日本のサイバー能力は落第点(三流レベル) / Cyber Capabilities and National Power: A Net Assessment（転載）

 日本のサイバー能力は落第点

Cyber Capabilities and National Power: A Net Assessment

本報告書は、IISSの研究者による2年間の研究の成果であり、15カ国のサイバーパワーに関する新しい質的評価と、世界の国家のサイバー能力をランク付けする方法を理解するための新しい質的フレームワークを提供しています。

2019年2月、英国国際戦略研究所（IISS）は、国家のサイバー能力を評価し、それが国力にどのように貢献しているかを評価する方法論を開発する意向をサバイバル記事で発表した。

本報告書は、国の意思決定を支援することを目的としています。例えば、国力に最も大きな違いをもたらすサイバー能力を示すことができます。このような情報は、政府や大企業が戦略的リスクを計算したり、戦略的投資を決定したりする際に役立ちます。

他の組織も指標に基づいた方法論を開発していますが、その多くは主にサイバーセキュリティに焦点を当てています。しかし、私たちの方法論はより幅広く、主に定性的であり、国際的な安全保障、経済的競争、軍事問題とどのように交わるかを含め、各国の広範なサイバーエコシステムを分析しています。

各州の国情はもちろん変化し、サイバー戦略や投資は、COVID-19(武漢ウイルス)パンデミックをはじめとする様々な問題に直面することになるでしょう。しかし、各州のほとんどの政策と能力の傾向は、今後も続くと思われる。

この研究は、サイバー空間における国際的な対立が激化していることを背景に行われた。いくつかの参考点を挙げて説明することができます。2015年、中国の新軍事戦略は、「宇宙空間とサイバー空間は、国家間の戦略的競争の新たな司令塔となった」と宣言した。2016年、米国は、ロシア政府、およびプーチン大統領個人が、米国大統領選挙への持続的な情報攻撃を指示したと非難した。2019年5月、ドナルド・トランプ大統領（当時）は、中国がサイバー空間で悪質な行為を続けた場合、中国との技術戦争を予見した5。2021年4月、中国は米国をサイバー攻撃の「チャンピオン」と呼んだ。その1ヵ月後、G7外相会合は、ロシアと中国の両国に対し、サイバー活動を国際的な規範に沿ったものにするよう求めた。

本レポートでは、米国、英国、カナダ、オーストラリア（ファイブアイズの4つの情報機関の同盟国）、フランスとイスラエル（ファイブアイズの2つの最もサイバー能力の高いパートナー）、日本（同じくファイブアイズの同盟国だが、恐るべき経済力にもかかわらず、サイバー空間のセキュリティ面では能力が低い）、中国、ロシア、イラン、北朝鮮（欧米の利益にサイバー上の脅威を与える主要な国）、インド、インドネシア、マレーシア、ベトナム（サイバーパワーの発展の初期段階にある4つの国）を対象としている。

• 各国の能力を7つのカテゴリーに分けて評価しています。
• 戦略とドクトリン
• ガバナンス、コマンド＆コントロール
• コア・サイバー・インテリジェンス・ケイパビリティ
• サイバーエンパワーメントと依存性
• サイバーセキュリティとレジリエンス
• サイバー空間におけるグローバルリーダーシップ
• 攻撃的なサイバー能力

主要な評価は各章の冒頭に1段落でまとめられています。

IISSは、ベルリン、ロンドン、マナマ、シンガポール、ワシントンDCにあるチームの指導のもと、サイバーパワーに関する研究を継続し、このテーマに関する専門家の対話をリードしていきたいと考えています。今後の出版物では、攻撃的なサイバーキャンペーンのより深い分析を行う予定です。

多くの専門家の方々のご意見を参考にさせていただきました。この出版物はIISSが単独で作成したものであり、その内容について全責任を負います。

（日本の評価）

日本は、1980年代初頭から情報通信技術の商業的応用において世界のトップレベルにありますが、サイバー空間のセキュリティ面に対処する準備ができたのは、はるかに最近のことです。2013年には、日本初の成熟したサイバーセキュリティ戦略が発表されました。これは、狭い技術的な種類の古典的な情報セキュリティの美辞麗句的な原則に焦点を当てた、それ以前のいくつかの政策に基づいています。日本は現在、サイバースペースのガバナンスについて充実したアプローチをとっているが、米国や英国などと比べると、特に民間企業による情報共有という点で、ゆるやかな取り決めとなっている。日本のサイバースペースにおける防御力は、特に強固なものではなく、多くの企業が防御力強化のためのコストを負担しようとしません。日本のレジリエンス計画はかなり限定的なものであったが、2020年のオリンピック・パラリンピック大会（武漢ウイルスの影響で延期）に向けて、その傾向は強まった。日本はいまだに公式の軍事サイバー戦略やサイバー空間に関する公式の軍事ドクトリンを持っていませんが、サイバー専門部隊の創設など、軍の組織的な変更は緩やかに行われています。しかし、日本の武力行使には憲法上および政治上の制約があるため、攻撃的なサイバー能力はまだ開発されていません。2020年までには、米国とオーストラリアの後押しもあり、日本は中国と北朝鮮に対する懸念が高まったため、より強固なサイバー態勢に移行しています。

東京オリンピックのチケット購入者のログインIDとパスワードがインターネット上に流出 / Login IDs and passwords of Tokyo Olympic ticket purchasers have been leaked on the internet（転載）～チケット購入者の端末がマルウェア感染して漏洩か？～

SttyK (してぃーきっず) retweeted: “Login IDs and passwords of Tokyo Olympic ticket purchasers have been leaked on the internet” english.kyodonews.net/news/2021/07/2… To clear this up, looks like a bunch of people were generally infected with #redline and other stealers that supply “dark web markets” thus exposing their creds twitter.com/Louishur/statu…:

SttyK (してぃーきっず) retweeted:

“Login IDs and passwords of Tokyo Olympic ticket purchasers have been leaked on the internet”
english.kyodonews.net/news/2021/07/2…

To clear this up, looks like a bunch of people were generally infected with #redline and other stealers that supply “dark web markets” thus exposing their creds twitter.com/Louishur/statu…

東京オリンピックのチケット購入者のログインIDとパスワードがインターネット上に流出したと、政府関係者が水曜日（2021年７月２１日）に発表した。

パラリンピックのチケット購入者や夏季大会のボランティアポータルを利用した人の情報も同様にインターネット上に流出したと、匿名を条件に関係者は述べ、組織委員会はこの問題の調査を開始したと付け加えた。

今回の流出は、音楽家の小山田圭吾氏が過去に障害のある子供をいじめ、虐待していたことを認め、金曜日（2021年７月２3日）の開会式をプロデュースするチームから辞任したことに端を発しており、また、コロナウイルスの大流行の中、組織委員会はすでに世論を味方につけるのに苦労している。

関係者によれば、今回の流出の規模は「大きくない」とのことで、これ以上の拡散を防ぐための対策はすでに講じられているとのことです。

大会のボランティアやチケット購入者向けのウェブサイトにログインするためのユーザー名とパスワードは、パソコンやスマートフォンへの不正アクセスによって盗まれた可能性が高く、個人情報を公開しているウェブサイトに掲載されていたとのことです。

ログインIDとパスワードが使用された場合、購入者やボランティアの氏名、住所、登録銀行口座など、より多くの個人情報にアクセスできる可能性があります。

OSINTツール開発の助っ人募集 / Help Bellingcat Build Tools For Open Source Investigators!（転載）

Help Bellingcat Build Tools For Open Source Investigators! 

オープンソースの調査は、人間の研究者のスキルと努力に依存しています。これは今後も変わりません。しかし、ツールを使えば、調査のプロセスを大幅に楽にすることができます。

私たちBellingcatは、他の多くの調査機関やオープンソース愛好家と同様、主に無料で利用できるツールに依存しています。これは、多くの有料ツールにアクセスするために必要な予算がないためで、私たちは非営利団体です。しかし、それだけでなく、私たちはオープンソースソフトウェアの考え方を信じています。

私たちは、あらゆる分野のデジタル研究者が、オープンソースの調査を行うための方法やツールを自由に使えるようにしたいと考えています。そのために、私たちはウェブサイトで無料の調査ガイドやリソースリストを公開しています。また、Bellingcat Githubを立ち上げました。ここでは、Bellingcatの調査技術チームが開発・使用するツールの多くを、オープンソースプロジェクトとして公開しています。

また、これらのツールを公開するだけでなく、オープンソースソフトウェアの経験者やオープンソース調査の愛好家からの投稿や共同研究も受け付けています。

支援の方法

Bellingcat Githubにあるツールをご覧いただき、より良いものにするためにご協力ください。
 
オープンクエスチョンのリストを読んで、オープンソース調査員に関連する技術的課題に取り組んでみてください。

例えば、大学のコンピュータサイエンス学科を率いる方や、技術系の研究機関にお勤めの方で、ツール開発のコラボレーションの具体的なアイデアをお持ちの方（ソフトウェアはオープンソースであることが条件です）は、こちらからお気軽にご連絡ください。

同じことが、自分の仕事のために特定のツールを必要としているすべてのオープンソース調査員にも当てはまります。ここでアイデアを提出していただき、そのツールの開発が実現可能と思われる場合には、技術チャレンジのリストに加えさせていただきます。また、直接「プルリクエスト」を提出することもできます。もしかしたら、親切なソフトウェア開発者がそれを拾ってくれるかもしれません。

 

Githubツールの使用、テスト、改善

私たちのGithubにあるツールのリストは、時間とともに増えていきます。現在、私たちの小さなコレクションには、Instagramの「ロケーション」を見つけるためのツール、Google Sheets用の自動ビデオアーカイバ、曇った衛星画像の中から雲のない小さな小領域を見つけるためのGoogle Earth Engineアプリケーションなどがあります。

皆さまのご協力により、これらのツールが改善され、さらに追加されていくことを期待しています。これらのプロジェクトの多くは、すでにGithubのIssuesページに改善提案が掲載されており、コミュニティへの貢献に最適なハイライトされた課題も含まれています。

ここでは、Githubに掲載されているツールのうち、あなたが開発に貢献できるものについてご紹介します。

instagram-location-search

インスタグラムは、公共の場での共有とジオタグの両方が社会的な規範となっている点で、現代のソーシャルメディアの中ではややユニークな存在です。しかし、写真は特定の座標で検索できるわけではなく、Instagramの「場所」に関連付けられています。Instagramでは、これらの場所を緯度と経度の座標で検索したり発見したりする方法は提供されておらず、都市名や場所の名前でしか検索できません。例えば、アムステルダム中央駅からのインスタグラムの投稿を見つけるのは簡単ですが、近くの他の場所で撮影された写真を見つけるのは、探しているもの（および関連するインスタグラムの地名）がはっきりしていない限り、簡単な方法ではありません。

しかし、モバイルのInstagramアプリは、特定のInstagramの場所の近くにある場所を見つけるプライベートAPI（Application Programming Interface）にアクセスし、新しい写真の場所を選択する際に使用されます。Bellingcatは、このAPIを利用して、Instagramの場所を見つけるためのツールを開発しました。

Instagramの特定の場所やユーザーから画像をダウンロードするためのツールはすでにいくつか存在します。instagram-location-searchの便利な拡張機能は、これらのツールを統合して、研究者が特定の緯度と経度の周辺からすべての画像を1つのステップでスクレイピングできるようにすることです。

telegram-phone-number-checker

Telegram電話番号チェッカーは、研究者が特定の電話番号または電話番号のリストがTelegramでのアカウント作成に使用されたかどうかを調べたい場合に便利です。

電話番号を調べるために、このツールはTelegram APIを使用し、「API_ID」と「API_HASH」を必要とします。電話番号がTelegramのユーザー名に関連付けられている場合、このツールは接続されているユーザー名を提供します。テレグラムではユーザー名は必須ではないので、特定の電話番号でテレグラムのアカウントが作成されているかどうかを単純に検出することもできます。

auto-archiver
youtube-dlとGoogle Sheetsを組み合わせて、ソーシャルメディアからの動画をアーカイブするためのコラボレーションインターフェースを作るツールです。これはPythonスクリプトで、定期的に（cronで）実行すると、以下のようになります。
 

• Download recognised videos from URLs in a Google Sheet.
  
  
• Upload these videos to a cloud storage location that is compatible with Amazon Web Service’s S3 protocol, such as S3 itself or Digital Ocean Spaces.
   
• Update the sheet with metadata that might be useful for organisation and retrieval.

 

このツールは、2021年のアメリカ大統領就任式のソーシャルメディアの画像を扱うためにBellingcatが開発したものですが、他のさまざまな場面でも活用できると考えています。

ほとんどのメタデータはyoutube-dlによって直接提供されますが、このスクリプトは、ビデオ処理用のオープンソースツールであるffmpegを使ってビデオフォーマットを変換し、メタデータを抽出することもできます。これを利用してサムネイルを生成し、画像としてGoogleシートに直接挿入することができます。また、動画の内容を一目で確認できる動画「コンタクトシート」用のサムネイルを定期的に生成することもできます。

The auto-archiver tool. Image credit: Bellingcat

オートアーカイバの機能を拡張し、新しいユーザーや技術者ではないユーザーが簡単に使えるようにする機会がいくつかあります。Githubのドキュメントにガイドや例を追加することは、アプリケーションの使用をより簡単にする重要な追加となります。また、Google Sheets Appのような他のアプリケーション形式があれば、セットアップの一部が簡単になるかもしれません。しかし、youtube-dlを実行するためにはリモートコンピュータが必要であり、アーカイブされたビデオをアップロードするための場所が必要であるため、サーバーのセットアップが必要になると思われます。

tiktok-timestamp

このツールは、Tiktok の動画から正確なアップロードの日付を抽出するための極めてシンプルなヘルパーです。ソース コードでは、CORS ヘッダーを提供していない Web サイトへのリクエストを実行する方法と、シンプルなクライアント サイド ツールを Github ページでホストする方法を示しています。

An example of the tiktok timestamp tool. Credit: Bellingcat

cloud-free-subregion

これは、Sentinel-2の衛星画像の中から、特定の地域に雲がないものを探し出すGoogle Earth Engineのアプリケーションです。センチネル2は、欧州宇宙機関が運用する地球観測衛星で、週に2回程度、地表のほとんどの場所の中解像度（1ピクセルあたり10メートル）の可視・赤外画像を撮影しています。この画像は、オープンソースの調査員にとって非常に有用であり、最近のBellingcatの記事では、イラクの環境汚染の理解や、エチオピアのティグライでのドローンによる戦争の主張の分析に使用されています。

このツールは、Google Earth EngineやSentinel Hubでデフォルトで提供されているように、Sentinel-2が画像全体で測定したときに大きな雲を定期的に詳細に表示する赤道地域で特に役立ちます。しかし、これらの画像の中には、関心のある特定の小さな領域で晴れているものもあります。このアプリケーションは、そのような画像を見つけるのに役立ちます。

An example of finding a Sentinel-2 image that is cloud free over a particular subregion. Credit: Bellingcat

さらに、月ごとに1枚の画像のみを含むように画像コレクションをフィルタリングすることで、多数の画像を含む大規模な時間範囲を整理するプロセスを簡素化します。また、コントラスト調整や近赤外のフォールスカラーオプションもあり、植物の視覚化にも役立ちます。

Google Earth Engineのアプリケーションとして直接アクセスすることができます。

YAFRAは、ITセキュリティインシデントに関するレポートを分析し、表現するための半自動フレームワークです | YAFRA is a semi-automated framework for analysing and representing reports about IT security incidents. Users can provide reports as PDF and YAFRA will extract IOCs (indicators of compromise)" A promising open source project with a nice MISP integration.

RT by @AusCERT: "YAFRA is a semi-automated framework for analysing and representing reports about IT security incidents. Users can provide reports as PDF and YAFRA will extract IOCs (indicators of compromise)" A promising open source project with a nice MISP integration.https://github.com/hm-seclab/YAFRA:

"YAFRAは、ITセキュリティインシデントに関するレポートを分析し、表現するための半自動フレームワークです。ユーザーはレポートをPDFで提供し、YAFRAはIOC（Indicators of compromise）を抽出します。"  

将来性のあるオープンソースプロジェクトで、MISPとの連携も優れています。

 github.com/hm-seclab/YAFRA

「ゼロトラスト」導入だけが答えじゃない？ IPAと金融庁が示した"最適解"の出し方（転載）～ゼロトラストは既存セキュリティの延長線で考える～

「ゼロトラスト」導入だけが答えじゃない？　IPAと金融庁が示した"最適解"の出し方:

　「ゼロトラスト・アーキテクチャ」と聞いたときの反応は、数年前と今ではかなり変わってきているのではないでしょうか。これまでは「ウチには関係ない」と一蹴されるケースもあったかもしれませんが、ゼロトラストの導入事例も増え、一気に身近になってきています。

　セキュリティ業界にはありがちですがキーワードだけが先行し、実態はよく知られていないということも多々あります。前回の岡田 良太郎氏の講演レポートで触れられていましたが、“バズワード”には急いで飛びつく必要はありません。ただし放置しないように概略を知っておき、必要なタイミングで必要な部分を取り入れるという積極性は必要かと思います。

　ゼロトラストに関しては、キーワードが盛り上がってからしばらくたったことで、重要な資料が“無料で”手に入るようになりました。今回は、これらを紹介していきます。この機会に少しだけでも触れてみてください。

　まずは、最重要な資料「NIST SP800-207」を押さえておきましょう。NIST SP800-207は2020年8月に公開された、米国国立標準技術研究所（NIST）による「ゼロトラスト・アーキテクチャ」の教本です。日本語訳はPwCコンサルティングから無料で公開されています。

NISTによるゼロトラスト・アーキテクチャの基本原則は以下の通りです。

1. 全てのデータソースとコンピューティングサービスをリソースと見なす
2. ネットワークの場所に関係なく、全ての通信を保護する
3. 企業リソースへのアクセスは、セッション単位で与える
4. リソースへのアクセスは、クライアントアイデンティティーやアプリケーションサービス、リクエストする資産の状態、その他の行動属性、環境属性を含めた動的ポリシーにより決定する
5. 全ての資産の整合性とセキュリティ動作を監視し、測定する
6. 全てのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
7. 資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する

NIST SP800-207 「ゼロトラスト・アーキテクチャ」（日本語訳）から引用

　米国内の事情に特化した章も含まれるため、この資料のことはあくまで「ゼロトラストという概念を確認する」目的で手元に置いておくものと考えてもいいでしょう。まず2章の「ゼロトラストの基本」を読み、そこから始めるというのがちょうど良いのではないかと思います。

　次に紹介するのは、情報処理推進機構（IPA）が2021年6月に公開した「ゼロトラストという戦術の使い方」という実践的な資料です。

　この資料は、先ほどのNIST SP800-207を含めて多数の資料を参照しているので、ゼロトラストの入門書としても最適です。本資料は、現場に近い視点から、ゼロトラストを構成する要素を一通り解説しています。

　ゼロトラストを構成する要素のキーワードのリストがあれば、私たちは「何を知っていて」「何を知らないのか」「知らないキーワードはどの部分を対象としているのか」などが分かるはずです。

　「ゼロトラストという戦術の使い方」では、モデルケースも多数掲載されており、オンプレやクラウドの混在環境でこれをどのように適用していくかのヒントになると思います。制御系システムへの適用も検証されているため、ITとOTが混在するシステムの参考になるはずです。

　最後に、金融庁が2021年6月に公開した無料の「ゼロトラスト」指南書「ゼロトラストの現状調査と事例分析に関する調査報告書」を紹介します。

　この報告書は、PwCあらた有限責任監査法人が作成し、前半は「ゼロトラストとは何か」、後半は金融機関におけるゼロトラストの導入と事例を紹介しています。

　金融機関といえば、安全なシステムを重視して最新の技術よりも“枯れた”技術を採用するという、良くも悪くも保守的なイメージがあると思います。一見、ゼロトラスト・アーキテクチャとは全く相いれないように思えますが、最近ではコロナ禍やデジタライゼーションの進展に伴い、境界型防御の限界を感じてゼロトラストを取り入れる金融系企業も増えています。

　同報告書で個人的に気になったのは「ゼロトラスト・アーキテクチャを導入しないと決めた海外金融機関」の事例です。理由はさまざまですが、企業の中には「ゼロトラストはまだ早い」と判断したところもあります。金融系であればこれまで投資してきたセキュリティ対策が十分に機能していることなども理由の一つでしょう。

　ゼロトラスト・アーキテクチャを導入しないことは「セキュリティ投資を止める」ことではありません。この判断をした金融機関の中には、ユーザーの振る舞いを監視する「UEBA」や、マルウェア横展開を防ぐ「内部ネットワークセグメントの細分化を実装」するなど、最新のセキュリティ対策を講じているところもあります。この事例は、金融機関だけでなく「ゼロトラストを導入しない」と決めた組織や、決断できず問題を先送りした組織にとって、大きなヒントになるはずです。

【バックアップ】

ゼロトラスト導入指南書

ゼロトラストの現状調査と事例分析に関する調査報告書

[DarkTracer] 無償ユーザーでもダークウェブ(Tor, I2P)のURLの詳細情報を見ることができるようになりました。 / Happy to announce unlock a restricted feature for FREE users. It is now possible to see Darkweb(Tor, I2P) URL detail information. （転載）

DarkTracer : DarkWeb Criminal Intelligence retweeted: [Good news for DARKWEB and OSINT investigators and researchers] Happy to announce unlock a restricted feature for FREE users. It is now possible to see Darkweb(Tor, I2P) URL detail information. Check it out for FREE on DarkTracer(darktracer.com)!!:

DarkTracer : DarkWeb Criminal Intelligence retweeted:

[Good news for DARKWEB and OSINT investigators and researchers]

Happy to announce unlock a restricted feature for FREE users.

It is now possible to see Darkweb(Tor, I2P) URL detail information.

Check it out for FREE on DarkTracer(darktracer.com)!!

オンラインショップ「よみファねっと」への不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ（転載）～想定損害賠償額は3300万円程度か～

弊社が運営するオンラインショップ「よみファねっと」への不正アクセスによるクレジットカード情報流出に関するお詫びとお知らせ 株式会社読売情報開発大阪 2021年7月14日 yomifa.com/published_docu…: 
yomifa.com/published_docu…

読売関連会社のネットショップに不正アクセス - クレカ情報が被害

読売新聞のグループ会社である読売情報開発大阪のオンラインショップ「よみファねっと」が不正アクセスを受け、顧客のクレジットカード情報が外部に流出したことがわかった。不正利用の被害も確認されている。

同社によれば、不正アクセスにより同サイトの決済プログラムが改ざんされ、2020年10月24日から2021年3月2日までの間に、同サイトで顧客が決済のために入力したクレジットカード情報が外部に流出したもの。

1301人が対象で、クレジットカードの名義、番号、有効期限、セキュリティコードが被害に遭った可能性がある。6月末の時点でこのうち58人に関しては、同期間中に少なくとも260件の不正利用による被害が発生した可能性があり、被害額はあわせて767万4605円にのぼるという。

3月2日に決済代行会社を通じてクレジットカード会社から情報流出の可能性について指摘があり、問題が発覚。全サービスを停止するとともにサイトを閉鎖し、外部事業者が調査を行っていた。

調査は4月13日に完了しており、警察には6月24日に被害を申告。同月28日に個人情報保護委員会へ報告した。対象となる顧客には、個別に書面で経緯の報告と謝罪を行い、身に覚えのない請求がないか確認するよう注意を呼びかける。同サイトに関しては、セキュリティ対策と監視体制の強化を行ったうえで、再開する予定。

ダークウェブでヒットマン(殺し屋)を雇うとどうなる？ / German Woman Tried to Hire a Hitman on the Darkweb（転載）～ドイツの事例～

German Woman Tried to Hire a Hitman on the Darkweb:

ドレスデン検察当局は、ダークウェブ上でヒットマンを雇い、元夫のガールフレンドを殺害しようとしたとされるドイツ人女性を起訴しました。

ドレスデン検察当局は、41歳の女性が元夫の23歳のガールフレンドを殺害するためにダークウェブでヒットマンを雇おうとしたことをプレスリリースで明らかにしました。

被告は、2021年2月初旬にダークウェブ上のいわゆる「殺人者を雇う」サイトにアクセスしたとされています。被告人は、サイトの管理者に連絡し、事情（元夫のガールフレンドを殺害してもらいたいこと）を説明しました。被告人とサイト管理者は交渉し、被告人が0.2ビットコイン(当時のレートで約120万円)を支払うこと、支払いを行った2週間後にターゲットを殺害することに合意しました。

被告は、2月下旬に支払いを行ったとされています。ドレスデン検察局は、サイトの管理者から被告人の企てに関する情報を得て、2021年2月26日に女性を逮捕しました。

その後、ドレスデン地方裁判所は、2021年2月27日に女性を公判前に勾留しました。

ドレスデン地方裁判所は、女性の審理開始日を発表する予定です。

弊社が運営する「jiggys-shop.jp」「crazy-ferret.jp」への不正アクセスによるクレジットカード情報漏えいに関するお詫びとお知らせ（転載）～想定損害賠償額は1.6億円程度か～

弊社が運営する「jiggys-shop.jp」「crazy-ferret.jp」への不正アクセスによるクレジットカード情報漏えいに関するお詫びとお知らせ 株式会社FLAVA 2021年7月19日 flava.co.jp/news/notice/: 
flava.co.jp/news/notice/

2021年7月19日

お客様各位

株式会社FLAVA

弊社が運営する「jiggys-shop.jp」「crazy-ferret.jp」への不正アクセスによるクレジットカード情報漏えいに関するお詫びとお知らせ

　このたび、弊社が運営するオンラインショップ「jiggys-shop.jp」「crazy-ferret.jp」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報が漏えいした可能性があることが判明いたしました。

　お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となり

ましたこと、深くお詫び申し上げます。

　なお、クレジットカード情報が漏えいした可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

　弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じるとともに二次被害防止を最優先事項と捉え、誠実に対応させていただきます。

本件につきまして、下記の通り詳細をご報告させていただきます。

記

1.経緯

　2021年2月5日、決済代行会社から、「jiggys-shop.jp」を利用したクレジットカード情報の漏えい懸念について連絡を受け、同日に同サイトでのクレジットカード決済を停止いたしました。

　2021年2月8日に「crazy-ferret.jp」についてもクレジットカード情報の漏えい懸念が判明したため、同日に同サイトでのクレジットカード決済を停止いたしました。

2021年2月9日に「Jiggys-shop.jp」「Crazy-ferret.jp」はサイト全体を停止しております。また、同日より第三者調査機関による調査も依頼いたしました。

　2021年5月26日、調査機関による調査が完了し、2020年2月5日～2021年2月8日の期間に「Jiggys-shop.jp」「Crazy-ferret.jp」でクレジットカード情報を新規で人力されたお客様のクレジットカード情報が漏えいした可能性があることが判明したため、本日の発表に至りました。

2.クレジットカード情報漏えいの状況

　(1)原因

　弊社が運営するオンラインショップ「FJiggys-shop.jp」「Crazy-ferret.jp」は、外部のECプラットフォーム及び決済代行会社を利用しているため、お客様のクレジットカード情報

は弊社内では保存しておりません。

　今回、外部のECプラットフォームが管理するサーバーに第三者による不正アクセスがなされ、サイトをご利用するお客様がクレジットカード情報を人力した際にそれを取得し、外部に送信するプログラムが不正に配置されたことが確認されました。

　(2)クレジットカード情報漏えいの可能性があるお客様

　最長で2020年2月5日~2021年2月8日の期間に弊社オンラインショップにおいてクレジットカード情報を新規に人力されたお客様

• 上記期間にクレジットカード情報を人力されたお客様:

Jiggys-shop.jp:2,312名 

Crazy-ferret.jp:4,004名

• クレジットカードが不正利用された可能性のあるお客様:

618名(2021年3月16日時点)

　※弊社オンラインショップシステムの仕組み上、お客様のクレジットカード情報は弊社内では保存しておりません。その為、新たにクレジットカード情報を人力された方以外の情報漏えいの可能性は確認されておりません。

【流出した可能性のある情報】

• クレジットカード名義人
• クレジットカード番号
• 有効期限
• セキュリティコード

　なお、第三者調査機関によるログファイル等の調査の結果、現時点では上記以外のお客様に関する情報が流出した可能性は確認されておりません。

3.お客様へのお願い

　既に弊社では、クレジットカード会社と連携し、漏えいした可能性のあるクレジットカード情報による取引のモニタリングを継続して実施し、不正利用の防止に努めております。

　お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

　なお、漏えいした可能性のあるクレジットカードの再発行手数料につきましては、お客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2021年2月5日の漏えい懸念発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にこ連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公開はいたすらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が連営するサイトについて

　弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

　弊社オンラインショップ「Jiggys-shop.jp」「Crazy-ferret.jp」については今後再開の予定はございません。弊社は情報漏えい事件の再発防止を図るためにPCIDSS(※)に準拠したセキュリティ対策について今後とも取り組んで参ります。

　※PCIDSS・・・PCIデータセキュリティ基準(PCIDSS：Payment Card lndustry Data　Security Standard)は、クレジットカード情報およびその取引関連情報を保護するために、AmericanExpress・Discover・JCB・MasterCard・Visaの国際ヘイメントブランド5社が共同で策定した、クレジット業界におけるグローノヾルセキュリティ基準です。

　また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2021年5月26日に報告済みであり、また、所轄警察署にも2021年5月26日被害申告しており、今後弊社も捜査に全面的に協力してまいります。

「ECサイトプロショップ匠」におけるお客様情報流出について（転載）～想定損害賠償額は1億円程度か～

[PDF] 当社子会社が運営するオンラインショップへの不正アクセスによる個人情報漏洩に関するお詫びとお知らせ 株式会社キャンディル 2021年7月20日 assets.minkabu.jp/news/article_m…: 

assets.minkabu.jp/news/article_m…

「ECサイトプロショップ匠」におけるお客様情報流出について

このたび、株式会社キャンディルデザインより、同社のサイト「ECサイトプロショップ匠」において、お客様のクレジットカード情報が外部に漏えいした可能性がある、との公表がございました。

現在、弊社発行のカードにつきまして、本件に起因する不審な売上の有無を確認中でございます。

弊社では日頃より、カード会員の皆様にご迷惑がかからないことを最優先に、24時間365日体制でカードの不正使用を検知するシステムにて、ご利用状況をモニタリングさせていただいております。 

過去に同社のサイト「ECサイトプロショップ匠」をご利用されたことがあるカード会員様におかれましては、お届けいたします「ご利用明細書」またはインターネットサービス「Netアンサー」の「最近のカードご利用一覧」に、不審なご利用が含まれていないかご確認いただきますようお願い申しあげます。

万一身に覚えのないご利用が含まれていた場合には、大変お手数ではございますが、カード裏面の電話番号まで、お問い合わせくださいますようお願いいたします。

お問い合わせが多く重なった時間帯など、インフォメーションセンターの電話が繋がりにくい場合が　ございます。何卒ご了承くださいますようお願い申しあげます。

プレスリリース（バックアップ）