大阪市は、認定こども園の児童に関する個人情報含んだ表計算ファイルを、誤って別施設へメールで送信するミスがあったことを公表した。複数の問い合わせへ対応していた際、送り先を誤ったという。 同市によれば、7月5日に「利用状況報告シート」のデータ入力方法について民間保育所からの問い合わせに対応していた際、並行して対応していた認定こども園の「利用状況報告シート」を誤って同保育所へメールで送信するミスがあったという。 同日同保育所より誤送信の指摘があり、問題が判明した。誤送信したファイルには、同認定こども園の児童の氏名、生年月日、保育認定状況など85件が含まれる。 職員が複数施設からの同様の問い合わせへ並行して対応していた際、誤って別施設のファイルをメールに添付してしまったという。 同市では同保育所に対し、電話で経緯を説明するとともに謝罪。誤送信したメールの削除を依頼した。同認定こども園にも、後日電話

山口県宇部市は、「はつらつ健幸ポイント」事業において、参加者に対し、別人の個人情報が記載された書類を送付したことを明らかにした。 同市によれば、6月18日に業務委託先であるタニタヘルスリンクが参加者5479人に対し、ポイント明細、活動レポート、お知らせ、アプリ継続方法の案内など4種類の書類を同封して発送したところ、一部で誤封入が発生したもの。 8グループにわけて作業を行ったところ、1グループ内でポイント明細と活動レポートに記載された氏名と住所が、お知らせに記載された氏名、アプリ「からだカルテ」のログインID、パスワードと異なっていることが判明した。 書類を受け取った参加者から6月21日に問い合わせがあり判明。31人において文書の誤封入による流出が確認された。同日タニタヘルスリンクでは、全参加者のIDとパスワードを変更。書類発送日以降にログインしたユーザーに対し、強制ログオフを実行した。 ま

栃木県は、医療型障害児入所施設の待機児童リストを、誤って中央児童相談所より福祉型障害児入所施設へメールで送信するミスがあったことを公表した。 同県によれば、本来ならば福祉型障害児入所施設と医療型障害児入所施設にそれぞれの入所待機児童リストを送付すべきところ、福祉型障害児入所施設4施設に対し、医療型障害児入所施設の入所待機児童リストを7月1日にメールで送信するミスがあったという。 誤送信したリストには、児童42人分の住所、生年月日、性別、障害の程度、疾病歴などが記載されていた。 翌2日にメールを受信した施設から添付ファイルが誤っているとの指摘があり判明。同日誤送信先の施設に対し、添付ファイルの削除を依頼した。また対象となる児童の保護者に対し、電話で謝罪を行っている。 （Security NEXT - 2024/07/12 ） ツイート

兵庫県尼崎市は、産業廃棄物処理事業者の関係者に関する個人情報が記載された書類を、同市ウェブサイトに誤って掲載したことを明らかにした。 同市によれば、本来非公表である産業廃棄物処理計画実施状況報告書の提出シートを、3月28日から6月27日にかけて誤って同市ウェブサイトに掲載するミスがあったという。 事業者より指摘があり、6月27日11時半ごろ、問題が判明した。問題の書類には、61事業所の担当者に関する氏名、メールアドレス、所属、電話番号、ファックス番号のほか、一部会社印、代表者印の印影なども含まれる。 同市では、誤掲載した書類を削除。関係者に対して謝罪を行っている。 （Security NEXT - 2024/07/12 ） ツイート

コンテンツマネジメントシステム（CMS）である「Joomla」の開発チームは、複数の脆弱性を解消したセキュリティアップデートをリリースした。 現地時間7月9日に、脆弱性5件やバグへ対処した「同5.1.2」「同4.4.6」をリリースしたもの。 今回判明した脆弱性は、いずれもコア部分におけるクロスサイトスクリプティング（XSS）の脆弱性としており、2月から6月にかけて報告を受けたという。 重要度を見ると、「CVE-2024-21729」「CVE-2024-21731」「CVE-2024-26278」「CVE-2024-26279」の4件については、4段階中、上から3番目にあたる「中（Moderate）」とし、「CVE-2024-21730」は1段階低い「低（Low）」とした。 （Security NEXT - 2024/07/12 ） ツイート

東京都は、「シニア中小企業サポート人材プログラム」を提供する「東京しごとセンター」においてメールの誤送信が発生したことを明らかにした。 都によれば、7月3日17時半ごろ、指定管理事業者の東京しごと財団において、人材情報を企業488社に提供する際、誤って個人情報をメールで送信するミスがあったという。 本来は個人を特定できないよう一部情報を削除してファイルを送信すべきところ、内部保存用のファイルを送信。再就職の支援を希望した56人に関する希望職種、希望条件、おもな職歴、資格、自己PR、最寄駅にくわえて氏名や年齢、性別などがそのまま記載されていた。 同日、同団体職員が送信したメールを確認し、誤送信に気づいた。 同団体では、誤送信先に対して問題のメールを削除するよう依頼。関係者に対して経緯の説明と謝罪を行っている。 （Security NEXT - 2024/07/11 ） ツイート

Cloud Software Groupは、Citrix製品に関するセキュリティアドバイザリを公開した。「クリティカル」とされる脆弱性も含まれる。「OpenSSH」の脆弱性「regreSSHion」についても一部製品が影響を受けることを明らかにし、アップデートするよう求めた。 現地時間7月9日にアドバイザリ6件を公開したもの。このうち1件については重要度をもっとも高い「クリティカル（Critical）」とレーティングしている。 同アドバイザリでは「NetScaler Console（旧Citrix ADM）」に判明した認証不備の脆弱性「CVE-2024-6235」、「NetScaler Console」「NetScaler SDX」「NetScaler Agent」において域外メモリへ書き込みが可能となる「CVE-2024-6236」に言及。 「CVE-2024-6235」については、共通

Palo Alto Networksは、現地時間7月10日にセキュリティアドバイザリを公開し、同社セキュリティ製品に関する複数の脆弱性を明らかにした。「クリティカル」とされる脆弱性も含まれる。 同社ファイアウォール製品に搭載されている「PAN-OS」やXDR製品の「Cortex XDR」、他社製品から同社製品への移行を支援するマイグレーションツール「Expedition」に脆弱性が判明し、解消したという。 「PAN-OS」では、3件の脆弱性に対処した。「CVE-2024-5911」は、「Panorama」のウェブインタフェースに明らかとなった脆弱性で、任意のファイルをアップロードでき、サービス拒否を引き起こすことが可能となる。 また入力検証不備「CVE-2024-5913」、RADIUS認証に「CHAP」「PAP」を利用している場合に権限昇格が可能となり、別名「Blast-RADIUS」と

Fortinetは、同社セキュリティ製品に搭載されている「FortiOS」に関する2件の脆弱性を明らかにした。 各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」にあたる現地時間7月9日にアドバイザリ2件を公開したもの。「FortiOS」にくわえて「FortiProxy」もこれら脆弱性の影響を受ける。 具体的には「SSL VPN」のウェブユーザーインタフェースに、クロスサイトスクリプティング（XSS）の脆弱性「CVE-2024-26006」が判明した。標的とする利用者に悪意あるページのブックマークを行わせ、アクセスさせることで攻撃が可能になるという。 またIPアドレス検証機能に不備があり、細工したリクエストによって「IPアドレス」のブロックリストをバイパスできる「CVE-2024-26015」が明らかとなった。 共通脆弱性評価システム「CVS

ドメイン登録サービスやホスティングサービスの事業者を装い、提供中のサービスが停止するなどと不安を煽って偽サイトへ誘導し、アカウント情報などをだまし取るフィッシング攻撃が確認されている。 GMOインターネットグループによれば、同社サービス「お名前.com」を装い、「支払いの問題でドメインが停止した」「ホスティングの自動更新に失敗した」などとあたかも利用するサービスが停止したかのようにだまして不安を煽り、偽サイトへ誘導するフィッシング攻撃が確認されているという。 同社に限らず、同様のサービスを展開している他社に対しても類似した攻撃が展開されているとし、同社はサービスの利用者に注意を呼びかけた。 ひとたびインターネットサービスのアカウントを侵害されると、アカウント内の情報を窃取されたり、データの改ざん、破壊、攻撃の踏み台として悪用されるなど、さまざまな被害へ発展する可能性がある。 インターネット

情報処理推進機構（IPA）は、国内において6月に判明した「PHP」の脆弱性「CVE-2024-4577」を悪用した「ネットワーク貫通型攻撃」による被害が確認されているとして注意喚起を行った。 問題とされる「CVE-2024-4577」は、PHPの「CGIモジュール」において引数インジェクションが可能となる脆弱性。Windowsにおけるエンコーディング変換機能の影響によるもので、Windows環境で利用している場合に影響を受ける。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル（Critical）」とレーティングされている。現地時間6月6日にリリースされた「PHP 8.3.8」「同8.2.20」「同8.1.29」にて修正された。 Impervaでは、「WebShell」の設置やランサムウェア「TellYouThePass」の感染活動に悪用されたこ

熊本市は、熊本市総合屋内プールの指定管理者である熊本市文化スポーツ財団が、スケート教室の申込者や参加者の個人情報を財団のウェブサイトに誤って掲載したことを明らかにした。 同市によれば、2月10日に同財団がウェブサイト上にスケート教室の告知と実施要項のPDFファイルをアップロードしようとした際、誤って申込者や参加者など50世帯111人分の個人情報を含むCSVファイルを誤ってアップロードしたもの。氏名や性別、生年月日、住所、電話番号、メールアドレスなどが含まれる。 財団ウェブサイトより、ファイルを閲覧したり、ダウンロードすることが可能となり、5月30日に申込者からインターネットで自分の名前を検索すると、文字化けしたスケート申込者らしきデータが表示されると電話連絡があり問題が発覚した。 同日同財団では、委託先業者に問題のデータについて削除を求め、検索エンジンに対しても、データの削除を依頼した。

OpenSSHにあらたな脆弱性が判明した。「regreSSHion」をレビューする過程で発見されたもので、旧バージョンが影響を受けるという。 リモートよりコードの実行が可能となる「CVE-2024-6409」が公表されたもの。2021年にリリースされた「OpenSSH 8.8」および「同8.7」が影響を受けるという。 別名「regreSSHion」と名付けられた脆弱性「CVE-2024-6387」を調査する過程で発見され、調整を経て現地時間7月8日に公表された。 「CVE-2024-6387」と同じくシグナルハンドリングの競合状態に関する脆弱性としており、非同期に安全ではない関数が呼び出されるおそれがある。「CVE-2024-6387」に比べて権限が低い子プロセスで引き起こされる問題とし、発見者は即時に大きな影響を与えるものではないと説明している。 CVE番号を採番したRed Hatでは共

群馬県太田市は、メールの送信ミスで太田市20周年記念事業の参加者に関する氏名とメールアドレスが流出したことを明らかにした。 同市によれば、6月21日19時ごろ、2025年3月9日に開催を予定している「太田市20周年記念事業群馬交響楽団と20周年記念合唱団第九コンサート」の合唱参加者5人に連絡メールを送信した際、氏名とメールアドレスが閲覧できる状態で誤送信したもの。 送信直後に問題に気づき、対象者に電話で連絡し。誤送信したメールの削除を依頼した。 また7月1日にも合唱参加者128人に連絡メールを送信した際、氏名とメールアドレスが閲覧できる状態が発生した。 翌2日にメールの受信者から誤送信を指摘する連絡があり判明。同市では対象者に経緯の報告と謝罪を行い、誤送信したメールを削除するよう求めた。 （Security NEXT - 2024/07/09 ） ツイート

「Apache HTTP Server」の開発チームは現地時間7月3日、セキュリティアップデートとなる「同2.4.61」をリリースした。2日前にリリースした「同2.4.60」にて生じた問題へ対処したという。 ハンドラによるコンテンツタイプの設定が無視され、ソースコードが漏洩するおそれがある脆弱性「CVE-2024-39884」が明らかとなったもの。 現地時間7月1日にリリースした「同2.4.60」によってコア部分における過去の問題が再発。同日報告を受けた。 同脆弱性により、特定の状況下で「PHPスクリプト」などが正しく解釈されず、ソースコードが公開されるおそれがある。 開発チームでは、脆弱性を修正した「同2.4.61」を現地時間7月3日にリリース。利用者にアップデートを呼びかけている。 （Security NEXT - 2024/07/05 ） ツイート

和歌山市は、2023年度の「市県民税特別徴収税額決定通知書」の封入を委託していた業務委託先において個人情報が流出したことを明らかにした。 業務を委託していたイセトーのランサムウェア感染被害により、「市・県民税特別徴収税額決定通知書」のデータ15万1421件が流出したもの。氏名や住所、課税情報が含まれる。 当初5月28日に同社よりランサムウェア感染の報告を受けた際は、同市に関する情報流出はないとの説明を受けていた。 6月26日に同社で情報流出が確認された際も、同市関連情報は対象ではないとの報告だったが、一転7月1日に同市関連情報の流出が判明したとの報告を受けたという。 同社内において、コピーしたデータを別部門のサーバに保管し、契約終了後もデータが削除されていなかったという。 同市では、同社に対してさらなる調査の継続と、適切な対応、報告を引き続き求めるとしている。 （Security NEXT

日本ネットワークセキュリティ協会（JNSA）は、SECCON実行委員会が主催する「CTF for Girls」のイベントにおいて、参加申込者に関する個人情報が意図せず外部に公開されていたことを明らかにした。 同団体によれば、イベント「Kunoichi Cyber Game」予選会の申し込みに「Googleフォーム」を使用したが、アクセスや編集の権限を誤り、「リンクを知っている全員」に設定するミスがあったという。6月19日に外部から指摘があり問題が判明。同日フォームの権限を変更した。 同問題により、フォームを公開した5月31日14時半過ぎから6月19日13時過ぎにかけて特定動作から申込者の情報が閲覧できる編集ページへアクセスでき、予選会申込者26人の個人情報を閲覧可能だった。氏名やメールアドレス、国籍、「Beginners CTF」の登録チーム名などが含まれる。 Googleフォームから大会

新潟市は、秋葉区において不審者情報提供メールに被害児童の個人情報を誤って記載し、区内保育園へ送信するミスがあったことを明らかにした。 同市によれば、6月19日に秋葉区の職員が速報として「不審者情報」を区内25の保育園にメールで送信したが、被害に遭った児童3人に関する氏名などがマスキング処理されていなかったという。 同月21日にメールを見た保育園園長から電話で連絡があり問題が判明した。同日メール送信先である保育園にメールの削除を依頼。対象者に経緯の説明と謝罪を行った。 今回の問題を受け、今後は情報提供された書類の修正、メール送信を異なる職員が担当し、ダブルチェックを徹底して再発の防止を図るとしている。 （Security NEXT - 2024/07/02 ） ツイート

愛知県春日井市は、個人情報含む排水設備工事調書のデータを含む記録メディアが所在不明となっていることを明らかにした。 同市によれば、2022年度に作成した排水設備工事調書のスキャンデータ1133件が保存されたメディア1枚が所在不明となっているもの。5月22日に保管していた引き出しに見当たらないことが判明した。 申請者などの氏名、住所、電話番号のほか、排水工事設備調書、排水工事に関する付属資料などのデータが保存されていた。 同市は誤って廃棄した可能性が高いとしており、データの不正利用などは確認されていないという。 対象となる申請者に対しては、書面を通じて経緯を説明し、謝罪するとしている。 （Security NEXT - 2024/06/27 ） ツイート

静岡県浜松市は、同市ウェブサイトに掲載した表計算ファイルに個人情報が含まれていたことを明らかにした。 同市によれば、同ウェブサイトで5月24日に掲載した「ロコトレ事業登録団体一覧表」の表計算ファイルに団体登録申請者および事務担当者の個人情報が含まれていたもの。 6月13日に登録団体の関係者から指摘があり、ファイル内の別シートに個人情報が記載されていることが判明。同市では同日、個人情報を削除したファイルに差し替えた。 掲載ページには241件のアクセスがあったが、ファイルのダウンロード件数は不明としている。 同市では、期間中に問題のファイルをダウンロードしていた場合は、削除してほしいと呼びかけている。 （Security NEXT - 2024/06/26 ） ツイート