日付 |
タイトル・内容 |
22日 |
|
|
|
【フィッシングのメール件名】
PayPay 加盟店のお申込み
PayPay : ●●●●
今すぐアカウントを更新 (2019/11/25 追記)
PayPayロゴを悪用し、本物そっくりな偽サイト(フィッシングサイト)や不正サイトに誘導し、クレジットカード情報や個人情報を入力させようとするメールを確認
不審なメールを受信した場合には、開かずに削除
フィッシング詐欺かどうかの判断が難しい場合には、メールに記載のリンクはクリックせず、PayPayアプリからのリンクや検索サイトからPayPayのウェブサイトを確認
|
|
|
|
|
|
21日 |
|
|
|
【状況】
2019年5月9日 システム脆弱性を突いた第三者による不正アクセスにより、ペイメントモジュールの改ざんが行われ、顧客クレジットカード情報(83件)が流出
2019年5月9日 「キャプテントム」でのカード決済を停止、第三者調査機関による調査開始
2019年7月17日 調査機関調査が完了し、2019年1月8日〜2019年5月9日の期間に「キャプテントム」で購入者クレジットカード情報が流出し、一部のクレジットカード情報が不正利用された可能性を確認
【流出情報】
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
【対応/再発防止策】
・監督官庁の個人情報保護委員会に2019年7月23日に報告済
・所轄警察の北海道警察中央警察署に2019年8月16日被害申告済
・システムのセキュリティ対策および監視体制の強化
|
|
|
|
|
|
21日 |
|
|
|
【状況】
11月19日に国内IPアドレスより、ID(メールアドレス)・パスワードを使って、16回にわたって「なりすまし」による不正アクセスが行われ、そのうち1件が不正ログインされ、1名分の顧客情報(顧客番号、氏名、生年月日、性別、保有ポイント、会員ランク、自宅住所、メールマガジン登録状況)が第三者に閲覧された可能性
【対策】
・不正ログインされたIDはログインできないように対応
・ログイン失敗IDに含まれていた顧客に状況を連絡
・不正アクセスが行われた特定IPアドレスからのアクセスをブロック
・サイトで、ID・パスワード管理徹底のお願いと注意喚起を継続して掲出
|
|
|
|
|
|
20日 |
|
|
|
JIS Q 27000:2019「情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語」において、機密性(Confidentiality),完全性(Integrity),可用性(Availability),否認防止(Non-Repudiation),責任追跡性(Accountability),真正性(Authenticity)並びに信頼性(Reliability)を情報セキュリティの特性として定義している。真正性は、JIS Q 27000:2019の中で『エンティティは,それが主張するとおりのものであるという特性。』と定義されている。
本解説書は、民間における電子サービスを対象とし、真正性の保証が求められるユースケースや電子サービスの利用、開発、運用時に真正性に関係するセキュリティ技術や実装方法をまとめ、真正性の一意な定義は定めず、真正性に関連する特性を持つセキュリティ技術、実装方法を紹介している。
【URL】
https://www.jnsa.org/result/jt2a/data/tf_2019.pdf
|
|
|
|
|
|
19日 |
|
|
|
【状況】
11月18日 従業者を含む420名に対しメールを送信した際、全ての送信先アドレスを公開(To発信)した状態で送信し、420名分のメールアドレスを公開(流出)
【原因】
送信先を伏せた形での送信(Bcc発信)を行うルールとなっているが、その確認を怠り、送信先アドレスを公開(To発信)した状態で送信
【再発防止策】
(1)社外の送信先への一斉送信を行う際は、「Bcc発信」となっていることを必ず確認
(2)確認作業は一人で行わず、複数名で確認
|
|
|
|
|
|
18日 |
|
|
|
【状況】
パソコン1台がコンピューターウイルスに感染し、複数の顧客から不審メールが届いているとの連絡があり調査
感染したパソコンを隔離し第三者機関に持ち込み、調査(当該パソコンで、2018年3月28日から2019年10月23日までにメールの送受信が行われている方が対象)を依頼したが、具体的な情報流出の痕跡は確認されなかったとの報告
【対応】
ニッポンレンタカーをかたるメールで添付ファイルを伴う「身に覚えのないメール」や「日本語・英語表記など問わず内容が怪しいメール」等につきましては、コンピューターウイルス等が混入されている可能性があるため、URLのクリックや添付ファイルを開封せずメールを削除するよう注意喚起
|
|
|
|
|
|
14日 |
|
|
|
【状況】
2019年07月16日 クレジットカード会社から、サイトを利用者のクレジットカード情報の流出懸念について連絡を受け、「ゼロフィット公式オンラインショップ」でのカード決済を停止
第三者調査機関による調査開始
2019年09月16日 調査結果、2015年01月01日〜2018年07月24日の期間に「ゼロフィット公式オンラインショップ」で購入者クレジットカード情報が不正アクセスによりペイメントアプリケーションの改ざんにより流出し、一部クレジットカード情報が不正利用された可能性があることを確認
【流出情報】
上記期間中に「ゼロフィット公式オンラインショップ」でのクレジットカード決済者983名
・カード名義人名
・クレジットカード番号
・有効期限
【対応/再発防止策】
・監督官庁の個人情報保護委員会に2019年10月04日報告済
・所轄警察の兵庫県三木警察署に2019年10月04日被害申告
・システムのセキュリティ対策および監視体制の強化
|
|
|
|
|
|
11日 |
|
|
|
【状況】
2019年4月24日:ヤマトフィナンシャル株式会社から当該サイトがフィッシング詐欺サイトへ誘導されている可能性があると連絡を受け、サイトでのカード決済を停止し、第三者調査機関による調査を開始
2019年6月29日:調査結果、2019年4月10日〜2019年4月24日の期間に当該サイトでの購入者及びクレジット決済を試みた利用者(計147名)のクレジットカード情報が流出した可能性を確認
【流出情報】
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
【対応/再発防止策】
・監督官庁の個人情報保護委員会に2019年10月10日に報告済
・所轄警察の⻲有警察署にも2019年9月25日被害相談
・システムのセキュリティ対策および監視体制の強化
|
|
|
|
|
|
11日 |
|
|
|
【状況】
2019年11月11日 女性・高齢者等活用/活躍推進セミナーの案内を県内企業(260社)に一斉メール送信際に、Bccで送信すべきところ、誤ってCCにアドレスを入力して送信し、メールアドレスを流出する事案が発生
【対応】
外部へのメール送信時に複数人でチェック
|
|
|
|
|
|
08日 |
|
|
|
【状況】
高額料金の発生や不正利用の検知といったNTTドコモを騙ったスミッシング発生し、本文中に記載されたリンク先にアクセスするとドコモのホームページに酷似したウェブサイトに接続され、dアカウントのID・パスワード、ネットワーク暗証番号やクレジットカード情報などの個人情報を不正に取得されるなどの被害が発生
・ドコモのdアカウント情報および銀行口座のログイン情報を盗み取ろうとする、ドコモを装ったSMSを確認/本文に記載のURLにアクセスするとdアカウントのID/パスワードや銀行口座のログイン情報の入力を求める
・不審な国際電話の着信に対し、折り返し電話を掛けることで電話番号を収集されてしまい、フィッシングSMSが届く事例を確認
|
|
|
|
|
|
08日 |
|
|
|
【状況】
2019年10月30日:当社アドレスを騙ったEMOTET(エモテット)に類似している多くの外部スパム電子メールを受け取り、フィリピン子会社のPCがウイルスに感染し、当該PCからメールアドレスが窃取されていることを確認
2019年11月6日:メールサーバーにフィルタリングを中継する事で安全を確保し、通信が回復
【再発防止策】
従業員に、不審メール対策に関する注意喚起を実施し、PCのセキュリティ対策の徹底を図る
|
|
|
|
|
|
06日 |
|
|
|
【状況】
2019年3月20日:決済代行会社を通じてクレジットカード会社より、オンラインショップでクレジットカード情報が流出した可能性がある旨連絡を受け、被害拡大防止のためオンラインショップでのカード決済のご利用を停止したうえで、社内調査および外部専門調査会社に調査依頼
2019年5月29日:調査結果から、Webアプリケーションの脆弱性を利用した攻撃により、オンラインショップのクレジットカード決済システムの一部が改ざんされ、顧客のクレジットカード情報の流出可能性が判明
【流出情報】
2018年9月28日から2019年3月20日の期間にオンラインショップでクレジットカード決済利用者220件の.ード名義人名 ▲レジットカード番号 M効期限 セキュリティコード
【対応/対策】
・クレジットカード会社と連携し、情報が流出した可能性があるクレジットカードによる取引のモニタリングを継続実施
・システムの脆弱性および管理体制の不備について、実施可能な施策を行ない、更なるセキュリティの強化・改修を進める
・2019年8月29日に個人情報保護員会に報告
・2019年8月28日に所轄警察署(群馬県警)に被害報告
|
|
|
|
|
|
01日 |
|
|
|
【フィッシングのメール件名】
SMBC - おめでとうございます
【フィッシングサイトのURL】
http://smbc-●●●●.xyz/
http://smbcs-●●●●.xyz/
http://9-●●●●.xyz/
|
|
|
|
|
|