水戸ホーリーホック公式サイト 申し込みフォーム不具合による個人情報誤表示の可能性に関するお知らせとお詫び 2022年9月15日

2022年9月15日(木)、9/21(水)東京V戦で実施予定の選手サイン会イベント参加申し込みフォームにおいて、一部のお客様の氏名・電話番号が他のお客様に表示されてしまうという事案が発生いたしました。

お客様の大切な情報をお預かりしているにもかかわらず、本件のような事が発生したこと、該当のお客様に多大なるご迷惑をおかけしましたこと、そして多くのお客様や関係者にご心配をおかけいたしましたこと、深くお詫び申し上げます。

個人情報が誤って表示された可能性のある範囲は下記の通りで、事象の確認を進めております。

現時点で判明している事実は下記の通りです。

・該当件数

18件

・期間

2022年9月15日(木)18:00 〜 18:30の約30分

・漏洩した可能性がある情報

9月14日(水)V・ファーレン長崎戦の選手サイン会イベント申し込み者の氏名・電話番号

※漏洩の可能性のあるお客様の特定について現在調査中です。

本件に伴い、9/21(水)東京V戦で実施予定の選手サイン会イベントのフォーム受付について仕様を変更し、入力画面での個人情報の誤表示が起き得ない形で再受付を開始いたしました。

お客様の情報を安全に管理すべき中で、今回のような事案が発生しましたこと、心よりお詫び申し上げます。

弊社といたしましては、同様の事象が発生しないよう、再発防止に努めてまいります。

今後とも、変わらぬご愛顧を賜りますようお願い申し上げます。

リリース文（アーカイブ）

インドの航空会社「Akasa Air」において、乗客の個人情報のお漏らしが判明

インドで最も新しい民間航空会社であるAkasa Airが、顧客の個人情報を流出させ、同社はその原因を技術的な設定ミスと言い訳しています。

セキュリティ研究者のAshutosh Barot氏によると、この問題はアカウント登録プロセスにあり、名前、性別、電子メールアドレス、電話番号などの詳細が暴露されるに至ったとのことです。

このバグは、航空会社が同国での運航を開始した2022年8月7日に確認されました。

「名前、電子メール、電話番号、性別などをJSON形式で伝えるHTTPリクエストを見つけた 」とBarotは書き込みで述べています。「私はすぐにリクエストのパラメータを変更し、他のユーザーの個人情報を見ることができました。この問題を発見するのに約30分かかりました。」

報告を受けた同社は、セキュリティ対策を追加で組み込むため、システムの一部を一時的に停止したという。また、インドのコンピュータ緊急対応チーム（CERT-In）にも報告した。

Akasa Airは、旅行関連情報や支払いに関する詳細がアクセス可能な状態になったことはなく、この不具合が野放しにされていたことを示す証拠はないと強調した。

さらに同航空会社は、流出の規模はまだ不明だが、影響を受けたユーザーに直接通知したと述べ、"フィッシングの可能性に注意するようユーザーに助言した "と付け加えた。

出典：India's Newest Airline Akasa Air Found Leaking Passengers' Personal Information

クラウドサービス！？VaaS：Violence as a Service

 

ライバルを物理的に攻撃する人間を雇うことで決着をつけようとしているサイバー犯罪者グループに関する連邦捜査に関連して、ニュージャージー州の21歳の男が逮捕され、ストーカー行為で起訴された。検察当局によると、同被告は最近、ペンシルベニア州の住宅に拳銃を発砲し、同州の別の場所にある住宅に火炎瓶で放火するなど、こうした計画にいくつか参加していたとのことです。

ニュージャージー州エッグ・ハーバー・タウンシップ在住のPatrick McGovern-Allenは、米国連邦捜査局からの令状により、8月12日に逮捕されました。

検察によると、2022年1月2日午前2時頃、McGovern-Allenと正体不明の共謀者が、ペンシルベニア州ウエストチェスターの住宅に向けて複数の拳銃弾を発砲しました。幸いなことに、当時家の中にいた住人は誰も怪我をしませんでした。しかし検察によると、加害者たちは銃撃が行われた「証拠」として、実際にその様子をビデオに記録していたという。

捜査当局によると、McGovern-Allenは犯人の一人で、「Justin Activeはここにいた」と叫びながら、ウエストチェスターの住宅の下層階に少なくとも8発を無秩序に撃ち込んだという。

2021年12月18日、ペンシルベニア州アビントンタウンシップの警察は、住宅火災の直前に何かが投げ込まれたような音がしたという住民からの通報を受け、駆けつけました。

数週間後のウエストチェスターでの銃撃事件の日、ウエストタウン・イーストゴーシェン警察の刑事がアビントン警察に連絡し、複数のオンライン掲示板に出回っていた、2人の人物がアビントンの住宅に放火しているように見える別のビデオを共有しました。刑事訴状によると、2人の警察官は、両方のビデオに同じ容疑者が映っていることを確認したという。

この動画には、少なくとも2人の人物が窓を壊し、ボロ布に浸した瓶に火をつけて家の側面に投げつける様子が映っている。

"火炎瓶によって、家のサイディング、草、木製の椅子など、すぐ周囲が発火した "と、McGovern-Allenに対する政府の訴状には書かれています。"その後、2人の容疑者は徒歩で通りに向かって逃走し、ビデオが停止したときに何かを叫び始めた。"

政府は、被害者の名前をイニシャル（ウエストチェスターの銃撃は「K.M.」、アビントンの爆破は「A.R.」）で表記しているが、両者とも以前、敵対するサイバー犯罪集団からスワッティング攻撃（人質事件、自殺、爆弾予告などの警察への遭難信号を犯人が偽装し、標的とする住所に重武装した警察を送り込む）を受けたことがあると述べた。

訴状では、McGovern-Allenのオンライン名称「Tongue」がチャットサービス「Discord」で使用していたとされるハンドルとユーザーIDについて触れています（ユーザー：「Tongue#0001」）。

"チャットの中で、[Tongue]は他のDiscordユーザーに、自分がK.M.の家を銃撃した人物であり、火炎瓶を使った火災爆破を行う意思があると伝えています "と訴状は記載しています。

このTongueという別名に関連する数百のチャット記録を調査しましたが、どちらの攻撃も、ライバルのサイバー犯罪者の女友達を攻撃して仕返しをしたいという動機から行われたようです。

ペンシルベニア州ウエストチェスターの事件で、犯人が 「ジャスティン・アクティブはここにいた 」と叫んでいました。ジャスティン・アクティブは、同じサイバー犯罪チャンネルで同じように活躍している人物のニックネームだが、銃撃事件に関する知識や参加を激しく否定している。ジャスティン・アクティブはテレグラムで、銃撃事件の標的は自分の元恋人で、爆破事件の標的は別の友人であると述べています。

ジャスティン・アクティブは数カ月前から、この2つの攻撃はMcGovern-Allenに責任があり、自分に対する脅迫戦術として行われたものだと主張しています。ジャスティン・アクティブの別名[Nutcase68]は、McGovern-Allenが当局に逮捕されたのと同じ8月12日にTelegramで叫んでいます。

ジャスティン・アクティブの言い分は、刑事訴状にある、2022年4月2日のチャットへの言及によって裏付けられているようで、その中で[Tongue]は銃撃の理由を説明しています。

ジャスティン・アクティブと[Tongue]の2人が頻繁に利用していたテレグラムのチャットチャンネルには、それぞれ数百から数千人のメンバーがおり、これらのコミュニティでは対面での任務や作業のオファーがありました。

これらのオファーの多くは、特定の住所を訪問し、レンガを投げつけるために誰かを雇う「brickings」を実行するためのサービスです。

McGovern-Allenがニュースになったのは、少し前のことで、The Press of Atlantic Cityの2020年9月の記事によると、当時19歳のPatrick McGovern Allenが車で建物に突っ込み、住民を家から追い出したとのことです。

このような物理的な攻撃を他人に行わせることに関与している個人の多くは、いくつかのTelegramチャンネルにも頻繁に参加しています。その結果、物理的な攻撃の対象となる人々の大半は、サイバー犯罪者（あるいはその周辺にいる個人）である傾向があります。

出典：Violence-as-a-Service: Brickings, Firebombings & Shootings for Hire

GDPR遵守の失敗事例：ブリティッシュ・エアウェイズ

データ流出により2億3800万ドルの罰金に直面し、流出そのものは罰金の主な理由ではないと言われることを想像してみてください。2018年のデータ流出で約50万人の顧客の個人データが流出したブリティッシュ・エアウェイズに起きたのは、まさにそのような事態でした。

英国の情報コミッショナー事務所（ICO）による情報漏洩の調査は、同社が欧州の一般データ保護規則（GDPR）に違反したと結論づけた。武漢ウイルス（COVID-19）の大流行に起因する緩和要因により、最終的に罰金は2600万ドルに減額されましたが、英国の規制当局は、ブリティッシュ・エアウェイズが情報漏洩を防止するために必要なクライアント側のセキュリティ保護を備えていなかったことが、この罰金の大きな原因であると述べています。

2018年6月22日、サイバー犯罪者は、ブリティッシュ・エアウェイズの第三者サプライヤーの1社に発行されたリモートアクセスゲートウェイのログイン認証情報を侵害し、ブリティッシュ・エアウェイズの内部ネットワークにアクセスすることができました。これは6週間近く発見されないままでした。

そこから攻撃者は、サーバーに平文で保存されているログイン情報を使用して、ドメイン管理者アカウントへのアクセス権を獲得しました。その後、攻撃者はBAの公開ウェブサイト（BritishAirways.com）上のJavascriptファイルを編集し、顧客の支払いカードデータをサイバー犯罪者が管理するドメイン（BAways.com）にリダイレクトさせるようにしたのです。その後15日間、旅行者がブリティッシュ・エアウェイズのウェブサイトに決済カード情報を入力するたびに、そのコピーが攻撃者に送信されました。

2020年10月16日に発行されたICOのペナルティ通知書によると、攻撃者は約42万9612人の個人データにアクセスした。

• BA顧客の氏名、住所、カード番号、CVV番号：244,000人
• カード番号とCVV番号のみ：77,000人
• カード番号のみ：108,000人
• BAの従業員および管理者アカウントのユーザー名とパスワード、およびBAエグゼクティブ・クラブアカウントのユーザー名と暗証番号：最大612件

ICOは、BAがGDPRに基づく義務を遵守しなかったと判断しました。「BAは、適切な技術的および組織的措置を用いて、不正または違法な処理に対する保護、および不慮の損失、破壊、または損害に対する保護を含む、個人データの適切なセキュリティを確保する方法で個人データを処理しませんでした」と、処罰通知には記載されています。

ブリティッシュ・エアウェイズには多くの失敗がありましたが、その中でも特に、パートナーのエコシステムを可視化できていなかったことが挙げられます。GDPRの遵守を考えるのであれば、この可視性を確保する必要があります。Webサイトのパートナーの通常の行動を監視・管理するだけでなく、クライアントサイドの攻撃を成功させるためのベクトルとしてパートナーが利用されないようにする必要があります。

サイバー犯罪者は、Javascriptの脆弱性を利用することが多くなっています。この脆弱性は、スクリプトの出所に関係なく、すべてのスクリプトに、アクセスや作者の権限、Webページの変更、フォームを含むすべての情報へのアクセス、さらにはキー入力の記録や保存などの制御を同じレベルで可能にするものです。これもブリティッシュ・エアウェイズの攻撃における大きな要因でした。

BAは、攻撃中に発生したような悪意のある行為を検知するための対策、特にファイル整合性監視を導入することができたはずです。この種の監視は、組織のコードに加えられた変更をシステムが検出し、警告することを可能にします。攻撃者がコードを変更することを止めることはできませんが、変更が行われたことを検知し、それが不正なものであるかどうかを確認することができます。

BAは、手動による変更管理コントロールを確立していました。つまり、従業員がBAのウェブサイトに何らかの変更を加えたい場合、正式な変更管理プロセスを経て、その変更の承認を得る必要があったのです。しかし、BA社には、ウェブサイトのコードに対する不正な変更を検知するセキュリティ技術がありませんでした。この例では、BAは第三者からウェブサイトのコードに重大な変更が加えられたことを警告されただけだった。

英国の規制当局は、ブリティッシュ・エアウェイズがオンライン決済の際に消費者を保護するためのPCIデータ・セキュリティ基準（DSS）を遵守していなかったことも指摘した。罰則の通知では、BA社が重要なシステムファイル、設定ファイル、コンテンツファイルやスクリプトの完全性を検証できていないことが具体的に指摘されています。最近導入されたPCI DSS 4.0では、クライアント側のセキュリティに明確に焦点が当てられていることに留意する必要があります。

出典：British Airways: A Case Study in GDPR Compliance Failure

株式会社文化放送キャリアパートナーズ 当社サーバーへの不正アクセスに関するお知らせ 2022年9月16日

この度、当社は、当社東京オフィス内のサーバーに対して不正アクセス攻撃を受けたことを

確認いたしました。

お客さまはじめ関係各位におかけいたしますご迷惑、ご心配につきまして、

深くお詫び申し上げますとともに、以下お知らせいたします。

2022年9月16日(金)（午前2時頃）、当社東京オフィス内のサーバーにランサムウェアとみられる不正なアクセスがあったことを確認いたしました。

現在、被害の拡大を防ぐためにネットワークを遮断し、不正アクセスを受けたサーバー、ファイルの特定、不正アクセスの原因調査、復旧作業を併行して進めております。

関係諸機関への報告と助言のもと、連携しながら対応を進めており、今後、被害の範囲や不正アクセス原因、また復旧の目途など、より詳しい状況が判明次第、すみやかにお知らせいたします。

関係各位には、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

リリース文（アーカイブ）

週刊OSINT 2022-34号

 

今号は、とてもエキサイティングなトピックをいくつか紹介します。Telegramに関する本当にクールなヒントやトリックがあるだけでなく、Telegramユーザーを見つけるための新しいツールもあります。そして、cURLの使い方に関する素敵なチュートリアル、ダークマーケットベンダーの記事、そしてドローンの世界に飛び込みます。

• Telegram Tips
• cURL for OSINT
• Darth Maul
• Drones and OSINT
• Geogramint

チュートリアル: Telegram Tips

Twitterユーザーのhatless1derさんが、今月初め、Telegramの良いヒントをブログに書いてくれました。この投稿の素晴らしいところは、これらのヒントを得るためにアカウントを持っている必要さえないことです。イントロテキストを拡大することから、プレビューを提供するチャンネル内で素早くブラウズすることまで。いくつかの確かなヒントと、Micah Hoffmanによるボーナスブックマークレットがあります。

チュートリアル: cURL for OSINT

TwitterでTactical OSINT Analystというユーザーが、GitHubに投稿した長いチュートリアルをシェアしています。インターネットから情報を取得するためにcURLを使用する方法について多くのヒントがある。彼はiOSを使っているので、brewでツールをインストールしているのかもしれない。しかし、もしあなたが自分のオペレーティングシステムにこのツールをインストールする方法を知りたいのであれば、こちらの公式cURLページをご覧ください: https://curl.se/

記事: Darth Maul

Bushidotokenが個人ブログでDark Maulのダークマーケットに飛び込む記事を書いています。この記事を掲載したのは、オープンソースの情報がいかに脅威のインテリジェンスに利用できるかを示すためです。Whois登録の基本的な情報から、フォーラムでのユーザー名まで。これらはプロフィールの基礎となる情報のほんの一部で、時間が経つにつれて、より多くの情報が出てきたときに拡張していくものです。このような仕事では、可能な限り全体像を把握するために、あらゆる情報を文書化することが重要です。

記事: Drones and OSINT

TwitterでIntel_inquirerとして知られるVenessa Ninovicが、先週ドローンに関するブログ記事を公開した。この記事は、例やニュース記事、他のブログへのリンクでなぞられています。しかし、ドローンの種類を特定したり、登録情報を見つけたり、あるいはドローンの映像を見つけるのに役立つリソースを紹介するリンク集も掲載されています。もちろん、ドローンを追跡することもできますし、Vanessaはその例を示しています。でも、本当に怠け者なら、ADS-B Exchangeに行って、「ドローン」フィルター（リンク）をクリックすることもできるんだ。アメリカ空軍の航空機の登録番号を検索しているのなら、Joseph Baugherのページにある広範な履歴をチェックすることをお勧めします。

Tool: Geogramint

ProjetFoxのTwitterユーザーalb_310は、Telegramのあるツールの強化版を作成しました。インストール後、必要な情報をすべて入力すると、このツールは完璧に動作します。ボタンをクリックするだけで、500m、1000m、2000m、3000m以上の距離にいるすべてのユーザーを検索します。さらに、検索終了後、その結果をJSONファイルに保存してくれるのも嬉しい。GUIでは検索はできませんし、スクロールバーもありませんが、実際には結果をスクロールして見ることができます。しかし、このツールは実に簡単に動作し、アバターを全員に表示する以外、他に特別な権利は必要ありません。ですから、OpSecに関して言えば、geogramintはあなたのツールボックスへの歓迎すべき追加機能です。

出典：Week in OSINT #2022-34

株式会社世界堂 不正アクセスによるメールアドレス漏えいに関するお詫びとお知らせ 2022年9月16日

この度、株式会社世界堂が運営する「世界堂オンラインショップ」のECシステムの管理を委託している委託先企業のサーバに対し、外部からの不正アクセスが行われ、「世界堂オンラインショップ」の登録会員様の情報の一部が漏えいしたことが判明いたしました。

今回漏えいした情報は、不正アクセス内容を調査した結果、「世界堂オンラインショップ」の登録会員様のメールアドレスに限定されております。お客様の氏名、生年月日、住所、電話番号、ログインパスワ－ド、注文履歴などは含まれておりません。

※セキュリティの観点より、決済は全て別の企業様に委託しているため、クレジットカ－ド情報、口座情報は保有しておらず、一切漏えいはございません。

※店舗にてご利用できる「世界堂会員カ－ド」会員様の情報は、全く別の企業様のサ－バにて管理されているため、一切漏えいはございません。

不正アクセスが発覚した2022年8月19日当日に、原因となったサ－バの脆弱性箇所を特定した上で、サ－バに格納されたすべての情報を対象にアクセス制御を強化し、対策を完了いたしました。したがいまして、以後情報が漏えいする恐れはございません。

このような事態を招きましたことにより、お客様及び関係者の皆様に多大なご迷惑とご心配をおかけいたしましたことを、深くお詫び申し上げます。

株式会社世界堂は今般の事態を重く受け止め、二度とこのような事態を起こすことのないよう、全社をあげて再発防止に取り組んでまいります。講ずべき安全管理措置を確実に実施するとともに、特に技術的安全管理措置として、委託先企業と連携してサ－バのセキュリティを一層強化いたします。

2022年8月19日の漏えい発覚から今回のご案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば漏えいを覚知した時点で速やかにお客様にご連絡いたし、まずはお詫びを申し上げるとともに、ご注意いたただくようにお願いするところではございましたが、不確定な情報の公開はかえって混乱を招くおそれもあることから、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断いたしました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

また、今回の不正アクセス事案につきましては、既に個人情報保護委員会に報告し、所轄の警察署に被害申告を行いました。

現時点で判明している状況、及び今後の対応等について下記のとおりご報告いたします。

１　不正アクセスの内容

　・手段：プログラムの欠陥を突いて不正にシステムを利用

　・発覚日：2022年8月19日

２　漏えいが確認された情報

　　・対象となるお客様：2022年8月19日までに「世界堂オンラインショップ」に登録された会員様

　　・対象となる情報：2022年8月19日までに「世界堂オンラインショップ」に登録された会員様のメ－ルアドレスのみ

　　・件数：最大186,704件

３　今後の情報提供について

「世界堂オンラインショップ」のサイトにてお知らせいたします、また該当の登録会員様には9月26日（月）以降順次メールにてご案内申し上げます。

４　 会員様へのお願い

　漏えいしたメールアドレスに、スパムメールやフィッシング詐欺メールなどが送信される可能性がございます。不審なメールを受け取った場合は、直ちに消去するなどしていただきますようお願い申し上げます。またメールに添付されたファイルの開封や、メ－ルに記載されているURL、メ－ルアドレスへのアクセス、ID/パスワードの変更などの入力フォームへの入力等につきましても、十分ご注意いただきますようお願い申し上げます。

リリース文（アーカイブ）

ハイアットのボーナスポイントを購入してみる。

ハイアットでボーナスポイント購入キャンペーンがあり、購入してみた。

元々ホテル修行の類には興味が無かったのだが、上級会員のメリットを調べてみると、いろいろな可能性が見えてきた。

昔、ホリエモンがホテル暮らしをしているという話を聞いたときは、その意味が全く理解できなかったが、上級会員のベネフィットを知ると、その答えが見えてくる。

世界を飛び回り、各国のホテルが自分の家なんてシチュエーションは何とも夢がある。

世界中に拠点があるホテルチェーンとなると、ヒルトン、マリオット、ハイアット、IHG辺りが有名どころとなってくる。

マイルにしろ、ホテルにしろ、1つに絞ってリソースを集中投下するのが、基本である。

今は本業が社畜であるため、世界を飛び回るような生活はできないが、将来のことを考えて、ハイアットにターゲットを絞って、いろいろとサービスを使ってみることにした。

何故ハイアットにしたのかというと、「歪みの少なさ」という点である。

ホテルの上級会員の条件は年間宿泊数となる。

年〇〇泊宿泊してくれたら上級会員にしますよみたいな。

ところが、ヒルトン、マリオット、IHGは抜け穴が存在し、極端な話金を積めば上級会員になることができる。

ハイアットはそれが無く、基本的に宿泊実績を積み上げないと上級会員になることができず、そのストレートさというか、シンプルさが気に入った。

で、何故ボーナスポイントを購入しようと思ったかだが、理由はシンプルでホテル代が高いからである。

リーズナブルな価格帯のホテルもあるが、中価格帯のホテルだと1泊2～3万位するので、キャンペーン時にこまめにボーナスポイントを購入しておいて、いざ宿泊時にポイント併用でキャッシュアウトを抑えようという、積み立ての延長線みたいな考え方で今回は買ってみた。

使わなかったらどうするかという疑問も頭によぎるが、以前美人不動産投資家の八木エミリーさんから聞いた、年イチのホテル籠りで消化すればよいと思っている。

まだ使う前の予習の段階だが、感覚的にはフライトをマイルで予約するのと同じで、有償で取るよりもキャンセル条件が有利になる気がしている。