|
Darkweb OSINTリンクと2023年発見の新リソース
【セキュリティ事件簿#2023-490】株式会社マルミミ 不正アクセスによる個人情報漏洩のお詫びとご報告
この度、弊社が業務受託し運用おこなっております「千葉県立君津亀山青少年自然の家」Webサイトのウエブサーバーにインストールしておりましたメールマガジン配信システム(メールマガジンの名称は「きみかめ通信」。令和5年2月1日に配信を終了)に対して、外部より不正アクセスがあり、弊社にて調査した結果、令和5年12月11日、何者かにより(メールマガジンにご登録いただいています皆様)の個人情報(メールアドレス)がCSVファイル形式でダウンロードさたれことが判明いたしました。
本件でご登録いただいたお客様をはじめ関係各位の皆様に多大なるご迷惑とご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
また、令和5年12月12日の不正アクセス発覚から正確な被害状況の確認までに、お時間を要してしまいましたこと、重ねてお詫びを申し上げますとともに詳細につきましては、下記をご参照くださいますようお願いいたします。
弊社では、個人情報に関して厳重なセキュリティ対策を行ってまいりましたが、まだまだ不十分であったことを痛感し、以後このような事態が発生しないよう改めてセキュリティ対策の強化と抜本的見直しに取り組み、再発防止に努めてまいる所存です。
1)個人情報閲覧および取得操作が確認された個人情報
・ メールマガジン(きみかめ通信)登録者613名様分のメールアドレス
2)経緯
令和5年12月12日(火)9時頃、千葉県立君津亀山青少年自然の家様よりメールマガジン(以下きみかめ通信)が不正操作され配信されたとの連絡を受けました。
弊社でアクセスログ解析等の調査した結果、外部からのメールマガジン配信システム※への不正アクセスおよび不正操作が行われたことが判明しました。
不正操作により、ユーザーパスワード、配信元、件名等が書き換えられたうえで、メール配信システムより、きみかめ通信が1回配信されたことを確認しました。また、きみかめ通信登録者613名分のメールアドレスがCSVファイル形式でダウンロードされた形跡をアクセスログより確認しました。
上記以外の個人情報に関する不正利用等の被害の発生は確認されておりません。
3)発生後の対応
1.対応措置
12月12日午後、パスワード変更をおこない、ウエブサーバーよりメールマガジン配信システムを完全に削除しました。
2.各所への報告/届出
千葉県立君津亀山青少年自然の家様と千葉県教育庁教育振興部生涯学習課に不正アクセスの詳細を報告致しました。
4)不正アクセスの原因
メールマガジン配信システムは、「千葉県立君津亀山青少年自然の家」Webサイトのウエブサーバーに2010年にインストールし運用開始しました。2023年2月の終了後もシステムはウェブサーバーに配信可能の状態で保存されていました。また、メールマガジン配信システムの開発会社より脆弱性(https://www.acmailer.jp/info/de.cgi?id=103)の報告、システムのアップデートがアナウンスされておりました。弊社にてメールマガジン配信システムのアップデートを怠り、さらに未使用状態で配信システムを保存しておいたことにより、不正アクセスを招く結果となりました。
5)再発防止への取り組み
上記の発生原因を踏まえ、弊社において以下の通り再発防止策を実施します。
- 外部開発によるシステムの使用については、クライアント様へ運用に問題がないかを定期的に確認いたします。
- 外部開発によるシステムを使用する場合は、開発会社からの情報提供を定期的に確認し最新の状態保持に努めます。
- 外部開発システムに関わらず、Webサーバー内における個人情報・公的情報・企業情報の取り扱いにおいては、最新のセキュリティ対策を講じ、定期的にバックアップ、更新等の作業をおこないます。
あわせて、弊社が受託運用中の他のWebサイトの同様の事案がないかを確認し、問題がある場合には適切に対応いたします。
【セキュリティ事件簿#2023-489】ミニストップ株式会社 「ミニストップオンライン」における個人情報漏洩に関するお詫び
平素よりミニストップをご愛顧受け賜りまして、誠にありがとうございます。
このたび、当社ECサイト「ミニストップオンライン」におきまして、個人情報漏洩が発生いたしました。発生内容については、下記の通りとなります。
〈発生事実〉
日時 :12月19日 11時30分~18時30分
事象 :
ご自身の購買履歴を他のお客さまがログイン後閲覧できる状態およびご自身がマイページにログイン後、他のお客さまの注文履歴が閲覧できる状態
当該情報:
購入商品、お名前、住所、電話番号、メールアドレス、クレジットカード下3桁
対象者 :
ご自身の情報について他のお客さまが閲覧できる状態 10名
他のお客さまの情報が閲覧できる状態 11名
上記事象が重複している状態 9名
個人情報漏洩の範囲: 1名
※他のお客さまの情報を閲覧できる状態の方のログイン情報を確認した結果
原因 :
店頭受取商品の受注確定時におけるデータ加工ミス。
上記発生確認以降、ECサイトを即時閉鎖し対応しておりました。特定した対象者30名のお客さまには12月19日、20日に個別に電子メールにてお詫びとお知らせをご連絡しております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客さまにおかれましては、多大なるご迷惑、ご心配をおかけする事態となりましたことを重ねて深くお詫びを申し上げます。
現在、該当事象の復旧作業も完了したため、一部のページの公開を再開させていただきます。再開ページについては、お客さまのマイページのみとなります。商品の購入については、恒久的なシステム対応が完了したのち再開させていただきます。
【セキュリティ事件簿#2023-488】国立大学法人大阪大学 不正アクセスによる収集データの漏えいについて
本年10月28日に本学が管理するシステムが不正にアクセスされ、一部のファイルが暗号化
されたことが、11月1日に判明いたしました。
判明後、直ちに同システム内にあるファイルは全て同システム外のネットワークから隔離
された安全な場所へ移動いたしましたが、調査の結果、当該不正アクセスにより閲覧できる
範囲に以下のデータが保存されておりましたのでご報告いたします。
・ニフレルのニフレルメイクス(2021年11月18-30日9:30-19:00)、Expocityの光の広場
(2023年7月8日11:00-17:00)及びATCのセントラルアトリウム周辺(2023年7月5-20日11:00-17:00)
で行われた当研究科所属の研究室における対話ロボットの効果の検証を目的としたイベント
でフィールド実験を行った際に収集した顔写真(単にイベント場所の近くを通行されたのみ
である不特定多数の方が写り込んでいる可能性があるものを含む。)
・ロボットのCGを利用したオンライン会議実験で記録した動画(被漏えい者については全員が
特定できたことから、当該人には個別に謝罪・報告済み)
本写真、動画だけでは個人を特定することは難しく、また、データ内容も要配慮個人情報や
財産的被害のおそれがある情報が含まれているものではないため、悪用の可能性は低いと
考えられますが、公開をご了承いただいていないものも含まれるため、今回事実を公開するに
至ったものです。
【セキュリティ事件簿#2023-487】IT導入補助金事業 事務局における個人情報を含むIT導入支援事業者情報の流出についてのお詫びとご報告
今般、TOPPAN株式会社が2023年8月1日より事務局として運営しております令和4年度第二次補正予算「サービス等生産性向上IT導入支援事業費補助金」(IT導入補助金2023後期事務局)におきまして、個人情報を含むIT導入支援事業者情報およびITツール情報等の本事業への登録情報が、外部からの操作で閲覧・取得されたことが判明いたしました。
本件につきまして、関係者の皆さまに多大なるご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。
なお現在はシステムを改修し、個人情報の閲覧・取得はできないようになっております。
■発生した事象の概要
「サービス等生産性向上IT導入支援事業費補助金」(IT導入補助金2023後期事務局)ホームページにおいて、ホームページ上で公開されていない個人情報を含むIT導入支援事業者情報およびITツール情報を外部からの操作により閲覧・取得されました。事務局としましては、本状態を認識できておらず、外部からの指摘によりこの度の事象が判明しました。
■発生原因
「サービス等生産性向上IT導入支援事業費補助金」(IT導入補助金2023後期事務局)ホームページで使用されるプログラムの設計不備により、IT導入支援事業者情報およびITツール情報を外部から閲覧・取得可能な状態にあったため。
■発生期間
2023年8月1日~2023年12月12日 1時35分
■閲覧・取得された可能性のある個人情報数
38,269人分
■閲覧・取得された可能性のある 情報項目
①IT導入支援事業者の一部個人情報を含む、事業者の皆様に入力いただいた登録情報
※該当する個人情報の項目:役員氏名、担当者氏名、担当者メールアドレス
②ITツールの価格や一部個人情報を含む、事業者の皆様に入力いただいた登録情報
※該当する個人情報の項目:
・ITツール登録担当者氏名、メールアドレス
・実施者/販売者 氏名、メールアドレス
■二次被害について
現在、個人情報を含む事業者情報およびツール情報を利用した二次被害の報告は受けておりませんが、引き続き影響調査を進め、必要が生じた場合は速やかに対応してまいります。
■今後の対応と再発防止策について
既に、対象者の方々には個別にメールにてご連絡をさせていただいております。また、当該プログラムについては、厳重に総点検及び改修を実施し、現在は当該データの閲覧・取得ができないことを確認しております。
今後は、システム設計段階におけるセキュリティ機能の検証を強化し、再発防止を図ってまいります。
今後とも「サービス等生産性向上IT導入支援事業費補助金」へのご理解とご協力の程、何卒よろしくお願い申し上げます。
改めまして、この度の事象におきまして皆様にご迷惑をおかけしましたこと、謹んでお詫び申し上げます。
【セキュリティ事件簿#2023-486】株式会社ヴィセント 弊社元社員の報道について
7/6より一部報道されておりますとおり、弊社元社員が在職中から退職後までの数か月もの期間に、数十回における社内サーバー等に不正アクセスし、弊社従業員のPWをのっとるなどでの業務を妨害した容疑で今回逮捕されております。現時点で弊社が把握している限り、お客様およびお取引先様の個人情報を含め、保管データの外部流出は確認されておりません。
弊社は、今般の事態を踏まえ、情報管理体制の一層の強化およびコンプライアンス教育の徹底を図り、企業理念に沿ったマネジメントを推進することで再発防止に努めてまいります。
今後、弊社から公表すべき事柄が発生した場合には、速やかに開示いたします。
【セキュリティ事件簿#2023-485】AGC株式会社 当社米国子会社への不正アクセスに伴うシステム障害について
当社は、日本時間 2023 年 12 月 15 日、当社子会社である AGC Automotive Americas 社(本社:米国ミシガン州)において、社内サーバーが第三者による不正アクセスを受けたことを確認しました。
詳細は調査中ですが、現時点で判明している内容を以下お知らせします。
1.発生事象
主に自動車用ガラスを生産する AGC Automotive Americas 社のシステムに対して、外部から不正なアクセスが行われ、現在、同社の一部のシステムに障害が発生し、生産および出荷に影響が出ています。
2.現時点で確認している被害内容
原因および被害の詳細については、現在調査を進めています。
3.今後の対応
今後、被害状況および影響範囲が判明次第、改めてお知らせします。
【セキュリティ事件簿#2023-484】国連UNHCR協会公式Instagramアカウントについてのお詫びとご報告
2023年12月16日 夕刻、当協会Instagramアカウント(@japanforunhcr)が、第三者により乗っ取られていたことが判明いたしました。 以下に、発生した事象と対処についてご報告申し上げます。
発生した事象について
当協会Instagramアカウント(@japanforunhcr)におきまして悪意ある第三者による乗っ取りが発覚いたしました。
本日以降、当協会からインスタグラムを使用して投稿することやダイレクトメッセージをお送りすることはございません。 万が一ダイレクトメッセージ等、当協会を装った連絡や誘導を装うURLがあった場合には開かないようお願いいたします。 また開いてしまった場合にはスパムの恐れがございますため内容に従わないよう、ご注意くださいませ。
インスタグラムにつきましては、乗っ取られた旨の報告と解決のリクエストを運営会社に現在依頼中でございます。最新状況につきましては随時こちらのページにて公開してまいります。
対処について
2023年12月16日現在、当協会が管理している他のソーシャルメディアアカウント(Twitter,Facebook,LINE,YouTube)については、本件の影響がないことを確認いたしました。
▼国連UNHCR協会ソーシャルメディアアカウント一覧
X
https://twitter.com/japanforunhcr
Facebook
https://www.facebook.com/japanforunhcr
LINE
https://page.line.me/unhcr.jp
YouTube
https://www.youtube.com/user/JapanforUNHCR/
現在、今後の再発防止のため、原因の調査および、各ソーシャルメディアアカウントの運用ポリシーの精査を行っております。 本件についてご不明な点がございましたら お問い合わせフォームよりご連絡ください。
ご支援者さまにご迷惑とご心配をお掛けいたしましたこと、心よりお詫び申し上げます。今後、ご支援者さまの信頼回復に努めてまいります。
【セキュリティ事件簿#2023-483】三愛病院 個人情報漏洩疑いの報告
10月24日に病院外において、当院の職員がサポート詐欺によってパソコンを遠隔操作される事態が発生しました。
今回の遠隔操作は金銭目的であり、個人情報の漏洩がどの程度であったかについては現在調査中ですが、このパソコンには7~10年以上前の研究目的の学会発表資料やレントゲン写真等のデータが保存されており、要配慮個人情報(診療内容等)の漏洩に該当する可能性があるため、国の機関である個人情報保護委員会へ報告を行いました。
また、現時点、特定できておりませんが、このパソコンには個人の連絡先の情報は含まれていなかった可能性があり、被害等の報告も受けておりません。
この度の事態を厳粛に受け止め、下記再発防止に取り組んでまいります。
【再発防止に向けた今後の取り組み】
(1) 個人情報が保存された電子媒体の管理の強化・徹底
(2) 個人情報の漏洩リスクと対策を題材に、埼玉県警サイバー対策課による研修会の実施
患者さま、関係する皆さまへは多大なるご心配、ご迷惑をお掛けいたすこととなり、誠に申し訳ございません。深くお詫び申し上げます。
【セキュリティ事件簿#2023-482】京都大学高等研究院 メールアカウント搾取によるメールアドレスの情報漏えいについて
令和5年11月19日京都大学高等研究院に在籍する者がメールアカウント情報を搾取され、11月20日フィッシングサイトに誘導するURLが記載された同アカウントを送信元とするフィッシングメールが大量に送信されました。
本学のメールアドレス(~@st.kyoto-u.ac.jp)から届きました不信なメールにつきましては、添付ファイル並びにメール内に記載のwebページ等を開かないようお願いいたします。
すでに、当該メールアカウントは凍結されており、メールの不正送信は停止しております。
不審なメールを受け取った皆様には、多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。
本院としては、この事態を重く受け止め、全構成員に対して改めてフィッシングメール等に関する注意喚起を行い、再発防止の措置を講じていく所存です。
●送信されたフィッシングメールの内容
件名:Re:メールボックスの更新
本文:京都大学メールボックスメンテナンス
ここをクリック 京都大学のメールアドレスを更新できるようにするため
または、このリンクをコピーします:(誘導先URL)
ありがとう
京都大学管理者
2023年のフライト実績
2024年に入ったが、初フライトまでに前年実績を整理しておきたい。
2023年の実績
- フライト数:20(内エコノミー12、ビジネス8)
- 総フライト距離:40,956km(25,449マイル)
- 総フライト時間:63時間10分
- 多く使った空港ベスト3
- 羽田空港
- タイ・バンコクスワンナプーム国際空港、セントレア、成田空港
- 関西国際空港
- 多く利用した航空会社ベスト3
- 日本航空
- ベトナム航空
- マレーシア航空
- 最も多く飛行機に乗った月:8月
- 多く飛行機に乗った曜日:木曜日
myflightradar24はこういった統計が取れるから面白い。
2024年はヨーロッパ遠征(リトアニア、etc)や、ブルネイ初上陸を予定している。
今年もいろいろな刺激を受けつつ、気付きを積極的に発信していきたい。そんな感じで今年もよろしく!
【セキュリティ事件簿#2023-481】射水市民病院 患者情報を記録したUSBメモリーの紛失について
この度、当院職員が患者さまの個人情報の一部が記録されたUSBメモリーを院内で紛失する事案が発生しました。
多くの患者さまの情報を扱う病院として、患者さまご本人やご家族、関係者の皆様に多大なご迷惑をおかけしておりますことを深くお詫び申し上げます。
なお、当該USBメモリーは現時点では発見できていませんが、紛失の経緯から病院外への個人情報の流出の可能性は低いと考えており、現在まで個人情報の漏えいなどの事実は報告されていません。
本件を重く受け止め、再発防止に取り組むとともに、個人情報の管理と保護の徹底に努めてまいります。
1 経緯について
11月30日(木)、11月21日(火)に業務で使用した当該USBメモリーを紛失していることに気づき、病院内を捜索したが発見できなかった。
12月6日(水)、当該USBメモリーに要配慮個人情報が保存されていたことが判明したため、改めて病院内を捜索したが発見できず、12月8日(金)に個人情報保護委員会に報告した。
2 対象となる患者さまについて
令和3年5月から令和5年10月までに医療相談を行った患者さま
3 紛失したUSBメモリーの内容について
医療相談一覧表 患者氏名、年齢、病名(入院患者のみ)、住所(市町村名のみ)
※生年月日、電話番号、相談内容は含んでいません。
4 今後の対応と再発防止に向けた取組について
・対象となる患者さまにお詫びの手紙を送付しました。
・当該USBメモリーの捜索に尽力します。
・全職員に対して、改めて個人情報保護の適正な管理方法について周知徹底を図ります。
・情報セキュリティ研修を再度実施します。
・USBメモリーを含む記録媒体等の管理を徹底します。
【セキュリティ事件簿#2023-480】株式会社おお蔵ホールディングス 弊社グループ会社OKURAの Instagram公式アカウントに関するお詫びとご報告
弊社グループ会社、株式会社OKURAのInstagram公式アカウント(@okura_tokyo_official)が第三者からの不正アクセスにより乗っ取られる事案が発生いたしました。
2023年12月1日以降、弊社が当該アカウントを使用して投稿やダイレクトメッセージをお送りすることはございません。 万が一、OKURAをかたった連絡や操作を促すURLやリンクを受信した場合には、開かずそのまま破棄いただくようお願いいたします。
また、プロフィール上に記載されている以下のTelegram、WhatsApp、Mailは、当社とは無関係のものでありますので、ご注意いただき連絡を行わないようお願いいたします。
——————————————-
Telegram : kingwho
WhatsApp : +447448294205
Mail : aasarsilmaz@gmail.com
——————————————-
今後、新たにお知らせするべき内容が判明した場合、速やかに情報を開示いたします。
【セキュリティ事件簿#2023-479】京都教育大学附属桃山中学校 サポート詐欺による公用パソコン遠隔操作被害について
京都教育大学附属桃山中学校の公用パソコン1台が、いわゆる「サポート詐欺」による遠隔操作を受け、個人情報を含むファイル等が流出する危機にさらされる事案が発生しました。京都教育大学 CSIRT(セキュリティインシデント対応チーム)による通信ログの解析の結果、ファイル等の流出はありませんでした。
今後、改めて全教職員を対象に情報セキュリティ研修を実施し、このような事態が発生しないよう情報の適正な管理を徹底し、再発防止に努めてまいります。関係する皆様に深くお詫び申し上げます。
1 概要
令和5年10月29日(日)、本校教諭が教材研究のために公用パソコンでネット検索をしていたところ、トロイの木馬への感染を示す警告画面とサポートセンターと称す連絡先が表示された。当該教諭個人の携帯電話でパソコンの画面に示された電話番号へ電話をし、指示に従ったところ、パソコンの遠隔操作が行われた。
京都教育大学 CSIRT による通信ログの解析によると、当該パソコンからファイル等が流出した記録はなく、ファイル等の送信の動作も行われていなかったことが確認された。また、本事案により情報が流出した事実はなかったが、流出が起こり得る状況にあったことが判明した。
2 事実経過
10月29日(日)
事案発生、管理職へ報告、管理職・職員による当該パソコンのネットワーク接続遮断
10月30日(月)
京都教育大学 CSIRT による調査開始
11月 9日(木)
調査結果としてファイル等の流出がなかったこと、他のパソコン及びサーバーへのアクセスはなかったことを確認
3 今後の再発防止対策
・本校を含む京都教育大学全教職員を対象とした、大学による情報セキュリティ研修の実施
・情報の適正な管理の徹底
・情報管理に関するマニュアル等の再点検・見直し
安い航空券を見つけるためのツール6選
インフレが落ち着きつつあるとはいえ、航空券の値上がりは旅行者にとって依然として大きな負担です。希望の時期や目的地への格安航空券を見つけるのは、なかなか難しいものです。
フレキシブルなスケジュールで、お得な旅行やインスピレーションを求めている人にとって、利用可能なプランニングツールの数々は、混乱を招き、威圧的に感じられるかもしれません。
今回は最安値で最高の航空券を見つけるための、役立つツールやヒント、コツをご紹介します。
Google Flights
Google Flightsは、最も使いやすく便利なフライト検索ツールのひとつです。特定のフライト時間帯やフレキシブルな旅程の両方について、最良のフライト価格とオプションを特定するのに役立ちます。
Google Flightsで検索する際は、地図検索機能を利用すると便利です。様々な目的地への最も安価な運賃を表示することができ、大きなヒントになります。また、日付グリッドをクリックすると、一度に全月のフライト価格を見ることができ、価格グラフをクリックすると、目標とする旅程の価格の全体的な傾向を見ることができます。
もうひとつの便利な機能は、Googleが埋め込んだ価格トラッカーです。トラッカーは検索結果ページに表示され、検索しているルートの全体的な価格を追跡することができます。価格を追跡する際、Googleアカウントにログインすると、保存した旅程の価格変更、新しいオファー、有効期限の通知を受け取ることができます。これにより、価格変更の通知を受信トレイに直接受け取ることができ、値下げを期待して1日に何度も手動で検索する必要がなくなります。
このツールには、ほとんどすべての航空会社が含まれていますが、一部の航空会社の航空券価格は表示されないことに注意してください。
その他のフライト比較サイト
Google Flightsは、使いやすく便利なフライト検索ツールです。しかし、他にも同じような機能を備えた、いくつかの優れたサイトがあります。これらのサイトは、Google Flightsとは異なる機能を提供する場合があります。
Kayak
Kayakは、航空券の料金比較サイトの老舗です。航空会社から直接運賃を取得し、Expediaの様なクソ業者や、Orbitzなどの予約サイトとも比較できます。
Kayakには、特定の航空会社、航空連合、航空機、乗り継ぎ空港などで検索できる、豊富なフィルターオプションがあります。
日程に融通がある場合は、希望日の前後3日間の価格をカレンダーグリッドで確認できます。また、Kayakは、出発便と復路便の航空会社が異なる場合も、往復料金を表示します。
Momondo
Momondoは、ビジュアル重視の人におすすめの航空券検索サイトです。日程がフレキシブルであれば、カレンダービューで最も安い日程を簡単に見つけることができます。また、豊富なフィルターオプションや、運賃アラート機能など、便利な機能も充実しています。さらに、最近の運賃動向に基づいて、今が購入の絶好のタイミングなのか、それとも我慢すべきなのかをアドバイスしてくれるのも魅力です。
ただし、往復を予約する場合、出発便と復路便の航空会社が異なる場合、最安値の組み合わせが表示されません。そのため、片道を2つ検索することになり、時間がかかってしまう可能性があります。
Skyscanner
Skyscannerは、あらゆる目的地への格安航空券を簡単に見つけることができる便利なサイトです。出発地を入力し、「目的地」の欄で「すべての場所」を選択するだけで、世界中の目的地のリストが表示され、価格順に並べられます。このサイトは、目的地にこだわらず、世界の新しい地域に目を向けた旅行を計画したい人に最適です。
The Flight Deal alerts
格安航空券のリアルタイム情報を手に入れたいなら、Twitter(現X)でThe Flight Dealをフォローしましょう。このチームは、世界中の格安航空券情報を積極的に発信しており、あなたの目的地からのお得な情報も見つけられるかもしれません。
さらに、The Flight Dealからプッシュ通知を受け取るように設定しておくと、ツイートが投稿されるたびにスマートフォンに通知が届くので、Twitterをこまめにチェックする必要がなくなります。
有償サイトの活用
独立系旅行ウェブサイトの多くは、最安値航空券を見つけることを約束していますが、すべてが信頼できるわけではありません。中には、隠れた手数料や追加料金で高額な航空券を販売する旅行代理店に誘導する、詐欺サイトもあります。
実は、お得な航空券を探す際に、信頼できる航空券通知や注目情報を提供するウェブサイトが存在します。これらのウェブサイトの多くは、プレミアムな有料購読サービスを提供しています。
これらのウェブサイトから定期的に配信されるメールアラートやTwitterフィードを購読することで、旅行のインスピレーションを得たり、お気に入りの目的地へのお得な情報速報を受け取ったりすることができます。
そのいくつかをご紹介します。
独立系旅行ウェブサイトの多くは、複数の航空会社や迂回ルートを利用する「hacker fare」と呼ばれる割引運賃へのリンクを提供しています。これらの運賃は、通常、マイル特典やステータスポイントの対象外です。そのため、購入する前に、運賃の詳細や旅程をよく確認することが重要です。
このような詳細は、Google Flightsやその他の標準的な予約プラットフォームでは表示されない場合があります。
航空会社Webサイトでの予約
航空会社は、格安航空券の宝庫です。しかし、多くの人は、航空会社のウェブサイトを検索せずに、格安航空券を探すために、サードパーティのサイトやアプリに頼っています。
航空会社のウェブサイトには、さまざまなお得情報が掲載されています。中には、圧倒的なものもありますが、中には、短期間限定の驚くようなお得な情報もあります。これらのお得な情報は、サードパーティのサイトやアプリに掲載される前に、すぐに予約でいっぱいになってしまう可能性があります。
航空会社のウェブサイトを定期的にチェックすることで、最新のお得な情報を入手することができます。また、多くの航空会社がホテルやレンタカーを組み合わせたパッケージプランを提供していますが、これらのオファーは、航空券のみを購入するよりもお得な場合もあれば、そうでない場合もあります。必ず個別に価格を確認してください。
航空会社のニュースレターに登録し、ディールアラートを受信するのも、最新のお得な情報を入手する方法です。ただし、Eメールの受信箱が興味のない目的地でいっぱいになってしまうリスクがあります。それでも、これらのプッシュ通知は、あなたが手頃な価格だと思わなかった直前の休暇を取ることを刺激するかもしれません。
航空会社のウェブサイトには、マイレージやステータスなどの特典を最大限に活用できるキャンペーンが掲載されていることがあります。ただし、これらのキャンペーンは、多くの場合、航空会社のウェブサイトで直接予約する必要があります。
また、航空会社のクレジットカードを利用することで、マイレージやステータスポイントを効率的に貯めることができます。
【セキュリティ事件簿#2023-422】Suishow 株式会社 当社運営の「NauNau」をご利用いただいているお客様への 重要なお知らせとお詫びについて
2023 年 10 月 23 日付「Suishow 株式会社に関する報道について」にてお知らせいたしましたとおり、当社が運営する「NauNau」において、一時、少なくとも 200 万人以上のユーザの位置情報やチャットなどが外部から閲覧可能な状態が生じていたとの報道があり、これを受け、個人情報漏洩の可能性を含め第三者機関による調査を進めてまいりましたが、調査が終了いたしましたので、お知らせいたします。
調査の結果、セキュリティ設定の不備により、特定の手順を踏むことで個人情報の一部が不正に閲覧可能であったことが判明いたしましたが、第三者機関による調査で確認した範囲において情報流出の事実は確認されませんでした。調査結果等は下記のとおりです。
「NauNau」の利用者および関係者の皆さまには多大なご迷惑とご心配をおかけしましたことを、心よりお詫び申し上げます。現時点ではセキュリティ設定の見直しを行い、当該情報の不正な閲覧を行うことはできませんが、調査結果を踏まえ、再発防止策を策定し、セキュリティ向上に取り組んでまいります。なお、サービスの再開時期は、再発防止策(情報セキュリティ体制の見直しを含みます。)の策定と合わせて検討しておりますので、確定次第公表いたします。
■ 調査結果概要
「NauNau」が利用しているクラウドサービスにおいて、当社のセキュリティの設定に不備がある状態でサービスが運用されていたため、不正にデータベースにアクセスできる状態でした。
<個人情報などにアクセスするための手段>
上記状況において、ユーザの位置情報やチャット履歴などを取得するためには、クラウド上のデータベースへのアクセス情報を入手し、様々なリクエストを送信する必要があります。
第三者機関による調査の結果、これを実行するためには、SSL/TLS を利用したモバイルアプリの通信を傍受し解析する知識と、クラウドサービスの API へのリクエストを組み立てるための知識が必要であることがわかりました。
<上記手段によりアクセス可能な情報と期間>
2022/09/29~2023/05/08:ユーザの現在地:推定 304 万ユーザ分
2022/09/29~2023/03/02:チャット内容/画像:推定 167 万ユーザ分
2022/09/29~2023/10/20:生年月日:推定 283 万ユーザ分
2022/09/29~2023/10/20:個人情報を含まないその他のユーザ情報
(アプリの起動回数等):推定 380 万ユーザ分
2022/10/22 20:34~20:58:ユーザの過去の位置履歴 :6,753 ユーザ分
2023/06/13~2023/10/20:カップル・家族グループに所属しているユーザ:53,457 ユーザ分
2023/10/06~2023/10/20:特定アプリのインストール状況※1:38,070 ユーザ分
※1 「NauNau」には恋人がマッチングアプリ等をインストールしているか分かる機能があり、当該アプリ等のインストールの有無に関する情報
■ 本件の原因
「NauNau」が利用しているクラウドサービスにおいて、当社のセキュリティの設定に不備
がある状態でサービスが運用されていたため。
■ 経緯及び対応
2023 年 10 月 20 日(金) 当社に対し、報道機関から「NauNau」における個人情報漏洩の可能
性について指摘
2023 年 10 月 20 日(金) 当社にて状況調査、第三者機関への相談開始
2023 年 10 月 21 日(土) 「NauNau」のサービスを停止しアクセスを遮断
2023 年 10 月 23 日(月) 総務省及び個人情報保護委員会へ報告
2023 年 11 月 10 日(金) 第三者機関としてデジタルデータソリューション株式会社に個人情報
の流出の有無に関する調査を依頼し、調査開始
2023 年 11 月 20 日(月) 第三者機関として GMO サイバーセキュリティ by イエラエ株式会社
に表 1 記載の期間において「NauNau」上の情報に第三者がアクセスす
るための方法について調査を依頼し、調査開始
2023 年 12 月 4 日(月) 第三者機関による調査が完了
■ 再発防止策
専門機関である第三者機関の診断を受けた上で、再発防止策の検討を進めております。
改めまして、「NauNau」の利用者および関係者の皆さまに多大なるご迷惑とご心配をおか
けしましたことを、深くお詫び申し上げるとともに、再発防止に努めてまいります。
ぶっ飛びOSINTガイド
免責事項:すべての情報(ツール、リンク、記事、テキスト、画像など)は教育目的でのみ提供されています!また、すべての情報は公的な情報源からのデータに基づいています。あなたの行動に対する責任は、作者ではなく、あなた自身にあります❗️
これは教育を目的としています。
マインド・マッピング
マインドマップという概念を分解してみよう。様々な基準に従って情報を並べ替える方法を教えることは非常に重要で、どんな情報でも並べ替える練習ができると思います!
Maltego
Maltegoはデータマイニングツールで、様々なオープンソースデータリソースをマイニングし、そのデータを使ってつながりを分析するためのグラフを作成します。このグラフによって、名前、電子メールの組織構造、ドメイン、文書などの情報間のつながりを簡単に作ることができます。MaltegoはJavaを使用しているため、Windows、Mac、Linux上で動作し、BuscadorやKaliのような多くのOSINT Linuxで利用可能です。
基本的に、Maltegoは大量の情報を解析し、様々なオープンソースのウェブサイトを検索してくれます。Maltegoは、調査中のどの時点でもリソースとして使うことができますが、ターゲットがドメインである場合は、最初からMaltegoを使ってネットワークのマッピングを始めるのが理にかなっています。
- あなたとあなたのチームのためのトップOSINT & Infosecリソース(2022年版): 100以上のブログ、ポッドキャスト、YouTube、書籍など!(https://www.maltego.com/blog/top-osint-infosec-resources-for-you-and-your-team/)
- MaltegoによるOSINT調査入門ガイド(https://wondersmithrae.medium.com/a-beginners-guide-to-osint-investigation-with-maltego-6b195f7245cc)
- Maltego - Cyber Weapons Lab - OSINTアナリストのように調査する(https://youtu.be/46st98FUf8s)
- OSINTスキルを学ぶ/開発するための無料のデジタルバッジ](https://www.reddit.com/r/OSINT/comments/kgew5d/free_digital_badges_for_learning_developing_osint/)
研修と実践
良いトレーニング教材
- OSINTのためのPython 21日間](https://github.com/cipher387/python-for-OSINT-21-days)
- Googledorking + dorksearch.com
- サーチライトオシント](https://tryhackme.com/room/searchlightosint)
- 初段](https://tryhackme.com/room/shodan)
- ジオロケーティング画像](https://tryhackme.com/room/geolocatingimages)
- Instruments-on-the-radio-waves + websdr.org + try 😅
- ソメジント](https://tryhackme.com/room/somesint)
- osintframework.com
- OSINT At Home YouTube プレイリスト](https://www.youtube.com/playlist?list=PLrFPX1Vfqk3ehZKSFeb9pVIHqxqrNW8Sy)
- myosint.training
- すごいサイバー・スキル](https://github.com/joe-shenouda/awesome-cyber-skills)
- すごい地図](https://github.com/simsieg/awesome-maps)
フォローすべきOSINTスペシャリスト。
- twitter.com/UKOSINT - ニュース、ツール、ジョーク
- twitter.com/dutch_osintguy - 有名な専門家、講演者
- twitter.com/jakecreps - 毎週木曜日に素晴らしいツールを投稿。
- twitter.com/OSINTtechniques - デジタルのパンくずを追う
- スルース・シート](https://medium.com/the-sleuth-sheet)
- OSINTエッセンシャル](https://osintessentials.medium.com/)
- Sector035](https://medium.com/@sector035) - 今週のOSINT
- Igor S. Bederov](https://medium.com/@ibederov_ja) - デジタル時代のシャーロック・ホームズ...
- twitter.com/OSINTHK - OSINTを使うボランティアたち
- 世界のOSINTコミュニティ](https://osintfr.com/en/home/) - フランスのOSINTコミュニティ
- twitter.com/OSINT_Research - ツールと素晴らしいデータ
- twitter.com/OSINTtechniques - ツールと素晴らしいデータ
- twitter.com/OsintJobs - OSINTの仕事
- www.reddit.com/r/OSINT - 最大のテーマ別サブReddit
- OSINT、ハッキング、セキュリティなどに関するチャンネル](https://telegra.ph/Channels-about-OSINT-Hacking-Security-and-so-on-04-19)
- すごいOSINT+暗号](https://github.com/aaarghhh/awesome_osint_criypto_web3_stuff)
- グーグルハッキング](https://seckrd.com/google-hacking)
- GOSI: GIACオープンソースインテリジェンス](https://www.giac.org/certification/open-source-intelligence-gosi)
- SEC487: オープンソースインテリジェンス(OSINT)の収集と分析](https://www.sans.org/cyber-security-courses/open-source-intelligence-gathering/)
- Inteltechniques.net
- ITセキュリティ講座](https://github.com/bkimminich/it-security-lecture/)
- r4venツール](https://github.com/spyboy-productions/r4ven)
- アンレダクター](https://github.com/BishopFox/unredacter)
- forensicdots.de
- メタ・シークレット・アプリ](https://github.com/meta-secret)
- イメージリサーチOSINT](https://github.com/cqcore/Image-Research-OSINT)
- セキュリティアナリストとして知っておくべき15のツール](https://osintteam.blog/15-tools-you-should-know-as-a-security-analyst-f95007e94d99)
- ポータブル・シークレット・アプリ](https://mprimi.github.io/portable-secret/)
- オープンソースインテリジェンステクニック](https://inteltechniques.com/book1.html)
- インターネット・インテリジェンス&調査ハンドブック](https://www.amazon.com/Internet-Intelligence-Investigation-Handbook-practical/dp/B096TJMV7J)
- NATO OSINTハンドブック](https://github.com/lawsecnet/OPSEC/blob/master/NATO%20OSINT%20Handbook%20v1.2%20-%20Jan%202002.pdf)
- osintnewsletter.com
- ジオロケーションOSINT](https://github.com/cqcore/Geolocation-OSINT)
- geodetective.io
- またまたすごいOSINT本](https://t.me/osintkanal/2049)
- ソーシャルメディアOSINT](https://github.com/cqcore/Social-Media-OSINT)
- 顔を検索する魅力的な検索エンジン](https://www.makeuseof.com/tag/3-fascinating-search-engines-search-faces/)
- OSINTツール・メガリスト](https://pastebin.com/z0FUgiGb)
- OSINTの未来:ChatGPTで人探し](https://dorksearch.com/blog/future-of-osint-people-searching/)
- ジオロケーション:リテールパークにて](https://nixintel.info/osint/geolocation-at-the-retail-park/)
ツール(AI, ChatGPT, ML, その他)
近年、オープンソースの情報収集・分析に対する社会的関心が飛躍的に高まっている。この関心が高まるにつれ、ますます多くのOSINT調査がツールと自動化に依存するようになり、分析プロセスが置き去りにされています。OSINTは思考プロセスであると考えるべきである。OSINTの思考状態」は、調査のステップを追跡し、適切なツールとソースを選択し、データを分析し、実用的なインテリジェンスを生成するために報告するための鍵となります!
- OSINTツールマップ](https://metaosint.github.io/chart)
- シャーロック](https://github.com/sherlock-project/sherlock)
- gpt.censys.io
- ChatGeoPT](https://github.com/earth-genome/ChatGeoPT)
- ChatGPT for OSINT: Example](https://t.me/osintkanal/2009) | Tip: deepl.comを使ってください。
- 絵文字OSINT](https://www.dutchosintguy.com/post/cryptography-osint-can-you-read-emoji)
- アドバングル](http://advangle.com/)
- searchcode.com
- dorkgpt.com
- OSINT & ChatGPT: 103のアイデア](https://t.me/irozysk/9377)
- OSINT + AI](https://github.com/jiep/offensive-ai-compilation)
- OSINT - さん](https://github.com/Bafomet666/OSINT-SAN)
- OSINTバディ](https://github.com/jerlendds/osintbuddy)
- ChatGPT:OSINTのためのAI搭載秘密兵器](https://blog.gopenai.com/chatgpt-the-ai-powered-secret-weapon-for-osint-133a68d8302e)
- 道具を銀の雄牛のように扱うな!](https://osintessentials.medium.com/the-one-osint-tool-you-must-have-to-supercharge-your-investigations-94f5015b6318)
- 新しいOSINTのチートコード:ChatGPT](https://medium.com/the-sleuth-sheet/the-new-osint-cheat-code-chatgpt-cd54c190fa11)
- OSINTのためにChatGPTの力を活用する:あなたのAI OSINTアシスタントへの実践ガイド](https://hackernoon.com/harnessing-the-power-of-chatgpt-for-osint-a-practical-guide-to-your-ai-osint-assistant)
- すごい無料ChatGPT](https://github.com/LiLittleCat/awesome-free-chatgpt)
- 攻めのAI](https://github.com/jiep/offensive-ai-compilation)
- ビットコイン調査マニュアルAML](https://www.amazon.com/Bitcoin-Investigation-Manual-AML-Money-Laundering/dp/1077484070)
【セキュリティ事件簿#2023-477】和歌⼭県社会福祉協議会 個⼈情報の漏えい事案について
このたび、令和4年度、令和5年度に実施した「ふくしフォトコンテスト2022」「ふくしフォトコンテスト2023」の審査資料について、令和5年12⽉4⽇(⽉)13:00、応募者からの電話により、下記のとおり個⼈情報の漏えいが判明いたしました。
このような事態を招いたことを深く反省し、職員の個⼈情報の適切な取扱いを徹底し、再発防⽌に努めてまいります。
1.漏えい事案の概要
①令和4年度及び令和5年度に実施した「ふくしフォトコンテスト」の審査資料が、インターネット上に流出した。
下記3の審査資料を審査委員に事前送付(データ送信)する際、写真等のデータ容量が⼤きいため、 本会内部システムを活⽤し、「⼀般⾮公開設定(限定公開)」との認識でのアップロードを⾏ったところ、当該情報がインターネット上でも閲覧できる状態になっていた。
②審査委員に事前配布した資料(下記3)に、審査に直接関係のない個⼈情報を掲載していた。
2.主催
和歌⼭県社会福祉法⼈経営者協議会、和歌⼭県社会福祉法⼈経営⻘年会
社会福祉法⼈和歌⼭県社会福祉協議会
3.情報漏えいした資料(4点)
4.情報漏えいの原因
■当該システムの機能の誤認識
「限定公開は、本会ホームページ上には掲載されず、かつ、インターネット上でも閲覧できない状態であり、所定のURLを知り得た者しかアクセスできない」という認識であったが、実際はインターネット上で閲覧できる状態にあった。
■職員の個⼈情報の取扱いに関する認識不⾜
審査委員に対し個⼈情報を掲載した資料を配布していた。
5.対応
- 漏えいした情報は、本会システム管理業者に連絡し、判明直後(同⽇13:30)に削除しています。
- 対象者に対して個⼈情報を流出したことの通知と謝罪を⾏い、審査委員等には送信した個⼈データの廃棄確認を⾏っています。
- 再発防⽌策として、当該システム(限定公開機能)を活⽤した情報掲載やデータ送信を禁⽌するとともに、セキュリティの⾼い⼤容量データ送信システム導⼊の検討と、個⼈情報の取扱いにかかる安全管理及び職員指導を徹底します。
【セキュリティ事件簿#2023-476】一般社団法人JBRC 情報管理不備についてのお詫びとご報告
この度、JBRCホームページの「お問い合わせ」フォーム(https://www.jbrc.com/contact/input/)からいただいた問い合わせメールに添付されていた一部の資料が、インターネット上で閲覧可能な状態になっていることが判明いたしました。関係の皆様に、多大なご迷惑及びご心配をおかけしましたこと、心より深くお詫び申しあげます。
本件に関し、現段階で判明している事実と弊法人の対応についてご報告いたします。
1.経緯
本年11月6日、弊法人の関係先(排出事業者様等)に関する情報がインターネット上で閲覧可能な状態になっているとのご連絡を受けました。弊法人においてかかる状態を確認し、調査の結果、弊法人ホームページ上の「お問い合わせ」フォームから弊法人宛に送信された添付ファイルが閲覧可能な状態であることが判明しました。閲覧可能な状態にあった期間は、2018年6月1日0時頃から2023年11月10日11時頃まで(下記の対応完了時点)となり、かかる期間に送信された添付ファイル数は、約1,100件となります。
2.原因と対応
弊法人ホームページ上の「お問い合わせ」フォームの仕様において、送信された添付ファイルが、外部アクセスのリスクのあるフォルダに保存される状態に設定されていたことが判明しました。弊法人では、即座に添付ファイルが当該フォルダに保存されないように設定を変更しました。また、当該フォルダに保存されていたデータを全件確認し、「お問い合わせ」フォームにより送信された添付ファイルを含む約1,100件のデータを当該フォルダから削除する対応を実施し11月10日11時頃、完了しました。
また、閲覧されたことが確認された添付ファイルの送信者様には、11月17日に「お問い合わせメール情報管理不備についてのお詫び」と題する書簡を送付いたしました。
3.現在の状況とお願い
上記対応により、対応完了時点からの新たな情報流出は確認されておりません。また現時点では、今回の問題による二次被害等の報告は受けておりませんが、お気付きの点やお問い合わせがございましたら、下記のお問い合わせ窓口までお願いいたします。
4.再発防止について
弊法人は今回の事態を重く受け止め、今後は、職員一同、情報管理及び運営に関する意識をより一層高め、情報セキュリティー対策の強化徹底により、再発防止に全力で取り組んでまいります。多大なご迷惑とご心配をおかけしておりますこと重ねてお詫び申し上げます。
【セキュリティ事件簿#2023-475】群馬県みどり市 個人情報漏えいについてのお詫びとご報告
市ホームページ上の農地貸出希望情報の掲載ページ内におきまして、個人情報(氏名、住所、電話番号)を含んだものを誤って掲載してしまっていたことが判明いたしました。
関係者の皆様におかれましては、多大なご迷惑とご心配をおかけすることとなり、心からお詫び申し上げます。
判明の経緯と原因
- 令和5年10月6日(金)、農業委員会事務局のホームページ上のみどり市内の貸出等希望情報を更新いたしました。
- 令和5年11月28日(火)、職員が確認したところ、個人情報を含んだものを掲載してしまっていたことが判明いたしました。
- 同日、ホームページ上の内容を更新して早急に該当情報を削除いたしました。
個人情報の内容・掲載期間
内容
農地所有者67人分の「氏名、住所、電話番号」
掲載期間
令和5年10月6日から11月28日まで(54日間)
対応状況
全対象者の方に経過説明を行い、謝罪させていただきました。
二次被害やおそれの有無
現在のところ、悪用されるなどの二次被害の発生は確認されておりませんが、引き続き状況の把握に努めます。本件について何かございましたら農業委員会事務局までご連絡をお願いします。
今後の対応
農業委員会事務局内で複数人でチェックを行い、このような事態が発生しないよう再発防止に努めてまいります。
【セキュリティ事件簿#2023-473】大阪市コミュニティ協会 Googleフォームズからの個人情報漏えいについて(お詫びとご報告)
当会が住吉区役所からの委託事業・つながりの場づくり推進事業(子ども文化事業)において受付フォームの設定ミスにより参加者の個人情報が閲覧できる状態となりました。参加者の方をはじめ関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねてしまいましたことを深くお詫び申しあげますとともに、今後このようなことがないよう再発防止に努めてまいります。
1.概要
住吉区役所からの委託事業・つながりの場づくり推進事業(子ども文化事業)において、Googleフォームズからの申込受付を行った。その際使用したGoogleフォームズの設定画面において「結果の概要を表示する」がONになっていることに気づかず運用したため、送信ボタンを押した後に表示される画面内の「前の回答を表示」というボタンを押した場合に、当該フォームにすでに申込していた参加者および保護者の個人情報を含む回答結果の一覧が閲覧できる状態にあったということが、令和5年11月8日(水)、弊支部協議会インスタグラムのダイレクトメッセージに参加申込をした保護者よりコメントがあった。令和5年12月2日(土)に、インスタグラムを確認したところ、当該コメントを発見し、事実を認識したものである。
2.判明日時
令和5年12月2日(土)午前5時
3.流出した個人情報(10組27名)
参加者氏名、学年、性別
保護者氏名、電話番号、メールアドレス
4.判明後の対応
令和5年12月2日(土)午前5時10分 「結果の概要を表示する」をOFF
午後4時19分 支部協議会事務局長へ報告
令和5年12月3日(日)午前11時50分 住吉区役所教育文化課へ口頭で報告
午後1時00分 事業開始時に出席者7組18名に状況を説明し、謝罪
午後5時00分 欠席者3組9名に電話で個別に状況を説明し、謝罪
5.原因
フォームを作成した際、職員が回答完了後の動作確認を行っていなかったため
「結果の概要を表示する」がONになったことが確認できなかった。
6.再発防止策
- フォームを作成後、業務責任者を含め複数名の職員によるダブルチェック等、入力から回答完了後までの動作確認を行う。
- チェックリストを用いたチェック体制の構築・運用を行う。
- 今後、同様の事象が発生した際には、速やかに発注者への報告を行う。
- 個人情報保護の研修を実施し、職員一人一人が個人情報の大切さを認識し、個人情報を適切に取扱う。
【セキュリティ事件簿#2023-474】株式会社徳岡 弊社が運営する「ボルドープリムール」「ボンルパ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ
このたび、弊社が運営するECサイト「ボルドープリムール」「ボンルパ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(1755件)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1.経緯
2023 年 9 月 19 日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2023 年 9 月 19 日弊社が運営する「ボルドープリムール」でのカード決済を停止いたしました。
※「ボンルパ」についてはサイトリニューアルの為、2023 年 5 月より休止
同時に、第三者調査機関による調査も開始いたしました。2023 年 10 月 21 日、調査機関による調査が完了し、2021 年 3 月 17 日~2023 年 7 月 28 日の期間に EC サイト「ボルドープリムール」「ボンルパ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました
2.個人情報漏洩状況
(1)原因
弊社が運営する EC サイト「ボルドープリムール」「ボンルパ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
2021 年 3 月 17 日~2023 年 7 月 28 日の期間中に「ボルドープリムール」「ボンルパ」においてクレジットカード決済をされたお客様 974 名で、漏洩した可能性のある情報は以下のとおりです。
- カード名義人名
- クレジットカード番号
- 有効期限
- セキュリティコード
併せて、データベース上に保管されていた個人情報も漏洩した可能性があり、可能性のある部分は下記となります。
- 氏名
- 会社名
- 住所
- 電話番号
- FAX 番号
- メールアドレス
- 生年月日
上記に該当する 974 名のお客様については、別途、電子メールにて 個別にご連絡申し上げます。
3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
4.公表が遅れた経緯について
2023 年 9 月 19 日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策ならびに弊社が運営するサイトについて
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
個人情報漏洩の可能性が確認された「ボルドープリムール」「ボンルパ」につきましては、すべて閉鎖となります。
2023 年 7 月より運営しております、後継である「徳岡グランヴァン」にて今後のプリムールのお引渡し、新規の販売を行ってまいります。後継のサイトは国際的なセキュリティ基準に準拠し構築を行い今回の調査においても安全性を確認できており、調査会社及び監督官庁からも確認いただいております。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には 2023 年 9 月 28 日に報告済みであり、また、所轄の大阪府南警察署にも 2023 年9 月 29 日被害申告しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2023-471】株式会社クロックワークス 【映画『カンダハル 突破せよ』感想投稿キャンペーンにおける個人情報の漏洩に関するお詫びとお知らせ】
このたび、当社配給映画『カンダハル 突破せよ』の公式X(旧Twitter)アカウントで実施した【映画『カンダハル 突破せよ』感想投稿キャンペーン】において当選者の個人情報が閲覧できる状況にあったことが判明しました。本件に関する概要につきまして、下記の通りご報告いたします。
ご迷惑をおかけした当選者の皆様には、個別にお詫びのご連絡をいたしました。
お客さまには多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。個人情報の適切な管理及び取扱の徹底を行い、再発防止に努めてまいります。
1)個⼈情報漏えいが発⽣した項⽬
当選された25名様のXアカウント名、氏名、住所、電話番号、映画をご覧になった劇場名
※同キャンペーンの当選者33名に対して、11月24日(金曜日)午後3時49分よりダイレクトメッセージで景品送付先に関する情報入力の依頼を行い、11月28日(火曜日)午後2時8分までに入力を行った25名の方の情報が相互で閲覧可能な状態にありました。
2)原因
当社が設置した応募入力フォームにて、Googleフォームの機能である「前の回答を表示」の設定を誤ったことが原因で入力した方の個人情報が閲覧できる状態になっておりました。
3)経緯と対応状況
11月24日
・公式Xアカウントにて、該当の入力フォームを当選者へ随時送付
11月28日
・フォームを入力したお客様から当社公式WEBサイト経由でお問い合わせいただき、ほかのお客様の情報が閲覧できるようになっているとご連絡(この時点までで25名が回答)
・お問い合わせメールを確認し、直ちに第三者が他人の申込情報を閲覧できないよう設定を変更。同様のご指摘を公式XへのDM返信でもいただいていたことを確認。
現在の対応
・当選者様全員に、本件についてのご説明とお詫びのご連絡。
・本お知らせをHPにて公表。
4)再発防止策
・同様の事態が今後発生しないよう、フォーム作成と公開時のルール確立、複数名でのチェック体制の原則化、各社員に対して個人情報保護の重要性をはじめとした教育の徹底など、再発防止策を実施します。
この度の事態についてご指摘いただくまでの長期間、状況を認識できなかったことを重く受け止め、今後の運用体制についても検討・改善してまいります。
改めまして、本件について、多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。
【セキュリティ事件簿#2023-472】株式会社レスターホールディングス 当社及びグループ会社サーバーへの不正アクセス発生のお知らせ
当社は、2023年12月5日、当社及びグループ会社のサーバー(株式会社レスターエレクトロニクス、株式会社レスターデバイス、株式会社レスターコミュニケーションズ、株式会社レスターソリューションサポート、株式会社バイテックエネスタ、株式会社バイテックベジタブルファクトリー)が第三者Lockbitと思われるランサムウェアによる不正アクセス(以下当該不正アクセス)を受け社内システムに障害が発生していることを確認いたしました。またお客様への出荷やカスタマーサポートなどにおいても影響が発生していることをご報告いたします。
当該不正アクセスの判明後、被害拡大を防ぐために各種サーバーの停止、外部ネットワークを遮断するなどの対応をしております。現在、当該不正アクセスを受けた内容、原因や経路の究明、情報漏洩の範囲などを外部の専門家の協力を得ながら調査を進めています。
現時点で確認できている情報漏洩の内容は以下の通りです。
ファイルサーバーのフォルダ情報画像2点、株式会社レスターコミュニケーションズのシステム図面4点、その他サンプル画像等8点、計14点
お客様への出荷活動は継続しておりますが、納入遅延など影響が発生する場合には速やかに担当営業よりご連絡させていただきます。お客様ならびにお取引先様、関係者の皆様に多大なご迷惑とご心配をお掛けすることとなりお詫び申し上げます。
今後、公表すべき事項が判明した場合には、速やかに当社ホームページなどでお知らせいたします。
登録:
コメント (Atom)