| 日付 |
タイトル・内容 |
| 25日 |
 |
|
|
【状況】
平成31年4月24日職員が、教育免許状更新講習受講希望者(281名)に向けて連絡メールを送信する際に、メールの宛先を「Bcc」(同時配信時、他の送信相手のアドレスが表示されない)とすべきところ、「To」(同時配信時、他の送信相手のアドレスが表示される)として誤送信
【対応】
誤送信のお詫び、および受信したメールを速やかに削除依頼
二次被害対応のため不審者からのメールを受信した場合は本学に連絡依頼
【再発防止】
メール送信時の確認を徹底
個人情報保護教育の徹底と管理体制の更なる強化に取り組む
|
|
|
|
|
|
| 24日 |
|
|
|
【状況】
鋳造シミュレーションシステム「ADSTEFAN(アドステファン)」のサポート情報や問合せなどのサービスを提供している専用サイトでネットワーク経由の不正アクセスで情報流出
(流出情報)
・サイトのユーザー情報(担当者氏名、所属部署名、役職名、メールアドレス、電話番号、ログインパスワード):383社、1,669人分
・顧客がアップロードしたファイル16件
・「ADSTEFAN案内情報(返信用テンプレート情報含む)」のファイル6件
これらには顧客の技術情報や営業情報が含まれていないことを確認
【対応】
認定個人情報保護団体(JIPDEC)を通じて個人情報保護委員会へ報告
|
|
|
|
|
|
| 23日 |
|
|
|
【状況】
2018年8月5日まで運営していた「(旧)エーデルワイン オンラインショップ」で第三者の不正アクセスを受け、顧客クレジットカード情報が流出
【経緯】
・2018年9月28日、クレジットカード会社から、旧サイト利用者のクレジットカード情報の流出懸念について連絡を受け、第三者調査機関による調査
・2018年10月31日、調査結果2015年7月8日〜2018年8月5日の期間に「エーデルワイン オンラインショップ」利用者のクレジットカード情報が流出し、クレジットカード情報が不正利用された可能性があることを確認
【原因】
システムの一部の脆弱性をついた第三者の不正アクセス
【個人情報流出状況】
件数:最大31,231件(注文数:1,140件)
(カード名義人名、クレジットカード番号、有効期限、セキュリティーコード)
【再発防止】
・調査結果を踏まえてシステムの変更、セキュリティ対策および監視体制の強化
【対応】
・監督官庁である個人消費者保護委員会には2018年11月2日に報告済
・所轄警察である岩手県花巻警察署にも2018年10月31日申告
|
|
|
|
|
|
| 22日 |
|
|
|
【概要】
小規模な事業者や、セキュリティ担当者を置くことが難しい企業及びNPO(特定非営利法人)に向けて、サイバーセキュリティをわかりやすく解説した、「小さな中小企業とNPO向け情報セキュリティハンドブック」を作成
目的は、サイバーセキュリティに関する必要性は感じていても、どこから取り組んで良いか分からないという方々に、広く利用してもらい、国民全体としてサイバーセキュリティを公衆衛生のレベルに高めること
図版も多く、解りやすい内容になっているので、組織内教育に継続的に利用できる資料となっている
【詳細ページ】
https://www.nisc.go.jp/security-site/blue_handbook/index.html
|
|
|
|
|
|
| 19日 |
|
|
|
【概要】
ITサプライチェーンでは、標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念、および原因究明の難しさがかねてより指摘されており、委託元、委託先間の情報セキュリティに関する取り決めや責任範囲が不明確さを改善することが望まれるが、2018年に責任範囲が明確にできない原因を明らかにし、対策を導き出すための調査を実施
調査で明らかになったのは、特に新たな脅威(脆弱性等)について文書で責任範囲を明確にできていないこと、責任範囲が明確にできない理由として多かったのは、委託元の知識・スキル不足、継続契約のため責任範囲を見直す機会がないというこ
また、責任範囲を明確にするには、契約関連文書の見直しが、委託元、委託先にとっても有効であるということが分かった
【調査例】
1.「新たな脅威が顕在化した際の対応」について責任範囲の明記がない割合は8割
2.責任範囲を明確に出来ない理由は知識・スキル不足が最多で79.6%
3.IT業務委託契約においてリスク低減を目的に複数の対策を実施
4.IT業務委託契約時に責任範囲を記述している文書は“契約書”が最多
5.責任範囲を明確にするには“契約関連文書の雛形の見直し”が最も有効
【詳細ページ】
https://www.ipa.go.jp/security/fy30/reports/scrm/index.html
|
|
|
|
|
|
| 18日 |
|
|
|
【状況】
平成31年2月14日に本店営業部にて、住所・氏名・お客さま番号・通知番号・納付金額が記載された文書保存箱の紛失が判明
(※お客様番号は公共料金に関する店頭収納金領収書に記載、通知番号は地方公共団体に関する納入書等に記載)
【紛失情報】
文書保存箱1箱(紛失件数:14,158件)
‥稿収納金領収書(控)(平成24〜28年度分、※店頭収納金は電気・電話・水道等の公共料金)
徳島市納入書(平成27年1月〜3月および平成27・28年度分)
三好市・東みよし町・上板町納入書(平成18〜28年度分)
ぬ通膸埓納納金払込領収書(出先用)(平成27・28年度分)
【再発防止】
文書保存基準の見直しによる文書廃棄手順の厳格化や監査部監査および事務部検査による文書保存状況の検証の追加等を行い、顧客情報に関する管理態勢の強化
|
|
|
|
|
|
| 17日 |
|
|
|
【概要】
情報セキュリティ10大脅威 2019」は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。資料は、下記の3章構成となっている
第1章 情報セキュリティ10大脅威 2019 概要
「情報セキュリティ10大脅威 2019」における脅威候補の変更点やランクインした脅威の特徴など
第2章 情報セキュリティ10大脅威 2019
2018年に社会的影響が大きかったセキュリティ上の脅威について、「10大脅威選考会」の投票結果に基づき、「個人」「組織」における脅威を1位から10位に順位付けして解説
第3章 注目すべき脅威や懸念
社会に影響を与える恐れがあり、現時点で注目しておきたい脅威や懸念等について解説
脅威を認識することで、はじめて対策を打つことが可能になります。組織そしてビジネスにとっての脅威を知るための参考資料として有用な情報
【詳細ページ】
https://www.ipa.go.jp/security/vuln/10threats2019.html |
|
|
|
|
|
| 12日 |
|
|
|
【状況】
WEBサーバーに対しての不正アクセスがあり、Webサイトの内容の一部を改ざんされ、サイト閲覧者を別のショッピングサイトに誘導
サーバーにはホームページのコンテンツのみを保管し、顧客個人情報等は別途管理のため情報の漏えいはない
【対応】
・4/9よりホームページの機能を停止し、4/12まで仮サイトにて運用
・4/9にサーバー内にあった不正なプログラムをすべて削除し、ホームページを再構築
・4/12に再公開
・セキュリティの強化を図り、不正アクセスの防止に努める
|
|
|
|
|
|
| 12日 |
|
|
|
【状況】
システムの一部の脆弱性を狙った第三者の攻撃による不正アクセスにより、個人情報が流出
期間:2013年10月5日(サイト開設日)〜2019年3月11日(サイト閉鎖日)
【流出情報】
・流出の可能性が高い個人情報(最大7,996名)
・クレジットカード情報の流出(最大3,086件:2,816名)
【経緯】
・2019年3月11日、決済代行会社よりサイト利用者のクレジットカード情報の流出懸念についての連絡があり、サイトの閉鎖
・2019年3月11日、第三者調査機関による調査を開始し、決済代行会社を通じてクレジットカード取引のモニタリング(不正利用の監視)の強化をクレジットカード会社に依頼
・2019年3月28日、調査報告書によると、2013年10月5日(サイト開設日)〜2019年3月11日(サイト閉鎖日)にサイト利用者のクレジットカード情報が流出した記録を確認
【対応】
・個人情報保護委員会、九州運輸局、福岡県警察本部への報告を行い、決済代行会社、カード会社とも報告書の内容を共有
・顧客にはメール及び郵便にてお詫びと経緯について連絡
・システムのセキュリティ対策および監視体制の強化を行い、情報保護体制の一層の強化に取り組む
|
|
|
|
|
|
| 11日 |
|
|
|
【概要】
在宅勤務やモバイルワークを安全に行うために
テレワークの導入で就業場所を問わない働き方が普及しつつあります。職場の外で勤務する際のネットセキュリティに関わる注意点とその対策を解説
不用意な行動が招く脅威と注意すべき点とは?
・業務データの持ち運びや共有時の注意点
・私物端末の利用における注意点
・公衆Wi-Fiに関する注意点
・公共の場で仕事をする際の注意点
・家庭内ネットワークを利用する際の注意点
テレワークを安全に行うための8つの対策
1)セキュリティ機能付きUSBメモリや適切なクラウドサービスを利用する
2)業務で利用する私物端末にもセキュリティソフトやアプリを利用する
3)OSやソフトを適切に更新する
4)端末の盗難、紛失対策を行う
5)第三者による画面ののぞき見を防ぐ
6)社内システムに安全にアクセスする
7)より安全なネットワークを選択する
8)家庭内ネットワークを適切に保護する
【詳細ページ】
https://is702.jp/special/3470/partner/200_k/
|
|
|
|
|
|
| 11日 |
|
|
|
【概要】
2019年1月1日から2019年3月31日までの間に受け付けた国内外で発生するコンピュータセキュリティインシデントの報告を受け付けた事案についての報告の統計および事例について紹介
【詳細ページ】
http://www.jpcert.or.jp/pr/2019/IR_Report20190411.pdf
|
|
|
|
|
|
| 11日 |
|
|
|
【概要】
1.サイバー攻撃の情勢等
(1)サイバー空間における探索行為等
○インターネットとの接続点に設置したセンサーにおいて検知したアクセス件数は、1日1IPアドレス当たり2,752.8件と増加傾向。
○仮想通貨等を標的としたアクセスを、年間を通じて観測。
(2)サイバー攻撃の情勢及び取組
○警察と先端技術を有する事業者等との情報共有の枠組みを通じて把握した標的型メール攻撃は、6,740件と増加傾向。
○上記枠組みにおいて、集約された情報等を総合的に分析し、事業者等に対し、分析結果に基づく情報提供を実施。
2.サイバー犯罪の情勢等
(1)サイバー犯罪の検挙状況等サイバー犯罪の検挙件数は増加傾向にあり、30年中の検挙件数は9,040件と過去最多。また、相談件数は12万6,815件。
ア.不正アクセス禁止法違反
○検挙件数は564件と、過去5年では29年に次ぐ水準。
○仮想通貨交換業者等への不正アクセス等による不正送信事犯は、認知件数169件、被害額約677億3,820万円相当。
イ.不正指令電磁的記録に関する罪及びコンピュータ・電磁的記録対象犯罪検挙件数は349件このうち不正指令電磁的記録に関する罪の検挙。件数は68件と、過去5年では29年に次ぐ水準。
ウ.その他児童買春・児童ポルノ法違反の検挙件数は2,057件と全体を通じて、最も多く、過去5年では29年に次ぐ水準。
(2)主な取組IDの不正取得対策として、一般財団法人日本サイバー犯罪対策センター(JC3)等と連携した取締りとともに、IDの発行事業者等に対する申入れを実施。
3.今後の取組「警察におけるサイバーセキュリティ戦略」に基づく各種取組の推進
○高度な実践型演習、検定及び学校教養を連携させた人材育成の推進
○JC3等と連携した被害防止対策等の推進
○2020年東京オリンピック・パラリンピック競技大会に向けたサイバーセキュリティ対策の推進
【詳細ページ】
https://www.npa.go.jp/publications/statistics/cybersecurity/data/H30_cyber_jousei.pdf
|
|
|
|
|
|
| 11日 |
|
|
|
【概要】
データを有効活用し、技術革新や生産性向上といった新たな付加価値の創出や課題解決を目指して提唱された「Connected Industries」の観点から、データを安心・安全に利活用できる環境整備をするために2018年に不正競争防止法が改正された
これまで保護の対象となってきた「営業秘密」に加え、他者に提供することを想定した上で管理しているデータ(「限定提供データ」)に対する不正取得等を不正競争行為として位置付け、その不正競争行為に対する救済が可能になった
また、IPAが平成29年度に実施した先進的企業や有識者を対象にしたヒアリング調査で、データ利活用の実施における懸念が複数挙げられ、こうした状況を踏まえ、IPAは調査対象を拡大して企業のデータ利活用における全般的な実態と課題認識等を明らかにする目的で「安全なデータ利活用に向けた準備状況及び課題認識に関する調査」を実施した
【詳細ページ】
https://www.ipa.go.jp/security/fy30/reports/ts_research/index.html
|
|
|
|
|
|
| 10日 |
|
|
|
【状況】
委託先のシステム運営会社からクレジットカード情報の流出懸念についての連絡があり、第三者調査機関調査を実施したところ、カード情報(カード番号・カード名義・カード有効期限 ・セキュリティコード)が流出した可能性がある事が判明
対象:2018年5月16日〜2018年12月11日の間に、「エコレオンラインショップ」でクレジットカード番号の入力をされた顧客情報
【原因】
2018年5月16日に攻撃者が、データベースへ不正な仕掛け(入力フォームに入力されたカード会員情報を正規の処理とは別に外部サイトへ転送する)をページ内に埋め込んだとみられる
【対応】
・クレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施
【再発防止】
・カード決済の取り扱いを中止する事を決定
【対応】
調査報告は、カード会社や決済代行会社、千葉県警、警視庁、個人情報保護委員会に提出
|
|
|
|
|
|
| 09日 |
|
|
|
【概要】
「中小企業の情報セキュリティ対策ガイドライン」は、情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、(2)社内において対策を実践する際の手順や手法をまとめたもの
経営者編と実践編から構成されており、個人事業主、小規模事業者をも含む中小企業(以下「中小企業等」)の利用を想定
この第3版は「サイバーセキュリティ経営ガイドライン」の改訂や、中小企業等を対象としたクラウドサービスの充実化などの環境変化を受けたもので、改訂は、専門用語の使用を可能な限り避け、ITに詳しくない中小企業等の経営者にとって理解しやすい表現
中小企業等ではITの利活用が進む一方で、サイバー攻撃手法の巧妙化、悪質化などにより事業に悪影響を及ぼすリスクはますます高まり、サプライチェーンを構成する中小企業においては発注元企業への標的型攻撃の足掛かりとされる懸念も指摘され、早急な対策実施が必須になっている
ガイドラインおよび「SECURITY ACTION」制度の活用によって、ITを利活用している中小企業が情報セキュリティ対策に取り組み、経済社会全体のサイバーリスク低減につながることが期待される
【詳細ページ】
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html
|
|
|
|
|
|
| 03日 |
|
|
|
【メール内容】
・メルカリ事務局[MERCARI]重要なご連絡
・メルカリ事務局サービス変更予定のお知らせ
・メルカリ事務局サービスが有効期限切れになります
で、本文内のリンク先からアカウントを確認するよう促している。
【対応】
1)2019/04/03 15:00 現在、フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性があるため引き続き注意
2)このようなフィッシングサイトにてアカウント情報(メールアドレス・パスワード)、個人情報(お名前、郵便番号、住所、電話、生年月日など)、クレジットカード情報(カード番号、有効期限、セキュリティコード)、本人認証サービスのパスワード等を絶対に入力しないように注意
3)類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) までご連絡
|
|
|
|
|
|
| 02日 |
|
|
|
【状況と対応】
・2019年3月20日、顧客から個人情報の含まれたファイルがWebサイト検索で発見された旨の連絡
・ただちに当該ファイルおよび関連ファイルを削除、検索サイトへの削除依頼、海外のアーカイブサイトへの削除依頼を実施
・当該e-shopサイトを閉鎖
【原因】
第三者の不正アクセスにより、個人情報が含まれたファイルを作成・設置された
【流出情報】
・2019年3月9日以前にe-shopサイトにユーザー登録した利用者:9,793件
・氏名、住所、電話番号、生年月日、企業名、メールアドレス、ユーザーID、パスワード
(クレジットカード情報は不含)
【再発防止】
・脆弱性の修正
・WAF/IDSの設置
|
|
|
|
|
|
| 01日 |
|
|
|
【状況】
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」バージョン 1.2.4 およびそれ以前が使用する API サーバには、アクセス制限不備の脆弱性が存在
当該アプリは 2019年3月23日をもって、公開およびサービスを終了
【影響】
遠隔の第三者によって、ユーザの登録情報を取得されたり、改ざんされたりする可能性
【対策】
当該製品の使用を停止し、アンインストールする
スマートフォンアプリ「JR東日本アプリ」、および LINE の「JR東日本 Chat Bot」の使用を推奨
|
|
|
|
|
|
