【セキュリティ事件簿#2023-056】株式会社丹野こんにゃく 弊社が運営する「丹野こんにゃくオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年2月8日

このたび、弊社が運営する「丹野こんにゃくオンラインショップ」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（861件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。なお、個人情報が漏洩した可能性のあるお客様には、本日より電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、全力で再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

２０２２年１１月１１日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、不正アクセスの可能性が疑われたため、同日、外部からのアクセスを遮断すると同時に、弊社が運営する「丹野こんにゃくオンラインショップ」でのカード決済を停止いたしました。

２０２２年１１月１７日、第三者調査機関による調査も開始いたしました。

２０２２年１２月９日、調査機関による調査が完了し、２０２１年３月９日～２０２２年３月３１日までの間に「丹野こんにゃくオンラインショップ」で購入されたお客様のクレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

なお、弊社では、２０２２年４月１日より「丹野こんにゃくオンラインショップ」を環境の異なる新システムに切り替えております。今回のクレジットカード情報漏洩は、切り替え前の旧システムにおいて使用されたクレジットカードにて確認されたものであり、新システムにおいて使用されたクレジットカード情報の漏洩は確認されておりません。

　＊旧システムURL：https://shop.tannokonnyaku.co.jp/

　＊新システムURL：https://www.tankon.shop/

2.個人情報漏えい状況

（1）原因

　弊社が運営する「丹野こんにゃくオンラインショップ」のシステムの一部に脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

（2）個人情報漏洩の可能性があるお客様

　２０２１年３月９日～２０２２年３月３１日の期間中に「丹野こんにゃくオンラインショップ」においてクレジットカード決済をされたお客様８６１件で、漏洩した可能性のある情報は以下のとおりです。

　・カード名義人名

　・クレジットカード番号

　・有効期限

　・セキュリティコード

　上記に該当する８６１件のお客様については、別途、電子メールおよび書状にて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目の記載がないか、今一度ご確認をお願いいたします。万が一身に覚えのない請求項目の記載があった場合には、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問合せいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

２０２２年１１月１１日の漏洩懸念発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制強化を行い、再発防止を図ってまいります。

改修後の「丹野こんにゃくオンラインショップ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には２０２２年１１月１１日に報告済みであり、また所轄警察署にも２０２２年１２月１日被害申告しており、今後捜査にも全面的に協力してまいります。

尚、メールでのお問い合わせは24時間受付となりますが、ご回答は相談窓口受付時間内とさせていただきます。

このたびは、皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、誠に申し訳ございません。

重ねまして、深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-055】明治大学 本学サーバーへの不正アクセスによる被害および個人情報漏洩の可能性について 2023年2月9日

本学生田キャンパスにおいて運用・管理する教育研究システムが第三者による不正アクセスを受け、サーバーに保管されていたメールアドレスが窃取された可能性があることが判明いたしました。

関係する皆様に多大なご迷惑をおかけしましたことを心よりお詫び申し上げます。

現在の状況と今後の対応につきまして、次のとおりご報告いたします。

１ 経緯

生田キャンパスの教育研究システムのサーバーに対し、第三者からの攻撃が行われ、不審なプログラムが実行されていることが、2022 年 10 月 19 日に判明いたしました。直ちに被害拡大の防止措置を行うとともに、情報漏洩などの被害状況を確認すべく、同年 10 月から 12 月にかけて外部専門業者の協力を得ながら調査を続けてまいりました。

調査の結果、攻撃は同年 7 月 25 日から複数回にわたって行われており、学生および本学構成員36,692件のメールアドレスが窃取された可能性があることが判明いたしました。

２ 被害状況

窃取された可能性のあるメールアドレス 36,692 件は、MeijiMail のサービス名称で本学が構成員に対して発行しているものです。全ての方々について、氏名・住所・電話番号・パスワード・成績情報などの個人情報は、窃取されていないことを確認しております。しかしながら、このうちの 48 件については、メールアドレスから氏名が類推されることを確認いたしました。

なお、現時点において、不正に得た情報が悪用されたという被害報告はございません。

３ メールアドレスから氏名が類推される可能性がある方々への対応

すでに、メールアドレスから氏名が類推される可能性がある方々に対し、その事実を報告し、謝罪文を送付しております。また、その他の方々にも、本学学生・教職員向けのポータルサイト（Oh-o！Meiji システム）を通じて報告をしております。併せて、本件に関する問い合わせ窓口を案内し、個別に対応を行っております。

４ 被害の拡大防止および再発防止について

事態を把握した 2022 年 10 月 19 日中に、不正に使用されたアカウントの停止や、通信の遮断などの対策をいたしました。また、攻撃プログラムの除去およびセキュリティに関連した脆弱性の点検を行い、被害の拡大防止措置を取っております。

現在、引き続き専門業者の協力のもと原因究明調査を行っております。詳しい原因が判明次第、事態の再発防止と早期発見に向けたさらなる対策を講じてまいります。

リリース文（アーカイブ）

【THMウォークスルー】Careers in Cyber

 

Task 1  Introduction

サイバーセキュリティのキャリアは需要が高まっており、高い給与が提供されています。セキュリティ業界には、攻撃的なペンテスト（マシンをハッキングして脆弱性を報告する）から防御的なセキュリティ（サイバー攻撃からの防御と調査）まで、様々な仕事があります。

サイバーでキャリアを積む理由に以下があげられます。

・高給 - セキュリティの仕事は初任給が高い。

・刺激的 - システムを合法的にハッキングしたり、サイバー攻撃から守ったりする。

・需要 - 350万人以上の空席のサイバー職。

ここでは、様々なサイバーセキュリティの役割に関する情報を提供することで、サイバーセキュリティの世界に入る手助けをします。また、サイバースキルの構築を開始するために使用できる様々な学習経路にリンクしています。

■Question　※無し

Task 2  Security Analyst

セキュリティアナリストは、攻撃から会社を守るために、組織全体のセキュリティ対策を構築するのに不可欠な存在です。アナリストは、企業のネットワークを調査・評価し、実用的なデータを明らかにし、エンジニアが予防策を開発するための提案を行います。この仕事では、さまざまなステークホルダーと協力し、セキュリティ要件やセキュリティ状況を理解する必要があります。

担当業務

• 様々なステークホルダーと協働し、会社全体のサイバーセキュリティを分析する
• ネットワークの安全性に関する継続的な報告書の作成、セキュリティ上の問題点および対応策の文書化
• 新しい攻撃ツールやトレンドの調査、データの安全性を維持するためにチーム全体で必要な対策を盛り込んだセキュリティプランの策定。

■Question　※無し

Task 3  Security Engineer

セキュリティエンジニアは、脅威や脆弱性データ（多くの場合、セキュリティ担当者から入手）を使用して、セキュリティソリューションを開発し、実装します。セキュリティエンジニアは、Webアプリケーション攻撃、ネットワーク脅威、進化するトレンドや戦術など、幅広い攻撃を回避することに取り組んでいます。最終的な目標は、攻撃やデータ損失のリスクを軽減するために、セキュリティ対策を維持・採用することです。

担当業務

• ソフトウェア全体のセキュリティ対策のテストと審査
• ネットワークやレポートを監視し、システムの更新や脆弱性の緩和を行う
• 最適なセキュリティのために必要なシステムの特定と実装

■Question　※無し

Task 4  Incident Responder

インシデント対応担当者は、セキュリティ侵害に効率的に対応します。インシデント発生時やその後に組織が実施する計画、ポリシーの策定も担当します。インシデントレスポンス担当者は、攻撃が展開されている最中にリアルタイムで分析と対応が求められる、非常にプレッシャーのかかるポジションであることが多い。インシデントレスポンスの指標には、MTTD、MTTA、MTTR（攻撃の検知、認識、回復するまでの時間）が含まれます。その目的は、迅速かつ効果的な対応を実現し、財務状況を保護し、侵害による悪影響を回避することです。最終的には、インシデント対応担当者は、企業のデータ、評判、財務状況をサイバー攻撃から保護します。

担当業務

• 実行可能なインシデント対応計画の策定と採用
• セキュリティのベストプラクティス維持とインシデント対応策のサポート
• インシデント発生後の報告、今後の攻撃への対策、インシデントから得られる知見と適応の検討

■Question　※無し

Task 5  Digital Forensics Examiner

探偵ごっこが好きな人には、ぴったりの仕事かもしれません。法執行機関の一員として働く場合、犯罪を解決するために証拠を収集・分析し、有罪を宣告し、無実の人を無罪にすることに専念することになります。一方、企業のネットワークを守る仕事であれば、ポリシー違反などのインシデントを分析するフォレンジック・スキルを身につけることになります。

担当業務

• 法的手続きを遵守し、デジタル証拠を収集する
• デジタル証拠を分析し、ケースに関連する答えを見つける
• 調査結果を文書化し、報告する

■Question　※無し

Task 6  Malware Analyst

マルウェア・アナリストの仕事には、疑わしいプログラムを分析し、その動作を発見し、発見した内容についてレポートを作成することが含まれます。マルウェア・アナリストは、コンパイルされたプログラムを機械語から読み取り可能なコード（通常は低レベル言語）に変換することを中核業務とするため、リバース・エンジニアと呼ばれることもあります。この作業には、マルウェア・アナリストに、特にアセンブリ言語やC言語などの低レベル言語における強力なプログラミングのバックグラウンドが要求されます。最終的な目標は、悪意のあるプログラムが実行するすべての活動について学び、それを検出し報告する方法を見つけることです。

担当業務

• リバースエンジニアリングを含む、悪意のあるプログラムの静的解析
• 制御された環境でマルウェアサンプルの活動を観察し、動的解析を行う。
• 調査結果の文書化と報告

■Question　※無し

Task 7  Penetration Tester

侵入テストは、ペンテストや倫理的ハッキングと呼ばれているのを見かけるかもしれません。侵入テスト担当者の仕事は、企業内のシステムやソフトウェアのセキュリティをテストすることです。これは、システム化されたハッキングによって欠陥や脆弱性を発見しようとすることで達成されます。侵入テスト担当者は、これらの脆弱性を利用して、各事例におけるリスクを評価します。企業は、これらの洞察をもとに問題を修正し、現実のサイバー攻撃を防ぐことができます。

担当業務

• コンピュータシステム、ネットワーク、Webアプリケーションのテスト実施
• セキュリティ評価、監査、ポリシーの分析
• インサイトを評価・報告し、攻撃防御のためのアクションを推奨する

■Question　※無し

Task 8  Red Teamer

レッド・チー マーは、ペネトレーション・テスターと似ていますが、より対象を絞った職務です。ペネトレーションテスターは、システム全体の多くの脆弱性を発見し、サイバー防御を良好な状態に保つことを目的としているのに対し、レッド・チーマーは、企業の検知・対応能力をテストするために実施されます。この職種では、サイバー犯罪者の行動を真似ること、悪意のある攻撃を模倣すること、アクセスを維持すること、そして検知を回避することが要求されます。レッドチームの評価は、通常、社外のチームによって最大1カ月間実施されます。成熟したセキュリティプログラムを導入している組織に適していることが多い。

担当業務

• 悪用可能な脆弱性を発見し、アクセスを維持し、検知を回避するために、脅威行為者の役割を模倣します。
• 組織のセキュリティ管理、脅威インテリジェンス、インシデント対応手順の評価
• インサイトを評価・報告し、企業が実際の事例を回避するための実用的なデータを提供します。

■Question　※無し

Task 9  Quiz

サイバーセキュリティのさまざまなキャリアの一般的な概要を解説しました。オンライン・トレーニングを活用して、サイバー・セキュリティの分野で夢の仕事に就くことができることを忘れないでください。

■Question　※無し

小さくても強力: Insta360 GO 2 小型アクション カメラの可能性を探る

 

Insta360 GO 2 小型アクション カメラとは?

搭乗記や旅行記用に小型軽量で持ち運びに便利なアクションカメラを探していたら、世界最小のアクション カメラ、Insta360 GO 2を発見した。通常のアクションカムと同じサイズのセンサーを搭載しているが、重量は従来比わずか 1/6。コンパクトなくせに結構な機能を備えているので、意外に使い勝手がいいかもしれない。タイムラプス、ハイパーラプス、スローモーションなどの撮影モードが付属しており、素晴らしいビデオが作成できそう。さらに労力をかけずにビデオをすばやく編集できる、AIを活用した編集ツールも備えている。

Insta360 GO 2の機能

Insta360 GO 2 はFlowState手ぶれ補正機能を搭載しているため、移動中でも安定した撮影が可能。また、ハンズフリーでどこにでも取り付けることが可能。さらに、50fps で 1440p の解像度を誇り、水深 4 メートルまでの防水性を備えている。 さらにさらに、ハイパーラプス、スローモーション、自動編集などの編集オプションがあり、素晴らしいビデオを作成できる。また、WiFi プレビューを介してカメラをリモートで制御し、離れた場所から写真やビデオを撮影することもできる。 Insta360 GO 2 を使えば、思い出を簡単に記録することができます。 

Insta360 GO 2 のアクセサリー

Insta360 GO 2はすばらしい 360° ビデオや写真を簡単に撮影できる。カメラを最大限に活用するために様々なアクセサリがあります。ポーセリン ストラップ、シンプル クリップ、レンズ保護フィルター、ピボット スタンドはすべて、Insta360 GO 2を活用するための優れたオプションです。マグネットストラップを使用すると、カメラをあらゆる表面に取り付けて、新しい角度から映像をキャプチャできます。シンプルなクリップで、カメラをヘルメットやバックパックなどのさまざまなアイテムに取り付けることができます。レンズ保護フィルターは、過酷な条件下での撮影中に傷や汚れから保護するのに役立ちます。最後に、ピボット スタンドは、平らな面に置いて安定した撮影をするのに最適です。カメラは4Kの360度動画と8K(8192×4320)の写真が撮影可能。 GO2 は、IOS および Android スマートフォン、および Windows 10 以降で利用可能です。

クリエイティブな編集と楽しいフィルターでコンテンツに命を吹き込みます

FlashCut 2.0 AI は、コンテンツを際立たせるのに役立ちます!強力な編集機能と楽しいフィルターを使用して、コンテンツをユニークなものに変えることができます。 水中の写真でもビデオ クリップでも、FlashCut 2.0 AI は高度なアルゴリズムでそれらを処理し、画像やビデオを最大限に引き出します。青みのかすみを取り除き、鮮やかな色を再現するだけでなく、お気に入りの動画が音楽とともに 1 つのストーリーにまとめられます。創造性を発揮して、FlashCut 2.0 AI がコンテンツに命を吹き込みます。FlashCut 2.0 AI は使いやすいインターフェースで、WindowsとMacの両方で利用可能です。

さよならTwitter。謎の障害発生により、撤退します。

2023年2月9日06時45分頃から、Twitterで障害が発生しているとの情報が相次いでいる。「ツイートができない」などの情報が複数ある。

これを機会にtwitterの利用はやめることにしました。

【セキュリティ事件簿#2023-054】国立大学法人埼玉大学 本学の情報システムへの不正アクセスについて 2023年2月9日

2022年6月7日(火)に本学の業務で利用しているシステム(ネットワークストレージ(NAS))が不正アクセスを受け、ランサムウェアに感染してデータの一部が改変される事案が発生しました。

調査に時間を要したために公表が遅くなったことを含め、関係者の皆様には多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。

本件の発生を厳粛に受けとめ、情報管理体制の強化と再発防止に取り組んでまいります。

不正アクセスを受けた原因は、ネットワークアクセス制限の設定不備及びNASのパスワードが破られたことによるものです。

被害のあったNASの利用は既に停止し、この攻撃を受けて改変されたデータも復元されており、本学業務の継続には直接的な影響はありませんでした。

なお、第三者機関による調査を実施し、情報流出の事実は確認されませんでした。また、当該NASに起因する他のPCのマルウェア感染等の被害についても確認されませんでした。

＜経緯に関する調査結果の概要＞

1. 2022年6月7日(火)午前8時頃より、ネットワークアクセス制限の設定変更時の不備により当該NASへの外部からのアクセスが可能となった。
2. 同日正午頃に、攻撃者によるNASへの不正アクセスが開始され、複数回のログオン試行により、2台のNASのパスワードが破られた。その後、パスワードを破り侵入したNASを経由して他の4台のNASに対しても不正アクセスが行われ、ランサムウェアによるデータの一部改変が行われた。
3. 同日午後3時頃に、当該NASの異常を確認した。これを受け、外部からのアクセス遮断を行った。
4. 同年6月～7月にかけて、学内担当者による調査及びデータの復元作業を行うとともに、学内で運用している全てのNASに関する点検や見直しを行った。
5. 同年7月～12月にかけて、第三者機関による調査を実施し、不正アクセスの侵入経路や被害状況の詳細についての確認を行った。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-053】つくばみらい市 中学教員が学生78名の個人情報入りUSBメモリを紛失する

茨城県つくばみらい市教育委員会は2023年1月25日、市立中学校に所属する教員が学生ら78名分の個人情報を記録したUSBメモリを紛失したと明らかにしました。

つくばみらい市教委によると、教員は2023年1月20日、英語の教材を作成するために私用USBメモリに2年生78名のデータを記録、持ち帰りました。ところが2023年1月23日になり、USBメモリを紛失していることが判明。2023年1月24日、教員は学校に報告しましたが、公表時点で発見には至っていないとのことです。

市立中学校では、個人情報を外部に持ち出しの要件として、学校長の許可を定めていました。しかし、紛失に関与した教員は許可を得ないまま持ち出しており、結果として紛失後に持ち出しが判明したとのこと。

中学校では対象となった2年生の全家庭を訪問し謝罪。今後は再発防止に努めるとしています。

出典：中学教員が学生78名の個人情報入りUSBメモリを紛失、つくばみらい市

【セキュリティ事件簿#2023-052】国土交通省 大阪国道事務所業務受注者における情報流出の疑いについて 2023年1月30日

大阪国道事務所発注の通行規制広告業務の受注者である(株)神戸新聞事業社から、作成途中の業務成果電子媒体（電子データ含む）を移動中に紛失し、情報流出の疑いがあるという報告を受けました。

この報告を受け、大阪国道事務所が確認したところ、紛失した資料には、少なくとも受注者の業務従事者の氏名等の個人情報や法人その他の団体に関する情報が含まれていることが分かりました。

法人その他の団体へのお詫びや説明は、(株)神戸新聞事業社から行っているところです。

●事案の内容

令和5年1月26日（木）に通行規制広告業務受注者の従事者が、作成途中の業務成果電子媒体（電子データ含む）を移動中に紛失したことに気づき、捜索するとともに、警察への遺失物届を提出いたしましたが、未だ発見されていません。

●対応状況

個人情報は、発注者の担当者及び業務受注者の従事者の氏名等のみで、法人その他の団体に関する情報については、その法人その他の団体の皆様に、業務受注者より事案の内容をご報告し、お詫びさせていただいているところです。なお、現時点では、第三者への流出、不正利用等の事実、二次被害は確認されておりません。

なお、(株)神戸新聞事業社に対しては、情報等の管理徹底を実施するよう、指示しております。

リリース文（アーカイブ）