日付 |
タイトル・内容 |
20日 |
|
|
|
【状況】
東京都環境局のサイトで二酸化酸素(CO2)の排出量取引に利用する指定管理口座の公表を希望しない名義人396人分の氏名と住所を誤って公開。
名義人情報の公表の可否に関する設定はシステム上で正しく行われていたが、自動作成された公表一覧表には、公表を不可と設定していた名義人の情報が含まれていた。
原因は調査中。
【経緯】
1月17日東京都が委託しているCO2排出量取引制度相談窓口担当者から報告があり問題が判明。サイトでの公開を停止。
【対応】
各指定管理口座の代表連絡先に電話で謝罪。
対象となる名義人に謝罪。
|
|
|
|
|
|
20日 |
|
|
|
【状況】
訪日外国人向け翻訳サービス「OMOTENASHI翻訳」が不正アクセスにより登録者の個人情報(氏名、住所、電話番号、会社または団体名、メールアドレス。クレジットカード情報は不含)が流出。
【経緯】
サービス運営事業者(Uni-Voice事業企画)が1月5日に不正アクセスの痕跡を確認。
サービスを一時停止し、再開に向けて対策中。
【対応】
対象利用者に個別に連絡を取り謝罪。 |
|
|
|
|
|
19日 |
|
|
|
【状況】
TREND MICROが、不正送金マルウェア「Ursnif」を感染させるメールが火曜日を狙って送信される傾向にあると公表。
件名は、「依頼書を」「取引情報が更新されました」「【発注書受信】」「備品発注依頼書の送付」「送付しますので」「発注依頼書」「(株)発注書」などで17日朝から12時までに約2000件を検出。
【対応】
メールには、JavaScript圧縮ファイルを添付しており、実行すると感染するため要注意。 |
|
TREND MICRO |
|
|
|
18日 |
|
|
|
【状況】
大阪府高槻市立中学校の生徒個人情報が保存されたUSBメモリを紛失。
USBメモリには、生徒39人分の氏名や出席番号、行動に関する所見や氏名の記載がない136人分の英語の学習記録などを保存。
同校では、個人所有のUSBメモリを業務で使用することは禁じていた。
【経緯】
1月12日に教員が自宅で業務を行うために個人所有のUSBメモリを持ち出し、帰宅後に紛失が判明。帰宅経路を捜索したが見つからず、13日に学校へ報告するとともに警察へ届け。
【対応】
保護者説明会を開催し、説明と謝罪。説明会に参加できなかった家庭については、個別訪問して謝罪する。
|
|
|
|
|
|
18日 |
|
|
|
【状況】
紛失スマートフォンから電子マネー約290万円分を不正使用された人が、サービス運営する「楽天Edy(エディ)」に損害賠償を求めた訴訟の控訴審判決で、東京高裁が約224万円の賠償を命じた。
【判決理由】
紛失時に取るべき対応を利用者に周知していなかった。
【経緯・原因】
2012年、スマホの紛失に気付き、警察に届け出た上で携帯電話会社で通信サービスの停止手続きを行ったが、楽天Edyには連絡しなかったため何者かに電子マネーの利用額の設定を変更され、約2カ月にわたり不正使用された。
|
|
|
|
|
|
17日 |
|
|
|
【状況】
多くのユーザーがシンプルで簡単に覚えられる「危ない」パスワードを使っている。
2016年に発生したデータ侵害で公になった1000万のパスワードを調査した結果、約17%が「123456」。上位には、「123456789」「qwerty」「password」などがある。
またよく利用されるパスワードトップ10のうち4つが6文字以下という結果。
これらは攻撃者は総当たり攻撃で簡単に見破ることができ、オンラインアカウントに不正にアクセスされる可能性が高い。
【対応】
サービス提供側は、スマートフォンを利用した2要素認証を提供したり、簡単な見破られやすいパスワードを禁止することなどで対策を急いでいる。
調査結果における情報リテラシーの低さは、組織と個人の双方に責任があると考えられ、早急な仕組みの整備と教育による理解が望まれる。 |
|
|
|
|
|
17日 |
|
|
|
【状況】
国立研究開発法人 産業技術総合研究所の中国センター(日本)で、メール誤送信により外部の関係者28人を含む77人のメールアドレスが流出。
【経緯・原因】
1月12日公的機関に所属する関係者のみに送信すべきメールを、送信者が作成したアドレス帳に登録されている全員に誤って送信した。受信者からの指摘で問題が判明。
【対応】
対象となる関係者に報告と謝罪を行い、誤送信したメールの削除を依頼。
|
|
|
|
|
|
16日 |
|
|
|
【状況】
ゲームシナリオ制作を手がけるクラウドゲームスのウェブサーバが不正アクセスを受け、顧客情報が流出した可能性。同時にフィッシング攻撃も確認。
1)情報配信サイト「t-on」に登録している顧客12万4058人のユーザー名やユーザーID、パスワード、メールアドレスなど。「オーダーメイドCOM」で、2001年11月1日から2006年9月23日までに発注した顧客1万6350人のペンネーム、メールアドレス、購入パスワードなど。
2)フィッシング攻撃が1月6日21時ごろから確認。「1900円のスターコインを配布する」内容でメール送信され、誘導先の偽サイトでIDやパスワードを詐取後、さらにクレジットカード情報をだましとろうとしている。
【原因・経緯】
イラスト販売サイト「きゃらケット」運用サーバが12月26日に不正アクセスを受け、顧客情報が流出した可能性があることが1月12日に判明。
【対応】
1)対象顧客に連絡し、パスワードをリセット。今後、定期的にパスワードの変更を求める機能を実装する予定。不正アクセスの原因について対策済だが、「きゃらケット」は当面停止し、サービスの再開を今後検討。
2)フィッシングメールについては、誤ってユーザー情報を送信しないよう注意を呼びかけ。 |
|
|
|
|
|
16日 |
|
|
|
【状況】
就職者向けセミナーの案内メールの誤送信でメールアドレスが流出。
【原因・経緯】
担当者が利用者へのメール送信時、メールアドレス27件を誤って「CC」に設定し、受信者間でメールアドレスを閲覧できる状態となった。
【対応】
対象者にメールで謝罪。あらためて電話と郵送で謝罪し、誤送信したメールの削除を依頼。 |
|
|
|
|
|
16日 |
|
|
|
【状況】
優良住宅ローンが不正アクセスを受け顧客情報が流出した問題で、調査結果や再発防止策を公表。
メールサーバが不正アクセスを受け、役職員5人のメールアカウントが、受信したメールを外部へ転送するよう設定が変更されていた(2016年10月26日公表)。
2016年9月10日から30日の間に外部に転送された顧客情報は3万7247人分と発表。事後調査結果で3万7168人分と下方修正訂正。
【原因・経緯】
原因は、メールサーバを管理するアカウントを第三者に奪取されたこと。
しかし外部事業者連携調査でも、アカウントが奪取された経緯・原因は不明。
【対応】
再発防止策として以下を推進。
・管理パスワードの管理方法の見直し
・社外からメール管理サーバへのアクセスを禁止
・社内システムとインターネットの分離
・メール運用方法の見直し
・インシデントの早期発見 |
|
|
|
|
|
15日 |
|
|
|
【状況】
フィッシング対策の啓発キャンペーンサイト/日本版「STOP. THINK. CONNECT.」が、第三者からの不正アクセスにより、JavaScriptが埋め込まれ外部サイトを読み込むよう改ざんされていることが判明。
米国「STOP. THINK. CONNECT.」と共同で 2017年1月15日13時より調査中。
【対応】
原因調査と対応が終了するまでサイトへのアクセスを控える。 |
|
|
|
|
|
12日 |
|
|
|
【状況】
「Office」ブランドを悪用したフィッシング攻撃が1月11日から12日朝にかけて発生し、1月12日正午現在も、フィッシングサイトは稼働中
「ご注意!!OFFICEのプロダクトキーが不正コピーされています。」の件名で、Microsoftのセキュリティチームが、Officeのプロダクトキーが違法コピーされた可能性があることを確認したとの内容
【詳細】
・フィッシングメールから誘導される偽サイトはOfficeの正規サイトを模倣し、アクセスすると、と同様のメッセージがポップアップで表示
・ポップアップ画面の「OK」ボタンを押すと、さらに認証を促す別のポップアップ画面が表示
・偽サイトのトップには、「今すぐ認証」と書かれたボタンがあり、クリックすると、最終的に個人情報やクレジットカード情報などを入力させるページに誘導
Google Chromeなど一部ブラウザでは当該ページへアクセスする前に、警告画面を表示してアクセスを未然に防止
【対応】
日本マイクロソフトのサポートは、このメールが同社から送信されたものではないとし、メールを開封せず、削除するようアドバイス |
|
|
|
|
|
11日 |
|
|
|
【状況】
大阪府立図書館のメールサーバが2016年12月27日から不正アクセスを受け、スパムメールを送信するための踏み台に利用され、2017年1月6日には送信前のスパムメール約22万件がサーバに保存されていた。
【経緯】
2016年11月24日にも、メールサーバが不正アクセスを受けており、不特定多数に対して迷惑メールを送信する際の踏み台として悪用された。
メールサーバのパスワードの変更、ネットワークの点検など対策を実施したが、再度不正アクセスを受けた。
【対策】
・メールは「総額350万ドルの小切手を寄付する」と持ちかけ、管理料として金銭を要求する「ナイジェリア詐欺」といわれるもので、マルウェアは添付されていないがURLが記載されており、アクセスしないよう呼びかけ。
・図書館のメールサーバの設定を変更およびメールサーバの監視を強化。
・外部の専門家と協力して、システムの再構築を行う。 |
|
|
|
|
|
11日 |
|
|
|
【状況】
1)Microsoft 製品の脆弱性対策
https://www.ipa.go.jp/security/ciadr/vul/20170111-ms.html
2)Adobe Flash Player の脆弱性対策
https://www.ipa.go.jp/security/ciadr/vul/20170111-adobeflashplayer.html
3)Adobe Reader および Acrobat の脆弱性対策
https://www.ipa.go.jp/security/ciadr/vul/20170111-adobereader.html
以上の脆弱性対策情報が公表されています。
いずれも、脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンが制御されたりして、様々な被害が発生する可能性あり。
【対応】
至急、修正プログラムを適用してください。 |
|
IPA |
|
|
|
10日 |
|
|
|
米Adobe Systems(アドビ)は1月5日(米国時間)、「Adobe Acrobat」および「Reader」のセキュリティアップデートの事前通知(APSB17-01)を発表。
【対象】
Windows版およびMacintosh版の「Acrobat DC Continuous 15.020.20042およびそれ以前」「Acrobat Reader DC Continuous 15.020.20042およびそれ以前」「Acrobat DC Classic 15.006.30244およびそれ以前」「Acrobat Reader DC Classic 15.006.30244およびそれ以前」「Acrobat XI 11.0.18およびそれ以前」「Reader XI 11.0.18およびそれ以前」。
これらの製品には、重要度「2」とされる脆弱性が存在する。
【対応】
アドビでは脆弱性に対応したバージョンを1月10日(米国時間)にリリース予定としており、その際に詳細情報を公開。 |
|
|
|
|
|
10日 |
|
|
|
【状況】
大阪府豊中市立文化芸術センターのウェブサイトが不正アクセスを受け、2016年12月16日から19日にかけて改ざんされ、サイトを閲覧すると外部のサイトへ誘導される状態になった。
【対応】
・改ざんの判明後、サーバを停止してログインパスワードを変更。
・データを削除し、データをチェックした上で再度アップロードし復旧。
・不正アクセスの原因となった脆弱性の特定や対策については今後実施。
・期間中サイトを閲覧した利用者に、セキュリティ対策ソフトでマルウェアへ感染していないかチェックするよう呼びかけ。 |
|
|
|
|
|
10日 |
|
|
|
【状況】
オリーブデザインが提供していた「Olive Blog」「Olive Diary DX」「WEB SCHEDULE」にクロスサイトスクリプティング(XSS)の脆弱性が存在する。
パラメータの処理が原因でXSSの脆弱性(CVE-2016-7839、CVE-2016-7841、CVE-2016-7840)が存在し、この脆弱性が悪用されると、ユーザのWebブラウザ上で任意のスクリプトを実行される可能性がある。
【対応】
開発および配布がすでに終了しているため、使用を停止する。 |
|
IPA・JPCERT/CC |
|
|
|
10日 |
|
|
|
フィッシング対策協議会が10日、LINEをかたるフィッシングメールが出回っていると緊急情報を出した。
メールは、件名が「LINE Corporation」あるいは「LINE」となっており、LINEアカウントに異常なログインがあったとして、LINEアプリの画面を模した偽のLINEウェブサイトへ誘導し、パスワードの入力を促すもの。
誘導先となっている偽サイトは同日17時現在も稼働中だとされており、アカウント情報(メールアドレス、パスワードなど)を絶対に入力しないよう注意を呼び掛けている。 |
|
|
|
|
|
10日 |
|
|
|
【状況】
横浜市立みなと赤十字病院の研修医が、資料作成のために使用していたUSBメモリを移動中の東京メトロ副都心線内で鞄ごと紛失。
USBメモリには、患者14人の氏名や生年月日、病院名、手術記録、放射線と内視鏡の画像、検体検査、心電図の記録などが保存されていたが、メモリにパスワード設定はされていなかった。
【対応】
2016年12月23日1時過ぎ、電車から降りようとした際に持っていた鞄がないことに気付き、警察に紛失届を提出。
同月26日に、現金が抜かれた財布が見つかったものの、USBメモリは発見されていない。 |
|
|
|
|
|
10日 |
|
|
|
【状況】
アドビ「イラストレーター」の体験版を不正プログラムを使って試用期間を延長していた東京情報大(千葉市)学生42人に著作権法違反で厳重注意。学生らは2015年春、米アドビシステムズ社の画像編集ソフト「イラストレーター」の無料体験版を私有のパソコンにインストールし、不正プログラムを使って設定されている試用期間を延長した。
【背景・経緯】
これらの「クラックツール」はインターネット上で入手できるものもあり、不正利用を助長しているとの指摘。
千葉県警やアドビ社に通報があり、県警が昨年2016.10月に大学に連絡。大学が調査した結果、42人の関与が判明。「違法性の認識はあったが知的財産権を軽視していた」などと釈明。
【対応】
大学はアドビ社に謝罪した。不正利用について「先輩から引き継いだ」と説明する学生もおり、以前から不正が続いた可能性もあり、東京情報大は「情報学を扱う大学の学生としてあるまじき行為。全学生を対象に著作権について改めて指導し、再発防止を徹底したい」としている。 |
|
毎日新聞 |
|
|
|