週刊OSINT 2021-39号 / WEEK IN OSINT #2021-39（転載）

 

Week in OSINT #2021-39

今回の週刊OSINTは、さまざまなトピックで埋め尽くされています。ヒントやトリックから、ICIJによる金融データの新しいダンプまで!

• OSINT News Sheet
• Verify Gmail Addresses
• Links for Datahoarders
• Views on Verification #2
• URL Manipulation
• Pandora Papers

リンク: OSINT News Sheet

TwitterでBen Heublを見逃してしまった方、その通りです。彼が国外に引っ越した後、Twitterのアルゴリズムによってアカウントがブロックされたのですが、別のアカウントでオンラインに戻ってきました。@Techjournalistoです。ベンは、Max Bernhard、Jordan Wildon、Tom Jarvis、Brecht Castelとともに、オープンソースを使って記事を検証・調査したニュース記事を集め、そのリンクをGoogleシートに保存しています。ニュース記事の調査、論破、検証にどのようなテクニックが使われているかを見てみましょう。

小技: Verify Gmail Addresses

TwitterユーザーのOdint - OSINTは、先週、ちょっとした小技をTwitterで披露しました。例えば、たくさんのメールアドレスを列挙して、どれが本物かどうかをチェックしたいとします。それをGoogleシートにまとめ、マウスカーソルを合わせるだけで、どれが有効か無効かを見分けることができるのです。アバターが標準の「Googleブルー」のものと違っていて、チャットオプションが有効になっていれば、それは有効なメールアドレスのようです。Google Sheetsによる便利な小機能です。ナイスな発見！ありがとうございます。

リンク: Links for Datahoarders

タイトルは "awesome open directories "ですが、実際にはデータを溜め込んでいる人や、公開されているデータを利用したいと思っている調査員のためのリソースのリストです。また、FileChefのように、Google Docs内の公文書を検索するためのGoogle CSEを提供するツールもあります。リンク、サブレディット、ウェブサイトの本当に素晴らしいコレクションです。David Chorváthさん、シェアしてくれてありがとうございます。

記事: Views on Verification #2

以前、検証に関するJordan Wildonの小さなTwitterスレッドを紹介しました。彼はその脅威を拡大し、Logicallyに記事を書いてくれました。すでにシェアされていたにもかかわらず、私は再び彼の意見を紹介します。なぜなら、1つのRedditの投稿、1つのツイート、あるいは適切に検証されていない内容のYouTubeビデオによって、罪のない人々の生活が破壊される可能性があることを心に留めておくことが何よりも重要だからです。

チュートリアル: URL Manipulation

Twitterでosintmeとして知られているMaciej Makowski氏が、URL操作と呼ばれるものについて、ちょっとした紹介をしています。これは、興味のあるページを見つけたり、普通の人には隠されているものを見つけたりするための、ペンタリストには珍しくないテクニックです。この記事では、アバターの大きな画像を見つけたり、興味深いサブドメインを見つけたり、インデックスに登録されていないコンテンツを見つけたりするためのテクニックを紹介しています。また、2018年に書いたこの記事や、今は亡きJiraのオープンAPIについての古い記事では、ほぼ同じテクニックが使われていますので、実際に使ってみてください。オープンな情報」を見つけることと、ウェブサイトの設定に実際のバグがあることを見つけることの間には細い線があるので、倫理的で責任ある行動を心がけましょう。

記事: Pandora Papers

国際調査報道ジャーナリスト連合（ICIJ）は、600人のレポーターとともに、数ヶ月にわたって新しいプロジェクトに取り組んできました。タックスヘイブンに関する約1,200万件のリーク文書を調査し、地球上の有力者や企業による財務上の不正行為に新たな光を当てました。デンマークの銀行が外国のお金を隠していたり、中国の政治家がたくさんのオフショア企業を持っていたり。そして、それは大規模なものです。文書の量で言えば、パナマ文書よりも多く、パラダイス文書よりも少し少ない程度です。ちょっとしたインフォグラフで説明してみましょう。そして、お近くのニュースメディアで、オフショア企業の世界で何が起こっているのかを読んでみてください。

おまけ: Ocean Tracker

SeaWorldのOcean Trackerを使って、貴重な海の生物について少し学んでみませんか。現在は、さまざまな種類のサメ、ワニ、イルカ、アザラシ、カメなどを追跡しています。

Webサイトにおける、IPアドレス直接指定によるリクエストブロックの効果（転載）

「不正アクセスの傾向分析とクラウドWAF利用時の注意点」の記事をアップしました。MBSD-SOCで観測したアラートの傾向を元に、セキュリティ対策の一環として取り得る対応や、クラウドWAFを使用する際の注意点について解説します。（バックアップ）

Webサイトを利用する際、FQDNでアクセス先を指定することがほとんどかと思います。

例えば、ブラウザのURL欄にwww.example.comと入力してアクセスした場合、リクエストのHostヘッダは「Host: www.example.com」となります。

一方で、例としてwww.example.comを名前解決したIPアドレスが198.51.100.1だとすると、このWebサイトにIPアドレスを直接指定してアクセスした場合、Hostヘッダが「Host: 198.51.100.1」のようになります。

また、IPアドレスを直接指定してHTTPSでアクセスした場合、証明書の検証に失敗してしまいますので、図2のようにブラウザに警告メッセージが表示されます。

よって、一般的なWebサイトであれば、サイト利用者による正規なリクエストはFQDNでのアクセスとなるはずです。

下図は、ある期間で観測したHTTP(S)リクエストによるアラートを、Hostヘッダの指定方法ごとに集計した結果です。

アラートの約3割がIPアドレスを直接指定したリクエストであるという傾向が見受けられました。

FQDN・IPアドレス直接指定の他に、Hostヘッダに攻撃文字列をセットしたリクエストも一定数観測しています。

下表は観測したアラートのうち、IPアドレス直接指定によるリクエストで検知したアラートを簡易的に分類し、集計した結果です。

最も割合の多い「特定の脆弱性を狙った攻撃」は、該当製品の使用有無に関わらず無差別的(バラマキ)に攻撃してきているケースを多く観測しています。「隠しファイルやパスへのアクセス試行」「IoTデバイスへの攻撃」にも同様の傾向があります。

(当然、事前に外部公開システムを検索できるサービスなどを使い、ターゲットを絞ってから攻撃してくるケースもあるものと想定されます。)

IPv4インターネットの世界には、ざっくり約43億個のグローバルIPアドレスがあります。

この43億という数はツールを使用することにより現実的なコスト(所要時間)でスキャンすることが可能と言われています。

IPアドレスをスイープ(総なめ)して無差別的に攻撃リクエストを投げてきたり、スキャンをかけてきたり、ボットネットの感染拡大を試行してくるという傾向は上記の集計結果からも読み取れるかと思います。

以上のことから、全ての環境に当てはまるとは限りませんが、Webアプリケーションに対するIPアドレス直接指定によるリクエストを拒否することで、不審なリクエスト(攻撃を含む)を軽減する一定の効果があると考えられます。

その他にも、以下の観点でメリットがあると考えられます。

• IDS/IPSやWAFを運用している環境の場合、アラート確認の手間を削減できる。
• リクエストやレスポンス処理にかかるサーバリソースの無駄な消費を軽減できる。

WebサーバやWAF・ロードバランサなどのアプライアンスでIPアドレス直接指定によるリクエストを拒否(ブロック)する設定を検討するのはいかがでしょうか？

現状維持とは、退化のことである（転載）

現状維持とは、退化のことである:

神楽坂にある和食のお店に出かけました。ミシュランで13年連続3ツ星を維持し続けている、予約のなかなか取れない名店です。

インスタ映えするような、派手な盛り付けはありませんが、丁寧に下ごしらえして品のあるお料理と、丁寧な接客が、何回いってもしみじみと満足できるお気に入りのお店です。

老舗の変わらない味を伝統として守っているように見えますが、毎回新しいお料理が登場して進化しています。

今回の最後に出てきた土鍋ご飯は、牛肉が入った珍しいものでした。ひょうきんなご主人が自らテーブル前で仕上げをしてくれます。

炊き立てのご飯に生の牛肉の薄切りを入れて、かき混ぜてご飯の熱で牛肉に火を入れます。レア感の残った牛肉の味がご飯と一体になって、薄味で何杯でも食べられる絶妙な仕上がりでした。

老舗の人気店であっても、進歩や改善をやめてしまえば、お客様は離れていきます。世の中が変化して、来店客の好みが変われば現状維持は退化を意味するのです。

ソフトバンクの孫正義氏は「髪の毛が後退しているのではなく、私が前進しているのだ」という名言を残しました。

進化しているのか、退化しているのかは、自分の相対的な位置がどちらに向かっているかによって決められるものです。

世の中の変化よりも大きく動かなければ、それは相対的には退化を意味するのです。

情弱者向け投資商品「ファンドラップ」バカ売れ中（転載）

ファンドラップの問題は「高コスト」だけではない:

日本経済新聞の報道によれは、金融機関に資産運用を一任するファンドラップの契約残高が、2021年6月末で12兆円となり、ここ5年間で2倍超に増えたそうです（図表も同紙から）。

紙面でも指摘されているように、ファンドラップの最大の問題は、手数料などコストが割高で、それが個人投資家に見えにくい構造になっていることです。ラップ口座自体の運営コストだけではなく、組み入れられる投資信託の信託報酬もかかり、実際の年間コストがどのくらいになるか、不透明です。

株価の堅調であれば高コストであっても値上がり益に吸収されて気にする個人投資家は少ないと思いいます。しかし、金融マーケットが調整する局面になれば、資産価格のマイナスに高い運用コストが相まって、ファンドラップを利用する個人投資家の資産はマーケットの平均よりも、更に大きく下落することになります。

高い手数料を支払っても、それに見合う運用成果が得られなければ、低コストのインデックスファンドを自分で組み合わせてアセットアロケーションする方が賢明です。

ファンドラップのもう一つの問題は、運用をお任せと言いながら、投資対象が金融資産だけに偏っていることです。

今や、プロの運用者である機関投資家も、リスク分散とリターン向上を目的に、不動産をはじめとする実物資産を運用対象に組み入れるのが常識となっています。

高いコストを払い、成果の期待しにくい金融資産だけの運用を続けても、将来のお金の不安は解消しません。

上記の話は資産運用に真剣に向き合う人にとっては当たり前のことだと思います。でも、世の中一般では、なかなか理解されていないのは、とても残念なことです。

情報セキュリティに関係する基準、ガイドラインなど（転載）

情報セキュリティに関係する基準、ガイドラインなど: 

 rokujyouhitoma.hatenablog.com/entry/2021/09/…

いつも見直すときに探し直す羽目になってしまうので情報セキュリティに関係する法規、基準、ガイドラインなどをまとめておく。

こうやってリストアップし俯瞰すると、多くは経済産業省、IPA。

基準、ガイドライン

• 営業管理秘密指針https://www.meti.go.jp/policy/economy/chizai/chiteki/guideline/h31ts.pdf
  
  
• サイバーセキュリティ経営ガイドライン
  https://www.meti.go.jp/policy/netsecurity/mng_guide.html
  
  
• クラウドサービス提供における情報セキュリティ対策ガイドライン（第２版）
  https://www.soumu.go.jp/main_content/000566969.pdf
  
  
• 総務省｜報道資料｜「クラウドサービス提供における情報セキュリティ対策ガイドライン（第2版）」の公表
  https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00001.html
  
  
• テレワークセキュリティガイドライン第５版（令和３年５月）
  https://www.soumu.go.jp/main_content/000752925.pdf
  
  
• 総務省｜テレワークにおけるセキュリティ確保
  https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/
  
  
• 中小企業等担当者向け テレワークセキュリティの手引き（チェックリスト）第２版（令和３年５月）
  https://www.soumu.go.jp/main_content/000753141.pdf
  
  
• 中小企業の情報セキュリティ対策ガイドライン
  https://www.ipa.go.jp/files/000055520.pdf
  
  
• 情報セキュリティ監査制度
  https://www.meti.go.jp/policy/netsecurity/is-kansa/
  
  
• 情報セキュリティ管理基準（平成28年経済産業省告示第37号）
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
  
  
• 情報セキュリティ監査基準（平成15年経済産業省告示第114号）
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex04.pdf
  
  
• 情報セキュリティ監査基準 実施基準ガイドライン Ver1.0
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Audit_Annex05.pdf
  
  
• オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集
  https://www.meti.go.jp/press/2021/04/20210421001/20210421001.html
  
  
• 情報システム安全対策基準
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf
  
  
• 個人情報の保護に関する法律についてのガイドライン （外国にある第三者への提供編）
  https://www.ppc.go.jp/personalinfo/legal/guidelines_offshore/
  
  
• OECDガイドライン
  https://www.mofa.go.jp/mofaj/gaiko/oecd/security_gl_a.html
  
  
• 政府機関等の情報セキュリティ対策のための統一基準群（平成30年度版）
  https://www.nisc.go.jp/active/general/kijun30.html
  
  

規格、認証、フレームワーク

• ISO/IEC 27001
  https://www.iso.org/isoiec-27001-information-security.html
  
  
• ISO/IEC 27017:2015
  https://www.iso.org/standard/43757.html
  
  
• ISO/IEC 17799:2005
  https://www.iso.org/standard/39612.html
  
  
• JIS X 5080:2002
  https://www.jipdec.or.jp/archives/publications/J0004141
  
  
• ISO/IEC 20000:2018
  https://www.iso.org/standard/70636.html
  
  
• ISO 22301:2012
  https://www.iso.org/standard/50038.html
  
  
• IEC 62443シリーズ
  https://www.iec.ch/blog/understanding-iec-62443
  
  
• JIS Q 15001:2017
  https://www.kikakurui.com/q/Q15001-2017-01.html
  
  
• セキュリティ関連NIST文書
  https://www.ipa.go.jp/security/publications/nist/index.html
  
  
• NIST CSF
  https://www.ipa.go.jp/files/000071204.pdf
  
  
• プライバシーマーク制度
  https://privacymark.jp/system/about/index.html
  
  
• PCI DSS
  https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_2_1_JA-JP.pdf?agreement=true&time=1632922346978
  
  
• ITIL
  https://www.axelos.com/best-practice-solutions/itil
  
  
• EDSA認証
  https://www.isasecure.org/en-US/Certification/IEC-62443-EDSA-Certification-(In-Japanese)
  https://www.ipa.go.jp/security/fy25/reports/edsa/index.html
  
  

法

• 不正競争防止法
  https://elaws.e-gov.go.jp/document?lawid=405AC0000000047
  https://www.meti.go.jp/policy/economy/chizai/chiteki/index.html
  
  
• 不正アクセス禁止法
  https://elaws.e-gov.go.jp/document?lawid=411AC0000000128
  
  
• サイバーセキュリティ基本法
  https://elaws.e-gov.go.jp/document?lawid=426AC1000000104
  
  
• 個人情報保護法
  https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
  https://www.ppc.go.jp/personalinfo/

クラウドOSINT / Cloud OSINT + free cloud training courses & certifications（転載）

Cloud OSINT + free cloud training courses & certifications

コンピュータ技術は、小型化、シンクライアント化、プッシュプルモデルによる更新情報を提供する中央管理型のインフラへと移行し続けていますが、ひとつ確かなことは、クラウドが未来であるということです。

クラウド環境でのインシデントレスポンス、OSINTに基づく調査、クラウドベースのデジタルフォレンジックなど、この継続的な適応には、デジタル調査も適応しなければなりません。

脅威を調査したり対応したりするためには、まず環境を理解する必要があります。

サービスプロバイダーが誰であるかに関わらず、クラウドは世界中に散在する物理的および仮想的なコンピューティングリソースの組み合わせであり、デジタル「テナント」によって短期または長期的にレンタルされています。

クラウドについて学ぶことは、デジタル調査員にとって有益です。実際、クラウド・コンピューティングに関して、これほど多くの無料教育コンテンツが提供されていることはありません。

 Cloud OSINT

一般的なクラウドOSINT調査では、一般に公開されている（多くの場合、意図せずに公開されている）オンラインコンテンツに焦点が当てられ、一般にバケット（AWS、Google Cloud）やブロブ（Azure）と呼ばれるクラウドストレージリソースに展開されます。

公開されているバケットやブロブには、ビデオやMP3ファイルの再生、画像やPDFの表示など、Webサイトと同じようにオブジェクトを格納して表示することができます。

「漏れたバケツ」を検索することは、単なる調査の切り口ではなく、サイバーセキュリティの専門家や監査人がデータポリシーのギャップを見つけ、コンプライアンス違反を排除するためにも行われます。

ここでは、クラウド上で公開されているコンテンツを検索するための便利なツールをご紹介します。

• Grey Hat Warfare - ファイル、バケット、ブロブの検索可能なデータベースです。様々なクラウドリソースをキーワードで検索できます。完全な検索結果、リスト、ファイル拡張子、その他のオプションは、有料のサブスクリプションのみで利用可能です。
  
  
• Osint.sh Public Buckets - Amazon S3バケットとAzure blobの両方を検索します。キーワードやファイルの拡張子で検索を絞り込むことができます。
  
  
• Digi Ninja’s Bucket Finder - オフラインツール、ダウンロードが必要です。バケット名をチェックして、その公開/非公開の設定やパーミッションをチェックします。

ウェブやオフラインのツールは便利で簡単に利用できますが、本当の意味でのチャンスや選択肢の豊富さは、Githubや、公開すべきでないクラウドリソースを列挙して特定するために作成された数多くのリポジトリにあります。

• https://github.com/initstring/cloud_enum
  
  
• https://github.com/nyxgeek/AzureAD_Autologon_Brute
  
  
• https://github.com/Parasimpaticki/sandcastle
  
  
• https://github.com/sa7mon/S3Scanner
  
  
• https://github.com/clario-tech/s3-inspector
  
  
• https://github.com/eth0izzle/bucket-stream
  
  
• https://github.com/cr0hn/festin
  
  
• https://github.com/awslabs/aws-config-rules
  
  
• https://github.com/awslabs/git-secrets
  
  
• https://github.com/jordanpotti/AWSBucketDump

上記の資料の範囲は非常に広く、それらの資料を利用するには、ある程度深い理解と勉強が必要になるでしょう。

幸いなことに、そのような目的のための資料には事欠きません。

週刊OSINT 2021-37号 / Week in OSINT #2021-37（転載）

Week in OSINT #2021-37
 

今号は、次のような話題をお届けします。

• Why Look at the Page Source?
• WeVerify Plugin
• Start.me on Canada
• IOCs on Twitter
• Whatsmyname
• Finding Hidden Content on LinkedIn
• Google Alerts

---

Tip: なぜページソースを見るのか？

OSINT分野のハードヒッターが、Twitterで質問をしたらどうなるでしょうか？その質問が「Webページのソースコードを見るべき理由を教えてください」だったらどうでしょう。その結果、興味深いツイッターのスレッドができ、なぜそれが実りあるものになるのか、たくさんの例が出てきます。解析コード、隠れたメタデータ、タイムスタンプ、解析されたJSONデータなど、多くの発見がありました。Kirbyさん、ご質問ありがとうございました。

The #OSINT question for this week: give one reason you might look at the source code or inspect panel for a website during an investigation.

— kirbstr (@kirbstr) September 7, 2021

Link: Twitter thread

---

ツール: WeVerify Plugin

フェイクニュースに対抗するための最良のツールの一つが、WeVerifyプロジェクトのツールボックスです。このツールボックスはブラウザに組み込まれており、ワンクリックで画像の逆引き検索や、便利なツールを集めたメニューを表示することができます。さらに、便利な新機能が追加されたことで、さらに進化しています。

• TwitterやFacebookからのメタデータ
• OCRツール
• イメージフォレンジックの強化
• ファクトチェックサイトのGoogle検索
• ソーシャルメディアのGoogle検索

何よりも素晴らしいのは、ツールの中に学習教材やゲームが用意されていることです。コンテンツのファクトチェックに慣れていない人は、「クラスルーム」や「デモ」を見て、スピードを上げていきましょう。ジャーナリストや研究者のみが利用できるツールもありますので、より高度な機能を利用したい方はアカウントを登録してください。Firefoxのアドオンもいつかアップデートされることを期待しましょう。

「フェイクニュースゲーム」で自分のスキルを試す

---

リンク: Start.me on Canada

Ritu Gillは、カナダに関する有用な情報を集めた「Start.me」のページを作成しました。国レベルのリンクだけでなく、州や地域別のリンクにも分けられています。膨大な量のリンクが掲載されており、カテゴリー別に分けられていないため少し検索する必要がありますが、必要に応じて有用なリンクの世界が広がっています。すべてのハードワークと、それをコミュニティと共有することに感謝します

カナダの情報が必要ですか？そんな時はこのサイトをご利用ください。

---

Tip: IOCs on Twitter

Daniel Lópezはセキュリティアナリストで、phishhunt.ioの開発者です。phishhunt.ioは、ダニエル・ロペス氏のウェブサイト、Twitter、またはGitHubのリポジトリから、Twitterで共有されているIOCを見つけることができます。

ツイッターでのIOCコレクション

彼のレポでもうひとつ興味深いのは、フィッシングキットのコレクションです。Phishhunt.ioは、アクティブなフィッシングサイトをダウンロードし、GitHubのレポに保存しています。ここにあるコレクションは本当に役に立ちます。

Link: TweetFeed

Link: Phishing kits

---

ツール: Whatsmyname

2015年10月にMicah Hoffmanは、ユーザー名を列挙するツールWhatsmynameを作成しました。このスクリプトは他のツールとは異なり、ウェブサイトに問い合わせをして、エラーがなければヒットするというものではありません。WebサイトやAPIにクエリを送信した後、実際にコンテンツを確認します。誤検出が減り、手作業に費やす時間も減りました。また、コミュニティのおかげで、さらに多くのサイトが追加されました。現在、300以上のウェブサイトが含まれていますが、あなたの助けが必要です。お気軽にフォームにご記入いただくか、プルリクエストを作成してサイトを追加してください。

Link: GitHub repo

Link: WhatsMyName web app

---

Tip: LinkedInの隠れたコンテンツを見つける

LinkedInユーザーにとっては、すべてが見えるわけではありません。なぜなら、プロフィールを見てもはっきりとは見えない情報もあるからです。しかし、古き良き時代のGoogleは、これらの隠れた情報を認識しており、Henk van EssがTwitterのスレッドで示したように、人々が働く場所を検索することもできます。

LinkedInで間接的に人を検索する

また、自分のプロフィールがGoogleにインデックスされないようにしても、追加した会社の従業員として表示されてしまいます。Irina Shamaevaのサイトでは、LinkedInの便利なクエリを紹介しています。

Link: Booleanstrings

---

Tutorial: Google Alerts

Tracy MaleeffがGoogleアラートの作成方法について短いチュートリアルを書きました。Googleアラートは、特定のトピックに関する情報を、メールボックスやRSSフィードで簡単に収集することができるサービスです。Googleのこのサービスは2003年に開始されたもので、Googleのデータベースに新しくインデックスされたURLが「アラート」にマッチすると、アラートの作成者に通知されるというサービスを提供しています。非常に便利で、設定も簡単です。この小さなチュートリアルに感謝します。

アラートの設定 - Image by InfoSecSherpa

Link: https://link.medium.com/zboIT78fHjb

ライトオンに不正アクセス、会員の個人情報が流出（転載）

弊社公式オンラインショップへの不正アクセスによる個人情報流出に関するお詫びとご報告 株式会社ライトオン 2021年11月4日
biz.right-on.co.jp/news/topics/11…

ライトオンに不正アクセス、会員の個人情報が流出

衣料小売のライトオンは、公式オンラインショップが不正アクセスを受け、登録会員に関する個人情報が外部に流出したことを明らかにした。

同社によると、会員登録フォームより登録された「ライトオンメンバーズ」の個人情報24万7600件が外部に流出したことが、10月30日に判明したもの。氏名や生年月日、性別、住所、電話番号、メールアドレスなどが含まれる。

10月27日に異常なアクセス件数を検知し、同月23日ごろより断続的に攻撃を受けていたことが発覚。対策を講じたが29日にも不正アクセスを確認し、アクセス元との通信を遮断した。また調査を行ったところ、流出したデータに個人情報が含まれていたことが10月30日に判明したという。

同社は11月3日に警察へ被害を申告するとともに、個人情報保護委員会へ報告。翌4日より対象となる顧客に対して個別に連絡を取っている。

同社では、不正アクセス対策や監視体制を強化するほか、外部事業者によるセキュリティ体制の監査を実施し、再発の防止を図りたいとしている。

プレスリリース（バックアップ）