【セキュリティ事件簿#2023-180】株式会社カドヤ 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年5月17日

このたび、弊社が運営する「カドヤ公式オンラインショップ(以下「当サイト」といいます。)」におきまして、第三者による不正アクセスを受け、個人情報最大28,658名(内クレジットカード情報6,263名)が漏えいした可能性があることが判明いたしました。

日頃より当サイトをご愛顧くださっているお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メール及び書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じて参ります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告申し上げます。

1.経緯

2023年3月15日、一部のクレジットカード会社から、旧環境の当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受けました。漏えい懸念が判明した旧環境の当サイトの決済は2023年3月1日に停止、同日に異なるプラットフォーム及び決済システムの環境にリニューアルいたしておりましたが、一部のクレジットカード会社からの指示により一部のクレジットカード決済を2023年3月24日に停止いたしました。

2023年3月20日に第三者調査機関による調査を開始いたしました。2023年4月8日、第三者調査機関による調査が完了し、2021年4月30日~2023年3月1日の期間に当サイトで購入されたお客様のクレジットカード情報および過去に当サイトに個人情報を入力頂いたお客様の個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1) 原因

弊社が運営するサイトのシステムの一部の脆弱性をついた第三者の不正アクセスにより、サーバー内に侵入され、ペイメントアプリケーションの改ざんが行なわれたため。

(2) クレジットカード情報漏えいの可能性があるお客様

2021年4月30日~2023年3月1日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様最大6,263名で、漏えいした可能性のある情報は以下の通りです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

過去に当サイトをご利用いただいたお客様最大28,658名で、漏えいした可能性のある情報は以下のとおりです。


・氏名
・住所、郵便番号
・電話番号
・メールアドレス
・購入履歴
・会社名(任意入力項目)
・FAX番号(任意入力項目)
・性別(任意入力項目)
・生年月日(任意入力項目)

※なお、配送先を購入者住所とは別でご入力いただいた場合はそちらも対象となります。

上記(2)(3)に該当するお客様については、別途、電子メール及び書状にて個別にご連絡申し上げます。

3.クレジットカード情報漏えいに関してお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表までに時間を要した経緯について

2023年3月15日の漏えい懸念から今回のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびにクレジットカード決済の再開について

現在、一部クレジットカードがご利用いただけない状況でございますが、全てのカードがご利用可能になった際には当サイトにて改めてお知らせいたします。

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図って参ります。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年3月17日に報告済みであり、また、所轄警察署にも2023年4月14日に被害申告、2023年5月2日に被害届を受理頂いており、今後捜査にも全面的に協力して参ります。

6.現在のカドヤ公式オンラインショップについて

不正アクセスを受けたオンラインショップは2023年3月1日に閉鎖、同日に異なるプラットフォームを使用した新システムにリニューアルを行なっており、不正アクセスを受けたシステムとは相関関係がないことを確認した上で、より堅牢なシステムにて継続して運営いたしております。

また、一部のクレジットカード会社の決済停止状況については、再開次第当サイトにてお知らせ申し上げます。

スカンジナビア航空、DDoS攻撃後に300万ドルの身代金要求を受ける


スカンジナビア航空(SAS)は、そのオンラインサービスに対する長期間にわたる分散型サービス拒否(DDoS)攻撃の後、300万ドルの身代金要求を受けています。

Cybernewsの報告によれば、アノニマス・スーダンというハクティビストグループが、航空会社のウェブサイトとスマートフォンアプリを混乱させた後、その金銭的要求をTelegramチャンネルで公開しました。

暗号化されたチャンネルの投稿で、アノニマス・スーダンは身代金要求を300万ドルに引き上げ、航空会社に対して「これがますます増え続けることを期待してください」と述べました。これは、彼らが最初にDDoSキャンペーンを開始したときに要求したわずか3500ドルの身代金よりもはるかに多い額です。

奇妙なことに、アノニマス・スーダンは最新の攻撃に対して政治的な理由を一切示さず、代わりにそれが貧弱なカスタマーサービスへの反応であることを示唆しました。「我々はあなたたちに顧客に対する配慮のレッスンを教えるためにここにいます。我々はあなたたちを攻撃し続け、強度をさらに増すでしょう。我々が以前に言ったように、これは我々にとって何の違いも作りません。我々は単に攻撃し、あなたたちは被害を受けます」と彼らは述べています。

確かに、SASと取引を行う旅行者は、航空会社のウェブサイトにアクセスしたり、SASのモバイルアプリを使用したりする際に、貧弱なカスタマーサービスを経験しています。フラストレーションを感じた顧客たちは、SASのウェブサイトがオフラインになっているか、アプリが機能していないということをSNSで不満を述べています。

SASは、そのウェブサイトとスマートフォンが初めてオフラインになり、顧客データが露出した2月以来、アノニマス・スーダンの攻撃の対象となっています。

攻撃者が"アノニマス・スーダン"という名前を選んだことについては、彼らが実際にはスーダン出身ではない可能性があることに注意すべきです。このキャンペーンが代わりにロシアに関連している可能性があると一部で推測されています。

【セキュリティ事件簿#2023-179】四国ガス株式会社 個人情報流出のお知らせとお詫びについて 2023年5月3日


当社はこの度、第三者による不正アクセスを受けたことを確認いたしましたので、お知らせいたします。

2023 年 5 月 1 日、当社が運営する会員サイト「ガポタ」におきまして、一部会員さまのメールアドレスが流出したことが判明いたしました。現在、会員サイト「ガポタ」につきましては一時的に閉鎖し、管理運営の委託先におきまして不正アクセスを受けた範囲、流出情報の特定などの調査を進めておりますが、全容を把握するまでには、今しばらく時間を要する見込みでございます。詳細につきましては改めてお知らせいたします。なお、本件につきましては会員の皆さまに対しまして、個別にご通知いたしております。

当社は、被害の全容解明と速やかな復旧に向けて、全力で取り組んでまいります。

この度の、会員の皆さまをはじめ、関係各位に多大なご迷惑、ご心配をおかけすることとなり、深くお詫び申しあげます。

【セキュリティ事件簿#2023-178】ヒロセ株式会社 メール送信に関するお詫びについて  2023年5月11日


このたび、お客様へ展示会出展のご案内のメールを配信したところ、別のお客様の氏名とメールアドレスを宛先に表示させて送信していたことが判明しました。お客様に多大なるご心配、ご迷惑をおかけしましたこと、深くお詫び申し上げます。

1.概要

2023 年 5 月 11 日(水)13 時 2 分頃にご案内メールを送信する際に、480 名のお客様に対し、本来送信先がわからない「BCC」で送信するところを「CC」で誤送信し、当該メールを受信した方以外の、他の方の氏名とメールアドレスが表示されている状況となりました。

2.原因
メール配信前に内容確認を十分に行わなかったこと、チェック体制が未整備であったことが原因です。

3.お客様への対応

本件の発覚後、メール誤配信のあったお客様に対し、速やかにお詫びのメールをお送りしました。

3.再発防止策

本作業における作業手順の確立、ならびに、別担当者・上司等による複数チェック体制の整備を行うとともに、テストメール送信による確実な確認を行います。
また、コンプライアンス上の重大性を鑑み、個人情報取り扱い業務における作業管理体制を、全社員へ啓蒙してまいります。 

【セキュリティ事件簿#2023-177】ビーピークラフト株式会社 弊社が運営する「Beads&Parts通販サイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年5月16日


このたび、弊社が運営する「Beads&Parts通販サイト」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報1,771件及び個人情報2,821件が漏えいした可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

なお、個人情報2,821件が最大漏えい件数となり、クレジットカード情報1,771件はこれに含まれております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1.経緯

2023年2月17日、弊社サイトを利用したお客様からBeads&Parts通販サイトが開けないと連絡が入りました。お客様の個人情報漏えいを懸念し、緊急対策として本サイトの閉鎖およびクレジットカード決済の停止をいたしました。また2023年2月20日一部のクレジットカード会社から弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、第三者調査機関による調査も開始いたしました。2023年3月25日、調査機関による調査が完了し、2023年1月12日~2023年2月17日の期間に 本サイトで購入されたお客様クレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏えい状況

(1)原因

本サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2023年1月12日~2023年2月17日の期間中に本サイトにおいてクレジットカード決済をされたお客様1,771名で、漏えいした可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

(3)個人情報漏えいの可能性があるお客様

2023年1月12日~2023年2月17日の期間中に本サイトにおいて購入されたお客様2,821名で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・メールアドレス

・郵便番号

・住所

・電話番号

上記(2)、(3)に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2023年2月17日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の本サイトのクレジットカード決済再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年2月21日に報告済みであり、また、所轄警察署にも2023年4月13日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2023-176】Transbird株式会社 個人情報漏洩に関するご報告とお詫び 2023年4月28日


この度当社におきまして、東京都政策企画局より受託しておりましたインターネット都政モニターの募集に際し、システムの不具合により個人情報が漏洩する事故が発生いたしましたので、お知らせいたします。

応募者様をはじめ関係者の皆さまに多大なるご心配とご迷惑をおかけいたしておりますことを、深くお詫び申し上げます。

個人情報取り扱いにあたり、管理の徹底に努めてまいりましたが、この度の事態を受けまして改めて職員への個人情報保護教育を徹底し、再発防止に取り組んで参ります。

1.事故概要

インターネット都政モニターの募集サイトを令和5年4月21日(金)に立ち上げました。4月26日(水)18時よりSNSによる告知を開始したところ、システムに不具合が発生し、約2時間、応募者136名の登録完了を確認する画面に登録者本人とは別の名前およびメールアドレスが表示される事象が発生いたしました。

1)発生日時 令和5年4月26日 21時34分から23時27分の間

2)漏洩した可能性がある個人情報 

応募者1名の名前とメールアドレス

3)漏洩の原因

仮ID発行によるシステムの不具合

4)対応状況 4月26日23時27分不具合を解消しました。4月27日10時00分インターネット都政モニターの募集を一時停止しました。

4月27日名前とメールアドレスを表示させてしまった方へ謝罪のため訪問いたしました。表示させてしまった事実およびその状況を説明しお詫びいたしました。

5)今後の対応状況および進捗につきまして改めて公表いたします。

今回の事態を重く受け止め、再発防止に向けてシステムならびに情報管理体制の強化に努めてまいります。

週刊OSINT #2023-08号

 

ツール: Sengi

Tweetdeckは、多くの人々にとって複数のTwitter検索を整理するためのお気に入りの方法の一つです。そして数週間前に、MastodonやPleromaのために同様のことができるツールに偶然出会いました。そしてそれは単一のアカウントだけでなく、複数のアカウントを簡単に追加し、フィルター処理や整理、メッセージの送信を容易に行うことができます。今まではMastodonであまり活動的ではありませんでしたが、このツールを使えばより頻繁にチェックすることになると思います!


ツール: Outscraper

Roman Höfnerから『Outscraper』についてのヒントを受け取りました。Romanが2023-05号で話したBNDのスパイを追跡するために使用したという事実を考慮に入れると、この素晴らしツールに見えます。


GitHubの小技

先日、Ivano Somainiが共有した便利な小技に気付きました。GitHubのユーザーから電子メールアドレスを取得するためのさまざまなテクニックは多くの人が知っていますが、これは逆の方法です。電子メールアドレスで検索することで、そのアドレスを含むコミットを見つけることができます。


使用できる2つの検索オプションは次の通りです:

committer-email:user@email.com

author-email:user@email.com


小技: Detect Changes

Eva ProkofievがVisualpingについての小さなTwitterスレッドを投稿しました。このツールは、無料の利用枠も提供しており、ウェブサイトの変更を追跡することができます。EvaのTwitterプロフィールの例では、バイオグラフィーのわずかな変更が見つかり、強調されています。無料の利用枠が十分でない場合は、2020-48号にさかのぼって、Distill.ioに関するレビューもチェックすることをおすすめします。


小技: Arkenfox

DiscordのユーザーSwagaliciousが、Firefoxの興味深い設定セットへのリンクを共有しました。特定のファイルをFirefoxプロファイルのルートフォルダにコピーするだけで、Firefoxブラウザを強化することができます。使用を開始する前に、Wikiを読んでその動作原理を理解するようにしてください。単純なインストールやクリック&ランではないためです。技術的に詳しい方はぜひ試してみてください!


出典:Week in OSINT #2023-08

【セキュリティ事件簿#2023-175】トヨタコネクティッド株式会社 クラウド環境の誤設定によるお客様情報等の漏洩可能性に関するお詫びとお知らせについて 2023年5月12日


トヨタコネクティッド株式会社(以下、弊社)が管理するデータの一部が、クラウド環境の誤設定により、公開状態となっていたことが判明しました。本件判明後、外部からのアクセスを遮断する措置を実施しておりますが、弊社が管理する全てのクラウド環境を含めた調査を継続して実施しており、本日時点で判明している事案につき、お知らせさせていただきます。
お客様ならびに関係の皆さまには大変なご迷惑、ご心配をおかけすることを、お詫び申し上げます。

本日時点で把握している事案は以下のとおりです。

外部より閲覧された可能性があるお客様情報車載端末ID*1、車台番号*2、車両の位置情報、時刻
対象となるお客様2012年1月2日〜2023年4月17日の期間内にT-Connect/G-Link/G-Link Lite/G-BOOKを契約されていた方(約215万人)
外部からアクセスできる状態にあった期間2013年11月6日~2023年4月17日

*1車載機(ナビ端末)ごとの識別番号
*2車両一台ずつに割り当てられた識別番号


外部より閲覧された可能性がある情報弊社が提供する法人向けサービスから収集されたドライブレコーダーで車外を撮影した映像
外部からアクセスできる状態にあった期間2016年11月14日~2023年4月4日
車載端末ID、車台番号、車両の位置情報、時刻が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、お詫びとお知らせを個別にお送りさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置いたします。

このたびは、データ取扱いのルール説明・徹底が不十分だったことなどが主な原因であったと考えております。従業員への教育を徹底し、再発防止に取り組むと同時に、クラウド設定を監査するシステムを導入し、クラウド環境の設定調査を実施、および継続的に設定状況を監視する仕組みを構築いたします。

今回、外部より閲覧された可能性のあるお客様情報は、外部からアクセスした場合であっても、これらのデータのみでは、お客様が特定されるものではありません。本件判明後より、外部より閲覧された可能性のあるお客様情報について、ネット上での第三者による二次利用、コピーの残存有無の継続調査の際、その事実は確認されず、現在のところ、その他の二次被害も確認されておりませんが、引き続きプライバシーマーク付与事業者として、お客様の大切な個人情報やデータの取り扱いへの安全な管理の徹底、およびセキュリティ機能の強化に向け取り組んでまいります。