個人情報漏えいやインターネット犯罪、ウイルス情報等のニュースを掲載しています。テーマは“事故から学ぶ情報セキュリティ”。みなさんの組織の体制や、事件・事故が起こる可能性等を考慮しながらご覧ください。 過去のニュースを見る： 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 　年度 ／ 1 2 3 4 5 6 7 8 9 10 ／ 次の20件 2017年12月 日付 タイトル・内容 22日 情報取扱い 顧客情報の漏えい／日新火災海上保険 【状況】 鹿児島サービス支店社員が、個人情報保護法に違反する旨認識していたにもかかわらず、火災保険の満期顧客に関する情報（保険契約905件分）を、了解なく、第三者に漏えい 【経緯】 ・2017年11月1日 社外から「本件社員が個人情報漏えいを行っている」との通報で、事実関係の調査を実施 ・12月13日 本件社員は、個人情報の漏えいの事実を認めた ・漏えいした個人情報は、最大で905契約分であることを確認 【今後の対応】 ・対象となる顧客に対しては、郵送にて個別にご案内 ・個人情報管理について、社員に周知徹底を図り、これまで以上に個人情報保護に留意した業務運営を徹底 22日 情報取扱い 不正アクセスで個人情報外部流出／インテリア通販サイト「SEMPRE.JP」 【状況】 家具や雑貨など扱うオンラインショップ「SEMPRE.JP」が10月29日から30日にかけて、システムの脆弱性が突かれる不正アクセスを受け、顧客の個人情報が外部へ流出 ・2002年9月から2017年10月にかけてサイトへ会員登録した利用者の氏名やメールアドレス、ログインパスワードなど、最大2万2,796件の個人情報が外部へ流出した可能性 ・うち1万3,438件については、クレジットカードの名義、番号、有効期限など、クレジットカード情報を含む 【経緯】 11月14日にクレジットカード会社から流出の可能性について指摘があり問題が発覚 11月18日に社内調査で不正アクセスの形跡を確認 外部調査（Payment Card Forensics）を依頼 【対応】 １）顧客対応 ・対象顧客に電子メールで、お詫びと注意喚起を案内 ・問い合わせに対応の特設窓口を設置 ２）関係官庁への報告 個人情報保護委員会へ2017年11月29日に報告 ３）警察への報告 所轄警察である警視庁目黒署へ2017年11月20日に報告および相談 ４）不正アクセスの監視強化 各種監視を強化し、継続監視中 ５）セキュリティ対策の強化 ・会員情報およびカード情報へのアクセスを禁止 ・第三者のセキュリティ調査会社に依頼し、サイト全体のセキュリティチェックを実施 ・ネットワークの監視・遮断を行うWAFを導入 ６）クレジットカードの不正利用モニタリングの実施要請 クレジットカード情報の悪用を防止するため、カード会社に不正利用モニタリングを依頼し、実施 【顧客への依頼】 １）クレジットカード利用明細書、利用履歴の確認 ２）カード再発行対応（手数料は負担にならないようカード会社へ依頼） ３）サイトへのログインパスワードと同じパスワードを他社のサイトにて利用している場合は、他社サイトへのログインパスワードを変更 【再発防止策】 １）PCI DSS（ペイメントカードセキュリティ基準）に準拠する決済代行会社に決済業務を外部委託 ２）個人情報を扱うデータベースを隔離し、適切な暗号化を実施 ３）個人情報を扱うプロセスを見直し、個人情報管理に対する意識を徹底 19日 情報取扱い 会員情報流出／ヤマケイオンライン（山と溪谷社） 【状況】 「ヤマケイオンライン」（https://www.yamakei-online.com/）のウェブサーバを経由して、「ヤマケイオンライン」の会員データベース、その他のデータベースに対して外部から不正アクセスがあり、会員情報の一部が流出 【経緯】 2017年11月29日 ・登録ユーザーから、会員メールアドレスにフィッシングメールが届いたとの報告を受け調査 ・システム上の脆弱性と不正アクセスの疑いを確認 ・システムログ等から調査可能な全期間についてより詳細に解析後、10月31日、11月22日、11月23日に不正アクセスが認められた ●流出した会員情報 件数：情報内容 １）2件：氏名, メールアドレス, 住所, 電話番号, 性別, 生年月日　※登録情報の全部 ２）1件：氏名, メールアドレス ３）3件：メールアドレス ４）1,154件：氏名 合計：1,160件 【対応・対策】 ・対象者に、メールで案内 ・システム上の脆弱性については、12月5日までに解消 ・管轄機関の個人情報保護委員会に報告し、警察署に被害届を提出する予定 ・情報セキュリティ対策の強化を進め、再発防止に努める 15日 情報取扱い 個人情報等の流出（持ち出し）／リクルートエグゼクティブエージェント 【状況】 ・元従業員が顧客の個人情報を含む情報を持ち出し、外部に流出していたことが判明 ・流出した情報は、システム担当者立ち会いのもと、データを消去を確認 ・2017年12月13日現在、下記以外の流出の事実は確認されていない 【流出した情報】 ■求職者情報：1,163名分 （氏名、住所、電話番号、メールアドレス、生年月日、性別、出身学校名、勤務先社名、年収情報　等） ■求人企業情報：692社分（求人企業におけるご担当者の名刺記載情報1,324名分を含む） （社名、事業内容、企業の特徴、求人企業における担当者の名刺記載情報） ※クレジットカード情報等、直ちに経済的被害につながると考えられる情報はない 【経緯と対応】 ・11月29日 社内システムログ調査により、9月17日および9月23日に、元従業員が、担当する顧客情報を所有・管理するパソコン端末に送信し、情報を持ち出していた事実が発覚 ・12月8日 持ち出した情報をシステム担当者立ち会いのもと消去 ・12月12日 認定個人情報保護団体である一般社団法人日本情報システム・ユーザー協会（JUAS）および監督官庁である厚生労働省東京労働局へ報告 ・12月13日 ホームページへお詫びとご報告を掲載、対象となる求職者および求人企業に対し、個別にお詫びと事態の報告の連絡を実施 【再発防止策】 ・情報管理の強化、徹底および社内システムの仕様変更を含めた運用業務のフローの見直し ・従業員への周知、教育を行い、情報管理意識の向上に努める ・社内システムログ調査の運用をこれまで以上に強化し継続する 13日 情報取扱い 教育用計算機システムへの不正アクセスによる個人情報漏えい／大阪大学 【状況】 ・本学教職員（12,451件）、本学学生（24,196件）、元教職員（9,435件）、元学生（23,467件）、合計69,549件の利用者情報が漏えい ・また学内グループウェアの、教職員59名のIDを利用して不正ログインされ、当該教職員のメールに含まれる学外関係者（7,972件）及び学内関係者（3,586件）の個人情報が漏えい ・現在のところ、二次被害は確認されていない 【原因】 ・教員のIDとパスワードが不正に利用されたことが発端となり、平成29年5月18日〜7月4日の間に、教育用計算機システムに不正ログインされ、システム内部に不正プログラムが仕掛けられ、同システムの管理者IDが盗まれたことにより、同システムから利用者情報が漏えい 【対応】 パスワードルールを強固にしたうえで全ての利用者のパスワード変更を行うとともに、当該システムのセキュリティ対策を実施 今後、このような事態が生じないよう、より一層の教職員の意識向上と個人情報の適正な管理に努めるとともに、鋭意、再発防止に努める 【公開資料関係url】 ・公表資料： 　http://www.osaka-u.ac.jp/ja/news/topics/2017/12/files/copy6_of_.pdf ・総長コメント： 　http://www.osaka-u.ac.jp/ja/news/topics/2017/12/files/2.pdf ・不正アクセスによる個人情報漏えいについて（お詫び） 　http://www.osaka-u.ac.jp/ja/news/topics/2017/12/files/HP2.pdf 【窓口連絡先】 総務部総務課文書管理室　電話：06-6879-7011 E-mail：bunsyokanri@office.osaka-u.ac.jp 13日 情報取扱い 不正アクセスによる迷惑メールの送信被害／放送大学 【状況】 放送大学のアカウントが第三者に不正に利用され、11月8日に放送大学から不特定多数のメールアドレスに大量の迷惑メールが送信された 　2017年10月27日10:16〜2017年11月8日23:48 　メール送信回数：143,000 【原因】 情報基盤システムの構築過程で作成されたアカウントのパスワードが不適切で、脆弱であったため不正使用された 【対応】 ・直ちに当該アカウントを不正利用されないよう、当該アカウントのメール機能を停止 ・再発防止に向け監視を強化し、サーバ脆弱性検査、パスワード脆弱性検査を実施 07日 セキュリティ対策 『ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト』を公開／IPA 【背景】 公共の場に設置されたネットワークカメラの映像が不特定多数に閲覧できる状態にあったことが指摘され、情報セキュリティ対策の必要性が認識されるようになった 【対応】 より安全な国民サービスを提供するための政府調達推進の一環として、ネットワークカメラシステムの機能と運用におけるセキュリティ上の対策を確認できるチェックリストを公開 【成果物】 ・「必須要件」、「条件によっては必須とする要件」との２パターンで構成 ・実現が難しいセキュリティの要件を推奨するものではなく、調達者にとって解りやすく、かつ市場調達の観点からも現実的な要件のみを記載 ・要件の策定では、ネットワークカメラシステムの実態調査と市場関連製品の調査および以下を実施 　�（欷遒垢戮�データや想定される脅威の分析 　��脅威への対策の洗い出し 　�０儖�会による対策の要件化 ・今回公開された第1版では、物理的または論理的な閉域網を対象としているが、来年度にはインターネットに直接接続されたネットワークカメラシステムの追加要件の公開も計画中 ・チェックリストおよび関連する調査資料は、製品のセキュリティに対する仕様変更や、IoTに対する攻撃手法の変化に伴い更新予定 【ダウンロードurl】最新のチェックリスト利用を推奨 https：//www.ipa.go.jp/security/jisec/choutatsu/nwcs/index.html 2017年11月 日付 タイトル・内容 20日 その他 データヘルス・ポータルサイト構築で病気予防／東京大学 19日 ネット犯罪 貨幣処理機メーカーに不正アクセス疑い／グローリー 16日 行政機関／公的機関からの情報 「サイバーセキュリティ経営ガイドラインVer2.0」リリース／経済産業省・IPA 16日 ぜい弱性情報 ロボット掃除機「COCOROBO」、第三者が遠隔操作の恐れ／シャープ 15日 セキュリティ対策 「Adobe Flash Player」のセキュリティアップデート／Adobe 15日 ネット犯罪 ウイルス保管は罪か？監視会社社員の逮捕／不正指令電磁的記録保管の疑い 14日 ネット犯罪 銀行装うマルウェア感染メールに注意／日本サイバー犯罪対策センター（JC3） 13日 情報取扱い 業務取引情報漏えい／ゼネテック 02日 ネット犯罪 GMOの流出個人情報、電子書籍として販売／Amazon「Kindle」 2017年10月 日付 タイトル・内容 30日 情報取扱い サイト売買仲介サービス登録会員情報流出／ＧＭＯインターネット 25日 情報取扱い 入試情報Webサイト「MEETS」個人情報流出／京都精華大学 25日 その他 「教育情報セキュリティポリシーに関するガイドライン」公表／文部科学省 24日 情報取扱い クレジットカード情報紛失／ＮＨＫ ／ 1 2 3 4 5 6 7 8 9 10 ／ 次の20件 ※ セキュリティニュースは、ソリューションパックおよびサポートパックでもご提供しています。 ※ ウイルス情報についての記事は、影響力等が中程度以上のものを掲載しています。詳細は各サイトにてご確認ください。 Page Top Copyright (C) 2002-2022 CDNS Corporation. All Rights Reserved.