【セキュリティ事件簿#2023-030】朝倉書店 お詫びとお知らせ 2023年1月5日

 

年末年始の休業期間中,小社ホームページおよび『デジタル内科学』サービスページにおいて,アクセス不良が発生いたしました。

お客様には多大なご迷惑をお掛けいたしましたこと,深くお詫び申し上げるとともに,現在は復旧いたしましたことをお知らせ申し上げます。

昨年末に小社サーバに対する悪質な不正アクセスが発生し,サーバ側にて緊急避難的な対応を行ったことが原因と考えております。

現在も調査を進めておりますが,休業期間中でしたため復旧が遅れてしまいましたこと,重ねてお詫び申し上げます。

なお,今回の不正アクセスによる個人情報流出等の被害は生じておりません。

リリース文アーカイブ

【セキュリティ事件簿#2023-029】九州電力株式会社 九州電力送配電株式会社のNW設定端末の委託業務外利用に係る報告徴収の受領について 2023年1月18日


当社は、九州電力送配電株式会社(以下、九州電力送配電)が管理する当社以外の小売電気事業者のお客さま情報(以下、新電力顧客情報)を閲覧していたことが判明し、本日、電力・ガス取引監視等委員会および個人情報保護委員会から報告徴収を受領しました。

本事案は、2022年12月27日付の電力・ガス取引監視等委員会からの依頼に基づき調査を進める中で判明したものです。

これまでの調査で、当社および委託会社において、九州電力送配電から非常災害時等の供給支障事故対応用に貸与されている託送コールセンターシステム端末(注)の一部を、通常業務に使用していたことを確認いたしました。

 (注)新電力顧客情報を含む九州電力送配電のみが保有する託送関連情報の閲覧が可能

当社および委託会社の従業員に聞き取りをおこなった結果、同端末を
  • 他社から当社への契約切替(スイッチング)時の名義不一致分の契約状況の確認
  • 当社との契約開始時における住所特定や公衆街路灯の設置場所特定のために電柱番号が記載された地図情報確認
等のために使用しており、その際、新電力顧客情報を含む九州電力送配電が保有する託送関連情報を閲覧しておりました。

なお、現時点においては、新電力の顧客獲得活動への使用は確認できませんでした。

詳細については引き続き調査をおこなってまいります。

当社といたしましては、今回の事案を重く受け止めており、深くお詫び申し上げます。今後、報告徴収に適切に対応してまいります。


【セキュリティ事件簿#2023-028】国立大学法人琉球大学 学内で利用するクラウドサービスにおける個人情報等の不適切な取扱いについて(お詫び) 2023年1月20日


この度、学内で利用するクラウドサービス(Microsoft Teams)(以下「Teams」という。)内に保存されていた個人情報等が含まれたファイルの一部について、情報共有者の限定やパスワードの設定を行っていなかったことから、担当者のみが共有すべき情報が、本学構成員(本学からアカウントが付与されている学生及び職員)にも閲覧可能な状態(最も古いものは令和2年4月から閲覧可能)であったことが確認されました。

閲覧可能な状態であったファイル
① 担当者のみが共有すべきファイル(会議資料、大学院入試関係資料等)
304 件
② ①のうち個人情報(氏名、メールアドレス、成績情報等)が含まれるファイル
273 件(901 名分〔琉球大学学生436 名、職員67 名、その他398 名〕)

このような事態を招き、関係する皆さまに、ご迷惑とご心配をおかけしたことを深くお詫び申し上げます。

閲覧可能な状態であったファイルは、本学管理者によって昨年10月11日までに当Teams 担当者以外が閲覧できないように措置を講じました。

これまでのところ、当該個人情報等が不正に使用された事実や学外への漏えいは確認されておりません。

なお、閲覧可能な状態であった一部の大学院入試関係資料には試験問題も含まれていたため、入試の公平性・公正性に鑑み、当該大学院入試について精査を行いましたが、本資料が不正に使用された事実は確認できず、合否判定については変更しないという取扱いといたします。併せて、平穏な教育研究環境に影響が生じることを避けるため、当該大学院の研究科名等の公表は差し控えさせていただきます。

個人情報が閲覧可能な状態となっていた皆様及び大学院入試問題が閲覧可能であった当該研究科の受験生の皆様には、書面等にて状況をご説明し、ご迷惑をおかけしたことについてお詫び申し上げたところです。

本学では、今回の事態を受け、情報管理の一層の強化を図り、再発防止に全力で取り組んでまいります。



【セキュリティ事件簿#2023-027】株式会社長寿乃里 クレジットカード情報漏洩に関するお詫びとお知らせについて 2023年1月19日



この度、弊社のECサイト「あっとよか(https://www.chojyu.com/)」につきまして、画面表示を最適化するサービスを提供する企業(株式会社ショーケース)より、当該サービスのシステムが第三者によって改ざんされ、お客様のクレジットカード情報(37件)が漏洩した可能性があることが判明いたしました。

会員様をはじめ、関係者の皆様に多大なるご迷惑、およびご心配をおかけする事態となりましたこと、深くお詫び申しあげます。

なお、情報が漏洩した可能性のある会員様には、本日Eメールにてお詫びとお知らせを個別に送らせていただいております。

弊社は今回の事態を厳粛に受け止め、再発防止に万全を期してまいります。
会員様をはじめ関係者の皆様には重ねてお詫び申しあげますとともに、本件に関する概要につきまして、下記の通りご報告申しあげます。

1.経緯

2022年7月28日、弊社会員サイト「あっとよか」のECサイトにおいて、ご覧になる端末に合わせて、ウェブページの表示を最適化するツール「サイト・パーソナライザ」(提供:株式会社ショーケース)のシステムが、第三者によって不正に改ざんされた可能性があり、入力された情報の一部が漏洩した可能性があると連絡を受け、社内における独自調査ならびに2022年8月22日にカード会社よりクレジットカード情報漏えい懸念の発生情報がもたらされたことから2022年8月24日に弊社会員サイト「あっとよか」のECサイトでのカード決済を停止いたしました。

改めて実施した第三者調査機関による調査の結果、改ざんが発生した2022年7月19日から、該社がシステムを修正した2022年7月29日の期間に、「あっとよか」の決済方法選択ページまたはマイページにて、新規にクレジットカードをご利用された会員様に入力いただいた、以下の会員様情報が漏洩した可能性があることが判明いたしましたため、本日の発表に至りました。

2.クレジットカード情報漏洩状況

(1)原因
弊社が運営する「あっとよか(https://www.chojyu.com/)」にて採用している外部事業者「株式会社ショーケース」の画面表示を最適化するサービスツールの脆弱性をついたことによる第三者の不正アクセスにより、ソースコードの改ざんが行われたため。

(2)クレジットカード情報漏洩の可能性がある会員様
2022年7月19日~7月29日の間に、弊社ECサイト内での新規カード登録のお手続きを行った37件の会員様が対象で、漏洩した可能性のある情報は以下のとおりです。
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当する37件の会員様に関しましては、別途ご連絡済みでございます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申しあげます。

尚、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表に時間を要した経緯について

2022年7月28日 から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するクレジットカード決済の再開について

本件につきまして、監督官庁である個人情報保護委員会には2022年8月10日に報告済みであり、また、所轄警察署にも2022年12月1日被害相談しており、今後捜査にも全面的に協力してまいります。

弊社はこのたびの事態を厳粛に受け止め、本件の被害拡大の防止に努めるとともに、今後の再発防止策の徹底、およびより一層の情報セキュリティ対策の強化に取り組んでまいります。

なお「あっとよか」サイトでのカード決済の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

2023年の投資戦略を考える(NISA、iDecoは使わない。富裕層にたどりついてみたい。)

 

2022年、寅年は荒れると言われていたが、本当にすごい荒れ方をした。

特にドル円なんか、年初に115円くらいだったのが、150円までつけ、その後130円前後で落ち着くという、荒れまくりの展開だった。

FXメインでやっていた人は退場を強いられた人がかなりいたと思う(市場からの退場だけならまだしも、人生からの退場になっていないことを祈る)

また、2022年はこれまでの人生で一番自己投資した年だった。その投資額約〇〇〇万円。社畜の分際で年収の45%近くを投じていたので、自分でもびっくりしたが、得られるものもあった。

一つは健康。

一昨年までは高脂血症に高血圧で、薬を飲み始めるか、真剣に生活改善するかの2択を迫られる中で、1日1食生活&白物(米、小麦、砂糖、塩、シャブ(笑))を抜く&適度な運動(1万歩/日)をする生活をし、体重は10キロ以上落ち、高脂血症は解消し、血圧も正常値に戻った。3か月ごとに内科に通院しており、いつも通院すると先生が積極的に次回の日程を決めに来てくれるが、それすらもなくなってしまった。昨年の健康診断では肥満度がマイナスになってしまい、違う意味でウエイトコントロールが必要と診断されてしまった。

1日1食(夜)生活により、基本的に昼食を取るという習慣が無くなったため、この時間を執筆に振り向け、これまでの旅の記録をまとめてキンドル出版をし、作家になることを目指している。

もう一つ得られた大きなものは投資のマインド。

実は投資を行うにあたって最も重要なのは健康。健康でない人が投資をすると間違った判断をしてしまい、最悪市場や人生からの撤退を迫られてしまう。

んで、自分がたどり着いた投資はシンプルイズベストでインデックス投資。

どこのインデックスかというと、アメリカ。

その理由もシンプルで実績ベースで株価と人口が増えているから。

バックテストができて、株価と人口が増え続けている国はアメリカしかない。

ちなみに2022年はFXから撤退しました。

FXは以前からゼロサムゲームと言われており、利益が出る裏には必ず損を出している人がいるということで、頭では理解しているものの、罪悪感を感じないように自動売買でブン回していた。

ところが、多額の資金を投じて学んだ投資マインドを踏まえると撤退すべきという気持ちが高まり、覚悟を決めて撤退した。

ちなみに撤退時期は丁度ドル円が150円に向けて円安に突き進んでいる時期だったので、損失は最小限に抑えられた。

自動売買は円高に動くと自動的に買いの仕掛けをしていくため、ドル円が150円を付けて円高方向に向かっていったが、この局面だと、逆に損失が拡大して撤退は難しくなっていた。


そんな訳で投資についてはインデックス投資をメインとし、米国株(S&P500)と、万が一のために逆相関の関係にある米国長期債、それに有事の金をベースとしてポートフォリオを組み立てていく。

ちなみにこれ、仮に2005年に100ドルから投資を始めて、毎月100ドルずつドルコスト平均法で18年間投資を続けていたとすると、以下のような結果になり、総資産は50,000ドルを超えるか超えないかのところまで来る。


仮に貯金(≒銀行預金)だけだったとすると、100ドル×12ヵ月×18年で21,680ドルとなるため、貯金と比較しても倍以上のパフォーマンスが出ていることになる。

丁度日本でも2024年からNISAが新しくなり、NISAで頑張って資産運用していこうという話になるが、実はNISAは使わないで行こうと思っている。

NISAには2種類あるが、まず、つみたてNISA(新NISA制度:つみたて投資枠)。

結論として、つみたてNISAは論外。

理由は投資信託しか購入できないこと。投資信託は間に信託会社が入って色々手数料がかかる。最近はノーロードだったり良心的なように見えるが、しっかりコストがかかっている。その顕著な例が分配である。例えばS&P500を直接米国ETFで買い付ければ配当が出るが、S&P500の投資信託(eMAXIS Slim 米国株式(S&P500))とかだと、過去一度も分配が無い。


つまり、S&P500を直接米国ETFで買い付ければインカムゲインとキャピタルゲインの両方が期待できるのに対して、投資信託ではキャピタルゲインしか期待できない。

S&P500(例えばvoo)の配当は1株4ドル/年程度。単純計算で100万円分のvooを持っていると、1,000,000円÷130円/ドル÷350ドル(voo単価)×4ドル(配当)≒80ドル程度、年間配当が付くので、その分投資信託よりもパフォーマンスは上ということになる。

次に一般NISA(新NISA制度:成長投資枠)。

一般NISAだと、S&P500を直接米国ETFで買い付けることができる。なので、一般的にはオススメである。

しかし、自分は下記の理由から使わないことに決めた。

1.信用取引ができない

2.損失時に確定申告で損失繰越ができない

投資における基本的なスタンスとしてはアメリカの成長に期待することとなるが、そこが明確でキャピタルゲイン狙いに絞れるのであれば、信用取引やCFD、先物などを活用してレバレッジをかけていくのも手だと思っている。一般NISAだとレバレッジがかけられれず、非課税よりも資金効率の悪さがデメリットとして強く映ってしまっている。

そんな訳で世の中と逆行している感じがしなくもないが、当面の投資戦略としてはNISAやiDecoは使わず、資金効率も考慮しながら米国ETFの現物、信用取引や、先物を上手く織り交ぜて資産形成を進めていきたい。

また、今年からプラットフォームの分散も意識した投資を進めていきたい。

要は1ヵ所に資産を寄せすぎないということなのだが、以下のような感じで分散を進めていこうと考えている。

・国内銀行(SU銀行):円預金  ~20%

・海外銀行(検討中):外貨預金 ~20%

・SA証券:CFD&先物運用    10%~50%

・SB証券:国債&信用取引運用  ~50%

・MO証券:現物&信用取引運用  10%~50%

プライバシーに配慮した安全なメールプロバイダ

 

プライバシーを真剣に考え、利用者を追跡しない安全なメールプロバイダのリストを紹介します。

ProtonMail  – 匿名性とエンドツーエンドの暗号化されたメール

Tutanota – メールボックス全体をエンドツーエンドで暗号化することにより、安全なメールを実現

Hushmail.com - 1999年からメールのプライバシーを尊重している最も歴史のあるカナダのプロバイダー。

RiseUp.net – デジタルフリーダムと闘うNPOが運営するメールプロバイダー。

TorGuard.net

Blur/MaskMe – メールマスキングサービス

ShazzleMail

StartMail.com

CryptoHeaven.com

Autistici/Inventati

NeoMailBox.com

4SecureMail.com

CounterMail.cm

S-Mail.com

Securenym.net

Safe-Mail.net

KeptPrivate.com

Novo-Ordo.com

LockBin.com

SendINC.com

Opolis.eu

OneShar.es

BitMessage.ch

上記のリストは、プライバシーに焦点を当てたプロバイダの包括的なリストです。これらは、検索エンジンや広告のトップページに散見されるような有名プロバイダーやプライバシー侵害業者ではありません。メールプロバイダーを変更したくない場合は、PGPなどの何らかの暗号化機能を導入することをお勧めします。

特におすすめなメールプロバイダー

1. Hushmail : プライバシーに配慮した基本的なセキュアメール

Hushmailは、1999年からセキュアな電子メールを提供しているプロバイダーの一つです。

Hushmailが他のプロバイダーと違うのは、すべてのサーバーを自社で所有し、運用していることです。つまり、あなたのデータは第三者のサーバーに送られたり、保存されたりすることはなく、すべて自社内で管理されています。彼らは独自のサーバーを所有し、電子メールのスキャン、データマイニング、他のメールボックスの詮索等を行いません。

Hushmailは、自動暗号化、一時的な電子メールアドレス、厳格なHTTPSと二段階認証などの機能を満載しています。過去21年間のサービスを通して、プロバイダーはカナダ政府によって、2007年に一度だけ、3人のユーザーのアカウントを引き渡すよう強制されたことがある。しかし、Hushmailは、セキュリティ、プライバシー、シンプルさを念頭に置いて構築されており、しかもすべて無料です。

Hushmailをお勧めする大きな理由は、メールセキュリティの分野で21年のベテランである彼らの実績です。今日、しばしば「安全な電子メールプロバイダー」と称される企業が、たった一度の法的な要求の後に破綻するのを目にすることがあります。彼らはプライバシーを維持するメールボックスを設計しています。

2. Tutanota – 暗号化に関するあらゆるニーズに対応


メールボックス全体が暗号化されており、メールも連絡先も、エンドツーエンドで暗号化されているため、データにアクセスすることだけが可能です。Tutanotaはドイツの裁判所命令によってデータを提出するよう強制されたときでさえ、暗号化されたデータしか渡すことができず、そのような情報を読んだり解読したりする方法は全くなかったのです。

Tutanotaのユニークな点は、共有パスワードによりエンドツーエンドで暗号化されたメールをどのメールプロバイダにも送ることができ、Gmailなどの主流のプロバイダを使って友人、家族、ビジネスパートナーに連絡する場合でも、メールを同様にプライベートなものにすることができる点です。デフォルトでは、Tutanotaは自動的に件名、本文、添付ファイルを暗号化しますが、これはPGPではできないことです。現在、彼らは暗号化されたカレンダーの開発に取り組んでいます。そして何より、彼らはIPアドレスを記録せず、送受信したメールのヘッダからIPアドレスを削除しているのです。

Tutanotaの共同設立者の一人であるMatthias Pfauに彼らのセキュアメールの特徴を聞いたところ、次のように答えました。

  • Tutanotaはユーザーのデバイス上の全てのデータを暗号化します(エンドツーエンドの暗号化)
  • Tutanotaは暗号化されていないデータをサーバーに保存しない、メールから連絡先まで全て常に暗号化されています。
  • Tutanotaは鍵の生成と鍵の交換をバックグラウンドで簡単に行うことができるため、暗号化を簡単に使用することができます。
  • Tutanotaはユーザーの秘密鍵をサーバー側で使用することはありません。

【セキュリティ事件簿#2023-027】株式会社グッドスピード 当社サーバーへの不正アクセス発生のお知らせ 2023年1月6日


当社は、2022年10月24日、当社が管理運用する一部サーバーが第三者による不正アクセスを受けたことを確認しました。

当該の不正アクセスが判明した後、直ちに被害拡大を防ぐために不正アクセスの侵入経路と影響範囲の調査を開始いたしました。その後、不正アクセスを受けた情報の内容、原因や経路の究明、情報漏洩の可能性などを、外部の専門家の協力も得ながら調査を進めると共に、関係機関にも届け出ています。

現時点におきましては、本件被害は当社が管理する一部のサーバーに留まり、他のサーバーやネットワークへ影響を与えた事実は確認されておりません。また、現時点において、企業情報や個人情報が流出したという事実は確認されておりません。

今後、お知らせすべき新たな事実が判明しましたら、改めて当社ホームページにてお知らせします。

お客様ならびにお取引先様、関係者の皆様に多大なご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

【セキュリティ事件簿#2023-026】奈良県総合医療センター 職員個人がインスタグラムに掲載したことにつきまして 2023年01月06日


この度、当センターの一部の職員が、勤務中の同僚職員との写真を個人のインスタグラムに掲載したことにつきましては、患者さんはじめ県民の皆様にご不安やご心配をお掛けしましたこと、お詫び申し上げます。

当該職員は、撮影した写真1枚だけ受信者を特定の者のみだけに限定して発信しておりましたが、何者かによりパスワード及びIDが乗っ取られ、内容も他人の写真を追加するなど加工されており(当該職員は、画像にコメントを記載しておりませんし、一切の加工をおこなっておりませんでした)、事実とは異なった内容となっていました。

当センターは、救急医療をはじめコロナ感染対応も担っており、この年末年始の救急患者さんの受け入れは、12月28日から1月3日の期間、救急車は196件、救急車以外の救急も144件と多く、かつ、コロナに感染された患者の皆様の対応も含めて、職員一同が県民の皆様の医療ニーズに日夜対応しております。

今後は、かかることのないように厳に注意し、皆様からの信頼回復に邁進いたします。