週刊OSINT 2022-42号

今号は運用セキュリティ、グーグル検索、チートシート、便利なヒントなどを紹介します。

Naval Opsec
Let's Geolocate
Bookmarklet
Chinese Propaganda
Geotargeted Google Search
YouTube Handles
Geolocation Cheat Sheet

ニュース: Naval OpSec

Steven 'nixintel' Harrisは、Marsattaqueblogが発信した、演習中にフランスのフリゲート艦が文字通り「レーダーから外れた」状態で撃沈されたという話をシェアしました。2021年11月21日から12月3日まで、合計23隻の艦船、1隻の潜水艦、65機の航空機が海上演習に乗り出しました。無線や衛星通信がすべて妨害されていたため、無線での接触は一切なかったにもかかわらず（出典）、レッドチームはSnapchatで見つけた位置情報だけでブルーフリゲート艦の1隻を撃沈してしまったのだ。青いフリゲート艦は岸に近い場所にあり、4Gマストの届く範囲にあったので、Snapchatに接続することができました。アクティブなアカウントを発見した後、精密な打撃が不可能だったため、14発のミサイルによる模擬攻撃が指示されました。OpSecが悪いと壊滅的な影響を与えるというもう一つの例です。

Media: Let's Geolocate

Benjamin Strickは、彼自身の言葉によると、より軽快なコンテンツを作るのに忙しくしているそうです。そして、特に毎日のニュースを賑わせている世界の紛争を考えると、それは素晴らしいことだと言えるでしょう。そして、皆さんも同じように行動することをお勧めします。例えば、彼が世界中の大きな芸術作品をジオロケーションしていくこのビデオに参加することができます。ベンのもう一つの素晴らしいビデオは、いくつかの場所は非常に簡単に見つけることができたにもかかわらず、彼の思考過程を洞察することができます。ベンがどのように利用可能なすべての情報を使って、ひとつひとつの問題を解決していくのか、ご注目ください。

ツール: Bookmarklet

TwitterユーザーのOSINT_Tacticalは、ソーシャルメディアの範囲内でユーザー名を素早く検索できるブックマークレットを作成しました。実際に結果を表示するタブをたくさん開くので、これはあまり好きではないのですが、これはいくつかの問題を引き起こすかもしれません。FirefoxとBraveはデフォルトで1つのタブを開くだけで、Chrome内では空白のページから実行できないようで、動作する前にブラウザで複数のタブを開くように明示的にOKを出す必要があります。というのも、これは可能性のあるリードを素早く見つけるための、もう一つの簡単で迅速なヒントだからです。

ニュース: Chinese Propaganda

ファーガス・ライアン氏と彼の同僚は、ウイグル出身の2人の少女が登場する中国のプロパガンダを調べました。このTwitterのスレッドでは、彼らが見つけた、これらのビデオといわゆる「情報局」とを結びつける情報を取り上げています。このスレッドは、情報キャンペーンが特定の物語を広めるためにどのように利用されているか、そして、時には、それが簡単に引き離されることを示す、興味深いものです。ルーさん、ありがとうございました。

サイト: Geotargeted Google Search

Henk van Essから、Google検索の「ジオターゲティング」の新しい方法についての情報が届きました。数年前からiSearchFromを使っているのですが、この便利なサイトは、検索時に特定の場所をターゲットにすることができるのです。ニュースを検索するとき、Googleは時々、地元のニュースアイテムを表示しますが、非常に特定の地域をターゲットにできるこの機能は、非常に便利かもしれません。このヒントのすぐ後に、「Einat FB」という方から、「U Search From」という別のサイトがあり、そちらは私が使っていたものより改良された良いツールだというヒントをいただきました。これらのヒントに感謝します。

小技: YouTube Handles

ここ数日、YouTubeの新しい機能である「YouTubeハンドル」について、複数のメールを受け取りました。クリエイターは、ハンドルネームを登録することで、次のようなリンクを生成することができます。

https://www.youtube.com/@redbull

現在、このページはHTTPコード「303」を返送し、ブラウザを別のURLにリダイレクトしています。この例では、https://www.youtube.com/user/redbull にリダイレクトされます。YouTubeのブログによると、すでにカスタムチャンネルURLを設定している人は、同じ名前がハンドルネームとして予約され、新しいカスタムチャンネルURLを作成するオプションは今のところ停止しているとのこと。今後どうなるかはわかりませんが、このニュースを受けて多くのユーチューバーが自分のハンドルネームを主張すれば、さらに見つけやすくなるかもしれませんね。

チュートリアル: Geolocation Cheat Sheet

もしあなたがジオロケーションの初心者で、まだ手がかりを見つけるのに苦労しているなら、これはあなたにとって素晴らしいカンニングペーパーになるかもしれません。SEINTは、写真に写っているたくさんのものを集めた大きなマインドマップを作成し、あなたの道のりを助けてくれるでしょう。これは現在進行中で、彼がさらに多くのアイテムを見つけたら更新される予定ですが、すでに印象的です。これはあくまでチートシートとして使用し、画像やビデオを分析する際には、常に自分自身のアイデアも出すことを忘れないでください。このマインドマップのPNG版とPDF版は、SEINTのGitHubで見ることができます。

オマケ: Spooky Logic

38mo1が作成した、ハロウィンの時期に登場する素晴らしいマニアックなジョークで、古典的な「論理ゲート」をいくつか含んでいます。OSINTコミュニティでは、革新的な検索クエリを作成するときに使用するのと同じブール代数を基礎としているので、このうちのいくつかは知られていることだろう。しかし、電気技術者にとっては、これは既知の領域なのです。OSINT Amyさん、教えてくれてありがとうございます。

出典：Week in OSINT #2022-42

BIPROGY 株式会社　第三者委員会の調査報告書受領及び役員の処分等に関するお知らせ　2022年12月12日

当社は、2022 年 7 月 1 日付「USB メモリー紛失事案に関する第三者委員会の設置について」にて公表しましたとおり、当社協力会社社員による兵庫県尼崎市における個人情報を含む USB メモリーの紛失事故を受け、同日に外部の専門家から構成される第三者委員会を設置し、調査を行って参りました。

本日、第三者委員会より、調査の結果判明した事実関係及び問題点の指摘、再発防止のための提言を目的とする調査報告書を受領いたしましたので、下記のとおりお知らせいたします。

当社は、この度の事態を招いたことを真摯に受け止め、改めて深くお詫び申し上げますとともに、第三者委員会の調査結果及び提言を踏まえ、再発防止策等を検討してまいります。また、分析・検討の結果、公表すべき事項がある場合には、適時適切に開示いたします。

当社は、株主や投資家をはじめとするステークホルダーの皆さまからの信頼回復に向け、全社を挙げて全力を尽くしてまいる所存でございますので、引き続き、ご支援を賜りたくお願い申し上げます。

１．調査結果について

第三者委員会の調査結果につきましては、添付資料「調査報告書（公表版）」をご覧ください。

なお、添付資料においては、個人情報保護の必要上、取引先及び社内外の個人名について一部を除き匿名としておりますことをご了承ください。

２．再発防止策について

当社は本件の発生を受けて、下記のような再発防止策を検討・実施して参りました（以下は一例でありこれらに限りません）。

(1) 組織的安全管理措置について

　①機密性が高い顧客情報資産へアクセスするプロジェクトへの安全管理措置

プロジェクトを担当する組織内で組織長が週次でその運用に対する安全管理措置を点検。
顧客機密情報（個人情報含む）の取扱いに責任を持つ役職者による指導・確認の下、安全管理措置を策定・明確化。
新たに設置したセキュリティ専門組織がその安全管理措置の妥当性を客観的に審査・承認し網羅的に管理・モニタリングする仕組み・体制の整備。

　②社内規程及びビジネスプロセスの改定

可搬メディアの取扱いルール強化、顧客機密情報と顧客本番環境アクセスのルール強化、サービスビジネスにおいて顧客本番環境にアクセスする際のルール新設等を内容とする社内規程の改定。
その他、稟議決裁規程、情報サービス・ビジネスプロセス、アウトソーシングビジネスなどのビジネスプロセス関連規程を改定。

　③教育及び指導

セキュリティリスクの理解と個人情報を含む顧客機密情報の取り扱いルール再徹底のためのセキュリティ教育（e ラーニング）を当社グループ全役職員に対して実施。
情報セキュリティ遵守事項に係るプロジェクトチーム内への周知や協力企業向け情報セキュリティ教育の実施状況を確認。

(2) 物理的・技術的安全管理措置について

　①尼崎市様からの受託業務に関する物理的・技術的安全管理措置

本番環境にアクセスする作業時は本番サーバルームで尼崎市様ご担当者立合いのもと実施するとともに、可搬メディアを使用する場合のルールを明確化するなど、情報セキュリティに関するルールの明確化。

　②全社的な物理的・技術的安全管理措置

利用中の可搬メディアの必要性の見直しと、継続利用する場合は社内規程通り管理されていることを管理簿などの証跡ベースで報告することを徹底。

(3) 委託先管理について

　①情報セキュリティ

安全管理措置及び個人情報の取扱いに責任を持つ役職者による教育及び指導等によって、委託先監督に関する法令・当社規程の遵守を徹底。
顧客機密情報（個人情報を含む）の取扱いを協力企業に委託する場合も、新たに設置したセキュリティ専門組織にて安全管理措置を審査・承認し、その実施状況をセキュリティ専門組織がモニタリング。
形骸化を防止するため、情報セキュリティ内部監査において上記運用状況を監査予定。

　②管理プロセス見直し等

委託先管理を図る責任者を新たに設置。また、委託先管理プロセスを見直し、当社とお客様との契約条件に従って当社から協力会社への委託がなされていることを確認できるエビデンス管理や、運用が適切に行われていることを週次レベルでモニタリング。
当社全役職員に関する再教育と指導の徹底、及び委託先に対する契約ルール、再委託留意事項に関するトレーニングプログラムの提供
顧客との契約条項に適合した開発（再委託）の場合のみ発注可能となるよう、契約・発注管理システムに契約条項で定められた条件を登録させ、発注の可否を機械的に判断できるようにする修正を加える。
委託先との契約書内容を変更し、①契約に違反した場合の違約金条項、②当社の判断で、当社からの二次委託先以降に対する再委託を中止するように要求することを可能とする条項を追加する。
委託先管理の実効性を確保するため、委託先管理に対する運用状況を監査予定。

当社は、上記の他にも、第三者委員会の調査結果を真摯に受け止め、再発防止策の提言に沿って具体的な再発防止策を策定し、引き続き着実に実行してまいります。

リリース文（バックアップ）

全文表示 / Read more »

公益社団法人シャンティ国際ボランティア会　ランサムウェア攻撃によるサーバーへの不正アクセスについて（第1報） 2022年12月12日

2022年11月23日に、公益社団法人シャンティ国際ボランティア会のサーバーがランサムウェア攻撃の被害に遭い、サーバーへの不正アクセスと個人情報が含まれるデータの毀損が判明しました。

現在、警視庁、専門家及び関係機関に相談し、本攻撃による情報流出の有無や影響の範囲の特定、原因の究明とシステムの復旧に努めております。現時点で、旧サーバーの使用は中止し、セキュリティ強化を施した新サーバーへの移行を完了しています。

関係者の皆様には、ご心配、ご迷惑をおかけし、誠に申し訳ございません。詳細がまとまりましたら改めてご報告差し上げますので、何卒ご理解のほどよろしくお願い申し上げます。

リリース文（アーカイブ）

加賀電子株式会社　当社海外子会社サーバーへの不正アクセス発生について 2022年12月12日

当社は、タイにおいてEMS事業を展開する当社の連結子会社であるKAGA ELECTRONICS (THAILAND)COMPANY LIMITED（以下、「加賀タイ」）のネットワークシステムの一部が第三者による不正アクセスを受けたことを確認いたしました。

2022年12月2日深夜に発生した、加賀タイのサーバーに対するランサムウエアとみられる不正アクセス攻撃の発覚後、現地警察およびシステム会社など関係諸機関への報告を行うとともに、被害拡大を防ぐため、加賀タイにおいてはサーバーとPC端末の停止、ならびに外部ネットワークとのアクセスを遮断するなどの対策を直ちに実施いたしました。

翌3日より、システム会社および当社グループの他EMS拠点とも連携して、各地エッジ端末に保存するデータをもとにシステムの復旧作業を進めるとともに、これと併行して、加賀タイのお客様に対して、順次、個別にご報告を行いました。これまでのところ、本件に係るお客様の機密情報の不正利用等は確認されておりません。

本日（12日）時点において、加賀タイにおける社内サーバー、ネットワークシステムは概ね復旧済みであり、生産活動も再開いたしました。また、再度の不正アクセスに備えて、当社グループの他の拠点を含めて対策を実施しておりますが、今後はネットワークアクセスの監視体制や認証方法を一層強化し、当社グループ全体での再発防止を徹底してまいります。

なお、今般のシステム障害が今年度の当社業績に対して大きな影響は与えないものと考えておりますが、新たにお知らせすべき重要事項が判明した場合は、速やかに開示いたします。

本件により、お客様はじめ関係各位に多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

リリース文（アーカイブ）

海上自衛隊の女性海曹が不正アクセスにより自身の人事データを入手して処分される

海上自衛隊は、５０代の隊員が自身の人事に関するデータを不正に入手したなどとして、２０２２年１２月１２日、この隊員を懲戒免職の処分にしました。

懲戒免職となったのは、海上自衛隊の佐世保地方総監部に勤務する５０代女性の海曹です。

佐世保地方総監部によりますと、海曹は去年８月ごろ、職場の共有サーバーに保存されていた自身の人事評価に関するデータにパスワードを不正に解いてアクセスし、印刷して自宅に持ち帰りました。

そして、確認した人事評価を基に「上司からパワハラを受けている」などのうその事実を記した文書を人事担当部署に送付したということです。

この海曹は、数百回にわたって予測してパスワードを入力しファイルにアクセスしたということで、調べに対して「自分の評価に対する不満があり、知りたい欲求を抑えきれなかった」と話しているということです。

海上自衛隊は、情報保全に関する違反や私的な理由の非行の程度が重いとして、１２日、この海曹を懲戒免職の処分にしました。

佐世保地方総監部は「隊員が自分の利益のために極めて重大な事案を起こし、非常に重く受け止めています。指導を徹底し、再発防止に努めていきたい」とコメントしています。

出典：自身の人事データを不正に入手海上自衛隊の隊員を懲戒免職

46歳の非国民男性がＮＴＴ施設を物理攻撃し、通信を妨害する

ＮＴＴ東日本の通信設備に何らかの方法で放火し、インターネット回線などに通信障害を起こしたとして、警視庁捜査１課は、建造物等以外放火と威力業務妨害などの容疑で、千葉県船橋市三山、無職、釜付敦史容疑者（４６）を逮捕した。調べに対し、「覚えていません」と容疑を否認しているという。

逮捕容疑は、２０２２年１１月２０日午後３時１０分から約２５分間、東京都中央区日本橋の路上で、ＮＴＴ東日本のハンドホールと呼ばれる通信ケーブルなどが入った縦穴（縦６０センチ、横１２０センチ、深さ１３５センチ）内に、何らかの方法で放火し、ケーブル６本（被害総額約４０万円相当）を燃やして、通信障害を起こしたとしている。

捜査１課によると、ハンドホール内でカセットボンベ１本と固形燃料の残りかすが見つかったほか、約１００キロのフタが吹き飛んでいたことから、内部を爆破したとみられるという。

周辺では、約１７時間にわたって、１８０回線で固定電話が利用できなくなるなどの通信障害が起きた。

出典：ＮＴＴ設備爆破か　無職男逮捕　周辺で一時通信障害

実録・ウォーキングアプリのJAL WELLNESS&TRAVELでもらえるマイル

月額500円で歩くとマイルがもらえるJAL WELLNESS&TRAVEL。

最近徒歩通勤をしていて1日1万歩は行く感じなので、トータルでどれくらい貰えるのか確認してみた。

JAL WELLNESS&TRAVELは獲得後48時間以内にアプリから受け取りの処理が必要。

つまり、実質毎日アプリにログインして受け取りの処理が必要で、これがちょい面倒。

ちなみに、受け取りの都度、マイルが登録がされる。

ちなみにマイルの獲得だが、6000歩歩くと1マイルと抽選権が1枚、8000歩歩くと更に1マイルと抽選権がもう1枚、10000歩歩くと更にもう1マイルと1枚抽選券がもらえ、抽選権獲得後48時間以内に抽選してマイルをもらう。

つまり、6000歩くと最低1マイル+αで数マイルがもらえるため、最終的に何マイル貰えるかは抽選してみないと分からない。

そこで、毎日ほぼ1万歩歩いて、ほぼ毎日抽選した結果、どれくらいマイルをもらえたのかを振り返ってみることにする。

尚、集計期間は2021年12月～2022年10月。12ヵ月になっていないのはご容赦を。

【2021年12月】
ログイン日数：12日
獲得マイル数：302マイル
（平均25マイル/日）

【2022年1月】
ログイン日数：18日
獲得マイル数：291マイル
（平均16マイル/日）

【2022年2月】
ログイン日数：24日
獲得マイル数：312マイル
（平均13マイル/日）

【2022年3月】
ログイン日数：29日
獲得マイル数：502マイル
（平均17マイル/日）

【2022年4月】
ログイン日数：29日
獲得マイル数：451マイル
（平均15マイル/日）

【2022年5月】
ログイン日数：24日
獲得マイル数：377マイル
（平均15マイル/日）

【2022年6月】
ログイン日数：27日
獲得マイル数：487マイル
（平均18マイル/日）

【2022年7月】
ログイン日数：30日
獲得マイル数：414マイル
（平均13マイル/日）

【2022年8月】
ログイン日数：29日
獲得マイル数：426マイル
（平均14マイル/日）

【2022年9月】
ログイン日数：25日
獲得マイル数：391マイル
（平均15マイル/日）

【2022年10月】
ログイン日数：28日
獲得マイル数：440マイル
（平均15マイル/日）

月額500円なので、年6000円。

もらえるマイルは四捨五入で6000マイルくらい。

金額だけで見ると1マイル1円強で購入する感じ。

でもウォーキングで健康も手に入るので、そこまで加味すれば価値のあるサービスだと思う。

Webアプリケーション診断ツール（DAST）の選び方

今日のWebアプリケーションの大半は、危険な脆弱性を含んでいます。そのセキュリティを分析するためには、動的なスキャナなしにはできません。DAST (Dynamic Application Security Testing) ツールを使えば、セキュリティの問題を迅速に検出し、評価することができます。このようなツールを選択する際に、何を重視すべきでしょうか？

様々な調査によると、脆弱性の70%は、コードのエラーと関係があります。Webアプリケーションのコードの脆弱性を利用して、ハッカーはマルウェアを配布したり、クリプトジャッキング攻撃を仕掛けたり、フィッシングを採用してユーザーを悪意のあるサイトにリダイレクトしたり、電話をリモートでハッキングしたり、ソーシャルエンジニアリングの手法を使って個人データを盗んだりすることができるのです。

しかし、脆弱性の数を減らし、製品のセキュリティレベルを向上させることは十分可能です。そのためには、DevSecOps（開発とセキュリティを連携させ、ソフトウェア作成の各段階で脆弱性をチェック・テストするプロセス）に頼ることができます。

DevSecOpsのプロセスは非常に膨大であり、数多くの情報セキュリティ・ツールを含むこともあります。この記事では、DASTと、動的アプリケーション解析のための正しいスキャナの選び方についてお話したいと思います。どのようなツールの特性やパラメータに注意を払う必要があるのか、また現在どのような種類の製品が市場に出回っているのか、一緒に考えていきましょう。

DASTとは？

DAST (Dynamic Application Security Testing)は、配備され機能しているアプリケーションの自動分析を行う、安全な開発手法の1つです。ダイナミックスキャナーは、HTTP経由のすべてのアクセスポイントをチェックし、一般的な脆弱性を利用した外部からの攻撃をシミュレートし、様々なユーザーのアクションをシミュレートします。このツールは、サービスが持つAPIを判断し、検証リクエストを送信し、可能であれば不正なデータ（引用符、区切り文字、特殊文字など）を使用します。

ダイナミックスキャナーは、大量のリクエストを送信し、分析します。送信されたリクエストと受信したレスポンスの分析、および通常のリクエストとの比較により、さまざまなセキュリティ問題を発見することができます。

ほとんどのスキャナーは、同様の機能と手口を持っています。その主な構成要素は、クローラーとアナライザーです。

クローラーは、到達可能なすべてのページのすべてのリンクを走査し、ファイルの内容を調べ、ボタンを押し、ページ名の候補の辞書を調べます。このプロセスにより、攻撃対象領域の大きさと、アプリケーションとの既存の相互作用の方法を考慮した、可能な攻撃ベクターを推定することができます。

アナライザは、アプリケーションを直接チェックします。受動的または能動的なモードで動作させることができます。最初のケースでは、クローラが送信する情報のみを調査します。2 番目のケースでは、クローラが見つけたポイントや、現在ページ上に存在しないがアプリケーションで使用可能な他の場所に、不正なデータでリクエストを送ります。そして、サーバーからの応答に基づいて、脆弱性の存在を推測します。

DASTツールを選ぶ際に注意すべき点

■脆弱性スキャンの品質

これは、発見された脆弱性と見逃された脆弱性の比率です。スキャナの解析結果をすぐに理解することは不可能です。そのためには、少なくともどのような脆弱性があり得るかをおおよそ理解し、その推定値とスキャン結果を比較する必要があります。ツールを評価する方法はいくつかあります。

アプリケーションを持っていて、バグバウンティプログラムやペネトレーションテストですでに脆弱性をチェックしている場合、その結果とスキャナーの結果を比較することができます。
アプリケーションがまだない場合は、原則としてトレーニング用に作成された他のプリベイラブルソフトウェアを使用することができます。技術スタックの点で、開発環境に近いアプリケーションを見つける必要があります。

スキャンの品質を評価する際には、誤検出の数が決定的な役割を果たします。誤検出が多すぎると、結果に支障をきたします。また、実際のエラーを見逃してしまうこともある。ツールのスキャン品質を判断するには、レポートを分析し、レスポンスを解析し、偽陽性の数と割合を計算する必要がある。

■クローリング

アプリケーションに関する情報がなく、ゼロから分析する必要がある場合、収集できるパスと遷移の数、つまりクロールの精度を把握することが重要です。これを行うには、DASTの製品設定を見ることができます。フロントエンドからバックエンドへのリクエストを監視できるかどうか、例えばSwaggerやWSDLアプリケーションを解析できるかどうか、HTMLやJSのリンクを見つけられるかどうか、などを調べる必要があります。また、アプリケーションに関する情報を取得するプロセスも調べる価値があります。

スキャンする前に、例えば、どのAPIが使用されているかを調べることができます。これにより、プログラムの完全なスキャンを実行するために、ツールが何を必要としているかを理解することができます。スキャナを選ぶ際には、各ツールが取り込めるものをリストアップし、開発プロセスに組み込めるかどうかを確認するのが有効です。

■脆弱性スキャンの速度

このパラメータも、特に開発プロセスにチェックを組み込んでいる場合には重要です。スキャンはプロセスを遅くし、結果的に時間とお金の無駄遣いにつながります。スキャンの速度は、アプリケーションがリクエストに応答する速度、同時接続数、その他いくつかの要因に大きく依存します。したがって、異なる DAST ツールの速度を比較するためには、ほぼ同じ条件下で同じソフトウェアを実行する必要があります。

■拡張設定

自動解析ツールには詳細な設定が必要です。それらを使えば、不要なリクエストを削除したり、スキャン範囲を限定したりすることができます。これにより、プロセスの品質と解析のスピードが向上します。ツールのタスクを適切に設定するには、利用可能なすべてのオプションと設定を用意する必要があります。

アプリケーションに適応する「スマート」なスキャナーもあります。しかし、このようなツールでも、チェックの目的が異なるため、手動で設定する必要があります。例えば、フルスキャンから始まり、表面的な分析で終わるなど、いくつかの方法でアプリケーションをスキャンする必要がある場合があります。この場合、手動モードは間違いなく便利です。

ツールを選ぶ際には、設定可能なパラメーターの総数やその設定のしやすさに注意する必要がある。異なるツールの作業を比較するために、それぞれのツールでいくつかのスキャンプロファイルを作成することができます。初期分析には高速で浅く、本格的なものには時間がかかっても深くです。

■統合

動的解析をできるだけ効果的に行うには、この方法を開発プロセスに統合し、ビルド中に定期的にスキャナを実行することが有効である。CI/CDプロセスで使用されるもののリストを事前に作成し、ツールを起動するためのおおよその計画を立てる必要がある。

そうすることで、開発プロセスに組み込むことが容易かどうか、APIを使用することが便利かどうかを理解することができる。

■技術

スキャナを選択する際には、自社が開発で使用している技術を考慮する必要がある。これを行うには、アプリケーションを分析し、使用されている技術、言語、フレームワークのリストを作成する。特に会社が大きい場合、リストはかなり広範囲になる可能性がある。したがって、スキャナを評価する基準として、いくつかの重要なパラメータのみを選択することが適切である。

そのツールがカバーしている技術やフレームワークの数。
企業が重要なサービスで使用している主要な技術をサポートする能力

■ログインシーケンスの記録

アプリケーションに入るためには認証が必要なため、ログインシーケンスを記録することはダイナミックスキャナにとって非常に重要である。このプロセスには、パスワードを送信する前にハッシュ化したり、フロントエンドで共有キーで暗号化したりなど、多くの落とし穴がある。したがって、ツールがそのようなニュアンスにすべて対応できるかどうか、事前に確認する必要があります。そのためには、できるだけ多くの異なるアプリケーションを選択し、それぞれのアプリケーションでスキャナーがログイン段階を通過できるかどうかを確認する必要があります。

また、ログアウトしたときのツールの動作も確認しておくとよい。スキャナーは、分析プロセス中に多くのリクエストを送信します。そのうちのいくつかに応答して、サーバーはユーザーをシステムから「放り出す」ことができる。ツールはこのことに気づき、アプリケーションに再入力するはずです。

■ツールのアップデート

技術は常に進化しているため、ツールを選択する際には、そのアップデートやシグネチャ・パターン・分析ルールの新バージョンがどれくらいの頻度でリリースされるかを考慮することが重要です。この情報は、製品のWebサイトで確認するか、ベンダーに問い合わせるのがよいでしょう。これにより、開発元がトレンドに従っているかどうか、また、チェックのデータベースがどれだけ最新に保たれているかが分かる。

製品の開発に影響を与えられるかどうか、開発者が新機能のリクエストにどのように対応しているかを確認することも望ましい。これにより、必要な機能がどれだけ早く製品に搭載されるか、また、オプションの更新の一環としてベンダーとのコミュニケーションがどのように手配されるかがわかる。

どのツールを選ぶか？

Netsparker、Acunetix、Nessus、Rapid7、AppScan、VEXなど多くのツールが市場に出回っています。ここでは2つのツールについて簡単に触れます。

■BurpSuite Enterprise

このツールはPortSwiggerによって開発されました。この製品は、スキャンの対話と管理、レポートの送信など、本格的なREST APIを備えています。スキャンエージェントは、古典的なBurpSuiteです。「ヘッドレスモード」で起動しますが、制限があります。例えば、ヘッドポータルからの制御コマンドでしか対話できず、プラグインを読み込むことができなくなります。一般的に、このツールが正しく設定されていれば、優れた結果を得ることができます。

■OWASP ZAP (Zed Attack Proxy)

この人気のあるツールは、OWASPコミュニティによって作成されたため、完全に無料です。異なるプログラミング言語用のSDKとAPIを備えている。OWASPのオプションや独自のプラグインを使用することができる。

この製品には、様々なCI/CDツール用の拡張機能があります。異なるモードで実行し、プログラム的に制御することができる。開発プロセスにツールを簡単に挿入することができます。同時に、このスキャナには欠点もあります。オープンソースのソリューションであるため、スキャンの品質はエンタープライズソリューションよりも低くなります。また、ツールの機能はそれほど広くはなく、深くもありませんが、拡張や改良が可能です。

まとめ

DASTツールを選ぶ際には、この記事で指摘した基準を使うことができるか、確認する必要がある。各企業はそれぞれ独自のニュアンスと特徴を持っている。これらすべての選択基準と合わせて考慮しなければならない。また、事前にニーズを定義し、ツールからどのような結果を得たいかを理解しておくとよいでしょう。間違いのないように、様々な選択肢の本格的なテストを行い、互いに比較し、最適なソリューションを選択することをお勧めします。

出典：Choosing a DAST solution: What to pay attention to?

合資会社ビーンズゴトー　不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年12月8日

このたび、弊社が運営する「珈琲の王国Beans510」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（252件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年8月23日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2022年8月23日弊社が運営する「珈琲の王国Beans510」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2022年11月4日、調査機関による調査が完了し、2022年3月15日～2022年8月23日の期間に「珈琲の王国Beans510」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「珈琲の王国Beans510」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2022年3月15日～2022年8月23日の期間中に「珈琲の王国Beans510」においてクレジットカード決済をされたお客様252名で、漏洩した可能性のある情報は以下のとおりです。

　・カード名義人名

　・クレジットカード番号

　・有効期限

　・セキュリティコード

上記に該当する252名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年8月23日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「珈琲の王国Beans510」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年8月31日に報告済みであり、また、所轄警察署にも2022年11月14日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

大阪市　教育委員会事務局における個人情報を含むUSBメモリーの一時紛失について　2022年12月2日

教育委員会事務局において、令和4年12月1日（木曜日）、個人情報の入ったUSBメモリーを一時紛失していたことが判明しました。

　このたびの事案が発生したことにつきまして、関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、再発防止に努めてまいります。

1　概要と事実経過

令和4年12月1日（木曜日）14時頃、教育委員会事務局教職員人事担当の職員が教員採用選考テストの説明会実施のため、ある大学に向かう途中、説明資料を入れたUSBメモリーがないことに気付き、職場に戻りました。同日、14時5分頃、市民の方より大阪市役所本庁舎に拾得物として、USBメモリーの届け出があったことから、一時紛失していたことが判明しました。

説明資料には、教職員へのインタビュー及び児童や生徒等が映った学校生活の様子がわかる画像及び動画ファイルが含まれていました。教職員については、後日、本市ホームページにおいてインタビューの内容や画像を公表する許可を得ていましたが、児童や生徒等については、説明会のみで使用することを前提に撮影していました。

2　 USBメモリーに含まれる個人情報

児童・生徒32名分、教職員4名分の顔等の画像及び動画（うち2名は氏名・出身地含む）

3　判明後の対応

令和4年12月1日（木曜日）夕方以降、当該児童・生徒の学校（小学校1校・中学校1校）に経過説明と謝罪を行っています。

4　原因

当該職員の個人情報の取り扱いに関する認識が不十分であり、説明会に必要なUSBメモリーや他の資料を十分に確認せず外出したことから、移動途中に不用意に路上でかばんを開け資料を取り出し確認した際に、USBメモリーを誤って落としたと考えています。また、情報セキュリティ責任者の許可を得て、USBメモリーや説明資料にパスワードを設定する手続きを怠っていました。

5 　再発防止について

教育委員会といたしましては、これまでも職員に対して個人情報の管理の徹底を指導していたにもかかわらず、このような事案を起こしたことについて深く受け止めております。当該職員に対しては、個人情報管理に関する規定を点検し、再発防止策として、個人情報を含む文書の取り扱いや保管などの管理の徹底を指導してまいります。また、担当課の全職員に対しても、個人情報の取り扱いや管理についての徹底と、さらなる意識の向上について指導し、再発防止に努めてまいります。

リリース文（アーカイブ）

北國銀行　メール誤送信のお詫び　2022年12月5日　～全ユーザーにメール誤送信して、それがアクセス過多につながる、レアな自爆系障害～

12月5日(月)11時～15時頃に送信いたしました件名「お振込不能のお知らせ【北國銀行】」のメールにつきまして、本来特定のお客さまへ送信すべきところ、誤って全契約者様へ送信したことが判明いたしました。また、一部お客さまにつきましては時間を空けて2重に誤ったメールが送信されておりました。

それに伴い、同時刻にアクセスが集中し、クラウドバンキングがログインしづらい状況も発生しておりました。

お客さまには大変ご心配とご迷惑をお掛けしましたことを心よりお詫び申し上げます。

なお本件でのお客さまの個人情報の流出はございません。弊行の人為的作業ミスが原因であり、不正アクセスによるものではございません。

北國クラウドバンキングは引き続き安心してご利用いただけます。

サポートデスクへの電話が繋がりにくい状況が続いておりますこと、重ねてお詫び申し上げます。

弊行では、今回の事態を厳粛に受け止め、再発防止の対策を徹底してまいります。

リリース文（アーカイブ）

山陽SC開発株式会社　弊社サーバーへの不正アクセスに関するその後の状況について　2022年12月5日

2022年9月19日(月)に弊社サーバーが外部からの不正アクセスを受けた件につきまして、お客様をはじめ、多くの関係先の皆様にご迷惑とご心配をおかけしておりますこと、改めて深くお詫び申し上げます。

2022年9月26日(月)にお知らせして以降、外部の専門機関による調査等により判明致しました内容について、改めて報告いたします。なお、現時点で、個人情報の流出の事実は確認されていません。

１．調査結果

外部の専門機関等による協力のもと、今回の侵害に至った原因や情報流出の可能性について、調査を進めてまいりました。

今回侵害を受けたサーバーを中心とした調査の結果、侵害の原因は、弊社が使用しているシステムの脆弱性を突かれたものと判断しております。また、これまで外部の専門機関を通じて、情報流出の有無を確認してまいりましたが、現時点で、情報の流出の事実は確認されていません。ならびに、現時点で、今回の被害による二次被害も確認されていません。

なお、個人情報保護委員会への確報と警察への通報は完了しています。

２．対象となる個人情報

現時点では、具体的な流出の事実は確認されていませんが、流出する可能性を完全には否定できない個人情報は次のとおりです。（前回のお知らせ（9/26）から追加はございません）

・お客様　約600件　　　　　　

弊社主催のイベント参加者の名簿など　

・お取引先等関係者様　約7,200件

テナントスタッフ研修参加者名簿、テナント本部・お取引先様連絡先、採用に関わる情報など

・社員・退職者関係　約150件　

情報は、氏名のほか、一部に住所、電話番号、メールアドレス等が含まれています。

なお、「岡山一番街さんすて岡山・倉敷J-WESTカード会員」情報（クレジットカード情報）、「さんすて福山メンバーズカード会員」情報は含まれていません。

3．今後の対応と再発防止策

外部の専門機関等からの調査結果ならびに再発防止策等を踏まえ、より安全性の高いシステムの構築、脆弱性情報の定期的な確認など、必要な対策を講じることにより、再発防止に万全を期してまいります。

また、今後も当分の間、専門機関と連携し、定期的に情報流出の有無を確認するとともに、万一、情報の流出が確認された場合には、関係先に速やかに連絡し、必要な対応をさせていただきます。

この度は、お客様をはじめ関係先の皆様に多大なご迷惑とご心配をおかけしておりますこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

全文表示 / Read more »

千葉県習志野市の中学校教諭が車上荒らしに遭い、個人情報が盗まれる

習志野市教育委員会は2022年11月28日、市立中学の３０代男性教諭が２６日夕に船橋市内で車上荒らしに遭い、車内に置いていたリュックごと生徒２０人分の個人情報入り書類を盗まれたと発表した。船橋署に被害届を出し、生徒と保護者に謝罪した。情報が悪用された形跡はないという。

習志野市教委によると、市内各中学校からスポーツの選抜チームに選ばれた２０人の名前や生年月日、身長、保護者連絡先を記載。教諭は２７日の練習会で使うためリュックに入れ、帰宅途中に寄った商業施設の駐車場で約４０分の間に窓ガラスを割られて盗まれた。市教委は「置いたままにすべきではなかった。全教職員に再度、個人情報の取り扱いの指導を徹底する」とした。

出典：中学教諭が車上荒らし被害　生徒の個人情報入り書類盗まれる　習志野市教委

三重大学　外部機関が運営しているサイト上における個人情報の漏えいについて　2022年11月22日

令和4年10月5日（水）、外部機関から、同機関が運営しているサイト（「外部サイト」）で公表した本学関連資料（令和3年7月公表）について、個人情報に係る部分の秘匿処理について照会があり、確認した結果、十分でないまま公表していることが判明いたしました。本学においては、個人情報保護規程等に基づき個人情報の適切な管理に努めて参りましたが、このような事態を招き、関係の皆さまに多大なご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

１．閲覧可能な状態であった個人情報の内容と該当者数

・学生1名の「学籍番号」及び「氏名」

・卒業生に関する次の内容

　(1) 70名の「学籍番号」及び「氏名」（平成16～26年度入学）

　(2) 616名の「学籍番号」（平成21～28年度入学）

　(3) 36名の「氏名（姓のみ）」（平成8～30年度卒業）

・元研究生1名の「氏名」　

・平成24～令和元年度に本学各種事業にご協力いただいた学外者110名の「氏名」

・元教職員2名の「メールアドレス」

・教職員1名の「住所」及び「連絡先（電話番号及びメールアドレス）」

計837名

２．判明後の対応

該当の資料については、外部機関において9月30日（金）付けで公表が停止されました。その後、10月18日（火）付けで該当の資料がWeb上から削除されたこと、11月9日（水）までにキャッシュデータを含む本件個人情報がWeb上から削除されたことを本学において確認しております。

また、個人情報が漏えいした可能性があり連絡先がわかる方には、個別に連絡等をさせていただいております。

なお、これまでに本件の個人情報が不正に使用された事実は確認されておりません。

３．漏えいの原因

本学において、外部機関に資料を提出する際の確認が不十分であったため、一部、個人情報に係る部分の秘匿がされていなかったほか、秘匿した箇所についても、当該データを加工することによって閲覧可能な状態になっていました。

４．本学からのコメント

本学では、教職員に対し研修会を通じ、個人情報保護の適切な管理に取り組んで参りましたが、このような事態を招いたことを深く反省し、本事象を教訓に今後の個人情報保護と情報セキュリティに関する教育研修を一層強化の上、計画的・継続的に実施し、個人情報保護の重要性を周知徹底するとともに、再発防止に努めて参ります。

リリース文（アーカイブ）

株式会社山形スズキ　個人情報流出の可能性に関するお詫びとご報告 2022年11月28日

このたび、弊社のパソコンがサイバー攻撃を受け、弊社が保有するお客様の個人情報が外部に流出した可能性があることが判明いたしました。お客様をはじめ関係者の皆様に多大なるご迷惑とご心配をお掛けする事態となりましたことを、深くお詫び申し上げます。

なお、現時点で、お客様の個人情報が不正に利用されたり、悪用されたりしたという事実は確認されておりません。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、詳細につきまして、下記のとおり報告いたします。

1）経緯

2022 年 11 月 17 日、弊社のパソコンがサイバー攻撃を受け、遠隔操作された際にお客様の個人情報が抜き取られた可能性があります。なお、パソコンはすぐにネットワークから切り離しております。

2）流出した可能性のある個人情報

2,455 件分のお客様の個人情報（以下の項目が記載されたデータ）

氏名、住所（町名まで）、車両情報（車種、車台番号、登録日）

※これ以外にお客様の電話番号やクレジットカード情報等は含まれておりません。

3）判明後の対応

山形県警察サイバー犯罪対策課への通報・相談と個人情報保護委員会への速報は完了しております。

弊社では、以後このような事態が発生しないよう、セキュリティ対策および個人情報の管理体制の一層の強化を図り、再発防止に努めてまいります。

リリース文（アーカイブ）

岐阜の検察事務官が人事情報に不正アクセスし、処分される

検察庁のネットワークシステムに不正アクセスして人事関係の情報などを閲覧したとして、岐阜地検は２日、３０代の事務官を戒告の懲戒処分にしたと発表した。事務官は同日付で依願退職した。「人事評価を気にするあまり見てしまった」と事実関係を認めているという。

地検は不正アクセス禁止法違反容疑で調べたが、外部への情報漏えいが認められなかったことなどから起訴猶予とした。

出典：検察事務官が不正アクセス　「評価気になり」人事情報閲覧―岐阜地検

Exchange OnlineとMicrosoft Teamsがアジア太平洋地域でダウン

マイクロソフトの主力クラウドサービスが、アジア太平洋地域でダウンしていたことが明らかになりました。

12月2日の発表によると、「我々の最初の調査では、我々のサービスインフラが最適なレベル以下で機能しており、その結果、一般的なサービス機能に影響を及ぼしていることが判明した」と述べられています。

この問題により、Exchange Onlineのユーザーは、サービスへのアクセス、メールやファイルの送信、マイクロソフトが「一般的な機能」と説明する機能の利用ができなかった可能性があります。

Teamsへの影響は以下の通りです。

会議のスケジュール設定や編集、ライブ会議において問題が発生する可能性があります。
People Picker/検索機能が期待通りに動作しない可能性があります。
Microsoft Teamsの検索ができなくなる可能性があります。
Microsoft Teams の [割り当て] タブが表示されない場合があります。

メッセージング、チャット、チャンネル、その他のTeamsの主要なサービスは利用できたようです。

Microsoftは、何が問題なのか分かっていないようです。

「関連する診断データの分析を続ける一方で、影響を受けたインフラのサブセットを再起動し、それによってサービスが復旧されるかを確認しています」と、最初のステータス通知から17分後に投稿された更新に記載されています。

また、別のアップデートでは、次のような情報が提供されています。

弊社では、影響を受けたシステムのごく一部の再起動に成功し、サービスが復旧するかを確認しています。監視を続けながら、根本的な原因の把握に努め、他の潜在的な緩和経路を開発する予定です。

マイクロソフトの報告によると、この問題は "アジア太平洋地域内のすべてのユーザーに影響を与える可能性がある "とされています。

出典：Exchange Online and Microsoft Teams went down in APAC because Microsoft broke itself

富山県立大学　ＤＸ教育研究センターホームページへの不正アクセスについて 2022年12月1日

本学外部レンタルサーバー上で公開しているD文教育研究センターのホームページに第三者ふらの不正アクセスがあり、管理者権限を有するユーザーアカウントが乗っ取られたことが、11月22日 (火) に判明し、同日該当のホームページを閉鎖いたしました。

なお、当該ホームページは、公開全報のみが保管されており、現時点で個人情報等の漏洩は確認されておりません。

今後は情報管理を徹底し、再発防止に努めてまいります。

1 経緯

11月21日(月)

午前：ホームページにアクセスでできないこと、管理画面にログインできないことを担当者が確認

午後：外部レンタルサーバー事業者に状況を問い合わせ

11月22日 (火)

外部レンタルサーバー事業者から回答

・11月12日に不正なプラグインがインストール

・ブラグインによりWordPressが正常実行きれていなかった模様

ホームページの全コンテンツジを削際

11月29日(火)

迷惑行為としてメール送信の痕跡を確認

12月 1 日(木)

県庁、文部科学省、射水警察署に報告

2 想定される被書等

当該ホームページには、外部公開情報のみが保管されており、現時点で個人情報の漏洩は確認されておりません。

迷惑行為としてメール送信の踏み台 (11月14日にに32, 255件送信)にされたことを確認しておりますが、現時点では、その他の被害は確認されておりません。

3 本学の対応

当該ホームページを閉鎖するとともに、サーバー内に保存していたを全報を全て削除しました。

当該ホームページの再構築は、使用するソフトウェアの安全性の確認及びセキュリティを確保する運用手順が確立するまで行われない予定です。

リリース文（アーカイブ）

不正アクセスインシデントに関する対応の進捗状況について 2022年11月29日　株式会社メタップスペイメント

2022年7月1日付「不正アクセスによる情報流出に関する対応状況について」につき、現時点の進捗をお知らせいたします。

1. システム面への対応

クレジットカード決済にかかるシステムについては、技術的安全性の確保を最優先に掲げ、各種対応を進めており、以下のとおり、一定のめどが立っております。

認定審査機関のアセスメントにより、ネット決済システム及びフロントシステム（※1）に関して、PCIDSS Ver 3.2.1へ順次準拠しております（※2）。

また、システムの安全性を維持継続できる運用体制構築に関する諸施策について、年内には完了する予定です。

なお、昨今の環境を鑑みるに、今後は、現時点よりさらに高度な安全確保が必要になってくると痛感するところ、決して本件への反省を風化させることなく、さらなる水準向上に向けて緊張感をもって取り組みを進めていく所存です。

2. 業務改善への対応

経営全般における業務改善につきましては、2022年6月30日付の業務改善命令、および第三者委員会（※3）からの再発防止策提案も踏まえ、業務改善計画を策定し、順次実行しております。また、経営体制面においては、8月、新たに金融・決済制度に造詣の深い吉元利行氏を社外取締役に迎え、取締役会の場のみならず、随時、専門的な知見からの助言を受けています。

内部統制強化のための機関・組織の整備、スタッフの教育も、手を緩めることなく取り組んで参ります。

3. 行政当局への対応

これまでの行政当局への対応は以下のとおりです。

(1) 経済産業省（2022年6月30日業務改善命令への対応）

2022年8月1日　実施済の措置及び今後実施予定の改善措置、時期にかかる報告書提出

2022年9月15日　8月1日付報告書にかかる追加報告書提出

2022年10月6日　進捗にかかる報告書提出（第三者委員会委員の評価も添付）

年末時点で再度、進捗にかかる報告書を提出（第三者委員会委員の評価も添付）する予定です。

(2) 個人情報保護委員会（2022年7月13日指導への対応）

2022年8月1日　改善策実施状況報告

なお、当社からの報告内容については、個人情報保護委員会において、以下のとおり、一定の評価を受けております。

2022年8月31日第214回個人情報保護委員会において改善策の実施状況を審議

（https://www.metaps-payment.com/company/20220901.html）

関係する皆様には引き続きご心配をおかけしますが、策定した改善策を着実に実行し、一刻も早い信頼回復に努めてまいる所存です。

どうか、ご理解のほど、よろしくお願いいたします。

※1 フロントシステムについて

フロントシステムとは、ネット決済システムの前後で予約申込・購入などを受け付けた情報を管理するシステムを指します。クレジットカード情報については、ネット決済システムのみで取扱い、フロントシステムでは非保持・非通過となります。

※2 PCIDSS準拠状況

(1)ネット決済システム

認定審査機関：株式会社ブロードバンドセキュリティ

PCIDSS準拠日：

2022年5月20日（P.C.F.FRONTEO株式会社によるフォレンジック調査結果を踏まえて準拠）

2022年6月11日（国際ブランド指定のベライゾンジャパン合同会社によるフォレンジック調査結果を踏まえた再準拠）

認定審査機関：株式会社GRCS

PCIDSS準拠日：

2022年11月25日（国際ブラント指定による別審査機関による準拠確認）

（2）フロントシステム（顧客向けクレジットカード情報非保持・非通過アプリケーション）

認定審査機関：株式会社ブロードバンドセキュリティ

PCIDSS準拠日：

2022年5月25日　会費ペイ

2022年7月28日　イベントペイ

2022年7月28日　チケットペイ

2022年7月28日　ペイシス

2022年9月30日　スポシル

2022年10月7日　BeesRent

（2022年12月予定　商工会議所向けシステム）

※3 第三者委員会委員

以下のメンバーで構成される独立した機関であり、事実関係の調査等を担当しました。現在は、当社の再発防止策の実施状況について、第三者的立場からの評価を行っています。

右崎大輔　片岡総合法律事務所　弁護士

大河内貴之 Secure・Pro株式会社代表取締役

リリース文（アーカイブ）

全文表示 / Read more »

Zscalerの障害（2022年10月）

2022年10月のZscalerの障害により、ユーザーは接続断、パケットロス、通信遅延の被害を受けました。

この障害は、2022年10月25日米国東部時間火曜日の午前8時頃に発生し、Twitter上でZscalerの一部の顧客は「ハードダウン」していると主張し、他の顧客は、激しい遅延とパケットロスを経験していると伝えています。

ある情報筋は、「内部メンテナンスプロセス」がProxyサーバーに大規模な混乱を引き起こし、今回の障害につながったことを共有しました。

同日12:26PM、Zscalerは、この障害は「zscalertwo.net Cloud」の問題によって引き起こされたことを認めました。

「この問題は軽減されました。現在、クラウド全体のアクティブヘルスチェックを行い、状況を監視しています。」とZscaler Trustのインシデントレポートには記載されています。

Zscalerは、障害に関する次の声明を共有しました。

「Zscalerのクラウドセキュリティプラットフォームは、パフォーマンスと耐障害性を最適化するために複数の分散型クラウドを使用して構築されています。今回の問題は、複数のクラウドのうちの1つと、そのクラウド内で提供されているZscalerのサービスのうちの1つだけに影響を与えました。そのクラウドや他のクラウドで他のZscalerのサービスを利用しているお客様には影響はありません。また、影響を受けたお客様とは密接に連携しています。PDT午前9時の時点で、大半のお客様は完全に復旧しており、検証後のチェックは30～60分以内に完了する予定です。」

出典：Zscaler outage causing heavy packet loss, connectivity issues

週刊OSINT 2022-41号

今週は、オーディオ、OpSec、Telegram、Internet Archive経由でドメイン名を調査するツール、そしてTryHackMeのチャレンジを紹介します。

Audio
OpSec and VPN
Telepathy
TheTimeMachine
Shodan TryHackMe

記事: Audio

Nico Dekens氏が、ビデオのバックグラウンドノイズなどのオーディオを調査するためのブログ記事を書きました。彼は、何を聞くべきか、音声を処理する便利なツール、音を特定するのに役立つツールを挙げており、さらに練習用の音声ファイルを追加しています。音声は、特に特定の場所を指し示す音がある場合、可能性のあるビデオをジオロケーションする上で重要な役割を果たすことがあります。それがどのように役立つのかわからないのですか？彼のブログからオーディオファイルをダウンロードし、試してみてください。

記事: OpSec and VPN

数年前から、AndroidとiOSのVPNクライアントは必ずしもプライバシーを尊重しないことが知られています。これらのオペレーティングシステムは、ほとんどの場合、独自のサービスに接続する際はVPN接続を迂回します。例えば、DNSリクエストなど。ほとんどのユーザーにとってこれは大した問題ではないかもしれませんが、非常に機密性の高いトピックを扱う場合は、単に携帯電話でVPNクライアントを実行するだけでなく、すべての受信要求をVPN経由でトンネリングするルータに接続することを強くお勧めします。iOS 16を調査し、このニュースを共有してくれたmysk_coに感謝します。

ツール: Telepathy

Jordan Wildon氏は、彼のTelegramツールTelepathyに複数の機能を追加した。最も注目すべき機能は、位置情報検索である。この機能により、任意の座標の周辺にいるユーザーを検索することが可能になる。このスイスアーミーナイフのようなTelegramツールに、もう一つ素晴らしい機能が追加されました。

ツール: TheTimeMachine

FR13ND0x7Fによるこのツールはバグバウンティ用に開発されたものですが、ある程度技術があって、このツールが何をするものなのかが分かっている場合には、便利なツールになります。Internet Archiveをスクレイピングし、指定されたドメインからのすべてのURLをテキストファイルにダンプし、利用可能なサブドメインを特定することができます。スクレイピングされたコンテンツから、APIやJSONのエンドポイントを特定することもできる。小さいが、ドメイン名で作業するときに便利なツールだ。cyb_detectiveさん、ありがとうございました。

小技: Shodan TryHackMe

ドメイン名とそれに関連する事柄について、もっと練習したいとお考えですか？TryHackMeに飛び込んで、0xbeeが作成したShodanルームを覗いてみてください。質問を1つ1つクリアしていき、Shodanのさまざまな側面や可能性を発見し、サービスへの問い合わせ方法について理解を深めてください。作成ありがとうございました。

出典：Week in OSINT #2022-41

Ｊ．フロントリテイリング株式会社　個人情報の取り扱いに関するお詫びとお知らせ 2022年11月28日

J．フロントリテイリングループ (以下「JFRグループ」といいます) では、お客様により良いサーヒスを提供するために、お客様の個人情報の一部をJFRグループ各社で共同利用しております。このたび、JFRカード株式会社(以下「JFRカード」といいます) で取得したカード会員様の個人情報のうち、JFRグループ内での共同利用の対象として除外していた項目も含めて、JFRグループの顧客情報データベース (※) に誤ってデータ送信していたことが判

明いたしました。カード会員様をはじめ関係の皆様には多大なるご心配とご迷惑をおかけすることとなりましたことを深くお詫び申し上げます。

(※)JFRグループ各社で取得した個人情報をJFRグループ内で共同利用するためのデータ情報基盤

なお、本件は、顧客情報データベースでの当該個人情報の利活用前に発覚し、すでに顧客情報データベースから当該個人情報を削除いたしました。また、顧客情報データベースは厳重に管理されており、当該個人情報の顧客情報データベース外部への漏えいはないことを確認しております。

JFRグループは、今回の事態を重く受け止め、再発防止対策を講じ、個人情報に係る管理を徹底してまいります。

1. 経緯

JFRグループは、より良いサービスを提供するために、お客様の個人情報の一部を顧客情報データベースにて管理し、JFRグループ各社で共同利用しております。

今般、JFRカードが、共同利用の対象として除外していた項目を含む個人情報を、2022年9月12日から顧客情報データベースに誤ってデータ送信していたことが、同年11月1日に判明いたしました。 JFRカードは同日にこのデータ送信を停止し、J. フロントリテイリング株式会社において同年11月4日にデータ送信していたすべての個人情報を削除いたしました。

( 1 ) 対象となるお客様

対象となるお客様は、以下の通りです。

( 2 ) 誤送信された項目

誤送信された個人情報は、「利用枠」「決済口座」「お支払い状況に関する情報」です。

クレジットカード番号や暗証番号は含まれておりません。

2. 二次被害について

顧客情報データベースに保持された個人情報はクラウドの環境で高度に暗号化されており、情報へのアクセスも厳重に管理しております。調査の結果、当該個人情報が顧客情報データベース外部に漏えいしていないこと、及びJFRグループ内で当該個人情報が利活用されていないことを確認しております。したがって、二次被害の可能性はございません。

3. 原因と再発防止策について

本件は、本年9月からJFRカードが顧客情報データベースにデータ送信を開始するにあたり、データ送信項目を十分に精査することなく、また社内規程に定める承認プロセスを経ることなく、システム部門が誤ってデータ送信を開始してしまったことが原因です。

再発防止として、お客様の個人情報に関する取扱規程の運用を徹底するとともに、JFRカード従業具の再教育、JFRカード内におけるシステム部門と管理部門との相互連携の強化に継続的に取り組んでまいります。

4 . 今後の対応について

対象のお客様には、ご連絡をさせていただく予定です。

なお、本件につきましては個人情報保護法その他関係法令に則り、経済産業省等に報告をいたしております。

リリース文（アーカイブ）

株式会社山本製作所　弊社サーバーへの不正アクセスについてのお詫びとご報告 2022年11月14日

2022年11月12日未明、弊社が管理しているサーバーにサイバー攻撃による不正アクセスが確認されました。現在、サーバーの停止、ネットワークの遮断を行っており、データの読み取り及びメールの確認等ができない状態となっております。お問い合わせへの対応や書類の発送等にも支障が生じております。

その他の状況につきましては現在全容を確認中です。今後は、各監督官庁への報告とともに、外部専門家の協力も得ながら調査を進め、事実の把握に努めて参ります。

この度は、お客様ならびにお取引先様、関係者の皆様には、多大なご迷惑とご心配をおかけしますことを深くお詫び申し上げます。

なお、今後判明した事実につきましては、弊社ホームページにてお知らせいたします。

リリース文（アーカイブ）

ジェントス株式会社　弊社が運営する「GENTOS公式ストア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年11月28日

このたび、弊社が運営する「GENTOS公式ストア（https://store.gentos.jp/）」におきまして、第三者による不正アクセスを受け、クレジットカード情報5471件及び個人情報最大5521件が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

「GENTOS公式ストア」は、完全に分離独立したシステムで運営しているため、弊社で運営している他のサイトは、不正アクセスの対象とはなっておりません。また、弊社商品を取り扱う別のサイトおよび実店舗でご購入いただいた商品に関しても、「GENTOS公式ストア」とは完全に分離したシステムでお客様の情報を管理している為、今回の不正アクセスによる情報の漏えいの心配はございません。

なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールをお届けできなかったお客様には追って書状にてご連絡差し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年8月12日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、同日弊社が運営する「GENTOS公式ストア」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2022年10月6日、調査機関による調査が完了し、2020年9月25日～2022年8月12日の期間に「GENTOS公式ストア」で購入されたお客様のクレジットカード情報が漏えいした可能性があり、一部のお客様のクレジットカード情報が不正利用された可能性および「GENTOS公式ストア」にて会員登録（仮登録も含みます。）されたお客様の個人情報の漏えいの可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

弊社ではクレジットカード情報を保存しておりませんでしたが、弊社が運営する「GENTOS公式ストア」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2020年9月25日～2022年8月12日の期間中に「GENTOS公式ストア」においてクレジットカード決済をされたお客様で、漏えいした可能性のある情報5471件は以下の全部または一部です。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

2020年4月1日～2022年8月24日の期間中に「GENTOS公式ストア」において商品を購入する際に会員登録（仮会員登録を含みます。）をされたお客様で、漏えいした可能性のある情報最大5521件は以下のとおりです。

・氏名

・住所（郵便番号含む）

・電話番号

・メールアドレス

・「GENTOS公式ストア」のログインパスワード

・メールマガジン送付の可否

（以下は任意入力事項であり、お客様にご入力いただいた場合は以下の情報または一部も含みます。）

・生年月日

・性別

・職業

・会社名

・法人属性（法人・個人）

・登録住所以外へ発送を希望する場合は発送先の氏名・住所・電話番号

上記(2)(3)に該当するお客様については、別途、電子メールまたは書状にて個別にご連絡申し上げます。

3.お客様へのお願い

(1) クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

クレジットカード情報漏えいの可能性があるお客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、クレジットカード情報漏えいの可能性があるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2) 不審なメール・電話への注意喚起

お客様のもとに身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.公表が遅れた経緯について

2022年8月12日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社とも協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、誠に勝手ではございますが発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

改修後の「GENTOS公式ストア」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年8月17日に報告済みであり、また、所轄警察署にも同月24日以降被害相談などしており、今後も全面的に協力してまいります。

リリース文（アーカイブ）

岡山県「きらめきプラザ」で、入居団体共用ネットワーク機器の管理用ID、パスワードが書き換えられる

岡山県は2022年11月27日、県所有のきらめきプラザ（岡山市北区南方）の入居団体が共同使用するネットワーク機器が不正アクセスを受けたと発表した。外部からの侵入を防止する「ファイアウオール」と呼ばれるシステムで、管理用のIDとパスワードが書き換えられていた。情報漏えいなどの被害は確認されていないとしている。

きらめきプラザは県が指定管理者に運営を委託し、ネットワークは民間の福祉関連23団体が使用。25日夕、県警から「パスワードなどが流出している」と連絡があり、同日中にネットワークのソフトウェアを安全性能の高い最新版に更新した上で、IDとパスワードを新たに設定した。

県によると、現時点で各団体の情報端末には不正アクセスやコンピューターウイルス感染の形跡はないという。県保健福祉課は「ソフト更新の準備を進めていたが、間に合わなかった。今後は早急な対応を徹底したい」としている。

きらめきプラザに入居している県消費生活センターなど県出先の11機関は別のネットワークを利用しており、影響はなかった。

出典：岡山県「きらめきプラザ」不正アクセス発覚　入居団体共用のネットワーク機器で管理用ID、パスワード書き換え

琉球大学　外部ウェブサイト上における個人情報の不適切な取り扱いについて（お詫び） 2022年11月25日

この度、本法人の不適切な個人情報の秘匿処理により、外部ウェブサイトにおいて公表した資料（令和３年７月公表）について、本学学生、学外者、本学職員のべ３７８名分の本来外部に出てはならない個人情報が閲覧可能な状態であったことが確認されました。

このような事態を招き、関係する皆さまに、ご迷惑とご心配をおかけしたことについて深くお詫び申し上げます。

閲覧可能であった本学学生の個人情報（氏名、性別、学籍番号、所属学部等）、学外者の個人情報（氏名、勤務先等）及び本学教職員の個人情報（氏名、電話番号）は、外部ウェブサイトの運営機関によって、本年９月３０日に公開を停止するとともに、当該データにつきましては、本年１０月１９日までに外部機関のサーバーからの削除が完了しております。

なお、当該資料が閲覧できるページへの学外からのアクセスは１３件であり、これまでのところ、当該資料の個人情報が不正に使用された事実は確認されておりません。

個人情報が閲覧された可能性がある皆様には、書面等にて状況をご説明し、ご迷惑をおかけしたことについてお詫び申し上げたところです。

本法人では、これまでも個人情報の取扱いにあたっては、適切な取扱いを求め、情報管理の研修や徹底に努めてまいりましたが、このような事態が発生したことを踏まえ、今後は一層の強化を図り、再発防止に全力で取り組んでまいります。

リリース文（アーカイブ）

創価大学　不正アクセスによる迷惑メールの送信について 2022年11月25日

本学教員1名のメールアカウント1件に対して、不正アクセスがあり、同アカウントが踏み台となり、不特定多数の皆様へ迷惑メールを送信されたことが判明しました。

メールを受信した皆様には多大なご迷惑をお掛けしていますことをお詫び申し上げます。

個人情報漏洩などの二次被害は確認されておりませんが、再発防止の対策を講じていく所存です。

１．経緯

2022年11月1日に当該教員より、大量の迷惑メールを受信しているとの一報を受けて、調査をしたところ、前日の10月31日に同教員のメールアカウントが不正ログインされ大量の迷惑メールを発信していることが判明しました。

発信メールはその大部分がメールシステムのセキュリティ機能によりブロックされており、大量の送信不可の通知が当該教員にエラーメールとして返信されておりました。

２．被害状況

（１）不正アクセス

ログを確認したところ、2022年10月31日16:01に該当教員のメールアカウントへの不正ログインがあったことが判明しました。
その以前に不正ログインを試みる形跡はログからは見当たりませんでした。

（２）踏み台による迷惑メール送信

2022年10月31日16:01から翌11月1日01:46の間に、795件の迷惑メールが発信されましたが、その内11件が受信者に到達し、残りの784件はメールシステムのセキュリティ機能によりブロックされていたことがログから判明しました。

（３）情報漏洩について

不正アクセスはいずれも、「Authenticated SMTP」のクライアントアプリであり、SMTP認証を悪用した攻撃と考えております。
個人情報の漏洩は現在のところ確認されておりません。
メール送信先は当該教員とはやり取りした経緯も無く、関係もないアドレスでした。

３．対応状況

当該教員から申告のあった11月1日にパスワードを変更し、多要素認証を設定しました。
迷惑メールが送られた皆様には、個別にお詫びのメールを大学からお送りしました。
本学システムでの調査を実施しましたが、メールシステム以外に不正アクセスの形跡は見当たらず、不正ログインの手法、経路は不明な状況です。

４．今後の対応

本学教職員の情報セキュリティ意識の更なる向上を図ってまいります。
多要素認証を全面的に適用していきます。
今回悪用された、SMTP認証などレガシー認証を廃止するように致します。

リリース文（アーカイブ）

【搭乗記】日本航空34便（バンコク・スワンナプーム国際空港⇒東京・羽田空港）

人生初の海外発券（BKK⇒HND⇒FUK⇒HND⇒BKK）の1レグ目。

チェックインカウンターはエコノミー用の列と、ビジネス・サファイア・JGC会員向けの列と、ファースト（実質エメラルド・JGCプレミア用）の3列があり、エコノミーの列とビジネス用の列の待ち人数が同じくらいだった。

カウンターはエコノミー用が1つ、ビジネス用が2つ、ファースト用が2つ。

エコノミーよりは早く進んでほしいと思っていたら、当然ながらビジネス用の列はエコノミーの3倍速で人の流れが進み、上級会員のメリットを存分に享受することができた。

手荷物検査と出国検査を終えてサクララウンジに移動

木製の子供用シミュレーターがあると聞いていたので見てみたかったのだが、すでに撤去されていた模様。

ラウンジは羽田同様にオーダー形式になっていた。

羽田はドリンクはセルフサービスだったが、バンコクはドリンクもオーダー形式になっていた。

サラダとカレーを注文してみる。

カレーはチキンカレーだった。

カレーを食べていると日本人スタッフをネチネチと説教する日本人がいた。

サクララウンジの日本人スタッフの皆様、いつもご苦労様です。

心の中で応援しつつカレーを頂く。

お腹一杯ラウンジで食事を楽しんだ後はラウンジで歯ブラシを頂き、歯磨きして搭乗に備える。

この後機内食があるのでは？

実は今回は深夜便となるため、↓のサービスを申し込んでいる。

つまり、機内食は無い（=思う存分ラウンジで飯が食える）という訳である。

もちろん機内食スキップだけなら、そもそもJALに搭乗する必要は無く、LCCでよいことになる。申し込んだ大きな動機は、代わりにアメニティがもらえる事。

このアメニティ、プレエコ/エコノミークラス用とされているものは、ビジネスクラスでデフォルトで配布されているアメニティである。

では写真左のビジネスクラス用アメニティは何かというと、おそらくビジネスクラス客が機内食不要にして、デフォルトのアメニティだけだと損した気持ちになるので、ワンランク上のアメニティを用意していると思われる。

深夜便で真夜中に機内食を取るのはあまり健康的な感じがしないため、早い時間にラウンジで腹いっぱい食べて、歯を磨いて、機内では寝ていた方が健康上良い気がしたので、今回このような新たな試みを実施してみることにした。

問題はアメニティをいつ持ってきてくれるかかな。

搭乗後早い段階で持ってきてくれるとありがたいが、機内食配布のタイミングで配布されるとちょっと悲しい。

時間になったのでゲートに移動。端っこのゲートだった。

優先搭乗でグループ1（エメラルド、JGCプレミア）と、グループ2（ビジネス、サファイア、JGC）が同じくらい並んでいた。

機材はB787なので、ファーストクラスは無いため、ガチの上級会員（エメラルド、JGCプレミア）の多さに驚かされる。

搭乗したら離陸前にCAさんがアメニティと水を持ってきてくれた。

「機内食をキャンセルされたということで・・・」ということだったが、キャンセルではなく、不要を選択しただけなんだけどな。。。

ちなみにドリンクはいつでも言ってくれれば用意するとのことだった。

そもそもミールスキップオプションをやる人がレアすぎるのかもしれない。

ちなみにアメニティキットには以下が入っていた。

耳栓
マスク
マスク用の保湿シート
歯ブラシ
アイマスク

何気にすごいと思ったのがマスク。マスクにポケットがついており、そこに保湿シートを入れることで飛行機内でマスクしても口が渇かないことを狙っているのだが、効果絶大で、羽田着陸まで口が渇くことが無く、とても快適だった。

窓側の席だったので毛布をセットし、耳栓を付け、保湿シートをセットしたマスクを着用し、アイマスクをして離陸前から就寝。

アイマスクして目をつむると真っ暗になるので結構眠れる。

結局フライト時間の9割は寝ていた。

深夜便はラウンジで腹いっぱい食べて、機内ではアメニティをもらってぐっすり眠る作戦は何気にイけているんじゃないかと思った。

無事入国できたので家に帰る。

今回は有償フライトなのでマイルが付いた。

・区間マイル861+ボーナスマイル301＝1,162マイル

今年のフライトはこれで終わり。

来年もよいフライトができますように。

【Playback of flight JL34 on 5 NOV 2022】