【セキュリティ事件簿】早稲田大学 スチューデントダイバーシティセンター 異文化交流センター  個人情報が閲覧できる状態になっていたことに関するお詫び 2022年12月27日


早稲田大学 スチューデントダイバーシティセンターに設置する異文化交流センター(以下「ICC」)が開催した各種イベントの参加当選者の情報が、他の当選者にも閲覧可能な状態となっていたことが判明しました。当選者の皆様にご迷惑をお掛けしたことを深くお詫び申し上げます。内容および対応については以下の通りです。

1. 概要

ICC が開催する各種イベントへの参加申込後、当選者に改めて参加意思を確認するために使用していた Google Forms の設定ミスにより、当該フォームに回答したイベント当選者がアクセスできる結果画面で他の回答者の個人情報が閲覧できる状態にあったことがわかりました。2022 年 11 月 18 日(金)時点で閲覧できる状態にあったのは合計 34 フォームあり、イベントごとに異なるものを作成していますが、そのうち情報を閲覧できたのは同一イベントに当選した他の回答者の回答内容に限ります。

2. 個人情報が閲覧できる状態であった状況の概要

・件数
閲覧できる状態であった可能性がある 34 フォーム中、1,053 名(延べ 1,370 名)

※該当するイベントリスト:
https://waseda.box.com/s/sv378hansw6uml1iy0nr53fxvk1b164t

・期間
2021 年 10 月~2022 年 11 月

・閲覧できる状態であった可能性がある情報
フォームへ入力されていた以下の(1)~(4)の情報となります。ただし、氏名及びに参加意思有無以外はフォームによって内容が異なり、設問自体が設けられていないこともあります。また、34 フォームのうち、閲覧した者が他者の情報について、個人を特定できる状態で閲覧できたものは 6 フォームとなります。他 28 フォームは閲覧した際、回答者氏名と回答内容の並び順がずれた形で表示されておりました。

なお、現時点において、個人情報が悪用されたなどの被害相談はございません。
(1)氏名
(2)学籍番号
(3)参加意思有無
(4)その他(当日使用したい名前、日本滞在有無、参加日、録画録音可否、写真撮影可否、当日集合場所、遵守事項の同意有無、病歴、身体障がいに関する情報、その他参加当選者コメントなど)

※病歴、身体障がいに関する情報については、個人を特定して閲覧できる状態にありませんでした。

3. 発生原因

発生原因は次の通りです。

①フォーム上の設定において、「結果の概要を表示する」のスイッチをオンにしていたこと
  • 上記設定により、ICC から通知したリンクから回答した者が回答結果後に表示される「前の回答を表示」というリンクをクリックすると、自分以外のイベント参加当選者の回答も閲覧できる状態となります。
②公開前に設定のチェック漏れ
③過去の誤った設定のフォームを流用したこと
④誤った設定のフォームを繰り返し使用し続けたこと

なお、当該フォームの作成およびイベント当選者への参加意思確認は、外部委託しておらず、ICC において行ったものです。

4. 対応状況

2022 年 11 月 17 日(木)16:00 頃にフォーム上で個人情報が閲覧可能であったことが判しました。2022 年 11 月 18 日(金)14:00 頃までに、可能性があるフォーム全てについて、個人情報が閲覧できる状態を解消しました。また、2022 年 12 月 27 日(火)16:00頃に、個人情報が閲覧される可能性があった当選者には電子メールを用いて、お詫びと経緯の説明を原則行いました。

5. 再発防止のための対応

今後、このような事態が生じないよう、各職員に対して個人情報保護の重要性等についての教育を徹底するとともに、フォーム作成にあたっては担当者による複層的なチェックを行う実効的な措置を講じる等、個人情報の管理を更に強化し、再発防止に努めてまいります。

富士通株式会社 FENICSインターネットサービスに関するネットワーク機器からの不正な通信について 2022年12月23日


当社は本年12月9日、FENICSインターネットサービスを構成する一部のネットワーク機器に関して、外部へ不正な通信が行われていたことを確認いたしました。
当社は必要な対策を実施するとともに、対象のお客様に対しては、個別にご報告を行っております。
関係者の皆様には、多大なるご心配、ご迷惑をおかけしておりますことを深くお詫び申し上げます。

週刊OSINT 2022-47号

 

今週は、TipsとTryHackMe、Steamとスクリプト、そしてOSINTの世界からのその他の事柄に飛び込みます。

  • TryGeolocateMe
  • Steam OSINT
  • Bash Scripting
  • Practical OSINT
  • Instagram Metadata

チュートリアル: TryGeolocateMe

2020年初頭 TryHackMeユーザーのBeeさんは、「geolocatingimages」という部屋を作りました。この部屋では、単純な逆画像検索からShodan上のIPカメラの検索まで、複数のレベルのジオロケーションタスクをこなします。Shodanルームを作ったのと同じユーザーですが、今回はジオロケーションのスキルを練習するためのものです。


ツール: Steam OSINT

TOCP Discordで、またしてもFortheが新しいツールを紹介しました。このPythonスクリプトは、Steamユーザーをより深く理解することを可能にします。公開されているフレンドリストをダンプするだけでなく、ユーザー間のインタラクションを覗き見ることができる。これらのやりとりを調査することで、誰が「より親しい」オンラインフレンドなのか、よりよく理解することができます。
User info on Steam

Listing of commenters

メディア: Bash Scripting

OSINT道場は、LinuxとMacOSの標準的なスクリプト言語であるbashスクリプトに関する短いビデオを作成しました。この小さなチュートリアルでは、複数のユーザー列挙ツールを実行し、すべての情報をテキストファイルに保存するスクリプトを作成する方法を学びます。このような小さなスクリプトは、情報収集のプロセスをスピードアップするだけでなく、特定のツールの実行を忘れることがないようにすることも可能です。


メディア: Practical OSINT

Matt AshburnとゲストのBrian FullerはMercyhurst UniversityでRidge College of Intelligence Studies and Applied Sciencesのオペレーションディレクターを務めています。このポッドキャストでは、BrianがOSINTの現場から得た実践的なヒントについて話している。このエピソードがもっと長ければ良かったのですが、それでも運用上のセキュリティのようなものについての良いヒントがあります。例えば、異なるタイムゾーンに注意を払うとか、特定のターゲットを訪問する前後に他のサイトを訪問することを確認するといった、非常に基本的なことを学ぶことができます。Authentic8によるNeedleStackの素晴らしいエピソードをもう一つご紹介します。


小技: Instagram Metadata

数ヶ月前まで、Instagramの投稿のJSONデータは、URLに何かを追加することで取得することが可能でした。その後、動かなくなり、いくつかの回避策がありました。しかし最近、新しく少し編集したバージョンを投稿している人を見かけましたが、これは魅力的に機能しますよ。

{IG URL}/?__a=1&__d=1

__d=1の追加は、Instagramの「デスクトップ」バージョンで作業していることを伝えるためのパラメータだと思われます。手元に古い例がないのですが、送り返される情報量も以前より多く含まれているようです。


出典:Week in OSINT #2022-47

2023年のフライト計画 ~JALワンワールド特典航空券の活用~

 

2023年のフライト計画を立ててみた。

2022年から海外発券を始めたため、バンコク行きのチケットが既にある状態で、その続きをどうするかを考える。

最初はそのまま有償チケットのJALバンコク発券でアメリカに行ってみようと思っていたのだが、見た感じ予約変更ができない感じのチケットだったため、保留にしていた。

バンコク発アメリカ行きのJAL便の費用感

一方でマイル(JAL)を見ると17万マイルくらい溜まっている。

直近の有効期限は2025年なので余裕と思っていたのだが、マイルの有効期限は3年なので、直近の有効期限が2025年ということは2025年に17万マイルほぼすべて有効期限が来るということ認識した。

2022年に12万マイル消化したので、しばらくは貯めないといけないと思っていたが、武漢ウイルスの影響で蓄積がだいぶ進んでいたらしい。

海外発券航空券の条件もあまりよろしくないことから、2023年は特典航空券で発券することにした。

どこに行くかだが、実はあることがしたくてハワイに行こうと思っている。

そんな訳で今回はバンコク発券で日本、ハワイを満喫し、バンコクに戻るワンワールド特典航空券を発券してみる。

ちなみに発券済みの有償航空券(海外発券)の残りは以下となる

・HND-FUK(往復) @JAL ※2023年3月予定
 -BKK-HNDの往復と、BKK-HND-FUKの往復料金がほとんど同じだったため、オマケで福岡旅行を追加していた。


・HND⇒BKK @JAL ※2023年4月予定


んで、ここから先が特典航空券による発券。ちなみに全席ビジネスクラスでの発券に成功!
(計12万マイルで発券)

BKK⇒KUL⇒NRT @マレーシア航空 ※2023年5月予定

 -クアラルンプール途中降機予定


NRT⇒NGO⇒HNL⇒NGO @JAL ※2023年9月予定

 -NGO発のホノルル便でビジネスクラスの空席を見つけたため、NGO発に。
 -特典航空券のルールで途中降機した東京には戻れないため、NGOからの移動手段は別途手配。


KIX⇒KUL⇒BKK @マレーシア航空 ※2024年4月予定

 -特典航空券のルールで途中降機済みの東京からは出発できないため、陸路移動オプションを活用して関空から出発(航空券的にはNGO⇒KIXを陸路移動した体になる。関空までの移動手段は別途手配)

特典航空券を海外発にすると、日本国内は2都市途中降機可能になるため、使い道が広がると思った。

ランサム感染時にデータ復旧という手段は期待できないが、一縷の望みを託すならどの業者がいいのか?

 

組織の情報システムがランサムウエアに感染した場合、①身代金を払って復旧させる か、②身代金を支払わずにバックアップから復旧させるかの選択を迫られる。

ちなみに身代金を支払った場合、ランサムウエアギャングが金払いが良いことを知ってしまうため、その後同じ業界が狙われることとなる(この例が2022年後半に多発した医療業界のランサムウエア被害である)

残念ながらその発端は徳島県の某病院とされているが、更に詳しく中身を見ていくと、病院が支払ったわけではなく、病院から委託を受けたデータ復旧業者がこっそりとランサムウエアギャングに身代金を支払い、病院には「独自技術で復旧した」と報告していたらしい。

実はここまで整理すると第三の選択肢があることが分かる。

それは、③データ復旧業者への依頼

である。

データ復旧業者に依頼することでランサムウェアに暗号化されたデータの複合ができるのか?

答えはNoである。

Noなのだが、クライアントから7000万くらい引っ張って、そこから300万くらいを身代金として支払い、複合化キーをゲットして「独自技術で復旧した」と言い張る悪徳復旧業者が存在するらしい。

医療業界はITの運用管理をベンダーに丸投げする文化が強いらしく、クライアントが無知すぎるのも問題なのだが、業界としての自浄作用も求められるところでもある。

でも一縷の望みを託して復旧可否を確認したい場合は、どの業者に相談すればいいのか?

先日、「日本データ復旧協会」なるものの存在を知った。

こういうところの会員企業に相談すれば、少なくとも裏でこっそりランサムウエアギャングに身代金を支払うという蛮行は無いはずである。

ランサムウエアギャングへの身代金支払いは某国の核ミサイル開発に資金援助しているのと同義なので、国賊的な行為と個人的には考えている。

ロンドン・ヒースロー空港ターミナル5のBA到着ラウンジにバスタブ付きのシャワールームがあるらしい。


ブリティッシュ・エアウェイズの到着ロビーには、バスタブ付きのシャワールームがあるらしい。

その数は4つで、あまり知られていないようです。

シャワーデスクを右に曲がらず、左に曲がります。ブリティッシュ・エアウェイズが「カバナ」と呼ぶ、大きな部屋が4つあります。


各カバナは、シャワースイートよりもかなり大きく、おそらく2倍はあるのではないでしょうか。


青い床はスタイリッシュとは言えませんが、磨耗が目立つシャワーよりはずっと良い状態です。

蘭の鉢植えや、大きな洗面台もありました。


レトロなドライヤーとステンレスのゴミ箱は、雰囲気を少し損なわせています・・・。

クシ、デンタルキット、シャワーキャップ、シェービングキット、エレミスのヘアコンディショナーなど、様々なアメニティが並べられていました。


角を曲がるとお風呂です。


浴槽は巨大で、上の金具から滝のように水が流れています。

洗髪用にハンドシャワーヘッドもあります。

エレミスのシャワージェルとシャンプーが用意されています。

時間があれば、ヒースロー空港のブリティッシュ・エアウェイズの到着ラウンジにあるお風呂を試してみる価値はあります。

ちなみに、ターミナル5のブリティッシュ・エアウェイズ到着ラウンジのアクセスポリシーは以下の通りです。

  • ブリティッシュ・エアウェイズのファーストクラスで到着した人
  • ブリティッシュ・エアウェイズのクラブワールドで到着した人
  • アメリカン航空ファーストクラスで到着した人
  • アメリカン航空のビジネスクラスで到着した人
  • ブリティッシュ・エアウェイズのゴールドカードホルダーで、BA長距離路線で到着した人
  • アメリカン航空コンシェルジュ・キーカードホルダーで、AA長距離路線で到着した人
これらのカテゴリーに属さない人(British Airwaysのシルバー・メンバーやその他のoneworldの人、BAまたはAAのフライトではない人、短距離便の人、ラウンジが閉まる午後2時以降に到着した人)は使えません。

サクソバンク証券の2023年大胆予測

 

今年、サクソバンク証券の口座を開設して取引を行っている。

国内ではあまりメジャーな証券会社ではないが、S&P500のCFDや先物等、国内の証券会社では取り扱っていない商品を扱っている。

先日、無料会場セミナーの案内が来たので行ってみた。

結構長い事続いている、毎年恒例のイベントらしい。

セミナーの内容についてはリンクを参照いただきたい。

大胆予測なので、アタリを狙ったというよりは、極端なケースの紹介で、「こういったケースも踏まえてポートフォリオを考えましょう」といった趣旨のセミナーだった。

ただ、前回の大胆予測は幾つか現実化したようなことを話していた。

その一つがGAFAMへの逆風で、大胆予測ではFacebookの株価が30%下落する可能性を謳っていたが、実際に70%も株価が下落した。

そんな訳で、今回ももしかしたら当たるかもしれないという気持ちで聞いていた。

ロシアのウクライナ侵攻により、戦時経済というのが一つのテーマになっている。

ロシアのウクライナ侵攻の原因の一つはエネルギー問題とも言われているが、ESGの観点からも化石燃料からの脱却や、環境負荷を与える畜産辺りは今後トレンドになっていくのかと感じた。

とくにヨーロッパはこの辺の考え方が進んでいるらしい。どこかの国が食肉生産禁止を打ち出したら大ニュースになるかもしれないので、今の内から心の準備しておかなければならない。

また、金については上昇する要素がいくつかある。

ロシアがウクライナに対して核ミサイルをぶっ放すと金価格は暴騰する可能性がある。

また、中国が台湾に侵攻した場合も金価格は暴騰する可能性がある。

金に全てを賭ける必要はないが、ポートフォリオに少し金を混ぜておくことはとても重要と感じた。

また、ドル円もこの先どうなるかは分からないが、最悪200円/ドルは覚悟しておく必要があると感じた。

だからと言って、FXで全力投球すると爆死するだけなので、ドルコスト平均法でコツコツとドルを蓄えていくのが良いと感じた。

セミナー後に懇親会があり、担当者にいろいろ要望を伝える機会があったが、サクソバンク証券は2020年にセキュリティインシデント(情報漏えい)を起こし、それに起因して金融庁から業務改善命令を受けている。

現状は顧客要望の対応よりも業務改善命令の対応が優先されてしまっている感じがした。

それでも日本国内ではオンリーワンのサービスがあるので、すごいなぁと思った。

早く業務改善命令の対応を終えて、顧客満足度向上のための施策をどんどん打っていって欲しいと思った。

築野食品工業株式会社 弊社が運営する「つの食品webショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年12月26日


このたび、弊社が運営する「つの食品webショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(2,086件)が漏洩した可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じ、内容を別途Webサイト上にてご報告いたします。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯
2022年11月22日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2022年11月22日弊社が運営する「つの食品webショップ」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2022年12月19日、調査機関による調査が完了し、2021年3月19日~2022年2月27日の期間に 「つの食品webショップ」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況
(1)原因
 弊社が運営する「つの食品webショップ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩
の可能性があるお客様
2021年3月19日~2022年2月27日の期間中に「つの食品webショップ」においてクレジットカード決済をされたお客様2,086名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当する2,086名のお客様については、別途、電子メールにて個別にご連絡申し上げます。


3.お客様へのお願い
 既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
 なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について
2022年11月22日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえて従来のショッピングカートとは別のセキュリティ対策が厳重に行われているショッピングカート会社と契約し、安心してお買い物をしていただけるECサイトの構築を進めております。
改修後の「つの食品webショップ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年11月22日に報告済みであり、また、所轄警察署にも2022年12月19日被害申告しており、今後捜査にも全面的に協力してまいります。