電子申請・届出サービスのコールセンターを装った不審メールについて 2022年6月30日 埼玉県

県が契約している電子申請・届出サービスのコールセンターを装った不審メールが送信されていることが分かりました。

電子申請・届出サービスの利用者の皆様におかれましては、不審なメールを受信した場合は、開封せずに廃棄していただくようお願いいたします。

概要

１ 不審なメールの特徴

（1）送信者のメールアドレス

*******@s-kantan.com <xxx@xxx.xxx.xxx>（第三者のアドレス）

（2）添付ファイル

zip ファイルが添付されていることが多い。

※コールセンターにおいては、添付ファイル付きのメールをお送りすることはありません。

２ 不審なメールを受信する可能性のある県民

令和 4 年 3 月 10 日(木曜日)から 6 月 8 日(水曜日)の間に、電子申請・届出サー

ビスのコールセンターに、電子メールによりお問い合わせをされた方

３ 原因

コールセンターで使用しているパソコン（1 台）がコンピューターウイルス

（Emotet）に感染したため

プレスリリース（アーカイブ）

週刊OSINT 2022-22号 / Week in OSINT #2022-22

 

今週も、OSINTの分野におけるヒントや記事を用意しました。

• Twitter Search Subscriptions
• Spoonbill
• OSINT on Oil Rigs
• YouTube Shorts

小技: Twitter Search Subscriptions

先週、Dylan RousselがTwitterで今後の機能を紹介しました。検索クエリ内の新しいツイートに対する通知をオンにすることができる新しいオプションをテストしているようです。今のところ、Twitterアプリのアルファ版テスターにしか公開されていない。テストが早く進み、私たちがこの機能を使えるようになることを祈りましょう。

小技: Spoonbill

金科玉条のような話ですが、メルマガで取り上げたことがなく、思い出したので、そろそろ紹介したいと思います。Spoonbillでは、Twitterのアカウントで行われた変更を追跡する機能があります。すべてのユーザー名が追跡されているわけではありませんが、Twitterアカウントを接続し、変更を購読することで追跡を開始することができます。アカウントがすでに同社のデータベースに登録されているかどうかを確認するには、次のサイトにアクセスするだけです。

https://spoonbill.io/twitter/data/{USERNAME}

記事: OSINT on Oil Rigs

Rae Bakerは海上の物体を調査するのが大好きで、今回は石油掘削装置やその他の関連するものを調べてみました。彼女の新しいブログでは、石油の世界に関係するものを調査するのに役立つ、本当に便利なリソースをたくさん取り上げています。ジオロケーションから、原油のような製品の輸送の追跡まで。よくやった、そしてこれを共有してくれてありがとう

小技: YouTube Shorts

今週末、Cyber DetectiveがYouTubeのショートムービーに関する巧妙なトリックを紹介しました。もうご存知の方も多いと思いますが、どこにでも出てくる短いあれのことです。通常の動画とは少し異なり、標準的なインターフェイスで始まらないのが特徴です。特定の時間枠にスキップすることも、設定も、字幕もありません。しかし、URLをわずかに変更することで、それらをすべて有効にすることが可能です。TwitterユーザーのDemianは、さらに簡単なトリックも教えてくれました。URLを取り出し、「shorts」という単語を「v」に変えるだけでいいのです。そうすると、こうなります。

https://www.youtube.com/shorts/yFuK68u2-hw

↓

https://www.youtube.com/v/yFuK68u2-hw

YouTubeは自動的にURLを書き換えて、目的のビデオを通常のプレーヤーで読み込みます。このヒントを教えてくれてありがとうございます。

出典：Week in OSINT #2022-22

新潟県電子申請システムの受託事業者のパソコンがウイルスに感染したことにより、メール情報の流出及び不審メールが発信される事案が発生 2022年6月30日 新潟県

新潟県電子申請システムの運営業務に当たり、以下のとおりメール情報が流出し、不審メールが発信されるという事案が発生しました。

１　事案の概要

新潟県電子申請システムを運営する受託事業者（（株）ＮＴＴデータ関西）のヘルプデスクで使用しているパソコン８台のうち、１台がマルウェア（Emotet）に感染し、当該パソコンに保存されていた過去に送受信したメール情報が流出したことにより、ヘルプデスクを装った第三者からの不審なメールが発信されているもの。

２　流出した可能性のある情報等

令和４年３月10日から６月８日(※1)までにヘルプデスクにお問い合わせいただいたメール情報

件　　数	総数　2,311件（※2）うち新潟県関係　35件
流出情報	メールアドレス、個人情報を含むメール本文

※1　新潟県電子申請システムは、令和４年４月１日に運用開始

※2　電子申請システムは、全国で約800の自治体が利用しているクラウドサービスであり、全国で2,311件の流出が発生しました。

 

３　現時点で判明している不審メールの件数

システムを利用している団体のうち、７団体の名前をかたり、９件の不審メールが確認されています（新潟県関係は含まれていない）。

【不審メールの一例】

件　　名：RE:（過去にやり取りしたメールの件名）

差 出 人：第三者のメールアドレス（表記は電子申請システムヘルプデスク）

　　　　（ 正 ）******* @s-kantan.jp <******* @s-kantan.jp>

　　　　（不正）******* @s-kantan.jp

添付ファイル：zipファイルが添付されていることが多い。

 

４　事案の経緯

日　付	状　況
５月20日	ヘルプデスクに届いた不審メールを申請者からの問合せと誤認し、添付ファイルを実行し、マルウェアに感染。なお、この時点ではアンチウイルスソフトにより検知されず。
６月６日	ヘルプデスクアドレスをかたった不審メール１件の申告を受託事業者が受領。以降、複数の利用団体から不審メールの申告を受託事業者が受領。
６月８日	アンチウイルスソフトによりマルウェアを無害化。
６月23日	業務パソコン１台が過去にマルウェア感染していた痕跡を検出し、５月20日に感染したことが判明。
６月29日	当該パソコンから情報流出したメール（2,311件）を特定。

 

５　対応

　・　流出した可能性のある情報及びその該当者の特定作業を進めています。

　・　該当者を特定後、不審なメールを開かないこと等の注意喚起を行うとともに、謝罪を行ってまいります。

　・　受託事業者に再発防止策を講ずるよう求めてまいります。

新潟県プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）

個人情報を含むUSBメモリーの紛失について 2022年6月30日 杏林大学医学部付属病院

このたび、当院の医師が患者さんの検査用の動画データなど、個人情報が含まれるUSBメモリーを紛失する事故が発生しました。

当該のUSBメモリーは現時点で発見できていません。個人情報の漏洩などの事実は確認されていません。

関係する皆様に深くお詫び申し上げるとともに、今回の事案を真摯に受け止め再発防止を図ってまいります。

●経緯と個人情報の内容

6月19日、当院の医師が患者さん27人の氏名、ID番号、終夜睡眠ポリグラフ検査データ、睡眠時の状態を記録した動画が入ったUSBメモリーを紛失していることに帰宅後気づきました。

この動画は、赤外線を通して撮影しているため個人の特定は難しいと判断しています。

また、終夜睡眠ポリグラフ検査データを診るには、市販されていない医療検査用の専門ソフトが必要です。

医師は、データの判読に長時間を要するため帯出していました。

紛失したUSBメモリーにはパスワードロック等の対策は施されていませんでした。

●患者さんへの対応

該当する患者さんには個別にお知らせしお詫びするとともに、状況を説明した文書を郵送いたしました。

●再発防止に向けて

本件では、診療上のデータを院外に持ち出さないという決まりが守られていませんでした。このため、院内で情報を共有し、改めて点検を行うほか、eラーニングなどを通じた院内教育で再発防止の徹底を図ってまいります。

プレスリリース（アーカイブ）

不正アクセスで顧客の個人情報が流出の可能性 - スマホ買取店

スマートフォンやゲーム機の買い取りなど行っているトゥインクルモバイルのサーバが不正アクセスを受け、顧客の個人情報が流出した可能性があることがわかった。

同ショップを運営する中龍によれば、サーバが不正アクセスを受け、同ショップのウェブサイトに会員登録していた顧客最大2110人分の個人情報が流出した可能性があることが判明したもの。

氏名や住所、電話番号、生年月日、性別、メールアドレスなどが対象で、一部では口座情報なども含まれるという。

すでに警察へ被害を相談しており、個人情報保護委員会へ報告を行った。同社では調査を継続しており、対象となる顧客には、メールおよび書面で報告と謝罪を行うとしている。

プレスリリース（アーカイブ）

出典：不正アクセスで顧客の個人情報が流出の可能性 - スマホ買取店

経産省「サイバーセキュリティ体制構築・人材確保の手引き」第2.0版公開

経済産業省は、「サイバーセキュリティ体制構築・人材確保の手引き」をリニューアルし、第2.0版として公開した。

同省では独立行政法人情報処理推進機構（IPA）とともに、「サイバーセキュリティ経営ガイドライン」を策定しているが、同手引きは「サイバーセキュリティ経営ガイドライン」の付録として、リスク管理体制の構築と人材の確保について具体的な検討を行う際のポイントを解説している。

今回公開した第2.0版では、2021年4月に公開した第1.1版をもとに、読みやすさを重視しポイントをしぼって検討手順を明確化、企業におけるデジタル活用が進展する中での「プラス・セキュリティ」の必要性の高まりを踏まえ、一部内容の更新・拡充を行っている。

同省では経営者・経営層向けに経営層が担うべき役割と内容に関するポイントを挙げたPDF3ページの概要版と、PDF42ページから成る本体の2種類を公開している。

「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）本体（バックアップ）

「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）概要版（バックアップ）

パスワード管理ツールのリスクは？ / What About Password Manager Risks?

すべてのユーザーがパスワード管理ツールを使用して、完全にランダムなパスワードを作成し使用することを推奨しています。完全にランダムな12文字以上のパスワードは、既知のすべてのパスワード推測およびクラッキング攻撃に対して不死身です。人間が作成したパスワードは、20文字以上でなければ同じ保護は得られません。人間は、非常に長い（時には複雑な）パスワードを作成または使用することを好まないので、我々は代わりに信頼できるパスワードマネージャのプログラムを使用することをお勧めします。

よくある質問は、パスワード管理ツールはお金を払ってまで使う価値があるのか、というものです。

その答えは「イエス」だと考えています。パスワード管理ツールを使うことで人が得るリスクの増加は、すべてのメリットによって相殺され、デメリットからリスクを減少させ、徹底的に相殺されると考えています。

パスワード管理ツールを使用するリスクとメリットを見てみましょう。それらは次のようにまとめることができます。

デメリット

• パスワード管理ツールを入手し、インストールする必要がある
• パスワード管理ツールの使用方法を習得する必要がある
• パスワード管理ツールを使用すると、パスワードの作成または入力に時間がかかる場合がある（ただし、必ずしもそうとは限りません）。
• 攻撃される可能性がある
• パスワード管理ツールは、すべてのプログラムまたはデバイスで動作するわけではない
• パスワード管理ツールにアクセスできない場合（破損、ログイン権限の喪失など）、ユーザはそこに含まれるすべてのログイン情報へのアクセスを一度に失うことになる
• 攻撃者がパスワード管理ツールを侵害した場合、攻撃者はユーザーのすべてのパスワード（および所属するサイト）に一度にアクセスし、取得できる可能性がある

メリット

• 完全にランダムなパスワードを作成し、使用することができます。
• サイトやサービスごとに異なるパスワードを簡単に作成し、使用することができます。
• パスワードフィッシングの防止に使用できる
• MFAソリューションのシミュレーションに使用できるため、ユーザーは個別のMFAプログラムやトークンを必要としない
• デバイス間でパスワードを共有できるため、ユーザが必要な場所にパスワードを置くことができます。
• パスワードのバックアップをより簡単に、より安全に行うことができます。
• すべてのパスワードは、パスワードマネージャへのMFAログイン要件によって保護される場合があります。
• ユーザが気づかなかったパスワードの漏洩を警告することができる
• 異なるサイトやサービス間で使用されている同一のパスワードについて警告することができます。
• 元のユーザーが一時的または恒久的に能力を失った場合、または使用できない場合、必要なときに信頼できる人と共有することができます。

誰かのパスワード管理ツールが漏洩し、その漏洩から、保存されているすべてのサイトやサービスに対するユーザーのすべてのパスワードが一度に非常に速く盗まれるというのは、非常に現実的なリスクです。これは、パスワード管理ツールを使用している管理者またはユーザーが検討する必要がある巨大なリスクです。

リスク評価

このリスクに対しては、次のように考えます。まず、ユーザーのパスワード管理プログラムを侵害するためには、ほとんどの場合、攻撃者はパスワード管理プログラムを実行しているユーザーのデバイスにアクセスし、開いた状態でアクセスするか、すべてのパスワードを簡単に盗むことができるようにその設定を操作する必要があります。もし、攻撃者がユーザーのデバイスにアクセスできたら、もうほとんどゲームオーバーです。ハッカー（またはマルウェア・プログラム）は、ユーザーがパスワードを入力または使用する際に単純にキーロギングするなど、他のさまざまな方法を用いてパスワードの一部または全部を取得することができます。

また、パスワード管理ツールのソフトウェアの脆弱性を悪用しようとする攻撃もありますが、ベンダーが既知の欠陥に迅速にパッチを適用し、ユーザーがそのパッチを迅速に適用する限り（ほとんどのパスワード管理ツールのプログラムは自動更新）、それは一瞬の、より小さな問題に過ぎません。ユーザーのパスワードは、パスワード管理ツールベンダーのクラウドネットワークに保存されることもあり、危険にさらされると、攻撃者はそこに保存されているすべてのパスワードにアクセスすることができます。これもリスクだが、ほとんどのパスワード管理ツールベンダーは、顧客の「パスワード保管庫」を自社のネットワーク内の安全性の高い場所に保管しようとしている。

※製品のバグで勝手にパスワードが消去されてしまう事例は経験があるため、必ずゴミ箱昨日のあるパスワード管理ツールを選ぶようにしています。

ですから、攻撃者がユーザーのデバイスにアクセスし、パスワード管理ツールにアクセスし、すべてのパスワードを盗むというのが主なリスクとなります。これは現実的なリスクです。実際に起きたという話も聞きますが、今のところ、それほどポピュラーな攻撃ではありません。将来、パスワード管理ツールが広まって誰もが使うようになれば、一般的な攻撃になるかもしれません。しかし、たとえそれが一般的な攻撃であったとしても、攻撃者やそのマルウェアがユーザーのデスクトップにアクセスできるようになった時点で、ほぼゲームオーバーになると私は考えています。彼らは何でもできるのです。パスワード管理ツールを攻撃してパスワードを盗むというのは、大きな問題のひとつに過ぎないのです。

誰もがパスワード管理ツールを使うべき理由

この大きなリスクにもかかわらず、誰もが自分のパスワードにパスワードマネージャーを使うべきだと思います。なぜなら、パスワードのリスクは、ユーザーが利用しているサイトやサービスから盗まれたパスワードと、推測されてハッキングされる弱いパスワードによるものだからです。米国国立標準技術研究所（NIST）や他のパスワードの権威によると、パスワードの最大のリスクは、関連性のないウェブサイトやサービスでのパスワードの再利用と、ユーザーがハッカーに予測される「パスワードパターン」を作成できることだそうです。

平均的なユーザーは、170を超えるサイトやサービスで使用するパスワードを4～7個持っていると言われています。これらのパスワードは、本来使用されるべきでない場所で、同じパスワードが使用されていることになります。問題は、ハッカーがあなたのウェブサイトの1つに侵入してパスワードを入手すると、他のサイトやサービスでもそれを使用できるようになるということです。1つ、または数個の侵害は、すぐにさらなる侵害の束につながるのです。これは、ソーシャルエンジニアリングに次ぐ、大きなリスクと考えられています。パスワード管理ツールは、このリスクを取り除くことができます。

パスワード管理ツールは、サイトやサービスごとに異なる、まったく関連性のないパスワードをより簡単に作成し、使用できるようにします。パスワード・マネージャーを使用すると、使用されているパスワードさえもわからなくなる可能性があります。これは、パスワードの最大のリスクの一つを取り除くものであり、これだけでもパスワードマネージャーは使用されるべきものです。しかし、それだけではありません。

パスワードマネージャーは、完全にランダムなパスワードを作成します。12文字以上の完璧にランダムなパスワードは、既知の方法では推測もハッシュクラックも不可能です。そして、その完全にランダムで安全なパスワードは、ウェブサイトやサービスごとに異なるものにすることができます。

ソーシャルエンジニアリングが最大のリスク

あらゆるパスワードの最大のリスクは、ユーザーがソーシャルエンジニアリングによってパスワードを盗まれることです。ソーシャルエンジニアリングによるパスワードの盗難は、成功したパスワード攻撃の約半分に関与しています。ほとんどのパスワード管理ツールでは、ツール内からサイトやサービスにログインすることができ、真の正規のサイトやサービスにのみユーザーを誘導します。これにより、最も一般的なパスワードソーシャルエンジニアリング攻撃を防ぐことができます。攻撃者は、不正なURLリンクを含むソーシャルエンジニアリングメールを送信し、偽の偽サイトに正規の認証情報を開示させようとするものです。

パスワード管理ツールの利点は、最大のパスワード攻撃（ソーシャル・エンジニアリング、推測/クラッキング、再利用など）を軽減することです。パスワードの専門家なら誰でも、この3種類のパスワード攻撃がパスワードのリスクの大部分を占めていると言うでしょう。そのため、誰もがパスワードマネージャーを使うべきであり、少なくとも単一障害点による大きなリスクと比較検討する必要があります。

パスワード管理ツールに信頼を寄せるか、あるいはユーザー自身に信頼を寄せるかは、あなた自身にかかっています。可能であれば、まずフィッシングに強い多要素認証(MFA)に移行してもらうようにしましょう。しかし、サイトやサービスがフィッシング防止MFAに対応しない場合は、パスワード管理ツールの使用を検討してください。パスワード管理ツールは、より多くのパスワード専門家によって日々推奨されるようになってきています。

出典：What About Password Manager Risks?

弊社ネットワークへの社外からの不正アクセスについて 2022年6月29日 株式会社オフィスバスターズ

平素より格別のご高配を賜り、厚く御礼を申し上げます。

また、弊社とお取引頂いているお客様、関係者の皆様には多大なご迷惑とご心配おかけしますことを深くお詫び申し上げます。

この度、弊社社員を装った迷惑メールに関するお問い合わせを頂き、社内調査を行ってまいりました。その結果、弊社ネットワークに対して社外から不正なアクセスを受け、社内の一部の情報が漏洩した可能性があることが判明しましたことをご連絡いたします。

当社では引き続き、お取引先様との信頼保全、自社情報漏洩対策や従業員への情報共有・社内研修の実施等、徹底を講じていきます。これまでの弊社の取り組みと、お客様へのご協力のお願いについて、以下にてご連絡申し上げます。お取引先の皆さまにはご迷惑をお掛けいたしますが、ご理解ご協力の程宜しくお願い致します。

1.概要

(ア)　2022年6月に入り、弊社社員を装った迷惑メールに関するお問い合わせを複数頂く。

(イ)　社内にて調査の結果、弊社ネットワークに社外から不正なアクセスを受けたことが判明。

(ウ)　また、弊社サイトにて過去に弊社社員とメールのやり取りがあったお客様の情報の一部が流出した可能性があることが判明。対象の情報は、お客様のお名前、メールアドレス、電話番号、住所、ご注文内容等。

2.セキュリティに関する弊社の取り組み

(ア)　社内パソコンへのEMOCHECKのバージョンアップ・検疫実施

(イ)　ウィルス対策ソフトの入替。

(ウ)　全社員に対してメール取り扱いに関する注意喚起、セキュリティに関する教育・研修

(エ)　今後、個人情報保護委員会にも報告を行う予定。

(オ)　外部の専門業者に相談、今後の更なるセキュリティ対策について協議・検討中

3.弊社・弊社社員を装った迷惑メールを受信したお客様へのお願い

(ア)　送信者のメールアドレスが、弊社アドレスになっているか(@マーク以下がofficebusters.comとなっているか)、過去にやりとりしたアドレス・名刺記載のアドレスと相違ないかをご確認ください。送信者名が弊社社員となっていても、送信者メールアドレスが異なっている場合は、弊社から送信されたメールではありません。

(イ)　メールに記載されているURLリンク、添付されているファイルは確認が取れるまで一切開かないでください。

(ウ)　不明点等ございましたら、以下お問合せ窓口までご連絡ください。

プレスリリース（アーカイブ）