおかけし、誠に申し訳ございませんでした。

今後もコミュニケーションコンサルティングは皆様がゴールを実現するサポートに全力を尽くします。引き続きよろしくお願い申し上げます。　　

リリース文（アーカイブ）

【セキュリティ事件簿#2023-346】山形大学 本学への不正アクセスによる個人情報の流出の可能性に関するお知らせとお詫び 2023年9月1日

このたび、本学で運用している研究室ホームページのサーバが不正アクセスを受け、改ざん・不正プログラムが書き込まれるという事案が確認され、本学が保有する個人情報が漏洩した可能性を排除できないということが判明しましたのでお知らせいたします。

今回このような事案が発生し、関係者の皆様に大変なご迷惑をお掛けすることとなり、深くお詫び申し上げます。本学では、今回の事態を重く受け止め、より一層、個人情報の保護、情報セキュリティ対策の適切な管理に努めて参ります。

１．本件の経緯

令和5年7月1日（土）にコンテンツサポート業者から、本学が運営している研究室の外部公開ホームページが改ざんされている旨の通報がありました。本学が調査したところ、当該ホームページで使用しているコンテンツマネージメントシステムを第三者から不正利用されたために、不正アクセスを受け、改ざん・不正なプログラムが書き込まれるという事案が確認されました。不正なプログラムは、当該サーバの仕様上、当該サーバ内の他のサイトの保存領域にもアクセス可能であること、そして当該サーバにある150サイトのうち、2つのサイトにおいて個人情報が保管されていることが判明しました。

２．漏洩の可能性のある個人情報

本学で使用していた氏名やメールアドレス等を含めた個人情報380人分

３．現在までの対応

発覚した７月１日（土）に改ざんされたドメインのホームページを閉鎖しました。対応後、再び、不正アクセスが確認されたため、７月１０日（月）に該当サーバ内の全てのホームページを閉鎖しました。これまでのところ、個人情報を悪用された事実は確認されておりません。個人情報が漏洩した可能性がある方に対して、事実関係の説明、謝罪、対応窓口の設置を行いました。

なお、個人情報を取り扱うサイトは、セキュリティが強化された別サーバに移行する等の対策を行い、運営を再開しております。

４．今後の対応

個人情報を収集・保存する目的で使用する本学のサイトについて、点検・確認を実施します。

また、コンテンツマネージメントシステムの利用時には、管理者及び運用責任者を登録制にすることで管理体制を強化します。さらに、全教職員を対象とした情報セキュリティに関する研修を改めて実施して、個人情報の取り扱いについては、これまで以上に気を付けるよう徹底します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-345】株式会社西島畜産 サイトメンテナンスのお知らせ ２０２３年９月２日

 
２０２３年９月２日深夜に第三者からの不正アクセスによるホームページ改ざんを受け、お客様及びお取引先様にはご心配及び多大なるご迷惑をおかけし、誠に申し訳ございません。既に警察に被害届を提出致しました

弊社小売店舗で利用しているメールマガジン配信システムに不正アクセスがあった可能性があり、メール配信システムが悪用され、一部のお客様にメールが配信されてしまいました。一部のお客様のメールアドレスが流失した可能性があります。 現在、メールアドレスを悪用されたことによる被害は報告されていませんが、警察にこれまでの事実を伝え対応をしております。また、ホームページのデータも全て削除されておりました。

お客様には多大なるご迷惑、ご心配をおかけすることになりましたこと深くお詫び申し上げます。弊社は今回の事態を重く受け止め、今後は個人情報保護対策の強化を徹底し再発防止に努めて参ります。何卒ご理解賜わりますよう、宜しくお願い申し上げます。

なお、お肉のお取り寄せ通販サイト及び自社配達は、不正アクセスを受けたものとは全く異なるサーバー・システムで運営しているため、影響はなく、クレジットカード情報をはじめとする個人情報の流出はありません。

現在、ホームページはメンテナンス中となりますが、不正アクセスを受けたサーバーではなく、新規のサーバーを用意しホームページの再構築を進めております。

お客様ならびにお取引先様には、大変ご迷惑をおかけし誠に申し訳ございませんでした。

今後もお客様にお喜びいただけるような店舗づくりを目指してまいりますので、今後とも何卒宜しくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-344】福岡市 個人情報の流出事案について 2023年9月1日

下記のとおり、個人情報の流出事案が発生いたしました。関係者の皆様に深くお詫びし申し上げますとともに、再発防止を図ってまいります。

１ 事案概要

東平尾公園管理事務所（指定管理者：公益財団法人福岡市緑のまちづくり協会。以下、「協会」という。）の職員が、勤務時間中に自席端末からニュースサイトを閲覧していたところ、サポート詐欺に誘導され、端末を遠隔操作された。

しばらくして詐欺であると気づき、電源を遮断したが、その間に、協会のサーバーに不正アクセスされ、104 名分の個人情報が流出した可能性があるもの。

２ 流出した可能性があると想定される個人情報：104 名

① 平成 30 年度ベスト電器スタジアムバックヤードツアー参加者名簿（32 名）

• 氏名（漢字・フリガナ） ・郵便番号 ・住所 ・年齢
• 属性（小学校名、学年、参加団体名）

② 東平尾公園野球場及び体育館の利用団体代表者連絡先一覧（72 名）

• 団体名 ・代表者連絡先 ・代表者氏名（カナ） ・団体人数 ・種目

３ 事案発生日時

 令和５年８月 16 日 19 時 55 分頃

４ 事案発覚日時

 令和５年８月 23 日 11 時 40 分頃

５ 事案発生後の対応等

 現在、対象者に対し、電話などにより事案発生について説明、謝罪を行っている。

６ 再発防止策

 情報セキュリティ研修を行い、情報機器の適切な取扱いについて改めて周知徹底を行い、再発防止策を講じる。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-343】奈良県 不正に取得された教職員のメールアドレスからの不審なメールの送信について 2003年9月1日

このたび、奈良県教育委員会が運用しているドメイン（e-net.nara.jp）において、教職員のメールアドレスが不正に取得され、漏えいしたことが判明しました。詳細は現在調査中です。

現在のところ、不正取得された１件のメールアドレスから約 1,500 件の宛先にメールが送付されたことが確認されています。

不審なメールが送付された方々には、ご迷惑、ご心配をおかけしましたことを深くお詫び申しあげます。このような事態を招いたことを重く受け止め、今後、原因の究明に努めるとともに、セキュリティ対策を強化し再発防止に努めてまいります。

１ 事案の内容

• ８月 25 日（金）及び 28 日（月）に、メールアドレスを不正取得された者に対し、メール受信者から不審なメールが届いたと申告。
• ８月 30 日（水）教育研究所（@e-net.nara.jp 管理者）に、メール受信者から不審なメールが届いたと連絡。県教育委員会が当該アカウントの履歴等を確認。同アカウントから約 1,500 件のメールが送信されていることを確認。

２ 原因

外部からのメールを受信した際、確認が不十分なまま、メール本文中の URL をクリックしたため、メールアドレスを不正に取得されたもの。

３ 対応

• ８月 30 日（水）当該アカウントの停止
• ８月 31 日（木）不審なメールの送信先に状況説明と謝罪をメールにて連絡。
• ８月 31 日（木）全教職員（e-net.nara.jp のアドレス付与者）に不審メールへの対応について注意喚起をメールにて実施
• 引き続き、ログを解析し、さらなる情報流出がないかの確認と流出経路の特定中。なお、上記不審なメール送信の他、本日までにこの情報流出による被害の報告はない。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-342】株式会社湘南国際村協会 弊社を装った迷惑メール（なりすましメール）につきまして 2023年9月1日

本日、実在する弁護士および弁護士事務所の名前で、湘南国際村協会のお客様や関係者あてに、

当協会が8月31日付で破産手続きを開始した、との事実無根のメールが配信されました。

これらのメールは弊社社員になりすまして送信された悪質なメールで、

弊社及び弊社代理人が送付したメールではございません。

また、当協会のFTPサーバーもハッキングされ、データを書き換えられましたため、

9月1日午前4時半ごろより16時ごろまでホームページを表示することができない状態となっておりました。

当サーバーへのアクセスログの確認および被害の状況につきまして確認を進めております。

詳細が判明しましたら、改めてご報告させていただきます。

メールを受信された皆様には多大なご迷惑をおかけしましたことを、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-341】鹿児島餃子の王将 お客様へお知らせ 2023年9月1日

 

いつも鹿児島餃子の王将をご利用いただき誠にありがとうございます。

2023年8月31日21時頃より、第三者からの不正アクセスにより当社ホームページが改ざんされていることが判明致しました。

これに伴い、同サイトを2023年9月1日(金)9時00分～9月1日(金)17時30分の間、メンテナンスをさせていただきました。

改ざん内容として、「2023年8月31日付で破産手続きを開始いたしました。」という情報が記載されておりましたが、まったくの事実無根でございます。 今回の件に関しましては、既に警察に被害届を提出致しております。

お客様ならびにお取引先様には、大変ご迷惑をおかけし誠に申し訳ございませんでした。

今後も、お客様が喜ばれる店舗造りを目指して参りますので、引き続きよろしくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-340】オリエンタルエアブリッジ株式会社 退職者による社内情報のデータ持ち出しについて 2023年8月28日

平素は格別のご高配を賜り、厚く御礼申し上げます。

報道されておりますとおり、昨年当社を退職した社員が、退職直前に会社の機密情報を持ち出したことが確認されております。

お客様には多大なるご心配とご迷惑をおかけしておりますことをお詫び申し上げます。

警察による捜査の結果、今回持ち出された社内情報が元社員から第三者に渡った事実は確認されておりませんので、お客様が航空機をご利用いただく際の安全につきまして影響はございません。

再発防止につきましては、航空局および専門家の意見を聞きながら実施しておりますが、引き続き情報セキュリティの強化に努めて参りたいと存じます。

改めて、お客様にご心配とご迷惑をおかけすることをお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-339】総務省 NAVER Corporation への検索関連データの提供に関する 利用者周知及び安全管理措置の実施等について（指導及び要請） 2023年8月30日

貴社（ヤフー株式会社）においては、Yahoo！JAPAN の検索エンジン技術の開発・検証の観点から、NAVER Corporation（以下「NAVER 社」という。）に対して、令和５年５月 18 日から同年７月 26 日までの間の検索関連データの提供を試験的に行っていた（以下「試験運用」という。）。その際に、慎重な取扱いが求められる情報である位置情報等（約 756 万のユニークブラウザ分の検索クエリ等（うち、位置情報は約410 万のユニークブラウザ分））を利用者に対して事前の十分な周知を行うことなく、NAVER 社へ提供し利用させていたほか、NAVER 社により物理的に提供情報のコピー等を行うことが可能な状態となっていたなど、安全管理措置に不十分な点があった。

貴社の Yahoo！検索は、多くの利用者が日常的に利用しているサービスであることに鑑みれば、今後とも利用者が安心して貴社が提供する電気通信役務を利用することができるよう、以下の措置を講ずることにより、貴社の電気通信事業に対する信頼を確保し、もって電気通信役務の円滑な提供の確保と利用者の利益の保護を図ることが求められる。

以上を踏まえ、下記の１及び２について、必要な措置を実施されたい。また、その実施状況について、１については、令和５年９月 29 日までに報告されたい。また、２については、対応次第、随時状況を報告されたい。なお、今後新たな懸念が生じた場合等には、追加的な報告や調査、措置の実施を求める可能性がある旨を御承知おき願いたい。

１ NAVER 社への検索関連データの提供に関し、以下の各事項のとおり実施されたい。

（1）利用者周知に関する事項

（ア）提供する位置情報及びその利用目的について、利用者が事前に十分に理解できるよう適切な方法で周知を行うこと。

（イ）試験運用において、（ア）の対応が未実施だったことを踏まえ、貴社組織における利用者の利益の保護に係るガバナンスの在り方について見直しを行うこと。

（ウ）利用者に対し、位置情報の提供に同意しない手段を用意することが望ましいと考えられるため、当該手段について検討を行うこと。

（2） 安全管理措置に関する事項

(ア) NAVER 社による位置情報のコピー等が物理的に不可能な状態となる措置（VDI の導入等）か、それと同等の措置を講ずること。

(イ) 貴社において、NAVER 社による安全管理措置の実施状況の監査を行う体制の構築等を図ること。

２ 本事案が発生したことや、貴社が利用者の利益に及ぼす影響が大きい電気通信役務を提供していることを踏まえ、当該役務の高い信頼性を保持し、利用者が安心・安全で信頼できるサービスを選択できるよう、貴社が提供する電気通信役務に関し、特定利用者情報規律※に係る以下の対応を行うことが望ましい。

※電気通信事業法（昭和 59 年法律第 86 号）第 27 条の６及び同法第 27 条の８

（1） 次に掲げる事項の公表

①取得する特定利用者情報の内容（当該特定利用者情報を取得する方法を含む。）に関する事項

②特定利用者情報の利用の目的及び方法に関する事項

③特定利用者情報の安全管理の方法に関する次の事項

• 安全管理措置の概要
• 外国に所在する第三者に特定利用者情報の取扱いを委託する場合における、当該外国の名称及び当該特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の有無

④利用者からの苦情又は相談に応ずる営業所、事務所その他の事業場の連絡先に関する事項

⑤過去 10 年間に生じた電気通信事業法第 28 条第１項第２号イ及びロに掲げる事故の時期及び内容の公表に関する事項

（2） 次に掲げる事項の総務省への報告

①特定利用者情報の漏えい、滅失又は毀損の防止その他の当該特定利用者情報の安全管理に関する次に掲げる事項

• 組織的安全管理措置に関すること。
• 人的安全管理措置に関すること。
• 物理的安全管理措置に関すること。
• 技術的安全管理措置に関すること。
• 特定利用者情報の適正な取扱いに影響を及ぼすおそれのある当該外国の制度の把握の体制に関すること。

②特定利用者情報の取扱いを第三者に委託する場合における当該委託を受けた者に対する監督に関する次に掲げる事項

• 委託先の選定の方法に関すること。
• 委託契約において定める特定利用者情報の取扱いに関すること。
• 委託先における特定利用者情報の取扱状況の把握の体制及び方法に関

③情報取扱方針の策定及び公表に関する事項

④電気通信事業法第 27 条の９の規定による評価に関する次に掲げる事項

• 当該評価の実施並びに当該評価の結果の情報取扱規程及び情報取扱方針への反映の体制に関すること。
• 当該評価を行う項目、方法及び頻度に関すること。

⑤特定利用者情報を取り扱う従事者に対する監督に関する事項

リリース文（アーカイブ）

【セキュリティ事件簿#2022】株式会社フルノシステムズ 不正アクセスによる個人情報流出に関するご報告（最終報） およびサポートセンター再開に関して 2023年8月22日

 

株式会社フルノシステムズ（本社：東京都墨田区、代表取締役社長：中谷聡志、古野電気㈱関連会社）は、2022年12月19日および2023年1月27日にお知らせいたしました「不正アクセスによる個人情報流出」につきまして外部専門機関とともに原因調査を進めてまいりました。以下に調査の結果およびサポートセンターWebサイト（ii-desk）の再開につきましてご案内申し上げます。

不正アクセスによる個人情報流出では、ご利用のお客様をはじめ関係者の皆様に多大なるご心配とご迷惑をおかけいたしましたこと、改めまして深くお詫び申し上げます。今後はこのような事故が発生しないよう、再発防止に取り組んでまいります。また、サポートセンターWebサイトの再開まで大変長らくお待たせし、誠に申し訳ございませんでした。引き続き弊社製品およびサービスをご愛顧賜りますよう、よろしくお願い申し上げます。

１．不正アクセスによる個人情報流出に関するご報告（最終報）

①不正アクセスおよび個人情報流出の原因

調査の結果、以下の要因によって2022年11月18日から2022年11月20日にかけて、サポートセンターWebサイトへの不正アクセスによる個人情報流出が発生しておりました。

• 外部ネットワークからのアクセスに対して適切な対策がされていなかった
• WEBアプリケーションに脆弱性があり対策がされていなかった
• 不正侵入監視が不十分であった
• 定期的な脆弱性診断が実施されていなかった

②対策および再発防止

弊社では今回の事態を重く受け止め、サポートセンターに関わるシステムに以下のセキュリティ対策および再発防止策を実施いたします。

• 外部ネットワークからのアクセス制限の強化
• 外部専門機関によるペネトレーションテストの実施および指摘された脆弱性の改修と対策の強化
• アクセスログの定期監視による不正侵入監視の強化
• システム全体に対しての定期的な脆弱性診断の実施

■不正アクセスによる個人情報流出に関するこれまでのお知らせ

[2022年12月19日]　不正アクセス発生による個人情報流出の可能性に関するお詫びとお知らせ

https://www.furunosystems.co.jp/news/info/20221219001451.html

[2023年1月27日]　 不正アクセス発生による個人情報流出に関する［対象範囲確定］のお知らせと今後の対応について

https://www.furunosystems.co.jp/news/info/20230127001469.html

2．サポートセンターの再開

原因の明確化および対策と再発防止の実施により、サポートセンターに関わるシステムを安全に運営できる準備が整いました。よって、停止していたサポートセンターWebサイトを2023年8月22日（火）より再開させていただきます。

＜パスワード変更のお願い＞

サポートセンターWebサイト再開後、初回ログインの際にパスワード変更画面に遷移いたします。大変申し訳ございませんが、パスワードの変更をお願いいたします。

この処置はパスワードポリシーを今以上に強化することで、今後より安心してご利用いただくためのセキュリティ向上の一環としてお客様にご協力をお願いするものでございます。何卒、ご理解とご協力をお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-337】株式会社テレビ新潟放送網 弊社東京文社営業社員の社用パソコン紛失について 2023年8月17日

8 月 11日に弊社社員が社用パソコンを紛失し、個人情報等が添えいするおそれのある事案が発生しましたので、お知らせいたします。 関係者にご迷惑とご心配をおかけいたしましたことを深くお詫び申し上げます。

事案の概要

8月11日 (金) 早朝、弊社東京支社の営業社員が移動中に、社用のパソコン (以下 PC) と PC

のパスワードを書いたメモを紛失いたしました。 紛失に気付いた当該社員は、上直ちに警察に届け出ましたが、発見にいたっておりません。

弊社は紛失の発覚を受けて、クラウドサービスや社内ネットワークに、紛失したPCから接続

できなくなるよう対策をとっており、現在までに不正なアクセスが行われた形跡はありません。また、このPCには視聴者の個人情報は含まれておりませんでした。

PC 内のデータについては、全容を調査するとともに関係先の皆様には説用の上、謝罪いたしました。

弊社では今回の事態を重く受け止めており、今後はこうした事態が起きないよう、社内ルールの徹底や管理の適正化を図り、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-336】東京都公立大学法人 個人情報を含むノートパソコンの盗難について 2023年8月28日

東京都立大学プレミアム・カレッジの特任教授が海外出張中に、学生等の個人情報が入っ

たノートパソコンの盗難被害に遭いましたのでお知らせします。

関係者の皆様には、ご不安をおかけしていることを深くお詫び申し上げます。今後、情報

管理の更なる徹底に全学を挙げて取り組み、このようなことが起こらないよう努めてまいり

ます。

１ 事故の概要

令和 5 年 8 月 27 日（日）日本時間 19 時頃、本学特任教授がドイツからオランダへの電車での移動中に個人所有であるノートパソコンが入ったカバンを盗難された。

ノートパソコンにはパスワードを設定しており、現時点では、当該個人情報の第三者への流出や不正使用による被害などの事実は確認されていない。

２ 盗難品

ノートパソコン１台

３ ノートパソコンに保存されていた個人情報

1. 学生 99 名の氏名（うち都市環境学部生及び都市環境科学研究科生68名、プレミアム・カレッジ生 31 名）、学修番号、住所、電話番号、メールアドレス
2. 2020 年度以降、当該教員担当授業の学生からの提出レポート
3. 同窓生 226 名の氏名、メールアドレス、旧姓、所属、卒業年度

４ 本件に関する今後の対応と再発防止策等

1. 該当する関係者の皆様には、本件に関する説明と謝罪を行うとともに、実際に第三者への流出などの事実が確認された場合は、速やかに事実関係を周知する
2. 本学教職員に対する個人情報管理、情報機器等の保管及び管理の徹底を周知するとともに、より個人情報管理が徹底されるよう、全学的な検討を行い、対策を行う

リリース文（アーカイブ）

【セキュリティ事件簿#2023-335】株式会社エフトリア セキュリティに関する重要なご報告

このたび、弊社におきまして、ランサムウェア攻撃（以下；不正アクセス）による一部の情報漏洩が発生しましたので、下記のとおりご報告いたします。

お取引先様、関係者の皆様に多大なるご心配とご迷惑をおかけすることになり、深くお詫び申し上げます。

１．本件の概要

不正アクセスによって、弊社のパソコン 27 台、サーバ３台に保管されていた情報の一部が暗号化、または削除され、ダークウェブ上にファイル名が公開されたことを確認いたしました。

本日現在、不正アクセスによって公開されたファイル名を原因とした損害や被害の連絡は入っておりません。

２．対応状況

•  ８月９日にパソコン 27 台、サーバ３台が不正アクセスの被害を受けたことを確認した後、直ちに被害対象のパソコン、サーバをネットワークから切り離した上での復旧作業とファイアウォールの設定変更を行っており、以降の不正アクセスの発生はございません。
• ８月 17 日に神奈川県警サイバーセキュリティ対策関係者より、弊社から情報を抜き出したことがダークウェブ上に公開されているとの連絡を受け、県警への捜査協力、外部専門家の協力を得てダークウェブの状況確認を進めております。
•  窃取されたデータの一部がダークウェブ上に掲載されていることを確認しておりますが、情報に関係するお取引先各社様を特定でき次第、順次ご報告を実施してまいります。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を徹底してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-334】株式会社アップガレージグループ メールアドレス漏えいについてのご報告及びお詫び 2023 年８月 15 日

当社が 2023 年８月 14 日（月）15 時 29 分に配信いたしました「お客様インタビューへのご協力のお願い【タイヤ流通センター】」という件名のメールにつきまして、受信者様のメールアドレスが表示される形で一斉送信してしまうという事態が発生いたしました。漏えいしたメールアドレスは 94 件です。

皆様には、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

このたびのことを厳粛に受け止め、今後、再発防止の徹底に努めてまいります。

１．経緯

2023 年 8 月 14 日（月）15 時 29 分に、当社よりお客様に対し、「お客様インタビューへのご協力のお願い【タイヤ流通センター】」という件名のメールを配信いたしました。その際、受信者様のメールアドレスを「bcc」にて送信すべきところを、誤って宛先に入力し送信してしまいました。この結果、メール受信者様は、相互にメールアドレスが確認できる状態になりました。

２．漏えいした個人情報

タイヤ流通センター横浜町田総本店をご利用いただいたお客様の一部 94 件のメールアドレス

３．お客様への対応

当該メールの受信者様に対し、メールアドレス漏えいに関するお詫びと、当該メールの削除をお願いするメールを当日中に送信しております。

４．再発防止策

メール送信時にメールアドレスの誤入力を防ぐため、一斉送信時には複数人による多段階確認を徹底するとともに、改めて個人情報の適正な取り扱いルールの社内周知を行い、再発防止に努めてまいります。

関係者の方々にはご迷惑をおかけしましたこと、心よりお詫び申し上げます。

なお、本件に関し、ご質問等がある場合は下記お問い合わせ先にご連絡くださいますよ

うお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-333】神栖市 教職員によるUSBメモリ紛失について 2023年8月25日

市立小学校に勤務する20代教員が、児童の個人情報が入ったUSBメモリを紛失する事案が発生しましたので報告いたします。

USBメモリには、当該教員が担当する5,6年生全員の氏名や1学期の成績等が保存されていました。

本事案につきましては、当該教員が警察に遺失物届けを提出しましたが、現在のところまだ発見されておりません。なお、現時点で個人情報の流出は確認されておりません。

事案の経過

8月7日(月曜日)

当該教員が夏季休業中に新学期の授業準備をするため、校長の承認を得て、校内職員共有ハードディスクからUSBメモリへデータをコピーし、校内設置の「校外への個人情報持ち出し記録簿」に必要事項を記入後、USBメモリを自宅へ持ち帰った。

8月13日(日曜日)

当該教員が自宅で、USBメモリがなくなっていることに気づき、校長へ連絡。

8月18日(金曜日)

校長から市教育委員会へ報告。

8月22日(火曜日)

当該教員が警察署へ遺失物届を提出。

個人情報の内容

• 担任学級の国語、算数、図工、体育の1学期の成績
• 5,6年生の教科担当をするクラスの社会科の1学期の成績
• 運動会の実施計画書

今後の対応

当該教員は、学校の「個人情報取扱い要項」に従い、学校の許可を得て校外に個人情報を持ち出し紛失したことから、教育委員会では再発防止のため、市内全校の「個人情報の取扱に関するガイドライン」等の見直しやコンプライアンス研修の実施を通して、改めて教員の厳正な服務規律の確保の徹底を図り、信頼回復に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-332】バクマ工業株式会社 当社サーバーへの不正アクセスに関するお知らせ 2023年08月21日

 

この度、当社は、当社サーバーに対して不正アクセス攻撃を受けたことを確認しましたので、お知らせいたします。

2023年8月15日に、当社のサーバーが暗号化されるランサムウェア被害が発生していることを確認いたしました。

現在、被害の拡大を防ぐために被害端末をネットワークから遮断し、不正アクセスの原因調査、復旧作業を併行して進めております。

ネットワーク広域に攻撃の被害が及んでいる可能性もあり、全ての特定・調査完了と日常業務への完全な復旧までには、しばらくの時間がかかる見込みとなっております。

警察をはじめシステム会社などの関係機関への報告と助言のもと、連携しながら対応を進めております。

今後、お知らせすべき事項が判明しましたら、改めて開示いたします。

関係各位には、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-331】株式会社インタースペース 不正アクセスによる被害発生について 2023年8月25日

当社は海外事業で使用している外部クラウドサーバーにおいて、第三者からの不正アクセスによる被害を受けたことを確認いたしましたので、お知らせいたします。

2023年8月11日早朝に、第三者からの不正アクセスが行われたことを確認しその影響範囲、被害状況などの調査を行いました。外部クラウドの運営会社および社内調査を行った結果、現時点においては

①海外事業で使用するメールアカウントを悪用したスパムメールが配信された。

②クラウドサーバーの当社アカウントに対して、第三者が利用する外部サーバーのアカウントが不正に紐づけされていた。

ことが判明しております。

被害発生を確認後、社内システムチームを中心に外部クラウド運営会社の専門チームとも連携を行い、不正アクセスの遮断、対策を講じており、一時的な対策は完了しております。詳細な調査結果、対応策等につきましては外部専門家と連携し改めて公表いたします。

なお、現時点において、個人情報にアクセスされていないこと、外部に漏洩された可能性は極めて低いことを確認しております。また業務遂行における支障はないことも併せてご報告いたします。

2023年9月期連結業績に与える影響につきましては、現在精査中であり開示が必要な場合は速やかに公表いたします。

本件により、関係する方々に多大なるご心配をおかけすることを深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-330】株式会社スプリックス 当社子会社におけるランサムウェア被害の発生について 2023年8月23日

このたび、当社子会社の株式会社湘南ゼミナールの一部サーバーが暗号化されるランサムウェア被害が発生したことをお知らせいたします。

本件につきましては、直ちに対策本部を立ち上げ、外部専門家を交え原因の特定、被害情報の確認、情報流出の有無などの調査に着手すると共に、システムの早期復旧に向け全力で取り組んでおります。現在も調査及び作業を継続しておりますが、現時点で判明している事実関係及び当社グループの対応について、以下の通りお知らせいたします。

関係各位におかれましては、ご心配とご迷惑をおかけすることになり、誠に申し訳ございません。深くお詫び申し上げます。

１． 発覚の経緯及びこれまでの対応状況

本年８月 21 日（月）に、株式会社湘南ゼミナールの一部サーバーが、ランサムウェアにより暗号化される被害が発生していることを確認しました。直ちに、外部専門家の協力のもと調査を開始し、迅速に対応を進めるべく対策本部を立ち上げ、警察への通報を実施しております。

なお、現時点では情報流出の事実は確認できておりませんが、個人情報保護委員会への報告も行っております。

２． 被害を受けた情報

今回の被害に対応するため、また二次被害を防止するため一部の社内システムをサーバーから切り離しています。湘南ゼミナールのホームページやメールシステムは通常通り稼働しています。なお、個人情報含むデータ流出につきましては現段階で確認できておりません。

３．今後の対応

外部専門家及び警察と連携の上、調査の継続ならびにシステムの保護と復旧に向け取り組んでまいります。今後の経過について報告が必要な場合は、湘南ゼミナールのホームページ等にてお知らせいたします。なお、当社グループの業績に及ぼす影響については軽微と見込んでおりますが、現在精査中でございますので、開示が必要な場合は速やかに公表いたします。

リリース文（アーカイブ）

【TryHackMeウォークスルー】Command Injection

 

Command Injectionとは、アプリケーションの動作を悪用して、デバイス上で実行中のプログラムと同じ権限でオペレーティングシステム上のコマンドを実行することです。これはOWASPフレームワークのトップテンの脆弱性の一つとして挙げられています。また、攻撃者がシステム自体への直接的なアクセスを得ることなく、アプリケーションに攻撃者が提供するペイロードのシーケンスを実行させることができるため、"Remote Code Execution" (RCE) とも呼ばれます。

この脆弱性は、PHP、Python、NodeJSなどのプログラミング言語で頻繁に使用される関数を使用して、データを転送し、マシンのオペレーティングシステム上でシステムコールを行うために存在します。例として、入力フィールドからの入力を取得し、ファイル内のエントリを検索する場合が挙げられます。

攻撃者は、このプログラムの脆弱性を利用して、自分のコマンドを実行させることができます。

あるWebアプリケーションがあり、ユーザーはIPアドレスを入力すると、サーバーがそのIPアドレスに対してpingを実行し、結果をユーザーに返します。

攻撃者はこの機能を悪用して、次のような入力をすることができます：

127.0.0.1 & cat /etc/passwd

Command Injectionは、以下の2つの方法のいずれかで検出できることが多いです：

Blind Command Injection: ペイロードをテストする際、アプリケーションから直接の出力はなく、攻撃者はペイロードが成功したかどうかを発見するためにアプリケーションの動作を分析する必要があります。

Verbose Command Injection: ペイロードをテストした後、攻撃者はプログラムから即座に応答を受け取ります。

この脆弱性を回避する方法はいくつかありますが、プログラム言語で有害な関数やライブラリを使用することから、ユーザー入力に依存せずに入力をフィルタリングすることまで、さまざまな方法が考えられます。

1. ユーザー入力の検証: ユーザーからの入力を信頼せず、特定のパターンや値にのみ一致する入力のみを受け入れるようにします。
   
   
2. ホワイトリスト方式: 期待される入力のホワイトリストを作成し、それ以外の入力を拒否します。
   
   
3. 外部コマンドの使用を避ける: 可能であれば、外部システムコマンドの実行を避け、代わりにプログラム言語の組み込み関数やライブラリを使用します。
   
   
4. エスケープ処理: システムコマンドを実行する前に、ユーザー入力を適切にエスケープ処理します。
   
   
5. 最小権限の原則: アプリケーションが実行されるアカウントの権限を最小限に保ち、不要な権限を持たせないようにします。
   
   
6. セキュリティライブラリの使用: コマンドインジェクションを防ぐためのセキュリティライブラリやフレームワークを使用します。
   
   
7. 環境変数の制限: システムの環境変数を制限し、攻撃者がこれを利用してコマンドを実行するのを防ぎます。
   
   
8. 入力長の制限: ユーザーからの入力の長さを制限し、大量のコマンドやペイロードの挿入を防ぎます。

参考：Command Injection

参考：Command Injection | TryHackMe (THM)

参考：Command Injection Payload List

【セキュリティ事件簿#2023-329】鹿児島県 迷惑メールの送信事案の発生について 2023年8月23日

このたび，鹿児島県森林技術総合センターのメールアカウントを不正に利用し，第三者からの迷惑メールが送信されていたことが判明しました。メールは英文であり，送信者名も鹿児島県森林技術総合センターではなく，内容も当センターとは関係がないことが記載されています。

当該メールを受け取られた方々には，深くお詫び申し上げます。

なお，このようなメールを受信された場合は，開封せずに削除していただくようお願いします。

事案の概要等は次のとおりです。

1概要

令和5年8月11日から18日にかけて当センターのメールアカウント（kpftc@kpftc-pref-kagoshima.jp）を踏み台にしたメールが送信された。

なお，送信数は，調査中である。（受信ボックスに約9万3千件の返送（非受取）あり。（11～20日午後5時時点））

2原因

調査中。

3対応状況

令和5年8月18日午後6時00分にメールアカウントのパスワードを変更するとともに，海外とのアクセスを遮断した。また，ホームページの公開を停止した。

4再発防止策

今般の事案に対し，原因究明を行い，改めて再発防止策を検討する。

なお，公開停止中のホームページは，再発防止対策完了後再開予定。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-328】株式会社イトーキ 当社グループ会社ホームページに対する不正アクセスについて 2023 年８月 23 日

このたび、当社グループ会社（株式会社イトーキエンジニアリングサービス）のホームページに対する不正アクセスにより当該ホームページの閲覧障害が発生し、これを経由した各種お問い合わせが停止致しましたので下記のとおりお知らせいたします。

関係者の皆様に多大なるご迷惑とご心配をおかけすることになり、深くお詫び申し上げます。

１.経緯

日本時間の８月 21(月)から 22 日(火)にかけて、当社グループ会社のホームページにおいて不正アクセスにより閲覧障害が発生致しました。ただちに、初期対応を始めるとともに迅速な対応を進めるべく、当社と当該グループ会社における対策チームを立ち上げました。

影響の範囲等を調査しておりますが、個人情報及び顧客情報の流出の有無については、現在確認中です。

また、８月 22 日に、当社ホームページにおいて、「当社グループ会社：イトーキエンジニアリングサービスのホームぺージ閲覧障害発生について（https://www.itoki.jp/info/2023/08/22.html）を重要なお知らせとして公開しております。なお、当該グループ会社の業務遂行自体については支障は生じておりません。

２.今後の対応

本件について、対策チームを設置し、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応を進めております。また、関係機関への相談等を開始しています。

なお、本件の当社グループの今期の業績に及ぼす影響については現在精査中です。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-327】長野県 公用パソコンからの個人情報流出の可能性について 2023年8月24日

 

県立高等学校の公用パソコン１台から、個人情報を含むデータが流出した可能性が否定できない事案が発生しました。

関係する皆様及び県民の皆様に深くお詫びいたします。

今後、このような事態が発生しないよう、情報の適正な管理を徹底し、再発防止に努めてまいります。

概要

令和５年８月20日（日）、北信地区の県立高等学校教諭が、自身の携帯電話に料金未払いの連絡を受け、示された電話番号を公用パソコンで検索したところ、トロイの木馬への感染を示す警告画面と連絡先が表示された。その連絡先へ電話をし、指示に従ったところ、パソコンの遠隔操作が行われてしまった。

なお、調査可能なパソコンの操作ログには情報が流出したという記録はなく、また、現時点では本事案により情報が流出した事実は確認されていないものの、流出の可能性を完全には否定できない状況である。

　〇対象となりうる個人情報（平成28年度から令和５年度）

　　・生徒に関する情報（名簿、成績、進路指導・生徒指導・部活動に関する資料）

　　・職員に関する情報（氏名、電話番号、生年月日）

　　・外部指導者に関する情報（氏名、住所、電話番号、職業）

事実経過

８月20日（日）　事案発生、管理職へ報告

８月21日（月）　専門業者による操作ログの調査を開始

８月22日（火）　警察に相談

８月23日（水）　操作ログの調査結果を確認

　　　　　　　　生徒、保護者、卒業生等に事情の説明と謝罪を開始

今後の対応策

（１）引き続き関係者への事情の説明と謝罪

（２）再発防止対策

　　　・情報管理に関するマニュアル等の再点検・見直し

　　　・情報の適正な管理の徹底

リリース文（アーカイブ）