【セキュリティ事件簿#2023-508】大東市立生涯学習センターアクロス　当センターメールアカウントへの不正アクセスのお詫びとご報告

2023年12月13日、当センターのメールアカウント(info@daito-across.jp)が第三者による不正アクセス攻撃をうける事象が発生し、調査・対応しましたのでお知らせします。

不正アクセスに伴って、当センターを装った「なりすましメール」が不正に発信されているという事実を確認いたしました。

本件に関しまして、再発防止に向けた対策を実施してまいります。関係者の皆様には、多大なるご迷惑およびご心配をおかけしますことを深くお詫びいたします。

経緯及び対応2023年12月13日1時頃、当センターを装った「なりすましメール」が大量に配信されていることを検知、アカウントを一時凍結しました。

これを受けて調査した結果、当センターのメールアカウントに対して不正アクセスが行われていることが判明しました。

不正アクセスされていたメールアカウントのパスワードについては12月13日に変更を行いました。

影響範囲および今後の対応daito-across.jpドメインをつかった複数の不正メールが送信された事象を確認しています。

また上記アカウントのメールボックス内の情報がダウンロードされた痕跡はいまのところ確認されておりませんが、メールボックス内の情報にアクセスできた可能性がございます。

当センターとしては、本件について引き続き調査を進めるとともに、調査結果を踏まえ、セキュリティ強化策を実施し、今後は更に不正アクセスを防止するための再発防止策を講じてまいります。今後、新たにお知らせすべき内容が判明した場合、速やかに情報を開示いたします。

当センターを装った不審メールにつきまして万一、当センターのメールを装った不審なメールが届いておりましたら、本文中に記載されているURLをクリックしたり、添付されているファイル等を開封したりせず、メールごと削除していただきますようお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-507】北海道銀行　個人情報漏えいに関するお詫びとご報告

この度、北海道銀行（以下、当行）におきまして、下記の個人情報漏えいが発生しました。

お客さまにおかれましては、多大なるご迷惑とご心配をおかけする事態になりましたことを心よりお詫び申し上げます。

お客さま情報の厳重な管理を求められる金融機関といたしまして、今回の事態を重く受け止め、情報管理につきましては、役職員に対し教育を徹底し再発防止に努めてまいります。

１．事案の概要

2023 年 12 月 18 日 10 時 50 分頃、毎月データを送信している相手先に対して、本来お渡しすべきデータの他、誤ってお渡しすべきでない個人情報が記載されたファイルを電子メールに添付して送信しました。

同日 11 時頃、当行側で誤ったファイルを添付したことに気づき、直ちに相手先を訪問し当日中にデータを削除していただいたことを確認しており、二次流出の懸念はないものと認識しております。

２．漏えいした個人情報

（１）2023 年 12 月 1 日から 2023 年 12 月 15 日までの期間において、「ほくほくPay」の決済口座を当行に登録されているご利用者のカタカナ氏名・ご利用金額・ご利用日時等（210 名）。

（２）2023 年 12 月 1 日から 2023 年 12 月 15 日までの期間において、「ほくほくPay」が利用された店舗（加盟店）運営者である個人事業主の漢字氏名（2 名）。

※氏名以外の個人を識別できる情報（住所、電話番号、口座番号、預金残高等）は含まれておりません。

３．発生原因

当行では電子メール送信の際は、担当者・検証者による 2 名での手続きを経て送信を行っておりますが、担当者・検証者ともに添付ファイルの内容確認を十分に行わなかったことが原因です。

４．再発防止策

役職員に対し個人情報の重要性と厳格な管理を改めて周知し、電子メールの運用ルールを徹底させ再発防止に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-020】オープンワーク株式会社　個人情報漏えいに関するお詫びとご報告

この度の「令和六年能登半島地震」によって、お亡くなりになられた方々のご冥福を心よりお祈り申し上げますとともに、被害にあわれた方々にお見舞い申し上げます。被災された地域の皆様の安全と、一日も早い復興をお祈り申し上げます。

当社が運営する転職・就職のための情報プラットフォーム「OpenWork」上で収集した個人情報について、弊社から配信するメールの設定不備により、一部ユーザー様の個人情報漏えいが起きていることが発覚いたしましたのでご報告いたします。

2024 年 1 月 22 日から 1 月 24 日にかけて弊社から配信した一部のメールについて、ユーザー様の「氏名」および「求人の閲覧履歴（最大で直近 5 件分）」が他のユーザー様に誤って送信されておりました。

本件発覚後、すみやかに該当メールの配信を停止しております。

本件の対象となるユーザー様には順次、ご連絡いたします。ユーザーの皆様および関係各位の皆様に多大なご迷惑とご心配をおかけしていることを、ここに深くお詫び申し上げます。

本件に関する概要と対応について、下記の通りご報告いたします。

1．概要および当社の対応について

2024 年 1 月 22 日に一部ユーザー様向けメールの設定を変更し、メールを配信いたしました。1 月 24 日に誤送信に関する問い合わせがあり、社内の調査によって、ユーザー様の個人情報が他のユーザー様に誤って送信されていることを確認し、同日、13 時 10 分に該当メールの配信を停止しております。

2．メール誤送信の詳細

■事象：

以下の期間に OpenWork から配信した一部のメールにおいて、ユーザー様（A）の「氏名」および「求人の閲覧履歴（最大で直近 5 件分）」を他のユーザー様（B）に送信しておりました。

■対象：

A に該当する人数：98 名

B に該当する人数：2,094 名

■期間：

2024 年 1 月 22 日～2024 年 1 月 24 日

3．ユーザーの皆様への対応について

2024 年 1 月 24 日 13 時 10 分に該当のメール配信を停止いたしました。また、本件の対象となるユーザー様には順次、ご連絡させていただきます。

4．再発防止策について

今回の事態を重く受け止め、今後このような事態が発生しないよう、個人情報保護の重要性等についての社内教育を徹底するとともに、個人情報取り扱いフローの見直しなど内部管理体制のより一層の強化とコンプライアンスの徹底に取組んでまいります。なお、本件は個人情報漏えいに該当致しますので、JIPDEC への報告を速やかに行います。

この度は、ユーザーの皆様および関係各位の皆様へ多大なご迷惑をおかけしますこと、重ねてお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-019】滋賀レイクス　Googleフォーム誤操作による企画申込者の個人情報漏えいについて

1月23日に発信したフードメニューの購入事前予約受付において、WEBフォームの設定ミスにより、申込者22名の個人情報が一時的に他の申込者から閲覧できる状態となっておりました。

対象となった皆様に、多大なご迷惑をおかけしましたことを深くお詫び申し上げます。

概要

株式会社滋賀レイクスターズでは、1月31日のホームゲームで数量限定で販売予定のフードメニュー「ダンク3兄弟トマホークステーキ」のオンライン時前予約の受付を、23日午後6時40分頃に一般公開いたしました。

その際、受付に使用したGoogleフォームの設定で「結果の概要を表示する」をONに切り替えた状態で公開しており、申込画面で記入事項を送信した後に画面表示される「前の回答を表示」というボタンを押すと、その時点で申込が完了している方の氏名、メールアドレス、電話番号が閲覧できる状態となっておりました。

弊社の公式WEBサイト問い合わせフォームより本件の指摘があり、事態を認識した弊社スタッフが同日午後10時30分頃に設定切り替えを行いましたが、その時点までに申込をいただいていた22名の個人情報が一時的に申込者から閲覧できる状態でした。

なお、設定切り替え以降は、閲覧可能な状態は解消されております。

弊社対応

24日に、対象となる22名へ電子メールと個別の電話により、事態のご説明とお詫びの連絡を行っております。

また、弊社がGoogleフォームで運用しているWEBフォーム受付を全社的に確認し、同様の誤設定はなかったことを確認しております。

原因

Googleフォームで申込フォームを作成後、担当者が「結果の概要を表示する」をONにする誤操作を行っておりました。社内では質問項目のダブルチェックを行っておりましたが、デフォルト設定では当該設定はOFFであるため、全設定が正常であるかの確認は十分に行われておりませんでした。

再発防止策

再発防止に向けて、個人情報の収集および管理の際に遵守すべき事項を、改めて全社員に周知徹底してまいります。

また、今後も継続的に個人情報保護および情報セキュリティ教育を徹底し、情報管理への感度の引き上げを図るとともに、全社的な情報管理体制の強化に取り組んでまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-018】ベルサンテグループ　ホームページ改ざん被害に伴う復旧不審メール送信によるメールアドレス流出

平素は格別のお引き立てを賜り、厚く御礼申し上げます。

2023年12月24日に、当社サーバーが、第三者による不正アクセス被害を受けました。

関係者の皆様には深くお詫びを申し上げますとともに、今般、第三者調査機関による調査が完了いたしましたので、弊社ホームページ改ざん被害に伴う復旧及び不審メール送信によるメールアドレス流出状況の検証結果をご報告いたします。

なお、既に当社サーバーは復旧しており、現時点では業務への影響がないことを併せてご報告させていただきます。

【弊社ホームページ改ざん被害内容及び復旧について】

2023年 12 月 24 日未明に、何者かにより弊社ホームページが改ざんされたことが判明いたしました。弊社データは外部業者が保守しているサーバーにて管理しておりましたが、そのサーバー内に侵入及び改ざんされたことが確認されております。復旧のため、まずは侵入される前のデータの安全確認を行った後に、新たな外部クラウドサーバーにてホームページの運用を2023年 12 月 28日より開始いたしました。またスタッフ専用サイトにつきましては、より安全確認に時間を要したため、1 月17日に復旧いたしました。

尚、一部データが見れない状況のため、今後修正していきます。

【不審メール送信によるメールアドレス流出経緯、及び流出状況報告】

2023年12 月 24 日未明に、弁護士を名乗った送信者より、下記内容のメール送信がなされました。

・ベルサンテ株式会社が業績悪化の為、12 月 24 日付で破産手続きを開始した。

・今後の対応は破産管財人及び顧問弁護士が行う。

送信先：弊社派遣スタッフ（過去勤務者を含む）

被害確認後、早急に各サーバーの状況確認を行い、多くの個人情報や顧客情報を管理するサーバーへの被害が無い旨を確認しましたが、 2020 年 7 月 22 日まで使用していたメール送信システム（外部業者が保守しているサーバーにて管理）に何者かが侵入し、そのシステム内よりメールを送信されたことが判明いたしました。そのシステムでは当時勤務いただいておりましたスタッフの方専用のメール送信用として活用していたシステムとなります。そのシステム内には一部のメールアドレスを保存しており、その一部が侵入者に閲覧された可能性があると確認いたしました。

改めまして、関係者の皆様には、心よりお詫び申し上げます。

尚、メールアドレス以外の個人情報については、安全確認がなされたサーバーにて管理しており、そのサーバーへのウィルス感染はもちろん、部外者からの侵入形跡もなく、脆弱性もないことにより、個人を特定する情報（名前、住所、電話番号、マイナンバーなど）は一切外部へ流出していないことが確認されました。

当社では、不正アクセス防止の措置及びセキュリティ対策について努めて参りましたが、このたびの事態を厳粛に受け止め、今後、個人情報等の保護・対策について徹底して参りたいと存じます。

皆様には、大変ご心配とご不便をおかけいたしましたが、今後とも何卒よろしくお願いいたします。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-017】プラズマ・核融合学会　個人情報漏えいに関するお知らせとお詫び

このたび、本学会 2002 年当時の会員名簿ファイルが WEB にて検索可能となっていることが判明したため、当該ファイルの削除を行うと共に 2023 年 12 月 8 日に個人情報保護委員会へ報告しました。

2023 年 12 月 5 日に旧会員の方からの指摘があり、調査したところ、当時会員名簿電子化作業を行っていたサーバー機にデータが保存されたままとなっており、2023 年 7 月 29日に機種更新を行った際の設定不備により、2002 年時点での 3,262 名の会員情報 (旧会員を含む) に関して検索可能となっておりました。会員情報として、名簿作成当時の会員の氏名、連絡先、学会会員番号、所属などの情報が含まれておりますが、クレジットカード情報などお金に関わる情報はございません。

本事案判明後、当日中に当該サーバー機をネットから切り離し、当該ファイルの削除を行うと共に、検索サイトへのキャッシュの削除依頼などを実施し、 12 月 27 日までにキャッシュデータが削除されたことを確認しました。

対象となりました会員の皆様には多大なご迷惑をおかけいたしましたこと心からお詫び申し上げます。本学会では、これまでも個人情報取扱いにあたり、厳格な取扱いと管理に努めてまいりましたが、このたびの事態を厳斎に受け止め、再発防止に向けて個人情報管理体制についてあらためて強化改善を図ってまいります。

リリース文（アーカイブ）

パープルチーム向け無料セキュリティ・ツール

セキュリティの世界にはレッドチーム、ブルーチーム、パープルチームという概念が存在する。

レッドチーム:

レッドチームは、攻撃者の役割を担うチームです。彼らは、システムやネットワークに対する潜在的な攻撃手法を模倣し、セキュリティの脆弱性や欠陥を発見するために活動します。レッドチームは、ペネトレーションテストや攻撃シミュレーションなどの手法を使用して、実際の攻撃者が使用するであろう手法を模倣します。

ブルーチーム:

ブルーチームは、防御側の役割を担うチームです。彼らは、システムやネットワークを保護し、攻撃から守るためのセキュリティ対策を実装および維持します。ブルーチームは、脆弱性の管理、侵入検知システムの運用、セキュリティポリシーの策定など、防御的なセキュリティ対策に焦点を当てます。

パープルチーム:

パープルチームは、レッドチームとブルーチームの活動を統合し、相互作用を促進するチームです。彼らは、攻撃側の視点と防御側の視点の両方を理解し、セキュリティ対策の改善や脅威への対応を行います。パープルチームは、レッドチームとブルーチームの間で情報共有や訓練を行い、より効果的なセキュリティ対策を実現します。

今回はパープルチーム向けのセキュリティツールを紹介する。

Defender-Pretender

Windows Defender のエンドポイント検出と対応 (EDR) アーキテクチャを乗っ取るために開発されたオープンソースツール「Defender-Pretender」は、特権を持たないユーザーに Defender の管理データを削除する権限を与えます。

SafeBreachの研究者たちは、Black Hat USAでDefender-Pretenderをデモンストレーションし、このツールを使ってOSやドライバファイルを削除したり、検出と軽減ロジックを改ざんすることでWindows Defenderの動作を変更する方法を示しました。

PyRDP

PyRDP自体は目新しいツールではありませんが、このオープンソースの Remote Desktop Protocol (RDP)傍受ツールの開発者が、過去3年間にわたって取得した膨大なハニーポット研究成果をBlack Hat USAで発表しました。

GoSecureチームは、PyRDPを「Python用のモンスター・イン・ザ・ミドル」ツールおよびライブラリと呼び、RDP接続をリアルタイムまたは事後に監視することができます。このツールはハニーポット研究だけでなく、悪名高いリビング・オフ・ザ・ランド攻撃を仕掛けるためのRDP接続を使った攻撃セキュリティ作業にも幅広い可能性を提供します。

BTD

今後、セキュリティ研究者たちが敵対的なAI攻撃の可能性を探るにつれて、モデル抽出がますます注目されるようになるでしょう。これらの攻撃は、モデルに対する体系的なブラックボックスクエリを行う方法や、モデルについて多少の知識がある場合やそれに関連するアーティファクトにアクセスできるホワイトボックス攻撃などを通して、AI/MLモデルの詳細を盗むことを可能にします。

Black Hat で注目されたユニークなツールの一つが、BTD です。これは、最初の深層ニューラルネットワーク (DNN) 実行ファイルデコンパイラです。このツールは、x86 CPU 上で動作する DNN 実行ファイルを入力とし、完全なモデル仕様を出力することができます。

HARry Parser

HARry Parserは、オープンソースの Python 製 .har ファイル解析ツールです。Web ページ上にどのようなトラッカーが存在するかを詳細に把握することを目的として、Agelius Labs によって開発されました。Black Hat USA では、このツールを使って現在のオンライントラッキングの深淵を解き明かすデモンストレーションが行われました。サーバーサイドトラッキング、コンテンツデリバリーネットワーク (CDN)、デバイスフィンガープリンティングなどの追跡方法に加え、電子メールピクセル、支払い取引データ、アクティビティトラッカーがどのように個人情報漏洩を引き起こす可能性があるかも解説されました。

また、HARry Parserは、ユーザーが望まない情報をオンライン閲覧中に共有することを防ぐための具体的な手段を学ぶのにも役立ちます。

PowerGuest

PowerGuest は攻撃セキュリティ評価ツールであり、Azure AD で限定されたゲストアクセスから、権限のないアクセス、さらに企業の SQL サーバー、SharePoint サイト、KeyVault アクセスなど機密性の高いビジネスデータやシステムへのアクセスに至るまで、アクセス権限をエスカレートすることができます。このツールは、Microsoft のローコード/ノーコードプラットフォームである PowerPlatform を介して共有された資格情報を利用してこれを実現します。

このツールの手法と設計上の弱点は、マイケル・バーギュリー氏によるブリーフィングセッションで詳しく説明されました。また、PowerGuest 自体も別の Black Hat Arsenal セッションで注目され、デモンストレーションが行われました。

出典：10 Free Purple Team Security Tools to Check Out

【セキュリティ事件簿#2024-016】「弥生のかんたん開業届」における個人情報漏えいに関するお詫びとご報告

弥生株式会社は、当社が提供する「弥生のかんたん開業届」サービスにおいて、入力いただいた情報が漏えいした可能性があることを確認いたしました。対象のお客さまをはじめ、関係者の皆さまに多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。なお、事象検知から現時点までにおいて、対象情報が不正利用された事実は確認されておりません。

現在、原因となったシステム不具合は改修を完了しており、以後、同事象は発生しておりません。今回の事象は、対象期間と対象条件(後述)において、「弥生のかんたん開業届」をご利用いただいた方に発生しました。対象数は152 ユーザーです。対象数には、ご自身の情報が他ユーザー1名に閲覧された、もしくはその可能性がある方、他ユーザー1名の情報を閲覧できてしまった、もしくはその可能性がある方が含まれます。

対象のお客さまへは、当社カスタマーセンターから、順次ご連絡を差し上げております。お忙しい中、誠に申し訳ございませんがご対応いただけますようお願い申し上げます。

なお、当事象は不正アクセス等に起因するものではなく、「弥生のかんたん開業届」のシステム不具合により発生しました。また、当社が提供する「弥生シリーズ」をはじめとした業務ソフトウエアおよび各サービスへの影響はございません。

現時点（2024年1月26日(金) 15時）での情報は下記のとおりです。今後も新たな事実が判明した場合は、当お知らせを随時更新し情報発信を行います。

1.事象の概要

(1)発生事象とシステム対応

以下「2」に記載する対象期間かつ対象条件において、「弥生のかんたん開業届」サービス利用者のみがダウンロードできる書類データ(PDF)*にて、入力した本人とは異なる別ユーザーの情報が反映された書類データがダウンロードされ、それを閲覧できた可能性**があることがわかりました。お客さま(以下、A様)からお問い合わせをいただき、当事象を検知しました。その後、調査を行い原因を特定、システム改修は2024年1月15日(月) 16時25分に完了しております。なお、事象検知から現時点までにおいて、対象情報が不正利用された事実は確認されておりません。

*書類データ(PDF)の書類数と情報内容は、お客さまの入力内容によって異なります。詳細は「3」をご確認ください

**「可能性」と記載している理由：調査の結果、対象数のうち、書類データに問題無いユーザーも含まれている可能性があることがわかりました。一方でそれ以上の特定がシステム上、難しいことも判明したため、当お知らせでは「可能性」と記載しております。今回は可能性のある方をすべて対象数とし、対応と公表をすることといたしました

2. 対象のお客さま

(1)対象サービス

「弥生のかんたん開業届」

個人事業主が事業を開始する際に必要な書類を作成できる無料のクラウドサービスです。サービスへのログイン後に使用することができます。

(2)対象期間と対象条件

2023年2月28日(火)～2024年1月15日(月)
「弥生のかんたん開業届」内にある書類データのダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0～2秒以内)で2人同時に*行われた場合

*「2人」のうち、1人は本人(入力した自身)の情報、もう1人は自身が入力したものとは異なる情報が閲覧できる状態であった可能性。また、 3人以上が同時に押したケースは確認しておりません

(3)対象数と件数

①　対象数は152ユーザーです。以下が含まれます。

ご自身の情報が他ユーザー1名に閲覧された、もしくはその可能性があるユーザー
他ユーザー1名の情報を閲覧できてしまった、もしくはその可能性があるユーザー

②　①のうち、閲覧された/したの関係性にある可能性がある件数は79件*

*関係性にある可能性という事実までは確認できておりますが、システム上、どちらが閲覧した/されたの特定はできておりません

3. 対象情報

(1)閲覧された可能性のある情報

「弥生のかんたん開業届」からダウンロードされた書類に記載されていた項目

氏名、生年月日、住所、電話番号、職種、事業概要、屋号、事業開始（予定）日、従業員がいらっしゃる場合は従業員数、従業員にご家族が含まれる場合はご家族の情報（続柄、氏名、年齢、従事する仕事内容、経験年数、従事の程度、保有資格、給与/賞与の支払時期・金額）
以下の書類に入力された項目（入力内容によってダウンロードされる書類が異なります）
個人事業の開業・廃業等届出書
所得税の青色申告承認申請書
青色事業専従者給与に関する届出書
源泉所得税の納期の特例の承認に関する申請書
給与支払事務所等の開設届出書

*お客さまが入力された情報、ダウンロードされた書類の種類により、該当する情報は異なります

当サービスへのログイン時に必要となる弥生ID（メールアドレス）および各種パスワードは含まれておりません。また、クレジットカード番号やマイナンバーは当サービスの利用において取得しておらず、含まれておりません。

4. お客さまへの対応

(1)当社からお客さまへの対応

2024年1月25日(木)に当お知らせを公開*
対象となるお客さま(前述「2」)へ個別連絡を随時実施しております**

*今後も新たな事実が判明した場合は、当お知らせアナウンスを随時更新し情報発信を行います

**前述1-(1)で当社へ問い合わせをいただいたA様に関連する事象については、A様が閲覧された先のB様を特定後、A様にて該当データの削除を完了いただいております。B様へも当社から個別連絡を行っております。

(2)当件においてご不安や確認事項があるお客さまへ

当件においてご不安を持たれた方
心当たりのない不審な電話、郵送物、電子メールが届くような事象が発生した方(応答や開封にご注意ください)
そのほか、当件について確認事項等がある方

専用お問い合わせ窓口までご連絡ください。

5. 当事象の発生検知と原因、影響範囲

(1)発生検知と原因

発生検知

2024年1月15日(月) 9時47分、当社カスタマーセンターにて「弥生のかんたん開業届にて、書類をダウンロードした際、別ユーザーの情報が表示されている」とのメールお問い合わせを確認し、当事象を検知しました。

発生原因

検知後すぐに当サービスの開発委託会社とともに調査を行いました。事象の詳細としては、ダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0～2秒以内)で2人同時に行われたことを起因として、当事象が起きる可能性があるというものでした。先に内部処理が完了したデータ（以下、データA）が、後に同処理が完了したデータ(以下、データB)に上書きされ、データAをダウンロードすべき対象者にデータBがダウンロードされた可能性があるという状態でした。

原因に対するシステム改修は、当事象を検知した当日中(2024年1月15日)に完了しており、以後は発生しておりません。

(2)影響範囲

当事象は不正アクセス等に起因するものではなく、「弥生のかんたん開業届」のシステム不具合により発生しました。また、当社が提供する「弥生シリーズ」をはじめとした業務ソフトウエアおよび各サービスへの影響はございません。

6. 今後の取り組み

当事象の検知後、原因の検証と改修を行ってまいりました。検証結果を踏まえ、再発防止に向けた議論と対応を当サービスの開発委託会社とともに継続的に取り組んでまいります。

このたびはご利用のお客さまおよび関係者の皆さまにご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

リリース文（アーカイブ）

登録: 投稿 (Atom)