この誤送信を起こしたのは、熊本県観光連盟から委託を受けていた日本旅行熊本支店であり、熊本豪雨の被災地域支援を目的とした「くまもと行くモン旅割!」の運営・管理業務を担当していました。事業に関連する電子メールを事業者らに送信する際に、このミスが発生しました。
現在、このメールアドレスの流出による具体的な被害は報告されていません。日本旅行社は公式に謝罪を行い、熊本県観光連盟からは情報の適切な取扱いについての指導を受けています。
【セキュリティ事件簿#2023-375】熊本県観光連盟の委託事業にて、委託先の日本旅行熊本支店がメール送信ミスでアドレスをお漏らしする。
【セキュリティ事件簿#2023-374】埼玉県 生徒の個人情報を含むUSBメモリの紛失について 2023年9月22日
県立飯能高等学校において、生徒の個人情報を含むUSBメモリを紛失する事故が発生しました。
なお、現在のところ、第三者による不正使用等の事実は確認されていません
1 事故の概要
9月9日(土曜日)午後6時頃、県立飯能高等学校の職員が生徒の個人情報を含むUSBメモリを生徒会室に置いたまま部屋を出た。
9月10日(日曜日)午前7時頃、当該職員がUSBメモリを生徒会室に置き忘れたことに気づき、その後、生徒会室を捜索したが見つからなかった。
2 個人情報の内容
75名分の生徒氏名
3 学校の対応
9月10日(日曜日)~ 当該職員が生徒会室を捜索
9月15日(金曜日)~ 全教職員で生徒会室及び校内を捜索
生徒及び保護者に対して事故の経緯を説明し謝罪した
4 再発防止策
今後、校長会議等を通じて、改めて全県立学校において個人情報の適正な管理を徹底するよう指示する。
【セキュリティ事件簿#2023-373】ホテルウィングインターナショナルプレミアム東京四谷 不正アクセスによりお客様の個人情報が第三者に閲覧された可能性とフィッシングサイトに誘導するメッセージ配信についてのお詫びとお知らせ 2023年9月22日
1.事象の内容
2023年9月14日(木)未明、複数のお客様からのお問い合わせを受けて調べた結果、「Booking.com 」経由で宿泊予約された一部のお客様に対して、管理システムのメール機能を使用し、「お客様のクレジットカードが予約システムのセキュリティチェックを通過せず、無効と判断された。そのため、ご予約がキャンセルされる可能性がある」「簡単なカード認証手続きが必要」「この手続きを12 時間以内に完了しない場合、ご予約がキャンセルになります」という文章とフィッシングサイトへ誘導するURL リンクが貼付されたメッセージが配信されていることを確認いたしました。確認後、直ちに公式ホームページに注意喚起のお知らせを掲載しております。
また、同日より「Booking.com 」経由の新たな宿泊予約の受付を停止しておりますが、現在、不正アクセスの原因等について調査を進めております。
2.お客様へのお願い
上記のようなメッセージや疑わしいメッセージを受信された場合、貼付されたURLリンクへアクセスされないよう、お願い申し上げます。お問い合わせいただいたお客様には、フィッシングサイトへの流入を防ぐための注意喚起を随時行っております。
3.今後の対応と再発防止策
現在、関係機関と連携を取り、原因調査を進めております。必要な対策を実施することにより再発防止に努めてまいります。また、詳細が明らかになりましたら随時、公式サイトにて報告させていただきます。この度は、お客様に多大なご迷惑とご心配をおかけしますことを、重ねて深くお詫び申し上げます。
【セキュリティ事件簿#2023-372】山陽SC開発株式会社 弊社メールアカウントへの不正アクセスによる迷惑メール送信についてのお知らせとお詫び 2023年9月22日
2023年9月22日、弊社が関係者様宛に使用しておりますメールアカウントの1つから「迷惑メール」が送信されたことが判明いたしました。
お客様をはじめ、多くの関係先の皆様にご心配をおかけしますこと、深くお詫び申し上げます。
当該メールアカウントについては事案の発生確認後、速やかにパスワードを変更するなどの対策を講じております。
また、現時点では個人情報漏洩などの二次被害は確認されておりません。
なお、弊社が運営いたします「岡山一番街」「さんすて岡山」「さんすて倉敷」「さんすて福山」の営業に関する影響はございません。
今後も必要な対策を講じることにより再発防止に万全を期してまいります。
この度はお客様をはじめ、多くの関係先の皆様にご心配をおかけしますこと、重ねて深くお詫び申し上げます。
【セキュリティ事件簿#2023-371】中学校で生徒のGoogleアカウントのパスワード一覧が教師のずさんな管理により漏れる ~何故に教員はパスワード一覧を印刷して持ち歩くかねー~
岡山県の津山市教育委員会は22日、市内の中学校で、生徒2人がほかの生徒のグーグルアカウントを使って、不正にアクセスしていたと発表した。
市教委などは不正アクセス禁止法違反などの疑いもあるとみて津山署に相談している。市教委によると、4月13日の授業中、生徒1人が、教壇の上に置いてあった1クラス約30人分の名前やID、パスワードを記載した一覧表を、教員が教壇を離れた隙にタブレットのカメラを使って撮影した。
夏休みに入った7月末以降、この生徒を含む2人が、計8人のアカウントを使ってアクセスした。
その上で、2人は嫌がらせやからかい目的に、それぞれが保存している体育や音楽の課題に取り組む動画をダウンロードしたり、壁紙を貼り替えたりした。
校外への流出は確認されていないという。
9月14日、ほかの生徒の保護者から「不正アクセスのうわさがある」との情報が学校に寄せられて発覚した。
一覧表は職員室内で取り扱う決まりになっていたが、教員はパスワードを忘れた生徒のため、印刷して持ち出したという。
【セキュリティ事件簿#2023-365】富山県 県委託業務受託者のホームページへの不正アクセスによる情報漏洩について 2023年9月15日
県委託業務の受託者ホームページのサーバーシステムが不正アクセスを受けたことにより、県の委託業務により事業者が取得した個人情報が漏洩する事案が発生しましたので、お知らせします。
1.内容
県の「まちのなりわい継業モデル事業」(令和3年度~令和5年度)及び「商店街プロフェッショナル体験モデル事業」(平成29年度~平成30年度)の委託事業者(株式会社仕事旅行社)のホームページのサーバーシステムに不正アクセスがあり、サーバーシステムに保存されている情報が不正に取得された。
不正に取得された情報には、県の上記委託業務により事業者が取得した個人情報(氏名、生年月日、性別、職業、学校名、住所、電話番号、メールアドレス)が、44人分含まれていた。
2.委託事業者における経緯
令和5年9月4日
委託事業者の関係者より、委託事業者から不審なメールが届いている旨の連絡があり、サーバーへの不正アクセスの疑惑が浮上。
令和5年9月5日
個人情報および一部の企業情報の流出を確認。
専門の弁護士、管轄の警察署及び警視庁サイバー犯罪対策課に通報。
ホームページに虚偽情報への注意喚起文を掲載。
委託事業者に関する虚偽情報についての注意喚起を対象者へメールで連絡。
令和5年9月6日
個人情報および一部の企業情報の流出について公表。
不正アクセスと今後の対応について対象者へメールで連絡。
令和5年9月8日
不正アクセスに関する続報を公表し、管轄の警察署及び警視庁サイバー犯罪対策課へ情報を共有。
不正アクセスの続報について対象者へメールで連絡。
令和5年9月11日
セキュリティ専門企業へ原因究明調査を打診。
3.県の対応
委託事業者へ、随時、対応状況等を確認。引き続き、原因究明や二次被害防止等の対応を依頼。
「まちのなりわい継業モデル事業」の参加者募集について、委託事業者ホームページとは別のシステムを利用し、安全性を確保したうえで再開予定。
【セキュリティ事件簿#2023-365】仕事旅⾏社 不正アクセスに関するご報告(続報) 2023年9⽉15⽇
時下ますますご盛栄のこととお慶び申し上げます。弊社では、関係する皆様に対し、ご通知及び公表をさせて頂きました通り、弊社サーバが不正アクセスを受け、個人情報を含む情報が不正に収奪及び利用されたこと、並びにサービス運営に必要な全ての情報が削除されるといった事案が生じております(以下「本件」といいます。)。
現在におきましても、調査の途中ではございますが、本報告日現在での調査結果及び再発防止に向けた取り組みの概要につきまして、下記の通りご報告申し上げます。
関係者の方々に多大なご迷惑をお掛けしておりますことを、改めて深くお詫び申し上げます。
1. 対応の経緯
2023年9月4日 弊社関係者より、弊社に関わる不審なメールが2通届いているとの連絡を受け、弊社サーバへの不正アクセスの疑いが浮上。ホームページを閉鎖し被害状況の把握に着手
2023年9月5日 不正アクセスの原因が弊社サーバ内に設置していた外部メールソフトのセキュリティホールであることが判明。同時に弊社のサーバデータが不正に削除されているのを確認
2023年9月5日 個人情報及び一部の企業情報の流出を確認
2023年9月5日 弁護士、所轄の警察署及び警視庁サイバー犯罪対策課、個人情報保護委員会に報告
2023年9月5日 「【重要】弊社に関する虚偽情報にご注意ください」公表
2023年9月6日 「【重要】弊社サーバへの不正アクセスのご報告と今後の対応」公表
2023年9月6日 弊社ホームページのトップページのみを限定して復旧
2023年9月8日 弊社関係者に対して、犯人と思われる人物より3通目のメール配信
2023年9月8日 情報の流出及び流出可能性について調査を継続
2023年9月8日 「【重要】不正アクセスに関するご報告(続報)」公表
2023年9月8日 愛宕警察署及び警視庁サイバー犯罪対策課へ情報を共有
2023年9月11日 セキュリティ専門企業へ原因究明調査を打診
2023年9月11日 問い合わせフォームを復旧。一般からの問い合わせ受付開始
2023年9月13日 セキュリティ会社にホームページセキュリティの脆弱性チェックの検討開始
2023年9月15日 弊社関係者に対して、犯人と思われる人物より4通目のメール配信
2023年9月15日 「【重要】不審メールに関するご連絡」公表
2. 被害の原因及び状況
外部専門家及び弊社システムエンジニアと共に、不正アクセスを受けたデータサーバの通信ログを調査した結果、本件の概要は以下の通りであることが判明しました。
2023 年 9 月 4 日深夜、弊社サーバにアップされていた外部メルマガ管理システムがサイバー攻撃を受け、弊社サーバが不正なアクセスを受けました。弊社では 2021 年頃から当該メルマガ管理システムの使用しておりませんでしたが、サーバ上で保管していたため攻撃の対象となりました。なお、当該システムは現在弊社サーバ上から完全に削除されています。
なお、特定の弁護士名を名乗る犯人より 3 回にわたり送信された一斉メールは、その送信範囲からすると、不正アクセス時に不当に取得された個人情報に対して送られたものであると判断しております。
また、弊社サーバの通信ログを解析した結果、弊社が利用していた外部メルマガ管理システムを起点に、不正アクセスをした者によってサーバ内のデータを全て削除されたと判断しております。これにより弊社の主なサービスは現在も運営できない状況に陥っております。(なお、本報告日現在におきましても復旧対応中となります。)
弊社では、所轄の警察署及び警視庁のサイバー犯罪対策課と連携を進めており、警察からは、既に調査を開始しているとの連絡を受けています。また、個人情報保護委員会に対しても、本件の報告を行っております。
3. 漏えい等したデータの内容
①流出の規模 「仕事旅行サーバ」に保管されていた情報となります。 2011 年 2 ⽉から 2023 年9 月 5 日までに入力された情報となります。
②流出した主な情報
·⽒名(ふりがな)
·住所 ·電話番号
メールアドレス
·⽣年⽉⽇
·職業/業種/性別/職種 ·学歴・職務経歴(求⼈応募をされた⽅のみ)
③漏洩した件数 33,670 件(2023 年 9 月 15 日現在)
※9 月 5 日時点で退会済みの顧客データも含まれます。
なお、弊社では、サービス販売等における決済取引は全て外部委託先のシステムを利用しております。このため、弊社は決済情報を一切保有しておらず、本件においてはクレジットカード情報等の流出はございません。
また、弊社の運営するサービスにログインする際に設定いただきましたパスワードに関しましても、ハッシュ化(二重暗号化)を行なっているため、流出はございません。
4. 再発防止に向けたセキュリティ強化策
本報告日現在で対策済みの事項及び今後の対策予定に分けてそれぞれご説明いたします。
【対策済】
(1) 被害拡⼤防⽌等のため実施した内容
1. 弊社 Web サーバの遮断
2. 対象者に緊急の注意喚起メールの送信
3. サイトでの注意喚起の公表
4. サーバに関連するパスワードの変更
5. 外部専門家との事実関係調査
(2) ⾏政等との連携及び報告のため実施した内容
1. 管轄の警察署及び警視庁サイバー犯罪対策課への報告
2. 個⼈情報保護委員会への報告
3. 外部のセキュリティ対策専門家への相談
【対策予定】
1. 外部の専門家による脆弱性チェックの実施
2. 再発防止策の策定
3. 外部専門家及びセキュリティ監督委員会等の提言を踏まえ、再発防止に向けた種々のセキュリティ強化の検討・体制の構築
4. (上記対策を講じた上での)安全性を担保したサービスの復旧
本報告日現在でのご報告とご案内は以上のとおりでございますが、今後におきましても、本件の状況、犯行状況、弊社サービスの復旧状況につきましては、引き続きご案内申し上げます。
この度は、皆様には多大なるご迷惑とご心配をおかけしておりますこと、重ねてお詫び申し上げます。
【セキュリティ事件簿#2023-370】厚生中央病院 個人情報漏洩のおそれについて 2023年9月14日
8月26日、当院職員が自宅で使用しているパソコンが、サポート詐欺の手口により遠隔操作される事態が発生しました。
このパソコンに接続していたUSBメモリには、研究目的で①当院で診療(2020年2月20日~2021年9月17日)した新型コロナ感染症及びその疑いがあった患者等に関する情報771名分と②当院職員の感染対策として行った検査(2011年3月2日~2013年12月25日)に関する情報510名分のデータがありましたが、どちらのデータにも個人の連絡先は含まれておりません。
しかしながら、要配慮個人情報(診療内容や検査結果等)にあたる情報が含まれていることから、国の個人情報保護委員会へ報告するとともに、サポート詐欺による情報漏えいの可能性について調査を進めているところです。
現時点では、データのコピーまたは閲覧がされた形跡は確認されておらず、また、被害等の報告を受けておりませんが、関係される皆さまにご心配をお掛けすることとなり深くお詫び申し上げます。
事態を厳粛に受け止め、個人情報の取り扱いの徹底を行い、再発防止に取り組んでまいります。
2024年のフライト計画 ~JALワンワールド特典航空券の活用~
2024年のフライト計画を立ててみた。
今回はヨーロッパを視野に検討してみる。
気になっているポイントは2つあり、一つはリトアニアのカウナス。2016年に一度訪問しているが、小さい都市なので1日もあれば十分だろうと思っていたら、訪問すべき場所がたくさんあって全然足りなかった。
また、前回訪問以降、杉原博物記念館が修復されたということもあり、修復後の記念館を見てみたいというのもある。
もう一つはドイツ。
ドイツを代表するスーツケースのメーカーであるRIMOWAが2022年7月25日以降に購入した新品スーツケースに対して生涯保証の提供を始めた。
実はこの生涯保証の内容自体はあまり理解できていないのだが、少なくとも2022年7月25日以降の製品については無償か有償かは置いておいて、修理を受け付けてくれることだけは期待できる。
これまでスーツケースは長く使えるものが欲しいと思いつつも、結局5~6年使うと足が壊れて粗大ごみとなってしまい、新しく買い替える必要があったが、その手間がなくなる。
まさにRIMOWAのスーツケースを買えば、一生の相棒として使えるということである。
そんなRIMOWAのスーツケースは普通に20万近くするため、何とかして安く購入したい。
色々調べた結果、ドイツ現地調達(「koffer direkt」や「koffer 24」)&VATリファンドという結論になった。
マイル(JAL)を見てみると、17万マイルくらい溜まっているため、有難く今回はこのマイルを活用して手配を試みる。
前回の発券でバンコクまでのチケットがあるため、この続きとヨーロッパ行きを検討する。
結論としては、無事全区間ビジネスクラスでの発券に成功した。
(計12万マイル+諸税10万円程度)
バンコクまでのチケットがあるので、続きはバンコクからにするのがキレイなのだが、特典航空券のビジネスクラスの空きが無い。
周辺の空港や日程をずらしていろいろ調べてみるとホーチミン発東京行きのフライトにてビジネスクラスの空席を発見。という訳でバンコク-ホーチミン間は有償でチケットを切るとして、特典航空券のスタートはホーチミンとなった。
・SGN⇒NRT @JL ※2024年5月予定
・HND⇒BKK @JL ※2024年10月予定
・BKK⇒HEL @AY ※2024年10月予定
-東京からヘルシンキ行き直行便には空席が無かった。羽田発バンコク行きのJAL便と、バンコク発ヘルシンキ行きのフィンエアー便にてビジネスクラスの空席を見つけたため、バンコク経由のヘルシンキ行きに。
-欧州域内(HEL-VNO、HEL-FRA)の移動は別切りの有償航空券にする予定。
・HEL⇒HND⇒ITM @JL ※2024年10月予定
-帰りはヘルシンキ発羽田行きの直行便をゲット。ただし、特典航空券のルールで途中降機した東京には戻れないため、東京乗り継ぎで大阪に移動(大阪から自宅のある東京ヘは別切りの有償航空券にする)
・KIX⇒KUL⇒BKK @MH ※2025年4月予定
-上述で一旦別切り航空券で東京に戻っているため、再び別切り航空券で大阪に移動したのち、マレーシア航空でクアラルンプール経由でバンコクに向かう。バンコク行きはJAL直行便もあるが、深夜便のため、寝るだけで終わってしまう。ビジネスクラスのサービスを存分に堪能するには昼間便がベストなため、敢えて昼間に飛ぶマレーシア航空を選択。気が向けばクアラルンプールに途中降機も可能。あとは運休しないことを祈るのみ。
今回の総旅程距離(TPMの合計)は19,841マイル。
12,000JALマイルで交換可能なTPMの上限は20,000マイルなので、レンジギリギリまで活用した感じ。
【セキュリティ事件簿#2023-369】日本大学医学部付属板橋病院 当院における個人情報漏えいについて 2023年09月19日
この度,当院患者様の情報を含む書類(PDFデータ)の一部について,第三者がインターネット上で閲覧可能な状態であったことが判明しました。
当院を御受診いただいている皆様には,多大な御迷惑と御心配をお掛けすることとなり,心よりお詫び申し上げます。
閲覧可能な状態にあったPDFは,令和4年5月に使用した「医療材料使用報告書」9名分です。PDF(当該データ)には以下の情報が含まれておりました。
【閲覧可能な状態にあった情報】
患者様の氏名,病歴番号,検査日,検査・処置名,使用した医療材料名(カテーテル等)
今回の原因は,保存の必要のない「医療材料使用報告書」のPDFデータを,事務処理担当者が誤ってインターネット上から閲覧可能な環境に保存したことにあります。
当院では,発覚後直ちにPDFデータを全て削除の上,該当する患者様には,既に個別にお詫びをした上で発生経緯等について御報告を終えております。当院では本件を重く受け止め,速やかに個人情報保護委員会など関係各所へ届け出るとともに二次被害防止を図っておりますが,現在までに閲覧された個人情報が不正に使用されたとの報告はございません。引き続き,関係各所と連携を取りつつ適切な対応に努めます。
当院におきましては,データ管理方法の見直し,更なる教職員教育,個人情報保護及び医療情報管理の徹底を図り,再発防止に取り組んでまいります。
【セキュリティ事件簿#2023-368】エヌ・デーソフトウェア株式会社 不正アクセスによる当社メールアドレスを悪用したメール送信のお詫び 2023 年 9 月 15 日
このたび、当社社員1名のメールアカウントが不正アクセスされ、当該メールアドレスを悪用した 502 件のメール送信があったことが判明しました。
当社メールアドレス(~@ndsoft.jp)から届きました不審なメールにつきましては、メール内に記載の web ページ等を開かないようお願いいたします。
※現時点で web ページリンクはアクセス不能であることを確認しています。
当該メールアカウントおよび当該パソコンへ適切な対応を実施し、メールの不正送信を停止しております。
不審メールを受け取った皆様には、多大なご迷惑とご心配をお掛けし、深くお詫び申し上げます。
当社としては、この事態を重く受け止め、原因究明の調査を進め、再発防止の処置を講じていく所存です。
本件に関するご質問、お問い合わせ等は以下の連絡先にお願いいたします。
【セキュリティ事件簿#2023-365】仕事旅⾏社 不正アクセスに関するご報告(続報) 2023年9⽉8⽇
弊社では、2023 年 9 ⽉ 5 ⽇付にて各対象者へのご通知及びホームページへの掲載をさせて頂きました通り、弊社サーバに対して不正アクセスを受け、個⼈情報を含む情報が不正取得及び不正利⽤されたこと、並びにサービス運営に利⽤する情報が全て削除されるといった事案が⽣じております(以下「本件」といいます。)。
(参照:https://www.shigoto-ryokou.com/information/pdf/20230906_information.pdf)。
その後、2023 年 9 ⽉ 7 ⽇、不正アクセスを⾏ったと思われる者より弊社に対し、弊社と⽇本警察が⼀定の要求に従わない場合「データが公開される」旨のメールが送り付けられております。
再度のご連絡となりますが、本件により、弊社におきましては、会員情報等として登録されていたメールアドレスをはじめとする情報が不正取得された状況にあります。クレジットカード等、決済に関連する情報につきましては、今回のサーバには保管されいないため、流出はしておりません。
被害の拡⼤を防⽌するため、不正アクセス者及びその他の者より、不審な連絡を受けた場合、記載された電話番号やホームページに対しては、アクセス、問合せ、返信、要求への対応等は⾏わないよう、⼗分ご注意ください。
弊社は、今回の脅迫メールに関しても既に警察当局にも報告しており、今後も捜査に全⾯的に協⼒する所存でございます。また、弁護⼠とも連携のうえ、被害の拡⼤の防⽌と再発防⽌に向けて取り組んでまいります。
今後におきましても、本件の状況、犯⾏状況、弊社サービスの復旧状況につきましても、追ってご案内申し上げます。
本⽇時点でのご報告とご案内は以上のとおりでございます。
この度は、皆様には多⼤なるご迷惑とご⼼配をおかけしておりますこと、重ねてお詫び申し上げます。
【セキュリティ事件簿#2023-367】INAC神戸 申し込みフォーム誤設定による個人情報表示に関するお知らせとお詫び 2023年9月16日
9月15日(土)に実施しましたINAC神戸U-15セレクションの事前申し込みの受け付けにつきまして、申し込みいただいた56名の方の個人情報が申し込みフォーム上で閲覧できる状態となってしまいました。お客様の大切な情報をお預かりしているにもかかわらず、本件のような事が発生したこと、多大なるご迷惑をおかけしましたことを深くお詫び申し上げます。
皆様には謹んでお詫び申し上げるとともに、本件について下記のとおりご報告いたします。
1.事象日時:2023年9月2日(土)~2023年9月11日(月)11時00分ごろ
2.公開した情報:お名前、住所、電話番号、サッカーチームやサッカーに関する経歴
3.対象:INAC神戸U-15セレクションにお申し込みいただいた皆様
4.経緯:
・INAC神戸U-15セレクションのお申し込みの回答期限終了後にGoogleフォームの「前の回答を表示」から閲覧できる状態が判明。
・Googleフォームを作成する段階で、誤って「前の回答を表示」する設定にしてしまったことが原因と考えられます。
5.対応:
・電話での問い合わせをいただいた後に、回答を表示できないよう設定を変更。
・対象のみなさまにメールにて事実関係の報告とお詫びをさせていただきました。
今回の事態を重く受け止め、個人情報の取り扱いには細心の注意を払い、再びこのようなことがないように再発防止に努めて参ります。
皆様に多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。
【セキュリティ事件簿#2023-366】マルキユー 『アミ姫 WEB キャンペーン』応募者データ不正アクセスによる個人情報流出の可能性について 2023年9月20日
2022 年 9 月 1 日~10 月 31 日実施の『アミ姫 WEB キャンペーン』にてご応募いただいたお客様の個人情報を管理するサーバーに不正アクセスがあったことが 2023 年 5 月 16 日に判明致しました。
弊社より直ちに、アミ姫 WEB キャンペーンを管理する外部委託先へ指示し、不正アクセスを受けたサーバーより個人情報データを移動し、安全な場所に隔離致しました。更に外部委託先と第三者機関にて調査を実施しましたが、現時点で本件に関わる個人情報が流失した事実は認められないものの、その可能性を完全に否定することは出来ませんでした。
弊社では調査と並行し、本件対象の 1,047 名の方に対し、ご応募いただいたメールアドレスに経緯を報告させて頂きましたが、9 月 20 日現在、数名の方と連絡が取れていないため、お心当たりのある方でまだ弊社と連絡が取れていない方は下記までご連絡をお願い致します。
この度は、皆様には多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。
(ISC)² Certified in Cybersecurity (CC) 受験体験記
サイバーセキュリティ人材が世界的に不足しているということで、(ISC)² は人材不足解消の取り組みの一環として、100万人を対象にCertified in Cybersecurity (CC)のオンライン自己学習コースと試験を無料で提供している。
そんな訳で、(ISC)² のエントリーレベル認定資格 Certified in Cybersecurity (CC) を受験してきた。
受験準備としては、まず最初に、(ISC)² Candidateに登録。すると、CC試験向けのオンラインセルフペーストレーニングと、試験のバウチャー(199USD相当)がもらえる。
このトレーニングでは(ISC)² におけるセキュリティの考え方を学べる。学習領域は5つのドメインから構成されていて、セキュリティ原則、事業継続、アクセス制御、ネットワークセキュリティ、およびセキュリティの運用に焦点を当てて学ぶ。
試験の予約はオンラインで可能。試験の言語も日本語で選択可能。テストセンターは日本だと東京と大阪、その他世界各地にある。
せっかく無料なので、何かチャレンジ(!?)でもしようと思い、タイ・バンコクの試験会場に予約を入れてみたのだが、日程の調整がつかなくなり、東京にある高田馬場の会場に変更した。
通常(ISC)² の試験予約変更は有料らしいのだが、CC試験は無料で変更できた。ただ、実際は変更ではなく、一旦予約をキャンセルした上で改めて予約する形態となった。
受験には2種類の身分証明書が必要。今回は運転免許証とマイナンバーカードを利用(海外で受験する場合はパスポートともう一つが必要になるので、やはり日本人は日本での受験がおススメ)
試験はコンピュータベース(CBT方式)で、多肢選択式の100問を解く形式。なお、一度回答すると後には戻れない一球入魂(!?)方式となっていた。
試験終了後、すぐに1枚の紙をくれ、その紙に合否結果が記載される。今回は無事合格(仮合格)だった。
合格の確定には承認申請の手続きを終える必要がある。
大きく2つのステップがあり、まずはオンライン申請(申請書の記入)。(ISC)² 認定を受けるには、エンドースメント(承認)のステップを受けなければならず、(ISC)² の倫理規約 (Code of Ethics) に合意する申請書記入の手続きを実施。
次に最初の年間維持費の支払い(50USD)。クレジットカードOK。
この手続きを終えることで Active Member になり、CC の認定デジタルバッジが取得できます。
資格の維持には年間維持費の支払い(50USD)と、3年間で 45 CPE クレジット(平均すると年間 15 CPE クレジット)が必要となります。
要は3年間で45時間分セミナーに参加したりして自己研鑽に努める必要が出てきます。
情報処理安全確保支援士は年間維持費は無料ですが、3年サイクルで約12万円分の講習受講義務が生じるため、支援士に比べればCCの維持費はリーズナブルです。
情報処理安全確保支援士は日本国内でしか通じないドメスティックな資格ですが、CCはエントリーレベルながら、グローバル資格となります。
個人的にはこれが(ISC)² 入会のいいきっかけになったと思っている(SSCPやCISSPには興味があったものの受験費用が高額過ぎてちょっと二の足を踏んでいた)。
(ISC)² の今回の取り組みに感謝。
【セキュリティ事件簿#2023-253】【ご報告】シェアオフィス「Lieffice」公式ウェブサイトへの 不正アクセスに関する調査結果(お客さま情報の漏えいはありませんでした) 2023年9月20日
7月3日、当社が運営するシェアオフィス「Lieffice」の公式ウェブサイトに対し、外部からの不正アクセスがあり、7月7日付の報道発表にて、不正アクセスの発生及びお客さま情報の漏えいの可能性がある旨を公表しました。
その後、同サイトにご登録いただいたお客さま情報について、外部への漏えいの有無を調査した結果、漏えいの事実がなかったことを確認しましたのでお知らせいたします。同サイトにご登録いただいたお客さまをはじめ関係される皆さまに、ご迷惑とご不安をおかけしましたことを、改めて深くお詫び申し上げます。
なお、非公開としていた同サイトは、不正アクセスの再発防止策を講じ、お客さまに安心してご利用いただけることを確認しましたので、9月20日(水)から、サイトの公開および「Lieffice」全3店舗の営業を再開しました。
1.不正アクセスの概要
7月3日17時ごろ、当社社員が「Lieffice」の公式ウェブサイトにアクセスしたところ、無関係のウェブサイトへ自動転送される状態になっていることを確認しました。
調査の結果、同日16時ごろ、何者かによって不正にアクセスされ、公式ウェブサイトのHTMLファイルの情報が書き換えられていたことが判明しました。
2.お客さま情報の漏えいがなかったと判断した理由
調査の結果、公式ウェブサイトとお客さま情報データベースは、システムの構造上分離しており、公式ウェブサイトへの不正アクセスでは、お客さま情報データベースに到達することは不可能なため、情報は漏えいしていないと判断しました。
3.不正アクセスが発生した原因
公式ウェブページの管理システムであるソフトウェア(以下、CMS)において「管理者アカウントのID及びパスワード設定が簡易だったため、比較的容易に不正アクセスできる状態となっていたこと」「一般的に広く普及しているCMSを使用していたが故に、攻撃対象になりやすかったこと」の二点が原因だと考えています。
4.再発防止策
MSを安全性が十分に確認されたソフトウェアに変更いたしました。また、パスワードについても直ちに複雑化いたしました。
加えて、Liefficeウェブサイトに対して、その他の問題がないかを調査するため、第三者による脆弱性診断を実施いたしました。診断において脆弱性の懸念があると指摘を受けた箇所については、改修を実施し、安全性を確保いたしました。
【セキュリティ事件簿#2023-365】仕事旅⾏社 弊社サーバへの不正アクセスのご報告と今後の対応 2023年9⽉6⽇
この度、弊社では、2023 年 9 ⽉ 4 ⽇深夜、業務上において利⽤しているサーバ(「仕事旅⾏サーバ」として、利⽤者の職業体験情報や会員情報を管理するサーバとなります)に対し、第三者による不正アクセスを受けました。
弊社では、この不正アクセスにより、サーバに保管していた個⼈情報を含む情報が不正取得及び不正利⽤されたこと、並びにサービス運営に利⽤する情報が全て削除されたことを確認しております(以下「本件」といいます)。
弊社では、本件によりサービス運営に関わるデータベースは全て削除されてしまい、通常営業を⾏うことは困難な状況に陥っております。現在、復旧に向けた作業を⾏っていますが、今後の業務開始に関しては現状未定となります。
なお、クレジットカード等、決済に関連する情報につきましては、今回のサーバには保管されておらず、流出はしておりませんが、会員情報等として登録されていたメールアドレスが漏洩したことにより、第三者から対象者に不審なメールが送信されているといった事象を確認しております。
皆様には、多⼤なるご迷惑とご⼼配をおかけしておりますこと、⼼よりお詫び申し上げます。
被害の拡⼤を防⽌するため、不審なメールに記載された電話番号や HP へのアクセス、メールアドレスへの問合せや、返信等は⾏わないよう、⼗分ご注意ください。
弊社は、発覚後、警察当局にも報告しており、今後も捜査に全⾯的に協⼒する所存でございます。また、弁護⼠とも連携のうえ、個⼈情報保護委員会にも報告し、ガイドラインに沿った対応を⾏い、再発防⽌に向けて取り組んでまいります。流出した情報の内容、犯⾏⼿⼝について詳細な調査を開始しており、判明しましたら、追ってご案内申し上げます。
以下、本件の概要等と皆様へのお願い事項につきまして、まとめさせて頂きましたので、ご確認を頂きますよう、お願い申し上げます。
1.事案内容
(1) 発覚⽇時
2023 年 9 ⽉ 5 ⽇(⽕)7:00 頃
(2) 流出の規模
①流出の規模
「仕事旅⾏サーバ」に保管されていた情報となります。
2011 年 2 ⽉から 2023 年 9 ⽉ 5 ⽇までに⼊⼒した情報となります。
②流出した主な情報
·⽒名(ふりがな)
·住所
·電話番号
·メールアドレス
·⽣年⽉⽇
·職業/業種/職種
·学歴・職務経歴(求⼈応募をされた⽅のみ)
③原因
悪意のある第三者による仕事旅⾏サーバにアップされていた外部メルマガ管理システムのセキュリティホールによる不正アクセスが原因となります。詳細は調査中となります。
2.弊社の対応
(1) 被害拡⼤防⽌等のため、緊急対応として実施した内容
·弊社 Web サーバの遮断
·対象者に緊急の注意喚起メールの送信
·サイトでの注意喚起の掲載
·サーバに関連するパスワードの変更
(2) ⾏政等との連携及び報告のため実施した内容
·管轄の警察署および警視庁サイバー犯罪対策課に報告
·個⼈情報保護委員会への報告
3.弊社の今後の対応
(1) 事実調査の推進
外部専⾨家からの助⾔を得ながら、流出した情報の内容や犯⾏⼿⼝等について、詳細な調査を推進中でございます。
(2) 再発防⽌策の策定準備
再発防⽌策の策定を進めております。実効性ある再発防⽌策にすべく、事実調査の結果を受け、対策を決定いたします。
4.皆様へのお願い
「あなたの個⼈情報を取得したから、悪⽤されたくなければ〜〜しろ」といった不審メール等が届いた場合、絶対に要求に応じないようご注意をお願いいたします。特に、以下の点はご注意ください。
・絶対に⾦銭は⽀払わないでください
・⾝に覚えのない代引き商品が届いた場合は受け取りを拒否してください
本⽇時点でのご報告とご案内は以上のとおりでございます。
この度は、皆様には多⼤なるご迷惑とご⼼配をおかけしておりますこと、重ねてお詫び申し上げます。
【セキュリティ事件簿#2023-364】大石田町 個人情報が閲覧できる状態になっていたことに関するお詫び 2023年9月17日
大石田町「新そばまつり」にお申込みいただいた情報が、他のお申込み者にも閲覧可能な状態となっていたことが判明しました。事前申し込みいただいた皆様にご迷惑をお掛けしたことを深くお詫び申し上げます。内容および対応については以下の通りです。
1.概要
大石田町新そばまつりへの前売券の事前申込に使用していたGoogle Formsの設定ミスにより、当該フォームに回答した前売券の事前申込者がアクセスできる結果画面で他の申込者の個人情報が閲覧できる状態にあったことがわかりました。令和5年9月17日(日)時点で閲覧できる状態にあったのは32名あり、そのうち情報を閲覧できたのは申込みいただいた日以前の申込者の申込内容に限ります。
2.個人情報が閲覧できる状態であった状況の概要
・件数 閲覧できる状態であった可能性がある方 32名
・期間 令和5年9月15日午後6時~9月17日午前10時
・閲覧できる状態であった可能性がある情報
フォームへ入力されていた以下の(1)~(5)の情報となります。
ただし、閲覧した際、申込内容の項目がそれぞれグラフ化されており、下記の項目について下記の順番で表示されており、個人を特定できる状態ではございませんでした。
なお、現時点において、個人情報が悪用されたなどの被害相談はございません。
(1)氏名(あいうえお順)
(2)住所(あいうえお順)
(3)郵便番号(数値順)
(4)電話番号(数値順)
(5)その他(申し込み枚数、参加希望日時順)
3.対応状況
令和5年9月17日(日)10:00頃にフォーム上で個人情報が閲覧可能であったことが判明したため。10時10分頃にホームページにアクセスできないように設定を変更しました。11:00頃までに、個人情報が閲覧できる状態を解消し、14:30頃に、個人情報が閲覧される可能性があった申込者には電子メール等を用いて、お詫びと経緯の説明を行いました。
4.再発防止のための対応
今後、このような事態が生じないよう、各職員に対して個人情報保護の重要性等についての指導を徹底するとともに、ホームページ掲載にあたっては担当者による複層的なチェックを行い、再発防止に努めてまいります。
ランサムウェアギャングが発表した被害組織リスト(2023年6月~7月)BY StealthMole
StealthMole(旧Dark Tracer)による、2023年6月~7月のランサムウェア被害を受けた日系企業。
YKK株式会社(ykk.com)
ランサムウェアギャング:LockBit
ヤマハ株式会社(yamaha.com)
ランサムウェアギャング:BlackByte
関連事件簿:【セキュリティ事件簿#2023-230】ヤマハ株式会社 米国子会社への不正アクセスについて 2023年6月16日
株式会社プロット(www.plott.co.jp)
ランサムウェアギャング:BlackCat (ALPHV)
関連事件簿:【セキュリティ事件簿#2023-257】株式会社プロット 現在発生している障害について(第1報) 2023年6月13日
大和ハウス工業株式会社(daiwahouse.com)
ランサムウェアギャング:Qilin
ソニーグループ株式会社(sony.com)
ランサムウェアギャング:CL0P
JBCC株式会社(www.jbcc.co.jp)
ランサムウェアギャング:Mallox
パイオニア株式会社(pioneerelectronics.com)
ランサムウェアギャング:CL0P
ファナック株式会社(fanucamerica.com)
ランサムウェアギャング:CL0P
【セキュリティ事件簿#2023-363】元勤務先のクラウドシステムにある名刺情報数万人分を転職先に提供してタイーホされる。
2023年9月15日、警視庁は、以前勤務していた人材派遣会社の名刺情報管理システムにアクセス可能なIDやパスワードを転職先の同僚に提供し、システム内の個人情報を不正に提供したとして、会社員の人見正喜容疑者(43歳、埼玉県川口市在住)を個人情報保護法違反と不正アクセス禁止法違反の疑いで逮捕した。
事件の背景には、人見容疑者が以前勤務していた会社が使用していた名刺情報管理システム「Sansan」へのアクセス情報を、転職先の社員に提供したことがある。このシステムには、営業先の数万件の名刺データが保管されており、共有されたIDやパスワードを使用することで、これらの情報を全て閲覧することが可能だった。
人見容疑者は、「転職先での営業に使えると思った」との理由でこの行為を行ったと容疑を認めている。また、不正に得た名刺情報を元に、転職先での営業活動が行われ、実際に成約に至った事例も存在するとされている。
この事件は、個人情報保護法の不正提供罪を適用した初のケースとなり、関連する法律や規定の見直しの必要性が浮き彫りとなった。
【セキュリティ事件簿#2023-362】マイクロソフト、誤って38TBの内部機密情報をお漏らし
2023年9月18日 - テクノロジー業界が注目する中、マイクロソフトは公開されたGitHubリポジトリでのオープンソースAI学習モデルへの貢献中に、緩すぎるShared Access Signature (SAS) トークンを含むURLを誤って共有したことを公表しました。このミスにより、同社の内部ストレージアカウント内の情報が外部からアクセス可能となってしまい、セキュリティ専門家の間で大きな議論が巻き起こっています。
この問題を最初に発見したのは、セキュリティ専門家のグループ、Wiz。彼らはこの脆弱性をマイクロソフトに報告し、同社はこの問題を迅速に対応。該当のSASトークンを無効化し、ストレージアカウントへの外部からのアクセスを完全に遮断しました。この迅速な対応により、さらなる情報の漏洩を防ぐことができました。
漏れた情報には、2人の元従業員のワークステーションプロファイルのバックアップや、Microsoft Teamsの内部メッセージが含まれていました。しかし、幸いにも顧客データや他の重要な情報の漏れは確認されていません。この事件は、クラウドストレージやオンラインサービスのセキュリティが今後も業界の大きな課題として残ることを示しています。
マイクロソフトは、今回の事件を受けて、SASトークンの使用に関するベストプラクティスを見直し、顧客に提供することを発表しました。同社は、今後もSASトークンの機能を強化し、サービスの安全性を最初から確保する姿勢を維持していくとのことです。また、セキュリティ研究者との連携をさらに深め、共同でセキュリティの向上に努めるとコメントしています。
この事件を受け、セキュリティ研究者と企業との連携の重要性が再び浮き彫りとなりました。マイクロソフトは、今後も研究者との連携を深め、セキュリティの向上に努めるとコメントしています。同社は、今回のような事件を未来に防ぐための新しい技術や手法の開発にも注力しており、ユーザーや企業のデータ保護を最優先として行動していく方針を明らかにしました。
リリース文:Microsoft mitigated exposure of internal information in a storage account due to overly-permissive SAS token(アーカイブ)
【セキュリティ事件簿#2023-215】大塚商会 コクヨ株式会社が保有する弊社のお客様情報漏えいの可能性に関するお知らせとお詫び 2023年9月19日
このたび、弊社の取扱商品のメーカーであるコクヨ株式会社(本社:大阪市東成区、代表取締役社長:黒田 英邦)において発生した一部情報システムに対する外部攻撃に関する調査結果の報告を受けました。コクヨ株式会社の保有する情報の一部が外部に漏えいした可能性が否定できない状況であり、その中に弊社のお客様情報も含まれているとの報告がありましたのでお知らせいたします。
ご関係のお客様および販売店には多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。
1.経緯
2023年6月5日に、コクヨ株式会社にて、ランサムウェアによる外部攻撃を受けたことを確認。コクヨ株式会社が外部調査機関による調査を実施し、その報告書によると、データが外部へ漏えいした可能性は極めて低いものの、漏えいの可能性を完全に否定することが困難な状況となっているとのこと、コクヨ株式会社が不正アクセスを受けた事実、弊社のお客様情報が漏えいした可能性を否定できないとの報告を受領しました。
2.漏えいした可能性があるお客様情報
| 対象者 | 2016年1月5日~2023年6月5日の期間中に弊社および弊社の販売店から、 コクヨ株式会社の商品(オフィス家具等のメーカー直送品)をご注文されたお客様 |
|---|---|
| 件数 | 29,878件(内、販売店経由5,556件) |
| 情報 | お客様お届け先担当者の氏名、会社名、住所、電話番号 |
- * 弊社からコクヨ株式会社に個人情報の取り扱いを委託している情報は上記項目のみです。
【セキュリティ事件簿#2023-361】マツダ株式会社 不正アクセス発生による個人情報流出可能性のお知らせとお詫び 2023年9月15日
関係者の皆様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。
現在、鋭意調査を続けておりますが、現時点で判明している事実及び弊社対応について以下のとおりご報告いたします。
【概要】
2023年 7月 24日 (月) 、弊社サーバー機器を経由した不正な通信を検知し、直ちにサーバー機器をネットワークから切り離すなど必要な対策を実施しました。その後、第三者機関(外部セキュリティ専門家)の調査により、弊社システムのアカウント情報等を管理するシステム(ディレクトリサーバー)への不正アクセスの形跡が確認され、個人情報の一部が外部へ流出した可能性があることが判明いたしました。
【流出した可能性がある個人情報】
弊社及びグループ会社の社員、協力会社社員、お取引先様ご担当者の下記アカウント情報
( 104,732件)
- 弊社が発行したユーザーID
- パスワード(暗号化値)
- 氏名(漢字、ローマ字)
- メールアドレス
- 会社名
- 部署、役職名
- 電話番号
現時点では確認されていませんが、今後、これらの個人情報を悪用し、フィッシングメールやスパムメール等が送付される可能性があります。不審なメールを受け取られた場合は慎重にご対応下さいますようよろしくお願いいたします。
【原因】
外部セキュリティ専門家の調査結果より、今回の不正アクセスは弊社に設置したアプリケーションサーバーの脆弱性が悪用されたものであったと判明しています。
【弊社の対応】
弊社は、本件事象の認知後、不正アクセスに用いられた を無効化し、サーバーをシャットダウンするとともに、外部セキュリティ専門家のフォレンジック調査を実施いたしました。外部セキュリティ専門家の調査にて、影響の範囲を確定させるまでに時間を要し、今回の発表までお時間をいただきましたこと、お詫び申し上げます。本件につきましては、すでに警察への相談及び個人情報保護委員会に必要な報告を行い、外部セキュリティ専門家の協力を得ながら、関係各機関と連携し、事実の確認及び適切な対応に務めております。また、弊社は今回の事態を重く受け止め、セキュリティ体制の改善、全てのウェブサイト及びネットワークに対する監視体制強化など、再発防止に全力で取り組んでまいります。
この度は皆様に多大なご迷惑ご心配をお掛けしますこと、改めて深くお詫び申し上げます。
【セキュリティ事件簿#2023-360】アルプスアルパイン株式会社 当社グループが管理するサーバへの不正アクセスについて(第2報) 2023年9月14日
当社グループが管理している社内サーバにおけるランサムウェア(身代金要求型ウイルス)感染について、現状の生産活動状況および、北米における情報漏洩についてお知らせいたします。
1.生産活動について
2023年9月12日付「当社グループが管理するサーバへの不正アクセスについて」でお伝えしておりますように、ランサムウェアに感染したサーバ等の機器のネットワーク接続を速やかに遮断した上で、安全対策を施し、現在も機器及び生産機能の復旧に努めております。当社グループ内では、現時点ではメキシコの生産拠点を除き、システム障害に対する代替手法も含み、生産・出荷を再開しております。
お客様への出荷状況につきましては、影響が発生する場合には営業担当よりご連絡申し上げます。
2.情報漏洩について
今般、北米現地法人における社員の個人情報および業務ファイルが流出している事実を確認いたしました。原因は調査中ですが、今回の不正アクセスが関係している可能性が高いと考えています。
本件に関しては、現在も調査を進めておりますが、本日の時点で当社の顧客情報についての流出は確認されていません。今後、共有すべき新たな事実が判明した場合には速やかに開示をいたします。
関係者の皆様には、多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。
【セキュリティ事件簿#2023-360】アルプスアルパイン株式会社 当社グループが管理するサーバへの不正アクセスについて 2023年9月12日
当社のグループが管理している社内サーバの一部が第三者による不正アクセス(以下「本件不正アクセス」といいます)を受けたことを確認いたしました。本件不正アクセスはランサムウェア攻撃であり、本事由発生後、サーバ停止または隔離の対処をしたことにより、当社における生産、出荷等において影響が発生しておりますのでご報告いたします。
概要
2023 年 9月 10 日、当社グループで管理しているサーバに対する本件不正アクセスを検知いたしました。本件不正アクセスはランサムウェア攻撃であり、被害拡大防止のため、直ちに対象サーバを停止またはネットワークから隔離して対策を講じ、外部専門家の協力も得ながら影響範囲等の調査を開始しました。
現在、当社グループにおける生産活動は継続しているものの、一部でシステムの使用ができない状況となっており、生産、出荷等の業務において影響が発生しています。
その他の影響についての詳細は現在調査中です。
当社の対応
当社においては、不正アクセスの影響及び対象サーバの状況の確認を行い、必要な対処を行ったうえで一部のサーバのネットワークの復帰を行うとともに、依然として懸念の残るサーバについてはネットワークの隔離を継続して、調査及び対応を進めております。
また、お客様向けの生産、出荷活動については、継続しておりますが、今後、お客様への納入について、影響が発生する場合には速やかに担当営業よりご連絡させていただきます。
関係者の皆様には、多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。
【セキュリティ事件簿#2023-359】朝日新聞社 個人情報の流出に関するお知らせとお詫び 2023年9月6日
この度、朝日新聞社と朝日新聞販売所(ASA)でお客様の情報を管理しているシステムから、朝日新聞デジタルと紙面ビューアーの一部の会員のお客様の個人情報が外部に流出したことが判明しました。
現時点で判明している事実とこれまでの対応は以下の通りです。ご迷惑をおかけしたお客様に心よりお詫び申し上げるとともに、引き続き、関係機関と協議しながら対応を進めて参ります。
1. 経緯
2023年9月6日(水)未明に、社外の方から「朝日新聞の顧客の情報が流出している」とのご連絡をいただき、事態を確認しました。
2. 流出した可能性のある情報の内容
三重県の四日市市、鈴鹿市、亀山市、川越町のそれぞれ一部地域の、朝日新聞デジタルと紙面ビューアーの会員様884名の氏名・住所・電話番号・ご契約いただいたコースの種類。
※お客様のメールアドレスやクレジットカード情報は含まれておりません。
3. 弊社の対応
・お客様への対応
個人情報流出が判明したお客様には、ご連絡を差し上げました。7日以降、個別に訪問して改めて謝罪する予定です。
・行政機関への報告
警察と個人情報保護委員会に相談・報告をしております。
・再発防止策
該当するシステムの一部を停止し、新たな流出が起きないように対応しました。早急にシステムを解析し、原因究明と再発防止策の確立に努めます。
【セキュリティ事件簿#2023-358】アジア航測株式会社 高知県林業事業者登録制ウェブサイトより個人情報が流出した事案の発生について 2023年9月5日
このたび弊社は、高知県「令和5年度スマート林業支援委託業務」において、林業事業者登録制ウェブサイト(以下、本サービスという。)からこれを利用する林業事業者に対し、個人情報が含まれたデータを提供する事態を生じさせました。
住民の皆様、関係する方々に多大なご迷惑とご心配をおかけいたしました。深くお詫び申し上げます。
1. 概要
本サービスは、林業事業者向けのデータダウンロードサービスで、登録申請を受け付けた林業事業者が使用(IDとパスワードを利用してログイン)しています。
本サービスが提供するデータのなかに、仁淀川町(旧仁淀村)と馬路村、土佐市の森林の所有者名と住所が含まれていました。(仁淀川町(旧仁淀村)3,605人、馬路村638人、土佐市1人)
2023年8月24日夕方、発注者である高知県の担当者から弊社に連絡があり、事態が発覚しました。これまでに、仁淀川町(旧仁淀村)、馬路村、土佐市のデータをダウンロードした事業者は分かっており、現時点で森林所有者の住所、氏名について、インターネットや第三者への情報流出の事実は確認されていません。また、事業者からは他者へデータを渡していないという確認はとれており、当該データは削除していただいております。
2. 今後の対応
このような厳重に管理すべき情報が入ったデータを誤って提供したことにつきまして、住民の皆様、関係する方々に深くお詫び申し上げます。
今後、情報管理と再発防止を徹底してまいります。
【セキュリティ事件簿#2023-357】神奈川県立こども医療センター 個人情報が保存されたUSBメモリの紛失について 2023年9月6日
病院の患者情報(氏名、生年月日、性別、病歴や治療経過等)が保存されたUSBメモリを外部で紛失するという事故が発生しました。患者さんの大切な個人情報を扱う組織として、深く反省するとともに、患者さん、ご家族、その他関係者のみなさまに、多大なご迷惑をおかけしたことを深くお詫び申し上げます。
該当患者さんや御家族に対しては丁寧な説明と謝罪を行うとともに、不審なことなどあった場合は、下記問い合わせ先で対応することとしております。
なお、現時点では、個人情報が不正に外部に流出したことは確認されていません。
1 概要
令和5年9月2日(土)から3日(日)未明にかけて、当センターに勤務する医師の自宅で盗難事件が起こり、20人分の患者さんのカルテ情報が保存されたUSBメモリが持ち去られるという事件が発生しました。直ちに、警察に通報しましたが、USBメモリは未だに見つかっておりません。
2 経過
【令和5年9月2日(土)】
当該医師は、業務や診療内容の確認を行うため、自宅に個人情報を持ち帰り、就寝前に個人情報が保存されたUSBメモリが入っているバッグの所在を確認した後、寝室に移動して就寝しました。
【令和5年9月3日(日)】
○ 7時30分頃に起床した後、バッグがないことに気がつき、警察に通報しました。
○ 警察の取り調べと現場検証により、盗難被害の可能性が高いとのことで被害届を提出しました。
3 原因
病院では毎年、USBメモリの取り扱いについての内容を含めた情報セキュリティに関する研修を実施してきたところですが、病院が実施した研修やUSBメモリの取り扱いに係る通知を遵守せず、病院の許可なく自宅に持ち帰ったためです。
4 対応(今後の予定を含む。)
○ 該当する患者さん及びご家族に対して、お詫びの手紙を送付するとともに、担当医師及び担当医師が所属する診療科の責任医師等が直接説明とお詫びを行います。
○ 病院が管理するネットワークに接続するパソコンについては、特別な業務を除きUSBメモリに個人情報の保存ができないようシステム設定及び運用を行います。
○ 改めて、全職員あてに個人情報や外部保存媒体の取り扱いについての注意喚起を行います。また、情報セキュリティに関する研修を実施します。
【セキュリティ事件簿#2023-356】SMBC日興証券株式会社 日興イージートレードにおける不正アクセスにご注意ください 2023年9月4日
今般、当社の一部のお客さまの日興イージートレードにおいて、お客さま以外の第三者が不正に入手した口座番号とパスワード情報を用い、お客さまになりすましてログイン等を行っている事案が発覚しております。
本日までの当社の調査において、不正なログインのあったことが確認されたお客さまにつきましては、当社より、お電話やメール、および日興イージートレード内のメッセージボックスにて個別に状況をお知らせし、パスワードの変更を依頼しております。また、該当するお客さまにつきましては、パスワード変更が完了するまでの間、一時的にお取引を制限させていただいております。
当社より個別に連絡を差し上げているお客さまにおかれましては、不正アクセスの被害からお客さまのご資産を守るため、速やかなパスワードの変更をお願いいたします。
当社の日興イージートレードをご利用のお客さまにご心配とご迷惑をおかけする事態が生じましたことを、深くお詫び申し上げます。
また、個別の連絡を当社から差し上げていないお客さまにおかれましても、口座番号やパスワード等は、第三者に知られることがないよう、ご自身で厳重に管理していただきますようお願いいたします。万が一、身に覚えのない取引の履歴等があった場合には、下記コンタクトセンターまでお問い合わせください。
- 本件についての当社の調査状況
本件に関する当社の調査において、当社からのお客さま情報の流出は確認されておりません。他方、悪意のある第三者が何らかの方法で取得したお客さまの口座番号やパスワード情報等を流出させていることが、公的機関により確認されております。不正にログインされたお客さまの一部においては、当該流出が確認された時期からパスワードを変更していない方が含まれることから、当社としては、流出したこれらの情報を利用して不正なログインを試みられた可能性があると考えております。
現時点では、不正にログインされたお客さまの口座からご資産が流出する事態は確認されておりませんが、お客さま以外の第三者が、日興イージートレードにおいて、不正に保有株式の売却を行ったと思われる事態が1件判明しております。 - お客さまにお願いしたいこと
より安心して日興イージートレードをご利用いただくために、お客さまご自身によるセキュリティ対策についてご紹介いたしますので、ご対応をお願いいたします。・安全性の高いパスワードを設定する
・身に覚えがない前回ログイン日時や出金、取引が無いか確認する
・メールアドレスを登録する
・出金時に二要素認証を利用する(https://www.smbcnikko.co.jp/news/attention/security/index3.html) - 不正アクセス防止への取り組み
当社では、不正アクセスによる被害を未然に防ぐため、日本証券業協会が定める『インターネット取引における不正アクセス等防止に向けたガイドライン』に則り、継続的にログイン時等のセキュリティ対策やモニタリングの高度化に取り組んでおります。
2023年7月以降、安全性の高いログインパスワードの設定を必須とさせていただいておりますので、当社の定める設定ルールを満たしていないお客さまにおかれましては、お早めの変更をお願いいたします。
(https://www.smbcnikko.co.jp/news/customer/2023/n_20230417_01.html)
アンドロイド用プライバシー保護ブラウザ3選
ほとんどのアンドロイド端末は、工場出荷時にGoogle Chromeがインストールされています。ご存知の通り、Google Chromeはあなたのオンライン・プライバシーにとって非常に有害です。そうでないAndroid端末の場合、プライバシーに配慮していない、あるいはセキュリティに疑問のある他のメーカーのブラウザが搭載されている可能性があります。
このため、Androidユーザーは代替ブラウザを探すことになります。理想を言えば、ユーザーのプライバシーを尊重してくれるブラウザです。Google Chromeをアンインストールして、ここでお勧めするようなプライバシーを尊重した代替ブラウザに置き換えることができます。
ここに掲載されているすべてのブラウザがGoogle Playストアにあるわけではありません。ここに掲載されているブラウザのほとんどは無料ですが、Android用の本当にプライバシーを尊重するブラウザの多くはGoogle Playストアで見つけることができず、代わりにF-droidで見つけることができます。
ここにリストアップされたブラウザは順不同です。各ブラウザにはそれぞれ長所、短所、特別な使用例があります。ユーザーはブラウザを選択する前に、ブラウザに対する特定のニーズと欲求を評価したいと思うでしょう - しかし、ここにリストされているすべてのブラウザをダウンロードして試してみない理由はありません!
Brave
注目ポイント
- ネイティブのアドブロッカー
- 強力なサイト分離
- プロキシされたGoogleサービス(Braveサービス)
- 優れたプライバシー機能
BraveブラウザはChromiumの派生版であり、オープンソースで開発されています。このブラウザはBrave社によって維持されており、Brave社自身もプライバシー関連のスキャンダルに関わっています。Braveは、ほとんどのユーザーのプライバシーを向上させるための設定を必要とせず、すぐに優れたプライバシーを提供します。
Brave ブラウザは、デフォルトで広告ブロック(シールド)が有効になっています。Googleのサービスを "使用 "する一方で、BraveはデフォルトでGoogleへのすべてのリクエストを保護します。
Braveは、フィンガープリント・ランダマイザーなどのプライバシー機能を導入し、さらなるフィンガープリント耐性を提供しています。2023年5月、このブラウザーは「Forgetful Browsing」も導入し、サイトの特定を拒否しています。
Braveは通信の追跡を行いますが、無効にすることも可能です。
Ice Raven
注目ポイント
- 高度にカスタマイズ可能
- 通信制限が可能
Ice Ravenは、さまざまな開発者の幅広いコミュニティによって維持されているオープンソースのFirefoxの派生版です。中心的な開発者は Ice Raven Project です。
Ice Raven の主な使命は、拡張されたカスタマイズオプションと、Web ブラウザが訪問したページとどのように相互作用するかについての情報をユーザに提供することです。
Ice Ravenはabout:configオプションをサポートしています。about:configでカスタマイズ可能なオプションにより、Firefox、Waterfox、Librewolfといったデスクトップ版のGecko搭載ウェブブラウザとカスタマイズの可能性をより近づけています。
さらに、Ice Ravenは、他のFenixベースのブラウザでは必ずしもサポートされていない拡張機能を幅広くサポートしています。アドオンの中には、Mozilla関連の依存関係が欠落しているために動作しないものもあるので注意が必要です。さらに、fenixベースのブラウザでは、Androidデバイスでのサイトの分離はそれほど強力ではありません。
Ice Ravenはまた、ソースコードからテレメトリやプロプライエタリなコードをできるだけ取り除くことを目指しています。
Ice RavenはGoogleのPlayストアでは見つけることができません。リリースは.apkファイルとしてIce Raven Githubリポジトリに公開されます。
Mull Browser
注目ポイント
- 多くの独自blobを排除
- 拡張機能のサポート
- arkenfox、Tor upliftプロジェクトの機能を取り入れる
Mull Browserは、Android上のFirefox(より具体的にはGeckoView)であるFenixから派生したものです。オープンソースですが、主にDivestOSによって開発されています。DivestOSは、プライバシーに配慮した他のアプリケーションや、同じ名前のLineageOSの非公式な分派も開発しています。
Mullブラウザの最も素晴らしい点は、最初からかなりプライバシーが保護されていることです。Mullブラウザは、Tor upliftプロジェクトの多くの機能を有効にし、arkenfox user.jsプロジェクトの環境設定を使用しています。
そのすぐに使えるプライバシー保護機能にもかかわらず、DivestOSは(そしてavoidthehackも)uBlock Origin拡張機能のインストールを強く推奨しています。ご存じかもしれませんが、uBlock Originはプライバシーコミュニティーの定番です。それは、プライバシーを損なうことなく、ウェブページ上の広範なトラッカー、広告、追加のトラッキング手法をブロックします。
最も特徴的なのは、Mullブラウザが自身のソースコードから多くのプロプライエタリなブロブ(クローズドソースのソースコード)を排除していることです。これは、Relanによって開発されたスクリプトを使用することによって達成さています。
Mull BrowserはF-droidで入手可能であり、GoogleのPlay Storeでは見つけることができません。
プライバシー重視のブラウザを推奨するための基準
- オープンソースであること: 透明性を促進し、カスタマイズを可能にするため、ブラウザはオープンソースであるべきです。特に、FirefoxのGeckoエンジンから派生したブラウザが、Chromiumから派生したブラウザよりも好まれます。
- 定期的な更新: ブラウザはしばしば悪用されるため、最新の脆弱性を修正するタイムリーな更新が必要です。これは、派生ブラウザにとって特に重要であり、セキュリティパッチを最新の状態に保つために定期的なアップデートが必要です。
- 開発段階のものは使わない: アルファやベータ段階のブラウザはバグが多かったり、適切に動作するために追加の注意が必要だったりします。適切なリリースバージョンに到達するブラウザが必要です。
- カスタマイズ提供: 最適なプライバシー重視のブラウザは、拡張機能やアドオンなしでブラウザ内で多くのカスタマイズオプションを提供するべきで、これによりユーザーはプライバシー関連の設定を変更できます。
- 限定的なデータ収集: テレメトリーについては、完全にオプトアウトできるようにし、収集された情報をすべて匿名化する必要があります。
最後に、Androidでは多くのプライバシー重視のブラウザオプションがあり、リストにない一部のブラウザはプライバシーの向上にほとんど貢献しない可能性があります。信頼できないブラウザはデベロッパーに対して静かにセンシティブな情報を送信し、プライバシーを侵害する可能性があります。
登録:
コメント (Atom)