【セキュリティ事件簿#2024-041】住友重機械工業株式会社　不正アクセスによる個人情報漏えいに関するお知らせとお詫び　2024/7/16

住友重機械工業株式会社（本社：東京都品川区、代表取締役社長：下村真司、以下「当社」）は、2024年2月に当社グループのサーバーに不正アクセスが発生したことに関連し、このたび当社および当社グループ会社の従業員の個人情報が漏えいしたことが判明いたしました。

関係者の皆様に、多大なるご迷惑とご心配をお掛けしておりますことを、深くお詫び申し上げます。

1．漏えいした、または漏えいしたおそれがある個人情報

対象：当社及びグループ会社の従業員　※退職者の一部を含む

・氏名

・所属情報（会社名、部署、役職）

・社用電話番号

・社用メールアドレス

なお、現時点で漏えいの事実が確認されているのは、69名分の社用メールアドレスのみとなります。

2．情報漏えいの経緯

2024年2月4日、当社グループのサーバーに不正アクセスが発生していることを確認いたしました。

その後、調査により、当社および当社グループ会社の従業員の個人情報が漏えいしたことが判明いたしました。

また、本件情報漏えいについて、個人情報保護委員会へ報告いたしました。

（参考）2024年2月9日当社サーバーへの不正アクセスについて

3. 個人情報の漏えいが確認された方々およびその可能性がある方々への対応

対象となる方に対して、個別に連絡を差し上げております。

なお、本件公表は、連絡不能となっている一部の方に対する措置を兼ねています。

4．再発防止策

このような事態を招いたことを重く受け止め、既存ネットワーク、セキュリティーシステムの更新等、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでまいります。

リリース文（アーカイブ）

【2024年2月9日分】

リリース文（アーカイブ）

あなたもサイバーセキュリティ分野の投資家に！オススメETFの紹介

世界のサイバー犯罪被害額は2025年には年間10.5兆米ドルに達すると予測しています。

サイバー犯罪に対抗するため、2021年から2025年までの5年間で、世界はサイバーセキュリティ製品とサービスに累計で約1兆7500億米ドルを支出すると推定しています。

ベンチャーキャピタルは過去5年間、サイバーセキュリティの新興企業や新興プレーヤーに毎年数十億ドルを投入してきました。あなたもサイバーセキュリティの分野に投資したいですか？ETFを使えばベンチャーキャピタルだけでなく、一般の投資家も投資を行うことができます。

ETFは資産の集合体であり、多くの場合、株式、債券、またはその2つの混合物です。一つのETFが数十、時には数百の銘柄を保有していることもあります。そのため、投資家はETFを1株所有することで、ファンドが保有するすべての株式（またはその他の資産）の間接的な株式を所有することができます。これは、株式のコレクションを購入する素晴らしい方法です。

今回はサイバーセキュリティ関連ETFを紹介します。

ETFMG Prime Cyber Security ETF (ETFMG: HACK)

Nasdaq・ISEサイバーセキュリティ・セレクト・インデックス(HXRXL)に連動する投資成果を目指す。ハードウェア・ソフトウェア・サービスを含むサイバーセキュリティソリューションを提供する企業で構成。

First Trust NASDAQ Cybersecurity ETF (NASDAQ: CIBR)

ナスダックCTAサイバーセキュリティ・インデックス(NQCYBRT)の価格および利回りと同等の投資成果を目指す。データの完全性やネットワーク運用を保護するセキュリティプロトコルの構築・実装・管理に取り組む企業で構成。

Global X Cybersecurity ETF (BUG) (NASDAQ: BUG)

Indxx・サイバーセキュリティ・インデックス(IBUGT)の価格および利回りと同等の投資成果を目指す。システム、ネットワークへの侵入や攻撃を防止するセキュリティ・プログラムの開発と管理を主な業務とする企業など、サイバーセキュリティ・テクノロジーの需要拡大から利益を得る可能性がある企業で構成。

Global X Defense Tech ETF (NASDAQ: SHLD)

防衛技術セクターに焦点を当てた上場投資信託（ETF）です。主に軍事技術、サイバーセキュリティ、宇宙技術などに関連する企業の株式を組み入れています。このETFは、国防関連の成長分野に投資することで、リスク分散を図りながら長期的な資本成長を目指します。

Horizons GX Cybersecurity Index ETF (TSE: HBUG)

サイバーセキュリティ分野に特化したカナダの上場投資信託（ETF）です。主に、サイバーセキュリティソリューションや技術を提供する企業の株式を組み入れています。このETFは、サイバー攻撃やデータ漏洩のリスクが高まる中で、関連企業の成長を捉えることを目指しています。

IShares Digital Security UCITIS ETF (LSE: LOCK)

デジタルセキュリティ分野に特化した上場投資信託（ETF）です。主に、サイバーセキュリティ、デジタルプライバシー、インターネットセキュリティソリューションを提供する企業の株式を組み入れています。このETFは、情報セキュリティの重要性が増す中で、関連企業の成長機会を捉えることを目指しています。

IShares Trust Cybersecurity and Tech ETF (NYSE: IHAK)

NYSEファクトセット・グローバル・サイバーセキュリティ・インデックス(NYFSSECN)と同等の投資成果を目指す。サイバーセキュリティとテクノロジーに関わる先進国および新興国の企業で構成。

ProShares Ultra Nasdaq Cybersecurity (NASDAQ: UCYB)

Nasdaq CTA・サイバーセキュリティ・インデックス(NQCYBR)の運用実績の2倍(200％)となる日次投資結果を目指す。

Technology Select Sector SPDR Fund (NASDAQ: XLK)

テクノロジー・セレクト・セクター・インデックス(IXTTR)に連動する投資成果を目指す。ソフトウェア、コンピュータ・周辺機器、半導体などの業種に分類される企業に対する対象を絞った投資を行う。

Themes ETF Trust Themes Cybersecurity ETF (NASDAQ: SPAM)

主に、サイバーセキュリティ技術やサービスを提供する企業の株式を組み入れています。このETFは、増加するサイバー脅威に対抗するための技術革新や市場拡大に着目し、投資家にとってリスク分散と成長機会を提供します。

WisdomTree Cybersecurity FUND (NASDAQ: WCBR)

ウィズダムツリー・Team8・サイバーセキュリティ・インデックス(WTCBR)に連動する投資成果を目指す。インデックスの資格要件を満たすサイバーセキュリティ指向の製品の提供に主に携わる企業で構成。

XTrackers Cybersecurity Select Equity ETF (NASDAQ: PSWD)

主に、サイバーセキュリティソリューションや技術を提供する企業の株式を組み入れています。このETFは、サイバー攻撃やデータ漏洩のリスクが高まる中で、関連企業の成長を捉えることを目指しています。

これらのETFは国内証券会社の米国株口座では扱っていない可能性が高く、海外証券会社（IB証券、SAXOバンク証券、etc）の口座を開設して買い付ける必要があります。

出典：A Dozen ETFs For Cybersecurity Investing In 2024

OSINTニュース_v20240715

2024年7月13日、ペンシルベニア州バトラーで元アメリカ合衆国大統領のドナルド・トランプ氏が銃撃されました。容疑者はトーマス・マシュー・クルックスと特定され、シークレットサービスによって射殺されました。幸い、トランプ氏は軽傷で済んでおり、大事に至らなかったことに安心しています。

今回のラインナップは以下の通り。

Google Cache以外のブラウザキャッシュアクセスの方法（拡張プラグイン：web-archives）
アカウントなしでのインスタグラムアクセス

Brad's Batch of Bookmarks
Extensity

Google Cache以外のブラウザキャッシュアクセスの方法（拡張プラグイン：web-archives）

Micah Hofmannは、Bing、Yandex、そして古き良きYahoo！のように、キャッシュウェブサイトを見つけることができる他の場所について、Xでいくつかの確かなヒントを共有した。つまり、十分な選択肢が残っており、物事を簡単にするために、アーカイブされたページやキャッシュされたページを見つけるのに役立つ便利な拡張機能もある。各プラットフォームが何を提供しているかを理解するために、それぞれのウェブサイトをよく読んでください。

アカウントなしでのインスタグラムアクセス

2019年末にインスタグラムは、公開されているプロフィールやオープンなプロフィールを見るににログインを強要するようになりました。OSINTでインスタグラムにアクセスする必要がある人でもプライベートでインスタグラムのアカウントを持っているわけではありません。というわけで、アカウントなしでコンテンツをダウンロードするのに役立つサードパーティのウェブサイトがあることを知っておくと、とても役に立ちます。そこで最近、匿名のブラウジングを提供するオンラインウェブサイトをいくつか紹介します。

https://imginn.com

Posts / Stories / Highlights / Tagged

https://www.pixwox.com

Posts / Highlights / Tagged / IGTV

https://instanavigation.com

Stories / Highlights / Posts

https://indownloader.app

Photos / Videos / Profile / Reels / Avatar

https://igram.world

Stories / Highlights / Posts

https://dumpoir.com

Posts / Stories

https://inflact.com

Profile analyzer / User search / Stories / Posts

https://www.picuki.com

Posts / Highlights / Tagged

Brad's Batch of Bookmarks

Brad Snyder'sのLinktreeページを発見した。それは素晴らしいリンクで構成された小さな宝石だと言わざるを得ない！彼は、コミュニティへのリンク、1日または1ヶ月ごとの定期的なアイテム、論文や書籍のリスト、イベントマップ、OSINTのRSSフィード（このブログ以外）をたくさん持っている！是非チェックしてみてください！

Linktree: https://linktr.ee/snyde21

RSS feed: https://start.me/p/aLgwg8/osint

Event Maps: https://start.me/p/Nx08Xp/event-maps

Recurring news: https://start.me/p/DPknkY/reports

Extensity

研究用の新しい仮想マシンを構築するために使用するリソースを集めているときに、Sergio Kaszczyszynによる「Extensity」という非常に気の利いた小さな拡張機能を偶然見つけました。

このChrome拡張機能を使うと、1つまたは複数の拡張機能を素早くオン・オフすることができ、事前に設定されたプロファイルを使うことができます。これにより、拡張機能のサブセットのみを有効にすることが非常に簡単になり、フィンガープリントされにくくなります。

見つけた別の拡張機能は、Extension Manager（ChromeストアID：gjldcdngmdknpinoemndlidpcabkggco）というもので、訪問しているURLに基づいて拡張機能のセットを設定することもできます。

出典：Week in OSINT #2024-06

出典：Week in OSINT #2024-10

出典：Week in OSINT #2024-15

出典：Week in OSINT #2024-16

セキュリティ関連資格チャート表（vol2）

以前、コチラでセキュリティ関連資格のチャート表を紹介したが、別のセキュリティ関連資格のチャート表を発見したので紹介したい。

pauljerimy.com

日本でセキュリティ関連資格というと、情報処理安全確保支援士がもっとも有名で、マネジメント系でISACAやISC2の資格を見聞きする。エンジニア系だとCISCOやSANSの資格といったところだろうか。

ところが、世界には370を超えるセキュリティ関連資格が存在する。

セキュリティ関連資格をグローバルな視点で見ると、情報処理安全確保支援士は日本国内限定のローカル資格となり、この表には入ってこない。

表の縦軸は成熟度を表していて、上に行くほどレベルが上がるということを指していると思う。

横軸は資格のカテゴリを分類していて、左から下記のようになっている

・Communication and Network Security

・IAM

・Security Archtecture and Engineering

　-Cloud/SysOps

　-*nix

　-ICS/IoT

・Asset Security

・Security and Risk Management

　-GRC

・Security Assesment and Testing

・Software Security

・Security Operations

　-Forensics

　-Incident Handling

　-Penetration Testing

　-Exploitation

さすがに海外はこういった整理や分担の考え方が進んでいる。

ちなみに、先日とあるセミナーにて、事業会社におけるセキュリティ人材育成の話を聞いてきた。

セキュリティ関連の資格は、それを持っているだけで、セキュリティベンダーやコンサルでは活躍できるが、事業会社では不足になる。

事業会社でセキュリティ担当としていくには大きく下記3ステップが必要になる。

Step1：基礎知識(業務知識/事業会社のお作法)の習得

-中途で来るベンダー上がりやコンサル上りは特に不足。ここをすっ飛ばして前職での専門知識や経験を発揮しようとして浮いてしまうケースも。

-自社育成の場合、該当する資格としては、IPAの情報セキュリティマネジメント試験辺りが該当する

Step2：専門スキルの習得

-リスク分析、情報セキュリティ理論、ネットワークや暗号技術等の専門知識等、ベンダー上がりやコンサル上りが特に強い領域。Step1をクリアしたベンダー/コンサル出身者はここから本領発揮。

-自社育成の場合、該当する資格としては、IPAの情報処理安全確保支援士辺りが該当する

Step3：応用スキルの習得

-組織のセキュリティプログラム策定と管理、個別事象への対応。Step1、Step2での経験に加えて、実業務を通じての経験値アップ。

-該当する資格としては、ISACAのCISAやCISM、ISC2のCISSP辺りが該当か

【セキュリティ事件簿#2024-306】Vリーグ公式ホームページ　第三者による公式ファンサイトへの不正アクセスについて　2024/7/12

このたび、公式ファンサイトが第三者によるサイバー攻撃を受け、不正なアクセスがなされたことが判明しました。ご利用いただいているファンの皆さまには多大なご迷惑とご心配をお掛けしておりますことを深くお詫び申し上げます。

一次調査の結果、サーバー内のデータベースへの侵入履歴はないことを確認しており、個人情報等の流出はない見込みです。

さらなるリスクを防ぐ目的で現在ホームページのセキュリティレベルを上げる対応をするとともに、サーバーおよびホームページの運用体制を見直してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-305】ラサ工業株式会社　個人情報を含むノートパソコン等の次難に関するお詫びとご報告　2024/7/8

この度、当社におきまして、個人情報が含まれた当社所有のノートバパソコン等の盗難事件が発生致しました。

本件に関する経緯および対応につきまして、以下のとおりご報告申し上げますとともに、このような事態を招き、お取引先様をはじめとする関係先の皆様に多大なるこ迷惑、ご心配をおかけすることとなり、深くお詫び申し上げます。

1 . 個人情報を含むノートパソコン等盗難の経緯

2024年6月6日 (木) (現地時間) に、当社社員が欧州出張中にノートパソコン等の入ったカバンが盗難に遭いました。盗難の発覚後、関係各所への問い合わせ、警祭当局への被害届の届け出、ならびに捜索を継続しておりますが、現在まで盗難品の回収には至っておりません。

2. 盗難に遺ったノートパソコン等に保存されている個人情報について

盗難に遭ったノートパソコン等には、当社グループ社員約4 0人分、およびお取引先様約3, 1 00人分の個人情報 (氏名、会社名、e-mail アドレス、写真など) が含まれております。

3. 二次被害またはその恐れの有無

当該従業員よりノートパソコン盗難の連絡を受けた後直ちに利用アカウントの休止およびパスワードのリセット等を実施致しました。また、当社内の監視システムによるリモート調査では、第三者による同ノートパソコンの不正使用の事実は確認されておりません。

二次被害の発生は、現時点において確認されておりませんが、今後状況に変化があれば速やかにお知らせ致します。

4 . 再発防止策

欧州において発生した盗難事散ということもあり、情報の収集に時間を要しておりますが、当社と致しましては、今後も引き続き関係各所からの情報収集に努めるとともに、盗難品の回収に全力を尽くします。

当社と致しましては、今回の盗難事故を重く受け止め、情報管理体制について再度見直しを実施するとともに、個人情報の適切な取り扱いについて周知徹底するなど、再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-304】バリューマネジメント株式会社　「祇園祭観覧席付ご宿泊プラン」募集において個人情報が閲覧可能な状態になっていた事象について　2024/7/11

この度、バリューマネジメント株式会社が企画し、三井住友トラストクラブ株式会社がダイナースクラブ会員様にご案内した「祇園祭観覧席付ご宿泊プラン」に申込フォームを通じて、応募された会員様の個人情報が閲覧できる状態になっていたことが判明しました。対象となるお客様および関係者の皆様にご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

■概要

令和6年7月6日（土）ダイナースクラブ会員向けにご用意した「祇園祭観覧席付ご宿泊プラン」をご覧になったダイナースクラブ会員様より、三井住友トラストクラブ株式会社宛に、抽選応募フォームにて他の応募者の個人情報が閲覧できる旨の連絡が入りました。

令和6年7月8日（月）午前、三井住友トラストクラブ株式会社より当社へ報告と調査依頼の連絡が入り、応募フォームの調査を進めた結果、弊社のフォーム設定の不備により、フォーム編集ページにアクセスでき、他の応募者の個人情報（応募者が応募時に入力した名前、メールアドレス、電話番号）が閲覧出来る状態になっていました。

該当の応募フォームはすでに削除いたしました。

■閲覧可能であった個人情報と期間

・応募者333名の氏名、電話番号、メールアドレス

・令和6年6月14日（金）14時30分から、7月8日（月）午前10時半頃

■原因

今回、オンラインフォーム作成ツールにGoogleフォームを使用し抽選応募受付を行っております。お申し出いただいた⽅の内容を拝⾒し、第三者では閲覧できないはずのフォーム編集ページが閲覧可能になっており、申込フォームの設置（フォーム編集ページのアクセス権限の設定）に不備があったことが原因と考えられます。