【セキュリティ事件簿#2023-177】ビーピークラフト株式会社　弊社が運営する「Beads&Parts通販サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ　2023年5月16日

このたび、弊社が運営する「Beads&Parts通販サイト」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報1,771件及び個人情報2,821件が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

なお、個人情報2,821件が最大漏えい件数となり、クレジットカード情報1,771件はこれに含まれております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年2月17日、弊社サイトを利用したお客様からBeads&Parts通販サイトが開けないと連絡が入りました。お客様の個人情報漏えいを懸念し、緊急対策として本サイトの閉鎖およびクレジットカード決済の停止をいたしました。また2023年2月20日一部のクレジットカード会社から弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、第三者調査機関による調査も開始いたしました。2023年3月25日、調査機関による調査が完了し、2023年1月12日～2023年2月17日の期間に　本サイトで購入されたお客様クレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

本サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2023年1月12日～2023年2月17日の期間中に本サイトにおいてクレジットカード決済をされたお客様1,771名で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

2023年1月12日～2023年2月17日の期間中に本サイトにおいて購入されたお客様2,821名で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・メールアドレス

・郵便番号

・住所

・電話番号

上記(2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年2月17日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の本サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月21日に報告済みであり、また、所轄警察署にも2023年4月13日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-176】Transbird株式会社　個人情報漏洩に関するご報告とお詫び　2023年4月28日

この度当社におきまして、東京都政策企画局より受託しておりましたインターネット都政モニターの募集に際し、システムの不具合により個人情報が漏洩する事故が発生いたしましたので、お知らせいたします。

応募者様をはじめ関係者の皆さまに多大なるご心配とご迷惑をおかけいたしておりますことを、深くお詫び申し上げます。

個人情報取り扱いにあたり、管理の徹底に努めてまいりましたが、この度の事態を受けまして改めて職員への個人情報保護教育を徹底し、再発防止に取り組んで参ります。

1.事故概要

インターネット都政モニターの募集サイトを令和5年4月21日（金）に立ち上げました。４月26日(水)18時よりＳＮＳによる告知を開始したところ、システムに不具合が発生し、約2時間、応募者136名の登録完了を確認する画面に登録者本人とは別の名前およびメールアドレスが表示される事象が発生いたしました。

１）発生日時　令和5年4月26日　21時34分から23時27分の間

２）漏洩した可能性がある個人情報　

応募者1名の名前とメールアドレス

３）漏洩の原因

仮ID発行によるシステムの不具合

4）対応状況　4月26日23時27分不具合を解消しました。4月27日10時00分インターネット都政モニターの募集を一時停止しました。

4月27日名前とメールアドレスを表示させてしまった方へ謝罪のため訪問いたしました。表示させてしまった事実およびその状況を説明しお詫びいたしました。

5）今後の対応状況および進捗につきまして改めて公表いたします。

今回の事態を重く受け止め、再発防止に向けてシステムならびに情報管理体制の強化に努めてまいります。

リリース文（アーカイブ）

週刊OSINT #2023-08号

ツール: Sengi

Tweetdeckは、多くの人々にとって複数のTwitter検索を整理するためのお気に入りの方法の一つです。そして数週間前に、MastodonやPleromaのために同様のことができるツールに偶然出会いました。そしてそれは単一のアカウントだけでなく、複数のアカウントを簡単に追加し、フィルター処理や整理、メッセージの送信を容易に行うことができます。今まではMastodonであまり活動的ではありませんでしたが、このツールを使えばより頻繁にチェックすることになると思います！

ツール: Outscraper

Roman Höfnerから『Outscraper』についてのヒントを受け取りました。Romanが2023-05号で話したBNDのスパイを追跡するために使用したという事実を考慮に入れると、この素晴らしツールに見えます。

GitHubの小技

先日、Ivano Somainiが共有した便利な小技に気付きました。GitHubのユーザーから電子メールアドレスを取得するためのさまざまなテクニックは多くの人が知っていますが、これは逆の方法です。電子メールアドレスで検索することで、そのアドレスを含むコミットを見つけることができます。

使用できる2つの検索オプションは次の通りです：

committer-email:user@email.com

author-email:user@email.com

小技: Detect Changes

Eva ProkofievがVisualpingについての小さなTwitterスレッドを投稿しました。このツールは、無料の利用枠も提供しており、ウェブサイトの変更を追跡することができます。EvaのTwitterプロフィールの例では、バイオグラフィーのわずかな変更が見つかり、強調されています。無料の利用枠が十分でない場合は、2020-48号にさかのぼって、Distill.ioに関するレビューもチェックすることをおすすめします。

小技: Arkenfox

DiscordのユーザーSwagaliciousが、Firefoxの興味深い設定セットへのリンクを共有しました。特定のファイルをFirefoxプロファイルのルートフォルダにコピーするだけで、Firefoxブラウザを強化することができます。使用を開始する前に、Wikiを読んでその動作原理を理解するようにしてください。単純なインストールやクリック&ランではないためです。技術的に詳しい方はぜひ試してみてください！

出典：Week in OSINT #2023-08

【セキュリティ事件簿#2023-175】トヨタコネクティッド株式会社　クラウド環境の誤設定によるお客様情報等の漏洩可能性に関するお詫びとお知らせについて　2023年5月12日

トヨタコネクティッド株式会社（以下、弊社）が管理するデータの一部が、クラウド環境の誤設定により、公開状態となっていたことが判明しました。本件判明後、外部からのアクセスを遮断する措置を実施しておりますが、弊社が管理する全てのクラウド環境を含めた調査を継続して実施しており、本日時点で判明している事案につき、お知らせさせていただきます。

お客様ならびに関係の皆さまには大変なご迷惑、ご心配をおかけすることを、お詫び申し上げます。

本日時点で把握している事案は以下のとおりです。

外部より閲覧された可能性があるお客様情報	車載端末ID1、車台番号2、車両の位置情報、時刻
対象となるお客様	2012年1月2日〜2023年4月17日の期間内にT-Connect/G-Link/G-Link Lite/G-BOOKを契約されていた方（約215万人）
外部からアクセスできる状態にあった期間	2013年11月6日～2023年4月17日

*1車載機（ナビ端末）ごとの識別番号
*2車両一台ずつに割り当てられた識別番号

外部より閲覧された可能性がある情報	弊社が提供する法人向けサービスから収集されたドライブレコーダーで車外を撮影した映像
外部からアクセスできる状態にあった期間	2016年11月14日～2023年4月4日

車載端末ID、車台番号、車両の位置情報、時刻が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、お詫びとお知らせを個別にお送りさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置いたします。

このたびは、データ取扱いのルール説明・徹底が不十分だったことなどが主な原因であったと考えております。従業員への教育を徹底し、再発防止に取り組むと同時に、クラウド設定を監査するシステムを導入し、クラウド環境の設定調査を実施、および継続的に設定状況を監視する仕組みを構築いたします。

今回、外部より閲覧された可能性のあるお客様情報は、外部からアクセスした場合であっても、これらのデータのみでは、お客様が特定されるものではありません。本件判明後より、外部より閲覧された可能性のあるお客様情報について、ネット上での第三者による二次利用、コピーの残存有無の継続調査の際、その事実は確認されず、現在のところ、その他の二次被害も確認されておりませんが、引き続きプライバシーマーク付与事業者として、お客様の大切な個人情報やデータの取り扱いへの安全な管理の徹底、およびセキュリティ機能の強化に向け取り組んでまいります。

リリース文（アーカイブ）

Webディレクトリ探索ツール三選： gobuster、ffuf、dirb

Webディレクトリの探索は、セキュリティ評価やペネトレーションテストにおいて重要な要素です。今回は、Webディレクトリ探索を行うための3つの優れたツールを紹介し、それぞれの概要と主な特徴を解説します。これらのツールを使って、Webアプリケーションのセキュリティ評価をより効果的に行いましょう。

1.gobuster

gobusterは、高速かつ柔軟なWebディレクトリ探索ツールです。複数のスレッドを使用して並列にリクエストを送信し、効率的な攻撃を実行します。ワードリストベースの攻撃や拡張子の指定など、多くのカスタマイズオプションが提供されています。さらに、カスタムのHTTPヘッダを使用してリクエストを送信することも可能です。レポートの生成機能も備えているため、結果を整理しやすくなっています。

以下は、gobusterの実行例です:

bash
gobuster dir -u http://example.com -w wordlist.txt -t 10 -x php,html -o results.txt

上記の例では、-uオプションで探索対象のURLを指定し、-wオプションでワードリストファイルを指定しています。-tオプションでは10のスレッド数を指定し、-xオプションで拡張子を指定しています。最後に、-oオプションで結果を保存するファイル名を指定しています。

2.ffuf

ffufは、高速かつパワフルなWebディレクトリ探索ツールです。並列リクエストを使用して大量のリクエストを効率的に処理します。ワードリストベースの攻撃やリクエストのマルチポジション、ワイルドカードサポートなど、柔軟なカスタマイズオプションがあります。さらに、リクエストのフィルタリング機能により、絞り込まれた結果を得ることができます。コマンドラインベースのツールとして提供されており、直感的で使いやすいインターフェースを持っています。

以下は、ffufの実行例です:

arduino
ffuf -w wordlist.txt -u http://example.com/FUZZ -t 20 -mc all -o results.txt

上記の例では、-wオプションでワードリストファイルを指定（URLの”FUZZ”の部分に当てはめ）し、-uオプションで探索対象のURLを指定しています。-tオプションでは20のスレッド数を指定し、-mcオプションで全ての応答を表示するよう設定しています。最後に、-oオプションで結果を保存するファイル名を指定しています。

3.dirb

dirbは、Webディレクトリやファイルの探索に使用される定番のツールです。ワードリストベースの攻撃やカスタムエクステンションのサポート、マルチスレッドサポートなどの特徴があります。また、レポートの生成機能も備えており、探索結果を整理しやすくなっています。コマンドラインツールとして提供されているため、柔軟性があり、多くのオプションを使ってカスタマイズすることができます。

以下は、dirbの実行例です:

arduino
dirb http://example.com -o results.txt -r -X .txt,.php

上記の例では、探索対象のURLを指定しています。-oオプションで結果を保存するファイル名を指定し、-rオプションでリクエストを再帰的に処理するよう設定しています。また、-Xオプションで拡張子を指定しています。

gobuster、ffuf、dirbは、それぞれ優れたWebディレクトリ探索ツールです。攻撃対象のWebアプリケーションの特性や要件に応じて、適切なツールを選択して利用することが重要です。また、効果的な探索を行うために、優れたワードリストの使用も重要です。その中でも、"SecLists"というワードリストがオススメです。SecListsは、セキュリティ関連の様々なワードリストを収集したもので、様々な攻撃シナリオに対応しています。以下のリンクからSecListsを入手することができます:

SecLists - GitHub

これらのツールとSecListsを組み合わせることで、より効果的かつ包括的なWebディレクトリ探索が可能となります。当然ですが、必要な許可を得た上で、セキュリティ評価やペネトレーションテストを実施するようにしてくださいね。

出典：Content Discovery（THM）

【セキュリティ事件簿#2023-174】兵庫医科大病院　当院職員所有のノートパソコン及びUSBメモリの盗難被害について（お詫び）　2023年5月2日

兵庫医科大学病院では、かねてより個人情報保護の方針を遵守すべく、病院職員に対して再三注意喚起とともに職員教育を行ってまいりましたが、この度、下記のとおり本学職員が所有するノートパソコン及びUSB メモリが盗難被害に遭う事案が発生いたしました。現在、関係当局による捜査が引き続き行われております。また、現時点におきましては、第三者への個人情報の流出の事実は確認されておりません。

この度の経緯等の詳細について報告申し上げるとともに、患者の皆様をはじめ、その他関係各位に多大なるご心配とご迷惑をおかけすることになりましたことを心よりお詫び申し上げます。

１．紛失した機器

ノートパソコン（アクセス制限有）1 台及びUSB メモリ（アクセス制限無）1 個

２．発覚の経緯

当院勤務医師が学会発表データを作成するため、所有するノートパソコンと受診患者さまの情報が保存された USB メモリを病院外に持ち出し、その後、駐車場に一時、駐車し、10 分ほどして車に戻ったところ、車の窓ガラスが割られており、鞄（ノートパソコン及びUSB が入った）が盗難（車上荒らし）されていることが判明しました。速やかに最寄りの警察署に届出を行い、翌4 月21 日（金）に当該医師は上司に状況と経過を報告のうえ、病院長へ当該事案について報告を行い、4 月 24 日（月）に当該医師により、「個人情報紛失・漏出届」を作成のうえ、病院長へ提出がありました。

３．機器に記録されていた情報

兵庫医科大学病院呼吸器内科の患者さま32 名分に関する個人情報

（患者さま氏名、カルテ番号、生年月日、年齢、性別、病名 ※患者さまの住所、電話番号は含まれておりません）

４．対応

上記3 に該当する患者さまに対し、個別に連絡のうえ、お詫びと本件の経緯説明を行いました。

リリース文（アーカイブ）

週刊OSINT #2023-06号

メディア: Intelligence Cycle

情報の収集と文書化の部分が終わったら、データを処理し、分析し、広める時がきます。これがいわゆる「情報収集サイクル」であり、最近ロンドンを拠点とする企業arcXがその重要性についてビデオを公開したということです。これは重要です。なぜなら、単にインターネットからデータや情報を収集するだけではOSINTとは言えず、先月オランダのOSINT Guyが述べたように、データ、情報、インテリジェンスは異なるものだからです。それぞれの意味を理解することが重要です。

チュートリアル: Documentation

OS Tradecraftでは、情報の文書化や収集のプロセスが詳しく説明されています。文書化の重要性だけでなく、正しい方法で行うための方法も説明されています。それは情報の整理について話しているだけでなく、コンプライアンスの部分や監査についても触れています。さらに、ウェブサイト全体をダウンロードするためのツールや、スクリーンショットを撮ったり画面を録画するための便利なアプリケーションのリストなど、いくつかの利用可能なツールについても言及しています。

記事: Verification

OSINT Combineのウェブサイトには先週、オンラインメディアの検証についての新しい記事が投稿されました。それは検証の重要性だけでなく、プロセス自体についても語っています。関連性や信頼性、信憑性、情報が裏付けられるかどうかについても言及しています。この記事は思考プロセスやディスインフォメーションの撲滅、ホークスの検証、オンラインでの調査、ファクトチェックの基礎などを示しています。これは主にオンラインで投稿された情報の検証に関連していますが、これは研究の結果にも適用することができます。なぜなら、誤った仮定が無実の被害者を何度も作ってしまったからです。

小技: Reporting

データの収集、処理、分析が終わった後は、調査結果を報告する時期かもしれません。Redditで「テンプレート」を求める人々が多く見かけますが、これはほとんど不可能なことです。なぜなら、様々な種類のオープンソースインテリジェンスレポートが存在するからです。例えば：

犯罪組織
軍事紛争
関心のある人物
ジオロケーション
事件の検証

このような標準的なテンプレートには、出生地や電話番号などの個人情報を記載する欄があれば、武力紛争の調査時には役に立たなくなります。また、関心のある人物のプロフィールを作成する際には、タイムラインに関するセクションを常に埋めることができるわけではありません。

しかし、インテリジェンスレポートには何が必要なのでしょうか？それについては、2022年12月に公開されたOHCHRバークレー・プロトコルを参照します。

報告書は、収集した情報を分析し、論理的な結論、推定、予測を導くために使用されます。報告書は、堅実な方法論を反映し、その方法論を対象の読者に説明できるようにする必要があります。報告書における基本情報の真実性と誠実性は重要です。

また、該当する場合には報告書に含まれるべきパートも述べられています。実際のバークレー・プロトコルにはなかったものですが、追加した最初のトピックは次の通りです：

導入

個人的な意見ですが、報告書はまず導入から始めるべきです。短い紹介を含めるべきです。イベント自体や情報が共有された場所に触れますが、事実に基づく内容を保つために、あらかじめ推測を含めないように注意してください。

目的

このセクションでは、調査の目的と研究の質問を説明します。目的がある場合、調査自体に明確な目標があります。これはまた、報告書の読者の焦点を絞るのに役立ちます。特定の発見の方向性や目的を確立することができます。

方法論

調査中に説明が必要な研究方法は、この部分に文書化されるか、外部の専門知識が必要とされます。調査中に特定の技術が一部で使用される場合、結果を提示する前に追加の説明が十分かもしれません。

活動

調査中に行われたすべてのステップを説明し、独立した検証を支援します。どのような手順が実行されたか、またいつ、何時に行われたかを文書化します。これにより、独立した調査者が結果を検証できるようになります。

情報源

調査中に使用されたデータの情報源とその品質については、このセクションで言及されます。どんな情報やインテリジェンスも、その信頼性に基づいて有効なものとなります。

不確実性

結論が一定ではない場合や調査において欠落がある場合は、それらを記載する必要があります。これにより、調査が偏見のないものとなることも保証されます。事実に基づいて記述しますが、明確なシナリオを書き留める必要がある場合や何かが不明確な場合には、それを言及することをためらわないでください。

結果

調査の結果はここで事実に基づいて記述されます。新たに発見された質問や調査の可能性のある新たな展開について触れることもありますが、何よりも見つかった内容の要約が含まれます。

そして、これを強調するには言い足りませんが、報告書を作成する際には、事実に固執し、特定の理論を偏好せず、確証バイアスに陥ることがありません。特定の答えを見つけるために推測を使用する場合や新たな調査を開始する場合でも、それが調査の残りに影響を与える作業理論にならないように注意してください。研究者として、プロセス全体で完全に偏見のない態度を持つべきです。

トレーニング: OSINT Exercises

研究の理論的な部分がすべて終わったら、スキルを実践する時です！ソフィア・サントスは、今年の1月に自身のウェブサイトでいくつかのOSINTのチャレンジを投稿しました。現在の執筆時点では、彼女のウェブサイトには5つのチャレンジがありますので、ぜひ挑戦してみてください。素晴らしいことは、行き詰まった時には、彼女がチャレンジの下に可能な解決策を説明したビデオを既に投稿していることです。これらのチャレンジ以外にも、ソフィアのウェブサイトは優れた記事の宝庫となっており、ぜひ彼女のサイトもチェックしてみてください！

出典：Week in OSINT #2023-06

2023年にフォローすべきサイバーセキュリティ関連のTwitterアカウント

2022年10月のイーロン・マスクによる買収後、多くのTwitterユーザーが離れて、より分散型のソーシャルメディアプラットフォームであるMastodonに移行しました。

オープンソースでクラウドファンディングされたMastodonは昨冬、新規アカウントが急増しましたが、多くの新規Mastodonユーザーは複雑なソーシャルネットワークを再構築するのに苦労し、その後、青い鳥のアプリに戻ってきました。サイバーセキュリティコミュニティにとって、Twitterはサイバー関連の全ての情報の主要なソーシャルメディアチャンネルのままです。

知識とリソースを拡大する精神で、ここでは、サイバーセキュリティのトピック、問題、ニュースについて学びたいと考えているすべての人に推奨する、23の厳選されたTwitterアカウントを紹介します。

@matrosov | Alex Matrosov
@r00tbsd | Paul Rascagnères
@silascutler | Silas Cutler
@Wanna_VanTa | Van Ta
@n0x08 | Nate Warfield
@LittleJoeTables | Joe DeMesy
@greglesnewich | Greg Lesnewich
@hasherezade | Aleksandra Doniec
@stvemillertime | Steve Miller
@kyleehmke | Kyle Ehmke
@ophirharpaz | Ophir Harpaz
@oxleyio | David Oxley
@malwareunicorn | Amanda Rousseau
@cybersecmeg | Meg West
@AmarSaar | Saar Amar
@ale_sp_brazil | Alexandre Borges
@maddiestone | Maddie Stone
@cyberwarship | Florian Hansemann
@dinosn | Nicolas Krassas
@h2jazi | Hossein Jazi
@bushidotoken | Will Thomas
@milenkowski | Aleksandar Milenkoski
@tomヘーゲル | Tom Hegel

Twitterや他のマイクロブログプラットフォームの未来についての議論が落ち着くまでには、もうしばらく時間がかかるでしょう。

出典：Navigating the Cybersecurity Twitterverse | 23 Influential Accounts to Follow in 2023

【セキュリティ事件簿#2023-173】産経新聞社　メールアドレス漏洩のお詫び　2023年5月10日

産経新聞社 NIE（※）事務局よりメルマガを送信した際、一部の受信者が他の受信者のメールアドレスを確認できる状態で誤って送信していたことが判明しました。漏洩したメールアドレスは３４０件です。関係する皆様には多大なるご迷惑をおかけしました。深くお詫び申し上げます。

※「Newspaper in Education（教育に新聞を）」の略。教育現場に新聞の活用を広める活動のこと

１：経緯

2023年5月9日午後8時50分ごろ、NIE 事務局より、NIEメルマガ第１５５号を一斉送信いたしました。その際、担当者が入力を誤り、登録されている方の一部に、各人のアドレスが見える形で送信してしまいました。この結果、340人（件、一部学校・組織を含む）の方（メール受信者）は、相互にメールアドレスが確認できる状態になりました。

２：流出した情報

産経新聞 NIE メルマガに登録されている方の一部340人（件）のメールアドレス、および、このうち一部の方のメール「表示名」としての氏名

３：受信者様への対応

本件メールを受信した３４０人には、５月１０日午後 2 時 35 分ごろ、お詫びと当該メールの削除をお願いするメールをお送りしました。

４：再発防止策

一斉送信時には複数人による多段階チェックを必須とすることで、再発を防止します。

リリース文（アーカイブ）

IHGポイント購入100%ボーナスフラッシュセール（2023/6/19～2023/6/26）

IHG One Rewardsは、100%ボーナスと上限引き上げを伴うポイント購入フラッシュセールを2023年6月26日まで開催しています。IHGは頻繁にポイントを販売しており（最大ボーナスは100%）、メンバーは毎年カレンダーごとに最大150,000ポイント（時折250,000ポイントの上限引き上げあり）を購入することができます。

セール中だからといってポイントを購入するのは意味がありません。しかし、それらをうまく活用する方法がある場合（現金よりもポイント払いの方が節約できる場合）、購入することで滞在費を大幅に削減することができます。

IHGは頻繁に100％ボーナスでセールを行うため、100%ボーナス以外（80%、etc）で購入することはあまり意味がありません。

尚、このオファーで購入されたポイントは、IHG One Rewardsエリートステータスにはカウントされません。

出典：LAST CALL: IHG Buy Points 100% Bonus Flash Sale Until June 26, 2023

【セキュリティ事件簿#2023-172】愛知県　里親、里子等に係る個人情報の漏洩について　2023年5月2日

昨日（５月１日(月)）、愛知県尾張福祉相談センター（名古屋市中区）において、里親や里子に関する個人情報が漏洩する事案が発生しました。

このような事態を招いたことを、里親・里子の方々を始め、関係する皆様に御迷惑をおかけし、深くお詫びするとともに、個人情報の適切な管理及び取扱いの徹底を行い、再発防止に努めてまいります。

１漏洩した個人情報

愛知県尾張福祉相談センターが養育を委託している里親・里子等の方々に関する次の情報（過去に委託していた里親・里子を含む。）

里親６３名分の個人情報
氏名、住所、銀行口座情報、電話番号
里子８４名分の個人情報
氏名、生年月日、年齢、学年、委託開始年月日、委託里親種別（※）

※委託里親種別：養育里親、専門里親、養子縁組里親、親族里親の別

施設１か所の銀行口座情報

２経緯

里子を委託中の里親には、毎月、福祉相談センター又は児童相談センターから里子養育費(※)が支払われている。尾張福祉相談センターでは、里親の負担軽減のため、請求金額を入力した請求書をエクセルで作成してＰＤＦ化し、里親にメールで送付し確認してもらっている。

５月１日（月）に、里親５名に請求書を送付したところ、送付した里親の１人から電話連絡があり、ＰＤＦではなく、誤って他の里親等の個人情報を含むエクセルファイルを送付したことが発覚した。

※里子養育費：里親に対して支払われる里子の生活費、学費等

３当事者への対応

尾張福祉相談センターから、情報が漏洩した里親、里子、里子の親権者及び施設に、謝罪を行っている。

４再発防止策

今回の事案を踏まえ、県の全ての福祉相談センター及び児童相談センターに対し、本日、次のとおり指示を行った。

＜指示内容＞

個人情報を扱うことの重要性について、改めて職員に周知徹底すること。
里子養育費請求書を始め、個人情報をメールで送付する際には、複数人で送付先と添付ファイルを確認すること。
個人情報を含むファイルには必ずパスワードを設定し、担当者以外ではファイルを開けないようにすること。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-171】浜松いわた信用金庫　メールアカウント不正利用および迷惑メール送信に関するお詫びについて　2023年4月28日

当金庫の電子メールアカウントが第三者により不正利用され、当該アカウントから大量の迷惑メールが送信されるという事象が発生いたしました。当金庫といたしましては、本事象の発覚を受け、原因及び影響範囲を特定するための調査を進めておりますが、事実の判明には相当な時間を要するとの判断のもと、この度発生した事象について公表させていただくことといたしました。

今後、判明した事実については改めて公表していく方針であります。

なお、現時点では本件に関わる個人情報の漏洩、不正利用等は確認されておりません。

お客様ならびに関係者の皆様には、ご迷惑とご心配をお掛けしましたことを、深くお詫び申し上げます。

今後、同様の事象が発生しないよう、引き続きセキュリティ対策の見直しを行い再発防止に努めてまいります。

１．発生状況と対応

2023 年 4 月 23 日（日） 22 時頃から 2023 年 4 月 24 日（月）午前 9 時頃にかけて、以下のメールアドレスより、迷惑メールが大量送信されました。

　送信元メールアドレス：

　件名：「Fwd:」、「Re:」

　本文：英文等で記載された不審な内容

2023 年 4 月 24 日（月）午前 9 時過ぎに、上記不正利用されたメールアカウントを停止し、当該アカウントからメールの送受信が出来ないように対応しました。

不正利用された原因と影響範囲は現在調査中です。

２．当該メールを受信された皆様へ

2023 年 4 月 23 日（日） 22 時頃から 2023 年 4 月 24 日（月）午前 9 時頃に

から送付された迷惑メールを開封したり、本文中のリンク先をクリックすると思わぬ被害をうけたり、ウィルスに感染したりする可能性がありますので、開封せずに削除頂きますよう、お願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-170】川崎市　川崎市高津スポーツセンター指定管理者による個人メールアドレスの流出について　2023年5月9日

川崎市高津スポーツセンター（高津区二子）の指定管理者（特定非営利活動法人高津総合型スポーツクラブＳＥＬＦ：高津区久本）が、令和５年５月３日に送信した「空き情報メール配信サービス」において、誤って個人のメールアドレス９２件が流出する事故が発生しましたので報告いたします。

１概要

高津スポーツセンターでは、施設の有効利用を目的として、施設利用のキャンセル発生時に、配信を希望される方に対して、空き情報をメール配信する「空き情報メール配信サービス」を実施しております。

本件は、当該メール配信登録者に対して、指定管理者から大体育室の施設の空き情報メールを送信するにあたり、誤ってメールアドレスが表示された状態で各個人あてに送信してしまったものです。

２影響

送信先：９２名

流出対象者：９２名

３経過

５月３日（水・祝）１４時１３分

指定管理者が空き情報メールを送信

５月４日（木・祝）１０時３４分

当該メールを受け取られた方から指定管理者あて御連絡をいただき、確認したところ、誤って全員を宛先に加える形で送ったことが判明

同日１６時４５分頃

指定管理者からの連絡により本市が事故の発生を把握

同日１９時５４分

指定管理者から対象者あてお詫びとともに送信したメールを削除いただく内容のメールを送信

４事故発生原因

高津スポーツセンター空き情報メール配信サービスマニュアルを整備し、これに基づく対応を行っておりましたが、今回のメール送信にあたってはダブルチェックを行っていなかったことによるものです。

５今後の対応

当該メール配信について、個人情報の流出を防止するため、今後はメールマガジンにより配信する形式に変更いたします。
今回の件を重く受け止め、指定管理者に対し、情報セキュリティ対策を踏まえた業務執行体制の確保を求め、個人情報の保護を徹底するようさらなる監督及び指導を行い、再発防止に努めてまいります。

リリース文（アーカイブ）

ハッキングスキル習得の道程

ハッキングを本格的に学びたいと思っているなら、あなたは正しい記事を読んています。この記事は個人的な学習経験と、私が今日持っている知識を得るのに役立ったリソースについて書かれています。

まず、あなたが初心者であることを前提に、コンピュータ、コンピュータハードウェア、OSの動作、基本的なネットワーキングについての基本的な知識を身につけることが重要です。また、Linuxコマンドの使用にも慣れておく必要があります。これらの基本的な知識は、オンラインのビデオ、記事、ブログなどを利用して学ぶことができます。

ステップ1

HackersploitによるYouTubeプレイリストを完了します。このチャンネルには初心者向けの145以上のビデオがあります。エラーが発生した場合は、GoogleやYouTubeを使って問題を自己解決します。知識は研究し、問題に直面し、再度研究することで得られます。

ステップ2

次に、CEH（Certified Ethical Hacker）認定の知識を得ることを目指します。ただし、業界ではCEH認定はもはや求められていないので、認定の取得は不要です。代わりに、CEHのシラバスを完了し、各トピックについて研究し、実践してみてください。このコースは3ヶ月間で基本をカバーします。

【CEHのシラバス】

チャプター1 - 倫理的ハッキングの紹介

ハッキングとは何か
倫理的ハッキングとは何か
ハッカーの種類
ホワイトハットハッカー
ブラックハットハッカー
グレーハットハッカー
スクリプトキディ
ハクティビスト
スパイハッカー
サイバーテロリスト
脆弱性
エクスプロイト
リモートエクスプロイト
ローカルエクスプロイト
ゼロデイ
ゼロデイ脆弱性
ゼロデイエクスプロイト
ブルートフォース攻撃
フィッシング
リモートアクセス
ペイロード

チャプター2 - 倫理的ハッキングの手順

情報収集
アクティブな情報収集
パッシブな情報収集
スキャン
アクセスの獲得
アクセスの維持
トラックの隠蔽

チャプター3 - 悪意のあるファイルの種類

ウイルス
ワーム
トロイの木馬
スパイウェア
アドウェア
バックドア
ルートキット
ランサムウェア

チャプター4 - ペネトレーションテスト

ペネトレーションテストとは何か
ペネトレーションテストの種類
ホワイトボックスペネトレーションテストとは何か
ブラックボックスペネトレーションテストとは何か
Linux OSの紹介
ソーシャルエンジニアリング

チャプター5 - Google Hacking Using Dorks Demo

ラボのセットアップ
仮想マシンとは何か
VMwareとは何か
Virtual Boxとは何か
VMwareのインストール
Parrot OSのインストール
Windows XPのインストール
Windows 7のインストール
Mozilaにアドオンをインストール
Tamper Data
Burp Suite
No-Redirect
Nessusのインストール

チャプター6 - システムハッキング

Kon-Bootを使用したシステムハッキング
ネットワークスキャン
ポートスキャン
サービススキャン
Nmapとは何か
Nmapを使ったスキャン
Nmapのさまざまなコマンド
Nmapを使ったファイアウォールのバイパス（詳細に学ぶ）

チャプター7 - Nessusを使ったスキャンメタスプロイトを使ったハッキング

メタスプロイトとは何か
メタスプロイトを使ったXpリモートエクスプロイト
Msfvenom
Windows7 UAC Bypass

チャプター8 - SE-Toolkitとは何か

SE-Toolkitの使用法
SE-Toolkitでフィッシングページを作成
Facebook & Gmailのパスワードハッキング

チャプター9 - リモート管理ツールとは何か

RATとは何か
RATを使ったエクスプロイト
RATからシステムを保護する方法

チャプター10 - スニッフィングとは何か

スニッフィングの種類
Wiresharkを使ったネットワークスニッフィング
Wiresharkを使ってFTPログイン詳細を取得

チャプター11 - DOSとは何か

DOSの詳細
DDOSとは何か、Xerxesツールのインストールと使用

チャプター12 - ワイヤレスネットワークハッキング

ワイヤレス暗号化
WPA 2のハッキング

チャプター13 - Webアプリケーションペネトレーションテスト

Webアプリケーションの動作
リクエストとレスポンス
スキャナーのインストール（Acunetix、Netsparker）
ウェブサイトのスキャン

チャプター14 - OWASP Top 10

SQLインジェクションとは何か
SQLインジェクションの種類
SQLインジェクションのデモ
XSS（クロスサイトスクリプティング）とは何か
XSSの種類
XSSのデモ
CSRF（クロスサイトリクエストフォージェリ）とは何か
CSRFのデモ
ファイルインクルージョンとは何か
ファイルインクルージョンのデモ
セキュリティミスコンフィギュレーションとは何か
セキュリティミスコンフィギュレーションのデモ
不適切なアクセス制御とは何か
不適切なアクセス制御のデモ
センシティブデータの露出とは何か
センシティブデータの露出のデモ
XMLエクスターナルエンティティ（XXE）とは何か
XXEのデモ
ブロークンアクセス制御とは何か
ブロークンアクセス制御のデモ
セキュリティミスコンフィギュレーションとは何か
セキュリティミスコンフィギュレーションのデモ
不適切なアクセス制御とは何か
不適切なアクセス制御のデモ
センシティブデータの露出とは何か
センシティブデータの露出のデモ
XMLエクスターナルエンティティ（XXE）とは何か
XXEのデモ
ブロークンアクセス制御とは何か
ブロークンアクセス制御のデモ

チャプター15 - ファイアウォールとは何か

ファイアウォールの種類
IDSとは何か
IPSとは何か
ファイアウォールのバイパス方法

チャプター16 - ハニーポットとは何か

ハニーポットの種類
ハニーポットの設定

チャプター17 - IoTとは何か

IoTデバイスのハッキング
IoTデバイスのセキュリティ

チャプター18 - クラウドセキュリティとは何か

クラウドコンピューティングとは何か
クラウドコンピューティングの種類
クラウドコンピューティングの脆弱性
クラウドセキュリティ

チャプター19 - クリプトグラフィとは何か

暗号化とは何か
暗号化の種類
ハッシュ関数とは何か
ハッシュ関数の種類
デジタル署名とは何か
デジタル証明書とは何か
SSLとは何か
TLSとは何か
VPNとは何か
VPNの種類

チャプター20 - フォレンジックとは何か

デジタルフォレンジックとは何か
デジタルフォレンジックの種類
デジタルフォレンジックの手順
デジタルフォレンジックのツール

ステップ3

CTF（Capture The Flag）を解くことを始めます。これはハッキングを学ぶ最も楽しい方法で、ゲームのように感じます。Vulnhubなどのプラットフォームで簡単なCTFから始め、難易度を徐々に上げていきます。

ステップ4

OTW（Over The Wire）のNatas Webチャレンジを解きます。これにより、Webハッキングの知識が向上します。

ステップ5

次に、Pythonを学びます。Pythonは少し退屈かもしれませんが、ハッカーがスクリプトやツールを書くために使用する言語なので、非常に重要です。

ステップ6

Pythonを学んだ後、BlackHat PythonやViolent Pythonのような本を読み終えることを目指します。これらの本は、実際のハッカーがPythonを使って攻撃的なハッキングを行うためのスクリプトやツールを書く方法を教えてくれます。

その他の情報

Android/IOSのハッキングに興味がある場合は、AndroidとIOSのペネトレーションテストについて学ぶこともできます。また、リバースエンジニアリングも重要なスキルであり、"Secrets of Reverse Engineering"という本を読むことをお勧めします。

ハッキングは新しいことを学び、課題を解決することについてのものです。多くのトピックがあり、学び続ける旅です。エラーや問題、質問があることは学習の一部です。情報セキュリティコミュニティの人々は非常に助けになり、彼らと話すことで多くのことを学ぶことができます。

ハッキングを学ぶための秘密のフォーラムはディープウェブにはありません。本、ブログ、研究、CTFの解決、実生活のプロジェクトを行うことで学びます。ハッキングを学ぶためのx y zのパスはありません。各ハッカーには自分自身のパスや旅があります。それを行うことで学びますので、学び続けてください。

出典：How to Learn Hacking? My Path!

【セキュリティ事件簿#2023-168】港区　お知らせの誤配信による個人情報の流出について　2023年5月2日

区立保育園の職員が、3歳児クラス園児一人の保護者に保育中の様子などを、スマホ等で情報の配信ができる「保育支援システム」（以下「システム」といいます。）のお知らせ一斉配信機能を用いて配信する際、誤って3歳児クラスの保護者全員にも配信してしまいました。配信した内容には、当該園児の名前と、保育中の様子や園での過ごし方に関するお願い事項などが記載されていました。

区は再発防止に向け、情報配信の取扱いについて厳正を期すことを徹底し、区民の皆様の信頼回復に努めてまいります。

経緯

令和5年4月28日（金曜）に、区立保育園職員が、システムのお知らせ一斉配信機能を用いて3歳児クラス園児の保護者一人に、その園児の保育中の様子や保育園での過ごし方に関するお願い事項を配信すべきところ、誤って3歳児クラス全員の保護者に配信してしまいました。

その後、保護者から「違う園児名のお知らせが届いている。」との連絡があり、誤配信していたことが判明しました。

また、5月1日（月曜）に、保育園側でシステムを操作して、お知らせ一覧から本件を削除しました。

原因

通常、お知らせ一斉配信機能を使って配信する際、内容を作成した職員とは別に、公開権限者（係長職）を含む二人がその場に立ち会い確認してから配信することになっています。

今回、確認を行った職員は、通常二人で確認するところを一人で行ってしまい、また、配信する文章の修正に気を取られ、配信先の確認を見落としたことが原因です。

再発防止策

区は、今後このような誤りを起こさないために、作成者と公開権限者（係長職）による配信時のダブルチェックの徹底に加えて、配信時にリーダー等の立ち合いの下、一斉配信か個人への配信か等を声出し及び指差し確認の上、配信するとともに、個人が特定されないよう本文には名前等は記載しないことを徹底してまいります。

また、職員に個人情報の取り扱いに関する研修を実施して個人情報の重要性を再認識させるとともに、緊張感を持って業務にあたるよう指導してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-167】国土交通省　ドローン情報基盤システムの一部機能において申請情報の閲覧が可能となっていた事象について　2023年5月3日

航空局が運用するドローン情報基盤システムの一部機能において、システム上の不具合により、特定の操作状況において他者の申請情報が閲覧可能な状態となることが判明したため、直ちにシステム改修を行いました。同種事案の再発を重く受け止め、個人情報等の厳正かつ適正な管理を図り、適切なシステムの運用管理をより一層の徹底を図ってまいります。

１．概要

昨日（５月２日）、ドローン情報基盤システム（以下「DIPS2.0」という。）の操縦者技能証明機能において、システム利用者より特定の操作を行うと他者の申請情報が閲覧可能な状態になる恐れがあるとの報告がありました。

これを受けて詳細な確認を行ったところ、操縦者技能証明に関する申請の一部について、特定の操作を行うと他者の申請情報（申請者の氏名、住所等）が閲覧可能となることが判明したため、直ちにシステムを停止し必要な改修を行いました。

２．対応状況

本件はシステムの設計上の不具合によるものであり、昨日、当該不具合の確認後、直ちにDIPS2.0の運用を停止して必要な改修を行い、本日11時過ぎに運用を再開しました。

本件不具合に伴い、最大で３件分の無人航空機操縦者技能証明に係る申請情報が他者に閲覧された可能性がありますが、現在のところ、本件に伴う個人情報の閲覧による情報の悪用等の報告はありません。

なお、本件は4月12日に発生した不具合事象と同一ではないものの派生するものであり、同種の不具合事象が発生し得るケースの精査が十分でなかったことに起因するものです。

３．今後の対応

同種事案が再発したことを重く受け止めるとともに、個人情報等の厳正かつ適正な管理について、改めてシステム受注者への指導等をより一層徹底するとともに、発生理由を根本から精査の上、今後このような事態が決して生じないよう、万全を期してまいります。

リリース文（アーカイブ）

ランサムウェアギャングが発表した被害組織リスト（2023年5月版）BY StealthMole

StealthMole（旧Dark Tracer）による、2023年5月のランサムウェア被害を受けた日系企業。

・有限会社サイレン（siren-japan.com）

・株式会社ミツトヨ（www.mitutoyo.ch）

【セキュリティ事件簿#2023-166】静岡県の「ふじのくに農山漁村ときめき女性ポータルサイト」にサイバー攻撃、閲覧障害が発生し、サイト閉鎖へ。

静岡県は、同県の「ふじのくに農山漁村ときめき女性ポータルサイト」が何者かのサイバー攻撃を受け、閲覧障害が発生したことを明らかにしました。

「ふじのくに農山漁村ときめき女性ポータルサイト」は、同県内の農林水産業で活躍する女性を認定する制度を展開し、2012年度から情報発信を行ってきました。しかし、2022年12月に行われた調査により、サイトへの不正アクセスが発覚しました。

被害の詳細については、サイトが正常に表示されない状態となったほか、アクセスすると外部サイトに誘導されるなどの改ざんが行われていたことが確認されました。具体的な侵害の原因についてはまだ明らかにされていません。

2022年12月16日に問題に気づいた県職員は、サイトの管理委託事業者に連絡し、改ざんされたファイルを削除して復旧作業を行いました。しかし、対策が不十分であったため、2023年1月に再度復旧作業を行うこととなりました。

静岡県によると、サイトに保存されていたメールマガジンの登録者情報はアクセスログから外部に流出していないことが確認されています。ただし、個人情報の保存は行われておらず、個人情報の流出は否定されています。

県は農山漁村ときめき女性やメールマガジンの登録者に対して経緯の説明と謝罪を行い、今回の攻撃による被害が発生していないことを確認しました。また、今後は同ポータルサイトを閉鎖し、静岡県公式サイトを通じて情報発信を行う方針です。

出典：県関連サイトが改ざん被害、外部サイトに誘導 - 静岡県

【セキュリティ事件簿#2023-165】日本コンクリート工業株式会社　第三者によるランサムウェア感染被害のお知らせ　2023 年 5 月 9 日

このたび、当社のサーバーが第三者による不正アクセスを受け、ランサムウェア感染被害を受けましたので、お知らせいたします。

本件につきましては、既に対策本部を設置のうえ、外部専門家の助言を受けながら、原因特定、被害情報の確認、情報流出の有無などの調査を行い、自力復旧への対応を進めており、警察への相談を開始しております。引き続き、外部専門家や警察と連携のうえ、対応を進めていく所存です。

現状、攻撃の詳細について調査を進めているところであり、被害の全容を把握するには今しばらく時間を要する見込みですが、現時点で判明している内容について下記の通りご報告いたします。

なお、今回の不正アクセスが当社グループの業績、2023 年 3 月期決算発表に及ぼす影響については、現在精査中でございますが、開示が必要な場合は速やかに公表いたします。

このたびは、皆様に多大なるご心配とご迷惑をおかけすることになり、誠に申し訳ございません。衷心より深くお詫び申し上げます。

１．経緯

5 月 5 日(金)深夜に外部から不正アクセスを受けサーバーに保存している各種ファイルが暗号化されていることを 5 月 6 日(土)に確認しました。

翌朝より、外部専門家と共に状況調査を行い、ランサムウェアの種類を特定し、感染拡大を防ぐための必要な対応を行いました。

5 月 8 日(月)に全社対策本部を設置し、情報共有すると共に、復旧に向けての対応を進めております。また、警察への相談を開始しました。

２．被害を受けた情報

サーバーに保存していた各種業務データ、業務用ソフトウエアが暗号化されアクセス不能な状況となっております。なお、情報流出につきましては現在調査中です。

３．今後の対応

外部専門家及び警察と連携のうえ、早期復旧に向け作業を進めると共に、通常の業務遂行が可能となるよう対応を進めております。引き続き皆様へのご迷惑を最小限に止めるべく取組んでまいります。

リリース文（アーカイブ）

経済産業省が公開した「攻撃対象領域（Attack Surface）」の管理とリスク低減

経済産業省が公開した「攻撃対象領域（Attack Surface）」の管理とリスク低減についてのガイダンスについて紹介したいと思います。

このガイダンスは、インターネット上に露出しているIT資産がサイバー攻撃の対象となりうることを認識し、そのリスクを低減するための手法について詳しく説明しています。具体的には、Attack Surface Management（ASM）という手法を導入することで、組織のIT資産を発見し、管理する方法を解説しています。

ASMは、組織の外部（インターネット）からアクセス可能なIT資産の情報を調査し、それらに存在する脆弱性を継続的に評価する取り組みです。この取り組みには、専用のツールやサービスを活用して実施することが一般的で、これにより、組織が保有または管理しているIT資産を特定し、セキュリティ対策に活用することが可能となります。

また、ASMは、情報システムを管理している部門が把握していないIT資産を発見できるという特徴があります。これにより、キャンペーン活動などに利用するWebサイトや、情報システムを管理している部門以外が構築・運用しているIT資産を発見することができます。

このガイダンスは、企業の情報システムまたは情報セキュリティ部門にあって、セキュリティ向上施策、体制、ツールなどを検討する方、またはCIO（Chief Information Officer）やCISO（Chief Information Security Officer）などの情報セキュリティ戦略に責任を持つ経営層レベルの方にとって、非常に有益な情報となるでしょう。

組織のIT資産を適切に管理し、サイバー攻撃から保護するためには、ASMのような取り組みが必要不可欠です。このガイダンスを参考に、組織の情報セキュリティを一層強化していきましょう。

ASM (Attack Surface Management）導⼊ガイダンス

自組織のサイトが改ざんされている可能性を確認する方法

自組織のウェブサイト内に詐欺ページが設置されていないかを確認する方法について、以下の方法を紹介します。

最近、ウェブサイトの改ざんにより、詐欺サイトなどの悪意のあるページが設置される被害が増えています。これにより、フィッシングや詐欺行為が行われ、さらにはウェブサイトがブラックリストに登録されるリスクもあります。

自組織のウェブサイトには、気づかないうちに意図しないページが設置されてしまうことがあります。そのため、簡単な方法を使ってチェックすることが重要です。

具体的な方法は、検索エンジンの機能を活用することです。検索エンジンには、「site:」という検索演算子があります。自組織のドメインを「site:example.co.jp」のように入力して検索を実行すると、指定したドメイン内のコンテンツに限定して検索されます。これにより、意図しないコンテンツが設置されていないかを効率的に確認することができます。

もし、不正なページや改ざんを発見した場合は、ログを保存した上で適切な対策を講じることをおすすめします。また、必要に応じて警察などの関連機関に相談することも重要です。

ウェブサイトの管理が甘く、脆弱性が存在する場合は特に、悪意のある改ざんの標的になりやすくなります。正規のコンテンツが提供されているため、URLフィルタリングなどでブロックされにくいことや、検索エンジンで上位表示されることも、攻撃者にとって狙い目となります。

出典：サイバー警察局便り　御社のウェブサイト改ざんされていませんか？

ワンワールドアライアンスを最大限に活用する：特典航空券の空席の検索と取得

航空会社のマイルを最大限に活用するための方法はたくさんありますが、今回は特にワンワールドアライアンスに焦点を当てて、特典航空券の空席の検索方法と取得方法について解説します。

ワンワールドアライアンスを理解する

ワンワールドアライアンスは、世界中の13の主要な航空会社が参加しているグローバルな航空連合です。これにより、ワンワールドアライアンスのメンバー航空会社のマイルは他のメンバー航空会社でも利用できます。これにより、一つの航空会社のマイルを使って世界中の多くの目的地へ飛ぶことが可能になります。

特典航空券の空席の検索方法を学ぶ

ワンワールドアライアンスの各航空会社のウェブサイトやモバイルアプリを使って特典航空券の空席を検索することができます。特に、Alaska Airlines、American Airlines、そしてBritish Airwaysのウェブサイトは特典航空券の空席を検索するのに最適です。Alaska AirlinesとAmerican Airlinesはカレンダービューを提供しているため、一度に長期間の空席を検索することが可能です。また、特典航空券の空席を検索するためのツールとしてPoint.meも利用できます。Point.meは多数の航空会社とホテルのロイヤルティプログラムの特典航空券やホテルの空室を検索することができます。ただし、Point.meが全ての航空会社やホテルの最新の空席情報を常に正確に表示するわけではないため、最終的な予約は各航空会社やホテルの公式ウェブサイトで行うことをおすすめします。

特典航空券の取得方法を学ぶ

特典航空券の取得は、各航空会社のウェブサイトやモバイルアプリから行うことができます。まず、特典航空券の空席を検索し、利用したいフライトを選択します。次に、必要なマイル数を確認し、マイルを利用して予約を完了します。

柔軟性を持つ

特典航空券の取得には柔軟性が必要です。特定の日付や時間に固執するのではなく、利用可能なオプションを広く探すことが重要です。また、特典航空券の空席は予約開始時だけでなく、出発直前にも追加されることがあります。そのため、最後の最後までチェックを続けることがおすすめです。

ビジネスクラスやファーストクラスの特典航空券を検討する

ワンワールドアライアンスの航空会社のマイルを使ってビジネスクラスやファーストクラスの特典航空券を取得することも可能です。これらのクラスのチケットは、通常のエコノミークラスのチケットよりも高価ですが、マイルを使用することで手頃な価格で利用することができます。これにより、長距離の国際便でも快適に旅行することが可能になります。

特典航空券の変更とキャンセルについて理解する

特典航空券の変更やキャンセルには通常、手数料が発生します。しかし、一部の航空会社では変更やキャンセルの手数料が免除される場合があります。予約を行う前に、変更やキャンセルのポリシーを確認し、自分の旅行計画に最も適した特典航空券を選択することが重要です。

特典航空券の予約開放タイミングを知る

ワンワールドアライアンスの航空会社はそれぞれ異なるタイミングで特典航空券の予約を開放します。以下の表は、各航空会社が特典航空券の予約を開放する日数を示しています。

航空会社のロイヤルティプログラム	予約可能な日数（出発日前）
アメリカン航空：AAdvantage	331日前
ブリティッシュ・エアウェイズ：Executive Club	355日前
キャセイパシフィック航空：アジアマイル	360日前
フィンエアー：Finnair Plus	331日前
イベリア航空：Iberia Plus	330日前
日本航空：JALマイレージバンク	330日前
マレーシア航空：Enrich	354日前
カンタス航空・Frequent Flyer	353日前
カタール航空：Privilege Club	361日前
ロイヤル・エア・モロッコ：Safar Flyer	330日前
ロイヤル・ヨルダン航空：Royal Plus	361日前
スリランカ航空・FlySmiLes	361日前

これらのアドバイスを利用して、ワンワールドアライアンスを最大限に活用し、素晴らしい旅行体験を実現してください。マイルの活用は、計画と知識があれば、あなたの旅行を次のレベルへと引き上げる強力なツールとなります。これらのヒントがあなたの旅行計画に役立つことを願っています。

出典：My 10 Top Tips For Redeeming Airline Miles & Points

【セキュリティ事件簿#2023-164】糸満市　個人情報漏えいについてお詫びとご報告　2023年4月28日

この度、こども未来部保育こども園課におきまして、4月24日（月曜日）に、令和5年3月に特定の園に通っていた一部の園児の氏名及び住所等の個人情報を記載したデータを誤って市内の他の保育施設に電子メールで送付する事案が発生いたしました。

関係者の皆さんにおきましては、多大なるご不安やご迷惑をおかけすることとなり、心からお詫び申し上げます。

個人情報につきましては、法令等に基づき、適正に管理することが求められており、特に市役所においては市民の皆さんの多くの個人情報を取り扱っていることから、職員一人ひとりが細心の注意を払う必要があり、改めて職員への個人情報保護教育を徹底し、再発防止に取り組んでまいります。

1．事案の概要

4月24日（月曜日）、保育こども園課において、新型コロナウイルス感染症対策特例に係る令和4年度3月分減免内容データを誤って市内の他の保育施設へ電子メールで送付いたしました。

4月27日（木曜日）にマスコミから匿名で情報提供があったとの連絡があり、今回のミスが発覚しました。また、同日にデータ送付先の保育施設に対して誤送信したデータを廃棄するよう依頼し、漏洩した個人情報のご本人にお電話でお詫びとご報告の連絡をいたしました。

2．漏洩した情報

令和5年3月に特定の園に通っていた一部の個人の次の情報

児童氏名、年齢、生年月日、性別、保護者氏名、住所、月額保育料、自粛日数、減免額、減免後月額保育料

3．漏洩の原因

4月24日（月曜日）発生事案については、電子メールを送付する際に添付資料を十分に確認することなく送付したことが原因です。

4．今後の対策

再発防止のため、職員へ本市の情報セキュリティポリシーの周知徹底を図り、適切な個人情報の管理及び取り扱いに取り組みます。

リリース文（アーカイブ）