【セキュリティ事件簿#2023-171】浜松いわた信用金庫 メールアカウント不正利用および迷惑メール送信に関するお詫びについて 2023年4月28日

当金庫の電子メールアカウントが第三者により不正利用され、当該アカウントから大量の迷惑メールが送信されるという事象が発生いたしました。当金庫といたしましては、本事象の発覚を受け、原因及び影響範囲を特定するための調査を進めておりますが、事実の判明には相当な時間を要するとの判断のもと、この度発生した事象について公表させていただくことといたしました。

今後、判明した事実については改めて公表していく方針であります。

なお、現時点では本件に関わる個人情報の漏洩、不正利用等は確認されておりません。

お客様ならびに関係者の皆様には、ご迷惑とご心配をお掛けしましたことを、深くお詫び申し上げます。

今後、同様の事象が発生しないよう、引き続きセキュリティ対策の見直しを行い再発防止に努めてまいります。

１．発生状況と対応

2023 年 4 月 23 日（日） 22 時頃から 2023 年 4 月 24 日（月）午前 9 時頃にかけて、以下のメールアドレスより、迷惑メールが大量送信されました。

　送信元メールアドレス：

　件名 ：「Fwd:」、「Re:」

　本文 ：英文等で記載された不審な内容

2023 年 4 月 24 日（月）午前 9 時過ぎに、上記不正利用されたメールアカウントを停止し、当該アカウントからメールの送受信が出来ないように対応しました。

不正利用された原因と影響範囲は現在調査中です。

２．当該メールを受信された皆様へ

2023 年 4 月 23 日 （ 日 ） 22 時 頃 か ら 2023 年 4 月 24 日 （ 月 ） 午 前 9 時 頃 に

から送付された迷惑メールを開封したり、本文中のリンク先をクリックすると思わぬ被害をうけたり、ウィルスに感染したりする可能性がありますので、開封せずに削除頂きますよう、お願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-170】川崎市 川崎市高津スポーツセンター指定管理者による個人メールアドレスの流出について 2023年5月9日

川崎市高津スポーツセンター（高津区二子）の指定管理者（特定非営利活動法人高津総合型スポーツクラブＳＥＬＦ：高津区久本）が、令和５年５月３日に送信した「空き情報メール配信サービス」において、誤って個人のメールアドレス９２件が流出する事故が発生しましたので報告いたします。

１ 概要

高津スポーツセンターでは、施設の有効利用を目的として、施設利用のキャンセル発生時に、配信を希望される方に対して、空き情報をメール配信する「空き情報メール配信サービス」を実施しております。

本件は、当該メール配信登録者に対して、指定管理者から大体育室の施設の空き情報メールを送信するにあたり、誤ってメールアドレスが表示された状態で各個人あてに送信してしまったものです。

２ 影響

送 信 先：９２名

流出対象者：９２名

３ 経過

５月３日（水・祝）１４時１３分 

指定管理者が空き情報メールを送信

５月４日（木・祝）１０時３４分 

当該メールを受け取られた方から指定管理者あて御連絡を いただき、確認したところ、誤って全員を宛先に加える形 で送ったことが判明

 

同 日 １６時４５分頃 

指定管理者からの連絡により本市が事故の発生を把握

同 日 １９時５４分 

指定管理者から対象者あてお詫びとともに送信したメールを削除いただく内容のメールを送信

４ 事故発生原因

高津スポーツセンター空き情報メール配信サービスマニュアルを整備し、これに基づく対応を行っておりましたが、今回のメール送信にあたってはダブルチェックを行っていなかったことによるものです。

５ 今後の対応

• 当該メール配信について、個人情報の流出を防止するため、今後はメールマガジンにより配信する形式に変更いたします。
• 今回の件を重く受け止め、指定管理者に対し、情報セキュリティ対策を踏まえた業務執行体制の確保を求め、個人情報の保護を徹底するようさらなる監督及び指導を行い、再発防止に努めてまいります。 

リリース文（アーカイブ）

ハッキングスキル習得の道程

ハッキングを本格的に学びたいと思っているなら、あなたは正しい記事を読んています。この記事は個人的な学習経験と、私が今日持っている知識を得るのに役立ったリソースについて書かれています。

まず、あなたが初心者であることを前提に、コンピュータ、コンピュータハードウェア、OSの動作、基本的なネットワーキングについての基本的な知識を身につけることが重要です。また、Linuxコマンドの使用にも慣れておく必要があります。これらの基本的な知識は、オンラインのビデオ、記事、ブログなどを利用して学ぶことができます。

ステップ1

HackersploitによるYouTubeプレイリストを完了します。このチャンネルには初心者向けの145以上のビデオがあります。エラーが発生した場合は、GoogleやYouTubeを使って問題を自己解決します。知識は研究し、問題に直面し、再度研究することで得られます。

ステップ2

次に、CEH（Certified Ethical Hacker）認定の知識を得ることを目指します。ただし、業界ではCEH認定はもはや求められていないので、認定の取得は不要です。代わりに、CEHのシラバスを完了し、各トピックについて研究し、実践してみてください。このコースは3ヶ月間で基本をカバーします。

【CEHのシラバス】

チャプター1 - 倫理的ハッキングの紹介

• ハッキングとは何か
• 倫理的ハッキングとは何か
• ハッカーの種類
• ホワイトハットハッカー
• ブラックハットハッカー
• グレーハットハッカー
• スクリプトキディ
• ハクティビスト
• スパイハッカー
• サイバーテロリスト
• 脆弱性
• エクスプロイト
• リモートエクスプロイト
• ローカルエクスプロイト
• ゼロデイ
• ゼロデイ脆弱性
• ゼロデイエクスプロイト
• ブルートフォース攻撃
• フィッシング
• リモートアクセス
• ペイロード

チャプター2 - 倫理的ハッキングの手順

• 情報収集
• アクティブな情報収集
• パッシブな情報収集
• スキャン
• アクセスの獲得
• アクセスの維持
• トラックの隠蔽

チャプター3 - 悪意のあるファイルの種類

• ウイルス
• ワーム
• トロイの木馬
• スパイウェア
• アドウェア
• バックドア
• ルートキット
• ランサムウェア

チャプター4 - ペネトレーションテスト

• ペネトレーションテストとは何か
• ペネトレーションテストの種類
• ホワイトボックスペネトレーションテストとは何か
• ブラックボックスペネトレーションテストとは何か
• Linux OSの紹介
• ソーシャルエンジニアリング

チャプター5 - Google Hacking Using Dorks Demo

• ラボのセットアップ
• 仮想マシンとは何か
• VMwareとは何か
• Virtual Boxとは何か
• VMwareのインストール
• Parrot OSのインストール
• Windows XPのインストール
• Windows 7のインストール
• Mozilaにアドオンをインストール
• Tamper Data
• Burp Suite
• No-Redirect
• Nessusのインストール

チャプター6 - システムハッキング

• Kon-Bootを使用したシステムハッキング
• ネットワークスキャン
• ポートスキャン
• サービススキャン
• Nmapとは何か
• Nmapを使ったスキャン
• Nmapのさまざまなコマンド
• Nmapを使ったファイアウォールのバイパス（詳細に学ぶ）

チャプター7 - Nessusを使ったスキャン メタスプロイトを使ったハッキング

• メタスプロイトとは何か
• メタスプロイトを使ったXpリモートエクスプロイト
• Msfvenom
• Windows7 UAC Bypass

チャプター8 - SE-Toolkitとは何か

• SE-Toolkitの使用法
• SE-Toolkitでフィッシングページを作成
• Facebook & Gmailのパスワードハッキング

チャプター9 - リモート管理ツールとは何か

• RATとは何か
• RATを使ったエクスプロイト
• RATからシステムを保護する方法

チャプター10 - スニッフィングとは何か

• スニッフィングの種類
• Wiresharkを使ったネットワークスニッフィング
• Wiresharkを使ってFTPログイン詳細を取得

チャプター11 - DOSとは何か

• DOSの詳細
• DDOSとは何か、Xerxesツールのインストールと使用

チャプター12 - ワイヤレスネットワークハッキング

• ワイヤレス暗号化
• WPA 2のハッキング

チャプター13 - Webアプリケーションペネトレーションテスト

• Webアプリケーションの動作
• リクエストとレスポンス
• スキャナーのインストール（Acunetix、Netsparker）
• ウェブサイトのスキャン

チャプター14 - OWASP Top 10

• SQLインジェクションとは何か
• SQLインジェクションの種類
• SQLインジェクションのデモ
• XSS（クロスサイトスクリプティング）とは何か
• XSSの種類
• XSSのデモ
• CSRF（クロスサイトリクエストフォージェリ）とは何か
• CSRFのデモ
• ファイルインクルージョンとは何か
• ファイルインクルージョンのデモ
• セキュリティミスコンフィギュレーションとは何か
• セキュリティミスコンフィギュレーションのデモ
• 不適切なアクセス制御とは何か
• 不適切なアクセス制御のデモ
• センシティブデータの露出とは何か
• センシティブデータの露出のデモ
• XMLエクスターナルエンティティ（XXE）とは何か
• XXEのデモ
• ブロークンアクセス制御とは何か
• ブロークンアクセス制御のデモ
• セキュリティミスコンフィギュレーションとは何か
• セキュリティミスコンフィギュレーションのデモ
• 不適切なアクセス制御とは何か
• 不適切なアクセス制御のデモ
• センシティブデータの露出とは何か
• センシティブデータの露出のデモ
• XMLエクスターナルエンティティ（XXE）とは何か
• XXEのデモ
• ブロークンアクセス制御とは何か
• ブロークンアクセス制御のデモ

チャプター15 - ファイアウォールとは何か

• ファイアウォールの種類
• IDSとは何か
• IPSとは何か
• ファイアウォールのバイパス方法

チャプター16 - ハニーポットとは何か

• ハニーポットの種類
• ハニーポットの設定

チャプター17 - IoTとは何か

• IoTデバイスのハッキング
• IoTデバイスのセキュリティ

チャプター18 - クラウドセキュリティとは何か

• クラウドコンピューティングとは何か
• クラウドコンピューティングの種類
• クラウドコンピューティングの脆弱性
• クラウドセキュリティ

チャプター19 - クリプトグラフィとは何か

• 暗号化とは何か
• 暗号化の種類
• ハッシュ関数とは何か
• ハッシュ関数の種類
• デジタル署名とは何か
• デジタル証明書とは何か
• SSLとは何か
• TLSとは何か
• VPNとは何か
• VPNの種類

チャプター20 - フォレンジックとは何か

• デジタルフォレンジックとは何か
• デジタルフォレンジックの種類
• デジタルフォレンジックの手順
• デジタルフォレンジックのツール

ステップ3

CTF（Capture The Flag）を解くことを始めます。これはハッキングを学ぶ最も楽しい方法で、ゲームのように感じます。Vulnhubなどのプラットフォームで簡単なCTFから始め、難易度を徐々に上げていきます。

ステップ4

OTW（Over The Wire）のNatas Webチャレンジを解きます。これにより、Webハッキングの知識が向上します。

ステップ5

次に、Pythonを学びます。Pythonは少し退屈かもしれませんが、ハッカーがスクリプトやツールを書くために使用する言語なので、非常に重要です。

ステップ6

Pythonを学んだ後、BlackHat PythonやViolent Pythonのような本を読み終えることを目指します。これらの本は、実際のハッカーがPythonを使って攻撃的なハッキングを行うためのスクリプトやツールを書く方法を教えてくれます。

その他の情報

Android/IOSのハッキングに興味がある場合は、AndroidとIOSのペネトレーションテストについて学ぶこともできます。また、リバースエンジニアリングも重要なスキルであり、"Secrets of Reverse Engineering"という本を読むことをお勧めします。

ハッキングは新しいことを学び、課題を解決することについてのものです。多くのトピックがあり、学び続ける旅です。エラーや問題、質問があることは学習の一部です。情報セキュリティコミュニティの人々は非常に助けになり、彼らと話すことで多くのことを学ぶことができます。

ハッキングを学ぶための秘密のフォーラムはディープウェブにはありません。本、ブログ、研究、CTFの解決、実生活のプロジェクトを行うことで学びます。ハッキングを学ぶためのx y zのパスはありません。各ハッカーには自分自身のパスや旅があります。それを行うことで学びますので、学び続けてください。

出典：How to Learn Hacking? My Path!

【セキュリティ事件簿#2023-169】シークス株式会社 ランサムウェアによる不正アクセスについて 2023年4月28日

当社は、2023年4月24日に一部の社内サーバがランサムウェアによる第三者からの不正アクセスを受けたことを確認いたしました。

お客様の製品情報等が暗号化され流出した可能性がございますが、現時点では、情報流出の事実は確認されておりません。なお、本件に関しては所轄の警察署に届け出を行っております。

現在、業務活動に支障は生じておりませんが、外部機関と対策チームを設置し、被害を受けた社内サーバをネットワークから遮断することで感染拡大を防止するとともに、感染経緯と影響があった範囲等の特定ならびに復旧作業を進めております。

関係各位の皆様におかれましては、ご心配およびご迷惑をおかけしますことを深くお詫び申し上げますとともに、詳細が判明次第速やかにお知らせいたします。 

リリース文（アーカイブ）

【セキュリティ事件簿#2023-168】港区 お知らせの誤配信による個人情報の流出について 2023年5月2日

区立保育園の職員が、3歳児クラス園児一人の保護者に保育中の様子などを、スマホ等で情報の配信ができる「保育支援システム」（以下「システム」といいます。）のお知らせ一斉配信機能を用いて配信する際、誤って3歳児クラスの保護者全員にも配信してしまいました。配信した内容には、当該園児の名前と、保育中の様子や園での過ごし方に関するお願い事項などが記載されていました。

区は再発防止に向け、情報配信の取扱いについて厳正を期すことを徹底し、区民の皆様の信頼回復に努めてまいります。

経緯

令和5年4月28日（金曜）に、区立保育園職員が、システムのお知らせ一斉配信機能を用いて3歳児クラス園児の保護者一人に、その園児の保育中の様子や保育園での過ごし方に関するお願い事項を配信すべきところ、誤って3歳児クラス全員の保護者に配信してしまいました。

その後、保護者から「違う園児名のお知らせが届いている。」との連絡があり、誤配信していたことが判明しました。

また、5月1日（月曜）に、保育園側でシステムを操作して、お知らせ一覧から本件を削除しました。

原因

通常、お知らせ一斉配信機能を使って配信する際、内容を作成した職員とは別に、公開権限者（係長職）を含む二人がその場に立ち会い確認してから配信することになっています。

今回、確認を行った職員は、通常二人で確認するところを一人で行ってしまい、また、配信する文章の修正に気を取られ、配信先の確認を見落としたことが原因です。

再発防止策

区は、今後このような誤りを起こさないために、作成者と公開権限者（係長職）による配信時のダブルチェックの徹底に加えて、配信時にリーダー等の立ち合いの下、一斉配信か個人への配信か等を声出し及び指差し確認の上、配信するとともに、個人が特定されないよう本文には名前等は記載しないことを徹底してまいります。

また、職員に個人情報の取り扱いに関する研修を実施して個人情報の重要性を再認識させるとともに、緊張感を持って業務にあたるよう指導してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-167】国土交通省 ドローン情報基盤システムの一部機能において申請情報の閲覧が可能となっていた事象について 2023年5月3日

航空局が運用するドローン情報基盤システムの一部機能において、システム上の不具合により、特定の操作状況において他者の申請情報が閲覧可能な状態となることが判明したため、直ちにシステム改修を行いました。同種事案の再発を重く受け止め、個人情報等の厳正かつ適正な管理を図り、適切なシステムの運用管理をより一層の徹底を図ってまいります。

１．概要

昨日（５月２日）、ドローン情報基盤システム（以下「DIPS2.0」という。）の操縦者技能証明機能において、システム利用者より特定の操作を行うと他者の申請情報が閲覧可能な状態になる恐れがあるとの報告がありました。

これを受けて詳細な確認を行ったところ、操縦者技能証明に関する申請の一部について、特定の操作を行うと他者の申請情報（申請者の氏名、住所等）が閲覧可能となることが判明したため、直ちにシステムを停止し必要な改修を行いました。

２．対応状況

本件はシステムの設計上の不具合によるものであり、昨日、当該不具合の確認後、直ちにDIPS2.0の運用を停止して必要な改修を行い、本日11時過ぎに運用を再開しました。

本件不具合に伴い、最大で３件分の無人航空機操縦者技能証明に係る申請情報が他者に閲覧された可能性がありますが、現在のところ、本件に伴う個人情報の閲覧による情報の悪用等の報告はありません。

なお、本件は4月12日に発生した不具合事象と同一ではないものの派生するものであり、同種の不具合事象が発生し得るケースの精査が十分でなかったことに起因するものです。

３．今後の対応

同種事案が再発したことを重く受け止めるとともに、個人情報等の厳正かつ適正な管理について、改めてシステム受注者への指導等をより一層徹底するとともに、発生理由を根本から精査の上、今後このような事態が決して生じないよう、万全を期してまいります。

リリース文（アーカイブ）

ランサムウェアギャングが発表した被害組織リスト（2023年5月版）BY StealthMole

 StealthMole（旧Dark Tracer）による、2023年5月のランサムウェア被害を受けた日系企業。

・有限会社サイレン（siren-japan.com）

・株式会社ミツトヨ（www.mitutoyo.ch）

【セキュリティ事件簿#2023-166】静岡県の「ふじのくに農山漁村ときめき女性ポータルサイト」にサイバー攻撃、閲覧障害が発生し、サイト閉鎖へ。

静岡県は、同県の「ふじのくに農山漁村ときめき女性ポータルサイト」が何者かのサイバー攻撃を受け、閲覧障害が発生したことを明らかにしました。

「ふじのくに農山漁村ときめき女性ポータルサイト」は、同県内の農林水産業で活躍する女性を認定する制度を展開し、2012年度から情報発信を行ってきました。しかし、2022年12月に行われた調査により、サイトへの不正アクセスが発覚しました。

被害の詳細については、サイトが正常に表示されない状態となったほか、アクセスすると外部サイトに誘導されるなどの改ざんが行われていたことが確認されました。具体的な侵害の原因についてはまだ明らかにされていません。

2022年12月16日に問題に気づいた県職員は、サイトの管理委託事業者に連絡し、改ざんされたファイルを削除して復旧作業を行いました。しかし、対策が不十分であったため、2023年1月に再度復旧作業を行うこととなりました。

静岡県によると、サイトに保存されていたメールマガジンの登録者情報はアクセスログから外部に流出していないことが確認されています。ただし、個人情報の保存は行われておらず、個人情報の流出は否定されています。

県は農山漁村ときめき女性やメールマガジンの登録者に対して経緯の説明と謝罪を行い、今回の攻撃による被害が発生していないことを確認しました。また、今後は同ポータルサイトを閉鎖し、静岡県公式サイトを通じて情報発信を行う方針です。

出典：県関連サイトが改ざん被害、外部サイトに誘導 - 静岡県