【セキュリティ事件簿#2022】株式会社フルノシステムズ 不正アクセス発生による個人情報流失に関する調査結果 ［対象範囲確定］のお知らせと今後の対応について 2023年1月27日

株式会社フルノシステムズは、2022年12月19日にお知らせした、「不正アクセス発生による個人情報流失の可能性に関するお詫びとお知らせ」に関して、外部専門機関によるフォレンジック調査の最終報告書を受領し、対象範囲が確定しましたので、下記の通り調査結果のご報告及び今後の対応についてお知らせ致します。

お客様をはじめ多くの関係者の皆様にご迷惑と心配をおかけいたしますこと、深くお詫び申し上げます。

１．調査で判明した事実

サポートセンターで運営しているii-desk専用のサーバーにおいて、2022年11月18日から2022年11月20日にかけて、海外の送信元IPアドレスより不正アクセスを受けたことが判明しました。SQLインジェクションによる攻撃であり、個人情報が流出されたことが判明しました。

①流出した個人情報

2012年7月3日から2022年11月20日の間にACERA製品サポートサイトのお問合せ入力フォームより、ご入力いただいた個人情報1068件。（なお、当該1068件には弊社社員のメールアドレスも一部含まれております）

流出した個人情報はメールアドレスのみであり、お問合せいただいたお客様の会社名、部署名、氏名、住所、電話番号、お問合せ内容などは含まれておりません。

なお、有償契約ユーザ様向けサポートセンターは対象ではありません。

②その他

流出した個人情報は①のみであり、当該サーバーに対して、その他攻撃、サーバーの改変等は確認されませんでした。

２．個人情報が流失したお客様への対応

メールアドレスが流出したお客様全員に個別のご連絡を差し上げました。

なお、個人情報保護委員会への報告、及び所轄警察への届け出も完了しております。

3．サポートセンターの復旧状況と今後の対策、再発防止

現在、サポートセンター専用サーバーは停止しておりますが、サポートセンターから利用されていた、マニュアルダウンロード等は他のサーバで利用可能な状態となっております。

外部専門機関の協力を得ながら再開に向けた準備を行っています。本事象の対策および、再発防止に向けてセキュリティー対策の強化を行います。サポートセンター復旧につきましては、改めてお知らせ致します。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-038】LockBit 3.0ランサムウエアギャングは、“Fujikura.co.jp”をハッキングしたと主張

 

株式会社フジクラは、東京都に本社を置く光ファイバーや電線、ワイヤーハーネス等を製造する非鉄金属メーカーである。日経平均株価の構成銘柄の一つ。

電線御三家（住友電工・古河電工・フジクラ）の一角。 光ファイバケーブルの接続で必要な「光ファイバ融着接続機」で世界首位。携帯電話・デジタルカメラ等に使われる「フレキシブルプリント基板」で世界3位。光ファイバーでは世界10位（国内首位）。

オフィスビルを中心とした複合施設である深川ギャザリアも運営している。

三井グループの月曜会に属しており、三井業際研究所及び綱町三井倶楽部の会員企業である。

【セキュリティ事件簿#2023-037】嘉手納町 個人情報漏えいについてお詫びとご報告 2023年1月26日

この度、町民保険課住基年金係におきまして、住民の氏名及び住所等の個人情報を含むデータを誤送信する事案が発生いたしました。

このような事態を発生させ、皆さまには多大なるご不安とご迷惑をおかけすることとなり、心からお詫び申し上げますとともに、町民の皆さまの信頼を損なうこととなりましたことを深く反省し、全庁体制にて再発防止に取り組んでまいります。

　

1　概要

令和４年１１月２９日に住民A氏から住民登録についての問い合わせがあり、同日、問い合わせについての回答を電子メールで行い、参考資料を添付して送付した。その際、参考資料として添付すべき届様式ではなく、住民異動関係の見出しとして管理している個人情報を含むファイルを誤って添付し送付した。

令和５年１月３日に住民A氏が返信メールを開封し確認した際、送付された内容の誤りに気づき、当町にメールにて連絡。

令和５年１月４日に職員が、住民A氏からのメールを確認し誤送付が発覚、同日、直ちに住民A氏にお詫びのうえ削除依頼し、削除した旨の確認をおこなった。

2　漏えいした個人情報

住民異動届の令和４年４月１日から令和４年７月１３日受付分　６７５名の氏名、住所、世帯主名、異動事由、世帯員の一部の名

3　漏えいの原因

送付すべきであった「住民異動届様式」と今回誤送付した「住民異動届見出し」のファイルは本来、違うフォルダに保管、管理されている。しかしながら、職員が報告物作成のため「住民異動届見出し」のコピーをデスクトップに保存しており、それを誤って送付した。

メールに添付したファイルの確認が不十分であったことが原因である。

4　今後の対応

今回の事態を重く受け止め、今後このような事態が発生しないよう電子メールの送信にあたっての確認事項を含め、改めてセキュリティーポリシーの遵守徹底を図るとともに、個人情報を含む電子ファイルの適正な保管、管理等、今一度、個人情報の取扱いについて見直し、再発防止に取り組んでまいります。

また、該当する方々へは、文書にて説明のうえ、謝罪することとしております。

リリース文（アーカイブ）

バグバウンティ系のイけてるYouTubeチャンネル

1. Bug Bounty Reports Explained

Grzegorz Niedzielaは、公開された脆弱性の旅にあなたを誘います。彼は、超技術的な発見の詳細に焦点を当て、何が起こったのか、研究者がどのように脆弱性を見つけたのか、視聴者に理解を深めてもらいます。高度な脆弱性やバグの連鎖について学ぶには、特に視覚的に学ぶことができる優れた方法です。

2. InsiderPhd

InsiderPhdはイギリス在住の大学教授で、パートタイムのバグバウンティハンターです。彼女は、バグバウンティの様々な側面に関する教育ビデオを定期的に公開しています。デモを交えた脆弱性チュートリアルもあれば、バグバウンティの計画面（効果的なメモの取り方、プログラムの選び方、目標設定、モチベーションなど）に取り組んだものもあります。このユニークなアプローチは、気負わずにバグ探しの技術面を学びたい、初めてバグを見つける方法を知りたいという初心者に特に興味深いものです。

3. LiveOverflow

LiveOverflowは自らをハッカー志望と称していますが、彼の動画はそうではないことを証明しています。ドイツを拠点とするこのCTFプレイヤーは、様々なニッチなトピックについて、10分間の深堀りされた説明ビデオをアップロードすることで知られており、理解しやすいスケッチブックのアニメーションで心地よく視覚化されています。LiveOverflowは、教育的なチュートリアルから、ハッキングに関連する実際の話、質問、考えをカバーすることまで、様々なトピックをカバーしています。最近のMinecraftハッキングシリーズは話題になること間違いなしです

4. NahamSec

NahamSecは最も影響力のあるバグハンターの一人で、バグバウンティコミュニティに信じられないほどポジティブな影響を与えている。彼は、最高のバグバウンティハンターへのインタビュー、ライブハッキングストリーム、チュートリアル、Vlogで知られています。また、彼のチャンネルでは、彼が共同主催したカンファレンスのトークも見ることができます。ハッカーたちが最先端の技術（特にウェブハッキング）を紹介するだけでなく、チャリティーのために何千ドルもの資金を集めることにも貢献しています。

5. PwnFunction

pwnFunctionのYoutubeチャンネルに適切な言葉を見つけるのは難しいです。まず、質問から始めましょう。あなたはペンギンが好きですか？もし答えがイエスなら、今すぐハマるはずです! さて、もう一つ。ステラアニメーションは好きですか？pwnFunctionは、様々な脆弱性の概念やウェブに関する秘密について説明する、最も美しいビデオを制作しています。彼は年に2、3本しかビデオを作らないが、彼がアップロードするときは、それが良いものであることがわかるだろう

6. John Hammond

ジョン・ハモンドは、CTFコンテストにおいては真の伝説的存在です。ジュラシック・パークに登場する彼の双子のように、Johnは情熱的なクリエイターであり、謙虚なコミュニティメンバーでもあります。NahamConやHacktivityConで彼が作った人気のCTFチャレンジで彼を知っている人もいるかもしれません。Johnの特徴は、課題を作るだけでなく、その仕組みや解決方法を説明し、他の人を教育し、次のレベルに到達する手助けをすることに長けている点です。

7. Ippsec

Ippsecが最もよく知られているのは？Hack The Boxのチュートリアルビデオです。彼はそれをロックしていますか？もちろんです。もしあなたが侵入テストに入りたいなら、これらのビデオはベスト中のベストです

8. PhD Security

博士号を持ち、サイバーセキュリティに情熱を持つ別の人物が、あなたにすべての小技を教えるビデオを作っています。このビデオ、すごいですよ

9. Farah Hawa

Farah Hawaは、複雑なウェブ脆弱性をわかりやすく説明する才能を持つバグハンターです。彼女独自のスタイルで、要点を率直に述べ、脆弱性を迅速に把握するために必要なことだけを教えてくれる。

10. STÖK

独特のルックスとヴェイパーウェアのような美的感覚で、バグバウンティ界に旋風を巻き起こしているSTÖK。彼は、菜食主義のシェフであり、ITコンサルタントからサステナブルファッションストアのオーナーに転身し、バグバウンティハンターであり、キーノートスピーカーでもあるのです。彼のビデオには、「Bounty Thursdays」という週刊教育番組、バグハンターのアプローチ方法に関するトーク、モチベーションを高めるスピーチ、バグバウンティライフの楽しいカバー、チュートリアルなどがあります。彼のビデオを見た後は、ポジティブになれること請け合いです

2022年、彼はあまり積極的に活動しておらず、今後投稿するビデオも少なくなると思われますが、彼がコミュニティのためにしてくれた素晴らしい仕事を称え、今年もこの場所を提供したいと思います。Stokはバグバウンティに良い雰囲気をもたらし、彼がいなかったら、どれだけ多くの素晴らしいハンターがバグバウンティハンターになることはなかったでしょう

11. 0xdf

0xdfは、Hack The Boxマシンやその他多くの素晴らしいビデオを制作しています。彼の素晴らしいところは、単に解決策を示すだけでなく、ルートシェルを取得するだけでなく、脆弱性の原因を正確に示していることです。

12. Cristi Vlad

Cristi Vlad は何年も前から侵入テストを行っており、彼がそのマジックの一部を YouTube で共有してくれたのは幸運でした。彼は非常に多くのビデオを持っており、どこから始めればいいのか分かりませんが、そのほとんどすべてが金字塔であることをお約束します。

13. CryptoCat

CryptoCat は、CTF ウォークスルー、バイナリ搾取、ペンテスト、マルウェア解析、プログラミング/スクリプトなどに焦点を当てた情報セキュリティ教育チャンネルです。彼は通常、カバーするトピックを深く理解できるように、かなり詳細に説明します。

さらに素晴らしいことがあります。彼はもうすぐインティグリティのコミュニティチームに参加する予定です。インティグリティのYouTubeチャンネルで、彼のコンテンツにご期待ください。

14. Rana Khalil

Rana Khalilは、セキュリティ評価の専門家であり、パートタイムのバグバウンティハンターです。彼女のチャンネルでは、Portswigger's Web Security Academyのすべてのラボを解決することに焦点をあてています。Ranaはいつも、特定の脆弱性に関する一般的なガイドビデオで始まり、その後、いくつかのラボで解決策を実演しています。

15. HackerSploit

HackerSploitには、ハッキングに関するビデオが400本以上あります。その中には、倫理的なハッキングや侵入テスト、Linuxのエッセンス、チャレンジのウォークスルーなど、多くのシリーズが含まれています。彼は様々なトピックに触れますが、彼の専門はLinuxです。彼のビデオは、ペンテスターのためのDocker、zsh、Nmapなどのトピックの優れた紹介を提供しています。

16. Seytonic

Seytonicは、YouTubeで最高のセキュリティニュースコンテンツを作っています。それは間違いないでしょう。バグバウンティハンターとして、私たちは時々、他のバグバウンティハンターからだけ多くのサイバーセキュリティニュースを得るという、小さなバブルに入ることがあります。ハッキングには他の側面もあり、Seytonicのビデオを使って、それを本当に簡単に消化するのが好きなのです。

17. Dr Josh Stroschein

ジョシュは、100％講義と言えるようなビデオを作ります。私たちは、リラックスしたスタイルと落ち着いた声が大好きです。このすべてが、学習をより良いものにしてくれます

18. theXSSrat

"What’s up you amazing hackers?"

この文章を聞いたことがない人は、XSSラットのコンテンツをチェックする必要がありますよ。彼は定期的にバグハンターに関連する様々なトピックについて短いビデオを公開しています。これには、インタビュー、チュートリアル、Q&A、Tips、そしてバグハンターが始めるときに誰もが抱く疑問への答えが含まれています。

19. Conda

Condaは素晴らしいクリエイターであるだけでなく、最近Intigritiのリーダーボードでトップになり、素晴らしい肖像画を付与されたのです。この素晴らしいバグバウンティハンターがどのようにスタートしたかを知りたい方は、ぜひ彼のチャンネルをチェックしてみてください。

20. HackingSlimplified

Hacking Simplifiedは、チャンネル名が宣伝しているとおりのことをやっています。彼は、ハッキングをよりシンプルにするためのビデオを制作しています。彼のチャンネルでは、コミュニティの注目すべき人々へのインタビューや、AndroidのペンテストからGraphQLの脆弱性の発見まで、あらゆることについてのチュートリアルを見ることができます。

出典：Top 20 bug bounty YouTube channels in 2023

2023年の危険な航空会社8選

 

航空格付け会社のエアラインレイティングス（AirlineRatings）は、2023年の安全な航空会社トップ20と安全な格安航空会社（LCC）トップ10を発表した。

裏ネタとして逆に評価が低い、シングルスターな航空会社を8社取り上げてみたい。

• Pakistan International Airlines / パキスタン国際航空

• Air Algérie / アルジェリア航空

• SCAT Airlines / SCAT航空
  ※カザフスタンのシムケントを本拠地とする航空会社。

• Sriwijaya Air / スリウィジャヤ航空
  ※スマトラ島をベースにインドネシア国内の都市を結ぶインドネシアの航空会社

• Airblue / エアブルー
  ※カラチを本拠地とするパキスタンの格安航空会社

• Blue Wing Airlines
  ※スリナムの航空会社

• Iran Aseman Airlines / イラン・アーセマーン航空

• Nepal Airlines / ネパール航空

出典：COMPARE AIRLINE SAFETY RATINGS

【セキュリティ事件簿#2023-036】株式会社ジェイ・エス・ビー 当社従業員によるご契約者様等の個人情報の漏洩について 2023 年１月 25 日

このたび、当社の従業員による当社の管理物件等に係るご契約者様等の個人情報の一部漏洩の可能性があることが判明いたしましたので、お知らせ申し上げます。

2023年1月10日頃より、当社と全く関係のない第三者により、ご契約者様等に対して、当社のコーポレートブランドである「ユニライフ」の名を騙ったウォーターサーバーに関する勧誘や、身に覚えのない契約の締結を理由としたキャンペーンの案内がされている等の苦情が当社に寄せられました。当社のご契約者様等のリストに基づいて勧誘等がなされている懸念があったため、当社は調査を開始し、当社の従業員が当社の顧客管理システムからご契約者様等の個人情報（氏名、生年月日、性別、住所、電話番号、ご入居様の在籍校名、年収、世帯年収等）を漏洩した可能性があることが、2023年1月20日に判明いたしました。 

これを受け、当社は2023年1月23日に対策本部を設置し、当該従業員による第三者に対するご契約者様等の個人情報の提供行為の有無や上記の勧誘等との関係を含めた、本件の事実関係及び原因の全容解明並びに被害の拡大防止に取り組むことといたしました。

当社から、ご契約者様等に対して、事前の同意を得ることなくウォーターサーバーの勧誘やキャンペーンの案内をすることはございませんので、当社の名を騙った勧誘にはくれぐれもご注意いただきますようお願い申し上げます。ご契約者様等や株主の皆様をはじめとする関係者の皆様には多大なご迷惑及びご心配をお掛けすることとなり、深くお詫び申し上げます。

本件による当社業績への影響については、現在精査中であります。今後、業績に重要な影響を及ぼすことが明らかになった場合には、速やかに開示いたします。

なお、本件については既に警察に相談をするとともに、国土交通省その他関係機関に対しても報告をしております。 

リリース文（アーカイブ）

【セキュリティ事件簿#2023-006】株式会社SEプラス 弊社教育サービスをご利用頂いているお客様への重要なお知らせとお詫びについて(2023/01/25 追加報告) 2023年1月25日

2023 年 1 月 6 日にご報告 (以下「前回ご報告]」 といいます) しました通り、弊社の教育事業サービスにおきまして、弊社のお客様 (法人・個人含む) の一部情報が限定された条件下において閲覧可能な状態にあり、漏えいのおそれがあったごことが判明致しました (以下、「本件」 といいます)。

弊社は、漏えいのおそれがある状態を直ちに是正するとともに、本件につき原因・影響範囲その他の事実を把握するべく、社内調査に加え、第三者機関によるフォレンジック調査を進めてまいりましたが、調査が終了しましたので、調査結果および再発防止に向けた取り組みにつきご報告申し上げます。

なお、本件については既に是正済であり、第三者機関の調査におきましても、悪意のあるユーザーからの不正アクセスその他漏えいの事実は確認されておりません。また、本日、個人情報保護委員会等への報告を済ませております。

改めまして、お客様には大変ご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

1. 漏えいするおそれのあつた個人情報と件数 (※下線は前回ご報告から追加・変更された事項を指します)

件数 : 49,982 件

個人情報

・会員 ID(一部サービス)

・氏名

・メールアドレス

・バスワード(一部サービスにおける初期バスワード以外は暗号化を確認)

・所属会社名

・役職(一部サービスにおいて任意に入力されたもの)

・学習履歴(一部サービス)

※学習履歴は記号化されておりますが、データベースを操作して紐づけを行うことで認識可能な状態

2. 閲覧可能であった期間

2022 年 12 月 16 日2022 年 12 月 29 日迄の間、断続的に閲覧が可能な状態(特定の条件下において)

3. 経緯

2022 年 12 月 29 日、お客様より「外部セキュリティ企業の情報漏えいデータ検出ソリューションを利用した調査の結果、当該データを検出した」 旨のご連絡を受け、直ちに社内調査を行った結果、同月 30 日に原因の特定に至りました。その後、2023 年 1 月9 日より第三者機関によるフォレンジック調査を行いました。

4. 原因

第三者機関によるフォレンジックを含む調査の結果、整社従業員の開発用 PC1 台について、複数の条件を全て満たすごとで当該PC 内に設定されているデータベースへの侵入を許すおそれがある状態であったことが確認されております。

5. 現在の状況

データの閲覧が可能な状態はすでに是正済みであり、第三者機関によるフォレンジック調査の結果、悪意のあるユーザーからの不正アクセスその他漏えいの事実は確認されませんでした。また、本件につき必要な関係各所への報告は完了しております。

6. 再発防止策

現在再発防止策として下記の対策を進めておりますが、新たに外部セキュリティ会社等の専門機関に相談しつつ、追加の対策も速やかに検討、実施してまいります。

(1)情報セキュリティ教育の強化

(2)確認・チェック機能の強化、各種権限の見直し

(3)現状の開発運用方針を見直し、代替手段へ移行

改めまして、お客様にはご心配をおかけする事態となかりましたことを深くお詫び申し上げます。ごの度の事態を真統に受け止め、再発防止策を講じるとともに個人情報の取り扱いに対して厳重な管理を徹底し、更なる情報セキュリティ強化に取り組み、再発防止に努めてまいります。

併せて、弊社サービスをご利用のお客様におきましても、報告書を提出済です。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

関連：【セキュリティ事件簿#2023-006】株式会社SEプラス　弊社教育サービスをご利用頂いているお客様への量要なお知らせとお詫びについて 2023年1月6日

【セキュリティ事件簿#2023-022】株式会社アダストリア 当社サーバーへの不正アクセス発生について（第二報） お客さまの個人情報流出の可能性に関するお知らせとお詫び 2023年1月24日

当社コーポレートサイトの2023年1月19日付け「当社サーバーに対する不正アクセス発生について」※にてリリースいたしました通り、当社のサーバー等に対する不正アクセスに関連して、一部のお客さまの個人情報が流出した可能性を否定できないことが判明いたしました。なお、現時点で、本件に関わる情報流出は確認されておりません。お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしておりますことを、深くお詫び申し上げます。

現在判明している事実等につきまして、以下のとおりご報告いたします。

１．経緯

2023年1月18日早朝、当社が管理運用する一部の社内業務システムのサーバー等（以下、本件サーバー等）に対し、外部の第三者からの不正アクセスを受けたことを確認いたしました。当該事象の確認後、直ちに、被害拡大を防ぐためにネットワークの遮断、社内業務システムの停止などの対応を実施いたしました。なお、WEBストア「ドットエスティ」のECサーバーについては、今回の不正アクセスの影響を受けていないことを確認しておりますが、物流システムを停止したことに伴い、ドットエスティを休止いたしました。

同日午前に、対策本部を立ち上げ、外部専門機関の協力のもと、影響範囲の特定、原因や侵入経路の調査、復旧作業等の対応を開始し、同日午後には、警察へ相談しております。

現在も調査を継続しており、現時点で本件に関わる情報流出は確認されておりませんが、本件サーバー等に保存されている、お客さまの個人情報流出の可能性を完全に否定できないことが判明しました。なお、個人情報保護委員会への報告は既に実施いたしました。

２．1月24日時点で流出の可能性が判明した個人情報の内容

以下の対象となるお客さまの個人情報 1,044,175件（氏名・住所・電話番号・メールアドレス・会員識別番号）

①    2022年7月～2023年1月に、ドットエスティからの商品を受取り済み・受取り予定の一部のお客さま

②    2021年4月～2023年1月に、店舗受け取り・自宅配送サービスをお申込みの一部のお客さま

③    2019年8月～2019年9月に、ドットエスティで購入された一部のお客さま

（①・②については、2023年1月18日以前のご注文・お申込みの方が対象です。）

※　クレジットカード情報などの決済情報は含まれておりません。

※　会員識別番号は、社内で使用する管理番号です。ドットエスティへのログイン情報（お客さまご自身で設定された会員ID・パスワード）は、本件サーバー等に保有しておらず、流出可能性の対象となる情報に含まれておりません。

３．対象となる方への対応

当社では、順次、対象となる方への連絡を進めており、メールまたは郵送にてご案内を差し上げる予定です。

４．現在の状況とWEBストア「ドットエスティ」について

現在、安全な環境の構築が完了し、停止していた社内業務システムの稼働を順次再開しております。休止しているWEBストア「ドットエスティ」につきまして、物流システムを再稼働し、安全性が確認できたことから、近日中に再開を予定しております。

５．今後の対応と再発防止策

引き続き、外部の専門機関と連携し、原因や経路の究明を行うとともに、流出の可能性がある情報について調査を進め、対象となる方へのご連絡を差し上げてまいります。ドットエスティ再開にあたっての必要な対策は講じておりますが、さらに安心してご利用いただくためのセキュリティと監視体制の強化を実施し、再発防止に努めてまいります。

６．業績への影響

現時点で、本件にかかる業績予想等の変更はございません。今後開示すべき事項が発生した場合には速やかにお知らせいたします。

本件に関して、さらなる詳細な調査の結果、新たに報告すべき事項が判明した場合には、速やかにお知らせいたします。お客さまをはじめ関係各位に多大なるご迷惑、ご心配をおかけしておりますことを、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

関連：【セキュリティ事件簿#2023-022】株式会社アダストリア　当社サーバーへの不正アクセス発生について 2023年1月19日