PayPay、PPAP撲滅へ!


PayPayは2022年6月21日、パスワード付き圧縮ファイルをメールに添付して送信し、パスワードを記載したメールを別送する、いわゆる「PPAP」の受信を7月13日にやめると発表した。WordやExcelのマクロファイルを添付したメールの受信も停止。今後は「Box」「PrimeDrive」など、クラウドストレージ経由でのファイル共有を受け付ける。

今後、パスワード付き圧縮ファイルやMicrosoft Officeマクロファイルをメールで受け取った場合は、本文を除いて添付ファイルを削除する。パスワード付き圧縮ファイルやMicrosoft Officeマクロファイルでない添付ファイルは受け取るが、個人情報をはじめとした重要な情報は添付しないよう取引先などに呼び掛けている。

代替手段として、PayPayが使うBoxやPrimeDriveといったクラウドストレージを活用。事前の連絡があれば、送信元が使うクラウドストレージ経由でのファイル共有も認める場合があるという。

PPAPの利用を巡っては、2021年11月にIIJが受信を停止。22年に入ってからはソフトバンクやアイティメディアも停止した。いずれもEmotetなどマルウェア対策が理由という。

宮城県警のメールサーバが不正に利用され、約3万件の迷惑メールが送信される


宮城県警は2022年6月22日、県警のメールサーバーに国外からとみられるメールが不正に送りつけられ、国外に転送されたと発表した。不正に中継されたメールは約3万件に上った。

県警は「警察のメールサーバーが不正中継されたのは初めてとみられる。セキュリティー面の問題の有無や、原因を早急に明らかにする」としている。情報流出やウイルス感染は確認されていないという。

不正中継は21日午前1時半ごろから午後11時過ぎに発生。転送されたメールは英文でプロジェクトへの融資を勧誘する内容で、いずれも同じ文面だった。

送信元は複数の国からで、主に欧州の複数のアドレスに転送された。

都の電子申請システムで不具合 - 別人の教員選考受験票を表示


東京都教育委員会は、2020年度の教員採用選考において、受験票の一部が別人のものと置き換わっていたことを明らかにした。一部は閲覧やダウンロードが行われたという。

東京都によれば、電子申請システムで申し込みがあった受験者のうち、110人分の受験票データが、本人以外の受験者より閲覧、ダウンロードできる状態だったという。

受験票には、氏名、住所、受験校種、教科、選考区分、受験番号、障害配慮の有無などが記載されている。2022年6月15日に受験者より別の受験者の受験票が表示されたとの指摘があり問題が判明した。

電子申請システムの運用業者が調査を行ったところ、電子申請システムにデータをアップロードした際、不具合により異なる受験者の受験票データが保存されたという。保存時にエラーが発生し、再度保存作業を行ったものの、正しいデータが保存できていなかった。

同日、電子申請システムから受験票データを削除。さらにログを調査したところ、9人の受験者が別の受験者の受験票を閲覧したり、ダウンロードしたことがわかった。

都では対象となる受験者に対し、メールや電話で経緯を説明し、謝罪。誤った受験票にアクセスしていた9人に対しては、データをダウンロードしている場合にはデータを削除するよう求めた。


出典:都の電子申請システムで不具合 - 別人の教員選考受験票を表示

LV Plus(デジタル資産およびアプリケーション向けのWeb3.0基盤プラットフォームパブリックチェーン)は詐欺(rug pull)だった模様 / We are seeing a rugpull on project @LV__Metaverse (LV PLUS) - $LVP, which has dropped more than >92%. ~$1.5M USD was taken.


LV__Metaverse(LV PLUS)は詐欺(rug pull)だった模様。LVPトークンの価値は92%以上下落しています。運営側は1,500USD以上を持ち去った模様。


当社サーバーへの不正アクセスの調査結果について  2022年6月21日 株式会社長栄


当社は2022年5月18日付「当社サーバーへの不正アクセスについて」にて、当社サーバーに対する第三者による不正アクセス(以下「本不正アクセス」といいます。)の恐れがある事象が発生したことをお知らせいたしました。

この度、外部調査機関による調査が完了しましたので、下記のとおり調査結果及び是正措置についてご報告いたします。

本不正アクセスに関して、関係するすべての皆様に多大なるご迷惑をおかけすることとなり、深くお詫び申し上げます。

1.調査内容
・EDRセンサーを導入した端末のリアルタイムのモニタリング及び脅威情報の調査
・フォレンジック収集データをもとにした侵害調査
・システム、アプリケーション、ネットワークおよび仮想化ホストに関連したログ調査
・攻撃者が使用したツール、マルウェアの解析及び調査
・根本原因の特定
・情報の外部流出に関する調査

2.調査結果
調査の結果、本不正アクセスによる情報窃取、外部流出の痕跡は確認されませんでした。

3.是正措置
・EDRによる検知アラート、収集情報の全体調査及び能動対処
・リモートアクセス環境のVPN装置の更新
・多要素認証の適用
・内部ネットワークの構成変更
・セキュリティ教育の実施(予定)
・インシデント発生時の対応フローの策定(予定)

4.業績への影響
本不正アクセスにおいて、当社の業績への重要な影響はございません


メルマガ本文に別人の個人情報を誤記載 - 名鉄観光バス


名鉄観光バスは、メールマガジンの件名と本文に、送信先の顧客とは異なる氏名とメールアドレスを記載して送信するミスがあったことを明らかにした。

同社によれば、2022年6月17日17時過ぎに送信したメールマガジンにおいて、受信者とは関係ない顧客の氏名とメールアドレスが、件名と本文中に記載されたという。

従業員が送信時の設定作業において、送信先と本文で異なる宛先のデータを参照するミスがあったという。

同社は、誤送信した同日に対象となる顧客に謝罪のメールを送信。2日後19日に発生原因の説明と、誤送信したメールの削除を依頼するメールを送信している。また事故の発生を受けて個人情報保護委員会へ報告書を提出した。


出典:メルマガ本文に別人の個人情報を誤記載 - 名鉄観光バス

イベント応募者情報を誤送信、フォーム設定が未更新で - 東京都建設局


東京都建設局と東京都道路整備保全公社は、イベントの応募者に関する個人情報を関係ない事業者へ誤ってメールで送信するミスがあったことを明らかにした。

2022年6月15日に東京都道路整備保全公社のウェブサイトで、イベント「夢のみち2022 親子体験ツアー」の参加募集を行ったところ、関係ない事業者に対して応募者の個人情報を誤って送信していたもの。

ウェブサイトに応募フォームを設置したが、過去に業務を委託していた事業者のメールアドレスを送信先より削除していなかったという。応募者8組分の氏名、住所、電話番号、年齢、メールアドレスなどが送信された。

翌16日に誤送信先より連絡があり問題が判明した。メールの送信設定を修正するとともに、誤って送信されたメールが誤送信先において削除されたことを確認。対象となる応募者に対して経緯の説明と謝罪を行っている。


出典:イベント応募者情報を誤送信、フォーム設定が未更新で - 東京都建設局

[イベント] CYDEF2022 (2022/11/30-12/3)

 

CYDEFとは?

2018年に開始したこのカンファレンスは「NATOサイバー防衛協力センター」や「米陸軍サイバーディフェンス研究所」などの研究機関等の協力を得て、世界各国のサイバーディフェンスの専門家による日本最大のサイバーディフェンスカンファレンスです。4年間で延べ200名以上の方に登壇していただき、延べ3,000名以上の方々に聴講いただいています。


CYDEF 2022の目的

サイバー攻撃や情報工作が内包される現在の武力侵攻は、そこに住む人だけでなく国際社会すべてを遠慮なく巻き込み、資源・金融・流通などの経済活動や人の認知領域にも大きな影響を与えています。今年のCYDEF2022ではこの現実を直視し、防衛・安全保障の視点から社会と経済の発展の阻害に直結しているサイバー領域における現況とその趨勢について国内外の有識者を交えて議論していきます。


CYDEF 2022のテーマ

Defending the continuity of light in the gray zone ~グレーゾーンの闇を英智で照らす~


開催概要

開催日時 : 2022年11月30日~12月3日

11月30日 (水)プレデイ       (開催目的・導入セッション)

12月1日   (木)メインデイ    (専門家カンファレンス)

12月2日     (金)メインデイ    (専門家カンファレンス)

12月3日     (土)アフターデイ (ラップアップセッション)

また、開催後に映像についてはアーカイブにて配信する予定です。

※プレデイとアフターデイは日本向けのセッションです。

※各日の呼称は仮です。

登壇者  :国内外から約50名前後を予定

聴講者  :国外を含む約700名(登録者)を想定

実施方式 :オンライン(予定)

対象聴講者:サイバーディフェンス業務に関連する方、サイバーディフェンスに関心のある方

主催   :サイバーディフェンス研究会 CYDEF実行委員会


「CYDEF2022」特設ページ

https://cydef.net/cydef2022/