【セキュリティ事件簿#2023-183】エーザイ株式会社 不正アクセスによる個⼈情報流出の可能性に関するお詫びとご報告 2023年5月19日

エーザイ株式会社並びにその子会社・関連会社である EA ファーマ株式会社、株式会社カン研究所及び株式会社サンプラネット（以下「当社ら」といいます）の一部の取引先関係者様のご氏名及びメールアドレスが、外部からの不正アクセスにより、漏洩した可能性があることが判明致しました。取引先関係者様には大変なご迷惑とご心配をお掛けし、心よりお詫び申し上げます。

１. 漏洩の可能性のある対象者

対象となる可能性がある取引先関係者様は、2018 年 5 月から 2023 年 4 月に当社らが管理する Microsoft 製品または ID 管理システムに、当社らとの業務上の目的のためにユーザー登録された方で、現時点までの調査においては、具体的には以下に該当する方が含まれています。

• 当社ら管理の Microsoft Teams へプロジェクト等で招待された方（単に Teams 会議に招待された方は対象外です）
• 当社ら管理の Microsoft SharePoint へのアクセス権を付与された方
• 当社ら管理の Microsoft 365 グループ（メーリングリスト）に登録された方
• 当社ら管理の ID 管理システムに登録された方(業務委託会社等)

海外関連会社を含む当社グループ全体として約 11,000 件の取引先関係者様の情報が対象となっており、その一部が国内グループ企業である当社らの取引先関係者様の情報である可能性がございます。なお、当社らのセルフケア商品の通信販売やキャンペーンなど一般生活者様の情報については該当致しません。

２． 漏洩の可能性のある個人情報

現在もなお検証中ですが、漏洩の可能性がある個人情報は、ご氏名（登録されていた場合のみ）及び当社らとの業務上使用されたメールアドレスのみであり、その他情報について漏洩の可能性はない見通しです。

３. 経緯及び対応

2023 年 4 月 28 日（日本時間）に、当社グループの海外法人の社員のアカウントを不正に使用した外部者から、当社グループのクラウドプラットフォーム上の一部の情報に対し不正なアクセスがあり、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。 これを受け当社グループでは、直ちに不正アクセスの遮断と対処、当社グループのネットワークに対する監視強化を実施、加えて流出した可能性がある情報のモニタリングを継続しています。引き続き、被害状況及び原因の解明を進めています。なお、個人情報保護委員会への報告等、各国規制に沿った対応を実施致しました。今後も必要に応じこれらの関係機関と連携して対応してまいります。

今後メールアドレスを悪用した迷惑メールが送信される等の可能性がありますので、十分にご注意いただくようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-182】函館大谷高等学校 個人情報漏えいの疑いに関するお詫びとご報告 2023年4月17日

令和5年3月、令和4年3月および令和3年3月に生徒等の個人情報が漏えいした可能性があることについて、以下にご報告いたします。

（概要）

令和5年3月22日11時14分、新入生の氏名印作成に必要なデータ（119名分）について、本校事務職員が制作業者の使用するメールアドレスに送信すべきところ、誤ったメールアドレス（以下、誤アドレス）にこれを送信。同日11時47分、制作業者からメールが届いていない旨の連絡があり、再送。これも不着となり、制作業者に確認したことにより、送信先のメールアドレスが誤っていたことが判明しました。

この誤送信に対してメールサーバーはエラーメッセージを返しておらず、誤アドレスは実在する可能性が極めて高いと推察されます。なお、調査の結果、以下のとおり、同様の事例が過去にも生じていたことが発覚しました。

• 令和4年3月18日16時16分　令和4年度　新入生134名分
• 令和4年3月18日16時26分　上に同じ
• 令和3年3月18日13時19分　令和3年度新入生106名、在校生1名および新任職員3名分

個人情報はメールにExcel形式のファイルで添付されており、記載内容は以下のとおりです。

• 受検番号
• 氏名
• 氏名カタカナ

（対処）

令和5年3月24日20時29分、誤アドレス宛に謝罪および報告をおこなうも、令和5年4月15日現在、これに返信はありません。同日18時2分、アドレスから推察されるプロバイダ運営法人の法人専用相談ページより対応を乞う連絡をおこない、これによって案内された問い合わせ電話窓口より経緯を報告するとともに、対応を依頼しましたが、一切おこなえないとの返答でした。

現時点では誤送信の相手によるメール開封について確認をすること、およびこれを回収することは事実上不可能と判断されます。データには氏名以外の個人に紐づけられる情報は含まれておらず、万一、データが閲覧された場合も悪用の可能性は低いと考えられ、また代表的な検索エンジンで当該のデータを検索しても、検索結果に表示されないことから、データが流出した可能性は極めて低いと考えられますが、重要な情報が届くべきではない第三者に届いたことは確実と思われ、このことについて、ご報告いたしますとともに、深くお詫び申し上げます。

本校は、今後このようなことが再び起こらないよう、メールをはじめとする連絡において個人情報を扱う際のルールを見直し、改善をおこないます。また、生徒をはじめとする学校関係者のプライバシーとセキュリティを守るべく、全力を尽くす所存です。

最後に、生徒、保護者各位と学校に関わるすべての方々の信頼を裏切ることになりましたこと、重ねてお詫び申し上げます。なお、4月18日、緊急全校集会を開催し、本件について全校生徒に通知、報告をおこなうとともに、保護者各位には書面にて通知、報告を行う予定です。ご不明な点等がございましたら、どうぞお問い合わせください。

リリース文（アーカイブ）

DNS調査のツールとその使用方法（DNSRecon）

 

ネットワークセキュリティは現代の情報技術に不可欠な部分であり、DNSReconはその中でも強力なツールの一つです。DNSReconはDNS（ドメインネームシステム）情報を調査するためのツールで、セキュリティ分析やペネトレーションテストにおいて重宝します。今回はこのツールの概要と基本的な使用方法について解説します。

DNSReconとは？

DNSReconは、特定のドメインに関するDNSレコードを探索し、ゾーン転送を試み、DNSサーバーへのブルートフォース攻撃を行うなど、DNS情報収集のためのツールです。

DNSReconの基本的な使用方法

以下にDNSReconを使用する際の基本的なコマンドの一部を示します。

・特定のドメインのDNSレコードの確認

bash
dnsrecon -d example.com

上記のコマンドは、example.comに関連する一般的なDNSレコード（A、MX、NSなど）を探索します。

・ゾーン転送の試行

bash
dnsrecon -d example.com -a

このコマンドは、ドメインexample.comに対してゾーン転送を試みます。これにより、ドメインに関連する詳細なDNS情報が得られます。

・DNSサーバーのブルートフォース攻撃

bash
dnsrecon -d example.com -D subdomains.txt -t brt

このコマンドは、subdomains.txtにリストされたサブドメインに対してブルートフォース攻撃を試みます。

注意：DNSReconは情報収集ツールであり、適切な権限なく使用すると法的な問題を引き起こす可能性があります。常に適切な許可を得てから使用してください。

まとめ

DNSReconはDNS調査のためのパワフルなツールで、適切に使用するとセキュリティ分析やペネトレーションテストにおける重要な情報を得ることができます。この記事を通じて、基本的な使用方法について理解できたことを願っています。これからも安全なネットワークを保つために、これらのツールをうまく活用していきましょう。

出典：Subdomain Enumeration

【セキュリティ事件簿#2023-181】東日本高速道路株式会社 電子メールの誤送信についてのお詫び 2023年5月17日

このたび、弊社が配信する「ＩＲメールマガジン」をお客さまへ電子メールにて送信した際、他のお客さまのメールアドレスを宛先に表示させて誤送信する事態を発生させてしまいました。

お客さまに多大なるご迷惑をお掛けしましたことを、心よりお詫び申し上げます。

１． 発生状況とお客さまへの対応

令和５年５月１６日（火）１１時５９分、計３８３名のお客さまへ弊社より一斉メールを送信した際、本来、送信先がわからない「ＢＣＣ」で送信するところを「宛先」で誤送信し、当該メールを受信した方以外のメールアドレスが表示されている状況となりました。

当該一斉メールを受信されましたすべてのお客さまへ、他のお客さまにメールアドレスを誤送信してしまったお詫びとともに、受信メールの削除をお願いしております。

　≪誤送信メール件名≫

　「★ＮＥＸＣＯ東日本★ＩＲメールマガジン　第１３８号」

２． 今後の対応

このような事態を引き起こしましたことを深く反省し、今後は弊社社員に対する教育を改めて徹底し、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-180】株式会社カドヤ 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2023年5月17日

このたび、弊社が運営する「カドヤ公式オンラインショップ（以下「当サイト」といいます。）」におきまして、第三者による不正アクセスを受け、個人情報最大28,658名（内クレジットカード情報6,263名）が漏えいした可能性があることが判明いたしました。

日頃より当サイトをご愛顧くださっているお客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

クレジットカード情報および個人情報が漏えいした可能性のあるお客様には、本日より、電子メール及び書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じて参ります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告申し上げます。

１．経緯

2023年3月15日、一部のクレジットカード会社から、旧環境の当サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受けました。漏えい懸念が判明した旧環境の当サイトの決済は2023年3月1日に停止、同日に異なるプラットフォーム及び決済システムの環境にリニューアルいたしておりましたが、一部のクレジットカード会社からの指示により一部のクレジットカード決済を2023年3月24日に停止いたしました。

2023年3月20日に第三者調査機関による調査を開始いたしました。2023年4月8日、第三者調査機関による調査が完了し、2021年4月30日～2023年3月1日の期間に当サイトで購入されたお客様のクレジットカード情報および過去に当サイトに個人情報を入力頂いたお客様の個人情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

２．個人情報漏えい状況

(1) 原因

弊社が運営するサイトのシステムの一部の脆弱性をついた第三者の不正アクセスにより、サーバー内に侵入され、ペイメントアプリケーションの改ざんが行なわれたため。

(2) クレジットカード情報漏えいの可能性があるお客様

2021年4月30日～2023年3月1日の期間中に当サイトにおいてクレジットカード情報を登録されたお客様最大6,263名で、漏えいした可能性のある情報は以下の通りです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

（3）個人情報漏えいの可能性があるお客様

過去に当サイトをご利用いただいたお客様最大28,658名で、漏えいした可能性のある情報は以下のとおりです。

・氏名

・住所、郵便番号

・電話番号

・メールアドレス

・購入履歴

・会社名（任意入力項目）

・FAX番号（任意入力項目）

・性別（任意入力項目）

・生年月日（任意入力項目）

※なお、配送先を購入者住所とは別でご入力いただいた場合はそちらも対象となります。

上記(2)(3)に該当するお客様については、別途、電子メール及び書状にて個別にご連絡申し上げます。

３．クレジットカード情報漏えいに関してお客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

４．公表までに時間を要した経緯について

2023年3月15日の漏えい懸念から今回のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行なうことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

５．再発防止策ならびにクレジットカード決済の再開について

現在、一部クレジットカードがご利用いただけない状況でございますが、全てのカードがご利用可能になった際には当サイトにて改めてお知らせいたします。

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図って参ります。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年3月17日に報告済みであり、また、所轄警察署にも2023年4月14日に被害申告、2023年5月2日に被害届を受理頂いており、今後捜査にも全面的に協力して参ります。

６．現在のカドヤ公式オンラインショップについて

不正アクセスを受けたオンラインショップは2023年3月1日に閉鎖、同日に異なるプラットフォームを使用した新システムにリニューアルを行なっており、不正アクセスを受けたシステムとは相関関係がないことを確認した上で、より堅牢なシステムにて継続して運営いたしております。

また、一部のクレジットカード会社の決済停止状況については、再開次第当サイトにてお知らせ申し上げます。

リリース文（アーカイブ）

スカンジナビア航空、DDoS攻撃後に300万ドルの身代金要求を受ける

スカンジナビア航空（SAS）は、そのオンラインサービスに対する長期間にわたる分散型サービス拒否（DDoS）攻撃の後、300万ドルの身代金要求を受けています。

Cybernewsの報告によれば、アノニマス・スーダンというハクティビストグループが、航空会社のウェブサイトとスマートフォンアプリを混乱させた後、その金銭的要求をTelegramチャンネルで公開しました。

暗号化されたチャンネルの投稿で、アノニマス・スーダンは身代金要求を300万ドルに引き上げ、航空会社に対して「これがますます増え続けることを期待してください」と述べました。これは、彼らが最初にDDoSキャンペーンを開始したときに要求したわずか3500ドルの身代金よりもはるかに多い額です。

奇妙なことに、アノニマス・スーダンは最新の攻撃に対して政治的な理由を一切示さず、代わりにそれが貧弱なカスタマーサービスへの反応であることを示唆しました。「我々はあなたたちに顧客に対する配慮のレッスンを教えるためにここにいます。我々はあなたたちを攻撃し続け、強度をさらに増すでしょう。我々が以前に言ったように、これは我々にとって何の違いも作りません。我々は単に攻撃し、あなたたちは被害を受けます」と彼らは述べています。

確かに、SASと取引を行う旅行者は、航空会社のウェブサイトにアクセスしたり、SASのモバイルアプリを使用したりする際に、貧弱なカスタマーサービスを経験しています。フラストレーションを感じた顧客たちは、SASのウェブサイトがオフラインになっているか、アプリが機能していないということをSNSで不満を述べています。

SASは、そのウェブサイトとスマートフォンが初めてオフラインになり、顧客データが露出した2月以来、アノニマス・スーダンの攻撃の対象となっています。

攻撃者が"アノニマス・スーダン"という名前を選んだことについては、彼らが実際にはスーダン出身ではない可能性があることに注意すべきです。このキャンペーンが代わりにロシアに関連している可能性があると一部で推測されています。

出典：SAS Airlines hit by $3 million ransom demand following DDoS attacks

【セキュリティ事件簿#2023-179】四国ガス株式会社 個人情報流出のお知らせとお詫びについて 2023年5月3日

当社はこの度、第三者による不正アクセスを受けたことを確認いたしましたので、お知らせいたします。

2023 年 5 月 1 日、当社が運営する会員サイト「ガポタ」におきまして、一部会員さまのメールアドレスが流出したことが判明いたしました。現在、会員サイト「ガポタ」につきましては一時的に閉鎖し、管理運営の委託先におきまして不正アクセスを受けた範囲、流出情報の特定などの調査を進めておりますが、全容を把握するまでには、今しばらく時間を要する見込みでございます。詳細につきましては改めてお知らせいたします。なお、本件につきましては会員の皆さまに対しまして、個別にご通知いたしております。

当社は、被害の全容解明と速やかな復旧に向けて、全力で取り組んでまいります。

この度の、会員の皆さまをはじめ、関係各位に多大なご迷惑、ご心配をおかけすることとなり、深くお詫び申しあげます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-178】ヒロセ株式会社 メール送信に関するお詫びについて 2023年5月11日

このたび、お客様へ展示会出展のご案内のメールを配信したところ、別のお客様の氏名とメールアドレスを宛先に表示させて送信していたことが判明しました。お客様に多大なるご心配、ご迷惑をおかけしましたこと、深くお詫び申し上げます。

１．概要

2023 年 5 月 11 日（水）13 時 2 分頃にご案内メールを送信する際に、480 名のお客様に対し、本来送信先がわからない「BCC」で送信するところを「CC」で誤送信し、当該メールを受信した方以外の、他の方の氏名とメールアドレスが表示されている状況となりました。

２．原因

メール配信前に内容確認を十分に行わなかったこと、チェック体制が未整備であったことが原因です。

３．お客様への対応

本件の発覚後、メール誤配信のあったお客様に対し、速やかにお詫びのメールをお送りしました。

３．再発防止策

本作業における作業手順の確立、ならびに、別担当者・上司等による複数チェック体制の整備を行うとともに、テストメール送信による確実な確認を行います。

また、コンプライアンス上の重大性を鑑み、個人情報取り扱い業務における作業管理体制を、全社員へ啓蒙してまいります。 

リリース文（アーカイブ）