【セキュリティ事件簿#2023-171】浜松いわた信用金庫 メールアカウント不正利用および迷惑メール送信に関するお詫びについて  2023年4月28日


当金庫の電子メールアカウントが第三者により不正利用され、当該アカウントから大量の迷惑メールが送信されるという事象が発生いたしました。当金庫といたしましては、本事象の発覚を受け、原因及び影響範囲を特定するための調査を進めておりますが、事実の判明には相当な時間を要するとの判断のもと、この度発生した事象について公表させていただくことといたしました。

今後、判明した事実については改めて公表していく方針であります。

なお、現時点では本件に関わる個人情報の漏洩、不正利用等は確認されておりません。

お客様ならびに関係者の皆様には、ご迷惑とご心配をお掛けしましたことを、深くお詫び申し上げます。

今後、同様の事象が発生しないよう、引き続きセキュリティ対策の見直しを行い再発防止に努めてまいります。

1.発生状況と対応

2023 年 4 月 23 日(日) 22 時頃から 2023 年 4 月 24 日(月)午前 9 時頃にかけて、以下のメールアドレスより、迷惑メールが大量送信されました。

 送信元メールアドレス:

 件名 :「Fwd:」、「Re:」

 本文 :英文等で記載された不審な内容

2023 年 4 月 24 日(月)午前 9 時過ぎに、上記不正利用されたメールアカウントを停止し、当該アカウントからメールの送受信が出来ないように対応しました。

不正利用された原因と影響範囲は現在調査中です。


2.当該メールを受信された皆様へ

2023 年 4 月 23 日 ( 日 ) 22 時 頃 か ら 2023 年 4 月 24 日 ( 月 ) 午 前 9 時 頃 に
から送付された迷惑メールを開封したり、本文中のリンク先をクリックすると思わぬ被害をうけたり、ウィルスに感染したりする可能性がありますので、開封せずに削除頂きますよう、お願い申し上げます。

【セキュリティ事件簿#2023-170】川崎市 川崎市高津スポーツセンター指定管理者による個人メールアドレスの流出について 2023年5月9日


川崎市高津スポーツセンター(高津区二子)の指定管理者(特定非営利活動法人高津総合型スポーツクラブSELF:高津区久本)が、令和5年5月3日に送信した「空き情報メール配信サービス」において、誤って個人のメールアドレス92件が流出する事故が発生しましたので報告いたします。

1 概要

高津スポーツセンターでは、施設の有効利用を目的として、施設利用のキャンセル発生時に、配信を希望される方に対して、空き情報をメール配信する「空き情報メール配信サービス」を実施しております。

本件は、当該メール配信登録者に対して、指定管理者から大体育室の施設の空き情報メールを送信するにあたり、誤ってメールアドレスが表示された状態で各個人あてに送信してしまったものです。

2 影響

送 信 先:92名
流出対象者:92名

3 経過

5月3日(水・祝)14時13分 
指定管理者が空き情報メールを送信

5月4日(木・祝)10時34分 
当該メールを受け取られた方から指定管理者あて御連絡を いただき、確認したところ、誤って全員を宛先に加える形 で送ったことが判明
 
同 日 16時45分頃 
指定管理者からの連絡により本市が事故の発生を把握

同 日 19時54分 
指定管理者から対象者あてお詫びとともに送信したメールを削除いただく内容のメールを送信

4 事故発生原因

高津スポーツセンター空き情報メール配信サービスマニュアルを整備し、これに基づく対応を行っておりましたが、今回のメール送信にあたってはダブルチェックを行っていなかったことによるものです。

5 今後の対応
  • 当該メール配信について、個人情報の流出を防止するため、今後はメールマガジンにより配信する形式に変更いたします。
  • 今回の件を重く受け止め、指定管理者に対し、情報セキュリティ対策を踏まえた業務執行体制の確保を求め、個人情報の保護を徹底するようさらなる監督及び指導を行い、再発防止に努めてまいります。 

ハッキングスキル習得の道程



ハッキングを本格的に学びたいと思っているなら、あなたは正しい記事を読んています。この記事は個人的な学習経験と、私が今日持っている知識を得るのに役立ったリソースについて書かれています。

まず、あなたが初心者であることを前提に、コンピュータ、コンピュータハードウェア、OSの動作、基本的なネットワーキングについての基本的な知識を身につけることが重要です。また、Linuxコマンドの使用にも慣れておく必要があります。これらの基本的な知識は、オンラインのビデオ、記事、ブログなどを利用して学ぶことができます。

ステップ1
HackersploitによるYouTubeプレイリストを完了します。このチャンネルには初心者向けの145以上のビデオがあります。エラーが発生した場合は、GoogleやYouTubeを使って問題を自己解決します。知識は研究し、問題に直面し、再度研究することで得られます。

ステップ2
次に、CEH(Certified Ethical Hacker)認定の知識を得ることを目指します。ただし、業界ではCEH認定はもはや求められていないので、認定の取得は不要です。代わりに、CEHのシラバスを完了し、各トピックについて研究し、実践してみてください。このコースは3ヶ月間で基本をカバーします。

【CEHのシラバス】
チャプター1 - 倫理的ハッキングの紹介
  • ハッキングとは何か
  • 倫理的ハッキングとは何か
  • ハッカーの種類
  • ホワイトハットハッカー
  • ブラックハットハッカー
  • グレーハットハッカー
  • スクリプトキディ
  • ハクティビスト
  • スパイハッカー
  • サイバーテロリスト
  • 脆弱性
  • エクスプロイト
  • リモートエクスプロイト
  • ローカルエクスプロイト
  • ゼロデイ
  • ゼロデイ脆弱性
  • ゼロデイエクスプロイト
  • ブルートフォース攻撃
  • フィッシング
  • リモートアクセス
  • ペイロード
チャプター2 - 倫理的ハッキングの手順
  • 情報収集
  • アクティブな情報収集
  • パッシブな情報収集
  • スキャン
  • アクセスの獲得
  • アクセスの維持
  • トラックの隠蔽
チャプター3 - 悪意のあるファイルの種類
  • ウイルス
  • ワーム
  • トロイの木馬
  • スパイウェア
  • アドウェア
  • バックドア
  • ルートキット
  • ランサムウェア
チャプター4 - ペネトレーションテスト
  • ペネトレーションテストとは何か
  • ペネトレーションテストの種類
  • ホワイトボックスペネトレーションテストとは何か
  • ブラックボックスペネトレーションテストとは何か
  • Linux OSの紹介
  • ソーシャルエンジニアリング
チャプター5 - Google Hacking Using Dorks Demo
  • ラボのセットアップ
  • 仮想マシンとは何か
  • VMwareとは何か
  • Virtual Boxとは何か
  • VMwareのインストール
  • Parrot OSのインストール
  • Windows XPのインストール
  • Windows 7のインストール
  • Mozilaにアドオンをインストール
  • Tamper Data
  • Burp Suite
  • No-Redirect
  • Nessusのインストール
チャプター6 - システムハッキング
  • Kon-Bootを使用したシステムハッキング
  • ネットワークスキャン
  • ポートスキャン
  • サービススキャン
  • Nmapとは何か
  • Nmapを使ったスキャン
  • Nmapのさまざまなコマンド
  • Nmapを使ったファイアウォールのバイパス(詳細に学ぶ)
チャプター7 - Nessusを使ったスキャン メタスプロイトを使ったハッキング
  • メタスプロイトとは何か
  • メタスプロイトを使ったXpリモートエクスプロイト
  • Msfvenom
  • Windows7 UAC Bypass
チャプター8 - SE-Toolkitとは何か
  • SE-Toolkitの使用法
  • SE-Toolkitでフィッシングページを作成
  • Facebook & Gmailのパスワードハッキング
チャプター9 - リモート管理ツールとは何か
  • RATとは何か
  • RATを使ったエクスプロイト
  • RATからシステムを保護する方法
チャプター10 - スニッフィングとは何か
  • スニッフィングの種類
  • Wiresharkを使ったネットワークスニッフィング
  • Wiresharkを使ってFTPログイン詳細を取得
チャプター11 - DOSとは何か
  • DOSの詳細
  • DDOSとは何か、Xerxesツールのインストールと使用
チャプター12 - ワイヤレスネットワークハッキング
  • ワイヤレス暗号化
  • WPA 2のハッキング
チャプター13 - Webアプリケーションペネトレーションテスト
  • Webアプリケーションの動作
  • リクエストとレスポンス
  • スキャナーのインストール(Acunetix、Netsparker)
  • ウェブサイトのスキャン
チャプター14 - OWASP Top 10
  • SQLインジェクションとは何か
  • SQLインジェクションの種類
  • SQLインジェクションのデモ
  • XSS(クロスサイトスクリプティング)とは何か
  • XSSの種類
  • XSSのデモ
  • CSRF(クロスサイトリクエストフォージェリ)とは何か
  • CSRFのデモ
  • ファイルインクルージョンとは何か
  • ファイルインクルージョンのデモ
  • セキュリティミスコンフィギュレーションとは何か
  • セキュリティミスコンフィギュレーションのデモ
  • 不適切なアクセス制御とは何か
  • 不適切なアクセス制御のデモ
  • センシティブデータの露出とは何か
  • センシティブデータの露出のデモ
  • XMLエクスターナルエンティティ(XXE)とは何か
  • XXEのデモ
  • ブロークンアクセス制御とは何か
  • ブロークンアクセス制御のデモ
  • セキュリティミスコンフィギュレーションとは何か
  • セキュリティミスコンフィギュレーションのデモ
  • 不適切なアクセス制御とは何か
  • 不適切なアクセス制御のデモ
  • センシティブデータの露出とは何か
  • センシティブデータの露出のデモ
  • XMLエクスターナルエンティティ(XXE)とは何か
  • XXEのデモ
  • ブロークンアクセス制御とは何か
  • ブロークンアクセス制御のデモ
チャプター15 - ファイアウォールとは何か
  • ファイアウォールの種類
  • IDSとは何か
  • IPSとは何か
  • ファイアウォールのバイパス方法
チャプター16 - ハニーポットとは何か
  • ハニーポットの種類
  • ハニーポットの設定
チャプター17 - IoTとは何か
  • IoTデバイスのハッキング
  • IoTデバイスのセキュリティ
チャプター18 - クラウドセキュリティとは何か
  • クラウドコンピューティングとは何か
  • クラウドコンピューティングの種類
  • クラウドコンピューティングの脆弱性
  • クラウドセキュリティ
チャプター19 - クリプトグラフィとは何か
  • 暗号化とは何か
  • 暗号化の種類
  • ハッシュ関数とは何か
  • ハッシュ関数の種類
  • デジタル署名とは何か
  • デジタル証明書とは何か
  • SSLとは何か
  • TLSとは何か
  • VPNとは何か
  • VPNの種類
チャプター20 - フォレンジックとは何か
  • デジタルフォレンジックとは何か
  • デジタルフォレンジックの種類
  • デジタルフォレンジックの手順
  • デジタルフォレンジックのツール
ステップ3
CTF(Capture The Flag)を解くことを始めます。これはハッキングを学ぶ最も楽しい方法で、ゲームのように感じます。Vulnhubなどのプラットフォームで簡単なCTFから始め、難易度を徐々に上げていきます。


ステップ4
OTW(Over The Wire)のNatas Webチャレンジを解きます。これにより、Webハッキングの知識が向上します。

ステップ5
次に、Pythonを学びます。Pythonは少し退屈かもしれませんが、ハッカーがスクリプトやツールを書くために使用する言語なので、非常に重要です。

ステップ6
Pythonを学んだ後、BlackHat PythonやViolent Pythonのような本を読み終えることを目指します。これらの本は、実際のハッカーがPythonを使って攻撃的なハッキングを行うためのスクリプトやツールを書く方法を教えてくれます。

その他の情報
Android/IOSのハッキングに興味がある場合は、AndroidとIOSのペネトレーションテストについて学ぶこともできます。また、リバースエンジニアリングも重要なスキルであり、"Secrets of Reverse Engineering"という本を読むことをお勧めします。

ハッキングは新しいことを学び、課題を解決することについてのものです。多くのトピックがあり、学び続ける旅です。エラーや問題、質問があることは学習の一部です。情報セキュリティコミュニティの人々は非常に助けになり、彼らと話すことで多くのことを学ぶことができます。

ハッキングを学ぶための秘密のフォーラムはディープウェブにはありません。本、ブログ、研究、CTFの解決、実生活のプロジェクトを行うことで学びます。ハッキングを学ぶためのx y zのパスはありません。各ハッカーには自分自身のパスや旅があります。それを行うことで学びますので、学び続けてください。

【セキュリティ事件簿#2023-168】港区 お知らせの誤配信による個人情報の流出について 2023年5月2日


区立保育園の職員が、3歳児クラス園児一人の保護者に保育中の様子などを、スマホ等で情報の配信ができる「保育支援システム」(以下「システム」といいます。)のお知らせ一斉配信機能を用いて配信する際、誤って3歳児クラスの保護者全員にも配信してしまいました。配信した内容には、当該園児の名前と、保育中の様子や園での過ごし方に関するお願い事項などが記載されていました。

区は再発防止に向け、情報配信の取扱いについて厳正を期すことを徹底し、区民の皆様の信頼回復に努めてまいります。

経緯

令和5年4月28日(金曜)に、区立保育園職員が、システムのお知らせ一斉配信機能を用いて3歳児クラス園児の保護者一人に、その園児の保育中の様子や保育園での過ごし方に関するお願い事項を配信すべきところ、誤って3歳児クラス全員の保護者に配信してしまいました。

その後、保護者から「違う園児名のお知らせが届いている。」との連絡があり、誤配信していたことが判明しました。

また、5月1日(月曜)に、保育園側でシステムを操作して、お知らせ一覧から本件を削除しました。

原因

通常、お知らせ一斉配信機能を使って配信する際、内容を作成した職員とは別に、公開権限者(係長職)を含む二人がその場に立ち会い確認してから配信することになっています。

今回、確認を行った職員は、通常二人で確認するところを一人で行ってしまい、また、配信する文章の修正に気を取られ、配信先の確認を見落としたことが原因です。

再発防止策

区は、今後このような誤りを起こさないために、作成者と公開権限者(係長職)による配信時のダブルチェックの徹底に加えて、配信時にリーダー等の立ち合いの下、一斉配信か個人への配信か等を声出し及び指差し確認の上、配信するとともに、個人が特定されないよう本文には名前等は記載しないことを徹底してまいります。

また、職員に個人情報の取り扱いに関する研修を実施して個人情報の重要性を再認識させるとともに、緊張感を持って業務にあたるよう指導してまいります。

【セキュリティ事件簿#2023-167】国土交通省 ドローン情報基盤システムの一部機能において申請情報の閲覧が可能となっていた事象について 2023年5月3日


航空局が運用するドローン情報基盤システムの一部機能において、システム上の不具合により、特定の操作状況において他者の申請情報が閲覧可能な状態となることが判明したため、直ちにシステム改修を行いました。同種事案の再発を重く受け止め、個人情報等の厳正かつ適正な管理を図り、適切なシステムの運用管理をより一層の徹底を図ってまいります。

1.概要

昨日(5月2日)、ドローン情報基盤システム(以下「DIPS2.0」という。)の操縦者技能証明機能において、システム利用者より特定の操作を行うと他者の申請情報が閲覧可能な状態になる恐れがあるとの報告がありました。

これを受けて詳細な確認を行ったところ、操縦者技能証明に関する申請の一部について、特定の操作を行うと他者の申請情報(申請者の氏名、住所等)が閲覧可能となることが判明したため、直ちにシステムを停止し必要な改修を行いました。


2.対応状況

本件はシステムの設計上の不具合によるものであり、昨日、当該不具合の確認後、直ちにDIPS2.0の運用を停止して必要な改修を行い、本日11時過ぎに運用を再開しました。

本件不具合に伴い、最大で3件分の無人航空機操縦者技能証明に係る申請情報が他者に閲覧された可能性がありますが、現在のところ、本件に伴う個人情報の閲覧による情報の悪用等の報告はありません。

なお、本件は4月12日に発生した不具合事象と同一ではないものの派生するものであり、同種の不具合事象が発生し得るケースの精査が十分でなかったことに起因するものです。

3.今後の対応

同種事案が再発したことを重く受け止めるとともに、個人情報等の厳正かつ適正な管理について、改めてシステム受注者への指導等をより一層徹底するとともに、発生理由を根本から精査の上、今後このような事態が決して生じないよう、万全を期してまいります。

ランサムウェアギャングが発表した被害組織リスト(2023年5月版)BY StealthMole



 StealthMole(旧Dark Tracer)による、2023年5月のランサムウェア被害を受けた日系企業。

・有限会社サイレン(siren-japan.com)


・株式会社ミツトヨ(www.mitutoyo.ch)

【セキュリティ事件簿#2023-166】静岡県の「ふじのくに農山漁村ときめき女性ポータルサイト」にサイバー攻撃、閲覧障害が発生し、サイト閉鎖へ。


静岡県は、同県の「ふじのくに農山漁村ときめき女性ポータルサイト」が何者かのサイバー攻撃を受け、閲覧障害が発生したことを明らかにしました。

「ふじのくに農山漁村ときめき女性ポータルサイト」は、同県内の農林水産業で活躍する女性を認定する制度を展開し、2012年度から情報発信を行ってきました。しかし、2022年12月に行われた調査により、サイトへの不正アクセスが発覚しました。

被害の詳細については、サイトが正常に表示されない状態となったほか、アクセスすると外部サイトに誘導されるなどの改ざんが行われていたことが確認されました。具体的な侵害の原因についてはまだ明らかにされていません。

2022年12月16日に問題に気づいた県職員は、サイトの管理委託事業者に連絡し、改ざんされたファイルを削除して復旧作業を行いました。しかし、対策が不十分であったため、2023年1月に再度復旧作業を行うこととなりました。

静岡県によると、サイトに保存されていたメールマガジンの登録者情報はアクセスログから外部に流出していないことが確認されています。ただし、個人情報の保存は行われておらず、個人情報の流出は否定されています。

県は農山漁村ときめき女性やメールマガジンの登録者に対して経緯の説明と謝罪を行い、今回の攻撃による被害が発生していないことを確認しました。また、今後は同ポータルサイトを閉鎖し、静岡県公式サイトを通じて情報発信を行う方針です。

【セキュリティ事件簿#2023-165】日本コンクリート工業株式会社 第三者によるランサムウェア感染被害のお知らせ  2023 年 5 月 9 日


このたび、当社のサーバーが第三者による不正アクセスを受け、ランサムウェア感染被害を受けましたので、お知らせいたします。

本件につきましては、既に対策本部を設置のうえ、外部専門家の助言を受けながら、原因特定、被害情報の確認、情報流出の有無などの調査を行い、自力復旧への対応を進めており、警察への相談を開始しております。引き続き、外部専門家や警察と連携のうえ、対応を進めていく所存です。

現状、攻撃の詳細について調査を進めているところであり、被害の全容を把握するには今しばらく時間を要する見込みですが、現時点で判明している内容について下記の通りご報告いたします。

なお、今回の不正アクセスが当社グループの業績、2023 年 3 月期決算発表に及ぼす影響については、現在精査中でございますが、開示が必要な場合は速やかに公表いたします。

このたびは、皆様に多大なるご心配とご迷惑をおかけすることになり、誠に申し訳ございません。衷心より深くお詫び申し上げます。

1.経緯

5 月 5 日(金)深夜に外部から不正アクセスを受けサーバーに保存している各種ファイルが暗号化されていることを 5 月 6 日(土)に確認しました。

翌朝より、外部専門家と共に状況調査を行い、ランサムウェアの種類を特定し、感染拡大を防ぐための必要な対応を行いました。

5 月 8 日(月)に全社対策本部を設置し、情報共有すると共に、復旧に向けての対応を進めております。また、警察への相談を開始しました。

2.被害を受けた情報

サーバーに保存していた各種業務データ、業務用ソフトウエアが暗号化されアクセス不能な状況となっております。なお、情報流出につきましては現在調査中です。

3.今後の対応
外部専門家及び警察と連携のうえ、早期復旧に向け作業を進めると共に、通常の業務遂行が可能となるよう対応を進めております。引き続き皆様へのご迷惑を最小限に止めるべく取組んでまいります。