テスラのモデル3とモデルYは、Bluetoothアタックにより盗難のリスクがあります。/ Hackers can steal your Tesla Model 3, Y using new Bluetooth attack

NCCグループのセキュリティ研究者は、ターゲットデバイスで認証するために、既存のすべての保護をバイパスするBluetooth Low Energy（BLE）リレー攻撃を実行するためのツールを開発しました。

BLE技術は、ノートパソコン、携帯電話、スマートロック、ビルの入退室管理システムなどの電子機器から、Tesla Model 3やModel Yなどの自動車まで、幅広い製品で使用されています。

このセキュリティ問題に対する修正プログラムの提供は複雑であり、たとえ即時かつ協調的に対応したとしても、影響を受ける製品にアップデートが行き渡るまでには長い時間がかかると思われます。

攻撃の仕組み

この種の中継(リレー)攻撃では、車の解錠・操作を行うキーフォブと車本体の2者間の通信を敵対者が傍受し、操作することができます。

この場合、攻撃者は通信の両端の中間に位置し、あたかも車のすぐそばにいるように信号を中継することができます。

BLEを利用して近接認証を行う製品では、正確な遅延量に基づくチェックやリンク層の暗号化も導入することで、既知のリレー攻撃手法から保護されています。

NCCグループでは、リンク層で動作し、GATT（Generic ATTribute Profile）レスポンスの許容範囲である30msに収まる8msのレイテンシで動作するツールを開発しました。

NCCグループのシニアセキュリティコンサルタントであるSultan Qasim Khan氏によると、この攻撃を実行するには10秒程度かかり、無限に繰り返すことが可能だという。

テスラのモデル3とモデルYは、いずれもBLEベースのエントリーシステムを採用しているため、NCCの攻撃は、車のロック解除や始動に利用できる可能性があります。

この新しいBLEリレー攻撃の背後にある技術的な詳細は公表されていませんが、研究者によると、Teslaアプリのバージョン4.6.1-891を実行するiPhone 13 miniを使って、2020年のTesla Model 3でこの方法をテストしたとのことです。

実験では、iPhoneから7メートル離れた場所と、3メートル離れた場所に設置した2つの中継装置を経由して、iPhoneからの通信をクルマに届けることができた。iPhoneとクルマの距離は25メートル。

この実験は、同様の技術を使用しているため、2021年発売のテスラモデルYでも再現に成功しました。以下は、攻撃のデモンストレーションです。

これらの調査結果は、4月21日にテスラに報告されました。その1週間後、同社は "リレー攻撃はパッシブエントリーシステムの既知の制限である "と回答しています。

研究者は、Kwikset社（スマートロックのKevoシリーズのメーカー）の親会社であるSpectrum Brands社にも通知した。

利用者ができること

この新しい近接攻撃に関するNCC Groupの研究は、BLE全般、Tesla車、Kwikset/Weiserスマートロックの3つのアドバイザリで公開されており、それぞれテストしたデバイスの問題と、他のベンダーの製品により大きな影響を与えることが説明されています。

Bluetoothのコア仕様は、デバイスメーカーにリレー攻撃について警告し、近接型認証は貴重な資産に使用すべきではないことを指摘しています。

このため、ユーザーにはいくつかの可能性が残されています。ひとつは、可能であればこの認証を無効にし、ユーザーとの対話を必要とする別の認証方式に切り替えることです。

また、メーカーがBluetoothの代わりにUWB（超広帯域）無線技術などの距離拘束型ソリューションを採用することも考えられるでしょう。

テスラのオーナーは「PIN to Drive」機能を使うことが推奨されているので、たとえ車のロックが解除されていても、少なくとも攻撃者が車で逃げ出すことはないでしょう。

さらに、静止しているときにモバイルアプリでパッシブエントリー機能を無効にすれば、リレー攻撃は不可能になります。

あなたのデバイスで上記のいずれもが不可能な場合、リレー攻撃の可能性を念頭に置き、それに応じて追加の保護対策を実施するようにしてください。

出典：Hackers can steal your Tesla Model 3, Y using new Bluetooth attack:

Kali Linux 2022.2リリース / Kali Linux 2022.2 released with 10 new tools, WSL improvements, and more

Offensive Securityは、デスクトップの強化、楽しいエイプリルフールのスクリーンセーバー、WSL GUIの改善、ターミナルの調整、そして何よりも新しいツールで遊べる2022年の第2バージョンであるKali Linux 2022.2をリリースしました!

Kali Linuxは、サイバーセキュリティの専門家や倫理的ハッカーが、内部ネットワークやリモートネットワークに対する侵入テスト、セキュリティ監査、調査などを行うためのLinuxディストリビューションです。

このリリースで、Kali Linux チームは、以下のようなさまざまな新機能を導入します。

• GNOME 42 - 人気のデスクトップ環境のメジャー・リリース・アップデート
• KDE Plasma 5.24 - バージョンアップにより、より洗練されたエクスペリエンスを提供します。
• 複数のデスクトップの強化 - Xfce でのマザーボード音の無効化、ARM 用の代替パネルレイアウト、VirtualBox 共有フォルダのサポート強化、その他多数。
• ターミナルの調整 - Zsh のシンタックスハイライトの強化、Python3-pip と Python3-virtualenv のデフォルトでの組み込み。
• エイプリルフール - ハリウッドモード - 驚きのスクリーンセーバー
• Kali Unkaputtbar - Kali の BTRFS スナップショットサポート
• Win-KeX 3.1 - GUI アプリの sudo サポート
• 新しいツール - 様々な新しいツールが追加されました。
• Kali NetHunterでWPS攻撃 - NetHunterアプリにWPS攻撃タブが追加されました。

デスクトップの強化

Kali Linux 2022.2 には、Gnome 42 へのアップグレードが含まれており、よりすっきりとした雰囲気になり、内蔵のスクリーンショットと画面録画ツールが追加されています。

"シェルテーマ "は、ポップアップメニューから矢印を削除し、より丸みを帯びたエッジを使用することで、よりモダンな外観を含むようになりました。さらに、dash-to-dock 拡張をアップグレードして調整し、新しい外観とよりよく統合できるようにし、いくつかのバグを修正しました」と Kali Team は新しいブログ投稿で説明しています。

このバージョンアップの一部として、Kali は彼らの Kali-Dark と Kali-Light テーマもアップグレードしており、ダークテーマは以下のように表示されます。

このバージョンには、KDE Plasma 5.24 へのアップグレードも含まれており、デザインの改善とインターフェイスの微調整が行われています。

もう一つの注目すべき変更点は、アプリケーションに付属する古い、そしておそらくよりピクセル化されたアイコンを表示する代わりに、Kali チームによって追加されたカスタムアイコンを尊重するようになったことです。

映画をモチーフにした新しいスクリーンセーバー

Kali Teamは、エイプリルフールの "Kali 4 Kids "ジョークの一環として作成された、多くの人がすぐにわかるような、ハリウッドにインスパイアされたスクリーンセーバーを追加しました。

スクリーンセーバーのアプリからではなく、以下のコマンドですぐに起動し、起動させることができます。

sudo apt -y install hollywood-activate
hollywood-activate

新しいスクリーンセーバーを紹介する動画は以下からご覧いただけます。

WSL GUI アプリケーションが root 権限で実行できるようになりました。

Windows Subsystem for LinuxでKali Linuxを動作させる場合、KaliチームはWSL-Gを使用してGUIアプリケーションを起動できるようにするWin-KeXをリリースしました。

しかし、ユーザーはこのツールを使用して「ルート」としてGUIアプリケーションを起動することはできませんでした。

Kali Linux 2022.2のリリースでは、Win-KeXがバージョン3.1にアップグレードされ、GUIアプリを「sudo」して期待通りに起動できるようになりました。

Kali Linux 2022.2で追加された10の新ツール

Kali の新バージョンでは、新しいツールが追加されましたが、Kali Linux 2022.2 はその期待を裏切りません。

このリリースには、ネットワークフォレンジックからPHPポストエクスプロイトフレームワークであるPhpsploitまで、10個の新しいツールが含まれています。

以下は、Kali 2022.2で追加された10個の新ツールです。

• BruteShark - ネットワークフォレンジック分析ツール (NFAT)
• Evil-WinRM - 究極の WinRM シェル
• Hakrawler - エンドポイントやアセットを簡単かつ迅速に発見するために設計されたウェブクローラー
• Httpx - 高速で多目的に使える HTTP ツールキット
• LAPSDumper - LAPS パスワードをダンプする。
• PhpSploit - ステルスなポストエクスプロイトフレームワーク。
• PEDump - Win32 実行可能ファイルをダンプする
• SentryPeer - VoIP 用の SIP ピアツーピアハニーポット
• Sparrow-wifi - Linux 用のグラフィカルな Wi-Fi アナライザー
• wifipumpkin3 - 不正アクセスポイント用の強力なフレームワーク

ARM サポートの強化

ARMユーザー向けに、Kaliは主にRaspberry Piへのインストールに焦点を当てた新しい機能拡張を多数提供します。

• カーネルを5.10.103にバンプ
• Bluetoothの改善（今度こそ）
• Wi-Fiファームウェアは7.45.154ではなく、デフォルトで7.45.206を使うようになり、nexmonパッチが適用されるようになりました。
• Raspberry Pi Zero 2 W が nexmon でサポートされるようになりました。
• wpa_supplicant.confの扱いが改善されました。
• カーネルがモジュールではなくNVMEサポートを内蔵しているため、ルートデバイスにNVMeを使用するRaspberry Pi Compute Moduleがそのまま動作するようになりました。
• Raspberry Pi のユーザーランドは、イメージ作成時に手動でビルドするのではなく、ARM64 用にパッケージ化されるようになりました。

Raspberry Piのほか、Pinebrook pro、USB Armory MKII、Radxa Zeroにも改良がもたらされました。

Kali Linux 2022.2の入手方法

Kali Linux 2022.2 を使い始めるには、既存のインストールをアップグレードするか、新規インストールとライブディストリビューション用の ISO イメージをダウンロードします。

Windows Subsystem for Linux (WSL) へのインストールを含め、以前のバージョンから更新する場合、以下のコマンドを使用して最新バージョンにアップグレードできます。

echo "deb http://http.kali.org/kali kali-rolling main non-free contrib" | sudo tee /etc/apt/sources.list

sudo apt update && sudo apt -y full-upgrade

[ -f /var/run/reboot-required ] && sudo reboot -f

WSL上でKaliを使用している場合は、GUIアプリのサポートを含むより良い経験のためにWSL2で使用する必要があることに注意してください。Windows のコマンドプロンプトで 'wsl -l -v' コマンドを使用すると、Kali がどの WSL バージョンとしてインストールされているかを確認することができます。

アップグレードが完了したら、以下のコマンドでアップグレードが成功したかどうかを確認することができます。

grep VERSION /etc/os-release

Kali 2022.2では、ハイライトされた改善点のみを紹介しましたが、全ての変更点については、KaliのWebサイトでご覧いただけます。

出典：Kali Linux 2022.2 released with 10 new tools, WSL improvements, and more

当社サーバへの不正アクセス発生の件 2022年6月2日 株式会社ナフコ

１．経緯

5月30日（月）午前２時頃、当社サーバに第三者による不正アクセスをうけている事を確認いたしました。

確認後、直ちに外部との通信の遮断を行っております。

２．影響の範囲

現在、当社ポイントカードでのお支払いができない、ポイント残高が表示されないなどの不具合が発生しております。

尚、当社はシステム上、お客様のクレジットカード情報は保持していませんので、同情報の流出の可能性はございません。

また、会計システムは社外のクラウドサービスを利用しており、不正アクセスはございません。

３．関係機関への報告

6月1日に、福岡県警察及び個人情報保護委員会への報告及び相談を行い、助言をいただき対応しております。

現在発生している障害については、皆様に多大なるご心配とご迷惑をお掛けしており申し訳ございませんが、復旧に向けて鋭意取り組んでおり、お客様のご不便を少しでも早く解消できるように努めております。

プレスリリース（アーカイブ）

勤怠管理システムサーバに対する攻撃について 2022年6月1日 株式会社ヴィアックス

このたび、弊社においては、勤怠管理システムのサーバに対して第三者の不正アクセスによる攻撃を受けました。 攻撃の詳細については下記の通りです。 

今後、更なる原因の追及とともに再発防止に努めて参る所存です。 このたびは、皆さまにご迷惑をお 掛けすることとなりまして、 誠に申し訳ございません。 衷心より深くお詫び申し上げます。

1.「攻撃発生日および発覚日

発生日：令和4(2022)年4月1日 22時10分ごろ

発覚日：令和4(2022)年4月2日 8時15分

2.攻撃対象

　勤怠・人事給与システムが稼働中のサーバ

3. 情報毀損が発生し、 又は発生したおそれがある個人データの項目

勤怠・人事給与システムに登録されている 

氏名、生年月日、性別、住所、電話番号、メールアドレス、従業員番号、所属部署、扶養者の情報(氏名、生年月日、性別、住所)、世帯主情報 (氏名、続柄)、システムデータ(ログインパスワード、シフトデータ、出退勤打刻データ、各種申請履歴<打刻・残業・休暇・動的変更・直行直骨・休日出勤・出張> 支払い給与データ(銀行口座情報、額、標準 社会保険料額）

なお、攻撃対象たるサーバ内のデータは、DB のファイルやツールによりデータのバックアップを取っていたファイルであるため、それ単体で直ちに閲覧できるデータではなく、攻撃者側が当談 DB と同様の環境を用意し、当環境においてデータを展開できない限りは、閲覧等はできないデータです。

また、攻撃対象となったサーバには、弊社のお客様及びお取引先様の個人情報に関するファイルは含まれていなかったことを確認しております

4. 情報毀損が発生し、 または発生したおそれがある個人データの件数

従業員 1,872 人分、 退職者2,167 人分、扶養者 424 人分、世帯主 2,423 人分)

5.攻撃の種類

ランサムウェアによるデータの暗号化、身代金要求

6. 対応状況 (時系列)

・令和4 (2022)年4月1日 22時10分頃攻撃発生

　(実施したフォレンジック調査により当該時刻より暗号化されていることを確認した。)

・4月2日 8時15分に勤怠システムにアクセスできないとの一報あり。

・システム管理者が確認したところ、 勤怠・人事給与システムのサーバのユーザデータがすべて何者かに暗号化されている状況が確認された。

・4月2日、システム管理者が、 データセンタに往訪、 当該サーバネットワークを切断し、また他のサーバに現状被害がないことを確認した。

当該サーバの暗号化されたファイルを確認したところ、ランサムウェアの感染が発覚した。

・4月5日、関係者による協議の上、攻撃対象サーバはデジタルフォレンジック調査を実施する必要があり、 初期化等はできないので、当該システムの代替環境構築を決定した。

・4月7日法律事務所に法務サポートを正式依頼した。

・4月14日、 社内の他のサーバシステム及び受託図書館の事務用端末に対し、 ウイルス感染・攻撃がないことを確認した。

・4月15日、 専門機関にフォレンジック調査を正式依頼した。

・5月17日 社内における調査・検討の内容も踏まえ、代替環境における勤怠打刻及び申請機能 を開始した。

・5月25日、専門機関によるフォレンジック調査結果の最終報告を受けた。

7. 現状考えられる原因

データセンタ内 DMZ 上にある勤怠システム WEB サーバのメンテナンスを行う際、当該メンテナンス設定の関係上、外部から WEB サーバに対してリモートスクトップ接続ができることとなっていたところ、 当該接続に必要なパスワードが総当たり攻撃により推測され、 当該リモートデ スクトップ接続を用いて WEB サーバに不正侵入されたものと推察されます。 そのうえで侵入後、 ランサムウェアを WEB サーバ上で実行され、アクセスできるサーバのファイルを暗号化されてし まったものと考えられます。

8.二次被害の有無、 再発防止について

今回の攻撃について、勤怠・人事給与システムベンダ、 構築会社、 データセンタ、 ネットワーク 機器納入業者、およびセキュリティコンサルティング会社、 顧問弁護士事務所とも協力して詳細な調査を行った結果、 影響範囲及び被害状況は既に特定しており二次被害はございません。 また、再発防止策として、サーバに対するセキュリティポリシーの強化、 サーバのユーザパスワ ードの強度向上、データセンタ内のネットワーク環境の設定の変更などの施策を実施済みです。 今 後も、セキュリティコンサルティング会社や顧問弁護士事務所とも協力しつつ、セキュリティ対策 ソフトの導入検討、弊社勤怠システムのセキュリティ対策・監視体制の強化、 社内規程の再検討・ 再整備、 社内規程の運用の厳格化をはじめ、 再発防止に努めてまいります。

プレスリリース（アーカイブ）

マルウェア感染が原因と思われる京都大学工学研究科メールアドレスを悪用したメール送信のお詫びについて 2022年6月1日 京都大学 工学部・大学院工学研究科

このたび、京都大学工学研究科教職員のパソコン1 台がマルウェア「Emotet」に感染し、当該パソコンに設定していたメールアカウント情報が漏えいしたことが原因と考えられる大量のメール送信が判明しました。

本学工学研究科メールアドレス（～@***.kyoto-u.ac.jp）から届きました不審なメールにつきましては、添付ファイル並びにメール内に記載のweb ページ等を開かないようお願いいたします。

すでにマルウェアの駆除等を実施し、メールの不正送信は停止しております。

不審なメールを受け取った皆様には、多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。

本研究科としては、この事態を重く受け止め、全構成員に対して改めてマルウェアに関する注意喚起を行い、再発防止の処置を講じていく所存です。

プレスリリース（アーカイブ）

「川崎市簡易版電子申請サービス」で使用している「LoGoフォーム」について、運営者である株式会社トラストバンクの人的ミスにより添付ファイルの一部が消失

 

発表日

令和4年（2022年）5月31日

概要

　本市の電子申請の一部である「川崎市簡易版電子申請サービス」で使用している「LoGoフォーム」について、次の添付ファイルのとおり運営者である株式会社トラストバンク（以下「トラストバンク社」という。）の人的ミスにより、同社のサーバ上に保存されている画像等の添付ファイルの一部が消失したことが判明しました。
　利用者の皆様に御迷惑をお掛けしておりますことを、深くお詫び申し上げます。

　今後、委託契約先である株式会社ワイイーシーソリューションズを通じて、トラストバンク社に対し、安定的な運用を行うよう指導・監督を強化し、再発防止に努めてまいります。

プレスリリース（アーカイブ）

OSINT/Hackingコミュニティーのリスト / Channels about OSINT, Hacking, Security and so on

ロシア語ソース:

| Map of channels & Authors: tgscan.github.io/ru-osint-infosec-map

• t.me/open_source_friend 
• t.me/NetSurvivalist
• t.me/forensictools
• t.me/books_osint
• t.me/onionlinks
• t.me/KladovkaPavlu
• t.me/osintkanal
• t.me/haccking
• t.me/freedomf0x
• t.me/Social_engineering
• t.me/my_cyde
• t.me/irozysk
• t.me/osint_club_channel
• t.me/ChipollinoNetwork
• t.me/netstalking_godnota
• t.me/netstalking
• t.me/netstalking_documents
• t.me/dark_users
• t.me/xakep_ru

英語ソース: 

• t.me/ibederov_en
• t.me/Osintlatestnews
• t.me/cybdetectivearchive
• t.me/cybdetective
• t.me/vxunderground

出典：Channels about OSINT, Hacking, Security and so on

かがわ安心飲食店認証制度専用HP上における個人情報の流出について 2022年5月31日 香川県

事案の概要

令和4年5月31日（火曜日）にかがわ安心飲食店認証制度専用HP（以下「HP」という。）の改修を行い、認証店のPRを目的に、トップページにおいて、HP上に掲載している店舗（令和4年5月31日現在：2,603店舗）をランダムに4件表示するようにしました。

当該改修にあたり、本来、店舗所在地を表示すべきところ、誤って約2時間、申請者住所が表示される状態になっていました。

経緯

令和4年5月31日　午後0時頃　改修後のHPを公開

同　日　午後1時30分頃　県担当者が申請者の住所が掲載されていることを確認

同　日　午後1時45分頃　該当する個人情報をHP上から削除

流出の原因

委託業者の担当者が設定を誤ったものと、県による確認不足による。

今後の対応

HP上に経緯とお詫びを掲載するとともに、委託業者から、かがわ安心飲食店認証制度専用HPに掲載している店舗（2,603店舗）に対して、謝罪文を郵送することとします。

再発防止

委託業者から当該事案に係る報告書の提出を求め、再発防止策を講じます。

プレスリリース（アーカイブ）

大会誓約書を別人に誤送付 - 隠岐の島ウルトラマラソン

隠岐の島ウルトラマラソンにおいて、参加者へ関係書類や用品を発送した際、誤ってほかの参加者の情報が記載された大会誓約書を同梱するミスがあった。

実行委員会によれば、2022年5月27日に同大会の参加者747人に、委託業者より関係書類や用品を発送した際、全参加者において、異なる参加者の大会誓約書を同梱するミスがあったという。

5月30日に書類を受け取った5人から電話で指摘があり、誤送付が判明。誓約書には、参加者の氏名、住所、出場種目、ナンバーカード番号などが記載されていた。

委託業者が書類を同梱する際、誓約書に個人情報が記載されていることを見落として作業を行ってしまったという。

実行委員会では、対象となる参加者に書面で謝罪するとともに対応について説明。正しい誓約書を送付するとともに、誤って送付した誓約書を回収するとしている。

プレスリリース（アーカイブ）

出典：大会誓約書を別人に誤送付 - 隠岐の島ウルトラマラソン 

指先が映った写真に注意！ / A Reminder Not to Take Pictures of Your Fingers

英国で麻薬の売人が片手にブロックチーズを持った写真を公開し、警察はその画像に写っていた部分指紋を分析し、売人を特定し、逮捕に至りました。

匿名にするために指の写真を撮らない方がいいと思う人がいるかもしれない。2021年に起きたこの事件は、その事を証明するものです。

法執行機関がEncrochatをハッキングしたところ、"Toffeeforce "というユーザー名の麻薬ディーラーが送信したメッセージを入手した。このユーザーのメッセージの中には、チーズのブロックを持つ手の写真が含まれていた。

マージーサイド警察によると、捜査官はこの写真から手のひらと指紋を採取し、その指紋は、リバプール在住のカール・スチュワートのものと一致した。

マージーサイド警察のリー・ウィルキンソン刑事は、「スチュワートは大量のA級・B級麻薬の供給に関わっていたが、スティルトン・チーズが大好きで、そのブロックを手にした写真を共有し、摘発された」と述べている。この写真から手のひらと指紋が分析され、スチュワートのものであることが立証されました。

もし捜査官が写真の分析を通じてスチュワートの指紋を「確定」したのなら、それは法執行機関は別の理由（以前の逮捕など）でスチュワートの指紋を保管していたことになる。

マリファナ業者「Canna_Bars」に対する捜査は、同様のシナリオの例を示している。Canna_Barsは自社製品の写真をImgur.comにアップロードしていた。この業者は、マリファナの蕾を素手で持ち、クローズアップした画像を撮影していました。Imgurのギャラリーには、わずかに異なる視点からのショットが含まれており、捜査官は売り手の指紋の高解像度画像をいくつか入手することができました。

この事件に関するDarknetliveの記事：

"この事件を担当する捜査官は、写真の高画質コピーを国土安全保障省捜査文書研究所（FDL）に送りました。2018年3月20日、FDLのアナリストは捜査官に、写真の指紋が[Jose] Porrasのファイルにある指紋と一致した、という調査結果を含む報告書を送った。"

警察は、以前に別件で逮捕したことがあったため、Porrasの指紋カードをすでに保管していたため、逮捕に至ることができました。

ちなみに、スチュワートは、コカイン、ヘロイン、MDMA、ケタミンを供給するための共謀と、犯罪財産の譲渡の罪で13年6カ月の禁固刑を言い渡されました。

 

出典：A Reminder Not to Take Pictures of Your Fingers

ランサムウェアギャングが発表した被害組織リスト（2022年5月版）BY DARKTRACER

 

Dark Tracerによると、2022年5月は日本企業3社(4ドメイン)がランサムウェアの被害にあっている模様。

理研農産加工株式会社（riken-nosan.com）

プレスリリース（アーカイブ）

株式会社しまむら（shimamura.gr.jp）

プレスリリース（アーカイブ）

東ソー株式会社（www.tosoh.com）

東ソー株式会社（www.tosohbioscience.com）

110人にメール誤送信でアドレス流出 三重県熊野市観光公社

三重県教委は2022年5月29日、県立熊野少年自然の家（熊野市金山町）のメール会員に対し、送信先同士でアドレスが分かる状態でメールを送信するミスがあったと発表した。

県教委によると、誤って送信したのは、施設を管理する熊野市観光公社（同市井戸町）の職員。施設のメール会員となっている110人にそば打ち体験教室の案内のメールを送信した際、設定を誤った。

送信してから翌日、メール会員から指摘があり、施設の職員が県に報告した。職員が送信先の全員に謝罪し、削除を依頼するメールを送った。今のところ、アドレスの流失による被害は報告されていないという。

公社の職員は、複数人による確認をしていなかった。県教委社会教育・文化財保護課は「メール送信の際には必ず複数で確認するよう指示する」としている。

プレスリリース（アーカイブ）

出典：110人にメール誤送信、アドレス流出 熊野市観光公社 三重 

広島県で迷惑メールの相手にコロナ宿泊療養施設宿泊の個人データを誤送信

2022年5月30日、広島県は新型コロナの宿泊療養施設に入所していた感染者の個人データを、誤って流出させたことを明らかにしました。

個人データを誤って送信したのは、県東部の宿泊施設のスタッフです。

県は入院の必要がない軽症の感染者が宿泊するホテルの運営をJTB広島支店に委託していました。

委託スタッフはホテルに宿泊している5人の健康保険証のデータを迷惑メールを送ってきた相手に誤って送信したということです。

今のところ高額請求などの被害は報告されていないとしています。

県では運営を委託している他の宿泊施設でも個人データをメールでやりとりしていることから、メールを使わない方法で管理するように改め、再発防止に向けマニュアルを作成することにしています。

出典：迷惑メールの相手に…コロナ宿泊療養施設から個人データ流出　広島

他人領収証を誤送付、寄付急増によるフロー変更でトラブル - 国連UNHCR協会

国連UNHCR協会は、寄付者に領収証を発送した際、一部で別人の領収書を封入するミスがあったことを明らかにした。

同協会によれば、2022年5月20日に委託先より寄付者へ領収証を発送した際、2000件において宛名と異なる領収証を封入、発送するミスが発生した。

領収証には、異なる寄付者の氏名、住所、寄付金額、寄付受領日などが印字されていた。

同委託先では、宛名を含む「案内状」と「領収証」を印刷、発送していたが、ウクライナ緊急支援の影響で寄付件数が急増。

5月にプリンタが故障して再印刷を行った際、プリンタ内に残存していた前月のデータを誤って選択したため、本来とは異なる宛名を案内状に印刷してしまったという。

プレスリリース（アーカイブ）

出典：他人領収証を誤送付、寄付急増によるフロー変更でトラブル - 国連UNHCR協会 

Android向けの無償ウイルス対策ソフト / The best free antivirus for Android

 

セキュリティソフトなしでもあなたのAndroidスマホのセキュリティを維持することは可能です。しかし、一部の人にとってそれはリスクです。メールやメッセージング・プラットフォームからスマホで多くのファイルを開いたり、Playストアからであってもインストールするアプリの種類を少し自由にしすぎたりすると、リスクレベルは上がります。

あなたのAndroidデバイスは、これらの脅威や他の人から安全であることを確認したい場合, アンチウイルスソフトが役立ちます。実際には、Google Playで完全に無料のものがありますが、評判の良い会社から取得したいものです。Google Playからダウンロードしたウイルス対策ソフトが実はマルウェアでしたなんてオチはシャレになりません。

幸いなことに、ほとんどすべての主要なアンチウイルスメーカーが、あなたのデバイスを安全に保つ能力を持つAndroidアプリを提供しており、そのうちのいくつかは無料です。30日間の試用期間ではなく、あなたのデバイスにインストールされている限り無料なのです。中には、より制限された機能を持つものもありますが（無料であることのトレードオフであることが多い）、必要のないサブスクリプションにお金を払わずにデバイスをより安全に保ちたい場合は、これらのアプリをお勧めします。

1. Avira Security for Android

一番のお薦めはAviraです。まず、AV-TestとA-V Comparativesの両方から最高の評価を得ていることです。前者では、2022年3月のリアルタイム攻撃テストと広範囲なマルウェアテストの両方で99.9パーセントを獲得しています。A-V Comparativesでは、2021年のモバイル・セキュリティ・レビューで約3,700のサンプルを使用して、Aviraは100パーセントの検出率を獲得しました。

また、Aviraはより多くの機能を備えています。ウイルススキャナ以外にも、1日100MBのVPN利用、いくつかのストレージ最適化機能、ID保護、パーミッションマネージャなどがある。

現時点では最高の保護とともに、いい機能が揃っている。

2. Bitdefender Antivirus for Android

もし、もっとシンプルで、同じように優れた保護機能を持つものをお探しなら、Bitdefenderをおいて他にはないでしょう。ルーマニアに本拠を置くこの会社は、実はPlayストアに2つのアプリを持っています。無料のものはBitdefender Antivirusで、Bitdefender Mobile Securityではありません。

無料版は、その名の通り、依頼されたときに携帯電話をスキャンします。また、Androidスマホの潜在的な攻撃経路である新しいアプリケーションをダウンロードした際には、Auto-pilotによる最小限の自動スキャンが行われます。

Bitdefenderは、2022年3月のリアルタイム攻撃および広範囲マルウェアテストにおいて、AV-Testから100パーセントを獲得しました。また、AV-Comparativesの2021年モバイルセキュリティレビューで100パーセントの検出率を獲得しています。

3. AVG Antivirus Free for Android

AVG Antivirus & Security for Androidは、もう一つの優れた保護オプションです。AV-Testでは、リアルタイムおよび広範囲のマルウェアテストで100%の保護率を記録し、最高の評価を得ました。しかし、AV-Comparativesでは、検出率は99.6パーセントで、誤検出は1つでした。そのため、3位とさせていただきました。もう一つの欠点は、他の製品がそうでないのに対して、この製品はパーソナライズド広告を使用してサポートしていることです。

しかし、その煩わしさにもかかわらず、AVGの無料Androidアプリについて気に入ることがたくさんある。それは、アプリやファイルをスキャンすることができます, クリーンアップジャンクファイル, と現在のWi-Fiネットワークをスキャンします。それはまた、悪意のあるウェブサイトの保護を持って, バックグラウンドアプリを殺す "RAM booster", Wi-Fiスピードテスト, とリモートであなたの電話を追跡して確保するための盗難防止機能。最後の機能は、AVGのアカウントが必要です。

AVGを所有しているAvastがお好みなら、そのアプリも良いですよ。AVGと同じ保護スコアで、無料なのにほとんど同じ機能セットでした。

4. Sophos Intercept for Mobile

ソフォスは、AV-Testのスコアのみを選択したため、A-V ComparativesではAndroidの解析は行っていません。AV-Testは、2022年3月にリアルタイムマルウェア攻撃について99.8パーセントを獲得しています。一方、広範囲に及ぶマルウェアのテストでは、ソフォスは100パーセントを獲得しています。

主な機能としては、アプリやファイルのマルウェアスキャン、悪意のあるWebページのブロック、悪意のあるリンクから保護するリンクチェッカー、Wi-Fiネットワークスキャン、プライバシーアドバイザなど、ソフォスは多くの機能を提供しています。

リアルタイム反応の他のアプリより若干スコアが低いですが、それでも非常に良いサービスですし、素敵な機能がたくさんあります。さらに、広告もありません。

Android用無料アンチウイルスの選び方

すでに簡単に触れましたが、アンチウイルスは必ず有名なセキュリティ会社から入手すべきです。また、サードパーティのテスト会社が、さまざまなAndroidアプリについてどのようなレポートを出しているかを確認するのもよい方法です。

その後、その会社がアプリに広告を使用しているかどうか、そして自分がそれに問題ないかどうかを確認する必要があります。最後に、あなたが探している機能を備えているかどうかを確認します。無料アプリに期待できる機能は、ここで取り上げたようなものがほとんどです。例えば、アクティブなリアルタイムスキャンを探している場合、それはほとんどのサービスにおいて有料オプションとなります。

テスト方法

これらのウイルス対策アプリについては、各候補のアプリをインストールして実行するとともに、第三者のテスト会社に相談し、アプリがどのような保護スコアを獲得したかを確認しました。また、主要なウイルス対策ベンダーが提供する「無料」アプリのうち、限定的な無料トライアルに過ぎないものは除外しました。無料サービスは、サブスクリプションによってより良いバージョンのアプリにアップグレードできるオプションがある、長期的なサービスであるべきです。

Androidユーザーのためのアンチウイルスの選択肢はたくさんありますが、これらの4つはあなたのリストの一番上にあるはずです。

出典：The best free antivirus for Android

セミナー案内メール誤送信で関係者のメアド流出 - 積水ホームテクノ

積水ホームテクノは、メールの送信ミスがあり、関係者のメールアドレスが流出したことを明らかにした。

同社によれば、2022年5月13日9時半ごろ、中四国ウェルス営業所が関係者へ送信したウェブセミナーの案内メールにおいて誤送信が発生したもの。

送信先を誤って宛先に設定したため、メールアドレス1744件が受信者間で閲覧できる状態となった。

送信後、受信者から指摘があり問題が判明した。同社では対象となる関係者に謝罪し、誤送信したメールの削除を依頼している。

プレスリリース（アーカイブ）

出典：セミナー案内メール誤送信で関係者のメアド流出 - 積水ホームテクノ

2022年の海外計画（初の海外発券敢行）

 

2022年は夏のボーナスで人生初のJAL海外発券にチャレンジしようと思っていた。

ところが、燃料サーチャージの金額がグングン上昇を続けており、2022年6月発券分から大幅に増額することが判明し、5月に前倒して発券することにした。

ちなみに2022年6月からの燃料サーチャージは以下の通り。

大幅っていうか、倍以上じゃん。。。

まずどこから発券するかだが、この時点で盛り上がっているのはバンコク発券とベトナム発券。

個人的には南朝鮮(SEL)発券も・・・と思ったのだが、あの国はゼロコロナ政策で観光目的の入国については現時点目途が立っていない（目途はたっていないが発券はできるっぽい）

という訳でバンコク発券に決定。

次に行先だが、ヨーロッパについては、ロシアとかいう独裁国家の元首プーチンがウクライナと戦争を始めたせいで難しそう（検索しても出てこない）

となると行先はアメリカとなるわけだが、8月は既にチケットが高額になっており、9月は特典航空券でモロッコ行きを予定しており、年末になってしまう。

一瞬シアトル行ってボーイングフィールドもいいかと思ったのだが、年末営業しているかどうかが分からない。

その他のアメリカの都市に行ってもやることがぱっと思い浮かばない。

という訳で無理してまでアメリカに行くことはせずに、国内のどこか行くことを考えてgoogleフライトを見てみる。。。

お！東京と福岡がほぼ同じ金額になっとるではないか！

ということは東京単純往復と同じ金額で福岡往復がオマケでついてくるということではないか！

ということでバンコク発博多ラーメン行きに決定。

いちお、下記のスケジュールで人生初の海外発券(②～⑤)が完了。

①2022年11月某日：HND->BKK@JL31 特典航空券(17,500マイル)

②2022年11月某日：BKK->HND@JL34

③2023年1月某日：HND->FUK@JL321

④2023年1月某日：FUK->HND@JL312

⑤2023年2月某日：HND->BKK@JL31

⑤から先のチケットは冬のボーナスでまた海外発券をする。

ただ、今回の海外発券なんだけどブッキングクラスがQで、変更＆返金不可。

予定通り行けるのか、ちょいと不安

予定通り行くと今年は国内線・国際線合わせて15回くらい搭乗する感じ。

あなたの生活からGoogleを取り除く方法 / How to remove Google from your life

 昔は、会社に悪態をつくのは簡単だった。失礼な接客、不運な食中毒、一国の軍隊に命じてストライキを無残に鎮圧した民間企業の関与が疑われる場合、労働者の権利を守るために立ち上がるなど、個人の不買運動のほぼすべての側面が、その企業の製品の購入を拒否することで満たされたのである。

しかし、今日、特にインターネット複合企業との関係を断ち切ろうとする場合、そのような動きははるかに困難になる可能性があります。Facebookに疲れた？Facebookの運営企業から手を引くのであれば、同じ企業が運営するInstagramとWhatsAppからも退会が必要です。

Googleはどうでしょうか？

Android OS、スマホのGoogle Pixel、Nestサーモスタット、FitBitデバイスなどのハードウェアを所有・生産し、Google Chrome、Gメール、Googleカレンダー、Googleハングアウト、YouTube、Wazeを運営するなど、オンライン巨大企業は検索エンジン以上の存在になっています。

Googleに別れを告げることは、Androidスマホの購入を断るというほど簡単なことではありません。それは、あなたの生活のいくつかの側面を変える可能性があることを意味し、あなたの周りの人々に影響を与えるものも含まれます。

ありがたいことに、この困難な作業は、サイバーセキュリティの伝道師であるCarey Parker氏がすでに引き受けており、彼は最近、MalwarebytesのLock and Codeポッドキャストで講演を行いました。パーカーによれば、Googleの製品が「嫌いだから」Googleを削除したかったわけではなく、むしろ彼はファンなのだという。むしろ、彼はファンです。その代わりに、彼は自分と自分のデータ・プライバシーを尊重してくれる他の企業をサポートするようになりたかったのです。

「Googleは私たちのことをたくさん知っています。」パーカーは、Googleが収益の圧倒的多数をオンライン広告から得ていることを説明し、それはユーザーから膨大なデータを収集しているからこそできることであると述べました。「私にとっては、Googleが私について知っている情報をできる限り制限すること、Googleが私についてすでに知っている情報をできる限り削除すること、そして、プライバシーを第一に考える企業をサポートすることでした」。

同じようにGoogleを使わない生活に踏み出したいと思っている人のために、パーカーさんが教えてくれたヒントを紹介します。

独立の第一歩—Search, Chrome, and Android

Googleの製品を一度にすべて削除すると、サービスや製品が多すぎて追跡できないため、大惨事になりかねません。その代わりに、パーカーは自分に直接影響を与える製品だけを取り除くことから、実験の第一歩を踏み出しました。

「私は一番簡単なもの、少なくとも一番簡単だと思うものから始めました」とパーカーは言います。「他のことにあまり影響を与えないようなことです。自分以外の誰にも影響を与えないようなものです。」

Parkerにとって、それはGoogle検索とWebブラウザーのGoogle Chromeのプロバイダーを取り除き、新しいプロバイダーを見つけることを意味した。Android端末からの移行については、長年iPhoneを使用してきたParkerには簡単なことでした。

Google検索に代わるものを探すにあたり、Parker氏は2つの提案をした。DuckDuckGoとStartpageという検索エンジンで、どちらも収益目的のユーザーデータ追跡を一切拒否していると主張している。例えば、靴を探している人にナイキやアディダスの広告を表示するように、検索結果に基づいて純粋に文脈的な広告を提供し、ユーザーの特定の検索に関するデータを記録または保存しないという。実際、スタートページはグーグルと連携して検索結果を配信しているが、ユーザーのIPアドレスや端末情報、閲覧履歴の収集は拒否しているとパーカー氏は言う。

"お金を稼ぐために人を追跡する必要はない "とパーカーは言った。"Startpageはその証拠だ"。

プライバシーに配慮した別のブラウザーを探していたところ、パーカー氏は個人的に気に入っているMozillaのFirefoxや、新進気鋭のブラウザーであるBraveを提案したのだそうです。

GmailとGCal

インターネットの検索や閲覧にさまざまな解決策を見出したパーカー氏は、その後、周囲に影響を与えるグーグルのサービスの代替案を探すことに注力したという。

「Google検索とGoogle Chromeが最初の層で、次に難しいのは、他の人を巻き込むので、GoogleメールとGoogleカレンダー、GmailとGcalです」パーカーは、「家族とカレンダーを共有しているので、私がしようとしているように、彼らがGoogleをやめるとは思わないので、そのために、私は少しの間そこにはまりそうですが、私はそれを最小限に抑えることができます」

Googleの機能のほとんどを満たし、カレンダー機能との統合も可能なメールプロバイダーと、同じプログラムのユーザー間で送受信するメッセージをエンドツーエンドで暗号化できるプロバイダーを探しました。

最初の提案は、Fastmailである。パーカーによれば、ファストメールは営利目的の電子メールプロバイダで、ユーザーは月額の利用料を支払って利用する。このメール・プロバイダーは、主要製品と直接連動するカレンダー・ソリューションも持っている。さらに良いのは、Fastmailがユーザーのデータを尊重することだとパーカーは言う。

「Fastmailは、データをマイニングしないと明言しており、デフォルトでエンドツーエンド暗号化されていなくても、プライバシーを重視しています。」とParkerは述べています。「このサービスは本当に素晴らしいもので、電子メール、カレンダー、連絡先など、一通りの機能が揃っています。私は、すべての仕事といくつかの個人的なことにそれを使用しています」

プロトンメールでは、ユーザー間で送信されるすべてのメールをエンドツーエンドで暗号化することができます。プロトンメールでは、ユーザー間で送信されるすべての電子メールをエンド・ツー・エンドで暗号化し、万が一、途中で第三者に傍受されたとしても、自分と相手以外にその電子メールを読むことはできないようになっています。

Google DriveとGoogle Docs

Googleの視界からさらに多くのデータを取り出したいユーザーにとって、日々のワークフローから外すべき最終的な製品がいくつかあるだけです。それは、クラウドストレージサービスの「Google Drive」と、クラウドベースのワープロ「Google Docs」だ。

パーカーは、それぞれの製品で頭痛や障害にぶつかりながらも、自分のプライバシーを尊重し、同様の機能セットを提供する代替品を見つけることに成功したのです。

パーカー氏は、適切なクラウドストレージプラットフォームを見つけるにあたり、BoxやDropboxなどの主要プレイヤーの中には、企業がユーザーのファイルをスキャンして情報を取得することを防ぐ、ユーザーのデータに対する意味のある暗号化を提供していないことを認識しました。

パーカー氏は、ユーザーが何を一番望んでいるかによって、いくつかの提案をした。もしユーザーがプライベートなファイルを安全に誰かに送りたいのであれば、オンラインサービスのスイス・トランスファーやメガを薦めた。これらのサービスでは、共有可能なリンクが有効な期間や、ファイルにアクセスする際にパスワードが必要かどうかなど、ファイルの共有方法に関する特定のパラメータをユーザーが設定することが可能だ。

純粋なストレージの選択肢として、Parker氏はクライアント側の暗号化機能を持つSync.comというサービスを薦めた。最近のクラウドストレージプロバイダーの多くは、データの安全性を約束してくれるが、サーバーに保存するデータの復号化キーも彼らが持っているとパーカーは説明する。

「マシンはこれらのドライブに保存されたファイルを、宣伝目的か、あるいは多くの場合、著作権違反のために審査します」とパーカー氏は言う。「映画や音楽を他の人と取引していないかどうかを確認するのだ。そして、そのことにフラグを立て、警告を発するのです」

しかし、Sync.comがユーザーに提供している暗号は、同社が回避できないものであることを、Parker氏は徹底的に調査した結果、突き止めた。

「Sync.comはエンドツーエンドで暗号化されています。裏側でSync.comがAmazon Web Servicesを使っていても、Amazonは私のファイルを見ることができません。」

Google ドキュメントに代わるものを探す際、Parker 氏は非常に苦労したそうです。Parker氏はまず、「安全で、非公開で、エンドツーエンドで暗号化されており、チェックボックスにチェックを入れるだけでよい」というソリューションを採用しようとしましたが、このソリューションのインターフェースと応答時間の遅さに失望してしまいました。次に、OnlyOfficeという選択肢もあったが、Parker氏が言うように、技術的なハードルが高く、クラウドサーバーを借りなければならない可能性もあり、「気の弱い人には向かない」ものであった。

Skiffは使いやすいインターフェースを備えているが、Google Docsの代替ツールであり、Google SpreadsheetsやGoogle Slidesといった他の関連ツールの代替にはならない、とParker氏は言う。Skiffのツールは、Skiff.orgで見ることができる。

Step by step

Googleをあなたの人生から排除することは、長く複雑なプロセスになる可能性がありますが、最初のうちは難しくありません。もし、自分がやっていることに疑問を感じたら、なぜこのプロセスを始めようと思ったのかを考えてみてください。あなたがパーカーのような人なら、あなたのデータを非公開にし、あなたとあなたの閲覧習慣からお金を稼ぐ会社の手に渡らないようにしようという気持ちになるはずです。

Googleは上場企業であり、株主のために利益を最大化するという受託者責任を負っています。米国でプライバシーに関する規制がなければ、金銭的なインセンティブは無視できないほど大きい。それは、テーブルの上にあるお金です。

パーカーは、グーグルが、ユーザーが自分のプライバシーではなく自分の資金で支払うことができるバージョンの製品を作るまでは（これが実現するという証拠はない）、ユーザーは「どんな時でも、グーグル製品は残念ながらあなたのデータを収益化でき、おそらく何らかの形で収益化するだろう」と考えるべきだと強調した。

諺にもあるように、パーカーは、"製品が無料であるなら、あなたはおそらく製品です。"と述べました。

出典：How to remove Google from your life

オンラインバンキング専用ブラウザ！？ / A special browser designed for online banking. Good idea, or not so much?

ドイツのSparkasse銀行が、特にオンラインバンキングを行うために設計されたブラウザを発表しました。S-Protectと呼ばれるこのブラウザは、macOSとWindowsのユーザー向けに提供されています。

銀行業務用のブラウザを別に用意することで、セキュリティの層を厚くすることができるため、このアイデアは興味深いものです。

ブラウザの分離

残念ながら、多くの人が最良のブラウザと感じるものと、プライバシーとセキュリティに関しての最良ブラウザには、低い相関関係があります。最も人気のあるブラウザの市場シェアを見ると、あまり競争せずに王座を奪っているブラウザが1つだけあります。GoogleのChromeです。しかし、ご存知のように、もっと安全でプライバシーを重視したブラウザがあります。

銀行業務だけに特化したブラウザを使うのはどうなのでしょうか？何が違うのでしょうか？

S-Protect

Sparkasse’sのウェブサイト（ドイツ語）によると、S-Protectはいわゆる「ハード化されたバンキング」ブラウザーだそうです。オンラインバンキングのための追加保護スクリーンと考えるのが最も適切でしょう。S-Protectは、お客様のコンピューターに潜むトロイの木馬やその他の悪質なプログラムが、オンラインバンキングを覗き見したり操作したりするのを防ぎます。S-Protectの設定と使用は簡単で、すべての金融取引において大きなセキュリティ上の優位性をもたらします。

ブラウザは、"protect browser "を開発しているCoronic GmbHによって構築されているようです。

メリット

S-プロテクトを導入するメリットは何でしょうか。

• データ盗難、フィッシング攻撃、偽ウェブサイトからの追加保護
• インストールや設定が不要な簡単操作
• 自動ログイン機能
• 他のセキュリティ対策に支障をきたさない

ブラウザは「know your friends」の原則に基づき、訪問できるサイトを銀行とそのパートナーのものに限定しているため、操作されたサイトや偽の銀行サイトなど、第三者のウェブサイトへのアクセスは自動的にブロックされます。

フィッシング対策

さらに、ブラウザはページのセキュリティ証明書をチェックし、その信頼性を確認する。しかし、ユーザーがメールクライアントでフィッシングのリンクをクリックした場合、そのURLはデフォルトのブラウザで開かれることになる。このとき、デフォルトのブラウザがS-Protectでなければ、フィッシングサイトが開かれてしまうのです。これはS-Protectのせいではないが、ユーザーは正しいブラウザを使うように気をつけなければならない。

ウイルス感染した端末でも安全？

Sparkasseは、このブラウザを、ウイルス感染したシステム上でも安全にオンラインバンキングできると主張していますが、このような行為を行わないよう強くお勧めします。また、このブラウザがどのようにハード化されているかについての情報は見つかりませんでした。例えば、S-Protectはブラウザのスクリーンショットをブロックすると主張していますが、キーロガーがあなたの行動を傍受することを阻止できるのでしょうか？

免責事項

このアイデアはメリットに値するとはいえ、奇跡が起こることを期待せず、注意深く見守るべきだと思います。多くのブラウザは、すでにサンドボックス機能を備えています。サンドボックス化とは、アプリケーション、ウェブブラウザ、コードの一部を、外部のセキュリティ脅威に対して安全な環境内に隔離することです。これにより、マルウェアがブラウザからシステムやネットワークに侵入するのを防ぐことができます。しかし、ブラウザがどんなに強化されていても、システム上のマルウェアがブラウザに影響を与えるのを阻止するという、逆の方法については、誰も良いレベルを実証していないのです。

出典：A special browser designed for online banking. Good idea, or not so much?:

弊社を装った不審メールに関するお詫びとお知らせ 2022 年 5 月 25 日 ジェイドルフ製薬株式会社

 

平素は格別のご高配を賜り、厚く御礼申し上げます。 

この度、弊社の一部のパソコンがコンピューターウイルス「Emotet（エモテット）」に感 染し、2022 年 5 月 17 日より弊社社員を装った第三者からの不審なメール（なりすましメ ール）が複数の方へ発信されている事実を確認いたしました。 

当該メールを受信された皆様には多大なるご迷惑とご心配をお掛けしておりますことを深 くお詫び申し上げます。

 弊社からのメールは「*****@j-dolph.co.jp」を利用しております。当該不審メールでは、 送信者には弊社社員の氏名が表示されておりますが、＠マーク以下が上記以外のアドレス から送信されていることを確認しております。

引き続き弊社社員からのメールであっても、メールアドレスも含めて確認いただき、「内 容に心当たりがない」メールを受信された場合、ウイルス感染、フィッシングサイトへの誘 導リスクが高いため、「メールの開封」、「添付ファイルの開封」、或いは「メール本文のＵＲ Ｌのクリック」等を行うことなく削除していただきますようよろしくお願い致します。 

弊社では情報セキュリティ対策の強化に取り組んで参りましたが、今回の事象を受け被 害拡大の防止に努めるとともに、より一層の情報セキュリティ対策の強化に取り組んでま いります。 

何卒ご理解、ご協力を賜りますようよろしくお願い申し上げます。

プレスリリース（アーカイブ）

元弊社従業員による個人情報の不正使用について 2022 年 5 月 26 日 株式会社東急コミュニティー

このたび、弊社が東京都港区より指定管理を受けております港区民向け住宅において、元弊社従業員１名が、弊社退職時（2021 年9 月30 日付）にご入居者様の個人情報を持ち出し、退職後ご入居者様に挨拶等を行った事案が発生いたしました。本事案に伴いご入居者様14 名の氏名・住所・電話番号の個人情報が流出いたしました。

ご入居者様及び関係者の皆様に多大なるご心配とご迷惑をおかけすることとなり、深くお詫び申し上げます。

なお、該当するご入居者様に対しては、既に個別にご連絡およびご説明をさせていただきました。弊社はお客様の個人情報を取り扱う指定管理者として、コンプライアンスを重視し、社員教育にも努めてまいりました。また、退職にあたり個人情報の重要性について説明した上で、退職後の機密保持に関する誓約書を提出させておりましたが、この度の元従業員の行動は、こうした弊社の基本方針にも反するものであります。

改めまして弊社は今回の事態を重く受け止め、引き続きこれまで以上に個人情報の取り扱いについての社内教育並びに管理体制の強化に努め、再発防止に取り組んで参る所存でございます。

記

１． 流出した個人情報の件数 14 件

２．個人情報の流出時期、内容

 流出時期：2021 年12 月20 日

 内 容：氏名・住所・電話番号

３．経緯

2021 年 12 月 20 日、区民向け住宅のご入居者様より、元弊社従業員から連絡があった旨の匿名通報が港区に入る。弊社にて元従業員に確認した結果、弊社退職の際、一部区民向け住宅ご入居者様の個人情報を持ち帰り連絡を行ったことを確認。

４．発覚後の弊社対応

• 2021 年12 月20 日、東京都港区への報告を実施
• 2021 年12 月21 日～22 日、個人情報が流出した入居者14 名への電話による謝罪を実施
• 2021 年12 月28 日、東京都港区に帯同し警察へ相談
• 2022 年5 月26 日、国土交通省、一般社団法人 日本情報経済社会推進協議会(プライバシーマーク認証機関)へ報告を実施

５．再発防止策

•  個人情報の取扱いに関する臨時教育の実施
•  社内ルールの徹底に向けた定期的な社員教育の再実施
•  退職予定者に対する個人情報取扱いに関する説明の更なる徹底
•  私有物管理を含めた物理的安全管理措置の強化

プレスリリース（アーカイブ）

生活保護システムを操作し過大支給となった保護費の清算情報を消除、減給2か月の懲戒処分に

大阪府富田林市は5月20日、職員の懲戒処分について発表した。

これは令和2（2020）年度に、生活支援課に所属していた職員が担当する生活保護受給世帯に対し、生活保護費の扶助額算定に必要な就労収入申告書の提出があった際に正当な処理を行わず、さらにシステムを作為的に操作し、過大支給となった保護費の清算情報を消除する不適切な処理を行ったことに対し処分を行ったというもの。

・処分概要

　所属：行政管理課（令和2（2020）年度は生活支援課に所属）

　階級：係長・男性

　年齢：38歳

　処分：減給（10分の1）　2か月

同市によると、過大支給額は合計246,882円となり、生活保護法に基づき受給世帯へ返還を求めていくことを検討しているという。

同市では再発防止策として、生活保護システムにおける決裁処理の際に使用するID及びパスワードの管理を厳格化したとのこと。

プレスリリース（アーカイブ）

出典：生活保護システムを操作し過大支給となった保護費の清算情報を消除、減給2か月の懲戒処分に

全市民分の個人情報漏えい 職員２人を懲戒免職―岩手・釜石

岩手県釜石市は２６日、全市民分の住民基本台帳の個人情報などを漏えいさせたとして、いずれも４０代の総務企画部女性係長と建設部男性主査を同日付で懲戒免職処分とした。市は２人を県警に刑事告訴した。

市によると、係長は２０２０年１月１７日、住民基本台帳の個人情報の閲覧権限がある主査に依頼し、全市民に相当する約３万人分の住所や氏名、生年月日などが記載されたデータをメールで自身の業務用パソコンに送付させるなどした。主査はこれ以外にも台帳データを私物のＵＳＢメモリーに保存し、自宅のパソコンで使用していた。現時点で漏えいによる具体的な被害は確認されていない。

市の調べに対し、女性係長は「ただ個人情報を知りたかった」などと説明。主査はデータを持ち出した理由を明らかにしていないという。

出典：全市民分の個人情報漏えい　職員２人を懲戒免職―岩手・釜石

業務メールを私用メアドに送信、入力ミスで第三者に - 延岡市

宮崎県延岡市は、職員が個人情報を含む業務データを別の職員へメール送信した際、関係ない第三者に送信するミスがあったことを明らかにした。

同市によれば、2022年5月10日17時過ぎに同市職員が、業務で用いる表計算ファイルを、新型コロナウイルス感染症の濃厚接触者となり、自宅待機する別の職員へメールで送信しようとしたところ、第三者のメールアドレスへ誤送信するミスが発生したもの。

同ファイルには、新型コロナワクチン接種の国補助事業の支払いに関するデータが記録されており、関連業務を行った個人や法人の名称、住所、支払金額など138件の情報が含まれる。ファイルにパスワードなどは設定されていなかった。

自宅待機していた職員は、5月10日に提出期限の書類が未提出であるとの連絡を受け、自宅のパソコンで提出書類を作成しようと、私的に利用するフリーメールのメールアドレスへデータ送信を別の職員に依頼。

依頼を受けた職員が応じてデータを送信したところ、メールアドレスの入力を誤り、関係ない第三者へ送信してしまったという。

プレスリリース（アーカイブ）

出典：業務メールを私用メアドに送信、入力ミスで第三者に - 延岡市

エンドポイントセキュリティとリモートワーク / Endpoint security and remote work

リモートワークは、あらゆる規模、あらゆる業界の企業にとって新たな現実となっています。 現在、従業員の大半は、物理的な会社の外で職務を遂行しており、サイバーセキュリティの状況は、ゼロトラストなどの用語の採用により進化しています。 この新しい状況に対応するため、組織は根本的な変化を遂げ、従業員がどこからでも、どんなデバイスでも使えるようになりましたが、その結果、データセキュリティが犠牲になることも少なくありません。従業員のスマートフォンやタブレット端末への依存度が高まるというパラダイムシフトが起こり、これがエンドポイントセキュリティの新たな中心的存在となっています。

モバイル機器への依存度が高いことは、リモートワークの環境でも一貫しています。 ハイブリッドワークの新しい現実を示す逸話は枚挙にいとまがありません。 例えば、従業員が個人のタブレットを使ってSaaSアプリで機密データにアクセスしたり、学校のお迎えの間に仕事のZoomコールに出たりしています。  これらの話に共通しているのは、目の前のタスクを完了するために利用可能なあらゆるデバイスを使用することを圧倒的に好むということです。したがって、電子メールの送信、スプレッドシートの編集、CRMの更新、プレゼンテーションの作成など、従来とは異なるエンドポイントが圧倒的に使用されていることから、悪意のある攻撃者がモバイルに軸足を移したことは極めて理にかなっています。 

4.32億人のアクティブモバイルインターネットユーザー

56.89% 世界の総オンライントラフィックに占めるモバイルインターネットトラフィックの割合

リモートワークの導入でモバイルデバイスの活用形態は急速に変化しましたが、モバイルデバイスをリスクベクターとして認識することは、ほとんどの顧客にとってより緩やかなものでした。実際、Gartner 社によると、現在モバイル脅威検出ソリューションを採用している顧客はわずか 30%にすぎません。 多くの企業は、UEMソリューションがセキュリティを提供してくれる、あるいはiOSデバイスはすでに十分安全であると思い込んでいるのです。最も衝撃的なのは、歴史的にモバイルに対する攻撃を見たことがないので、心配する必要はないというものです。 このような考え方からすると、ハッカーが主要な攻撃経路として、またユーザー認証情報を取得するための侵入口として、モバイルに焦点を合わせていることは、これまた不思議なことではありません。

• 2021年第3四半期、全世界で16.1%の企業向けデバイスが1つ（または複数）のフィッシングまたは悪質なリンクに遭遇
  
  
• 2021年第3四半期、全世界で51.2%のパーソナルデバイスが1つ（またはそれ以上）のフィッシングや悪質なリンクに遭遇

このような考え方から見えてくるのは、規模や業種に関係なく、多くの組織がモバイルデバイスは重大なリスクをもたらさない、したがってデータセキュリティやコンプライアンス戦略において考慮する必要はないと考えている、ある種の甘さです。

エンドポイントセキュリティは、機密データを保護するための絶対条件であり、ノートパソコン、デスクトップ、モバイルデバイスが含まれる

アンチマルウェアがインストールされていないノートパソコンを従業員に支給する企業は一つもありませんが、ほとんどのモバイルデバイスにはそのような保護が施されていません。 その主な理由は、組織がモバイル・デバイス管理をモバイル・エンドポイント・セキュリティと同じだと考えているためです。 デバイス管理ツールは、デバイスをロックしたりワイプしたりすることはできますが、脅威をプロアクティブに検知するために必要な機能の大部分は備えていません。モバイルフィッシング、悪意のあるネットワーク接続、Pegasusのような高度な監視ソフトウェアなどの脅威を可視化できなければ、デバイス管理は真のモバイルセキュリティに必要な機能を提供するには程遠いものとなってしまいます。

サイバーセキュリティのプロでさえ、モバイルにおけるサイバー攻撃の現実を見落とすことがあります。 最近のブログ「5 Endpoint Attacks Your Antivirus Won't Catch」では、ルートキットやランサムウェアがモバイルでも同様に発生するにもかかわらず、全体のストーリーは従来のエンドポイントへの影響に独占されていました。

 

従来のセキュリティツールは、本質的にモバイルデバイスを保護するものではない

モバイルOS（iOS/Android）と従来のエンドポイントOS（Mac、Windows、Linuxなど）の間には、アーキテクチャ上の違いが存在するため、その保護方法も大きく異なっています。 このような違いにより、モバイル向けに設計されていない従来のエンドポイントセキュリティツールでは、適切なレベルの保護を提供することができません。

これは、Carbon Black、SentinelOne、Crowdstrikeといった大手EPP/EDRベンダーについて語る際に、特に言えることです。 これらのベンダーの中核機能は従来のエンドポイント専用ですが、モバイルセキュリティの要素をソリューションに取り入れることがトレンドとなっています。 戦略的なパートナーシップも生まれており、顧客がベンダーの統合を検討していることから、モバイル・セキュリティと従来のエンドポイント・セキュリティのエコシステムは今後も統合されていくと予想されます。 

さらに、ユーザーがスマートフォンやタブレット端末を操作する際には、これらのデバイスに特有の方法が非常に多く存在することも挙げられます。例えば、メールゲートウェイソリューションでは、SMSやQRコード経由で配信されるフィッシング攻撃から保護することはできません。また、OSの脆弱性が指摘され、すぐにパッチを適用する必要があるデバイスを、管理・非管理を問わずすべて特定することができますか？ また、あるエンジニアが喫茶店で悪意のあるWiFiネットワークに接続し、中間者攻撃の犠牲になっていませんか？ これらは、モバイル端末の保護に特化したモバイルエンドポイントセキュリティツールによってのみ軽減できる脅威や脆弱性のほんの一例に過ぎないのです。

リモートワークが加速し、「常時接続」の生産性が求められるようになったことで、従業員が仕事を遂行するために使用するデバイスの好みが変化しています。  仕事に関するほぼすべてのアプリケーションがクラウド上に存在するという事実は、ビジネスの進め方を変えました。 モバイルへの移行はすでに始まっているのです。企業はこの事実を認識し、モバイル・デバイスを含むエンドポイント・セキュリティの姿勢を更新する時期が来ていると言えます。 

出典：Endpoint security and remote work

遺言信託契約者情報を委託先に誤送信 - JA神奈川県信連

神奈川県信用農業協同組合連合会は、遺言信託契約者情報を委託先に誤送信するミスがあったことを明らかにした。

同会によれば、2022年4月26日に頒布用資料の作成にあたり、委託先の印刷業者へ原案データをメールで送信したが、遺言信託契約者2866人分の情報も添付されていたもの。

氏名、JA名、店舗名、契約時年齢および契約日、契約時の財産概況、遺言の変更有無、相続発生状況などの情報が含まれる。

翌27日、メール送信者とは別の担当者の指摘により誤送信が判明。誤送信先の事業者に、誤送信したメールとデータの削除を依頼し、同日対応が完了した。誤送信先以外への流出はないとしている。

プレスリリース（アーカイブ）

出典：遺言信託契約者情報を委託先に誤送信 - JA神奈川県信連

都の医療機器産業参入支援事業でメアドが流出 - システムの不具合で

東京都が実施する医療機器産業の参入支援事業において、関係者のメールアドレスが流出したことがわかった。

都によれば、2022年5月20日13時半ごろ、業務を委託する日本コンベンションサービスがイベントを案内するメールマガジンを送信した際、メールアドレス1615件が受信者間に流出したもの。

プログラムの改修に起因するシステムの不具合があり、宛先に複数のメールアドレスを設定した状態でメールが送信されたという。同日メールの受信者から連絡があり問題が判明した。

同社では、対象となる送付先に謝罪するメールを送り、誤送信したメールの削除を依頼。あわせて電話で謝罪を行っている。

プレスリリース（アーカイブ）

出典：都の医療機器産業参入支援事業でメアドが流出 - システムの不具合で

メタバースの分岐点 / Meta vs. Varjo and Nvidia: The Bifurcation of the Metaverse

先日、Varjo Reality Cloud がベータ版を終了し、正式リリースになったという発表がありました。現在、基本的に2つのメタバース陣営が存在します。消費者と収益に焦点を当て、Oculusヘッドセットが前提となるMetaの陣営と、パフォーマンスとビジネスが主な焦点であるVarjo-Nvidiaの陣営です。

Meta

メタはしばしば、創業者兼CEOであるマーク・ザッカーバーグの悪い決断と思われるものを良く見せることに主眼を置いているようです。ザッカーバーグと同社のメタバースへの取り組みがどのように展開されるかについて、内部で論争が起きていました。経営陣は高品質を重視し、ザッカーバーグは手頃な価格を重視したいと考えている--これは、彼の金持ちぶりを考えるとちょっと皮肉なことだ。

一般的に、技術市場、特にVRへの取り組みで繰り返し見られることですが、マイクロソフトがARソリューションであるHoloLensで取った方法がベストです。まず、製品を正しく作ることに集中し、余分なコストを払える企業に提供する。その後、コストを削減し、最終的には（HoloLensは明らかにまだこの段階に入っていません）、より広範で消費者志向の強い市場にも受け入れられる価格になるようコストを削減します。

メタのOculusヘッドセットには、多くのゲームには問題ないそこそこの価格のコンシューマー向けソリューションがありますが、メタバースをレンダリングするとなると、その結果の品質は漫画的で、バーチャルリアリティ分野や現在の視聴者のためのフォトリアリスティックな目標とは大きく外れているように見えます。要するに、Oculusヘッドセットは印象的ではありますが、没入感に必要なレベルのVRを作成する性能は持っておらず、没入感こそが人々がメタバースに期待しているものなのです。

Metaのアプローチで非常に厄介な点は、プラットフォーム上で動作する特権と引き換えに、メタバース実装を開発者に過大請求しているように見えることです。これは、開発者のクリティカルマスを獲得するためのものです。開発者は、自分たちのソリューションを販売するために、より低コストの別のプラットフォームを探す動機となることは間違いありません。

VarjoとNvidia

この2社は競争関係にあるわけではありません。Varjoは、市場で最高のプロフェッショナルグレードのVRヘッドセットと思われるものを作っています。Nvidiaのメタバースへの取り組みは、主にそのOmniverseツールセットを取り巻くもので、フォトリアリスティックな体験を積極的に進めている。

Varjo のクラウドと Nvidia のクラウド リソースは、開発者を巻き込んで利用し、十分なコンテンツを確保し、ユーザーと開発者の両方が必要に応じてそのコンテンツにアクセスできるようにします。Metaとは対照的に、NvidiaとVarjoは、それぞれのプラットフォームでの開発を望む人々から1円でも多く搾り取ろうとするよりも、この段階でのアクセスを提供することを重視しているように見える。

Metaとは対照的に、VarjoとNvidiaの両社は、一つの例外を除いて現実とほぼ区別がつかないアバターや画像を披露している。

メタのアニメ調の作品に比べれば、グラフィック的にははるかにリアルなのですが、Varjoの人型アバターには、まだ感情を表現する機能がありません。

Nvidiaは、エモーションが可能で、はるかにリアルなアバターを展示しています。

つまり、両社がより緊密に協力することで、互いのリアリズムの問題を解決し、超リアルなメタバースの未来に向けて、大きく舵を切ることが可能になります。

まとめ

コンセプト的には、メタとNvidia、Varjoの両社は、それぞれのメタバース・ソリューションの価格と機能に関して、異なるものを持っています。

Metaは、新興のMetaプラットフォームで開発者向けのサービスに過剰な価格をつける一方で、低い参入価格と物理的な利便性に終始しています。NvidiaとVarjoの両社は、フォトリアリスティックな体験という目標に焦点を合わせています。

出典：Meta vs. Varjo and Nvidia: The Bifurcation of the Metaverse: