2022年9月6日(火)5:21 PMから、一部の弊社サイトがアクセスできない事象が発生いたしました。現在、アクセスできないサイトは以下の通りです。お客様にはご迷惑とご不便をおかけいたしますことをお詫び申しあげます。
参考:Killnetによる国内サイトへの攻撃示唆についてまとめてみた
デジタル庁 e-Govへのアクセスができない事象について 2022年9月6日
e-Govのウェブサイトにアクセスできず、電子申請、パブリックコメント等を利用できない状況となっておりましたが、現在、e-Govにアクセスできない状況は概ね解消されております。
ご迷惑をおかけし、大変申し訳ございませんでした。
パスワード管理ソフトウェア会社のLastPass、ソースコードを盗まれる。
"LastPassの開発環境の一部で異常な活動を検出しました。"と同社が発表した告知文が掲載されています。「私たちは、不正アクセスされた開発者アカウントを通じて、LastPassの開発環境の一部にアクセスし、ソースコードの一部とLastPass独自の技術情報を持ち出したと判断しています。弊社の製品およびサービスは正常に動作しております。」"
この事故を受けて、同社は封じ込めと緩和策を実施し、さらに強化されたセキュリティ対策を実施しています。
同社は、大手サイバーセキュリティ会社およびフォレンジック会社に調査を依頼した結果、今回のデータ流出によってユーザーのマスターパスワードは流出していないことを確認しました。
「この事件は、お客様のマスターパスワードが危険にさらされたものではありません。私たちはお客様のマスターパスワードを保存したり、知ることはありません。弊社は業界標準のゼロナレッジアーキテクチャを採用しており、LastPassがお客様のマスターパスワードを知ることもアクセスすることもできないようになっています。ゼロナレッジの技術的な実装についてはこちらをご覧ください」 と続けています。
現時点では、調査の結果、本番環境における顧客データへの不正アクセスは確認されていないとしています。
全世界で3000万人以上のユーザーを持つLastPassは、今後も顧客にふさわしい透明性のあるアップデートを続けていくとしています。
出典:LastPass data breach: threat actors stole a portion of source code
一般社団法人企業環境リスク解決機構 メール誤送信による個人情報の流出に関するお詫びとご報告 2022年8月19日
毎々格別のご高配を賜りありがとうございます。
このたび、当機構事務局員の不注意により、当機構の主催する建築物石綿含有建材調査者講習にお申込みいただいたお客様の個人情報を電子メールで流出させる事態を生じさせてしまいました。関係者の皆様には、多大なるご迷惑とご心配をお掛けすることになりましたこと、深くお詫び申し上げます。
当機構として、このような事態を招いたことを重く受け止め、個人情報の取り扱い及び情報セキュリティに関する社内教育ならびに管理体制の強化に取り組み、再発防止に努めてまいりますので、平にご容赦賜りますようお願い申し上げます。
1.個人情報流出の経緯
8 月 18 日(金)午後 3時 15 分、当機構の事務局員が当機構の主催する一般建築物石綿含有建材調査者講習にお申込みいただいたお客様のうち 73 名の方に向け受講資格審査完了のお知らせをメールにて配信しました。その際、メール配信システムの操作を誤り、配信先のお客様全員の個人情報が記載されたファイルを添付してしまいました。
操作ミスの直接的な原因は、メール配信システム上で配信先を選択するボタンと添付ファイルを選択するボタンを誤認したことによるものですが、配信担当者の操作のみで配信が行える体制にも問題がありました。
お客様からご指摘をいただき、当機構においても個人情報の流出を把握したため、午後4時 20 分に、配信先のお客様全員に、本件に関するお詫び並びに当該メールの削除を依頼するメールを送付するとともに、電話によるお詫びと当該メールの削除の依頼を行いました。
2.流出した個人情報
当機構の主催する一般建築物石綿含有建材調査者講習にお申込みをいただいたお客様のうち、73 名の個人情報を含むエクセルファイル。
(当該エクセルファイルに含まれていた情報:氏名、Email アドレス、受講会場、受講者ID)
3. 本件を受けての今後の改善策について
当機構では、本件発生の経緯を確認後、個人情報保護委員会に本件の報告を行いました。
また、過去に類似の事例があった中で本件の発生を防げなかったことを管理体制の不備による重大な問題ととらえ、今後の個人情報の取扱体制改善のために、以下の対策を実行します。
・外部指導機関の指導の下、個人情報保護方針の見直しを行い事務局員全員に周知徹底します。
・メール配信権限をシステム上で制限し、作成担当者、確認担当者、送信担当者の3段階の確認を経ない場合には配信が行われないようにします。
・個人情報保護に関する臨時の社内教育を行います。
【セキュリティ事件簿#2022】マルウェア感染が原因と思われる本学メールアドレスを悪用したメール送信のお詫びについて 2022年9月2日 室蘭工業大学
再発防止に取り組んでいたところですが、7月11日に、同様の事例の発生が確認されたため、内容を更新しました。不審メールを受け取った皆様にはご迷惑をおかけしたことを、改めて深くお詫び申し上げます。
このたび、本学の教職員等4名が利用していたパソコンが、「Emotet」と考えられるコンピュータウイルスに感染し、窃取された認証情報を悪用され、本学メールサーバがSPAMメールの送信に利用される事例が発生しました。本学メールアドレス(~@***.muroran-it.ac.jp)から届きました不審なメールにつきましては、添付ファイル並びにメール内に記載のWebページ等を開かないようお願いいたします。
Emotetをはじめとするマルウェアについては、これまで全構成員に向けて注意喚起を行っておりましたが、このような事案が発生してしまい、遺憾に堪えません。不審メールを受け取った皆様にはご迷惑をおかけしたことを深くお詫び申し上げます。
現在は感染したパソコンを使用していたユーザの認証情報を変更し、メールの不正送信は停止しております。使用していたパソコンについてはネットワークから切り離し、駆除等を実施しております。なお、情報流出等の被害状況については、現在調査中です。
本学としては、この事態を重く受け止め、全教職員及び全学生へのEmoCheck及びウイルス対策ソフトのフルチェックを実施する等の対策を講じると共に、全構成員に対して改めてマルウェアに関する注意喚起を行い、再発防止の処置を講じていく所存です。 また、更なる対策として、システムのセキュリティの強化を行っております。
迷惑メール情報/送信された期間及び迷惑メール数
1人目:2022年4月15日~4月24日 約5,300件
2人目:2022年4月28日~5月8日 約1,600件
3人目:2022年6月4日 約1,400件
4人目:2022年7月9日 約1,500件(R4.7.11確認)
フルハシEPO株式会社 当社サーバーへの不正アクセスに関するお知らせ 2022年9月5日
当社サーバーに対する第三者による不正アクセスを受けたことを確認しましたのでお知らせ します。
当社は、2022 年9月 3 日早朝に、 当社データーセンターのサーバーに、第三者による不正アクセスを受けたことを確認 しました。 被害の拡大を防ぐため、 速やかにサーバーの停止やネットワークの遮断などの対応を行いましたが、基幹システムや関連システムにも被害が及んでおり、一部の業務に影響が出ております。
現在、対策本部を設置し、外部専門家の助言を受けながら、不正アクセスを受けた範囲と情報の特定をしております。 現時点での情報流出は確認できておりませんが、全容を把握するまでには今 しばらく時間を要する見込みです。また、当社の業績への影響も現時点は限定的であると考えております。
少しでも早い復旧に向け、調査および対応を進めておりますが、本不正アクセスにより、当社の業績に重要な影響を及ぼすことが明らかになった場合や、お知らせすべき新たな事実が判明 しましたら、速やかに開示いたします。
この度は、関係各位に多大なるご心配、ご迷惑をお掛けすることとなり、深くお詫び申し上げます。
嫌いな相手に匿名で糞尿を送れるサービスから顧客情報が流出
嫌いな人や敵にメッセージを添えて糞尿の入った箱を送ることができるウェブサービス、ShitExpressが、脆弱性による不正アクセスで顧客情報をお漏らししました。
このデータベースはハッキングフォーラムで公開され、怒りに満ちた、時にはヒステリックな個人的メッセージが公開されたのです。
糞尿配送サービスがハッキングされる
ShitExpressは、本物の動物の糞を購入し、世界のどこにでもいる友人や恋人に届けることができる、いたずらなウェブサービスです。
あなたを最もイライラさせる人たちを想像してみてください。イライラする同僚。学校の先生。元妻。不潔な上司。嫉妬深い隣人。成功した元クラスメート。そして、嫌われ者たち......。
もし、あなたが彼らに臭いサプライズを送れるとしたら?箱を開けた後の受取人の表情は、何物にも代えがたいものです!
ShitExpressの4ステップの購入プロセスには、以下のようなものがあります。
- 動物の選択。例えば有機的で湿った馬のウンチなど。
- 配送先住所の入力
- パッケージのカスタマイズ(例:スマイリーステッカーなど
- 注文の支払い
支払いは、クレジットカードまたはビットコインで行うことができます。このサービスは、クレジットカードで支払う場合でも、利用者に匿名性の約束を謳っています。
しかし今回、ShitExpressは、過去にQuestionProやMangatoonといった企業から個人情報を盗んだことで知られるハッカー、pompompurinのアクセスを受けました。pompompurinは以前にも、700万人分のRobinhoodの顧客データをネット上で売りに出しています。
pompompurinは最近、ShitExpressを訪れ、サイバーセキュリティ研究者のVinny Troiaにウンコを送ったとのことです。
pompompurinを含むRaidForumsの元メンバーとTroiaは、研究者のハッカーコミュニティとの交流やThe Dark Overlordのレポートをめぐって、長年にわたって確執があるとされています。
この確執により、pompompurinはFBIのサーバーをハッキングし、2021年11月にVinny Troiaが行ったサイバー攻撃について偽のアラートを送信しています。
一時期、Troiaはchange.orgの嘆願書を立ち上げ、pompompurinを米国に送還するよう国際的な指導者に要請したこともありました。
最近、pompurinがTroiaに感謝の印を送るためにShitExpressを訪れたとき、このウェブサイトがSQLインジェクションに対して脆弱であることに気づき、顧客のメッセージ、電子メールアドレス、および顧客の注文に関連するその他の個人データにアクセスすることができました。
pompompurinは、ShitExpressがホストしている複数のデータベーステーブルのプレビューを含む小さなサンプルデータセットも共有しました。
注文に含まれるメッセージの一部を以下に示します。
サンプルデータセットには、他にもいくつかのメッセージが含まれています。
"I saw a cockroach today and thought of you... I stepped on it"
"This gift shows my thanks for your hard work, and is a symbol of how great my team thinks you are. ENJOY!"
"This gift shows my thanks for your hard work, and is a symbol of how great my team thinks you are. ENJOY!"
pompompurinは、顧客データベースが予想ほど大きくなかったことに驚いたと述べています。
「正直、そんなに大きくないんです...。データには約2万9000件の注文がある」とpompompurinは語った。
pompompurinはさらに、SQLインジェクションによってShitExpressを悪用したことを確認したが、サイトオーナーに身代金を要求することはしなかったという。
「私はそれをリークする前日にアクセス権を獲得し、データをダンプした後にウェブサイトの所有者に通知しました。彼らが今のところ認めたかどうかはわからない」と結論付けています。
ShitExpressはセキュリティに配慮しています。
ShitExpressの広報担当者は次のように語っています。
数日前、私たちのサーバーに異常な動きがあり、私たちのスクリプトの1つにSQLインジェクションの脆弱性があることが判明しました。これは、誰にでも起こりうるヒューマンエラーであり、純粋に私たちの責任です。これは、私たちの顧客の一人が発見したものです。私たちはすぐにこのエラーを修正しました。これは単なる悪ふざけサイトであることをご理解ください。身代金要求もありません。本当に何も起こりませんでした。ウェブサイト訪問者が私たちのサイトのフォームを使用すると、すべての詳細が私たちのデータベースに格納されます。それは、人々が友人にいたずらするため、ほとんどジャンクです -- 彼らはデータ+電子メールアドレスを入力し、出発します。その後、私たちは彼らに注文の支払いのための電子メールを送り、いたずらされた人は誰がそれをしたのか見つけようと、パニックになっています。私たちのサイトに書いてあるように、私たちは本当の身元を明かすことはありません -- 単に、私たちのウェブサイトのフォームに入力した人の個人情報を持っていないからです。もし誰かが暗号通貨で支払えば、それは明らかに非常に安全で匿名です。クレジットカードで支払う場合は、すべての情報が決済処理機関に残ります。単純なことです。
セキュリティ問題に迅速に対応し、データ侵害を透明性を持って自白するという点では、より多くの企業がShitExpressの様に行うべきです。
それ以前にこのサービス自体がクソです(笑)
社内向けソーシャルエンジニアリングテストのススメ
ソーシャルエンジニアリングとは、攻撃者が人間を騙してITインフラにアクセスし、マルウェアのインストールや重要情報の窃取を行うもので、現在でも好んで用いられる攻撃方法です。
その理由の1つは、スパムメールやフィッシングメール、電話、そして直接会って行うことができるからです。
そのため、どのような経済分野に属する組織であっても、何らかの形で社内のソーシャル・エンジニアリング・テストを実施する必要があります。
ソーシャルエンジニアリングによって、攻撃者は、高度なマルウェアを使用することなく、ローテクで脅威の大きい攻撃を行うことができるようになります。
そのため、ソーシャル・エンジニアリングによる詐欺は日々増加しており、詐欺師やハッカーは、時事問題や災害を利用して、従業員にメールを開かせたり、データへの特別なアクセスを許可させようとしたりします。
電話や電子メールを送るという技術的な参入障壁が低く、特にランサムウェアが絡んでいる場合、組織にとって高いコストとなる可能性があるため、内部テストは確実に必要であると言えます。
テスト1:ゴミ箱漁り
この方法は、ハッカーが乗り越えるべき最も低い技術的障壁であり、単にゴミ箱をあさるだけなので、社内のソーシャル・エンジニアリング・テストを実施する上で最も簡単な方法と言えるでしょう。
必要なのは、ある地点で組織のゴミを集め、そこに何が入っているかを確認することだけです。これは最も簡単な方法ですが、かなり不愉快なことです。しかし、あなたの組織を詐欺にかけようとする人たちは、あなたの潔癖さをほとんど知りません。
ゴミ箱を調べるときは、悪意のある人が好きそうなものを探すとよいでしょう。社会保障番号や個人を特定できる情報が記載された書類、シュレッダーにかけた小切手、社内の機密メモなどは、すべてビジネスに対して武器となり得る紙ゴミの例です。
電子機器廃棄物に関しては、ハードディスクやUSBメモリは宝の山であり、ゴミ箱に捨てずに適切に処分する必要があります。
テスト2:電話
このテストは、通常、第三者がスタッフに電話をかけ、可能な限り多くの情報を聞き出そうとするものです。
第三者機関は、懸念事項があれば組織に報告し、悪意のある第三者による将来の搾取を回避するための措置を講じることができます。
通常、このようなテストは、従業員を騙して、ビジネス、顧客、従業員の機密情報、または詐欺の一部として使用できる情報を与えようとするものです。このようなテストは、第三者によって行われることが多いのですが、社内で行うこともできます。
テスト3:メール(フィッシング)
これは、社内で実施するのが最も困難な方法ですが、どの組織でもフィッシングメールが主流であることを考えると、おそらく最も重要な方法です。
もし、大規模で知識の豊富なITスタッフがいれば、社内で実施することができますが、そのような贅沢は企業全体で共有されているわけではありません。
幸いなことに、中小企業であれば比較的安価なビジネス・ツールを導入し、従業員が疑わしいと思われる電子メールにどのように反応するかをテストすることができます。
これらのツールが生成するデータは、従業員が遭遇する可能性のある脅威に対して、より良い教育を行うために使用することができます。
ソーシャル・エンジニアリングに対抗するための完全な社内テストは、無駄な出費であると考えるべきではありません。このような攻撃の影響を経験したことのあるビジネス・リーダーに尋ねてみてください。このようなテストは命の恩人になり得るのです。
ダークウェブでヒットマン(殺し屋)を雇うとどうなる? ~アメリカの事例(その3)~
ミシシッピ州の女性は、ダークウェブでヒットマンを雇って元夫を殺そうとした罪で10年間刑務所に入ることになった。
連邦地裁のカールトン・リーブス判事は、ジェシカ・リーアン・スレッジ(40歳)に連邦刑務所での120ヶ月の服役を言い渡した。服役後、スレッジは3年間監視下に置かれ、1,000ドルの罰金を支払うことになる。
2022年2月、スレッジは、嘱託殺人の遂行に際して1件の罪状を認めている。裁判資料では、スレッジはヒットマンを検索するために、仕事用のコンピューターにTor Browserをダウンロードしていたことが明らかになりました。サイトを見つけた後、彼女は「Forward Only」という名前でアカウントを作成し、サイト管理者に連絡。彼女は「ヒットマン」に1万ドルを送り、元夫のジェリーを殺害するよう依頼した。
その後、ある情報筋が、スレッジと「ヒットマン」の間のメッセージのコピーをFBIに提供した。スレッジが「Forward Only」であることを確認した後、ヒットマンを装った覆面捜査官がスレッジに電話で連絡を取りました。捜査官は「Forward Only」というユーザーと話すことを要求し、スレッジは当該ユーザーであることを名乗りました。スレッジは、同名のアカウントを持つ WhatsApp を通して連絡を取るよう捜査官に指示しました。
連邦検事補のDavid Fulcherは、スレッジに10年の懲役を課すよう裁判所に要請しました。スレッジの弁護士であるジョン・コレットは、裁判官に寛大さを求めました。コレットは、彼のクライアント(スレッジ)が「再犯の可能性はゼロ」であり、自分の行動に対して反省の意を示していると述べた。Fulcherは、スレッジと "ヒットマン "との間のメッセージの記録を判事に見せ、彼女が誰かを殺害する必要性について話していることを示し、これらの主張に反論した。
連邦地裁のカールトン・リーブス判事は、「これはひどい犯罪だ。個人を殺すことを企てるのは並外れた犯罪である。判決は、これが本当に重大な犯罪であることを反映しなければならない」と述べた。
犯罪の重大性について語った後、リーブス判事は、スレッジをアル・アリスヴィルにある連邦刑務所の女性用施設に収容するよう勧めると述べた。この施設はセキュリティーの低い刑務所だ。
登録:
コメント (Atom)