「https://www.sancity.jp/」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 2022年6月29日 株式会社サンシティ


このたび、弊社が運営する「https://www.sancity.jp/」におきまして、第三者によ
る不正アクセスを受け、お客様のクレジットカード情報(1133 件)が漏洩した可能性が
あることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態とな
りましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫
びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関す
る概要につきまして、下記の通りご報告いたします。

1.経緯

2021 年 6 月 10 日、一部のクレジットカード会社から、弊社サイトを利用したお客様
のクレジットカード情報の漏洩懸念について連絡を受け、カード決済の停止を行いま
した。その後、別決済会社にてそれまでとは別の決済方法にて決済を再開しましたが、
調査が完了するまでは使用自体を停めることが最善であると判断し、停止にいたりま
した。

2021 年 11 月 10 日弊社が運営する「https://www.sancity.jp/」でのカード決済を完
全に停止いたしました。

その後、第三者調査機関による調査も開始いたしました。2022 年 4 月 7 日、調査機関
による調査が完了し 、 2020 年 2 月 23 日 ~ 2021 年 4 月 28 日 の 期 間に
「https://www.sancity.jp/」で購入されたお客様クレジットカード情報が漏洩し、
一部のお客様のクレジットカード情報が不正利用された可能性があることを確認い
たしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

弊社が運営する「https://www.sancity.jp/」のシステムの一部の脆弱性をついた
ことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが
行われたため。

(2)個人情報漏洩の可能性があるお客様

2020 年 2 月 23 日~2021 年 4 月 28 日の期間中に「https://www.sancity.jp/」に
おいてクレジットカード決済をされたお客様 1133 名で、漏洩した可能性のある情
報は以下のとおりです。

・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

上記に該当する 1133 名のお客様については、別途、電子メールにて 個別にご連
絡申し上げます。

3.お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカ
ードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細
書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、
身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジット
カードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申
し上げます。

なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手
数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード
会社に依頼しております。

4.公表が遅れた経緯について

2021 年 6 月 10 日の漏洩懸念発覚から今回の案内に至るまで、時間を要しましたこ
とを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び
申し上げるところではございましたが、決済代行会社と協議し、不確定な情報の公
開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整
えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およ
びカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリテ
ィ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「https://www.sancity.jp/」のクレジットカードの再開日につきましては、
決定次第、改めて Web サイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、個人情報保護委員会には 2022 年 5
月 10 日に報告済みであり、また、所轄警察署にも 2022 年 5 月 17 日被害申告してお
り、今後捜査にも全面的に協力してまいります。

Labels:

個人情報漏えいの可能性に関するお知らせとお詫び 2022年6月27日 バリュエンスホールディングス株式会社


この度、なんぼやWEBサイト(以下「本サイト」といいます。)において、本サイトをご利用いただいた一部のお客様の個人情報が他者から閲覧できる状態になっていた可能性があることが判明いたしました。つきましては、本件の経緯等について下記のとおりご報告いたします。なお、本件の原因は既に特定しており、対応も完了しております。お客様をはじめ関係者の皆様に多大なるご迷惑、ご心配をおかけいたしますこと、深くお詫び申し上げます。

1. 経緯
2022年6月23日午前4時49分から午後5時57分の間、本サイトのご利用にあたり、申込情報の入力画面内において、他のお客様の情報が表示されて閲覧できる状態となっていた可能性があることが発覚いたしました。発覚後、システムの状況を確認したところ、本サービスの申込登録画面のキャッシュ(一度閲覧したホームページの情報を一時保存し、早く表示できるようにする機能)において、お客様が登録した情報が一時的に保存される設定になっていたことが原因であると判明したため、直ちにお客様が登録した情報を保存しない設定に変更をいたしました。現在は対応を完了しており、他者から閲覧されることはありません。

2. 個人情報を閲覧された可能性のあるお客様
なんぼやWEBサイト内入力フォームご利用の106回アクセスされたうち一部のお客様
・出張買取ページ
・時計修理宅配申込ページ
・問い合わせページ
・ブランドコンシェル予約ページ

3. 閲覧された可能性のある個人情報
・氏名(漢字及びフリガナ)
・性別
・生年月日
・住所
・電話番号
・メールアドレス

4. 原因と再発防止策
・今回キャッシュプラグインの変更にともなう設定不備が要因となります。
今後のなんぼやWEBサイトの改修時のテスト項目につき、社内外の関係者が共通のチェック項目を共有、テストを履行する体制構築を再度徹底いたします。
・また現在は各フォームがキャッシュされない設定であることは確認しておりますが、今後設定ミスが起こった場合に入力フォームが予期せずキャッシュされる状態であることを定期的かつ自動的にチェックする仕組みを導入する方針です。

5. 今後の対応について
個人情報を閲覧された可能性のあるお客様の個人情報が悪用される等の事象が発生した場合、弊社は各種法令に従い、適切な措置を講じる所存です。

Labels:

BURPの代替になりそうなツール「Hetty」 / This looks great! A BURP alternative.


Hettyは、セキュリティ研究のためのHTTPツールキットです。Burp Suite Proのような商用ソフトウェアに代わるオープンソースとして、情報科学やバグバウンティコミュニティのニーズに合わせた強力な機能を提供することを目指しています。

機能紹介
  • マシンインザミドル(MITM)HTTPプロキシ、ログと高度な検索機能付き
  • 手動でリクエストを作成/編集し、プロキシされたリクエストを再生するためのHTTPクライアント
  • スコープをサポートし、作業の整理整頓を支援
  • 使いやすいWebベースの管理インターフェイス
  • プロジェクトベースのデータベースストレージにより、作業の整理整頓を支援
コミュニティ



インストール

Hettyのインストールとアップデートは、パッケージマネージャを利用するのが一番手っ取り早いです。

LINUX 

sudo snap install hetty


WINDOWS

scoop bucket add hettysoft https://github.com/hettysoft/scoop-bucket.git
scoop install hettysoft/hetty


または、GitHubからあなたのOSとアーキテクチャに対応した最新リリースをダウンロードし、バイナリを$PATH内のディレクトリに移動することも可能です。あなたのOSがいずれかのパッケージマネージャで利用できない場合や、GitHubのリリースに記載されていない場合は、ソースからコンパイルするか、Dockerイメージを使用することができます。

実行

インストールしたら、コマンドラインからHettyを起動します。

hetty

何もオプションを付けずに起動すると、このようになります。

  • ディスクに格納されるルート CA 証明書と秘密鍵を作成する。 ~/.hetty/
  • BadgerDB データベースを作成し、ディスクに格納する。 ~/.hetty/db/
  • リッスンするHTTPサーバーを実行します。 0.0.0.0:8080, 管理画面のプロキシおよびサービスに使用されます

以下のようなコンソール出力が表示されるはずです。

2022/03/01 11:09:15 INFO [main] Hetty (v0.5.1) is running on :8080 ...2022/03/01 11:09:15 INFO [main] Get started at http://localhost:8080

これで、http://localhost:8080、管理画面にアクセスできるようになります。


Labels:

「やまなしくらしねっと」 のヘルプデスクを装った不審メールについて 2022年6月29日 山梨県

やまなしくらしねっとのヘルプデスクを電子メールにより利用している(または、過去に利用したことのある)利用者に対して、へルプデスクを装った不審メールが発信される可能性
があるため、お知らせします。

○経過

6月23日 

やまなしくらしねっとを含め全国の地方公共団体への電子申請サービスを提供している事業者が、ヘルプデスク業務用パソコンにおいて、過去にマルウェア(Emotet)に感染していたことを発見

 ※不審メールが発信されたとの報告が同サービスを利用する県外の自治体から寄せられ、同社において調査したところ感染した痕跡を検出

6月27日 

上記について、山梨県市町村総合事務組合(以下「組合」)を通じて、同社から連絡を受ける。

同日 やまなしくらしねっとのトップページ(お知らせ)に注意喚起に関する情報を掲載(運営主体である組合が対応)

6月29日 

やまなしくらしねっと利用者のうちヘルプデスクに問い合わせた方への注意喚起メールを送信済 

〇やまなしくらしねっとの利用者へのお願い

 次のようなメールが届いた場合は、メール本文の URL をクリックすることや添付ファイ
ルの開封は絶対に行わないでください。

[不審メールの一例]

 ・発信者メールアドレス:

正規 help-shinsei-yamanashi@s-kantan.com <help-shinsei-yamanashi@s-kantan.com>

不正 help-shinsei-yamanashi@s-kantan.com <xxxxx@xxx.xxx.xx>

 ・件名:「Re:XXXXXX(過去にヘルプデスクとやりとりしたメールの件名)」

 ・添付ファイル等:(ZIP 形式のファイルが添付されていることが多い。)


Labels:

カーニバルクルーズが2019年のデータ侵害に対して125万ドルの罰金を支払う / Carnival Cruises to pay $1.25 million fine for 2019 data breach


カーニバル・クルーズは、全米で18万人のカーニバル社員と顧客の情報が流出した2019年のデータ侵害への対応で46人に訴えられ、125万ドルの罰金を支払うことに同意しました。

この情報漏洩は2020年3月に同社が公表したもので、氏名、社会保障番号、住所、パスポート番号、運転免許証番号、支払いカード情報、健康情報などが含まれていました。数千人がこの情報漏洩の影響を受けました。

ハッカーはカーニバル社の従業員のメールアカウントにアクセスし、顧客情報に広くアクセスできるようになった。同社は、情報漏洩を発見したのが一般に公表する10カ月前の2019年5月であることを明らかにし、世間から反感を買いました。

ペンシルベニア州司法長官ジョシュ・シャピロ氏は、「個人情報が悪質な業者に流出した場合、消費者にできるだけ早く通知することが不可欠です」と述べています。遅れが生じれば、その個人データが悪用される可能性が高まります。

カーニバルは個人情報を電子メールで保存し、機密データを扱うのに「他の無秩序な方法」を使っていました。シャピロ氏によると、このようなデータの取り扱い方法は、情報漏えいの通知をより困難なものにします。

ニューヨークのレティシア・ジェームズ司法長官は、カーニバル・クルーズ・ラインは「何千人もの消費者の個人情報を保護することに失敗した」と述べた。

「今日のデジタル時代において、企業は消費者を詐欺から守るためにデータプライバシー対策を強化しなければならない 」と、ジェームズは言った。「休暇中のニューヨーカーが個人情報の流出を心配する必要はないはずだ」

カーニバル社は、金銭的な罰則と同時に、情報漏洩対策計画の実施、従業員への電子メール訓練プログラムの制定、独立した情報セキュリティ評価の実施などに同意した。

出典:Carnival Cruises to pay $1.25 million fine for 2019 data breach

全文表示 / Read more »
Labels:

ショルダーサーフィンとは? / What is shoulder surfing?


人前で機密メールを送るとき、特定のアプリを使うとき、特定のウェブサイトにアクセスするとき、過去に一度は周囲に配慮したことがあるに違いありません。それは当然のことです。しかし、あなたが最も被害妄想的で自意識過剰な状態で画面を見ていると感じる監視の目は、実は本物のサイバーセキュリティの脅威である可能性があるということに、あなたは気づいていないかもしれません。

確かに、公共の場であればどこでも、ログイン認証情報を見つけ出して記憶することは、非常に鋭い洞察力を必要としますが、脅威がゼロでないことは確かです。あなたができないからといって、熟練したサイバー犯罪者ができないわけではありませんし、データを流出させると懲罰を科されるリスクがあるため、会社員は決して油断することができないのです。

ショルダーサーフィンとは、犯罪者が肩越しにログイン情報、またはその他の有用なデータや機密データを盗むという、直感的に分かるサイバーセキュリティ上の脅威のことです。クライアントのデータを安全に保ち、コンプライアンスに準拠したデータ運用を行うために、簡単に導入できる対策が数多くあります。

ショルダーサーフィンから身を守るにはどうしたらよいのでしょうか?

デバイスを傾ける

電車やバスの中でスマートフォンを使っているとき、肩越しに他人の嫌な視線を感じたら、端末を傾けるだけでいいのです。同様に、スマートフォンを下げて、角度を切ることもできます。

この方法は、タブレットやノートPCでは少し難しくなりますが、隣に座っている人が盗み見をしているのであれば、まだ有効です。ノートパソコンなら、画面を少し下に傾けることで、プライバシーを守りたいという意思表示をすることができます。

視界を遮る

これはより攻撃的な方法ですが、もしあなたが外出先で仕事の機密文書を見ているのなら、それはあなたの特権です。空いている方の手で、スマートフォンの危険にさらされている側を覆えばいいのです。

ノートパソコンなら、ケースや本、カバンなど、画面の脇に物をかざして、見晴らしの良い場所をふさぎましょう。冬場は、大きなコートが重宝します。

見えないところに座る

喫茶店や公共の場でリモートワークをする場合は、壁際の席を確保し、ノートパソコンの画面の向こう側を覗き見されないようにするのがベストです。さらに、壁がガラスや鏡でないことを確認し、外に座る場合は、人ごみを避け、壁際に座るようにしましょう。

通勤時にはあまり役に立ちませんが、ググっているものを隠したい場合は、バスの後部座席も有効です。

在宅勤務

自宅のWi-Fiが不安定で、公共の場で仕事をしなければならない場合、ショルダーサーフィンはのリスクは必ず付いて回ります。しかし、あなたが素晴らしいネット環境を自宅に持っている場合、それを活用します。会社のビジネスを覗き見されないようにするには、プライベートを守ること、家にいること、可能であれば実際にオフィスに行くことが一番です。

プライバシーディスプレイへの投資

市場には、開発の設計段階でショルダーサーフィンを意識したビジネス向けデバイスが数多く存在します。HPは、特定の角度からしか見えないように設計されたSure Viewディスプレイで、この領域のトップです。この技術は、例えば飛行機で隣の通路にいる乗客から顧客データを保護するのに役立ちます。

そのようなデバイスを持っていない場合でも、, サードパーティ製のメーカーは、簡単に見つけることができます。屋外での作業を頻繁に計画している場合は、わずかな費用で自分のデバイス用の取り外し可能なプライバシースクリーンを手に入れることができます。

Labels:

アドレス乗っ取られ個人情報漏えいか 伊達市、大量の不審メールも


伊達市は2022年6月24日、市が運営する簡易宿泊所「とまっぺ」の予約などに使用するメールアドレスが乗っ取られ、受信履歴に残っていた17世帯37人分の住所や氏名、生年月日などの個人情報が漏えいした恐れがあると発表した。このアドレスから、外部に500通を超える不審なメールも送信されていた。

市によると、担当職員が10日午前9時ごろ、契約しているプロバイダー名が差し出し人のメールに記載されていたURLをクリックしパスワードを入力したところ、同宿泊所のメールパスワードが漏えいしたという。プロバイダーから連絡があり、気が付いた。

市はメールアドレスのパスワード変更やメール機能の停止、ウイルスチェックなどの初期対応を行った。24日現在、ウイルス感染や外部への被害は確認されていないが、該当者に連絡を取り、被害状況の有無を確認しているという。

市の担当者は「職員の情報セキュリティー管理を徹底し再発防止を図る」とコメントした。


Labels:

名古屋大学への不正アクセスによる個人情報流出について 2022年6月28日 名古屋大学


この度、東海国立大学機構名古屋大学情報連携推進本部で運用しているQ&Aシステム(情報システムに関する問い合わせシステム)が第三者により不正にアクセスされ、メールアドレスが漏洩した可能性がある事案が確認されましたので、現在の状況と今後の対応についてお知らせします。

2022年5月16日(月)、Q&Aシステムのログを確認したところ、第三者から攻撃を受けていたことが判明しました。この攻撃は5月10日(火)4時27分から10時35分の間、及び5月14日(土)11時14分から5月15日(日)8時45分の間であり、アクセスログ解析の結果、当該システムに保存されていた、質問時に連絡先として記載されたメールアドレスが2,086件漏洩した可能性があります。

不審なアクセスの報告を受けた日に、プログラムを修正することにより当該システムの脆弱性を解消いたしました。現時点では、閲覧されたメールアドレスが悪用された事実は認められておりません。

漏洩した可能性のある方々には、登録されていたメールアドレスにメールにて事実関係をご説明するとともに、対応窓口の設置及びその連絡先をお伝えし、お詫び申し上げたところです。

このような事態を招き、関係者の皆様にご迷惑をおかけしましたことを深くお詫び申し上げます。

第三者に不正アクセスされた原因は、ブラインドSQLインジェクションと呼ばれる、Webアプリケーションのデータベースを不正に操作する攻撃によるものです。今後は、サーバー管理や情報セキュリティの確保に関する教育研修を強化し、構成員の意識向上を図るとともに、設備面ではWeb Application Firewall(WAF)の導入を検討するなど、再発防止に努めて参ります。

Labels:
登録: 投稿 (Atom)