スマホアプリのウェブサーバがサイバー攻撃被害（転載）～想定損害賠償額は700万円程度か～

【弊社サーバーのサイバー被害に関する、お知らせとお詫び】フォレスト出版株式会社 2021年7月7日 forestpub.co.jp/pressrelease.c…:

フォレスト出版は、同社のスマートデバイス向けアプリ「フォレスタ」のサーバが外部よりサイバー攻撃を受け、利用登録者に関するメールアドレスが外部に流出した可能性があることを明らかにした。

同アプリでは、スマートフォンやタブレット向けにセミナー動画などを配信していたが、同社によると、同アプリで利用するウェブサーバに対して不正アクセスがあり、サーバ内部に保存されていた利用登録者のメールアドレス7138件が外部に流出したおそれがあるという。

同社によると、4月22日正午ごろ、「Amazon Web Services」上で運用していたウェブサーバにおいて、データの消失を確認。同社では事態の発覚を受けて、外部事業者をまじえて調査を進めている。ログが残っておらず、攻撃を受けた詳しい日時なども特定できない状況だが、同日朝6時前後に攻撃を受けた可能性がある。

原因に関して同社では、同アプリの開発や保守を請け負う開発会社においてアプリ開発時にセキュリティ上の不備があり、「AWS」へアクセスするための情報が外部へ漏洩したものと見ているが、具体的な不備など詳細については「調査中」と述べるにとどめた。

同社では、同アプリによるコンテンツ視聴サービスを5月7日に停止。今回の事態に関係なく、もともと同時期にサービスを終了する計画だったという。対象となる利用登録者に対しては、7月6日よりメールを通じて経緯の報告や謝罪を実施。被害届の提出に向けて警察へ相談を行っているほか、所管官庁に対する報告についても準備を進めている。

プレスリリース（バックアップ）

通販サイトでクレカ情報流出、システム刷新後に被害判明 - コスモス薬品（転載）～想定損害賠償額は6.6億円程度か～

[PDF] 弊社が運営する「コスモスオンラインストア」への不正アクセスによるお客様情報流出に関するお詫びとお知らせ株式会社コスモス薬品 2021年7月12日 cosmospc.co.jp/notice/upload/…:

ドラッグストアをチェーン展開するコスモス薬品の通信販売サイトが不正アクセスを受け、顧客のクレジットカード情報が外部に流出した可能性があることがわかった。同社では4月にシステムを変更したが、5月に入ってクレジットカード会社より指摘があり、旧システムにおける情報流出が判明したという。

同社によれば、「コスモスオンラインストア」において、2020年2月7日から2021年4月22日にかけて顧客が決済に利用したクレジットカード情報が外部へ流出し、不正に利用された可能性があることが判明したもの。対象となるクレジットカードは2万5484件で、名義、番号、有効期限、セキュリティコードなどを窃取されたおそれがある。

5月12日に情報流出の可能性についてクレジットカード会社から指摘があり問題が判明、調査を実施したという。同サイトでは、4月23日にシステムを変更したばかりで、4月22日以前に運用していた旧システムにおいて脆弱性が突かれ、不正なファイルを設置されていた。システムを変更した4月23日以降については情報流出は確認されていないと説明している。

外部事業者による調査は6月9日に完了、6月14日に警察へ届けた。個人情報保護委員会に対しては7月2日に報告を行っている。対象となる顧客には、7月12日よりメールで経緯の説明や謝罪を行っており、身に覚えのない請求などが行われていないか確認するよう呼びかけた。

「コスモスオンラインストア」に関しては、現在もサービスを停止しており、安全性の確認など進めつつ、再開に向けた準備を進めている。

プレスリリース（バックアップ）

「TRANSIC」におけるお客様情報流出について（転載）～想定損害賠償額は2800万円程度か～

不正アクセスによる情報漏洩に関して TRANSIC 2021年7月13日 transic.jp/blogs/news/202…:

「TRANSIC」におけるお客様情報流出について

このたび、ファーストトレード株式会社より、同社のサイト「TRANSIC」において、お客様のクレジットカード情報が外部に漏えいした可能性がある、との公表がございました。

現在、弊社発行のカードにつきまして、本件に起因する不審な売上の有無を確認中でございます。

弊社では日頃より、カード会員の皆様にご迷惑がかからないことを最優先に、24時間365日体制でカードの不正使用を検知するシステムにて、ご利用状況をモニタリングさせていただいております。

過去に「TRANSIC」をご利用されたことがあるカード会員様におかれましては、お届けいたします「ご利用明細書」またはインターネットサービス「Netアンサー」の「最近のカードご利用一覧」に、不審なご利用が含まれていないかご確認いただきますようお願い申しあげます。

万一身に覚えのないご利用が含まれていた場合には、大変お手数ではございますが、カード裏面の電話番号まで、お問い合わせくださいますようお願いいたします。

お問い合わせが多く重なった時間帯など、インフォメーションセンターの電話が繋がりにくい場合がございます。何卒ご了承くださいますようお願い申しあげます。

プレスリリース（バックアップ）

みずほ障害の調査「人災」の経営責任は重い（転載）～人災と言えば人災だが、関係者全員が他人事なのが根本原因ではなかろうか・・・～

みずほ障害の調査　「人災」の経営責任は重い

再発を防ぐと言われても、果たして信じられるのか。そんな疑念を抱かせる検証結果である。

2021年2～3月、みずほ銀行で立て続けに4回発生したシステム障害をめぐって、親会社のみずほフィナンシャルグループ（ＦＧ）が第三者委員会の調査報告書を公表(バックアップ)した。

この中で、一連の障害に共通する原因はシステム上の問題ではなく、人為的側面にあると指摘された。つまり「人災」である。経営責任は当然重い。

みずほＦＧは今回の報告書を受けて、坂井辰史社長やみずほ銀の藤原弘治頭取の減給を含む役員処分を発表したが、これだけで責任を果たしたといえるのか。

みずほＦＧの株主総会では、坂井氏ら取締役の選任案が可決された。一方、金融庁は近く一連の障害の行政処分を決める。その際には、経営陣の責任についても改めて厳しく問うべきである。

みずほは2002年、2012年の2度にわたり大規模なシステム障害を起こした。2018年以降にも今回と同様にＡＴＭ（現金自動預払機）に通帳・カードが取り込まれる障害があったが、未公表だった。これを踏まえてシステムの仕様を見直しておけば、2021年2月28日に通帳などが取り込まれた５２４４件のうち９割以上は防げたという。

こうした実情では、過去に何度も約束した再発防止の徹底も「空念仏」だったとみられよう。顧客の信用を回復させるには、よほどの覚悟と行動が必要である。

報告書は、今回の障害に共通する問題点として①経営陣への報告や他部署との連携など危機対応上の組織力の弱さ②運用・管理などシステム統制力の弱さ③顧客目線の弱さ―を挙げた。根底にはこれらが容易に改善されない企業体質・風土があるとも断じた。

例えば持ち場を超えた積極的・自発的行動で解決を図る姿勢が弱かった。声を上げて責任を負うリスクを避け、自分の持ち場でやれることしかやらない。そんな企業風土を第三者委は問題視した。

第一勧業、富士、日本興業の旧３行の経営統合で発足したみずほは、強すぎる旧行意識の弊害が指摘されてきた。たとえそれが薄らいでも、事なかれ主義的な内向きの体質がはびこっているのならば深刻である。そこが抜本的に改まらない限りは、今後も「人災」を繰り返しかねないと、経営陣は厳しく認識すべきだ。

当社グループ会社に対するサイバー攻撃の調査結果と再発防止策についてニュース｜シオノギ製薬（転載）

当社グループ会社に対するサイバー攻撃の調査結果と再発防止策についてニュース｜シオノギ製薬（塩野義製薬） shionogi.com/jp/ja/news/202…:

shionogi.com/jp/ja/news/202…

塩野義製薬株式会社の100%子会社である台湾塩野義製薬（本社：台北市、以下「台湾塩野義」）が2020年10月21日に外部からのサイバー攻撃を受け、一部の情報流出が確認されました。これまでの経緯につきまして、以下の通りご報告いたします。

■サイバー攻撃の被害範囲および復旧対応について

外部のサイバーセキュリティ専門家による調査を実施した結果、台湾塩野義が保有するサーバー・PCにランサムウェアの一種と推測されるマルウェアの攻撃痕跡を確認いたしました。

当社グループでは、外部の専門家による確認ののち、安全対策に万全を期し、特別な監視体制を敷いたうえで台湾塩野義のシステムを全面的に復旧いたしました。

また、当社グループの日本・米国における拠点への影響につきましても通信ログおよびシステムのログの確認を行いましたが不正アクセスの痕跡は発見されず、当社グループのその他地域への不正なアクセスはなかったと判断いたしました。

■情報漏洩の可能性について

台湾塩野義で保有していた従業員の情報がダークウェブ上に掲示されておりましたが、顧客の個人情報および機密情報が流出した事実は確認されておりません。

■再発防止策について

当社は本件の発生を厳粛に受けとめ、台湾塩野義を含めたシオノギグループ全体においてITセキュリティおよび情報管理体制のさらなる強化を図ってまいります。

「ロゴストロンコム」からのカード情報漏えい（転載）～想定損害賠償額は6300万円程度か～

「ロゴストロンコム」からのカード情報漏えい

「ロゴストロンコム」におけるお客様情報流出について

このたび、neten株式会社より、同社サイト「ロゴストロンコム」において、お客様のクレジットカード情報が外部に漏えいした可能性がある、との公表がございました。

現在、弊社発行のカードにつきまして、本件に起因する不審な売上の有無を確認中でございます。

過去に同社の「ロゴストロンコム」をご利用されたことがあるカード会員様におかれましては、お届けいたします「ご利用明細書」またはインターネットサービス「アットユーネット！」の「最近のカードご利用一覧」に、不審な利用が含まれていないかご確認いただきますようお願い申しあげます。

万一身に覚えのない利用が含まれていた場合には、大変お手数ではございますが、カード裏面の電話番号まで、お問い合わせくださいますようお願いいたします。

プレスリリース(バックアップ)

保育関係者向けサイトに不正アクセス - クレカやアカウント情報が流出（転載）～想定損害賠償額は約6000万円か～

「Hoickオンラインショップ」からのカード情報漏えい

保育関係者向けサイトに不正アクセス - クレカやアカウント情報が流出

幼稚園の教諭や保育士を対象としたサイト「Hoick」のオンラインショップが不正アクセスを受け、利用者の個人情報が外部に流出した可能性があることが判明した。

同サイトを運営するソングブックカフェによれば、ウェブサイトが改ざんされ、2020年10月29日から2021年4月8日にかけて同サイトのオンラインショップを利用した顧客のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明したもの。

期間中に同サイト上で入力されたクレジットカードの名義、番号、有効期限、セキュリティコードなど最大2365件が対象で、注文が完了していない場合も含まれる。あわせて同期間にログインのため入力されたメールアドレスおよびパスワード最大1740件についても流出したおそれがあることが判明している。

4月9日にクレジットカード会社より情報流出の可能性について指摘を受けたという。同社では、外部事業者による調査を実施し、6月2日に最終報告を受けた。同月17日に個人情報保護委員会へ報告。警察にも被害を相談している。

対象となる顧客に対しては、7月6日よりメールで経緯を説明し、謝罪。クレジットカードにおいて身に覚えのない請求がないか確認したり、他サイトにおいてパスワードを使いまわしている場合は、変更するよう注意喚起を行っている。

盛り上がらないオリンピックにもサイバー攻撃は来るのか？（転載）

東京五輪ではサイバーセキュリティ”競技”も注目されている

Watch for Cybersecurity Games at the Tokyo Olympics

危なかったですが、2018年平昌冬季オリンピックは始まる前に終わりそうになりました。サイバー攻撃により、開会式とその後のスポーツイベントに深刻な障害が発生する恐れがあったのです。幸いなことに、オリンピックのテクノロジー・オペレーション・センターが眠れない夜を過ごしたことで、迅速で効率的なインシデント・レスポンス・プロセスが実現しました。

3年後、脅威の状況は変化しており、東京オリンピックは前回よりも安全ではありません。それどころか、テクノロジーへの依存度が高い今回のオリンピックは、これまでで最も脆弱な大会になるかもしれません。今度のオリンピックでは、これまでで最も革新的なテクノロジーの使用が予定されているだけでなく、COVID(武漢ウイルス)に関連した視聴者の制限により、観客は電子的にイベントについていく必要があります。このような状況下では、選手だけではなく、観客も自分の技を披露する準備をしなければなりません。

The Gold Medal

オリンピックは重要なインフラに大きく依存しており、多くの悪意あるアクターにとって、そのような存在は理想的なターゲットです。重要なインフラへの攻撃は、運用技術（OT）が影響を受けると、物理的な混乱を引き起こします。OTは物理世界とのインターフェースとなる技術であるため、攻撃の波及効果によって現実世界に大きなダメージを与えることになります。このため、オリンピックとその関連団体への攻撃には、いくつかの動機が考えられます。オリンピックが国際的に注目されているということは、ハクティビスト、テロリスト、脅威アクターなどが声明を出すのに最適なターゲットであることを意味しています。さらに、オリンピックは、政治的な意図を持った国家が支援するグループにとって、戦略的なターゲットとして機能する可能性があります。

The Hard(ware) Truths

攻撃者の動機と標的の価値から、このような攻撃を行うアクターは、高度で洗練された能力を持っている可能性が高いと考えられます。これは、組織が保護されていると思っていても、保護されていないことを意味します。

Truth #1: What You See Is Not What You Get

企業は、ハードウェア資産を完全に把握しているため、包括的なセキュリティアプローチが可能であると考えている場合が多い。しかし、実際にはそのようなことはほとんどありません。実際、60％以上のIT管理者が、ITデバイスのインベントリが不完全であると回答しています。デバイスが管理されていないか、隠れているか、正規のデバイスになりすましているかにかかわらず、企業のハードウェア・インベントリには重大な、意図しないギャップがあります。

すべての資産が説明されていると考えることは、いくつかのギャップが残されていることを知るよりも危険かもしれません。このような状況では、企業は攻撃を受けた際に効果的なインシデント対応プロセスを持たず、攻撃の発生源を特定することは不可能ではないにしても難しいでしょう。また、東京オリンピックはテクノロジーに大きく依存しているため、使用されるデバイスの数が膨大になり、リスクが大幅に拡散してしまいます。(ちなみに、2018年の冬季オリンピックでは、1万台以上のPC、2万台以上のモバイルデバイス、6,300台のWi-Fiルーター、300台のサーバーに依存していました)。企業は、すべてのOSIレイヤーを可視化することで、完全な資産インベントリーを確保するために、より一層の努力をしなければなりません。

Truth #2: You Undervalue Yourself

攻撃者は洗練されているかもしれませんが、必ずしもそのスキルを使ってターゲットに直接侵入するとは限りません。洗練されているということは、努力することではなく、賢く働くことを意味する場合もあります。サプライチェーンは前者を可能にします。

高度に保護されたターゲットへの侵入は非常に困難であるため、安全性の低いサプライヤーが悪意あるアクターの侵入ポイントとなることがよくあります。サプライヤーがターゲットの機密情報にアクセスするか、またはサイバー犯罪者にターゲット組織への侵入経路を（ハードウェアまたはソフトウェアを介して）提供することになります。サプライチェーンへの攻撃は、2020年の下半期に7倍に増加しており、この数字は大きな改革がなければ上昇し続けるでしょう。また、重要なインフラが大規模なサプライチェーンに依存しているため、オリンピックには多くのエントリーポイントがあります。自分たちには価値がないと思っている小規模な組織が、攻撃者とターゲットの間の障壁（またはエントリーポイント）になるかもしれません。2019年には、中小企業（SMB）の66％が、サイバー攻撃の可能性は低いと考えていると回答しましたが、SMBの67％が被害に遭いました。今日の相互接続された環境では、企業はその規模や事業内容にかかわらず、脅威の状況認識を大幅に拡大する必要があり、サプライチェーンはそれを期待しています。

An Extra Year of Training

東京大会が2021年に延期されたことで、選手たちはもちろん、オリンピックのサイバーセキュリティチームも1年余計にトレーニングを積むことができました。さらに、COVID-19(武漢ウイルス)パンデミックの際に攻撃が増加したことで、高度なサイバーセキュリティの取り組みの重要性が強化されたはずです。あと数週間で、世界はアスリートが金メダルを目指して競い合う姿を見ることになります。サイバーセキュリティの世界にいる私たちは、攻撃の可能性を示すあらゆる兆候に注目します。あなたにはあなたのスリルがあり、私たちには私たちのスリルがあります。

AIDAFフレームワークとは / A New Framework to Drive Digital Transformation（転載）～イノベーションに繋がるデジタルIT時代のEnterprise Architecture～

A New Framework to Drive Digital Transformation

Adaptive Integrated Digital Architecture Frameworkとは、どのようにして生まれたのでしょうか。

Adaptive Integrated Digital Architecture Framework (AIDAF) は、従来のエンタープライズアーキテクチャ (EA) フレームワークに欠けている、デジタルIT戦略やデジタルトランスフォーメーションのためのデジタルアジリティ要素に対応できる、我々が提案・検証した新しいデジタルフレームワークです。AIDAFフレームワークは、以下のような特徴を持ち、デジタルトランスフォーメーションのために重要かつ必要なフレームワークです。

Process: AIDAFフレームワークは、Speed、Responsiveness、Flexibility、Leanness、LearningなどのAgility要素を向上させ、デジタル戦略とInnovationを推進することができる。AIDAFフレームワークは、各部門の指導方針に沿って、中長期的な各戦略に対応して、異なるビジネスユニットの既存のEAフレームワークに適応型EAサイクルを統合したEAフレームワークです。

Technology: AIDAFフレームワークは、複数の国際誌で発表されているように、デジタルIT技術とナレッジマネジメントによって革新的なデジタルプラットフォームを開発できるモデルを網羅しています。このアプローチは、デジタルトランスフォーメーションとイノベーションを加速するためのフレームワークとして、グローバル企業や官公庁などで採用・検証されています。AIDAFをベースにした新しいデジタル・エンタープライズ・アーキテクチャーのコースは、今年、米国のカーネギーメロン大学で始まり、今後はアジア太平洋地域の大学でも開始される予定です。拙著『Enterprise Architecture for Global Companies in a Digital IT Era: Adaptive Integrated Digital Architecture Framework (AIDAF) 』（Springer Nature社）は、2020年前半のEA新書のベスト3に選ばれ、歴代のEA新書のトップ10にもランクインした。

このプロジェクトは、どのような点で最もインパクトがあると思いますか？
グローバル・ヘルスケア・エンタープライズ（GHE）におけるAIDAFのインパクトは、著名な国際誌に掲載されたAgilityの要素を参考にしたケーススタディの結果、定性・定量分析を加味して、「Speed/Responsiveness/Flexibility/Leanness/Learning」の5つのAgility関連要素の観点から、TOGAFなどの既存のEAフレームワークに比べて5～20倍のインパクトがあると評価されました。

デジタルトランスフォーメーションの未来を考える上で、パンデミックはどのような教訓を与えてくれたのでしょうか。
AIDAFフレームワークを用いたデジタル戦略・変革は、当初、米国や日本の大学の教授たちの好みから、ヘルスケア業界に焦点を当てていました。現在では、AIDAFフレームワークは、特にヘルスケア分野で認識され続けています。AIDAFを用いたデジタルヘルスケアが、パンデミックによる疾病のリスクを軽減し、パンデミックがもたらす課題に対処するためのビジネスプロセスやアプリケーションアーキテクチャのデジタル化を加速させることにも貢献できると期待しています」。

アカデミアの魅力は何ですか？

デジタルIT時代のアジリティ要素を持つEAフレームワークを活用することで、ITマネージャー/CIOと、アジャイルやDevOpsのデジタルIT実務者との関係が緊密になり、相乗効果をもたらすことが期待できます。また、AIDAFフレームワークを社会のエコシステムレベルとして適用することで、インダストリー4.0やソサエティ5.0を効率的かつ戦略的に加速・支援することができ、多くの研究機会を得ることができます。権威あるIEEE-EDOC国際会議において、私たちのワークショップ「Industry 4.0, Society 5.0 and the AIDAF framework」が含まれており、今年の後半にヨーロッパの教授たちと共同で開催される予定です。学術的にも、国際的なMDPIジャーナルの特別号「Enterprise Architecture in the Digital Era」に最新の論文を掲載する機会があります。

あなたはISACAの東京支部とピッツバーグ支部の両方で活動してきました。それらの経験の中で、主な共通点と相違点は何でしょうか？
どちらも大きな支部です。主な違いは、ITマネジメントや戦略の視点です。それぞれの地域の特徴として、ピッツバーグ支部には非常に革新的な人や組織が集まり、東京支部の会員や企業は、リスク管理に対して非常に慎重な考えを持っています。