警視庁はこのほど、JR東が提供するポイントサービスの他人のアカウントを不正利用した疑いで、中国籍の男性を逮捕しました。 情報によると逮捕されたの千葉県市川市に住む中国籍の男性留学生です。男性は2022年6月頃、ＪＲ東日本のポイントサービス「ＪＲＥポイント」における他人のアカウント情報を何らかの手段で入手。実行役に指示して不正利用していたものと見られます。 警視庁は男性が詐欺グループのリーダー格とみて捜査を進めています。情報によると、男性はこれまで約8,000万円相当の不正利用に関与していた疑いがあるとのこと。事件に関連し、既に実行役など6人が逮捕・起訴されているとのこと。今後の捜査により全容解明が期待される状況です。 参照不正アクセスで他人のポイント使い詐取か 市川在住留学生逮捕/NHK NEWS WEB

画像：東京都より引用 東京都は2023年9月13日、都のチャレンジ農業支援事業の委託先法人である公益財団法人東京都農林水産振興財団が委嘱していた人物が携帯電話を紛失し、都内の事業者や法人担当者の個人情報合計24件が所在不明になったと明らかにしました。 東京都によると、委嘱されていた人物は財団より業務用携帯電話の貸与を受けていました。ところが、携帯電話は2023年9月1日を使用されたのを最後に、2023年9月7日までに所在不明に。報告を受けた財団は警察に遺失物届などを出しましたが、公表時点で発見には至っていません。 東京都によると、財団は問題判明後、電話会社に連絡し携帯電話利用の停止措置を取りました。また、登録者らに個別に連絡し事情を説明しているとのこと。今後は情報管理を徹底し再発を防止するとしています。 参照公益財団法人東京都農林水産振興財団における業務用携帯電話の紛失について/東京都

画像：朝日新聞社より引用 朝日新聞社は2023年9月6日、同社と朝日新聞販売所(ASA)で管理しているシステムから、朝日新聞デジタルおよび紙面ビューアー（以下、対象サービス）の一部会員884名の情報が流出した可能性があると明らかにしました。 説明によると2023年9月6日、外部から「顧客の情報が流出している」旨の連絡がありました。同社が調査したところ、三重県の一部地域に住む対象サービス利用者884名の氏名や住所、電話番号などの情報について外流出の懸念が判明しました。 同社は判明後、該当システムの一部について停止措置を講じています。今後はシステム解析により原因を明らかにし再発防止策を確立するとしています。 参照個人情報の流出に関するお知らせとお詫び/朝日新聞社

画像：大阪市より引用 大阪市は2023年9月11日、市こども青少年局管理課が実施する子育て支援関連事業の業務委託先がセミナーに参加予定者ら45名への電子メールを誤送信し、メールアドレスが流出したと明らかにしました。 説明によれば、受託事業者は2023年8月17日、セミナー参加予定者らに事前案内メールを外部一斉送信しました。ところが、メールアドレスを入力する際、本来「Bcc」で入力すべきところを「宛先」に入力。そのまま送信処理を行ったため、参加予定者間でお互いのメールアドレスが表示される事態が発生しました。 大阪市によると、市は2023年9月8日、受託事業者から寄せられた実施報告書にてミスに気付き、事態を把握しました。市から連絡を受けた事業者は対象者らに事情を説明。誤送信メールの削除を依頼しました。 大阪市は今後、受託事業者に対し適切な個人情報の取り扱いや重要管理ポイントの徹底等を指導すると

防衛省がこのほど、サイバー空間における積極的な防衛実務を担う自衛官を2024年にも募集する方向で調整に入ったことがわかりました。 情報によると、想定されるのは民間企業などで高度な知見を積んだサイバー任務に耐えうる即戦力の人材です。採用された自衛官は、防衛関連機関や新たに拡大された民間重要インフラのセキュリティを担うほか、サイバー攻撃の兆候を見せた相手に対し侵入などを試みる「能動的サイバー防御の実務」を担うとのこと。任期は5年であるものの、先進技術習得に繋がる兼業なども認め再度の任官も認める方向です。 自衛官は通常32才までしか就けませんが、防衛省は該当職の年齢要件の制限解除する見通しです。体力テストも通常の条件より緩和するほか、国家公務員で最上位の棒給である事務次官級相当2300万円ほどを設定とのこと。 募集の背景には自衛隊における深刻なサイバー人材の不足が影響しています。民間人材を起用し

画像：神奈川県より引用 神奈川県は2023年9月4日、県が研修事業を委託する民間団体「かながわ生活困窮者自立支援ネットワーク」運営の生活困窮者向けサイトが何者かの不正アクセスを受け、研修参加者に対する不審メールなどの二次被害が確認されたと明らかにしました。 神奈川県によると、被害を受けたサイトは「かながわ生活応援サイト」のウェブサーバーです。対象サーバーには団体が実施する研修の参加者等の氏名や所属、メールアドレスなどが記録されていましたが、サーバーが乗っ取られ閲覧できない状態に陥ったとのこと。また、研修参加者に対する、弁護士を騙る複数の脅迫メールも確認されています。 神奈川県によると、公表時点で団体は「研修参加者に関する個人情報の流出が判明」との立場を取っています。団体は流出規模を500名程度見ているものの、公表時点で対象データにはアクセスできず、バックアップもなく、復旧も困難とのこと。

画像：産業経済新聞社より引用 産業経済新聞社は2023年8月18日、同社が開催した「怖い絵展（2017年）」のフェイスブックページが何者かに乗っ取られ、不正投稿が確認されたと明らかにしました。 同社によると2023年8月18日時点で、同社からの投稿・変更・修正が完全にはできない状態とのこと。同社は対応のため運営元のMeta社に報告し、現状回復を依頼しています。 同社はまた、該当ページのフォローを解除し、不審なメッセージや勧誘を受信した場合はアクセスせず削除するよう呼び掛けています。 参照怖い絵展フェイスブックページ不正アクセスについて/産業経済新聞社

画像：大阪府より引用 大阪府は2023年8月18日、府の居住企画課がサービス付き高齢者向け住宅の住宅登録事業者に宛てた電子メールを誤送信し、登録事業者のメールアドレス170件が流出したと明らかにしました。 大阪府によれば、居住企画課の担当者は2023年8月7日、登録事業者に宛て電子メールを外部一斉形式で発信しました。ところが、事業者のメールアドレス170件を入力する際、「BCC」欄に入力すべきところを「宛先」欄に入力し送信していたとのこと。メールアドレスのうち62件には個人名を識別できる文字列が入っており、送信後、登録事業者から誤送信の連絡を受け事実が判明しました。 大阪府によると、担当者は2023年8月8日～2023年8月10日にかけ、登録事業者全員に電話とメールで謝罪。誤送信メールの削除を依頼しました。今後は外部に複数名のメールを送信する際、複数のアドレス宛に個別メールを送信できる「安

一般社団法人医療ISACは2023年8月7日、ISAC公式ウェブサイトに対する外部からの不正アクセスが発生し、オンラインセミナー申込者等975名の個人情報が流出した可能性があると明らかにしました。 ISACがログ解析をしたところ、攻撃者は以前ISACがウェブサイト管理を委託していた企業担当者が使用していたアカウントを利用して、管理者権限を持つ不審なアカウントを追加していたとのこと。さらに攻撃者は2023年7月29日以降、サーバーに格納されているファイルを改ざんしていたことが判明しました。 説明によると、ISACは会員などの個人情報をウェブサイトに保存していないことから、流出被害は否定しています。ただし、オンラインセミナーなどへの参加申込フォームの入力履歴は保存されており、975名分の、氏名、メールアドレス、所属先などが流出している可能性はあるとのこと。対象者には個別に連絡しています。 IS

画像：セイコーグループ株式会社より引用 セイコーグループ株式会社は2023年8月10日、同社の一部サーバーが何者の不正アクセスを受け、情報流出の可能性が生じたと明らかにしました。 説明によると、不正アクセスが確認されたのは2023年7月28日のこと。同社が外部調査機関に調査を依頼したところ、状況から不正アクセスを受けたサーバーに保存されていた、同社やグループ会社が保有する一部情報に流出懸念が判明しました。 セイコーによると、同社は現在、被害サーバー内に保存されていた情報を確認しています。公表時点で具体的な被害規模や原因は明らかにされていませんが、報告すべき事項が判明した場合、速やかに知らせるとしています。 参照当社サーバへの不正アクセスについて/セイコーグループ株式会社

米国報道機関のワシントンポストは2023年8月7日、日本の防衛省の最も重要なシステムに中国軍が侵入していたと報じました。 同紙によれば、中国軍の侵入は2020年秋に判明したもので、検知したのは米国家安全保障局（NSA）です。中国軍による不正アクセスは長期にわたってのもので、計画、能力、軍事的欠陥に対する評価など、多岐にわたる情報が対象とのこと。ネットワークの世界では国家がサイバー攻撃に関与する例は珍しくありませんが、当時の元米高官は日本で生じた侵入について“It was bad — shockingly bad,”（ひどい。衝撃的にひどいもの）とコメントしています。 米国はその後、日本の防衛省に直接、中国軍による不正アクセスを伝えていました。 同紙によると、米国からの連絡に触れた日本政府は驚きとともに対応を「検討する」と応じました。しかし、その後の日本政府の対応は十分とは言えないものであっ

過去勤務していた法人のクラウドサービスに不正アクセスしたとして、高地簡易裁判所が高知県高知市に住む行政書士に罰金30万円の略式命令を発していたことがわかりました。 情報によると、命令を受けた行政書士は2023年4月、過去勤務していた法人のクラウドサービスに不正にアクセス。職員のアカウントを削除するなどの妨害行為に及んだほか、インターネット上で職員に誹謗中傷を繰り返すなどしていました。 その後、行政書士は逮捕、書類送検を経て略式起訴となりました。内部関係者による漏えいや不正アクセスは日本でも多く、2023年7月にも大手通信企業やIT企業などで起きています。 参照元勤務先クラウドに不正アクセス 行政書士に罰金３０万円/NHK NEWS WEB

画像：スカパーＪＳＡＴ株式会社より引用 「スカパー！」や「SPOOX」などを運営するスカパーＪＳＡＴ株式会社は2023年7月21日、同社子会社の従業員アカウントが何者かの不正アクセスを受けたことにより、同社が保有する取引先や同社従業員、退職者など1,451名の個人情報が流出した可能性があると明らかにしました。 同社によれば2023年6月7日、同社と子会社をつなぐターミナルサーバーにて不審なログが検出されました。同社が外部調査機関にフォレンジック調査を依頼したところ、何者かが同社子会社の従業員になりすまし、子会社のネットワークを経由して同社の社内ファイルサーバーにアクセスしている事実が判明しました。 同社によると、攻撃者はアクセスしたファイルを外部に持ち出した可能性が高く、漏えいは強く懸念されています。ただし、対象となるのは同社取引先関係者76名の情報および、同社従業員、退職者等1,375人

内閣サイバーセキュリティセンター（NISC）は2023年7月、サイバーセキュリティ戦略本部による第36回会合を開催し、2022年度の国内セキュリティ事情を踏まえた2023年度施策のまとめとなる「サイバーセキュリティ 2023」を公開しました。 NISCによると2022年度の国内は、ランサムウェアやEmotetを中心としたマルウェアが猛威を振るいました。各都道府県警から警察庁に上がったランサムウェア被害報告は右肩上がりとなっており、2022年度も前年度を大幅に上回る結果になっているとのこと。また、大企業と関連のある脆弱なセキュリティ基盤の中小企業を狙った「サプライチェーン攻撃」も顕著であり、一段と激しい攻撃に晒されているとの認識を明かしました。 今後推進する具体的な施策 NISCはこうした現状を踏まえて「経済社会の活力の向上及び持続的発展」、「国民が安心して暮らせるデジタル社会の実現」、「国

編集部注目！セキュリティニュース 電通国際情報サービス、不正アクセス被害で1万3,706件の情報流出 ロイヤルカナンサイトで設定不備、7万人超の飼主情報が閲覧可能に 福岡県、人間ドック受診者4,884名の個人情報を医療機関に誤送信 その他、ニュースやセキュリティトピックス多数掲載！

画像：志布志市より引用 鹿児島県志布志市（しぶしし）は2023年6月22日、市が運営する「志布志市ふるさと納税特設サイト（以下：被害サイト）」が何者かの不正アクセスを受け、過去被害サイトにてクレジットカード決済した一部ユーザーのカード情報910件が流出した可能性があると明らかにしました。 志布志市によると2023年4月6日、一部のクレジットカード会社からユーザーのクレジットカード情報が流出している可能性について連絡がありました。事実関係を把握するため、志布志市が外部専門機関に調査を依頼したところ、何者かが被害サイトのシステムに内在する脆弱性を利用して、クロスサイトスクリプティングと呼ばれるサイバー攻撃を仕掛けている事実が判明しました。 サイバー攻撃の犯人はクレジットカード情報の窃取を目的にしていたものと見られています。市が明らかにしたところによると、攻撃者はクレジットカード決済実行時におい

画像：国立研究開発法人　国立環境研究所より引用 国立研究開発法人・国立環境研究所は2023年6月2日、研究所の気候変動適応センターが実施する「生物季節モニタリング」参加者・団体宛の電子メールを誤送信し、メールアドレス406件が流出したと明らかにしました。 説明によると気候変動適応センターでは2023年5月31日、市民参加型活動「生物季節モニタリング」の参加者・団体に夏季観測に関する注意喚起メールの送信を試みました。ところが、担当者が送信形式を指定する際、本来「BCC」とすべきところを「CC」に設定し送信していたとのこと。 研究所は判明後、対象者らに謝罪しメールの削除を依頼しました。再発防止のため、今後はメール配信前に複数名でのチェックを徹底するとしています。 参照メール誤送信のお詫び/国立研究開発法人　国立環境研究所

尼崎市は2023年6月9日、業務委託先ビプロジー社の協力会社従業員がUSBメモリを紛失した事案において、再発防止策の内容およびビプロジー社への損害賠償請求の意思を公表しました。 尼崎市では2022年6月21日、ビプロジー社の協力社員が全市民の個人情報を記録したUSBメモリを外部に持ち出し、紛失するという事案が起きました。協力会社社員は紛失時、酒に酔っていたことがわかっており、情報管理体制の甘さを問題となりました。

画像：知多メディアスネットワーク株式会社より引用 知多メディアスネットワーク株式会社は2023年5月22日、ウェブサイト内に設置していた従業員専用ぺージより、同社顧客43名の個人情報が流出したほか6,592名の個人情報に流出しうる状況にあったと明らかにしました。 説明によると、同社はウェブサイト上の従業員ページに顧客の個人情報を保存していました。ところが、このサイトは従業員ページこそ閲覧制限をしているものの、添付ファイルには制限が課されておらず、外部アクセス可能な状態にありました。 問題は2023年5月19日外部から指摘があり判明しました。同社が調査したところ、アクセスは指摘の1件のみで他のアクセスログは検出されなかったとのこと。ただし情報が流出しうる状態にあったのは事実であり、対象者らに謝罪しています。 なお、同社は今後、従業員に個人情報保護やITリテラシー向上の教育を徹底すると発表して

画像：沖縄県立看護大学より引用 沖縄県立看護大学は2023年5月、同大が所属学生に付与した大学メールアドレスおよびパスワードが窃取され、学内外のメールアドレス合計469件が流出したほか1万2,000件を超えるスパムメールが発信されたと明らかにしました。 説明によると、攻撃を受けたのは学生Microsoft365アカウントで、2022年12月6日〜2023年3月8日にかけ、メール送信サーバーから直接スパムメールを発信していたとのこと。送信メールはいずれも海外サイトへのリンクを掲載したもので、多数の宛先に送信したほかメールボックス内に記録されていた学内外のメールアドレス合計469件について流出の懸念が生じています。 同大は事案判明後、パスワードを変更するなどの措置を講じました。公表時点で情報の不正利用と見られる動きはなく、今後はセキュリティ強化により再発を防止するとしています。 参照情報セキュ