【セキュリティ事件簿#2024-150】株式会社広済堂ビジネスサポート 不正アクセスによる迷惑メールの送付に関するお知らせとお詫び 2024/4/5

 

拝啓 時下ますますご清栄のこととお慶び申し上げます

平素は格別のお引き立てを賜り厚く御礼申し上げます

この度、弊社の運営する求人サイト「Workin.jp」のメールサーバーより、不特定多数の方に迷惑メールが送信された事実を確認いたしました。メールを受信された皆様には多大なるご迷惑とご心配をおかけいたしましたこと、心よりお詫び申し上げます。

今回の不正アクセスによる個人情報および機密情報の漏洩はなかったことを確認しております。

また、メールサーバーにおいては外部からのアクセスを遮断し、以降は迷惑メールの送付は行われておりません。

また、送信されたメールはフィッシングメールであることを確認しており、皆様に於かれましては、当該メールおよび添付ファイルの開封、URLのクリック等を行うことなく、削除していただきますよう、お願い申し上げます。

リリース文アーカイブ

【セキュリティ事件簿#2024-149】大阪府済生会富田林病院 個人情報漏洩の疑い事案について 2024/4/2

富田林病院
 

2024年2月29日に、病院外において当院職員が個人で使用しておりますパソコンで、インターネット利用時に「サポート詐欺」に遭い、遠隔でパソコンを閲覧できるアプリケーションをダウンロードされ、結果として遠隔操作可能時間が20分程度発生するという事案が発生いたしました。

その為、パソコン内のデータ内容等を確認したところ、特定診療科の患者さまの一部個人情報(診療内容等)が保存されていることが判明いたしました。尚、個人の連絡先情報等は含まれておりませんでした。

これを受けまして、専門家によるパソコン及び該当データ検証および調査をいたしましたが、患者さまの情報へアクセスし抜き取られた等の被害に繋がる情報流出は確認されませんでした。該当患者さまには個別にご報告致しております。

当院と致しましては、現状情報の漏洩に至っていないと認識しておりますが、当該事案について厳粛に受け止め、国や大阪府警察本部サイバーセキュリティ指導対策課及び関係機関への報告を行うとともに対応について指導を受けております。

患者さま、関係する皆様におかれましてはご心配をお掛けすることとなり深くお詫び申し上げます。

今後、このようなことが無いよう再発防止に向け職員教育を徹底してまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-148】会津若松市 イベント申込者個人情報の不適切な取扱いについて 2024/4/4

 

概要

市が支援・協力している市内大戸地区の地域運営組織「大戸まちづくり協議会」が主催するイベント「まるごと健康ウィーク!!inおおとvol.2」において、市職員がオンラインの申込フォームの設定を誤り、イベント申込者8名の個人情報が、一定期間公開されていた可能性があるという事案が発生しました。

関係者の方々に深くお詫びしますとともに、このようなことが起きないよう、個人情報の管理につきまして、改めて周知徹底を図ってまいります。

不適切な取扱いの内容

令和6年2月28日から3月7日までの期間に、イベントのオンライン申込フォームのアクセス制限の設定を誤って共有設定に変更してしまったため、それ以前に申し込みをいただいていた8名の方の個人情報(1月申込4名の住所、氏名、電話番号及びメールアドレスと、3月7日申込の1組4名の氏名、電話番号)が新たに申込しようと申込フォームにアクセスした方に閲覧可能な状態になっていたものです。

発生原因

今回の不適切な個人情報の取扱が発生した原因は、イベント周知用のチラシに記載したQRコードを誤って管理者用URLから作成してしまったこと、さらに、その後、誤ってアクセス制限を誰でも編集・閲覧可能な共有設定に変更してしまったことという2つのミスが重なったことによるものです。これにより、アクセス制限設定前は、管理者用URLから作成した二次元コードでアクセスしても個人情報を閲覧することはできませんでしたが、その後の誤ったアクセス制限設定後は、申込フォームにアクセスした方がすでに申し込まれていた個人情報を閲覧可能となってしまったものです。

対応状況

令和6年3月8日、外部関係者からの情報提供により申込フォームが編集可能となっていることを把握。情報漏えいの可能性もあることから、直ちに申込フォームを閉鎖し情報拡散を防ぐ処置を行い、事実確認と原因究明を行いました。事実確認の結果、少なくとも3月7日に申し込みを行おうとした1名の方が、先に申込されていた4名の方の個人情報を閲覧できたことを確認したところです。

また、申込内容が閲覧可能となってしまった方々への対応については、3月14日から15日までに事前に概要の連絡を行った上で、イベント当日の3月16日に直接お会いして事案の内容や原因など詳細説明と謝罪を行ったところです。

今後の対応

今後、このようなことを繰り返さないよう、オンライン申込フォームについて、より安全性の高いものに変更するとともに、情報セキュリティに関する職員の研修を行ってまいります。さらに、複数の職員で事前に確認を行うなど、チェック体制の充実を図ってまいります。

なお、職員に対して、個人情報の管理について、改めて周知徹底を図ってまいります。

リリース文アーカイブ

【セキュリティ事件簿#2024-147】東京高速道路株式会社 メールアカウント不正利用に関するお詫びとご報告 2024/4/10

 

2024年4月9日(火)、弊社のメールアカウントが不正に利用され、不特定多数に大量のメールを送信していることが発覚いたしました。

現在のところ、個人情報の流出などの被害は確認されておりません。

同メールアカウントは、使用を停止しており、同メールアカウントを使用していたパソコンについては、ウイルス等に感染している形跡はありませんでした。

この度は多大なるご心配をおかけして申し訳ございません。

従来よりセキュリティ管理を徹底しておりますが、より強固なセキュリティ管理とすべく、対策を徹底してまいります。

リリース文アーカイブ

バグバウンティやASM(Attack Surface Management)で使えそうなツール


1. 始めに

免責事項

本文の内容は、セキュリティに関する知識を広く共有する目的で書かれており、悪意のある行為を奨励するものではありません。

注意点

紹介されるツールの中には、ファジング(総当たり)による列挙や検証を行うものが含まれています。

総当たりを行うツールは、対象に負荷をかけたり、悪影響を与える可能性があるため、注意が必要です。

もし総当たりを行うツールを利用する場合は、対象の規約(スキャンツールの使用、レート制限など)をよく確認し、規約に従って慎重に実行してください。

ツールを実行する対象が「本番環境」であることを忘れずに、倫理的な観点を持って脆弱性を探しましょう。

2. Tools

ffuf

ffuf は、Web アプリケーションに対して使える高速なファジングツールです。

これにより、サブドメインやディレクトリ、パラメーターなどをワードリストを使って総当たりで列挙することができます。

ワードリストには、SecLists や Auto_Wordlists などを使うのが一般的かと思います。

例) ffuf でディレクトリパスを列挙する場合

$ ffuf -w SecLists/Discovery/Web-Content/raft-large-directories.txt -u https://<Domain>/FUZZ

注意点として、ffuf は総当たりによる列挙のため、十分に注意して利用してください。


subfinder

subfinder は、指定したドメインのサブドメインを列挙するツールです。

subfinder のロジックは「パッシブサブドメイン列挙 (Passive Subdomain Enumeration)」で、外部のサービスから DNS をベースに列挙します。

これにより、バグバウンティの対象が「*.example.com」のようにサブドメインも含まれる場合は、サブドメインを列挙して調査対象のドメインを列挙することができます。

例) subfinder でサブドメインを列挙する場合

$ subfinder -d <Domain> -all

nuclei

nuclei は、シンプルなYAML のテンプレートをベースに対象を脆弱性スキャンするツールです。

YAML のテンプレートは、nuclei-templates にあり、自分で簡単にカスタムすることもできます。

これにより、対象のドメインを簡単に脆弱性スキャンをすることができます。

例) nuclei で脆弱性スキャンする場合

$ nuclei -u https://<Domain>

注意点として、nuclei は総当たりによるスキャンツールのため、十分に注意して利用してください。

naabu

naabu は、Go でできた高速なポートスキャンをするツールです。

これにより、対象の開いているポート番号を手軽に列挙することができます。

例) naabu でポートスキャンする場合

$ naabu -host <Domain>


getallurls (gau)

getallurls (gau) は、Wayback Machine などから既知の URL をパラメーター付きで列挙するツールです。

これにより、対象のドメインの URL を手軽に列挙することができ、どういうディレクトリやパラメーターがあるかを、対象の機能のイメージしやすい形で URL を取得することができます。

例) gau による URL を列挙する場合

$ gau <Domain>


xnLinkFinder

xnLinkFinder は、クローリングによって対象のエンドポイントやパラメーターを列挙するツールです。

これにより、対象のドメインにあるエンドポイントを列挙して、各機能のパスや API のエンドポイントを確認することができます。

例) xnLinkFinder でエンドポイントを列挙する場合

$ python3 xnLinkFinder.py -i <Domain> -sp https://<Domain> -sf <Domain> -v

注意点として、xnLinkFinder はクロールによるスキャンツールのため、十分に注意して利用してください。

dirseaech

dirseaech は、Web アプリケーションのディレクトリを列挙するツールです。

これにより、対象のドメインのディレクトリを列挙して、公開を意図していないディレクトリやファイルを確認することができます。

ちなみに、-e で拡張子リストを指定して実行することもできます。(例: -e js,php,jsp,asp)

例) dirseaech でディレクトリパスを列挙する場合

$ python3 dirsearch.py -u https://<Domain>

注意点として、dirseaech は総当たりによる列挙のため、十分に注意して利用してください。

Arjun

Arjun は、指定した URL 上にあるパラメーターを列挙するツールです。

これにより、対象のドメインのディレクトリで、非公開なパラメーターを列挙して、Reflected XSS や SQL Injection などができるか検証することができます。

例) Arjun でパラメーターを列挙する場合

$ arjun -u "https://<Domain>/<Path>"

注意点として、Arjun は総当たりによる列挙のため、十分に注意して利用してください。

byp4xx

byp4xx は、「403 Forbidden」などを回避できるかを検証するツールです。

これにより、閲覧禁止のディレクトリやファイルに対して、アクセス制限の回避ができるか手軽に検証することができます。

例) byp4xx で 403 な URL を回避できるか検証する場合

$ byp4xx https://<Domain>/<Path>

注意点として、byp4xx は総当たりによる検証のため、十分に注意して利用してください。


3. その他

Google Dorks

Google Dorks (Google Hacking)とは、Google 検索のオプションである高度な検索演算子を使用して、特定の条件で情報を効率よく取得する手法です。



Kali Linux 2023.4 リリース (Cloud ARM64, Vagrant Hyper-V & Raspberry Pi 5)


2023年も終わりに近づき、ホリデーシーズンが始まる前にKali 2023.4 がリリースされました。このリリースには、エンドユーザー向けの機能はほとんどないかもしれませんが、新しいプラットフォームが多数追加され、裏では多くの変更が行われています。ニュース、プラットフォーム、機能はさておき、新しいツールや既存のパッケージのアップグレードなど、多くの変更がなければ Kali のリリースとは言えません。新機能を確認したい場合は、新しいイメージをダウンロードするか、アップグレードをしてください。

8月にリリースされた2023.3以降の変更点の概要は以下の通りです:

  • クラウド ARM64 : Amazon AWS と Microsoft Azure マーケットプレイスに ARM64 オプションが追加されました。
  • Vagrant Hyper-V : Vagrant が Hyper-V をサポートしました。
  • Raspberry Pi 5 : 最新の Raspberry Pi ファウンデーション・デバイスで Kali を利用できます。
  • GNOME 45 : Kali テーマが最新バージョンに対応しました。
  • Internal Infrastructure : ミラービットの舞台裏を覗けます。
  • New Tools : 今回も様々なパッケージが追加されたり更新されたりしました。

クラウド ARM64 マーケットプレイス

Kali 2023.4から、Amazon AWSMicrosoft AzureのマーケットプレイスでKali Linux AMD64とARM64の両方を提供することになりました。

ARM64がもたらす利点は、インスタンス提供におけるより多くのオプションと柔軟性であり、これはコストパフォーマンスの向上につながります。難点は、Kali Linuxが常にARMを優先的に扱ってきたとはいえ、すべてのパッケージがARM64を提供しているわけではないことです!クラウド上にラボを立ち上げ、独自のベンチマークを実行してパフォーマンスを比較してみてください。

Vagrant Hyper-V サポート

最近、Microsoft Hyper-V 仮想マシンを作成するためのビルドスクリプトのサポートを追加しました。VagrantにHyper-V環境が追加されました

Vagrantをあまりご存知でない方は、VMware、VirtualBox、そしてHyper-Vのコマンドラインインターフェイスだと思ってください。

DockerがDockerfileを使うのと同じように、VagrantはVagrantfileを使います。これらのファイルには、仮想マシンの作成方法や、使用するオペレーティングシステム、CPU、RAM、ストレージ、ネットワーク、さらにインストールや設定のために実行するスクリプトやコマンドなどが定義されています。

つまり、私たちのVagrantは以下をサポートしています:

  • Hyper-V
  • QEMU
  • VirtualBox
  • VMware

もしこれが気に入ったのであれば、さらに詳しいドキュメントをご覧ください:


また、Vagrant のビルドスクリプトも公開しています。

Raspberry Pi 5

Kali LinuxがRaspberry Pi 5で使えるようになりました!

直接ダウンロードするか、Raspberry Pi Imagerを使って自動化することができます。

GNOME 45

GNOME 45 が発表され、Kali Linux もそれをサポートするようになりました!

GNOME45

Internal Infrastructure

Enters Mirrorbits

現在完了したプロジェクトの一つは、「mirror redirector」の移行です。これがなければ、すべてのデフォルトの Kali インストールは apt (aka http.kali.org) を使うことができず、Kali イメージ (cdimage.kali.org) をダウンロードすることもできません。このサービスは、私たちのミラー (archive*.kali.org)、コミュニティミラー、Cloudflare (kali.download) の前に位置しています。このサービスは、地理的な位置、ミラーの速度、ミラーの「鮮度」といったいくつかの要因に基づいて、すべてのリクエストを最も近いミラーにリダイレクトする責任を負っています。

2013年3月にKaliが立ち上げられて以来、2023年11月まで私たちはMirrorBrainを使っていました。残念なことに、このプロジェクトは2015年以来メンテナンスされていないため、10年間稼働した後、別れを告げる時が来ました。現在、我々はMirrorbitsを使用しています。

Kaliの新しいツール

新しいツールが追加されなければ Kali のリリースとは言えません!追加されたものを簡単に紹介します:

  • cabby - TAXII クライアントの実装

  • cti-taxii-client - TAXII 2 クライアントライブラリ

  • enum4linux-ng - 機能を追加した enum4linux の次世代バージョン (Windows/Samba 列挙ツール)

  • exiflooter - 全ての画像 URL とディレクトリのジオロケーションを検索

  • h8mail - 電子メール OSINT & パスワード漏洩調査ツール

  • Havoc - モダンで柔軟なポストエクスプロイトコマンド&コントロールフレームワーク

  • OpenTAXII - TAXII サーバー実装

  • PassDetective - シェルコマンド履歴をスキャンし、誤って書き込まれたパスワード、API キー、シークレットを検出する

  • Portspoof - 65535 個の TCP ポートを常にオープンにしてサービスをエミュレート

  • Raven - 軽量な HTTP ファイルアップロードサービス

  • ReconSpider - 最も先進的なオープンソースインテリジェンス(OSINT)フレームワーク

  • rling - RLI Next Gen (Rling)、高速なマルチスレッド、豊富な機能を持つ rli の代替品

  • Sigma-Cli - シグマのルールをリストアップし、クエリー言語に変換します。

  • sn0int - 半自動 OSINT フレームワークとパッケージマネージャ

  • SPIRE - SPIFFE Runtime Environment は、ソフトウェアシステム間の信頼を確立するためのAPIのツールチェーンです。

また、多くのパッケージの更新や新しいライブラリも追加されています。また、Kaliカーネルを6.5.0にアップグレードしました!

【セキュリティ事件簿#2024-043】株式会社山田製作所 ランサムウェア被害に関する調査結果のご報告 2024/4/1

山田製作所

当社は、第三者によるランサムウェアを用いた標的型攻撃を受け、当社サーバ保存情報の暗号化やアクセスログ抹消等の被害が発生したこと(以下「本インシデント」といいます。)を 2024 年2月7日及び8日に公表いたしました。

この度、外部の専門企業の協力のもと進めてまいりました本インシデントの調査が完了いたしましたので、調査結果及び再発防止に向けた取り組み等についてご報告を申し上げます。お客様はじめ多くのご関係先にご迷惑とご心配をおかけいたしましたことを、深くお詫び申し上げますとともに、当社の本インシデントへの対応について多くのご支援を賜りましたことについて深く感謝申し上げます。

1.調査結果

(1)被害の原因

2024 年1月、当社保有のリモートアクセス装置が攻撃者からのサイバー攻撃を受け、当該リモートアクセス装置を通じて攻撃者が社内ネットワークに不正侵入し、探索行為を行っていたことが調査により確認されました。また、2024 年2月、クラウドサービス上に当社が構築していた当社サーバに不正侵入され、当該サーバからその他のドメイン配下のサーバにも不正侵入されていたことも確認されました。

(2)被害の拡大

2024 年2月6日の深夜に不正侵入されたサーバ上で EDR機能を無効化した上でランサムウェア「LockBit」が展開され、社内ネットワーク上の複数のサーバに保存されていたデータが暗号化されました。併せまして、ランサムウェアの展開を実行したサーバのイベントログの消去を実施し、証拠の隠滅を図った痕跡も確認されております。

2.再発防止に向けた取り組み

 本インシデントにおいて侵入経路となった脆弱性への対策は完了しておりますが、 より高度な情報セキュリティレベルを実現するために、外部の専門機関による脆弱性 診断の結果やアドバイスに基づき、継続的な改善及びセキュリティ監視体制の強化 を行い、再発防止に取り組んでまいります。

3.マイナンバー情報及び個人情報の流出可能性について

 本インシデントの調査を通じて、マイナンバー情報や個人情報が外部に持ち出された痕跡については現時点で確認できておりません。

しかしながら、外部流出の可能性を完全に否定することは難しいことから、万一、情報流出があった場合の二次被害の防止を最優先と考え、流出可能性のある情報について以下のとおりお知らせします。

なお、2024 年2月9日及び 2024 年3月 29 日に個人情報保護委員会への報告を実施しております。

(1)マイナンバー情報

 ①2016 年3月時点で、当社従業員であった方

(2)個人情報

 ①お客様及びご関係先のご担当者様
 →氏名及び役職を含む、業務上の連絡先情報が主となります。

 ②当社株主様

 ③採用候補者様

 ④当社従業員及び過去当社従業員であった方

4.マイナンバー情報の流出可能性がある方に向けた当社対応

現時点では二次被害は確認されておりませんが、マイナンバー情報の流出の可能性がある方に対しては、情報の性質を鑑みた対応について順次個別にご連絡を実施いたします。

5.個人情報の流出可能性がある方に向けた当社対応

現時点では二次被害は確認されておりませんが、今後個人情報が流出した可能性がある方に対し、当社関係者になりすました不審メールやご連絡があるおそれがございますのでご注意いただけますようお願い申し上げます。

皆様には、多大なるご迷惑とご心配をおかけしておりますことをあらためてお詫び申し上げます。

当社では、今回の事態を真摯に受け止め、警察及び関係当局の要請や指示には迅速かつ適正に対応するとともに、より一層の管理体制の強化に向けて努力してまいりますので、何卒ご理解とご協力を賜りますようお願い申し上げます。


【2024年2月8日リリース分】


【2024年2月7日リリース分】


【セキュリティ事件簿#2024-034】埼玉県健康づくり事業団 X線画像読影システムへの不正アクセス攻撃について 2024/3/28


本事案(令和6年1月31日資料提供)につきましては、1月29日(月)に発覚後、2月3日(土)に当事業団において、埼玉県警、システム会社立会いのもと、専門の調査会社が侵入経路や個人情報の漏洩の有無などに関する調査(フォレンジック調査)を開始しました。

その後、約1か月の調査を行い、3月21日(木)に当事業団に最終報告書が提出されましたので、その概要を下記のとおり報告させていただきます。

今回の不正アクセス攻撃を厳粛に受け止め、再発防止に向けたセキュリティ対策の強化に取り組んでまいります。

1 侵入経路

攻撃者は、インターネットに接続しているVPNを経由して、1月27日(土)16時24分にX線画像読影システムの偵察活動に成功。

翌28日(日)18時36分に不正侵入、18時41分に探索活動、その後防御回避等を行い、サイバー攻撃を実行した。

2 個人情報漏洩の有無

個人情報については、データの窃取と漏洩の痕跡は確認されなかったが、RDP(リモートデスクトッププロトコル)を使用してもデータの転送ができることなどから、データ窃取の有無を完全に断定することはできない。

※RDPは、Windowsオペレーティングシステムで使用されるリモートデスクトップ接続のためのプロトコル。RDPを使用すると、ネットワーク経由で別のコンピュータに接続し、そのコンピュータのデスクトップを操作することが可能。
 
<X線画像読影システムに保存されていた個人情報>
 X線画像(胸部、胃部、乳部)及び超音波画像(腹部、乳部)と画像に付帯する情報(氏名、年齢、生年月日、性別、検査日、ID、撮影番号、問診、過去の所見と判定、今回の所見と判定)、モアレ検査画像(画像に付帯する情報は学校名、撮影番号)約94万人分。ただし、住所や電話番号、市町村名、事業所名は含まれておりません。

3 感染台数

 サイバー攻撃の被害を受けた機器は、X線画像読影システムに関係する10台(サーバ8台、端末2台)※現在、ネットワークから切断しています。

4 現状の対応状況

X線画像読影システムを使用しない方法で事業を継続しています。

具体的には、健診センターや検診車で撮影した X 線画像を専用のUSBメモリ(ウィルスチェック済)に保存し、X線画像読影システムとは別の独立した読影観察装置に取込み、その画像を読影医が直接読影し、所見を読影簿に手書きします。その手書きした所見を結果処理システム(ウィルスチェック済)に手入力し、結果通知書を打ち出します。

X線画像の読影については、読影医が当事業団に来所する頻度を増やすことで、従前どおりの期間内で検診結果を提出いたします。

5 今後のセキュリティ対策

X線画像読影システムのバックアップデータ(暗号化はされなかった)を4月上旬までに読影観察装置に移行し、有識者の意見を踏まえながら、堅牢なセキュリティ対策を講じた新たなX線画像読影システムを令和6年12月までに構築する予定です。

従来のX線画像読影システムについては、バックアップデータの新たなX線画像読影システムへの移行が終了した時点で廃棄し、再利用はしません。

併せて、健康づくり事業団のセキュリティ対策全般についても外部の有識者の意見を踏まえながら検証し、セキュリティ対策の強化に取り組んでまいります。


【2024年1月31日リリース分】