【セキュリティ ニュース】クラウドストレージサービス「RICOH Drive」に不正アクセス - リコー(1ページ目 / 全1ページ):Security NEXT
リコーは、同社のクラウドストレージサービス「RICOH Drive」がサイバー攻撃を受け、利用者に関する一部登録情報が外部に流出した可能性があることを明らかにした。 同社によれば、9月18日22時前後の約15分間に「RICOH Drive」が攻撃を受けたもの。10月4日に事態を把握した。「XML外部実体参照(XXE)」の脆弱性を悪用する不正アクセスだったという。 対象となるのは、同社グループ内での利用を除いた4244件の「ログインID」。ユーザープロパティ情報も参照され、このうち3件については暗号化されたパスワードも対象となる。また別の3件では「ログインID」「暗号化されたパスワード」にくわえて「氏名」「メールアドレス」も含まれる。 利用者が同サービス上で保存したファイルの流出については否定した。同社では脆弱性に対応し、監視体制を強化。対象となる利用者に連絡を取り、注意を呼びかけている。
【セキュリティ ニュース】アルバイトが業務上知り得た個人情報を漏洩 - 河合塾進学研究社(1ページ目 / 全1ページ):Security NEXT
予備校や学習塾を経営する河合塾進学研究社は、業務上知り得た一部個人情報が漏洩したことを明らかにした。 同社によれば、4月22日に秋葉原館で同社アルバイトが業務上知り得た2人分の個人情報を漏洩したもの。 同社では、アルバイト含むスタッフ全員に対し就業前研修や年に一度の研修を実施するなど情報漏洩対策をこれまでも講じてきたと説明。 今回の問題を受け、同社ではあらためて個人情報管理体制の見直しを実施。スタッフに対する教育を徹底するとしている。 (Security NEXT - 2024/05/09 ) ツイート
【セキュリティ ニュース】東急のネットワークにサイバー攻撃 - グループ会社から情報流出(1ページ目 / 全1ページ):Security NEXT
東急は、サイバー攻撃により同社ネットワークを侵害され、同社グループ会社に関するデータを窃取されたことを明らかにした。詳細を調べている。 同社によると、4月28日に同社ネットワークを侵害されたことを確認したもの。 調査を行ったところ、東急ストアの子会社で同一ネットワーク環境を利用していた東光食品のファイルサーバなどから一部データを読み出されたことが判明した。 顧客の個人情報が含まれている可能性が高いとしており、同社では個人情報保護委員会へ報告するとともに、外部協力のもと調査を進めている。 (Security NEXT - 2024/05/10 ) ツイート
【セキュリティ ニュース】「CTF for Girls」の申込者情報が閲覧可能に - フォーム設定ミスで(1ページ目 / 全1ページ):Security NEXT
日本ネットワークセキュリティ協会(JNSA)は、SECCON実行委員会が主催する「CTF for Girls」のイベントにおいて、参加申込者に関する個人情報が意図せず外部に公開されていたことを明らかにした。 同団体によれば、イベント「Kunoichi Cyber Game」予選会の申し込みに「Googleフォーム」を使用したが、アクセスや編集の権限を誤り、「リンクを知っている全員」に設定するミスがあったという。6月19日に外部から指摘があり問題が判明。同日フォームの権限を変更した。 同問題により、フォームを公開した5月31日14時半過ぎから6月19日13時過ぎにかけて特定動作から申込者の情報が閲覧できる編集ページへアクセスでき、予選会申込者26人の個人情報を閲覧可能だった。氏名やメールアドレス、国籍、「Beginners CTF」の登録チーム名などが含まれる。 Googleフォームから大会
「TRINUS STORE」への不正アクセスでカード情報が漏えい、「Adminer」の設置でDB内の顧客情報も被害の可能性 | ScanNetSecurity
株式会社TRINUSは3月22日、同社が運営する「TRINUS STORE」への不正アクセスによる個人情報漏えいについて発表した。 これは2022年7月27日に、一部のクレジットカード会社から「TRINUS STORE」を利用した顧客のカード情報の漏えい懸念について連絡があり、同日中に当該サイトでのカード決済を停止し、第三者調査機関による調査を行ったところ、当該サイトのシステムの一部の脆弱性を突いたことによる第三者の不正アクセスでペイメントアプリケーションの改ざんが行われたことが原因で顧客のカード情報が漏えいし、一部カードが不正利用された可能性を2022年11月9日に完了した調査結果で確認したというもの。
【セキュリティ ニュース】ランサム被害で情報流出のおそれ、調査を継続 - フュートレック(1ページ目 / 全1ページ):Security NEXT
音声認識事業やCRMソリューション事業を提供するフュートレックは、ランサムウェアを用いたサイバー攻撃を受け、サーバ内よりデータが外部へ流出した可能性があることを明らかにした。対象となる情報は特定できておらず、引き続き調査を進める。 同社によると、3月9日に社内システムを侵害され、同月11日に障害が発生。事態を公表するとともに詳細を調べていた。 外部協力のもとフォレンジック調査を行ったところ、ランサムウェアを実行され、同社サーバ内のデータが外部に流出した可能性があることが判明した。対象データの内容については特定に至っていない。 障害発生後、遮断していた社内ネットワークについては、3月18日以降、安全を確認した環境より復旧しているが、完全復旧には時間を要するという。引き続きセキュリティ対策の強化や被害状況の調査を進めていく。 同社が顧客へ提供する本番環境の商用ネットワークに関しては、不正なアク
【セキュリティ ニュース】コスメ通販サイトに不正アクセス - 個人情報流出の可能性(1ページ目 / 全2ページ):Security NEXT
香水や化粧品を取り扱う通信販売サイト「FRAGRANCYオンラインショップ」において個人情報が流出し、一部のクレジットカード情報については不正利用された可能性があることがわかった。 同サイトを運営するFRAGRANCYによれば、脆弱性を突く不正アクセスによりサーバへ侵入され、決済アプリケーションを改ざんされるなど被害に遭ったという。 2021年6月4日から2022年12月23日にかけて購入時に利用された顧客のクレジットカードの名義、番号、有効期限、セキュリティコードなど4387件が流出し、不正に利用された可能性がある。 また同サイトを過去に利用したことがある全顧客最大1万6347人分の氏名、住所、電話番号、メールアドレス、購入履歴のほか、任意で登録された会社名や性別、生年月日についても流出したおそれがあることが判明した。 2022年12月23日にクレジットカード会社から情報流出の指摘を受け
東証プライム上場 タカミヤグループにランサムウェア攻撃、リークサイトへの掲載確認 | ScanNetSecurity
仮設機材の販売やレンタルを行う東証プライム上場企業の株式会社タカミヤは1月23日、同社グループへのランサムウェア攻撃について発表した。 これは同社と同社子会社の株式会社キャディアン、株式会社トータル都市整備、株式会社青森アトム、株式会社エコ・トライ、株式会社タカミヤの愛菜、八女カイセー株式会社、株式会社イワタ、株式会社ヒラマツ、株式会社ナカヤ機材を含むタカミヤグループのサーバに第三者から不正アクセスがあり、ランサムウェア感染被害が確認されたというもの。
【セキュリティ ニュース】教委職員が個人情報含むUSBメモリを一時紛失 - 大阪市(1ページ目 / 全1ページ):Security NEXT
大阪市教育委員会において個人情報含むUSBメモリを一時紛失した。拾得者から同市に届け出があり、すでに回収されている。 同市によれば、12月1日14時ごろ、同市教委の職員が教員採用選考テストの説明会会場へ向かう途中、USBメモリがないことに気づき、同日14時5分ごろ、住民から拾得物として同USBメモリの届けられたことから紛失が判明した。 問題のUSBメモリには、説明会で利用する教職員4人分のインタビュー動画や、児童および生徒32人分の画像と動画が含まれていた。 移動途中に路上で鞄を開けて資料を取り出して確認した際、USBメモリを誤って落とした可能性があるという。対象となる児童と生徒には、説明と謝罪を行った。 (Security NEXT - 2022/12/06 ) ツイート
二重チェックでも気付けず、会員専用サイト「レジナビ」内のメッセージに個人情報含むCSVファイル添付 | ScanNetSecurity
医師職業紹介等を行う株式会社メディカル・プリンシプル社は5月18日、同社が運営する会員専用のWebサイト「レジナビ」での個人情報の漏えいについて発表した。 これは2月19日に、一般公開されていない同社運営の会員専用Webサイト「レジナビ」にて、ログイン後の会員専用ページで閲覧できる会員向けに送信したメッセージの中に、本メッセージの宛先の会員の個人情報を含む CSV ファイルを誤って添付したというもの。同メッセージを受信した会員から、5月12日夜間に通報があり発覚した。
情報公開請求の資料に新型コロナウイルス感染者等情報把握・管理システムのID・パスワードを記載 | ScanNetSecurity
大阪市は4月27日、新型コロナウイルス感染者等情報把握・管理システム(HER‐SYS)のID・パスワードの漏えいについて発表した。 これは大阪市保健所にて、情報公開請求に対し情報提供を行った資料の中に、個人情報が閲覧・編集できる新型コロナウイルス感染者等情報把握・管理システム(HER‐SYS)にアクセスできるID・パスワードにマスキングをせずに情報提供したというもの。4月20日に情報提供資料を送付した際に指摘があり調査したところ、3月24日に1名、4月20日に5名の情報公開請求があった際にも、同様の情報提供を行っていたことが4月23日に判明した。
東海国立大学機構にパスワード総当たり攻撃でアカウント情報流出の可能性、設定不備が原因 | ScanNetSecurity
東海国立大学機構は11月18日、同機構への不正アクセスによる個人情報流出について発表した。日本語に加え英文での案内も行っている。 これは10月18日に、同機構で機構アカウントを管理するために運⽤する機構統合認証システムの⼀部に対し、第三者から不正アクセスによるパスワード総当たり攻撃があり、サーバがランサムウェアに感染し、データの一部が改変され、機構が保有する個人情報が漏えいした可能性が判明したというもの。機構外からネットワークアクセス制限が要求される個所の設定に不備があったことが原因。
【セキュリティ ニュース】受託事業者がメール誤送信、児童支援事業登録者のメアド流出 - 大阪府(1ページ目 / 全1ページ):Security NEXT
大阪府は、聴覚に障害がある児童の言語獲得支援事業を委託する事業者においてメールの送信ミスがあり、同事業の登録者に関するメールアドレスが流出したことを明らかにした。 同府によれば、11月14日10時前、受託事業者が登録者157人にメールを送信した際、送信先を誤って宛先に設定するミスが発生したもの。受信者間にメールアドレスが流出した。 同日16時過ぎに受託事業者が誤送信に気づき、登録者全員にメールで説明と謝罪を行い、誤送信したメールの削除を依頼した。 同日19時に大阪府へ誤送信を報告。また受託事業者が登録者全員にあらためて誤送信したメールを削除するよう依頼している。 (Security NEXT - 2022/11/28 ) ツイート
農業関連機器取り扱い山本製作所にサイバー攻撃、問い合わせ対応や書類発送等にも影響 | ScanNetSecurity
国際 2024.4.11(Thu) 8:10 悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語 大英図書館には多くの個性がある。独特の複雑な役割分担があり、それは法律で独自に規制されている。別の見方をすれば、ITインフラストラクチャは古くから確立されたコアサービスとの間でリソースを奪い合い、しばしば失敗するという点で、国やその他の大規模な組織の典型である。大英図書館の状況も、うまくいかないことの壮大な例にすぎない。
【セキュリティ ニュース】食品通販サイトに不正アクセス - クレカ情報流出の可能性(1ページ目 / 全1ページ):Security NEXT
食品メーカーの築野食品工業は、同社が運営する「つの食品webショップ」が不正アクセスを受け、顧客のクレジットカード情報が流出し、一部が不正に利用された可能性があることを明らかにした。 同社によれば、システムの脆弱性を突く不正アクセスがあり、決済アプリケーションを改ざんされたもの。 2021年3月19日から2022年2月27日にかけて同サイトでクレジットカード決済を利用した顧客2086人において、クレジットカードの名義、番号、有効期限、セキュリティコードなどの情報を窃取され、不正に利用された可能性がある。 11月22日にクレジットカード会社から情報流出の可能性について指摘があり、クレジットカードによる決済を停止。同日、個人情報保護委員会に報告した。 12月19日に外部事業者による調査を終え、警察への被害を申告。対象となる顧客に対しては12月26日より、メールで経緯の報告と謝罪を行っており、身
【セキュリティ ニュース】2022年末にサイバー攻撃、従業員情報流出の可能性 - パナソニックグループ会社(1ページ目 / 全1ページ):Security NEXT
パナソニックコネクトと米国の同社グループ会社であるPanasonic Avionics Corporation(PAC)は、2022年末にサイバー攻撃を受け、従業員に関する個人情報が外部に流出した可能性があることを明らかにした。 パナソニックコネクトによれば、PACの社内ネットワーク環境におけるシステムがサイバー攻撃を受けたもの。約1年前となる2022年12月30日に判明し、外部協力のもと調査を進めていた。 2023年12月初旬に調査を終え、パナソニックコネクトのアビオニクスビジネスユニット(ABU)やPACに在籍中の従業員や過去在籍した元従業員の個人情報が流出した可能性があることが判明した。氏名や電話番号、金融機関の口座番号、人事、雇用関連情報などが対象となる。 本誌取材に対し、具体的な人数については非公開とした。侵害を受けた原因、侵入経路、脅迫の有無なども明らかにしていない。今回明らか
【セキュリティ ニュース】サポート詐欺への対応不備で長野県教委に行政指導 - 個情委(1ページ目 / 全2ページ):Security NEXT
個人情報保護委員会は、相次いでサポート詐欺の被害が発生した長野県教育委員会に対し、技術的な対策や発覚後の対応に問題があったとして個人情報保護法に基づく行政指導を行った。 同県では、8月と9月に県内2校で偽の警告メッセージにだまされるサポート詐欺の被害が発生。攻撃者の指示に従い、校務用端末に遠隔操作ソフトを無断でインストールしたため、個人情報が漏洩するおそれが生じた。 端末には、生徒の氏名、生年月日、住所、成績、生徒指導や進路指導に関する資料のほか教職員の氏名など1万4231人分の個人情報が保存されていた。 個情委は同問題において、校務用端末にソフトウェアのインストールを制御する機能が備わっていたにもかかわらず設定されておらず、教職員がインターネット上からソフトウェアをインストールできる状況にあったと問題を指摘。 両事案とも発生から数日後には同県を通じて事態が公表されているが、個情委へ確報が
【セキュリティ ニュース】求職情報サイトで遠隔操作やデータ取得の形跡 - 日刊工業新聞(1ページ目 / 全1ページ):Security NEXT
日刊工業新聞社が運営する求職情報サイト「ホワイトメーカーズ」が改ざんされた問題で、同社は調査結果を取りまとめた。 同サイトに関しては、コンテンツマネジメントシステム(CMS)のプラグインに存在した脆弱性を突かれ、1月24日にサイトを改ざんされる被害が発生。顧客に関する個人情報が流出した可能性があるとして同社は2月9日に事態を公表し、外部協力のもとフォレンジック調査などを進めていた。 その後の調査で、遠隔操作が可能となる複数のプログラムを設置され、第三者によって不正な操作が行われた可能性があることが判明。圧縮形式のファイルがダウンロードされたことも確認されており、情報を窃取されたものと見られる。 ダウンロードされたデータの詳細は明らかとなっていないが、データベースにアクセスできる状態にあり、データベース内に保存されていた顧客250人に関する氏名、メールアドレス、暗号化されたパスワードなどを窃
【セキュリティ ニュース】メールサーバがフィッシングメールの踏み台に - 広済堂HD子会社(1ページ目 / 全1ページ):Security NEXT
広済堂ホールディングスの子会社で人材派遣業などを展開する広済堂ビジネスサポートは、同社が運営する求人サイトのメールサーバが不正アクセスを受け、迷惑メールを送信するための踏み台に悪用されたことを明らかにした。 同社によれば、同社が運営する求人サイト「Workin.jp」のメールサーバが不正アクセスを受け、不特定多数に対し、迷惑メールが送信されたもの。 問題の発覚を受けて、メールサーバに対する外部からのアクセスを遮断した。第三者によって送信されたメールは、フィッシングメールだったことが判明しているという。 同社は、不正アクセスにともなう機密情報や個人情報の流出といった影響を否定。送信されたフィッシングメールに注意するよう呼びかけている。 (Security NEXT - 2024/04/15 ) ツイート
【セキュリティ ニュース】委託先でランサム感染、被害ネットワーク内に個人情報 - 徳島県(1ページ目 / 全1ページ):Security NEXT
徳島県は、業務委託先がランサムウェアに感染し、同県の委託業務に関する個人情報が外部に流出した可能性があることを明らかにした。 納税通知書などの作成業務を委託していたイセトーがサイバー攻撃を受け、一部サーバやパソコンがランサムウェアに感染し、データを暗号化されたことが判明。被害を受けたネットワーク内に同県に関するデータが保存されていたことが判明した。 対象となるのは、2023年度の自動車税種別割納税通知書96件88人分。住所、氏名、自動車登録番号、自動車車台番号、税額などが含まれる。 当初、同県に関する個人情報を含むデータは、被害が発生したネットワークに保存されていないとの報告を受けていたが、調査を進めたところ、被害を受けたネットワーク内に個人情報を含む画像データが保存されていたことが判明したという。 イセトーでは、データの外部流出の有無を含め、外部協力のもと調査を進めており、同県においても
【セキュリティ ニュース】職員メルアカに不正アクセス、スパム約3万件が送信される - 北海道大病院(1ページ目 / 全1ページ):Security NEXT
北海道大学病院は、職員のメールアカウントが不正アクセスを受けたことを明らかにした。同アカウントより大量のフィッシングメールが送信されたという。 同院によれば、職員が個人の業務用として管理しているメールアカウントが不正アクセスを受けたもの。約3万件の外部メールアドレスに対し、フィッシングメールが送信されたことが2023年12月27日に判明した。 問題のメールアカウントについてパスワードを変更しており、すでにフィッシングメールの送信は停止している。第三者によるアカウントの悪用はメールの送信行為のみとしており、メールの閲覧など個人情報流出の可能性については否定した。 何らかの理由で外部に流出したアカウント情報を使用し、ログインを試みるいわゆるパスワードリスト攻撃によって不正アクセスを受けたものと見られるという。 同院ではアカウント管理について周知徹底を図るほか、アクセスログの監視など対策を強化す
エン・ジャパンは3月31日、同社が運営する「エン転職」について、管理するWEBサーバーに対して外部からの不正ログインが発生したことが判明したことを公表。一部のユーザーのWeb履歴書にアクセスされた可能性があるという。 同社が公表した内容によれば、3月27日にエン転職のウェサーバーにおいて不正なログインを確認。社内での詳細な調査を行なった結果、3月20~27日の期間に、リスト型アカウントハッキングと呼ばれる、外部から不正に取得されたと思われるID(メールアドレス)およびパスワードを使ったなりすましによる不正ログインが発生。一部のユーザーのWeb履歴書にアクセスされた可能性があることが判明したという。 27日に不正ログインを試行していた送信元IPアドレス群からの通信をブロックするとともに、セキュリティ対策の強化を実施。あわせて所轄警察署への通報・相談、および個人情報保護委員会など関係省庁への報
【セキュリティ ニュース】県電子納品システムで利用者情報が流出、プログラムミスで - 群馬県(1ページ目 / 全1ページ):Security NEXT
群馬県の「ぐんま電子納品システム」にプログラムミスがあり、登録された事業者情報が外部に流出したことがわかった。 同システムは、同県より業務や工事を受注した事業者が業務の実施や納品にあたって関連データの提出に使用しているが、利用者情報を含むファイルを意図せずダウンロードできる状態となっていたもの。 同システムの運用保守を行っているNECより、5月20日に同県へ報告があったという。プログラムミスが原因で、2月3日から4月20日にかけて同システムの利用者がファイルをダウンロードできる状態となっており、期間中に26人がダウンロードしていた。 ファイルには、事業者3003件のユーザーID、氏名、会社名、メールアドレス、案件を発注した事務所名、送信状態などの情報が含まれる。 同社では5月19日に対策を講じ、ダウンロードの操作を行った26人に対してファイルを削除するよう依頼した。あわせてシステムの登録者
【セキュリティ ニュース】DC内仮想マシンがランサム被害、サーバ落とすも攻撃者が起動 - KADOKAWA(1ページ目 / 全3ページ):Security NEXT
KADOKAWAは、6月8日未明より同社グループにおいてシステム障害が発生している問題で、対応状況を明らかにした。データセンター内の複数サーバでランサムウェアによる被害が発生したほか、ウェブ以外の事業などにも影響が拡大している。 同社によると同日3時半ごろより、複数のサーバにアクセスできない障害が発生。調査したところ、同社グループ企業のデータセンター内に構築したプライベートクラウドがランサムウェアなどによるサイバー攻撃を受けたことが判明した。 同社はプライベートクラウド内にある相当数の仮想マシンを暗号化されたと説明。詳細は明らかにしていないが、時間をかけて攻撃が展開された痕跡なども確認されたとしている。 問題発覚後、遠隔からプライベートクラウド内のサーバを停止したが、さらに攻撃者が遠隔からサーバを起動させて感染拡大を図るなど、執拗な攻撃が展開された。同社ではサーバの電源ケーブルや通信ケーブ
【セキュリティ ニュース】二十歳の集い対象者の個人情報を市サイトで誤公開 - 美馬市(1ページ目 / 全1ページ):Security NEXT
徳島県美馬市は、同市ウェブサイトにおいて、二十歳の集い対象者の個人情報を誤って公開したことを明らかにした。 同市によれば、6月7日に同市サイトで2024年度の企画運営委員の募集に関する記事を公開した際、誤ったファイルを公開したもの。 本来、申込用紙を添付するところ、誤って二十歳の集い対象者279人分の個人情報を含む名簿を公開するミスがあったという。氏名、住所、生年月日、卒業時就学校が含まれる。 6月12日に他部署の職員が添付ファイルの誤りに気づき、記事を公開を停止した。ウェブサイトに掲載する際、確認に不備があったとしている。 (Security NEXT - 2024/06/24 ) ツイート
ベルキッチンへのランサムウェア攻撃 第2報:サーバ 3台 NAS 3台が暗号化被害 | ScanNetSecurity
社会医療法人生長会は12月27日、同法人の給食提供施設であるベルキッチンへのランサムウェア攻撃による障害について、第2報を発表した。 同法人では10月31日午前6時頃に、ベルキッチンの一部端末でシステムが立ち上がらない状況が発生、ランサムウェア感染の可能性が高いことを確認したため、ベルキッチンから委託元病院(当法人外の4病院、当法人内の4病院)のサテライト職員に対し給食システムにかかるネットワーク接続を遮断するよう指示、関係部署への連絡と専門家による調査を開始したことを11月7日に公表していた。
複数の条件満たすことでDBへの侵入許す恐れ、フォレンジック調査の結果を公表 | ScanNetSecurity
株式会社SEプラスは1月25日、1月6日に公表した同社の教育事業サービスでの顧客の一部情報が閲覧可能な状態であった件について、調査結果を発表した。文章の選択とコピーができないPDFファイルで公開している。 同社では2022年12月29日に、顧客から外部セキュリティ企業の情報漏えいデータ検出ソリューションを利用した調査の結果、SEプラスのデータを検出したと連絡があり、同社で社内調査したところ、同社従業員の開発用PC1台について、複数の条件を全て満たすことで当該PC内に設定されているデータベースへの侵入を許す恐れがある状態であることが12月30日に判明、社内調査に加え第三者機関によるフォレンジック調査を進めていた。
【セキュリティ ニュース】求職情報サイトが侵害、CMSプラグインの脆弱性突かれる - 日刊工業新聞(1ページ目 / 全1ページ):Security NEXT
日刊工業新聞社は、同社が運営する求職情報サイト「ホワイトメーカーズ」を侵害されたことを明らかにした。サイトを改ざんされ、顧客に関する個人情報が外部に流出した可能性がある。 同社によれば、同サイトで利用しているコンテンツマネジメントシステム(CMS)のプラグインに存在した脆弱性を悪用され、1月24日に同サイトを改ざんされたという。 調査を行ったところ、顧客250人に関する氏名やメールアドレス、暗号化されたパスワードなど個人情報が外部に流出している可能性があることも判明した。 同社では、同サイトを停止しており、外部協力のもと引き続き調査を進める。警察や個人情報保護委員会に報告するとともに、対象となる顧客と電話やメールで連絡を取り、身に覚えのないメールに注意するよう呼びかけた。 同サイトの提供については、再発防止策を講じた上で2月下旬の再開を予定している。 (Security NEXT - 20
【セキュリティ ニュース】研修申込者の個人情報をネット上に誤公開 - 埼玉県(1ページ目 / 全1ページ):Security NEXT
埼玉県は、人権啓発研修事業の受託業者が、研修申込者の個人情報をインターネット上に誤って公開するミスがあったことを明らかにした。 同県によれば、10月28日19時40分ごろから約50分間、研修参加申込者1人に関する氏名、電話番号、メールアドレス、所属などがインターネット上に公開されたもの。 参加申込システムに不具合があり、受託業者が改修を行ったが、申込者が入力した情報がインターネット上で公開される設定になっていたという。 同県では、対象となる申込者に対し、経緯の説明と謝罪を行うとしている。 (Security NEXT - 2022/10/31 ) ツイート
【セキュリティ ニュース】説明会案内メールを誤送信、参加者のメアド流出 - 国交省(1ページ目 / 全1ページ):Security NEXT
国土交通省は、メールの送信ミスがあり、説明会の参加者に関するメールアドレスが流出したことを明らかにした。 北海道開発局によれば、道路維持課で12月13日に説明会の案内をメールで送信したが、参加者38人に関するメールアドレスが参加者44人に流出した。 説明会のメールはあわせて116人に送信していたが、72人に対しては「BCC」で送信しており、メールアドレドレスの流出はなかった。 同日、送信先に対してメールで報告するとともに、誤送信したメールの削除を依頼している。 (Security NEXT - 2022/12/26 ) ツイート
アルマ望遠鏡の計算機システムにサイバー攻撃、すべての観測を停止せざるを得ない状況 | ScanNetSecurity
国際 2024.4.11(Thu) 8:10 悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語 大英図書館には多くの個性がある。独特の複雑な役割分担があり、それは法律で独自に規制されている。別の見方をすれば、ITインフラストラクチャは古くから確立されたコアサービスとの間でリソースを奪い合い、しばしば失敗するという点で、国やその他の大規模な組織の典型である。大英図書館の状況も、うまくいかないことの壮大な例にすぎない。
【セキュリティ ニュース】公開資料の個人情報、墨塗りするもはずせる状態 - 琉球大(1ページ目 / 全1ページ):Security NEXT
琉球大学は、外部組織のウェブサイトで公開された同大資料に作成上の問題があり、個人情報を参照できる状態となっていたことを明らかにした。 同大によれば、2021年7月に外部組織のウェブサイトで公開された同大資料においてのべ378人分の個人情報を参照できる状態となっていたもの。学生の氏名、性別、学籍番号、所属学部、学外関係者の氏名、勤務先、教職員の氏名、電話番号などが含まれる。 2022年10月5日に同組織から掲載中の資料について確認依頼があり、調べたところ、提供したPDFファイルに問題があることが同月13日に判明。同大ではPDF作成ソフトを用いて墨塗りなど加工処理を行っていたが、一部の資料において処理の漏れや、PDF作成ソフトの編集機能などを用いることで墨塗りをはずすことができる状態となっていた。 外部組織では9月30日に資料の公開を停止したが、学外より同資料に対して13件のアクセスがあったこ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国の掲示板型ソーシャルサイトであるRedditが、同サイトの情報を盗んだと主張するサイバー犯罪集団から脅迫を受けていることが明らかになった。要求の内容には、最近Redditが明らかにしたAPI利用の有料化方針を撤回することが含まれている。 Redditを脅迫しているのは「BlackCat」(別名:ALPHV)と呼ばれるグループだ。同グループは、450万ドル相当(約6億4000万円)の金銭と、7月から導入される予定のAPI利用に対する課金を撤回することを要求しており、要求に従わなければ、2月に発生したインシデントでRedditから盗まれた約80GBのデータを公開すると述べている。盗まれた情報には、Redditの内部文書、ソースコード、従
ジャックスのサーバに不正アクセス、ローンやクレジットカードなど各種サービスへ影響なし | ScanNetSecurity
特集 2024.4.5(Fri) 8:10 Non State Actor 図鑑(3)APT アクターも「飲みニケーション」大事 ~ 成都404 新しい暴力の形としてノン・ステート・ウォーが増えている。ハッキングやデジタル影響工作など新しい攻撃方法が幅広く用いられており、全領域での戦いとなっている。そして、戦闘の担い手の多くは民間企業である。日本も例外ではない。日本は軍事に関しては敏感だがそれ以外は寛容だ。
トヨタ「T-Connect」登録情報が漏えいの可能性、GitHub上でデータサーバーへのアクセスキーを公開 | ScanNetSecurity
トヨタ自動車株式会社とトヨタコネクティッド株式会社は10月7日、両社が提供するコネクティッドサービス「T-Connect」を契約した一部顧客のメールアドレス等が漏えいした可能性について発表した。 これは9月15日に、「T-Connect」のユーザーサイトのソースコードの一部が、GitHub上に公開されていることを確認し、2017年12月から2022年9月15日まで、第三者がGitHub上にあるソースコードの一部にアクセス可能であったことが判明したというもの。
【セキュリティ ニュース】テスト用アカウントに不正アクセス、スパム踏み台に - 出水市(1ページ目 / 全2ページ):Security NEXT
鹿児島県出水市は、同市のメールアカウントより大量の迷惑メールが送信されたことを明らかにした。テスト用のメールアカウントが不正アクセスを受けたという。 同市によれば、一部メールアカウントが不正アクセスを受け、2月14日から15日にかけて同市メールサーバより意図に反して12万9975件の迷惑メールが送信された。 メールアカウントのドメインは、教育委員会で利用しているもので、市内の学校よりメールが送信できないとの問い合わせがあり、調査を行ったところ、メールアカウントが不正に利用されたことが判明した。 確認された迷惑メールでは、同市とは関係ないメールアドレスを送信元として設定。メールの本文には、詐欺と見られる内容を英語で記載していた。 悪用されたメールアカウントは、システムの動作テストを行うために過去に使用したもので、容易に推測できるパスワードを設定したままだったという。
【セキュリティ ニュース】申込用に公開した表計算ファイルに個人情報 - 都立豊島病院(1ページ目 / 全1ページ):Security NEXT
東京都立豊島病院において、臨床研修医向け見学説明会申込者の個人情報を誤ってウェブサイトで公開するミスが発生した。 東京都立病院機構によれば、5月30日11時半ごろ、病院の担当者が見学説明会の申し込み用の表計算ファイルをウェブサイトで公開したところ、ファイル内の別シートに個人情報が残存したままだった。 2023年度の臨床研修医合同見学説明会に申し込んだ32人に関する氏名、住所、電話番号、大学名、メールアドレスなどが含まれる。 6月3日より見学者の申し込みを開始したところ、同月5日に見学を希望する学生からメールで指摘があり、翌6日に担当者が確認した。問題が発覚するまで7人の申し込みを受理していたという。 問題が判明した同日、個人情報が含まれるファイルをサイトから削除。対象となる申込者に連絡し、説明と謝罪を進めている。申し込みを行った7人には、保有している申し込み用ファイルの削除を依頼した。 今
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Dropboxは、フィッシング攻撃の被害に遭い、GitHubに保存していたコードの一部が不正にアクセスされたことを米国時間11月1日に明かした。攻撃者は、フィッシング攻撃で窃取した従業員の認証情報を使用して、同社のGitHubアカウントの1つにアクセスした後、130件のコードリポジトリーを盗んだという。 GitHubは9月、脅威アクターがCI/CDプラットフォームの「CircleCI」になりすましてGitHubのアカウントにアクセスするフィッシング攻撃の事例について説明していた。 Dropboxも同様の攻撃の標的になった。GitHubは10月14日、前日から不審な活動が見られるとして、Dropboxに警告を発した。Dropboxが詳しく
【セキュリティ ニュース】日野市立図書館、一部機器でランサム感染 - 通常どおり開館(1ページ目 / 全1ページ):Security NEXT
日野市立図書館は、サーバなど一部機器がランサムウェアに感染したことを明らかにした。一部サービスは停止しているものの、貸出システムなど大部分は無事だったため、通常どおり開館している。 同館によれば、中央図書館事務室内のノートパソコン1台と、中央図書館内に設置しているサーバ5台がランサムウェアに感染したもの。12月17日に被害へ気がついた。 ファイルサーバ内に格納されていたデータが暗号化され、利用できない状態となっている。イベントの参加者、障害者サービスの利用者、ボランティアの名簿など個人情報が含まれる。12月19日時点で、外部においてこれら情報の流出は確認されていない。 貸出システムなど大部分のシステムは被害を受けておらず、開館しているが、利用者用インターネット公開端末、オンラインデータベース端末、集会施設の新規利用申し込み、障害者向けサービスなど一部サービスについて提供を見合わせている。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
エン・ジャパン、「エン転職」に不正アクセス--25万名分のWeb履歴書が対象
Reddit、サイバー犯罪集団から脅迫される--要求はAPI有料化の撤回
NTTマーケティングアクトProCX 元派遣社員 顧客情報不正持ち出し、自治体をはじめとする多くの委託元での漏えいを確認 | ScanNetSecurity
Dropboxがフィッシング攻撃の被害に--GitHubに保存していたコードの一部が窃取