【セキュリティ事件簿#2023-039】株式会社東京機械製作所　当社連結子会社における不正アクセス発生による個人情報流出の可能性に関するお詫びとお知らせ 2023年1月30日

この度、当社連結子会社である株式会社ＫＫＳが所有するサーバに対する不正アクセスにより、一部のお客様の個人情報が外部に流出する等した可能性が否定できないことがわかりました。お客さまをはじめ多くの関係先の皆さまには多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。

現時点で判明しております内容につきまして、株式会社ＫＫＳが公表いたしました別紙のとおりお知らせいたします。

なお、今後開示すべき事項が発生した場合には、速やかにお知らせいたします。

----

株式会社ＫＫＳは、当社が所有するサーバに対する不正アクセスにより、一部のお客様の個人情報（会社名、電話番号、メールアドレス、住所）が外部に流出する等した可能性が否定できないことがわかりましたのでお知らせいたします。また現在までのところ、本件に関わる個人情報の不正利用等は確認されておりません。お客様をはじめ多くの関係先の皆様にご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。

１．概要

①発生

2022 年 11 月 5 日（土）当社総務部の従業員が作業を行っていた際に、サーバ内のファイルにアクセスできないため異常に気付きました。その後複数のサーバを調べたところ、各モニターに「LOCKBIT2.0」の表示があり、第三者による不正アクセスを受けたことを確認いたしました。

当社ではさらなる拡大を防ぐため直ちに外部ネットワークとの遮断を行ない、同日に対策本部を立ち上げ、外部専門機関の協力のもとで不正アクセスを受けたサーバの範囲と状況、感染経路等の調査およびデータ復旧の検討を開始いたしました。

②調査の経緯・現在までに判明した原因等

初期調査において、当社の複数のサーバへの不正な侵入と内部のデータが暗号化されていることを確認いたしました。侵入されたサーバには、お客様から頂いたメールの情報、部品発送に関する情報などを保管するサーバが含まれており、お客様の個人情報が含まれていることがわかりました。

お客様の個人情報が外部に持ち出された可能性について外部専門機関による確認を行いましたが、その痕跡は現在まで確認されておりません。また、現在までのところ、本件に関わる個人情報の不正利用等は確認されておりません。しかしながら現在までの調査において流出の可能性を完全に否定することは難しく、今回お知らせすることといたしました。なお侵入経路は、インターネット回線を介して外部からの侵入を防止するために導入しておりましたセキュリティの脆弱性を悪用され、侵入された可能性が高いとの意見を得ております。

③現在の対応

今回の侵入に悪用されたセキュリティの脆弱性を修正する措置を実施するとともに、現在は全てのサーバに新たなウイルス感染対策ソフト、不正アクセスを監視するソフト、電子証明を必要とする外部アクセスシステムの構築により、今まで以上に厳重な情報セキュリティ体制強化を行い、さらなる不正アクセスが起きないよう対策をとっております。

なお、個人情報保護委員会への報告と所轄警察署への届け出は完了しております。

２．流出等の可能性のある個人情報とお客様への対応

①対象

2018 年 4 月 1 日以降から 2022 年 11 月 4 日までの間に弊社が直接お名刺を頂いたお客様、並びに製品及び部品のご注文を頂いたお客様。

②情報

氏名、ご所属の会社情報（会社名、住所、電話番号、メールアドレス）、ご注文履歴及びその発送に関する情報、一部のお客様の個人住所と電話番号。

③対象のお客様への対応

2023 年 1 月 30 日より順次お客様への対応を進めてまいります

3．復旧状況

上記の情報が保管されていたサーバは、バックアップデータによって現在復旧しております。

4．今後の対策と再発防止

当社では今回の事態を重く受け止め、外部専門機関の協力も得て原因究明を行い、今まで以

上に厳重な情報セキュリティ体制の構築を行いました。さらに、従業員に対して情報セキュリティに関する情報共有と指導を徹底し、再発防止に取り組んでまいります。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、

重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2022】株式会社フルノシステムズ　不正アクセス発生による個人情報流失に関する調査結果［対象範囲確定］のお知らせと今後の対応について 2023年1月27日

株式会社フルノシステムズは、2022年12月19日にお知らせした、「不正アクセス発生による個人情報流失の可能性に関するお詫びとお知らせ」に関して、外部専門機関によるフォレンジック調査の最終報告書を受領し、対象範囲が確定しましたので、下記の通り調査結果のご報告及び今後の対応についてお知らせ致します。

お客様をはじめ多くの関係者の皆様にご迷惑と心配をおかけいたしますこと、深くお詫び申し上げます。

１．調査で判明した事実

サポートセンターで運営しているii-desk専用のサーバーにおいて、2022年11月18日から2022年11月20日にかけて、海外の送信元IPアドレスより不正アクセスを受けたことが判明しました。SQLインジェクションによる攻撃であり、個人情報が流出されたことが判明しました。

①流出した個人情報

2012年7月3日から2022年11月20日の間にACERA製品サポートサイトのお問合せ入力フォームより、ご入力いただいた個人情報1068件。（なお、当該1068件には弊社社員のメールアドレスも一部含まれております）

流出した個人情報はメールアドレスのみであり、お問合せいただいたお客様の会社名、部署名、氏名、住所、電話番号、お問合せ内容などは含まれておりません。

なお、有償契約ユーザ様向けサポートセンターは対象ではありません。

②その他

流出した個人情報は①のみであり、当該サーバーに対して、その他攻撃、サーバーの改変等は確認されませんでした。

２．個人情報が流失したお客様への対応

メールアドレスが流出したお客様全員に個別のご連絡を差し上げました。

なお、個人情報保護委員会への報告、及び所轄警察への届け出も完了しております。

3．サポートセンターの復旧状況と今後の対策、再発防止

現在、サポートセンター専用サーバーは停止しておりますが、サポートセンターから利用されていた、マニュアルダウンロード等は他のサーバで利用可能な状態となっております。

外部専門機関の協力を得ながら再開に向けた準備を行っています。本事象の対策および、再発防止に向けてセキュリティー対策の強化を行います。サポートセンター復旧につきましては、改めてお知らせ致します。

リリース文（アーカイブ）

全文表示 / Read more »

【セキュリティ事件簿#2023-038】LockBit 3.0ランサムウエアギャングは、“Fujikura.co.jp”をハッキングしたと主張

株式会社フジクラは、東京都に本社を置く光ファイバーや電線、ワイヤーハーネス等を製造する非鉄金属メーカーである。日経平均株価の構成銘柄の一つ。

電線御三家（住友電工・古河電工・フジクラ）の一角。光ファイバケーブルの接続で必要な「光ファイバ融着接続機」で世界首位。携帯電話・デジタルカメラ等に使われる「フレキシブルプリント基板」で世界3位。光ファイバーでは世界10位（国内首位）。

オフィスビルを中心とした複合施設である深川ギャザリアも運営している。

三井グループの月曜会に属しており、三井業際研究所及び綱町三井倶楽部の会員企業である。

【セキュリティ事件簿#2023-037】嘉手納町　個人情報漏えいについてお詫びとご報告　2023年1月26日

この度、町民保険課住基年金係におきまして、住民の氏名及び住所等の個人情報を含むデータを誤送信する事案が発生いたしました。

このような事態を発生させ、皆さまには多大なるご不安とご迷惑をおかけすることとなり、心からお詫び申し上げますとともに、町民の皆さまの信頼を損なうこととなりましたことを深く反省し、全庁体制にて再発防止に取り組んでまいります。

1　概要

令和４年１１月２９日に住民A氏から住民登録についての問い合わせがあり、同日、問い合わせについての回答を電子メールで行い、参考資料を添付して送付した。その際、参考資料として添付すべき届様式ではなく、住民異動関係の見出しとして管理している個人情報を含むファイルを誤って添付し送付した。

令和５年１月３日に住民A氏が返信メールを開封し確認した際、送付された内容の誤りに気づき、当町にメールにて連絡。

令和５年１月４日に職員が、住民A氏からのメールを確認し誤送付が発覚、同日、直ちに住民A氏にお詫びのうえ削除依頼し、削除した旨の確認をおこなった。

2　漏えいした個人情報

住民異動届の令和４年４月１日から令和４年７月１３日受付分　６７５名の氏名、住所、世帯主名、異動事由、世帯員の一部の名

3　漏えいの原因

送付すべきであった「住民異動届様式」と今回誤送付した「住民異動届見出し」のファイルは本来、違うフォルダに保管、管理されている。しかしながら、職員が報告物作成のため「住民異動届見出し」のコピーをデスクトップに保存しており、それを誤って送付した。

メールに添付したファイルの確認が不十分であったことが原因である。

4　今後の対応

今回の事態を重く受け止め、今後このような事態が発生しないよう電子メールの送信にあたっての確認事項を含め、改めてセキュリティーポリシーの遵守徹底を図るとともに、個人情報を含む電子ファイルの適正な保管、管理等、今一度、個人情報の取扱いについて見直し、再発防止に取り組んでまいります。

また、該当する方々へは、文書にて説明のうえ、謝罪することとしております。

リリース文（アーカイブ）

バグバウンティ系のイけてるYouTubeチャンネル

1. Bug Bounty Reports Explained

Grzegorz Niedzielaは、公開された脆弱性の旅にあなたを誘います。彼は、超技術的な発見の詳細に焦点を当て、何が起こったのか、研究者がどのように脆弱性を見つけたのか、視聴者に理解を深めてもらいます。高度な脆弱性やバグの連鎖について学ぶには、特に視覚的に学ぶことができる優れた方法です。

2. InsiderPhd

InsiderPhdはイギリス在住の大学教授で、パートタイムのバグバウンティハンターです。彼女は、バグバウンティの様々な側面に関する教育ビデオを定期的に公開しています。デモを交えた脆弱性チュートリアルもあれば、バグバウンティの計画面（効果的なメモの取り方、プログラムの選び方、目標設定、モチベーションなど）に取り組んだものもあります。このユニークなアプローチは、気負わずにバグ探しの技術面を学びたい、初めてバグを見つける方法を知りたいという初心者に特に興味深いものです。

3. LiveOverflow

LiveOverflowは自らをハッカー志望と称していますが、彼の動画はそうではないことを証明しています。ドイツを拠点とするこのCTFプレイヤーは、様々なニッチなトピックについて、10分間の深堀りされた説明ビデオをアップロードすることで知られており、理解しやすいスケッチブックのアニメーションで心地よく視覚化されています。LiveOverflowは、教育的なチュートリアルから、ハッキングに関連する実際の話、質問、考えをカバーすることまで、様々なトピックをカバーしています。最近のMinecraftハッキングシリーズは話題になること間違いなしです

4. NahamSec

NahamSecは最も影響力のあるバグハンターの一人で、バグバウンティコミュニティに信じられないほどポジティブな影響を与えている。彼は、最高のバグバウンティハンターへのインタビュー、ライブハッキングストリーム、チュートリアル、Vlogで知られています。また、彼のチャンネルでは、彼が共同主催したカンファレンスのトークも見ることができます。ハッカーたちが最先端の技術（特にウェブハッキング）を紹介するだけでなく、チャリティーのために何千ドルもの資金を集めることにも貢献しています。

5. PwnFunction

pwnFunctionのYoutubeチャンネルに適切な言葉を見つけるのは難しいです。まず、質問から始めましょう。あなたはペンギンが好きですか？もし答えがイエスなら、今すぐハマるはずです! さて、もう一つ。ステラアニメーションは好きですか？pwnFunctionは、様々な脆弱性の概念やウェブに関する秘密について説明する、最も美しいビデオを制作しています。彼は年に2、3本しかビデオを作らないが、彼がアップロードするときは、それが良いものであることがわかるだろう

6. John Hammond

ジョン・ハモンドは、CTFコンテストにおいては真の伝説的存在です。ジュラシック・パークに登場する彼の双子のように、Johnは情熱的なクリエイターであり、謙虚なコミュニティメンバーでもあります。NahamConやHacktivityConで彼が作った人気のCTFチャレンジで彼を知っている人もいるかもしれません。Johnの特徴は、課題を作るだけでなく、その仕組みや解決方法を説明し、他の人を教育し、次のレベルに到達する手助けをすることに長けている点です。

7. Ippsec

Ippsecが最もよく知られているのは？Hack The Boxのチュートリアルビデオです。彼はそれをロックしていますか？もちろんです。もしあなたが侵入テストに入りたいなら、これらのビデオはベスト中のベストです

8. PhD Security

博士号を持ち、サイバーセキュリティに情熱を持つ別の人物が、あなたにすべての小技を教えるビデオを作っています。このビデオ、すごいですよ

9. Farah Hawa

Farah Hawaは、複雑なウェブ脆弱性をわかりやすく説明する才能を持つバグハンターです。彼女独自のスタイルで、要点を率直に述べ、脆弱性を迅速に把握するために必要なことだけを教えてくれる。

10. STÖK

独特のルックスとヴェイパーウェアのような美的感覚で、バグバウンティ界に旋風を巻き起こしているSTÖK。彼は、菜食主義のシェフであり、ITコンサルタントからサステナブルファッションストアのオーナーに転身し、バグバウンティハンターであり、キーノートスピーカーでもあるのです。彼のビデオには、「Bounty Thursdays」という週刊教育番組、バグハンターのアプローチ方法に関するトーク、モチベーションを高めるスピーチ、バグバウンティライフの楽しいカバー、チュートリアルなどがあります。彼のビデオを見た後は、ポジティブになれること請け合いです

2022年、彼はあまり積極的に活動しておらず、今後投稿するビデオも少なくなると思われますが、彼がコミュニティのためにしてくれた素晴らしい仕事を称え、今年もこの場所を提供したいと思います。Stokはバグバウンティに良い雰囲気をもたらし、彼がいなかったら、どれだけ多くの素晴らしいハンターがバグバウンティハンターになることはなかったでしょう

11. 0xdf

0xdfは、Hack The Boxマシンやその他多くの素晴らしいビデオを制作しています。彼の素晴らしいところは、単に解決策を示すだけでなく、ルートシェルを取得するだけでなく、脆弱性の原因を正確に示していることです。

12. Cristi Vlad

Cristi Vlad は何年も前から侵入テストを行っており、彼がそのマジックの一部を YouTube で共有してくれたのは幸運でした。彼は非常に多くのビデオを持っており、どこから始めればいいのか分かりませんが、そのほとんどすべてが金字塔であることをお約束します。

13. CryptoCat

CryptoCat は、CTF ウォークスルー、バイナリ搾取、ペンテスト、マルウェア解析、プログラミング/スクリプトなどに焦点を当てた情報セキュリティ教育チャンネルです。彼は通常、カバーするトピックを深く理解できるように、かなり詳細に説明します。

さらに素晴らしいことがあります。彼はもうすぐインティグリティのコミュニティチームに参加する予定です。インティグリティのYouTubeチャンネルで、彼のコンテンツにご期待ください。

14. Rana Khalil

Rana Khalilは、セキュリティ評価の専門家であり、パートタイムのバグバウンティハンターです。彼女のチャンネルでは、Portswigger's Web Security Academyのすべてのラボを解決することに焦点をあてています。Ranaはいつも、特定の脆弱性に関する一般的なガイドビデオで始まり、その後、いくつかのラボで解決策を実演しています。

15. HackerSploit

HackerSploitには、ハッキングに関するビデオが400本以上あります。その中には、倫理的なハッキングや侵入テスト、Linuxのエッセンス、チャレンジのウォークスルーなど、多くのシリーズが含まれています。彼は様々なトピックに触れますが、彼の専門はLinuxです。彼のビデオは、ペンテスターのためのDocker、zsh、Nmapなどのトピックの優れた紹介を提供しています。

16. Seytonic

Seytonicは、YouTubeで最高のセキュリティニュースコンテンツを作っています。それは間違いないでしょう。バグバウンティハンターとして、私たちは時々、他のバグバウンティハンターからだけ多くのサイバーセキュリティニュースを得るという、小さなバブルに入ることがあります。ハッキングには他の側面もあり、Seytonicのビデオを使って、それを本当に簡単に消化するのが好きなのです。

17. Dr Josh Stroschein

ジョシュは、100％講義と言えるようなビデオを作ります。私たちは、リラックスしたスタイルと落ち着いた声が大好きです。このすべてが、学習をより良いものにしてくれます

18. theXSSrat

"What’s up you amazing hackers?"

この文章を聞いたことがない人は、XSSラットのコンテンツをチェックする必要がありますよ。彼は定期的にバグハンターに関連する様々なトピックについて短いビデオを公開しています。これには、インタビュー、チュートリアル、Q&A、Tips、そしてバグハンターが始めるときに誰もが抱く疑問への答えが含まれています。

19. Conda

Condaは素晴らしいクリエイターであるだけでなく、最近Intigritiのリーダーボードでトップになり、素晴らしい肖像画を付与されたのです。この素晴らしいバグバウンティハンターがどのようにスタートしたかを知りたい方は、ぜひ彼のチャンネルをチェックしてみてください。

20. HackingSlimplified

Hacking Simplifiedは、チャンネル名が宣伝しているとおりのことをやっています。彼は、ハッキングをよりシンプルにするためのビデオを制作しています。彼のチャンネルでは、コミュニティの注目すべき人々へのインタビューや、AndroidのペンテストからGraphQLの脆弱性の発見まで、あらゆることについてのチュートリアルを見ることができます。

出典：Top 20 bug bounty YouTube channels in 2023

2023年の危険な航空会社8選

航空格付け会社のエアラインレイティングス（AirlineRatings）は、2023年の安全な航空会社トップ20と安全な格安航空会社（LCC）トップ10を発表した。

裏ネタとして逆に評価が低い、シングルスターな航空会社を8社取り上げてみたい。

Pakistan International Airlines / パキスタン国際航空

Air Algérie / アルジェリア航空

SCAT Airlines / SCAT航空
※カザフスタンのシムケントを本拠地とする航空会社。

Sriwijaya Air / スリウィジャヤ航空
※スマトラ島をベースにインドネシア国内の都市を結ぶインドネシアの航空会社

Airblue / エアブルー
※カラチを本拠地とするパキスタンの格安航空会社

Blue Wing Airlines
※スリナムの航空会社

Iran Aseman Airlines / イラン・アーセマーン航空

Nepal Airlines / ネパール航空

出典：COMPARE AIRLINE SAFETY RATINGS

【セキュリティ事件簿#2023-036】株式会社ジェイ・エス・ビー　当社従業員によるご契約者様等の個人情報の漏洩について　2023 年１月 25 日

このたび、当社の従業員による当社の管理物件等に係るご契約者様等の個人情報の一部漏洩の可能性があることが判明いたしましたので、お知らせ申し上げます。

2023年1月10日頃より、当社と全く関係のない第三者により、ご契約者様等に対して、当社のコーポレートブランドである「ユニライフ」の名を騙ったウォーターサーバーに関する勧誘や、身に覚えのない契約の締結を理由としたキャンペーンの案内がされている等の苦情が当社に寄せられました。当社のご契約者様等のリストに基づいて勧誘等がなされている懸念があったため、当社は調査を開始し、当社の従業員が当社の顧客管理システムからご契約者様等の個人情報（氏名、生年月日、性別、住所、電話番号、ご入居様の在籍校名、年収、世帯年収等）を漏洩した可能性があることが、2023年1月20日に判明いたしました。

これを受け、当社は2023年1月23日に対策本部を設置し、当該従業員による第三者に対するご契約者様等の個人情報の提供行為の有無や上記の勧誘等との関係を含めた、本件の事実関係及び原因の全容解明並びに被害の拡大防止に取り組むことといたしました。

当社から、ご契約者様等に対して、事前の同意を得ることなくウォーターサーバーの勧誘やキャンペーンの案内をすることはございませんので、当社の名を騙った勧誘にはくれぐれもご注意いただきますようお願い申し上げます。ご契約者様等や株主の皆様をはじめとする関係者の皆様には多大なご迷惑及びご心配をお掛けすることとなり、深くお詫び申し上げます。

本件による当社業績への影響については、現在精査中であります。今後、業績に重要な影響を及ぼすことが明らかになった場合には、速やかに開示いたします。

なお、本件については既に警察に相談をするとともに、国土交通省その他関係機関に対しても報告をしております。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-006】株式会社SEプラス　弊社教育サービスをご利用頂いているお客様への重要なお知らせとお詫びについて(2023/01/25 追加報告) 2023年1月25日

2023 年 1 月 6 日にご報告 (以下「前回ご報告]」といいます) しました通り、弊社の教育事業サービスにおきまして、弊社のお客様 (法人・個人含む) の一部情報が限定された条件下において閲覧可能な状態にあり、漏えいのおそれがあったごことが判明致しました (以下、「本件」といいます)。

弊社は、漏えいのおそれがある状態を直ちに是正するとともに、本件につき原因・影響範囲その他の事実を把握するべく、社内調査に加え、第三者機関によるフォレンジック調査を進めてまいりましたが、調査が終了しましたので、調査結果および再発防止に向けた取り組みにつきご報告申し上げます。

なお、本件については既に是正済であり、第三者機関の調査におきましても、悪意のあるユーザーからの不正アクセスその他漏えいの事実は確認されておりません。また、本日、個人情報保護委員会等への報告を済ませております。

改めまして、お客様には大変ご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

1. 漏えいするおそれのあつた個人情報と件数 (※下線は前回ご報告から追加・変更された事項を指します)

件数 : 49,982 件

個人情報

・会員 ID(一部サービス)

・氏名

・メールアドレス

・バスワード(一部サービスにおける初期バスワード以外は暗号化を確認)

・所属会社名

・役職(一部サービスにおいて任意に入力されたもの)

・学習履歴(一部サービス)

※学習履歴は記号化されておりますが、データベースを操作して紐づけを行うことで認識可能な状態

2. 閲覧可能であった期間

2022 年 12 月 16 日2022 年 12 月 29 日迄の間、断続的に閲覧が可能な状態(特定の条件下において)

3. 経緯

2022 年 12 月 29 日、お客様より「外部セキュリティ企業の情報漏えいデータ検出ソリューションを利用した調査の結果、当該データを検出した」旨のご連絡を受け、直ちに社内調査を行った結果、同月 30 日に原因の特定に至りました。その後、2023 年 1 月9 日より第三者機関によるフォレンジック調査を行いました。

4. 原因

第三者機関によるフォレンジックを含む調査の結果、整社従業員の開発用 PC1 台について、複数の条件を全て満たすごとで当該PC 内に設定されているデータベースへの侵入を許すおそれがある状態であったことが確認されております。

5. 現在の状況

データの閲覧が可能な状態はすでに是正済みであり、第三者機関によるフォレンジック調査の結果、悪意のあるユーザーからの不正アクセスその他漏えいの事実は確認されませんでした。また、本件につき必要な関係各所への報告は完了しております。

6. 再発防止策

現在再発防止策として下記の対策を進めておりますが、新たに外部セキュリティ会社等の専門機関に相談しつつ、追加の対策も速やかに検討、実施してまいります。

(1)情報セキュリティ教育の強化

(2)確認・チェック機能の強化、各種権限の見直し

(3)現状の開発運用方針を見直し、代替手段へ移行

改めまして、お客様にはご心配をおかけする事態となかりましたことを深くお詫び申し上げます。ごの度の事態を真統に受け止め、再発防止策を講じるとともに個人情報の取り扱いに対して厳重な管理を徹底し、更なる情報セキュリティ強化に取り組み、再発防止に努めてまいります。

併せて、弊社サービスをご利用のお客様におきましても、報告書を提出済です。

この度は、お客様ならびに関係先の皆様へ多大なご迷惑とご心配をおかけいたしますこと、重ねて深くお詫び申し上げます。

リリース文（アーカイブ）

登録: 投稿 (Atom)