情報セキュリティコンサルティング 情報セキュリティコンサルティング
ISMS
gbvy[W
RTeBO
\[VpbN for ISMS
\[VpbN for o}[N
ZLeBKoiX
ISO10002
PMS^JIS Q 15001
vCoV[}[N\x
SECURITY ACTION
x
KC_XEex
RTeBO
qijvTZLeB
Z~i[
ZLeBZ~i[
e[}Z~i[
ZLeBuK
ZLeBc[
ISMSEPMS[jO
ISMSEPMS 
[jO
ZLeBT[rX
ZLeBj 
[X
ZLeBpW
ATCgN
ミ
ミTv
lj
CDNS [jOu`ミ 
I
CDNS.BLOGFbcmrX^btuO
RT^gBlogFZLeBRT^g 
_gDqg
CDNSiCDNS_jpjon Twitter
Navi Site OCR``ISMSEo}[N\z^c 
ASP
SECURITY ACTION
ZLeBRTeBOCDNS
ISMS
ISMS
セキュリティサービス/セキュリティニュース


個人情報漏えいやインターネット犯罪、ウイルス情報等のニュースを掲載しています。テーマは“事故から学ぶ情報セキュリティ”。みなさんの組織の体制や、事件・事故が起こる可能性等を考慮しながらご覧ください。
過去のニュースを見る:  年度

1 2 3 4次の20件
1か月分すべての内容を表示する 2019年06月
日付 タイトル・内容
24日
内容を表示する
システム障害 大阪市統合基盤システムサーバの障害について/大阪市
10日
内容を表示する
行政機関/公的機関からの情報 2018 情報セキュリティインシデントに関する調査報告書【速報版】/JNSA
07日
内容を表示する
システム障害 システム障害で、証明書業務がほぼ全面的に停止/大阪市
05日
内容を表示する
行政機関/公的機関からの情報 ゆうちょ銀行をかたるフィッシング/フィッシング対策協議会
04日
内容を表示する
不正アクセス 不正プログラム混入による個人情報流出/通販サイト「アネモネ」
01日
内容を表示する
不正アクセス 不正アクセスによるメールアドレス漏えい/なっぷ・株式会社スペースキー

1か月分すべての内容を表示する 2019年05月
日付 タイトル・内容
29日
内容を非表示にする
不正アクセス 不正アクセスによる個人情報流出/ヤマダウエブコム・ヤマダモール
【状況】
2019年4月16日、第三者による不正なアクセスを受け、ペイメントアプリケーションの改ざんが行われたことにより、クレジットカードの情報が最大37,832件流出した可能性があることが判明

【流出情報】
2019年3月18日〜2019年4月26日の期間中に「ヤマダウエブコム・ヤマダモール」で新規クレジットカード登録、及びクレジットカード登録の変更をした利用者:最大37,832名
・クレジットカード番号
・有効期限
・セキュリティコード

【対応】
・2019年4月26日「ヤマダ ウエブコム・ヤマダモール」での新規クレジットカード登録、及びクレジットカード登録の変更を停止し、第三者調査機関による調査を開始
・クレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止対策を実施
・監督官庁である個人情報保護委員会には2019年5月28日に報告済
・警察当局にも2019年5月7日に報告及び相談

【再発防止】
・システムのセキュリティ対策および監視体制の強化
25日
内容を非表示にする
行政機関/公的機関からの情報 インターネットサービス提供事業者に対する「認証方法」に関するアンケート調査結果/フィッシング対策協議会
【概要】
・実施期間:2019年2月19日から28日
・調査対象:インターネットサービスを提供している事業者(匿名)
・回答者数:308名

■インターネットサービスの個人認証を主にどのような方法で実施しているか?

結果:大部分の回答者が「IDとパスワードのみ」と回答する中、20%以上の回答者が「多要素認証」や「リスクベース認証」なども用いた複合的な認証を実施していると回答

■インターネットサービスにおいて、パスワードの定期的な変更を要求しているか?

結果:「パスワードの定期的な変更を要求している」と回答したサービス事業者を合計すると、73.7%に上ります。ただし、パスワード変更を必須としているわけではなく、推奨に留めているものも含まれています。要求するまでの期間についても、3か月以内から12か月以上まで分布

■インターネットサービスにおけるパスワード管理は、何らかの方法で盗まれても問題ない読めない状態(ハッシュ、暗号化など)で管理しているか?

結果:大部分の回答者が質問に「はい(パスワードを読めない状態で管理している)」と答える一方、13.6%の回答者が「いいえ」と回答しており、パスワードを「平文」、つまりそのままの状態で管理している

【詳細ページ】
https://www.antiphishing.jp/news/info/wg_auth_report_20190516.html
25日
内容を非表示にする
システム障害 システム不具合による個人情報漏洩/J SPORTS
【状況】
2019年3月27日に、システム不具合による個人情報漏えい等が発生
1)個人情報の漏洩:最大で344名
2)意図しない商品の購入・解約:購入3件、解約5件の合計8件
3)クレジットカード情報の上書き:2名

【原因】
J SPORTSオンデマンドウェブサイトのキャッシュ処理の不具合により、該当の障害時間内ににログインした顧客のセッションが、同時間帯にログインした他の顧客に共有されていた

【対応】
28日本件発覚後、被害拡大を防ぐために決済機能及びマイページ機能を一時的に停止し、新規の契約及び登録情報を参照・変更できないように対応
サーバ側のキャッシュ機能を一部解除

【再発防止】
・設計、テストレビュー体制の見直し
・人的チェックに加えて、ツールを用いた機械的チェック機能の強化

24日
内容を非表示にする
行政機関/公的機関からの情報 プライバシーマーク制度社内教育用参考資料公開/JIPDEC(日本情報経済社会推進協会)
【概要】
PMSの運用に活用できる資料等を公開
目的:従業者に対して行う個人情報保護教育に利用
内容:全従業者を対象とした、個人情報保護マネジメントシステム(PMS)に関する基本事項
ひな形については、事業者の実態に合わせ、適宜内容を追加して利用可

教育ポイント
a.個人情報保護方針(内部向け/外部向け)
b.PMSに適合することの重要性及び利点
c.PMSに適合するための役割及び責任
d.PMSに違反した際に予想される結果

基本編:個人情報管理の重要性
・使用にあたってのご案内(220KB)
・本編(1MB)
・本編(補足説明付き)(713KB)
・本編(ひな形)(PowerPoint形式:1.2MB)

https://privacymark.jp/system/reference/index.html#tools
22日
内容を非表示にする
行政機関/公的機関からの情報 クラウドサービスに関連する国内外の制度・ガイドライン/JIPDEC(日本情報経済社会推進協会)
−クラウドサービスの健全活用を目指して−

国内外で実施されているクラウドサービスの提供や利用に対する適合性評価制度、医療分野等におけるクラウドサービスの扱いに関するガイドライン等の概要・特徴、ISMSとの関連性等の情報など
クラウドサービス検討時の参考資料(ガイダンス)集

【国内制度】
・ISMSクラウドセキュリティ認証
・CSマーク

【国際制度】
・CSA STAR
・ECE Star Audit Certification

【ガイドライン】
・ISO/IEC 27001
・ISO/IEC 27002
・ISO/IEC 27017 他

【詳細ページ】
https://www.jipdec.or.jp/archives/smpo/JIP-ISMS201-1.0.pdf
21日
内容を非表示にする
不正アクセス 不正アクセスによるお客様情報の流出/愛媛CATV
【状況】
旧モバイルユーザー用マイページサーバー(現在は別サーバー運用中)及びモバイル用WEB申込フォームサーバーの一部顧客の個人情報データが削除された(クレジットカード等の決済情報は不含)

(対象個人情報データ)
・マイページサーバーに保存していた個人情報(2018年4月15日以前の利用者):13,002件
「氏名」「モバイル電話番号(ログインID)」「モバイルマイページ用ログインパスワード」「利用しているサービス名称」

・WEB申込フォームサーバーに保存されていた個人情報:213件
「氏名」「住所」「メールアドレス」のうちのいずれか

【経緯】
・2019年5月8日、モバイル用WEB申込フォーム手続き中にエラー
・社内調査結果、同日午前2時に国外の第三者によるの不正アクセスによる一部個人情報の削除
・サーバーアクセスを停止し対応作業を開始し、同日午後に監督官庁への報告や警察への被害届の提出と相談を行い、セキュリティ専門会社による調査及び対策を手配
・情報の不正利用等の二次被害は確認されていない


【再発防止】
・システムのセキュリティ対策及び監視体制の強化
・警察機関とも連携し、今後の捜査に全面的に協力
20日
内容を非表示にする
行政機関/公的機関からの情報 入退管理システムにおける情報セキュリティ対策要件チェックリスト/IPA
【概要】
「入退管理システムにおける情報セキュリティ対策要件チェックリスト」

「政府機関等の情報セキュリティ対策のための統一基準」で調達・運用時のセキュリティ要件を求められているIoT機器を含む特定用途機器の「入退管理システム」について、想定される脅威に対する情報セキュリティ対策の要件を列挙

チェックリストは政府機関の調達に限らず、自治体や民間組織における調達にも利用可能

【詳細ページ】
https://www.ipa.go.jp/security/jisec/choutatsu/ecs/checklist_ecs.pdf

20日
内容を非表示にする
行政機関/公的機関からの情報 サイバーセキュリティ対策情報開示の手引き(案)」に対する意見募集/総務省
【パブリックコメント募集】
民間企業のサイバーセキュリティ対策の情報開示を促進するため「サイバーセキュリティ対策情報開示の手引き(案)」を作成

令和元年5月18日(土)から同年6月6日(木)までの間、意見を募集

http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00024.html

【概要】
Society5.0の実現に向けて、5G、IoT、AIをはじめとしてICTの利活用が社会・経済のあらゆる局面に浸透している今日、企業が適切なサイバーセキュリティ対策をとることは経営層が認識すべき重要な経営課題となっている

その上で、各企業のサイバーセキュリティ対策の実施状況について適切に開示して説明責任を果たすことを通じ、利用者や取引先企業、さらには社会からの信頼感がより一層得られることを促進する

17日
内容を非表示にする
不正アクセス ホームページ改ざん被害/JA山口厚生連 周東総合病院
【状況】
ウェブサイトに悪意あるファイルがアップロードされ、フィッシングメール等を経由してそのファイルがダウンロードされてしまう可能性があった

期間:2019年05月15日23:15前後 〜 2019年5月16日18:00前後

【原因】
管理ツールの脆弱性、FLASH脆弱性の可能性が考えられる

【対応】
・ウェブサイトの公開停止と管理パスワードを変更
・ウェブ上の全てのデータを削除
・ウェブサイトを復旧し、脆弱性を修正

17日
内容を非表示にする
行政機関/公的機関からの情報 カメラ画像利活用ガイドブック・事例集/経産省
【概要】
IoT推進コンソーシアム、経済産業省及び総務省は、カメラ画像について、その特徴を踏まえつつ利活用の促進を図るため、事業者が、生活者のプライバシーを保護し、適切なコミュニケーションをとるにあたっての配慮事項を整理した「カメラ画像利活用ガイドブックver2.0」公表

ガイドブックの中でも、カメラ画像の取得を始める前や、実際に取得を実施する際に、生活者が容易に当該カメラ画像の利用目的や利用方法を理解でき、必要に応じて運営主体への問合せなどができるよう、必要な情報を「事前告知」「通知」することが重要

「カメラ画像利活用ガイドブック 事前告知・通知に関する参考事例集」では、「事前告知」「通知」について、事業者名を伏せた形で以下の観点から実事例を紹介

・事前告知・通知する内容として、どのようなものが適切なのか
・物理的な方法で実施する場合、どのような場所にポスター掲示などをするとよいか
・電子的な方法で実施する場合、どのようにWebサイト等を活用するとよいか

【詳細ページ】
https://www.meti.go.jp/press/2019/05/20190517001/20190517001.html
15日
内容を非表示にする
不正アクセス クレジットカード情報流出/小田垣商店オンラインショップ
【状況】
・2月28日に決済代行会社より情報流出の可能性についての指摘
・クレジットカード決済を停止して3月5日より外部事業者による調査を実施
・3月22日にクレジットカード情報が流出し、不正に利用された可能性があるとの報告

2018年4月3日から5月16日、および2018年9月3日から2019年2月28日までにクレジットカードによる決済を利用した顧客2415人が被害に遭った可能性

【対応】
小田垣商店オンラインショップ お客様相談窓口サイトでクレジットカード情報流出に関する質問について、回答を用意

https://www.odagaki.co.jp/news/2019.html

14日
内容を非表示にする
不正アクセス 不正アクセス被害による迷惑メールの大量送信/札幌国際プラザ
【状況】
・代表メールアカウントが不正アクセスを受け、当該アカウントから約2,200件の迷惑メールが送信された
・メールは、出会い系サイトへの誘導を目的とした内容の英文であり、送信先の詳細等については不明

【対応】
・パスワードの強制変更を行い、不正アクセスを遮断

13日
内容を非表示にする
不正アクセス 学生・教員専用サイトへの不正アクセスによる個人情報の漏えい/東京理科大学
【状況】
2019年2月27日にイノベーション研究科の学生・教員専用サイトで発生した個人情報の漏えい報告の後、引き続き調査を行ったところ、不正アクセスによって個人情報の漏えいが判明
・講座・イベントの申込者、サイト利用者のメールアドレス:7,956件
・イベント申込者情報(メールアドレス、氏名、住所等):20件
・サイト機能利用者情報(メールアドレス、氏名、住所等):19件

現時点で漏えいした個人情報に関わる二次被害は確認されていない

【原因】
2018年10月以前に在学生や卒業生、教員の一部が使用するメールアドレスとログインパスワードが流出した可能性が高い

13日
内容を非表示にする
サイバー攻撃 「リスト型アカウントハッキング(リスト型攻撃)」による不正ログイン/ファーストリテイリング
【状況】
5月10日
オンラインストアサイト(ユニクロ公式オンラインストア、ジーユー公式オンラインストア)で第三者による不正なログインが発生

1)不正ログインが確認された顧客アカウント数
ユニクロ公式オンラインストア・ジーユー公式オンラインストアに登録者:461,091件

2)閲覧された可能性のある顧客個人情報
・氏名(姓名、フリガナ)
・住所(郵便番号、市区郡町村、番地、部屋番号)
・電話番号、携帯電話番号、メールアドレス、性別、生年月日、購入履歴、マイサイズに登録している氏名およびサイズ
・配送先の氏名(姓名、フリガナ)、住所、電話番号
・クレジットカード情報の一部(カード名義人、有効期限、クレジットカード番号の一部)
(クレジットカード番号は上4桁と下4桁以外は非表示。クレジットカードセキュリティコードは、表示・保存されていない)

【対応】
・通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化
・5月13日にパスワードを無効化し、パスワードの再設定依頼をメールで個別連絡


1 2 3 4次の20件

セキュリティニュースは、ソリューションパックおよびサポートパックでもご提供しています。
ウイルス情報についての記事は、影響力等が中程度以上のものを掲載しています。詳細は各サイトにてご確認ください。

Page Top

ISMS
ISMS

Copyright (C) 2002-2018 CDNS Corporation. All Rights Reserved.

情報セキュリティコンサルティング 情報セキュリティコンサルティング