2024年6月以降、Google フォームの設定に起因する情報流出が生じたとして複数の組織より公表されました。ここでは関連する情報をまとめます。 回答情報を第三者に参照される恐れのあった共同編集設定 Google フォームの設定次第で外部から回答者の情報を閲覧することが可能な状態が発生し、実際に影響を受けたとして複数の組織が6月以降公表を行っている。 事案公表した組織が行っていた設定とは、Google フォームの「共同編集者の追加」において「リンクを知っている全員」が選択されている場合。 Googleのアカウントにログインした状態で当該設定が行われたGoogle フォームに回答を行った後、自身のGoogleアプリからGoogle フォームの画面を表示した際に、「最近使用したフォーム」の欄にそのGoogle フォームが表示されるようになっていた。そこよりGoogle フォームを通じて入力され

2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー（sshd）コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC

2024年4月、偽造されたマイナンバーカードを使用したSIMスワップ事案が発生しました。さらにその後のっとられたSIMを通じて高級腕時計の購入などが行われる被害も発生しています。ここでは関連する情報をまとめます。 SIMのっとられ未遂含め400万円超の被害 SIMスワップの被害を報告したのは、東京都議会議員と大阪府八尾市議会議員の二人。愛知県名古屋市内のソフトバンクショップ（八尾市議会議員の事例ではソフトバンク柴田店）で何者かが契約変更（MNPや最新のiPhoneへの機種変更など）を行い、元々の契約者であった二人が所有するスマートフォンでSIMによる通話・通信ができない被害にあった。 昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定？なんだろうとアプリを確認してもよくわからず放置。（この時にPayPayに確認すべきだった！）午後にメールチェック

2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh

2024年2月14日、宮城県石巻市は2023年9月に発生したシステム障害について原因がSSDの重大なファームウエア不具合であったと公表しました。ここでは関連する情報をまとめます。 重大な不具合情報が共有されずシステム障害発生 2023年9月当時にシステム障害が発生したのは石巻市本庁内で稼働する戸籍情報システム。システムが稼働するサーバー上で使用していたSSDの不具合によりバックアップサーバーを含めてシステム停止が起こり、市役所やコンビニなどで戸籍証明書の発行が行えない事態となった。2日後には最新の戸籍証明書の写しは発行できるようになった*1ものの、完全復旧（除籍や改製原戸籍の証明書発行）には約1か月（2023年9月20日～2023年10月18日）を要することとなった。 障害影響が長期化した理由として、市は当該システム上で取り扱うデータが戸籍にかかわるもので、復旧方法および突合などに万全を期

2024年2月5日、外務省の外交公電を取り扱うシステムが中国によるサイバー攻撃を受けていたと報じられました。ここでは関連する情報をまとめます。 閉域ネットワーク上でサイバー攻撃被害と報道 サイバー攻撃の被害にあったと報じられたのは、外務省本省と在外公館の間で行われる外交公電を取り扱うシステム（外交公電システムとみられる）。公電は閉域ネットワークである「国際IP-VPN」上で通信が行われており、インターネット上から通信内容を傍受することはできない。サイバー攻撃により公電でやり取りをされていた情報が中国側に漏れていた可能性があるが、具体的にどのような攻撃だったのかや攻撃によって生じた影響など詳細は報じられていない。*1 当該システムを所管する外務省情報通信課はこのサイバー攻撃について、「情報セキュリティ上の理由から回答を控える」として事実関係を含め詳細を明らかにしていないが、読売新聞は複数の政

2023年11月17日、韓国の地方行政システムで3日にわたる大規模なシステム障害が発生し、韓国内の多くの行政機関の業務に支障が生じ、手続きが行えないなど市民の生活にも大きな影響が及びました。その後の調査を経て、韓国政府はネットワーク機器の異常によるものだったと原因について明らかにしています。ここでは関連する情報をまとめます。 56時間にわたり行政ネットワーク使えず システム障害は認証基盤である行政電子署名証明書（GPKI）システムで発生。韓国では公務員はシステム接続を行う際にGPKIシステムで認証を行っているため、全国の自治体で業務システムを利用できない事態となった。GPKIシステムと接続していた、閉域ネットワーク運用されている韓国内のすべての自治体が利用する「市道セオル行政システム」や行政プラットフォームの「政府24（정부24）」が利用できなくなった。 GPKIシステムは物理サーバー15

2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。 短縮URLサービス中の広告表示を起因とした事案か いなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1 同社が公表した資料中

2023年10月17日、NTTビジネスソリューションズは同社の元派遣社員が顧客情報の不正な持ち出しを行っていたと公表しました。持ち出された顧客情報はコールセンターのシステムに保存されていたもので、元派遣社員は2013年より不正な行為を及んでいたとみられています。ここでは関連する情報をまとめます。 10年近く前から顧客情報を不正に持ち出し 不正な行為を行っていたのはNTTビジネスソリューションズに2008年6月より派遣されていた元派遣社員（公表時点で派遣会社から退職済）で、コールセンターシステムの運用保守管理を担当していた。10年間で100回以上にわたって不正な取得行為を行っていた。*1 NTTビジネスソリューションズはNTTマーケティングアクトProCXが利用していたコールセンターシステムのシステム運用を行っており、元派遣社員によって不正に持ち出されていた情報はNTTマーケティングアクトP

2023年10月10日、全国銀行資金決済ネットワークは、同社が運用している全国銀行データ通信システムでシステム障害が発生したことを公表しました。この障害の影響により一部の金融機関で送金遅延などが生じました。ここでは関連する情報をまとめます。 560万件の取引に影響 障害が起きたのは全国銀行資金決済ネットワーク（全銀ネット）が運用する全国銀行データ通信システム（全銀システム）のうち、平日8時半から15時半まで稼働するコアタイムシステムで金融機関との接続に使用される中継コンピューター（RC）。障害は10月10日8時半に発生し、10月12日未明に復旧に向けた対応が完了、同日8時半の切替完了したことで復旧した。*1 全銀システムは1,000超の金融機関が参加しており、1営業日当たりの取引件数は2022年実績で約806万件、約14兆円。*2 今回のシステム障害により金融機関間で行われる送金に遅延や取

2023年8月15日、GMWは同社が運営するサービスが不正アクセスを受けたことで、「pictBLand」及び「pictSQUARE」のデータベース情報が外部へ流出した可能性があると公表しました。また当該サービスのWebサイトを閲覧した際に別のサイトへ接続する状態になっていたことも明らかにしています。ここでは関連する情報をまとめます。 累計130万人登録のSNSに不正アクセス GMWが運営するサービスが不正アクセスを受け、pictBLandのサイトが一時改ざんされた他、データベース情報が外部に流出した可能性がある。サービスの累計登録者数は約130万人で、今回の不正アクセスによる影響を受けたアカウントの件数は約80万件。*1 不正アクセスとの関連があったとみられる事象が複数確認されており、それらは以下の通り。今後デジタルフォレンジックを行う企業へ調査を依頼することで影響範囲の特定を行うとしてお

2023年8月7日（現地時間）、2020年頃に中国軍が日本政府にサイバー攻撃を行い防衛機密情報にアクセスしていたとして米国のThe Washington Postが報じました。ここでは関連する情報をまとめます。 日本政府のネットワーク侵害を米国が把握 発端となったのは、現地時間2023年8月7日付でThe Washington Postが報じた中国が日本の防衛ネットワークへハッキングを行ったとする当局者の話などを取り上げた記事。2020年秋に米国NSAが日本政府が侵害されていることを確認した後、米国が日本に情報提供をはじめとする本件への対応をどのようにとってきたか経緯や関連事案などをまとめたもの。同紙で国家安全保障やサイバーセキュリティの取材を行っているEllen Nakashima氏の署名記事。氏が面談した米国の元高官ら3人を情報ソースとしているが機密性が高いことからいずれも匿名での取材

2023年3月以降、富士通Japanが提供する地方公共団体向けの住民情報ソリューションである「MICJET」(ミックジェット)において、プログラム不具合に起因するシステム障害によりコンビニ交付サービスで他人の証明書が出力されるなどの誤交付が相次ぎ発生しています。ここでは関連する情報をまとめます。 証明書の誤交付が発生した地方公共団体 富士通Japanが提供する住民情報ソリューション「MICJET」に関連した誤交付が生じたのはこれまでに8つの地方公共団体。MICJETのコンビニ交付サービスにおいて住民票の写し、印鑑登録証明書などで誤交付が発生した。MICJETを導入している地方公共団体は全国で123。*1 誤交付を行った地方公共団体 誤交付された対象 誤交付を行っていた時期 横浜市 他人の住民票（個人番号あり）の写し1件(1名) 他人の住民票（個人番号無し）の写し5件(11名) 住民票記載事

2023年4月21日、新潟県は公文書管理システム上に登録された文書の添付ファイル約10万件が消失する事故が発生したことを公表しました。ここでは関連する情報をまとめます。 大量ファイル消失も県民への影響限定的と見解 2023年4月9日にファイルの消失事故が発生したのは県が運用していた公文書管理システム。2023年3月24日21時から2023年3月31日23時59分までにシステムに登録されたファイル10万3,389件が消失したことを事業者が確認した。新潟県は今回のファイルの大量消失は、庁内業務（庁内の意思決定手続きにかかるもの）で処理が既に行われたものであって、県民や事業者などへ直ちに大きな影響が及ぶことは想定していないと見解を示している。また事業者によれば、今回の事故は新潟県の公文書管理システムでのみ生じたもので、他の地方公共団体では発生していないとしている。 新潟県は行政DXの一環で庁内の

2023年3月28日、警視庁は家庭向けルーターを悪用した事件が発生しているとして、利用者に対して対策を推奨する注意喚起を行いました。ここでは関連する情報をまとめます。 サイバー攻撃の踏み台悪用受け注意喚起 注意喚起を行ったのは警視庁公安部 サイバー攻撃対策センター。 サイバー攻撃事案の捜査を行っていた中で確認された手口をうけ、従前から対応が呼び掛けられている対策方法だけで十分な対応が行えないと判断したことから新しい対応方法として、定期的な設定内容の確認を行うとする呼びかけがルーターのメーカーや関連団体を含めて行われた。 2023年3月28日 家庭用ルーターの不正利用に関する注意喚起 2023年3月28日 Wi-Fi（無線LAN）ルーターをお使いの方へ 【サイバー攻撃対策センター】 家庭用ルーターがサイバー攻撃に悪用される事案が発生しています。 サイバー攻撃対策センターは、複数の関係メーカー

2023年3月2日、国土交通省近畿地方整備局が管理する河川監視用カメラが不正アクセスの被害に遭っていた可能性があると報じられました。ここでは関連する情報をまとめます。 インターネット接続した河川監視カメラに不正アクセスか 国土交通省近畿地方整備局が管理する河川監視用のカメラ 261台に対して、不正アクセスされた形跡が2023年1月中旬に確認された。その後中国地方整備局、四国地方整備局の管理する70台の同じカメラでも不具合の恐れが確認され、合計で331台（その後最終的に337台）のカメラの運用が休止された。*1 当該機器は2020年2月以降導入が進められた「簡易型河川監視カメラ」と呼称されるものの１つで、10分から15分の間隔で撮影した河川の静止画をLTE網などを通じて送信する。送信された画像は国土交通省が公開する川の防災情報のサイトで画像を閲覧することが可能。大雨による川の増水や氾濫などか

2023年1月26日、愛知県警は第三者のSIMカードを不正に取得したとして男2人を逮捕したと公表しました。また2月22日には、取得した他人名義のSIMカードを用いて不正送金を行っていたとして再逮捕されました。ここでは関連する情報をまとめます。 SIMスワップで4千万円超の不正送金か 摘発されたのは神奈川県の男と東京都の男の2名で、神奈川県の男が闇バイトとして勧誘を行っていた。男2名が行っていたのは不正に取得した他人名義のSIMカードを使用しSIMスワップと呼ばれる手口で、詐取した他人名義のSIMカードを使用して不正送金を行っていた。国内で同手口の逮捕者が出るのは珍しい(詐取した他人名義のSIMカードによる不正送金事案では全国で初めて)と報じられている。*1 愛知県警は男2名に対して、2023年1月25日に詐欺と偽造有印市公文書行使、その後2月22日には不正アクセス禁止法違反、電子計算機使用

2023年1月10日、アフラック生命保険とチューリッヒ保険の2社は顧客情報の一部が流出したことが判明したとして謝罪しました。原因として2社が委託していた事業者が不正アクセスを受けた可能性があると報じられています。ここでは関連する情報をまとめます。 委託先事業者で不正アクセス被害か 顧客情報の流出を公表したのはアフラック生命保険とチューリッヒ保険の2社で、いずれも海外の外部サイトに自社の顧客情報が掲載されているとの情報を把握し発覚したもの。*1 情報流出の原因については詳細な流出の経緯・状況は調査中としているが、2社とも外部委託先の事業者のサーバーが不正アクセスを受けた可能性を説明している。また2社は同じ米国の事業者へ委託を行っていたことが報じられている。*2 アフラックは委託先の事業者に対してダイレクトメールに記載されたQRコードより視聴できる動画配の信業務を委託していた。 委託先事業者が

2023年1月5日以降、2億件を超えるTwitterアカウントのデータを公開したと主張する投稿がハッカーフォーラムで行われていたことを複数の報道機関が報じました。*1ここでは関連する情報をまとめます。 自分が影響を受けたのかを確認するには 約2億件のデータに自分のメールアドレスが含まれているか（影響対象か）はHave I been pwnedを使って確認することが可能。 メールアドレス入力後に「pwned?」をクリックし、「Twitter (200M)」と表示された場合は、今回のデータに含まれている。（それ以外のリークに含まれていた場合は別のリーク情報も表示される。） メールアドレスがリークデータに含まれていた場合にTwitter (200M)が表示。 Twitter APIの脆弱性より流出したデータと主張 Twitter APIに第三者が他人のアカウント情報を取得できる脆弱性が2021年

2022年10月25日、ショーケースは同社が提供する複数のサービスが不正アクセスを受けたため、サービスを利用する企業のWebサイトを通じて入力された情報が外部へ流出した可能性があると公表しました。ここでは関連する情報をまとめます。 フォーム入力支援やサイト最適化サービス改ざんで複数社に影響波及 www.showcase-tv.com 不正アクセスによりショーケースが提供するサービスのソースコードの改ざんが行われた。対象サービスが稼働するシステムの一部で脆弱性を悪用されたことが原因。 被害に遭ったのは「フォームアシスト」「サイト・パーソナライザ」「スマートフォン・コンバータ」の3つ。フォームの入力支援やサイト表示最適化を行うサービスで利用企業は同社が公開するJavaScript (formassist.jp、navicast.jp上で公開)を自社サイトより読み込むことで利用する。 改ざん被害