【セキュリティ事件簿#2024-154】株式会社Acompany Googleフォーム誤設定による個人情報漏えいについて 2024/4/17

 

Googleフォーム誤設定による個人情報漏えいに関し、以下のとおり、お知らせいたします。

本件につきまして、関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

概要

下記4件のGoogleフォームの設定ミスにより、第三者が他人の回答情報を閲覧できる状態となっていました。

• 「Acompanyのカジュアル面談」フォーム（回答数47件）
  
  
• 2023年1月17日開催、イベント「【シリーズA資金調達リリース記念イベント】プライバシーテック市場の魅力とは」申し込みフォーム（回答数35件）
  
  
• 2023年3月15日公開、ホワイトペーパー「個人データ活用における同意取得・管理に関するプライバシーテック適用余地」ダウンロード申し込みフォーム（回答数51件）
  
  
• 2023年3月31日公開、ホワイトペーパー「データクリーンルームにおけるプライバシーテック適用余地」ダウンロード申し込みフォーム（回答数31件）

本件の影響

• 漏えい件数 ：最大で164名

Googleフォーム誤設定による個人情報漏えい状況

	期間	件数	漏えいした恐れのある情報
「Acompanyのカジュアル面談」フォーム	〜2024年4月16日17:50ごろ（いつからフォームの誤設定が生じていたかは現時点では不明）	47件	- 氏名 - フォームに入力いただいた情報
2023年1月17日開催、イベント「【シリーズA資金調達リリース記念イベント】プライバシーテック市場の魅力とは」申し込みフォーム	〜2024年4月17日10:30ごろ（同上） ※なお、Googleフォームの使用は2023年1月17日18時時点で終了していました	35件	- 氏名 - 所属先名 - フォームに入力いただいた情報
2023年3月15日公開、ホワイトペーパー「個人データ活用における同意取得・管理に関するプライバシーテック適用余地」ダウンロード申し込みフォーム	〜2024年4月17日10:30ごろ（同上） ※なお、Googleフォームの使用は2023年4月27日時点で終了していました	51件	- 氏名 - メールアドレス - 会社名 - 部署
2023年3月31日公開、ホワイトペーパー「データクリーンルームにおけるプライバシーテック適用余地」ダウンロード申し込みフォーム	〜2024年4月17日10:30ごろ（同上） ※なお、Googleフォームの使用は2023年4月27日時点で終了していました	31件	- 氏名 - メールアドレス - 会社名 - 部署

なお、現時点において、漏えいによる被害の発生は確認できておりません。

原因

該当する4件のGoogleフォームの設定にて「結果の概要を表示する」を有効にしていたため、第三者が他人の入力情報を閲覧できる状態となっておりました。

具体的には、入力終了後の画面に表示される「前の回答を表示」というリンクをクリックすると、他人の入力情報を閲覧できる状態となっておりました。

事実経緯・対応状況

• 2024年4月16日（火）17:40ごろ カジュアル面談応募者からの連絡により事案発覚
  
  
• 4月16日（火）17:50ごろ 「Acompanyのカジュアル面談フォーム」を確認のうえ、直ちに第三者が他人の入力情報を閲覧できないよう設定を変更
  
  
• 4月16日（火）18:00ごろ-4月17日（水）10:30ごろ 他に利用しているGoogleフォームで同様の設定がないかを洗い出し、設定状況を確認 上記の結果、「Acompanyのカジュアル面談フォーム」以外にも、3件のフォームが「結果の概要を表示する」の設定がオンになっていたことが判明
  
  
• 4月17日（水）10:30ごろ 上記3件のフォームも直ちに第三者が他人の入力情報を閲覧できないよう設定を変更
  
  
• 4月17日（水）15:00ごろ 個人情報保護委員会へ速報として報告
  
  
• 4月17日（水）16:00 本お知らせを公表

今後の対応

個人情報が漏えいした可能性のある方（最大164名）にメールにて個別に連絡を実施させていただきます。

また、今後同様の事態が生じないよう、利用するサービスの精査、フォーム公開時のルール・チェック体制の見直し、社内のプライバシーガバナンス体制の確立など、再発防止策を検討・実施してまいります。

改めまして、関係者の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。発生させてしまった事象について深く反省し、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-152】国土交通省 個人情報流出のおそれがあったことに関するお詫びとお知らせ 2024/4/12

 

中部地方整備局管内の事務所発注業務を受注した株式会社オリエンタルコンサルタンツ（以下「受注者」）の業務補助を担当していた株式会社ラグロフ設計工房（以下「補助業務担当企業」）が、ランサムウェアによるサイバー攻撃を受けたことで、個人情報を含む資料が外部に流出したおそれがありました。事案の概要等は次のとおりであり、現時点において個人情報の漏えいは確認されておりません。

皆様にはご心配をおかけしましたことをお詫び申し上げます。今後、再発防止に向け、個人情報の適切な管理・取扱いを徹底してまいります。

１．事案の概要

（１）対象業務

「令和３年度 豊橋河川施工計画検討業務」豊橋河川事務所発注

「令和４年度 安倍川水系砂防堰堤詳細設計業務」静岡河川事務所発注

「令和４年度 富士砂防事務所砂防施設設計業務」富士砂防事務所発注

「令和４年度 越美山系砂防事務所管内砂防施設詳細設計業務」越美山系砂防事務所発注

「令和４年度 越美山系松後谷砂防堰堤詳細設計業務」越美山系砂防事務所発注

（２）経緯

令和５年２月９日に補助業務担当企業の社員が、社内共有ファイルサーバーの異変を確認。

社内共有ファイルサーバーを社内ネットワークから切断するとともに、警察に相談しました。同日午後に警察による調査が行われ、ランサムウェアによるサイバー攻撃を受けていることが判明しました。

また、補助業務の遂行に必要な資料に個人情報が含まれていることが発覚したため、中部地方整備局において受注者及び補助業務担当企業へ聞き取り調査を行い、漏えいしたおそれのある情報の内容や件数等の確認を行いました。

補助業務担当企業は、同年２月１５日に自社の共有サーバーに対してサイバー攻撃による被害が発生した旨を、２月２２日に事案に関する経緯と今後の対策の詳細を、４月２６日に外部へ情報が流出した事実は見られない旨及び再発防止策について、それぞれホームページ上で公表しております。

同年６月９日、ＶＰＮ機器の脆弱性をついたＶＰＮアカウントの窃取によるＮＡＳへのランサムウェア感染が原因と判明しております。

本事案につきましては、発生後速やかに個人情報の保護に関する法律第 68 条第 1 項の規定により、個人情報保護委員会へ報告を行っており、同法第 68 条第 2 項の規定に基づき、令和６年４月１０日までに連絡先が特定できる方について通知を行うとともに、今般、事案について公表をするものです。

２．漏えいが発生したおそれがあった個人情報

補助業務の遂行に必要な資料に含まれていた次の情報

＜豊橋河川事務所＞

平面図（豊田市秋葉町地先）に記載された地番・氏名 ５６名分

会社の社員の氏名 １０名分

＜静岡河川事務所＞

公図（静岡市葵区梅ヶ島地先・有東木地先・ 入島地先）に記載された氏名 ２５名分

会社の社員の氏名 ６９名分

＜富士砂防事務所＞

公図（富士市大淵字丸尾東地先）に記載された氏名 ２１名分

会社の社員の氏名 １４名分

＜越美山系砂防事務所＞

公図（本巣市根尾高尾地先・根尾板所地先、揖斐郡揖斐川町日坂地先・坂内川上地先）に記載された氏名 １１８名分

会社の社員の氏名 ８９名分・メールアドレス ３２名分

土地登記簿（本巣市根尾板所地先） １９名分

計 ４５３名分（内、連絡先が特定できる２１０名の方には通知をいたしました）

３．二次被害又はそのおそれの有無

現時点において、外部へ情報が流出した事実は確認されていません。今後も監視を継続して実施し、個人情報の漏えいが発覚した場合は、受注者及び補助業務担当企業から速やかに報告を受けることとしています。

４．再発防止策

保有個人情報の漏えいの防止その他の安全管理の一層の徹底を図ってまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-100】笛吹市商工会 サポート詐欺による不正アクセスに関する調査報告と再発防止策について 2024/4/15

 

当会では2月27日(火)にインターネット技術を悪用したサポート詐欺被害（以下「本インシデント」といいます。）を受け、外部専門機関の協力のもと、本インシデントに関する調査を進めてまいりました。

調査結果がまとまりましたので、当該調査結果および再発防止に向けた取り組みにつきましてご報告申し上げます。

なお、当会のシステムは現時点で復旧しており、今後も継続的にセキュリティ対策の強化を図ってまいります。

関係する皆様につきましては、ご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。　

【対応経緯】

■　2024年2月27日(火)

当会の職員がインターネット技術を悪用したサポート詐欺にあい、業務用パソコン１８台中２台に遠隔操作ソフトウエアがインストールされ、当会パソコンへの不正アクセスが行われたことが発覚しました。

同日、外部に接続しているネットワークを遮断いたしました。

■　2024年2月27日(火)・28日(水)

笛吹警察署及び山梨県商工会連合会など関係機関へ報告するとともに、外部専門機関に相談し、被害範囲の確認など初期対応いたしました。

■　2024年3月7日(木)

外部専門機関に不正アクセスされたパソコン２台を送り、調査を依頼いたしました。依頼した調査内容は以下の通りです。

　・不正アクセス被害を受けた可能性のある機器に対する安全性確認

　・被害を受けた機器の各種ログなどの解析を通した被害の詳細・範囲の分析

　・侵入経路の調査、及び安全性確認

■　2024年3月15日(金)

本インシデントに関するお知らせをホームページへ掲載いたしました。

また同日、全会員に事案発生の通知を発送いたしました。

■　2024年3月18日(月)

本インシデントに関する記者会見を開催いたしました。

■　2024年4月9日(火)

外部専門機関の調査が終了し、調査報告書を受領いたしました。

　　※　調査報告詳細は下記調査結果を参照

■　2024年4月下旬～

外部専門家の協力のもと、「セキュリティ対策委員会」を設置し、今後の再発防止策等について検討してまいります。

【調査結果】

外部専門機関による調査にて、プログラムの実行記録、追加されたファイル等、様々な角度から不正プログラムの蔵置及び攻撃実行有無を確認しましたが、不正プログラムの蔵置や攻撃が実行された記録は確認されませんでした。

不正アクセスされたパソコンに残された記録から情報流出について、すべての可能性を否定するには至りませんでしたが、本調査においては情報流出の形跡は確認できませんでした。

しかしながら、情報漏えいの可能性は否定できないことから、商工会として、会員からの情報等注意深く監視し、以下の再発防止策を徹底しつつ、引き続き有事の際に備えて参ります。

【再発防止策について】

今回の被害を受け、次の再発防止策を実施いたします。

　・職員への継続的な情報セキュリティへの意識向上に向けた教育の実施

　・職員間のコミュニケーションの向上を図る体制づくり

　・ネットバンクの運用体制の見直し（２段階認証の体制構築等）

　・商工会等におけるネットワーク等セキュリティ環境の整備及び向上

リリース文（アーカイブ）

【2024/3/15リリース分】 

 リリース文（アーカイブ）

【セキュリティ事件簿#2024-151】厚生労働省 令和5年5月31日に終了した「都道府県の外国人用相談窓口」サイトのURLについて

 

新型コロナウイルス感染症流行下において、外国人に対する新型コロナウイルス感染症に関する情報提供を強化するため、令和2年9月1日から令和5年5月31日まで、多言語対応の外国人専用相談窓口WEBサイトを開設しておりました。

当該サイトのURLとして、「https://www.covid19-info.jp」を利用していましたが、令和5年5月31日の委託業務終了とともに、当該URLの利用も既に終了しています。

令和5年6月1日以降、「covid19-info.jp」のドメインおよび当該ドメインを用いたwebやメールは、厚生労働省の事業とは全く関係ありませんので、ご注意ください。

なお、委託業務廃止後（令和5年6月1日以降）の「都道府県の外国人用相談窓口」の情報については、厚生労働省のホームページ（https://www.mhlw.go.jp/stf/newpage_33166.html）

に掲載していますので、こちらをご参照ください。

リリース文（アーカイブ）

OSINTニュース_v20240422

 

2024年4月1日に発生したイスラエルによるシリアのイラン大使館攻撃や、同4月14日に発生したイランによるイスラエルへのミサイル攻撃はとても残念な事件だ。

これ以上戦争の火種が広がらないことを祈りつつOSINT関連のニュースをお届けします。

今回のラインナップは以下の通り。

• Hacktoria Contracts
• Phishing Investigation
• Goosint Links
• Easy Dorks
• Wayback Analytics

Site: Hacktoria Contracts

Hacktoriaは、新しいウェブサイトと新しいビジネスモデルの開発に励んでいる。ここ数年、彼らは素晴らしいアートワークのエキサイティングなCTFをたくさん提供してくれた！そして、彼らが新しくなったサイトで頑張っている間に、最初の2つの "Hacktoria contracts "を公開しました！今こそラトビア・コネクションをチェックし、ジオロケーション、ハッキング、解読のスキルを練習し、バッジを獲得する時です！

Article: Phishing Investigation

この記事は興味深い読み物で、活発なフィッシング・キャンペーンを調査する方法を示しています。Manuel Botは、OSINT IndustriesやTelegram botのような外部サイトを利用して、電話番号やユーザーアカウントの情報を収集しています。というのも、使われているテクニックがすべて知られているわけではないので、情報を独自に検証できるとは限らないからです。しかし、調査員が目的を達成するために、最近のツールがどのようなことができるかを見るのは、本当に素晴らしいことです。

Site: Goosint Links

デジタルコンポーネントのオープンデータソースに関しては、このサイトが役に立ちます！たくさんのカテゴリーがあるので、ぜひチェックしてほしい。これはSOCMINTとは全く異なるものなので、何の知識もなしに飛びつかないように。SOCMINTが何であるか知っていて、何か必要なものがあるのなら、このサイトで利用可能なリソースの広範なリストをチェックしてください！ここ数ヶ月の間に多くの人がこのサイトをシェアしています

Tip: Easy Dorks

Manuel Botが、Cyber Sudoによる、ソーシャルメディア・プロフィールを素早く偵察するための素晴らしいヒントを紹介します。いくつかの簡単なグーグル検索によって、プロフィールが世に出回っているかどうかを素早く知ることができます。ソーシャル・メディアのプロフィールを見つけるための、エレガントで便利なGoogle/Bing/whatever検索を、ユーザー名や実名に基づいて考えてみてください！

Instagram:

site:http://instagram.com "username"

Facebook:

site:http://facebook.com "username" inurl:posts

Reddit：

site:reddit.com/user "username"

Tutorial: Wayback Analytics

Bellingcat のゲストライターJustin Clarkが、Wayback Machineを使ってGoogle Analyticsのコードを取得し、ウェブサイトを同じ管理者に接続する方法について記事を書いています。小さなPythonスクリプトを使うことで、この膨大なインターネットアーカイブに問い合わせ、特定の期間内に特定のGoogle Analyticsコードを使用したドメインのURLを取得することができます。これも本当に便利なツールだ！

出典：Week in OSINT #2024-04

【セキュリティ事件簿#2024-150】株式会社広済堂ビジネスサポート 不正アクセスによる迷惑メールの送付に関するお知らせとお詫び 2024/4/5

 

拝啓　時下ますますご清栄のこととお慶び申し上げます

平素は格別のお引き立てを賜り厚く御礼申し上げます

この度、弊社の運営する求人サイト「Workin.jp」のメールサーバーより、不特定多数の方に迷惑メールが送信された事実を確認いたしました。メールを受信された皆様には多大なるご迷惑とご心配をおかけいたしましたこと、心よりお詫び申し上げます。

今回の不正アクセスによる個人情報および機密情報の漏洩はなかったことを確認しております。

また、メールサーバーにおいては外部からのアクセスを遮断し、以降は迷惑メールの送付は行われておりません。

また、送信されたメールはフィッシングメールであることを確認しており、皆様に於かれましては、当該メールおよび添付ファイルの開封、URLのクリック等を行うことなく、削除していただきますよう、お願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-149】大阪府済生会富田林病院 個人情報漏洩の疑い事案について 2024/4/2

 

２０２４年２月２９日に、病院外において当院職員が個人で使用しておりますパソコンで、インターネット利用時に「サポート詐欺」に遭い、遠隔でパソコンを閲覧できるアプリケーションをダウンロードされ、結果として遠隔操作可能時間が20分程度発生するという事案が発生いたしました。

その為、パソコン内のデータ内容等を確認したところ、特定診療科の患者さまの一部個人情報（診療内容等）が保存されていることが判明いたしました。尚、個人の連絡先情報等は含まれておりませんでした。

これを受けまして、専門家によるパソコン及び該当データ検証および調査をいたしましたが、患者さまの情報へアクセスし抜き取られた等の被害に繋がる情報流出は確認されませんでした。該当患者さまには個別にご報告致しております。

当院と致しましては、現状情報の漏洩に至っていないと認識しておりますが、当該事案について厳粛に受け止め、国や大阪府警察本部サイバーセキュリティ指導対策課及び関係機関への報告を行うとともに対応について指導を受けております。

患者さま、関係する皆様におかれましてはご心配をお掛けすることとなり深くお詫び申し上げます。

今後、このようなことが無いよう再発防止に向け職員教育を徹底してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-148】会津若松市 イベント申込者個人情報の不適切な取扱いについて 2024/4/4

 

概要

市が支援・協力している市内大戸地区の地域運営組織「大戸まちづくり協議会」が主催するイベント「まるごと健康ウィーク！！inおおとvol.2」において、市職員がオンラインの申込フォームの設定を誤り、イベント申込者8名の個人情報が、一定期間公開されていた可能性があるという事案が発生しました。

関係者の方々に深くお詫びしますとともに、このようなことが起きないよう、個人情報の管理につきまして、改めて周知徹底を図ってまいります。

不適切な取扱いの内容

令和6年2月28日から3月7日までの期間に、イベントのオンライン申込フォームのアクセス制限の設定を誤って共有設定に変更してしまったため、それ以前に申し込みをいただいていた8名の方の個人情報（1月申込4名の住所、氏名、電話番号及びメールアドレスと、3月7日申込の１組4名の氏名、電話番号）が新たに申込しようと申込フォームにアクセスした方に閲覧可能な状態になっていたものです。

発生原因

今回の不適切な個人情報の取扱が発生した原因は、イベント周知用のチラシに記載したQRコードを誤って管理者用URLから作成してしまったこと、さらに、その後、誤ってアクセス制限を誰でも編集・閲覧可能な共有設定に変更してしまったことという2つのミスが重なったことによるものです。これにより、アクセス制限設定前は、管理者用URLから作成した二次元コードでアクセスしても個人情報を閲覧することはできませんでしたが、その後の誤ったアクセス制限設定後は、申込フォームにアクセスした方がすでに申し込まれていた個人情報を閲覧可能となってしまったものです。

対応状況

令和6年3月8日、外部関係者からの情報提供により申込フォームが編集可能となっていることを把握。情報漏えいの可能性もあることから、直ちに申込フォームを閉鎖し情報拡散を防ぐ処置を行い、事実確認と原因究明を行いました。事実確認の結果、少なくとも3月7日に申し込みを行おうとした1名の方が、先に申込されていた4名の方の個人情報を閲覧できたことを確認したところです。

また、申込内容が閲覧可能となってしまった方々への対応については、3月14日から15日までに事前に概要の連絡を行った上で、イベント当日の3月16日に直接お会いして事案の内容や原因など詳細説明と謝罪を行ったところです。

今後の対応

今後、このようなことを繰り返さないよう、オンライン申込フォームについて、より安全性の高いものに変更するとともに、情報セキュリティに関する職員の研修を行ってまいります。さらに、複数の職員で事前に確認を行うなど、チェック体制の充実を図ってまいります。

なお、職員に対して、個人情報の管理について、改めて周知徹底を図ってまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-147】東京高速道路株式会社 メールアカウント不正利用に関するお詫びとご報告 2024/4/10

 

2024年4月9日（火）、弊社のメールアカウントが不正に利用され、不特定多数に大量のメールを送信していることが発覚いたしました。

現在のところ、個人情報の流出などの被害は確認されておりません。

同メールアカウントは、使用を停止しており、同メールアカウントを使用していたパソコンについては、ウイルス等に感染している形跡はありませんでした。

この度は多大なるご心配をおかけして申し訳ございません。

従来よりセキュリティ管理を徹底しておりますが、より強固なセキュリティ管理とすべく、対策を徹底してまいります。

リリース文（アーカイブ）

バグバウンティやASM（Attack Surface Management）で使えそうなツール

1. 始めに

免責事項

本文の内容は、セキュリティに関する知識を広く共有する目的で書かれており、悪意のある行為を奨励するものではありません。

注意点

紹介されるツールの中には、ファジング（総当たり）による列挙や検証を行うものが含まれています。

総当たりを行うツールは、対象に負荷をかけたり、悪影響を与える可能性があるため、注意が必要です。

もし総当たりを行うツールを利用する場合は、対象の規約（スキャンツールの使用、レート制限など）をよく確認し、規約に従って慎重に実行してください。

ツールを実行する対象が「本番環境」であることを忘れずに、倫理的な観点を持って脆弱性を探しましょう。

2. Tools

ffuf

ffuf は、Web アプリケーションに対して使える高速なファジングツールです。

これにより、サブドメインやディレクトリ、パラメーターなどをワードリストを使って総当たりで列挙することができます。

ワードリストには、SecLists や Auto_Wordlists などを使うのが一般的かと思います。

例) ffuf でディレクトリパスを列挙する場合

$ ffuf -w SecLists/Discovery/Web-Content/raft-large-directories.txt -u https://<Domain>/FUZZ

注意点として、ffuf は総当たりによる列挙のため、十分に注意して利用してください。

関連：Webディレクトリ探索ツール三選： gobuster、ffuf、dirb

subfinder

subfinder は、指定したドメインのサブドメインを列挙するツールです。

subfinder のロジックは「パッシブサブドメイン列挙 (Passive Subdomain Enumeration)」で、外部のサービスから DNS をベースに列挙します。

これにより、バグバウンティの対象が「*.example.com」のようにサブドメインも含まれる場合は、サブドメインを列挙して調査対象のドメインを列挙することができます。

例) subfinder でサブドメインを列挙する場合

$ subfinder -d <Domain> -all

nuclei

nuclei は、シンプルなYAML のテンプレートをベースに対象を脆弱性スキャンするツールです。

YAML のテンプレートは、nuclei-templates にあり、自分で簡単にカスタムすることもできます。

これにより、対象のドメインを簡単に脆弱性スキャンをすることができます。

例) nuclei で脆弱性スキャンする場合

$ nuclei -u https://<Domain>

注意点として、nuclei は総当たりによるスキャンツールのため、十分に注意して利用してください。

naabu

naabu は、Go でできた高速なポートスキャンをするツールです。

これにより、対象の開いているポート番号を手軽に列挙することができます。

例) naabu でポートスキャンする場合

$ naabu -host <Domain>

getallurls (gau)

getallurls (gau) は、Wayback Machine などから既知の URL をパラメーター付きで列挙するツールです。

これにより、対象のドメインの URL を手軽に列挙することができ、どういうディレクトリやパラメーターがあるかを、対象の機能のイメージしやすい形で URL を取得することができます。

例) gau による URL を列挙する場合

$ gau <Domain>

xnLinkFinder

xnLinkFinder は、クローリングによって対象のエンドポイントやパラメーターを列挙するツールです。

これにより、対象のドメインにあるエンドポイントを列挙して、各機能のパスや API のエンドポイントを確認することができます。

例) xnLinkFinder でエンドポイントを列挙する場合

$ python3 xnLinkFinder.py -i <Domain> -sp https://<Domain> -sf <Domain> -v

注意点として、xnLinkFinder はクロールによるスキャンツールのため、十分に注意して利用してください。

dirseaech

dirseaech は、Web アプリケーションのディレクトリを列挙するツールです。

これにより、対象のドメインのディレクトリを列挙して、公開を意図していないディレクトリやファイルを確認することができます。

ちなみに、-e で拡張子リストを指定して実行することもできます。(例: -e js,php,jsp,asp)

例) dirseaech でディレクトリパスを列挙する場合

$ python3 dirsearch.py -u https://<Domain>

注意点として、dirseaech は総当たりによる列挙のため、十分に注意して利用してください。

Arjun

Arjun は、指定した URL 上にあるパラメーターを列挙するツールです。

これにより、対象のドメインのディレクトリで、非公開なパラメーターを列挙して、Reflected XSS や SQL Injection などができるか検証することができます。

例) Arjun でパラメーターを列挙する場合

$ arjun -u "https://<Domain>/<Path>"

注意点として、Arjun は総当たりによる列挙のため、十分に注意して利用してください。

byp4xx

byp4xx は、「403 Forbidden」などを回避できるかを検証するツールです。

これにより、閲覧禁止のディレクトリやファイルに対して、アクセス制限の回避ができるか手軽に検証することができます。

例) byp4xx で 403 な URL を回避できるか検証する場合

$ byp4xx https://<Domain>/<Path>

注意点として、byp4xx は総当たりによる検証のため、十分に注意して利用してください。

3. その他

Google Dorks

Google Dorks (Google Hacking)とは、Google 検索のオプションである高度な検索演算子を使用して、特定の条件で情報を効率よく取得する手法です。

関連：使えるGoogle Dorks5選

出典：バグバウンティで使えるおすすめのツール10選

Kali Linux 2023.4 リリース (Cloud ARM64, Vagrant Hyper-V & Raspberry Pi 5)

2023年も終わりに近づき、ホリデーシーズンが始まる前にKali 2023.4 がリリースされました。このリリースには、エンドユーザー向けの機能はほとんどないかもしれませんが、新しいプラットフォームが多数追加され、裏では多くの変更が行われています。ニュース、プラットフォーム、機能はさておき、新しいツールや既存のパッケージのアップグレードなど、多くの変更がなければ Kali のリリースとは言えません。新機能を確認したい場合は、新しいイメージをダウンロードするか、アップグレードをしてください。

8月にリリースされた2023.3以降の変更点の概要は以下の通りです：

• クラウド ARM64 ： Amazon AWS と Microsoft Azure マーケットプレイスに ARM64 オプションが追加されました。
• Vagrant Hyper-V ： Vagrant が Hyper-V をサポートしました。
• Raspberry Pi 5 ： 最新の Raspberry Pi ファウンデーション・デバイスで Kali を利用できます。
• GNOME 45 ： Kali テーマが最新バージョンに対応しました。
• Internal Infrastructure ： ミラービットの舞台裏を覗けます。
• New Tools ： 今回も様々なパッケージが追加されたり更新されたりしました。

クラウド ARM64 マーケットプレイス

Kali 2023.4から、Amazon AWSとMicrosoft AzureのマーケットプレイスでKali Linux AMD64とARM64の両方を提供することになりました。

ARM64がもたらす利点は、インスタンス提供におけるより多くのオプションと柔軟性であり、これはコストパフォーマンスの向上につながります。難点は、Kali Linuxが常にARMを優先的に扱ってきたとはいえ、すべてのパッケージがARM64を提供しているわけではないことです！クラウド上にラボを立ち上げ、独自のベンチマークを実行してパフォーマンスを比較してみてください。

Vagrant Hyper-V サポート

最近、Microsoft Hyper-V 仮想マシンを作成するためのビルドスクリプトのサポートを追加しました。VagrantにHyper-V環境が追加されました！

Vagrantをあまりご存知でない方は、VMware、VirtualBox、そしてHyper-Vのコマンドラインインターフェイスだと思ってください。

DockerがDockerfileを使うのと同じように、VagrantはVagrantfileを使います。これらのファイルには、仮想マシンの作成方法や、使用するオペレーティングシステム、CPU、RAM、ストレージ、ネットワーク、さらにインストールや設定のために実行するスクリプトやコマンドなどが定義されています。

つまり、私たちのVagrantは以下をサポートしています：

• Hyper-V
• QEMU
• VirtualBox
• VMware

もしこれが気に入ったのであれば、さらに詳しいドキュメントをご覧ください：

• Kali Vagrant Vagrantfile のカスタマイズ
• Vagrant 内の Kali (ゲスト VM)

また、Vagrant のビルドスクリプトも公開しています。

Raspberry Pi 5

Kali LinuxがRaspberry Pi 5で使えるようになりました！

直接ダウンロードするか、Raspberry Pi Imagerを使って自動化することができます。

GNOME 45

GNOME 45 が発表され、Kali Linux もそれをサポートするようになりました！

Internal Infrastructure

Enters Mirrorbits

現在完了したプロジェクトの一つは、「mirror redirector」の移行です。これがなければ、すべてのデフォルトの Kali インストールは apt (aka http.kali.org) を使うことができず、Kali イメージ (cdimage.kali.org) をダウンロードすることもできません。このサービスは、私たちのミラー (archive*.kali.org)、コミュニティミラー、Cloudflare (kali.download) の前に位置しています。このサービスは、地理的な位置、ミラーの速度、ミラーの「鮮度」といったいくつかの要因に基づいて、すべてのリクエストを最も近いミラーにリダイレクトする責任を負っています。

2013年3月にKaliが立ち上げられて以来、2023年11月まで私たちはMirrorBrainを使っていました。残念なことに、このプロジェクトは2015年以来メンテナンスされていないため、10年間稼働した後、別れを告げる時が来ました。現在、我々はMirrorbitsを使用しています。

Kaliの新しいツール

新しいツールが追加されなければ Kali のリリースとは言えません！追加されたものを簡単に紹介します：

• cabby - TAXII クライアントの実装
  
  
• cti-taxii-client - TAXII 2 クライアントライブラリ
  
  
• enum4linux-ng - 機能を追加した enum4linux の次世代バージョン (Windows/Samba 列挙ツール)
  
  
• exiflooter - 全ての画像 URL とディレクトリのジオロケーションを検索
  
  
• h8mail - 電子メール OSINT & パスワード漏洩調査ツール
  
  
• Havoc - モダンで柔軟なポストエクスプロイトコマンド＆コントロールフレームワーク
  
  
• OpenTAXII - TAXII サーバー実装
  
  
• PassDetective - シェルコマンド履歴をスキャンし、誤って書き込まれたパスワード、API キー、シークレットを検出する
  
  
• Portspoof - 65535 個の TCP ポートを常にオープンにしてサービスをエミュレート
  
  
• Raven - 軽量な HTTP ファイルアップロードサービス
  
  
• ReconSpider - 最も先進的なオープンソースインテリジェンス（OSINT）フレームワーク
  
  
• rling - RLI Next Gen (Rling)、高速なマルチスレッド、豊富な機能を持つ rli の代替品
  
  
• Sigma-Cli - シグマのルールをリストアップし、クエリー言語に変換します。
  
  
• sn0int - 半自動 OSINT フレームワークとパッケージマネージャ
  
  
• SPIRE - SPIFFE Runtime Environment は、ソフトウェアシステム間の信頼を確立するためのAPIのツールチェーンです。

また、多くのパッケージの更新や新しいライブラリも追加されています。また、Kaliカーネルを6.5.0にアップグレードしました！

出典：Kali Linux 2023.4 Release (Cloud ARM64, Vagrant Hyper-V & Raspberry Pi 5)

【セキュリティ事件簿#2024-043】株式会社山田製作所 ランサムウェア被害に関する調査結果のご報告 2024/4/1

当社は、第三者によるランサムウェアを用いた標的型攻撃を受け、当社サーバ保存情報の暗号化やアクセスログ抹消等の被害が発生したこと（以下「本インシデント」といいます。）を 2024 年２月７日及び８日に公表いたしました。

この度、外部の専門企業の協力のもと進めてまいりました本インシデントの調査が完了いたしましたので、調査結果及び再発防止に向けた取り組み等についてご報告を申し上げます。お客様はじめ多くのご関係先にご迷惑とご心配をおかけいたしましたことを、深くお詫び申し上げますとともに、当社の本インシデントへの対応について多くのご支援を賜りましたことについて深く感謝申し上げます。

１．調査結果

（１）被害の原因

2024 年１月、当社保有のリモートアクセス装置が攻撃者からのサイバー攻撃を受け、当該リモートアクセス装置を通じて攻撃者が社内ネットワークに不正侵入し、探索行為を行っていたことが調査により確認されました。また、2024 年２月、クラウドサービス上に当社が構築していた当社サーバに不正侵入され、当該サーバからその他のドメイン配下のサーバにも不正侵入されていたことも確認されました。

（２）被害の拡大

2024 年２月６日の深夜に不正侵入されたサーバ上で EDR機能を無効化した上でランサムウェア「LockBit」が展開され、社内ネットワーク上の複数のサーバに保存されていたデータが暗号化されました。併せまして、ランサムウェアの展開を実行したサーバのイベントログの消去を実施し、証拠の隠滅を図った痕跡も確認されております。

２．再発防止に向けた取り組み

 本インシデントにおいて侵入経路となった脆弱性への対策は完了しておりますが、 より高度な情報セキュリティレベルを実現するために、外部の専門機関による脆弱性 診断の結果やアドバイスに基づき、継続的な改善及びセキュリティ監視体制の強化 を行い、再発防止に取り組んでまいります。

３．マイナンバー情報及び個人情報の流出可能性について

 本インシデントの調査を通じて、マイナンバー情報や個人情報が外部に持ち出された痕跡については現時点で確認できておりません。

しかしながら、外部流出の可能性を完全に否定することは難しいことから、万一、情報流出があった場合の二次被害の防止を最優先と考え、流出可能性のある情報について以下のとおりお知らせします。

なお、2024 年２月９日及び 2024 年３月 29 日に個人情報保護委員会への報告を実施しております。

（１）マイナンバー情報

 ①2016 年３月時点で、当社従業員であった方

（２）個人情報

 ①お客様及びご関係先のご担当者様

 →氏名及び役職を含む、業務上の連絡先情報が主となります。

 ②当社株主様

 ③採用候補者様

 ④当社従業員及び過去当社従業員であった方

４．マイナンバー情報の流出可能性がある方に向けた当社対応

現時点では二次被害は確認されておりませんが、マイナンバー情報の流出の可能性がある方に対しては、情報の性質を鑑みた対応について順次個別にご連絡を実施いたします。

５．個人情報の流出可能性がある方に向けた当社対応

現時点では二次被害は確認されておりませんが、今後個人情報が流出した可能性がある方に対し、当社関係者になりすました不審メールやご連絡があるおそれがございますのでご注意いただけますようお願い申し上げます。

皆様には、多大なるご迷惑とご心配をおかけしておりますことをあらためてお詫び申し上げます。

当社では、今回の事態を真摯に受け止め、警察及び関係当局の要請や指示には迅速かつ適正に対応するとともに、より一層の管理体制の強化に向けて努力してまいりますので、何卒ご理解とご協力を賜りますようお願い申し上げます。

リリース分（アーカイブ）

【2024年2月8日リリース分】

リリース文（アーカイブ）

【2024年2月7日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-034】埼玉県健康づくり事業団 Ｘ線画像読影システムへの不正アクセス攻撃について 2024/3/28

本事案（令和６年１月３１日資料提供）につきましては、１月２９日（月）に発覚後、２月３日（土）に当事業団において、埼玉県警、システム会社立会いのもと、専門の調査会社が侵入経路や個人情報の漏洩の有無などに関する調査（フォレンジック調査）を開始しました。

その後、約１か月の調査を行い、３月２１日（木）に当事業団に最終報告書が提出されましたので、その概要を下記のとおり報告させていただきます。

今回の不正アクセス攻撃を厳粛に受け止め、再発防止に向けたセキュリティ対策の強化に取り組んでまいります。

１ 侵入経路

攻撃者は、インターネットに接続しているＶＰＮを経由して、１月２７日(土)１６時２４分にＸ線画像読影システムの偵察活動に成功。

翌２８日(日)１８時３６分に不正侵入、１８時４１分に探索活動、その後防御回避等を行い、サイバー攻撃を実行した。

２ 個人情報漏洩の有無

個人情報については、データの窃取と漏洩の痕跡は確認されなかったが、ＲＤＰ（リモートデスクトッププロトコル）を使用してもデータの転送ができることなどから、データ窃取の有無を完全に断定することはできない。

※ＲＤＰは、Ｗｉｎｄｏｗｓオペレーティングシステムで使用されるリモートデスクトップ接続のためのプロトコル。ＲＤＰを使用すると、ネットワーク経由で別のコンピュータに接続し、そのコンピュータのデスクトップを操作することが可能。

 

＜Ｘ線画像読影システムに保存されていた個人情報＞

 Ｘ線画像（胸部、胃部、乳部）及び超音波画像（腹部、乳部）と画像に付帯する情報（氏名、年齢、生年月日、性別、検査日、ＩＤ、撮影番号、問診、過去の所見と判定、今回の所見と判定）、モアレ検査画像（画像に付帯する情報は学校名、撮影番号）約９４万人分。ただし、住所や電話番号、市町村名、事業所名は含まれておりません。

３ 感染台数

 サイバー攻撃の被害を受けた機器は、Ｘ線画像読影システムに関係する１０台（サーバ８台、端末２台）※現在、ネットワークから切断しています。

４ 現状の対応状況

Ｘ線画像読影システムを使用しない方法で事業を継続しています。

具体的には、健診センターや検診車で撮影した X 線画像を専用のＵＳＢメモリ（ウィルスチェック済）に保存し、Ｘ線画像読影システムとは別の独立した読影観察装置に取込み、その画像を読影医が直接読影し、所見を読影簿に手書きします。その手書きした所見を結果処理システム（ウィルスチェック済）に手入力し、結果通知書を打ち出します。

Ｘ線画像の読影については、読影医が当事業団に来所する頻度を増やすことで、従前どおりの期間内で検診結果を提出いたします。

５ 今後のセキュリティ対策

Ｘ線画像読影システムのバックアップデータ（暗号化はされなかった）を４月上旬までに読影観察装置に移行し、有識者の意見を踏まえながら、堅牢なセキュリティ対策を講じた新たなＸ線画像読影システムを令和６年１２月までに構築する予定です。

従来のＸ線画像読影システムについては、バックアップデータの新たなＸ線画像読影システムへの移行が終了した時点で廃棄し、再利用はしません。

併せて、健康づくり事業団のセキュリティ対策全般についても外部の有識者の意見を踏まえながら検証し、セキュリティ対策の強化に取り組んでまいります。

リリース文（アーカイブ）

【2024年1月31日リリース分】

リリース文（アーカイブ）

【セキュリティ事件簿#2024-146】プルデンシャル生命保険株式会社 当社元社員によるお客さまの個人情報の漏えいに関するお詫びとお知らせ 2024/4/9

 

この度、当社元社員が当社を退職する際に不正にお客さまの個人情報を持ち出し、転職先企業へ開示および転職先企業で一部使用したことが判明いたしました。

お客さまならびに関係者のみなさまには、多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申しあげます。

該当するお客さまのうち、当社からのご連絡が可能なお客さまにつきましてはすでに個別に郵送等にてご連絡をさせていただいております。

当社では、これまで個人情報について、厳格な取扱い・管理の徹底に努めてまいりましたが、今回の事態を重く受け止め、二度とこのようなことを起こさぬよう、より一層の管理体制の強化に努めるとともに、不正な持出し・使用等の犯罪行為には厳正に対処してまいります。

1. 本件の概要

当社横浜支社に在籍していた元社員が、退職時に個人情報の持出しが無いことについて誓約書へ署名していたにもかかわらず、業務引継ぎの際に使用した顧客管理リスト（以下「本件顧客管理リスト」といいます。）を印刷し、退職後も不正に自宅にて保管をしていました。

2023 年 9 月、当社ご契約者さまから本件個人情報漏えいの疑いに関するお問合せをいただき、当社にて調査をしたところ、当該元社員が転職先企業に本件顧客管理リストを持ち込み、当該企業の営業活動に一部使用していたことが判明しました。

2. 漏えいが発生した個人データの項目

ご契約に関する以下の情報

ご契約者さまの氏名、電話番号、住所、加入商品名、証券番号、団体名（団体加入があ

る場合）、ご加入商品のステータス、被保険者さまの氏名

お客さま 979 名（契約者・被保険者）

3. 二次被害の有無

当社による確認では、現在まで本件個人情報漏えいに伴う二次被害の発生は確認されておりません。当社元社員の転職先企業は本件顧客管理リストから、計８名の当社お客さまに対して営業電話の架電をいたしましたが、その後、当該顧客管理リストはすべて廃棄処分がなされたことを確認しております。

4. 当社の対応

本件発覚後、速やかに金融庁ならびに個人情報保護委員会に本件を報告し、警察にも相談しております。また、該当するお客さまのうち、当社からご連絡が可能なお客さまにつきましてはすでに個別に郵送等にてご連絡をさせていただいております。

5. 再発防止策

支社管理職および営業社員への教育を再徹底するとともに、顧客情報の持出しを防ぐための技術的な安全管理措置をより一層強化いたします。具体的には退職予定者による顧客情報アクセスの制限、印刷制限等の措置を強化してまいります。

お客さまには多大なるご迷惑とご心配をおかけしましたことをあらためてお詫び申しあ

げます。

リリース文（アーカイブ）

ユナイテッド航空が悪臭溢れるファーストクラスサービスを展開か！？

 

顧客軽視の姿勢で有名なユナイテッド航空が新たなサービスを開始した模様。

アメリカ・テキサス州ヒューストンからワシントン州シアトルに向かっていたユナイテッド航空の飛行機は、2024年4月5日、お犬様の都合で別空港に着陸した。

飛行機に搭乗していたというジェームス・ホッブスさんは「ファーストクラスのトイレでひどい悪臭がして、清掃後も残りのフライトでは使用できなった」と語っている。

ホッブスさんによると、飛行機の通路には複数の液体状の排泄物が落ちており、隣りの乗客の靴にも飛び散った。

ホッブスさんが撮影した動画には、乗務員がペーパータオルやゴミ袋を使って汚物を片付ける様子が映っている。

乗客にはマスクとウェットティッシュが提供されたという。しかしホッブスさんは「臭いは全く消えなかった」としている。

ユナイテッド航空は2024年4月10日、問題が発生したことを認めたが、詳細は明らかにしなかった。

ユナイテッド航空では、介助動物を除いて、お猫様やお犬様などは座席下に収まるキャリーケースに入れることが義務付けられている。

問題が発生したフライトに乗っていたのが介助犬だったかどうかは明らかになっていない。

ユナイテッド航空は、3月にもドイツからアメリカに向かっていたユナイテッド航空便で機内トイレが溢れ、悪臭溢れる機内サービスを展開した。

出典：米飛行機で犬の下痢が原因でファーストクラスに悪臭充満。途中で着陸を余儀なくされる

【セキュリティ事件簿#2024-145】岐阜県 従業員結婚支援団体に係る個人情報の漏えいについて 2024/4/3

 

ぎふマリッジサポートセンターの運営委託事業者（日本イベント企画（株）・以下「運営委託事業者」）がメールを送付した際に、メール文中のリンク先ファイルの設定を誤り、「従業員結婚支援団体」の担当者氏名等が閲覧できる状態となる個人情報の漏えい事案が発生しました。

１ 事案の概要

○３月３１日（日）に運営委託事業者職員が、従業員結婚支援団体※ （登録 307 者・以下「団体」）宛にメールマガジンを送付した際、本文内に記載した婚活イベント情報のリンク先を誤って設定し、送信。（本来イベント情報のファイルとすべきところ、誤って団体の名簿ファイルを設定。）

○リンク先から各団体の担当者の氏名（301 名分）、個人メールアドレス（192 件）等が掲載された ファイルが閲覧可能となり、リンク停止までに１３団体が閲覧（アクセス記録から解析）。

 ※従業員結婚支援団体…県内に事業所があり、独身従業員の方に婚活イベント等の情報を提供し、支援いただ いている企業・団体（https://konsapo.pref.gifu.lg.jp/supporter/jyugyoin/）

２ 経緯

・３月３１日（日）１４時００分

運営委託事業者職員が、婚活イベントを案内するメールマガジンを団体宛に送付。この際、リンク先ファイルの内容確認を行わないまま送信。

・４月 １日（月）１８時ごろ

メールマガジン受信者からぎふマリッジサポートセンターにリンク先の誤りを指摘する旨の連絡があり、運営委託事業者において事態を把握。１９時２５分までにリンク停止の作業を完了。 （その後、県担当者にメールで報告がなされたが退庁後のため翌朝開封）

・４月 ２日（火）

運営委託事業者からリンク先にアクセスした１３団体に対し、ファイル削除を依頼するとともに不拡散を確認。

・４月 ３日（水）１１時３０分

 運営委託事業者から全団体に対し、事案の説明と謝罪を実施。

３ 現在の状況について

 本件に起因する個人情報の不正利用やトラブルは確認されていない。

４ 今後の対応について

• 運営委託事業者において、メール送付時の確認を徹底（送付先、添付ファイル、リンク先を複数人でチェック）。個人情報を含むデータはパスワード設定を必須とし、他ファイルと分けて管理。
  
  
• 県主導により、本事業に係る情報関連業務のリスクの洗出しと対策を確認。運営委託事業者を含む 業務従事者への情報セキュリティ研修を速やかに実施。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-144】愛知県医療療育総合センターにおける個人情報の紛失について 2024/4/11

 

愛知県医療療育総合センター中央病院において、入院患者に関する個人情報の入ったＵＳＢメモリを紛失したことが判明しました。

現時点で、紛失した個人情報の患者家族への謝罪は１名を除いて終えており、また、本事案による悪用等の被害は確認されておりません。

患者、御家族の皆様を始め、関係者の方々に御迷惑をおかけし、深くお詫び申し上げるとともに、今後、個人情報の適切な管理及び取扱いの徹底を行い、再発防止を図ってまいります。

１ 紛失した個人情報

愛知県医療療育総合センター中央病院（こばと棟※）の入院患者に関する以下の情報

• 患者氏名及び生年月日 33 名分
• 患者の支援に必要な情報を記載したシート（患者の氏名も記載） 15 名分
• 院内での様子を記録した写真 38 名分

※重度の知的障害と肢体不自由が重複している方が入院する病棟

２ 紛失の経緯等

４月２日（火）午前８時頃

• 職員は、患者情報の共有資料や院内での様子を御家族に知らせるお便り等を作成し、印刷しようとしたところ、パソコンに接続されているプリンタが故障しており、公用のＵＳＢメモリの管理者（上司）が病棟に不在であったため、私物のＵＳＢメモリに当該個人情報を保存し、他のパソコンで印刷した。 
  
  
• 印刷を終え、同ＵＳＢメモリをユニフォームのポケットに入れた。

４月６日（土）午後１時頃

• 職員が同ＵＳＢメモリの紛失に気付いた。
  
  
• 病棟内の他、職員は自家用車で通勤しており、４月２日以降、寄り道等はしていないため、自宅、自家用車等、心当たりを探したが発見できなかった。

４月７日（日） 

• 病棟の他の職員に紛失の件を報告し、同ＵＳＢメモリを見ていないか確認したが、誰も見ていないとのことだった。

４月８日（月）～９日（火）

• 病棟の全職員で探したが発見できなかった。
  
  
• ４月９日（火）、看護部長及び師長へ報告した

４月 10 日（水） 

• 午後４時頃から、対象者の家族に対して、電話で状況を説明し、謝罪した。

〇 紛失したＵＳＢメモリ及び情報にはパスワード等の設定はされていない。

〇 現時点で個人情報の悪用等は確認されていない。

３ 当事者への対応

愛知県医療療育総合センター中央病院から、対象者の御家族に対し、状況の説明及び謝罪を行っている。（４月 11 日（木）15:00 現在 38 名中 37 名に謝罪済）

４ 今後の対応策等

 愛知県医療療育総合センター全職員に対し、以下の対応を実施する。

• 個人情報を扱うことの重要性について改めて周知徹底するとともに、情報管理に対する認識の向上のため、研修会を実施する。
  
  
• センターにおいては、公用のＵＳＢメモリ以外に業務情報を保存することは禁止されているため、私物のＵＳＢメモリの使用禁止について改めて周知徹底する。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-143】NPOあおぞら パソコンの紛失に関するお詫びと報告 2024/4/9

 

特定非営利活動法人 NPO あおぞらにおいて、事業所内の事務執務室内で職員に貸与しているパソコン1台が紛失していることが判明しましたので、お知らせいたします。 なお、現時点で本件に関わる個人情報の不正利用等は確認されておりません。

当法人の利用者及び関係者の皆様には、多大なるご迷惑とご心配をおかけすることに深くお詫び申し上げます。現在、鋭意調査を続けておりますが、現時点での事実関係は以下の通りです。

1. 概要

2024 年3月 28日 (木) 16:00 ごろ、就労継続支援 B 型事業所 AOLA の職員事務所スペースにて、職員に貸与されているノートパソコン 1 台が紛失していることが判明しました。

2. 紛失の内容

紛失したパソコン本体には個人情報の保存はなく、法人サーバに対して第三者からの不正なアクセスがあった可能性はないことを確認しています。

3. 原因

事務所内に部外者が立ち入った可能性と、当該職員によるパソコンの保管管理が徹底していなかったことが判明しております。

4. 今後の対応

全ての利用者にたいして、順次、お詫びとお知らせ文書をお送りさせていただきます。

本件については、 関係する各行政機関ての報告を行っており、今後とも引き続き外部保守業者と協力して、調査を行っていきます。

今後、こうした事態を招くことがないよう個人情報の保護と管理を一層徹底し、 再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-142】高槻市 個人情報を含む電子記録媒体（USB メモリ）の紛失について 2024/3/26

 

１ 概要

高槻市立中学校で、生徒の個人情報が保存されていた可能性がある電子記録媒体（暗号化機能付き USB メモリ。以下「USB メモリ」）の紛失が判明しました。

※保存されていた可能性のある個人情報

・生徒の指導に係る資料（生徒 1 名分）

・在籍生徒一覧（全生徒の学年・学級・出席番号・氏名（よみがな含む）・性別）

・公開研究授業の写真データ 4 枚

２ 経過

3 月 1 日、校長から市教育委員会に、いつも保管している保管場所に USB メモリがないことに気付いたとの報告がありました。

聞き取り等の調査の結果、USB メモリに個人情報が保存されていた可能性があることが判明したため、校舎内外の捜索を行ってきたものの本日時点で発見に至らず、公表することと致しました。

なお、USB メモリは自動で暗号化される仕様のものでパスワードが設定された状態であり、現時点において、個人情報の流出は確認されていません。また、校舎外へ持ち出した経過は確認されていません。

３ 対応

警察署に遺失物届を提出するとともに、引き続き、USB メモリの捜索を行います。また、関係者への謝罪と経過報告を行います。

４ 再発防止について

USBメモリを含む情報機器の適切な管理や個人情報の取扱いについて改めて徹底します。

５ お詫び

関係者の皆様に多大なご迷惑をおかけし深くお詫び申し上げます。このような事態を重く受けとめ、保護者、市民の皆様の信頼を一日も早く回復するよう努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-141】福岡県信用農業協同組合連合会 個人情報漏えいについて 2024/3/11

 

令和６年３月５日（火）、当会職員による電子メールアドレスの送信先設定ミスにより、個人情報を含む９８件のデータが会外に漏えいする事案が発生しました。

対象の皆様へは、個別にお詫びと本件の説明をさせていただきましたが、このような事態が発生し、対象の皆様はもとより関係者の皆様に、多大なるご迷惑とご心配をおかけすることになり、改めて深くお詫び申しあげます。

今回の事態を重く受け止め、改めて個人情報等の管理徹底および電子メールの運用方法の見直し等を図り、再発防止と信頼回復に努めてまいります。

（発生事象）

• 令和 6 年 3 月 5 日（火）、個人情報（ＪＡ名、氏名、生年月日、年齢）について、送信先の電子メールアドレスのドメインを「＠gmail」とすべきところを誤って「＠gmai」と設定し、送信を行いました。
  
  
• 同日、関係省庁・県警に対して、今回の事象について報告を行いました。
  
  
• 令和 6 年 3 月 7 日（木）から 8 日（金）において、対象の皆様へ個別に謝罪文書を手交させていただくとともに、お詫びと本件の説明を行いました。
  
  
• 現時点では、本件にかかるデータ悪用等の事実は確認されておりません。

（再発防止）

• 外部へ送信する全てのメールについて、役席者によるアドレス確認を事前に行ったうえでメール送信を行うよう徹底を図っています。また、送信先に対しメール着信を確認したうえで、暗号化解除のパスワードを送付するよう徹底を図っています。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-140】鹿児島県警の巡査長が機密情報をお漏らししてタイーホされる

 

鹿児島県警は、刑事事件に関連する機密情報を漏らしたとして、曽於署の巡査長である藤井光樹容疑者（49歳）を地方公務員法違反の疑いで逮捕しました。先月、県警が100件以上の事件で内部文書が流出した可能性を指摘し、関連を調査していたところ、藤井容疑者の行為が発覚したものです。

藤井容疑者は、鹿児島県警察本部の公安課に所属していた去年の6月、スマートフォンのメッセージアプリを使用して特定の個人の犯罪歴などの情報を第三者に送信しました。また、先月には刑事事件の当事者の個人情報が含まれる内部文書である「告訴・告発事件処理簿一覧表」を数十枚郵送し、職務上の秘密を漏らした疑いがかけられています。

藤井容疑者は調査に対し容疑を認め、「県民の皆様と警察組織に迷惑をかけ申し訳ない」と述べています。

この内部文書の流出は、ネットメディアの記事で新型コロナの患者の宿泊療養施設で性的暴行事件が発生した際に、個人情報を黒塗りにした状態で掲載されたことで判明しました。県警は先月、これを含む100件以上の事件で約300人分の個人情報が流出した可能性が高いとしており、その流出経路を捜査しています。

鹿児島県警察本部の牛垣誠首席監察官は記者会見で、「適切に管理すべき情報が流出し、ご迷惑とご心配をかけたことを深くお詫び申し上げる。今後の捜査結果を踏まえて厳正に対処していく」と述べました。

出典①：49歳巡査長が捜査資料漏えい　スマホアプリで第三者に送信、鹿児島県警が容疑で逮捕　一部ウェブメディア掲載との関連性は「捜査中」

出典②：鹿児島県警の警察官を逮捕 事件の内部文書を漏えいした疑い

【セキュリティ事件簿#2024-139】株式会社食品速報 当社公式Facebookページへの不正ログインに関するお知らせ 2024/4/8

 

当社が管理する一部の公式Facebookのアカウントが、2024年3月29日、第三者からの不正ログインが行われた事が判明いたしました。

これまでに個人情報の流出等、二次被害は確認されておりませんが、万が一、当社を装ったダイレクトメールや外部サイトに誘導するURLが付いた案内等が届いた場合は、開かないようご注意のほどお願い申し上げます。

現在、該当する公式Facebookページは停止しております。関係者の皆様には、ご心配をおかけしており誠に申し訳ございません。安全性が確認され次第、ページを再開する予定ですので、準備が整いましたら改めてお知らせいたします。

当社は今回の事態を重く受け止め、今まで以上にセキュリティ体制を強化し、再発防止を徹底してまいります。

リリース文（アーカイブ）