2024 年 6 月 6 日付お知らせ「外部委託先のコンピュータウィルス感染に関するお知らせ」に関しまして、委託先の調査により、当行のお客様4名の個人情報(氏名および住所)流出の恐れがあると報告を受けておりましたが、個人情報の流出はなかったとの最終報告を受けました。
お客様には多大なるご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。
引き続きごうぎんをご愛顧賜りますようお願い申し上げます。
【2024年6月6日リリース分】
【セキュリティ事件簿#2024-313】かずさ水道広域連合企業団 個人情報流出の可能性について 2024/7/18
1 概要
令和6年度から、かずさ水道広域連合企業団(以下「広域連合企業団」という。)において稼働している水道管などの情報を電子化して管理している管網管理システムに関し、当該システムを導入し保守管理している東京ガスエンジニアリングソリューションズ株式会社(以下「TGES」という。)からネットワークが外部からの不正アクセスを受け、作業用に提供しているお客様番号、氏名等を含む個人情報が一時的に外部から閲覧可能な状態であったため、流出の可能性があるとの報告がありました。
2 情報流出の可能性がある個人情報について
TGESの公表資料によれば、氏名、住所、連絡先等で、金融機関口座情報は含まれていないとのことですので、流出が判明した場合でも被害は限定的と思われます。なお、広域連合企業団からTGESに情報提供した資料は、使用者氏名、所有者氏名、住所、電話番号、水栓番号、メーター番号、使用水量で、図面情報は含んでいません。
3 システムについて
管網管理システムは、広域連合企業団内のセキュアなネットワークで運用していますが、システム不具合等に備えてTGESのネットワークシステムにおいても保守用のデータを管理しており、これが流出の可能性があることが判明したものです。
4 今後の対応
TGESでは調査を継続中とのことですので、情報が進展しだい、TGESとともに適切な対応に努めてまいります。また、本件に関するお問い合わせにつきましては、TGESが設置した下記窓口までご連絡頂きますようお願いいたします。
【セキュリティ事件簿#2024-320】株式会社ムラヤマ セキュリティインシデント発生のご報告 2024/7/18
このたび、不正アクセスにより当社のサーバー内ファイルが暗号化されるランサムウェア被害が発生したことを報告致します。
本件については速やかに社内対策本部を設置しており、現在は警察への相談を行い、外部専門家の助言を受けながら、影響の範囲等の調査を進めております。
被害を受けたサーバーは当社の業務上のデータ保管に使用されていたものの一つであり、7 月 14 日未明に悪意ある攻撃により被害を受けました。お取引先ならびに関係先の皆様には多大なるご不安とご迷惑をおかけしますことを深くお詫び申し上げます。
当社は被害を確認後、即座に当該サーバーを社内ネットワークから遮断し被害の拡大を防ぐとともに、引き続き本件を徹底的に調査し、早期の解明と再発防止にむけての、あらゆる予防措置を講じて対応してまいります。
被害の全容を把握するには、しばらく時間を要する見込みです。調査に進捗がございましたらあらためて報告させて頂きます。
【セキュリティ事件簿#2024-313】さいたま市 業務委託先が管理する水道情報への不正アクセスについて 2024/7/18
さいたま市水道局の委託業務における業務再委託先のネットワークが外部から不正アクセスを受け、当市水道局をご利用の一部のお客様に関する情報が外部から閲覧可能な状態になっていたことが判明しました。
※7月17日時点での個人情報の不正利用等は確認されておりません。
1.概要
(1)発生の状況
当市水道局の配水管やお客様の引込み管等の情報を管理するシステム(管路情報システム)の運用業務を委託している水道マッピングシステム株式会社(以下「AMS」とする。)から再委託している東京ガスエンジニアリングソリューションズ株式会社のネットワークが外部から不正アクセスを受け、一部のお客様に関する情報が閲覧可能な状態になっていました。
(2)判明した経緯等
7月17日(水曜日)16時ごろ、AMSから、外部からの不正アクセスを受け当市水道のお客様に関する情報が閲覧可能な状況にあったとの連絡があり、個人情報の流出の可能性が判明しました。
なお、AMSによると、不正アクセス確認後、ネットワークへの外部からの経路は、速やかに接続遮断を行い、それ以降外部からアクセスができないよう対策を講じたとのことです。
2.流出した可能性のある個人情報
7月17日時点で判明している流出した可能性のある個人情報は、当市水道局をご利用の一部のお客様の2005年度、6,399件の情報(お客様番号、お客様名、住所、電話番号、使用量)
※7月17日時点での個人情報の不正利用等は確認されておりません。
3.今後の対応
現在、その他の個人情報の流出の有無等について調査中です。あらためて判明した事実は、市ホームページなどでお知らせします。情報が流出した可能性のあるお客様への連絡等については、委託業者と連携して速やかに進めるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。
4.再発防止策
委託業者に対し、個人情報の厳正な管理や情報セキュリティ指導の徹底について、再度指導・監督を行い、再発防止に努めてまいります。
【セキュリティ事件簿#2024-313】横浜市 委託事業者による個人情報の漏えいの可能性について 2024/7/18
東京ガスエンジニアリングソリューションズ株式会社(東京都港区。以下、「TGES」。)のネットワークが外部から不正アクセスを受けたことに伴い、横浜市水道局がマッピングシステム(※)の開発業務委託時に同社に提供し、本来消去されているべき個人情報を含むデータが、同社サーバー内に残っていたことにより、情報が外部から閲覧可能な状態になっていたことが判明しました。
※水道管路等の情報を一元管理するシステム、開発期間は平成 30 年 10 月から令和2年5月まで
1 判明した経緯
7月 16 日(火曜日)16 時頃、TGESから、同社のネットワークが外部からの不正アクセスを受け、システム開発時に借用したデータの一部が閲覧可能な状況にあったとの連絡があり、個人情報の漏えいの可能性が判明しました。
なお、TGESによれば、7月 17 日時点で情報流出の痕跡は確認されていないとのことであり、また、ネットワークへの外部からの経路は速やかに遮断し、外部からアクセスできないよう対策を講じたとの報告を受けています。
2 漏えいした可能性のある個人情報
平成 30 年度時点で設置されていた、約 14,000 件の受水槽の申請に係る、申請者の住所・氏名・電話番号・受水槽の設置場所
3 今後の対応
情報が流出した可能性のあるお客様への連絡等については、TGESと連携して速やかに進めてまいります。
また、TGESから今回の一連の経緯について詳細な報告を受けるとともに、開発終了時に適切にデータが消去されなかった原因究明を求めていきます。
その上で、再発防止に向けた必要な対策を検討していきます。
4 その他
7月 17 日に、TGESが本件を含む情報流出の可能性に関するプレスリリースを行っております。
【セキュリティ事件簿#2024-319】吉田町立図書館 不正アクセス発生による個人情報流出可能性のお知らせとお詫び 2024/7/17
7月14日(日)、本町の「ちいさな理科館」のインターネットパソコンに不正なアクセスがあり、理科館の利用者の個人情報が流出した可能性があります。現時点において被害は確認されていませんが、皆様にご心配をお掛けしますこと、深くお詫び申し上げます。
【概要】
同日、ちいさな理科館の職員がインターネットに接続したパソコンを操作していたところ、偽の警告画面が表示され、電話で連絡を取り、指示に従って操作を進めたところ、遠隔操作が始まったことから、職員が不審に感じ、電話とパソコンを強制終了しました。
現在、詳細を調査中で実際に個人情報が流出したかどうかは不明です。
今回は、いわゆる「サポート詐欺」に該当すると思われますが、対応を途中で遮断しており、金銭的被害は現在のところ発生しておりません。
【流出した可能性がある個人情報】
・「ちいさな理科館」の講座申込者約450人の住所、氏名、電話番号、メールアドレス、学校名、学年、保護者名(2021年度、2022年度)
・メールの送受信記録、約1300件(2020年8月から2024年7月まで)
【今後の対応】
専門業者に依頼し、個人情報の流出の有無について確認を進めます。
【セキュリティ事件簿#2024-313】神奈川県 委託事業者による個人情報の流出の可能性について 2024/7/17
神奈川県営水道(企業庁)の業務委託先のネットワークが外部から不正アクセスを受け、県営水道をご利用の一部のお客様に関する情報が外部から閲覧可能な状態になっていたことが判明しました。
1 概要
(1)発生の状況
県営水道の配水管やお客様の引込管等の情報を一元管理するシステム(管路情報システム)の運用業務を委託している、東京ガスエンジニアリングソリューションズ株式会社(東京都港区。以下、「T社」。)のネットワークが不正アクセスを受け、県営水道のお客様に関する情報が外部から閲覧可能な状態になっていました。
(2)判明した経緯等
7月16日(火曜日)16時頃、T社から、外部からの不正アクセスを受け県営水道のお客様に関する情報が閲覧可能な状況にあったとの連絡があり、個人情報の流出の可能性が判明しました。
なお、T社によれば、7月17日16時時点で情報流出の痕跡は確認されていないとのことであり、また、ネットワークへの外部からの経路は速やかに遮断し、外部からアクセスできないよう対策を講じたとのことです。
2 流出した可能性のある個人情報
県営水道ご利用の一部のお客様約3万7千件の情報(使用者名、住所、水栓番号、年間の使用水量)(7月17日時点)
3 今後の対応
情報が流出した可能性のあるお客様への連絡等については、T社と連携して速やかに進めます。
T社から詳細な報告を受けるとともに、原因究明や再発防止に向けた必要な対策を求めていきます。
4 その他
本日、T社が本件を含む情報流出の可能性に関するプレスリリースを行っております。
【セキュリティ事件簿#2024-313】金沢エナジー株式会社 当社のシステム保守業務委託先への不正アクセスについて 2024/7/17
この度、金沢エナジー株式会社で使用しているマッピングシステム(※1)の保守業務の委託先である東京ガスエンジニアリングソリューションズ株式会社(https://www.tokyogas-es.co.jp/)が第三者からの不正アクセスを受けたことが判明いたしました。同社は、不正アクセス確認後、外部との接続遮断を行い、それ以降の不正なアクセスが出来ないように対策を講じております。
お客さま情報(※2)の流出の可能性については、現在その痕跡は確認されておりません。
また、現時点で情報が不正利用された事実も確認されておりません。
お客さまにご心配をおかけしておりますことを深くお詫び申し上げます。
今後、新たな事実が判明した場合は、改めて報告いたします。
※1 マッピングシステム
電子地図上でコンピューター上の地図情報の上にガス管やガス付属設備(バルブ・整圧器等)の情報を重ね合わせて登録し情報を一元管理するシステム。
緊急保安や検針等の各種業務機会において、道路上・各需要家さまのガス管の管種・口径・位置等の確認やガス導管設計に使用しています。
※2 流出の可能性のある個人情報
お客さま番号、お客さま名、住所等
なお、電話番号、ガス料金、金融機関口座情報は含まれておりません。
【セキュリティ事件簿#2024-318】滋賀労働局 委託事業受託者による個人情報漏えい事案について 2024/7/17
滋賀労働局(局長 多和田 治彦)は、委託事業受託者である一般社団法人滋賀県病院協会において発生した個人情報の漏えい事案について、以下のとおり当該事実を確認の上、必要な措置を講じましたので、概要をお知らせします。
1 事案の概要
滋賀労働局及び滋賀県は、一般社団法人滋賀県病院協会(以下、「病院協会」という。)に対し、「令和6年度 医療労務管理支援事業」を委託しており、病院協会は「滋賀県医療勤務環境改善支援センター」(以下、「勤改センター」という。)として事業を行っている。
令和6年4月 11 日、勤改センター職員が、業務用端末の操作中にサポート詐欺に遭い、Outlook メールファイルが消去された。ウイルス感染は確認されなかったが、メールファイルデータが消去され、端末が一時的にリモート操作されていた可能性がある。
同データ内の勤改センター関係のデータには、勤改センターがアドバイザーとして委託契約する社会保険労務士6名の氏名及びメールアドレス(うち3名は加えて金融機関口座番号及び印影)の個人情報が含まれており、これら個人情報漏えいのおそれがある事案が発生したもの。
2 事実経過
(1)令和6年4月 11 日
勤改センター職員Aが、休憩時間中に業務用端末から Web ページを閲覧中、警告音とともに Microsoft 社へ電話するよう警告画面が表示された。
職員Aが表示された電話番号に架電し、外国人らしき人物から指示された URL へ誘導されアクセスした。続いて、コンビニエンスストアでプリペイドカードを購入するよう指示されたため、不審に思い、勤改センター職員 B に伝えたところ、職員 B は当該端末の電源を落とし、職員Aは切電した。
その後、職員Bから当該端末のリース会社に連絡。リース会社はリモートで当該端末のチェックを実施。その結果、リース会社は端末を引き取り確認することとなった。
(2)令和6年4月 12 日
リース会社に端末を引き渡した。その際、端末内データを USBに保存。
(3)令和6年4月 19 日
リース会社より初期化後の端末納品。USB 内データを端末に戻した。リース会社によると、
・端末及び USB データにウイルス感染はない。
・Outlook メールファイルについては復元できなかった。
・データが流出したかどうかの判断はできない。
とのことであった。
(4)令和6年5月9日
勤改センター職員 C から滋賀労働局雇用環境・均等室に対し、「勤改センター業務でリース契約している業務用端末の、初期化費用の委託費計上について確認したい。」との問い合わせがあり、初期化を行った理由を確認したところ、ウイルス感染の可能性が判明した。
(5)令和6年5月 14 日
情報セキュリティインシデント事案の可能性があることから、雇用環境・均等室長、同室監理官が勤改センターに赴き、職員A及びリース会社担当者から事情聴取し、上記(1)~(3)の経過を確認した。同日、雇用環境・均等室長から職員 A に対し、今後、私用での業務用端末使用の禁止及び不審サイト・メールが表示・受信された場合は、直ちに通信遮断するよう指示を行った。
(6)令和6年6月3日
職員 A より、個人情報に金融機関口座番号及び印影が含まれていた3名のアドバイザーに対し架電のうえ謝罪訪問について打診するも、「被害もないので訪問不要」とのことであったため、当該事案の概要を説明のうえ、自身の不注意により個人情報漏えいのおそれがあることを伝え謝罪した。
(7)令和6年6月 10 日
滋賀労働局雇用環境・均等室長がアドバイザーあて架電。経緯を説明のうえ謝罪を行った(うち1名は6月 13 日に来局し、その際に説明及び謝罪)。
(8)令和6年6月 12 日
病院協会において開催された勤改センター月例会議において、病院協会事務局長が本件概要及び原因・再発防止策について説明のうえ謝罪した。
(9)令和6年7月2日
職員 A より、(7)以外の3名のアドバイザーに対し架電のうえ謝罪訪問の申し入れを行うも、特に迷惑を被っておらず訪問不要とのことであったため、電話による謝罪とともに再発防止策を伝えた。
4 発生原因
(1)直接の原因は勤改センター職員の情報セキュリティ、個人情報保護に関する認識、知
識の低さを要因とした以下の情報セキュリティに対する危険行動。
・私用での業務端末の使用
・警告画面表示後の通信の遮断をしなかった
・不審画面に誘導されるまま、不審サイト(URL 入力)へアクセスした
(2)間接原因として、受託事業者である病院協会における情報セキュリティ、個人情報保
護に関する教育、周知不足。
5 再発防止策
【勤改センターにおける取組】
●実施済の措置
(1)令和6年4月 19 日、22 日、病院協会において、以下の情報セキュリティ対策としての基本行動等を勤改センター担当職員に対し周知、徹底したほか、悪意のあるメール等
の手口の共有と注意喚起を行った。
・私用での業務用端末の使用禁止
・個人情報が記載されたデータのメール送信時には必ずファイルにパスワードを設定すること
・業務で使用するインターネットサイトを限定し、専用フォルダ内に当該サイトの URLを集約し、インターネットのアクセスは当該フォルダからのみ行うこと
(2)令和6年5月 16 日、病院協会内の職員間のデータのやり取りはクラウド上の「Shareフォルダ」で行い、その後、限られた職員(2名)が管理するパスワードを設定した専用フォルダにデータを保存し、「Share フォルダ」内の同データファイル及び電子メー
ルデータは削除することとした。
●今後実施予定の措置
(1)情報セキュリティ対策の包括的規定として情報セキュリティハンドブックを策定し、
職員に周知徹底する。(7月中旬)
(2)勤改センター職員の情報セキュリティ対策の意識を向上させるため、滋賀県警主催のサポート詐欺防止講習を受講させ、今後毎年、複数回の情報セキュリティ研修を受講させる。(8月1日)
(3)毎年、複数回のセキュリティチェックを実施する。
(4)万が一、悪意のあるメールの受信、サイトへのアクセスなどに備え、抜線による通信遮断が行えるよう、滋賀県病院協会内の業務用端末の通信方法を無線から有線へ変更予定。(7月中)
【滋賀労働局における取組】
●実施済の措置
(1)令和6年5月 14 日、雇用環境・均等室長から職員 A に対し、今後、私用での PC 端末の使用の禁止と不審サイト・メールが表示・受信された際は、直ちに通信遮断することを指示。
●今後実施予定の措置
(1)今後、上記研修の受講状況を直接、勤改センター職員に確認するほか、毎年受託事業
が実施する上記研修のうち少なくとも1回は当局雇用環境・均等室職員が情報セキュ
リティ研修と個人情報漏えい防止に関する研修を実施する。
【セキュリティ事件簿#2024-313】京葉ガス株式会社 業務委託先における不正アクセスによる情報流出の可能性についてのお詫びとお知らせ 2024/7/18
京葉ガス株式会社(以下「弊社」) が一部業務を委託している東京ガスエンジニアリングソリューションズ株式会社(以下「委託先」) で、 ネットワークへの不正アクセスにより弊社のお客さま情報の一部に漏えいのおそれがあることが、委託先からの報告により判明いたしました。
お客さまに大変なご心配、ご迷惑をおかけしておりますことを深くお詫び申し上げます。
弊社は外部への情報流出の可能性について個人情報保護委員会へ報告しておりますが、委託先から、現時点で情報が不正利用された事実がないことを確認しております。
なお、委託先では、不正アクセスを受けたネットワークへの外部からの経路は、速やかに接続遮断を行い、それ以降外部からアクセスができないよう対策を講じております。
<流出した可能性のある個人情報>
| 対象 | 流出の可能性のある個人情報 | 情報数 |
| 委託先等が提供するサービスを利用する法人等に所属する方の個人情報 | 氏名、メールアドレス等の業務上の連絡先 | 調査中 |
| 委託先へ提供している弊社のお客さま情報 | 氏名、建物情報、ガス使用量等 | 約81万件 |
<今後の対応>
委託先と協議のうえ、弊社お客さまへの対応を進めてまいります。
【セキュリティ事件簿#2024-316】かみいち総合病院 個人情報の漏えいについて 2024/7/18
この度、当院において下記のとおり個人情報の漏えいがありました。
患者様の大切な情報をお預かりしています病院として、患者様及びその御家族様に御心配と御迷惑をおかけしましたことを深くお詫び申し上げます。
今後、同様の事案が発生しないよう、職員に対し、個人情報の適切な取扱いについて改めて周知徹底し、再発防止に努めてまいります。
1 概要
当院の職員が委託業者に業務上必要なデータを送信する際に、送信する必要のない個人情報データを誤って送信したもの
2 発生状況等
(1) 発生日・発覚日 令和6年7月10日(水)
(2) 誤送信した個人情報の内容
ア 入院患者(4人)の氏名及び年齢並びに病名及び診療状況
イ 退院患者(1人)の氏名及び年齢
(3) 発生状況
ア 入院患者様から申込みがあった入院セット(※)利用申込書を委託業者に送信するため、職員が当該申込書をスキャナで一括して自動読取りし送信
イ 全てを読取り送信した直後に、当該申込書と関係のない書類(病棟管理日誌(1枚))を一緒に送信してしまったことに気づく。
※入院生活に必要な衣類、タオル、紙おむつ等の日常生活用品のレンタルサービス
3 発生原因
送信する前に送信する書類の確認がされていませんでした。
4 発生後に行った対応
(1) 誤送信したデータの削除依頼
誤送信を認識した後、直ぐに送信先の委託業者に当該データの削除を依頼し、削除済み
(2) 誤送信した個人情報に係る本人等への通知
本人(高齢等の理由により理解が困難と思われる場合は、その家族を含む。)へは直接又は電話で第一報を令和6年7月16日(火)に通知したほか、書面にて概要等を通知(同月18日発送)
(3) 国(個人情報保護委員会)へ令和6年7月17日(水)に報告
(4) 職員への注意喚起を令和6年7月18日(木)に通知
(5) 町及び病院のホームページで令和6年7月18日(木)に公表
5 二次被害又はそのおそれの有無及びその内容
委託業者に限った漏えいであるほか、データを誤送信した後、直ぐに当該委託業者に誤送信したデータの削除を依頼し、当該データが削除されたため、二次被害及びそのおそれはないものと考えています。
6 再発防止策
今後、入院セット利用申込書には、他の書類が混入しないように別ファイルで保管するほか、外部の者に個人情報を送信する場合は、その送信の直前に、送信するものの確認を徹底させます。
また、全ての職員に対し、個人情報の取扱いについて注意喚起を行うことにより、再発防止に努めます。
【セキュリティ事件簿#2024-315】室蘭工業大学 ノートパソコンの盗難にかかる個人情報等の紛失について 2024/7/11
本学大学院工学研究科教員が、ベルギーへ出張中の令和6年6月30日に鞄の盗難被害に遭い、その中に同教員が所有していたノートパソコンが入っており、同教員が担当していた授業科目の成績データ、学生の個人情報等を記録したファイルが保存されていたことが判明しましたので、ご報告いたします。
盗難にあったノートパソコンには、パスワードがかかっており、現時点では、個人情報の漏えいによる被害は確認されていませんが、関係の皆様にご迷惑をおかけしましたことを深くお詫び申し上げます。
現在、ファイル内に記録されている個人情報等の調査を行っており、該当する方々には順次報告とお詫びのご連絡を予定しておりますが、このことによる被害と思われる事案が発生した場合には、以下担当までご連絡いただくようお願いいたします。なお、これまでのところ外部に個人情報が流失したという情報や第三者に情報が不正に使用されたという事実は確認されておりません。
今後におきましては、ノートパソコンの管理に関する注意のみならず、個人情報及び職務上守秘・保護すべき情報の管理にかかわる注意を本学の全構成員に改めて周知徹底し、再発防止に努める所存です。
【セキュリティ事件簿#2024-217】日本生命保険相互会社 当社の委託業者における個人情報の訪えいについて 2024/7/6
この度、日本生命保険相互会社の業務委託先である株式会社イセトー (以下、「イセトー社」) より、ランサムウェアによる被害を受け、当社お客様の情報が漏えいしている旨の報告を受けました。
お客様をはじめとする関係者の皆様に、多大なるご迷惑とご心配をおかけしていますことを、深くお詫び申しあげます。
<漏えい対象の情報>
拠出型企業年金保険のご加入者 (1 団体・11 名) の名前、 生年月日、 性別、 加入内容等。
当該団体には、既にご連絡しています。
※その他、2024 年6月 6 日にイセトー社より「ランサムウェア被害の発生について (続報)」(https://www. iseto. co. jp/news/news_202406. html) にて個人情報の漏えい懸念が発表されており、この中には当社のお客様情報 (企業型確定拠出年金のご加入者情報) も含まれています。 対象となるお客様に個別にご連絡しており、また、現時点において漏えいの事実は確認されていません。
今後、イセトー社と連携を取りつつ事案の詳細について調査を進めるとともに、 新たに情報の漏えい等が確認された場合には、 該当のお客様に対し速やかにご連絡するなど、適切な対応を講じてまいります。 また、 当該調査結果等も踏まえ、 適切なお客様情報管理に努めてまいります。
【セキュリティ事件簿#2024-314】アルプスアルパイン株式会社 当社の中国現地法人が管理するサーバへの不正アクセスについて 2024/7/16
概要
2024 年 7月 4日、当社の中国現地法人である Ningbo Alps Electronics Co., Ltd. (以下、「 Ningbo Alps 」といいます。)が管理している社内サーバの一部が第三者による不正アクセス(以下、「本件」といいます。)を受けたことを確認いたしました。
本件はランサムウェア攻撃であり、本件発生後、サーバ停止または隔離の対処をしたことにより、現時点において、 Ningbo Alps における生産、出荷等において影響は発生しておらず、 Ningbo Alps 以外での影響も確認されておりません。
現在、個人情報や顧客情報についての漏洩は確認されておりませんが、外部専門家の協力も得ながら影響範囲等の調査を継続して進めております。
今後、開示すべき事由が発生した場合には速やかに開示いたします。
当社の情報セキュリティに対する運用
ISO27001 に準じた ISMS 標準を整備し、情報セキュリティの向上に取り組んでいます。
関連方針や施策の定着、改善を図るため、情報管理委員会においてマネジメントレビューを実施し、リスク評価及びリスク低減に向けた施策を展開、情報セキュリティ教育、情報資産の棚卸の実施と棚卸状況の確認、内部監査を行っています。
なお、近年高度化が著しいサイバー攻撃の脅威に対しては、情報システム部門に対する業務監査により当社の情報システムやセキュリティシステムの運用・保全・障害対応が適切になされ、情報の不正な改ざんを防止し、安定稼働が維持できる体制があることを確認しています。
また、CSIRT(Computer Security Incident Response Team)を設置し、情報セキュリティインシデントが発生した際の被害最小化を目指し、適切かつ速やかな処置ができる準備をしています。
【セキュリティ事件簿#2024-313】東京ガスエンジニアリングソリューションズ株式会社 不正アクセスによるお客さま等に関する情報流出の可能性についてお詫びとお知らせ 2024/7/17
東京ガス株式会社(以下「東京ガス」)子会社の東京ガスエンジニアリングソリューションズ株式会社(以下「TGES」)のネットワークへの不正アクセスにより、TGES のサーバーおよび東京ガスの法人事業分野のサーバーに保管されているお客さま等に関する情報について流出の可能性があることが 2024 年 7 月 9 日に判明いたしました。
外部への情報流出の可能性について個人情報保護委員会へ報告し、警視庁や独立行政法人情報処理推進機構(IPA)をはじめとした外部の専門機関の協力も得て調査を進めておりますが、現在その痕跡は確認されておりません。また、現時点で情報が不正利用された事実も確認されておりません。
なお、不正アクセスを受けた TGES ネットワークへの外部からの経路は、速やかに接続遮断を行い、それ以降外部からアクセスが出来ないよう対策を講じております。
このたびは、多くの方に多大なるご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。今後、外部の専門機関の協力も得て原因究明を進めるとともに、厳重なセキュリティ体制の構築による再発防止に取り組んでまいります。
1.流出の可能性のある個人情報
| 対象 | 流出の可能性のある個人情報 | 個人情報数 |
|---|---|---|
| これまで取引のある法人等に所属する方の個人情報 | 氏名、メールアドレス等の業務上の連絡先、個人名義の金融機関口座番号情報(85 件)、マイナンバー情報(5 件) 等 | 調査中 |
| 業務上必要な情報として業務委託元から提供を受けている一般消費者の方の個人情報 | 氏名、住所、連絡先 等 | 約 416 万人分 |
| TGES の従業員等の個人情報 | 氏名、住所、金融機関口座番号情報(約 1,000 件)、クレジットカード情報(8 件) 等 | 約 3,000 人分 |
2.今後の対応
- これまで取引のある法人等(東京ガスまたは TGES が提供する「法人用の都市ガス、電気、サービス」のお客さま等)については、今後調査を進め状況把握の上、適切に対応させていただきます。
- 業務上必要な情報として業務委託元から提供を受けている一般消費者の方については、業務委託元とご相談の上、対応させていただきます。
- 今後情報の流出や不正利用等が確認されましたら個別にご連絡させていただきます。
なお、本件に関してお問い合わせは、下記窓口までご連絡いただけますようお願い申し上げます。
【セキュリティ事件簿#2024-312】広島県 県主催セミナー「人的資本経営推進セミナー」の事務局メールアカウントへの不正アクセスについて 2024/6/19
県が主催する「人的資本経営推進セミナー」の事務局が管理するメールアドレスのアカウントに対して外部から不正アクセスが行われ、同セミナーの事務局メールアドレス:「info@jinteki-hiroshima.jp」から大量に SPAM メールが配信される事案が発生いたしましたので、お知らせします。
なお、現時点においてセミナー申込者の個人情報については、漏洩がないことを確認しております。
1.経緯
令和6年6月 13 日(木)
6:04
システムへの不正アクセスにより SPAM メールが配信
7:17
サーバーが異常を検知し、サーバー機能によりメールアカウントのパスワードの強制変更
9:00
事業委託先の株式会社三晃社広島支社が不正アクセスを確認
メールアカウントのパスワードの再設定
サーバー内の他の不正アクセス及び原因の調査を指示
9:10
セミナー申込者情報を置くサーバーへの不正アクセスがないことを確認
令和6年6月 18 日(火)
原因調査を実施するも、原因不明これ以上の調査困難との報告
2.被害
・セミナー申込者の個人情報の漏洩はなし
・不特定多数の SPAM メールの配信(配信件数及び到達件数は不明)
3.対応
・メールアカウントのパスワードの強化(16 字から 20 字のランダム文字へ変更)
・セミナーの申込みページに SPAM メールへの注意喚起を掲載
4.原因
不正アクセスした者が、当該ドメインの管理を行う「パスワード」を解析し 16 文字のランダム文字列を偶発的に破り、侵入したことによるものと推測。
【セキュリティ事件簿#2024-311】駒ヶ根市 申請フォームの設定ミスによる情報漏えい事案 2024/7/5
1 概要
駒ヶ根市の市制施行 70 周年記念式典の参加者(第 2 部と第 3 部)を Google フォームより募集しておりましたが、参加申込者が他の申込者の情報を閲覧できる状態になっておりました。
事案発覚後、直ちに申し込みフォームを閉鎖した上で、該当者にはお詫びと経緯説明のご連絡をしております。
現時点において、このことによる被害の発生は、確認できておりません。
2 閲覧できた可能性がある個人情報等
(1) 該当される方
令和 6 年 7 月 3 日午後 0 時 25 分までに参加申し込みされた方(28 名)
(2) 閲覧可能期間
令和 6 年 6 月 12 日から令和 6 年 7 月 3 日午後 0 時 25 分頃
(3) 個人情報の内容
お名前、ふりがな、電話番号、郵便番号、住所
3 原因
参加申込フォーム(Google フォーム)の設定誤りにより、申込完了後に表示される「前の回答を表示」というリンクをクリックすると、他の申込者の情報の一部を閲覧できる状態となっておりました。なお、現在は、申込フォームを閉鎖しています。
4 再発防止策等について
今後は、事務処理における複数チェックなど体制の強化を図るとともに、個人情報の適正な取り扱いを徹底します。
<具体的な内容>
・直ちに職員全員に注意喚起 ・個人情報の取り扱いに係る注意徹底、教育
・情報セキュリティ管理をしている電子申請サービスを使用することの徹底
・インターネット上で取り扱う個人情報のリスクに対する教育
・電子申請サービスの操作研修は、引き続き実施
【セキュリティ事件簿#2024-310】有限会社東原商店 弊社が運営するオンラインショップへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/7/16
クレジットカード情報については、一部特定できていないものも含まれております。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させていただきます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
1. 経緯
2024年3月11日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、当日内に「オリーブ牛の肉のヒガシハラ」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2024年4月19日、調査機関による調査が完了し、2021年3月1日~2024年4月9日の期間に「オリーブ牛の肉のヒガシハラ」で購入されたお客様のクレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。また、2011年2月1日~2024年4月9日の期間に登録された個人情報についても漏えいした可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2. 個人情報漏えい状況
(1)原因
弊社が運営する「オリーブ牛の肉のヒガシハラ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)クレジットカード情報漏えいの可能性があるお客様
2021年3月1日~2024年4月9日の期間中に「オリーブ牛の肉のヒガシハラ」においてクレジットカード決済をされたお客様1,703名で、漏えいした可能性のある情報は以下のとおりです。
【クレジットカード情報】
- クレジットカード名義人名
- クレジット番号
- 有効期限
- セキュリティコード
【その他情報】
「オリーブ牛の肉のヒガシハラ」オンラインショップのログインパスワード
(3)個人情報漏えいの可能性があるお客様
2011年2月1日から2024年4月9日の期間中に「オリーブ牛の肉のヒガシハラ」をご利用されたお客様27,561名で、漏えいした可能性のある情報は以下のとおりです。
- 氏名
- 住所
- メールアドレス
- 電話番号
- 生年月日
- FAX番号(任意)
- 会社名(任意)
- 性別(任意)
- 職業(任意)
上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させていただきます。
3. お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。
4. 公表が遅れた経緯について
2024年3月11日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5. 再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
改修後の「オリーブ牛の肉のヒガシハラ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年3月11日に報告済みであり、また、所轄警察署にも2024年3月11日に被害申告しており、今後捜査にも全面的に協力してまいります。
【セキュリティ事件簿#2024-309】オリジン東秀株式会社 個人情報を含む情報漏えい可能性に関するお詫びとお知らせ 2024/7/12
この度、弊社ウェブサイト内に設置しているお客さまお問い合わせフォームにおきまして、お客さまの個人情報を含む情報が漏洩した可能性があることが判明いたしました。本件判明後、速やかに当該フォームを非公開設定とする措置をしております。現在、原因究明に向けて調査を継続して実施しておりますが、現在判明している事項についてお知らせいたします。
お客さまには大変なご迷惑、ご心配おかけいたしますことを、心よりお詫び申し上げます。
現時点で把握している事項は以下のとおりです。
■対象情報:氏名、性別、住所、年代、電話番号、メールアドレス、お問い合わせ内容のうち、お客さまがご入力された情報
■対象期間:2024 年 7 月 10 日 10 時~2024 年 7 月 11 日 11 時
■対象件数:最大 31 件
本件について、対象となるお客さまには、お知らせいただいたメールアドレス、お電話番号またはご住所宛に、順次、個別にお知らせをさせていただいておりますが、お心あたりのお客さまは下記窓口までご一報くださいますようお願い申し上げます。
今後は、原因究明に努めるとともに、個人情報を取扱う上での管理体制をより一層強化するなどの再発防止策を実施してまいります。
【セキュリティ事件簿#2024-307】株式会社リクルート 不正アクセスによる従業者等の情報漏えいに関するお知らせとお詫び 2024/7/16
株式会社リクルートは、この度、第三者による不正アクセス(以下、本事案)を受け、従業者等*1に関する情報の漏えいがあることが判明しましたのでお知らせ致します。
以下の通りご報告致しますとともに、関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。
なお、本事案において、ユーザーおよび取引先顧客に関する情報の漏えいは確認されておりません。本日時点で従業者等*1の情報を利用した二次被害も確認されておりません。
発生した事象
7月9日に『SUUMO』が一部エリアで提供している実証実験中の不動産会社向けサービスのサーバーに対し第三者による不正アクセスを検知。システムを停止し、影響を調査したところ、従業者等*1に関する情報の漏えいがあることが判明しました。
【影響範囲】
当社の従業者等*1に関する個人データ
項目:従業員等*1のローマ字氏名
件数:1313件
*1 2007年以降に住まい領域のサービス開発・保守に携わった当社および業務委託先の従業者(退職者・離任者含む)
【当社の対応】
該当する従業者等には個別にご連絡させていただいております。
退職等により個別にご連絡ができない方には、本発表にてお知らせさせていただくとともに、本件に関する問い合わせ窓口を設置し、対応させていただきます。
なお、不正アクセスに対しては対策を講じ、復旧作業に努めております。
再発防止策
当該サービスについてはサーバーの再構築・再点検を実施するとともに、セキュリティ対策をより一層強化することで、再発防止に努めてまいります。
【セキュリティ事件簿#2024-041】住友重機械工業株式会社 不正アクセスによる個人情報漏えいに関するお知らせとお詫び 2024/7/16
住友重機械工業株式会社(本社:東京都品川区、代表取締役社長:下村真司、以下「当社」)は、2024年2月に当社グループのサーバーに不正アクセスが発生したことに関連し、このたび当社および当社グループ会社の従業員の個人情報が漏えいしたことが判明いたしました。
関係者の皆様に、多大なるご迷惑とご心配をお掛けしておりますことを、深くお詫び申し上げます。
1.漏えいした、または漏えいしたおそれがある個人情報
対象:当社及びグループ会社の従業員 ※退職者の一部を含む
・氏名
・所属情報(会社名、部署、役職)
・社用電話番号
・社用メールアドレス
なお、現時点で漏えいの事実が確認されているのは、69名分の社用メールアドレスのみとなります。
2.情報漏えいの経緯
2024年2月4日、当社グループのサーバーに不正アクセスが発生していることを確認いたしました。
その後、調査により、当社および当社グループ会社の従業員の個人情報が漏えいしたことが判明いたしました。
また、本件情報漏えいについて、個人情報保護委員会へ報告いたしました。
(参考)2024年2月9日 当社サーバーへの不正アクセスについて
3. 個人情報の漏えいが確認された方々およびその可能性がある方々への対応
対象となる方に対して、個別に連絡を差し上げております。
なお、本件公表は、連絡不能となっている一部の方に対する措置を兼ねています。
4.再発防止策
このような事態を招いたことを重く受け止め、既存ネットワーク、セキュリティーシステムの更新等、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。
【2024年2月9日分】
あなたもサイバーセキュリティ分野の投資家に!オススメETFの紹介
世界のサイバー犯罪被害額は2025年には年間10.5兆米ドルに達すると予測しています。
サイバー犯罪に対抗するため、2021年から2025年までの5年間で、世界はサイバーセキュリティ製品とサービスに累計で約1兆7500億米ドルを支出すると推定しています。
ベンチャーキャピタルは過去5年間、サイバーセキュリティの新興企業や新興プレーヤーに毎年数十億ドルを投入してきました。あなたもサイバーセキュリティの分野に投資したいですか?ETFを使えばベンチャーキャピタルだけでなく、一般の投資家も投資を行うことができます。
ETFは資産の集合体であり、多くの場合、株式、債券、またはその2つの混合物です。一つのETFが数十、時には数百の銘柄を保有していることもあります。そのため、投資家はETFを1株所有することで、ファンドが保有するすべての株式(またはその他の資産)の間接的な株式を所有することができます。これは、株式のコレクションを購入する素晴らしい方法です。
今回はサイバーセキュリティ関連ETFを紹介します。
ETFMG Prime Cyber Security ETF (ETFMG: HACK)
Nasdaq・ISEサイバーセキュリティ・セレクト・インデックス(HXRXL)に連動する投資成果を目指す。ハードウェア・ソフトウェア・サービスを含むサイバーセキュリティソリューションを提供する企業で構成。
First Trust NASDAQ Cybersecurity ETF (NASDAQ: CIBR)
ナスダックCTAサイバーセキュリティ・インデックス(NQCYBRT)の価格および利回りと同等の投資成果を目指す。データの完全性やネットワーク運用を保護するセキュリティプロトコルの構築・実装・管理に取り組む企業で構成。
Global X Cybersecurity ETF (BUG) (NASDAQ: BUG)
Indxx・サイバーセキュリティ・インデックス(IBUGT)の価格および利回りと同等の投資成果を目指す。システム、ネットワークへの侵入や攻撃を防止するセキュリティ・プログラムの開発と管理を主な業務とする企業など、サイバーセキュリティ・テクノロジーの需要拡大から利益を得る可能性がある企業で構成。
Global X Defense Tech ETF (NASDAQ: SHLD)
防衛技術セクターに焦点を当てた上場投資信託(ETF)です。主に軍事技術、サイバーセキュリティ、宇宙技術などに関連する企業の株式を組み入れています。このETFは、国防関連の成長分野に投資することで、リスク分散を図りながら長期的な資本成長を目指します。
Horizons GX Cybersecurity Index ETF (TSE: HBUG)
サイバーセキュリティ分野に特化したカナダの上場投資信託(ETF)です。主に、サイバーセキュリティソリューションや技術を提供する企業の株式を組み入れています。このETFは、サイバー攻撃やデータ漏洩のリスクが高まる中で、関連企業の成長を捉えることを目指しています。
IShares Digital Security UCITIS ETF (LSE: LOCK)
デジタルセキュリティ分野に特化した上場投資信託(ETF)です。主に、サイバーセキュリティ、デジタルプライバシー、インターネットセキュリティソリューションを提供する企業の株式を組み入れています。このETFは、情報セキュリティの重要性が増す中で、関連企業の成長機会を捉えることを目指しています。
IShares Trust Cybersecurity and Tech ETF (NYSE: IHAK)
NYSEファクトセット・グローバル・サイバーセキュリティ・インデックス(NYFSSECN)と同等の投資成果を目指す。サイバーセキュリティとテクノロジーに関わる先進国および新興国の企業で構成。
ProShares Ultra Nasdaq Cybersecurity (NASDAQ: UCYB)
Nasdaq CTA・サイバーセキュリティ・インデックス(NQCYBR)の運用実績の2倍(200%)となる日次投資結果を目指す。
Technology Select Sector SPDR Fund (NASDAQ: XLK)
テクノロジー・セレクト・セクター・インデックス(IXTTR)に連動する投資成果を目指す。ソフトウェア、コンピュータ・周辺機器、半導体などの業種に分類される企業に対する対象を絞った投資を行う。
Themes ETF Trust Themes Cybersecurity ETF (NASDAQ: SPAM)
主に、サイバーセキュリティ技術やサービスを提供する企業の株式を組み入れています。このETFは、増加するサイバー脅威に対抗するための技術革新や市場拡大に着目し、投資家にとってリスク分散と成長機会を提供します。
WisdomTree Cybersecurity FUND (NASDAQ: WCBR)
ウィズダムツリー・Team8・サイバーセキュリティ・インデックス(WTCBR)に連動する投資成果を目指す。インデックスの資格要件を満たすサイバーセキュリティ指向の製品の提供に主に携わる企業で構成。
XTrackers Cybersecurity Select Equity ETF (NASDAQ: PSWD)
主に、サイバーセキュリティソリューションや技術を提供する企業の株式を組み入れています。このETFは、サイバー攻撃やデータ漏洩のリスクが高まる中で、関連企業の成長を捉えることを目指しています。
これらのETFは国内証券会社の米国株口座では扱っていない可能性が高く、海外証券会社(IB証券、SAXOバンク証券、etc)の口座を開設して買い付ける必要があります。
OSINTニュース_v20240715
2024年7月13日、ペンシルベニア州バトラーで元アメリカ合衆国大統領のドナルド・トランプ氏が銃撃されました。容疑者はトーマス・マシュー・クルックスと特定され、シークレットサービスによって射殺されました。幸い、トランプ氏は軽傷で済んでおり、大事に至らなかったことに安心しています。
今回のラインナップは以下の通り。
- Google Cache以外のブラウザキャッシュアクセスの方法(拡張プラグイン:web-archives)
- アカウントなしでのインスタグラムアクセス
- Brad's Batch of Bookmarks
- Extensity
Google Cache以外のブラウザキャッシュアクセスの方法(拡張プラグイン:web-archives)
Micah Hofmannは、Bing、Yandex、そして古き良きYahoo!のように、キャッシュウェブサイトを見つけることができる他の場所について、Xでいくつかの確かなヒントを共有した。 つまり、十分な選択肢が残っており、物事を簡単にするために、アーカイブされたページやキャッシュされたページを見つけるのに役立つ便利な拡張機能もある。各プラットフォームが何を提供しているかを理解するために、それぞれのウェブサイトをよく読んでください。
アカウントなしでのインスタグラムアクセス
2019年末にインスタグラムは、公開されているプロフィールやオープンなプロフィールを見るににログインを強要するようになりました。OSINTでインスタグラムにアクセスする必要がある人でもプライベートでインスタグラムのアカウントを持っているわけではありません。というわけで、アカウントなしでコンテンツをダウンロードするのに役立つサードパーティのウェブサイトがあることを知っておくと、とても役に立ちます。そこで最近、匿名のブラウジングを提供するオンラインウェブサイトをいくつか紹介します。
Posts / Stories / Highlights / Tagged
Posts / Highlights / Tagged / IGTV
Stories / Highlights / Posts
Photos / Videos / Profile / Reels / Avatar
Stories / Highlights / Posts
Posts / Stories
Profile analyzer / User search / Stories / Posts
Posts / Highlights / Tagged
Brad's Batch of Bookmarks
Brad Snyder'sのLinktreeページを発見した。それは素晴らしいリンクで構成された小さな宝石だと言わざるを得ない!彼は、コミュニティへのリンク、1日または1ヶ月ごとの定期的なアイテム、論文や書籍のリスト、イベントマップ、OSINTのRSSフィード(このブログ以外)をたくさん持っている!是非チェックしてみてください!
Linktree: https://linktr.ee/snyde21
RSS feed: https://start.me/p/aLgwg8/osint
Event Maps: https://start.me/p/Nx08Xp/event-maps
Recurring news: https://start.me/p/DPknkY/reports
Extensity
研究用の新しい仮想マシンを構築するために使用するリソースを集めているときに、Sergio Kaszczyszynによる「Extensity」という非常に気の利いた小さな拡張機能を偶然見つけました。
このChrome拡張機能を使うと、1つまたは複数の拡張機能を素早くオン・オフすることができ、事前に設定されたプロファイルを使うことができます。これにより、拡張機能のサブセットのみを有効にすることが非常に簡単になり、フィンガープリントされにくくなります。
見つけた別の拡張機能は、Extension Manager(ChromeストアID:gjldcdngmdknpinoemndlidpcabkggco)というもので、訪問しているURLに基づいて拡張機能のセットを設定することもできます。
セキュリティ関連資格チャート表(vol2)
以前、コチラでセキュリティ関連資格のチャート表を紹介したが、別のセキュリティ関連資格のチャート表を発見したので紹介したい。
日本でセキュリティ関連資格というと、情報処理安全確保支援士がもっとも有名で、マネジメント系でISACAやISC2の資格を見聞きする。エンジニア系だとCISCOやSANSの資格といったところだろうか。
ところが、世界には370を超えるセキュリティ関連資格が存在する。
セキュリティ関連資格をグローバルな視点で見ると、情報処理安全確保支援士は日本国内限定のローカル資格となり、この表には入ってこない。
表の縦軸は成熟度を表していて、上に行くほどレベルが上がるということを指していると思う。
横軸は資格のカテゴリを分類していて、左から下記のようになっている
・Communication and Network Security
・IAM
・Security Archtecture and Engineering
-Cloud/SysOps
-*nix
-ICS/IoT
・Asset Security
・Security and Risk Management
-GRC
・Security Assesment and Testing
・Software Security
・Security Operations
-Forensics
-Incident Handling
-Penetration Testing
-Exploitation
さすがに海外はこういった整理や分担の考え方が進んでいる。
ちなみに、先日とあるセミナーにて、事業会社におけるセキュリティ人材育成の話を聞いてきた。
セキュリティ関連の資格は、それを持っているだけで、セキュリティベンダーやコンサルでは活躍できるが、事業会社では不足になる。
事業会社でセキュリティ担当としていくには大きく下記3ステップが必要になる。
Step1:基礎知識(業務知識/事業会社のお作法)の習得
-中途で来るベンダー上がりやコンサル上りは特に不足。ここをすっ飛ばして前職での専門知識や経験を発揮しようとして浮いてしまうケースも。
-自社育成の場合、該当する資格としては、IPAの情報セキュリティマネジメント試験辺りが該当する
Step2:専門スキルの習得
-リスク分析、情報セキュリティ理論、ネットワークや暗号技術等の専門知識等、ベンダー上がりやコンサル上りが特に強い領域。Step1をクリアしたベンダー/コンサル出身者はここから本領発揮。
-自社育成の場合、該当する資格としては、IPAの情報処理安全確保支援士辺りが該当する
Step3:応用スキルの習得
-組織のセキュリティプログラム策定と管理、個別事象への対応。Step1、Step2での経験に加えて、実業務を通じての経験値アップ。
-該当する資格としては、ISACAのCISAやCISM、ISC2のCISSP辺りが該当か
【セキュリティ事件簿#2024-305】ラサ工業株式会社 個人情報を含むノートパソコン等の次難に関するお詫びとご報告 2024/7/8
この度、当社におきまして、個人情報が含まれた当社所有のノートバパソコン等の盗難事件が発生致しました。
本件に関する経緯および対応につきまして、以下のとおりご報告申し上げますとともに、このような事態を招き、お取引先様をはじめとする関係先の皆様に多大なるこ迷惑、ご心配をおかけすることとなり、深くお詫び申し上げます。
1 . 個人情報を含むノートパソコン等盗難の経緯
2024年6月6日 (木) (現地時間) に、当社社員が欧州出張中にノートパソコン等の入ったカバンが盗難に遭いました。 盗難の発覚後、関係各所への問い合わせ、警祭当局への被害届の届け出、ならびに捜索を継続しておりますが、現在まで盗難品の回収には至っておりません。
2. 盗難に遺ったノートパソコン等に保存されている個人情報について
盗難に遭ったノートパソコン等には、当社グループ社員約4 0人分、およびお取引先様約3, 1 00人分の個人情報 (氏名、会社名、e-mail アドレス、写真など) が含まれております。
3. 二次被害またはその恐れの有無
当該従業員よりノートパソコン盗難の連絡を受けた後直ちに利用アカウントの休止およびパスワードのリセット等を実施致しました。また、当社内の監視システムによるリモート調査では、第三者による同ノートパソコンの不正使用の事実は確認されておりません。
二次被害の発生は、現時点において確認されておりませんが、 今後状況に変化があれば速やかにお知らせ致します。
4 . 再発防止策
欧州において発生した盗難事散ということもあり、情報の収集に時間を要しておりますが、当社と致しましては、今後も引き続き関係各所からの情報収集に努めるとともに、盗難品の回収に全力を尽くします。
当社と致しましては、今回の盗難事故を重く受け止め、情報管理体制について再度見直しを実施するとともに、個人情報の適切な取り扱いについて周知徹底するなど、再発防止に努めてまいります。
【セキュリティ事件簿#2024-304】バリューマネジメント株式会社 「祇園祭観覧席付ご宿泊プラン」募集において 個人情報が閲覧可能な状態になっていた事象について 2024/7/11
この度、バリューマネジメント株式会社が企画し、三井住友トラストクラブ株式会社がダイナースクラブ会員様にご案内した「祇園祭観覧席付ご宿泊プラン」に申込フォームを通じて、応募された会員様の個人情報が閲覧できる状態になっていたことが判明しました。対象となるお客様および関係者の皆様にご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。
■概要
令和6年7月6日(土)ダイナースクラブ会員向けにご用意した「祇園祭観覧席付ご宿泊プラン」をご覧になったダイナースクラブ会員様より、三井住友トラストクラブ株式会社宛に、抽選応募フォームにて他の応募者の個人情報が閲覧できる旨の連絡が入りました。
令和6年7月8日(月)午前、三井住友トラストクラブ株式会社より当社へ報告と調査依頼の連絡が入り、応募フォームの調査を進めた結果、弊社のフォーム設定の不備により、フォーム編集ページにアクセスでき、他の応募者の個人情報(応募者が応募時に入力した名前、メールアドレス、電話番号)が閲覧出来る状態になっていました。
該当の応募フォームはすでに削除いたしました。
■閲覧可能であった個人情報と期間
・応募者333名の氏名、電話番号、メールアドレス
・令和6年6月14日(金)14時30分から、7月8日(月)午前10時半頃
■原因
今回、オンラインフォーム作成ツールにGoogleフォームを使用し抽選応募受付を行っております。 お申し出いただいた⽅の内容を拝⾒し、第三者では閲覧できないはずのフォーム編集ペー ジが閲覧可能になっており、申込フォームの設置(フォーム編集ページのアクセス権限の設定)に不備があったことが原因と考えられます。
■今後の対応
再発防⽌のため、より⾼いセキュリティ対策が施されたフォームシステムの利⽤、 フォーム作成・個⼈情報関連を扱う業務におけるマニュアルの改善、ならびに当社従業員 全員に向けて個⼈情報保護及び情報セキュリティポリシー等の周知徹底に務めてまいります。
【セキュリティ事件簿#2024-303】電気通信大学 本学オープンキャンパスの申込フォームにおける個人情報の漏洩について 2024/7/4
本学オープンキャンパスのウェブサイト「施設見学ツアー」イベント申込フォームに設定上の不備があり、6月26日(水)から6月29日(土)まで申込者86名の氏名および高校名が他の申込者より閲覧できる状態となっておりました。
6月29日(土)に当該フォームの運用を停止しました。
申込者以外の第三者からは閲覧できないことを確認しており、現在のところ申込者以外の第三者への漏洩は確認されておりません。
参加申し込みをされた方々に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。
今後は、このような事案を発生させないよう学内に対して注意喚起を行うとともに、再発防止に努めてまいります。
【セキュリティ事件簿#2024-302】京都府警が京都の事業者インシデントゼロを目指して構築したサイトでインシデント発生 2024/7/4
京都府警は7月4日、府警が事務局を務める中小企業向けの情報セキュリティ支援サイトが改竄(かいざん)され、アクセスしようとすると別のサイトに接続される状態になっていたことを明らかにした。不正アクセスを受けたとみられる。府警は利用者のメールアドレスなどの個人情報が流出した可能性は低いとしている。
サイトは「京都中小企業情報セキュリティ支援ネットワーク Ksisnet(ケーシスネット)」。府警が事務局として運営に関わり、京都府内の中小企業を対象に情報セキュリティに関する情報発信などを行っていた。サイトのサーバ管理は京都市内のWeb制作会社に委託していたという。
府警によると、2日午後5時ごろ、サイトの更新作業を行っていた府警の担当者が改竄に気付いた。サイトにアクセスしようとすると、スポーツ賭博関連のサイトを紹介しているとみられる中国語のサイトに接続される状態になっていたという。府警はサイトを停止、原因を調査している。
【セキュリティ事件簿#2024-301】岩手県立大学 岩手県立大学サマーセミナー 2024 へ参加申込みをされた方の個人情報が 閲覧可能な状態になっていたことについての御報告 2024/7/10
このたび、岩手県立大学サマーセミナー 2024 申込みフォームの設定誤りにより、申込みフォーム上で、参加 申込者が他の申込者の情報(申込みフォームに入力した全情報)を閲覧できる状態にあったことが判明しました 。
参加申込みをされた皆様、関係機関の皆様に、多大なる御迷惑をおかけする事態になりましたことを心よりお詫び申し上げます。
本学としては、このような事態を招いたことを重く受け止め、個人情報の適正な取扱いを一層徹底するとともに、再発防止に努めてまいります。
1 概要
本学サマーセミナー2024 の参加者を申込みフォームより募集しておりましたが、Google フォームの設定ミスにより、申込みフォーム上で参加申込者が他の申込者の情報を閲覧できる状態にあったことが判明しました。
本事案が発覚した令和6年7月6日午後に申込みフォームの設定を変更し、現在は、他の申込者の情報を閲覧できない状態であるこ とを確認しております。
なお、これまでのところ、個人情報が悪用されたなどの被害相談はありません。
2 閲覧できる状態であった個人情報
(1)該当される方
岩手県立大学サマーセミナー 2024 申込フォームにより
令和6年7月6日(土)午前 11 時 48 分までに参加申込みされた方
(高校生 60 名)
(2)閲覧可能期間
令和6年6月 24 日(月)~令和6年7月6日(土)午後 0時 43 分
(3)個人情報の内容
ア 氏名(フリガナ)
イ 郵便番号
ウ 住所
エ 電話番号
オ メールアドレス
カ 学校名、学年
3 原因
申込みフォーム(Google フォーム)の設定誤りにより、申込完了後に表示される「前の回答を表示」というリンクをクリックすると、他の申込者の情報を閲覧できる状態となっておりました。
4 対応状況
令和6年7月6日(土)、申込者からの メール連絡を受け、同日午後0時 43 分に申込みフォームの設定を変更し、個人情報が閲覧できる状態を解消しました。
令和6年7月8日には、個人情報が閲覧される状態にあった申込者 60 名に電子メールにより、お詫びと経緯の報告を行いました。
また、令和6年7月9日には、申込者の所属する高等学校長等関係機関に文書によりお詫びと経緯の報告を行いました。
なお、本事案の発生を受け、本学事務局において Google フォームを利用している事業について直ちに確認した結果、同様の事案は発生していないことを確認しております。
5 再発防止策
今後、このような事態が生じないよう、各職員に対して個人情報保護の重要性等についての教育を徹底するとともに、申込みフォーム作成に当たっては複数の担当者によるチェックを行うなど実効的な措置を講じ、再発防止に努めてまいります。
登録:
コメント (Atom)