【セキュリティ事件簿#2023-177】ビーピークラフト株式会社 弊社が運営する「Beads&Parts通販サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年5月16日

このたび、弊社が運営する「Beads&Parts通販サイト」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報1,771件及び個人情報2,821件が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

なお、個人情報2,821件が最大漏えい件数となり、クレジットカード情報1,771件はこれに含まれております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年2月17日、弊社サイトを利用したお客様からBeads&Parts通販サイトが開けないと連絡が入りました。お客様の個人情報漏えいを懸念し、緊急対策として本サイトの閉鎖およびクレジットカード決済の停止をいたしました。また2023年2月20日一部のクレジットカード会社から弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、第三者調査機関による調査も開始いたしました。2023年3月25日、調査機関による調査が完了し、2023年1月12日～2023年2月17日の期間に　本サイトで購入されたお客様クレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

本サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2023年1月12日～2023年2月17日の期間中に本サイトにおいてクレジットカード決済をされたお客様1,771名で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

2023年1月12日～2023年2月17日の期間中に本サイトにおいて購入されたお客様2,821名で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・メールアドレス

・郵便番号

・住所

・電話番号

上記(2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年2月17日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の本サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月21日に報告済みであり、また、所轄警察署にも2023年4月13日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-176】Transbird株式会社 個人情報漏洩に関するご報告とお詫び 2023年4月28日

この度当社におきまして、東京都政策企画局より受託しておりましたインターネット都政モニターの募集に際し、システムの不具合により個人情報が漏洩する事故が発生いたしましたので、お知らせいたします。

応募者様をはじめ関係者の皆さまに多大なるご心配とご迷惑をおかけいたしておりますことを、深くお詫び申し上げます。

個人情報取り扱いにあたり、管理の徹底に努めてまいりましたが、この度の事態を受けまして改めて職員への個人情報保護教育を徹底し、再発防止に取り組んで参ります。

1.事故概要

インターネット都政モニターの募集サイトを令和5年4月21日（金）に立ち上げました。４月26日(水)18時よりＳＮＳによる告知を開始したところ、システムに不具合が発生し、約2時間、応募者136名の登録完了を確認する画面に登録者本人とは別の名前およびメールアドレスが表示される事象が発生いたしました。

１）発生日時　令和5年4月26日　21時34分から23時27分の間

２）漏洩した可能性がある個人情報　

応募者1名の名前とメールアドレス

３）漏洩の原因

仮ID発行によるシステムの不具合

4）対応状況　4月26日23時27分不具合を解消しました。4月27日10時00分インターネット都政モニターの募集を一時停止しました。

4月27日名前とメールアドレスを表示させてしまった方へ謝罪のため訪問いたしました。表示させてしまった事実およびその状況を説明しお詫びいたしました。

5）今後の対応状況および進捗につきまして改めて公表いたします。

今回の事態を重く受け止め、再発防止に向けてシステムならびに情報管理体制の強化に努めてまいります。

リリース文（アーカイブ）

週刊OSINT #2023-08号

 

ツール: Sengi

Tweetdeckは、多くの人々にとって複数のTwitter検索を整理するためのお気に入りの方法の一つです。そして数週間前に、MastodonやPleromaのために同様のことができるツールに偶然出会いました。そしてそれは単一のアカウントだけでなく、複数のアカウントを簡単に追加し、フィルター処理や整理、メッセージの送信を容易に行うことができます。今まではMastodonであまり活動的ではありませんでしたが、このツールを使えばより頻繁にチェックすることになると思います！

ツール: Outscraper

Roman Höfnerから『Outscraper』についてのヒントを受け取りました。Romanが2023-05号で話したBNDのスパイを追跡するために使用したという事実を考慮に入れると、この素晴らしツールに見えます。

GitHubの小技

先日、Ivano Somainiが共有した便利な小技に気付きました。GitHubのユーザーから電子メールアドレスを取得するためのさまざまなテクニックは多くの人が知っていますが、これは逆の方法です。電子メールアドレスで検索することで、そのアドレスを含むコミットを見つけることができます。

使用できる2つの検索オプションは次の通りです：

committer-email:user@email.com

author-email:user@email.com

小技: Detect Changes

Eva ProkofievがVisualpingについての小さなTwitterスレッドを投稿しました。このツールは、無料の利用枠も提供しており、ウェブサイトの変更を追跡することができます。EvaのTwitterプロフィールの例では、バイオグラフィーのわずかな変更が見つかり、強調されています。無料の利用枠が十分でない場合は、2020-48号にさかのぼって、Distill.ioに関するレビューもチェックすることをおすすめします。

小技: Arkenfox

DiscordのユーザーSwagaliciousが、Firefoxの興味深い設定セットへのリンクを共有しました。特定のファイルをFirefoxプロファイルのルートフォルダにコピーするだけで、Firefoxブラウザを強化することができます。使用を開始する前に、Wikiを読んでその動作原理を理解するようにしてください。単純なインストールやクリック&ランではないためです。技術的に詳しい方はぜひ試してみてください！

出典：Week in OSINT #2023-08

【セキュリティ事件簿#2023-175】トヨタコネクティッド株式会社 クラウド環境の誤設定によるお客様情報等の漏洩可能性に関するお詫びとお知らせについて 2023年5月12日

トヨタコネクティッド株式会社（以下、弊社）が管理するデータの一部が、クラウド環境の誤設定により、公開状態となっていたことが判明しました。本件判明後、外部からのアクセスを遮断する措置を実施しておりますが、弊社が管理する全てのクラウド環境を含めた調査を継続して実施しており、本日時点で判明している事案につき、お知らせさせていただきます。

お客様ならびに関係の皆さまには大変なご迷惑、ご心配をおかけすることを、お詫び申し上げます。

本日時点で把握している事案は以下のとおりです。

外部より閲覧された可能性があるお客様情報	車載端末ID*1、車台番号*2、車両の位置情報、時刻
対象となるお客様	2012年1月2日〜2023年4月17日の期間内にT-Connect/G-Link/G-Link Lite/G-BOOKを契約されていた方（約215万人）
外部からアクセスできる状態にあった期間	2013年11月6日～2023年4月17日

*1車載機（ナビ端末）ごとの識別番号
*2車両一台ずつに割り当てられた識別番号

外部より閲覧された可能性がある情報	弊社が提供する法人向けサービスから収集されたドライブレコーダーで車外を撮影した映像
外部からアクセスできる状態にあった期間	2016年11月14日～2023年4月4日

車載端末ID、車台番号、車両の位置情報、時刻が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、お詫びとお知らせを個別にお送りさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置いたします。

このたびは、データ取扱いのルール説明・徹底が不十分だったことなどが主な原因であったと考えております。従業員への教育を徹底し、再発防止に取り組むと同時に、クラウド設定を監査するシステムを導入し、クラウド環境の設定調査を実施、および継続的に設定状況を監視する仕組みを構築いたします。

今回、外部より閲覧された可能性のあるお客様情報は、外部からアクセスした場合であっても、これらのデータのみでは、お客様が特定されるものではありません。本件判明後より、外部より閲覧された可能性のあるお客様情報について、ネット上での第三者による二次利用、コピーの残存有無の継続調査の際、その事実は確認されず、現在のところ、その他の二次被害も確認されておりませんが、引き続きプライバシーマーク付与事業者として、お客様の大切な個人情報やデータの取り扱いへの安全な管理の徹底、およびセキュリティ機能の強化に向け取り組んでまいります。

リリース文（アーカイブ）

Webディレクトリ探索ツール三選： gobuster、ffuf、dirb

Webディレクトリの探索は、セキュリティ評価やペネトレーションテストにおいて重要な要素です。今回は、Webディレクトリ探索を行うための3つの優れたツールを紹介し、それぞれの概要と主な特徴を解説します。これらのツールを使って、Webアプリケーションのセキュリティ評価をより効果的に行いましょう。

1.gobuster

gobusterは、高速かつ柔軟なWebディレクトリ探索ツールです。複数のスレッドを使用して並列にリクエストを送信し、効率的な攻撃を実行します。ワードリストベースの攻撃や拡張子の指定など、多くのカスタマイズオプションが提供されています。さらに、カスタムのHTTPヘッダを使用してリクエストを送信することも可能です。レポートの生成機能も備えているため、結果を整理しやすくなっています。

以下は、gobusterの実行例です:

bash
gobuster dir -u http://example.com -w wordlist.txt -t 10 -x php,html -o results.txt

 上記の例では、-uオプションで探索対象のURLを指定し、-wオプションでワードリストファイルを指定しています。-tオプションでは10のスレッド数を指定し、-xオプションで拡張子を指定しています。最後に、-oオプションで結果を保存するファイル名を指定しています。

2.ffuf

ffufは、高速かつパワフルなWebディレクトリ探索ツールです。並列リクエストを使用して大量のリクエストを効率的に処理します。ワードリストベースの攻撃やリクエストのマルチポジション、ワイルドカードサポートなど、柔軟なカスタマイズオプションがあります。さらに、リクエストのフィルタリング機能により、絞り込まれた結果を得ることができます。コマンドラインベースのツールとして提供されており、直感的で使いやすいインターフェースを持っています。

以下は、ffufの実行例です:

arduino
ffuf -w wordlist.txt -u http://example.com/FUZZ -t 20 -mc all -o results.txt

上記の例では、-wオプションでワードリストファイルを指定（URLの”FUZZ”の部分に当てはめ）し、-uオプションで探索対象のURLを指定しています。-tオプションでは20のスレッド数を指定し、-mcオプションで全ての応答を表示するよう設定しています。最後に、-oオプションで結果を保存するファイル名を指定しています。

3.dirb

dirbは、Webディレクトリやファイルの探索に使用される定番のツールです。ワードリストベースの攻撃やカスタムエクステンションのサポート、マルチスレッドサポートなどの特徴があります。また、レポートの生成機能も備えており、探索結果を整理しやすくなっています。コマンドラインツールとして提供されているため、柔軟性があり、多くのオプションを使ってカスタマイズすることができます。

以下は、dirbの実行例です:

arduino
dirb http://example.com -o results.txt -r -X .txt,.php

上記の例では、探索対象のURLを指定しています。-oオプションで結果を保存するファイル名を指定し、-rオプションでリクエストを再帰的に処理するよう設定しています。また、-Xオプションで拡張子を指定しています。

gobuster、ffuf、dirbは、それぞれ優れたWebディレクトリ探索ツールです。攻撃対象のWebアプリケーションの特性や要件に応じて、適切なツールを選択して利用することが重要です。また、効果的な探索を行うために、優れたワードリストの使用も重要です。その中でも、"SecLists"というワードリストがオススメです。SecListsは、セキュリティ関連の様々なワードリストを収集したもので、様々な攻撃シナリオに対応しています。以下のリンクからSecListsを入手することができます:

SecLists - GitHub

これらのツールとSecListsを組み合わせることで、より効果的かつ包括的なWebディレクトリ探索が可能となります。当然ですが、必要な許可を得た上で、セキュリティ評価やペネトレーションテストを実施するようにしてくださいね。

出典：Content Discovery（THM）

【セキュリティ事件簿#2023-174】兵庫医科大病院 当院職員所有のノートパソコン及びUSBメモリの盗難被害について（お詫び） 2023年5月2日

兵庫医科大学病院では、かねてより個人情報保護の方針を遵守すべく、病院職員に対して再三注意喚起とともに職員教育を行ってまいりましたが、この度、下記のとおり本学職員が所有するノートパソコン及びUSB メモリが盗難被害に遭う事案が発生いたしました。現在、関係当局による捜査が引き続き行われております。また、現時点におきましては、第三者への個人情報の流出の事実は確認されておりません。

この度の経緯等の詳細について報告申し上げるとともに、患者の皆様をはじめ、その他関係各位に多大なるご心配とご迷惑をおかけすることになりましたことを心よりお詫び申し上げます。

１．紛失した機器

ノートパソコン（アクセス制限有）1 台及びUSB メモリ（アクセス制限無）1 個

２．発覚の経緯

当院勤務医師が学会発表データを作成するため、所有するノートパソコンと受診患者さまの情報が保存された USB メモリを病院外に持ち出し、その後、駐車場に一時、駐車し、10 分ほどして車に戻ったところ、車の窓ガラスが割られており、鞄（ノートパソコン及びUSB が入った）が盗難（車上荒らし）されていることが判明しました。速やかに最寄りの警察署に届出を行い、翌4 月21 日（金）に当該医師は上司に状況と経過を報告のうえ、病院長へ当該事案について報告を行い、4 月 24 日（月）に当該医師により、「個人情報紛失・漏出届」を作成のうえ、病院長へ提出がありました。

３．機器に記録されていた情報

兵庫医科大学病院 呼吸器内科の患者さま32 名分に関する個人情報

（患者さま氏名、カルテ番号、生年月日、年齢、性別、病名 ※患者さまの住所、電話番号は含まれておりません）

４．対応

上記3 に該当する患者さまに対し、個別に連絡のうえ、お詫びと本件の経緯説明を行いました。

リリース文（アーカイブ）

週刊OSINT #2023-06号

 

メディア: Intelligence Cycle

情報の収集と文書化の部分が終わったら、データを処理し、分析し、広める時がきます。これがいわゆる「情報収集サイクル」であり、最近ロンドンを拠点とする企業arcXがその重要性についてビデオを公開したということです。これは重要です。なぜなら、単にインターネットからデータや情報を収集するだけではOSINTとは言えず、先月オランダのOSINT Guyが述べたように、データ、情報、インテリジェンスは異なるものだからです。それぞれの意味を理解することが重要です。

チュートリアル: Documentation

OS Tradecraftでは、情報の文書化や収集のプロセスが詳しく説明されています。文書化の重要性だけでなく、正しい方法で行うための方法も説明されています。それは情報の整理について話しているだけでなく、コンプライアンスの部分や監査についても触れています。さらに、ウェブサイト全体をダウンロードするためのツールや、スクリーンショットを撮ったり画面を録画するための便利なアプリケーションのリストなど、いくつかの利用可能なツールについても言及しています。

記事: Verification

OSINT Combineのウェブサイトには先週、オンラインメディアの検証についての新しい記事が投稿されました。それは検証の重要性だけでなく、プロセス自体についても語っています。関連性や信頼性、信憑性、情報が裏付けられるかどうかについても言及しています。この記事は思考プロセスやディスインフォメーションの撲滅、ホークスの検証、オンラインでの調査、ファクトチェックの基礎などを示しています。これは主にオンラインで投稿された情報の検証に関連していますが、これは研究の結果にも適用することができます。なぜなら、誤った仮定が無実の被害者を何度も作ってしまったからです。

小技: Reporting

データの収集、処理、分析が終わった後は、調査結果を報告する時期かもしれません。Redditで「テンプレート」を求める人々が多く見かけますが、これはほとんど不可能なことです。なぜなら、様々な種類のオープンソースインテリジェンスレポートが存在するからです。例えば：

• 犯罪組織
• 軍事紛争
• 関心のある人物
• ジオロケーション
• 事件の検証

このような標準的なテンプレートには、出生地や電話番号などの個人情報を記載する欄があれば、武力紛争の調査時には役に立たなくなります。また、関心のある人物のプロフィールを作成する際には、タイムラインに関するセクションを常に埋めることができるわけではありません。

しかし、インテリジェンスレポートには何が必要なのでしょうか？それについては、2022年12月に公開されたOHCHRバークレー・プロトコルを参照します。

報告書は、収集した情報を分析し、論理的な結論、推定、予測を導くために使用されます。報告書は、堅実な方法論を反映し、その方法論を対象の読者に説明できるようにする必要があります。報告書における基本情報の真実性と誠実性は重要です。

また、該当する場合には報告書に含まれるべきパートも述べられています。実際のバークレー・プロトコルにはなかったものですが、追加した最初のトピックは次の通りです：

導入

個人的な意見ですが、報告書はまず導入から始めるべきです。短い紹介を含めるべきです。イベント自体や情報が共有された場所に触れますが、事実に基づく内容を保つために、あらかじめ推測を含めないように注意してください。

目的

このセクションでは、調査の目的と研究の質問を説明します。目的がある場合、調査自体に明確な目標があります。これはまた、報告書の読者の焦点を絞るのに役立ちます。特定の発見の方向性や目的を確立することができます。

方法論

調査中に説明が必要な研究方法は、この部分に文書化されるか、外部の専門知識が必要とされます。調査中に特定の技術が一部で使用される場合、結果を提示する前に追加の説明が十分かもしれません。

活動

調査中に行われたすべてのステップを説明し、独立した検証を支援します。どのような手順が実行されたか、またいつ、何時に行われたかを文書化します。これにより、独立した調査者が結果を検証できるようになります。

情報源

調査中に使用されたデータの情報源とその品質については、このセクションで言及されます。どんな情報やインテリジェンスも、その信頼性に基づいて有効なものとなります。

不確実性

結論が一定ではない場合や調査において欠落がある場合は、それらを記載する必要があります。これにより、調査が偏見のないものとなることも保証されます。事実に基づいて記述しますが、明確なシナリオを書き留める必要がある場合や何かが不明確な場合には、それを言及することをためらわないでください。

結果

調査の結果はここで事実に基づいて記述されます。新たに発見された質問や調査の可能性のある新たな展開について触れることもありますが、何よりも見つかった内容の要約が含まれます。

そして、これを強調するには言い足りませんが、報告書を作成する際には、事実に固執し、特定の理論を偏好せず、確証バイアスに陥ることがありません。特定の答えを見つけるために推測を使用する場合や新たな調査を開始する場合でも、それが調査の残りに影響を与える作業理論にならないように注意してください。研究者として、プロセス全体で完全に偏見のない態度を持つべきです。

トレーニング: OSINT Exercises

研究の理論的な部分がすべて終わったら、スキルを実践する時です！ソフィア・サントスは、今年の1月に自身のウェブサイトでいくつかのOSINTのチャレンジを投稿しました。現在の執筆時点では、彼女のウェブサイトには5つのチャレンジがありますので、ぜひ挑戦してみてください。素晴らしいことは、行き詰まった時には、彼女がチャレンジの下に可能な解決策を説明したビデオを既に投稿していることです。これらのチャレンジ以外にも、ソフィアのウェブサイトは優れた記事の宝庫となっており、ぜひ彼女のサイトもチェックしてみてください！

出典：Week in OSINT #2023-06

2023年にフォローすべきサイバーセキュリティ関連のTwitterアカウント

2022年10月のイーロン・マスクによる買収後、多くのTwitterユーザーが離れて、より分散型のソーシャルメディアプラットフォームであるMastodonに移行しました。

オープンソースでクラウドファンディングされたMastodonは昨冬、新規アカウントが急増しましたが、多くの新規Mastodonユーザーは複雑なソーシャルネットワークを再構築するのに苦労し、その後、青い鳥のアプリに戻ってきました。サイバーセキュリティコミュニティにとって、Twitterはサイバー関連の全ての情報の主要なソーシャルメディアチャンネルのままです。

知識とリソースを拡大する精神で、ここでは、サイバーセキュリティのトピック、問題、ニュースについて学びたいと考えているすべての人に推奨する、23の厳選されたTwitterアカウントを紹介します。

1. @matrosov | Alex Matrosov
2. @r00tbsd | Paul Rascagnères
3. @silascutler | Silas Cutler
4. @Wanna_VanTa | Van Ta
5. @n0x08 | Nate Warfield
6. @LittleJoeTables | Joe DeMesy
7. @greglesnewich | Greg Lesnewich
8. @hasherezade | Aleksandra Doniec
9. @stvemillertime | Steve Miller
10. @kyleehmke | Kyle Ehmke
11. @ophirharpaz | Ophir Harpaz
12. @oxleyio | David Oxley
13. @malwareunicorn | Amanda Rousseau
14. @cybersecmeg | Meg West
15. @AmarSaar | Saar Amar
16. @ale_sp_brazil | Alexandre Borges
17. @maddiestone | Maddie Stone
18. @cyberwarship | Florian Hansemann
19. @dinosn | Nicolas Krassas
20. @h2jazi | Hossein Jazi
21. @bushidotoken | Will Thomas
22. @milenkowski | Aleksandar Milenkoski
23. @tomヘーゲル | Tom Hegel

Twitterや他のマイクロブログプラットフォームの未来についての議論が落ち着くまでには、もうしばらく時間がかかるでしょう。

出典：Navigating the Cybersecurity Twitterverse | 23 Influential Accounts to Follow in 2023