日付 |
タイトル・内容 |
28日 |
|
|
|
経済産業省は、セキュリティサービスの品質を客観的に判断できるよう「情報セキュリティサービス基準」「情報セキュリティサービスに関する審査登録機関基準」を策定
セキュリティ対策にあたり、セキュリティサービスの利用が不可欠である一方、利用者側でサービスの品質を判断する情報が不足していることから、第三者が客観的に品質を審査し、審査を公表するための基準を設けた。
「情報セキュリティサービス基準」は、「情報セキュリティ監査サービス」「脆弱性診断サービス」「デジタルフォレンジックサービス」「セキュリティ監視、運用サービス」を対象としており、技術要件、人員やマニュアルの設置と言った品質管理要件について基準を設定
「情報セキュリティサービスに関する審査登録機関基準」では、「情報セキュリティサービス基準」への適合性について、審査や登録を行う機関に求められる公平性や管理体制、審査手続きなどの事項を定め、情報セキュリティサービス基準に適合するサービスの提供状況に関する調査を実施するよう情報処理推進機構(IPA)に依頼 |
|
|
|
|
|
26日 |
|
|
|
【状況】
委託先のサーバウェブアプリケーションが不正アクセスを受け、一部顧客情報が流出
流出が確認されたのは、2000年から2009年にカタログを請求した顧客2万3151件のメールアドレス、氏名や住所、電話番号、性別、生年月日、職業、年収、所有車情報、希望車種、購入予定、販売店名など
2015年7月に実施したキャンペーンの応募者に関するメールアドレスや氏名5568件が流出
【経緯】
事案の発覚は、ドイツ親会社からの指摘
不正アクセスは、1月23日から2月11日にかけて複数回にわたり行われた
1月22日以前についてはサーバにログが保存されておらず、くわしい状況は不明
【対応】
警察へ相談
不正アクセスの痕跡についてフォレンジック調査を実施 |
|
|
|
|
|
22日 |
|
|
|
情報処理推進機構(IPA)は、中小企業を対象としたセキュリティ対策学習支援ツール「5分でできる! 情報セキュリティポイント学習」の新版を公開
情報の「保管について」「廃棄について」など25の学習テーマを用意
1テーマの学習時間は5分で、確認テストや学習完了後の修了証もある
2016年11月に改訂された「中小企業の情報セキュリティ対策ガイドライン」の「5分でできる!情報セキュリティ自社診断」に対応
また、「クラウドサービス」「スマートフォン」「ウェブサービス」などの6テーマをあらたにくわえた
https://security-shien.ipa.go.jp/learning/
|
|
|
|
|
|
21日 |
|
|
|
【状況】
2月9日定期点検
営業を担当する従業員が、端末から外部のオンラインストレージ上に顧客情報や業務書類など約2万6000件を2月4日にアップロード
内容は、顧客の資金計画書や見積書、建築図面、土地売買契約書、重要事項説明書、メールのやり取りなど業務書類のほか、事業計画書、同社保有の物件データ、住宅地図、分譲物件の広告やパンフレットなど
【対応】
データを第三者に提供する目的で不正にアップロードし、持ち出そうとしていたとして、従業員を懲戒解雇
不正競争防止法違反により刑事告訴など措置を講じる
|
|
|
|
|
|
19日 |
|
|
|
【状況】
Appleを装い、Apple IDのアカウント情報やクレジットカード情報など、個人情報を根こそぎだまし取ろうとするフィッシング攻撃が発生
・「Apple IDのセキュリティ質問を再設定してください」といった件名のフィッシングメールを送信
・iCloudへのサインインにApple IDが使用されたなどと本文で説明し、偽サイトへ誘導
・誘導先フィッシングサイトで、
「アカウントの個人情報とセキュリティ情報をすべて確認します」と記載。
氏名や生年月日、住所、電話番号、クレジットカードの名義、番号、有効期限、セキュリティコード、さらにセキュリティ質問などの入力を誘導
|
|
|
|
|
|
13日 |
|
|
|
【状況】
平成30年2月6日
外部からの不正なアクセスがあったことを確認し、情報セキュリティ対策本部を設置、外部の専門事業者にも依頼して原因究明を進める
関係省庁へ報告し、警視庁にも相談を行っている
【経緯と対応】
2月6日
不正なアクセスがあったシステムの外部からのアクセスを緊急に遮断
システムを提供する事業者に連絡し、対応を協議
原因及び影響範囲の調査を開始
2月7日
重大なセキュリティインシデントであると判断
情報セキュリティ対策本部を設置
2月8日
全職員のシステムに関するパスワードを強制変更
原因及び影響範囲の調査継続
2月9日
メール及びスケジュール機能のみを残し、他の機能を停止
全業務システムに関する点検を開始
2月10日〜12日
原因及び影響範囲等の調査を継続
2月13日早朝
内部からのインターネット接続を遮断
2月13日以降、安全を確認できた部分から業務システムを順次再開予定
(インターネットの遮断は継続)
【今後の対応】
第三者及び知的財産に関する情報や保有個人情報の漏えいの可能性なども懸念され、原因及び影響範囲等の調査を進める
|
|
|
|
|
|
06日 |
|
|
|
【状況】
・全国銀行協会の公式ウェブサイトをかたり、銀行口座やパスワードを入力させ窃取するフォームが存在するフィッシングサイト(偽サイト)が確認された
・全国銀行協会や全国銀行個人信用情報センターが、顧客の取引銀行や暗証番号、パスワードを尋ねることは一切なく、犯罪に利用される可能性が高い
また、銀行協会職員や銀行員等を名乗り、言葉巧みに顧客の口座情報を聞き出そうとする事件や、暗証番号を聞き出してキャッシュカードをだまし取ろうとする事件、現金をだまし取ろうとする事件等が発生している
【被害に遭わないために】
全銀協の公式ウェブサイトの利用時は、ウェブサイトのアドレスを確認し、偽サイトではないことを確認
◆偽サイト(http://www.zenginkyo.com/)
・comドメインになっていることに注意
●公式ウェブサイトは以下の通り
https://www.zenginkyo.or.jp/
銀行協会職員を名乗る者から電話や訪問を受けても、絶対に口座情報を教えたり、キャッシュカードや現金を渡したりしない
【対応】
このような電話や訪問を受けたら、最寄の警察や全国銀行協会相談室または銀行とりひき相談所に連絡
【連絡先】
・全国銀行協会相談室 Tel.0570-017109または03-5252-3772
受付日:月曜〜金曜 受付時間:午前9時〜午後5時
(https://www.zenginkyo.or.jp/adr/)
・銀行とりひき相談所(https://www.zenginkyo.or.jp/abstract/clinic/) |
|
|
|
|
|
05日 |
|
|
|
【状況】
2018年2月5日午前11時、ニュースリリースの案内をした際、メールアドレスを誤って他の宛先が表示されてしまう「CC」に入力して送信したことで、それぞれのメール内で他の受信者に見える状態となった
【詳細】
日本語版メール426名、英語版メール180名、計606名のメールアドレスが流出
【対応】
同日午後4時頃、メール配信サービス登録者へお詫びし、当該電子メールの削除を依頼
【再発防止策】
・個人情報を含む重要なメールや、社外の皆様へ電子メールを送信する際には、複数名による配信前チェックを実施する
・従業員への周知・教育と合わせて全社的な情報管理体制の強化に取り組む
|
|
|
|
|
|
05日 |
|
|
|
【状況】
株式会社あしすと阪急阪神が、個人情報を含む業務上のデータを記録したUSBメモリを紛失
【原因】
・男性社員が業務用パソコンに保存されている、個人情報を含む業務上のデータを、自宅で仕事を行おうと考え、無断で私物のUSBメモリに複写して所持
・2月2日、業務のため外出し戻った際にズボンのポケットに入れたはずの当該USBメモリを紛失したことに気付き、上司に報告
【対応】
2月2日 大阪府警曽根崎警察署に遺失物届出書を提出
2月5日 個人情報保護委員会へ報告書を提出し受理
【紛失情報の内容】
(件数:9,184件)
・グループ外の個人および会社・団体の方に関する情報:2,056件
・グループ会社・団体の従業員等に関する情報:7,128件
(紛失情報内容)
氏名、会社・学校・団体名、所属部署、役職、住所、電話番号、年齢、性別、メールアドレス、家族の氏名
【再発防止策】
・事態を厳粛に受け止め、速やかに再発防止策を講じ、個人情報をはじめとする情報の取扱等について徹底した教育を実施 |
|
|
|
|
|
01日 |
|
|
|
【状況】
イベント案内メール希望者に、情報提供メールを配信した際、顧客のメールアドレスを「BCC」とすべきところ、誤って「TO」として送信し、受信者全員(48件)にメールアドレスが公開され流出
【対応】
協会では顧客情報の保護について、極めて重要な事項と認識しており、今回の事態を真摯に受け止め、再発防止を徹底する |
|
|
|
|
|