三重大学　外部機関が運営しているサイト上における個人情報の漏えいについて　2022年11月22日

令和4年10月5日（水）、外部機関から、同機関が運営しているサイト（「外部サイト」）で公表した本学関連資料（令和3年7月公表）について、個人情報に係る部分の秘匿処理について照会があり、確認した結果、十分でないまま公表していることが判明いたしました。本学においては、個人情報保護規程等に基づき個人情報の適切な管理に努めて参りましたが、このような事態を招き、関係の皆さまに多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

１．閲覧可能な状態であった個人情報の内容と該当者数

・学生1名の「学籍番号」及び「氏名」

・卒業生に関する次の内容

　(1) 70名の「学籍番号」及び「氏名」（平成16～26年度入学）

　(2) 616名の「学籍番号」（平成21～28年度入学）

　(3) 36名の「氏名（姓のみ）」（平成8～30年度卒業）

・元研究生1名の「氏名」　

・平成24～令和元年度に本学各種事業にご協力いただいた学外者110名の「氏名」

・元教職員2名の「メールアドレス」

・教職員1名の「住所」及び「連絡先（電話番号及びメールアドレス）」

計837名

２．判明後の対応

該当の資料については、外部機関において9月30日（金）付けで公表が停止されました。その後、10月18日（火）付けで該当の資料がWeb上から削除されたこと、11月9日（水）までにキャッシュデータを含む本件個人情報がWeb上から削除されたことを本学において確認しております。

また、個人情報が漏えいした可能性があり連絡先がわかる方には、個別に連絡等をさせていただいております。

なお、これまでに本件の個人情報が不正に使用された事実は確認されておりません。

３．漏えいの原因

本学において、外部機関に資料を提出する際の確認が不十分であったため、一部、個人情報に係る部分の秘匿がされていなかったほか、秘匿した箇所についても、当該データを加工することによって閲覧可能な状態になっていました。

４．本学からのコメント

本学では、教職員に対し研修会を通じ、個人情報保護の適切な管理に取り組んで参りましたが、このような事態を招いたことを深く反省し、本事象を教訓に今後の個人情報保護と情報セキュリティに関する教育研修を一層強化の上、計画的・継続的に実施し、個人情報保護の重要性を周知徹底するとともに、再発防止に努めて参ります。

リリース文（アーカイブ）

株式会社山形スズキ　個人情報流出の可能性に関するお詫びとご報告 2022年11月28日

このたび、弊社のパソコンがサイバー攻撃を受け、弊社が保有するお客様の個人情報が外部に流出した可能性があることが判明いたしました。お客様をはじめ関係者の皆様に多大なるご迷惑とご心配をお掛けする事態となりましたことを、深くお詫び申し上げます。

なお、現時点で、お客様の個人情報が不正に利用されたり、悪用されたりしたという事実は確認されておりません。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、詳細につきまして、下記のとおり報告いたします。

1）経緯

2022 年 11 月 17 日、弊社のパソコンがサイバー攻撃を受け、遠隔操作された際にお客様の個人情報が抜き取られた可能性があります。なお、パソコンはすぐにネットワークから切り離しております。

2）流出した可能性のある個人情報

2,455 件分のお客様の個人情報（以下の項目が記載されたデータ）

氏名、住所（町名まで）、車両情報（車種、車台番号、登録日）

※これ以外にお客様の電話番号やクレジットカード情報等は含まれておりません。

3）判明後の対応

山形県警察サイバー犯罪対策課への通報・相談と個人情報保護委員会への速報は完了しております。

弊社では、以後このような事態が発生しないよう、セキュリティ対策および個人情報の管理体制の一層の強化を図り、再発防止に努めてまいります。

リリース文（アーカイブ）

岐阜の検察事務官が人事情報に不正アクセスし、処分される

検察庁のネットワークシステムに不正アクセスして人事関係の情報などを閲覧したとして、岐阜地検は２日、３０代の事務官を戒告の懲戒処分にしたと発表した。事務官は同日付で依願退職した。「人事評価を気にするあまり見てしまった」と事実関係を認めているという。

地検は不正アクセス禁止法違反容疑で調べたが、外部への情報漏えいが認められなかったことなどから起訴猶予とした。

出典：検察事務官が不正アクセス　「評価気になり」人事情報閲覧―岐阜地検

Exchange OnlineとMicrosoft Teamsがアジア太平洋地域でダウン

マイクロソフトの主力クラウドサービスが、アジア太平洋地域でダウンしていたことが明らかになりました。

12月2日の発表によると、「我々の最初の調査では、我々のサービスインフラが最適なレベル以下で機能しており、その結果、一般的なサービス機能に影響を及ぼしていることが判明した」と述べられています。

この問題により、Exchange Onlineのユーザーは、サービスへのアクセス、メールやファイルの送信、マイクロソフトが「一般的な機能」と説明する機能の利用ができなかった可能性があります。

Teamsへの影響は以下の通りです。

会議のスケジュール設定や編集、ライブ会議において問題が発生する可能性があります。
People Picker/検索機能が期待通りに動作しない可能性があります。
Microsoft Teamsの検索ができなくなる可能性があります。
Microsoft Teams の [割り当て] タブが表示されない場合があります。

メッセージング、チャット、チャンネル、その他のTeamsの主要なサービスは利用できたようです。

Microsoftは、何が問題なのか分かっていないようです。

「関連する診断データの分析を続ける一方で、影響を受けたインフラのサブセットを再起動し、それによってサービスが復旧されるかを確認しています」と、最初のステータス通知から17分後に投稿された更新に記載されています。

また、別のアップデートでは、次のような情報が提供されています。

弊社では、影響を受けたシステムのごく一部の再起動に成功し、サービスが復旧するかを確認しています。監視を続けながら、根本的な原因の把握に努め、他の潜在的な緩和経路を開発する予定です。

マイクロソフトの報告によると、この問題は "アジア太平洋地域内のすべてのユーザーに影響を与える可能性がある "とされています。

出典：Exchange Online and Microsoft Teams went down in APAC because Microsoft broke itself

富山県立大学　ＤＸ教育研究センターホームページへの不正アクセスについて 2022年12月1日

本学外部レンタルサーバー上で公開しているD文教育研究センターのホームページに第三者ふらの不正アクセスがあり、管理者権限を有するユーザーアカウントが乗っ取られたことが、11月22日 (火) に判明し、同日該当のホームページを閉鎖いたしました。

なお、当該ホームページは、公開全報のみが保管されており、現時点で個人情報等の漏洩は確認されておりません。

今後は情報管理を徹底し、再発防止に努めてまいります。

1 経緯

11月21日(月)

午前：ホームページにアクセスでできないこと、管理画面にログインできないことを担当者が確認

午後：外部レンタルサーバー事業者に状況を問い合わせ

11月22日 (火)

外部レンタルサーバー事業者から回答

・11月12日に不正なプラグインがインストール

・ブラグインによりWordPressが正常実行きれていなかった模様

ホームページの全コンテンツジを削際

11月29日(火)

迷惑行為としてメール送信の痕跡を確認

12月 1 日(木)

県庁、文部科学省、射水警察署に報告

2 想定される被書等

当該ホームページには、外部公開情報のみが保管されており、現時点で個人情報の漏洩は確認されておりません。

迷惑行為としてメール送信の踏み台 (11月14日にに32, 255件送信)にされたことを確認しておりますが、現時点では、その他の被害は確認されておりません。

3 本学の対応

当該ホームページを閉鎖するとともに、サーバー内に保存していたを全報を全て削除しました。

当該ホームページの再構築は、使用するソフトウェアの安全性の確認及びセキュリティを確保する運用手順が確立するまで行われない予定です。

リリース文（アーカイブ）

不正アクセスインシデントに関する対応の進捗状況について 2022年11月29日　株式会社メタップスペイメント

2022年7月1日付「不正アクセスによる情報流出に関する対応状況について」につき、現時点の進捗をお知らせいたします。

1. システム面への対応

クレジットカード決済にかかるシステムについては、技術的安全性の確保を最優先に掲げ、各種対応を進めており、以下のとおり、一定のめどが立っております。

認定審査機関のアセスメントにより、ネット決済システム及びフロントシステム（※1）に関して、PCIDSS Ver 3.2.1へ順次準拠しております（※2）。

また、システムの安全性を維持継続できる運用体制構築に関する諸施策について、年内には完了する予定です。

なお、昨今の環境を鑑みるに、今後は、現時点よりさらに高度な安全確保が必要になってくると痛感するところ、決して本件への反省を風化させることなく、さらなる水準向上に向けて緊張感をもって取り組みを進めていく所存です。

2. 業務改善への対応

経営全般における業務改善につきましては、2022年6月30日付の業務改善命令、および第三者委員会（※3）からの再発防止策提案も踏まえ、業務改善計画を策定し、順次実行しております。また、経営体制面においては、8月、新たに金融・決済制度に造詣の深い吉元利行氏を社外取締役に迎え、取締役会の場のみならず、随時、専門的な知見からの助言を受けています。

内部統制強化のための機関・組織の整備、スタッフの教育も、手を緩めることなく取り組んで参ります。

3. 行政当局への対応

これまでの行政当局への対応は以下のとおりです。

(1) 経済産業省（2022年6月30日業務改善命令への対応）

2022年8月1日　実施済の措置及び今後実施予定の改善措置、時期にかかる報告書提出

2022年9月15日　8月1日付報告書にかかる追加報告書提出

2022年10月6日　進捗にかかる報告書提出（第三者委員会委員の評価も添付）

年末時点で再度、進捗にかかる報告書を提出（第三者委員会委員の評価も添付）する予定です。

(2) 個人情報保護委員会（2022年7月13日指導への対応）

2022年8月1日　改善策実施状況報告

なお、当社からの報告内容については、個人情報保護委員会において、以下のとおり、一定の評価を受けております。

2022年8月31日第214回個人情報保護委員会において改善策の実施状況を審議

（https://www.metaps-payment.com/company/20220901.html）

関係する皆様には引き続きご心配をおかけしますが、策定した改善策を着実に実行し、一刻も早い信頼回復に努めてまいる所存です。

どうか、ご理解のほど、よろしくお願いいたします。

※1 フロントシステムについて

フロントシステムとは、ネット決済システムの前後で予約申込・購入などを受け付けた情報を管理するシステムを指します。クレジットカード情報については、ネット決済システムのみで取扱い、フロントシステムでは非保持・非通過となります。

※2 PCIDSS準拠状況

(1)ネット決済システム

認定審査機関：株式会社ブロードバンドセキュリティ

PCIDSS準拠日：

2022年5月20日（P.C.F.FRONTEO株式会社によるフォレンジック調査結果を踏まえて準拠）

2022年6月11日（国際ブランド指定のベライゾンジャパン合同会社によるフォレンジック調査結果を踏まえた再準拠）

認定審査機関：株式会社GRCS

PCIDSS準拠日：

2022年11月25日（国際ブラント指定による別審査機関による準拠確認）

（2）フロントシステム（顧客向けクレジットカード情報非保持・非通過アプリケーション）

認定審査機関：株式会社ブロードバンドセキュリティ

PCIDSS準拠日：

2022年5月25日　会費ペイ

2022年7月28日　イベントペイ

2022年7月28日　チケットペイ

2022年7月28日　ペイシス

2022年9月30日　スポシル

2022年10月7日　BeesRent

（2022年12月予定　商工会議所向けシステム）

※3 第三者委員会委員

以下のメンバーで構成される独立した機関であり、事実関係の調査等を担当しました。現在は、当社の再発防止策の実施状況について、第三者的立場からの評価を行っています。

右崎大輔　片岡総合法律事務所　弁護士

大河内貴之 Secure・Pro株式会社代表取締役

リリース文（アーカイブ）

全文表示 / Read more »

Zscalerの障害（2022年10月）

2022年10月のZscalerの障害により、ユーザーは接続断、パケットロス、通信遅延の被害を受けました。

この障害は、2022年10月25日米国東部時間火曜日の午前8時頃に発生し、Twitter上でZscalerの一部の顧客は「ハードダウン」していると主張し、他の顧客は、激しい遅延とパケットロスを経験していると伝えています。

ある情報筋は、「内部メンテナンスプロセス」がProxyサーバーに大規模な混乱を引き起こし、今回の障害につながったことを共有しました。

同日12:26PM、Zscalerは、この障害は「zscalertwo.net Cloud」の問題によって引き起こされたことを認めました。

「この問題は軽減されました。現在、クラウド全体のアクティブヘルスチェックを行い、状況を監視しています。」とZscaler Trustのインシデントレポートには記載されています。

Zscalerは、障害に関する次の声明を共有しました。

「Zscalerのクラウドセキュリティプラットフォームは、パフォーマンスと耐障害性を最適化するために複数の分散型クラウドを使用して構築されています。今回の問題は、複数のクラウドのうちの1つと、そのクラウド内で提供されているZscalerのサービスのうちの1つだけに影響を与えました。そのクラウドや他のクラウドで他のZscalerのサービスを利用しているお客様には影響はありません。また、影響を受けたお客様とは密接に連携しています。PDT午前9時の時点で、大半のお客様は完全に復旧しており、検証後のチェックは30～60分以内に完了する予定です。」

出典：Zscaler outage causing heavy packet loss, connectivity issues

週刊OSINT 2022-41号

今週は、オーディオ、OpSec、Telegram、Internet Archive経由でドメイン名を調査するツール、そしてTryHackMeのチャレンジを紹介します。

Audio
OpSec and VPN
Telepathy
TheTimeMachine
Shodan TryHackMe

記事: Audio

Nico Dekens氏が、ビデオのバックグラウンドノイズなどのオーディオを調査するためのブログ記事を書きました。彼は、何を聞くべきか、音声を処理する便利なツール、音を特定するのに役立つツールを挙げており、さらに練習用の音声ファイルを追加しています。音声は、特に特定の場所を指し示す音がある場合、可能性のあるビデオをジオロケーションする上で重要な役割を果たすことがあります。それがどのように役立つのかわからないのですか？彼のブログからオーディオファイルをダウンロードし、試してみてください。

記事: OpSec and VPN

数年前から、AndroidとiOSのVPNクライアントは必ずしもプライバシーを尊重しないことが知られています。これらのオペレーティングシステムは、ほとんどの場合、独自のサービスに接続する際はVPN接続を迂回します。例えば、DNSリクエストなど。ほとんどのユーザーにとってこれは大した問題ではないかもしれませんが、非常に機密性の高いトピックを扱う場合は、単に携帯電話でVPNクライアントを実行するだけでなく、すべての受信要求をVPN経由でトンネリングするルータに接続することを強くお勧めします。iOS 16を調査し、このニュースを共有してくれたmysk_coに感謝します。

ツール: Telepathy

Jordan Wildon氏は、彼のTelegramツールTelepathyに複数の機能を追加した。最も注目すべき機能は、位置情報検索である。この機能により、任意の座標の周辺にいるユーザーを検索することが可能になる。このスイスアーミーナイフのようなTelegramツールに、もう一つ素晴らしい機能が追加されました。

ツール: TheTimeMachine

FR13ND0x7Fによるこのツールはバグバウンティ用に開発されたものですが、ある程度技術があって、このツールが何をするものなのかが分かっている場合には、便利なツールになります。Internet Archiveをスクレイピングし、指定されたドメインからのすべてのURLをテキストファイルにダンプし、利用可能なサブドメインを特定することができます。スクレイピングされたコンテンツから、APIやJSONのエンドポイントを特定することもできる。小さいが、ドメイン名で作業するときに便利なツールだ。cyb_detectiveさん、ありがとうございました。

小技: Shodan TryHackMe

ドメイン名とそれに関連する事柄について、もっと練習したいとお考えですか？TryHackMeに飛び込んで、0xbeeが作成したShodanルームを覗いてみてください。質問を1つ1つクリアしていき、Shodanのさまざまな側面や可能性を発見し、サービスへの問い合わせ方法について理解を深めてください。作成ありがとうございました。

出典：Week in OSINT #2022-41

Ｊ．フロントリテイリング株式会社　個人情報の取り扱いに関するお詫びとお知らせ 2022年11月28日

J．フロントリテイリングループ (以下「JFRグループ」といいます) では、お客様により良いサーヒスを提供するために、お客様の個人情報の一部をJFRグループ各社で共同利用しております。このたび、JFRカード株式会社(以下「JFRカード」といいます) で取得したカード会員様の個人情報のうち、JFRグループ内での共同利用の対象として除外していた項目も含めて、JFRグループの顧客情報データベース (※) に誤ってデータ送信していたことが判

明いたしました。カード会員様をはじめ関係の皆様には多大なるご心配とご迷惑をおかけすることとなりましたことを深くお詫び申し上げます。

(※)JFRグループ各社で取得した個人情報をJFRグループ内で共同利用するためのデータ情報基盤

なお、本件は、顧客情報データベースでの当該個人情報の利活用前に発覚し、すでに顧客情報データベースから当該個人情報を削除いたしました。また、顧客情報データベースは厳重に管理されており、当該個人情報の顧客情報データベース外部への漏えいはないことを確認しております。

JFRグループは、今回の事態を重く受け止め、再発防止対策を講じ、個人情報に係る管理を徹底してまいります。

1. 経緯

JFRグループは、より良いサービスを提供するために、お客様の個人情報の一部を顧客情報データベースにて管理し、JFRグループ各社で共同利用しております。

今般、JFRカードが、共同利用の対象として除外していた項目を含む個人情報を、2022年9月12日から顧客情報データベースに誤ってデータ送信していたことが、同年11月1日に判明いたしました。 JFRカードは同日にこのデータ送信を停止し、J. フロントリテイリング株式会社において同年11月4日にデータ送信していたすべての個人情報を削除いたしました。

( 1 ) 対象となるお客様

対象となるお客様は、以下の通りです。

( 2 ) 誤送信された項目

誤送信された個人情報は、「利用枠」「決済口座」「お支払い状況に関する情報」です。

クレジットカード番号や暗証番号は含まれておりません。

2. 二次被害について

顧客情報データベースに保持された個人情報はクラウドの環境で高度に暗号化されており、情報へのアクセスも厳重に管理しております。調査の結果、当該個人情報が顧客情報データベース外部に漏えいしていないこと、及びJFRグループ内で当該個人情報が利活用されていないことを確認しております。したがって、二次被害の可能性はございません。

3. 原因と再発防止策について

本件は、本年9月からJFRカードが顧客情報データベースにデータ送信を開始するにあたり、データ送信項目を十分に精査することなく、また社内規程に定める承認プロセスを経ることなく、システム部門が誤ってデータ送信を開始してしまったことが原因です。

再発防止として、お客様の個人情報に関する取扱規程の運用を徹底するとともに、JFRカード従業具の再教育、JFRカード内におけるシステム部門と管理部門との相互連携の強化に継続的に取り組んでまいります。

4 . 今後の対応について

対象のお客様には、ご連絡をさせていただく予定です。

なお、本件につきましては個人情報保護法その他関係法令に則り、経済産業省等に報告をいたしております。

リリース文（アーカイブ）

株式会社山本製作所　弊社サーバーへの不正アクセスについてのお詫びとご報告 2022年11月14日

2022年11月12日未明、弊社が管理しているサーバーにサイバー攻撃による不正アクセスが確認されました。現在、サーバーの停止、ネットワークの遮断を行っており、データの読み取り及びメールの確認等ができない状態となっております。お問い合わせへの対応や書類の発送等にも支障が生じております。

その他の状況につきましては現在全容を確認中です。今後は、各監督官庁への報告とともに、外部専門家の協力も得ながら調査を進め、事実の把握に努めて参ります。

この度は、お客様ならびにお取引先様、関係者の皆様には、多大なご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

なお、今後判明した事実につきましては、弊社ホームページにてお知らせいたします。

リリース文（アーカイブ）