【セキュリティ事件簿#2024-005】独立行政法人教職員支援機構 電子メール関連システムへの不正アクセスに伴う個人情報等漏洩のおそれについて

今般、独立行政法人教職員支援機構の利用していた電子メール関連システムに対し、不正アクセスがあり、個人情報を含む電子メールデータ(電子メールアドレス及び電子メールの内容)の一部が外部へ漏洩したおそれがあることが確認されました。

これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されております。

当機構では、個人情報は、個人情報保護に関する法律等に則り適切な管理を行ってまいりましたが、本事案により、メールアドレス等の個人情報が漏洩した可能性を排除できない方に対して個別に連絡するとともに、事案の公表を行うこととしたところです。

関係者の皆様には、御迷惑をおかけすることになり、お詫び申し上げます。再発防止に努めて参ります。

1. 経緯

令和5年6月13日 保守運用事業者から脆弱性に関する情報を受ける
令和5年6月17日 当該製品の切り離しを行う
令和5年7月5日 不正アクセスの確認
令和5年10月31日 職員にて当該製品を調査した結果、マルウェアを発見

2. 漏洩のおそれがある情報と期間

令和4年10月31日~令和5年6月16日17:00までに当機構(@nits.go.jp又は@ml.nits.go.jp)へ電子メールを送信された方の電子メールデータ(電子メールアドレス及び電子メールの内容)

3. 二次被害又はそのおそれの有無及びその内容

現時点で、漏洩の事実や情報の悪用等による二次被害は確認されておりませんが、念のため、不審な連絡、訪問者等には御注意いただきますとともに、万が一何かございましたら、下記の問い合わせ先まで御連絡ください。

4. 再発防止

当機構では令和5年6月16日に当該製品の利用を停止するとともに、セキュリティ対策を強化した電子メール関連システムの製品への契約の変更を行っております。今後もセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層のセキュリティ対策に努めてまいります。

Labels:

【セキュリティ事件簿#2024-004】株式会社イズミ ブランドショップ X-SELL 求人応募者に関する個人情報漏えいおよび漏えいの可能性に関するお詫び


この度、弊社が運営するブランドショップ X-SELL のホームページより過去に求人にご応募いただいた一部の方の個人情報が、インターネット検索サイトで検索した結果として閲覧できる状態にあることが判明いたしました。対象の皆様には、大変なご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

早期対応にあたり、現在、個人情報は閲覧ができない状態に修正を完了しております。また、対象の皆様にはメールにてご報告後、ご連絡をさせていただいております。弊社といたしましては、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の管理体制の強化に努めてまいります。対象の皆様には重ねてお詫び申し上げますとともに、本件に関する概要につきまして、以下の通りご報告いたします。

1.本件の経緯

2024 年 1 月 4 日に、ブランドショップ X-SELL のホームページより、過去に求人にご応募いただいた一部の方のご応募の際にご入力いただいた「個人情報(氏名、メールアドレス、電話番号、性別)」および「応募コメント」が、前述の個人情報のいずれかのキーワードにてインターネット検索サイトで検索を行った場合に、検索結果として閲覧できる状態になっておりました。

即時、web サイト作成の委託会社に調査を依頼し、翌 1 月 5 日 14 時頃、web サイトサーバー内のデータおよび検索履歴の削除が完了し、閲覧できない状態になっていることを確認いたしました。

2.発生事象

①対 象:2016 年 6 月 14 日~2022 年 8 月 28 日の期間に、ブランドショップ X-SELL のホームページより、求人にご応募いただいた方の一部
②項 目:応募者の氏名、電話番号、メールアドレス、性別、応募コメント
③件 数:41 名

3.原因

SEO 対策時における設定のミスによるものと判明いたしました。現在は、web サイトサーバー内のデータおよび検索履歴の削除が完了し、閲覧できない状態になっております。

4.対応

①対象の皆様へのお知らせ
2024 年 1 月 8 日に対象の皆様にメールにてご報告を行い、個別にお電話でご連絡をさせていただいております。

※対象の皆様におかれましては、不審な電話やメールがあった場合は、絶対に個人情報をお伝えしたり、web サイト等にアクセスされたりしないようご注意ください。弊社から、口座情報などの重要な個人情報をお聞きすることはございません。

②行政
2024 年 1 月 9 日に個人情報保護委員会へ報告しております。
今後は委員会からの指導等に従ってまいります。

5.再発防止

調査会社によるブランドショップ X-SELL のホームページのセキュリティ調査を実施し、個人情報を保有するページを制作・保持しない運用に変更いたします。

Labels:

【セキュリティ事件簿#2024-003】アニエスベージャパン株式会社 当社サーバーへの不正アクセスについて


平素はアニエスベーをご愛顧いただき、誠にありがとうございます。

アニエスベーではお客様からの信頼を第一に考え、ここに重要なお知らせをいたします。

2023年12月26日、弊社アニエスベージャパンが管理するサーバーが第三者による不正アクセスを受けたことが明らかとなりました。不正アクセスが確認されて以降、被害拡大を防ぐため、ネットワークの遮断などの対応をただちに実施し、外部の専門機関と連携して可能な限りの調査対応を進めております。

現段階では個人情報が漏えいした事実は確認できておりませんが、予防の観点から、不審に思われるメッセージには十分にご注意いただきますようお願いいたします。

弊社は、お客様の個人情報の保護を最優先とし、その対策に最善を尽くしてまいりますので、ご理解賜りますようお願いいたします。

この度は、弊社の事情により、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

Labels:

【セキュリティ事件簿#2024-002】株式会社熊谷組 当社サーバへの不正アクセスについてのご報告

株式会社熊谷組

2024年1月9日、当社が運用管理する一部のサーバに対し、第三者による不正アクセスを受けたことを確認しました。

現在、情報漏洩した内容について確認中ですが、今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

当社は、危機管理委員会にて本件の対策方針を定めて、外部専門機関の協力を受けながら、調査を継続し、被害拡大の防止及び再発防止に向けて総力を挙げて対応して参ります。なお本件については、すでに警察当局への被害申告ならびに個人情報保護委員会への報告を行い、捜査機関とも連携して事件の解明に努めております。

関係者の皆さまには、多大なるご心配とご迷惑をおかけすることを、深くお詫び申し上げます。


熊谷組
Labels:

【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスに関するお知らせ


昨年、当社春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことに関して、以下の通り続報致します。

本件につきましては、速やかに対策本部を設置のうえ、外部専門家による原因の特定、被害状況の確認、情報流出の有無などの調査を行いました。

その結果、業務に使用していない PC にインストールされていたリモートデスクトップツールを通じた不正アクセスがあり、春日井工場のデータの一部がロックされましたが、バックアップ・データにより復旧できております。他のデバイスについてはこれまでに実施してきたセキュリティー強化の効果もあって影響を受けなかったものと判断しております。

今後は、導入済みのセキュリティーツールの運用強化も含め、適時、外部専門家のアドバイスを受けるなど、セキュリティー対策の拡充に努めて参ります。

改めまして、この度の件でご心配をお掛けしましたことを、深くお詫び申し上げます。

Labels:

Kivaローンで社会貢献しながらマイルをゲットできるか検証(2024年1月号)

kiva.org
以前掲載したブログを基に検証を進め、その記録を残すためのブログ

今回は初回なので、2案件に30USDずつ投資してみる。

融資No:2705613号

  • 融資国:フィリピン
  • Lending partner:Negros Women for Tomorrow Foundation
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)

融資No:2707642号

  • 融資国:ニカラグア
  • Lending partner:FUNDENUSE
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)


Labels:

【セキュリティ事件簿#2023-503】JR西日本ホテルズ 梅小路ポテル京都メールアカウントへの不正アクセスによる迷惑メールの送信に関するお詫びとお知らせ

梅小路ポテル京都

2023年12月17日(日)~翌18日(月)にかけて、梅小路ポテル京都が運用するメールアカウントの一つが不正アクセスを受け、不特定多数のメールアドレスに迷惑メール(フィッシングメール)が送信されるという事案が発生し、多大なご迷惑、ご心配をおかけしたことを深くお詫び申し上げます。

前回(2023年12月21日)のお知らせ以降、調査により判明しました事実につきまして、以下のとおりご報告いたします。
 

1.被害状況に関する調査結果

事象①サーバーに保存されたメールが第三者に閲覧された可能性について

メールサービス提供会社に調査を依頼しましたところ、メール受信サーバーに不正アクセスの痕跡はないと報告を受けております。よって、第三者に個人情報を含むメールが閲覧されたことを疑わせる事実は発生していないと判断いたしました。

事象②不特定多数のメールアドレスに迷惑メール(フィッシングメール)が送信された件について

メール送信サーバーが第三者による不正アクセスを受け、スパムメール不正送信の踏み台とされたことを確認いたしました。配信されたメールによる被害の報告は現時点ではございません。引き続きご注意いただき、そのようなメッセージの配信を受けた場合は返信や貼付されたURLリンクへのアクセスをされないよう、お願い申し上げます。
 

2.再発防止策

調査結果及び関係機関等からの助言を踏まえ、メールアカウントに対するセキュリティ対策の拡充を図ります。

Labels:

AWSとAzureのクラウドデータをハッカーから守る、無料のクラウドセキュリティツール5選


サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、企業がクラウドベースの環境を保護するために役立つ無料のツールのリストを公開しました。これらのツールは、クラウドベースまたはハイブリッド環境で発生する脅威、既知の脆弱性、および異常を緩和、特定、検出するために、インシデント対応アナリストおよびネットワーク防御者を支援します。

しかし、クラウド環境では膨大な数の攻撃ベクトルが利用可能であるため、クラウドへの移行が急速に拡大していることに引き込まれ、クラウドシステムを標的とする脅威行為者もいます。

クラウドベースの攻撃に対する防御に必要な能力を備えていない組織は、CISAが提供するツールを利用することで大きなメリットを得られます。これらのツールは、データ窃盗、情報漏洩、そして情報窃取からクラウドリソースを保護するのに役立ちます。CISAが提供するツールのリストは以下の通りです。
  1. Cybersecurity Evaluation Tool (CSET).
  2. The SCuBAGear tool.
  3. The Untitled Goose Tool
  4. Decider Tool
  5. Memory Forensic on Cloud.

        Cybersecurity Evaluation Tool (CSET)

        CISAは、企業のサイバーセキュリティ態勢を評価するためのツールを開発しました。このツールは、業界で広く受け入れられている標準、ガイドライン、推奨事項に基づいており、運用ルールや手順、システムの設計に関する質問に回答することで、企業の長所と短所を把握します。その結果を踏まえて、改善のための提案とともに報告書を作成します。

        CSETバージョン11.5では、米国国立標準技術研究所(NIST)がコンピュータセキュリティ産業協会(CISA)と共同で策定したクロスセクター・サイバー・パフォーマンス・ゴール(CPG)が含まれています。CPGは、企業のサイバーセキュリティ態勢を評価するための共通基準を提供します。


        The SCuBAGear tool

        SCuBAGearは、SolarWinds Orion Softwareのサプライチェーン攻撃への対応として開発された、連邦民間行政機関(FECB)とCISAのMicrosoft 365(M365)セキュアコンフィギュレーションを比較する自動化ソフトウェアです。

        CISAは、SCuBAGearと連携して、クラウドセキュリティのガイドとなるような、あらゆるタイプの企業に役立つ数多くの資料を作成しました。このツールの結果、3種類の文書が作成されました。

        • SCuBAGearガイド:SCuBAGearの使用方法と、その結果を解釈する方法について説明します。
        • SCuBAレポートテンプレート:SCuBAGearを使用して作成したレポートのフォーマットを定義します。
        • SCuBAベストプラクティス:クラウドセキュリティのベストプラクティスをまとめたドキュメントです。


        SCuBA Technical Reference Architecture (TRA)


        クラウドストレージ環境の安全性を強化するための基本的なフレームワークを提供します。クラウドベースのビジネスアプリ(SaaSモデルの場合)と、その保護と監視に使用されるセキュリティサービスは、いずれもTRAの範囲に含まれます。

        ハイブリッドアイデンティティソリューションアーキテクチャ


        クラウド上でホストされる環境でアイデンティティ管理に取り組むための最善の方法を提供します。このアーキテクチャは、オンプレミスとクラウドの両方の環境を統合し、一元的に管理することを目的としています。

        M365セキュリティコンフィギュレーションベースライン(SCB)


        Microsoft 365(M365)環境のセキュリティを強化するために、M365のすべてのサービスに対する基本的なセキュリティ設定を提供します。SCBガイドラインに準拠していないポリシーを識別し、そのポリシーの逸脱を示すHTMLレポートを生成します。

        The Untitled Goose Tool

        Untitled Goose Toolは、Sandia National Laboratoriesと共同で開発された、Microsoft Azure、Active Directory、Microsoft 365環境での異常の検出と調査を支援するツールです。監査ログのクエリ、エクスポート、調査も可能です。

        SIEMプラットフォームにログをインポートしていない組織にとって、このツールは非常に役立ちます。PowerShellツールにAzure、AAD、M365のデータ収集機能がなかったため、このツールは当時利用可能だったPowerShellツールの代替として設計されました。


        Untitled Goose Toolは、Active Directory、Microsoft Azure、Microsoft 365からクラウド成果物を抽出するツールです。

        Unified Audit Logs (UAL)にタイムバウンディングを行うことで、特定の期間のログのみを収集できます。また、MDE(Microsoft Defender Endpoint)データデサイダーツールのタイムバウンディング機能を利用して、特定の期間のデータを収集することもできます。

        インシデント対応アナリストは、このツールをMITRE ATT&CK 手法と組み合わせることで、悪意のあるアクションをマッピングするのに役立ちます。このツールは、アナリストの手法をより利用しやすく、適切な方法で行動をレイアウトするための方向性を提供します。

        Decider Tool

        このツールは、CSETと同様に、ユーザーの環境やニーズを理解するために、多くの質問を行います。これらの質問に答えることで、ユーザーは以下のことができるようになります。


        • ATT&CK Navigatorからヒートマップをエクスポート。
        • 収集した脅威インテリジェンスに関するレポートの公開。
        • 適切な予防策の実施。
        • 搾取の防止

        さらに、CISAはDeciderツールの使い方を説明したリンクを提供しています。

        Memory Forensic on Cloud.

        このツールは、AWS上のWindowsメモリイメージを構築および分析するために、Volatility 3を使用しています。また、最近流行しているファイルレスマルウェアの検出にも役立ちます。

        メモリイメージ解析は、インシデントレスポンス対応において重要な役割を果たす可能性があります。インシデント発生時に、メモリイメージを分析することで、攻撃者の痕跡を特定し、対応策を検討することができます。


        Labels:
        登録: 投稿 (Atom)