【セキュリティ事件簿#2024-311】駒ヶ根市 申請フォームの設定ミスによる情報漏えい事案 2024/7/5

 

1 概要

駒ヶ根市の市制施行 70 周年記念式典の参加者(第 2 部と第 3 部)を Google フォームより募集しておりましたが、参加申込者が他の申込者の情報を閲覧できる状態になっておりました。

事案発覚後、直ちに申し込みフォームを閉鎖した上で、該当者にはお詫びと経緯説明のご連絡をしております。

現時点において、このことによる被害の発生は、確認できておりません。

2 閲覧できた可能性がある個人情報等

(1) 該当される方

 令和 6 年 7 月 3 日午後 0 時 25 分までに参加申し込みされた方(28 名)

(2) 閲覧可能期間

令和 6 年 6 月 12 日から令和 6 年 7 月 3 日午後 0 時 25 分頃

(3) 個人情報の内容

 お名前、ふりがな、電話番号、郵便番号、住所

3 原因

参加申込フォーム(Google フォーム)の設定誤りにより、申込完了後に表示される「前の回答を表示」というリンクをクリックすると、他の申込者の情報の一部を閲覧できる状態となっておりました。なお、現在は、申込フォームを閉鎖しています。

4 再発防止策等について

今後は、事務処理における複数チェックなど体制の強化を図るとともに、個人情報の適正な取り扱いを徹底します。

<具体的な内容>

・直ちに職員全員に注意喚起 ・個人情報の取り扱いに係る注意徹底、教育

・情報セキュリティ管理をしている電子申請サービスを使用することの徹底

・インターネット上で取り扱う個人情報のリスクに対する教育

・電子申請サービスの操作研修は、引き続き実施

リリース文アーカイブ

【セキュリティ事件簿#2024-310】有限会社東原商店 弊社が運営するオンラインショップへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2024/7/16

このたび、弊社が運営する「オリーブ牛の肉のヒガシハラ(https://www.niku-higasihara.co.jp/)」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報1,703名分を含む個人情報27,561名分が漏えいした可能性があることが判明いたしました。

クレジットカード情報については、一部特定できていないものも含まれております。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させていただきます。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2024年3月11日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の漏えい懸念について連絡を受け、当日内に「オリーブ牛の肉のヒガシハラ」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2024年4月19日、調査機関による調査が完了し、2021年3月1日~2024年4月9日の期間に「オリーブ牛の肉のヒガシハラ」で購入されたお客様のクレジットカード情報が漏えいし、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。また、2011年2月1日~2024年4月9日の期間に登録された個人情報についても漏えいした可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2. 個人情報漏えい状況

(1)原因

弊社が運営する「オリーブ牛の肉のヒガシハラ」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)クレジットカード情報漏えいの可能性があるお客様

2021年3月1日~2024年4月9日の期間中に「オリーブ牛の肉のヒガシハラ」においてクレジットカード決済をされたお客様1,703名で、漏えいした可能性のある情報は以下のとおりです。

【クレジットカード情報】

  • クレジットカード名義人名
  • クレジット番号
  • 有効期限
  • セキュリティコード

【その他情報】

「オリーブ牛の肉のヒガシハラ」オンラインショップのログインパスワード

(3)個人情報漏えいの可能性があるお客様

2011年2月1日から2024年4月9日の期間中に「オリーブ牛の肉のヒガシハラ」をご利用されたお客様27,561名で、漏えいした可能性のある情報は以下のとおりです。

  • 氏名
  • 住所
  • メールアドレス
  • 電話番号
  • 生年月日
  • FAX番号(任意)
  • 会社名(任意)
  • 性別(任意)
  • 職業(任意)

上記に該当するお客様については、別途、電子メールにて個別にご連絡申し上げます。メールアドレスのご登録が無いお客様、または電子メール配信が出来なかったお客様には、別途書状にてご連絡させていただきます。

3. お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。

4. 公表が遅れた経緯について

2024年3月11日の漏えい懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5. 再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「オリーブ牛の肉のヒガシハラ」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2024年3月11日に報告済みであり、また、所轄警察署にも2024年3月11日に被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-309】オリジン東秀株式会社 個人情報を含む情報漏えい可能性に関するお詫びとお知らせ 2024/7/12

 

この度、弊社ウェブサイト内に設置しているお客さまお問い合わせフォームにおきまして、お客さまの個人情報を含む情報が漏洩した可能性があることが判明いたしました。本件判明後、速やかに当該フォームを非公開設定とする措置をしております。現在、原因究明に向けて調査を継続して実施しておりますが、現在判明している事項についてお知らせいたします。

お客さまには大変なご迷惑、ご心配おかけいたしますことを、心よりお詫び申し上げます。

現時点で把握している事項は以下のとおりです。

■対象情報:氏名、性別、住所、年代、電話番号、メールアドレス、お問い合わせ内容のうち、お客さまがご入力された情報

■対象期間:2024 年 7 月 10 日 10 時~2024 年 7 月 11 日 11 時

■対象件数:最大 31 件

本件について、対象となるお客さまには、お知らせいただいたメールアドレス、お電話番号またはご住所宛に、順次、個別にお知らせをさせていただいておりますが、お心あたりのお客さまは下記窓口までご一報くださいますようお願い申し上げます。

今後は、原因究明に努めるとともに、個人情報を取扱う上での管理体制をより一層強化するなどの再発防止策を実施してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-307】株式会社リクルート 不正アクセスによる従業者等の情報漏えいに関するお知らせとお詫び 2024/7/16

 

株式会社リクルートは、この度、第三者による不正アクセス(以下、本事案)を受け、従業者等*1に関する情報の漏えいがあることが判明しましたのでお知らせ致します。

以下の通りご報告致しますとともに、関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

なお、本事案において、ユーザーおよび取引先顧客に関する情報の漏えいは確認されておりません。本日時点で従業者等*1の情報を利用した二次被害も確認されておりません。

発生した事象

7月9日に『SUUMO』が一部エリアで提供している実証実験中の不動産会社向けサービスのサーバーに対し第三者による不正アクセスを検知。システムを停止し、影響を調査したところ、従業者等*1に関する情報の漏えいがあることが判明しました。

【影響範囲】

当社の従業者等*1に関する個人データ

項目:従業員等*1のローマ字氏名  

件数:1313件

*1 2007年以降に住まい領域のサービス開発・保守に携わった当社および業務委託先の従業者(退職者・離任者含む)

【当社の対応】

該当する従業者等には個別にご連絡させていただいております。

退職等により個別にご連絡ができない方には、本発表にてお知らせさせていただくとともに、本件に関する問い合わせ窓口を設置し、対応させていただきます。

なお、不正アクセスに対しては対策を講じ、復旧作業に努めております。

再発防止策

当該サービスについてはサーバーの再構築・再点検を実施するとともに、セキュリティ対策をより一層強化することで、再発防止に努めてまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-041】住友重機械工業株式会社 不正アクセスによる個人情報漏えいに関するお知らせとお詫び 2024/7/16


住友重機械工業株式会社(本社:東京都品川区、代表取締役社長:下村真司、以下「当社」)は、2024年2月に当社グループのサーバーに不正アクセスが発生したことに関連し、このたび当社および当社グループ会社の従業員の個人情報が漏えいしたことが判明いたしました。
関係者の皆様に、多大なるご迷惑とご心配をお掛けしておりますことを、深くお詫び申し上げます。

1.漏えいした、または漏えいしたおそれがある個人情報

対象:当社及びグループ会社の従業員 ※退職者の一部を含む
・氏名
・所属情報(会社名、部署、役職)
・社用電話番号
・社用メールアドレス
なお、現時点で漏えいの事実が確認されているのは、69名分の社用メールアドレスのみとなります。

2.情報漏えいの経緯

2024年2月4日、当社グループのサーバーに不正アクセスが発生していることを確認いたしました。
その後、調査により、当社および当社グループ会社の従業員の個人情報が漏えいしたことが判明いたしました。
また、本件情報漏えいについて、個人情報保護委員会へ報告いたしました。
(参考)2024年2月9日 当社サーバーへの不正アクセスについて

3. 個人情報の漏えいが確認された方々およびその可能性がある方々への対応

対象となる方に対して、個別に連絡を差し上げております。
なお、本件公表は、連絡不能となっている一部の方に対する措置を兼ねています。

4.再発防止策

このような事態を招いたことを重く受け止め、既存ネットワーク、セキュリティーシステムの更新等、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。


【2024年2月9日分】

あなたもサイバーセキュリティ分野の投資家に!オススメETFの紹介


世界のサイバー犯罪被害額は2025年には年間10.5兆米ドルに達すると予測しています。

サイバー犯罪に対抗するため、2021年から2025年までの5年間で、世界はサイバーセキュリティ製品とサービスに累計で約1兆7500億米ドルを支出すると推定しています。

ベンチャーキャピタルは過去5年間、サイバーセキュリティの新興企業や新興プレーヤーに毎年数十億ドルを投入してきました。あなたもサイバーセキュリティの分野に投資したいですか?ETFを使えばベンチャーキャピタルだけでなく、一般の投資家も投資を行うことができます。

ETFは資産の集合体であり、多くの場合、株式、債券、またはその2つの混合物です。一つのETFが数十、時には数百の銘柄を保有していることもあります。そのため、投資家はETFを1株所有することで、ファンドが保有するすべての株式(またはその他の資産)の間接的な株式を所有することができます。これは、株式のコレクションを購入する素晴らしい方法です。

今回はサイバーセキュリティ関連ETFを紹介します。

ETFMG Prime Cyber Security ETF (ETFMG: HACK)

Nasdaq・ISEサイバーセキュリティ・セレクト・インデックス(HXRXL)に連動する投資成果を目指す。ハードウェア・ソフトウェア・サービスを含むサイバーセキュリティソリューションを提供する企業で構成。

First Trust NASDAQ Cybersecurity ETF (NASDAQ: CIBR)

ナスダックCTAサイバーセキュリティ・インデックス(NQCYBRT)の価格および利回りと同等の投資成果を目指す。データの完全性やネットワーク運用を保護するセキュリティプロトコルの構築・実装・管理に取り組む企業で構成。

Global X Cybersecurity ETF (BUG) (NASDAQ: BUG)

Indxx・サイバーセキュリティ・インデックス(IBUGT)の価格および利回りと同等の投資成果を目指す。システム、ネットワークへの侵入や攻撃を防止するセキュリティ・プログラムの開発と管理を主な業務とする企業など、サイバーセキュリティ・テクノロジーの需要拡大から利益を得る可能性がある企業で構成。

Global X Defense Tech ETF (NASDAQ: SHLD)

防衛技術セクターに焦点を当てた上場投資信託(ETF)です。主に軍事技術、サイバーセキュリティ、宇宙技術などに関連する企業の株式を組み入れています。このETFは、国防関連の成長分野に投資することで、リスク分散を図りながら長期的な資本成長を目指します。

Horizons GX Cybersecurity Index ETF (TSE: HBUG)

サイバーセキュリティ分野に特化したカナダの上場投資信託(ETF)です。主に、サイバーセキュリティソリューションや技術を提供する企業の株式を組み入れています。このETFは、サイバー攻撃やデータ漏洩のリスクが高まる中で、関連企業の成長を捉えることを目指しています。

IShares Digital Security UCITIS ETF (LSE: LOCK)

デジタルセキュリティ分野に特化した上場投資信託(ETF)です。主に、サイバーセキュリティ、デジタルプライバシー、インターネットセキュリティソリューションを提供する企業の株式を組み入れています。このETFは、情報セキュリティの重要性が増す中で、関連企業の成長機会を捉えることを目指しています。

IShares Trust Cybersecurity and Tech ETF (NYSE: IHAK)

NYSEファクトセット・グローバル・サイバーセキュリティ・インデックス(NYFSSECN)と同等の投資成果を目指す。サイバーセキュリティとテクノロジーに関わる先進国および新興国の企業で構成。

ProShares Ultra Nasdaq Cybersecurity (NASDAQ: UCYB)

Nasdaq CTA・サイバーセキュリティ・インデックス(NQCYBR)の運用実績の2倍(200%)となる日次投資結果を目指す。

Technology Select Sector SPDR Fund (NASDAQ: XLK)

テクノロジー・セレクト・セクター・インデックス(IXTTR)に連動する投資成果を目指す。ソフトウェア、コンピュータ・周辺機器、半導体などの業種に分類される企業に対する対象を絞った投資を行う。

Themes ETF Trust Themes Cybersecurity ETF (NASDAQ: SPAM)

主に、サイバーセキュリティ技術やサービスを提供する企業の株式を組み入れています。このETFは、増加するサイバー脅威に対抗するための技術革新や市場拡大に着目し、投資家にとってリスク分散と成長機会を提供します。

WisdomTree Cybersecurity FUND (NASDAQ: WCBR)

ウィズダムツリー・Team8・サイバーセキュリティ・インデックス(WTCBR)に連動する投資成果を目指す。インデックスの資格要件を満たすサイバーセキュリティ指向の製品の提供に主に携わる企業で構成。

XTrackers Cybersecurity Select Equity ETF (NASDAQ: PSWD)

主に、サイバーセキュリティソリューションや技術を提供する企業の株式を組み入れています。このETFは、サイバー攻撃やデータ漏洩のリスクが高まる中で、関連企業の成長を捉えることを目指しています。


これらのETFは国内証券会社の米国株口座では扱っていない可能性が高く、海外証券会社(IB証券、SAXOバンク証券、etc)の口座を開設して買い付ける必要があります。

OSINTニュース_v20240715

 

2024年7月13日、ペンシルベニア州バトラーで元アメリカ合衆国大統領のドナルド・トランプ氏が銃撃されました。容疑者はトーマス・マシュー・クルックスと特定され、シークレットサービスによって射殺されました。幸い、トランプ氏は軽傷で済んでおり、大事に至らなかったことに安心しています。

今回のラインナップは以下の通り。

  • Google Cache以外のブラウザキャッシュアクセスの方法(拡張プラグイン:web-archives)
  • アカウントなしでのインスタグラムアクセス

  • Brad's Batch of Bookmarks
  • Extensity


Google Cache以外のブラウザキャッシュアクセスの方法(拡張プラグイン:web-archives)

Micah Hofmannは、Bing、Yandex、そして古き良きYahoo!のように、キャッシュウェブサイトを見つけることができる他の場所について、Xでいくつかの確かなヒントを共有した。 つまり、十分な選択肢が残っており、物事を簡単にするために、アーカイブされたページやキャッシュされたページを見つけるのに役立つ便利な拡張機能もある。各プラットフォームが何を提供しているかを理解するために、それぞれのウェブサイトをよく読んでください。


アカウントなしでのインスタグラムアクセス

2019年末にインスタグラムは、公開されているプロフィールやオープンなプロフィールを見るににログインを強要するようになりました。OSINTでインスタグラムにアクセスする必要がある人でもプライベートでインスタグラムのアカウントを持っているわけではありません。というわけで、アカウントなしでコンテンツをダウンロードするのに役立つサードパーティのウェブサイトがあることを知っておくと、とても役に立ちます。そこで最近、匿名のブラウジングを提供するオンラインウェブサイトをいくつか紹介します。

https://imginn.com

Posts / Stories / Highlights / Tagged


https://www.pixwox.com

Posts / Highlights / Tagged / IGTV


https://instanavigation.com

Stories / Highlights / Posts


https://indownloader.app

Photos / Videos / Profile / Reels / Avatar


https://igram.world

Stories / Highlights / Posts


https://dumpoir.com

Posts / Stories


https://inflact.com

Profile analyzer / User search / Stories / Posts


https://www.picuki.com

Posts / Highlights / Tagged

Brad's Batch of Bookmarks

Brad Snyder'sのLinktreeページを発見した。それは素晴らしいリンクで構成された小さな宝石だと言わざるを得ない!彼は、コミュニティへのリンク、1日または1ヶ月ごとの定期的なアイテム、論文や書籍のリスト、イベントマップ、OSINTのRSSフィード(このブログ以外)をたくさん持っている!是非チェックしてみてください!


Linktree: https://linktr.ee/snyde21

RSS feed: https://start.me/p/aLgwg8/osint

Event Maps: https://start.me/p/Nx08Xp/event-maps

Recurring news: https://start.me/p/DPknkY/reports

Extensity

研究用の新しい仮想マシンを構築するために使用するリソースを集めているときに、Sergio Kaszczyszynによる「Extensity」という非常に気の利いた小さな拡張機能を偶然見つけました。

このChrome拡張機能を使うと、1つまたは複数の拡張機能を素早くオン・オフすることができ、事前に設定されたプロファイルを使うことができます。これにより、拡張機能のサブセットのみを有効にすることが非常に簡単になり、フィンガープリントされにくくなります。

見つけた別の拡張機能は、Extension Manager(ChromeストアID:gjldcdngmdknpinoemndlidpcabkggco)というもので、訪問しているURLに基づいて拡張機能のセットを設定することもできます。


出典:Week in OSINT #2024-06

出典:Week in OSINT #2024-10

出典:Week in OSINT #2024-15

出典:Week in OSINT #2024-16

セキュリティ関連資格チャート表(vol2)

Security Certification Roadmap

 以前、コチラでセキュリティ関連資格のチャート表を紹介したが、別のセキュリティ関連資格のチャート表を発見したので紹介したい。

pauljerimy.com

日本でセキュリティ関連資格というと、情報処理安全確保支援士がもっとも有名で、マネジメント系でISACAやISC2の資格を見聞きする。エンジニア系だとCISCOやSANSの資格といったところだろうか。

ところが、世界には370を超えるセキュリティ関連資格が存在する。

セキュリティ関連資格をグローバルな視点で見ると、情報処理安全確保支援士は日本国内限定のローカル資格となり、この表には入ってこない。

表の縦軸は成熟度を表していて、上に行くほどレベルが上がるということを指していると思う。

横軸は資格のカテゴリを分類していて、左から下記のようになっている

・Communication and Network Security

・IAM

・Security Archtecture and Engineering

 -Cloud/SysOps

 -*nix

 -ICS/IoT

・Asset Security

・Security and Risk Management

 -GRC

・Security Assesment and Testing

・Software Security

・Security Operations

 -Forensics

 -Incident Handling

 -Penetration Testing

 -Exploitation

さすがに海外はこういった整理や分担の考え方が進んでいる。

ちなみに、先日とあるセミナーにて、事業会社におけるセキュリティ人材育成の話を聞いてきた。

セキュリティ関連の資格は、それを持っているだけで、セキュリティベンダーやコンサルでは活躍できるが、事業会社では不足になる。

事業会社でセキュリティ担当としていくには大きく下記3ステップが必要になる。

Step1:基礎知識(業務知識/事業会社のお作法)の習得

-中途で来るベンダー上がりやコンサル上りは特に不足。ここをすっ飛ばして前職での専門知識や経験を発揮しようとして浮いてしまうケースも。

-自社育成の場合、該当する資格としては、IPAの情報セキュリティマネジメント試験辺りが該当する 

Step2:専門スキルの習得

-リスク分析、情報セキュリティ理論、ネットワークや暗号技術等の専門知識等、ベンダー上がりやコンサル上りが特に強い領域。Step1をクリアしたベンダー/コンサル出身者はここから本領発揮。 

-自社育成の場合、該当する資格としては、IPAの情報処理安全確保支援士辺りが該当する 

Step3:応用スキルの習得

-組織のセキュリティプログラム策定と管理、個別事象への対応。Step1、Step2での経験に加えて、実業務を通じての経験値アップ。

-該当する資格としては、ISACAのCISAやCISM、ISC2のCISSP辺りが該当か