雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
山形大学 不正アクセスによる個人情報の流出の可能性に関するお知らせとお詫び 2022年12月16日
熊本県立大学 メールアカウントの不正利用事案の発生について 2022年12月13日
- 12 月 7 日 16:30 頃、名誉教授から、出した覚えのないメールが多数返ってくると大学へ連絡。至急ログを確認したところ、名誉教授のメールアカウントから、6 日 23:30 頃から 7 日16:30 頃にかけて、不審な英文メールが 46 件送信され、1,230 件の送信をシステムがブロックしていたことが判明。
- 更に調査を行ったところ、8 月 30 日以降に約 1,000 件(うち半数は 12/6 以後に集中)の海外からのログインを検出。
- 本学ユーザー(教職員、学生、名誉教授、公開講座等受講者 計3,537人)の氏名・本学が付与したメールアドレス、ユーザーが自身のプロフィールに任意入力した部署・職場電話番号等の情報
- 名誉教授のアドレス帳の情報(登録件数 991 人:他大学、機関、企業等の関係者、個人の氏名・メールアドレス・所属先・部署・役職・電話番号等)
- 名誉教授のメールボックス内のメール内容、添付ファイル教員等の履歴書・略歴 43 人分:住所・氏名・生年月日・電話・メールアドレス・学歴・職歴・顔写真等人事資料 101 人分:氏名・生年月日・住所・最終学歴・現職位・教育歴・審査結果等研究室等の名簿 612 人分:氏名・住所・電話番号・メールアドレス・役職その他 4 人分:翻訳代金請求者の氏名・住所・口座番号等
- 本学では二要素認証(※)を原則としているが、名誉教授においてはスマートフォン等を所持していないことから申し出により除外していたこと、名誉教授のパスワードとして数桁の簡単なものが使用されていたこと、メールアカウント・パスワードが他のサイトで使用されていたことが重なったためと考えられる。
※メールアカウント・パスワードの入力及び SMS か電話で確認コードを提示
- 当該アカウントのパスワードを変更し、不審メール発信停止を確認
- 本学ユーザーにメールで報告、注意喚起
- 名誉教授からアドレス帳登録先にメールでお詫び、報告、注意喚起
- 名誉教授による端末のウイルススキャン
- 名誉教授のメール内情報の精査
- Microsoft に相談、確認
- 関係者への謝罪通知(継続中)
- 警察への相談
- 大学HPへの掲載
- 相談窓口の設置
株式会社チンクエクラシコ 弊社が運営する「Cinq essentiel」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2022年12月13日
永久不滅ポイント、JALマイル交換でレートアップ(2022年12月1日~2022年12月31日)
週刊OSINT 2022-42号
今号は運用セキュリティ、グーグル検索、チートシート、便利なヒントなどを紹介します。
- Naval Opsec
- Let's Geolocate
- Bookmarklet
- Chinese Propaganda
- Geotargeted Google Search
- YouTube Handles
- Geolocation Cheat Sheet
ニュース: Naval OpSec
Steven 'nixintel' Harrisは、Marsattaqueblogが発信した、演習中にフランスのフリゲート艦が文字通り「レーダーから外れた」状態で撃沈されたという話をシェアしました。2021年11月21日から12月3日まで、合計23隻の艦船、1隻の潜水艦、65機の航空機が海上演習に乗り出しました。無線や衛星通信がすべて妨害されていたため、無線での接触は一切なかったにもかかわらず(出典)、レッドチームはSnapchatで見つけた位置情報だけでブルーフリゲート艦の1隻を撃沈してしまったのだ。青いフリゲート艦は岸に近い場所にあり、4Gマストの届く範囲にあったので、Snapchatに接続することができました。アクティブなアカウントを発見した後、精密な打撃が不可能だったため、14発のミサイルによる模擬攻撃が指示されました。OpSecが悪いと壊滅的な影響を与えるというもう一つの例です。
Media: Let's Geolocate
Benjamin Strickは、彼自身の言葉によると、より軽快なコンテンツを作るのに忙しくしているそうです。そして、特に毎日のニュースを賑わせている世界の紛争を考えると、それは素晴らしいことだと言えるでしょう。そして、皆さんも同じように行動することをお勧めします。例えば、彼が世界中の大きな芸術作品をジオロケーションしていくこのビデオに参加することができます。ベンのもう一つの素晴らしいビデオは、いくつかの場所は非常に簡単に見つけることができたにもかかわらず、彼の思考過程を洞察することができます。ベンがどのように利用可能なすべての情報を使って、ひとつひとつの問題を解決していくのか、ご注目ください。
ツール: Bookmarklet
TwitterユーザーのOSINT_Tacticalは、ソーシャルメディアの範囲内でユーザー名を素早く検索できるブックマークレットを作成しました。実際に結果を表示するタブをたくさん開くので、これはあまり好きではないのですが、これはいくつかの問題を引き起こすかもしれません。FirefoxとBraveはデフォルトで1つのタブを開くだけで、Chrome内では空白のページから実行できないようで、動作する前にブラウザで複数のタブを開くように明示的にOKを出す必要があります。というのも、これは可能性のあるリードを素早く見つけるための、もう一つの簡単で迅速なヒントだからです。
ニュース: Chinese Propaganda
ファーガス・ライアン氏と彼の同僚は、ウイグル出身の2人の少女が登場する中国のプロパガンダを調べました。このTwitterのスレッドでは、彼らが見つけた、これらのビデオといわゆる「情報局」とを結びつける情報を取り上げています。このスレッドは、情報キャンペーンが特定の物語を広めるためにどのように利用されているか、そして、時には、それが簡単に引き離されることを示す、興味深いものです。ルーさん、ありがとうございました。
サイト: Geotargeted Google Search
Henk van Essから、Google検索の「ジオターゲティング」の新しい方法についての情報が届きました。数年前からiSearchFromを使っているのですが、この便利なサイトは、検索時に特定の場所をターゲットにすることができるのです。ニュースを検索するとき、Googleは時々、地元のニュースアイテムを表示しますが、非常に特定の地域をターゲットにできるこの機能は、非常に便利かもしれません。このヒントのすぐ後に、「Einat FB」という方から、「U Search From」という別のサイトがあり、そちらは私が使っていたものより改良された良いツールだというヒントをいただきました。これらのヒントに感謝します。
小技: YouTube Handles
ここ数日、YouTubeの新しい機能である「YouTubeハンドル」について、複数のメールを受け取りました。クリエイターは、ハンドルネームを登録することで、次のようなリンクを生成することができます。
https://www.youtube.com/@redbull
現在、このページはHTTPコード「303」を返送し、ブラウザを別のURLにリダイレクトしています。この例では、https://www.youtube.com/user/redbull にリダイレクトされます。YouTubeのブログによると、すでにカスタムチャンネルURLを設定している人は、同じ名前がハンドルネームとして予約され、新しいカスタムチャンネルURLを作成するオプションは今のところ停止しているとのこと。今後どうなるかはわかりませんが、このニュースを受けて多くのユーチューバーが自分のハンドルネームを主張すれば、さらに見つけやすくなるかもしれませんね。
チュートリアル: Geolocation Cheat Sheet
もしあなたがジオロケーションの初心者で、まだ手がかりを見つけるのに苦労しているなら、これはあなたにとって素晴らしいカンニングペーパーになるかもしれません。SEINTは、写真に写っているたくさんのものを集めた大きなマインドマップを作成し、あなたの道のりを助けてくれるでしょう。これは現在進行中で、彼がさらに多くのアイテムを見つけたら更新される予定ですが、すでに印象的です。これはあくまでチートシートとして使用し、画像やビデオを分析する際には、常に自分自身のアイデアも出すことを忘れないでください。このマインドマップのPNG版とPDF版は、SEINTのGitHubで見ることができます。
オマケ: Spooky Logic
38mo1が作成した、ハロウィンの時期に登場する素晴らしいマニアックなジョークで、古典的な「論理ゲート」をいくつか含んでいます。OSINTコミュニティでは、革新的な検索クエリを作成するときに使用するのと同じブール代数を基礎としているので、このうちのいくつかは知られていることだろう。しかし、電気技術者にとっては、これは既知の領域なのです。OSINT Amyさん、教えてくれてありがとうございます。
BIPROGY 株式会社 第三者委員会の調査報告書受領及び役員の処分等に関するお知らせ 2022年12月12日
- プロジェクトを担当する組織内で組織長が週次でその運用に対する安全管理措置を点検。
- 顧客機密情報(個人情報含む)の取扱いに責任を持つ役職者による指導・確認の下、安全管理措置を策定・明確化。
- 新たに設置したセキュリティ専門組織がその安全管理措置の妥当性を客観的に審査・承認し網羅的に管理・モニタリングする仕組み・体制の整備。
- 可搬メディアの取扱いルール強化、顧客機密情報と顧客本番環境アクセスのルール強化、サービスビジネスにおいて顧客本番環境にアクセスする際のルール新設等を内容とする社内規程の改定。
- その他、稟議決裁規程、情報サービス・ビジネスプロセス、アウトソーシングビジネスなどのビジネスプロセス関連規程を改定。
- セキュリティリスクの理解と個人情報を含む顧客機密情報の取り扱いルール再徹底のためのセキュリティ教育(e ラーニング)を当社グループ全役職員に対して実施。
- 情報セキュリティ遵守事項に係るプロジェクトチーム内への周知や協力企業向け情報セキュリティ教育の実施状況を確認。
- 本番環境にアクセスする作業時は本番サーバルームで尼崎市様ご担当者立合いのもと実施するとともに、可搬メディアを使用する場合のルールを明確化するなど、情報セキュリティに関するルールの明確化。
- 利用中の可搬メディアの必要性の見直しと、継続利用する場合は社内規程通り管理されていることを管理簿などの証跡ベースで報告することを徹底。
- 安全管理措置及び個人情報の取扱いに責任を持つ役職者による教育及び指導等によって、委託先監督に関する法令・当社規程の遵守を徹底。
- 顧客機密情報(個人情報を含む)の取扱いを協力企業に委託する場合も、新たに設置したセキュリティ専門組織にて安全管理措置を審査・承認し、その実施状況をセキュリティ専門組織がモニタリング。
- 形骸化を防止するため、情報セキュリティ内部監査において上記運用状況を監査予定。
- 委託先管理を図る責任者を新たに設置。また、委託先管理プロセスを見直し、当社とお客様との契約条件に従って当社から協力会社への委託がなされていることを確認できるエビデンス管理や、運用が適切に行われていることを週次レベルでモニタリング。
- 当社全役職員に関する再教育と指導の徹底、及び委託先に対する契約ルール、再委託留意事項に関するトレーニングプログラムの提供
- 顧客との契約条項に適合した開発(再委託)の場合のみ発注可能となるよう、契約・発注管理システムに契約条項で定められた条件を登録させ、発注の可否を機械的に判断できるようにする修正を加える。
- 委託先との契約書内容を変更し、①契約に違反した場合の違約金条項、②当社の判断で、当社からの二次委託先以降に対する再委託を中止するように要求することを可能とする条項を追加する。
- 委託先管理の実効性を確保するため、委託先管理に対する運用状況を監査予定。