【セキュリティ事件簿#2023-188】沖縄県立看護大学 情報セキュリティインシデントの発生について  2023年5月16日


この度、本学の学生1名の大学メールアドレス及びパスワードが詐取され、Microsoft365のサービスを悪用し迷惑メールが送信される事案が発生しました。既に当該学生のメールアドレスのパスワードは変更しており、変更後の不正アクセスは確認されていません。このような事案が発生し、関係者の皆様に多大なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事案を重く受け止め、メールアドレス及びパスワードの厳重な取扱いを徹底するとともに、再発防止措置を講じてまいります。

<事故の概要>
学生1名の Microsoft365 アカウントに不正アクセスがあり、2022 年 12 月 6 日〜2023年 3 月 8 日までの間に、当該学生のメールアドレスから 12,941 件の迷惑メールが不特定多数の宛先に送信されました。迷惑メールの多くは外国語で海外サイトへのリンクが張られたもので、Microsoft365 のメール送信サーバへ直接アクセスすることで行われた可能性が高いと思われます。

<情報漏洩の可能性>
現在までに、上記以外のメールアドレスやアカウントの悪用等に関する事実は確認されていません。

○漏洩した可能性のある情報
当該アカウントのメールボックス内のデータ(メールアドレス、氏名、メール本文、
添付ファイル)
学内関係者宛て・・・ 330 件
大学部外者宛て・・・ 139 件

○当該アカウントから送信された迷惑メール件数・・・12,941 件

<再発防止策>
教職員及び学生への情報リテラシー研修を実施するとともに、セキュリティの強化など再発防止策を講じてまいります。




サブドメイン列挙ツール:Sublist3r

 

セキュリティ研究やペネトレーションテスティングにおいて有用な一つのツール、Sublist3rの紹介。Sublist3rは、特定のドメインに対するすべてのサブドメインを列挙するためのPython製のオープンソースツール。その能力はOSINT(Open Source Intelligence)の一環であり、公開情報から情報を収集します。

Sublist3rとは何か?

簡単に言うと、Sublist3rは様々な検索エンジン(Google、Yahoo、Bing等)と人気のあるツールのAPI(Netcraft、Virustotal、ThreatCrowd、SSL Certificates Transparency Logsなど)を利用して、特定のドメインのすべてのサブドメインを探し出すツールです。

なぜSublist3rが必要なのか?

サブドメインの発見は、情報収集フェーズにおいて非常に重要です。特定のドメインがどのように構築され、どのサーバーが公開されているかを理解するための重要な手段となります。

Sublist3rの簡単な使い方

それでは、実際にSublist3rをどのように使うのかを見てみましょう。

1.インストール: まずはGitHubからSublist3rをクローンします。


git clone https://github.com/aboul3la/Sublist3r.git

2.次に、Sublist3rディレクトリに移動し、必要なPythonライブラリをインストールします。


cd Sublist3r pip install -r requirements.txt

3.使用方法: 基本的な使用方法は非常にシンプルです。以下のコマンドを使用して特定のドメイン(ここでは"example.com")のサブドメインを列挙します。

python sublist3r.py -d example.com


これだけで、Sublist3rが「example.com」のすべてのサブドメインを探し出してくれます。

Sublist3rは、セキュリティテストやネットワーク分析において非常に役立つツールです。特にOSINTに関心がある方はぜひ一度お試しください。ただし、正当な理由と許可がない限り、他人のドメインでこれを使用しないでください。

出典:Subdomain Enumeration

【セキュリティ事件簿#2023-187】三井住友カード株式会社 ご利用代金明細書の有料化ご案内DMに関するお詫び 2023年5月24日


三井住友カード株式会社(以下、「弊社」といいます)は、弊社が発行する提携カード(以下「本カード」といいます)のうち、後記3.記載の券種をお持ちのお客さまに対し、4月18日(火)および4月20日(木)に、本カードに係る紙のご利用代金明細書のサービス内容の変更をお知らせするため、シーラーはがきタイプのダイレクトメール(以下、「本DM」といいます)を郵送いたしました。

その際、本DMの表面宛先部に、本来お客さま照会番号を印字すべきところ、誤ってクレジットカード番号(以下「カード番号」といいます)を印字した状態で送付(以下「本事態」といいます)しておりました。なお、本DMには、有効期限やセキュリティコードなどのカード番号以外の情報は一切記載しておりません。

本DMについては、すべてお客さまからご申告いただいた住所あてに発送していることから、本事態に起因してお客さまご本人以外の第三者がカード番号を知り得た可能性は極めて低いと考えておりますが、本来表示すべきでないカード番号を本DM表面宛先部に印字してしまったことに関し、お客さまに大変なご心配とご迷惑をおかけいたしましたことを深くお詫び申し上げます。

経緯などにつきまして、以下のとおり、お知らせいたします。

1.発生日

2023年4月18日(火)、4月20日(木)送付分

2.件数

合計290,771件

3. 対象券種

「AOYAMA VISAカード」

「AOYAMA PiTaPaカード」 (VISA)

「AOYAMA LiVE MAX VISAカード」

「BLUE ROSE CARD」 (VISA)

4. 原因

通常、弊社では、お客さまにDMをお送りする際は、住所、氏名およびお客さま照会番号などのお客さま情報を基幹システムから抜き出し、DM表面の宛先部に印字して発送しますが、今回、システムからお客さま情報を抜き出す作業において、通常とは異なる確認作業をもってDMを作成したことによるものです。

5.お客さまへの対応

弊社は、本DMを送付させていただいたお客さま全員に対し、事態をご説明する書面を封書にて順次送付いたしております。

また、弊社は、お客さまが引き続き安心してお手許の本カードをご利用いただけるよう、本カードのモニタリングを強化するとともに、万が一、本カードの不正利用などによる損害がお客さまに発生した場合、弊社会員規約に基づき弊社にてお支払いいたします。

弊社は本事態に関するお客さまからのお問い合わせをお受けするため、通常のご照会窓口とは別に、本事態のご照会専用窓口を開設いたしておりますので、ご不明な点のある方や、本カードとはカード番号が異なる新カードへの差し替えをご希望される方は、後記7.記載の番号にご連絡いただくようお願いいたします。

6.再発防止策

弊社は、本事態を重く受け止め、直ちに原因を特定のうえ再発防止策を講じ、再び斯かる事態が発生することのないよう管理を強化いたしました。

また、お客さま情報の取り扱いに際して、その重要性を再度社内で周知するとともに、DM作成にあたっては、これまで以上に厳格に行うよう、再度徹底してまいります。

【セキュリティ事件簿#2023-184】大槌町 不正アクセスに伴う個人情報の漏えいのおそれがある事案が発生いたしました 2023年5月15日



このような事態が発生したことについて、お客さまに多大なるご不安とご迷惑をおかけすることとなり、心からお詫び申し上げます。

なお、該当する方々には、令和5年5月1日に今回の事案に関するお知らせとお詫びの文章を郵送しております。

現時点での詳細につきましては下記のとおりお知らせいたします。

1 概要及び経緯

令和5年4月24日に当町の水道事業及び下水道事業で支払処理に使用している会計システムが起動できないという障害が発生したため、当該システムのリース・保守契約をしている事業者にシステムの状態を確認させたところ、翌25日にコンピュータウィルスに感染していたおそれがあることが判明しました。

このことにより、現時点において、個人情報の漏えいのおそれがある状況にあります。

2 原因

詳細は調査中です。

3 漏えいが発生したおそれがある範囲

(1)漏えいの可能性がある人数
   町内外の個人及び法人の代表者名あわせて566名

(2)漏えいの可能性がある個人情報について
   氏名、住所、電話番号及び口座情報

4 今後の対応について

現在、感染経路の確認と、情報漏えいの有無について調査を進めているところです。

お客さまには、調査結果等がわかり次第、改めてご連絡させていただきます。

なお、個人情報の取扱いについて、現状の問題点の検証と再発防止策の策定・確立を行います。

【セキュリティ事件簿#2023-183】エーザイ株式会社 不正アクセスによる個⼈情報流出の可能性に関するお詫びとご報告 2023年5月19日


エーザイ株式会社並びにその子会社・関連会社である EA ファーマ株式会社、株式会社カン研究所及び株式会社サンプラネット(以下「当社ら」といいます)の一部の取引先関係者様のご氏名及びメールアドレスが、外部からの不正アクセスにより、漏洩した可能性があることが判明致しました。取引先関係者様には大変なご迷惑とご心配をお掛けし、心よりお詫び申し上げます。

1. 漏洩の可能性のある対象者

対象となる可能性がある取引先関係者様は、2018 年 5 月から 2023 年 4 月に当社らが管理する Microsoft 製品または ID 管理システムに、当社らとの業務上の目的のためにユーザー登録された方で、現時点までの調査においては、具体的には以下に該当する方が含まれています。
  • 当社ら管理の Microsoft Teams へプロジェクト等で招待された方(単に Teams 会議に招待された方は対象外です)
  • 当社ら管理の Microsoft SharePoint へのアクセス権を付与された方
  • 当社ら管理の Microsoft 365 グループ(メーリングリスト)に登録された方
  • 当社ら管理の ID 管理システムに登録された方(業務委託会社等)
海外関連会社を含む当社グループ全体として約 11,000 件の取引先関係者様の情報が対象となっており、その一部が国内グループ企業である当社らの取引先関係者様の情報である可能性がございます。なお、当社らのセルフケア商品の通信販売やキャンペーンなど一般生活者様の情報については該当致しません。

2. 漏洩の可能性のある個人情報

現在もなお検証中ですが、漏洩の可能性がある個人情報は、ご氏名(登録されていた場合のみ)及び当社らとの業務上使用されたメールアドレスのみであり、その他情報について漏洩の可能性はない見通しです。

3. 経緯及び対応

2023 年 4 月 28 日(日本時間)に、当社グループの海外法人の社員のアカウントを不正に使用した外部者から、当社グループのクラウドプラットフォーム上の一部の情報に対し不正なアクセスがあり、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。 これを受け当社グループでは、直ちに不正アクセスの遮断と対処、当社グループのネットワークに対する監視強化を実施、加えて流出した可能性がある情報のモニタリングを継続しています。引き続き、被害状況及び原因の解明を進めています。なお、個人情報保護委員会への報告等、各国規制に沿った対応を実施致しました。今後も必要に応じこれらの関係機関と連携して対応してまいります。

今後メールアドレスを悪用した迷惑メールが送信される等の可能性がありますので、十分にご注意いただくようお願い申し上げます。

【セキュリティ事件簿#2023-182】函館大谷高等学校 個人情報漏えいの疑いに関するお詫びとご報告 2023年4月17日


令和5年3月、令和4年3月および令和3年3月に生徒等の個人情報が漏えいした可能性があることについて、以下にご報告いたします。

(概要)
令和5年3月22日11時14分、新入生の氏名印作成に必要なデータ(119名分)について、本校事務職員が制作業者の使用するメールアドレスに送信すべきところ、誤ったメールアドレス(以下、誤アドレス)にこれを送信。同日11時47分、制作業者からメールが届いていない旨の連絡があり、再送。これも不着となり、制作業者に確認したことにより、送信先のメールアドレスが誤っていたことが判明しました。
この誤送信に対してメールサーバーはエラーメッセージを返しておらず、誤アドレスは実在する可能性が極めて高いと推察されます。なお、調査の結果、以下のとおり、同様の事例が過去にも生じていたことが発覚しました。
  • 令和4年3月18日16時16分 令和4年度 新入生134名分
  • 令和4年3月18日16時26分 上に同じ
  • 令和3年3月18日13時19分 令和3年度新入生106名、在校生1名および新任職員3名分
個人情報はメールにExcel形式のファイルで添付されており、記載内容は以下のとおりです。
  • 受検番号
  • 氏名
  • 氏名カタカナ
(対処)
令和5年3月24日20時29分、誤アドレス宛に謝罪および報告をおこなうも、令和5年4月15日現在、これに返信はありません。同日18時2分、アドレスから推察されるプロバイダ運営法人の法人専用相談ページより対応を乞う連絡をおこない、これによって案内された問い合わせ電話窓口より経緯を報告するとともに、対応を依頼しましたが、一切おこなえないとの返答でした。

現時点では誤送信の相手によるメール開封について確認をすること、およびこれを回収することは事実上不可能と判断されます。データには氏名以外の個人に紐づけられる情報は含まれておらず、万一、データが閲覧された場合も悪用の可能性は低いと考えられ、また代表的な検索エンジンで当該のデータを検索しても、検索結果に表示されないことから、データが流出した可能性は極めて低いと考えられますが、重要な情報が届くべきではない第三者に届いたことは確実と思われ、このことについて、ご報告いたしますとともに、深くお詫び申し上げます。

本校は、今後このようなことが再び起こらないよう、メールをはじめとする連絡において個人情報を扱う際のルールを見直し、改善をおこないます。また、生徒をはじめとする学校関係者のプライバシーとセキュリティを守るべく、全力を尽くす所存です。

最後に、生徒、保護者各位と学校に関わるすべての方々の信頼を裏切ることになりましたこと、重ねてお詫び申し上げます。なお、4月18日、緊急全校集会を開催し、本件について全校生徒に通知、報告をおこなうとともに、保護者各位には書面にて通知、報告を行う予定です。ご不明な点等がございましたら、どうぞお問い合わせください。

DNS調査のツールとその使用方法(DNSRecon)

 

ネットワークセキュリティは現代の情報技術に不可欠な部分であり、DNSReconはその中でも強力なツールの一つです。DNSReconはDNS(ドメインネームシステム)情報を調査するためのツールで、セキュリティ分析やペネトレーションテストにおいて重宝します。今回はこのツールの概要と基本的な使用方法について解説します。

DNSReconとは?

DNSReconは、特定のドメインに関するDNSレコードを探索し、ゾーン転送を試み、DNSサーバーへのブルートフォース攻撃を行うなど、DNS情報収集のためのツールです。

DNSReconの基本的な使用方法

以下にDNSReconを使用する際の基本的なコマンドの一部を示します。

・特定のドメインのDNSレコードの確認

bash
dnsrecon -d example.com

上記のコマンドは、example.comに関連する一般的なDNSレコード(A、MX、NSなど)を探索します。

・ゾーン転送の試行

bash
dnsrecon -d example.com -a

このコマンドは、ドメインexample.comに対してゾーン転送を試みます。これにより、ドメインに関連する詳細なDNS情報が得られます。

・DNSサーバーのブルートフォース攻撃

bash
dnsrecon -d example.com -D subdomains.txt -t brt

このコマンドは、subdomains.txtにリストされたサブドメインに対してブルートフォース攻撃を試みます。


注意:DNSReconは情報収集ツールであり、適切な権限なく使用すると法的な問題を引き起こす可能性があります。常に適切な許可を得てから使用してください。

まとめ

DNSReconはDNS調査のためのパワフルなツールで、適切に使用するとセキュリティ分析やペネトレーションテストにおける重要な情報を得ることができます。この記事を通じて、基本的な使用方法について理解できたことを願っています。これからも安全なネットワークを保つために、これらのツールをうまく活用していきましょう。

出典:Subdomain Enumeration

【セキュリティ事件簿#2023-181】東日本高速道路株式会社 電子メールの誤送信についてのお詫び 2023年5月17日


このたび、弊社が配信する「IRメールマガジン」をお客さまへ電子メールにて送信した際、他のお客さまのメールアドレスを宛先に表示させて誤送信する事態を発生させてしまいました。

お客さまに多大なるご迷惑をお掛けしましたことを、心よりお詫び申し上げます。

1. 発生状況とお客さまへの対応

令和5年5月16日(火)11時59分、計383名のお客さまへ弊社より一斉メールを送信した際、本来、送信先がわからない「BCC」で送信するところを「宛先」で誤送信し、当該メールを受信した方以外のメールアドレスが表示されている状況となりました。

当該一斉メールを受信されましたすべてのお客さまへ、他のお客さまにメールアドレスを誤送信してしまったお詫びとともに、受信メールの削除をお願いしております。

 ≪誤送信メール件名≫

 「★NEXCO東日本★IRメールマガジン 第138号」

2. 今後の対応

このような事態を引き起こしましたことを深く反省し、今後は弊社社員に対する教育を改めて徹底し、再発防止に努めてまいります。