https://t.co/ZfZhiXBkig
いま言えるのは
・セキュリティインテリジェンスの会社のいう事は鵜呑みにするな
・ヤフコメにでてくるセキュリティ関連の専門家は、この業界ではほぼすべて(有名人含)信用されていないよ
の2点です。よろしくお伝えください。
・セキュリティインテリジェンスの会社のいう事は鵜呑みにするな
・ヤフコメにでてくるセキュリティ関連の専門家は、この業界ではほぼすべて(有名人含)信用されていないよ
の2点です。よろしくお伝えください。
ゼロトラストが流行っているのにセキュリティ企業のいうことは信じてしまうの謎すぎる動きだ(転載)~事象セキュリティ専門家は信じるべからず~
https://t.co/ZfZhiXBkig
サウジアラムコのデータ流出、盗まれた1TBのデータが販売される / Saudi Aramco data breach sees 1 TB stolen data for sale(転載)
攻撃者は、サウジアラムコが所有する1TBのプロプライエタリなデータを盗み出し、ダークネット上で売りに出しています。
サウジアラムコとして知られるサウジアラビアの石油会社は、世界最大級の石油・天然ガスの公営企業です。
この石油会社は、66,000人以上の従業員を擁し、約2,300億ドルの年間収益を上げています。
脅威の行為者は、サウジアラムコのデータを500万ドルという交渉可能な価格から提供しています。
サウジアラムコは、このデータインシデントを第三者の契約者の仕業としており、このインシデントがアラムコの業務に影響を与えていないと伝えています。
ネットワーク侵入に利用された "ゼロデイの悪用
2021年7月、ZeroXと呼ばれる脅威アクターグループが、サウジアラムコが所有する1TBのプロプライエタリなデータを売りに出しています。
ZeroXは、このデータは2020年のある時点で、アラムコの「ネットワークとそのサーバー」をハッキングして盗まれたものだと主張しています。
そのため、このダンプに含まれるファイルは2020年と同じくらい最近のもので、1993年にさかのぼるものもあるという。
どのような方法でシステムにアクセスしたのかという質問を受けた同グループは、脆弱性については明確に説明せず、"ゼロデイ・エクスプロイト "と呼んでいます。
購入希望者の関心を引くために、2021年6月、アラムコ社の設計図とPIIを編集した専有文書の少量のサンプルセットが、データ漏洩マーケットプレイスのフォーラムに初めて投稿された。
しかし、最初の投稿の時点で、.onionのリークサイトには、662時間、つまり約28日後に売却と交渉が始まるというカウントダウンタイマーが設定されていました。
ZeroXは、「662時間」という選択は意図的なものであり、サウジアラムコが解くべき「パズル」であると語っていますが、その正確な理由は不明のままです。
このグループによると、1TBのダンプには、ヤンブ、ジャザン、ジェッダ、ラス・タヌラ、リヤド、ダーランなど、サウジアラムコの複数のサウジアラビアの都市にある製油所に関する文書が含まれているとのことです。
そして、このデータの一部には、以下のものが含まれているという。
- 14,254人の従業員の全情報:氏名、写真、パスポートコピー、電子メール、電話番号、滞在許可証番号、役職、ID番号、家族情報など。
- 電気/電力、建築、エンジニアリング、土木、建設管理、環境、機械、船舶、通信などに関連する/含むシステムのプロジェクト仕様書。
- 内部分析レポート、契約書、手紙、価格表など
- IPアドレス、Scadaポイント、Wi-Fiアクセスポイント、IPカメラ、IoTデバイスをマッピングしたネットワークレイアウト。
- 場所の地図と正確な座標。
- アラムコの顧客リスト、請求書や契約書など。
ZeroXがリークサイトで公開しているサンプルは、個人を特定できる情報(PII)が再編集されており、1GBのサンプルだけでも、モネロ(XMR)として支払われる2,000米ドルです。
しかし、この脅威行為者は、確認のため、最近の修正されていない文書をいくつか提供しました。
1TBのダンプ全体の価格は500万米ドルに設定されていますが、この金額は交渉可能だと脅迫者は言っています。
また、1回限りの独占販売(1TBのダンプを完全に入手し、ZeroX側で完全に消去することを要求する)を希望する場合は、5,000万米ドルという破格の金額を支払うことになります。
ZeroX社は、これまでに5人のバイヤーと売却交渉を行ってきたことを明かしています。
ランサムウェアや恐喝事件ではありません。
インターネット上では、今回の事件を「ランサムウェア攻撃」とする主張する意見が見受けられますが、これは違います。
サウジアラムコは、今回のデータ流出は、アラムコのシステムが直接悪用されたのではなく、第三者である契約企業で発生したと述べています。
"アラムコは最近、第三者の請負業者が保有していた限られた量の企業データが間接的に公開されたことに気づきました。"
アラムコの広報担当者は、「データの公開が当社の業務に影響を与えていないことを確認しており、当社は引き続き強固なサイバーセキュリティ態勢を維持している」と述べています。
今回の事件では、サウジアラムコ社に連絡を取り、情報漏えいの事実を伝えようとしましたが、連絡はなく、ネットワークにアクセスした後に恐喝を試みようともしなかったことから、上記のタイマーの目的には疑問が残ります。
このカウントダウンタイマーは、購入希望者をおびき寄せ、最初の話題性を高めるために設置されたものと思われます。
2012年、サウジアラムコのシステムに重大なデータ侵害が発生し、3万台以上のコンピュータのハードディスクが消去されました。
イランとの関係が指摘されているShamoonウイルスによるサイバー戦争です。
最近では、コロニアル・パイプラインや米国最大のプロパンガス供給会社であるアメリガスなど、ミッションクリティカルなインフラが攻撃されたことで、これらの施設におけるサイバーセキュリティの取り組みを強化する必要性が指摘されています。
不正アクセスによる会員様情報流出に関するお詫びとお知らせ(転載)~想定損害賠償額は200億円程度か?⇒特別損失は9600万円に確定~
net-marketing.co.jp/news/5873/
この度、当社が提供する恋活・婚活マッチングアプリ「Omiai」を管理するサーバーに対し、外部からの不正アクセスを受け、会員様情報の一部が流出した可能性が高い事が判明しました。
本件に関して、現時点で判明している概要と対応につきまして、下記の通りご報告いたしますとともに、会員様および関係各位の皆様にご心配、ご迷惑をおかけすることとなり、深くお詫び申し上げます。なお、現時点におきまして、今回の事案に関わる個人情報の不正流用等の事実は確認されておりません。
今後当社は、会員様情報の不正流用の発生防止に努めるとともに、本件に誠意を持って全力で対応させていただく所存でございます。皆様にご心配をおかけすることを重ねてお詫び申し上げます。
今回の対象のお客様におかれましては、万が一身に覚えのない連絡や、心当たりのないコンタクトがあった場合、念のためご注意をお願いいたします。また、何かお気づきの点がございましたら、下記≪お客様相談センター≫までご連絡いただきますようお願い申し上げます。
当社は、本件を厳粛に受け止め、社会に信頼される企業としての責務を再認識し、個人情報保護の強化を改めて誓います。また、今後の再発防止策の徹底と万全なセキュリティ体制の再構築を目指し、会員様の信頼回復に向けて努めていく所存です。
記
1. 概要について
2021年4月28日15時頃、当社が提供する「Omiai」サービスの会員様情報を管理するサーバーにおいて、意図されていない挙動が観測されたため、直ちに社内点検を行なった結果、法令で確認を義務付けられているお客様の年齢確認書類の画像データに対する不正アクセスの痕跡を発見いたしました。その時点での緊急処置として、特定可能な不正アクセス者のIPを速やかに遮断し、ネットワーク制限を強化するなどの対処を行いました。また、同時に影響範囲の調査を開始しましたが、社内調査のみでは時間がかかることが判明したため、外部専門会社の協力の下、フォレンジック調査および、更なる監視体制の強化を図りました。さらに、システム全般面における第三者検証も同時に開始し、サービス内で利用されている他の情報についてもアクセス制限を強化いたしました。
その後、不正送信の可能性がある通信ログを解析した結果、一部会員様(既に退会された旧会員様も含む)の年齢確認書類の画像データが4月20日~4月26日の間、数回にわたって外部に流出した可能性が高いことが判明しました。
2. 対象となる情報
対象:2018年1月31日~2021年4月20日の期間に、当社へ年齢確認審査書類をご提出いただいた171万1千756件分(アカウント数)の年齢確認書類の画像データ。
年齢確認審査書類の主な種別:
運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等
そのうち、全体の過半数となる約6割を運転免許証画像データが占めております。
※今回の対象データに個人番号(マイナンバー)1件が含まれている事を確認しております。これは、本来年齢確認審査書類として禁止しているマイナンバーカード裏面画像データが誤って当社へ提出された事によるものです。
情報項目:氏名・住所・生年月日・顔写真・年齢確認書類毎の登録番号の全5種
※年齢確認書類の種別により、含まれる情報項目は異なります。
※クレジットカード情報は、全て金融機関に決済業務を委託しており、当社では一切保有しておりませんのでご心配はございません。
3. お客様対応について
年齢確認書類の画像データが流出した可能性がある対象者の皆様には、本日よりアプリ上のお知らせ配信による、お詫びと状況の説明を開始させていただき、万が一のご注意情報をお送りしております。
・当社ホームページ上での「お知らせ&お詫び文」を掲示いたしました。
・本日よりお客様相談センターを設置し、お電話とお問い合わせフォームでの受付を開始しました。
【お客様相談室】
■お電話でのお問い合わせ
お客様相談センター TEL:0120-535-850 対応時間AM9~PM6時
■お問い合わせフォーム
https://www.omiai-jp.com/inquiry/question
4. 当面の対応策および再発防止策について
・特定可能な不正アクセス者のIPを速やかに遮断し、ネットワーク制限を強化。
・外部セキュリティ専門家と社内システム部の協力作業による徹底したシステムチェックと原因調査。
・システムセキュリティの高度化作業とシステム全般の監視強化。
・システム全般における第三者検証の開始と、サービス内の他情報についてもアクセス制限を強化。
・緊急対策委員会を速やかに設置し、お客様情報の不正使用による二次被害防止を最優先とする対処方法と会員様への個別連絡と注意喚起のための施策検討開始。
5. 業績への影響
当社業績への影響は現時点では不明であり、2021年6月期の業績予想につきましては、今後精査して、開示すべき事由が発生した際には、速やかに開示いたします。
以 上
-2021年7月22日追記-
-2021年8月13日追記(調査結果と再発防止策を発表)-
当社は、2021年5月21日付で、当社が運営するマッチングアプリサービス「Omiai」への第三者からの不正アクセスにより、会員様情報の一部が流出した件を公表いたしました。
この度、外部専門機関の協力のもと進めてまいりました当該事案への調査が完了し、その調査結果及び再発防止策を取りまとめることができましたので、ご報告させて頂きます。
お客様をはじめ、多くの関係者の皆様に多大なご迷惑とご心配をお掛けしましたことを改めて深くお詫び申し上げます。当社は、引き続きお客様の二次被害防止に努めるとともに、早急に再発防止策を実行していくことで、お客様からの信頼を回復すべく真摯に取り組んでまいります。
記
1.不正アクセスの概要
今回の不正アクセスは、外部より当社APIサーバーを介し、当社が契約しているクラウドサーバーより2021年4月20日~同月26日の期間、年齢確認書類画像データの不正取得が複数回にわたり行われていました。本件調査により、第三者が年齢確認書類画像データにアクセスするための情報を不正取得し、それを利用して当該画像データへのリクエストを大量生成する事で、不正アクセスに成功したものであることが判明しました。
年齢確認書類画像データに対する不正アクセスの方法が、マルウエア感染やシステム脆弱性を突いたものではなく、正規のデータリクエストを装ったものであったことから、結果的に4月28日にこれを発見するまでに時間を要しました。また、正常利用を含む多くのログの中から攻撃者の具体的不正アクセス手段を特定する必要があり、全容調査に期間を要しました。これまでお待たせしましたことも重ねてお詫び申し上げます。
当社は、不正アクセスの発見後直ちに、そのアクセス元を遮断した上で当社が保有する全ての年齢確認書類画像データの安全確保のための緊急措置を講じました。なお、緊急措置以後は新たな不正アクセスが成功した痕跡は一切確認されておりません。
不正アクセスの侵入経路概要は下記の図をご参照ください。
<システム構成図及び不正アクセス経路>
2.会員様情報の流出件数と内容
本件調査により、2018年1月31日~2021年4月20日の期間に、会員様からご提出いただいた171万1千756件分(アカウント数)の年齢確認書類画像データの流出を確認いたしました。(2021年5月21日付の公表件数からの変更はございません)
年齢確認書類画像データの種別:
運転免許証、健康保険証、パスポート、マイナンバーカード(表面)等
※上記のうち運転免許証、健康保険証が全体の約9割以上を占めております。
なお「Omiai」サービス及び社内ネットワークの各種ログ情報等を解析した結果、流出が確認された年齢確認書類画像データ以外の個人情報の流出は、本件調査においても確認されませんでした。
3.これまでの対応の経緯
当社は、4月28日の不正アクセスの検知後、直ちに外部の専門家と共に徹底した事実調査・原因究明を開始し「不正アクセスによる会員様情報流出に関するお詫びとお知らせ」公表と同時に「お客様相談センター」を設置して、年齢確認書類の画像データが流出したお客様へのお詫びと状況説明を開始しました。また、お電話やお問合せフォームを通じて、お客様からのお問い合わせやご相談への対応と、二次被害防止の注意喚起を行ってまいりました。
| 2021年4月28日 15時ごろ | 「Omiai」サービスのサーバーにおいて、通常のサービス運用・業務では想定されない、年齢確認用画像データの取得を内容とする多数のリクエストを確認。 緊急処置として不正アクセス者のものと推定されるIPアドレスを速やかに遮断するとともに、ネットワーク制限を強化し、事実調査と原因究明を開始。 総務省への個人情報漏洩に関する第一報を実施。 |
| 4月30日 | 警察当局への第一報と被害相談を開始。 |
| 5月5日 | 外部専門機関の協力を得て、フォレンジック調査と更なる監視体制強化を図るとともに、システム全般における第三者検証を開始。 |
| 5月21日 | 「不正アクセスによる会員様情報流出に関するお詫びとお知らせ – 株式会社ネットマーケティング (株式会社ネットマーケティング (net-marketing.co.jp)」をHP上で公表し、対象会員様にアプリ内のお知らせにてご連絡と注意喚起を実施。 「お客様相談センター」を設置し、電話及びアプリ内での連絡フォーム等でお問い合わせとご相談受付を開始。 |
| 6月6日 | 「会員様情報流出に係る対応状況のお詫びとご報告 – 株式会社ネットマーケティング (net-marketing.co.jp)」をHP上で公表し、お問い合わせ対応が遅延していたことへのお詫びと対応状況についての報告を実施。 |
なお、本件公表から現在まで、数多くのお客様より当社へお問い合わせやご相談をいただいた結果、年齢確認書類画像データの流出に係る具体的な二次被害の発生や、明確な因果関係が認められる内容・事象は現時点で確認されておりません。しかしながら、今後の不正流用の可能性も鑑みて、本事案の対象であるお客様には引き続きご注意をお願い申しあげる次第です。当社も引き続き「お客様相談センター」を通じて情報確認及び注意喚起を行ってまいります。
4. 再発防止策
本件調査結果を真摯に受け止め、今回不正アクセスの直接的原因となった外部からの不正データ取得への緊急対策を実施後、システムセキュリティ全般への再発防止策を策定し、速やかに実行にあたっております。新たな攻撃につながる可能性を考慮して詳細は差し控えますが、再発防止策の概要は下記の通りです。
・ 外部ネットワークからのアクセスやリクエスト制限の厳格化
・ アプリケーションの認証設定の見直し
・ 当社が保有する年齢確認書類画像データの保管場所の移動と暗号化
・ システムや情報へのアクセス制御と権限の厳格化及びパスワードポリシーの強化
・ サーバーへのログイン認証の厳格化と監査証跡の強化
・ 社内エンドポイントへの定常的な動態調査基盤の導入
・ 社内ネットワーク及びサービスやコーポレートサイト等外部公開しているサービスに関する脆弱性診断の実施
・ 上記診断に基づくネットワーク構成及びアプリケーションの実装の見直しとセキュリティ強化
・ 年齢確認審査業務の厳格化及び安全性の向上を目的とする、外部のeKYC(electronic Know Your Customer)サービスを導入
なお、今後実施した新たなセキュリティ対策については、その内容に応じて適時公表を行っていく予定です。
5.今後のお客様情報の管理体制について
当社は、不正アクセスの発覚後、個人情報・セキュリティ対策委員会を設置し、これまでに「個人情報管理のルール」及び「情報セキュリティに関するルール」の見直しと会員様情報管理の新たな方針を検討してまいりました。本件調査完了に伴い、その最終方針を決定いたしましたので、下記の通りご報告させて頂きます。
<当社がお預かりする会員様情報の保存期間の変更点>
| 現行 | 新規(本年12月1日より運用開始予定) |
| 退会後一律10年間 | ・年齢確認書類画像データ:当社提出後72時間(自動削除) ・会員様の個人情報データ:退会後90日間 |
上記変更については、利用規約及びプライバシーポリシーの改訂案をアプリ内通知で会員様へ事前にお知らせし、ご同意頂いた上での運用開始となります。なお「Omiai」を既に退会されている旧会員のお客様に関しても、当社が保有する年齢確認書類画像データ及び個人情報データの完全削除を本年12月1日より順次実施してまいります。
ただし、誠に恐縮ではございますが、本件不正アクセス対象の171万1千756アカウントのお客様の年齢確認画像データ及び個人情報データにつきましては、今後、万一、二次被害が発生した際の事実確認と、当社対応の必要性から、現時点で直ちに削除を行うことは困難との結論に至りました。今後の状況を引き続き見守り、当社が保管する必要性が無いと判断できた時点で速やかに削除を実施いたします。なお、本件不正アクセス対象データの保管に際しては、全データを暗号化し、「Omiai」データベースとは全く異なる外部インターネットから完全に遮断されたサーバーへ保存することで、お客様にご安心いただける環境での保管を行います。当社としても万全の安全措置を講じることをお約束させて頂きますので、何卒ご理解を賜りますようお願い申し上げます。
以上
2021年7月1日~15日 サイバー攻撃のタイムライン / 1-15 July 2021 Cyber Attacks Timeline(転載)
7月の最初のサイバー攻撃のタイムラインがついに発表されました。この2週間で収集したイベントは101件で、これは前回(102件)と同じ数です。前回に比べて減少しているものの、脅威の状況においてランサムウェアが強い特徴を持っていることが確認されました。
このタイムラインでは、101件のうち23件(約23%)がランサムウェアによって直接的または間接的に特徴づけられていますが、その数だけではすべてを語ることはできません。7月の第1週には、1,000以上の組織を一度に標的とした、REvilグループによる最も壊滅的な攻撃(Kaseya)が行われました。不思議なことに、このグループは攻撃の直後にインターネット上から姿を消しました。残念なことに、1つのギャングが姿を消しても、他にも多くのギャングが出現するため、Babuk(歓迎されない復帰)、DarkSideなどのランサムウェアアクターによって引き起こされた多くの事件が発生しました。
政府系サイトのログイン認証情報が、DarkWebやDeepWebに流出か!? / Login credentials of Asian government sites such as Korea, Japan, and China are being leaked to the DarkWeb and DeepWeb.
韓国、日本、中国などアジアの政府系サイトのログイン認証情報が、DarkWebやDeepWebに流出しています。
情報処理安全確保支援士の講習がパワハラと話題に!!~実際は講師の気合が入りすぎただけと思うが、講習提供者の配慮は足りていない感じ~
IPA情報処理安全確保支援士の更新講習内で講師が長年に渡りパワハラしていたらしい
誰かが声をあげないといけない、あえて書く。IPA情報安全確保支援師の更新講習が残念でした。グループ討議の内容を代表者が発表するが、経営者と話すCSIRTという立場の上下を決めた上で講師からは事前講習にはないアドリブの攻撃的な質問が続く公開処刑。パワハラありきの視点で構成された講習でした。
--
一部の講師が演技に加熱したという風にも映りましたが、兆候が現れた時点で内部で調整できなかったのかなと。また節度があったとしても、アドリブの受け答えはカリキュラムにいっさいないので、知識と応答対応と、何を伝えたかったのか最後までよくわかりませんでした。
--
事後アンケートには実名でそのままを書いてあります。リモート時代に全員の本名強制公開、カメラonも推奨なのでこっちも当然実名でやってます。
--
ひじょーーーーーーーーーに日本的だったなというのが総評。当然日本の国家資格だからそうですが。見ず知らずの人の前に実名で晒され、「これは?」「あれは?」と畳み掛けられる講義は、例え事前対策が提供されているとしても許されるものではないと思います。現場からは以上です。
--
これは本当に思った
自分はたまたま発表者の番じゃなかったけど、他人が詰められる様子を見なきゃいけなくて心が苦しくなった
例えロールプレイであっても、チームで考えた意見に対して高圧的に返されてしまったら、誰でも次から受けたくなくなると思う
--
次回更新はしないことにした
以下、更新しない理由
- 3年間で14万円のお布施が高すぎる
- 住所やメールアドレス変更時に届出を印刷して、簡易書留で郵送する必要があるという時代遅れ感に嫌気がさした
- 資格を持つことによって仕事の幅が広がるわけではない
- リモート講習でメンタルがやられた
--
これオンライン講習になる前も同じですね。マイク持って前に立って発表しますがその後経営者役に問い詰められますので後半は誰も発表者になりたがらない。最後覚悟を決めてワシが発表者として壇上に立ちましたがネチネチと問い詰められました。あの寸劇だけは意味不明でした…もうやりたくない(笑
--
講習内容は他言無用ですが、パワハラ寸劇と言われればまあそうかと思いました。実際、ITに詳しくない経営陣と話をするとそう言われる、問われるかもねという感じです。発表では、技術者としては知らんがなと言いたくなるようなことを問われましたので…
--
わたしがコロナ前ギリギリに受けたときはオフライン開催でそれなりに面白かったのだけど(個人攻撃とか公開処刑にならないラインでコントロールしてたので。まあ講師が話す内容はちょっと意味不明なところがあったけど)、確かにちょっとハンドリングを誤るとそうなりそうな講習だった。
--
支援士更新講習のあの面談、リアルだなーとか思ってたけど、やっぱダメなんだよなw
--
ただまぁ、あれは、ああいうパワハラまがいの経営者がいたとして、支援士として技術者倫理を貫き通せるかどうかという予行練習みたいな側面もありそうと思って見てた
--
最後の総評で「真剣さがもっと欲しかった」旨の講師コメントがありました。実際に情報流出事故の現場にいたら、緊迫感もあり、「講習だからこの程度でいいだろう」という気持ちはないはずだ…とのこと。当時は確かにごもっとも、と思いました。
--
一方で、CSIRT 実務をして「いない」人の方が多いわけで、ハイレベルの講習をするのであれば、「あくまでそのレベル(高レベル)を目指してもらいたい」とか「現場の緊迫感を味わってもらいたい」といった、意図の事前伝達が不可欠だったろうと思います。
--
これ。なんの前フリもなく寸劇が始まって回答者は戸惑うばかり。個人的にはスタンフォード大の実験を想起させるやり方でした。立場の上下という危険な設定になる時点で、参加者への心理的なフォローを配慮すべきです。私が聞き逃したのかもしれませんが、そういったものはなかったように感じました。
--
これは講師によりけりでした。私が問題視しているのは知識を確認する場として寸劇が適切ではない点です。寸劇を求めるのなら応答用のカリキュラムにし講師の応答を標準化する。上下関係ありのロールプレイでは心のケアを最大限に配慮する。元より講師と刑事罰を覚悟した受講者、対等ではありえません。
--
ほーん、安全確保支援士はもう更新してないが、こんなことになってるのか。
まあ更新してた頃の経験からしても、非技術者のステークスホルダとのコミュニケーションについて意識が薄い内容だとは思っていたが、そこのカリキュラム厚くせずにいきなりパワハラ寸劇してんのかね。
--
IPA情報安全確保支援師の更新講習がいろんなしがらみで、残念なのはよく知られおります。それでも、やっとこさこういうのがたちあがりました。次回どうぞ。
--
おそらく3年以上、講師以外の事務局員もいる状態で、参加者の事後アンケートが必須にも関わらず、こういうことが2021年に行われる日本社会が恐ろしい。受講者はそもそも刑事罰を覚悟で講習に望んでいるため事後アンケートにこのような不満は書けません。講習の評価方法を見直すべきでしょう。
登録:
投稿 (Atom)