福岡県小竹町のシステムに不正侵入し、データ改ざんを行った職員が逮捕される

勤務先の福岡県小竹町のシステムに約2年間で600回超の不正侵入を繰り返し、過去に取得した年次有給休暇のデータを改ざんするなどしたとして、福岡県警は2022年7月6日、同町税務住民課の主任主事、作本美菜容疑者（34）＝同県飯塚市川津＝を不正アクセス禁止法違反と公電磁的記録不正作出・同供用容疑で逮捕した。県警によると、容疑をおおむね認めている。

逮捕容疑は2020年5月～22年4月、公務中に他の職員のIDやパスワードを使って町のシステムへ計637回にわたって不正に侵入。自身が21年6月と22年3月に取得した年次有給休暇3日分の記録を削除するなどしたとしている。

県警サイバー犯罪対策課によると、不正侵入には町職員24人分のIDやパスワードが悪用されていた。同課は、作本容疑者が有給休暇を不当に多く取得したり、他の職員の給与明細や人事評価の内容をのぞき見たりする目的があったとみて動機を追及する。

逮捕を受け、松尾勝徳町長は6日、町役場で記者会見を開き「誠に遺憾。再発防止と信頼回復に取り組む」と陳謝した。町の調査によると、他の職員がメールに添付して送信していた人事評価に関するファイルを、作本容疑者が自らのパソコンにダウンロードしていた形跡もあった。

一方、町民の個人情報について町はシステム上、アクセスできない仕組みになっており、情報漏えいの恐れはないと強調。町の調べに作本容疑者は「来年に繰り越す有給休暇を増やしたかった。同僚の人事評価なども軽い気持ちで閲覧した」などと説明したという。

作本容疑者は3月、公務中に町役場内にある労働組合の鍵付きの個室を無断で使用し、20代の男性職員と密会していたことが発覚。町が地方公務員法上の職務専念義務違反に当たるとして内部調査したところ、今回の不正アクセスの疑いも浮上し、県警に相談していた。県警は5月に役場内を捜索し、裏付け捜査を進めてきた。

出典：給与や人事のぞき見も?　不正アクセス637回容疑の町職員　福岡・小竹

看護師および看護学生向けコミュニティサイト「看護roo!」への“なりすまし”による不正アクセスについて【第3報/調査完了】

看護師および看護学生向けコミュニティサイト「看護 roo!」（以下当該サイト）における“なりすまし”による不正アクセスが確認されました件について、セキュリティ専門の第三者機関の協力のもと進めてまいりました調査が完了したため、調査結果および再発防止に向けた取り組みにつきまして下記の通りご報告申し上げます。

お客様に対しご心配おかけいたしましたことを、深くお詫び申し上げます。

１. 調査結果

第三者機関による詳細な調査の結果、本事象は、外部で不正に入手されたリストを用いたパスワードリスト攻撃（※）であったと結論付けました。

（※）外部より不正に入手した他者の ID とパスワードの組み合わせのリストを用いてサイトにログインを試みることで、個人情報の閲覧等を行うサイバー攻撃。

２. 事故発生に関する状況

・5 月 16 日（月）

AM9:36

ご登録いただいているお客様から当該サイトポイント（以下ポイント）使用に関する複数の問い合わせがあったため、不正ログインを疑い社内調査を開始。

AM9:49
調査の結果、登録ユーザー以外の第三者による不正ログイン試行と、ログインが成立した一部のケースにおいて第三者によるポイントの詐取が発生したことを確認。当該 IP からのアクセスを遮断。

PM12:00
上記の調査結果をふまえ、被害拡大の防止と被害範囲の特定、原因調査のために当該サイトの公開を一時的に停止。

・5 月 17 日（火）
セキュリティ専門の第三者機関を交えて詳細な事実関係の調査確認と安全対策に関する協議を開始。

・5 月 19 日（木）
当該サイトにおいて、ポイント詐取が発生する以前にもパスワードリスト攻撃と見られる不正アクセスが行われ、複数のアカウントについてログインがなされていることを確認。

・5 月 20 日（金）
ご登録いただいているすべてのお客様のパスワードをリセットし、既に不正利用されたメールアドレス・パスワードの組み合わせでのログインを今後遮断する対応を実施。

・5 月 23 日（月）
パスワードポリシー変更等アカウントの安全性を強化した上で、当該サイトを再度公開。

・5 月 24 日（火）〜 5 月 27 日（金）
ご登録いただいているすべてのお客様に対し、不正アクセス発生の事実についてメールでご報告。

・6 月 1 日（水）
セキュリティ専門の第三者機関にて被害状況調査を開始。

・6 月 27 日（月）
同一 IP アドレスからの高頻度のアクセスを遮断する対応を実施。

・6 月 29 日（水）
セキュリティ専門の第三者機関より被害状況調査報告を受領。

３. 被害状況

① パスワードリスト攻撃による不正ログイン被害

[パスワードリスト攻撃が行われた期間]
2022 年 4 月 10 日（日）AM 00：12 ～ 2022 年 5 月 16 日（月） PM 12：00

[パスワードリスト攻撃被害]
不正ログイン試行回数：68,821,639 回
上記のうち、実際にログインされた回数：59,742 回（※1）
ログインされたアカウント数：27,196 件（※2）

（※1）弊社コーポレートサイトに公開いたしました第 2 報では、試行回数 138,338,195 回、ログイン数 60,518 回と記載していましたが、より詳細に調査を行った結果、攻撃者による実質的な攻撃を伴うアクセス・ログインは上記回数であることが判明したため、訂正いたしました。

（※2）1 つのアカウントに対し、複数回の不正ログインが発生していたため、重複を除いたアカウント数を記載しています。

上記の不正ログインされたアカウントで、閲覧された恐れのあるユーザー情報とアカウント数の詳細は以下のとおりです。

ニックネームのみ：25,245 件
ニックネーム・都道府県：751 件
ニックネーム・都道府県・市区町村以降の住所・氏名：1,196 件
ニックネーム・都道府県・保有資格・卒業年・生年月日・性別：3 件
ニックネーム・都道府県・市区町村以降の住所・氏名・保有資格・卒業年・電話番号・生年月日・性別・奨学金情報：1 件

上記以外のアカウント情報の閲覧はございませんでした。なお、銀行口座、クレジットカード情報等、決済関連の情報は、もとより保有しておりません。

※ 弊社が導入する WAF ではリスト攻撃を検知するための機能を有効化、メーカーの提案値よりも検知率が高くなるよう閾値を設定して運用しておりましたが、閾値を下回る速度（頻度）でパスワードリスト攻撃が行われたため、検知・遮断ができておりませんでした。

② 第三者による不正なポイント交換による被害

[不正アクセスによるポイント交換が行われた期間]
2022 年 4 月 10 日（日）AM 00：50 ～ 2022 年 5 月 16 日（月） AM 10：30

※ 追加調査により、弊社コーポレートサイトに公開いたしました第 2 報で報告した被害発生以前に、ポイントの不正使用が 1 件あったことが判明したため訂正いたしました。

[ポイントの不正使用による被害件数およびポイント数]
ポイントが不正使用されたアカウント： 1,878 件
不正使用されたポイント数： 652,004 ポイント

※ 追加調査により、弊社コーポレートサイトに公開いたしました第 2 報で報告した被害発生以前に、ポイントの不正使用が 1 件あったことが判明したため訂正いたしました。

４. 対応と再発防止策

本事象の発生を受けて、弊社での対応・対策としては以下を実施いたします。

[不正アクセスの被害にあわれた方への対応]
・第三者による不正なログイン・ポイント交換による被害が確認できたアカウントで登録されているお客様に対して本件状況を個別にメールでご連絡
・不正にポイントを利用されたお客様に対しての損失補填（実施済み）

[実施済みの対策]
・当該サイトのパスワードポリシーの強化
・認証画面における reCAPTCHA（リキャプチャ）の導入
・ご登録いただいているすべてのお客様のパスワードをリセット

※ 再ログイン時に、お客様にて新たなパスワードをご設定いただくこととなります。パスワードの使い回しを避け、従来ご利用されていたパスワード以外を設定いただくようお願いしております

・再攻撃に備えた重点的な監視策を強化
・同一 IP アドレスからの高頻度のアクセスを遮断

[今後実施予定の対策]
・メール/ショートメッセージを用いた二段階認証の導入

プレスリリース（アーカイブ）

全文表示 / Read more »

不審メールへの注意喚起　2022年7月1日　岡山県

岡山県が県内市町村と共同利用している電子申請サービスについて、提供事業者のヘルプデスク業務で使用していたパソコンが、コンピュータウィルス（Emotet：エモテット）に感染し、電子メールアドレスを含む、問い合わせメール情報７１件が流出した旨の連絡がありました。

事業者によると、全国で２，３１２件の情報流出があり、既にヘルプデスク（コールセンター）を装った不審メールが送信されていることが確認されたとのことです。

利用者の皆様におかれましては、ウイルス感染等の恐れがあるため、不審なメールを受信した場合は、メールの開封、添付ファイルの実行、メール本文のURLへのアクセス等は行わないようご注意ください。

岡山県プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）

第三者による国際電話の不正利用について　2022年7月1日　NTTレゾナント株式会社

近年、PBXやIP電話対応機器などをご利用のお客さまに対し、かけた覚えのない高額な国際電話料金が請求される事象が発生しています。企業のお客さまの場合、とくにオフィスが無人となる土日・祝日や連休、深夜から早朝の間に被害に遭う傾向が見られます。

これらの被害は、お客さまが設置されているPBXやIP電話対応機器などの設定に問題がある場合やセキュリティ対策が不十分な場合に、悪意のある第三者がこれらの機器に不正にアクセスし、お客さまになりすまして国際電話を不正利用していることが原因であると判明しています。

お客さまにおかれましては、ご利用中のPBXやIP電話対応機器の設定状況をご確認のうえ、予め十分なセキュリティ対策を講じていただき、第三者による不正利用が行われないようご注意ください。

不正利用が確認されたケース

例えば以下のような方法で、お客さまになりすました国際電話の不正利用が行われるケースがあります。

PBXのDISA(ダイレクト・イン・サービス・アクセス)機能*3やリモート保守、転送機能などが悪用されるケース
IP-PBXのセキュリティ対策が不十分な場合に、インターネット経由でIP-PBXに不正アクセスされるケース
IP電話接続機器のセキュリティ対策が不十分な場合に、接続のためのIDやパスワードを不正に入手してアクセスされるケース

なお、不正利用による国際電話の発信先として多い国／地域の例は以下の通りです。国際電話を利用されることがないお客さまは、後述の利用休止手続きを取っていただくことも可能です。また、国際電話を利用されるお客さまであっても、これらの国／地域へ電話をかけることがない場合、お客さまのご利用機器の設定を変更して、これらの国／地域への発信を停止することをお勧めします。

＜発信先の国／地域例＞

国番号	国／地域名
1-246	バルバドス
1-264	アンギラ
1-441	バミューダ諸島
1-767	ドミニカ国
1-876	ジャマイカ
7	ロシア連邦
7	カザフスタン共和国
32	ベルギー王国
34	スペイン王国
41	スイス連邦
46	スウェーデン王国
48	ポーランド共和国
52	メキシコ合衆国
53	キューバ共和国
56	チリ共和国
90	トルコ共和国
212	モロッコ王国
213	アルジェリア民主人民共和国
216	チュニジア共和国
220	ガンビア共和国
221	セネガル共和国
224	ギニア共和国
225	コートジボワール共和国
228	トーゴ共和国
229	ベナン共和国
231	リベリア共和国
232	シエラレオネ共和国
235	チャド共和国
237	カメルーン共和国
238	カーボベルデ共和国
240	赤道ギニア共和国
241	ガボン共和国
242	コンゴ共和国
243	コンゴ民主共和国
244	アンゴラ共和国
245	ギニアビサウ共和国
247	アセンション島
248	セーシェル共和国
252	ソマリア連邦共和国
256	ウガンダ共和国
257	ブルンジ共和国
258	モザンビーク共和国
260	ザンビア共和国
261	マダガスカル共和国
263	ジンバブエ共和国
264	ナミビア共和国
266	レソト王国
269	コモロ連合
297	アルバ
355	アルバニア共和国
370	リトアニア共和国
371	ラトビア共和国
372	エストニア共和国
375	ベラルーシ共和国
376	アンドラ公国
377	モナコ公国
381	セルビア共和国
382	モンテネグロ
383	コソボ共和国
386	スロベニア共和国
387	ボスニア・ヘルツェゴビナ
592	ガイアナ共和国
593	エクアドル共和国
597	スリナム共和国
670	東ティモール民主共和国
675	パプアニューギニア独立国
677	ソロモン諸島
686	キリバス共和国
678	バヌアツ共和国
682	クック諸島
685	サモア独立国
960	モルディブ共和国
967	イエメン共和国
972	イスラエル国
994	アゼルバイジャン共和国
995	ジョージア
996	キルギス共和国

お客さまご自身で実施が必要な対策

＜ご利用機器メーカー、契約中の保守事業者などへ必要に応じてご相談のうえお客さま自らで実施いただく主な対策＞

IP-PBXソフトウェアを利用する場合は、最新のバージョンにアップデートするなどのセキュリティ対策を行う。
PBXなどの機器やソフトウェアの設定状況を確認し、不要に外部から接続ができる設定になっていないかを確認し、不要な接続環境は削除する。
「外部から接続する際のパスワード」および「各種設定や管理用のパスワード」について、第三者が推測しやすいパスワードや簡易なパスワードは設定せず、定期的にパスワードを変更する。
利用しない国／地域への発信を、機器の設定によって停止する。
機器やソフトウェアのアクセスログを記録、保存するようにし、不審なアクセスの有無をチェックする。
利用しているPBXなどの機器メーカー、保守ベンダ事業者などに相談する。

＜通信事業者へお申し込みいただくことでできる主な対策＞

IP電話サービスをご利用で、国際電話を利用しない場合は、各IP電話サービスの「国際電話利用休止」の付加サービス(無料)の申し込みを行う。

※長期間、国際電話を利用していないお客さまは、国際電話利用休止をご検討ください。

船橋市電子申請システムヘルプデスクの運営事業者における情報流出事案について　2022年7月1日　船橋市

この度、船橋市電子申請システム(「船橋市オンライン申請・届出サービス」)のヘルプデスクの運営業務に当たり、以下のとおりメール情報が流出し、不審メールが発信されるという事案が発生しました。

1　事案の概要

船橋市電子申請システムを運営する受託事業者(株式会社ＮＴＴデータ関西)のヘルプデスクで使用しているパソコン8台のうち、1台がマルウェア(Emotet(エモテット))に感染し、当該パソコンに保存されていた過去に送受信したメール情報が流出したことにより、ヘルプデスクを装った第三者からの不審なメールが発信されているもの。

2　流出した可能性のある情報等

令和4年3月10日から6月8日までにヘルプデスクにお問い合わせいただいたメール情報。

総数	18件(17人分)※
流出情報	メールアドレス、メール本文

※当該受託事業者の電子申請システムは、全国で約800の自治体が利用しているクラウドサービスであり、全国で2,312件の流出が発生し、うち船橋市電子申請システム関係で18件(17人分)のメール情報が流出したもの

3　現時点で判明している不審メールの件数

電子申請システムを利用している団体のうち、8団体の名前をかたり、10件の不審メールが確認されており、うち船橋市電子申請システム関係では1件の不審メールを確認。

【不審メールの一例】

件　　名：RE:（過去にやり取りしたメールの件名）

差出人：第三者のメールアドレス（表記は電子申請システムヘルプデスク）

　　　　（正）******* @s-kantan.jp <******* @s-kantan.jp>

　　　　（不正）******* @s-kantan.jp

添付ファイル：zipファイルが添付されていることが多い。

4　事案の経緯

日付	状況
5月20日	ヘルプデスクに届いた不審メールを申請者からの問合せと誤認し、添付ファイルを実行し、マルウェアに感染。なお、この時点ではアンチウイルスソフトにより検知されず。
6月6日	ヘルプデスクアドレスをかたった不審メール1件の申告を受託事業者が受領。以降、複数の利用団体から不審メールの申告を受託事業者が受領。
6月8日	受託事業者がアンチウイルスソフトによりマルウェアを無害化。
6月23日	受託事業者の業務パソコン1台が過去にマルウェア感染していた痕跡を検出し、5月20日に感染したことが判明。
6月29日	受託事業者の当該パソコンから情報流出したメール（2,312件）を特定。
6月30日 17時	受託事業者より情報流出したメールに船橋市の情報も含まれる旨を受電。
7月1日 11時20分～12時00分	受託事業者より詳細説明(Web会議)。18件(17人分)のメールアドレス及びメール本文の流出があった旨、報告を受ける。

5　対応

・メール情報の流出があった方に対し不審なメールを開かないこと等の注意喚起を行うとともに、謝罪を行ってまいります。

・受託事業者に再発防止策を講ずるよう求めてまいります。

・本事案を装った新たな不審メールが送信されることも想定されることから、市民に対し広く不審なメールを開かないこと等の注意喚起を行ってまいります。

船橋市プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）

ボランティア宛のメールで送信ミス - 大阪歴史博物館

大阪歴史博物館の職員が、ボランティア登録者へ送信したメールにおいて誤送信が発生し、メールアドレスが流出したことがわかった。

大阪市によれば、2022年6月27日14時半ごろ、職員が送信した「ボランティアだより」において誤送信が発生したもの。送信先を宛先に設定し、ボランティア93人に送信したところ、メールアドレスが受信者間で閲覧できる状態となった。

送信の直後、別の職員が誤送信に気づき、同日中に対象となるボランティアに対し説明と謝罪を行った。また、誤送信したメールの削除を依頼している。

プレスリリース（アーカイブ）

出典：ボランティア宛のメールで送信ミス - 大阪歴史博物館

ダークウェブでヒットマン(殺し屋)を雇うとどうなる？ / LA Man Tried to Hire a Hitman on the Darkweb　～アメリカの事例（その2）～

ビバリーヒルズの男性が、ダークウェブでヒットマンを雇って女性を殺害しようとしたことを認めた。

スコット・クイン・バーケット（25）は、嘱託殺人を犯したとして、1件の有罪を認めた。法廷文書によると、バーケットは2020年夏にオンラインで女性と知り合った。2020年10月、女性は被告とセクロスするためにロサンゼルスに飛んだ。

その後、女性はバーケットとの関係を絶とうとしたという。

2021年4月、女性の家族がバーケットのことをバーケットの父親に連絡した。

その後、バーケットはダークウェブで雇われ殺人と称するサイトを発見し、13,000ドルでヒットマンを依頼した。バーケットは注文書にこう書いていた

「事故に見えるか、強盗の失敗の方がうまくいくかもしれない。彼女が死んでいる限りは。彼女の携帯電話も回収して欲しいその過程で復元不可能なほど破壊して欲しい彼女の死亡証明を送ってもらいたい。彼女の前腕の片方に特徴的な刺青があり、そのイメージがわかるので、遺体の写真と身元確認のための刺青の写真があればよい。加工された写真を避けるため、刺青の写真を送るのは控えることにします。できれば、アリゾナ州かアイダホ州かも教えていただければ、死亡記事で確認できます。

その後、ダークウェブ上の嘱託殺人のサイトを調査していた報道機関から、バーケットのヒットマンについて連邦捜査局に問い合わせがありました。その報道機関は、バーケットがサイトの管理者に提供した「被害者の身元と所在地、ソーシャルメディアのアカウント、ニックネーム、電子メール、被害者の特徴的なタトゥー」などの情報から、この女性が目的の被害者であると特定したのです。

ブロックチェーン分析ソフトウェアを使用し、捜査官は13,000ドルの支払い元としてCoinbaseを特定しました。Coinbaseの記録から、問題の口座の所有者がバーケットであることが確認されました。

FBIは、この女性にヒットマンとバーケットについて連絡した。彼女はFBIに対し、ロサンゼルスに飛び、そこで被告と寝たと言いました。彼女は彼の行動を "性的な攻撃 "と表現しました。ロサンゼルスを出た後、彼女はバーケットからのメッセージに返事をしなくなりました。彼女は、バーケットが「複数のソーシャルメディアや通信プラットフォーム」で自分に連絡を取ろうとしたことを不満に思っていました。

バーケットがダークウェブで雇ったヒットマンを装って、FBIの潜入捜査官がWhatsAppでバーケットに接触してきた。バーケットは潜入捜査官との会話の中で、何度も自分を陥れるような発言をした。

米国連邦地方裁判所のMark C. Scarsi判事は、2022年9月12日に判決公判を予定しています。バーケットは最高で10年の禁固刑に処されます。

出典：LA Man Tried to Hire a Hitman on the Darkweb