【セキュリティ ニュース】個人情報を6機関に誤送信、転送され規模が20倍超に - 岐阜県(1ページ目 / 全1ページ):Security NEXT
岐阜県は、永年勤続表彰対象の教職員に関する個人情報を含んだファイルを、メールで誤送信する事故があったことを明らかにした。送信先よりさらにファイルが転送され、流出先が拡大したという。 同県によれば、6月25日から26日にかけて、県内6教育事務所に対し、教職員の永年勤続対象者名簿をメールで送信した際、教職員の個人情報が含まれたファイルを誤って送信するミスがあったという。 教職員41人の生年月日や年齢、採用年月日、処分歴などが含まれる。個人情報は、名簿のファイル内に別シートとして非表示の状態で添付されており、特定操作で閲覧できる状態だった。 6月28日に送信先から指摘があり、問題が判明。さらに送信先へ確認したところ、教育事務所から市町村の教育委員会や管内の小中学校にファイルが転送されていたことが判明した。送信先はあわせて122機関にのぼる。 同県では、送信先の機関にファイルの削除を依頼。全送信先
ゴルフ場運営ウッドフレンズ運営の3サイトに不正アクセス、個人情報が漏えい | ScanNetSecurity
県営ゴルフ場の運営を受託する東証スタンダード上場企業の株式会社ウッドフレンズは2月21日、同社コーポレートサイトへの不正アクセスによる個人情報漏えいの可能性について発表した。分割した画像ファイルで報告を行っている。 これは2022年11月25日に、同社コーポレートサイトの管理システムが操作できなくなり、アクセス権限の不正変更が発覚、外部専門業者の調査で2023年2月10日に、同社が運営する「ウッドフレンズ・コーポレートサイト」「名古屋港ゴルフ倶楽部」「森林公園ゴルフ場」(不正アクセスのみ)の3つのWebサイトに不正プログラムが設置されていること、同サイトで入力された個人情報が漏えいした可能性があることを確認したというもの。
地元カンパニー委託先へ不正アクセス、Web閲覧中 何らかのソフトのインストールに誘導される | ScanNetSecurity
株式会社地元カンパニーは3月31日、同社委託先のPCへの不正アクセスについて発表した。 これは3月16日午前11時頃に、同社委託先のPCにてインターネット閲覧中に何らかのソフトウェアのインストールに誘導されたと推測される事象が発生し、当該ソフトウェアを使用した第三者がPC上に保存されたデータに不正アクセスした可能性が判明したというもの。
【セキュリティ ニュース】約29万人に振込不能メールを誤送信、アクセスが集中 - 北國銀(1ページ目 / 全1ページ):Security NEXT
北國銀行は、振込不能の通知メールを無関係のオンラインバンキング契約者に対して誤送信するミスがあったことを明らかにした。アクセスが集中し、一時ログインしづらい状況に陥ったという。 同行によれば、12月5日に顧客1人に対して振込不能を通知するメールを送信しようとしたところ、誤って同行の個人向けオンラインバンキングサービス「北國クラウドバンキング」の全契約者約29万人へ送信するミスがあったという。また約6万人に対しては同様の内容が二重に送信された。 問題のメールは、同日11時より15時ごろにかけて配信され、メールを見た顧客からのアクセスが同行オンラインバンキングへ集中。ログインしづらい状況が発生し、サポートデスクの電話にもつながりにくい状態となった。 同行では、誤送信の原因について人為的なミスだったと説明。システムの不具合などは発生しておらず、同行に対するサイバー攻撃についても否定している。 ア
輸送用機器部品のNITTANへ不正アクセス、原因はVPNのパスワード管理不備 | ScanNetSecurity
輸送用機器部品の製造を行う東証スタンダード上場企業の株式会社NITTANは10月31日、9月13日に公表した同社サーバへの不正アクセスについて第3報を発表した。 同社では9月13日早朝に、同社サーバへの第三者からのランサムウェアとみられる不正アクセス攻撃を確認しており、フォレンジック調査会社も参加した上で、侵害調査と各システムの早急な復旧を目指し対応を行っていた。
【セキュリティ ニュース】交付前のマイナンバーカード2件が所在不明に - 四條畷市(1ページ目 / 全1ページ):Security NEXT
大阪府四條畷市は、庁舎内で保管していた交付前のマイナンバーカード2枚が所在不明となっていることを明らかにした。 同市によれば、12月15日、市民課執務室内で保管していた交付前のマイナンバーカード2件の所在がわからないという。マイナンバーカードには、マイナンバー、氏名、住所、生年月日、性別、顔写真が記載されている。 住民2人がマイナンバーカードの受け取りに来た際、保管するすべてのマイナンバーカードを確認したが、見あたらなかった。紛失と判断し、同月17日に警察へ紛失を届けている。 11月24日の時点で存在が確認されており、カードに組み込まれているICチップが正常に動作するか確認する交付前設定を行った後、専用のプラスチックケースに格納。地区別に分類して鍵付きのロッカーに保管していた。 同市では、不要となった小箱を廃棄する際や、地区別に分類する段階で誤って廃棄した可能性が高いとしている。同市では対
【セキュリティ ニュース】ICT人材マッチング支援サイトが改ざん被害 - 宮崎県(1ページ目 / 全1ページ):Security NEXT
宮崎県は、ICT人材マッチング支援サイト「ひなターンみやざき」が改ざん被害に遭ったことを明らかにした。原因や被害の状況について調べている。 同サイトは、県外ICT技術者と県内ICT企業とのマッチングを支援するウェブサイト。同県によれば、インターネットの検索結果から同サイトへアクセスすると、無関係のサイトに誘導される状態となっていた。 7月30日にサイト管理業者が点検作業した際に問題が判明。同日同サイトを閉鎖した。前週26日に点検した際は問題なかったという。 サーバには、91人分の情報が登録されており、ニックネーム、メールアドレス、性別、職種、居住都道府県、出身地域、相談の有無など含まれる。 同県では、侵害された原因や内容、登録者情報に対するアクセスなどがなかったか調査を進めている。 同サイトの登録者に対してメールで状況を報告。原因調査を終えたあとは、サーバ内部より登録者データを消去し、対策
【セキュリティ ニュース】個人情報含む調査関係の名簿原本をコピー機に置き忘れ - 山口県(1ページ目 / 全1ページ):Security NEXT
山口県は、国からの委託で実施する国民生活基礎調査の調査員が、個人情報含む世帯名簿をコピーした際、原本をコピー機に置き忘れたことを公表した。 同県によれば、5月6日に調査員が防府市内の商業施設で単位区別世帯名簿をコピーした際、名簿原本をコピー機に置き忘れたもの。名簿には23世帯分の世帯主氏名、世帯人員、集合住宅の名称が記載されていた。 同日店舗で名簿が発見され、事務所で保管。同月11日、店舗が拾得物として警察へ届けたことから警察が山口健康福祉センターへ連絡。センター職員と調査員が警察を訪問し、名簿を回収した。 同県では、名簿に記載されていた世帯に対し説明と謝罪を行うとしている。 (Security NEXT - 2022/05/16 ) ツイート
【セキュリティ ニュース】富士通クラウドサービスへの攻撃 - 侵入の痕跡見つかる(1ページ目 / 全2ページ):Security NEXT
富士通グループのクラウドサービスで利用するロードバランサが不正アクセスを受けた問題で、同社はフォレンジック調査により痕跡を確認したことを明らかにした。 5月7日に富士通のクラウドサービス「FJcloud-V」や富士通クラウドテクノロジーズの「ニフクラ」で利用する一部ロードバランサが脆弱性に対する攻撃を受けたもの。 同社は事態を公表し、証明書データなど一部顧客の通信データが窃取できる状態だったことを明らかにする一方、ロードバランサを踏み台にクラウド基盤内部へ侵入されたり、情報を外部に送信された形跡は確認されていないとしていた。 しかしその後の調査で、5月4日から同月11日にかけて復号化された通信パケットがロードバランサを通過しており、窃取が可能だったことが判明。 具体的には、「メール配信サービス(ESS)」のAPIを用いた配信メール情報やログ情報、ウェブより問い合わせや申し込みを行った顧客の
【セキュリティ ニュース】UTM設置時のテストアカウントが未削除、ランサム感染の原因に(1ページ目 / 全2ページ):Security NEXT
アクセサリーの部品やビーズなどの手芸製品の製造や販売を行うエンドレスは、サイバー攻撃を受け、ランサムウェアに感染したことを明らかにした。 同社によれば、サーバが不正アクセスを受け、ランサムウェア「LockBit」に感染したことを明らかにしたもの。感染したサーバに顧客情報は保存されていないという。 同社では、セキュリティを強化するため、2023年2月にFortiGate製のセキュリティアプライアンスを導入。 導入にあたっては、スターティアが製品を納品し、システムの構築を行ったが、リモートアクセス接続のテスト用に作成されたアカウントが削除されておらず、同アカウントを悪用され、侵害を受けたという。 エンドレスでは、被害が確認されたサーバをネットワークから遮断。社内で使用する端末の検査を進めている。4月23日の時点で社内情報の流出は確認されていないが、データ流出の有無を含めて調査を進めている。
【セキュリティ ニュース】総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」(1ページ目 / 全2ページ):Security NEXT
LINEヤフーが不正アクセスを受け、通信の秘密が漏洩した問題を受けて、総務省は3月5日、同社に対して行政指導を行った。電気通信事業全体に対する利用者の信頼を大きく損なう結果になったとし、対策の実施を求めている。 同問題では、業務委託先である関連会社NAVER Cloudにおいて従業員のパソコンがマルウェアに感染。 さらに同社のActive Directoryのサーバがマルウェアに感染して管理者権限を奪取され、旧LINEの社内システムにおける認証情報を悪用されてシステムを侵害されたことにより、顧客や取引先、従業員に関する個人データが流出した可能性が生じた。 不正アクセスにより、同社が提供するサービス「LINE」のユーザーに関する個人データ30万2980件が外部に流出した可能性があり、通信の秘密にあたる情報2万2239件が含まれる。 問題の発覚を受け、同省では電気通信事業法に基づき、LINEヤ
【セキュリティ ニュース】個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超(1ページ目 / 全3ページ):Security NEXT
個人情報保護委員会は3月25日、人事労務支援サービスを提供するエムケイシステムに対し、パスワード管理や脆弱性対策などの安全管理措置に不備があったとして行政指導を行った。同問題に関してはサービスを利用する社労事務所を中心に3000件を超える報告が寄せられたという。 同社では、社会保険労務士事務所や企業を対象に、「社労夢(Shalom)」をはじめ、社会保険や人事労務の業務を支援するクラウドサービスを提供しているが、6月に障害が発生していることが判明。 サーバがランサムウェアによる被害に遭い、管理されていた個人データが暗号化され、外部に流出した可能性があることが明らかとなった。 同システムは、2754の社労士事務所が導入。管理対象となる事業所は約57万件で最大約2242万人の個人データを取り扱っている。 個情委に対しては、6月6日以降、報告者ベースの集計で社労士事務所を中心に3067件の報告があ
【セキュリティ ニュース】神戸市、個人情報の不正操作で職員処分 - 保険料増額の通知から発覚(1ページ目 / 全1ページ):Security NEXT
神戸市は、業務と関係なく住民の個人情報を閲覧し、一部データを改ざんしていた同市北区保険年金医療課の職員を懲戒免職処分とした。 同市によれば、同職員が2022年6月以降、業務と関係なく99人分の個人情報を閲覧していたもの。さらに2023年7月20日には、住民1人の所得情報を閲覧し、データを不正に変更していた。 所得情報が変更された住民に対して、国民健康保険料が従来の約3倍になるとの通知が届き、問い合わせがあったことから問題が発覚。過去のログを調査したところ、業務外で閲覧していたことも判明した。 同職員は、同市の聞き取りに対してデータの閲覧や操作を行ったことは認め、申し訳なかったと話しているものの、操作の練習を行っていたなどと説明。故意を否定したという。同職員から外部への情報流出なども確認されていない。 同職員は、2019年3月にも業務と関係なく個人情報を閲覧しており、減給の懲戒処分を受けてい
【セキュリティ ニュース】トヨタのネット接続サービス、アクセスキーが公開ソースコード内に - 情報流出の可能性(1ページ目 / 全2ページ):Security NEXT
トヨタ自動車とトヨタコネクティッドが提供するコネクティッドサービス「T-Connect」の一部契約者に関する個人情報が、外部に流出した可能性があることがわかった。 顧客のメールアドレスや顧客管理番号29万6019件が外部に流出した可能性があることが明らかとなったもの。2017年7月以降に「T-Connect」のユーザーサイトでメールアドレスを登録した顧客が対象となる。 「T-Connect」のユーザーサイトに関する一部ソースコードが、2017年12月以降、開発プラットフォームである「GitHub」上に公開され、第三者がアクセスできる状態となっていたことが9月15日に判明。ソースコード内にデータサーバのアクセスキーが含まれていた。 調査においてデータサーバのアクセス履歴から第三者のアクセスは確認できず、不正に利用されたとの情報もないが、外部に流出した可能性を否定できない状況にあるという。 原
【セキュリティ ニュース】みそ通販サイトの侵害、ログイン用PWも流出した可能性(1ページ目 / 全1ページ):Security NEXT
福井県で味噌の製造販売を手がけるマルカワみそは、同社通販サイトが不正アクセスを受けた問題で、ログイン用パスワードも流出した可能性があることが判明したとし、関係者に注意を呼びかけた。 同社では、運営する「マルカワみそ公式サイト」が不正アクセスを受け、顧客の個人情報や、クレジットカード情報が流出した可能性があるとして4月に事態を公表。外部協力のもと、調査を継続していたところ、ログイン用パスワードも流出した可能性があることが判明したという。 対象となるのは、サイトオープン時より2023年11月6日までに「マイページ」へ登録、または仮登録した顧客2万606人のログイン用パスワード。期間中に商品を購入している場合でも、マイページの登録を行っていない場合は対象とならない。 被害の報告などは受けていないが、同社は、他サービスで同じパスワードを使いまわしている場合は、変更するよう注意を呼びかけた。 同社が
【セキュリティ ニュース】都水道局に個人情報聞き出す複数の「なりすまし電話」(1ページ目 / 全2ページ):Security NEXT
東京都水道局は、都内2カ所の営業所で、契約者や関係者になりすました電話により、個人情報を詐取されたことを明らかにした。いずれも正しい情報を伝えることで、当人と信じ込ませ、情報を聞き出していた。 同局によれば、板橋営業所では7月29日、契約者の息子をかたる人物より電話があったという。電話口で名義人として登録されている正しい氏名や住所、電話番号を告げたため、職員が契約者の息子であると信じてしまい、メーター検針基準日や料金未納の有無などを伝えた。 電話を終えたあと、職員が不審に感じ、念のため登録されていた電話番号へ連絡を取ると、契約者に息子は存在せず、血縁関係がない実在する別の契約者をあたかも息子であるかのように見せかけ、情報をだまし取っていたことが判明した。 「息子」を名乗った人物は、電話口で自身も口座振替を申し込むかのように見せかけ、名乗っていた別の契約者に関する顧客番号、検針月、直近のメー
【セキュリティ ニュース】労務管理クラウドシステムでアクセス権の設定ミス - 個人情報が流出(1ページ目 / 全2ページ):Security NEXT
カオナビの子会社であるワークスタイルテックにおいて、人事労務管理サービスのストレージサーバの設定にミスがあり、個人情報が外部へ流出したことがわかった。2020年以降、設定ミスの状態にあったという。 同社が提供するアルバイト従業員の労務管理が行えるクラウドサービス「WelcomeHR」において、外部より個人データを閲覧できる状態が発生し、外部に流出していたことが明らかとなったもの。 3月22日に調査を実施していたところ、ストレージサーバのアクセス権限設定に誤りがあることが判明した。 設定ミスにより、2020年1月5日から2024年3月22日にかけて外部よりアクセスが可能だった。その後の調査で2023年12月28日から翌29日にかけて第三者がファイルをダウンロードしていたことが確認されている。 16万2830人分の個人データがアクセス可能となっており、このうち15万4650人分がダウンロードさ
米フォーブス誌によれば、「TikTok」の運営企業である中国のIT大手「バイトダンス」の従業員が、同誌の複数の記者のデータにアクセスしていたと報じている。フォーブスでは、バイトダンス幹部による社内向けメールなどの資料を入手。これを元にTikTokと中国政府とのつながりに関連した報道をおこなっており、この記事の情報がどこから漏れたかを把握するため、記者の位置情報などにアクセスしていたという。同社は内部調査を実施したところ、23日に複数の従業員がメディアへの情報流出源を特定目的で記者の個人情報に不正にアクセスしていたことを認めた。関係者を解雇するなどの処分をしたとしているが、具体的な人数などに関しては公開されていないという(東京新聞、朝日新聞、AFPBB News)。
【セキュリティ ニュース】愛知県選管のXアカウントが乗っ取り被害 - フォロー解除を呼びかけ(1ページ目 / 全1ページ):Security NEXT
愛知県は、選挙管理委員会のX(旧Twitter)公式アカウントが乗っ取り被害に遭ったことを明らかにした。フォローを解除するよう呼びかけている。 同県によれば、選挙管理委員会のXアカウントが不正アクセスを受け、第三者に乗っ取られたもの。アカウント名を「Treasure」とされたり、アイコンやトップ画面が意図しないものへ変更されていた。 同アカウントは、選挙に対する関心を高めるため2014年10月より運営。「X認証済み組織」サービスを通じて認証されており、金色のチェックマークが付与されている。 不正アクセスによる被害の判明を受けて、同県ではXに対して同アカウントの削除を申請。同アカウントによる投稿へアクセスせず、フォローを解除するよう呼びかけている。 (Security NEXT - 2024/02/07 ) ツイート
【セキュリティ ニュース】委託先でメール誤送信、メルマガ登録者のメアド流出 - 香川県(1ページ目 / 全1ページ):Security NEXT
香川県は、香川県医療的ケア児等支援センターの運営を委託している在宅療養ネットワークにおいてメールの送信ミスがあり、メールマガジン登録者のメールアドレスが流出したことを明らかにした。 同県によれば、8月29日8時半過ぎ、委託先の担当者がメールマガジン登録者205人にメール送信した際、誤送信が発生したもの。送信先を宛先に設定したため、受信者間でメールアドレスが閲覧できる状態となった。 メールマガジンを受信した同県職員がミスに気づき、問題が判明。委託先よりメールマガジンの登録者にメールで謝罪し、誤送信したメールの削除を依頼した。 (Security NEXT - 2022/09/05 ) ツイート
【セキュリティ ニュース】尼崎市USBメモリ紛失事故でBIPROGYに行政指導 - 委託元は監督対象外(1ページ目 / 全3ページ):Security NEXT
個人情報保護員会は、尼崎市で発生したUSBメモリの紛失事故を受け、業務を受託していたBIPROGY(旧日本ユニシス)に対し、個人情報保護法にもとづく行政指導を行った。現行法において自治体は監督対象外だが、2023年4月以降は自治体も同法の適用対象となることから、個情委では各自治体に対して今回のケースを参考に対策を推進するよう促している。 問題となった事故は、6月に発生したもの。同市コールセンターにおいてデータの移管作業を実施するため、同社協力会社の従業員が同月21日17時ごろ、USBメモリをカバンへ入れて持ち出したが、作業後もデータを削除することなく持ち歩き飲食。 帰宅途中に路上で眠り込み、翌22日にUSBメモリを入れていたカバンごと紛失したことが明らかとなった。カバンは6月24日に吹田市内にあるマンション敷地内で見つかり、回収されている。 問題のUSBメモリ内部には、臨時特別給付金支給事
二次被害防止の観点、カード情報漏えい懸念顧客に調査結果待たず第一報通知 ~ 人形取り扱い「東玉オンラインショップ」不正アクセス | ScanNetSecurity
人形を取り扱う株式会社東玉は7月25日、同社が運営する「東玉オンラインショップ」への不正アクセスによる顧客情報の漏えいについて発表した。 これは3月17日に、「東玉オンラインショップ」を利用した顧客のカード情報の漏えい懸念を同社で検知し、同日中にカード決済を停止し第三者調査機関による調査を行ったところ、当該サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスでペイメントアプリケーションの改ざんが行われたことが原因で、顧客のカード情報が漏えいし、一部顧客のカード情報が不正利用された可能性があること、顧客の個人情報が漏えいした可能性をあることを、5月26日に完了した調査機関による調査で確認したというもの。
【セキュリティ ニュース】フォーム設定ミスで研修申込者の個人情報が閲覧可能に - 茨城県発達障害者支援センター(1ページ目 / 全1ページ):Security NEXT
茨城県は、茨城県発達障害者支援センター「COLORSつくば」において、研修申込者の個人情報がフォーム上から閲覧できる状態になっていたことを明らかにした。 同県によれば、同仁会に運営を委託している同センターにおいて、自治体職員向け研修の申し込みをGoogleフォームにて受け付けたが、設定ミスにより申込者の個人情報がフォーム上から閲覧できる状態となっていたもの。研修申込者58人分の氏名、電話番号、所属、年代、メールアドレスなどが参照可能だった。 7月12日に研修参加者から問い合わせがあり、問題が判明。申し込みは6月12日から7月3日まで受け付けたが、締め切り後も7月12日11時まで個人情報を閲覧できる状態だった。 同県では対象となる申込者に対し、経緯の説明と謝罪を行っている。今後はマニュアルを用意するほか、フォーム作成時に複数職員で確認を行なうなど、再発の防止を図るとしている。 (Securi
【セキュリティ ニュース】鹿児島農産品の通販サイトで個人情報流出の可能性 - クレカや認証情報も(1ページ目 / 全2ページ):Security NEXT
鹿児島くみあい食品は、農産品を扱う同社通信販売サイト「クミショクファーム」が不正アクセスを受け、個人情報が流出したことを明らかにした。会員情報や届け先情報、認証情報、クレジットカード情報などが被害に遭った可能性がある。 同社によると脆弱性を突く不正アクセスを受け、決済アプリケーションを改ざんされたという。2023年10月17日までに同サイトで登録された会員情報や商品の届け先などデータベース内の個人情報2万2234件が外部に流出した可能性がある。 氏名、住所、IDとして用いるメールアドレスや電話番号、パスワードのほか、任意で入力された性別、誕生日、職業、会社名、届け先の氏名、住所、電話番号などが被害に遭ったおそれがある。 くわえて2021年5月30日から2023年9月13日にかけて同サイトで商品を購入した顧客2061人が利用したクレジットカード情報2114件が流出し、不正に利用された可能性が
【セキュリティ ニュース】LINEヤフーに再度行政指導 - 報告受けるも対応や計画不十分(1ページ目 / 全1ページ):Security NEXT
LINEヤフーにおいて通信の秘密を含む個人データ流出の可能性が判明し、3月に総務省が行政指導を行ったが、対策が不十分であるとして同省は同社に対し、あらためて行政指導を行った。 同省では、3月5日付けで同社に対し行政指導を実施。4月1日に同社から再発防止策の実施状況や今後の計画について報告書を受領したが、現状の対策は不十分であり、具体的な計画が示されていない点も見られたことから、4月16日に再度行政指導を行ったもの。 同省は報告内容について、実施計画はあるものの未実施のものも多く、NAVERとのネットワーク完全分離が2年以上先とされるなど、依然として通信の秘密の保護、セキュリティの確保の観点から安全管理措置や委託先管理が不十分であると指摘。 また同社とNAVERにおける委託関係を順次縮小し、終了する方針は示されているものの、具体的な計画の言及がなく、親会社を含むグループ全体においてセキュリテ
【セキュリティ ニュース】住民関連の情報をLINEグループに投稿、職員を懲戒処分 - 湖南市(1ページ目 / 全1ページ):Security NEXT
滋賀県湖南市は、執務時間中に業務と関係ない撮影をして、写真と住民の名字をSNSアプリ「LINE」のグループに投稿した職員に対し、懲戒処分を行った。 同市によれば、同職員は2023年度、執務時間中に私用のスマートフォンで業務と関係のない写真を撮影。写真と住民の名字を「LINE」のグループに投稿していた。 プライバシーの情報を含み、住民からの要望もあり、写真の内容や対象者の人数、発生日時など詳細は明らかにしていない。 匿名で市役所に連絡があり、5月に問題が発覚。職員にヒアリングを行ったところ、事実であることが判明した。わいせつな情報などは含まれていないとしている。 同職員は「思慮に欠けた行動をして大変申し訳ない」「公務員としての自覚に欠けていた」と反省の弁を口にしているという。 同市では同問題を受け、同職員に対し5月31日付けで減給とする懲戒処分を実施した。 (Security NEXT -
【セキュリティ ニュース】固定資産税下げようとシステム改ざん、職員を停職処分 - 上尾市(1ページ目 / 全1ページ):Security NEXT
埼玉県上尾市は、「総合行政システム」のデータを不正に改ざんしたとして職員を懲戒処分とした。 2021年3月、当時行政経営部資産税課に所属していた職員が、固定資産税に関する「総合行政システム」の土地課税台帳を改ざんしたもの。 課税事務において、職員の兄が所有、職員自身が納税管理人である土地に対し、固定資産税や都市計画税における評価額や税額を引下げるよう数字を不正に操作していた。 別の職員が確認作業中に気付き、改ざん前の数値に戻したことで実被害は生じなかったが、同市では2021年6月に同職員を警察へ告発。2024年4月に起訴猶予による不起訴処分となったという。 同問題の発覚を受け、同市では同職員を5月28日付けで停職5カ月とする懲戒処分を行った。 (Security NEXT - 2024/05/31 ) ツイート
新潟医療福祉大学は4月3日、同学Webサイトへの第三者からの不正アクセスによる改ざんについて発表した。 これは4月1日午後9時40分頃に、同学Webサイトへの不正アクセスの可能性を確認し、同日午後10時10分に当該サイトを閉鎖し調査を開始したところ、CMS(Contents Management System)の脆弱性を悪用した外部からの不正アクセスでWebサーバ内のファイルが書き換えられたことで、当該サイトにアクセスすると悪意のあるWebサイトへ自動的に誘導される状況となったというもの。
【セキュリティ ニュース】不正アクセスでスパム送信の踏み台に - 富士ロジテックHD(1ページ目 / 全1ページ):Security NEXT
富士ロジテックホールディングスは、メールサーバが不正アクセスを受け、迷惑メールを送信するための踏み台として悪用されたことを明らかにした。 同社によれば、同社が管理するメールサーバ1台が不正アクセスを受け、7月5日13時前ごろから同日20時過ぎにかけて、同サーバ経由で約3万件の迷惑メールが送信されたという。 判明後、セキュリティを強化し、迷惑メールの配信は停止した。今回の不正アクセスにともなう個人情報の流出がなかったことは確認済みとしており、被害なども確認されてないとしている。 (Security NEXT - 2023/07/10 ) ツイート
【セキュリティ ニュース】複数サイトに攻撃、DBのテーブル名を取得された痕跡 - 紀伊國屋書店(1ページ目 / 全2ページ):Security NEXT
紀伊國屋書店は、同社が運用する複数サイトがサイバー攻撃を受けたことを明らかにした。情報が流出した可能性もあるという。 同社によれば、図書館に和雑誌の納品データを提供する「和雑誌アクセス納品情報」、海外雑誌の納品情報を管理する「INTERMAX納品管理システム」、学術雑誌の納品情報について管理を支援する「Access Web Service System」の3サイトに関する情報が流出した可能性があることが判明したもの。 11月1日に「和雑誌アクセス納品情報」に対してサイバー攻撃が行われたとの連絡が警察からあり、調査を行ったところ、同サイトと「INTERMAX納品管理システム」よりデータベースの「テーブル名」を取得されたことが判明。同じデータベースを使用する「Access Web Service System」を含めた3サイトがサイバー攻撃の影響を受けた可能性がある。 データベースにおいてデー
【セキュリティ ニュース】内閣サイバーセキュリティセンターにゼロデイ攻撃 - 公知後も対策に至らず(1ページ目 / 全2ページ):Security NEXT
内閣サイバーセキュリティセンター(NISC)のメール関連システムがサイバー攻撃を受け、メールデータの一部が外部へ漏洩した可能性があることがわかった。ゼロデイ攻撃により侵害され、その後脆弱性が明らかとなったものの、侵害された状態が続いていた。 NISCによれば、6月13日にメール関連システムにおいて不正通信の痕跡を発見、問題が発覚したもの。NISCでは翌14日から15日にかけて運用を停止して状況を確認し、原因と見られる機器を交換。保守事業者が脆弱性に起因して不正通信が生じたことを示す痕跡を同月21日に発見した。 今回のサイバー攻撃により、2022年10月上旬から2023年6月中旬にかけて、インターネット経由で送受信したメールデータの一部が外部に漏えいした可能性がある。本誌の取材に対して、侵害された機器のメーカー、台数など構成については、セキュリティ保安上の観点から回答を差し控えるとしてコメン
【セキュリティ ニュース】東急Gへの不正アクセス、検証用環境経由で侵入(1ページ目 / 全2ページ):Security NEXT
東急は、同社のネットワークが不正アクセスを受けた問題で、子会社である東光食品のファイルサーバから個人情報が流出した可能性があることを明らかにした。 同社では、同社ネットワークを侵害されたことが4月28日に判明。ログなどを調査したところ、東急ストアの子会社で同一ネットワーク環境を利用していた東光食品のファイルサーバなどから一部データを読み出されたことが判明し、事態を公表するとともに調査を進めていた。 同社は、不正アクセスを受けた原因について、構築中だったあたらしい社内ネットワーク基盤の検証用環境が脆弱な状態だったと説明。 検証用環境を経由して同社既存ネットワークへアクセスが行われ、脆弱な設定にあった東光食品が管理するファイルサーバが侵害されたという。 同社は、同ファイルサーバに含まれるすべてのデータが持ち出されたと想定。含まれるすべての個人情報を精査し、流出した可能性のある個人情報として取り
【セキュリティ ニュース】古河市のFacebookアカウントが乗っ取り被害 - フォロー解除を(1ページ目 / 全1ページ):Security NEXT
茨城県古河市は、Facebookアカウントが乗っ取り被害に遭ったことを明らかにした。第三者による投稿が行われる可能性もあるとして注意を呼びかけている。 同市によれば、同市が運用するFacebookアカウントが乗っ取り被害に遭ったもの。Metaに対して申請を行っているが、返答や対応がなく、ページを停止することもできない状態だという。 12月22日の時点で、第三者による投稿は確認されていないが、今後同市と関係のない投稿が行われたり、メッセージが発信される可能性もあると説明。 あらたなFacebookページを設置することは当分行わないとし、同市によるFacebookへの投稿やメッセージについては開いたりせず、フォローしている場合は解除するよう呼びかけている。 (Security NEXT - 2022/12/23 ) ツイート
JFRグループで共同利用の個人情報、対象外の項目を誤ってデータ送信 | ScanNetSecurity
J.フロント リテイリング株式会社は11月28日、J.フロント リテイリング(JFR)グループ各社で共同利用する顧客の個人情報の取り扱いについてのお詫びを発表した。同社の他のリリースと異なり、画像ファイルで公表している。 JFRグループでは顧客の個人情報の一部を顧客情報データベースで管理し共同利用しているが、2022年9月12日からJFRカード株式会社が取得したカード会員の個人情報のうち、JFRグループ内での共同利用の対象外として除外していた項目も含めて、JFRグループの顧客情報データベースに誤ってデータ送信していたことが11月1日に判明した。
【セキュリティ ニュース】「むらサポ」メルマガ配信システムに不正アクセス - 静岡県(1ページ目 / 全2ページ):Security NEXT
静岡県は、同県が運営するウェブサイト「しずおか農山村サポーター(むらサポ)」のメールマガジン配信システムが外部よりサイバー攻撃を受け、個人会員の登録情報が流出したことを明らかにした。 同県によれば、外部から脆弱性を突く不正アクセスがあり、個人会員の登録情報1181件が流出したことが判明したもの。システムの内部より一覧のデータを出力した痕跡が見つかった。 メールアドレス、ニックネーム、年齢、住所の一部、職業が含まれる。法人会員についても110件の情報が登録されていたが、別に管理されており影響はなかった。 6月29日にメールマガジンを配信しようとした際、システムへログインできず、「ID」と「パスワード」が同月27日に変更されていたことが判明。攻撃者はシステムの脆弱性を突いて「ID」や「パスワード」を変更し、侵入したものと見られる。 同県では同月30日に「むらサポ」のウェブサイトと配信システムを
【セキュリティ ニュース】学習支援システムの開発サーバから生徒情報が流出か - ECC(1ページ目 / 全1ページ):Security NEXT
英会話スクールなどを運営するECCは、学習支援システムの開発サーバがサイバー攻撃を受け、生徒の個人情報が流出した可能性があることを明らかにした。 同社によれば、課題の配布やテストなどオンラインで行える同社の学習支援システム「ECC Intersection」の開発サーバが第三者によって侵害されたことを9月12日に確認したもの。 5月16日以降、複数回にわたり第三者よりアクセスされ、同システムを利用する生徒1249人の氏名、ID、一部受講情報が流出した可能性があることが判明した。 同社では関係者に対して謝罪。今回の問題を受け、再発防止に向けてアクセス制限のほか、アカウントのID、パスワードなどを強固なものへ変更するなど対策を講じたという。 (Security NEXT - 2023/10/02 ) ツイート
ショーケース社への不正アクセス、「カクヤスネットショッピング」でカード情報が漏えい | ScanNetSecurity
株式会社カクヤスは11月1日、同社通販サイト「カクヤスネットショッピング」でのクレジットカード情報が漏えいについて発表した。 これは同社が運営する「カクヤスネットショッピング」のWeb 入力支援ツールを提供する株式会社ショーケースにて、当該サービスのシステムの脆弱性を突いた第三者の不正アクセスでソースコードの書き換えが行われたことが原因で、当該サービスを介して顧客のカード情報が漏えいしたというもの。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
今日もどこかで情報漏えい 第18回「2023年10月の情報漏えい」千葉県のSDカード“伊達直人” | ScanNetSecurity
TikTok運営会社の従業員、記者らの個人データに不正にアクセス | スラド セキュリティ
今日もどこかで情報漏えい 第13回「2023年6月の情報漏えい」無形損害は賠償請求せず | ScanNetSecurity
CMSの脆弱性突かれ、新潟医療福祉大学Webサイト改ざん被害 | ScanNetSecurity
エヌ・デーソフトウェア社員のメールアカウントに不正アクセス、502件の不審メール送信 | ScanNetSecurity
