| 日付 |
タイトル・内容 |
| 29日 |
 |
|
|
PHPで作成されたWebアプリケーションにメールの送信機能を追加するためのライブラリ「PHPMailer」にOSコマンドインジェクションの脆弱性が存在し、攻撃コードが公開されている。
「PHPMailer 5.2.18 より前のバージョン」には、OSコマンドインジェクションの脆弱性(CVE-2016-10033)が存在する。この脆弱性が悪用されると、想定される影響はWebアプリケーションの実装によるが、Webアプリケーションの実行権限で任意のOSコマンドが実行される可能性がある。
【対応】
開発者が提供する情報をもとに最新版へアップデートが必要 |
|
IPA・JPCERT/CC |
|
|
|
| 28日 |
|
|
|
2016年第3四半期に観測されたフィッシング攻撃は、20万1002件となり、3四半期連続で20万件を超えた。
EMCのセキュリティ部門であるRSAの不正対策指令センター(AFCC)が、2016年第3四半期に観測したフィッシング攻撃の状況報告。
同四半期のフィッシング攻撃は20万1002件。過去最悪となった前四半期の51万6702件から大幅に減少した。しかしながら、10万件台前半で推移してきた従来の水準を大きく上回っており、2016年第1四半期に次いで過去3番目に多い規模となった。
フィッシングを受けた回数を国別に見ると、「米国」が前期に引き続き最多で、全体に占める割合は前期から6ポイント上昇して54%。2位以下は「カナダ(13%)」「スペイン(8%)」「インド(7%)」「南アフリカ(7%)」と続く。フィッシングサイトのホスト国では、「米国」が64%と突出している。前四半期から4ポイント増加した。
日本国内の状況を見ると、同四半期にホストされたフィッシングサイトは77件で、前四半期の9件を大きく上回った。前年と比較すると1割ほど多い状態で推移している。 |
|
|
|
|
|
| 28日 |
|
|
|
2016年第3四半期のクレジットカードの不正使用被害は、34億1000万円で、番号の盗用が62.9%を占める。
日本クレジット協会が国際ブランドカードを発行している会社を中心に、銀行系カード会社、流通系クレジット会社、信販会社、中小小売商団体などにおける被害状況についての調査報告。
同四半期におけるクレジットカードの不正利用被害額は34億1000万円で、前四半期の35億7000万円から減少したものの、2015年第3四半期に30億円を突破し、2015年第4四半期以降35億円前後と高い水準で推移。
2016年は、第3四半期を終えた時点で被害額はすでに106億8000万円に達しており、2015年の120億円を上回ることはほぼ確実とみられる。
2016年第3四半期の不正被害における内訳を見ると、番号の盗用被害が21億7000万円と62.9%を占めており、偽造カードによる被害の6.4億円を大きく上回る。
また番号盗用被害における国内外の内訳を見ると、国内が65%、海外が35%だった。 |
|
|
|
|
|
| 27日 |
|
|
|
Wireshark Foundationが無償提供する高機能なネットワークプロトコルアナライザである「Wireshark」のWindows版「Wireshark 2.2.3 より前のバージョン」および「Wireshark 2.0.9 より前のバージョン」には、WinSparkleに存在する問題が原因でユーザの意図しないディレクトリやファイルが削除される脆弱性(CVE-2016-7838)が存在
【対応】
開発者が提供する情報をもとに最新版へアップデートする必要 |
|
IPA・JPCERT/CC |
|
|
|
| 26日 |
|
|
|
情報処理推進機構(IPA)が10月6日から12日にかけて実施した意識調査(13歳以上のスマートデバイス利用者5000人)の結果スマートデバイスがマルウェアに感染した経験を持つユーザーは5.3%で、そのうち4人に1人が、友人や知人の情報が保存された電話帳情報の流出が発生していた。
スマートデバイスを標的としたマルウェアを認知している1458人のうち、スマートデバイスがマルウェアに「感染したことがある」と答えたのは5.3%。また25.9%が「感染したことはないが、セキュリティ対策ソフトなどで発見したことがある」としており、「感染、発見したことはない」は65.2%だった。
感染経験があると回答した77人に被害内容について聞いたところ、48.1%において端末利用者自身の個人情報流出が発生。友人や知人の情報を含む「電話帳情報」の流出や、不正な請求メッセージの表示など、いずれも26%が経験していた。また6.5%ではスマートデバイスがロックされ、利用できなくなったほか、3.9%は金銭的な被害が生じていたという。「特に被害はなかった」が23.4%だった。
被害への対処法では、「スマートデバイスメーカーに相談」が61%でもっとも多く、「携帯電話会社に相談(28.8%)」「販売店に相談(20.3%)」「サービスの提供会社に相談(16.9%)」と続く。また6.8%が「何もしなかった」 |
|
|
|
|
|
| 26日 |
|
|
|
楽天はグループが策定した拘束的企業準則(BCR)が、12月24日にルクセンブルクのデータ保護機関より承認を取得した。
同社のBCRについて、同国の「Commission nationale pour la protection des données」をはじめ、フランス、スペイン、イギリス、オーストリア、ドイツ、アイルランド、エストニアのあわせてEU8カ国のデータ保護機関より、適切な保護措置を備えているとして承認を得たもの。
日本はEUよりデータ保護について十分性認定を受けておらず、持ち出すことが違法となるが、同承認の取得により、同社グループにおいて欧州経済領域外へ個人情報の移転が可能となった。同社では、今回のBCR承認を踏まえ、2018年5月に施行される「データ保護規則(GDPR)」に向けて準備を進めている。 |
|
|
|
|
|
| 26日 |
|
|
|
Kaspersky Labは、2016年にランサムウェアによる攻撃をもっとも多く受けた国が日本だったとする調査結果を同社製品の利用者における観測動向から取りまとめた。
2016年にあらたに検知した暗号化型ランサムウェアファミリーは62種類。
亜種は5万4000件以上にのぼった。
1月から4月は1000件前後で推移していたが、5月以降に急増し、8月には1万5484件に達した。
製品利用者144万5434人の端末上でランサムウェアが検知された。全利用者に対する割合を見ると、「日本」が4.4%で最多。次いで「イタリア(4.1%)」「クロアチア(3.2%)」が多かった。
ランサムウェアに遭遇した利用者のうち25.3%が「CTB-Locker」によるものだった。次いで多かったのがは「Locky」でさらに「TeslaCrypt」と続く。
2016年第1四半期に初めて確認された「Locky」は、第2四半期から増加を見せている。
また「CTB-Locker」も拡大を続ける一方、「TeslaCrypt」は第2四半期にプログラムの配布が停止したことにより急速に衰退した。 |
|
|
|
|
|
| 22日 |
|
|
|
【状況】
北海道大学の学生や卒業生の個人情報が保存されたノートパソコンを教員が紛失。
【経緯・原因】
12月6日、先端生命科学研究院の教員が学外でノートパソコンを紛失した。学生と卒業生の氏名やメールアドレスなどの個人情報約1100件が保存されていた。
【対応】
紛失判明後、警察や利用した交通機関へ届け出たが見つかっていない。
同大学では、対象となる学生に書面による報告と謝罪を行っている。 |
|
|
|
|
|
| 22日 |
|
|
|
【状況】
千葉市の市立中学校で、生徒の個人情報や成績情報を保存したUSBメモリを紛失。
【経緯・原因】
12月13日USBメモリを紛失していることに教員が気付いた。同教員は同月8日に学習室でUSBメモリを使用して資料を作成。その後13日に再び使おうとしたところ、紛失に気付いた。校内を捜索したが見つからなかった。
USBメモリには、1年生107人と3年生108人分の理科に関する成績のほか、部活動の生徒81人分の氏名や生年月日、電話番号、および学年便りの原稿に含まれる生徒の写真などが保存されており、セキュリティ対策は講じられていない。
【対応】
対象となる生徒とその保護者を対象に説明会を開き、謝罪を行う。 |
|
|
|
|
|
| 22日 |
|
|
|
Apache Software Foundationが提供する「Apache HTTP Web Server」に複数の脆弱性が存在する。
【状況】
「Apache HTTP Web Server 2.4.25 より前のバージョン」には、Padding Oracle 攻撃(CVE-2016-0736)、DoS攻撃(CVE-2016-2161、CVE-2016-8740)、httpoxy(CVE-2016-5387)、HTTP リクエスト解析処理(CVE-2016-8743)の脆弱性が存在する。
【対応】
開発者が提供する情報をもとに最新版(Apache HTTP WebServer 2.4.25)へアップデートする。 |
|
IPA・JPCERT/CC |
|
|
|
| 22日 |
|
|
|
セゾンカード会員向けサービス「セゾンNetアンサー」の利用者を狙ったフィッシング攻撃が11月に引き続き確認されている。偽サイトが大量に設置されており、フィッシング対策協議会では注意を呼びかけている。
偽サイトはデザインから真偽を判断するのは困難な状態。
確認されたフィッシング攻撃では、「重要:必ずお読みください」といった件名でメールを送信。
「第三者によるアクセスを確認した」と利用者の不安を煽り、暫定措置として利用者の登録IDを変更したとだまして偽サイトへ誘導し、ログインIDやパスワード、メールアドレスのほか、クレジットカードの番号や有効期限、セキュリティコードなどの入力を求めていた。
クレディセゾンでは、同様のデザインで個人情報の入力が必要となる「Netアンサー利用登録フォーム」を公開しており、正規サイトのデータが盗用されたものと見られる。11月に確認されたフィッシング攻撃でも同様のページが公開されていた。
同協議会によれば、誘導先のフィッシングサイトとして、すでに19件を確認しているという。いずれも閉鎖されているが、今後も類似した攻撃に対して注意するよう呼びかけている。 |
|
|
|
|
|
| 21日 |
|
|
|
【状況】
東京工業高等専門学校は、生徒の個人情報が保存されたノートパソコンを、教員が一時紛失したが拾得物として警察に届けられ、その後回収した。
【経緯・原因】
11月24日8時ごろ、教員が通勤の途中でノートパソコンを紛失した。パソコンには、在校生と卒業生の氏名、住所、電話番号、保護者氏名のほか、担当科目に関する成績情報が保存されていた。
警察から拾得物として届けられていると11月29日に連絡があり、回収した。紛失当日から同月28日まで鉄道会社で拾得物として保管され、その後警察に届けられた。
【対応】
回収したパソコンの調査を外部事業者に依頼。個人情報が閲覧や取得された痕跡は確認されなかった。 |
|
|
|
|
|
| 21日 |
|
|
|
【状況】
大阪教育大学の教員が、入試問題の素案や個人情報が保存されたUSBメモリを紛失した。
【経緯・原因】
12月5日に教員がUSBメモリを持ち出し、紛失した。翌6日になくしていることへ気が付いた。
USBメモリには、学会シンポジウム参加者38人の名簿が保存されており、そのうち11人は住所も含む。また、2017年度の入試問題案や作成中の論文、講義に使用するデータやスライドなども保存されていた。
問題のUSBメモリは教員の私物で、セキュリティ対策を講じていなかった。同大では、重要情報や個人情報について、学外への持ち出しを原則禁止している。
【対応】
対象となる関係者に謝罪したほか、紛失した入試問題の素案について使用しないことを決定した。 |
|
|
|
|
|
| 20日 |
|
|
|
「改正個人情報保護法」が、2017年5月30日に全面施行されることが決まった。
12月20日の閣議において、同法の全面施行日を2017年5月30日と決定したもの。これにともない、一部変更となった「基本方針」をはじめ、改正後の同法に関連する「施行令」「施行規則」「ガイドライン」なども同日より施行となる。
また、オプトアウトによる第三者提供に関する個人情報保護委員会への届け出については、同年3月1日から開始となる。 |
|
|
|
|
|
| 20日 |
|
|
|
【状況】
日本プロ野球OBクラブでメールの誤送信により、関係者のメールアドレスが流出した。
【経緯・原因】
12月1日に研修会の受講生へ送信した案内メールにおいて誤送信が発生したもの。送信先のメールアドレス125件を誤って宛先欄に設定して送ったため、受信者間にメールアドレスが流出。
【対応】
今回の件を周知徹底し、複数の職員で確認するなど再発防止に努める。 |
|
|
|
|
|
| 20日 |
|
|
|
【状況】
エディオン会員向けスマートフォンアプリ「エディオンアプリ」で、「パスワードリスト攻撃」によると見られる不正ログインが発生。
【経緯・原因】
会員向けに提供しているスマートフォンアプリにおいて、本来の利用者とは異なる第三者が不正にログインを試みる「パスワードリスト攻撃」が原因。ポイントの不正利用も判明。
【対応】
不正ログインで使用されたアカウント情報について、同社以外で入手されたものであると説明しており、同社経由の情報流出については否定。現在調査を行っている。 |
|
|
|
|
|
| 19日 |
|
|
|
米Proofpointが、2016年第3四半期に同社で観測した脅威動向によれば、悪意のあるJavaScriptファイルが添付されたメールは、前四半期から69%増となり、8月から9月にかけて多数観測され、過去最高を記録した。
悪意のあるドキュメントが添付されたメールの97%は、ランサムウェア「Locky」を感染させるもので、前四半期から28%の増加。
新種のランサムウェアは、2015年第4四半期から1年間で約10倍に拡大した。
なかでもエクスプロイトキットで配布される種類が増加しているが、エクスプロイトキット自体は、活発な活動も見られるものの、ピーク時の2015年に比べると大幅に縮小し、同四半期は、前四半期から65%減となった。
一時流行した「Angler EK」や「Neutrino EK」の代わり、「RIG」が活発化。
また同四半期には、オンラインバンキングを狙うトロイの木馬「Dridex」による大規模な攻撃が発生。
くわえて「Gozi」「Snifula」「Papras」といった別名でも知られる「Ursnif」を使った攻撃も、前四半期から継続。受信者にあわせて内容を高度に最適化したメールが数万から数十万単位で送信されたことが確認された。 |
|
|
|
|
|
| 19日 |
|
|
|
過去3年間にインターネットユーザーの4.5%が「ランサムウェア」の感染被害に遭い、そのうち15.2%が身代金を支払っていたとの調査結果をMS&AD基礎研究所が取りまとめた。支払金額は、5万円以上が3割超に及ぶ。
調査は過去3年間にメールや電話による架空請求、アカウントの乗っ取り、従来のマルウェア、ランサムウェア。フィッシング詐欺、迷惑メール、ワンクリック詐欺など9種類の脅威について、1種類以上を経験したことがある1000人を対象に遭遇した経験や被害の有無、対処など尋ねた。
実際に被害に遭ったり、連絡を受ける、画面に表示がされるなど、脅威に遭遇した人の割合を見ると、
「メールでの架空請求」が48.5%、次いで「ワンクリック詐欺(29%)」「アカウント乗っ取り(26.5%)」と続く。
「ランサムウェア」は11.2%で今回調査対象となった9種類の脅威のなかで遭遇率はもっとも低いが、そのうち40.2%が実際に被害を経験。 |
|
|
|
|
|
| 19日 |
|
|
|
【状況】
神奈川県の県立高校で生徒の個人情報が記載された教務手帳などの所在不明になっている。
12月13日に教員が自宅で作業を行うために教務手帳などを持ち出した際、紛失。
教務手帳には、1年生240人分の氏名や出欠記録、試験の素点および3年生11人分の出欠記録などが記載され、生徒2人分の採点済み解答用紙も含まれている。
【経緯・原因】
教員が帰宅途中、店舗の駐車場に駐車。教務手帳が入った鞄を自家用車に置いて一時車を離れた。買い物後に車へ戻ったところ、後部ドアが半ドアの状態になっており、その後自宅で鞄を紛失していることに気付いた。
【対応】
教務手帳など個人情報が記載された資料を校外に持ち出すには、管理職の許可が必要だが、教員は無断で持ち出していた。
同校では対象となる生徒に説明と謝罪。保護者会を開催する。 |
|
|
|
|
|
| 16日 |
|
|
|
【状況】
家具の通販サイト「hhstyle.com」が不正アクセスを受け、クレジットカード含む顧客情報が流出。
サイトを運営するエイチエイチスタイルによれば、10月23日から11月8日までの間に、クレジットカード決済を利用した顧客の個人情報(クレジットカードの名義や番号、有効期限、セキュリティコードのほか、カード会員の住所)のべ99件が流出した可能性があることが判明。
【対応】
11月8日に情報漏洩の疑いが判明したため、原因と見られる不正プログラムを削除。同サイトを停止して、外部事業者へ調査を依頼。
対象となる顧客にメールと電話で謝罪。またカード決済システムについては、カード情報が同社サーバを通過しない方式に変更したうえで再開。 |
|
|
|
|
|
