安かろう悪かろう！？無料VPNサービスSuperVPNが36億件のユーザーレコードをお漏らし

無料のVPNサービスであるSuperVPNは、133GBものデータをお漏らし、その中にはユーザーのIPアドレスなどの個人情報が含まれていました。

セキュリティ研究者のJeremiah Fowler氏が、人気のある無料VPNサービスに関連したパスワード保護されていないデータベースで大規模なデータ漏洩を発見しました。漏洩したデータベースには、360,308,817件のレコードが含まれ、合計で133GBのサイズでした。これらのレコードには、ユーザーのメールアドレス、元のIPアドレス、地理的なデータ、サーバーの使用記録など、幅広い機密情報が含まれていました。

また、この漏洩では、秘密鍵、ユニークなアプリユーザーID、UUIDが明らかになり、これらはさらに有用な情報を特定するために利用できます。データベースには、電話やデバイスのモデル、オペレーティングシステム、インターネット接続の種類、VPNアプリケーションのバージョンなどの情報も含まれていました。さらに、返金要求や有料アカウントの詳細も漏洩に含まれていました。

SuperVPNはユーザーログを保存していないと主張していますが、漏洩したデータはその逆を示し、会社のポリシーと矛盾しています。これは、「ほとんどすべての主要な無料VPNサービスが実質的にデータファームである」という事実を示しています。

オンラインのプライバシーとセキュリティに対する懸念が高まる中、VPNサービスへの需要は近年急増しています。その結果、VPNアプリの数が大幅に増えました。しかし、この供給の増加は、信頼性の低いVPNアプリの比率が異常なほど増え、期待されるプライバシーとセキュリティのレベルを提供できない結果をもたらしています。

無料のVPNサービスを選ぶ際には、以下のような潜在的なリスクとなり得るポイントに注意を払うことが重要です。

【データ収集と使用ポリシーが不明確となっていないか】

VPNサービスがインターネット活動をログに記録しないことを確認し、データが広告主や第三者に売られるリスクを避けます。

【透明性の欠如の疑いが無いか】

VPNプロバイダーの公式ウェブサイトに「About Us」セクションがない場合、データを扱う人についての情報が不足していることを示す可能性があります。

【DNSリーク保護の有無】

VPNサービスがDNSリーク保護を提供していることを確認し、インターネットサービスプロバイダーがあなたのオンライン活動を見ることを防ぎます。

【弱い暗号化を採用していないか】

128ビットまたは256ビットAESよりも弱い暗号化を提供するVPNは避けるべきです。

【ネガティブなレビューが無いか】

信頼できるレビューサイトのユーザーレビューを参照して、他のユーザーのレビューやそこから得られる懸念を把握します。

VPNアプリの増加は、オンライン活動でのプライバシーとセキュリティを求めるユーザーにとって、機会と課題の両方を提供します。市場は信頼できるVPNソリューションを幅広く提供していますが、信頼できないアプリの数も増えており、注意が必要です。

出典：Free VPN Service SuperVPN Exposes 360 Million User Records

【セキュリティ事件簿#2023-190】小牧市 ホームページへの個人情報の誤掲載について（お詫び） 2023年05月19日

令和5年5月17日に市民（こまき支え合いいきいきポイント制度の登録者）からの情報により、本市のホームページに掲載したファイルに、本来公開すべきデータの他に、そのデータの基となる個人情報を含む作業データが添付され、閲覧可能な状態となっていたことが分かりました。

市民の皆様へ

対象の皆様には、多大なご迷惑とご心配をお掛けすることとなり、深くお詫び申し上げます。

今後は、二度とこのようなことが無いよう、職員には特に個人情報の取扱いについて、確認チェックを徹底させるなど再発防止に努めてまいります。

対象となるデータ

・H29こまき支え合いいきいきポイント実績

・H30こまき支え合いいきいきポイント実績

個人情報の誤掲載対象者数

1,011名

個人情報が市ホームページ上に掲載された期間

令和3年5月24日から令和5年5月17日

原因

市ホームページ内に掲載するデータの作成時、公開すべきデータのみを使用すべきところ、その基となる個人情報を含む作業用のデータを添付したものを使用し、そのまま市ホームページ内に掲載してしまったことによるもの。

現在の対応

令和5年5月17日、市ホームページ上の個人情報を含んだ当該ファイルを公開停止しました。また、市ホームページに掲載された登録情報が、検索によって表示されることがないよう措置を行いました。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-189】盛岡市中央卸売市場のウェブサーバがフィッシングメール送信の踏み台に

盛岡市は最近、市中央卸売市場のウェブサーバがサイバー攻撃を受け、不審なメールが送信されていたと発表しました。これらのメールは英文で、フィッシング詐欺のような内容で、市場関係者になりすました形で送信されていました。

ウェブサーバとメールサーバは現在停止されており、送信されたメールの件数などを調査中です。また、サーバに含まれている個人情報は流出の恐れはないとのことです。

この不審なメールの送信は、市が契約するインターネットサービスプロバイダからの連絡により発覚しました。しかし、市場側の担当者が異動した後も連絡先を更新していなかったため、初動が遅れたという事態が発生しました。

市場側は、メールがこれまでに何件送られたかやメールで被害が起きたかなどを調査中です。また、ウェブサイトは現在アクセスできない状態になっています。

盛岡市中央卸売市場は、「発覚が遅れたために被害が拡大した可能性もあり、深くおわび申し上げます。いち早く安全を確保して復旧に努めたい」とコメントしています。

この事件は、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、組織内の連絡先の更新や、サーバのセキュリティ対策など、日々の運用管理が重要であることを示しています。

【セキュリティ事件簿#2023-188】沖縄県立看護大学 情報セキュリティインシデントの発生について 2023年5月16日

この度、本学の学生１名の大学メールアドレス及びパスワードが詐取され、Microsoft365のサービスを悪用し迷惑メールが送信される事案が発生しました。既に当該学生のメールアドレスのパスワードは変更しており、変更後の不正アクセスは確認されていません。このような事案が発生し、関係者の皆様に多大なご迷惑をお掛けすることとなり、深くお詫び申し上げます。今回の事案を重く受け止め、メールアドレス及びパスワードの厳重な取扱いを徹底するとともに、再発防止措置を講じてまいります。

＜事故の概要＞

学生１名の Microsoft365 アカウントに不正アクセスがあり、2022 年 12 月 6 日〜2023年 3 月 8 日までの間に、当該学生のメールアドレスから 12,941 件の迷惑メールが不特定多数の宛先に送信されました。迷惑メールの多くは外国語で海外サイトへのリンクが張られたもので、Microsoft365 のメール送信サーバへ直接アクセスすることで行われた可能性が高いと思われます。

＜情報漏洩の可能性＞

現在までに、上記以外のメールアドレスやアカウントの悪用等に関する事実は確認されていません。

○漏洩した可能性のある情報

当該アカウントのメールボックス内のデータ（メールアドレス、氏名、メール本文、

添付ファイル）

学内関係者宛て・・・ 330 件

大学部外者宛て・・・ 139 件

○当該アカウントから送信された迷惑メール件数・・・12,941 件

＜再発防止策＞

教職員及び学生への情報リテラシー研修を実施するとともに、セキュリティの強化など再発防止策を講じてまいります。

リリース文（アーカイブ）

サブドメイン列挙ツール：Sublist3r

 

セキュリティ研究やペネトレーションテスティングにおいて有用な一つのツール、Sublist3rの紹介。Sublist3rは、特定のドメインに対するすべてのサブドメインを列挙するためのPython製のオープンソースツール。その能力はOSINT（Open Source Intelligence）の一環であり、公開情報から情報を収集します。

Sublist3rとは何か？

簡単に言うと、Sublist3rは様々な検索エンジン（Google、Yahoo、Bing等）と人気のあるツールのAPI（Netcraft、Virustotal、ThreatCrowd、SSL Certificates Transparency Logsなど）を利用して、特定のドメインのすべてのサブドメインを探し出すツールです。

なぜSublist3rが必要なのか？

サブドメインの発見は、情報収集フェーズにおいて非常に重要です。特定のドメインがどのように構築され、どのサーバーが公開されているかを理解するための重要な手段となります。

Sublist3rの簡単な使い方

それでは、実際にSublist3rをどのように使うのかを見てみましょう。

1.インストール： まずはGitHubからSublist3rをクローンします。

git clone https://github.com/aboul3la/Sublist3r.git

2.次に、Sublist3rディレクトリに移動し、必要なPythonライブラリをインストールします。

cd Sublist3r
pip install -r requirements.txt

3.使用方法： 基本的な使用方法は非常にシンプルです。以下のコマンドを使用して特定のドメイン（ここでは"example.com"）のサブドメインを列挙します。

python sublist3r.py -d example.com

これだけで、Sublist3rが「example.com」のすべてのサブドメインを探し出してくれます。

Sublist3rは、セキュリティテストやネットワーク分析において非常に役立つツールです。特にOSINTに関心がある方はぜひ一度お試しください。ただし、正当な理由と許可がない限り、他人のドメインでこれを使用しないでください。

出典：Subdomain Enumeration

【セキュリティ事件簿#2023-187】三井住友カード株式会社 ご利用代金明細書の有料化ご案内DMに関するお詫び 2023年5月24日

三井住友カード株式会社（以下、「弊社」といいます）は、弊社が発行する提携カード（以下「本カード」といいます）のうち、後記3．記載の券種をお持ちのお客さまに対し、4月18日（火）および4月20日（木）に、本カードに係る紙のご利用代金明細書のサービス内容の変更をお知らせするため、シーラーはがきタイプのダイレクトメール（以下、「本DM」といいます）を郵送いたしました。

その際、本DMの表面宛先部に、本来お客さま照会番号を印字すべきところ、誤ってクレジットカード番号（以下「カード番号」といいます）を印字した状態で送付（以下「本事態」といいます）しておりました。なお、本DMには、有効期限やセキュリティコードなどのカード番号以外の情報は一切記載しておりません。

本DMについては、すべてお客さまからご申告いただいた住所あてに発送していることから、本事態に起因してお客さまご本人以外の第三者がカード番号を知り得た可能性は極めて低いと考えておりますが、本来表示すべきでないカード番号を本DM表面宛先部に印字してしまったことに関し、お客さまに大変なご心配とご迷惑をおかけいたしましたことを深くお詫び申し上げます。

経緯などにつきまして、以下のとおり、お知らせいたします。

1．発生日

2023年4月18日（火）、4月20日（木）送付分

2．件数

合計290,771件

3． 対象券種

「AOYAMA VISAカード」

「AOYAMA PiTaPaカード」 (VISA)

「AOYAMA LiVE MAX VISAカード」

「BLUE ROSE CARD」 (VISA)

4． 原因

通常、弊社では、お客さまにDMをお送りする際は、住所、氏名およびお客さま照会番号などのお客さま情報を基幹システムから抜き出し、DM表面の宛先部に印字して発送しますが、今回、システムからお客さま情報を抜き出す作業において、通常とは異なる確認作業をもってDMを作成したことによるものです。

5．お客さまへの対応

弊社は、本DMを送付させていただいたお客さま全員に対し、事態をご説明する書面を封書にて順次送付いたしております。

また、弊社は、お客さまが引き続き安心してお手許の本カードをご利用いただけるよう、本カードのモニタリングを強化するとともに、万が一、本カードの不正利用などによる損害がお客さまに発生した場合、弊社会員規約に基づき弊社にてお支払いいたします。

弊社は本事態に関するお客さまからのお問い合わせをお受けするため、通常のご照会窓口とは別に、本事態のご照会専用窓口を開設いたしておりますので、ご不明な点のある方や、本カードとはカード番号が異なる新カードへの差し替えをご希望される方は、後記7．記載の番号にご連絡いただくようお願いいたします。

6．再発防止策

弊社は、本事態を重く受け止め、直ちに原因を特定のうえ再発防止策を講じ、再び斯かる事態が発生することのないよう管理を強化いたしました。

また、お客さま情報の取り扱いに際して、その重要性を再度社内で周知するとともに、DM作成にあたっては、これまで以上に厳格に行うよう、再度徹底してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-184】大槌町 不正アクセスに伴う個人情報の漏えいのおそれがある事案が発生いたしました 2023年5月15日

このような事態が発生したことについて、お客さまに多大なるご不安とご迷惑をおかけすることとなり、心からお詫び申し上げます。

なお、該当する方々には、令和5年5月1日に今回の事案に関するお知らせとお詫びの文章を郵送しております。

現時点での詳細につきましては下記のとおりお知らせいたします。

1　概要及び経緯

令和5年4月24日に当町の水道事業及び下水道事業で支払処理に使用している会計システムが起動できないという障害が発生したため、当該システムのリース・保守契約をしている事業者にシステムの状態を確認させたところ、翌25日にコンピュータウィルスに感染していたおそれがあることが判明しました。

このことにより、現時点において、個人情報の漏えいのおそれがある状況にあります。

2　原因

詳細は調査中です。

3　漏えいが発生したおそれがある範囲

（1）漏えいの可能性がある人数

　　　町内外の個人及び法人の代表者名あわせて566名

（2）漏えいの可能性がある個人情報について

　　　氏名、住所、電話番号及び口座情報

4　今後の対応について

現在、感染経路の確認と、情報漏えいの有無について調査を進めているところです。

お客さまには、調査結果等がわかり次第、改めてご連絡させていただきます。

なお、個人情報の取扱いについて、現状の問題点の検証と再発防止策の策定・確立を行います。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-183】エーザイ株式会社 不正アクセスによる個⼈情報流出の可能性に関するお詫びとご報告 2023年5月19日

エーザイ株式会社並びにその子会社・関連会社である EA ファーマ株式会社、株式会社カン研究所及び株式会社サンプラネット（以下「当社ら」といいます）の一部の取引先関係者様のご氏名及びメールアドレスが、外部からの不正アクセスにより、漏洩した可能性があることが判明致しました。取引先関係者様には大変なご迷惑とご心配をお掛けし、心よりお詫び申し上げます。

１. 漏洩の可能性のある対象者

対象となる可能性がある取引先関係者様は、2018 年 5 月から 2023 年 4 月に当社らが管理する Microsoft 製品または ID 管理システムに、当社らとの業務上の目的のためにユーザー登録された方で、現時点までの調査においては、具体的には以下に該当する方が含まれています。

• 当社ら管理の Microsoft Teams へプロジェクト等で招待された方（単に Teams 会議に招待された方は対象外です）
• 当社ら管理の Microsoft SharePoint へのアクセス権を付与された方
• 当社ら管理の Microsoft 365 グループ（メーリングリスト）に登録された方
• 当社ら管理の ID 管理システムに登録された方(業務委託会社等)

海外関連会社を含む当社グループ全体として約 11,000 件の取引先関係者様の情報が対象となっており、その一部が国内グループ企業である当社らの取引先関係者様の情報である可能性がございます。なお、当社らのセルフケア商品の通信販売やキャンペーンなど一般生活者様の情報については該当致しません。

２． 漏洩の可能性のある個人情報

現在もなお検証中ですが、漏洩の可能性がある個人情報は、ご氏名（登録されていた場合のみ）及び当社らとの業務上使用されたメールアドレスのみであり、その他情報について漏洩の可能性はない見通しです。

３. 経緯及び対応

2023 年 4 月 28 日（日本時間）に、当社グループの海外法人の社員のアカウントを不正に使用した外部者から、当社グループのクラウドプラットフォーム上の一部の情報に対し不正なアクセスがあり、当該情報には取引先関係者様の情報が含まれる可能性があることが確認されました。 これを受け当社グループでは、直ちに不正アクセスの遮断と対処、当社グループのネットワークに対する監視強化を実施、加えて流出した可能性がある情報のモニタリングを継続しています。引き続き、被害状況及び原因の解明を進めています。なお、個人情報保護委員会への報告等、各国規制に沿った対応を実施致しました。今後も必要に応じこれらの関係機関と連携して対応してまいります。

今後メールアドレスを悪用した迷惑メールが送信される等の可能性がありますので、十分にご注意いただくようお願い申し上げます。

リリース文（アーカイブ）