【セキュリティ事件簿#2023-279】山口県 イベントの参加申込情報がインターネット上で閲覧できる状態になっていたことについて 2023年7月21日更新


障害のあるこどももないこどもも参加する交流イベント「あいサポランド」の委託事業者である学校法人YIC学院が、本イベントの申込フォームの設定を誤り、他の参加申込者の個人情報がインターネット上で閲覧できる状態にあったことが判明しました。

事案判明後、直ちに下記の措置を講じました。

1 経緯

7月19日(水曜日)、委託事業者に申込者の一人から「申込フォームから『前の回答を表示』ボタンを押すと他の申込者の情報が閲覧できるようになっている。」と電話があり、発覚した。

2 閲覧可能であった個人情報及び期間

(1) 閲覧可能であった個人情報

申込者34名分の保護者氏名、子供氏名・年齢、住所、電話番号、メールアドレス、備考(配慮事項等)

(2) 閲覧可能な状態であった期間

令和5年7月13日(木曜日)から7月19日(水曜日)まで(7日間)

3 原因
   
申込フォームの設定を誤り、他の申込者の情報が閲覧できる設定にしていたため。

4 対応

  •  直ちに、委託事業者以外が参加申込情報を閲覧できないようにした。

  • 参加申込者34名へメール及び電話で、謝罪と事実関係の説明を行った。

  • 県は委託事業者に対し、フォームの事前設定を複数名でチェックする等の再発防止に向けた情報管理の徹底を指示した。

【セキュリティ事件簿#2023-278】東京都 受託者における個人情報の漏えいについて 2023年7月26日

教育庁と委託契約を締結している株式会社電通プロモーションプラス(以下「受託者」といいます。)において、個人情報を漏えいさせる事故が発生しましたので、お知らせします。

関係者の皆様に多大な御迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

受託者がオンラインイベントの事後アンケートの回答を促すメールを対象者に送る際、メールアドレスをBCC欄に入力するべきところを、誤ってCC欄に入力し、送信した。

2 発生日

令和5年7月26日(水曜日)午前10時31分

3 漏えいした個人情報

オンラインイベントに申し込んだ都内在住・在学の高校生等23人のメールアドレス

4 経緯

(1)令和5年7月26日午前10時31分に、受託者が都内在住・在学の高校生等23人のメールアドレスをCC欄に入力しメール送信
(2)同日午後2時59分頃、受託者から謝罪及びメールの削除を依頼
(3)現在のところ二次被害等の報告は受けていない。

5 再発防止策

受託者に対して個人情報の適切な取扱い及びメール送信先のダブルチェックを改めて徹底させ、再発防止を図る。

無料のソーシャルメディア用OSINTツール4選

herramientas-osint-redes-sociales-3.jpg

ソーシャルメディアサイトは、セキュリティやインテリジェンスの研究、マーケティングキャンペーンのための情報源として利用されています。Open Source Intelligence (OSINT) という技術は、インターネットユーザーに関する公開データの収集と分析を自動化するツールが増えてきており、特にソーシャルメディアインテリジェンス(SOCMINT)のために適用されています。この記事では、ソーシャルメディアインテリジェンスの努力を支援するいくつかのツールを紹介しています。これらのツールは、私たちがオンラインで共有する情報の種類に警戒することの重要性を示しています。

ツールの紹介


最も簡単なものから始めましょう。Namechkは、様々なオンラインプラットフォームでのユーザー名の利用可能性をチェックするだけでなく、その人のオンライン上の個人情報を簡単に検索することができます。これを行うには、ユーザー名を入力するだけで、Namechkは提供された情報に一致するユーザープロフィールを見つけるために複数のオンラインプラットフォームを調べます。これは、ある人物のオンライン情報を収集したい研究者、ジャーナリスト、企業、政府機関や、長い間行方不明になっていた友人や知人に再会したい人に便利です。




2. Sherlock

Sherlockは、Pythonで開発されたオープンソースのコマンドラインツールで、Namechkのように、最も人気のあるソーシャルネットワークで特定のユーザー名を検索してから、プロフィールへのリンクを吐き出します。インターフェースはなく、Windows、Linux、MacOSのコマンドターミナルからアクセスします。より詳しい情報とインストール方法については、Sherlock ProjectのGitHubリポジトリをチェックしてみてください。


3. accountanalysis

accountanalysisは、Twitterを中心としたOSINT調査のために使用されます。フォロワーやフォローされているアカウント、ツイートの頻度、インタラクションの数、最も活発な時間帯、最も使われているハッシュタグなど、アカウントの公開情報を俯瞰したレポートを作成します。





OSINTの世界で最も知られている、最も強力なツールの一つです。


【セキュリティ事件簿#2023-277】愛媛県立医療技術大学 「助産学専攻科オープンキャンパスの申し込みフォーム」における個人情報の漏えいについて 2023年7月24日


本学が8月21日に開催を予定している「助産学専攻科オープンキャンパス」の参加申込者(29名)の個人情報が標記申し込みフォーム上で閲覧できる状態にあったことなどが判明しましたので、お知らせします。

なお、個人情報が閲覧できる状態は、判明後直ちに解消させるとともに、今回御迷惑をおかけした29名の皆様には、既に全員に事情を説明して謝罪したほか、関係者1名(下記の電話連絡があった方)に対しても事情を説明して謝罪いたしました。

本学としては、このような事態を招いたことを重く受け止め、今後は、個人情報の取扱いを徹底するとともに、学内の情報リテラシーを向上させるなど、再発防止に努めてまいります。

1 判明日時

令和5年7月21日(金) 20時30分頃本学の「助産学専攻科のオープンキャンパス」の参加申込手続をしようとした方から、申し込みフォーム自体が書き換え可能な状態のため更新してしまい、自身で削除するまでの間(約8時間)個人情報が掲載されてしまったとの電話連絡があった。

2 概要

上記連絡を受けて、大至急調査した結果、申し込みフォームに関して、以下2点の不適切な状態が判明したため、直ちに改善措置に取りかかり、21日深夜(24:30)までに作業を完了した。

※不適切な状態にあったのは7/12(水)~7/21(金)の間

☆以下2点とも、案内チラシのQRコードを経由して申し込みフォームにアクセスした場合のみにおいての発生事象

※申し込みフォームへのアクセス方法としては、案内チラシのQRコード(関係の学校に配布及びホームページ上に掲載)のほか、本学のホームページに掲載の申し込みフォームから入力する方法あり。

※本学の学生には、別途メール(QRコードの掲載なし)で開催案内を送付。

1)申し込みフォーム欄外の回答とは無関係の特定のボタンを1回クリックすると申込済全員(29名)の氏名等が表示され、さらに特定のボタンをクリックすると同全員のフォームへ入力した個票が閲覧できる状態にあった。

※閲覧できる状態にあった個人情報(フォームへの入力内容)

【氏名、所属(本学在学生か否か・学校名・学年)、当日の参加方法(来校かZOOMか)、メールアドレス、電話番号、過去の参加歴、参加目的】

2)上記1で連絡があったとおり、設問部分を含む申し込みフォーム自体の書き換え及び更新が可能な状態となっていた。

3 原因

学内の情報セキュリティ専門家を交えて究明したところ、以下の設定作業における人為的作業ミスが重なったことによるもので、設定後のチェックも不十分であった。

《要因1》

・QRコードのアクセス先を、HPに掲載されているものと同じ回答用のURLとすべきところを、誤って編集用のURLを添付してしまった。

※編集用URLは、編集者側(本学)が、後の集計作業等に利用するためのURLだが、編集権限がなければ操作はできず、この時点では、広報委員会の担当教員1名のみにしか権限が与えられていなかったため、その他の者は編集することはできず、個人情報の閲覧もできない。

※なお、回答用URLと編集用URLの画面は、一見するだけでは違いが分かりにくい。

《要因2》

・7/12、広報委員会担当事務職員も含め、関係する広報委員会委員も集計作業等を行う必要があることから、編集者権限を、それまでの1名から広報委員会関係職員全員に移譲した。そのプロセスで操作を誤り、編集用URLにアクセスしたもの全員がフォームを編集できる設定になったと推察される。

・要因1で、利用者側に表示されている申込フォームが編集用となっていたため、利用者も編集可能な状態になり、個人情報も閲覧可能な状態になった。

4 再発防止策

このような事態を招いたことを重く受け止め、今後、このような事態が生じないよう、個人情報の取り扱いを徹底するとともに、学内の情報リテラシーを向上させ、再発防止に努める。

【セキュリティ事件簿#2023-237】志布志市 本市が運営する「志布志市ふるさと納税特設サイト」への外部の第三者からの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(第2報) 2023年7月20日


平素は志布志市ふるさと納税事業にご支援・ご理解を賜り誠にありがとうございます。

先般、令和5年6月22日付で「本市が運営する『志布志市ふるさと納税特設サイト』への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」(以下「第1報」といいます。)を公表し、外部の第三者からの不正アクセス(サイバー攻撃による被害)について、クレジットカード情報に関する調査結果に基づくご報告をさせていただきました。

第1報時点では、それ以外の個人情報(以下「利用者情報」といいます。)が漏えいした可能性について、外部専門機関による調査が継続中でありましたところ、この度、全ての調査が完了しましたので、その内容をご報告申し上げます。

本市では、今回の事態を厳粛に受け止め、同様の事案を起こさぬよう再発防止のための対策を講じてまいります。寄附者様をはじめ関係者の皆様には重ねてお詫びを申し上げます。

1.調査結果の概要

調査の結果、一部の方の利用者情報について、外部の攻撃者からの不正アクセス(サイバー攻撃)に伴う漏えいが発生したことが確認されました。

2. 利用者情報の漏えいのおそれの状況

(1) 原因

攻撃者は、令和3年3月12日、「志布志市ふるさと納税特設サイト」(以下「当サイト」といいます。)内に、利用者情報が格納されたデータベース(以下「利用者情報データベース」といいます。)を外部から操作することができる不正なファイルを設置し、このファイルを通じて、同年12月29日、利用者情報データベースにアクセスし、データを閲覧及びダウンロードしたことが確認されました。

(2) 漏えいのおそれのある利用者情報

今回の調査結果によりますと、令和元年6月28日から同年7月5日、令和3年3月11日から同年12月24日までの間に当サイトにおいて会員登録を行った方及び当サイトを通じて本市に寄附をされた方(重複している方を除き合計2,280名)が対象となります。

漏えいした可能性のある情報は以下のとおりです。

  • 寄附者様の氏名、氏名フリガナ、性別、メールアドレス、電話番号、郵便番号、住所、生年月日
対象となる寄附者様には、別途メール又は郵送により、ご通知申し上げます。

現時点では、二次被害の報告は受けておりません。

3. 今後の見通しについて

今回ご報告申し上げた事象は、第1報でお知らせしたものと同様の原因によって発生したものであることから、本市としては、第1報でお知らせした再発防止策を鋭意実行してまいります。また、引き続き、個人情報保護委員会や警察をはじめとした機関への報告・連携も進めてまいります。

当サイトの再開を含めた今後の対応につきましては、決定次第、改めて本市ホームページ上にてお知らせいたします。

【セキュリティ事件簿#2023-276】スカパーJSAT株式会社 当社サーバへの不正アクセスについて 2023年07月21日


スカパーJSAT株式会社(本社:東京都港区、代表取締役 執行役員社長:米倉 英一、以下 当社)は、当社の社内サーバにおいて、不正アクセスを受けたことを確認いたしました。

不正アクセスの兆候を発見したのち、調査を進めた結果、不正アクセスされたファイルの中に、お取引先様の担当者および当社の従業員等の個人情報が含まれていたことが判明いたしましたので、お知らせいたします。なお、不正アクセスされたファイルの中には、当社が運営する「スカパー!」や「SPOOX」などの放送・配信サービスおよびその他の関連サービスのご契約者様情報は含まれておりません。

お取引先様をはじめ、多くの関係者の方にご心配とご迷惑をおかけしておりますこと、深くお詫び申し上げます。

本件については現在も調査を続けており、今後新たな事実が判明する可能性がございますが、現時点で確認できた事実(2023年7月21日現在判明分)の概要は以下のとおりです。

■概要

6月1日     
当社のオフィスオートメーションシステム上のターミナルサーバ(子会社が当社内サーバへアクセスするための中継役となるサーバ)に不自然なアクセスログを発見したため、調査を開始いたしました。

6月7日     
外部専門機関へのフォレンジック調査を依頼いたしました。

6月8日     
不正アクセスがあった場合の拡大を防ぐために、侵入経路と考えられるネットワークの遮断及びターミナルサーバのシャットダウンを行いました。

6月14日   
外部専門機関の調査により、第三者によるターミナルサーバから当社の社内ファイルサーバ等への不正アクセスの痕跡を発見しました。

6月16日   
不正アクセスされた可能性のあるファイルの内容について調査した結果、お取引先様、従業員等の個人情報が含まれていることが判明しました。

6月20日   
個人情報保護委員会及びプライバシーマークの審査機関に対して、個人情報の漏えいの可能性について速報を実施いたしました。

7月5日     
外部専門機関による調査の結果、不正アクセスされたファイルが持ち出された可能性が高いことが判明いたしました。

現在も、外部専門機関の協力のもと、侵害範囲・状況等の調査を継続しております。

■漏えいした可能性がある個人情報(7月21日現在)

1.お取引先様の個人情報:76人

氏名・電話番号・FAX番号・メールアドレス・社員番号・所属・役職・所属先住所

2.当社及び当社グループの社員(退職者を含みます)並びに関係者の個人情報:1,375人

氏名・電話番号・メールアドレス・社員番号・所属・役職

なお、現時点では、二次被害の報告は受けておらず、二次被害のおそれは限定的と考えております。

■原因と現在の状況

外部専門機関によるフォレンジック調査の結果、不正アクセスの原因は、悪意ある第三者が、当社子会社の従業員になりすまし、子会社のネットワークを経由して当社の社内サーバにログインしたことに因るものであることが判明いたしました。なりすましログインがなされた原因、攻撃手法および未判明の事実の有無等については引き続き調査を行っております。

なお、6月8日に侵入経路と考えられるネットワークの遮断及びターミナルサーバのシャットダウンを実施して以降、不正アクセスは確認されておりません。

■公表までの経緯について

2023年6月14日に当社の社内ファイルサーバへの不正アクセスの痕跡を発見してから今回の公表に至るまで、外部専門機関によるフォレンジック等の調査にて、影響の範囲を確定させるまでに時間を要しました。なお、関係省庁・関係機関には適宜状況の報告を行っております。

当社といたしましては、今回の事態を重く受け止め、引き続き不正アクセスに対する情報セキュリティ対策のさらなる強化に努めてまいります。

関係者の皆さまには、多大なご迷惑およびご心配をお掛けすることとなり、誠に申し訳ございません。重ねて心よりお詫び申し上げます。

【セキュリティ事件簿#2023-275】チエル株式会社 当社システムにおけるユーザー情報残置による個人情報漏洩に関するお詫びとお知らせ 2023 年7月 24 日


この度、当社システムにおきまして、データの残置による個人情報漏洩が確認されました。関係者の皆様に、多大なるご迷惑とご心配をおかけしていますことを深くお詫び申し上げます。なお、現時点で当該個人情報の不正使用等の情報は確認されておりません。

1.経緯と対応状況

2023 年7月 13 日当社は、当社製品「ExtraConsole ID Manager」(以下、「ECIDM」という)内に、本来残置すべきではない他の ECIDM ユーザー情報が混入したことで、ECIDM のユーザーであり本システムの検証作業を行っていた大学のシステムご担当者 2 名によって当該個人情報が閲覧されたことを確認いたしました。

当該事態の判明後、直ちに当該大学のサーバー停止手続きを行い、情報漏洩の防止対応を実施した上で、7月 18 日に同大学内のデータを完全削除いたしました。現時点で当該個人情報の不正使用等の情報は確認されておりません。

なお、当該個人情報はシステム管理者であっても特定のコマンドを入力しなければ見ることができない領域に混入していたことから、上記2名以外の外部への流出の可能性は極めて低いと考えられますが、当社は、同バージョンの ECIDM をご利用頂いている 36 の教育委員会・大学様(以下「ユーザー団体」という)には、残置の有無にかかわらず、残置データの削除作業を依頼し、実施を進めております。

2.残置により当該システムご担当者 2 名に対し漏洩した個人情報及び残置の原因

(1) 当該システムご担当者 2 名に対し漏洩した個人情報

① ユーザー様の個人情報 23,508 件
項目は、学校名、生徒管理コード、学年、組、番号、特別支援学級、特別支援学級番号、姓、名、姓ふりがな、名ふりがな、名前、ふりがな、性別、生年月日、外国籍、出身校、入学日、転入前学校、転入日、編入前学校、編入日、去校日、転出日、転出先学校、退学日、退学先学校、卒業日、進学先学校

② ユーザー様の個人情報 7,036 件

項目は、氏名、パスワード、メールアドレス、ユーザ ID、学籍番号/人事番号、生年月日

(2) 残置の原因
保守目的で自社へ持ち出したプログラムに、システム不具合のため残置されていた個人情報が混入しており、さらに開発担当者の手違いにより他顧客への展開用のプログラムに混入してしまったため、本件が発生いたしました。

3.当社の対応

当社は、対象となるユーザー団体の情報を精査の上、関係各社と連携し、個別にご連絡が可能な方に対し当社よりご連絡を差し上げます。併せて、本件に関する専用お問い合わせ窓口を設置いたします。

4.再発防止への取組み状況

現在、再発防止策として、ECIDM の修正パッチを対象バージョンのすべてのお客様に無償で適用させていただく他、構築手順の抜本的な見直しを行います。
また、当社では、この度の事態を重く受け止め、今後、より一層の情報セキュリティ対策の強化に取り組んでまいります。

5.業績への影響

当社の業績に与える影響は現時点では不明でありますが、今後、業績に重大な影響を与えることが判明した場合は速やかにお知らせいたします。

リリース文アーカイブ) 

XSSポリグロットとは ~入れ歯のポリグリップじゃないぞ~

 

Cross-site scripting (XSS)は、ウェブアプリケーションのセキュリティ脆弱性の一つであり、攻撃者が悪意のあるスクリプトを正当なウェブページに挿入することができます。この脆弱性をテストする際、さまざまなインジェクションの文脈に直面することがよくあります。それぞれの文脈に合わせてペイロードを変更するのは時間がかかる場合がありますが、XSSポリグロットはこの問題を解決するのに役立ちます。

XSSポリグロットとは何か?

XSSポリグロットは、その生の形式でさまざまなインジェクション文脈内で実行可能なXSSベクトルとして定義できます。

GitHubのHackVaultに掲載されているポリグロットは以下の通りです:


jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//<stYle/<titLe/<teXtarEa/<scRipt/--!><sVg/<sVg/oNloAd=alert()//>


このポリグロットは、さまざまな文脈でのXSS攻撃をカバーしており、その解剖学的な構造は非常に興味深いものとなっています。

まとめ
XSSポリグロットは、複数のインジェクション文脈で動作するXSSペイロードを作成する技術です。これにより、セキュリティ研究者やペネトレーションテスターは、特定の文脈に合わせてペイロードを変更する手間を省くことができます。HackVaultの記事は、この技術の深い洞察と実用的な例を提供しており、XSSの研究をしている人にとって非常に価値のあるリソースとなっています。

興味を持たれた方は、こちらのリンクから詳細を確認することができます。