【セキュリティ事件簿#2023-257】株式会社プロット 現在発生している障害について（第6報） 2023年7月6日

 平素より弊社サービスをご愛顧いただき、ありがとうございます。

この度は、当社クラウドサービス、ホスティングサービスの障害につき、多大なるご迷惑をおかけしており、大変申し訳ございません。

また、代替サービスをご利用のお客様にもご不便をおかけしまして、大変申し訳ございません。

現在の状況につきましては、以下よりご確認ください。

サービス再開時の安全性向上に向けた取り組み

以前よりサービス再開の条件として設定しておりました、安全性向上の取り組みおよび第三者専門業者による安全性確認について、7月3日に全て終了いたしましたことをご報告いたします。

クラウドサービス再開の手法について

安全性向上に向けた取り組み施策が全て完了したため、これより順次クラウドサービスの再開に取り組んでまいります。

サービス再開においては、準備が整った今即時に実施するものではなく、サービス再開時の注意事項のご説明などを丁寧にお客様に行い、サービス再開時期などのご意向をすり合わせたのちに行います。

サービス再開後における、ご利用をいただいておりました代替サービスの今後の取り扱いや、データの破棄等につきましても、当社からご説明を差し上げる予定です。

なお、CYASおよびホスティングサービスにつきましては、現在復旧に向けて準備中です。ご迷惑をお掛けし申し訳ございませんが、今少しお待ちください。

お客様への注意事項のご説明、ご意向確認のご連絡は、7月5日より順次行っております。

なお、大変申し訳ございませんが、個別にご連絡差し上げられる数に限りがございます。

当社といたしましても最大限の努力をいたしますが、お客様によってはご連絡が遅くなる可能性がございます。

大変恐縮ながらあらかじめご容赦頂きますよう何卒宜しくお願い致します。

サービス再開に向けた判断について

当社が確認を終了いたしましたのは、当社で準備を進めておりましたサービス基盤の新設、及びその安全性の準備状況になります。

上述のサービス再開に向けた安全性確認は終了しておりますが、情報漏えいの有無に関する調査は引き続き行っており、最終的な調査結果を元にした報告書を作成し、ご提示させていただく予定です。

情報漏えいの有無に関する調査の進捗率について

現状の調査の進捗としては、概算ですが全体の約3～4割程度と考えております。

初動調査で取得した仮想基盤側のログやアプリケーションログなどログとして取得可能であったものについては、8割以上完了しております。その他IDC内及び当社内でランサムウェア攻撃を受けたハードウェアについては、先日内部データの抽出が完了したというステータスです。これよりそのデータの調査に入りますので、7月下旬までかかる見込みです。調査の進行度合いによってはそれよりも前倒しされる可能性もございます。

最終報告書提示見込みについて

現在行っております情報漏えいの有無に関する調査の結果を元に、最終的な報告書を提示させていただく予定です。

最終報告書の発信は、現状想定されている調査スケジュールを元に、7月下旬から8月初旬を予定しております。

なお、調査の進行度合いによってはそれよりも前倒した最終報告を行う可能性もあります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-262】札幌日本大学学園 「ランサムウェアによるサイバー攻撃」に関する報道について 2023年7月5日

本日、北海道新聞の記事に掲載された件（ランサムウェア によるサイバー攻撃）についてお知らせします。

本日の北海道新聞の記事の内容については、先日学内で在校生・保護者にお伝えした内容と同様で、事実ではありますが、現在調査中の部分が多いため、結果が判明次第、改めて報告させていただきます。

今回の件で、生徒・保護者・卒業生の皆様の他、関連業者の皆様にご心配をおかけすることになり、深くお詫び申し上げます。

　　

引き続き、不正アクセス状況や情報流出の有無などの調査を進め、詳しい調査結果が判明次第すぐにお知らせするとともに、再発防止策を早急にとりまとめ、今後再発防止に向けて指導を徹底してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-175】個人情報保護委員会 トヨタ自動車株式会社による個人データの漏えい等事案に対する個人情報の保護に関する法律に基づく行政上の対応について 2023年7月12日

個人情報保護委員会は、トヨタ自動車株式会社（以下「トヨタ社」という。）に対し、令和５年７月 12 日、個人情報の保護に関する法律（平成 15 年法律第57 号。以下「個人情報保護法」という。）第 147 条に基づく指導を行った。

事案の概要、本事案における個人情報保護法上の問題点及び個人情報保護法第 147 条に基づく指導の内容は以下のとおり。

１．事案の概要

トヨタ社は、関連会社であるトヨタコネクティッド株式会社（以下「TC 社」という。）に対し、車両利用者に対するサービスである T-Connect 及び G-Linkに関する個人データの取扱いを委託していたところ、TC 社のクラウド環境の誤設定に起因して両サービスのためのサーバ（以下「本件サーバ」という。）が公開状態に置かれていたことにより、T-Connect 用のサーバについては平成 25 年 11 月頃から令和５年４月頃までの間、G-Link 用のサーバについては平成 27 年２月頃から令和５年５月頃までの間、約 10 年間に渡り、両サービス利用者の車両から収集した約 230 万人分の個人データ（T-Connect 用のサーバについては車載機 ID、車台番号及び車両の位置情報等、G-Link 用のサーバについては車載機 ID、更新用地図データ及び更新用地図データの作成年月日等に関する情報）が、外部から閲覧できる状態にあり、個人データの漏えいが発生したおそれのある事態が発覚した。

２．個人情報保護法上の問題点

トヨタ社では、個人データを保存するサーバのクラウド環境設定を行う従業員に対する個人情報に関する研修内容が不十分であったため、本件サーバ内に保存された車載機 ID、車台番号及び位置情報等が個人情報として認識されておらず、適切な取扱いが行われていなかった。

また、本件サーバのクラウド環境における設定には不備があり、アクセス制御が適切に実施されていなかった点に問題があったところであるが、トヨタ社は、委託先である TC 社における個人データの取扱いについて、サーバのクラウド環境におけるアクセス制御の観点からの監査・点検を実施しておらず、TC 社における個人データの取扱状況を適切に把握していなかった。

そのため、トヨタ社では、①従業者に対し、クラウド環境設定における個人データ取扱いのルールに関する社内教育を徹底する、②クラウド設定を監視するシステムを導入し、設定状況を継続的に監視するとともに、技術的に公開設定ができないようにする、③TC 社に対して、クラウド環境設定に関する個人データの取扱い状況を定期的に監査する等の再発防止策を策定している。

３．個人情報保護法第 147 条に基づく指導（概要）

(1) 個人情報保護法第 23 条及び第 25 条並びに個人情報保護法についてのガイドライン（通則編）に基づき、下記の通り個人データの安全管理のために必要かつ適切な措置を講ずること。

• 従業者に個人データを取り扱わせるにあたって、個人データの取扱いを周知徹底するとともに適切な教育を行うこと（人的安全管理措置）。
• 本来アクセスすべきでない者が本件サーバにアクセスすることがないよう、適切なアクセス制御を実施すること（技術的安全管理措置）。
• 委託先に対して、自らが講ずべき安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督を行うこと（委託先の監督）。

(2) トヨタ社が策定した上記①②③の再発防止策を確実に実施すること。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-257】株式会社プロット 現在発生している障害について（第5報） 2023年6月23日

 

今までの進行プロセスと現状のステータス

侵入経路や被害範囲の調査に必要な端末の特定が完了し、現在第三者外部専門業者によるフォレンジック調査が進められております。

その他の機器や新調達した資源を利用し、現在サービス復旧に向けた基盤構築を進めています。

既に一部基盤については構築も完了している状況です。

バックアップデータを新基盤へ展開するにあたっては、データ自体の安全性・改ざんの確認、悪意の混入の確認を行った上で実施する予定です。

現在バックアップデータのウイルススキャンに着手しております。

新サービス基盤については、社内ネットワークとは完全に切り離した環境として構築しており、アプリケーション自体にも侵入検知プログラムの実装等、従来よりも強固なセキュリティ対策を施す事を前提に進めております。

代替サービスの提供状況

6月22日までにお申込みいただいた代替ホスティングサービスの8割については顧客への配送が完了しております。

また代替Smooth Fileについても顧客へ配布が進んでおります。

ホスティングサービス、Smooth Fileクラウド以外の代替サービスについても、準備を進めております。

その後の漏えい調査結果

ダークウェブ上で公開された情報について、引き続き調査を行っております。

公開されたファイル一覧は、当社の社内ソースコード管理システム内にあったものと「ファイル名及びサイズ」についてほぼ合致している事が確認できております。

また、実際に公開されているファイルの一部を第三者専門業者経由で入手し調査した所、ハッシュ値レベルの照合により約95%以上が実際に当社のソースコードであることが確認できており、その他ファイルも当社のものである確認が取れています。

これら調査結果から、ダークウェブ上で公開された情報は当社の社内ソースコード管理システムから窃取したものであることは間違いないものと考えております。

今後の予定

現在、復旧に向けて必要な安全性強化策を取りまとめ、準備を進めております。

新環境が適切に安全に保たれているかどうかを第三者専門業者と協議の上で最終的な復旧宣言を行う予定です。

ご請求について

本サービス障害に関連するお客様向けのご請求処理については、現在も未だサービス停止中でありSLA範囲の確定がされておりません事から、ご請求等の処理は行わない予定です。

オンプレミス製品ご利用中のお客様向けのご請求処理については、通常通り実施させていただきます。 ご不明点等ございましたら、随時下記お問い合わせ先までご相談ください。

社名変更延期のご案内

2023年7月2日に予定しておりました「株式会社CYLLENGE（呼称：サイレンジ）」への社名変更につきましては、延期することといたしました。 延期後の変更日については現在未定となりますので、決定次第改めてお知らせいたします。 お客様及び関係者の皆様へ深くお詫び申し上げます。ご理解とご了承いただきますよう、何卒よろしくお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-200】フーヅフリッジ株式会社 弊社ウェブサイトへの不正アクセスに関する最終ご報告 2023年7月4日

平素は「フーヅフリッジ」をご利用いただき、誠にありがとうございます。

2023 年 5 月 23 日に掲示いたしました、弊社が運営する「フーヅフリッジ」ウェブサイトが不正に改ざんされ、不適切なウェブページが表示されていたこと、及び注文に関する一部情報が不正にダウンロードされていたことに関して、調査結果のご報告をいたします。

前回のお客様へのご案内から今回の不正アクセスに関して更に調査を進めました。この結果、本件の原因は本ウェブサイトの管理者画面への不正な侵入であることが判明した他、サーバーに残っているログ（昨年 10 月 18 日分まで）を遡り確認したところ、この侵入により不正にダウンロードされた情報は前回報告した 1 件のみであったことを確認いたしました。

なお、不正にダウンロードされた情報は注文情報であり、その項目は“注文番号・注文日時・会員コード”で対象は 916 件です。当該情報からは第三者がお客様を特定できないことを確認しております。このことから、本件による二次被害の生じる恐れはないと考えられます。

本件に対して、弊社では本ウェブサイトの管理者画面へのアクセス制限強化などの対応を実施いたしました。

お客様におかれましては、この度の不正アクセスにより大変なご心配をおかけいたしました事、改めてお詫び申し上げます。今後、このような問題が発生しない様、より一層の注意を払い、「フーヅフリッジ」ウェブサイトの管理を実施してまいります。

今後ともフーヅフリッジをご愛顧いただきますようお願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-257】株式会社プロット 現在発生している障害について（第4報） 2023年6月16日

現在までの調査の結果、ランサムウェア攻撃により当社製品・サービスのソースコード情報及び、社内システムに格納されていた情報が窃取され、昨夜ダークウェブ上で公開された事実が判明いたしました。

公開された情報の詳細な内容については、現在第三者専門業者のアドバイスの下、データを取得し確認を進めております。

侵入経路については第三者の専門業者と連携し調査中ですが、初動対応時の状況や被害状況から、現段階ではメンテナンス用VPN機器の脆弱性を突かれて内部侵入された可能性が高いと判断しております。

その後、サービス基盤の脆弱性を突かれ、基盤上で稼働しているゲストOSが一斉に暗号化されたことによりサービスが停止いたしました。

暫定の代替サービスについては、安全性を高めた形で6月15日より順次出荷を開始しております。

サービス復旧に向けては、現在新設サービス基盤の構築を進めております。

リリース文（アーカイブ）

LockBitの全貌: ランサムウェア脅威アクターの実態と対策

LockBit RaaSとそのアフィリエイトは、世界中の大きな組織や小さな組織に悪影響を及ぼしています。2022年には、LockBitは最も活動的なグローバルランサムウェアグループおよびRaaSプロバイダーでした。LockBitは、その管理パネルとRaaSのサポート機能の革新と継続的な開発を通じて成功を収めています。LockBitのリークサイトでは、攻撃者が被害者の名前やキャプチャされたデータを公開しています。この公開されたデータは、被害者の企業や組織に対する追加の圧力手段として使用されることが多いです。

LockBitのアフィリエイトは、合法的な使用を目的としたさまざまなフリーウェアやオープンソースのツールを使用しています。これらのツールは、システムの発見、偵察、パスワード/資格情報のハンティング、特権のエスカレーションなどのさまざまな悪意のあるサイバー活動のために再利用されています。PowerShellやバッチスクリプトの使用は、ほとんどの侵入で観察されており、システムの発見、偵察、パスワード/資格情報のハンティング、特権エスカレーションに焦点を当てています。MetasploitやCobalt Strikeなどのプロのペネトレーションテストツールの痕跡も観察されています。

具体的に、LockBitアフィリエイトが再利用するために使用する一部のフリーウェアやオープンソースツールのリストが文書に記載されています。これらのツールはすべて公に利用可能で合法的です。しかし、これらのツールが脅威のアクターによって使用される場合、それはそのツール自体が悪意を持っているわけではありません。むしろ、これらのツールはその機能や機能性のために悪用されることが多いです。

LockBitアフィリエイトが使用するフリーウェアおよびオープンソースツールには、以下のようなものがあります。

• FreeFileSync:
  クラウドベースのファイル同期を容易にし、データのエクスフィルトレーション（不正なデータ外部への転送）のために使用されます。

• GMER:
  ルートキットを削除するためのツール。EDR（Endpoint Detection and Response）ソフトウェアを終了し、削除するためにも使用されます。

• Impacket:
  ネットワークプロトコルを操作するためのPythonクラスのコレクション。被害者のネットワークへのアクセスやエクスプロイトのための資格情報を収集するために使用されます。

• LaZagne:
  複数のプラットフォームでのシステムパスワードの回復を目的としたツール。

• Ligolo:
  ペネトレーションテストのための逆接続からSOCKS5またはTCPトンネルを確立します。被害者のネットワーク内のシステムへの接続を逆トンネリングを介して可能にします。

• LostMyPassword:
  Windowsシステムからのパスワードの回復を目的としたツール。

• MEGA Ltd MegaSync:
  クラウドベースのファイル同期を容易にし、データのエクスフィルトレーションのために使用されます。

出典：UNDERSTANDING RANSOMWARE THREAT ACTORS: LockBit

【搭乗記】ベトナム航空VN300便（ベトナム・ホーチミンシティ・タンソンニャット国際空港⇒東京・成田国際空港）

 

デルタ航空のマイル（通称：スカイペソ）でハノイからホーチミンを経由して日本に帰る。

今回はホーチミン⇒成田の搭乗記。

なのでスタートはホーチミンの国内線ターミナルから。

往路で使った関西国際空港は国内線と国際線が同じターミナルだったが、ホーチミンはターミナルが別だった。

とりあえず国内線ターミナルを出てどう行こうか思案していると、そう遠くない位置に国際線ターミナルが見える。

なんか歩いて行けそうなので、標識を頼りに徒歩移動を試みる。

そしたら無事国際線ターミナルに到着。出発ロビーは上階なので、上に上がる。

搭乗券はハノイで発券済みなので、そのまま出国審査と手荷物検査に進む。

マレーシアのKLIAはビジネスクラスチケットを持っているとVIPレーンが使えたが、ベトナムはVIPレーンそのものが存在しない模様。平民らしく潔く行列に並ぶ。

ベトナムは最初に出国審査をして、その後手荷物検査に進むパターンだった。

手荷物検査場では係官に呼び出されてカバンの中身を見せるハメに。引っかかったのは紙幣の様だった。今回はカバンに未使用のドル札とバーツ札とドン札（いずれも小額）を入れていたのだが、枚数が多すぎたのか、引っかかってしまったらしい。このパターン、モロッコ出国時の手荷物検査を思い出す。。。

ドル札とバーツ札とドン札をすべてチェックされ、無事解放されたのでラウンジに向かう。

ラウンジは結構混んでいた。何とか席を見つけるが、ハノイでのアフタヌーンティーと前便の機内食で腹パン状態なので、水だけを頂く。

感覚的にはハノイの国内線ラウンジの方がすごかった印象。やっぱり国内線ラウンジでヌードルバーはすごいと思った。

前便が遅延したせいで、ラウンジ滞在時間は30分強程度となてしまった。時間になったので、搭乗ゲートに向かう。

搭乗ゲート到着。成田行きはゲート26、仁川行きがゲート27。ちなみに前便はゲート27前出沖止めしてバスに乗って国内線ターミナルに移送されたので、その後再び徒歩で同じ場所まで戻ってきたことになる。

もし仁川行きの便に搭乗予定だったら、国内線と国際線で同じ機材に搭乗するという、初の体験ができたので、ちょっと残念。

程なくして搭乗開始。成田行きはB787-9。前便よりちょいと胴体が短いB787

アメニティについては予め座席にセットされていました。

内訳：ベトナム航空オリジナルのスリッパ、ポーチ、枕、ブランケット

スリッパはベトナム航空のタグが縫い込まれたいい感じのやつなので、有難く持って帰ることにする。

しばらくしてお手拭きとウェルカムドリンクのサービス。シャンパンも選択可能だが、レモンミントジュースを選択。

カタール航空の専売特許だと思っていたものがベトナム航空航空でも味わえてハッピーな感じ。

座席について簡単に紹介すると、ディスプレイ用コントローラー、イヤホンジャック、USBポート、座席のリクライニングスイッチが座席の左手側に。

コントローラーの更に左側に読書灯。

イヤホンジャックの右側にはヘッドセットがあらかじめ備え付けられえていました。

ヘッドセットの下の方にコンセントも装備。

そうこうしているうちに機内食メニューが配られます。

食事は着陸の3時間前とのこと。

離陸前に食事のオーダーを取りに来てくれるので、ライスヌードル（フォー）をリクエスト。

メニューによると「ご要望によりシリアルとミルクをご用意します」との記載があり、貧乏根性丸出しでシリアルとミルクもリクエスト。

冷静に考えるとシリアルとミルクとフォーってなんかピンとこない組み合わせ・・・。

ドリンクは前回に引き続きベトナム風ホワイトコーヒーを依頼。

準備が整ったところで、いざ離陸。ありがとうベトナム。

そして離陸後はさっさと就寝。

沖縄上空を超えてきたところで、機内が明るくなり、食事のサービスが始まる。

ざっくり、ベトナム時間で午前2:30頃、日本時間で午前4:30頃に朝食を頂きます。

ベトナム航空で機内食にフォーがあったら、無条件でフォー選ぶよね。

悔いを残さないようにフォーの食べ収めを行うが、このフォーの鶏肉、やたら硬かった・・・。

ちなみにベトナム風ホワイトコーヒーを頼んだものの、普通のアメリカンコーヒーみたいな感じだった。

食事が終わると、着陸までまだ2時間弱あるので、再びフルフラットでのんびりくつろぐ。

そうこうしているうちに成田着陸。

1週間前の予報だとちょうど着陸のタイミングで台風が関東直撃なんてことになっていたが、結局関東はそれて近畿直撃となり、無事着陸することができた。

3フライト連続でビジネスクラスに搭乗し、体が少し贅沢病になりかけているので、最後はLCCならぬ、LCBで帰ることにする。

【Playback of flight VN300 on 15 AUG 2023】