一般社団法人企業環境リスク解決機構 メール誤送信による個人情報の流出に関するお詫びとご報告 2022年8月19日


毎々格別のご高配を賜りありがとうございます。

このたび、当機構事務局員の不注意により、当機構の主催する建築物石綿含有建材調査者講習にお申込みいただいたお客様の個人情報を電子メールで流出させる事態を生じさせてしまいました。関係者の皆様には、多大なるご迷惑とご心配をお掛けすることになりましたこと、深くお詫び申し上げます。

当機構として、このような事態を招いたことを重く受け止め、個人情報の取り扱い及び情報セキュリティに関する社内教育ならびに管理体制の強化に取り組み、再発防止に努めてまいりますので、平にご容赦賜りますようお願い申し上げます。

1.個人情報流出の経緯

8 月 18 日(金)午後 3時 15 分、当機構の事務局員が当機構の主催する一般建築物石綿含有建材調査者講習にお申込みいただいたお客様のうち 73 名の方に向け受講資格審査完了のお知らせをメールにて配信しました。その際、メール配信システムの操作を誤り、配信先のお客様全員の個人情報が記載されたファイルを添付してしまいました。

操作ミスの直接的な原因は、メール配信システム上で配信先を選択するボタンと添付ファイルを選択するボタンを誤認したことによるものですが、配信担当者の操作のみで配信が行える体制にも問題がありました。

お客様からご指摘をいただき、当機構においても個人情報の流出を把握したため、午後4時 20 分に、配信先のお客様全員に、本件に関するお詫び並びに当該メールの削除を依頼するメールを送付するとともに、電話によるお詫びと当該メールの削除の依頼を行いました。

2.流出した個人情報
当機構の主催する一般建築物石綿含有建材調査者講習にお申込みをいただいたお客様のうち、73 名の個人情報を含むエクセルファイル。
(当該エクセルファイルに含まれていた情報:氏名、Email アドレス、受講会場、受講者ID)

3. 本件を受けての今後の改善策について

当機構では、本件発生の経緯を確認後、個人情報保護委員会に本件の報告を行いました。

また、過去に類似の事例があった中で本件の発生を防げなかったことを管理体制の不備による重大な問題ととらえ、今後の個人情報の取扱体制改善のために、以下の対策を実行します。

・外部指導機関の指導の下、個人情報保護方針の見直しを行い事務局員全員に周知徹底します。
・メール配信権限をシステム上で制限し、作成担当者、確認担当者、送信担当者の3段階の確認を経ない場合には配信が行われないようにします。
・個人情報保護に関する臨時の社内教育を行います。

【セキュリティ事件簿#2022】マルウェア感染が原因と思われる本学メールアドレスを悪用したメール送信のお詫びについて 2022年9月2日 室蘭工業大学


再発防止に取り組んでいたところですが、7月11日に、同様の事例の発生が確認されたため、内容を更新しました。不審メールを受け取った皆様にはご迷惑をおかけしたことを、改めて深くお詫び申し上げます。

このたび、本学の教職員等4名が利用していたパソコンが、「Emotet」と考えられるコンピュータウイルスに感染し、窃取された認証情報を悪用され、本学メールサーバがSPAMメールの送信に利用される事例が発生しました。本学メールアドレス(~@***.muroran-it.ac.jp)から届きました不審なメールにつきましては、添付ファイル並びにメール内に記載のWebページ等を開かないようお願いいたします。

Emotetをはじめとするマルウェアについては、これまで全構成員に向けて注意喚起を行っておりましたが、このような事案が発生してしまい、遺憾に堪えません。不審メールを受け取った皆様にはご迷惑をおかけしたことを深くお詫び申し上げます。

現在は感染したパソコンを使用していたユーザの認証情報を変更し、メールの不正送信は停止しております。使用していたパソコンについてはネットワークから切り離し、駆除等を実施しております。なお、情報流出等の被害状況については、現在調査中です。

本学としては、この事態を重く受け止め、全教職員及び全学生へのEmoCheck及びウイルス対策ソフトのフルチェックを実施する等の対策を講じると共に、全構成員に対して改めてマルウェアに関する注意喚起を行い、再発防止の処置を講じていく所存です。 また、更なる対策として、システムのセキュリティの強化を行っております。

迷惑メール情報/送信された期間及び迷惑メール数                     

1人目:2022年4月15日~4月24日 約5,300件

2人目:2022年4月28日~5月8日    約1,600件

3人目:2022年6月4日              約1,400件

4人目:2022年7月9日              約1,500件(R4.7.11確認)


フルハシEPO株式会社 当社サーバーへの不正アクセスに関するお知らせ 2022年9月5日


当社サーバーに対する第三者による不正アクセスを受けたことを確認しましたのでお知らせ します。

当社は、2022 年9月 3 日早朝に、 当社データーセンターのサーバーに、第三者による不正アクセスを受けたことを確認 しました。 被害の拡大を防ぐため、 速やかにサーバーの停止やネットワークの遮断などの対応を行いましたが、基幹システムや関連システムにも被害が及んでおり、一部の業務に影響が出ております。

現在、対策本部を設置し、外部専門家の助言を受けながら、不正アクセスを受けた範囲と情報の特定をしております。 現時点での情報流出は確認できておりませんが、全容を把握するまでには今 しばらく時間を要する見込みです。また、当社の業績への影響も現時点は限定的であると考えております。

少しでも早い復旧に向け、調査および対応を進めておりますが、本不正アクセスにより、当社の業績に重要な影響を及ぼすことが明らかになった場合や、お知らせすべき新たな事実が判明 しましたら、速やかに開示いたします。

この度は、関係各位に多大なるご心配、ご迷惑をお掛けすることとなり、深くお詫び申し上げます。

日本ケミコン株式会社 弊社サーバーへの不正アクセスに関するお知らせ(最終報) 2022年9月2日


8月17日にお知らせしました弊社サーバーへの第三者による不正アクセスに関しまして、専門の調査機関とともに進めてきたその後の調査により、データの改ざんや情報の流出は確認されなかったことをご報告申し上げます。

本事案に関し、関係する皆様に多大なるご心配をおかけいたしまして、深くお詫び申し上げます。

弊社といたしましては、今回の事態を厳粛に受け止め、情報セキュリティの更なる強化に引き続き取り組んでまいります。


嫌いな相手に匿名で糞尿を送れるサービスから顧客情報が流出


嫌いな人や敵にメッセージを添えて糞尿の入った箱を送ることができるウェブサービス、ShitExpressが、脆弱性による不正アクセスで顧客情報をお漏らししました。

このデータベースはハッキングフォーラムで公開され、怒りに満ちた、時にはヒステリックな個人的メッセージが公開されたのです。

糞尿配送サービスがハッキングされる

ShitExpressは、本物の動物の糞を購入し、世界のどこにでもいる友人や恋人に届けることができる、いたずらなウェブサービスです。

あなたを最もイライラさせる人たちを想像してみてください。イライラする同僚。学校の先生。元妻。不潔な上司。嫉妬深い隣人。成功した元クラスメート。そして、嫌われ者たち......。

もし、あなたが彼らに臭いサプライズを送れるとしたら?箱を開けた後の受取人の表情は、何物にも代えがたいものです!

ShitExpressの4ステップの購入プロセスには、以下のようなものがあります。

  • 動物の選択。例えば有機的で湿った馬のウンチなど。
  • 配送先住所の入力
  • パッケージのカスタマイズ(例:スマイリーステッカーなど
  • 注文の支払い
支払いは、クレジットカードまたはビットコインで行うことができます。このサービスは、クレジットカードで支払う場合でも、利用者に匿名性の約束を謳っています。

しかし今回、ShitExpressは、過去にQuestionProやMangatoonといった企業から個人情報を盗んだことで知られるハッカー、pompompurinのアクセスを受けました。pompompurinは以前にも、700万人分のRobinhoodの顧客データをネット上で売りに出しています。

pompompurinは最近、ShitExpressを訪れ、サイバーセキュリティ研究者のVinny Troiaにウンコを送ったとのことです。

pompompurinを含むRaidForumsの元メンバーとTroiaは、研究者のハッカーコミュニティとの交流やThe Dark Overlordのレポートをめぐって、長年にわたって確執があるとされています。

この確執により、pompompurinはFBIのサーバーをハッキングし、2021年11月にVinny Troiaが行ったサイバー攻撃について偽のアラートを送信しています。

一時期、Troiaはchange.orgの嘆願書を立ち上げ、pompompurinを米国に送還するよう国際的な指導者に要請したこともありました。

最近、pompurinがTroiaに感謝の印を送るためにShitExpressを訪れたとき、このウェブサイトがSQLインジェクションに対して脆弱であることに気づき、顧客のメッセージ、電子メールアドレス、および顧客の注文に関連するその他の個人データにアクセスすることができました。

pompompurinは、ShitExpressがホストしている複数のデータベーステーブルのプレビューを含む小さなサンプルデータセットも共有しました。

注文に含まれるメッセージの一部を以下に示します。


サンプルデータセットには、他にもいくつかのメッセージが含まれています。

"I saw a cockroach today and thought of you... I stepped on it"
"This gift shows my thanks for your hard work, and is a symbol of how great my team thinks you are. ENJOY!"

pompompurinは、顧客データベースが予想ほど大きくなかったことに驚いたと述べています。

「正直、そんなに大きくないんです...。データには約2万9000件の注文がある」とpompompurinは語った。

pompompurinはさらに、SQLインジェクションによってShitExpressを悪用したことを確認したが、サイトオーナーに身代金を要求することはしなかったという。

「私はそれをリークする前日にアクセス権を獲得し、データをダンプした後にウェブサイトの所有者に通知しました。彼らが今のところ認めたかどうかはわからない」と結論付けています。

ShitExpressはセキュリティに配慮しています。

ShitExpressの広報担当者は次のように語っています。

数日前、私たちのサーバーに異常な動きがあり、私たちのスクリプトの1つにSQLインジェクションの脆弱性があることが判明しました。これは、誰にでも起こりうるヒューマンエラーであり、純粋に私たちの責任です。これは、私たちの顧客の一人が発見したものです。私たちはすぐにこのエラーを修正しました。

これは単なる悪ふざけサイトであることをご理解ください。身代金要求もありません。本当に何も起こりませんでした。

ウェブサイト訪問者が私たちのサイトのフォームを使用すると、すべての詳細が私たちのデータベースに格納されます。それは、人々が友人にいたずらするため、ほとんどジャンクです -- 彼らはデータ+電子メールアドレスを入力し、出発します。その後、私たちは彼らに注文の支払いのための電子メールを送り、いたずらされた人は誰がそれをしたのか見つけようと、パニックになっています。

私たちのサイトに書いてあるように、私たちは本当の身元を明かすことはありません -- 単に、私たちのウェブサイトのフォームに入力した人の個人情報を持っていないからです。もし誰かが暗号通貨で支払えば、それは明らかに非常に安全で匿名です。クレジットカードで支払う場合は、すべての情報が決済処理機関に残ります。単純なことです。

セキュリティ問題に迅速に対応し、データ侵害を透明性を持って自白するという点では、より多くの企業がShitExpressの様に行うべきです。

それ以前にこのサービス自体がクソです(笑)

社内向けソーシャルエンジニアリングテストのススメ


ソーシャルエンジニアリングとは、攻撃者が人間を騙してITインフラにアクセスし、マルウェアのインストールや重要情報の窃取を行うもので、現在でも好んで用いられる攻撃方法です。

その理由の1つは、スパムメールやフィッシングメール、電話、そして直接会って行うことができるからです。

そのため、どのような経済分野に属する組織であっても、何らかの形で社内のソーシャル・エンジニアリング・テストを実施する必要があります。

ソーシャルエンジニアリングによって、攻撃者は、高度なマルウェアを使用することなく、ローテクで脅威の大きい攻撃を行うことができるようになります。

そのため、ソーシャル・エンジニアリングによる詐欺は日々増加しており、詐欺師やハッカーは、時事問題や災害を利用して、従業員にメールを開かせたり、データへの特別なアクセスを許可させようとしたりします。

電話や電子メールを送るという技術的な参入障壁が低く、特にランサムウェアが絡んでいる場合、組織にとって高いコストとなる可能性があるため、内部テストは確実に必要であると言えます。

テスト1:ゴミ箱漁り

この方法は、ハッカーが乗り越えるべき最も低い技術的障壁であり、単にゴミ箱をあさるだけなので、社内のソーシャル・エンジニアリング・テストを実施する上で最も簡単な方法と言えるでしょう。

必要なのは、ある地点で組織のゴミを集め、そこに何が入っているかを確認することだけです。これは最も簡単な方法ですが、かなり不愉快なことです。しかし、あなたの組織を詐欺にかけようとする人たちは、あなたの潔癖さをほとんど知りません。

ゴミ箱を調べるときは、悪意のある人が好きそうなものを探すとよいでしょう。社会保障番号や個人を特定できる情報が記載された書類、シュレッダーにかけた小切手、社内の機密メモなどは、すべてビジネスに対して武器となり得る紙ゴミの例です。

電子機器廃棄物に関しては、ハードディスクやUSBメモリは宝の山であり、ゴミ箱に捨てずに適切に処分する必要があります。

テスト2:電話

このテストは、通常、第三者がスタッフに電話をかけ、可能な限り多くの情報を聞き出そうとするものです。

第三者機関は、懸念事項があれば組織に報告し、悪意のある第三者による将来の搾取を回避するための措置を講じることができます。

通常、このようなテストは、従業員を騙して、ビジネス、顧客、従業員の機密情報、または詐欺の一部として使用できる情報を与えようとするものです。このようなテストは、第三者によって行われることが多いのですが、社内で行うこともできます。

テスト3:メール(フィッシング)

これは、社内で実施するのが最も困難な方法ですが、どの組織でもフィッシングメールが主流であることを考えると、おそらく最も重要な方法です。

もし、大規模で知識の豊富なITスタッフがいれば、社内で実施することができますが、そのような贅沢は企業全体で共有されているわけではありません。

幸いなことに、中小企業であれば比較的安価なビジネス・ツールを導入し、従業員が疑わしいと思われる電子メールにどのように反応するかをテストすることができます。

これらのツールが生成するデータは、従業員が遭遇する可能性のある脅威に対して、より良い教育を行うために使用することができます。

ソーシャル・エンジニアリングに対抗するための完全な社内テストは、無駄な出費であると考えるべきではありません。このような攻撃の影響を経験したことのあるビジネス・リーダーに尋ねてみてください。このようなテストは命の恩人になり得るのです。

ダークウェブでヒットマン(殺し屋)を雇うとどうなる? ~アメリカの事例(その3)~


ミシシッピ州の女性は、ダークウェブでヒットマンを雇って元夫を殺そうとした罪で10年間刑務所に入ることになった。

連邦地裁のカールトン・リーブス判事は、ジェシカ・リーアン・スレッジ(40歳)に連邦刑務所での120ヶ月の服役を言い渡した。服役後、スレッジは3年間監視下に置かれ、1,000ドルの罰金を支払うことになる。

2022年2月、スレッジは、嘱託殺人の遂行に際して1件の罪状を認めている。裁判資料では、スレッジはヒットマンを検索するために、仕事用のコンピューターにTor Browserをダウンロードしていたことが明らかになりました。サイトを見つけた後、彼女は「Forward Only」という名前でアカウントを作成し、サイト管理者に連絡。彼女は「ヒットマン」に1万ドルを送り、元夫のジェリーを殺害するよう依頼した。


その後、ある情報筋が、スレッジと「ヒットマン」の間のメッセージのコピーをFBIに提供した。スレッジが「Forward Only」であることを確認した後、ヒットマンを装った覆面捜査官がスレッジに電話で連絡を取りました。捜査官は「Forward Only」というユーザーと話すことを要求し、スレッジは当該ユーザーであることを名乗りました。スレッジは、同名のアカウントを持つ WhatsApp を通して連絡を取るよう捜査官に指示しました。

連邦検事補のDavid Fulcherは、スレッジに10年の懲役を課すよう裁判所に要請しました。スレッジの弁護士であるジョン・コレットは、裁判官に寛大さを求めました。コレットは、彼のクライアント(スレッジ)が「再犯の可能性はゼロ」であり、自分の行動に対して反省の意を示していると述べた。Fulcherは、スレッジと "ヒットマン "との間のメッセージの記録を判事に見せ、彼女が誰かを殺害する必要性について話していることを示し、これらの主張に反論した。

連邦地裁のカールトン・リーブス判事は、「これはひどい犯罪だ。個人を殺すことを企てるのは並外れた犯罪である。判決は、これが本当に重大な犯罪であることを反映しなければならない」と述べた。

犯罪の重大性について語った後、リーブス判事は、スレッジをアル・アリスヴィルにある連邦刑務所の女性用施設に収容するよう勧めると述べた。この施設はセキュリティーの低い刑務所だ。


週刊OSINT 2022-32号

今号もチュートリアルからツールまで、クールな新ネタをいくつか用意していますよ。

  • GPSJam Map
  • Travelling Distance
  • Creating Panoramas
  • Twitter Video Playback
  • Video Speed Control
  • VisiData

サイト: GPSJam Map

John Wisemanは、自由に利用できるADS-Bの情報、特に不確実性と精度の指標に注目しました。これらの情報を収集し、フィルタリングし、地図上にプロットすることで、彼は世界のどこでGPS信号が妨害されているかを示すグローバルマップを作成しました。Twitterのスレッドで、この地図がどのように作られているのか、詳しく説明されています。



週刊OSINT 2022-24号 で、さまざまな交通手段を使って移動できる距離を計算するツール「TravelTime」について紹介しました。TwitterユーザーのTRADECRAFTが、ヨーロッパで公共交通機関を利用して移動できる距離を示す2つの類似したサイトを紹介してくれました。Benjamin TdJulius Tensによって作成されたこれらの地図は、数時間以内にヨーロッパのどの場所に行けるかを簡単に示してくれます。


チュートリアル: Creating Panoramas

Aware Onlineのブログで、自由に使えるツールAutoStitchを使ってビデオを撮影し、シーンのパノラマビューを作成する方法についての新しいチュートリアルを偶然見つけました。このツールは非常にわかりやすく、ビデオから抽出した画像のリンクを与えると、与えられたデータでパノラマを生成しようとします。ジオロケーションタスクを扱う際に、非常に便利なツールです。



小技: Twitter Video Playback

モバイルで何かを素早く見たり確認したりしたい場合、今年の初めからTwitterがサポートしてくれています。モバイルアプリでビデオを閲覧しているとき、上部の設定をタップすると、再生速度が表示されるようになりました。残念なことに、このオプションはウェブ版では(まだ)利用できません。



上記のTwitterモバイルアプリで動画の再生速度を変更する方法の続きとして、ブラウザ用の便利なアドオンを紹介します。TwitterでもNetflixでも、HTML5ベースの動画サービスで動作し、瞬時に再生速度を変更することができます。ブラウザにアドオンや拡張機能をインストールし、目的の動画を開いている場合はページを再読み込みするだけで、スローモーションやスピードアップした動画を楽しむことができます。


ツール: VisiData

RolandClandestineから、コマンドラインで直接データを分析・視覚化できるクールなツールについて教えてもらった。私はこのツールで少し遊びましたが、学習曲線がかなり急であるという事実にもかかわらず、オンラインに多くのドキュメントがあります。オプション、キーボードショートカットや可能性を試してみると、例えばTwitterの直近100件ほどのインタラクションのJSONデータをロードして、素晴らしいテーブルを作成することがすぐにできるようになることでしょう。