【セキュリティ事件簿#2023-145】コンタクトレンズメーカーのシード、7万件の個人情報流出の可能性 不正アクセスにより


コンタクトレンズ製造販売大手のシード(東京都千代田区)は、2022年11月末に外部から不正アクセスを受け、顧客や従業員などの個人情報が最大で延べ約7万件流出した可能性があると発表しました。この不正アクセスにより、子会社である「シードアイサービス」が従業員や取引先などの関係者らを対象に開催した販売会に関する情報が流出したとされます。流出した情報には氏名、住所、電話番号、生年月日、性別、メールアドレスなどが含まれており、クレジットカード情報は含まれていないとのことです。現時点で情報の悪用は確認されていないとのことですが、不正に閲覧や複製された可能性を完全に否定することが困難であるとしています。

同社はこの不正アクセスの原因について、「システムメンテナンス用に設置していたネットワーク機器の脆弱性を突かれた可能性が高い」と説明しています。また、同社では顧客や従業員に対し、郵送などで順次連絡するとともに、専用窓口で問い合わせに対応する予定です。

シードは、顧客や従業員の個人情報保護に最大限の注意を払っているとしつつ、今後も不正アクセスに対して厳重なセキュリティ対策を講じていくとのことです。

イベリア航空:Avios購入50%ボーナスセール(2023/5/18~2023/5/25)

 

イベリア航空は、2023年5月23日まで50%ボーナスでAviosを購入できるキャンペーンを実施。

イベリア航空のAviosは、ブリティッシュエアウェイズのAviosに無料で移管でき、そこからJALの航空券が手配できる。

650マイルまでであれば、片道7500Aviosで手配が可能。

ちなみに羽田から650マイルとなると以下の感じで、沖縄以外の国内がカバー可能。


尚、羽田-那覇間は片道9,000aviosで、羽田-石垣間は片道11,000aviosで手配可能。

ちなみに11,000aviosあると、羽田から台北や香港も手配できる。

以前は650マイルまでの区間が4500Aviosで取れていたのだが、値上げに値上げが続き、大きなメリットは無くなってしまった。

とはいえ、搭乗24時間前までであればキャンセル可能だし、有償航空券が高すぎる場合(目安として片道15,000円以上)に使えば同額かそれ以下で押さえられるので、それなりに使い勝手は良いと思っている。また、Aviosは有効期限3年だが、Aviosの増減があるとそこから有効期限が3年となるため、利活用できていれば実質無期限となる。

試しに7,500Avios買ってみようとするとこんな感じ。前回のセールから30ドル安くなっている。


139USDを円換算してみるとこんな感じ。



USD単価では改善しているものの、前回セール時よりも円安が進んでいるため、日本円で見た場合に引き続き魅力が無い。

今回も見送りの方向で。

出典:Iberia Plus Selling Avios With 50% Bonus

週刊OSINT #2023-05号

 

今号はウェイバックマシン、ドイツのスパイのニュースなどに注目しました!

  • The Wayback Machine
  • How to Verify?
  • BND Spies

小技:The Wayback Machine

最近、ウェイバックマシンの使い方に関する有用な情報が書かれたページを見つけました。例えば、特定の年月のウェブページへのリンクをする場合、URL内で直接指定することができます。

https://web.archive.org/web/202209/{url}

また、興味深い有用なヒントとして、上部のナビゲーションツールバーを非表示にすることができます。その場合は、URL内の日時参照の後ろにid_を追加するだけで、ツールバーが消えます。

このWiki記事には、次のような興味深い情報もあります。

・ブックマークレット

・コマンドラインツール

・最も古いまたは最新のコピー

このページは、ウィキペディアの編集者がウェイバックマシンへの正しいリンクの作成方法を説明することを目的としています。しかし、OSINTコミュニティにとっては、このリソースの使い方に関する歓迎されるヒントがあります。


サイト:How to Verify?

DW Innovationが開発した「How to Verify」という新しいWebベースのツールは、古くからあるOSINTフレームワークの視覚的な表現と考えることができます。可能なピボットポイントに関する選択肢を視覚的に見ながら、利用可能なツールやサイトを表示してくれます。最も好きなのは、画面右側に表示される追加情報で、対象のウェブサイトの部分について案内し、追加のヒントを与えてくれる点です。素晴らしいです!

調査に役立つ可能性のあるツールを探している方にはおすすめです。


記事: BND Spies

BNDは、ドイツの外国情報機関である「Bundesnachrichtendienst」の略称です。昨年、その内部にスパイがいたことが発覚し、その後も別のスパイが発見されました。Twitterユーザーの「Fake PhD Investigator」は、裁判資料を調べ、その人物の身元に関するヒントを見つけました。その後、彼は自分でオンラインのスルーティングを行い、疑わしい人物が訪れた場所に関する十分な情報を提供するGoogleレビューのオンライントレイルを追跡することに成功しました。


オマケ: DNSの仕組みについて

dnssimpleによるDNSの仕組みについてのコミックです。正直なところ、私はこの知識がなければ仕事ができないでしょう!もっと学びたい場合は、ここにはいくつかのコミックや動画があります。この情報を共有してくれた0xtechrockに感謝します。


出典:Week in OSINT #2023-05

【セキュリティ事件簿#2023-146】オーエスジー株式会社 ウイルス感染によるシステム停止事案発生のお知らせ 2023年4月14日


オーエスジー株式会社(代表取締役社長:大沢伸朗 本社:愛知県豊川市本野ケ原三丁目22番地)は、2023年4月12日早朝に当社基幹システムサーバで障害を検知し、確認したところ、一部のサーバとパソコン端末でウイルス感染を確認いたしました。

ただちに、サーバの停止、ネットワークの遮断を行い、全てのシステムを停止し、影響範囲等の特定および対策を進めながら順次復旧作業を進めております。

ご関係の皆様に多大なるご迷惑、ご心配をおかけしておりますことを深くお詫び申し上げます。これまでに判明している経緯と対応につきまして、以下の通りお知らせいたします。

1.これまでの経緯

【4月12日(水)】
午前6時頃  当社基幹システムサーバにて障害の発生を検知
午前8時頃  当社基幹システムサーバでウイルス感染を確認
午前10時頃  取引先様及び外部とのネットワーク遮断
終日      全サーバ、パソコン端末を停止

2.現況および今後の対応

IT部門主導による感染拡大防止措置とともに、全社対策本部を立上げ、外部専門家の起用ならびに、しかるべき機関に相談を行っております。

本件の全容解明と一刻も早い復旧に向けて総力を挙げて取り組んで参ります。

【セキュリティ事件簿#2023-145】和泊町 個人情報の漏洩についてのお詫び 2023年4月13日


このたび、町ホームページに掲載している「第1回坂道CHAMPIONSHIPS」の申込フォームで,申し込まれた方の個人情報が表示される状態となっておりました。

申し込まれた方々に多大な迷惑とご心配をおかけしたことについて、心よりお詫び申しあげます。

今後、再発防止に努めるとともに、経緯などについて以下のとおりお知らせします。

【事案が発生した組織】
和泊町 土木課

【流出元】

当該組織 

【流出させた者】

職員(従業員)

【流出に係る経過】

・令和5年4月6日発生

・令和5年4月6日発覚

・令和5年4月 13 日公表

【事案の概要】(流出した契機)

イベントの申込み受付を Google フォームで行っていたが,誤って,申込みした方の情報が表示される設定となっていた。担当者の知人から連絡があり発覚。7 時間ほど当該 Google フォームにアクセスすれば個人情報が閲覧できる状態になっていた。

【流出した個人情報の概要と件数】

(情報概要)
氏名,電話番号,メールアドレス
(流出件数)
氏名3件,電話番号及びメールアドレス2件

【被害状況】

無し

【事案発生の原因】

Google フォームの公開範囲の設定誤り

【流出した個人情報の本人への対応】
電話連絡で内容説明し謝罪した。

【組織の対応】(再発防止策等)

Google フォーム作成後に複数人で動作チェックを行うなどする。

新聞社等へ公表する。

【警察への連絡状況】(連絡先部署名及び電話番号を記載)
連絡していない。

リリース文アーカイブ

【セキュリティ事件簿#2023-144】小学館 メールアドレス流出に関するお詫び 2023年4月14日


この度、弊社HugKum編集部が、2023年4月16日開催の 「花まる学習会代表 高濱正伸先生×松丸亮吾さんトークセミナー ワクワク学ぶ地頭力の育て方~『好き!』のパワーが子どもを伸ばす〜」イベントについて、 当選者の皆様へ電⼦メールを送信する際に、編集部の送信者が操作を誤り、受信者が他の当選者 のメールアドレスを見られる状態で送信してしまいました。

 当選者の皆様ならびに関係者の皆様に、多大なるご迷惑とご心配をおかけしました。深くお詫び申し上げます。

このような事態を招いたことをHugKum編集部として重く受け⽌めております。今後は、個人情報の取り扱いに関してより一層注意するとともに、管理体制の見直しと強化に取り組み、再発防止に努めてまいります。

1.本事案の概要

2023年4⽉12⽇16時頃、イベント当選者の皆様に電⼦メールを一斉送信した際、本来であればアドレスが他の受信者に表示されない「BCC」で送信すべきところ、送信者の操作ミスにより、誤ってアドレスを「TO」に入力して送信してしまいました。そのため、受信者は相互にメールアドレスを確認できる状態になってしまいました。

2.流出件数

メールアドレス311件

3.参加希望の皆様への対応

2023年4月12日17時37分、該当する311名の方々 に対してメールアドレス流出に関するお詫びと当該メールの削除をお願いするメールを送信いたしました。

4.再発防⽌策

今後、複数の宛先にメールを送信する際には、宛先の入力(TO、CC、BCC)について複数名で確認してから送信することを徹底いたします。

【セキュリティ事件簿#2023-143】東京都 ホームページ掲載データへの個人情報の誤掲載について 2023年03月23日


当局において、以下の通りホームページに掲載したアンケート調査結果への個人情報の誤掲載が発生しましたので、お知らせします。

関係者の皆様には、多大なご迷惑をおかけし、深くお詫び申し上げます。

1 概要

当局が、都の施策の認知状況や都に求める取り組み等、スタートアップとの協働に関するアンケート調査の結果を、東京都オープンデータカタログサイトに掲載した際、データに個人情報(会社名、氏名、メールアドレス)が含まれていた。

サイト上の画面では、漢字や仮名文字のデータは記号等に変換され、判読できない状態であった。メールアドレスについても、セルの操作をしなければ判読できない状態であった。しかし、サイトからデータをダウンロードすると、データ末尾の個人情報が判読可能な状態であった。

2 経緯

令和4年2月4日(金曜日)午後に、会社名等を含むデータを東京都オープンデータカタログサイトに掲載。約230名分の会社名、氏名、メールアドレスがダウンロード可能な状態となっていた。

令和5年3月13日(月曜日)午後に、デジタルサービス局職員が当該サイト上のデータを点検したところ、個人情報が含まれていることを発見し、当日中に当該データを削除した。

3 その後の対応

該当の方々には、謝罪を行っています。
なお、現時点で、被害の報告はありません。

4 再発防止策

今後、このようなことを起こさないよう、掲載するデータに個人情報が含まれないことを、複数の職員でチェックすること等を徹底します。

【セキュリティ事件簿#2023-142】丹後ガス株式会社 メール誤送信による個人情報漏えいについてのお詫び 2023年3月13日


このたび、弊社のWeb照会サービスをご利用のお客様に対してLINE登録のご案内メールを送付する際、お客様のメールアドレスが表示される形で一斉送信したことが判明いたしました。

お客様に多大なるご迷惑とご心配をお掛けしましたことを深くお詫び申し上げます。

経緯

2023年3月10日(金)14時54分、弊社のWeb照会サービスをご利用のお客様に対してLINE登録のご案内メールを送信いたしました。メール配信後、お客様からのご指摘を受け、本来であれば「BCC」にて送信すべきところ、誤って「CC」に送信したことを把握いたしました。尚、誤送信されたメールアドレスの件数は386件で、メールアドレス以外、住所や電話番号も含めその他のお客様情報は含まれておりません。

お客様への対応

2023年3月10日(金)15時18分、該当するお客様に対してメールアドレス流出に関するお詫びと当該メールの削除をお願いするメールを送信いたしました。

今後の対応

今回の事象を重く受け止め、今後は個人情報の取り扱いに一層の注意を払い、弊社社員に対する教育を改めて徹底し、再発防止に全力で取り組む所存です。