福岡県篠栗町は、講座申込者にメールを送信した際にミスがあり、メールアドレスが流出したことを明らかにした。 同町によれば、7月18日14時半過ぎ、3種類の講座に関する当選のお知らせと開催通知メールを、それぞれの講座の申込者に送信した際、3回のメールともに送信先を誤って宛先に設定するミスがあったという。 一連の誤送信を通じて、あわせて44件のメールアドレスが受信者間で閲覧できる状態が発生。送信直後に職員が問題に気づいた。 同日、対象となる申込者に電話で謝罪。誤送信したメールの削除を依頼している。 （Security NEXT - 2024/08/07 ） ツイート

兵庫県尼崎市は、親子向けイベントの申し込みフォームにおいて設定ミスがあり、申込者の個人情報が約15時間にわたり一時閲覧できる状態となっていたことを明らかにした。 同市によれば、8月1日17時から2日8時過ぎにかけて、親子向けイベント「親子おしごと体験」の申込フォームに設定ミスがあったもの。申込者から指摘があり判明した。 イベントを受託した事業者が「Googleフォーム」を用いて参加申込を受け付けたが、設定ミスが原因でフォームにあるリンクをクリックすると、申し込み済みの子供に関する氏名や年齢といった275人分の個人情報を閲覧できる状態だった。 問題判明後に設定を変更。対象となる申込者に謝罪を行っている。情報の拡散などは確認されていない。 （Security NEXT - 2024/08/06 ） ツイート

青森県五戸町は、同町教育委員会においてメールの送信ミスが発生し、ボランティア登録者のメールアドレスが流出したことを明らかにした。 同町によれば、同町教委において、「好きです！五戸町ボランティア運動」の募集メールをボランティア登録者120人にメール送信した際、誤送信が発生したもの。 送信先を誤って宛先に設定したため、受信者間で氏名とメールアドレスが閲覧できる状態となった。 同町ではウェブサイトで公表し、謝罪している。 （Security NEXT - 2024/08/06 ） ツイート

宮崎県は、ICT人材マッチング支援サイト「ひなターンみやざき」が改ざん被害に遭ったことを明らかにした。原因や被害の状況について調べている。 同サイトは、県外ICT技術者と県内ICT企業とのマッチングを支援するウェブサイト。同県によれば、インターネットの検索結果から同サイトへアクセスすると、無関係のサイトに誘導される状態となっていた。 7月30日にサイト管理業者が点検作業した際に問題が判明。同日同サイトを閉鎖した。前週26日に点検した際は問題なかったという。 サーバには、91人分の情報が登録されており、ニックネーム、メールアドレス、性別、職種、居住都道府県、出身地域、相談の有無など含まれる。 同県では、侵害された原因や内容、登録者情報に対するアクセスなどがなかったか調査を進めている。 同サイトの登録者に対してメールで状況を報告。原因調査を終えたあとは、サーバ内部より登録者データを消去し、対策

福岡県大野城市は、歴史博物館「大野城心のふるさと館」において、ボランティアの個人情報を誤ってメール送信する事故があったことを明らかにした。 同市によれば、7月24日にボランティア「ふるサポの会会員」の活動シフト表を53人にメール送信した際、誤送信が発生したもの。 本来はシフト表のみPDF化して送信すべきところ、会員の個人情報含む表計算ファイルを送信してしまったという。 同データには、ボランティア89人の氏名のほか、このうち81人については口座情報も含まれていた。 対象となるボランティアに対し、電話で謝罪を行うとともに、経緯や謝罪を記載した書面を送付するとしている。 （Security NEXT - 2024/08/05 ） ツイート

群馬県富岡市は、英語課外活動事業で申込者へメールを送信した際にミスがあり、メールアドレスが流出したことを明らかにした。 同市によれば、7月16日夕方に英語課外活動の申込者107人に対し、3回にわけて連絡メールを送信した際、送信先を誤って宛先に設定するミスがあったという。同一グループの受信者間でメールアドレスが閲覧できる状態となった。 同日受信者から指摘があり、誤送信が判明した。同市では対象となる申込者にメールで謝罪。誤送信したメールの削除を依頼している。 （Security NEXT - 2024/07/31 ） ツイート

FFRIセキュリティが提供する「FFRI AMC（FFRI Active Monitor Console）」に脆弱性が明らかとなった。OEMなども影響を受ける。 同製品は、同社エンドポイントセキュリティ製品における脅威検知状況のモニタリングやアップデートなど管理コンソール機能を提供するソフトウェア。NECの「ActSecure χ専用FFRI AMC」、Skyの「EDRプラスパック」への同梱などOEM供給も行われている。 脆弱性情報のポータルサイトであるJVNによれば、同製品において通知プログラム設定を有効化し、実行パスにバッチファイルやコマンドファイルを設定するなど特定環境下において、OSコマンドインジェクションの脆弱性「CVE-2024-40895」の影響を受ける。 周知を目的にFFRIセキュリティがJPCERTコーディネーションセンターへ報告した。共通脆弱性評価システム「CVSSv3

福岡県北九州市は、自立支援医療利用者の個人情報が記録されたメディアを紛失したことを明らかにした。誤って廃棄した可能性があるという。 同市によれば、自立支援医療利用者の5月診療分保険診療報酬支払基金連名簿データが記録された光ディスク1枚を紛失したもの。推定約1万件のデータが記録されており、氏名、年齢、生年月日、性別、医療機関コードなどが含まれる。パスワードが設定されているという。 7月10日に請求書とディスクが入った封筒を担当者が受領。同月23日に名簿データを使って業務をしようとしたが、パソコンにデータがダウンロードされていないことに気づいたという。 メディアを外部に持ち出すことはなく、7月26日の時点で被害の報告なども受けていない。領後日に支払処理のために請求書を取り出し、処理を終えたあとに封筒を廃棄しており、その際に廃棄した可能性があると説明している。 （Security NEXT -

厚生労働省滋賀労働局は、業務委託先がサポート詐欺に遭い、メールファイルが消去されたことを明らかにした。 同局と滋賀県より、医療労務管理支援事業を受託し、滋賀県医療勤務環境改善支援センターを運営する滋賀県病院協会において職員がサポート詐欺の被害に遭ったもの。 同センターの職員が4月11日に業務用端末を操作していたところ、警告画面に模した表示にだまされ、記載のあったマイクロソフトを装う電話番号へ連絡。相手方の指示に従ってしまったという。 同人物は、コンビニエンスストアでプリペイドカードを購入するよう求めたため、不審に思い別の職員に伝え、端末の電源を落として電話を切った。 同端末においてマルウェアの感染は確認されなかったが、端末内部より「Outlook」のメールファイルを消去されており、一時的に端末をリモート操作されたものと見られる。

岐阜県は、永年勤続表彰対象の教職員に関する個人情報を含んだファイルを、メールで誤送信する事故があったことを明らかにした。送信先よりさらにファイルが転送され、流出先が拡大したという。 同県によれば、6月25日から26日にかけて、県内6教育事務所に対し、教職員の永年勤続対象者名簿をメールで送信した際、教職員の個人情報が含まれたファイルを誤って送信するミスがあったという。 教職員41人の生年月日や年齢、採用年月日、処分歴などが含まれる。個人情報は、名簿のファイル内に別シートとして非表示の状態で添付されており、特定操作で閲覧できる状態だった。 6月28日に送信先から指摘があり、問題が判明。さらに送信先へ確認したところ、教育事務所から市町村の教育委員会や管内の小中学校にファイルが転送されていたことが判明した。送信先はあわせて122機関にのぼる。 同県では、送信先の機関にファイルの削除を依頼。全送信先

神戸市は、2カ所の市内公民館でメールの送信ミスがあり、サマースクール申込者のメールアドレスが流出したことを明らかにした。 同市によれば、小中学生向けサマースクールの申込者に対し、東垂水公民館では7月3日および4日に当落の連絡をメールで行った際、誤送信が発生した。7月8日にメールを受信した申込者から指摘があり判明した。 送信先のメールアドレスを入力する際、1人を宛先、4人を「BCC」に設定。最大4人に対して1人分のメールアドレスが閲覧可能となり、あわせて98人分のメールアドレスが流出した。 誤送信の判明を受けて他施設におけるメールの送信状況を点検したところ、玉津南公民館においても同様の誤送信が発生していた。1人分のメールアドレスが最大91人に閲覧可能となり、メールアドレス44件が流出した。 同市ではメールアドレスが流出した申込者に対し、電話で事情の説明と謝罪を実施。第三者のメールアドレスを含

Broadcomは、「VMware ESXi」「VMware vCenter Server」に脆弱性が見つかった問題でセキュリティアドバイザリを更新した。「VMware Cloud Foundation」向けにアップデートを提供している。 同社は、「VMware ESXi」に「CVE-2024-37085」「CVE-2024-37086」や、「VMware vCenter Server」にDoS攻撃が可能となる「CVE-2024-37087」が判明した問題で、現地時間6月25日にアドバイザリをリリース。 現地時間7月24日に同アドバイザリを更新し、「VMware Cloud Foundation」における修正版「同5.2」および「同7.0 U3q」の提供についてアナウンスした。 なお、「VMware ESXi」に対しては「ESXi80U3-24022510」「ESXi70U3sq-2379

Internet Systems Consortium（ISC）は、DNSサーバ「BIND 9」のアップデートをリリースした。脆弱性やバグの修正などを行っている。 「BIND 9.20.0」「同9.18.28」において、リモートより悪用が可能である4件の脆弱性に対処したことを明らかにしたもの。アドバイザリを公開した時点で、いずれも悪用は確認されていないという。 具体的には、TCP経由で悪意あるクライアントより多数のDNSメッセージを受信した際に動作が不安定となり、サービス拒否に陥るおそれがある「CVE-2024-0760」を修正。 同じホスト名に対して多数のリソースレコードを持つ権威DNSサーバやキャッシュDNSサーバにおいて、クエリの処理速度が約100倍遅くなるおそれがある「CVE-2024-1737」に対応した。 さらにDNSSECにおいて、「SIG(0)」署名が付いたリクエストを送信

宮城県は、東北歴史博物館においてメールの送信ミスがあり、写真教室の参加希望者に関するメールアドレスが流出したことを明らかにした。 同県によれば、同博物館が主催する写真教室の参加希望者19人に対し、7月9日11時50分ごろと13時半ごろの2回にわけて案内メールを送信した際、送信先を誤って宛先に設定するミスがあったもの。受信者間でメールアドレスが閲覧できる状態となった。 同日に別の職員が問題に気づいた。同博物館では対象となる関係者にメールで謝罪し、誤送信したメールの削除を依頼。電話による謝罪も行っている。 （Security NEXT - 2024/07/23 ） ツイート

静岡県吉田町は、子ども向け教育施設「ちいさな理科館」の職員がサポート詐欺の被害に遭ったことを明らかにした。遠隔操作された端末内部には個人情報が保存されていたという。 同町によれば、7月14日に同施設職員がパソコンを操作していたところ、セキュリティの警告画面に模した表示にだまされる被害に遭ったもの。 記載された連絡先に電話をかけ、指示に従って操作を行ったところ、遠隔操作がはじまり、不審に感じた職員が電話を切り、パソコンを強制終了したという。 遠隔操作された端末には、講座申込者約450人の氏名、住所、電話番号、メールアドレス、学校名、学年、保護者名のほか、メールの送受信履歴約1300件が保存されていた。 同町では問題の発覚を受け、外部協力のもと、個人情報が外部へ流出していないか調査を行っている。 （Security NEXT - 2024/07/19 ） ツイート

偽の警告画面でだます「サポート詐欺」の相談が増加している。前四半期から3割近く増加し、過去最多を更新した。国内の電話番号から折り返し電話をかけてくるケースも確認されている。 情報処理推進機構（IPA）が、2024年第2四半期に同機構窓口へ寄せられたセキュリティに関する相談状況について取りまとめたもの。 同四半期に対応したセキュリティに関する相談は3757件。前四半期の3225件から約16.5％増加しており、3四半期連続で3000件を超えている。 マルウェアを検出したなどと偽の警告画面でだまし、サポート詐欺などへ誘導する行為の相談は1767件で、過去最多となった前四半期の1385件から約27.6％増。3四半期連続で増加している。 検索結果に連動した広告において、正規サービスを装う偽広告が表示されるケースが確認された。また、電話を切った後も、都内の実在する電話番号で折り返し電話をかけてくるケー

6月にフィッシング攻撃で用いられたURLの件数が過去最多を記録した。報告数も前月から微増し、2カ月連続で14万件を超えている。 フィッシング対策協議会によれば、同月に寄せられたフィッシング攻撃の報告は14万4160件。前月の14万3680件から480件増となり、1日あたり約4805.3件の報告が寄せられた。 フィッシングの報告数は、2月に一時5万件台なかばまで減少したものの、その後4カ月連続で増加。過去3番目に多い報告数となっている。 一方、フィッシングサイトに悪用されたURLは5万4991件。前月の3万8089件から約44.4％増と急増した。1日あたりに換算すると約1833件。これまで最多だった2022年9月の5万3612件を上回り、過去最多を更新した。 サブドメインにランダムな文字列を指定し、リダイレクトのために使い捨てで利用された「.cn」ドメインが目立ち、約41.3％を占めている。

東京都福祉保健財団は、研修受講者へメールを送信した際、メールアドレスが流出したことを明らかにした。 同財団によれば、7月8日に担当者が研修受講者472人にメールを送信した際、メールアドレスが宛先として設定され、流出したもの。 メール送信にあたり、研修で使用するシステムの「お知らせ機能」にあった「メール送信機能」をはじめて使用。他担当者の確認を経て案内メールを送信したものの、「お知らせ」機能は宛先欄にメールアドレスを挿入するしくみだった。 流出後にシステム会社に確認したことで宛先にメールアドレスが設定される仕様であることを把握したという。 同財団では、対象となる受信者に謝罪。誤送信したメールの削除を依頼した。研修時にあらためて謝罪を行っている。 今回の問題を受けて、今回利用した送信機能を廃止。他機能に関してもセキュリティ上のリスクがないか検証するとしている。 （Security NEXT -