不正アクセスインシデントに関する対応の進捗状況について 2022年11月29日 株式会社メタップスペイメント



2022年7月1日付「不正アクセスによる情報流出に関する対応状況について」につき、現時点の進捗をお知らせいたします。

1. システム面への対応

クレジットカード決済にかかるシステムについては、技術的安全性の確保を最優先に掲げ、各種対応を進めており、以下のとおり、一定のめどが立っております。
認定審査機関のアセスメントにより、ネット決済システム及びフロントシステム(※1)に関して、PCIDSS Ver 3.2.1へ順次準拠しております(※2)。
また、システムの安全性を維持継続できる運用体制構築に関する諸施策について、年内には完了する予定です。
なお、昨今の環境を鑑みるに、今後は、現時点よりさらに高度な安全確保が必要になってくると痛感するところ、決して本件への反省を風化させることなく、さらなる水準向上に向けて緊張感をもって取り組みを進めていく所存です。

2. 業務改善への対応

経営全般における業務改善につきましては、2022年6月30日付の業務改善命令、および第三者委員会(※3)からの再発防止策提案も踏まえ、業務改善計画を策定し、順次実行しております。また、経営体制面においては、8月、新たに金融・決済制度に造詣の深い吉元利行氏を社外取締役に迎え、取締役会の場のみならず、随時、専門的な知見からの助言を受けています。
内部統制強化のための機関・組織の整備、スタッフの教育も、手を緩めることなく取り組んで参ります。

3. 行政当局への対応

これまでの行政当局への対応は以下のとおりです。

(1) 経済産業省(2022年6月30日業務改善命令への対応)

2022年8月1日 実施済の措置及び今後実施予定の改善措置、時期にかかる報告書提出

2022年9月15日 8月1日付報告書にかかる追加報告書提出

2022年10月6日 進捗にかかる報告書提出(第三者委員会委員の評価も添付)

年末時点で再度、進捗にかかる報告書を提出(第三者委員会委員の評価も添付)する予定です。

(2) 個人情報保護委員会(2022年7月13日指導への対応)

2022年8月1日 改善策実施状況報告
なお、当社からの報告内容については、個人情報保護委員会において、以下のとおり、一定の評価を受けております 。

2022年8月31日 第214回個人情報保護委員会において改善策の実施状況を審議
(https://www.metaps-payment.com/company/20220901.html)

関係する皆様には引き続きご心配をおかけしますが、策定した改善策を着実に実行し、一刻も早い信頼回復に努めてまいる所存です。
どうか、ご理解のほど、よろしくお願いいたします。

※1 フロントシステムについて

フロントシステムとは、ネット決済システムの前後で予約申込・購入などを受け付けた情報を管理するシステムを指します。クレジットカード情報については、ネット決済システムのみで取扱い、フロントシステムでは非保持・非通過となります。

※2 PCIDSS準拠状況

(1)ネット決済システム

認定審査機関:株式会社ブロードバンドセキュリティ
PCIDSS準拠日:
2022年5月20日(P.C.F.FRONTEO株式会社によるフォレンジック調査結果を踏まえて準拠)
2022年6月11日(国際ブランド指定のベライゾンジャパン合同会社によるフォレンジック調査結果を踏まえた再準拠)

認定審査機関:株式会社GRCS
PCIDSS準拠日:
2022年11月25日(国際ブラント指定による別審査機関による準拠確認)

(2)フロントシステム(顧客向けクレジットカード情報非保持・非通過アプリケーション)

認定審査機関:株式会社ブロードバンドセキュリティ
PCIDSS準拠日:
2022年5月25日 会費ペイ
2022年7月28日 イベントペイ
2022年7月28日 チケットペイ
2022年7月28日 ペイシス
2022年9月30日 スポシル
2022年10月7日 BeesRent
(2022年12月予定 商工会議所向けシステム)

※3 第三者委員会委員

以下のメンバーで構成される独立した機関であり、事実関係の調査等を担当しました。現在は、当社の再発防止策の実施状況について、第三者的立場からの評価を行っています。
右崎 大輔 片岡総合法律事務所 弁護士
大河内 貴之 Secure・Pro株式会社 代表取締役


Zscalerの障害(2022年10月)


2022年10月のZscalerの障害により、ユーザーは接続断、パケットロス、通信遅延の被害を受けました。

この障害は、2022年10月25日米国東部時間火曜日の午前8時頃に発生し、Twitter上でZscalerの一部の顧客は「ハードダウン」していると主張し、他の顧客は、激しい遅延とパケットロスを経験していると伝えています。


ある情報筋は、「内部メンテナンスプロセス」がProxyサーバーに大規模な混乱を引き起こし、今回の障害につながったことを共有しました。

同日12:26PM、Zscalerは、この障害は「zscalertwo.net Cloud」の問題によって引き起こされたことを認めました。

「この問題は軽減されました。現在、クラウド全体のアクティブヘルスチェックを行い、状況を監視しています。」とZscaler Trustのインシデントレポートには記載されています。

Zscalerは、障害に関する次の声明を共有しました。

「Zscalerのクラウドセキュリティプラットフォームは、パフォーマンスと耐障害性を最適化するために複数の分散型クラウドを使用して構築されています。今回の問題は、複数のクラウドのうちの1つと、そのクラウド内で提供されているZscalerのサービスのうちの1つだけに影響を与えました。そのクラウドや他のクラウドで他のZscalerのサービスを利用しているお客様には影響はありません。また、影響を受けたお客様とは密接に連携しています。PDT午前9時の時点で、大半のお客様は完全に復旧しており、検証後のチェックは30~60分以内に完了する予定です。」

週刊OSINT 2022-41号

 

今週は、オーディオ、OpSec、Telegram、Internet Archive経由でドメイン名を調査するツール、そしてTryHackMeのチャレンジを紹介します。

  • Audio
  • OpSec and VPN
  • Telepathy
  • TheTimeMachine
  • Shodan TryHackMe

記事: Audio

Nico Dekens氏が、ビデオのバックグラウンドノイズなどのオーディオを調査するためのブログ記事を書きました。彼は、何を聞くべきか、音声を処理する便利なツール、音を特定するのに役立つツールを挙げており、さらに練習用の音声ファイルを追加しています。音声は、特に特定の場所を指し示す音がある場合、可能性のあるビデオをジオロケーションする上で重要な役割を果たすことがあります。それがどのように役立つのかわからないのですか?彼のブログからオーディオファイルをダウンロードし、試してみてください。

記事: OpSec and VPN

数年前から、AndroidとiOSのVPNクライアントは必ずしもプライバシーを尊重しないことが知られています。これらのオペレーティングシステムは、ほとんどの場合、独自のサービスに接続する際はVPN接続を迂回します。例えば、DNSリクエストなど。ほとんどのユーザーにとってこれは大した問題ではないかもしれませんが、非常に機密性の高いトピックを扱う場合は、単に携帯電話でVPNクライアントを実行するだけでなく、すべての受信要求をVPN経由でトンネリングするルータに接続することを強くお勧めします。iOS 16を調査し、このニュースを共有してくれたmysk_coに感謝します。


ツール: Telepathy

Jordan Wildon氏は、彼のTelegramツールTelepathyに複数の機能を追加した。最も注目すべき機能は、位置情報検索である。この機能により、任意の座標の周辺にいるユーザーを検索することが可能になる。このスイスアーミーナイフのようなTelegramツールに、もう一つ素晴らしい機能が追加されました。


ツール: TheTimeMachine

FR13ND0x7Fによるこのツールはバグバウンティ用に開発されたものですが、ある程度技術があって、このツールが何をするものなのかが分かっている場合には、便利なツールになります。Internet Archiveをスクレイピングし、指定されたドメインからのすべてのURLをテキストファイルにダンプし、利用可能なサブドメインを特定することができます。スクレイピングされたコンテンツから、APIやJSONのエンドポイントを特定することもできる。小さいが、ドメイン名で作業するときに便利なツールだ。cyb_detectiveさん、ありがとうございました。


小技: Shodan TryHackMe

ドメイン名とそれに関連する事柄について、もっと練習したいとお考えですか?TryHackMeに飛び込んで、0xbeeが作成したShodanルームを覗いてみてください。質問を1つ1つクリアしていき、Shodanのさまざまな側面や可能性を発見し、サービスへの問い合わせ方法について理解を深めてください。作成ありがとうございました。


出典:Week in OSINT #2022-41

J.フロント リテイリング株式会社 個人情報の取り扱いに関するお詫びとお知らせ 2022年11月28日


J.フロントリテイリングループ (以下「JFRグループ」といいます) では、お客様により良いサーヒスを提供するために、お客様の個人情報の一部をJFRグループ各社で共同利用しております。このたび、JFRカード株式会社(以下「JFRカード」といいます) で取得したカード会員様の個人情報のうち、JFRグループ内での共同利用の対象として除外していた項目も含めて、JFRグループの顧客情報データベース (※) に誤ってデータ送信していたことが判
明いたしました。カード会員様をはじめ関係の皆様には多大なるご心配とご迷惑をおかけすることとなりましたことを深くお詫び申し上げます。

(※)JFRグループ各社で取得した個人情報をJFRグループ内で共同利用するためのデータ情報基盤

なお、本件は、顧客情報データベースでの当該個人情報の利活用前に発覚し、すでに顧客情報データベースから当該個人情報を削除いたしました。また、顧客情報データベースは厳重に管理されており、当該個人情報の顧客情報データベース外部への漏えいはないことを確認しております。

JFRグループは、今回の事態を重く受け止め、再発防止対策を講じ、個人情報に係る管理を徹底してまいります。

1. 経緯

JFRグループは、より良いサービスを提供するために、お客様の個人情報の一部を顧客情報データベースにて管理し、JFRグループ各社で共同利用しております。

今般、JFRカードが、共同利用の対象として除外していた項目を含む個人情報を、2022年9月12日から顧客情報データベースに誤ってデータ送信していたことが、同年11月1日に判明いたしました。 JFRカードは同日にこのデータ送信を停止し、J. フロントリテイリング株式会社において同年11月4日にデータ送信していたすべての個人情報を削除いたしました。

( 1 ) 対象となるお客様
対象となるお客様は、以下の通りです。

( 2 ) 誤送信された項目
誤送信された個人情報は、「利用枠」「決済口座」「お支払い状況に関する情報」です。
クレジットカード番号や暗証番号は含まれておりません。

2. 二次被害について

顧客情報データベースに保持された個人情報はクラウドの環境で高度に暗号化されており、情報へのアクセスも厳重に管理しております。 調査の結果、当該個人情報が顧客情報データベース外部に漏えいしていないこと、及びJFRグループ内で当該個人情報が利活用されていないことを確認しております。したがって、二次被害の可能性はございません。

3. 原因と再発防止策について

本件は、本年9月からJFRカードが顧客情報データベースにデータ送信を開始するにあたり、データ送信項目を十分に精査することなく、また社内規程に定める承認プロセスを経ることなく、システム部門が誤ってデータ送信を開始してしまったことが原因です。

再発防止として、お客様の個人情報に関する取扱規程の運用を徹底するとともに、JFRカード従業具の再教育、JFRカード内におけるシステム部門と管理部門との相互連携の強化に継続的に取り組んでまいります。

4 . 今後の対応について

対象のお客様には、ご連絡をさせていただく予定です。

なお、本件につきましては個人情報保護法その他関係法令に則り、経済産業省等に報告をいたしております。

株式会社山本製作所 弊社サーバーへの不正アクセスについてのお詫びとご報告 2022年11月14日


2022年11月12日未明、弊社が管理しているサーバーにサイバー攻撃による不正アクセスが確認されました。現在、サーバーの停止、ネットワークの遮断を行っており、データの読み取り及びメールの確認等ができない状態となっております。お問い合わせへの対応や書類の発送等にも支障が生じております。

その他の状況につきましては現在全容を確認中です。今後は、各監督官庁への報告とともに、外部専門家の協力も得ながら調査を進め、事実の把握に努めて参ります。

この度は、お客様ならびにお取引先様、関係者の皆様には、多大なご迷惑とご心配をおかけしますことを深くお詫び申し上げます。
なお、今後判明した事実につきましては、弊社ホームページにてお知らせいたします。

ジェントス株式会社 弊社が運営する「GENTOS公式ストア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年11月28日


このたび、弊社が運営する「GENTOS公式ストア(https://store.gentos.jp/)」におきまして、第三者による不正アクセスを受け、クレジットカード情報5471件及び個人情報最大5521件が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

「GENTOS公式ストア」は、完全に分離独立したシステムで運営しているため、弊社で運営している他のサイトは、不正アクセスの対象とはなっておりません。また、弊社商品を取り扱う別のサイトおよび実店舗でご購入いただいた商品に関しても、「GENTOS公式ストア」とは完全に分離したシステムでお客様の情報を管理している為、今回の不正アクセスによる情報の漏えいの心配はございません。

なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。なお、電子メールをお届けできなかったお客様には追って書状にてご連絡差し上げます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年8月12日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、同日弊社が運営する「GENTOS公式ストア」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2022年10月6日、調査機関による調査が完了し、2020年9月25日~2022年8月12日の期間に「GENTOS公式ストア」で購入されたお客様のクレジットカード情報が漏えいした可能性があり、一部のお客様のクレジットカード情報が不正利用された可能性および「GENTOS公式ストア」にて会員登録(仮登録も含みます。)されたお客様の個人情報の漏えいの可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

弊社ではクレジットカード情報を保存しておりませんでしたが、弊社が運営する「GENTOS公式ストア」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2020年9月25日~2022年8月12日の期間中に「GENTOS公式ストア」においてクレジットカード決済をされたお客様で、漏えいした可能性のある情報5471件は以下の全部または一部です。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

2020年4月1日~2022年8月24日の期間中に「GENTOS公式ストア」において商品を購入する際に会員登録(仮会員登録を含みます。)をされたお客様で、漏えいした可能性のある情報最大5521件は以下のとおりです。

・氏名

・住所(郵便番号含む)

・電話番号

・メールアドレス

・「GENTOS公式ストア」のログインパスワード

・メールマガジン送付の可否

(以下は任意入力事項であり、お客様にご入力いただいた場合は以下の情報または一部も含みます。)

・生年月日

・性別

・職業

・会社名

・法人属性(法人・個人)

・登録住所以外へ発送を希望する場合は発送先の氏名・住所・電話番号

上記(2)(3)に該当するお客様については、別途、電子メールまたは書状にて個別にご連絡申し上げます。

3.お客様へのお願い

(1) クレジットカード不正利用のご確認のお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

クレジットカード情報漏えいの可能性があるお客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、クレジットカード情報漏えいの可能性があるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

(2) 不審なメール・電話への注意喚起

お客様のもとに身に覚えのない電子メールが届いた場合には、メールを開かない、不審なリンクや添付ファイルをクリックしない等の対応をお願いいたします。不審な電話がかかってきた場合には、お客様の重要な情報等は決してお伝えにならないようお願いいたします。

4.公表が遅れた経緯について

2022年8月12日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社とも協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、誠に勝手ではございますが発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「GENTOS公式ストア」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年8月17日に報告済みであり、また、所轄警察署にも同月24日以降被害相談などしており、今後も全面的に協力してまいります。


岡山県「きらめきプラザ」で、入居団体共用ネットワーク機器の管理用ID、パスワードが書き換えられる


岡山県は2022年11月27日、県所有のきらめきプラザ(岡山市北区南方)の入居団体が共同使用するネットワーク機器が不正アクセスを受けたと発表した。外部からの侵入を防止する「ファイアウオール」と呼ばれるシステムで、管理用のIDとパスワードが書き換えられていた。情報漏えいなどの被害は確認されていないとしている。

きらめきプラザは県が指定管理者に運営を委託し、ネットワークは民間の福祉関連23団体が使用。25日夕、県警から「パスワードなどが流出している」と連絡があり、同日中にネットワークのソフトウェアを安全性能の高い最新版に更新した上で、IDとパスワードを新たに設定した。

県によると、現時点で各団体の情報端末には不正アクセスやコンピューターウイルス感染の形跡はないという。県保健福祉課は「ソフト更新の準備を進めていたが、間に合わなかった。今後は早急な対応を徹底したい」としている。

きらめきプラザに入居している県消費生活センターなど県出先の11機関は別のネットワークを利用しており、影響はなかった。

琉球大学 外部ウェブサイト上における個人情報の不適切な取り扱いについて (お詫び) 2022年11月25日


この度、本法人の不適切な個人情報の秘匿処理により、外部ウェブサイトにおいて公表した資料(令和3年7月公表)について、本学学生、学外者、本学職員のべ378名分の本来外部に出てはならない個人情報が閲覧可能な状態であったことが確認されました。

このような事態を招き、関係する皆さまに、ご迷惑とご心配をおかけしたことについて深くお詫び申し上げます。

閲覧可能であった本学学生の個人情報(氏名、性別、学籍番号、所属学部等)、学外者の個人情報(氏名、勤務先等)及び本学教職員の個人情報(氏名、電話番号)は、外部ウェブサイトの運営機関によって、本年9月30日に公開を停止するとともに、当該データにつきましては、本年10月19日までに外部機関のサーバーからの削除が完了しております。

なお、当該資料が閲覧できるページへの学外からのアクセスは13件であり、これまでのところ、当該資料の個人情報が不正に使用された事実は確認されておりません。

個人情報が閲覧された可能性がある皆様には、書面等にて状況をご説明し、ご迷惑をおかけしたことについてお詫び申し上げたところです。

本法人では、これまでも個人情報の取扱いにあたっては、適切な取扱いを求め、情報管理の研修や徹底に努めてまいりましたが、このような事態が発生したことを踏まえ、今後は一層の強化を図り、再発防止に全力で取り組んでまいります。