岡山県倉敷市は、3月に開催を予定しているサイクリングイベント「備中あんたび2」の申込フォームにおいて、申込者の個人情報が閲覧できる状態となる不具合があったことを明らかにした。 イベントの申込フォームに使用された「Googleフォーム」において、申込者の個人情報がほかの参加申込希望者より閲覧できる状態となっていたことが1月22日に判明したもの。 業務委託先におけるフォームの設定ミスが原因で、32人分の氏名、住所、電話番号などが流出した。同日申込フォームを停止するとともに削除。同市や委託先事業者では参加申込者に対して経緯を説明し、謝罪した 同市では、「Googleフォーム」の設定を行う場合に複数人によるチェックを行い、動作確認の徹底を図ることで再発防止を図るとしている。 （Security NEXT - 2024/02/22 ） ツイート

大阪市は、事務連絡のメールを障害福祉サービス事業所に向けて送信した際、個人情報含むファイルを誤って添付するミスがあったことを明らかにした。 同市によれば、能登半島地震の発生にともない、2月15日に社会福祉施設に対する介護職員の派遣依頼に関する事務連絡メールを障害福祉サービス事業所に対して送信した。 送信先が多いことから14回にわけて送信したところ、そのうち1回で本来は派遣決定者リストを添付すべきところ、送付先一覧を誤って添付するミスが発生したという。 翌16日にメールを受信した事業所から連絡があり、問題が判明した。誤って添付したファイルには、障害福祉サービス事業所の管理者および運営法人代表者7468人分の氏名、住所が含まれる。一部電話番号、ファックス番号、生年月日なども記載されていた。 同市では、送信先の事業所に経緯を説明して謝罪。誤って送信したメールの削除を依頼するとともに本来の事務連絡

大阪市は、消防局において、個人情報含む書類の誤交付が発生したことを明らかにした。 同市によれば、普通救命講習受講を申請した事業所に対し、消防局が行政オンラインシステムにより普通救命講習受講通知書を交付する際、誤って別の事業所の個人情報を含む書類を交付するミスがあったという。 誤って交付したのは、救命講習等受講申込書と救命講習等受講者名簿。申込書には申請者1人の氏名、名簿には受講予定者12人の氏名が記載されていた。 2月9日9時半ごろ、交付を受けた事業所から連絡があり誤交付が判明。誤って交付された書類は閲覧のみで、ダウンロードしていなかった。 同市では、両事業所に経緯を説明するとともに謝罪。本来の対象事務所に「普通救命講習受講通知書」を交付している。 （Security NEXT - 2024/02/21 ） ツイート

個人情報保護委員会は、相次いでサポート詐欺の被害が発生した長野県教育委員会に対し、技術的な対策や発覚後の対応に問題があったとして個人情報保護法に基づく行政指導を行った。 同県では、8月と9月に県内2校で偽の警告メッセージにだまされるサポート詐欺の被害が発生。攻撃者の指示に従い、校務用端末に遠隔操作ソフトを無断でインストールしたため、個人情報が漏洩するおそれが生じた。 端末には、生徒の氏名、生年月日、住所、成績、生徒指導や進路指導に関する資料のほか教職員の氏名など1万4231人分の個人情報が保存されていた。 個情委は同問題において、校務用端末にソフトウェアのインストールを制御する機能が備わっていたにもかかわらず設定されておらず、教職員がインターネット上からソフトウェアをインストールできる状況にあったと問題を指摘。 両事案とも発生から数日後には同県を通じて事態が公表されているが、個情委へ確報が

埼玉県熊谷市は、課税資料の入力業務を委託していた事業者が、同市に許可を得ることなく業務を再委託していたことを公表した。情報流出などは確認されていないが、同市では同社との委託契約を解除したという。 同市によれば、紙で受領したマイナンバーを含む給与支払報告書の課税資料の内容をパンチ入力や電子データ化する業務において、委託先である川越市のアクト・ジャパンが、同市に無断で業務を再委託していたことが判明したという。 作業を委託した8170件のうち、6312件が承認なしに再委託されており、5843人分のマイナンバーが含まれていた。 マイナンバー法では、委託者の許諾なしに再委託ができないことが定められている。再委託先からの個人情報流出は確認されていない。 同市では、委託先から給与支払報告書の課税資料を回収。2月14日に業務委託契約を解除した。また法令違反があったとして個人情報保護委員会に報告を行っている

出版事業を手がけるダイヤモンド社は、ランサムウェアによるサイバー攻撃を受けた問題で、個人情報が流出した可能性があることを明らかにした。 同社では、ランサムウェアにより、サーバやパソコンに保存されていた一部ファイルを暗号化され、開けなくなる被害を2023年12月7日に確認。事態を公表するとともに、外部協力のもと、情報の流出の有無や影響を受けた機器などについて調査を進めていた。 調査において個人情報の外部流出は確認されていないが、ランサムウェアによりファイルが暗号化された状況を踏まえ、保有する約7万件の個人情報が外部に流出した可能性があると結論付けた。 顧客の氏名、住所、メールアドレスのほか、取引先の会社名、代表者名、担当者名、住所、メールアドレスなどが対象だという。ただし、定期購読者情報、各種オンラインサービスの会員情報などは含まれていない。 同社は、連絡が取れる関係者に対してメールや書面を

Ivantiが提供するリモートアクセス製品「Ivanti Connect Secure（旧Pulse Connect Secure）」「Ivanti Policy Secure」にあらたな脆弱性が明らかとなった。悪用は確認されていないが、早急に対策を講じるよう呼びかけられている。 現地時間2月8日にセキュリティアドバイザリを公開し、「SAMLコンポーネント」における「XML外部実体参照（XXE）」の脆弱性「CVE-2024-22024」について明らかにしたもの。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.3」と評価されている。 一部サポート中のバージョンに影響があり、具体的には「Ivanti Connect Secure 22.5R1.1」「同22.4R2.2」「同9.1R18.3」「同9.1R17.2」「同9.1R14.4」「Ivanti Policy Secure

Fortinetは、現地時間2月8日にセキュリティアドバイザリ7件を公開し、複数製品において脆弱性に対処したことを明らかにした。重要度が「クリティカル」とされる脆弱性も含まれる。 「FortiOS」が影響を受ける脆弱性4件をはじめ、「FortiNAC」「FortiManager」「FortiClientEMS」に関する脆弱性を明らかにしたもの。「FortiOS」の一部脆弱性に関しては、「FortiProxy」も影響を受ける。 脆弱性の重要度を見ると、「FortiOS」に明らかとなった脆弱性2件「CVE-2024-21762」「CVE-2024-23113」が5段階中もっとも高い「クリティカル（Critical）」とレーティングされている。また「CVE-2024-21762」は悪用されている可能性もあるという。 「FortiClientEMS」に判明した「CVE-2023-45581」につい

Fortinet製品に搭載されている「FortiOS」にリモートより攻撃を受けるおそれがある深刻な脆弱性が複数明らかとなった。「SSL VPN」機能に判明した脆弱性は、すでに悪用されている可能性もあるという。 同社は、現地時間2月8日にセキュリティアドバイザリを公開し、「FortiOS」に関する4件の脆弱性を明らかにした。 なかでも「CVE-2024-21762」「CVE-2024-23113」の2件については、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価し、重要度を5段階中もっとも高い「クリティカル（Critical）」とレーティングしている。 「CVE-2024-21762」は、「sslvpnd」において域外メモリに書き込みが行われる脆弱性。リモートより細工したHTTPリクエストを送信することで、認証なしに任意のコードを実行することが可能だとしている。同脆

愛知県は、選挙管理委員会のX（旧Twitter）公式アカウントが乗っ取り被害に遭ったことを明らかにした。フォローを解除するよう呼びかけている。 同県によれば、選挙管理委員会のXアカウントが不正アクセスを受け、第三者に乗っ取られたもの。アカウント名を「Treasure」とされたり、アイコンやトップ画面が意図しないものへ変更されていた。 同アカウントは、選挙に対する関心を高めるため2014年10月より運営。「X認証済み組織」サービスを通じて認証されており、金色のチェックマークが付与されている。 不正アクセスによる被害の判明を受けて、同県ではXに対して同アカウントの削除を申請。同アカウントによる投稿へアクセスせず、フォローを解除するよう呼びかけている。 （Security NEXT - 2024/02/07 ） ツイート

福島県郡山市は、同市の公式Facebookアカウントに見せかけた「なりすましアカウント」が確認されたとして注意を呼びかけた。問題のアカウントは、「プレゼント企画に当選した」といったメッセージを送信しており、同市とは無関係のサイトに誘導していたという。 同市によれば、公式アカウントと同じアカウント名やプロフィールを設定した「なりすましアカウント」が見つかったもの。アイコンの画像や記事なども盗用している。 2月12日に問題のアカウントより友だちリクエストがあったとの報告が同市複数職員からあり、問題が発覚。住民からも不審なメッセージが届いたとする情報が寄せられた。「プレゼント企画に当選した」といったメッセージを送りつけていたという。 同市では警察へ通報するとともに、Facebookを運営するMeta Platformsに対して「なりすましアカウント」を停止するよう要請した。問題のコンテンツは同日

京都市スポーツ協会は、同協会が主催した講座の参加者へメールを送信した際にミスがあり、メールアドレスが流出したことを明らかにした。 同協会によれば、1月23日、2023年度スポーツ講座に参加した67人に対し、謝意を伝えるメールを送信した際、受信者が互いのメールアドレスを閲覧できる状態で送信するミスがあったという。 同協会では、対象となる参加者に謝罪。誤送信したメールを削除するよう依頼している。 （Security NEXT - 2024/02/02 ） ツイート

Juniper Networksのネットワーク製品「SRXシリーズ」「EXシリーズ」に搭載されている「Junos OS」に複数の脆弱性が明らかになった。 現地時間1月25日にセキュリティアドバイザリを公開し、「Junos OS」のウェブコンポーネントである「J-Web」における複数の脆弱性を公表したもの。 共通脆弱性評価システム「CVSSv3.1」におけるベーススコアは「8.8」。重要度は4段階中、上から2番目にあたる「高（High）」とレーティングしている。 具体的には、クロスサイトスクリプティング（XSS）の脆弱性「CVE-2024-21620」や、認証の欠如の脆弱性「CVE-2024-21619」「CVE-2023-36846」「CVE-2023-36851」の4件が判明した。各脆弱性のCVSS基本値を見ると「CVE-2024-21620」が「8.8」とされており、のこる3件はいずれ

鹿児島県は、同県が過去に使用した4件のドメインが、事業終了後に第三者によって取得され、利用されているとして注意を呼びかけている。 同県によれば、過去に「かごしまのウェルネス」「ぐりぶークーポンに関する広報」のほか、2021年度、および2022年度の「らくらく鹿児島巡り事業」の4サイトで利用していたドメイン4件を第三者が取得したもの。 いずれも「.net」や「.com」「.jp」といった属性が設定されていないドメインを利用。「らくらく鹿児島巡り事業」に関しては事業年度によって別のドメインを取得、利用していた。 これらドメインを用いた現在のサイトなどについて、同県とは無関係であるとし、公式サイトを通じて注意喚起を行った。またこれらドメインに対するリンクを行っているウェブサイトの管理者に対して、リンクの削除を依頼している。 今回の問題を受け、同県では職員に対し、ウェブサイトの運用にあたっては、取

神奈川県横須賀市は、かながわ電子入札共同システムの資格申請を勧奨するメールで送信ミスがあり、事業者のメールアドレスが流出したことを明らかにした。 同市によれば、1月16日にかながわ電子入札共同システムの資格申請を勧奨するメールを事業者165件に送信した際、送信先を誤って「TO」に設定するミスがあったという。 誤送信により、受信者間でメールアドレスが閲覧できる状態となった。個人が特定できる可能性があるメールアドレス71件が含まれる。 同日、メールを送信した職員が誤送信に気付いた。翌17日に対象となる事業者にメールで経緯を説明して謝罪。誤送信したメールの削除を依頼している。 （Security NEXT - 2024/01/19 ） ツイート

埼玉県は、開示文書のマスキング処理に不備があり、非開示とすべき内容が参照できる状態となっていたことを明らかにした。 同県によれば、秩父農林振興センターがPDFファイルで開示した文書において、本来非開示とすべき個人情報10人分が参照できる状態となっていたもの。 内容は対象者によって異なるが、氏名や住所、電話番号、所有森林地番などが含まれる。ファイルは文書編集ソフトでマスキングを行い、PDFに変換したが、対応が十分であると勘違いしていた。 1月10日に開示文書の受領者から、マスキング部分が読み取れるとの指摘があり問題が発覚。調査したところ、3回にわたり同様の問題を含むファイルを開示していることが判明。また別の2人に対しても同じ文書ファイルを開示しており、1人は同月16日に自身のウェブサイト上で同ファイルを公開していたこともわかった。 同県では、文書ファイルを提供した3人に謝罪し、情報流出の防止

米政府は、「Ivanti Connect Secure（旧Pulse Connect Secure）」「Ivanti Policy Secure Gateway」に深刻な脆弱性が見つかり、広範な攻撃も発生していることを受け、現地時間1月19日に緊急指令「ED 24-01」を発行した。同国内の行政機関に対し、調査を実施して結果を報告するよう求めるとともに、利用を再開する場合の条件なども示している。 「CVE-2023-46805」「CVE-2024-21887」について、広範かつ積極的に悪用されていることを確認しており、行政機関におけるセキュリティ上の重大な脅威になるとして、米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が緊急命令を発行したもの。 これまでも現地時間1月10日にIvantiよりセキュリティアドバイザリがリリースされたことを受け、CISAでは同日脆弱性を「

Cloud Software Group傘下のCitrixが提供する「NetScaler ADC（旧Citrix ADC）」「NetScaler Gateway（旧Citrix Gateway）」にゼロデイ脆弱性が明らかとなった。 現地時間1月16日にセキュリティアドバイザリをリリースし、2件の脆弱性「CVE-2023-6548」「CVE-2023-6549」について明らかにしたもの。具体的な内容については言及していないが、いずれも悪用を確認しているという。 「CVE-2023-6548」は、管理インタフェースにおいてリモートよりコードの実行が可能となる脆弱性。悪用には認証が必要としており、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「5.5」と評価されている。 一方、「CVE-2023-6548」は「VPN仮想サーバ」「RDPプロクシ」「AAA仮想サーバ」などとして構成して