| 日付 |
タイトル・内容 |
| 17日 |
 |
|
|
【状況】
業務委託会社である広島ガスメイト株式会社で、個人情報を含んだ以下の書類を紛失
・紛失書類:ガス料金等払込取扱票(2,751枚)
・名前、請求年月、ガス料金等の金額を記載(2,527件)
【経緯】
2017年3月14日に保管書類の管理委託しいる広島ガスメイト株式会社が保管していた2016年8月支払受付分のガス料金等払込取扱票を紛失した旨の連絡
所管の警察署に遺失の届出を行い、広島ガスメイト株式会社と共に、所定の保管場所を含めた事務所内およびその他の保管先として考えられる場所をすべて探索も発見できず
【原因】
書類を機密書類として誤って廃棄した可能性
紛失した情報が外部に流出し不正に利用された事実は確認されていない
【対策】
顧客に事情を説明する書面を郵送し、お詫び
再発の防止に努める
|
|
|
|
|
|
| 16日 |
|
|
|
【状況】
Google Playをかたるフィッシング事例が継続して発生しており、15日緊急情報を出して注意を呼び掛け。
【詳細】
SMSで「GoogleよりGoogleplayアカウントのお支払方法登録のお願いです。詳細はURLをクリックhttp://g57.●●●●.hu/a」というメッセージが送られ、偽サイトに誘導してクレジットカード番号やセキュリティコード、名前や電話番号、生年月日、メールアドレスなどを入力させる手口。
誘導先の偽サイトは15日13時30分現在、稼働中。
【対応】
偽サイトでクレジットカード情報や個人情報などを絶対に入力しないよう注意喚起。
同様の手口は、GoogleやApple ID、Yahoo!、Microsoft、Amazonなどのアカウントについてもあり、メールやSMS、各種のダイレクトメッセージに記載されたURLドメインに注意する必要。
|
|
|
|
|
|
| 16日 |
|
|
|
「LINE」「LINECorporaitnopc」「LINE 安全認証」などの件名で、昨年から継続的にLINEをかたるフィッシングメールが出回っていると注意喚起。
「お客様のLINEアカウントに異常ログインされたことがありました。ウェブページで検証してお願いします。」という文面で、フィッシングサイトに誘導し、アカウント情報(ID・パスワードなど)を入力するように促す。
不審なサイトのURLは以下の通り。
http://www.●●●●m.me/
http://www.●●●●p.me/
http://www.●●●●pe.me/
http://www.●●●●yy.me/
http://www.●●●●ki.me/
3月16日現在フィッシングサイトは稼働中で、JPCERT コーディネーションセンター(JPCERT/CC)にサイト閉鎖のための調査を依頼中。
類似のフィッシングサイトが公開される可能性もあり、サイトを発見した場合は協議会 (info@antiphishing.jp) に連絡するように呼び掛け。
|
|
|
|
|
|
| 15日 |
|
|
|
警察が裁判所の令状を取らずに捜査対象者の車両に全地球測位システム(GPS)端末を取り付けた捜査について、最高裁大法廷は15日、違法と結論。また、GPS捜査の実施に当たり、「新たな立法措置が望ましい」と言及し、被告側(警察)の上告を棄却し、有罪が確定。
2012〜13年に主に近畿地方で発生した連続窃盗事件で、大阪府警は約7カ月間、被告の男らの車両19台にGPS端末を取り付け、追跡していた。
GPS捜査が対象者のプライバシーをどの程度侵害するかが争点。
弁護側は「立ち寄る場所から信仰する宗教など人の内面まで推認でき、大きく侵害する」と主張。
検察側は「公道を走る車両の位置情報取得は侵害が小さい」と反論。
最高裁は、GPS捜査を家宅捜索などと同様に令状の必要な「強制捜査」と位置付け、不要な「任意捜査」としてきた従来の警察の運用を否定。 |
|
|
|
|
|
| 14日 |
|
|
|
【状況】
日本郵便は3月14日、国際郵便に必要な書類を作成できる「国際郵便マイページサービス」サイトが不正アクセスを受け、サイト上で作成された送り状データ1,104件とメールアドレス2万9,116件が流出した可能性があると発表。
流出は、3月12日から13日に作成した送り状のデータと、サイトに登録されているメールアドレス。
【原因】
不正アクセスはアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用。
同フレームワークの脆弱性をめぐっては、東京都の都税支払いサイトなどからクレジットカード番号などが流出する事件が起きている。
【対応】
13日夜にサービスを緊急停止し、対策を講じた上で14日朝に再開。 |
|
|
|
|
|
| 14日 |
|
|
|
オープンソースのコンテンツ管理システム(CMS)WordPressの脆弱性を修正するアップデートWordPress 4.7.3を公開(3月6日)。
WordPressのブログによると、今回のアップデートではWordPress4.7.2までのバージョンに存在していたクロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)など、6件の脆弱性に対処した。
脆弱性のほかに、39件のバグも修正。デフォルトの自動バックグラウンド更新機能を有効にしている場合は自動的に更新される。
脆弱性を悪用されればWebサイトを制御される恐れもあり、WordPressを使っているサイトは直ちに更新するよう、強く勧告している。 |
|
|
|
|
|
| 14日 |
|
|
|
Googleはポップアップ広告を通じて詐欺的な画像を表示する手口でユーザーをだましてクリックを誘い、不正なアプリをインストールするChamois(マルバタイジング)を発見し、ブロックする措置を講じたことを発表(3月13日)。
Chamoisを仕込んだ不正アプリは、人為的なアプリ宣伝、有料SMSを送信する電話詐欺、不正なプラグインのダウンロードと実行といった機能を備え、検出を免れて潜伏する仕組みも実装。
またAndroidの複数のチャネルを通じて拡散し、Chamoisを使った不正アプリはAndroid端末のアプリ一覧には表示されないことから、ほとんどのユーザーは存在に気付かず、アンインストールもできない。
Androidでは、そうしたGoogle Play外でインストールされた不正アプリを検出して削除できるツール「Verify Apps」を提供。
このツールは無料で追加され、アプリに不審な挙動が見つかった場合は警告メッセージが表示される。ただ、「潜在的に有害なアプリは極めて少なく、この新しい防御層が加わってもほとんどのユーザーは警告を目にすることはないだろう」とGoogleは解説。 |
|
|
|
|
|
| 13日 |
|
|
|
【状況】
ソニーのオンラインサービス向けアカウント「Sony Entertainment Network(SEN)」で、ログインIDとして利用するメールアドレスが勝手に変更され、「PlayStation Network」が利用できなくなったとの問い合わせが、多数寄せられている。
(ソニー・インタラクティブエンタテインメントジャパンアジア)
【経緯・原因】
第三者が外部で入手したIDやパスワードを用いて「パスワードリスト攻撃」を行い、不正にサービスへログインしてIDを変更。
【対応】
・ユーザへの注意喚起
アカウントの不正利用を防ぐため、使い回しや推測されやすい文字列を避ける。
適切なパスワード管理を行う。
マルウェア感染に注意。
「2段階認証」を活用する。
・ソニーの対応
不審なアクセスを検知したアカウントのパスワードリセットやアカウントの停止。
パスワードリスト攻撃への対策を検討。
|
|
|
|
|
|
| 13日 |
|
|
|
【状況】
相談利用者様登録ページ(https://www.jetro.go.jp/customer/tic-login)が不正アクセスを受け、利用者のメールアドレス2万6,708件が窃取された。
【経緯】
3月8日:不正アクセスを受けサイトの一部情報が消去されていることが発覚。調査を行ったところ流出の可能性が判明。
情報の中にはログ情報、過去にこの利用者様登録ページを利用した26,708件のメールアドレスが含まれており、利用者への二次的な標的メール送付等の可能性。
【対応】
3月10日:対象のメールアドレスに「お知らせとお詫び」メールで通知。
専門機関の協力を得て必要な措置を講じ、システム全体の監視を強化し、再発の防止に取り組む。 |
|
|
|
|
|
| 13日 |
|
|
|
【状況】
医師が、患者の個人情報を保存した私物のUSBメモリを一時紛失していたが拾得者より郵送され、問題が発覚。
【経緯・原因】
医師が付属看護専門学校での講義に使用するために持ち出した私物のUSBメモリを紛失。
USBメモリには、同院で検査を受けた患者10人の氏名、およびMRIと内視鏡の画像データを保存。そのうち4人は生年月日、3人は性別、4人は病名も含まれる。
内規や運用マニュアルで、個人情報の持ち出しは原則禁止されており、やむを得ず持ち出す場合もセキュリティ機能を備えたUSBメモリを用い、パスワードを設定するよう定められていたが、守られていなかった。
【対応】
対象となる患者に電話で説明と謝罪。
規則に従い、医師に対して処分を行う。 |
|
|
|
|
|
| 11日 |
|
|
|
東日本大震災の際、犠牲者の身元特定が長期化した教訓を踏まえ、「遺族の負担軽減」の観点から、各地の歯科医師会が身元特定の材料となる患者の治療記録などをデータベース(DB)にする取り組みを進め、今後災害時にDBを利用するための法整備を国に要望していく方針。
警察庁によると、東日本大震災で岩手、宮城、福島の3県で見つかった1万5,823人の遺体のうち、歯型や治療痕などの歯科情報が決め手となって身元が特定されたのは約8%に当たる1,250人。指紋・掌紋の373人、DNA鑑定の173人を大きく上回る。
日本歯科医師会は平成25年度、災害時に過去の治療記録を集積したDBと遺体の歯の状態を照合し、早期の身元特定につなげる仕組み作りに着手。患者の同意を得て歯の治療痕やX線写真をDB化し、特定のサーバーで一括管理する構想を打ち出した。
これを受けて各地の歯科医師会でも、独自にDBを作る動きが加速しているが、災害時に数千人単位の個人情報を一度にDBから取り出す行為を想定した法律はなく、個人情報保護法などに抵触する恐れもある。日本歯科医師会は災害時のDBの運用が問題なくできるような法整備を国に求める方針。 |
|
|
|
|
|
| 10日 |
|
|
|
【状況】
2016年12月8日に法政大学のサーバが不正アクセスを受け、アカウント管理サーバから学生や教職員、委託業者など、全アカウント情報が外部漏洩。
内部のサーバを経由してアカウント管理サーバにアクセスされ、学生証番号や教務員番号のほか、氏名、メールアドレス、種別、所属、暗号化されたパスワードなど、4万3,103件のアカウント情報が、攻撃者によって窃取された。
【経緯・原因】
攻撃者が1月10日、2月7日にVPNで同大ネットワークへ接続。
内部ネットワークに対するポートスキャンが行われたことへ気が付き、調査を実施。
2月21日に情報が取得された際のログを確認。
【対応】
攻撃の踏み台となったサーバを隔離。
対象となる関係者へ連絡を取り、パスワードの変更を依頼。
窃取された情報の悪用は確認されていない。
詳細について調査を進め、調査結果や再発防止策について、あらためて公表予定 |
|
|
|
|
|
| 10日 |
|
|
|
【状況】
住宅金融支援機構の団体信用生命保険特約制度(住宅ローン「フラット35」などの契約者向けに提供している特約制度)の特約料のクレジットカード支払いサイトが不正アクセスを受け利用契約者の一部個人情報が外部流出。
氏名や住所、電話番号、生年月日のほか、クレジットカードの番号や有効期限、セキュリティコードなど、4万3,540件が流出した可能性。うち3万3,230件はメールアドレスを含む。
【経緯・原因】
GMOペイメントゲートウェイ(サイト運営管理受託者)は、「Apache Struts 2」を利用。
3月6日に国内のセキュリティ機関が脆弱性「CVE-2017-5638」を公表し注意喚起。
影響を調べたところ、不正アクセスによるデータ窃取が3月10日に判明。
【対応】
住宅金融支援機構は「クレジットカード払い」の申込受付を一時休止。
GMOペイメントゲートウェイは、クレジットカード情報が流出した顧客について、対象クレジットカード会社と協議のもと、対応を進める。
【問い合わせ先】
0120-151-725 |
|
|
|
|
|
| 10日 |
|
|
|
【状況】
「都税クレジットカードお支払サイト」(GMOペイメントゲートウェイ運営)が不正アクセスを受け、クレジットカード情報が外部漏洩。
クレジットカードの番号、有効期限など67万6,290件が流出した可能性。
うち61万4,629件についてはメールアドレスを含む。
【経緯】
3月6日に「Apache Struts 2」に脆弱性「CVE-2017-5638」が判明。
セキュリティ機関が修正プログラムのリリースを公表し、注意喚起した。
GMOペイメントゲートウェイが3月9日に同脆弱性の影響についてシステムを調べたところ、サイト上に悪意あるプログラムの設置が判明。
【対応】
関連する利用者に、対象クレジットカード会社と協議の上、対応を進める。
セキュリティ事業者による調査を進めるとともに、警察の捜査へ協力していく。
【問い合わせ先】
0120-180-600 |
|
|
|
|
|
| 10日 |
|
|
|
【状況】
顧客向けの案内メールに、顧客情報含むファイルを誤って添付して送信。
3月9日に、顧客253件の氏名や法人名、メールアドレス、注文番号など含むファイルを関係ない別の顧客233件のメールに誤って添付。
受信者から指摘があり、問題が判明。
【原因】
メールシステムの設定・運用ミス。
宛先設定をするため、送信対象の顧客253件のリストを作成したが、送信時に、作成したリストを「配信先」ではなく誤って「添付ファイル」として登録。
くわえて同メールを作成した際に、前日に送信した同内容のメールを再利用しており、前日配信した宛先233件を変更せず、顧客情報253件のリストを添付した状態で送信。
【対応】
誤送信先の顧客に連絡し、誤送信したメールの削除を依頼。
情報が流出した顧客にも個別に連絡を取り、事情を説明。 |
|
|
|
|
|
| 08日 |
|
|
|
【状況】
守山市の小学校で、教諭が児童の個人情報が保存された私物のUSBメモリを紛失。
メモリには、5年生1クラス分のテスト結果のほか、児童の学習風景や日常生活を撮影した写真データなどを保存。
テスト結果には、英数大小文字による8桁のパスワードを設定。
付近を探索し、警察にも届けたが、発見されていない。 |
|
|
|
|
|
| 07日 |
|
|
|
【状況】
ねじやボルト、ナットなどの通信販売サイト「ねじNo.1.com」が、不正アクセスを受け、一部会員のメールアドレスとパスワードが流出。
サイトを運営する丸栄産業によれば、3月4日16時に不正アクセスを確認。
その後の調査で一部会員のメールアドレスとログインパスワードが流出した可能性。
クレジットカード情報を保有しておらず、カード情報の流出は否定。
【対応】
流出の可能性がある会員に報告と謝罪のメールを送り、パスワードの変更を依頼。
さらにパスワードを他サイトで使い回している場合は変更するよう注意を呼びかけ。
所管官庁や関係団体へ事態を報告。
流出した情報の特定や原因究明に向けて外部事業者へ調査を依頼し、結果が判明次第報告する。 |
|
|
|
|
|
| 07日 |
|
|
|
2016年は、スパムが全メールの58.3%を占め、2015年から約3ポイント増となった。
送信元:米国(12.1%)、ベトナム(10.3%)、インド(10.2%)。
送信先:ドイツ(14.1%)、日本(7.5%前年比+5.8%)、中国(7.3%)、ロシア(5.6%)、イタリア(5.4%)。
マルウェアはダウンローダー型トロイの木馬で、「Locky」、「Petya」「Cryakl」「Shade」などのランサムウェアの拡散に利用。 |
|
|
|
|
|
| 06日 |
|
|
|
【状況】
悪意あるコンテンツを読み込もうとする「iFrameタグ」が埋め込まれたAndroidアプリが、Google Play上で少なくとも132件発見。
「WebView」を利用してローカルの静的HTMLページを読み込む機能に悪意ある「iFrameタグ」が埋め込まれていた。
問題のあるアプリのなかには1万件以上のダウンロードも。
【原因】
「iFrameタグ」はアプリ開発者が意図したものではなく、マルウェアに感染した開発プラットフォーム環境が原因。
マルウェアがHTMLページを探し、末尾に悪意あるコンテンツを追加し、URLの一部をHTML特殊文字コードに置き換え、検出を逃れようとしていた。
【対応】
問題のアプリはすでにGoogleへ報告、削除済。
読み込み先に指定されていた2種類のドメインは、ポーランドCERTに押収され、2013年以降であれば悪意あるコンテンツが実際に配信されることはない。
マルウェアへ感染した開発プラットフォームを気が付かずに利用し、開発者の意図しないところで危険なアプリを開発してしまうケースがあるとして注意を呼びかけ。 |
|
|
|
|
|
| 06日 |
|
|
|
【状況】
ふるさと納税を行い、「寄附金税額控除に係る申告特例申請書(ワンストップ特例申請書)」を提出した89人のマイナンバー含む個人情報を、関係ない自治体へ誤って送付。
郵便番号と住所が不一致、郵便番号から抽出した誤った自治体へ通知書を送付が25件。
郵便番号と住所は一致していたものの、同一の郵便番号が同じ市内の異なる区に存在し、正しい区と誤った区の両方に通知書を送付したケースが64件。
【原因】
寄付者居住地の自治体へ送付する際、送付先の自治体を抽出する作業に問題があった。
【対応】
対象となる寄付者へ電話や書面により謝罪。
誤って通知書を送付した自治体には、説明の書面を送付。 |
|
|
|
|
|
