【セキュリティ事件簿#2024-006】上智大学 統合データベースへの不正ログインについて


2023年12月後半に、本学のICTアカウント情報(ソフィアICTアカウントといい、ソフィアメールやmoodle等を利用できるもの)を管理している「上智大学 統合データベース」システムに、不正ログインがありました件について、報告いたします。

1.不正ログインについての概要

ソフィアICTアカウントの情報を管理している「上智大学 統合データベース」システムへの不正ログインが発生し、在学生及び卒業生10名のユーザー情報が改ざんされた可能性があります。発覚の経緯は、12月16日(土)頃より、在学生1名と卒業生1名から「メールシステムにログインできない」という問い合わせが続いたため、ログを確認したところ、10件の不正ログインが確認されました。

2.不正ログイン期間とアクセス元について

2023年12月15日(金)から、12月17日(日)の数日間に行われていた可能性があります。
不正アクセスの元となったIPアドレスは、主に海外のもの(複数)であることが確認されています。

3.改ざんされた可能性がある内容

「上智大学 統合データベース」システムのログを確認したところ、対象者のパスワードとリマインダの情報が、変更されていたことが判明しました。

4.対応状況 

対象者全員のパスワードを強制的に変更し、リマインダ登録情報をクリアしました。
2023年12月21日(木)に、学内(学生と教職員)向けに、ソフィアICTアカウントのパスワードの変更を促す注意喚起を掲出しました。

5.原因調査

本トラブルの原因については現在調査中ですが、現時点で考えられる要因としては、同じログインIDとパスワードを使いまわしていた可能性がある、他の商用サイト等から流出した情報をもとに、それを取得した第三者によるなりすましの不正ログインが行われた可能性があります。(リスト型アカウントハッキング) 

なお、対象者のソフィアメールの不正ログイン後7日間の送信記録を調べたところ、スパムメール等の踏み台等にされてはいないことを確認しました。

6.ソフィアICTアカウント利用者へのお願い(パスワード管理について) 

ソフィアICTアカウント(ソフィアメール、moodle等)を利用しているユーザーの皆様には、下記の対応をお願いいたします。
 ・パスワードを複雑化する
 ・同じパスワードを複数のシステムなどで使い回さない 
 ・紙に書いて保存・管理しない
 ・パスワード管理ツール等を使用する

【セキュリティ事件簿#2024-005】独立行政法人教職員支援機構 電子メール関連システムへの不正アクセスに伴う個人情報等漏洩のおそれについて

今般、独立行政法人教職員支援機構の利用していた電子メール関連システムに対し、不正アクセスがあり、個人情報を含む電子メールデータ(電子メールアドレス及び電子メールの内容)の一部が外部へ漏洩したおそれがあることが確認されました。

これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されております。

当機構では、個人情報は、個人情報保護に関する法律等に則り適切な管理を行ってまいりましたが、本事案により、メールアドレス等の個人情報が漏洩した可能性を排除できない方に対して個別に連絡するとともに、事案の公表を行うこととしたところです。

関係者の皆様には、御迷惑をおかけすることになり、お詫び申し上げます。再発防止に努めて参ります。

1. 経緯

令和5年6月13日 保守運用事業者から脆弱性に関する情報を受ける
令和5年6月17日 当該製品の切り離しを行う
令和5年7月5日 不正アクセスの確認
令和5年10月31日 職員にて当該製品を調査した結果、マルウェアを発見

2. 漏洩のおそれがある情報と期間

令和4年10月31日~令和5年6月16日17:00までに当機構(@nits.go.jp又は@ml.nits.go.jp)へ電子メールを送信された方の電子メールデータ(電子メールアドレス及び電子メールの内容)

3. 二次被害又はそのおそれの有無及びその内容

現時点で、漏洩の事実や情報の悪用等による二次被害は確認されておりませんが、念のため、不審な連絡、訪問者等には御注意いただきますとともに、万が一何かございましたら、下記の問い合わせ先まで御連絡ください。

4. 再発防止

当機構では令和5年6月16日に当該製品の利用を停止するとともに、セキュリティ対策を強化した電子メール関連システムの製品への契約の変更を行っております。今後もセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層のセキュリティ対策に努めてまいります。

【セキュリティ事件簿#2024-004】株式会社イズミ ブランドショップ X-SELL 求人応募者に関する個人情報漏えいおよび漏えいの可能性に関するお詫び


この度、弊社が運営するブランドショップ X-SELL のホームページより過去に求人にご応募いただいた一部の方の個人情報が、インターネット検索サイトで検索した結果として閲覧できる状態にあることが判明いたしました。対象の皆様には、大変なご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

早期対応にあたり、現在、個人情報は閲覧ができない状態に修正を完了しております。また、対象の皆様にはメールにてご報告後、ご連絡をさせていただいております。弊社といたしましては、今回の事態を重く受け止め、再びこのようなことがないよう、より一層の管理体制の強化に努めてまいります。対象の皆様には重ねてお詫び申し上げますとともに、本件に関する概要につきまして、以下の通りご報告いたします。

1.本件の経緯

2024 年 1 月 4 日に、ブランドショップ X-SELL のホームページより、過去に求人にご応募いただいた一部の方のご応募の際にご入力いただいた「個人情報(氏名、メールアドレス、電話番号、性別)」および「応募コメント」が、前述の個人情報のいずれかのキーワードにてインターネット検索サイトで検索を行った場合に、検索結果として閲覧できる状態になっておりました。

即時、web サイト作成の委託会社に調査を依頼し、翌 1 月 5 日 14 時頃、web サイトサーバー内のデータおよび検索履歴の削除が完了し、閲覧できない状態になっていることを確認いたしました。

2.発生事象

①対 象:2016 年 6 月 14 日~2022 年 8 月 28 日の期間に、ブランドショップ X-SELL のホームページより、求人にご応募いただいた方の一部
②項 目:応募者の氏名、電話番号、メールアドレス、性別、応募コメント
③件 数:41 名

3.原因

SEO 対策時における設定のミスによるものと判明いたしました。現在は、web サイトサーバー内のデータおよび検索履歴の削除が完了し、閲覧できない状態になっております。

4.対応

①対象の皆様へのお知らせ
2024 年 1 月 8 日に対象の皆様にメールにてご報告を行い、個別にお電話でご連絡をさせていただいております。

※対象の皆様におかれましては、不審な電話やメールがあった場合は、絶対に個人情報をお伝えしたり、web サイト等にアクセスされたりしないようご注意ください。弊社から、口座情報などの重要な個人情報をお聞きすることはございません。

②行政
2024 年 1 月 9 日に個人情報保護委員会へ報告しております。
今後は委員会からの指導等に従ってまいります。

5.再発防止

調査会社によるブランドショップ X-SELL のホームページのセキュリティ調査を実施し、個人情報を保有するページを制作・保持しない運用に変更いたします。

【セキュリティ事件簿#2024-003】アニエスベージャパン株式会社 当社サーバーへの不正アクセスについて


平素はアニエスベーをご愛顧いただき、誠にありがとうございます。

アニエスベーではお客様からの信頼を第一に考え、ここに重要なお知らせをいたします。

2023年12月26日、弊社アニエスベージャパンが管理するサーバーが第三者による不正アクセスを受けたことが明らかとなりました。不正アクセスが確認されて以降、被害拡大を防ぐため、ネットワークの遮断などの対応をただちに実施し、外部の専門機関と連携して可能な限りの調査対応を進めております。

現段階では個人情報が漏えいした事実は確認できておりませんが、予防の観点から、不審に思われるメッセージには十分にご注意いただきますようお願いいたします。

弊社は、お客様の個人情報の保護を最優先とし、その対策に最善を尽くしてまいりますので、ご理解賜りますようお願いいたします。

この度は、弊社の事情により、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

【セキュリティ事件簿#2024-002】株式会社熊谷組 当社サーバへの不正アクセスについてのご報告

株式会社熊谷組

2024年1月9日、当社が運用管理する一部のサーバに対し、第三者による不正アクセスを受けたことを確認しました。

現在、情報漏洩した内容について確認中ですが、今後の調査によって新たに報告すべき事項が判明次第、速やかにお知らせいたします。

当社は、危機管理委員会にて本件の対策方針を定めて、外部専門機関の協力を受けながら、調査を継続し、被害拡大の防止及び再発防止に向けて総力を挙げて対応して参ります。なお本件については、すでに警察当局への被害申告ならびに個人情報保護委員会への報告を行い、捜査機関とも連携して事件の解明に努めております。

関係者の皆さまには、多大なるご心配とご迷惑をおかけすることを、深くお詫び申し上げます。


熊谷組

【セキュリティ事件簿#2023-456】日本ルツボ株式会社 ランサムウェアによるアクセスに関するお知らせ


昨年、当社春日井工場のデバイスの一部がランサムウェアによる第三者からの不正アクセスを受けたことに関して、以下の通り続報致します。

本件につきましては、速やかに対策本部を設置のうえ、外部専門家による原因の特定、被害状況の確認、情報流出の有無などの調査を行いました。

その結果、業務に使用していない PC にインストールされていたリモートデスクトップツールを通じた不正アクセスがあり、春日井工場のデータの一部がロックされましたが、バックアップ・データにより復旧できております。他のデバイスについてはこれまでに実施してきたセキュリティー強化の効果もあって影響を受けなかったものと判断しております。

今後は、導入済みのセキュリティーツールの運用強化も含め、適時、外部専門家のアドバイスを受けるなど、セキュリティー対策の拡充に努めて参ります。

改めまして、この度の件でご心配をお掛けしましたことを、深くお詫び申し上げます。

Kivaローンで社会貢献しながらマイルをゲットする方法を考えてみる


マイルを貯める裏技!Kivaローンで人助けしながらJALマイルを効率的に獲得

マイルの世界に入るとマイルがたくさんほしくなる。

手っ取り早くマイルをもらうにはクレカ決済となり、短絡的に思いつくのはクレカで物を買ってそれを転売して現金化する手法。

でもこれは購入するものを探すのに多くの時間を費やす必要があり、銭ゲバ的であまりいい気がしない。

次に考えられるのがマイクロファイナンス。実はクレジットカードで購入できるものもあり、私が知っているのはセキュリテ

自分も一時期投資していたが、投資案件の一本がデフォルトして、資金を引き揚げた。

セキュリテでデフォルトしたファンド

最近改めてセキュリテのサイトを覗いてみたが、一口3万円を超えている点と、デフォルト率が公開されていない点から、日本のマイクロファイナンスはリスクが高く、透明性が低いと感じた。

そこで選択肢に浮上してきたのが今回登場するKivaローン。

Kivaローンって?

Kivaローンは、世界中の困っている人に直接お金を貸せるマイクロファイナンスサービス。投資家から集めたお金は、小規模な事業者や学生など、銀行融資を受けられない人々に貸し出される。

リスクとしてはUSDベースなので、為替のリスクというかコスト。

現時点、JALマイルの間接購入はマリオットのポイント購入となり、60,000ポイント=25,000JALマイルとなる。

マリオットポイント50%増量キャンペーンで購入した場合40,000マリオットポイント(=500USD)購入で60,000マリオットポイントを調達でき、25,000JALマイルに移行できる。

クレカ決済の場合、25,000JALマイルの獲得に250万円の決済が必要となるため、250万円分をKivaローンに投じたとして、500USD(1USD146円換算で≒73,000円)を引いた約242万円以上がリターンとして戻ってくれば、個人的にアリということになる。

仮に失敗したとしても、投じたお金が世界のどこかで役に立ったと思えば、納得感も高い。

Kivaローンでマイルを貯めるメリット

  • 人助けをしながらマイルを貯められる
  • 少額から投資できる(25USDから)
  • 投資先を選べる
  • デフォルト率が公開されている
  • 換金性のあるポイントが貯まる

Kivaローンでマイルを貯めるデメリット

  • デフォルトリスクがある
  • 為替リスクがある
  • マイル獲得までに時間がかかる

とりあえず検証

いきなり250万円投じるのはさすがにリスクが高いので、まずは毎月30USDの案件2本(計60USD)の投資を続ける。

Kivaローンは8か月程度の短期のプロジェクトもあるため、1年くらい継続すると、理屈上は毎月60USD程度の収入がある計算になる。

イメージ(https://frequentmiler.com/my-kiva-spend-experiment/)

想定通りであれば出資額を増やして貢献レベルと獲得マイルをあげていく。大きく想定を下回るようであれば資金は引き上げる。

せっかくなので、進捗も定期的にブログで掲載していきたい。

Kivaローンは困っている人に直接貸し出すというよりは、提携する現地のマイクロレンディングパートナーに融資するイメージ。

案件非常に豊富で、フィルタリング機能も豊富。


ちなみに、推奨は下記らしい。

・Risk rating(stars):4 - 5
・Delinq rate:min - 3%
・Default rate from:min - 5%
・Loans at Risk:min - 10%

win-winの結果になることを祈ろう!

Kivaローンで社会貢献しながらマイルをゲットできるか検証(2024年1月号)

kiva.org
以前掲載したブログを基に検証を進め、その記録を残すためのブログ

今回は初回なので、2案件に30USDずつ投資してみる。

融資No:2705613号

  • 融資国:フィリピン
  • Lending partner:Negros Women for Tomorrow Foundation
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)

融資No:2707642号

  • 融資国:ニカラグア
  • Lending partner:FUNDENUSE
  • 期間:8か月
  • 融資実行:2024年1月
  • 融資額:30USD(≒4,727.5円)