【セキュリティ事件簿#2023-268】鹿児島県日置市の市立校で、サポート詐欺に騙されて市内20校の校務システム停止


最近、インターネット上でのサポート詐欺が増加しています。特に、偽の警告表示を用いてユーザーを驚かせ、不正なソフトウェアのインストールや金銭の要求を行う手口が確認されています。鹿児島県日置市の市立校も、このような詐欺の被害に遭ってしまいました。

事件の概要
  • 発生日: 2023年7月12日
  • 被害校数: 20校
  • 影響: 校務系システム一時停止、通知票の配布遅延
事件の経緯
日置市の市立校の職員がインターネットで資料の検索を行っていた際、突如として「電源を切らずにマイクロソフトのサポートセンターへ接続してください」というポップアップが表示されました。この偽の警告に従い、職員は指定された連絡先に電話をかけ、指示通りにソフトウェアのインストール操作を行ってしまいました。しかし、後に料金が発生するとの説明を受け、不審に思った職員は電話を切断しました。

翌日、該当のパソコンを起動すると「ウイルスに感染した」というメッセージが表示され、事件が発覚しました。このパソコンは、通知表のデータなどを管理する市のサーバーと接続されていたため、感染のリスクを考慮し、市教育委員会は各学校が使用する共通のシステムを5日間停止しました。

事件の影響
この事件の影響で、校務系システムが一時停止。結果として、多くの学校で終業式当日に通知票を配布できない事態となりました。特に、20ある小中学校の一部では、予定通りの通知表の配布が困難となっています。

今後の対応
日置市教育委員会は、この事件を受けて、市内の学校に対してサポート詐欺の問題を含めた注意喚起を行いました。また、夏休み期間中に各学校でセキュリティポリシーに関する研修を実施する予定です。

この事件は、インターネットの安全利用の重要性を再認識させるものとなりました。偽の警告や詐欺的な内容には十分注意し、不審な表示や連絡があった場合は、すぐに関連する専門機関やサポートセンターに相談することが求められます。

MIATモンゴル航空、ワンワールド・アライアンスへの加盟を検討


Oneworldアライアンスは、モンゴルの国営航空会社を新たに迎え入れる可能性が高まっています。これは、現在4機のボーイング737と1機のボーイング767を保有する小規模な国営のMIATモンゴル航空にとって大きなステップとなります。また、先月には、経営難の海南航空からの中古のボーイング787-9を受領しました。この機体は最新の1-2-1ビジネスクラスを備えています。

MIATモンゴル航空は、これらのボーイング787-9をモンゴルの首都ウランバートルからフランクフルト、イスタンブール、ソウルへ飛ばす予定であり、サンフランシスコへのノンストップルートも検討中です。そして、Oneworldへの参加は、その国際的な拡大戦略に役立つと、MIATモンゴル航空のCEO、Munkhtamir Batbayar氏は述べています。

Batbayar氏は、航空会社の将来の飛行経路に関するCNNとのインタビューで、提携の重要性を強調し、キャセイパシフィック航空と日本航空(JAL)とのコードシェアを含め、「私たちは積極的にOneworld Connectプログラムに参加することを追求しています。キャセイパシフィック航空と日本航空という2社との提携は大きな存在です」と付け加えました。

「Oneworld Lite」とも呼ばれるOneworld Connectプログラムは、完全なOneworldメンバーシップの高いコストと複雑さがなく、小規模な航空会社に適しています。Oneworld Connectは2018年に、アメリカン航空、ブリティッシュエアウェイズ、キャセイパシフィック航空、カンタス航空によってスポンサーされたフィジーエアウェイズを初のメンバーとして開始されました。

MIATモンゴル航空は、キャセイとJALをスポンサーとして、2番目のOneworld Connectのメンバーとなるでしょう。

エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン

20230609-55111.png

(ダイジェスト版)

1. 背景と導入:  
モバイルデバイスは、個人の通信デバイスから企業の主要なツールへと進化してきました。これらのデバイスは、機密データの処理やネットワークへのアクセスに使用されています。そのため、セキュリティの確保が不可欠となっています。このガイドラインは、企業がモバイルデバイスのセキュリティリスクを理解し、適切な対策を講じるためのものです。

2. モバイルデバイスの特性:
現代のモバイルデバイスは、通信や情報へのアクセスを提供するだけでなく、企業のネットワークやシステムにアクセスするためのプラットフォームとしても機能します。これには、スマートフォンやタブレットなどのデバイスが含まれます。これらのデバイスは、高度な計算能力とストレージ容量を持ち、クラウドサービスやエンタープライズリソースにアクセスする能力を持っています。そのため、これらのデバイスのセキュリティは、企業のITセキュリティ全体の一部として考慮されるべきです。

3. セキュリティ上の懸念:
モバイルデバイスの普及に伴い、モバイルマルウェアや脆弱性が増加しています。これらの脅威は、デバイス、モバイルアプリ、ネットワーク、管理インフラストラクチャに影響を及ぼす可能性があります。特に、公共のWi-Fiネットワークを使用する際のリスクや、不正なアプリケーションのインストールによるリスクが高まっています。さらに、デバイスの物理的な紛失や盗難も、データ漏洩のリスクを増加させる要因となります。

4. セキュリティ技術: 
モバイルデバイスのセキュリティを強化するための技術として、エンタープライズモビリティ管理 (EMM)、モバイル脅威防御 (MTD)、モバイルアプリケーション審査 (MAV) などがあります。これらの技術は、デバイスの管理、アプリケーションのセキュリティ、データの保護、ネットワークのセキュリティを強化するために使用されます。EMMは、デバイスの設定、アプリケーションの配布、データの保護を一元的に管理するためのソリューションを提供します。MTDは、モバイルデバイス上の脅威を検出し、対応するための技術です。MAVは、モバイルアプリケーションのセキュリティを評価するためのプロセスやツールを提供します。

5. 対策とカウンターメジャー:
モバイルデバイスのセキュリティリスクを軽減するための推奨対策として、EMM技術の導入、ソフトウェアの迅速な更新、OSとアプリの隔離、モバイルアプリケーションの審査、モバイル脅威防御、ユーザー教育などが挙げられます。特に、ユーザー教育は、セキュリティインシデントの発生を防ぐ上で非常に重要です。ユーザーは、セキュリティのベストプラクティスやポリシーを理解し、適切に遵守する必要があります。

6. モバイルデバイスのライフサイクル:
モバイルデバイスのセキュリティを維持するためには、デバイスのライフサイクル全体を通じて一貫したアプローチが必要です。これには、要件の特定、リスク評価、モビリティ戦略の実装、運用と保守、デバイスの廃棄や再利用が含まれます。デバイスの適切な廃棄は、機密データの漏洩を防ぐために特に重要です。デバイスの再利用やリサイクルの際にも、データの完全な消去やデバイスのリセットが必要です。

7. 結論:
モバイルデバイスは企業のIT環境において不可欠な存在となっています。そのため、これらのデバイスを安全に管理・利用するための適切なガイドラインと戦略の導入が求められています。NISTのこのガイドラインは、モバイルデバイスのセキュリティを向上させるための実用的なアドバイスを提供しています。企業は、このガイドラインを参考にして、モバイルデバイスのセキュリティポリシーとプロセスを策定・実施することが推奨されます。このガイドラインを適切に適用することで、企業はモバイルデバイスを安全に使用し、ビジネスの効率と生産性を向上させることができます。


【セキュリティ事件簿#2023-267】茨城県 茨城県発達障害者支援センターにおける個人情報の漏洩について 2023年7月14日


茨城県が社会福祉法人同仁会に委託して実施している茨城県発達障害者支援センター「COLORS つくば」において、個人情報が漏洩する事案が発生いたしました。

今後二度と同様の事案が発生しないよう、再発防止に努めてまいります。

1 概要
(1)状況
  • 市町村職員向け研修の実施にあたって、申込みの受付を Google フォームにより行ったが、誤って申込者全員の情報が Google フォーム上から確認できる状態になっていた。
  • 研修当日の7月 12 日に、参加者から問合せがあって申込時の情報を確認したことから、設定の誤りに気付いた。
  • 申込は6月 12 日に開始し、7月3日に締め切ったが、Google フォーム上から確認できる状態は、7月 12 日の午前 11 時頃まで続いていた。
※既に申込者全員に対して、状況を説明し、謝罪しております。

(2)漏えい件数
研修申込者の氏名、所属、年代、メールアドレス、電話番号 58 人分

2 原因
Google フォーム作成時に、設定の確認を十分に行わなかったため。

3 再発防止策
委託先である社会福祉法人同仁会に対し、以下の再発防止策等の徹底を指示する。
  • Web フォーム作成時には、複数職員で確認を行う。
  • Web フォーム作成ツールに不慣れな職員も対応できるように、マニュアルを作成し、適切な利用を徹底する。
  • その他の業務においても、個人情報保護に必要な措置の点検を行い、改めて職員に対する教育を行う。
また、他の委託事業者に対しても、個人情報の取扱いについて、改めて内部における責任体制を明確にし、管理を徹底することを求める。

【セキュリティ事件簿#2023-266】東谷株式会社 弊社が運営する「fkolme.com」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2023年7月18日

このたび、弊社が運営する「fkolme.com」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報(46件)が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2023年1月12日、お客様のクレジットカード情報の漏洩懸念に気づき、2023年1月16日弊社が運営する「fkolme.com」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年4月24日、調査機関による調査が完了し、2022年11月11日~2023年1月13日の期間に 「fkolme.com」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2. 個人情報漏洩状況

(1)原因

弊社が運営する「fkolme.com」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2022年11月11日~2023年1月13日の期間に「fkolme.com」においてクレジットカード決済を行ったお客様37名で、漏洩した可能性のある情報は以下のとおりです。
  • カード名義人名
  • クレジットカード番号
  • 有効期限
  • セキュリティコード
  • サイトログインID
  • サイトログインパスワード
上記に該当する37名のお客様については、別途、電子メールおよび書状にて個別にご連絡申し上げます。

3. お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問合せいただきますよう、併せてお願い申し上げます。

特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。

4. 公表が遅れた経緯について

2023年1月12日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5. 再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「fkolme.com」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年6月26日に報告済みであり、また、所轄警察署にも2023年5月1日被害申告しており、今後捜査にも全面的に協力してまいります。

【セキュリティ事件簿#2023-230】ヤマハ株式会社 米国子会社への不正アクセスについて(第 2 報) 2023 年 7 月 20 日

 

当社の米国販売子会社であるヤマハ・コーポレーション・オブ・アメリカ(YCA)で発生したランサムウェア(身代金要求型ウイルス)感染について、被害状況の調査が終了しました。また、本件を契機に当社グループ全拠点のネットワークセキュリティについても調査を行ったところ、新たな不正アクセスを確認しましたので、お知らせいたします。

1.YCA への不正アクセスの被害および対応

第1報でお伝えしておりますように、YCA ではランサムウェアに感染した機器のネットワーク接続を速やかに遮断した上で、安全対策を施して復旧し、現在は通常通り営業しています。その後の調査の結果、お客様やお取引先、従業員の個人情報の漏洩はなかったことを確認しております。

2.新たに確認した不正アクセスの被害

 カナダの当社販売子会社であるヤマハ・カナダ・ミュージック(YC)でも同時期に第三者による不正アクセスがあり、現地の従業員や直営音楽教室・お取引先の個人情報が窃取されたことを確認しました。YC では情報漏洩の可能性のある関係者に周知・注意喚起を行い、現地の警察にも通報をしております。なお、YC は不正アクセスを確認後、直ちに全てのシステムのネットワーク接続を遮断して安全対策を講じ、すでに復旧を終え、現在は通常通り営業しております。

3.その他拠点の状況

 ヤマハグループの国内拠点 15 箇所、海外拠点 40 箇所のネットワークについて調査を行いましたが、YCA と YC 以外に不正アクセスの被害はありませんでした。また、日本国内をはじめ当社グループの他拠点のシステムへの影響はありませんでした。

今回の事態を受け、当社ではグループ全拠点のシステムにおけるセキュリティ強化、アカウント管理の徹底、従業員へのセキュリティ教育を改めて実施してまいります。お客様をはじめ、関係する皆様にご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-265】ライフイズテック株式会社 申込者宛当選メール誤送信による個人情報漏洩に係るお知らせとお詫び 2023年6月29日


ライフイズテック株式会社が、本事業の主催者の名古屋市から受託した中学⽣起業家育成事業「ナゴヤスタートアップ 1DAY」において、当選者(イベント参加予定者)へのメールを異なる当選者名宛で送信したことが判明しました。

本件は原因を既に特定し、当該原因への対応、対象となる⽅へのお詫びとご報告は完了しておりますが、お申し込み頂いたお客様をはじめ関係者の皆様に多⼤なるご迷惑、ご⼼配をおかけいたしましたことを深くお詫び申し上げます。

また、事業運営者として、今回の事態を重く受け⽌め、再発防⽌策を徹底して参ります。

本件の経緯等について下記のとおりご報告いたします。

1.経緯

2023年6⽉28⽇18時47分にナゴヤスタートアップ 1DAY初級コースの当選者宛に「当選メール」を⼀⻫に送信いたしました。その後19時19分に、メールを受領されたお客様からご連絡をいただき、誤送信が発覚しました。

調査の結果、イベント当選者の中で11名の⽅に対して誤った宛名でメールをお送りしていたことが判明しました。

なお、現時点では今回の事態による被害の報告はございません。

2. 情報を閲覧できる可能性のあった⽅の数

異なる宛名のメールをお送りした⽅ 11名

3. 情報を閲覧される可能性のあった⽅の数

異なる宛名のメールをお送りした⽅ 11名

4. 閲覧された可能性のある個⼈情報

申し込み登録いただいた参加中学⽣の⽒名および当選⽇時・コース

5. 本件の原因について

当選者の⽅々のリストを作成し、そのリスト情報に基づき⼀⻫メール送信プログラムを⽤いて当選メールをお送りしました。この作業過程において、11名の⽅々の宛先メールアドレスに対して、異なる当選者の宛名等情報が掲載されて送信される事態が⽣じました。

要因としては、⼀⻫送信作業中に⼀部の⽅のメールアドレスに誤登録が発⾒されたことを受け、本来お申込フォームに登録いただいた情報から機械的に参照してリスト作成するべきところ、宛先メールアドレス情報のみ⼿動で転記修正しました。その際に⾏のずれが発⽣し、誤送信に⾄りました。

6. 今後の対応について

第⼀に再発防⽌を徹底いたします。また、今回誤送信した宛名等の情報が悪⽤される等の事態が発⽣した場合には、各種法令に従い、関係者と連携し、適切な措置を講じてまいります。

7. 再発防⽌策

同様の事案が起きることがないよう、改めて確認体制・業務フローの⾒直しを⾏います。
  1. 本事案発⽣の要因となった、⼿作業による個⼈情報を含むリスト作成を必要としない業務フローを構築します。
  2. ⼀⻫メール送信時に、宛先メールアドレスの誤登録等が発覚した際も、それ以外の宛先に対してのみ⼀⻫送信を⾏うと共に、誤登録先については、申込者に確認を取るとの個別対応に当たるよう徹底して参ります。
  3. これらの対応が徹底されるよう、作業者と監督者を含むチームで作業に当たり、完遂に⾄るまで⼿順確認と監督が図られるオペレーションを構築して参ります。
また、本件の原因と対策について社内で周知徹底を⾏うとともに、個⼈情報保護及び情報セキュリティ教育の内容やナレッジの共有⽅法を⾒直します。

この度はご迷惑とご⼼配をおかけして、⼤変申し訳ございません。関係者の皆様のご不安の解消と今後の再発防⽌に努めてまいります。

【セキュリティ事件簿#2023-264】大阪教育大学 電子メール転送先ミスによる情報漏えいについて 2023年7月14日


この度、本学職員による電子メールアドレスの転送先設定ミスにより、個人情報を含む電子メールが学外に漏えいする事案が発生しました。

このような事案が発生し、関係者の皆様に多大なご迷惑をおかけすることとなり、深くお詫び申し上げます。事態を重く受け止め、電子メールの運用方法見直しや注意喚起等を行い、再発防止に努めていく所存です。

なお、既に当該電子メールアカウントにおける電子メール転送設定は停止しているほか、現時点では、電子メールの内容の悪用等の事実は確認されておりません。 また、この事案に関して個人情報の漏えいに該当する方に対しては、個別にお詫びと状況説明を行っているところです。

経緯
  1. 2018年4月24日(火)に、本学職員が大学の電子メールアカウントからGmailへの自動転送設定を行った際に転送先電子メールアドレスのドメインを「@gmail」とすべきところを誤って「@gmeil」としていた。
  2. 2023年2月1日(水)に、転送先電子メールが存在しない旨のエラーがあり、改めて転送先電子メールアドレスの確認を行い、ミスに気付いた。
  3. 2023年2月1日(水)に、電子メール転送設定を停止した。
  4. 2023年2月3日(金)に、電子メールサーバにて、本学発行電子メールアドレスに関するログを点検し、ドッペルゲンガードメイン(情報を詐取する悪質なドメイン)へ転送されている事を確認した。
  5. 2023年2月3日(金)に、電子メールログの点検を実施。直近1ヵ月に当該事案以外の同一ドメインへの転送が無いことを確認した。
漏えいした情報

誤送信メール件数…4,511件

うち、電子メールおよび添付ファイルに含まれている個人情報等…1,793件
  • 学内教職員…1,191件
  • 学内学生…85件
  • 学外関係者…504件
  • 不明(送信不可で返送されたもの)…13件