公益社団法人 シャンティ国際ボランティア会 ランサムウェア攻撃によるサーバーへの不正アクセスについて(第1報) 2022年12月12日


2022年11月23日に、公益社団法人シャンティ国際ボランティア会のサーバーがランサムウェア攻撃の被害に遭い、サーバーへの不正アクセスと個人情報が含まれるデータの毀損が判明しました。

現在、警視庁、専門家及び関係機関に相談し、本攻撃による情報流出の有無や影響の範囲の特定、原因の究明とシステムの復旧に努めております。現時点で、旧サーバーの使用は中止し、セキュリティ強化を施した新サーバーへの移行を完了しています。

関係者の皆様には、ご心配、ご迷惑をおかけし、誠に申し訳ございません。詳細がまとまりましたら改めてご報告差し上げますので、何卒ご理解のほどよろしくお願い申し上げます。 

加賀電子株式会社 当社海外子会社サーバーへの不正アクセス発生について 2022年12月12日


当社は、タイにおいてEMS事業を展開する当社の連結子会社であるKAGA ELECTRONICS (THAILAND)COMPANY LIMITED(以下、「加賀タイ」)のネットワークシステムの一部が第三者による不正アクセスを受けたことを確認いたしました。

2022年12月2日深夜に発生した、加賀タイのサーバーに対するランサムウエアとみられる不正アクセス攻撃の発覚後、現地警察およびシステム会社など関係諸機関への報告を行うとともに、被害拡大を防ぐため、加賀タイにおいてはサーバーとPC端末の停止、ならびに外部ネットワークとのアクセスを遮断するなどの対策を直ちに実施いたしました。

翌3日より、システム会社および当社グループの他EMS拠点とも連携して、各地エッジ端末に保存するデータをもとにシステムの復旧作業を進めるとともに、これと併行して、加賀タイのお客様に対して、順次、個別にご報告を行いました。これまでのところ、本件に係るお客様の機密情報の不正利用等は確認されておりません。

本日(12日)時点において、加賀タイにおける社内サーバー、ネットワークシステムは概ね復旧済みであり、生産活動も再開いたしました。また、再度の不正アクセスに備えて、当社グループの他の拠点を含めて対策を実施しておりますが、今後はネットワークアクセスの監視体制や認証方法を一層強化し、当社グループ全体での再発防止を徹底してまいります。

なお、今般のシステム障害が今年度の当社業績に対して大きな影響は与えないものと考えておりますが、新たにお知らせすべき重要事項が判明した場合は、速やかに開示いたします。

本件により、お客様はじめ関係各位に多大なるご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。

海上自衛隊の女性海曹が不正アクセスにより自身の人事データを入手して処分される


海上自衛隊は、50代の隊員が自身の人事に関するデータを不正に入手したなどとして、2022年12月12日、この隊員を懲戒免職の処分にしました。

懲戒免職となったのは、海上自衛隊の佐世保地方総監部に勤務する50代女性の海曹です。

佐世保地方総監部によりますと、海曹は去年8月ごろ、職場の共有サーバーに保存されていた自身の人事評価に関するデータにパスワードを不正に解いてアクセスし、印刷して自宅に持ち帰りました。

そして、確認した人事評価を基に「上司からパワハラを受けている」などのうその事実を記した文書を人事担当部署に送付したということです。

この海曹は、数百回にわたって予測してパスワードを入力しファイルにアクセスしたということで、調べに対して「自分の評価に対する不満があり、知りたい欲求を抑えきれなかった」と話しているということです。

海上自衛隊は、情報保全に関する違反や私的な理由の非行の程度が重いとして、12日、この海曹を懲戒免職の処分にしました。

佐世保地方総監部は「隊員が自分の利益のために極めて重大な事案を起こし、非常に重く受け止めています。指導を徹底し、再発防止に努めていきたい」とコメントしています。

46歳の非国民男性がNTT施設を物理攻撃し、通信を妨害する


NTT東日本の通信設備に何らかの方法で放火し、インターネット回線などに通信障害を起こしたとして、警視庁捜査1課は、建造物等以外放火と威力業務妨害などの容疑で、千葉県船橋市三山、無職、釜付敦史容疑者(46)を逮捕した。調べに対し、「覚えていません」と容疑を否認しているという。

逮捕容疑は、2022年11月20日午後3時10分から約25分間、東京都中央区日本橋の路上で、NTT東日本のハンドホールと呼ばれる通信ケーブルなどが入った縦穴(縦60センチ、横120センチ、深さ135センチ)内に、何らかの方法で放火し、ケーブル6本(被害総額約40万円相当)を燃やして、通信障害を起こしたとしている。

捜査1課によると、ハンドホール内でカセットボンベ1本と固形燃料の残りかすが見つかったほか、約100キロのフタが吹き飛んでいたことから、内部を爆破したとみられるという。

周辺では、約17時間にわたって、180回線で固定電話が利用できなくなるなどの通信障害が起きた。

実録・ウォーキングアプリのJAL WELLNESS&TRAVELでもらえるマイル

 

月額500円で歩くとマイルがもらえるJAL WELLNESS&TRAVEL。

最近徒歩通勤をしていて1日1万歩は行く感じなので、トータルでどれくらい貰えるのか確認してみた。

JAL WELLNESS&TRAVELは獲得後48時間以内にアプリから受け取りの処理が必要。

つまり、実質毎日アプリにログインして受け取りの処理が必要で、これがちょい面倒。

ちなみに、受け取りの都度、マイルが登録がされる。


ちなみにマイルの獲得だが、6000歩歩くと1マイルと抽選権が1枚、8000歩歩くと更に1マイルと抽選権がもう1枚、10000歩歩くと更にもう1マイルと1枚抽選券がもらえ、抽選権獲得後48時間以内に抽選してマイルをもらう。

つまり、6000歩くと最低1マイル+αで数マイルがもらえるため、最終的に何マイル貰えるかは抽選してみないと分からない。

そこで、毎日ほぼ1万歩歩いて、ほぼ毎日抽選した結果、どれくらいマイルをもらえたのかを振り返ってみることにする。

尚、集計期間は2021年12月~2022年10月。12ヵ月になっていないのはご容赦を。

【2021年12月】
ログイン日数:12日
獲得マイル数:302マイル
(平均25マイル/日)

【2022年1月】
ログイン日数:18日
獲得マイル数:291マイル
(平均16マイル/日)

【2022年2月】
ログイン日数:24日
獲得マイル数:312マイル
(平均13マイル/日)

【2022年3月】
ログイン日数:29日
獲得マイル数:502マイル
(平均17マイル/日)

【2022年4月】
ログイン日数:29日
獲得マイル数:451マイル
(平均15マイル/日)

【2022年5月】
ログイン日数:24日
獲得マイル数:377マイル
(平均15マイル/日)

【2022年6月】
ログイン日数:27日
獲得マイル数:487マイル
(平均18マイル/日)

【2022年7月】
ログイン日数:30日
獲得マイル数:414マイル
(平均13マイル/日)

【2022年8月】
ログイン日数:29日
獲得マイル数:426マイル
(平均14マイル/日)

【2022年9月】
ログイン日数:25日
獲得マイル数:391マイル
(平均15マイル/日)

【2022年10月】
ログイン日数:28日
獲得マイル数:440マイル
(平均15マイル/日)

月額500円なので、年6000円。

もらえるマイルは四捨五入で6000マイルくらい。

金額だけで見ると1マイル1円強で購入する感じ。

でもウォーキングで健康も手に入るので、そこまで加味すれば価値のあるサービスだと思う。

Webアプリケーション診断ツール(DAST)の選び方

 

今日のWebアプリケーションの大半は、危険な脆弱性を含んでいます。そのセキュリティを分析するためには、動的なスキャナなしにはできません。DAST (Dynamic Application Security Testing) ツールを使えば、セキュリティの問題を迅速に検出し、評価することができます。このようなツールを選択する際に、何を重視すべきでしょうか?

様々な調査によると、脆弱性の70%は、コードのエラーと関係があります。Webアプリケーションのコードの脆弱性を利用して、ハッカーはマルウェアを配布したり、クリプトジャッキング攻撃を仕掛けたり、フィッシングを採用してユーザーを悪意のあるサイトにリダイレクトしたり、電話をリモートでハッキングしたり、ソーシャルエンジニアリングの手法を使って個人データを盗んだりすることができるのです。

しかし、脆弱性の数を減らし、製品のセキュリティレベルを向上させることは十分可能です。そのためには、DevSecOps(開発とセキュリティを連携させ、ソフトウェア作成の各段階で脆弱性をチェック・テストするプロセス)に頼ることができます。

DevSecOpsのプロセスは非常に膨大であり、数多くの情報セキュリティ・ツールを含むこともあります。この記事では、DASTと、動的アプリケーション解析のための正しいスキャナの選び方についてお話したいと思います。どのようなツールの特性やパラメータに注意を払う必要があるのか、また現在どのような種類の製品が市場に出回っているのか、一緒に考えていきましょう。

DASTとは?

DAST (Dynamic Application Security Testing)は、配備され機能しているアプリケーションの自動分析を行う、安全な開発手法の1つです。ダイナミックスキャナーは、HTTP経由のすべてのアクセスポイントをチェックし、一般的な脆弱性を利用した外部からの攻撃をシミュレートし、様々なユーザーのアクションをシミュレートします。このツールは、サービスが持つAPIを判断し、検証リクエストを送信し、可能であれば不正なデータ(引用符、区切り文字、特殊文字など)を使用します。

ダイナミックスキャナーは、大量のリクエストを送信し、分析します。送信されたリクエストと受信したレスポンスの分析、および通常のリクエストとの比較により、さまざまなセキュリティ問題を発見することができます。

ほとんどのスキャナーは、同様の機能と手口を持っています。その主な構成要素は、クローラーとアナライザーです。

クローラーは、到達可能なすべてのページのすべてのリンクを走査し、ファイルの内容を調べ、ボタンを押し、ページ名の候補の辞書を調べます。このプロセスにより、攻撃対象領域の大きさと、アプリケーションとの既存の相互作用の方法を考慮した、可能な攻撃ベクターを推定することができます。

アナライザは、アプリケーションを直接チェックします。受動的または能動的なモードで動作させることができます。最初のケースでは、クローラが送信する情報のみを調査します。2 番目のケースでは、クローラが見つけたポイントや、現在ページ上に存在しないがアプリケーションで使用可能な他の場所に、 不正なデータでリクエストを送ります。そして、サーバーからの応答に基づいて、脆弱性の存在を推測します。

DASTツールを選ぶ際に注意すべき点

■脆弱性スキャンの品質

これは、発見された脆弱性と見逃された脆弱性の比率です。スキャナの解析結果をすぐに理解することは不可能です。そのためには、少なくともどのような脆弱性があり得るかをおおよそ理解し、その推定値とスキャン結果を比較する必要があります。ツールを評価する方法はいくつかあります。

  1. アプリケーションを持っていて、バグバウンティプログラムやペネトレーションテストですでに脆弱性をチェックしている場合、その結果とスキャナーの結果を比較することができます。

  2. アプリケーションがまだない場合は、原則としてトレーニング用に作成された他のプリベイラブルソフトウェアを使用することができます。技術スタックの点で、開発環境に近いアプリケーションを見つける必要があります。

スキャンの品質を評価する際には、誤検出の数が決定的な役割を果たします。誤検出が多すぎると、結果に支障をきたします。また、実際のエラーを見逃してしまうこともある。ツールのスキャン品質を判断するには、レポートを分析し、レスポンスを解析し、偽陽性の数と割合を計算する必要がある。

■クローリング

アプリケーションに関する情報がなく、ゼロから分析する必要がある場合、収集できるパスと遷移の数、つまりクロールの精度を把握することが重要です。これを行うには、DASTの製品設定を見ることができます。フロントエンドからバックエンドへのリクエストを監視できるかどうか、例えばSwaggerやWSDLアプリケーションを解析できるかどうか、HTMLやJSのリンクを見つけられるかどうか、などを調べる必要があります。また、アプリケーションに関する情報を取得するプロセスも調べる価値があります。

スキャンする前に、例えば、どのAPIが使用されているかを調べることができます。これにより、プログラムの完全なスキャンを実行するために、ツールが何を必要としているかを理解することができます。スキャナを選ぶ際には、各ツールが取り込めるものをリストアップし、開発プロセスに組み込めるかどうかを確認するのが有効です。

■脆弱性スキャンの速度

このパラメータも、特に開発プロセスにチェックを組み込んでいる場合には重要です。スキャンはプロセスを遅くし、結果的に時間とお金の無駄遣いにつながります。スキャンの速度は、アプリケーションがリクエストに応答する速度、同時接続数、その他いくつかの要因に大きく依存します。したがって、異なる DAST ツールの速度を比較するためには、ほぼ同じ条件下で同じソフトウェアを実行する必要があります。

■拡張設定

自動解析ツールには詳細な設定が必要です。それらを使えば、不要なリクエストを削除したり、スキャン範囲を限定したりすることができます。これにより、プロセスの品質と解析のスピードが向上します。ツールのタスクを適切に設定するには、利用可能なすべてのオプションと設定を用意する必要があります。

アプリケーションに適応する「スマート」なスキャナーもあります。しかし、このようなツールでも、チェックの目的が異なるため、手動で設定する必要があります。例えば、フルスキャンから始まり、表面的な分析で終わるなど、いくつかの方法でアプリケーションをスキャンする必要がある場合があります。この場合、手動モードは間違いなく便利です。

ツールを選ぶ際には、設定可能なパラメーターの総数やその設定のしやすさに注意する必要がある。異なるツールの作業を比較するために、それぞれのツールでいくつかのスキャンプロファイルを作成することができます。初期分析には高速で浅く、本格的なものには時間がかかっても深くです。

■統合

動的解析をできるだけ効果的に行うには、この方法を開発プロセスに統合し、ビルド中に定期的にスキャナを実行することが有効である。CI/CDプロセスで使用されるもののリストを事前に作成し、ツールを起動するためのおおよその計画を立てる必要がある。

そうすることで、開発プロセスに組み込むことが容易かどうか、APIを使用することが便利かどうかを理解することができる。

■技術

スキャナを選択する際には、自社が開発で使用している技術を考慮する必要がある。これを行うには、アプリケーションを分析し、使用されている技術、言語、フレームワークのリストを作成する。特に会社が大きい場合、リストはかなり広範囲になる可能性がある。したがって、スキャナを評価する基準として、いくつかの重要なパラメータのみを選択することが適切である。

  1. そのツールがカバーしている技術やフレームワークの数。
  2. 企業が重要なサービスで使用している主要な技術をサポートする能力

■ログインシーケンスの記録

アプリケーションに入るためには認証が必要なため、ログインシーケンスを記録することはダイナミックスキャナにとって非常に重要である。このプロセスには、パスワードを送信する前にハッシュ化したり、フロントエンドで共有キーで暗号化したりなど、多くの落とし穴がある。したがって、ツールがそのようなニュアンスにすべて対応できるかどうか、事前に確認する必要があります。そのためには、できるだけ多くの異なるアプリケーションを選択し、それぞれのアプリケーションでスキャナーがログイン段階を通過できるかどうかを確認する必要があります。

また、ログアウトしたときのツールの動作も確認しておくとよい。スキャナーは、分析プロセス中に多くのリクエストを送信します。そのうちのいくつかに応答して、サーバーはユーザーをシステムから「放り出す」ことができる。ツールはこのことに気づき、アプリケーションに再入力するはずです。

■ツールのアップデート

技術は常に進化しているため、ツールを選択する際には、そのアップデートやシグネチャ・パターン・分析ルールの新バージョンがどれくらいの頻度でリリースされるかを考慮することが重要です。この情報は、製品のWebサイトで確認するか、ベンダーに問い合わせるのがよいでしょう。これにより、開発元がトレンドに従っているかどうか、また、チェックのデータベースがどれだけ最新に保たれているかが分かる。

製品の開発に影響を与えられるかどうか、開発者が新機能のリクエストにどのように対応しているかを確認することも望ましい。これにより、必要な機能がどれだけ早く製品に搭載されるか、また、オプションの更新の一環としてベンダーとのコミュニケーションがどのように手配されるかがわかる。

どのツールを選ぶか?

Netsparker、Acunetix、Nessus、Rapid7、AppScan、VEXなど多くのツールが市場に出回っています。ここでは2つのツールについて簡単に触れます。

■BurpSuite Enterprise

このツールはPortSwiggerによって開発されました。この製品は、スキャンの対話と管理、レポートの送信など、本格的なREST APIを備えています。スキャンエージェントは、古典的なBurpSuiteです。「ヘッドレスモード」で起動しますが、制限があります。例えば、ヘッドポータルからの制御コマンドでしか対話できず、プラグインを読み込むことができなくなります。一般的に、このツールが正しく設定されていれば、優れた結果を得ることができます。

■OWASP ZAP (Zed Attack Proxy)

この人気のあるツールは、OWASPコミュニティによって作成されたため、完全に無料です。異なるプログラミング言語用のSDKとAPIを備えている。OWASPのオプションや独自のプラグインを使用することができる。

この製品には、様々なCI/CDツール用の拡張機能があります。異なるモードで実行し、プログラム的に制御することができる。開発プロセスにツールを簡単に挿入することができます。同時に、このスキャナには欠点もあります。オープンソースのソリューションであるため、スキャンの品質はエンタープライズソリューションよりも低くなります。また、ツールの機能はそれほど広くはなく、深くもありませんが、拡張や改良が可能です。

まとめ

DASTツールを選ぶ際には、この記事で指摘した基準を使うことができるか、確認する必要がある。各企業はそれぞれ独自のニュアンスと特徴を持っている。これらすべての選択基準と合わせて考慮しなければならない。また、事前にニーズを定義し、ツールからどのような結果を得たいかを理解しておくとよいでしょう。間違いのないように、様々な選択肢の本格的なテストを行い、互いに比較し、最適なソリューションを選択することをお勧めします。

出典:Choosing a DAST solution: What to pay attention to?

合資会社ビーンズゴトー  不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年12月8日


このたび、弊社が運営する「珈琲の王国Beans510」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(252件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2022年8月23日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2022年8月23日弊社が運営する「珈琲の王国Beans510」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2022年11月4日、調査機関による調査が完了し、2022年3月15日~2022年8月23日の期間に「珈琲の王国Beans510」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「珈琲の王国Beans510」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2022年3月15日~2022年8月23日の期間中に「珈琲の王国Beans510」においてクレジットカード決済をされたお客様252名で、漏洩した可能性のある情報は以下のとおりです。

 ・カード名義人名

 ・クレジットカード番号

 ・有効期限

 ・セキュリティコード

上記に該当する252名のお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2022年8月23日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「珈琲の王国Beans510」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年8月31日に報告済みであり、また、所轄警察署にも2022年11月14日被害申告しており、今後捜査にも全面的に協力してまいります。

大阪市 教育委員会事務局における個人情報を含むUSBメモリーの一時紛失について 2022年12月2日


教育委員会事務局において、令和4年12月1日(木曜日)、個人情報の入ったUSBメモリーを一時紛失していたことが判明しました。

 このたびの事案が発生したことにつきまして、関係者の皆様に多大なご迷惑をおかけし、市民の皆様の信頼を損ねることになったことに対しまして、深くお詫び申しあげますとともに、再発防止に努めてまいります。

1 概要と事実経過

令和4年12月1日(木曜日)14時頃、教育委員会事務局教職員人事担当の職員が教員採用選考テストの説明会実施のため、ある大学に向かう途中、説明資料を入れたUSBメモリーがないことに気付き、職場に戻りました。同日、14時5分頃、市民の方より大阪市役所本庁舎に拾得物として、USBメモリーの届け出があったことから、一時紛失していたことが判明しました。

説明資料には、教職員へのインタビュー及び児童や生徒等が映った学校生活の様子がわかる画像及び動画ファイルが含まれていました。教職員については、後日、本市ホームページにおいてインタビューの内容や画像を公表する許可を得ていましたが、児童や生徒等については、説明会のみで使用することを前提に撮影していました。

2  USBメモリーに含まれる個人情報

児童・生徒32名分、教職員4名分の顔等の画像及び動画(うち2名は氏名・出身地含む)

3 判明後の対応

令和4年12月1日(木曜日)夕方以降、当該児童・生徒の学校(小学校1校・中学校1校)に経過説明と謝罪を行っています。

4 原因

当該職員の個人情報の取り扱いに関する認識が不十分であり、説明会に必要なUSBメモリーや他の資料を十分に確認せず外出したことから、移動途中に不用意に路上でかばんを開け資料を取り出し確認した際に、USBメモリーを誤って落としたと考えています。また、情報セキュリティ責任者の許可を得て、USBメモリーや説明資料にパスワードを設定する手続きを怠っていました。

5  再発防止について

教育委員会といたしましては、これまでも職員に対して個人情報の管理の徹底を指導していたにもかかわらず、このような事案を起こしたことについて深く受け止めております。当該職員に対しては、個人情報管理に関する規定を点検し、再発防止策として、個人情報を含む文書の取り扱いや保管などの管理の徹底を指導してまいります。また、担当課の全職員に対しても、個人情報の取り扱いや管理についての徹底と、さらなる意識の向上について指導し、再発防止に努めてまいります。