セキュリティ関連リストコレクション / Cybersecurity Repositories

プロビジョニングプロファイルは、開発者とデバイスを認可された開発チームに結びつけるために使用されます。プロビジョニングプロファイルは、開発者とデバイスを認可された開発チームに結びつけるために使用され、デバイスをアプリケーションコードのテストに使用することができるため、デバイスに不正なアプリケーションを追加するための強力な方法となります。

バックドア付きアプリ

研究者は、SeaFlowerの作者がどのようにバックドアを仕込んだかを調べるため、アプリをリバースエンジニアリングしたところ、すべてのアプリに類似したコードがあることを発見しました。

iOSのMetaMaskアプリの場合、バックドアコードは、シードフレーズの生成時、および暗号化された形で保存される前に起動されます。つまり、脅威者は、新しいウォレットを作成するとき、または新しくインストールされたアプリに既存のウォレットを追加するときに、パスフレーズを傍受することになります。

バックドアコード内で特定された関数の1つである「startupload」は、シードフレーズを盗み出し、正規ベンダーのものを模倣したドメインに送信する役割を担っています。

例えば、この脅威者は、POSTリクエストを使用して、本物の「infura.io」を装う「trx.lnfura[.]org」にパスフレーズを流出させました。同様に、MetaMaskのオリジナルドメインを模倣した'metanask[.]cc'も使用されました。

関数を隠しているクラスは、base64エンコードアルゴリズムを使用して難読化され、RSA暗号システムで暗号化されています。しかし、鍵はハードコードされているため、解析者はバックドアを解読し、コードをテストし、実行時に検証することができます。

バックドアコードは、Android亜種の悪意あるアプリにそれほど熱心に隠されておらず、研究者はそれほど苦労せずに、より多くの機能にアクセスすることができました。

今回発見されたバックドアで特に興味深いのは、React Native BundleをRCTBridgeのインスタンスに直接注入してJavaScriptを読み込ませている点です。

信頼できる情報源

これらの卑劣な脅威から保護するために、暗号通貨ユーザーは、公式アプリストアや開発者のWebサイトなど、信頼できるソースからのみウォレットアプリケーションをダウンロードする必要があります。

iOSユーザーの場合、iOSやmacOSシステムにあらゆるアプリをインストールすることができるため、リクエストの正当性を確認せずにプロビジョニングプロファイルをインストールしたり受け入れたりすること。

出典：Hackers clone Coinbase, MetaMask mobile wallets to steal your crypto

CISOが答えられないといけない質問 / Questions a CISO should be able to answer

「賢者とは、すべての答えを知っている者ではなく、何を問うべきかを知っている者である。

これは単なる記事ではなく、CISOとそのチームのための会話のきっかけとなるものです。情報セキュリティ部門が対処しなければならない重要な質問のリストに対して、あなたはどのような答えをお持ちですか？

もちろん、他にも多くの質問がありますが、これらはセキュリティ・プログラムの基礎に過ぎません。

これらの質問には順番があり、最初の質問に対する答えを持たずに最後の質問に答えることは困難です。

情報セキュリティチームの顧客は誰なのか？
セキュリティを推進する要因は何か？
（これには、ビジネス面、技術面、コンプライアンス面が含まれる）
ビジネス上の重要なセキュリティ目標は何か。これらは、情報セキュリティチームの顧客と合意していますか？
あなたの組織とそれに依存するシステムをどのようにモデル化していますか？
情報を交換する第三者はどこか？
保護する必要のある資産の一覧は何か？それらの資産は誰が所有していますか？誰がそれらを管理していますか？
脅威やリスクは何ですか？
あなたが導入しているセキュリティ管理またはプロセスのリストは何ですか？それぞれの成功基準は何ですか？それらが有効であるだけでなく成功していることを、どれくらいの頻度でチェックしていますか？
是正が必要なコンプライアンス違反のリストは何ですか？
あなたのコンプライアンスレベルはどの程度ですか？
改善する必要がある脆弱性のリストは何ですか？
セキュリティ（またはリスク）レベルはどの程度ですか？
知識ベースはどのように維持されていますか？
セキュリティの成熟度はどの程度ですか？
（これは、あなたのセキュリティではなく、セキュリティを維持・向上させる能力を測定するものです）
情報セキュリティチームの活動をどのように報告していますか？
顧客にセキュリティの価値をどのように報告しますか？
あなたのセキュリティレベルを第三者にどのように証明しますか？
セキュリティレベルを向上させる（あるいはリスクを低減させる）ために、何を計画していますか？

あなたやあなたのチームが答えを出すのは簡単でしたか、難しかったですか？

もし、これらの質問が簡単すぎると感じたなら、あなたは本当に素晴らしいCISOか、深刻なダンニング・クルーガー症候群に罹っているかのどちらかです。どちらに当てはまるかは、読者の皆さんにお任せします。

出典：Questions a CISO should be able to answer

「群馬デジタルイノベーションチャレンジ」事業におけるメールの宛先の誤りについて

標記について、次のとおり個人情報（メールアドレス）が第三者へ誤送信される事案が発生しました。今後、このようなことがないよう管理、監督を徹底し、再発防止に万全を期してまいります。

概要

　「群馬デジタルイノベーションチャレンジ」事業について、本事業の委託事業者である株式会社上毛新聞社が、参加する児童の保護者に対してメール連絡を行う際、本来「BCC」で送るべきところ、誤って「TO」で送信したもの。

＜誤送信された個人情報（メールアドレス）＞

（１）「パレイストラ関根」地域ICTクラブ参加者（保護者）9名

（２）「スマイル放課後児童クラブ」地域ICTクラブ参加者（保護者）10名

※（１）、（２）それぞれの参加者間で個人メールアドレスが公開される状態となった。

経過

6月13日（月）

・11時16-17分個人メールアドレスが公開状態でメール送信（直後に誤送信を覚知）

・11時22分　　委託事業者（株式会社上毛新聞社）から群馬県への電話連絡。

　　　　　　　　　委託事業者に対し、メール削除を依頼。

・11時29-42分委託事業者が、流出した参加者全員に対し、メール削除を依頼。

※6月14日（火）までに、委託事業者が、順次個別で流出した参加者全員に対して電話連絡を完了予定。

今後の対応

　県は委託事業者に対し、個人情報の厳正な管理や情報セキュリティ指導の徹底、メール送信時の複数名での確認の徹底等について再度指導・監督する。

プレスリリース（アーカイブ）

NFTプラットフォームの「Known Origin」のDiscordが乗っ取られ、DiscordユーザーのNFTが盗まれる / Known Origin is the latest project to have their Discord compromised

有名なNFTプラットフォームの一つであるKnown OriginのDiscordサーバーが侵害されました。詐欺師はKnown Originの運営を騙って偽の無料NFTミントを宣伝し、ユーザーがウォレットに接続した際に、ユーザーのNFTを盗んでしまうというものでした。

これは、Discordの一連の侵害の中で最新のものです。最近ハッキングされた他のサーバーには、Curiosities、Meta Hunters、Parallel、Goat Society、RFTP、およびGooniezがあります。

週刊OSINT 2022-20号 / Week in OSINT #2022-20

今号も、リンク、ヒント、ツール、その他のOSINT関連のニュースなど、盛りだくさんです。

Rekognition
Shortemall
Journalist's Toolbox
Twitter Investigations
Imagus
Cyberhell

トレーニング: Rekognition

これは最近の情報ではないが、AaronがAWSとRekognitionの世界に飛び込んだ時に再共有したものである。Rekognitionで何が可能かを示すために、彼は2020年のMatt Edmondsonのブログを再共有した。それは、画像からのOCRに関して何が可能かを示し、どのようにAWSが人々から一致する画像を見つけるための自動化を提供できるかを示している。私は自分でテストしていないので、より詳細な情報やスクリーンショットについては、リンク先を参照してください。

ツール: Shortemall

MatterOsintから、興味深い短縮リンクを見つけるための新しいツールが登場した。このツールは、特定のキーワードやキーワードの組み合わせを含むURLの可能性を素早くスキャンする機能を提供する。すべての可能性の順列を作成し、短縮URLをスキャンし、結果のスクリーンショットを作成することができます。

サイト: Journalist's Toolbox

The journalist's toolboxは、農業から山火事まで、倫理から検証まで、あらゆる種類のトピックに関する膨大なリンク集です。校内暴力やホームレスなど、非常に特殊なトピックもあります。また、リソースへの膨大なリンクのほかに、YouTubeチャンネルで興味深いビデオを公開しています。Mike Reilleyさん、これらのリンクを集めてシェアしてくださってありがとうございます。

小技: Twitter Investigations

Ritu GillがTwitterに関する便利なリソースをいくつか紹介しています。Twitterのアカウントを調査するための、とても便利で無料のリソースです。Twitterのアカウントに接続する必要があるものもありますが、そうでないものも多くあります。このようなツールは、アカウントがツイートする時間、どのようなハッシュタグや単語が最も一般的であるか、誰と主にやり取りしているか、その他アカウントについてのより深い洞察を与えることができる分析を提供することができます。シェアありがとうございました。

ツール: Imagus

Jessは、私がまだ知らなかった拡張機能のヒントを教えてくれました。Imagusは、サムネイルにマウスを乗せると、自動的に大きな画像を表示する拡張機能です。また、大きな画像を表示する時間や、カスタムCSS、画像のキャプションの表示など、多くの設定オプションが用意されています。ChromeとFirefoxの両方に対応しており、ソースコードに潜って大きい画像を探そうとする必要がないので便利である。

メディア: Cyber Hell

先週末、ドキュメンタリー映画「Cyber Hell」についての情報が、クリスティーナ・レカティによって共有された。この韓国のドキュメンタリーは、ジャーナリスト、一般人、警察が、女性や10代の若者が虐待を受けたテレグラムグループ、いわゆるNth Room事件（Wikipedia）の管理者を捕らえるという痛ましいストーリーを追っています。写真を精査して手がかりを探すなどして、被害者を特定し、最終的に加害者を追い詰める。平均的な「OSINTストーリー」ではないが、テレグラムでの犯罪行為と、そのような加害者が最終的にどのように捕まるかを示す良い例である。

注：このドキュメンタリーは、犯罪の性質上、すべての人に適しているわけではありません。

オマケ: Assume Nothing!

次の画像は、偽情報がどのように始まるか、そして情報をさまざまな角度から見ることがいかに重要であるかを示す完璧な例です。何事も疑ってかかり、裏付けとなる情報源を探し、調査し、好奇心を持ち続けることです。Nico、この素晴らしい例をありがとうございました。

菊池保健所の職員新型コロナ濃厚接触者などの個人情報を流出【熊本】

熊本県は、菊池保健所の職員が、新型コロナウイルスの感染者の濃厚接触者などおよそ４０人の個人情報を誤って外部に流出させたことを明らかにしました。

県によりますと、２０２２年６月１１日午後６時前、菊池保健所の職員が、過去に新型コロナの感染者への濃厚接触が疑われるなど、ＰＣＲ検査を受ける必要のある人の氏名など個人情報が含まれたファイルを関係のない事業所に誤って送信したということです。

１２日午前、事業所からの連絡で誤送信が発覚したということです。

誤って送信されたファイルには、過去、新型コロナの感染者との接触が疑われる３７人分の氏名や年齢、住所のほか、検査を受けた日などが記されていたということです。

県は、事業所に対してファイルの削除してもらったうえ、個人情報流出の被害を受けた事業者に対しても状況の説明を行ったうえで謝罪したということです。

これについて、県は「このたびの個人情報の流出は差別や偏見などの人権侵害を招くおそれがある重大な事案であると認識しており、関係するすべての方々に深くおわび申し上げます」と話しました。

再発防止策として、県は、過去に使用したファイルを再利用せず、送信する際には必ず複数の職員で確認を行うことなどを徹底するとしています。

出典：菊池保健所の職員新型コロナ濃厚接触者などの個人情報を流出

レンディング大手セルシウス（Celsius）、資金引き出しの一時停止を発表 / Celsius pauses all withdrawals, claims it's due to "extreme market conditions"

セルシウス（Celsius）のプラットフォームは、「極端な市場環境」のため、すべての出金、スワップ、送金を一時停止すると発表した。

最近、セルシウスの資産と償還能力について多くの懸念があり、プラットフォームがコけてデフォルトに追い込まれるのではないかという憶測もある。セルシウスは2022年6月7日に「Damn the Torpedoes, Full Speed Ahead」と題したブログ記事を発表し、「声優」による「誤った情報と混乱の拡散」を非難し、「セルシウスは遅延なく引き出しを処理し続け」、「セルシウスには義務を果たすための準備金（と十分すぎるETH）がある」と約束しました。

セルシオの6月12日の発表では、「流動性と運用を安定させながら、資産を保全・保護するための手段を講じる」ことを期待するというだけで、計画の内容についての詳細は含まれていない。

Coincheck、DDoS攻撃を受ける

【アクセスしづらい状況について】

現在、再びDDoS攻撃を受け、Coincheckにアクセスしづらい状況が発生しております。ご迷惑おかけしてしまい申し訳ございませんが、Coincheckにアクセスできない場合には、時間を置いて再度お試しいただくようお願いいたします。

SIEMはMITRE ATT&CKの2割しか検知できない！？ / 80% of cyberattack techniques evade detection by SIEMs

CardinalOpsの新しいレポートによると、企業のSIEMは平均してMITREのATT&CK手法の80%を検出できず、攻撃者が採用するATT&CK手法上位14のうち5つしか対処できていないとのことです。

CardinalOpsのレポートでは、SIEMの検知の状況について、Splunk、Microsoft Sentinel、IBM QRadar などのSIEMインスタンスのデータを分析し、MITRE ATT&CK の対応状況をより正確に把握することができるようになりました。侵入のライフサイクルの早い段階で悪意ある行動を検知することは、ビジネスへの重大な影響を阻止する上で極めて重要な要素であるため、これは重要なことです。

CardinalOpsは、主観的な調査ベースのデータに頼るのではなく、実際のSIEMを分析し、最新のセキュリティオペレーションセンター（SOC）における脅威検出範囲の現状を可視化しました。これらの組織は数十億ドル規模の多国籍企業を代表しているため、これまでに分析した実際のSIEMデータの中でも最大規模の記録サンプルとなっており、14,000以上のログソース、数千の検知ルール、数百のログソースタイプを網羅しています。

MITRE ATT&CKの約200の技術を基準として、実際の検知範囲は、ほとんどの組織の期待をはるかに下回る状況であることを発見しました。さらに悪いことに、組織は自分たちが想定する理論上のセキュリティと実際に得られるセキュリティとのギャップに気付かず、検知態勢に誤った印象を与えていることが実証されました。

SIEMに取り込まれているにもかかわらず、検知に利用されていないログソースの上位3つは、

IDソース
Office 365やG SuiteなどのSaaSプロダクティビティ・スイート
クラウドインフラのログソース

であることがわかりました。実際、Active Directory（AD）やOktaなどのIDログソースをSIEMに転送している組織の3/4は、それらを検知のユースケースに使用していません。これは、ゼロトラストを強化するために最も重要なログソースの1つである検知範囲を強化する大きなチャンスと思われます。

CardinalOpsの最新の調査では、CISOと検知エンジニアリングチームがこれらの課題に対処し、検知範囲をどのように測定し、どのように時間をかけて継続的に改善するかについて役立つ一連のベストプラクティスを読者に提供しています。

出典：Report: 80% of cyberattack techniques evade detection by SIEMs

宮城県内で発生した労災事故関係者約４００人分の個人情報が外部に流出か

宮城県内で発生した労災事故の関係者、約４００人分の個人情報が外部に流出した可能性があることが分かりました。

宮城労働局によりますと2022年５月下旬、仙台市内の公園で県内の労災事故に関わった県内外の約４００人の氏名や住所、電話番号などが記載された書類がベンチの上に置かれているのを通行人が見つけ、市内の警察署に届け出たということです。

書類は、労働局が２０１１年度に作成し去年６月、業者に廃棄処分を依頼したもので、業者からは「適正に廃棄した」と報告があがっていたということです。

これまでのところ、個人情報の悪用は確認されていないということです。

宮城労働局は「関係者の皆様に大変申し訳ない。引き続き原因を調査していく」と話しています。

出典：宮城県内で発生した労災事故関係者約４００人分の個人情報が外部に流出か

個人情報漏えいに関するお詫びとお知らせ 2022年6月10日株式会社バローホールディングス

この度、弊社の夏ギフトのダイレクトメール（以下 DM）配信におきまして、一部お客様の個人情報漏えいが判明いたしました。お客様をはじめ関係者の皆様に多大なるご迷惑、ご心配をおかけする事態となりましたこと、深くお詫び申し上げます。今回の件を重く受け止め、今後再発防止に向けより一層の情報管理を徹底してまいります。

記

１．概要および経緯

2022 年６月６日に弊社の夏ギフトの DM を郵送でお送り致しました。DM は一部店舗（恵那店、ルビットタウン中津川店、高山店、掛川店、清水高橋店）で昨年ご注文いただいたお客様に送付しているものです。

その後、お客様からの申し出があり、確認したところ、同姓同名のご注文者様に誤ったお届け先様の情報を郵送している事が判明いたしました。

２．原因

夏ギフトを管理するシステム移行時のデータ照合認識・検証不足、管理監督者の作業確認不足によるものです。

３．漏えいの範囲

（１）漏えいした人数：７９名

（２）漏えいした個人情報：お届け先様情報（郵便番号、住所、氏名、電話番号）

４．発覚後の対応

誤って郵送してしまったお客様には電話連絡をさせていただき、郵便物の回収を行っております。

５．今後の対策について

弊社は今回の事態を重く受け止め、再発防止に努め、今まで以上の個人情報の保護、情報管理の徹底に努めてまいります。また、個人情報に関する取扱いと管理体制について、点検・見直しを継続的に実施いたします。

プレスリリース（アーカイブ）

特定非営利活動法人（ＮＰＯ法人）役員等の個人情報漏えいについて 2022年6月9日奈良県

ＮＰＯ法人は、特定非営利活動促進法に基づき、毎事業年度の終了の日から３ヶ月以内に所

轄庁に事業報告書等を提出することになっています。

県は、提出を受けた書類のうち、住所の個人情報が記載されている役員名簿及び社員名簿を

除く書類を「ＮＰＯ法人ポータルサイト」（内閣府運営）に公開しています。

この度、県内２法人の当該名簿が閲覧できる状態でサイトに掲載されていることが判明しま

した。直ちに当該名簿を削除するとともに、法人への説明と謝罪を行いました。

今後は、同様の事案が起きないよう再発防止策を講じて、個人情報の適正な管理に努めてま

いります。

１．事案の発生所属

奈良県文化･教育･くらし創造部青少年・社会活動推進課

２．漏えいの恐れのある情報

奈良県認証のＮＰＯ法人Ａ法人の社員１６名分の名簿記載の住所（役員５名を含む）

　　　　　　　　Ｂ法人の役員４名分の名簿記載の住所

３．公開していた期間

Ａ法人令和４年６月２日～令和４年６月６日

Ｂ法人令和４年３月３１日～令和４年６月６日

４．判明の経緯及び対応

６月６日の 16 時頃にＡ法人の職員より当課に、「ポータルサイトに名簿が公開されている」旨の連絡があり判明。Ｂ法人について、Ａ法人の事案を受け、当課において最近に公開した１０８法人の事業報告書等を点検したところ判明。

いずれも、判明後直ちに公開情報から名簿を削除。

さらに、ポータルサイトに掲載中の５６１法人すべての掲載情報（最大過去５年分の事業報告書）の総点検を実施。（結果、新たな事案はなし）

５．原因

公開する書類を専用機器により電子データ化する際、法人から提出された事業報告書等一式をまとめてスキャンしてしまうとともに、職員の確認が不十分な状態でポータルサイトにアップロードしてしまったため。

６．再発防止策

・複数職員によるチェック体制など事務処理手順を改正
・アップロード用端末への「再確認」と表示をするなど視覚的な注意喚起表示
・名簿様式に「取扱注意」と表記し、常に注意の意識を喚起
・個人情報の取り扱いに係る職員研修の実施

プレスリリース（アーカイブ）

外部流出アカウント情報による不正アクセスについて　2022年6月10日　株式会社ブックウォーカー

ご愛顧賜り、厚く御礼申し上げます。

このたび、第三者によってBOOK☆WALKER以外で不正に取得されたと思われるメールアドレス・パスワードを用いて、弊社BOOK☆WALKERのサービスに不正ログインがあったことが判明しております。

弊社といたしましては現在調査、対策を講じておりますが、お客様におかれましてもさらなる不正ログインを防ぐため、外部のサービスでご利用のものと同じメールアドレスとパスワードをペアでのご利用はお控えくださいますことを強く推奨いたします。

もし共通のメールアドレス・パスワードをご利用の場合、あるいはご不安な場合には下記手順に従ってパスワード変更いただきますようお願い申し上げます。

また、身に覚えのない購入があった場合は、弊社「お問い合わせフォーム」より、ログインしてお問い合わせください。

なお、弊社からの個人情報の流出やシステム障害などの被害はございません。

　※弊社ではパスワードはハッシュ化して保存しております。

お客様には大変なご迷惑をおかけし、誠に申し訳ございません。

何卒よろしくお願い申し上げます。

不正アクセスで上越市ガス水道局のサイト一部改ざん

上越市ガス水道局のホームページが2022年6月10日（金）に不正アクセスを受け、一部ページが改ざんされる被害を受けました。復旧に向けてホームページは一時閉鎖されていましたが、午後7時に復旧。個人情報などの流出はないということです。

ガス水道局によりますと、10日の午後3時45分ごろ、サイト内の1ページに膨大の量のほかのサイトへ移動するリンクが張られているのが見つかりました。リンク先は英語ではない外国語のページだったということです。

ガス水道局では、ほかにも改ざんされたページがないか確認するため、サイトを一時的に閉鎖していました。アクセス履歴を確認したところ、現在使用していない編集用アカウントにより不正アクセスが行われ、5月27日（金）に改ざんされたことがわかりました。

改ざんされたのは1ページのみで、個人情報などの流出はみられず、午後7時に復旧しています。

ガス水道局では、今回の不正アクセスを受け、編集用の全アカウントのパスワードを更新するとともに、今後、アカウントの変更を行う予定です。

プレスリリース（アーカイブ）

出典：不正アクセスで上越市ガス水道局のサイト一部改ざん午後7時に復旧個人情報の流出なし

運営サイトの表示不具合とお詫びについて　2022年6月9日　スポーツマネジメント株式会社

現在、弊社で運営をしている下記ウェブサイトの一部が閲覧できなくなっております。

調査途中ではありますが、2022/6/7(火)午後に弊社サーバーに外部からの不正アクセスがあり、不正なファイル（ウイルス、マルウェアなど）が検出されたことが判明しております。さらなる原因究明、復旧作業とともに改めてセキュリティ強化を行っており、数日以内に復旧予定です。

尚、現在のところ今回の不正アクセスによる、個人情報等の漏洩はございません。

復旧完了後、改めて弊社ウェブサイトにてご報告をさせて頂きます。

お客様を始めとして、多くの関係先の皆様にご迷惑とご心配をお掛けしておりますこと、深くお詫び申し上げます。

■対象サイト

スポーツマネジメントFootballサイト

高円宮杯U-18サッカーリーグ東京 Tリーグ

アットホームチャンピオンシップ全国大学同好会サッカー選手権大会

アットホームカップインディペンデンスリーグ［同好会］

ジヤトコ×横浜F・マリノス新関東理工系リーグ

BeYonD - 大学サッカーサークルwebメディア

関東大学同好会サッカー連盟

横山杯～全国ユース招待サッカー大会～

プレスリリース（アーカイブ）

離婚講座の申込者情報が本人以外から閲覧可能に、設定ミスで - 目黒区

東京都目黒区は、同区が実施する講座でインターネットのフォームを通じて申し込みした住民の個人情報が、別の申込者からも閲覧できる状態になっていたことを明らかにした。

同区では、離婚にあたり、子どものメンタルケアや養育費、面会交流など、子どもの生活を守るための情報を提供する「目黒区パパとママの離婚講座」を企画。2022年6月6日に開催する予定だったが、申込者の情報が流出したもの。

同区によれば、5月25日19時ごろから同日20時半ごろにかけて、同講座にフォームを通じて申し込んだ2人の個人情報が閲覧可能になっていた。氏名、電話番号、メールアドレス、子どもの年齢、講座に参加して特に知りたい内容などが含まれる。

5月25日19時半ごろ子ども家庭支援センターに連絡があり、閲覧可能となっていることが判明。フォームを作成する際、入力内容を他申込者と共有するよう誤って設定するミスがあったという。

1時間後、同区サイトからフォームのURLやQRコードが記載されたチラシなどを削除した。あわせて事業者に対し、オンラインフォームによる申し込みの受付停止と、申込結果が閲覧できないようにするなど対応を求めた。

同区では、対象となる申込者に謝罪し、対応状況を説明。実施予定だった同講座を中止した。

プレスリリース（アーカイブ）

離婚講座の申込者情報が本人以外から閲覧可能に、設定ミスで - 目黒区

ブロックチェーンやDeFiプロジェクトの攻撃手法は古典的？ / These are the flaws that let hackers attack blockchain and DeFi projects

分散型金融（DeFi）およびブロックチェーン・プロジェクトの数は、昨年中に大量に増加しましたが、その人気の高まりは、サイバー攻撃者の興味をも刺激しました。彼らは2021年に少なくとも推定18億ドルを盗むことに成功したのです。

ブロックチェーンは、改ざんや変更が困難な方法で取引を記録するデジタル台帳です。そのため、これらの技術は、暗号通貨資産や取引の管理、スマートコントラクト、金融、法的契約の円滑化などに多大な可能性を持っています。

近年、ブロックチェーンの普及により、分散型金融が登場しています。DeFi金融商品・システムは、従来の銀行や金融サービスに代わるもので、分散型技術やスマートコントラクトに依存して運用されています。

DeFi、NFT、暗号通貨は、脆弱性、ロジックエラー、プログラミングの欠陥を利用し、フィッシングキャンペーンを行い、被害者からデジタル資金を盗み出す脅威のターゲットとして人気があります。

2022年5月、マイクロソフトは、マルウェア、インフォステア、クリプトジャッカー、ランサムウェアなど、デジタル脅威の標準辞書に「クライウェア」という用語を導入しました。この新しい用語は、非保護通貨ウォレット（別名「ホットウォレット」）から情報を収穫し、盗むように設計されたマルウェアを説明しています。

ブロックチェーンは、デジタルウォレットが必要とする送金、入金、出金のインフラを容易にする一方で、ホットウォレットはデバイスのローカルに保存されるため、盗難の恐れがあります。

先日、Bishop Foxのサイバーセキュリティ研究者は、2021年に発生した重要なブロックチェーンとDeFiの強盗の分析結果を発表しまし、18億ドルの損失が発生したと分析しています。

チームが調査した主な「イベント」は65件で、そのうち90％は「古典的な攻撃」であったと考えられます。

2021年の主な攻撃ベクトルは以下の通りです。

51%：スマートコントラクトの脆弱性
18%：プロトコルや設計の欠陥
10：ウォレットの侵害
6：ラグ・プル、出口詐欺
4：キーリーク
4%：フロントエンドのハッキング
3%：アービトラージ
2%：暗号通貨関連のバグ
2％：フロントラン（将来の取引所に関する知識でキューに入れた取引）

"ほとんどの場合、攻撃はスマートコントラクトの脆弱性、またはプロトコルのロジックそのものに起因していることがわかります。"と研究者は指摘しています。"これは、セキュリティ対策の実施について一定の技術的な後知恵を欠いている可能性のある最近の技術としては驚くべきことではありません。"

スマートコントラクトで悪用される脆弱性の種類に関して言えば、脅威者が悪用する最も一般的な問題は、よく知られたバグ、フォークに含まれる脆弱性、および巧妙な攻撃です。また、ラグ・プルや終了詐欺も、程度の差こそあれ記録されています。

しかし、これらの攻撃の多くは、リリース前にしっかりとした監査とテストを行うことで回避することができます。フォークを使用している開発者も、DeFiプロジェクトのソースコードに影響を与えるセキュリティ問題がないか、コードベースを定期的にチェックする必要があります。

"我々は躊躇なく、DeFiは現在、大きく早い利益を求める泥棒を引き付けるおいしいターゲットであると言うことができます "とBishop Foxは言う。この技術の歴史が浅いことと、お金に関わることであることを考えれば、この観察は明らかです。

一度も問題にぶつかったことのない技術的な進歩や開発は珍しい。最初のコンピュータがウイルスが蔓延する可能性をあまり考えずにネットワーク化されたように、DeFiの開発者は保護よりもアルゴリズムの革新性を求める傾向があります。

出典：These are the flaws that let hackers attack blockchain and DeFi projects

2022年版フォローすべき海外セキュリティ関連ツイッターアカウント / 22 Cybersecurity Twitter Accounts You Should Follow in 2022

2022年の半ばを迎え、Twitterがサイバーセキュリティの共有プラットフォームであり続けていることに疑いの余地はないでしょう。ランサムウェア攻撃やサイバー犯罪、APTやサイバー戦争、デジタルフォレンジックやインシデントレスポンス、マルウェアのアウトブレイクやリバースエンジニアリングに関する最新ニュースを探している場合でも、Twitterにはそのすべてが揃っており、さらに多くの情報を得ることができます。

セキュリティは知識を共有することが重要であり、Twitterでは、この業界で最も優秀な人たちが知識を共有しているのを見ることができます。では、2022年に最新の情報を入手し、知識を深め、新しいスキルやリソースを学ぶには、誰をフォローすればいいのでしょうか。2022年にフォローすべき重要なサイバーセキュリティ・アカウントを22個厳選しました。例年のリストにあるものもありますが、今年のリストにも新しく、興味深く、影響力のあるツィーターがたくさんいます。ぜひチェックしてみてください。

1. @KimZetter | Kim Zetter

Kim Zetterはサンフランシスコを拠点とするジャーナリストで、10年以上にわたってサイバーセキュリティ、国家安全保障、選挙セキュリティについて執筆してきました。Stuxnetに関するベストセラーで権威ある本の著者である@KimZetterは、サイバーセキュリティ関連のジャーナリズムで最高のものを見つけることができるアカウントです。

2. @maddiestone | Maddie Stone

リバースエンジニアであり、ゼロデイエクスプロイトのエキスパートであるMaddie Stoneは、Google Project Zeroのセキュリティ研究者として働いており、定期的にカンファレンスに登壇しています。彼女のツイッターアカウント@maddiestoneは、最新のバグやゼロデイ発見を追いかけたい人には欠かせないものです。

3. @cyb3rops | Florian Roth

Florian Rothは、おそらくYARAとIOC THOR APTスキャナで最もよく知られている検出エンジニアです。Florianはまた、githubで利用可能な無料のツールや検出ユーティリティの膨大なコレクションを持っています。Florian のフィード @cyb3rops には、最新の脅威と脅威の検出に焦点を当てたオリジナルとキュレーションのコンテンツが含まれており、見逃すことはできません。

4. @campuscodi | Catalin Cimpanu

Catalin は現在、ポッドキャスティング・アウトレット「RiskyBiz」のニュースレターを担当するようになったため、自身を「元サイバーセキュリティ記者」と表現していますが、彼の Twitter フィード @campuscodi は今でもサイバーセキュリティに関する厳選されたニュースの宝庫で、見逃すことはできないものです。

5. @cglyer | Christopher Glyer

Christopherは、Microsoft Threat Intelligence Centerの犯罪ソフトウェア研究者であり、元インシデントレスポンダー、セキュリティアーキテクトです。ランサムウェアやサイバー犯罪に関する最新のマルウェアの発生状況やニュースについては、@cglyer をフォローしてください。

6. @billyleonard | billy leonard

billy leonardは、Google Threat Analysis Group (TAG) の State Sponsored Hacking and Threats 分析のグローバルヘッドを務めています。名詞が多いのは確かですが、IoCの共有や最新の脅威者の活動に関するその他の貴重な情報に興味があれば、@billyleonardをフォローする価値のあるTwitterアカウントであることに変わりはないでしょう。

7. @Kostastsale | Kostas

検知といえば、DFIRReportのアナリストである@Kostastsaleは、最近の脅威レポート、検知のヒント、その他のDFIR関連のニュースを常に先取りしたい人にとって、フォロー必須の存在です。Kostasはまた、GithubにYARAルール、MITRE ATT&CK navigator、Threat Intelligence playbooksを網羅する有用なレポを集めている。

8. @vxunderground | vx-underground

Twitter の比較的新しい情報セキュリティ・アカウントである vx-underground は、最新ニュースや研究者による最新のマルウェア・サンプルへのアクセスなど、楽しくて有益なツイートによって、サイバーセキュリティの専門家からすぐに多くの支持を集めるようになりました。マルウェアハンター、リバースエンジニア、検出エンジニアにとって、@vxundergroundは日々のダイジェストに加えるべき貴重な存在です。

9. @likethecoins | Katie Nickels

KatieはRedCanaryのインテル担当ディレクターであり、SANS認定インストラクター（FOR578: Cyber Threat Intelligence）、Atlantic CouncilのCyber Statecraft Initiativeのシニアフェローでもあります。ケイティは、他の人々の仕事を促進するために素晴らしい仕事をしており、情報セキュリティ業界で道を切り開く人々のための素晴らしい情報源となっています。

10. @RidT | Thomas Rid

ジョンズ・ホプキンス大学高等国際問題研究所の戦略研究教授、アルペロビッチ・サイバーセキュリティ研究所設立ディレクター。政治的な動機によるサイバー攻撃、偽情報、サイバネティクスに関する世界有数の専門家です。サイバー、政治、情報の接点に関心を持つすべての人にとって、@RidTは欠かせないフォローの対象です。

11. @theJoshMeister | Josh Long

Josh Longは、macOS/OSXのセキュリティ分野で誰よりも長くTwitterを利用しており、約13万人のフォロワーがそれを証明しています。Apple、Mac、デジタルプライバシーに関するサイバーセキュリティの問題を専門とするジャーナリストである@theJoshMeisterは、セキュリティに関連するあらゆる事柄についてフォローしています。

12. @ryanaraine | Ryan Naraine

@ryanaraine は、ハッカーやサイバーセキュリティのビジネスに興味があるなら、フォローすべき必須のアカウントであり続けています。ライアンは、Twitter 界隈のサイバーセキュリティや情報セキュリティに関するニュースをリツイートするだけでなく、定期的に配信されるポッドキャストを通じて、思慮深く洞察に満ちた見解を提供しています。

13. @craiu | Costin Raiu

もしあなたがまだ @craiu をフォローしていないなら、今こそ彼のフォロワーの一人になるチャンスです！自称「別の惑星からのアンチハッカー」は、カスペルスキーのグローバル・リサーチ・アナリシス・ディレクターで、サイバーセキュリティに関するあらゆるものの優れた情報源となっています。自称「別の惑星からのアンチハッカー」は、カスペルスキーのグローバルリサーチと分析のディレクターで、あらゆるサイバーセキュリティの優れた情報源として活躍しています。

14. @AricToler | Aric Toler

Aric TolerはBellingcatのトレーニング＆リサーチディレクターで、当初は2014年にボランティアとして活動を開始しました。Bellingcatはオランダに拠点を置くOSINTに特化した調査報道機関であり、AricのTwitterアカウントは、彼と彼らの重要なアウトプットの両方を追いかけるのに素晴らしい場所です。

15. @evacide | Eva Galperin

Eva GalperinはEFFのサイバーセキュリティ担当ディレクターで、The Coalition Against Stalkerwareの共同設立者です。常に適切で、しばしばユーモラスな@evacideは、デジタル・プライバシーに関連するあらゆる事柄について見逃すことのできない情報源です。

16. @4n6lady | Shannon Brazil

ShannonはArete Incident Responseのアソシエイト・ディレクターで、OSINTの愛好家である。彼女のツイッターは、DFIRに重点を置いた個人的な内容と技術的な内容が魅力的で、35,000人にフォローされている。

17. @zackwhittaker | Zack Whittaker

TechCrunch のセキュリティエディターであり、人気のニュースレター this.weekinsecurity の著者でもある Zack は、サイバーおよび情報セキュリティの最新ニュースについて最も注目している人物の 1 人です。Zackwhittakerのフィードは、米国や海外を問わず、あなたの組織に影響を与える可能性のあるサイバー世界のすべての出来事を把握するための素晴らしい方法です。

18. paπcake | @trufae

このフィードは、r2や@radareorgに関するニュースやアップデートだけでなく、リバースエンジニアリング一般に関してもフォローする価値があります。

19. @Fox0x01 Azeria | Maria Markstedter

ARMはLinux、iOS、そしてAppleのM1 Macに採用され、リバースエンジニアにとってますます重要な存在になってきています。ARMに関する知識について、ネット上で最も優れたリソースの1つが、Maria MarkstedterことAzeria Labsです。Fox0x01は、ARMベースのシステムの専門家であり、サイバーセキュリティのオピニオンリーダーでもあります。

20. @HostileSpectrum | HostileSpectrum

時事問題はともかく、サイバーセキュリティ業界やその他の業界では、ウクライナ情勢がどのように進展しているのか、そしてより広範な教訓や影響がどのようなものであるかに強い関心を寄せている人がたくさんいます。サイバー戦争とウクライナ情勢に関する優れたコメントは、@HostileSpectrumをフォローしてください。

21. @GossiTheDog | Kevin Beaumont

サイバーセキュリティのライターとして絶大な人気を誇るKevin Beaumontは、怒れる組織からの苦情を避けるため、雇用主の身元を秘密にしているそうです。その他、@GossiTheDogはしばしばニュースを最初に伝え、常に読むに値する洞察に満ちた見解を述べています。

22. @juanandres_gs | J. A. Guerrero-Saade

Juan Andrés Guerrero-Saade、通称JAG-Sは、SentinelLabsの主席脅威研究員です。JAG-SのTwitterでは、サイバー戦争、スパイ活動、国民国家の脅威要因に関する独自の洞察や、サイバーセキュリティの研究とインテリジェンスの最前線で起こっていることに関する関連するリツイートやコメントを見ることができます。

出典：22 Cybersecurity Twitter Accounts You Should Follow in 2022

アメリカ司法省は、セキュリティ研究者をハッキング犯罪で起訴しないことを発表 / Justice Department pledges not to charge security researchers with hacking crimes

米国司法省は、コンピュータ詐欺・乱用防止法（CFAA）に対する長年の懸念を認め、「善意のセキュリティ研究」を反ハッキング法の告発の対象にしないことを発表しました。検察はまた、単にウェブサイトの利用規約に違反したこと（出会い系サイトのプロフィールを誇張するような軽微なルール違反も含む）や、仕事用のコンピュータを個人的な作業に使用したことを理由に起訴することも避けなければならないとしている。

新しい司法省の方針は、2021年の最高裁判決を受け、その広範で曖昧な範囲に対する懸念を和らげようとするものです。判決は、政府検察官の以前の解釈が「息を呑むほどありふれたコンピューター活動」を犯罪化する危険性があると警告し、司法省が現在起訴しないと約束しているいくつかの仮想的な例を示している。この変更は、「善意のテスト、調査、またはセキュリティ上の欠陥や脆弱性の修正」を行う研究者のための防衛線となっています。この新しい規則は、2014年に発行された古いガイドラインに代わって、直ちに発効します。

"この方針は、一部の裁判所やコメンテーターが懸念していた仮想的なCFAA違反は起訴しないことを明確にした "とDOJのプレスリリースは述べています。"出会い系サイトの利用規約に反してプロフィールを盛る、雇用・住宅・賃貸サイトで架空のアカウントを作る、禁止されているソーシャルネットワーキングサイトで偽名を使う、職場でスポーツの成績をチェックする、職場で請求書を支払う、利用規約に含まれるアクセス制限に違反するなどは、それだけで連邦刑事責任を問うには不十分です "と述べています。

このガイドラインは、1986年にCFAAによって犯罪とされたコンピュータへの「許可されたアクセスを超える」行為を新たに限定的に解釈したものである。ネットワークやコンピュータの所有者が定めた規則に違反することでアクセスを「超える」のか、それとも明確に立ち入り禁止のシステムや情報にアクセスしなければならないのかについては、数十年にわたって対立が続いています。前者の解釈は、「マイスペース」で偽のプロフィールを作成した女性を検察が起訴したケースにつながりました。最高裁は後者の解釈に傾き、そして今、司法省も理論的には後者の解釈に傾いている。

この方針は、CFAAの批判をすべて解決するものではありません。また、検察の解釈の仕方に影響を与えるだけで、基本的な法律の曖昧さを解消するものでもない。また、DOJは、セキュリティ研究は、ネットワークを調査するための「フリーパス」ではないと警告している。例えば、バグを発見し、その知識を利用してシステムの所有者を恐喝した者は、その研究を悪意を持って行ったとして起訴される可能性がある。しかし、このような制限があるにせよ、今回の規則制定は、コンピュータ・システムをその所有者の気に入らない方法で使用した人に、懲罰的な反ハッキング罪を課すことを避けるための公約であると言えるでしょう。

出典：Justice Department pledges not to charge security researchers with hacking crimes

Osmosis、出金時に3倍の金額を受け取ることができるバグで500万ドルの損失が発生して停止。 / Osmosis chain halted after bug leads to $5 million loss

Osmosisのプールにお金を預けると、出金時に3倍の金額を受け取ることができるというバグがユーザーに発見され、2022年6月8日にOsmosisチェーンが停止されました。

このバグはRedditの公開投稿で初めて報告され、あるユーザーが「Bug on Osmosis オスモーシスに深刻な問題がある。プールに流動性を追加してから削除すると、50%も増えてしまうのです! どうしたら直るんだ！！？朝までにプールが空になる！」と報告しました。

開発者は、流動性プールが完全に枯渇する前にチェーンを停止させたが、約500万ドルの損失が発生したと推定している。彼らは回復計画に取り組んでいると書いている。おそらく彼らはまた、Redditの公開投稿ではなく、個人的にバグを報告するようコミュニティに促すだろう。

出典：Osmosis chain halted after bug leads to $5 million loss

[イベント] Global Cyber Conference （2022/9/22-23）

チューリッヒで開催される唯一のサイバーセキュリティとプライバシーの国際会議

グローバルサイバーカンファレンス（GCC）は、サイバーセキュリティとプライバシーに関する国際的なイベントとして、2日間にわたって綿密なパネルディスカッション、サイバーセキュリティの現状と未来に関するプレゼンテーション、データ保護に関する講演を行うことを目的としています。

https://swisscyberinstitute.com/conference/

暗号通貨取引所のApolloXが脆弱性をつかれて150万ドル盗まれる / ApolloX exchange exploited for $1.5 million

ApolloX取引所では、攻撃者が約4000万ドルのAPXを引き出し、約150万ドルに交換することができるというエクスプロイトが発生しました。これにより、$APXの価格も50%以上下落した。

同取引所は価格を上げるためにAPXを買い戻すことを発表しており、これまでに60万ドルを費やしている。

出典：ApolloX exchange exploited for $1.5 million

NBA選手が立ち上げた「Players Only NFT」プロジェクトは詐欺(rug pull)か？ / Players Only NFT project, founded by NBA players, rug pulls for $1.4 million

Crypto-sleuthのzachxbtは2022年6月8日、Michael Carter-WilliamsやJerami GrantなどのNBA選手のグループが作ったNFTプロジェクト、「Players Only NFT」が詐欺(rug pull)に見えると報告した。

選手たちは、そのスター性を利用して、このプロジェクトと、ボブルヘッド風の様々なスポーツ選手のやや不穏なNFTへの関心を集めました。このプロジェクトは、サイン入りグッズ、選手との現実とメタバースでの出会い、その他の景品を宣伝するロードマップで、設立したアスリートたちの密接な関与を約束しました。

プロジェクトチームは「保有者全員が何かを獲得できる」と約束したものの、選手はイベントに現れず、Zoom meetupは再三の要請にもかかわらず予定されず、グッズも送られてこないなど、コレクターは多くの失望を味わうことになった。サイン入りのジャージを約束されたある人は、代わりにサインのないTシャツを受け取ったようだ。

2022年5月中旬、プロジェクトのクリエイター2人が「コミュニティを喜ばせることができないようなので、プロジェクトから手を引く」ことを発表しました。この発表では、プロジェクトの失敗を「関心の低さ」のせいだと大々的に非難しています。彼らはもう物理的なアイテムを提供せず、「アスリートの実用性」に焦点を当てると言いましたが、それ以来、プロジェクトは同じように停滞したままになっています。

コレクターは2021年12月上旬にPlayers Only NFTを1枚0.08ETHで鋳造しました。このプロジェクトのNFTは先月(2022年5月)、セカンダリーマーケットで1枚、0.001ETHで販売されています。

出典：Players Only NFT project, founded by NBA players, rug pulls for $1.4 million

お客様情報の一部が閲覧可能な状態にあったことへのお知らせとお詫び　2022年6月7日　ライフイズテック株式会社

ライフイズテック株式会社が、本事業の主催者の名古屋市から受託した事業「中学生起業家

育成事業」の申込情報（120 件分）が他の申込者から一時的に閲覧できる状態だったことが

判明しました。本件は原因を既に特定し、当該原因への対応、対象となる方へのお詫びとご

報告は完了しております。なお、決済情報やパスワードなどの重要情報は本件においては含

まれておりません。

事業運営者として、今回の事態を重く受け止め、再発防止策を徹底してまいります。お申込

み頂いたお客様をはじめ関係者の皆様に多大なるご迷惑、ご心配をおかけいたしましたこ

とを深くお詫び申し上げます。

本件の経緯等について下記のとおりご報告いたします。

1. 経緯

2022 年 5 月 30 日より「中学生起業家育成事業」についての告知を開始いたしました。参加を希望するお客様は当該事業の告知ページより、Google form で作成した「中学生起業家育成事業」に関する応募フォームからお申込みを頂くこととなりました。申込受付期間中の 2022 年 6 月 7 日、当該フォームより申込み頂いた方から弊社宛にご報告（1 件）を頂き、申込情報の登録後に Google form ページ内の特定のリンクをクリックすると、他の申込者の情報（※後述の 3・4 参照）を閲覧できることが判明しました。確認したところ、その時点までにお申し込みいただいた方々の登録情報が確認できる状態にありました。

確認後、即時フォームを一時的にアクセス停止とし、Google form の設定を修正し、登録情報が第三者からは閲覧できないように対応いたしました。その後、同じ問題が起きないことを確認した上で、フォームを再度オープンいたしました。また、並行して原因の究明・発生の経緯・対象範囲を確認しております。なお、現時点では今回の事態による被害の報告はございません。

2. 情報を閲覧できる可能性のあった方の数

2022 年 5 月 30 日〜6 月 7 日までの間に「中学生起業家育成事業のプログラム」に参加申込を行った最大 120 件

※Google form にアクセス後、特定の操作をしない限り第三者に情報が表示されることはありません。しかしながら発生した問題の性質を鑑みますと、対象範囲の特定が難しいため、最大数となる 120 件で記載しています。

3. 情報を閲覧される可能性のあった方の数

2022 年 5 月 30 日〜6 月 7 日までの間に「中学生起業家育成事業のプログラム」に参加申込を行った 120 件

4. 閲覧された可能性のある個人情報

当該プログラムへの参加希望生徒の氏名、学校名、学年、性別、生年月日、電話番号、保護者の氏名、電話番号、郵便番号、住所

5. 本件の原因について

Google form の設定において、他の申込者の回答内容が閲覧できる設定にチェックを入れてしまっていたことが直接の原因であると判明しております。

フォームの項目内容については複数名で慎重に検討を行った一方で、公開作業は 1 名体制で実施し、設定内容の確認は複数名で行わなかったことが今回の事態につながった一因と考えています。

6. 今後の対応について

第一に再発防止を徹底いたします。また、今回閲覧可能となっていた情報が悪用される等の事態が発生した場合には、各種法令に従い、関係者と連携し、適切な措置を講じてまいります。

7. 再発防止策

同様の事案が起きることがないよう、確認体制・フローの見直しを行います。また、本件の原因と対策について社内で周知徹底を行うとともに、個人情報保護及び情報セキュリティ教育の内容やナレッジの共有方法を見直します。

この度はご迷惑とご心配をおかけして、大変申し訳ございません。関係者の皆様のご不安の解消と今後の再発防止に努めてまいります。

プレスリリース（アーカイブ）

分散型暗号取引所のMaiarが、ハッカーに1億1300万ドル盗まれる / Decentralized Crypto Exchange Offline After Hacker Steals $113M

ハッカーが分散型暗号取引所の欠陥を発見し、それを悪用して推定1億1300万ドルを盗み出しました。

2022年6月5日、"お金の未来 "を自称する分散型取引所（DEX）であるMaiarと、その上で動いているElrondブロックチェーンの創設者兼CEOのMincuは、 "Maiar DEXでの一連の疑わしい活動を調査中 "とTwitterに書きました。その結果、その不審な行動はハッカーによるものであることが判明した。

2022年6月6日、Mincuは、この事件の詳細を記したTwitterのスレッドを公開しました。そのスレッドでMincuは、「バグが発見され、悪用された」と述べ、チームは現在、DEXの復旧に取り組んでおり、バグにパッチを当てたと述べています。Mincu氏によると、開発者はハッキングを発見した後すぐに取引所をオフラインにしたそうです。同取引所のウェブサイトでは現在、「定期」メンテナンス中とされている。

しかし、その時点でハッカーはすでにダメージを与えていた。Foudresと名乗るブロックチェーン研究者によると、ハッカーはElrondブロックチェーンのネイティブトークンである約165万EGLDを盗み、ハッキング時には約1億1300万ドルを手にしたという。ハッカーは3つのウォレットを使って取引所から資金を流出させ、80万EGLDを売却することができたため、Maiar取引所のEGLDの価格は76ドルから5ドルに急落したとFoudresは説明している。

Mincuは、ツイートで「ほとんどの搾取された資金は全額回収されたか、エルロンド財団によってカバーされることになった」と主張しています。これは資金が安全であることを意味し、すべての資金は再開時に全額利用できるようになる。Mincuは、取引所のスワップは、その価格が現在67.72ドルであるBinanceのEGLD価格と一致すれば再開されると述べた。

Maiarチームがどのように資金を回収できたのか、またどのようにハッキングが行われたのかは不明です。Mincuは1回だけでなく2回の「メインネット」アップグレードに言及しましたが、これは通常、新しいブロックチェーンのバージョンを展開することを意味します。2022年6月7日の朝、ステーキング・プロバイダーのエバーステイクは、ノードをElrondの新バージョンに更新したとツイートしました。

Elrondは2020年にローンチした新進気鋭のブロックチェーンで、独自の拡張性を売り物にしている。Maiarのような分散型取引所も同様に最近のイノベーションであり、Coinbaseのような集中型取引所と異なるのは、スマートコントラクトで稼働し、通常、ユーザー間の注文をマッチングする集中型オーダーブックは存在せず、代わりにアルゴリズムが価格を決定しユーザーが提供する流動性のプールを使用して取引を行っている点です。しかし、DEXのダウンタイムにつながった過去の事件が示すように、特定のセットアップには致命的な障害点があることもあります。

Maiarは、コメントを求める電子メールに応答していません。Mincuもまた、TwitterのDMで送られたコメントの要求に応じなかった。

Maiarへのハッキングは、暗号とWeb3の世界でのハッキングの無限のシリーズのように見えるの新たな事件です。ブロックチェーンのサイバーセキュリティ企業であるCertiKによると、5月上旬の時点で、ハッカーや詐欺師は16億ドルの暗号を盗んでいるとのことです。

[イベント] PagerDuty Summit（2022/6/7、15、21）

PagerDutyで最も重要な価値観の1つは「Championing the Customer」です。これは、私たちのビジネスや私たちのチームと関わる人々の生活を改善するためにできる限りのことをするという意味です。そこで、2年ぶりに開催するPagerDutyサミットの計画を立てるにあたり、今年はどのようなカンファレンスにしたいのか、日々の生活を向上させるために最も重要なことは何かについて、皆さんのご意見を伺う必要がありました。

アンケートの結果、そのメッセージは明確なものとなりました。過去のサミットの参加者からは、次のような要望が寄せられました。

キュレーションされたコネクション。インタラクティブなセッションを通じて、ユーザーと専門家のつながりを深めること。
テクニカルトレーニング。さまざまな体験を通じてスキルを深めること
公平なオンラインアクセス。サミットのコンテンツへの無料オンデマンドアクセスの提供
安全第一。お客様とチームの安全を確保するために

今年のプログラムは、皆さまの反応を見ながらデザインしています。サンフランシスコ、シドニー、ロンドン、いずれの会場でも、プログラムのあらゆる側面で「人」を中心としたアプローチをご覧いただくことができます。

キュレーションされたコネクション

Summit 2021のアンケート回答では、60%の方が「人とのつながり」が最も重要な要素であると回答しています。このような背景から、私たちは、参加者同士が直接学び合えるような没入型の学習環境を用意しました。

1日の始まりは全員で基調講演を聴くことから始まりますが、それ以外の対面式プログラムはすべてインタラクティブなものとなっています。PagerDutyのチームが司会を務め、PagerDutyの顧客がゲスト専門家として参加する、トピックベースの円卓会議に参加することができます。質問をテーブルに持ち込むだけでなく、同じような課題に直面し、同じソリューションを導入した経験のある仲間との新しいネットワークに直接アクセスすることができるようになります。トピックの選定も、皆様からよくいただくご質問をもとに行いました。

この少人数のプライベートセッションは、参加者が自分の苦労を正直に話し、可能な解決策をオープンに共有する機会でもあります。

テクニカルトレーニング

今年は、PagerDuty Universityによるワークショップとテクニカルトレーニングを拡大します。午後に各会場で開催される6つのコースでは、参加者だけの特別なセミナーを開催します。また、すべての参加者を対象に、各地域で3つの完全なオンライン認定コースを開催する予定です。つまり、直接参加でもオンライン参加でも、これらの認定コースに無料でアクセスできるのです！これは7500ドルの価値です。

公平なオンラインアクセス

短編コンテンツへのオンデマンドアクセスは、場所、時間帯、スケジュール、予算に関係なく、コミュニティの誰もが互いに学び合うことを可能にします。PagerDutyのビジョンである「公平な世界」を実現する一環として、今年もオンラインセッションカタログを制作し、いつでも、どこからでも、無料で閲覧できる50以上の新しいセッションを追加していく予定です。これは、皆様が重要な仕事を変革し、顧客との信頼を築くことができるよう、そのビジョンを実現するための私たちのコミットメントです。基調講演はライブストリーミングで配信され、すべてのコンテンツはサミット終了後30日間ご利用いただけます。

安全第一

皆さんと私たちのチームの安全が最も重要であり、80％の方が同意しています。私たちは、地域の推奨ガイドラインを継続的に監視し、すべての対面式出席者にワクチン接種の証明を要求しています。私たちは、社会との距離を縮め、移動の手間を最小限にするために、意図的にこのような地域別プログラムを企画しました。私たちはあなたに会いたいし、あなたにも私たちに安心して会ってもらいたいのです。

私たちは、自分たちが作り上げたこのプログラムを誇りに思っています。廊下での笑顔、テクニカルトレーナーとの「aha」な瞬間、そして皆さんと私たちの素晴らしいコミュニティとのつながりが生まれることを、私たちは楽しみにしています。チケットはオンラインでお求めください。

6月7日：サンフランシスコ

6月15日：シドニー

6月21日：ロンドン

出典：PagerDuty Summit ‘22: A Summit Designed with YOU in Mind

「誠和ホームページ、誠和オンラインショップ、新時代農業塾」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ　2022年6月7日　株式会社誠和

このたび、弊社が運営する「誠和ホームページ、誠和オンラインショップ、新時代農業塾」におきまして、第三者による不正アクセスを受け、お客様の個人情報を含んだ取引情報（誠和ホームページ3,705件、誠和オンラインショップ5,819件、新時代農業塾9,657件、重複ご利用のお客様を除く総漏洩件数5,548件）と、クレジットカード情報（誠和オンラインショップ209件、新時代農業塾238件、重複ご利用のお客様を除く総漏洩件数423件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

個人情報が漏洩した可能性のあるお客様には、本日より、電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。なお、「誠和ホームページ、誠和オンラインショップ、新時代農業塾」以外の弊社サービス及び弊社グループ会社サービスについては、調査を行い、問題がないことを確認しております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

記

1.経緯

2021年12月8日、弊社が運営する「誠和ホームページ、誠和オンラインショップ、新時代農業塾」のサーバーに対してセキュリティ自己診断を実施したところ、悪意のあるソフトウェアを発見し該当ファイルの削除を行いました。当該時点で何らかの被害は確認できておりませんでしたが、悪意のあるソフトウェアが存在していた影響について社内調査を行うため、また、潜在的にセキュリティ事故が発生しているリスクを想定し、2021年12月17日に決済機能を持つ「誠和オンラインショップ、新時代農業塾」のサイトを閉鎖し、社内にて調査を行いましたが、不正アクセスの痕跡を見つけることができませんでした。

2022年2月1日、「誠和オンラインショップ」を2021年10月26日に利用した弊社社員よりカード会員情報の不正利用報告の情報を取得しました。

2022年2月7日、「誠和ホームページ」においてセキュリティリスクの高い「お問い合わせフォーム」のセキュリティ対策を実施しました。

2022年2月19日、過去に「誠和オンラインショップ」を利用した弊社社員からカード会員情報の不正利用報告を受けました。その後、他の弊社社員にも不正利用報告についてヒアリングすると、複数の不正利用報告が確認されたため、被害の認識を致しました。

2022年3月11日、第三者調査機関による調査を開始いたしました。2022年3月31日、調査機関による調査が完了し、弊社が運営する「誠和ホームページ、誠和オンラインショップ、新時代農業塾」におきまして、第三者による不正アクセスを受け、お客様の個人情報を含んだ2013年1月23日～2022年2月7日の取引情報（誠和ホームページ3,705件、誠和オンラインショップ5,819件、新時代農業塾9,657件、重複ご利用のお客様を除く総漏洩件数5,548件）と、2020年5月1日～2021年12月17日の期間中にご利用されたクレジットカード情報（誠和オンラインショップ209件、新時代農業塾238件、重複ご利用のお客様を除く総漏洩件数423件）が漏洩した可能性があることが判明いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「誠和ホームページ、誠和オンラインショップ、新時代農業塾」のシステムに対し第三者が不正にアクセスし、ファイルが改ざんされ、サーバー上のデータに留まらず、本来はサーバー上に残らないデータまでも書き出すような不正プログラムが実行されていたため。

(2)個人情報漏洩の可能性があるお客様

2013年1月23日～2022年2月7日の期間中に「誠和ホームページ、誠和オンラインショップ、新時代農業塾」において情報を登録されたお客様5,548名で、漏洩した可能性のある情報は以下のとおりです。

・氏名（配送先を含む）

・会社名（配送先を含む）

・住所（配送先を含む）

・メールアドレス

・パスワード

・電話番号（配送先を含む）

・FAX番号（配送先を含む）

・誕生日

・性別

(3)クレジットカード情報漏洩の可能性があるお客様

2020年5月1日～2021年12月17日の期間中に「誠和オンラインショップ、新時代農業塾」においてクレジットカード決済をされたお客様423名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(4)お客様へのご連絡

上記に該当する5,548名（クレジットカード情報の漏洩件数は、個人情報の漏洩件数と重複します。）のお客様については、別途、電子メールおよび書状にて個別にご連絡申し上げます。

3.お客様へのお願い

クレジットカード情報の漏洩について既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2021年12月8日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

「誠和ホームページ」についてはセキュリティ対策、監視体制を強化したうえで4月25日にリニューアルしております。「誠和オンラインショップ、新時代農業塾」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年2月22日に報告済みであり、また、所轄警察署にも同日に被害申告しており、今後捜査にも全面的に協力してまいります。

プレスリリース（アーカイブ）