【セキュリティ事件簿#2023-361】マツダ株式会社 不正アクセス発生による個人情報流出可能性のお知らせとお詫び 2023年9月15日

この度、弊社サーバー機器が外部からの不正アクセスを受け、弊社が管理している個人情報の一部が外部へ流出した可能性があることが判明いたしました。なお、不正アクセスを受けたサーバーにはお客様の個人情報は保管しておらず流出しておりません。

関係者の皆様には多大なるご迷惑とご心配をおかけすることとなり、深くお詫び申し上げます。

現在、鋭意調査を続けておりますが、現時点で判明している事実及び弊社対応について以下のとおりご報告いたします。

【概要】

2023年 7月 24日 (月) 、弊社サーバー機器を経由した不正な通信を検知し、直ちにサーバー機器をネットワークから切り離すなど必要な対策を実施しました。その後、第三者機関(外部セキュリティ専門家)の調査により、弊社システムのアカウント情報等を管理するシステム(ディレクトリサーバー)への不正アクセスの形跡が確認され、個人情報の一部が外部へ流出した可能性があることが判明いたしました。

【流出した可能性がある個人情報】
弊社及びグループ会社の社員、協力会社社員、お取引先様ご担当者の下記アカウント情報
( 104,732件)
  • 弊社が発行したユーザーID
  • パスワード(暗号化値)
  • 氏名(漢字、ローマ字)
  • メールアドレス
  • 会社名
  • 部署、役職名
  • 電話番号
現時点では確認されていませんが、今後、これらの個人情報を悪用し、フィッシングメールやスパムメール等が送付される可能性があります。不審なメールを受け取られた場合は慎重にご対応下さいますようよろしくお願いいたします。

【原因】

外部セキュリティ専門家の調査結果より、今回の不正アクセスは弊社に設置したアプリケーションサーバーの脆弱性が悪用されたものであったと判明しています。

【弊社の対応】

弊社は、本件事象の認知後、不正アクセスに用いられた を無効化し、サーバーをシャットダウンするとともに、外部セキュリティ専門家のフォレンジック調査を実施いたしました。外部セキュリティ専門家の調査にて、影響の範囲を確定させるまでに時間を要し、今回の発表までお時間をいただきましたこと、お詫び申し上げます。本件につきましては、すでに警察への相談及び個人情報保護委員会に必要な報告を行い、外部セキュリティ専門家の協力を得ながら、関係各機関と連携し、事実の確認及び適切な対応に務めております。また、弊社は今回の事態を重く受け止め、セキュリティ体制の改善、全てのウェブサイト及びネットワークに対する監視体制強化など、再発防止に全力で取り組んでまいります。

この度は皆様に多大なご迷惑ご心配をお掛けしますこと、改めて深くお詫び申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2023-360】アルプスアルパイン株式会社 当社グループが管理するサーバへの不正アクセスについて(第2報) 2023年9月14日


当社グループが管理している社内サーバにおけるランサムウェア(身代金要求型ウイルス)感染について、現状の生産活動状況および、北米における情報漏洩についてお知らせいたします。

1.生産活動について

2023年9月12日付「当社グループが管理するサーバへの不正アクセスについて」でお伝えしておりますように、ランサムウェアに感染したサーバ等の機器のネットワーク接続を速やかに遮断した上で、安全対策を施し、現在も機器及び生産機能の復旧に努めております。当社グループ内では、現時点ではメキシコの生産拠点を除き、システム障害に対する代替手法も含み、生産・出荷を再開しております。

お客様への出荷状況につきましては、影響が発生する場合には営業担当よりご連絡申し上げます。

2.情報漏洩について

今般、北米現地法人における社員の個人情報および業務ファイルが流出している事実を確認いたしました。原因は調査中ですが、今回の不正アクセスが関係している可能性が高いと考えています。

本件に関しては、現在も調査を進めておりますが、本日の時点で当社の顧客情報についての流出は確認されていません。今後、共有すべき新たな事実が判明した場合には速やかに開示をいたします。

関係者の皆様には、多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。

【セキュリティ事件簿#2023-360】アルプスアルパイン株式会社 当社グループが管理するサーバへの不正アクセスについて 2023年9月12日


当社のグループが管理している社内サーバの一部が第三者による不正アクセス(以下「本件不正アクセス」といいます)を受けたことを確認いたしました。本件不正アクセスはランサムウェア攻撃であり、本事由発生後、サーバ停止または隔離の対処をしたことにより、当社における生産、出荷等において影響が発生しておりますのでご報告いたします。

概要

2023 年 9月 10 日、当社グループで管理しているサーバに対する本件不正アクセスを検知いたしました。本件不正アクセスはランサムウェア攻撃であり、被害拡大防止のため、直ちに対象サーバを停止またはネットワークから隔離して対策を講じ、外部専門家の協力も得ながら影響範囲等の調査を開始しました。

現在、当社グループにおける生産活動は継続しているものの、一部でシステムの使用ができない状況となっており、生産、出荷等の業務において影響が発生しています。

その他の影響についての詳細は現在調査中です。

当社の対応

当社においては、不正アクセスの影響及び対象サーバの状況の確認を行い、必要な対処を行ったうえで一部のサーバのネットワークの復帰を行うとともに、依然として懸念の残るサーバについてはネットワークの隔離を継続して、調査及び対応を進めております。

また、お客様向けの生産、出荷活動については、継続しておりますが、今後、お客様への納入について、影響が発生する場合には速やかに担当営業よりご連絡させていただきます。

関係者の皆様には、多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。

【セキュリティ事件簿#2023-359】朝日新聞社 個人情報の流出に関するお知らせとお詫び 2023年9月6日


この度、朝日新聞社と朝日新聞販売所(ASA)でお客様の情報を管理しているシステムから、朝日新聞デジタルと紙面ビューアーの一部の会員のお客様の個人情報が外部に流出したことが判明しました。

現時点で判明している事実とこれまでの対応は以下の通りです。ご迷惑をおかけしたお客様に心よりお詫び申し上げるとともに、引き続き、関係機関と協議しながら対応を進めて参ります。

1. 経緯

2023年9月6日(水)未明に、社外の方から「朝日新聞の顧客の情報が流出している」とのご連絡をいただき、事態を確認しました。

2. 流出した可能性のある情報の内容

三重県の四日市市、鈴鹿市、亀山市、川越町のそれぞれ一部地域の、朝日新聞デジタルと紙面ビューアーの会員様884名の氏名・住所・電話番号・ご契約いただいたコースの種類。
※お客様のメールアドレスやクレジットカード情報は含まれておりません。

3. 弊社の対応

・お客様への対応
個人情報流出が判明したお客様には、ご連絡を差し上げました。7日以降、個別に訪問して改めて謝罪する予定です。

・行政機関への報告
警察と個人情報保護委員会に相談・報告をしております。

・再発防止策
該当するシステムの一部を停止し、新たな流出が起きないように対応しました。早急にシステムを解析し、原因究明と再発防止策の確立に努めます。

【セキュリティ事件簿#2023-358】アジア航測株式会社 高知県林業事業者登録制ウェブサイトより個人情報が流出した事案の発生について 2023年9月5日


このたび弊社は、高知県「令和5年度スマート林業支援委託業務」において、林業事業者登録制ウェブサイト(以下、本サービスという。)からこれを利用する林業事業者に対し、個人情報が含まれたデータを提供する事態を生じさせました。

住民の皆様、関係する方々に多大なご迷惑とご心配をおかけいたしました。深くお詫び申し上げます。

 1. 概要

本サービスは、林業事業者向けのデータダウンロードサービスで、登録申請を受け付けた林業事業者が使用(IDとパスワードを利用してログイン)しています。

本サービスが提供するデータのなかに、仁淀川町(旧仁淀村)と馬路村、土佐市の森林の所有者名と住所が含まれていました。(仁淀川町(旧仁淀村)3,605人、馬路村638人、土佐市1人)

2023年8月24日夕方、発注者である高知県の担当者から弊社に連絡があり、事態が発覚しました。これまでに、仁淀川町(旧仁淀村)、馬路村、土佐市のデータをダウンロードした事業者は分かっており、現時点で森林所有者の住所、氏名について、インターネットや第三者への情報流出の事実は確認されていません。また、事業者からは他者へデータを渡していないという確認はとれており、当該データは削除していただいております。

2. 今後の対応

このような厳重に管理すべき情報が入ったデータを誤って提供したことにつきまして、住民の皆様、関係する方々に深くお詫び申し上げます。

今後、情報管理と再発防止を徹底してまいります。

【セキュリティ事件簿#2023-357】神奈川県立こども医療センター 個人情報が保存されたUSBメモリの紛失について 2023年9月6日


病院の患者情報(氏名、生年月日、性別、病歴や治療経過等)が保存されたUSBメモリを外部で紛失するという事故が発生しました。患者さんの大切な個人情報を扱う組織として、深く反省するとともに、患者さん、ご家族、その他関係者のみなさまに、多大なご迷惑をおかけしたことを深くお詫び申し上げます。

該当患者さんや御家族に対しては丁寧な説明と謝罪を行うとともに、不審なことなどあった場合は、下記問い合わせ先で対応することとしております。

なお、現時点では、個人情報が不正に外部に流出したことは確認されていません。

 1 概要

令和5年9月2日(土)から3日(日)未明にかけて、当センターに勤務する医師の自宅で盗難事件が起こり、20人分の患者さんのカルテ情報が保存されたUSBメモリが持ち去られるという事件が発生しました。直ちに、警察に通報しましたが、USBメモリは未だに見つかっておりません。

2 経過

【令和5年9月2日(土)】

当該医師は、業務や診療内容の確認を行うため、自宅に個人情報を持ち帰り、就寝前に個人情報が保存されたUSBメモリが入っているバッグの所在を確認した後、寝室に移動して就寝しました。

【令和5年9月3日(日)】

○ 7時30分頃に起床した後、バッグがないことに気がつき、警察に通報しました。

○ 警察の取り調べと現場検証により、盗難被害の可能性が高いとのことで被害届を提出しました。

3 原因

病院では毎年、USBメモリの取り扱いについての内容を含めた情報セキュリティに関する研修を実施してきたところですが、病院が実施した研修やUSBメモリの取り扱いに係る通知を遵守せず、病院の許可なく自宅に持ち帰ったためです。

4 対応(今後の予定を含む。)

○ 該当する患者さん及びご家族に対して、お詫びの手紙を送付するとともに、担当医師及び担当医師が所属する診療科の責任医師等が直接説明とお詫びを行います。

○ 病院が管理するネットワークに接続するパソコンについては、特別な業務を除きUSBメモリに個人情報の保存ができないようシステム設定及び運用を行います。

○ 改めて、全職員あてに個人情報や外部保存媒体の取り扱いについての注意喚起を行います。また、情報セキュリティに関する研修を実施します。

【セキュリティ事件簿#2023-356】SMBC日興証券株式会社 日興イージートレードにおける不正アクセスにご注意ください 2023年9月4日


今般、当社の一部のお客さまの日興イージートレードにおいて、お客さま以外の第三者が不正に入手した口座番号とパスワード情報を用い、お客さまになりすましてログイン等を行っている事案が発覚しております。

本日までの当社の調査において、不正なログインのあったことが確認されたお客さまにつきましては、当社より、お電話やメール、および日興イージートレード内のメッセージボックスにて個別に状況をお知らせし、パスワードの変更を依頼しております。また、該当するお客さまにつきましては、パスワード変更が完了するまでの間、一時的にお取引を制限させていただいております。

当社より個別に連絡を差し上げているお客さまにおかれましては、不正アクセスの被害からお客さまのご資産を守るため、速やかなパスワードの変更をお願いいたします。

当社の日興イージートレードをご利用のお客さまにご心配とご迷惑をおかけする事態が生じましたことを、深くお詫び申し上げます。

また、個別の連絡を当社から差し上げていないお客さまにおかれましても、口座番号やパスワード等は、第三者に知られることがないよう、ご自身で厳重に管理していただきますようお願いいたします。万が一、身に覚えのない取引の履歴等があった場合には、下記コンタクトセンターまでお問い合わせください。

  1. 本件についての当社の調査状況
    本件に関する当社の調査において、当社からのお客さま情報の流出は確認されておりません。他方、悪意のある第三者が何らかの方法で取得したお客さまの口座番号やパスワード情報等を流出させていることが、公的機関により確認されております。不正にログインされたお客さまの一部においては、当該流出が確認された時期からパスワードを変更していない方が含まれることから、当社としては、流出したこれらの情報を利用して不正なログインを試みられた可能性があると考えております。
    現時点では、不正にログインされたお客さまの口座からご資産が流出する事態は確認されておりませんが、お客さま以外の第三者が、日興イージートレードにおいて、不正に保有株式の売却を行ったと思われる事態が1件判明しております。

  2. お客さまにお願いしたいこと
    より安心して日興イージートレードをご利用いただくために、お客さまご自身によるセキュリティ対策についてご紹介いたしますので、ご対応をお願いいたします。

    ・安全性の高いパスワードを設定する
    ・身に覚えがない前回ログイン日時や出金、取引が無いか確認する
    ・メールアドレスを登録する
    ・出金時に二要素認証を利用する
    (https://www.smbcnikko.co.jp/news/attention/security/index3.html)

  3. 不正アクセス防止への取り組み
    当社では、不正アクセスによる被害を未然に防ぐため、日本証券業協会が定める『インターネット取引における不正アクセス等防止に向けたガイドライン』に則り、継続的にログイン時等のセキュリティ対策やモニタリングの高度化に取り組んでおります。
    2023年7月以降、安全性の高いログインパスワードの設定を必須とさせていただいておりますので、当社の定める設定ルールを満たしていないお客さまにおかれましては、お早めの変更をお願いいたします。
(https://www.smbcnikko.co.jp/news/customer/2023/n_20230417_01.html)

リリース文アーカイブ

アンドロイド用プライバシー保護ブラウザ3選


ほとんどのアンドロイド端末は、工場出荷時にGoogle Chromeがインストールされています。ご存知の通り、Google Chromeはあなたのオンライン・プライバシーにとって非常に有害です。そうでないAndroid端末の場合、プライバシーに配慮していない、あるいはセキュリティに疑問のある他のメーカーのブラウザが搭載されている可能性があります。

このため、Androidユーザーは代替ブラウザを探すことになります。理想を言えば、ユーザーのプライバシーを尊重してくれるブラウザです。Google Chromeをアンインストールして、ここでお勧めするようなプライバシーを尊重した代替ブラウザに置き換えることができます。

ここに掲載されているすべてのブラウザがGoogle Playストアにあるわけではありません。ここに掲載されているブラウザのほとんどは無料ですが、Android用の本当にプライバシーを尊重するブラウザの多くはGoogle Playストアで見つけることができず、代わりにF-droidで見つけることができます。

ここにリストアップされたブラウザは順不同です。各ブラウザにはそれぞれ長所、短所、特別な使用例があります。ユーザーはブラウザを選択する前に、ブラウザに対する特定のニーズと欲求を評価したいと思うでしょう - しかし、ここにリストされているすべてのブラウザをダウンロードして試してみない理由はありません!

Brave

注目ポイント
  • ネイティブのアドブロッカー
  • 強力なサイト分離
  • プロキシされたGoogleサービス(Braveサービス)
  • 優れたプライバシー機能
BraveブラウザはChromiumの派生版であり、オープンソースで開発されています。このブラウザはBrave社によって維持されており、Brave社自身もプライバシー関連のスキャンダルに関わっています。Braveは、ほとんどのユーザーのプライバシーを向上させるための設定を必要とせず、すぐに優れたプライバシーを提供します。

Brave ブラウザは、デフォルトで広告ブロック(シールド)が有効になっています。Googleのサービスを "使用 "する一方で、BraveはデフォルトでGoogleへのすべてのリクエストを保護します。

Braveは、フィンガープリント・ランダマイザーなどのプライバシー機能を導入し、さらなるフィンガープリント耐性を提供しています。2023年5月、このブラウザーは「Forgetful Browsing」も導入し、サイトの特定を拒否しています。

Braveは通信の追跡を行いますが、無効にすることも可能です。

Ice Raven

注目ポイント
  • 高度にカスタマイズ可能
  • 通信制限が可能
Ice Ravenは、さまざまな開発者の幅広いコミュニティによって維持されているオープンソースのFirefoxの派生版です。中心的な開発者は Ice Raven Project です。

Ice Raven の主な使命は、拡張されたカスタマイズオプションと、Web ブラウザが訪問したページとどのように相互作用するかについての情報をユーザに提供することです。

Ice Ravenはabout:configオプションをサポートしています。about:configでカスタマイズ可能なオプションにより、Firefox、Waterfox、Librewolfといったデスクトップ版のGecko搭載ウェブブラウザとカスタマイズの可能性をより近づけています。

さらに、Ice Ravenは、他のFenixベースのブラウザでは必ずしもサポートされていない拡張機能を幅広くサポートしています。アドオンの中には、Mozilla関連の依存関係が欠落しているために動作しないものもあるので注意が必要です。さらに、fenixベースのブラウザでは、Androidデバイスでのサイトの分離はそれほど強力ではありません。

Ice Ravenはまた、ソースコードからテレメトリやプロプライエタリなコードをできるだけ取り除くことを目指しています。

Ice RavenはGoogleのPlayストアでは見つけることができません。リリースは.apkファイルとしてIce Raven Githubリポジトリに公開されます。


Mull Browser

注目ポイント
  • 多くの独自blobを排除
  • 拡張機能のサポート
  • arkenfox、Tor upliftプロジェクトの機能を取り入れる
Mull Browserは、Android上のFirefox(より具体的にはGeckoView)であるFenixから派生したものです。オープンソースですが、主にDivestOSによって開発されています。DivestOSは、プライバシーに配慮した他のアプリケーションや、同じ名前のLineageOSの非公式な分派も開発しています。

Mullブラウザの最も素晴らしい点は、最初からかなりプライバシーが保護されていることです。Mullブラウザは、Tor upliftプロジェクトの多くの機能を有効にし、arkenfox user.jsプロジェクトの環境設定を使用しています。

そのすぐに使えるプライバシー保護機能にもかかわらず、DivestOSは(そしてavoidthehackも)uBlock Origin拡張機能のインストールを強く推奨しています。ご存じかもしれませんが、uBlock Originはプライバシーコミュニティーの定番です。それは、プライバシーを損なうことなく、ウェブページ上の広範なトラッカー、広告、追加のトラッキング手法をブロックします。

最も特徴的なのは、Mullブラウザが自身のソースコードから多くのプロプライエタリなブロブ(クローズドソースのソースコード)を排除していることです。これは、Relanによって開発されたスクリプトを使用することによって達成さています。

Mull BrowserはF-droidで入手可能であり、GoogleのPlay Storeでは見つけることができません。


プライバシー重視のブラウザを推奨するための基準

  1. オープンソースであること: 透明性を促進し、カスタマイズを可能にするため、ブラウザはオープンソースであるべきです。特に、FirefoxのGeckoエンジンから派生したブラウザが、Chromiumから派生したブラウザよりも好まれます。

  2. 定期的な更新: ブラウザはしばしば悪用されるため、最新の脆弱性を修正するタイムリーな更新が必要です。これは、派生ブラウザにとって特に重要であり、セキュリティパッチを最新の状態に保つために定期的なアップデートが必要です。

  3. 開発段階のものは使わない: アルファやベータ段階のブラウザはバグが多かったり、適切に動作するために追加の注意が必要だったりします。適切なリリースバージョンに到達するブラウザが必要です。

  4. カスタマイズ提供: 最適なプライバシー重視のブラウザは、拡張機能やアドオンなしでブラウザ内で多くのカスタマイズオプションを提供するべきで、これによりユーザーはプライバシー関連の設定を変更できます。

  5. 限定的なデータ収集: テレメトリーについては、完全にオプトアウトできるようにし、収集された情報をすべて匿名化する必要があります。
最後に、Androidでは多くのプライバシー重視のブラウザオプションがあり、リストにない一部のブラウザはプライバシーの向上にほとんど貢献しない可能性があります。信頼できないブラウザはデベロッパーに対して静かにセンシティブな情報を送信し、プライバシーを侵害する可能性があります。