情報セキュリティコンサルティング 情報セキュリティコンサルティング
ISMS
gbvy[W
RTeBO
\[VpbN for ISMS
\[VpbN for o}[N
ZLeBKoiX
ISO10002
PMS^JIS Q 15001
vCoV[}[N\x
SECURITY ACTION
x
KC_XEex
RTeBO
qijvTZLeB
Z~i[
ZLeBZ~i[
e[}Z~i[
ZLeBuK
ZLeBc[
ISMSEPMS[jO
ISMSEPMS 
[jO
ZLeBT[rX
ZLeBj 
[X
ZLeBpW
ATCgN
ミ
ミTv
lj
CDNS [jOu`ミ 
I
CDNS.BLOGFbcmrX^btuO
RT^gBlogFZLeBRT^g 
_gDqg
CDNSiCDNS_jpjon Twitter
Navi Site OCR``ISMSEo}[N\z^c 
ASP
SECURITY ACTION
ZLeBRTeBOCDNS
ISMS
ISMS
セキュリティサービス/セキュリティニュース


個人情報漏えいやインターネット犯罪、ウイルス情報等のニュースを掲載しています。テーマは“事故から学ぶ情報セキュリティ”。みなさんの組織の体制や、事件・事故が起こる可能性等を考慮しながらご覧ください。
過去のニュースを見る:  年度

1 2 3 4 5 6 7次の20件
1か月分すべての内容を表示する 2019年09月
日付 タイトル・内容
25日
内容を非表示にする
行政機関/公的機関からの情報 Society 5.0 って何?/内閣府
サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会(Society)

と言われても、何かピンときませんね。
そんな人のために・・・・・

内閣府の科学技術政策の中で「Society 5.0」についてわかりやすく解説されています。
説明資料PDFもあるので社内教育にも使えます。

https://www8.cao.go.jp/cstp/society5_0/index.html
20日
内容を非表示にする
不正アクセス 不正ログインの発生で一部ポイント引換/「インターコムクラブ」株式会社ジャックス
【状況】
・2019年9月14日、不正対策モニタリングで、インターコムクラブに対する不正なログインを探知し、調査した結果、「リスト型攻撃」による不正ログインと判明
・同年9月17日に不正ログインされたIDの無効化処理

【流出情報】
・不正ログインの状況(2019年9月18日現在):634件
・閲覧・利用された可能性のある項目・サービス
(カード名称、カードご利用金額、カードご利用明細、ご利用可能額、ポイント残高、ポイント交換等)

【対応】
クレジットカードのご利用金額等が閲覧された可能性があり、対象者のID無効化を実施
ポイント引換サービスの機能停止
・ラブリィポイント引換商品のGiflet(デジタルギフト)
・Reader’s Cardポイント引換商品のAmazonギフト券
・ANAスカイコイン
・楽天スーパーポイント

【再発防止策】
「インターコムクラブ」ログイン時の認証強化
19日
内容を非表示にする
不正アクセス 不正アクセスによる個人情報流出/「10mois WEBSHOP」有限会社フィセル
【状況1】
2019年3月27日クレジットカード決済代行会社より連絡
同日サイトにおけるクレジットカード決済を停止し、調査開始
2019年4月27日にPCF社からの最終調査報告書で流出判明

1)サイト利用期間:2018年8月7日〜2019年3月27日
・クレジットカード決済者(最大11,913件)
・偽決済ページでのクレジットカード情報入力者(件数不明)
2)流出情報
・クレジットカードのカード会員名
・クレジットカードのカード番号
・クレジットカードの有効期限
・クレジットカードのセキュリティコード番号
3)原因
不正アクセスによるペイメントモジュールの改ざん
4)対応
2019年5月13日 蒲郡警察署に被害報告を申告
2019年6月17日 個人情報保護委員会へ報告
5)再発防止策
・情報セキュリティのインフラ整備と強化
・ISO27001認証取得を目指し、セキュリティ規程の策定や従業員に対する社内教育を行いコンプライアンス体制を確立

【状況2】
1)サイト利用期間:2014年12月12日〜2019年5月20日
・対象:会員登録者、商品購入者、ギフト商品受取者、10moisAOYAMA店・10mois NAGOYA店会員登録者(最大108,131件)
・2019年5月13日〜同月20日の間ウェブショップのデータベースに保存された顧客情報
2)流出情報
・氏名
・電話番号
・FAX番号
・メールアドレス
・住所
・性別
・職業
・勤務先
・生年月日
・WEBSHOPの注文履歴
・会員ID
・メールマガジンの送付希望
・登録店舗
・DM送付(登録店舗からのみ)
3)原因
不正アクセスによるペイメントモジュールの改ざん
4)対応
2019年6月4日 蒲郡警察署に被害報告を申告
2019年6月17日 個人情報保護委員会へ報告
5)再発防止策
・情報セキュリティのインフラ整備と強化
・ISO27001認証取得を目指し、セキュリティ規程の策定や従業員に対する社内教育を行いコンプライアンス体制を確立

【状況3】
1)サイト利用期間:2019年5月14日〜2019年5月20日
・対象:「10mois WEBSHOP」から転送された偽決済ページでクレジットカード情報入力者(最大30件)
2)流出情報
・クレジットカードのカード会員名
・クレジットカードのカード番号
・クレジットカードの有効期限
・クレジットカードのセキュリティコード番号
3)原因
不正アクセスによるペイメントモジュールの改ざん
4)対応
2019年6月4日 蒲郡警察署に被害報告を申告
2019年6月17日 個人情報保護委員会へ報告
5)再発防止策
・情報セキュリティのインフラ整備と強化
・ISO27001認証取得を目指し、セキュリティ規程の策定や従業員に対する社内教育を行いコンプライアンス体制を確立
18日
内容を非表示にする
行政機関/公的機関からの情報 「個人情報の取扱いにおける事故報告集計結果(2018年度)」公表/JIPDEC
プライバシーマーク付与事業者および審査機関から報告のあった個人情報の取扱いにおける事故について取りまとめた資料を公表

【概要】
2018年度の報告件数
・2018年度は、912の付与事業者より2,323件の事故報告があり、報告事業者数、事故報告件数ともに前年度とほぼ横並び(2017年度:報告事業者数911事業者、事故報告件数2,399件)。
・2018年度末時点の付与事業者数に占める事故報告事業者の割合は5.6%で、前年度と比較し若干減少(2017年度5.8%)

【詳細情報】
https://privacymark.jp/news/other/2019/0918.html?mm190925
17日
内容を非表示にする
不正アクセス 不正アクセスによる個人情報流出/「Naturas Psychos Product」ハーバルインデックス
【状況】
・2019年1月26日、警察組織から、ショッピングサイトの利用者のクレジットカード情報の流出懸念について連絡があり、カード決済を停止し、調査開始
・2019年4月22日に調査の結果、不正アクセスにより弊社サイトが改ざんされ、2018年12月11日から2019年1月26日までの期間に本サイトでクレジットカード決済を選択した顧客が、偽の決済画面へ誘導され、そこで入力されたクレジットカード情報が流出、一部のクレジットカード情報が不正利用されたことが判明

【流出情報】
2018年12月11日〜2019年1月26日の期間中に本サイトでクレジットカード決済者203名
(・カード名義人名・クレジットカード番号・有効期限・セキュリティコード)

【対応】
・2019年1月26日、所轄警察静岡県警サイバー対策本部に被害届
・2019年6月24日、監督官庁である個人情報保護委員会に事態報告

【再発防止策】
システムのセキュリティ対策および監視体制の強化
17日
内容を非表示にする
情報取扱い タブレット顔認証機能の対応で個人情報保護委員会が指導/JapanTaxi株式会社
【状況】
・タクシー車内設置の付属のカメラを用いた性別判定機能を利用しタブレット上広告サービス配信が、個人情報の取得等を行っているとの認識なく行っていた
・2018年12月5日個人情報保護委員会より、本機能で用いられるカメラ画像を個人情報として扱うべきという見解が示された
・通知公表対応について、個人情報保護法第41条の規定に基づき「そのカメラの存在及びこれにより個人情報を取得することについてわかりやすい説明を徹底し、適正に個人情報を取得するとともに、利用目的の通知や公表を適切に行うこと」との指導
・2019年4月に至るまで改善策が実施されていなかったことについて再度の指導

【対応・再発防止策】

1)タブレット上のカメラの存在の公表
・2019年4月9日、タブレット上での案内を表示し、よりわかりやすい公表方法に改善を継続
・プライバシーポリシーの改訂を行い、取得目的などについて、わかりやすく詳細通知

2)ISMSの取得
・2019年9月7日、情報セキュリティマネジメントシステム「ISO 27001 (ISMS)」認証取得
・情報セキュリティ対策の継続的な改善を行い、顧客が安心して利用できるサービス強化に努める

3)個人情報取り扱い全般に関する規定・体制の整備
・個人情報の取扱いに特化した規定類・社内体制の見直しについて対応を実施

4)業務委託先管理の徹底について
・業務委託先(タクシー会社等)の個人情報の保護についても、管理の徹底を実施
17日
内容を非表示にする
不正アクセス 不正アクセスによる個人情報流出/「掃除用品オンラインショップ」株式会社みらいと
【状況】
・2019年5月15日、一部のクレジットカード会社から、「掃除用品オンラインショップ」を利用した顧客のクレジットカード情報の流出懸念について連絡
・同日「掃除用品オンラインショップ」でのカード決済を停止し、調査
・2019年6月30日、調査機関調査が完了し、2019年5月7日〜2019年5月15日の期間「掃除用品オンラインショップ」での購入者のクレジットカード情報が流出し、一部のクレジットカード情報が不正利用された可能性があることを確認

【原因】
システムの一部の脆弱性を突いた第三者の不正アクセスにより、ペイメントモジュールの改ざんが行われた

【流出情報】
サイトでクレジットカード決済した以下の顧客情報34名分
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

【対応】
2019年7月23日に個人情報保護委員会へ報告済
2019年7月23日に所轄警察昭和警察署へ被害申告

【再発防止策】
・システムのセキュリティ対策および監視体制の強化を行い、再発防止を図る
17日
内容を非表示にする
サイバー攻撃 ランサムウェア感染でシステム障害/シミックホールディングス
【状況】
・2019年9月9日、ランサムウェアの感染を確認し、直ちに該当サーバーの使用を停止
・情報やデータに損害ならびに流出はない
・メールサーバーのランサムウェア感染なく、配信メールによる本ランサムウェアによる被害が拡大することはない

【対応】
パソコン、サーバーの不正プログラム検出能力の強化と常時監視により、今後同様の障害が発生しない環境を構築

【再発防止策】
セキュリティ強化に取り組む
17日
内容を非表示にする
不正アクセス 不正アクセスによるクレジットカード情報流出/「JTAS Store」日本関税協会
【状況】
・2019年5月24日、クレジットカード会社から本サイトの利用者のクレジットカード情報の流出懸念について連絡があり、同日「JTAS Store」でのクレジットカード決済を停止
・2019年7月10日、調査機関による調査の結果、2018年12月21日〜2019年5月24日の期間に「JTAS Store」での購入者クレジットカード情報が流出し、一部クレジットカード情報が不正利用された可能性が判明(最大228件)

【原因】
不正アクセスによるペイメントアプリケーションの改ざん

【流出情報】
・クレジットカード番号
・有効期限
・セキュリティコード
・クレジットカード会員名

【対応】
1)2019年7月25日監督官庁である内閣府に報告済
2)2019年7月18日警察署に被害相談
3)第三者調査機関の調査結果をクレジットカード会社に報告し、カード情報のモニタリング強化を依頼

【再発防止策】
システムのセキュリティ対策および監視体制並びにリスクマネジメント体制、コンプライアンス体制の更なる強化
13日
内容を非表示にする
内部不正/ミス 委託業者による個人情報の紛失/国立国際医療研究センター病院
【状況】
2019年9月5日、手術器械の納入契約をしている委託業者社員が、9月2日患者の氏名等が記載の手術予定リストを営業車に置いたまま会社倉庫で作業中盗難に遭遇し流出

【流出情報】
国立国際医療研究センター病院整形外科手術予定リスト(用紙)2019年7月30日から8月16日までの、整形外科で手術予定の33名分の情報
(手術予定日、入室時間、患者様氏名、年齢、性別、術式、患側、準備内容、器械区分、執刀医の名字)

【対応】
病院ホームページで事実関係とお詫びを公表
委託業者から警察への盗難届済

【再発防止策】
1)委託業者に病院から提供された個人情報の徹底した管理を要求し、管理状況について定期的な検査確認を行う
2)委託業者への情報提供時は、患者の氏名は匿名化するなどの改善を実施
12日
内容を非表示にする
行政機関/公的機関からの情報 「ユーザのための要件定義ガイド 第2版」公開/IPA(情報処理推進機構)
【概要】
2017年3月発行に「ユーザのための要件定義ガイド」初版で、要求を正しく伝えるための、ユーザ企業・ITベンダ企業双方の知見やノウハウをまとめ、ユーザが抜け・漏れのない要件定義を進める方法をガイドした。

システム開発の遅延の過半は要件定義の失敗にあると言われため、要件定義の過程で直面する問題への対応をガイドし、ユーザへの支援策として、「ユーザのための要件定義ガイド 第2版 要件定義を成功に導く128の勘どころ」を公開し、アンケートに答えることで入手可能とした

【構成】
はじめに
第1章 背景
第2章 要件定義の問題認識
第3章 要件定義の全体像
第4章 ビジネス要求定義(BR)における問題と解決の勘どころ
第5章 システム化要求定義(SR)における問題と解決の勘どころ
第6章 要件定義マネジメント(RM)における問題と解決の勘どころ
第7章 要件定義の主要ドキュメント作成(DD)の勘どころ
おわりに
付録

【URL】
https://www.ipa.go.jp/ikc/reports/20190912.html
10日
内容を非表示にする
不正アクセス 不正アクセスによる情報流出/なんとかデータベース(ラーメンデータベース)株式会社スープレックス
【状況】
2019年9月10日、会員から登録情報が漏洩している可能性があるとの通報があり、調査の結果、サーバーへの不正アクセスが判明し、不正アクセスの経路を遮断

【流出情報】
・「なんとかデータベース」にアカウント登録されているメールアドレス・ログイン用パスワード(暗号化)169,843件の可能性

【対応】
セキュリティ管理体制の構築や再発防止の対策を速やかに講じる
06日
内容を非表示にする
内部不正/ミス ノートパソコン遺失による個人情報漏洩/株式会社ゼットン
【状況】
・2019年8月30日、社員が帰宅途中に立ち寄った小売店舗にて、当該端末を遺失

【遺失個人情報】
・予約依頼の個人情報が最大67,280件(氏名・企業名、電話番号、Eメールアドレスの全部又は一部)
1)氏名(企業名)+電話番号最大56,805件(内、DDポイント会員1,600件)(関東店舗1,308件東海・大阪店舗55,497件)
2)氏名(企業名)+電話番号+Email最大10,475件(内、DDポイント会員312件)(関東店舗1,035件東海・大阪店舗9,440件)

【対応】
・遺失業務用ノートパソコンは、ログインパスワード等、社内ルールに基づくセキュリティ対策を実施済
・当該端末に対するログインパスワードを遠隔により複雑化及び社内システム等へのアクセス権を遮断済

【再発防止策】
業務用端末(持ち出し可能なパソコン等)の厳重な取り扱いの再徹底、管理体制の見直し、改善と、全従業員に対する教育、指導の再徹底
06日
内容を非表示にする
ネット犯罪 ビジネスメール詐欺(BEC)による被害の可能性/トヨタ紡織株式会社
【状況】
欧州子会社で、悪意ある第三者による虚偽の指示に基づき資金を流出させる事態が発生
・損失見込額:最大約40億円(9月6日時点)
・発生日:8月14日

捜査上の機密保持のため、現時点ではこれ以上の詳細の開示は差し控えるとしている
05日
内容を非表示にする
サイバー攻撃 東京メトロをかたるフィッシング/フィッシング対策協議会
【状況】
「地下鉄カードのポイントの現金返還キャンペーン」というメール件名で、東京メトロをかたるフィッシングメール

2019/08/30 15:30 現在、フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中。類似のフィッシングサイトが公開される可能性がありますので引き続き注意
05日
内容を非表示にする
不正アクセス 不正アクセスにより個人情報流出/小嶋屋総本店ショッピングサイト
【状況】
外部からWebアプリケーションの脆弱性を利用した攻撃で2015年12月9日から2019年4月15日の期間内に、ショッピングサイトでクレジットカード決済をした利用者の個人情報が最大で8,109件、不正アクセスにより流出した可能性
流出したクレジットカード情報は 氏名 クレジットカード番号 クレジットカード有効期限

【対応】
・2019年4月15日にカード会社から決済代行会社を通じて、情報漏洩の懸念がある旨連絡
・社内調査の結果、漏洩懸念が判明し、被害拡大防止のため直ちにオンラインショップでのカード決済のご利用を停止
・クレジットカード会社に、該当するクレジットカード情報を報告し、不正利用の防止モニタリングを依頼
・調査会社より指摘されたシステムの脆弱性および管理体制の不備な点について、実施可能な施策を行なうとともに、更なるセキュリティの強化・改修を進める

【再発防止】
・システムのセキュリティ対策および監視体制の強化を行い、再発防止を図る
・個人情報保護委員会に2019年7月30日に報告
・十日町警察署に2019年6月25日に被害申告
04日
内容を非表示にする
不正アクセス J-Coin Pay加盟店管理に関わるテスト用システムへの不正アクセス/みずほ銀行
【状況】
2019年8月27日「Jコイン」の加盟店管理に関わるテスト用システムに第三者による不正アクセスで、加盟店法人、法人代表者、窓口連絡担当者等の個人の名称、連絡先等の情報が流出

【流出情報】
・Jコインの加盟店法人(7,930件)
・法人代表者、窓口連絡担当者等の個人情報(10,539件)
・Jコインに参画する一部金融機関名(32件)

【対応】
・テスト用システムは外部からのアクセス遮断
・漏えいの可能性がある流出データは、対象加盟店に発生について個別連絡
・警察当局、監督当局に対し、本件の発生について報告
・今後の調査も踏まえ、再発防止に適切に取り組む
03日
内容を非表示にする
サイバー攻撃 ウェブサイト改ざん/JR西日本
【状況】
2019年9月1日(日曜日)16時以降、JR西日本「パンダくろしお運行スケジュール」ウェブサイトにアクセスすると、利用者にアンケートへの回答を求める不審なサイトを表示されるため、サービスを停止

サイトでは個人情報を保有していないため、当該サイトからの個人情報の流出はない

【原因】
12時30分:レンタルサーバーで運用している「パンダくろしお運行スケジュール」のウェブサイトが改ざんされている事実を確認

【対応】
・問い合わせ窓口:お客様センター(Tel:0570-00-2486)、営業時間:6時から23時まで
・サイト閉鎖(9月2日17時)前にアクセスした場合、不審なサイトが表示された可能性があり、心当たりのある利用者は問い合わせ窓口へ
・パンダくろしお運行スケジュールについても問い合わせ窓口へ

【再発防止】
・調査中のため、原因が判明次第、対策を検討
・JRおでかけネットをはじめとする関連サイトについては、改ざんは発見されず
03日
内容を非表示にする
システム障害 チケット販売・メール配信システムトラブル/公益社団法人ジャパン・プロフェッショナル・バスケットボールリーグ
【状況1】
2019年9月2日19:00から販売開始の秋田ノーザンハピネッツのファンクラブ・ブラック会員先行販売でシステムトラブル(販売設定間違い)が発生し、クレジットカードでの決済、購入ができない状況

【再発防止策1】
・パスレボ社にて事前購入テスト、及び設定の確認徹底
・Bリーグの管理監督の強化


【状況2】
2019年8月31日12:00から販売開始の琉球ゴールデンキングスのゴールド会員先行販売において、Bリーグチケットにて販売時システムトラブル(アクセス対策初期設定の見込みを上回るアクセスがあり、システムに対して想定以上の負荷がかかった)により購入ができない時間帯が発生が、購入画面内への流入を半分以下に減らすと同時にサーバーの増強し、サービスをリスタートし、12:53から状況改善

【再発防止策2】
サーバーの増強、購入画面内への流入数の監視強化と調整


【状況3】
2019年8月26日16:00に、千葉ジェッツより送信したメールで、意図しない顧客へメールが配信され、一部のブースタークラブ会員様の氏名および会員IDが誤信者に開示
影響範囲 5,540名
・誤ってメールが配信された2,770名のBリーグ会員
・氏名および会員IDが別の方に開示されてしまった2,770名の千葉ジェッツ会員

【原因3】
メール配信リストをシステムにアップロードした際に、千葉ジェッツのメール配信リスト内の任意の番号と同じ番号が、Bリーグが提供しているプラットフォーム内にも存在し、先にプラットフォームにアップロードされた任意の番号に紐づく情報が優先されて反映する仕様となっていたため、意図しないメールアドレスが宛先となった

【再発防止3】
いかなる操作でもBリーグが保有する情報に各クラブがアクセスができないように設定

02日
内容を非表示にする
行政機関/公的機関からの情報 中小企業の情報セキュリティ対策ガイドライン 公表/IPA
【概要】
「中小企業の情報セキュリティ対策ガイドライン」は、情報セキュリティ対策に取り組む際の手順や手法をまとめた
〃弍勅圓認識し実施すべき指針
⊆卞發砲いて対策を実践する

経営者編と実践編から構成されており、個人事業主、小規模事業者をも含む中小企業(以下「中小企業等」)の利用を想定

第3版は、「サイバーセキュリティ経営ガイドライン」の改訂や、中小企業等を対象としたクラウドサービスの充実化などの環境変化に対応

サプライチェーンを構成する中小企業においては発注元企業への標的型攻撃の足掛かりとされる懸念も指摘されており、早急な対策実施が必須

ガイドラインおよび「SECURITY ACTION」制度の活用によって、ITを利活用している中小企業が情報セキュリティ対策に取り組み、サイバーリスク低減につながることが期待される

【改訂のポイント】
・専門用語の使用を可能な限り避け、ITに詳しくない経営者にとって理解しやすい
・対策に取り組めていない中小企業等が組織的な対策の実施体制を段階的に進める構成
・クラウドサービスを安全利用するための留意事項やチェック項目、「中小企業のためのクラウドサービス安全利用の手引き」を追加

【ダウンロード】
https://www.ipa.go.jp/files/000055520.pdf

1 2 3 4 5 6 7次の20件

セキュリティニュースは、ソリューションパックおよびサポートパックでもご提供しています。
ウイルス情報についての記事は、影響力等が中程度以上のものを掲載しています。詳細は各サイトにてご確認ください。

Page Top

ISMS
ISMS

Copyright (C) 2002-2018 CDNS Corporation. All Rights Reserved.

情報セキュリティコンサルティング 情報セキュリティコンサルティング