株式会社JTB 情報漏洩に関するお詫びとお知らせ 2022年10月25日


弊社は、観光庁の補助事業者として実施する「地域独自の観光資源を活用した地域の稼げる看板商品の創出事業」業務のため、観光庁や本事業への応募、申請等を行う事業者様(間接補助事業者様)との情報共有を目的として、当該関係者様にログイン権限を限定したクラウドサービスを利用しておりました。同クラウドサービスの運用に際して、格納したデータへの個別アクセス権限を誤設定したことにより、ログイン権限を持つ間接補助事業者様間において情報漏洩を発生させていたことが発覚いたしました。

関係の皆様に多大なるご迷惑、ご心配をおかけいたしましたこと、深くお詫び申し上げます。

1. 概要

本来申請される間接補助事業者様が自社の申請書以外にはアクセスできない仕様とすべきところ、当該クラウドサービス内に格納したデータへの個別アクセス権限を誤設定したことにより、事業者様の個人情報を含む本事業への申請書類および補助金交付申請書等の情報が、ログイン権限を持つ間接補助事業者様相互に閲覧可能な状態となっておりました。

閲覧可能であった情報のうち、他の間接補助事業者様にダウンロードされたデータには、事業者様数 1,698件の申請書、申請事業者様及び申請事業者様の連携先等を含む個人情報最大 11,483人分、が含まれていたことが判明しております(組織名、部署名、役職名、氏名、業務連絡先用電話番号、メールアドレス等)。なお、ログイン権限を持つ間接補助事業者様以外に、個人情報が漏洩した可能性はございません。

2. 対応状況

申請書類等の情報が漏洩した事業者の皆さまに対して、お詫びのご連絡をさせていただいております。また、ファイルをダウンロードした間接補助事業者の皆さま(18件)に対しては、当該情報の削除を依頼しておりましたが、本日(10月25日)現在、全ての事業者様から削除完了の通知をいただいております。当該クラウドサービスについては、厳重に総点検を実施し、適切なアクセス権限設定への修正が完了しております。

3. 再発防止策

アクセス権限設定のチェック体制ならびに事業管理体制の徹底強化により、再発防止を図ってまいります。

株式会社ショーケース 不正アクセスに関するお知らせとお詫び 2022年10月25日


このたび、当社が提供する「フォームアシスト」、「サイト・パーソナライザ」、及び「スマートフォン・コンバータ」(以下、「対象サービス」といいます。)におきまして、第三者による不正アクセスにより、ソースコードの書き換えがなされ(以下、「本件事象」といいます。)、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが判明いたしました。

当社のサービスをご利用されているお取引先様をはじめ、ご関係者の皆様には多大なるご迷惑とご心配をおかけする事態となりましたことを深くお詫び申し上げます。

なお、本件事象により情報が流出した可能性のあるお取引先様には、すでに、個別に連絡を差し上げております。

今般、第三者専門調査機関によるフォレンジック最終報告書を受領し、社内調査も完了いたしましたので、本件事象の概要及び当社の対応につきまして、下記のとおりご報告いたします。

1. 発覚の経緯について

当社のお取引先様から、2022年7月26日、「フォームアシスト」のソースコードに不審な記述がある旨の指摘を受け、直ちに、当社において運営するサービスのソースコードを調査いたしました。調査の結果、冒頭に記載しましたとおり、対象サービスにおいてシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ソースコードの書き換えがなされ、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが判明いたしました。

本日公表させていただくにあたり、不確定な情報の公開はかえっていたずらに混乱を招くため、ご関係者様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、公表は第三者専門調査機関の調査完了、及び関係各所との連携を待ってから行うことにいたしました。

本公表までお時間をいただきましたこと、お詫び申し上げます。

2. 当社の対応について

当社は、本件事象の認知後、直ちに、対象サービスのソースコードの修正、第三者の侵入を遮断する措置、新設サーバーへの移行等の再発防止策を講じ、現在もこのような再発防止策を継続しております。再発防止策の実施後、本件事象で問題となりました不正なファイルの埋め込みは確認されておりません。

その他、当社といたしましては、今後ともお取引先様にご迷惑をおかけしないよう、順次対策を講じてまいる所存でございます。

また、当社は、本件事象の認知後速やかに第三者機関(外部のセキュリティ企業)のフォレンジック調査を実施いたしました。もっとも、ECサイトにおいて当社のサービスをご利用中のお取引先様が多数いらっしゃることから、万全を期して、クレジットカード情報漏えい事故調査機関(PFI:PCI Forensic Investigator)によるフォレンジック調査も追加で実施いたしました。同フォレンジック調査におきましても、当社の社内調査結果と同様、対象サービスにおいて第三者による不正アクセスにより、ソースコードの書き換えがなされ、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが確認されましたが、本件事象により情報が流出した可能性のあるお取引先様は限定的であることも確認されました。本件事象により情報が流出した可能性のあるお取引先様に対しましては、流出した可能性のある情報及び情報が流出した可能性のある期間について個別に通知しております。

また、当社は、本件事象につきまして、経済産業省へ報告を行うとともに、所轄警察署にも被害申告をしており、今後捜査にも全面的に協力してまいります。

関西大学高等部 個人情報を記録したUSBメモリの紛失について(お詫び) 2022年10月21日


このたび、本校において、個人情報を記録したUSBメモリの紛失がありました。本校生徒をはじめ関係者各位に多大なるご迷惑をおかけしたことを深くお詫び申し上げます。

記録されていた情報は、国語科担当教員が2021~2022年度に担当した当該科目に関する情報(名前、成績、教科及び進路指導情報)約400人分、卒業アルバムデータ(写真、教員名簿、クラス名簿)約400人分、及び国語試験問題です。今後早急に保護者説明会を開催し事案内容の説明と謝罪を行ってまいります。

本校としては、学校法人関西大学が定めた「関西大学個人情報保護規程」及び本校が定めた「関西大学中等部高等部危機管理事項」の周知徹底を図るとともに、再び同様の事態が生じないよう日常的に点検を行うなど、再発防止に取り組んでまいります。

富山市の中学校で、全校生徒の成績をうっかり公開


富山市の八尾中学校で、全校生徒の成績などの個人情報データが、一部の生徒のパソコン端末で閲覧できる状態になっていたことがわかりました。
市は、いまのところ外部への情報流出はないとしています。

富山市教育委員会の発表によりますと、八尾中学校で今月7日から15日にかけて、全校生徒447人分の成績などが含まれたデータファイルが、誤って委員会の生徒25人のパソコン端末から閲覧できる状況になっていました。

ファイルには、生徒の氏名や定期考査などの試験の合計点、学年の順位などの情報が記載されていて、委員会活動の資料作成のための生徒との共有データに誤って含まれていたということです。

教育委員会の調査では、データファイルは7人が閲覧し、うち2人が保護者や友人に相談したことがわかりましたが、八尾中学校では外部への情報の流出は今のところ確認されていないとしています。

セキュリティリサーチャー向けの検索エンジン30選 (その2)

 

11. DNSDumpster


ターゲットネットワークのDNS偵察を行うためのアプリケーションです。地理的なデータ、ホストの詳細、電子メールアドレス、フォーマットなど、ターゲットのネットワークについてより詳しく知るために使用できる情報をユーザーに提供します。



これは、インターネット上のすべての攻撃面を含むデータベースであり、ネットワーク上のすべての攻撃面を特定し、感染の有無を監視し、脆弱性がないかどうかを継続的にスキャンすることができることを意味します。



オープンソースのセキュリティ情報およびイベント管理(SIEM)であるAlienVault OSSIMで、機能豊富なオープンソースのSIEMを手に入れることができます。オープンソースのセキュリティソリューションの不足に対応するため、AlienVault OSSIMは、多くのセキュリティ専門家が直面する問題を解決するために、セキュリティエンジニアによって開発されました。基本的なセキュリティ管理ができていなければ、オープンソースか商用かに関わらず、SIEMはセキュリティの可視化には事実上役に立ちません。

14. ONYPHE


Onypheは、インターネット上のさまざまなソースをクロールしたり、バックグラウンドノイズを聞き取ることによって、オープンソースやサイバー脅威のインテリジェンスデータを収集します。



Grep.appは、検索に該当するリポジトリのリストを表示します。これで、GitHub上のつかみどころのないコーダーをかなり効率的に見つけることができるようになります。



URL Scanは、マルウェア、詐欺、フィッシングリンクを含むウェブサイトをスキャンして分析し、悪意のあるURLを検出するための無料ツールです。



継続的に更新される非常に大規模なセキュリティコンテンツデータベースを見つけることができます。脆弱性、エクスプロイト、パッチ、バグバウンティがGoogle形式で検索可能です。



カリフォルニア州サンフランシスコに本拠を置く非営利団体Internet Archiveは、World Wide WebのデジタルアーカイブであるWayback Machineを設立しました。このサービスを利用することで、ユーザーは「過去に戻る」ことができ、ウェブサイトが過去にどのように見えていたかを見ることができます。1996年に作成され、2001年に一般に公開された。

19. Shodan


Shodanは、サーバーがクライアントに送信するメタデータであるサービスバナーの検索エンジンであると評する人もいます。Shodanは、さまざまなフィルターを用いて、インターネットに接続されたサーバーを見つけることができます。

20. Netlas


インターネット用のスキャナと検索エンジンであるNetlas.ioは、HTTP、FTP、SMTP、POP3、IMAP、SMB/CIFS、SSH、Telnet、SQLなどのプロトコルを使用してIPv4アドレスとドメイン名をスキャンします。Netlas.ioデータベースのいくつかの部分は、ダウンロードすることができます。収集されたデータは追加情報でリッチ化され、Netlas.ioサーチエンジンで利用可能です。

セキュリティリサーチャー向けの検索エンジン30選 (その1)

 

1. DeHashed


オンラインで利用可能なセキュリティおよび不正防止ツールの中でも、DeHashedは最も人気があり、先進的なツールの1つです。DeHashedプラットフォームを通じて、ユーザーは、ハッキングされたデータベースから情報を検索し、取得することができます。様々なハッカーデータベースを利用することで、DeHashedプラットフォームは、ユーザーがハッカーによって公開または漏洩された情報を検索することを可能にします。

このプラットフォームにより、ユーザーは漏えいした情報を迅速に取り出すことができ、情報がハッカーやウェブ上の他の有害な要素に悪用されるのを防ぐことができます。これは、最も速く、最も重要なデータ漏洩検索エンジンの1つです。その分かりやすいインターフェースと使いやすさから、流出した情報を素早く簡単に見つけたいユーザーに人気があります。

2. Security Trails


SecurityTrailsを使えば、企業は、ドメイン名、登録データ、DNS情報など、現在および過去の膨大なインターネット記録を収集・管理することで、脅威の攻撃対象領域(広いインターネットからアクセス可能なネットワークやサーバー)がどのようになっているかを確認することができます。

3. DorkSearch


DorkSearchを使えば、様々なタイプのGoogle Dorksに対応した既成のテンプレートを見つけることができます。

4. ExploitDB


エクスプロイトデータベースは、脆弱性研究者と侵入テスト担当者のために開発された、 一般に公開されているソフトウェアのエクスプロイトと脆弱性のアーカイブです。直接の投稿、メーリングリスト、その他の公的なソースを通じて、エクスプロイト、シェルコード、論文の最も包括的なコレクションを集め、簡単にナビゲートできる、自由にアクセスできるフォーマットで提供しています。

5. ZoomEye


中国のKnownsec社が開発した検索エンジン「Zoomeye」は、地図を利用してオープンデバイスやウェブサービスからデータを収集し、指紋を分析する。最初のバージョンは2013年にリリースされた。現在のバージョンはVersion 3です。

6. Pulsedive


pulsedive.comでは、ユーザーからの投稿や脅威情報のフィードを利用して生成された、3500万件以上の検索可能なIOCを無料で見つけることができます。Pulsediveは、アナリストを中心とした脅威インテリジェンス・プラットフォームです。Pulsediveの無料の脅威インテリジェンスデータセットを使って、あらゆるWebサイトのIP、ドメイン、URLをハイライトし、リッチ化することができます。

7. GrayHatWarefare


ソフトウェアエンジニアのGrayhatWarfareが作成した検索可能なデータベースである無料ツールには、現在48,623個のオープンS3バケットが登録されています。コンテンツをキャッシュする一般的な方法として、アマゾンのS3クラウドストレージ(Simple Storage Service)は、公共・民間ともに利用されています。ファイルにはバケットが割り当てられ、デフォルトでは安全かつ非公開になっているが、ユーザーが簡単に公開に設定することができる。

8. PolySwarm


PolySwarmは、新しい技術や革新的な脅威検知手法の発信基地として、お客様の安全をリアルタイムに守るために日々奮闘しています。PolySwarmは、脅威検知エンジンのネットワークによって支えられています。商用エンジンと専門的なソリューションを組み合わせることで、広い範囲をカバーします。

9. Fofa


FOFAを使えば、ユーザーはIP資産を簡単に見つけることができ、ネットワーク資産を迅速に照合し、フォローアップのプロセスをスピードアップすることができます。BAIMAOHUIが開発したサイバースペースサーチエンジンです。脆弱性範囲分析、アプリケーション配布統計、人気ランキング統計など、多くの事例があります。

10. LeakIX


LeakIXとShodanの間には、視覚的にも、使用するクエリに基づいても、いくつかの機能がありますが、Webベースのプラットフォームは、Shodanと非常に似た視覚的な体験を提供します。このプラットフォームの価値は、インターネット上で侵害されたデバイス、サーバー、データベーススキーマに対する洞察を提供する能力にあると思います。

出典:30 Search Engines for Cybersecurity Researchers (Part 1 of 3)

エプソン販売株式会社、オペミスで1000件以上に上るメールアドレスをお漏らしする。


諏訪市に本社がある大手精密機器メーカー「セイコーエプソン」の関連会社が、報道関係者に向けたメールに誤ったファイルを添付し、1000件以上に上るメールアドレスが流出したことが分かりました。

セイコーエプソンの関連会社の「エプソン販売」によりますと、2022年9月15日午前、1000以上の報道関係者にイベントの開催を知らせるメールを送った際、報道機関など1000件余りのメールアドレスが書かれたファイルを誤って添付したということです。
エプソン販売はメールの送信先に添付したファイルの消去などを依頼するメールを送り、これまでにメールアドレスが悪用されたという連絡は入っていないということです。
エプソン販売は「現在、誤って送信したいきさつなど詳細について確認しています。ご迷惑をお掛けしたことを深くお詫びします」とコメントしています。

QST病院 個人情報を含むUSBメモリの亡失について 2022年10月18日


1.概要

国立研究開発法人量子科学技術研究開発機構(以下、QST)のQST病院において、QST病院等の3,311名の患者さんの個人情報を含むUSBメモリが亡失する事案が発生しました。当該USBメモリに含まれていた情報は以下のとおりです。
① QST病院の患者さん
3,206名(氏名、臨床情報(病名、治療情報等)等が含まれる)
内 生年月日が含まれる関係者:188名
内 居住地域(市又は区まで)が含まれる関係者:509名

② QST病院以外の患者さん
最大105名(氏名、臨床情報(病名、治療情報等)のみ)
現時点で、当該USBメモリにつきましては発見できておりません。また、関係する情報の漏えい等については確認されておりません。

2.経緯(概略)

【令和4年9月30日(金)】
QST病院職員(医師)が病院内の共有電子カルテ端末で3件の死亡報告書を作成し、同端末に接続したUSBメモリ(※)に同死亡報告書を保存した。その後、外来診療のため、当該USBメモリを端末に接続した状態で離席した。同職員が外来診療から戻り、共有電子カルテ端末を確認したところ、USBメモリがなかった。当該USBメモリ及びその保存ファイルには、暗号化等の対策は施されていなかった。

※USBメモリは異なる端末間のデータの移行を目的として利用されている。

【同年10月6日(木)】
同職員は、それまでUSBメモリを捜索したが、見つからなかったことから、情報セキュリティ管理者に情報セキュリティインシデントとして報告した。

【同年10月11日(火)】
USBメモリには3件の死亡報告書以外の情報が含まれることが判明し、更に詳細な調査を継続した。

【同年10月14日(金)】
盗難の可能性を含む亡失事案と判断し、本件について、千葉北警察署に被害届の届出を行った。

【同年10月16日(日)】
詳細な調査により、全データの内容が判明した。内容は以下のとおり。
①QST病院の患者さん
3,206名(氏名、臨床情報(病名、治療情報等)等が含まれる)
内 生年月日が含まれる関係者:188名
内 居住地域(市又は区まで)が含まれる関係者:509名
②QST病院以外の患者さん
最大105名(氏名、臨床情報(病名、治療情報等)のみ)

3.発生の要因

  • QST病院の医療情報セキュリティ対策基準に反し、3,311名の個人情報を含むファイルなど、保存の必要のない情報をUSBメモリから削除していなかったこと。

  • QST病院の医療情報セキュリティ対策基準に反し、USBメモリ内の情報に暗号化等の措置をしていなかったこと。

  • 個人情報が含まれたUSBメモリを端末に接続した状態で離席したこと。

4.本事案への対応、及び再発防止策

該当する患者さん及びご家族の皆様には、順次、事実関係の説明とお詫びの文書を速やかに発送いたします。また、本件についての個別相談窓口を設置し、患者さんからのご相談を随時受け付けます。個別相談窓口については、下記に記載のとおりです。

今後は、個人情報の適切な管理・取り扱い等の情報セキュリティ教育・指導の徹底、及びUSBメモリの使用・管理に関する基準見直しを図ります。さらに、施錠管理の強化や監視カメラの増設等の対策を通じて、再発防止に努めてまいります。

多くの患者さんの大切な情報を扱う病院において、こうした事案を発生させたことについて、大変重く受け止めております。ご心配、ご迷惑をお掛けしている患者さん及びご家族の皆様に対しまして、深くお詫び申し上げます。