防災局メルアカ乗っ取り被害、スパムの踏み台に - 新潟県

新潟県防災局危機対策課のヘリコプター管理事務所で利用するメールアカウントが何者かに乗っ取られ、スパムメールを送信するための踏み台に悪用されたことがわかった。同県では、被害状況や原因などを調べている。

同県によれば、同事務所で利用するメールアカウントが乗っ取られ、外部に迷惑メールが送信された痕跡があることが、2022年6月30日に判明したもの。問題のメールは「HELLO!DEAR!GOOD NEWS TO YOU,」といった件名で送信されており、メールの本文は英文で記載されていた。

メールアドレスは、同県ドメインによるものではなく、プロバイダより貸与されたものだが、以前よりおもに関係機関との連絡で公的に用いていたという。同県では、メールが送信された日時、件数、個人情報の流出状況などを調べている。

また不正アクセスを受けたメールアカウントに関しては、脆弱なパスワードを利用していたことが明らかとなっており、原因についてもくわしく調査している。

同県では、メールアカウントのパスワードを変更するとともに、メールでやり取りがあった関係者に注意喚起を実施。また「新潟県消防防災航空隊」や同事務所のメールアドレスより着信したメールについて注意するよう広く呼びかけている。

プレスリリース（アーカイブ）

出典：防災局メルアカ乗っ取り被害、スパムの踏み台に - 新潟県

電子申請サービス受託事業者のヘルプデスクパソコンのウイルス感染に伴うメール情報の流出及び不審メールの発信について 2022年7月1日 広島県

１　事案の概要

広島県・市町電子申請サービスを運営する受託事業者（（株）ＮＴＴデータ関西）のヘルプデスクで使用しているパソコン８台のうち１台がマルウェア（Emotet）に感染し，当該パソコンに保存されていた送受信メール情報が流出しました。

現在，ヘルプデスクを装った第三者からの不審なメールの発信が確認されています。

　（現時点で判明している不審メールは，複数件。広島県関係はない。）

２　流出した可能性のある情報等

令和４年３月10日から６月８日までに，メールでヘルプデスクに問い合わせを行った方のメールアドレス，問い合わせ内容

件数：2,312件。うち，広島県関係33件。

※ヘルプデスクへ送信された問い合わせメール内容の流出であり，広島県・市町電子申請サービスで申請された申請データの漏洩ではありません。ネットワークで切り離されており，同サービスへの影響はありません。

３　経緯（受託業者からの報告による）

日　付	内容
５月20日	受託事業者においてヘルプデスクに届いた不審メールの添付ファイルを実行し，マルウェアに感染。アンチウイルスソフトによって検知されず。
６月６日	ヘルプデスクアドレスをかたった不審メール１件の申告を受託事業者が受領。以降，複数の利用団体から不審メールの申告を受託事業者が受領。
６月８日	受託事業者においてアンチウイルスソフトによりマルウェアを無害化。
６月23日	業務パソコン１台が過去にマルウェア感染していた痕跡を検出し，５月20日に感染したことが判明。
６月29日	当該パソコンから情報流出したメール（2,312件）を特定。
７月１日	受託事業者から広島県に連絡あり。受託事業者がお詫びと注意喚起を実施。

４　県民の皆様へのお願い事項

 

該当期間にヘルプデスク（help-shinsei-hiroshima@s-kantan.com）にお問い合わせをいただいた方に，不審なメールが届く可能性があります。

　〇　心当たりのないメールは開かないでください。

　〇　コールセンターからのメールであっても，不用意に添付ファイルを開いたり，URLリンクをクリックしないでください。

　不審なメールの一例

これ以外にも類似したパターンで発信されている可能性があります。

差出人 ：第三者のメールアドレス（表記は受託事業者ヘルプデスク） 　正規： ******* @s-kantan.jp <******* @s-kantan.jp > 　不正： ******* @s-kantan.jp <xxx@xxx.xxx.xxx> 　↑第三者のアドレス 件名    ： RE:（過去にやり取りしたメールの件名）　 添付ファイル ： zipファイルが添付されていることが多い

広島県プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）

個人情報（メールアドレス等）の流出について 2022年7月1日 熊本県

県及び市町村が利用する電子申請受付サービスを提供する株式会社ＮＴＴデータ関西から、個人情報が流出する事案が発生しました。（県委託事業者）

電子申請受付サービス（本県を含め26県が利用）に付随するヘルプデスクサービスを利用された県内利用者のメール（75件）が流出した可能性があります。​

1 事案の概要

・令和4年5月20日、株式会社ＮＴＴデータ関西（以下「ＮＴＴデータ関西」という。）が管理するヘルプデスクサービスを提供するパソコンがマルウェア（悪意のあるプログラム）であるEmotet（エモテット）に感染しました。

・令和4年3月10日から6月8日までの、お問い合わせメールが全国で2，312件流出した可能性があります。また、一部、ヘルプデスクサービスを装った第三者からの不審なメールが発信されています。

・本県（市町村含む）を含む26県が利用している電子申請受付サービスに付随する

ヘルプデスクサービスであり、上記のうち、本県（市町村含む）の電子申請に関係す

るお問い合わせ75件（69メールアドレス）が流出した可能性があります。

2 経緯

 

5月20日（金曜日）	ＮＴＴデータ関西がヘルプデスクサービスに届いた不審メールの添付ファイルを実行し、マルウェアに感染。 ※この時点ではアンチウィルスソフトで検知されず。
6月 6日（月曜日）	ＮＴＴデータ関西がヘルプデスクサービスを装った不審メール（なりすまし）が発生していることを確認。
6月23日（木曜日）	ＮＴＴデータ関西のパソコン1台のマルウェア感染を検出。
6月29日（水曜日）	ＮＴＴデータ関西が流出した可能性のあるメールを特定し、本県を含む各県に連絡。

3 流出した情報

・メール送信日時、メールアドレス、メール件名、メール本文、添付ファイル

　※メール本文には、個人の氏名、所属、住所、電話番号、Fax番号等が含まれるものがあります。

　※添付ファイルは、マイナンバーカード表面（マイナンバーは記載されていない）や運転免許証のコピーなどがあり、生年月日や顔写真などの情報が含まれます。

4 現時点で判明している不審メール

・システムを利用している団体のうち、7団体の名前をかたり、9件の不審メールが確認されています。（熊本県関係は含まれていない。）

【不審メールの例】

　(1)メール送信元：第三者のメールアドレス（表記は電子申請ヘルプデスク）

　　正規：xxxxxxx@s-kantan.com< xxxxxx@s-kantan.com>

　　不正：xxxxxxx@s-kantan.com＜xxxxxx@xxx.xxx.xxx>

　(2)件名：過去にヘルプデスクサービスに問合せたメール件名

　(3)本文：過去の問合せ内容を流用していたり、文字化け（？の羅列など）している場合があります。

　(4)添付ファイル：ZIPファイル等が添付されている場合があります。絶対に開かず、メールを削除してください。

5 現時点での対応状況

・流出したメールの該当者には事案の内容とお詫びのメールをお送りしています。

・今後、該当者からのお問い合わせに丁寧に対応して参ります。

・マルウェアに感染したパソコンは隔離済みであり、現時点で本事案による被害などの情報は寄せられておりません。

・ヘルプデスクサービスのパソコンと電子申請受付サービス本体はネットワークとして切り離されており、電子申請受付サービスへの影響はありません。

・ＮＴＴデータ関西に対して、社員への再発防止研修及び再発防止策の実施について指示しました。

熊本県プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）

電子申請・届出サービスのコールセンターを装った不審メールについて 2022年6月30日 埼玉県

県が契約している電子申請・届出サービスのコールセンターを装った不審メールが送信されていることが分かりました。

電子申請・届出サービスの利用者の皆様におかれましては、不審なメールを受信した場合は、開封せずに廃棄していただくようお願いいたします。

概要

１ 不審なメールの特徴

（1）送信者のメールアドレス

*******@s-kantan.com <xxx@xxx.xxx.xxx>（第三者のアドレス）

（2）添付ファイル

zip ファイルが添付されていることが多い。

※コールセンターにおいては、添付ファイル付きのメールをお送りすることはありません。

２ 不審なメールを受信する可能性のある県民

令和 4 年 3 月 10 日(木曜日)から 6 月 8 日(水曜日)の間に、電子申請・届出サー

ビスのコールセンターに、電子メールによりお問い合わせをされた方

３ 原因

コールセンターで使用しているパソコン（1 台）がコンピューターウイルス

（Emotet）に感染したため

プレスリリース（アーカイブ）

週刊OSINT 2022-22号 / Week in OSINT #2022-22

 

今週も、OSINTの分野におけるヒントや記事を用意しました。

• Twitter Search Subscriptions
• Spoonbill
• OSINT on Oil Rigs
• YouTube Shorts

小技: Twitter Search Subscriptions

先週、Dylan RousselがTwitterで今後の機能を紹介しました。検索クエリ内の新しいツイートに対する通知をオンにすることができる新しいオプションをテストしているようです。今のところ、Twitterアプリのアルファ版テスターにしか公開されていない。テストが早く進み、私たちがこの機能を使えるようになることを祈りましょう。

小技: Spoonbill

金科玉条のような話ですが、メルマガで取り上げたことがなく、思い出したので、そろそろ紹介したいと思います。Spoonbillでは、Twitterのアカウントで行われた変更を追跡する機能があります。すべてのユーザー名が追跡されているわけではありませんが、Twitterアカウントを接続し、変更を購読することで追跡を開始することができます。アカウントがすでに同社のデータベースに登録されているかどうかを確認するには、次のサイトにアクセスするだけです。

https://spoonbill.io/twitter/data/{USERNAME}

記事: OSINT on Oil Rigs

Rae Bakerは海上の物体を調査するのが大好きで、今回は石油掘削装置やその他の関連するものを調べてみました。彼女の新しいブログでは、石油の世界に関係するものを調査するのに役立つ、本当に便利なリソースをたくさん取り上げています。ジオロケーションから、原油のような製品の輸送の追跡まで。よくやった、そしてこれを共有してくれてありがとう

小技: YouTube Shorts

今週末、Cyber DetectiveがYouTubeのショートムービーに関する巧妙なトリックを紹介しました。もうご存知の方も多いと思いますが、どこにでも出てくる短いあれのことです。通常の動画とは少し異なり、標準的なインターフェイスで始まらないのが特徴です。特定の時間枠にスキップすることも、設定も、字幕もありません。しかし、URLをわずかに変更することで、それらをすべて有効にすることが可能です。TwitterユーザーのDemianは、さらに簡単なトリックも教えてくれました。URLを取り出し、「shorts」という単語を「v」に変えるだけでいいのです。そうすると、こうなります。

https://www.youtube.com/shorts/yFuK68u2-hw

↓

https://www.youtube.com/v/yFuK68u2-hw

YouTubeは自動的にURLを書き換えて、目的のビデオを通常のプレーヤーで読み込みます。このヒントを教えてくれてありがとうございます。

出典：Week in OSINT #2022-22

新潟県電子申請システムの受託事業者のパソコンがウイルスに感染したことにより、メール情報の流出及び不審メールが発信される事案が発生 2022年6月30日 新潟県

新潟県電子申請システムの運営業務に当たり、以下のとおりメール情報が流出し、不審メールが発信されるという事案が発生しました。

１　事案の概要

新潟県電子申請システムを運営する受託事業者（（株）ＮＴＴデータ関西）のヘルプデスクで使用しているパソコン８台のうち、１台がマルウェア（Emotet）に感染し、当該パソコンに保存されていた過去に送受信したメール情報が流出したことにより、ヘルプデスクを装った第三者からの不審なメールが発信されているもの。

２　流出した可能性のある情報等

令和４年３月10日から６月８日(※1)までにヘルプデスクにお問い合わせいただいたメール情報

件　　数	総数　2,311件（※2）うち新潟県関係　35件
流出情報	メールアドレス、個人情報を含むメール本文

※1　新潟県電子申請システムは、令和４年４月１日に運用開始

※2　電子申請システムは、全国で約800の自治体が利用しているクラウドサービスであり、全国で2,311件の流出が発生しました。

 

３　現時点で判明している不審メールの件数

システムを利用している団体のうち、７団体の名前をかたり、９件の不審メールが確認されています（新潟県関係は含まれていない）。

【不審メールの一例】

件　　名：RE:（過去にやり取りしたメールの件名）

差 出 人：第三者のメールアドレス（表記は電子申請システムヘルプデスク）

　　　　（ 正 ）******* @s-kantan.jp <******* @s-kantan.jp>

　　　　（不正）******* @s-kantan.jp

添付ファイル：zipファイルが添付されていることが多い。

 

４　事案の経緯

日　付	状　況
５月20日	ヘルプデスクに届いた不審メールを申請者からの問合せと誤認し、添付ファイルを実行し、マルウェアに感染。なお、この時点ではアンチウイルスソフトにより検知されず。
６月６日	ヘルプデスクアドレスをかたった不審メール１件の申告を受託事業者が受領。以降、複数の利用団体から不審メールの申告を受託事業者が受領。
６月８日	アンチウイルスソフトによりマルウェアを無害化。
６月23日	業務パソコン１台が過去にマルウェア感染していた痕跡を検出し、５月20日に感染したことが判明。
６月29日	当該パソコンから情報流出したメール（2,311件）を特定。

 

５　対応

　・　流出した可能性のある情報及びその該当者の特定作業を進めています。

　・　該当者を特定後、不審なメールを開かないこと等の注意喚起を行うとともに、謝罪を行ってまいります。

　・　受託事業者に再発防止策を講ずるよう求めてまいります。

新潟県プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）

個人情報を含むUSBメモリーの紛失について 2022年6月30日 杏林大学医学部付属病院

このたび、当院の医師が患者さんの検査用の動画データなど、個人情報が含まれるUSBメモリーを紛失する事故が発生しました。

当該のUSBメモリーは現時点で発見できていません。個人情報の漏洩などの事実は確認されていません。

関係する皆様に深くお詫び申し上げるとともに、今回の事案を真摯に受け止め再発防止を図ってまいります。

●経緯と個人情報の内容

6月19日、当院の医師が患者さん27人の氏名、ID番号、終夜睡眠ポリグラフ検査データ、睡眠時の状態を記録した動画が入ったUSBメモリーを紛失していることに帰宅後気づきました。

この動画は、赤外線を通して撮影しているため個人の特定は難しいと判断しています。

また、終夜睡眠ポリグラフ検査データを診るには、市販されていない医療検査用の専門ソフトが必要です。

医師は、データの判読に長時間を要するため帯出していました。

紛失したUSBメモリーにはパスワードロック等の対策は施されていませんでした。

●患者さんへの対応

該当する患者さんには個別にお知らせしお詫びするとともに、状況を説明した文書を郵送いたしました。

●再発防止に向けて

本件では、診療上のデータを院外に持ち出さないという決まりが守られていませんでした。このため、院内で情報を共有し、改めて点検を行うほか、eラーニングなどを通じた院内教育で再発防止の徹底を図ってまいります。

プレスリリース（アーカイブ）

不正アクセスで顧客の個人情報が流出の可能性 - スマホ買取店

スマートフォンやゲーム機の買い取りなど行っているトゥインクルモバイルのサーバが不正アクセスを受け、顧客の個人情報が流出した可能性があることがわかった。

同ショップを運営する中龍によれば、サーバが不正アクセスを受け、同ショップのウェブサイトに会員登録していた顧客最大2110人分の個人情報が流出した可能性があることが判明したもの。

氏名や住所、電話番号、生年月日、性別、メールアドレスなどが対象で、一部では口座情報なども含まれるという。

すでに警察へ被害を相談しており、個人情報保護委員会へ報告を行った。同社では調査を継続しており、対象となる顧客には、メールおよび書面で報告と謝罪を行うとしている。

プレスリリース（アーカイブ）

出典：不正アクセスで顧客の個人情報が流出の可能性 - スマホ買取店

経産省「サイバーセキュリティ体制構築・人材確保の手引き」第2.0版公開

経済産業省は、「サイバーセキュリティ体制構築・人材確保の手引き」をリニューアルし、第2.0版として公開した。

同省では独立行政法人情報処理推進機構（IPA）とともに、「サイバーセキュリティ経営ガイドライン」を策定しているが、同手引きは「サイバーセキュリティ経営ガイドライン」の付録として、リスク管理体制の構築と人材の確保について具体的な検討を行う際のポイントを解説している。

今回公開した第2.0版では、2021年4月に公開した第1.1版をもとに、読みやすさを重視しポイントをしぼって検討手順を明確化、企業におけるデジタル活用が進展する中での「プラス・セキュリティ」の必要性の高まりを踏まえ、一部内容の更新・拡充を行っている。

同省では経営者・経営層向けに経営層が担うべき役割と内容に関するポイントを挙げたPDF3ページの概要版と、PDF42ページから成る本体の2種類を公開している。

「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）本体（バックアップ）

「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）概要版（バックアップ）

パスワード管理ツールのリスクは？ / What About Password Manager Risks?

すべてのユーザーがパスワード管理ツールを使用して、完全にランダムなパスワードを作成し使用することを推奨しています。完全にランダムな12文字以上のパスワードは、既知のすべてのパスワード推測およびクラッキング攻撃に対して不死身です。人間が作成したパスワードは、20文字以上でなければ同じ保護は得られません。人間は、非常に長い（時には複雑な）パスワードを作成または使用することを好まないので、我々は代わりに信頼できるパスワードマネージャのプログラムを使用することをお勧めします。

よくある質問は、パスワード管理ツールはお金を払ってまで使う価値があるのか、というものです。

その答えは「イエス」だと考えています。パスワード管理ツールを使うことで人が得るリスクの増加は、すべてのメリットによって相殺され、デメリットからリスクを減少させ、徹底的に相殺されると考えています。

パスワード管理ツールを使用するリスクとメリットを見てみましょう。それらは次のようにまとめることができます。

デメリット

• パスワード管理ツールを入手し、インストールする必要がある
• パスワード管理ツールの使用方法を習得する必要がある
• パスワード管理ツールを使用すると、パスワードの作成または入力に時間がかかる場合がある（ただし、必ずしもそうとは限りません）。
• 攻撃される可能性がある
• パスワード管理ツールは、すべてのプログラムまたはデバイスで動作するわけではない
• パスワード管理ツールにアクセスできない場合（破損、ログイン権限の喪失など）、ユーザはそこに含まれるすべてのログイン情報へのアクセスを一度に失うことになる
• 攻撃者がパスワード管理ツールを侵害した場合、攻撃者はユーザーのすべてのパスワード（および所属するサイト）に一度にアクセスし、取得できる可能性がある

メリット

• 完全にランダムなパスワードを作成し、使用することができます。
• サイトやサービスごとに異なるパスワードを簡単に作成し、使用することができます。
• パスワードフィッシングの防止に使用できる
• MFAソリューションのシミュレーションに使用できるため、ユーザーは個別のMFAプログラムやトークンを必要としない
• デバイス間でパスワードを共有できるため、ユーザが必要な場所にパスワードを置くことができます。
• パスワードのバックアップをより簡単に、より安全に行うことができます。
• すべてのパスワードは、パスワードマネージャへのMFAログイン要件によって保護される場合があります。
• ユーザが気づかなかったパスワードの漏洩を警告することができる
• 異なるサイトやサービス間で使用されている同一のパスワードについて警告することができます。
• 元のユーザーが一時的または恒久的に能力を失った場合、または使用できない場合、必要なときに信頼できる人と共有することができます。

誰かのパスワード管理ツールが漏洩し、その漏洩から、保存されているすべてのサイトやサービスに対するユーザーのすべてのパスワードが一度に非常に速く盗まれるというのは、非常に現実的なリスクです。これは、パスワード管理ツールを使用している管理者またはユーザーが検討する必要がある巨大なリスクです。

リスク評価

このリスクに対しては、次のように考えます。まず、ユーザーのパスワード管理プログラムを侵害するためには、ほとんどの場合、攻撃者はパスワード管理プログラムを実行しているユーザーのデバイスにアクセスし、開いた状態でアクセスするか、すべてのパスワードを簡単に盗むことができるようにその設定を操作する必要があります。もし、攻撃者がユーザーのデバイスにアクセスできたら、もうほとんどゲームオーバーです。ハッカー（またはマルウェア・プログラム）は、ユーザーがパスワードを入力または使用する際に単純にキーロギングするなど、他のさまざまな方法を用いてパスワードの一部または全部を取得することができます。

また、パスワード管理ツールのソフトウェアの脆弱性を悪用しようとする攻撃もありますが、ベンダーが既知の欠陥に迅速にパッチを適用し、ユーザーがそのパッチを迅速に適用する限り（ほとんどのパスワード管理ツールのプログラムは自動更新）、それは一瞬の、より小さな問題に過ぎません。ユーザーのパスワードは、パスワード管理ツールベンダーのクラウドネットワークに保存されることもあり、危険にさらされると、攻撃者はそこに保存されているすべてのパスワードにアクセスすることができます。これもリスクだが、ほとんどのパスワード管理ツールベンダーは、顧客の「パスワード保管庫」を自社のネットワーク内の安全性の高い場所に保管しようとしている。

※製品のバグで勝手にパスワードが消去されてしまう事例は経験があるため、必ずゴミ箱昨日のあるパスワード管理ツールを選ぶようにしています。

ですから、攻撃者がユーザーのデバイスにアクセスし、パスワード管理ツールにアクセスし、すべてのパスワードを盗むというのが主なリスクとなります。これは現実的なリスクです。実際に起きたという話も聞きますが、今のところ、それほどポピュラーな攻撃ではありません。将来、パスワード管理ツールが広まって誰もが使うようになれば、一般的な攻撃になるかもしれません。しかし、たとえそれが一般的な攻撃であったとしても、攻撃者やそのマルウェアがユーザーのデスクトップにアクセスできるようになった時点で、ほぼゲームオーバーになると私は考えています。彼らは何でもできるのです。パスワード管理ツールを攻撃してパスワードを盗むというのは、大きな問題のひとつに過ぎないのです。

誰もがパスワード管理ツールを使うべき理由

この大きなリスクにもかかわらず、誰もが自分のパスワードにパスワードマネージャーを使うべきだと思います。なぜなら、パスワードのリスクは、ユーザーが利用しているサイトやサービスから盗まれたパスワードと、推測されてハッキングされる弱いパスワードによるものだからです。米国国立標準技術研究所（NIST）や他のパスワードの権威によると、パスワードの最大のリスクは、関連性のないウェブサイトやサービスでのパスワードの再利用と、ユーザーがハッカーに予測される「パスワードパターン」を作成できることだそうです。

平均的なユーザーは、170を超えるサイトやサービスで使用するパスワードを4～7個持っていると言われています。これらのパスワードは、本来使用されるべきでない場所で、同じパスワードが使用されていることになります。問題は、ハッカーがあなたのウェブサイトの1つに侵入してパスワードを入手すると、他のサイトやサービスでもそれを使用できるようになるということです。1つ、または数個の侵害は、すぐにさらなる侵害の束につながるのです。これは、ソーシャルエンジニアリングに次ぐ、大きなリスクと考えられています。パスワード管理ツールは、このリスクを取り除くことができます。

パスワード管理ツールは、サイトやサービスごとに異なる、まったく関連性のないパスワードをより簡単に作成し、使用できるようにします。パスワード・マネージャーを使用すると、使用されているパスワードさえもわからなくなる可能性があります。これは、パスワードの最大のリスクの一つを取り除くものであり、これだけでもパスワードマネージャーは使用されるべきものです。しかし、それだけではありません。

パスワードマネージャーは、完全にランダムなパスワードを作成します。12文字以上の完璧にランダムなパスワードは、既知の方法では推測もハッシュクラックも不可能です。そして、その完全にランダムで安全なパスワードは、ウェブサイトやサービスごとに異なるものにすることができます。

ソーシャルエンジニアリングが最大のリスク

あらゆるパスワードの最大のリスクは、ユーザーがソーシャルエンジニアリングによってパスワードを盗まれることです。ソーシャルエンジニアリングによるパスワードの盗難は、成功したパスワード攻撃の約半分に関与しています。ほとんどのパスワード管理ツールでは、ツール内からサイトやサービスにログインすることができ、真の正規のサイトやサービスにのみユーザーを誘導します。これにより、最も一般的なパスワードソーシャルエンジニアリング攻撃を防ぐことができます。攻撃者は、不正なURLリンクを含むソーシャルエンジニアリングメールを送信し、偽の偽サイトに正規の認証情報を開示させようとするものです。

パスワード管理ツールの利点は、最大のパスワード攻撃（ソーシャル・エンジニアリング、推測/クラッキング、再利用など）を軽減することです。パスワードの専門家なら誰でも、この3種類のパスワード攻撃がパスワードのリスクの大部分を占めていると言うでしょう。そのため、誰もがパスワードマネージャーを使うべきであり、少なくとも単一障害点による大きなリスクと比較検討する必要があります。

パスワード管理ツールに信頼を寄せるか、あるいはユーザー自身に信頼を寄せるかは、あなた自身にかかっています。可能であれば、まずフィッシングに強い多要素認証(MFA)に移行してもらうようにしましょう。しかし、サイトやサービスがフィッシング防止MFAに対応しない場合は、パスワード管理ツールの使用を検討してください。パスワード管理ツールは、より多くのパスワード専門家によって日々推奨されるようになってきています。

出典：What About Password Manager Risks?

弊社ネットワークへの社外からの不正アクセスについて 2022年6月29日 株式会社オフィスバスターズ

平素より格別のご高配を賜り、厚く御礼を申し上げます。

また、弊社とお取引頂いているお客様、関係者の皆様には多大なご迷惑とご心配おかけしますことを深くお詫び申し上げます。

この度、弊社社員を装った迷惑メールに関するお問い合わせを頂き、社内調査を行ってまいりました。その結果、弊社ネットワークに対して社外から不正なアクセスを受け、社内の一部の情報が漏洩した可能性があることが判明しましたことをご連絡いたします。

当社では引き続き、お取引先様との信頼保全、自社情報漏洩対策や従業員への情報共有・社内研修の実施等、徹底を講じていきます。これまでの弊社の取り組みと、お客様へのご協力のお願いについて、以下にてご連絡申し上げます。お取引先の皆さまにはご迷惑をお掛けいたしますが、ご理解ご協力の程宜しくお願い致します。

1.概要

(ア)　2022年6月に入り、弊社社員を装った迷惑メールに関するお問い合わせを複数頂く。

(イ)　社内にて調査の結果、弊社ネットワークに社外から不正なアクセスを受けたことが判明。

(ウ)　また、弊社サイトにて過去に弊社社員とメールのやり取りがあったお客様の情報の一部が流出した可能性があることが判明。対象の情報は、お客様のお名前、メールアドレス、電話番号、住所、ご注文内容等。

2.セキュリティに関する弊社の取り組み

(ア)　社内パソコンへのEMOCHECKのバージョンアップ・検疫実施

(イ)　ウィルス対策ソフトの入替。

(ウ)　全社員に対してメール取り扱いに関する注意喚起、セキュリティに関する教育・研修

(エ)　今後、個人情報保護委員会にも報告を行う予定。

(オ)　外部の専門業者に相談、今後の更なるセキュリティ対策について協議・検討中

3.弊社・弊社社員を装った迷惑メールを受信したお客様へのお願い

(ア)　送信者のメールアドレスが、弊社アドレスになっているか(@マーク以下がofficebusters.comとなっているか)、過去にやりとりしたアドレス・名刺記載のアドレスと相違ないかをご確認ください。送信者名が弊社社員となっていても、送信者メールアドレスが異なっている場合は、弊社から送信されたメールではありません。

(イ)　メールに記載されているURLリンク、添付されているファイルは確認が取れるまで一切開かないでください。

(ウ)　不明点等ございましたら、以下お問合せ窓口までご連絡ください。

プレスリリース（アーカイブ）

ランサムウェアギャングが発表した被害組織リスト（2022年6月版）BY DARKTRACER

 

Dark Tracerによると、2022年6月は日本企業3社(4ドメイン)がランサムウェアの被害にあっている模様。

株式会社アペックス（apex-tokyo.co.jp）

TBカワシマ株式会社（tb-kawashima.co.jp）

プレスリリース（アーカイブ）

株式会社 後藤回漕店（kaisoten.co.jp）

多数の被害企業を生んだメタップスペイメント、ずさんな脆弱性管理により、行政処分を受ける。

経済産業省は、2022年6月30日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント（法人番号9011101027550）に対し、同法第35条の17の規定に基づく改善命令を発出しました。

1．事業者の概要

(1)名称：株式会社メタップスペイメント（以下「同社」という。）

(2)代表者：代表取締役 和田　洋一

(3)所在地：東京都港区港南二丁目16番1号　品川イーストワンタワー7階

(4)事業内容：決済代行業等

2．処分内容

割賦販売法（昭和36年法律第159号。以下「法」という。）第35条の17に基づく改善命令

法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。

1. 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売業者及びクレジットカード等購入あっせん役務提供事業者（以下「加盟店」という。）に対して提供するクレジットカード番号等による決済を可能とするサービスに係るシステム（以下「クレジットカード決済システム」という。）のうち、同社が保有するシステム（以下「自社システム」という。）について、クレジットカード番号等の漏えい事故の発生を防止するため必要かつ適切な措置として、クレジットカードのデータセキュリティに関する国際的な基準（以下「PCIDSS」という。）を適切に維持し、これを継続的に運用すること、及び、令和3年10月から令和4年1月までの間に発生したクレジットカード番号等の漏えい事故と類似の事故の再発を防止するため、第三者機関の検証を踏まえた再発防止策を速やかに策定し、実施すること。
   
   
2. 同社のクレジットカード決済システムのうち、PCIDSS準拠を含むクレジットカード番号等の漏えい事故の発生を防止するため必要かつ適切な措置を講じていないものを確認し、当該措置を講じていなかった原因究明の結果を踏まえ、適切にPCIDSSを準拠及び維持し、これを継続的に運用することを含むクレジットカード番号等の漏えい事故の発生を防止するため必要かつ適切な措置を速やかに講じること。
   
   
3. 経営陣主導の下、システム及びセキュリティ対策に係る内部統制の強化を図り、同社のクレジットカード決済システムにおけるクレジットカード番号等の漏えい、滅失、毀損その他のクレジットカード番号等の管理に係る事故の発生を防止するため必要かつ適切な措置を講ずること。
   
   
4. PCIDSS監査に際し、監査機関に提出する報告書の改ざん等の不適正な業務の遂行を排除するため、クレジットカード番号等取扱業者としての健全な組織風土を醸成するとともに、内部監査機能の強化や業務の属人化の解消等の抜本的な業務運営体制の再構築を行い、第三者機関による業務運営の適正性の検証及び必要に応じた改善を行うこと。
   
   
5. 今般のクレジットカード番号等の漏えい事故の発生原因等を踏まえ、経営責任の所在を明確化するとともに、クレジットカード番号等の適切な管理に必要な経営体制の見直しを行うこと。

3．処分理由

同社に対して行った法第40条の規定に基づく報告徴収命令に対する同社からの報告等から、以下の法第35条の16第１項に基づくクレジットカード番号等の適切な管理に違反している事実が確認された。

1. 同社は、加盟店に対して、顧客がクレジットカード決済により当該加盟店から購入した商品の代金又は提供を受けた役務の対価に係る立替金の交付を立替払取次業者から受け、当該加盟店に交付している。また、同社は、加盟店において顧客が決済に用いたクレジットカード番号等を立替払取次業者に提供している。したがって、同社は法第35条の16第1項第4号及び第７号に規定する事業者に該当する。
   
   
2. 同社のクレジットカード決済システム内のアプリケーションの脆弱性を起因とし、第三者による、自社システム内のクレジットカード番号を閲覧するための管理画面への不正ログインのほか、SQLインジェクション攻撃及びバックドアの設置を実施されたことにより、令和3年10月から令和4年1月の間、当該クレジットカード決済システム内のデータベースに保存していた暗号化されたクレジットカード番号（マスキングされたクレジットカード番号を含む。）、有効期限、セキュリティコード及びこれらを復号化するための復号鍵が窃取され、また、クレジットカード番号が不正に閲覧されることにより、クレジットカード番号等が漏えいした。漏えいの対象となったクレジットカード番号等が保存されていたデータベースのテーブルは2つあり、それぞれ460,395件、2,415,750件の暗号化されたクレジットカード番号等が保存されていた。
   
   
3. 同社は、平成30年6月、同社とコンビニ決済に係る契約を締結していた加盟店にサービスを提供するために開発、運用していたアプリケーション（以下「加盟店向けアプリ」という。）を委託先事業者のシステムから同社のクレジットカード決済システム内に移設している。当該加盟店向けアプリの移設に関しては、代表取締役に稟議が通されており、組織決定されたものではあるが、社内のシステム関係部署及び職員に当該事実について的確に情報共有されていなかった。このため、当該加盟店向けアプリ移設以降に受けたPCIDSS監査において、同社からPCIDSS監査機関に対し、クレジットカード決済システム内に当該加盟店向けアプリが移設された事実を伝えておらず、当該加盟店向けアプリは当該監査の対象とはされなかった。
   
   また、同社は、平成30年から令和3年の間に実施したPCIDSSで求められているWEBアプリケーション（自社システムの管理画面を含む。）の脆弱性診断を診断ツールを用いて自社で実施し、「High」「Medium」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性診断の報告書ではこれらの脆弱性をなかったものに改ざんし、平成30年から同社が法第35条の16第1項第4号及び第7号に規定する事業者に該当することとなった令和3年のPCIDSS監査に際し、改ざんした報告書を監査機関に提示又は提出していた。
   
   さらに、同社は令和2年7月から令和3年10月の間に実施したPCIDSSで求められている自社システムのサーバーを対象としたネットワーク脆弱性スキャンをスキャンツールを用いて委託先で実施し、「High」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性スキャンの報告書では、「High」レベルのうちシグネチャ未更新に関する脆弱性をなかったものに改ざんし、令和2年及び同社が法第35条の16第1項第4号及び第7号に規定する事業者に該当することとなった令和3年のPCIDSS監査に際し、改ざんした報告書を監査機関に提出していた。
   
   なお、WEBアプリケーション脆弱性診断の報告書の改ざんについては、担当職員から情報セキュリティ管理担当役員に報告がなされており、ネットワーク脆弱性スキャンの報告書の改ざんに関しては、情報セキュリティ管理担当役員が改ざん前及び改ざん後の報告書の承認をしていた。しかしながら、これらの役員から他の経営陣に対して、これらの脆弱性が検出された事実及びPCIDSS監査に当たって提出する報告書が改ざんされた事実の報告は行われていなかった。
   
   また、社内の内部監査機能が働くこともなく、当該役員以外の経営陣はこれらについて認識せず、今般のクレジットカード番号等の漏えい事故に係る第三者による原因究明の結果、初めて事実を把握したものである。
   
   このため、同社はクレジットカード決済システムが適確にPCIDSSを準拠するための措置を講じていなかった。なお、今般のクレジットカード番号等の漏えい事故は、当該加盟店向けアプリの脆弱性を原因としたSQLインジェクション攻撃及びバックドア設置が一因となっている。
   
   加えて、クレジットカード決済システムにおける不正アクセスの検知や防御対策の不備があったほか、データベースが適切に分離されていない、自社のシステムのアプリケーションやネットワークの脆弱性診断を適切に実施せず、また検出された脆弱性に適切に対応しないなど基本的なセキュリティ対策が実施されておらず、クレジットカード番号等が十分に保護されるよう適切に管理されていなかった。
   
   このため、同社は法第35条の16第1項に規定する割賦販売法施行規則（昭和36年通商産業省令第95号。以下「省令」という。）第132条第第1号及び第4号に定める基準に従ったクレジットカード番号等の適切な管理のために必要な措置を講じていたとは認められない。
   
   
4. また、同社は、クレジットカード決済システムのうち、少なくとも「会費ペイ」に係るシステムについては、令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについては、PCIDSSに準拠していない。このため、同社は法第35条の16第1項に規定する省令第132条第1号に定める基準に従ったクレジットカード番号等の適切な管理のために必要な措置を講じていたとは認められない。
   
   
5. 同社の自社システムにおいては、システム担当部署で、クレジットカード決済システムの運用に関する状況について関係役職員に的確な情報共有がされず、システム運用に係る業務の遂行状況の記録がされていない状況、及び同社のクレジットカード決済システムの運用監視において、発生したアラートの全件を確認しない状況が継続していた。また、令和3年10月に加盟店向けアプリの管理画面にSQLインジェクション攻撃があったことを認知したが、速やかにフォレンジック調査等の原因究明を実施しなかった。
   
   このため、同社は、法第35条の16第1項に規定する省令第132条第1号及び第2号に定める基準に従ったクレジットカード番号等の適切な管理のために必要な措置を講じていたとは認められない。

プレスリリース（アーカイブ）

「人形工房ひととえオンラインショップ」への不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ 2022年6月30日 株式会社松永

このたび、弊社が運営する「人形工房ひととえオンラインショップ」（https://www.hina-ningyou.co.jp/。以下「本件サイト」といいます。）におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報等（684件）及び個人情報（最大10,450件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、クレジットカード情報等及び個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2021年9月3日、一部のクレジットカード会社から、本件サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2021年9月6日本件サイトでのカード決済を停止いたしました。

また、第三者調査機関による調査も開始いたしました。2022年2月18日、調査機関による調査が完了し、2021年2月3日～2021年8月15日の期間に本件サイトで購入されたお客様のクレジットカード情報等が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があること、また、2022年1月20日までに本件サイトにおいて会員登録、商品の購入又はカタログ請求をされたお客様の個人情報が漏洩した可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2. クレジットカード情報等及び個人情報漏洩状況

(1) 原因

弊社ではクレジットカード情報を保有しておりませんでしたが、本件サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2) クレジットカード情報等漏洩の可能性があるお客様

2021年2月3日～2021年8月15日の期間中に本件サイトにおいてクレジットカード決済をされたお客様680名で、漏洩した可能性のある情報は以下のとおりです。

• カード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード
• 人形工房ひととえオンラインショップ　ログインID（メールアドレス）
• 人形工房ひととえオンラインショップ　パスワード
• 電話番号
• IPアドレス

(3) 個人情報漏洩の可能性があるお客様

①2022年1月20日までに本件サイトにおいて会員登録をされたお客様1,875名で、漏洩した可能性のある情報は以下のとおりです。

• 氏名
• 住所
• メールアドレス
• 電話番号
• 人形工房ひととえオンラインショップ　パスワード
• 人形工房ひととえオンラインショップ　会員ID（弊社が付与した番号）
• 会社名（※）
• FAX番号（※）
• 性別（※）
• 職業（※）
• 生年月日（※）

（※）会員登録時に当該情報を入力されたお客様のみが対象です。

②2022年1月20日までに本件サイトにおいて商品の購入又はカタログ請求をされたお客様最大3,507名で、漏洩した可能性のある情報は以下のとおりです。

• 氏名
• 住所
• メールアドレス
• 電話番号
• FAX番号（※）
• お届け先情報（商品を購入されたお客様のみが対象です。）
• お子様の氏名・生年月日（商品を購入されたお客様のみが対象です。）

（※）商品購入時又はカタログ請求時に当該情報を入力されたお客様のみが対象です。

上記（2）（3）に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。なお、電子メールがお届けできなかったお客様には、書状にてご連絡させていただきます。

3. お客様へのお願い

(1) クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、上記2.(2)の対象となるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2) ログインID・パスワード変更のお願い

2022年1月20日までに本件サイトにおいて会員登録をされたお客様におかれましては、たいへんお手数ですが、本件サイト内のマイページより、現在使用されている本件サイトのログインパスワードを変更していただきますようお願い申し上げます。なお、パスワードをお忘れの場合は、マイページのログイン画面より「ログイン情報をお忘れですか？」を選択の上、パスワードの再発行をお願いいたします。

また、他のサイトで本件サイトと同一の値のログインID・パスワードを使用されている場合には、念のため、当該他のサイトにおいてもログインID・パスワード変更のお手続をいただきますよう、併せてお願い申し上げます。

(3) 不審なメール及び電話への注意喚起

身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4. 公表が遅れた経緯について

2021年9月3日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5. 再発防止策ならびにクレジットカード決済の再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

本件サイトにおけるクレジットカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年4月28日に報告済みであり、また、所轄警察署にも2022年4月12日被害申告しており、今後捜査にも全面的に協力してまいります。

プレスリリース（アーカイブ）

コンピュータウイルス感染事案有識者会議調査報告書（徳島県つるぎ町立半田病院）

 

令和3年10月31日の未明、つるぎ町立半田病院がサイバー攻撃を受け、電子カルテをはじめとする院内システムがランサムウェアと呼ばれる身代金要求型コンピュータウイルスに感染し、カルテが閲覧できなくなるなどの大きな被害が生じました。令和4年1月4日の通常診療再開までの間、患者さんをはじめ関係者の皆さまには多大なご迷惑とご心配をおかけいたしましたこと、改めて深くお詫び申し上げます。

事件発生後、当院の職員は一丸となって早期復旧を目指しました。全容解明や情報漏えい有無の特定よりも、まずは病院としての機能を一日も早く取り戻すために、患者さんのデータをいかに復元させるか、端末を利用できる状況にどのように戻すかに焦点を当てインシデント対応を行っていきました。幸いにして、調査復旧を請け負った事業者の作業、電子カルテ業者の仮システムの構築、そして、電子カルテより必要に応じて抽出していたデータなどを利用し、令和4年1月4日に通常診療を再開することが出来ました。

事件発生後、全国の病院や事業所が当院のようなサイバー攻撃を受けないためにも、詳細な状況を公表することが責任であると考え、できうる限りの情報を公開してきました。その結果、あらゆるマスコミや業界誌等からの取材依頼があり、逆に様々な情報提供もありました。この状況は今現在も続いており、今後も積極的な情報開示に努めてまいります。

なぜ、当院がコンピュータウイルスに感染したかについては、今も警察当局においての捜査が続けられています。また、個人情報の漏えいも確認はされておりません。病院としては、有識者会議を設置いたしました。委員には、大学教授などの専門家にご就任いただき、会議の開催と現地調査を経て、当院に対するサイバー攻撃に関し、客観的にその原因分析や被害状況の実態把握、再発防止策など病院運営に関する重要事項について審議いただき、調査報告書としてその提言をまとめていただきました。また、「報告書（技術編）」や「情報システムにおけるセキュリティ・コントロール・ガイドライン」も併記し、サイバーセキュリティに関して知識が不十分である病院関係者が業者と交渉する際の指標となるものを盛り込んでいただきました。これらすべては、当院ホームページよりダウンロードできるようにいたします。有識者の方々からは、電子カルテシステムは閉域網で使用するものではなく、外部とつながって使用される状況であり、また、インターネットと接続させることでシステムをアップデートできることから、より強固なセキュリティの構築に取り組まなければいけないことを教えていただきました。この報告書には、我々の対応不足な点もたくさん指摘されていますが、広く日本の電子カルテシステムにおける問題も提起されています。本来なら、今後当院が電子カルテシステムをどのようにするのかの具体的な対策も提示して、皆様にご報告するべきだったと思いますが、まずはこれらを世に出して、全国の病院や事業所のセキュリティ強化に貢献できればと考え公開するものです。

今後におきましては、本提言を踏まえ国（厚生労働省・総務省・経済産業省等）の新たな指針も参考にしながら、ガイドラインを遵守したシステムの構築により、再発防止とセキュリティ対策強化を図る所存でございます。

これからも、地域の中核病院の責務を果たすべく、財政の健全化と地域と共に歩む病院経営を目指し、職員一丸となって対応してまいります。引き続きのご支援をどうぞよろしくお願い申し上げます。

プレスリリース（アーカイブ）

■気になったポイント1

・アプリケーションをC社から購入し、ハードウエアをA社から購入していたら、責任分界点が生じるのは当然。その責任分界点を自組織でカバーできないのであれば1社からアプリケーションとハードウエアをまとめて購入すべきで、サポートが宙に浮いたのはベンダーの問題ではなく、半田病院の問題と考えられる。

■気になったポイント2

・一般的に脆弱性情報の収集は利用組織で責任を持ってPULL型で実施するもの。それができないのであれば、追加コストを払ってPUSH型で情報を受け取るようにするものなので、積極的に脆弱性情報の収集を行っていないことが問題だし、それをベンダーのせいにするのであれば、もっとサポートがしっかりした製品を購入すべきで、半田病院における製品選定ミスということもできる。

【資料】

・コンピュータウイルス感染事案有識者会議調査報告書（バックアップ）

・コンピュータウイルス感染事案有識者会議調査報告書ー技術編ー（バックアップ）

・情報システムにおけるセキュリティコントロールガイドライン（バックアップ）

イベント参加者への案内メールでメアドが流出 - 酒田市

山形県酒田市は、イベントの参加者へメールで連絡を取った際に送信ミスがあり、メールアドレスが流出したことを明らかにした。

同市によれば、2022年6月17日にメールで教育委員会が開催するサイエンス発明教室に関する連絡を取ろうとした際、送信先のメールアドレスを誤って宛先に設定するミスが発生したもの。参加者のメールアドレス51件が受信者間で閲覧できる状態となった。

送信直後に担当者が気づき、対象となる参加者にメールで謝罪。誤送信したメールの削除を依頼した。あわせて電話やサイエンス発明教室において謝罪を行っている。

プレスリリース（アーカイブ）

出典：イベント参加者への案内メールでメアドが流出 - 酒田市

「https://www.sancity.jp/」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年6月29日 株式会社サンシティ

このたび、弊社が運営する「https://www.sancity.jp/」におきまして、第三者によ

る不正アクセスを受け、お客様のクレジットカード情報（1133 件）が漏洩した可能性が

あることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態とな

りましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫

びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関す

る概要につきまして、下記の通りご報告いたします。

1.経緯

2021 年 6 月 10 日、一部のクレジットカード会社から、弊社サイトを利用したお客様

のクレジットカード情報の漏洩懸念について連絡を受け、カード決済の停止を行いま

した。その後、別決済会社にてそれまでとは別の決済方法にて決済を再開しましたが、

調査が完了するまでは使用自体を停めることが最善であると判断し、停止にいたりま

した。

2021 年 11 月 10 日弊社が運営する「https://www.sancity.jp/」でのカード決済を完

全に停止いたしました。

その後、第三者調査機関による調査も開始いたしました。2022 年 4 月 7 日、調査機関

による調査が完了し 、 2020 年 2 月 23 日 ～ 2021 年 4 月 28 日 の 期 間に

「https://www.sancity.jp/」で購入されたお客様クレジットカード情報が漏洩し、

一部のお客様のクレジットカード情報が不正利用された可能性があることを確認い

たしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「https://www.sancity.jp/」のシステムの一部の脆弱性をついた

ことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが

行われたため。

(2)個人情報漏洩の可能性があるお客様

2020 年 2 月 23 日～2021 年 4 月 28 日の期間中に「https://www.sancity.jp/」に

おいてクレジットカード決済をされたお客様 1133 名で、漏洩した可能性のある情

報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当する 1133 名のお客様については、別途、電子メールにて 個別にご連

絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカ

ードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細

書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、

身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジット

カードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申

し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手

数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード

会社に依頼しております。

4.公表が遅れた経緯について

2021 年 6 月 10 日の漏洩懸念発覚から今回の案内に至るまで、時間を要しましたこ

とを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び

申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公

開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整

えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およ

びカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリテ

ィ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「https://www.sancity.jp/」のクレジットカードの再開日につきましては、

決定次第、改めて Web サイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、個人情報保護委員会には 2022 年 5

月 10 日に報告済みであり、また、所轄警察署にも 2022 年 5 月 17 日被害申告してお

り、今後捜査にも全面的に協力してまいります。

プレスリリース（アーカイブ）

個人情報漏えいの可能性に関するお知らせとお詫び 2022年6月27日 バリュエンスホールディングス株式会社

この度、なんぼやWEBサイト（以下「本サイト」といいます。）において、本サイトをご利用いただいた一部のお客様の個人情報が他者から閲覧できる状態になっていた可能性があることが判明いたしました。つきましては、本件の経緯等について下記のとおりご報告いたします。なお、本件の原因は既に特定しており、対応も完了しております。お客様をはじめ関係者の皆様に多大なるご迷惑、ご心配をおかけいたしますこと、深くお詫び申し上げます。

1. 経緯

2022年6月23日午前4時49分から午後5時57分の間、本サイトのご利用にあたり、申込情報の入力画面内において、他のお客様の情報が表示されて閲覧できる状態となっていた可能性があることが発覚いたしました。発覚後、システムの状況を確認したところ、本サービスの申込登録画面のキャッシュ（一度閲覧したホームページの情報を一時保存し、早く表示できるようにする機能）において、お客様が登録した情報が一時的に保存される設定になっていたことが原因であると判明したため、直ちにお客様が登録した情報を保存しない設定に変更をいたしました。現在は対応を完了しており、他者から閲覧されることはありません。

2. 個人情報を閲覧された可能性のあるお客様

なんぼやWEBサイト内入力フォームご利用の106回アクセスされたうち一部のお客様

・出張買取ページ

・時計修理宅配申込ページ

・問い合わせページ

・ブランドコンシェル予約ページ

3. 閲覧された可能性のある個人情報

・氏名（漢字及びフリガナ）

・性別

・生年月日

・住所

・電話番号

・メールアドレス

4. 原因と再発防止策

・今回キャッシュプラグインの変更にともなう設定不備が要因となります。

今後のなんぼやWEBサイトの改修時のテスト項目につき、社内外の関係者が共通のチェック項目を共有、テストを履行する体制構築を再度徹底いたします。

・また現在は各フォームがキャッシュされない設定であることは確認しておりますが、今後設定ミスが起こった場合に入力フォームが予期せずキャッシュされる状態であることを定期的かつ自動的にチェックする仕組みを導入する方針です。

5. 今後の対応について

個人情報を閲覧された可能性のあるお客様の個人情報が悪用される等の事象が発生した場合、弊社は各種法令に従い、適切な措置を講じる所存です。

プレスリリース（アーカイブ）

BURPの代替になりそうなツール「Hetty」 / This looks great! A BURP alternative.

Hettyは、セキュリティ研究のためのHTTPツールキットです。Burp Suite Proのような商用ソフトウェアに代わるオープンソースとして、情報科学やバグバウンティコミュニティのニーズに合わせた強力な機能を提供することを目指しています。

機能紹介

• マシンインザミドル（MITM）HTTPプロキシ、ログと高度な検索機能付き
• 手動でリクエストを作成/編集し、プロキシされたリクエストを再生するためのHTTPクライアント
• スコープをサポートし、作業の整理整頓を支援
• 使いやすいWebベースの管理インターフェイス
• プロジェクトベースのデータベースストレージにより、作業の整理整頓を支援

コミュニティ

Discord

ドキュメンテーション

インストール

Hettyのインストールとアップデートは、パッケージマネージャを利用するのが一番手っ取り早いです。

LINUX 

sudo snap install hetty

WINDOWS

scoop bucket add hettysoft https://github.com/hettysoft/scoop-bucket.git
scoop install hettysoft/hetty

または、GitHubからあなたのOSとアーキテクチャに対応した最新リリースをダウンロードし、バイナリを$PATH内のディレクトリに移動することも可能です。あなたのOSがいずれかのパッケージマネージャで利用できない場合や、GitHubのリリースに記載されていない場合は、ソースからコンパイルするか、Dockerイメージを使用することができます。

実行​

インストールしたら、コマンドラインからHettyを起動します。

hetty

何もオプションを付けずに起動すると、このようになります。

• ディスクに格納されるルート CA 証明書と秘密鍵を作成する。 ~/.hetty/
• BadgerDB データベースを作成し、ディスクに格納する。 ~/.hetty/db/
• リッスンするHTTPサーバーを実行します。 0.0.0.0:8080, 管理画面のプロキシおよびサービスに使用されます

以下のようなコンソール出力が表示されるはずです。

2022/03/01 11:09:15 INFO [main] Hetty (v0.5.1) is running on :8080 ...2022/03/01 11:09:15 INFO [main] Get started at http://localhost:8080

これで、http://localhost:8080、管理画面にアクセスできるようになります。

出典：Hetty - An HTTP Toolkit For Security Research

「やまなしくらしねっと」 のヘルプデスクを装った不審メールについて 2022年6月29日 山梨県

やまなしくらしねっとのヘルプデスクを電子メールにより利用している（または、過去に利用したことのある）利用者に対して、へルプデスクを装った不審メールが発信される可能性

があるため、お知らせします。

○経過

６月２３日 

やまなしくらしねっとを含め全国の地方公共団体への電子申請サービスを提供している事業者が、ヘルプデスク業務用パソコンにおいて、過去にマルウェア（Emotet）に感染していたことを発見

 ※不審メールが発信されたとの報告が同サービスを利用する県外の自治体から寄せられ、同社において調査したところ感染した痕跡を検出

６月２７日 

上記について、山梨県市町村総合事務組合（以下「組合」）を通じて、同社から連絡を受ける。

同日 やまなしくらしねっとのトップページ（お知らせ）に注意喚起に関する情報を掲載（運営主体である組合が対応）

６月２９日 

やまなしくらしねっと利用者のうちヘルプデスクに問い合わせた方への注意喚起メールを送信済 

〇やまなしくらしねっとの利用者へのお願い

 次のようなメールが届いた場合は、メール本文の URL をクリックすることや添付ファイ

ルの開封は絶対に行わないでください。

[不審メールの一例]

 ・発信者メールアドレス：

正規 help-shinsei-yamanashi@s-kantan.com <help-shinsei-yamanashi@s-kantan.com>

不正 help-shinsei-yamanashi@s-kantan.com <xxxxx@xxx.xxx.xx>

 ・件名：「Re:ＸＸＸＸＸＸ（過去にヘルプデスクとやりとりしたメールの件名）」

 ・添付ファイル等：（ZIP 形式のファイルが添付されていることが多い。）

プレスリリース（アーカイブ）

カーニバルクルーズが2019年のデータ侵害に対して125万ドルの罰金を支払う / Carnival Cruises to pay $1.25 million fine for 2019 data breach

カーニバル・クルーズは、全米で18万人のカーニバル社員と顧客の情報が流出した2019年のデータ侵害への対応で46人に訴えられ、125万ドルの罰金を支払うことに同意しました。

この情報漏洩は2020年3月に同社が公表したもので、氏名、社会保障番号、住所、パスポート番号、運転免許証番号、支払いカード情報、健康情報などが含まれていました。数千人がこの情報漏洩の影響を受けました。

ハッカーはカーニバル社の従業員のメールアカウントにアクセスし、顧客情報に広くアクセスできるようになった。同社は、情報漏洩を発見したのが一般に公表する10カ月前の2019年5月であることを明らかにし、世間から反感を買いました。

ペンシルベニア州司法長官ジョシュ・シャピロ氏は、「個人情報が悪質な業者に流出した場合、消費者にできるだけ早く通知することが不可欠です」と述べています。遅れが生じれば、その個人データが悪用される可能性が高まります。

カーニバルは個人情報を電子メールで保存し、機密データを扱うのに「他の無秩序な方法」を使っていました。シャピロ氏によると、このようなデータの取り扱い方法は、情報漏えいの通知をより困難なものにします。

ニューヨークのレティシア・ジェームズ司法長官は、カーニバル・クルーズ・ラインは「何千人もの消費者の個人情報を保護することに失敗した」と述べた。

「今日のデジタル時代において、企業は消費者を詐欺から守るためにデータプライバシー対策を強化しなければならない 」と、ジェームズは言った。「休暇中のニューヨーカーが個人情報の流出を心配する必要はないはずだ」

カーニバル社は、金銭的な罰則と同時に、情報漏洩対策計画の実施、従業員への電子メール訓練プログラムの制定、独立した情報セキュリティ評価の実施などに同意した。

出典：Carnival Cruises to pay $1.25 million fine for 2019 data breach

ショルダーサーフィンとは？ / What is shoulder surfing?

人前で機密メールを送るとき、特定のアプリを使うとき、特定のウェブサイトにアクセスするとき、過去に一度は周囲に配慮したことがあるに違いありません。それは当然のことです。しかし、あなたが最も被害妄想的で自意識過剰な状態で画面を見ていると感じる監視の目は、実は本物のサイバーセキュリティの脅威である可能性があるということに、あなたは気づいていないかもしれません。

確かに、公共の場であればどこでも、ログイン認証情報を見つけ出して記憶することは、非常に鋭い洞察力を必要としますが、脅威がゼロでないことは確かです。あなたができないからといって、熟練したサイバー犯罪者ができないわけではありませんし、データを流出させると懲罰を科されるリスクがあるため、会社員は決して油断することができないのです。

ショルダーサーフィンとは、犯罪者が肩越しにログイン情報、またはその他の有用なデータや機密データを盗むという、直感的に分かるサイバーセキュリティ上の脅威のことです。クライアントのデータを安全に保ち、コンプライアンスに準拠したデータ運用を行うために、簡単に導入できる対策が数多くあります。

ショルダーサーフィンから身を守るにはどうしたらよいのでしょうか？

デバイスを傾ける

電車やバスの中でスマートフォンを使っているとき、肩越しに他人の嫌な視線を感じたら、端末を傾けるだけでいいのです。同様に、スマートフォンを下げて、角度を切ることもできます。

この方法は、タブレットやノートPCでは少し難しくなりますが、隣に座っている人が盗み見をしているのであれば、まだ有効です。ノートパソコンなら、画面を少し下に傾けることで、プライバシーを守りたいという意思表示をすることができます。

視界を遮る

これはより攻撃的な方法ですが、もしあなたが外出先で仕事の機密文書を見ているのなら、それはあなたの特権です。空いている方の手で、スマートフォンの危険にさらされている側を覆えばいいのです。

ノートパソコンなら、ケースや本、カバンなど、画面の脇に物をかざして、見晴らしの良い場所をふさぎましょう。冬場は、大きなコートが重宝します。

見えないところに座る

喫茶店や公共の場でリモートワークをする場合は、壁際の席を確保し、ノートパソコンの画面の向こう側を覗き見されないようにするのがベストです。さらに、壁がガラスや鏡でないことを確認し、外に座る場合は、人ごみを避け、壁際に座るようにしましょう。

通勤時にはあまり役に立ちませんが、ググっているものを隠したい場合は、バスの後部座席も有効です。

在宅勤務

自宅のWi-Fiが不安定で、公共の場で仕事をしなければならない場合、ショルダーサーフィンはのリスクは必ず付いて回ります。しかし、あなたが素晴らしいネット環境を自宅に持っている場合、それを活用します。会社のビジネスを覗き見されないようにするには、プライベートを守ること、家にいること、可能であれば実際にオフィスに行くことが一番です。

プライバシーディスプレイへの投資

市場には、開発の設計段階でショルダーサーフィンを意識したビジネス向けデバイスが数多く存在します。HPは、特定の角度からしか見えないように設計されたSure Viewディスプレイで、この領域のトップです。この技術は、例えば飛行機で隣の通路にいる乗客から顧客データを保護するのに役立ちます。

そのようなデバイスを持っていない場合でも、, サードパーティ製のメーカーは、簡単に見つけることができます。屋外での作業を頻繁に計画している場合は、わずかな費用で自分のデバイス用の取り外し可能なプライバシースクリーンを手に入れることができます。

出典：What is shoulder surfing?

アドレス乗っ取られ個人情報漏えいか 伊達市、大量の不審メールも

伊達市は２０２２年６月２４日、市が運営する簡易宿泊所「とまっぺ」の予約などに使用するメールアドレスが乗っ取られ、受信履歴に残っていた１７世帯３７人分の住所や氏名、生年月日などの個人情報が漏えいした恐れがあると発表した。このアドレスから、外部に５００通を超える不審なメールも送信されていた。

市によると、担当職員が１０日午前９時ごろ、契約しているプロバイダー名が差し出し人のメールに記載されていたＵＲＬをクリックしパスワードを入力したところ、同宿泊所のメールパスワードが漏えいしたという。プロバイダーから連絡があり、気が付いた。

市はメールアドレスのパスワード変更やメール機能の停止、ウイルスチェックなどの初期対応を行った。２４日現在、ウイルス感染や外部への被害は確認されていないが、該当者に連絡を取り、被害状況の有無を確認しているという。

市の担当者は「職員の情報セキュリティー管理を徹底し再発防止を図る」とコメントした。

プレスリリース（アーカイブ）

出典：アドレス乗っ取られ個人情報漏えいか　伊達市、大量の不審メールも