資産運用会社にサイバー攻撃、サーバが暗号化 - ユナイテッド・アーバン投資法人

ユナイテッド・アーバン投資法人は、投資運用業務を委託している関連会社のサーバがサイバー攻撃を受け、データが暗号化されたことを明らかにした。

同団体によれば、同団体の資産運用会社で、丸紅の子会社であるジャパン・リート・アドバイザーズの外部サーバが、2022年7月6日にサイバー攻撃を受けたもの。サーバ内部のデータを暗号化され、データの読み取りができない状況に陥った。

攻撃を受けたサーバのアクセス制限などを実施したほか、システムの復旧を進めている。

暗号化された情報には、個人情報も含まれるという。個人情報の外部流出や不正利用については、外部事業者協力のもと調査している。投資法人の運営に与える影響についても調査中だが、決算発表については7月19日に予定通り公表する予定。

プレスリリース（アーカイブ）

出典：資産運用会社にサイバー攻撃、サーバが暗号化 - ユナイテッド・アーバン投資法人

Sec道後振り返り2022 Day2

1.サイバーセキュリティの結節点を目指して

NICT(国立研究開発法人情報通信研究機構)は何をやっているのかを聞かれた場合、面倒くさいので、とりあえず、「日本の標準時間を作っている」と言うらしい（これはこれで格好いい）

まずはセキュリティあるあるの紹介から（個人的に①と②は激しく同意）

セキュリティあるある①

社長がベンダーのセールストークに乗せられる（アンチウイルスの100%検知、OSINT、脅威ハンティング、アトリビューション、などなど）

セキュリティあるある②

海外製品は問い合わせても結果だけ来て理由が分からない（例えば、「出来ない」という回答だけ来て、何故出来ないかを答えてくれない）

セキュリティあるある③

研究部門で技術を作るものの、社内の軋轢で製品として世に出ない

セキュリティあるある④

外資ベンダーに相談すると吹っ掛けられる（ソリューションの相談をすると「〇億円」とか普通に吹っ掛けてくる）

これらを踏まえ、日本は食料自給率のみならず、サイバーセキュリティについても自給率が低く、この課題に応えるべく、NICTの様々なプロジェクトの紹介があった。

詳細はNICTのサイト等を参照してもらうとして、確かに自身の周りを見てみても、サイバーセキュリティの製品で国産はほとんど見かけない。

確かにこれはこれで問題である。

製品を採用する側ももっと国産製品を意識して使っていく形でもいいのかもと思った。

2.対談「傭兵CIO/CDOがCISOもやってみた～DXに向けて動かす立場のセキュリティ

～」

いつのまにか定番化している、LAC西本社長とユーザー企業のCIO対談シリーズ。

今回のSec道後のコンテンツの中ではこれが一番面白かった。

LAC西本社長が司会をするパネルディスカッションは毎回面白いのだが、わざとしているのか、運営側のミスなのか、毎回時間が短い。今回も、もともと40分で設定されており、例のごとく尻切れトンボ気味で終わってしまった。

今回のゲストはエイチ・ツー・オーリテイリングCIOの小山さん。

エイチ・ツー・オーリテイリングは阪急阪神百貨店、阪食、イズミヤなどを傘下に置く持株会社となるため、阪急阪神百貨店のCIOと理解しておけば分かりやすい。

小山さんはIBM→ファイザー→PwCを経て現職という異色の経歴を持つ。

何が異色かというと、ベンダー→ユーザー企業→コンサル→ユーザー企業という経路で、正直個人的には初めて聞いた経路である。

エイチ・ツー・オーリテイリング自体はDXを推進し、ゼロトラストの実装を公表しているが、一方で大変な現状（裏側）を聞くことができた。

ひとつ聞いていて面白かったのが、小山さんがPwC時代にコンサルで導入したRPAが野良化しており、CIOとして入社した小山さんが、自身が前職時代に導入して野良化しているRPAを駆逐する役目を負っている話。

コンサルは実行責任を負わない（個人的には無責任な）仕事なのだが、初めて実行責任を負うコンサルを見た気がする。。。

また、エイチ・ツー・オーリテイリングはIT投資を長らく怠ってきたことから、小山さんが1年前くらいに入社し、これから人的、技術的含めた必要な投資を行っていくことになるのだが、過渡期であるせいか、小山さんがCIO、CDO、CISOに加えて、CTOも担っているという。

これは、デメリットとしては所謂三権分立が無視されており、コーポレートガバナンスとしては問題があることと、権限が集約されているため、寝る暇がないほど忙しいこと

メリットは意思決定が速いこと（人を分けると調整で時間がとられる）

IT投資を長らく怠ってきた会社の場合、当面は権限集約を行い、体制が整ってきたところで権限を分ける等のアプローチが正解なのかもしれない。

最後にFAQで小山さんのようなマルチな人材になるにはどうしたらいいのですかという質問に対する回答。

まず、経営の視点を持つことが必要。

学生が新卒でIT業界に入った場合、まずSEから始まることにあるが、常にほかの人はどう考えているか、外部の視点を持つことが重要。

そのうえで、小山さんのようなマルチな人材を目指すなら、ベンダー、コンサル、ユーザー系企業等様々な経験をした方が良いが、人はそれぞれ向き不向きがあるので、幅広くいろいろな経験をすることが正解であることもあれば、一つのことを深く掘り下げていくことも正解なので、まずは自分の向き、不向きを理解し、自分の向いていることを強くしていくことが良い。

このポイントは個人的にも重要だと思った。

個人的に大学は半分は勉強するところであるが、半分は自分の好きな事、得意な事を探すための場所であり、夏休みや冬休みが長いのもそのためだと思っている。

オワコンと揶揄される百貨店業界だが、小山さんによるDX化でぜひ復活してほしいと思った。

あと、次回からLAC西本社長とユーザー企業のCIO対談シリーズは60分枠でお願いしたいと思った。

アニメ制作会社ショップに不正アクセス - 顧客情報が流出

アニメーション制作会社のインフィニットは、同社が運営する「インフィニット WEB SHOP」において顧客の個人情報が外部に流出したことを明らかにした。

同社によれば、同サイトにおいてシステムの脆弱性を突く不正アクセスを受け、決済アプリケーションの改ざんなどが発生したもの。

不正アクセスの影響により、2020年7月3日から2021年10月27日にかけて、同サイトにログインした顧客最大2959人分のメールアドレスとログインパスワードが流出した可能性がある。

このうち同サイトで商品を購入した最大2730人に関しては、氏名、住所、電話番号、会社名、注文情報についても対象。

さらにクレジットカード決済を利用した最大2083人については、クレジットカードの名義、番号、有効期限、セキュリティコードが流出し、不正利用された可能性がある。

プレスリリース（アーカイブ）

出典：アニメ制作会社ショップに不正アクセス - 顧客情報が流出

多数の被害企業を生んだメタップスペイメント、個人データの不適切な取扱いにより、個人情報保護委員会からも行政処分を受ける。

クレジットカード決済サービスを提供するメタップスペイメントに対して不正アクセスがあり、情報流出が発生した問題で、個人情報保護委員会は、同社に対して個人情報保護法にもとづき指導を行った。

同社では、クレジットカードをはじめ、複数の決済サービスを提供しているが複数のデータベースが不正アクセスを受け、情報流出が発生したもの。

同社に対しては、経済産業省が割賦販売法に基づき、6月30日に改善命令を出しているが、個情委においても、個人データが適切に取り扱われていなかったとして、7月13日付けで個人情報保護法にもとづく行政指導を行った。

個情委では、指導に至った理由として、同社における個人データの管理体制における不備を挙げた。

同社では情報セキュリティ基本規定で、個人データを含む情報資産について棚卸しを行うことを定めていたが、情報資産管理台帳を整備していなかった。そのため、適切な棚卸しが行われておらず、情報資産を扱うシステムさえ把握できていなかったという。

個人情報保護委員会プレスリリース（アーカイブ）

出典：個情委、メタップスPに行政指導 - 情報資産を把握せず、内部監査規程も形骸化

【セキュリティ事件簿#2022】サンドラッグ e-shop 本店及びサンドラッグお客様サイトへの不正ログインについてのお詫びとお知らせ　2022年7月11日　株式会社サンドラッグ

この度、弊社が運営するオンライン EC サイト「サンドラッグ e-shop 本店」および、「サンドラッグお客様サイト」におきまして、海外の IP アドレスからの不正アクセスを受け、不正にログイン、一部会員様については会員様情報が閲覧された可能性があることが発覚いたしました。今回の不正ログインの手法は、他社サービスから流出した可能性のあるユーザ ID・パスワードを利用した「リスト型アカウントハッキング（リスト型攻撃）」の手法で行われていると推測されます。

現在、不正にアクセスされたと思われるお客様全員に、ご案内メールを差し上げ、メールの受信及びご対応状況を監視しております。本件に関しまして、現段階でお客様からの被害報告はございません。

【不正ログインの状況】

サイト名称：「サンドラッグ e-shop 本店」および、「サンドラッグお客様サイト」

・件数：19,057 件

・期間：2022 年 7 月 9 日（土）～7 月 11 日（月）

・閲覧された可能性がある会員様情報：氏名・住所・電話番号・メールアドレス・生年月日・購入履歴・現在の保有ポイントなど

　※クレジットカード情報は、カード番号頭 6 桁、および下 2 桁のみ

【経緯】

2022 年 7 月 11 日(月)10:30 システム委託会社からの報告により発覚

【お客様への対応と再発防止策】

① 不正ログインの被害を受けた可能性があるお客さまへの対応

対象のお客様には 7 月 11 日(月）中に個別にメールでご連絡の上、パスワードの変更をお願いしております。

② セキュリティ強化のためのシステム対策

不正ログインが試行された海外からのアクセスについては遮断するとともに、第三者機関を踏まえたセキュリティ対策を講じました。

この度は、ご迷惑とご心配をお掛けいたしましたことを心よりお詫び申し上げます。この事態を厳粛に受け止め、再発防止に向けての第三者機関を踏まえたセキュリティ対策のさらなる強化に努めてまいります。

本件に関しましてご不明点がございましたら、下記窓口までお問い合わせくださいますようお願いいたします。

プレスリリース（アーカイブ）

電子申込システムのヘルプデスク（コールセンター）を装った不審なメールにご注意ください　吹田市

「電子申込システム」のヘルプデスク（コールセンター）を装った不審なメール（なりすましメール等）が第三者から送信されているとの事案情報があります。

利用者の皆様におかれましては、不審なメールを受信した場合には、ウイルス感染等の恐れがあるため、メール開封をしない、添付ファイルを実行しない、メール本文中のURLへアクセスしない、メールを削除する等のご注意・ご対応をいただくようお願いいたします。

メールアドレスが流出した可能性のある方に対しては、判明し次第、運営事業者から流出した事実等を個別にご説明いたします。

なお、本事案による「吹田市電子申込システム」の利用への影響はありません。

事案の概要

吹田市電子申込システムを運営する受託事業者（（株）NTTデータ関西）のヘルプデスクで使用しているパソコン8台のうち、1台がマルウェア（Emotet）に感染し、当該端末に保存されていた、過去に送受信したメール情報が流出したことにより、ヘルプデスクを装った第三者からの不審なメールが発信されているものです。

不審メールが届く可能性があるメールアドレス

令和4年（2022年）3月10日から同年6月8日までに当該ヘルプデスクにお問い合わせいただいたメール

件数：総数 2,312件（※）うち本市関係 3件

※電子申込システムは全国で約800の自治体が利用しているクラウドサービスであり、全国で総数2,312件の流出が発生しました。

現時点で判明している不審なメールの概要

【不審なメールの一例】

※下記以外にも類似したパターンで発信されている可能性があります。

差出人：第三者のメールアドレス（表記はヘルプデスク）

（正規の場合） ******* @s-kantan.jp <******* @s-kantan.jp >

（不正の場合） ******* @s-kantan.jp <xxx@xxx.xxx.xxx>←第三者のアドレス

件名： RE:（過去にやり取りしたメールの件名）

添付ファイル：zipファイルが添付されていることが多いです。

不審なメールを受信された場合には、メール開封をしない、添付ファイルを実行しない、メール本文中のURLへアクセスしない、メールを削除する等のご注意・ご対応をいただくようお願いいたします。

吹田市プレスリリース（アーカイブ）

NTTデータ関西プレスリリース（アーカイブ）

講座関係者のメアドをサイト内に誤掲載 - 朝日カルチャーセンター

朝日カルチャーセンターは、サイト内にオンライン講座の出演者や関係者のメールアドレスを誤って掲載するミスがあったことを明らかにした。

同社によれば、サイト内のオンライン講座「ボンクリ・アカデミー　誰も知らない新しい音楽」を紹介するページに、出演者および講座関係者28人分のメールアドレスを誤って掲載。2022年6月30日以降、閲覧できる状態となっていたもの。

7月7日、関係者からの指摘により判明。対象のページを削除した。対象となる関係者には連絡し、謝罪したとしている。

プレスリリース（アーカイブ）

出典：講座関係者のメアドをサイト内に誤掲載 - 朝日カルチャーセンター

Sec道後2022振り返り day1

サイバーセキュリティシンポジウム道後2022に行ってきた。

直近2年間はオンライン開催だったが、オンラインだと”ながら見”してしまい、正直集中できないため、個人的にカンファレンスはオフライン推しである。

住んでいる場所とは異なる環境で、様々な話を聞くのは良いものである。

異なる場所への移動手段が飛行機になると、なおさら良い。

そんなわけで、講演メモ。

1.総務省におけるサイバーセキュリティ政策

いきなり出鼻をくじかれた。

何がくじかれたかというと、後援者の都合でビデオセミナーになったからである。

オンラインでのライブではなく、予め収録された動画を会場で視聴するという、ただただガッカリな基調講演だった。

メモを取る気も起きず、モチベーションダダ下がりで終了。

2.サイバー犯罪の現状と対策

警察庁の方のお話。

フィッシングやランサムウエア等の一般的な情勢の話だったが、1点聞いていて驚いたのは、例えばemotetに感染した場合、セキュリティ担当やインシデント対応チームが存在しないような小さな組織の場合、メールアドレスのパスワードを変更して対応完了になってしまうらしい。

冷静に考えると、こういったセキュリティカンファレンスに出てくるような人はEmotetの動きや、最低限Emocheckを実施する等は当たり前の認識だが、我々の当たり前と、一般のITユーザーの当たり前は待ったく異なることを改めて考えさせられた。

また、警察の体制の話もあり、サイバー警察局とサイバー特別捜査隊が20022年に設置されたらしく、その体制の概要を聞くことができた。

サイバー特別捜査隊は、端的に言うとこれまで都道府県警察でバラバラに動いていた重大サイバー事案について、一元的に操作を行う部隊になるらしい。

これまで一元化して捜査する組織が警察に存在しなかったことがある意味信じられないが、今後国をまたいだ国際捜査等にも日本の存在感が増えていくことを期待したい。

セキュリティ啓蒙ビデオと言えば、IPAが制作しているイメージがあるが、警察庁も作っているらしい。紹介されたので下に張り付けてみる。

3.セキュリティエデュケーションの曲がり角

知らなかったのだが、集合形式のパネルディスカッションを”カフェスタイル”と言うらしい。

海外に比べて日本のセキュリティレベルが低いことは何となく認識しているものの、そこについて少し掘り下げた議論があった。

日本も「産官学連携」とはよく聞くものの、米国はこの辺が恐ろしく強い。

例えば、NICE Cybersecurity Workforce Framework（SP800-181）を例にとると、ここで必要なスキルセットを決めるとともに、そのスキル要員を充足させるための民間トレーニングも用意し、充足状況をインターネットに公開。必要な資格を取得することで、雇用までもがセットになっている。

では日本にはNICEフレームワークのようなものが無いのかというと、実はある。

それが、「セキュリティ知識分野(SecBoK)人材スキルマップ」というものだが、これが例えば学校のカリキュラムに反映されているのかというと、実は反映されていない。

何故かというと、SecBoKは企業におけるセキュリティ人材育成のための資料となり、内容が実践的であるのに対し、大学は暗号とかネットワークとか、細かい部分を教えたいと考えていることから、”産”と”学”のニーズがズれているのである。ニーズがずれるので雇用に結びつかない。結局ドキュメントを作って終わりというザンネンな状況になっている。

残念ながら、大学で学んだ細かい内容は、起業におけるインシデントレスポンスにおいては、全く役に立たない。

では大学で学ぶ細かい内容は無駄かというと、そういうことはなく、例えば過去に起こった事件をブレイクダウンしていくときに、大学で学ぶような細かい知識が必要になってくる。

ビジネスが分かっていて、セキュリティインシデント発生時に判断できる人がいないと大変なことになる。CISOは全体を考えるが、個々のビジネスについては、例えばシステム停止時の影響などをCISOは考えることはできない(そもそもCISOの範囲外)ため、CISOに丸投げをするのではなく、個々のシステムについてはそれぞれの責任者がしっかりとリスクマネジメントを行うことが重要。

セキュリティはリスクなので、リスクマネジメントの観点で組織合意や社会合意を進めていく必要がある。

ビジネスとセキュリティが組み合わさると謎が多くなり、一元的に「こうすればOK」みたいなものは存在せず、ことごとくケースバイケースになる。

最近のサイバーセキュリティは予測が難しい。昔は、例えば暗号化については、解析時間からある程度のリスクの予測がついた。ネットワークやシステムはアーキテクチャからリスクの予測が付いた。サイバーセキュリティは様々な攻撃手法を駆使するため、リスクの予測が付きにくい（とはいっても、多くは脆弱性とソーシャルエンジニアリングに収斂される気はするが・・・）

ISC2の調査によると、最近のサイバーセキュリティ人材はIT分野からの流入は3割程度しかなく、IT以外の分野や、最初からサイバーセキュリティの専門教育を受けて入ってくる人が多い。

終了後、道後温泉に行ってみたら、改修工事中らしく、派手な覆いで囲まれていた。

もっと道後温泉本館を連想させるデザインにすればいいのにって思った。

登録: 投稿 (Atom)