【セキュリティ ニュース】システムの仕様を知らずメール誤送信が発生 - 東京都福祉保健財団(1ページ目 / 全1ページ):Security NEXT
東京都福祉保健財団は、研修受講者へメールを送信した際、メールアドレスが流出したことを明らかにした。 同財団によれば、7月8日に担当者が研修受講者472人にメールを送信した際、メールアドレスが宛先として設定され、流出したもの。 メール送信にあたり、研修で使用するシステムの「お知らせ機能」にあった「メール送信機能」をはじめて使用。他担当者の確認を経て案内メールを送信したものの、「お知らせ」機能は宛先欄にメールアドレスを挿入するしくみだった。 流出後にシステム会社に確認したことで宛先にメールアドレスが設定される仕様であることを把握したという。 同財団では、対象となる受信者に謝罪。誤送信したメールの削除を依頼した。研修時にあらためて謝罪を行っている。 今回の問題を受けて、今回利用した送信機能を廃止。他機能に関してもセキュリティ上のリスクがないか検証するとしている。 (Security NEXT -
【セキュリティ ニュース】委託先がサポート詐欺被害、メールファイルが消される - 滋賀労働局(1ページ目 / 全2ページ):Security NEXT
厚生労働省滋賀労働局は、業務委託先がサポート詐欺に遭い、メールファイルが消去されたことを明らかにした。 同局と滋賀県より、医療労務管理支援事業を受託し、滋賀県医療勤務環境改善支援センターを運営する滋賀県病院協会において職員がサポート詐欺の被害に遭ったもの。 同センターの職員が4月11日に業務用端末を操作していたところ、警告画面に模した表示にだまされ、記載のあったマイクロソフトを装う電話番号へ連絡。相手方の指示に従ってしまったという。 同人物は、コンビニエンスストアでプリペイドカードを購入するよう求めたため、不審に思い別の職員に伝え、端末の電源を落として電話を切った。 同端末においてマルウェアの感染は確認されなかったが、端末内部より「Outlook」のメールファイルを消去されており、一時的に端末をリモート操作されたものと見られる。
【セキュリティ ニュース】個人情報を6機関に誤送信、転送され規模が20倍超に - 岐阜県(1ページ目 / 全1ページ):Security NEXT
岐阜県は、永年勤続表彰対象の教職員に関する個人情報を含んだファイルを、メールで誤送信する事故があったことを明らかにした。送信先よりさらにファイルが転送され、流出先が拡大したという。 同県によれば、6月25日から26日にかけて、県内6教育事務所に対し、教職員の永年勤続対象者名簿をメールで送信した際、教職員の個人情報が含まれたファイルを誤って送信するミスがあったという。 教職員41人の生年月日や年齢、採用年月日、処分歴などが含まれる。個人情報は、名簿のファイル内に別シートとして非表示の状態で添付されており、特定操作で閲覧できる状態だった。 6月28日に送信先から指摘があり、問題が判明。さらに送信先へ確認したところ、教育事務所から市町村の教育委員会や管内の小中学校にファイルが転送されていたことが判明した。送信先はあわせて122機関にのぼる。 同県では、送信先の機関にファイルの削除を依頼。全送信先
【セキュリティ ニュース】個人情報含む書類を市サイトに誤掲載 - 尼崎市(1ページ目 / 全1ページ):Security NEXT
兵庫県尼崎市は、産業廃棄物処理事業者の関係者に関する個人情報が記載された書類を、同市ウェブサイトに誤って掲載したことを明らかにした。 同市によれば、本来非公表である産業廃棄物処理計画実施状況報告書の提出シートを、3月28日から6月27日にかけて誤って同市ウェブサイトに掲載するミスがあったという。 事業者より指摘があり、6月27日11時半ごろ、問題が判明した。問題の書類には、61事業所の担当者に関する氏名、メールアドレス、所属、電話番号、ファックス番号のほか、一部会社印、代表者印の印影なども含まれる。 同市では、誤掲載した書類を削除。関係者に対して謝罪を行っている。 (Security NEXT - 2024/07/12 ) ツイート
【セキュリティ ニュース】監視システムに個人情報を誤保存、委託先から閲覧可能に - ファストリ(1ページ目 / 全2ページ):Security NEXT
ユニクロやジーユーを傘下に持つファーストリテイリングは、本来個人情報の取り扱いを委託していない一部委託事業者において、同社情報システム内の顧客情報を閲覧できる状態だったことを公表した。委託先とは秘密保持契約を締結しており、不正な持ち出しなどは確認されていないとしている。 同社によれば、同社サービスの稼働状況を監視するシステムにおいて、委託先が本来閲覧できないはずの個人情報を閲覧できる状態となっていたもの。 1月に判明し、同社ではアクセスを遮断して調査したところ、2023年6月以降、同社グループのオンラインストアを含む複数のサービスにおいて、一部の顧客の個人情報が同システム上へ保存される設定となっていたことがわかった。 同問題により、個人情報の取り扱いについて委託していない一部の委託業者より、同システムに保存された顧客の個人情報を閲覧できる状態にあったという。 具体的には、2023年6月から
2. Snowflake からのデータ漏洩によるさまざまな企業への影響 前編 ~ 米国司法省の LockBitSupp に対する起訴 ~ は こちら 2-1. エグゼクティブ サマリー 項目 内容 Who(誰が) UNC5537(Mandiant 社による命名) When(いつ) 2024 年 4 月 14 日以降、Snowflake 社に顧客情報窃取の為のアクセスが行われた Where(どこで) Snowflake 社の DB What(何を) Snowflake 社の DB 内にある資格情報などのデータ Why(なぜ) Snowflake を利用している顧客へのランサム攻撃に使用するためと思われる How(どのように) 過去(古くは 2020 年 11 月)の Snowflake 社への接続の認証情報侵害を利用し、2024 年 04 月から認証情報を悪用してシステムに侵入・Snowfl
【セキュリティ ニュース】住民税決定通知書のデータ約15万件が外部流出 - 和歌山市(1ページ目 / 全1ページ):Security NEXT
和歌山市は、2023年度の「市県民税特別徴収税額決定通知書」の封入を委託していた業務委託先において個人情報が流出したことを明らかにした。 業務を委託していたイセトーのランサムウェア感染被害により、「市・県民税特別徴収税額決定通知書」のデータ15万1421件が流出したもの。氏名や住所、課税情報が含まれる。 当初5月28日に同社よりランサムウェア感染の報告を受けた際は、同市に関する情報流出はないとの説明を受けていた。 6月26日に同社で情報流出が確認された際も、同市関連情報は対象ではないとの報告だったが、一転7月1日に同市関連情報の流出が判明したとの報告を受けたという。 同社内において、コピーしたデータを別部門のサーバに保管し、契約終了後もデータが削除されていなかったという。 同市では、同社に対してさらなる調査の継続と、適切な対応、報告を引き続き求めるとしている。 (Security NEXT
【セキュリティ ニュース】「CTF for Girls」の申込者情報が閲覧可能に - フォーム設定ミスで(1ページ目 / 全1ページ):Security NEXT
日本ネットワークセキュリティ協会(JNSA)は、SECCON実行委員会が主催する「CTF for Girls」のイベントにおいて、参加申込者に関する個人情報が意図せず外部に公開されていたことを明らかにした。 同団体によれば、イベント「Kunoichi Cyber Game」予選会の申し込みに「Googleフォーム」を使用したが、アクセスや編集の権限を誤り、「リンクを知っている全員」に設定するミスがあったという。6月19日に外部から指摘があり問題が判明。同日フォームの権限を変更した。 同問題により、フォームを公開した5月31日14時半過ぎから6月19日13時過ぎにかけて特定動作から申込者の情報が閲覧できる編集ページへアクセスでき、予選会申込者26人の個人情報を閲覧可能だった。氏名やメールアドレス、国籍、「Beginners CTF」の登録チーム名などが含まれる。 Googleフォームから大会
【セキュリティ ニュース】再就職支援者の個人情報を企業に誤送信 - 東京しごとセンター(1ページ目 / 全1ページ):Security NEXT
東京都は、「シニア中小企業サポート人材プログラム」を提供する「東京しごとセンター」においてメールの誤送信が発生したことを明らかにした。 都によれば、7月3日17時半ごろ、指定管理事業者の東京しごと財団において、人材情報を企業488社に提供する際、誤って個人情報をメールで送信するミスがあったという。 本来は個人を特定できないよう一部情報を削除してファイルを送信すべきところ、内部保存用のファイルを送信。再就職の支援を希望した56人に関する希望職種、希望条件、おもな職歴、資格、自己PR、最寄駅にくわえて氏名や年齢、性別などがそのまま記載されていた。 同日、同団体職員が送信したメールを確認し、誤送信に気づいた。 同団体では、誤送信先に対して問題のメールを削除するよう依頼。関係者に対して経緯の説明と謝罪を行っている。 (Security NEXT - 2024/07/11 ) ツイート
【セキュリティ ニュース】複数問合の同時並行対応で添付ファイルを取り違え - 大阪市(1ページ目 / 全1ページ):Security NEXT
大阪市は、認定こども園の児童に関する個人情報含んだ表計算ファイルを、誤って別施設へメールで送信するミスがあったことを公表した。複数の問い合わせへ対応していた際、送り先を誤ったという。 同市によれば、7月5日に「利用状況報告シート」のデータ入力方法について民間保育所からの問い合わせに対応していた際、並行して対応していた認定こども園の「利用状況報告シート」を誤って同保育所へメールで送信するミスがあったという。 同日同保育所より誤送信の指摘があり、問題が判明した。誤送信したファイルには、同認定こども園の児童の氏名、生年月日、保育認定状況など85件が含まれる。 職員が複数施設からの同様の問い合わせへ並行して対応していた際、誤って別施設のファイルをメールに添付してしまったという。 同市では同保育所に対し、電話で経緯を説明するとともに謝罪。誤送信したメールの削除を依頼した。同認定こども園にも、後日電話
【セキュリティ ニュース】職員がサポート詐欺被害、被害端末内に個人情報 - 吉田町(1ページ目 / 全1ページ):Security NEXT
静岡県吉田町は、子ども向け教育施設「ちいさな理科館」の職員がサポート詐欺の被害に遭ったことを明らかにした。遠隔操作された端末内部には個人情報が保存されていたという。 同町によれば、7月14日に同施設職員がパソコンを操作していたところ、セキュリティの警告画面に模した表示にだまされる被害に遭ったもの。 記載された連絡先に電話をかけ、指示に従って操作を行ったところ、遠隔操作がはじまり、不審に感じた職員が電話を切り、パソコンを強制終了したという。 遠隔操作された端末には、講座申込者約450人の氏名、住所、電話番号、メールアドレス、学校名、学年、保護者名のほか、メールの送受信履歴約1300件が保存されていた。 同町では問題の発覚を受け、外部協力のもと、個人情報が外部へ流出していないか調査を行っている。 (Security NEXT - 2024/07/19 ) ツイート
【セキュリティ ニュース】電子版会員の個人情報がウェブから閲覧可能に - 熊本日日新聞(1ページ目 / 全1ページ):Security NEXT
熊本日日新聞社は、電子版の会員に関する個人情報が一時ウェブサイト上で閲覧できる状態となり、外部に流出したことを明らかにした。 同社によれば、2021年8月時点における同社新聞電子版の利用者2万8777人分の名簿がウェブサイト上で閲覧できる状態となってい たもの。氏名や住所、電話番号、メールアドレスが含まれる。 電子版サーバの移行において、委託先開発ベンダーによるシステム環境の設定に不備があったという。7月22日11時半ごろ、外部から指摘があり問題が発覚した。 7月21日10時56分から同月22日11時58分にかけて、ウェブ上で閲覧できる状態となっていた名簿に対し、13回のアクセスが行われていた。 開発ベンダーに連絡し、同日12時20分ごろまでに外部へ公開されている状態を解消。7月23日に対象となる会員へメールで経緯を説明し、謝罪した。また個人情報保護委員会への報告を行っている。 (Secu
【セキュリティ ニュース】委託先で書類封入ミス、一部資料に別人の個人情報 - 宇部市(1ページ目 / 全1ページ):Security NEXT
山口県宇部市は、「はつらつ健幸ポイント」事業において、参加者に対し、別人の個人情報が記載された書類を送付したことを明らかにした。 同市によれば、6月18日に業務委託先であるタニタヘルスリンクが参加者5479人に対し、ポイント明細、活動レポート、お知らせ、アプリ継続方法の案内など4種類の書類を同封して発送したところ、一部で誤封入が発生したもの。 8グループにわけて作業を行ったところ、1グループ内でポイント明細と活動レポートに記載された氏名と住所が、お知らせに記載された氏名、アプリ「からだカルテ」のログインID、パスワードと異なっていることが判明した。 書類を受け取った参加者から6月21日に問い合わせがあり判明。31人において文書の誤封入による流出が確認された。同日タニタヘルスリンクでは、全参加者のIDとパスワードを変更。書類発送日以降にログインしたユーザーに対し、強制ログオフを実行した。 ま
【セキュリティ ニュース】認定個人情報保護団体向けメールで誤送信、メアド流出 - 個情委(1ページ目 / 全1ページ):Security NEXT
個人情報保護委員会は、認定個人情報保護団体向けの説明会について案内するメールを送信した際、誤送信によりメールアドレスが流出したことを明らかにした。 個情委によれば、7月2日16時ごろ、認定個人情報保護団体に説明会の開催案内メールを一斉送信した際、操作ミスが発生したもの。誤送信によりメールアドレス96件が受信者間に流出した。 問題の判明を受け、同日送信先へ連絡を取り謝罪。誤送信したメールの削除を依頼している。 個情委では今回の問題を受け、個人情報を取り扱う際の留意点や漏洩発生時の対応などについてあらためて職員に対する教育を実施。 外部へメールを送信する場合は事前に複数人で確認することを徹底するなど、再発防止を図るとしている。 (Security NEXT - 2024/07/05 ) ツイート
2024 年 5-6 月の脅威動向を見るために、記事末尾で 5-6 月の代表的なインシデント・攻撃等を羅列しています。もちろんこれらは代表的なものであり、その他にも多くのインシデントが発生しています。 今回は 5-6 月に発生した中でも以下の二点を前編・後編にわけて解説します。 米国司法省の LockBitSupp に対する起訴 Snowflake からのデータ漏洩によるさまざまな企業への影響 1. 米国司法省の LockBitSupp に対する起訴 2024 年 2 に LockBit のインフラ差し押さえなどの国際的な取り組み「Operation Cronos」が行われたことは、本連載の 1-2 月脅威動向まとめ でお話ししました。 この「Operation Cronos』に続く動きとして 2024 年 5 月に、LockBit ランサムウェアグループの中心的な人物である「LockBi
【セキュリティ ニュース】高校生向け施設見学ツアーの申込フォームで設定ミス - 電通大(1ページ目 / 全1ページ):Security NEXT
電気通信大学は、イベント申込フォームにおいて設定ミスがあり、申込者の個人情報がほかの申込者から閲覧できる状態だったことを明らかにした。 同大によれば、6月26日から同月29日までの間、「施設見学ツアー」の申込者86人の氏名と高校名が、ほかの申込者から閲覧できる状態となっていたもの。 同大では、6月29日にフォームの運用を停止した。申込フォームの設定上の不備が原因としている。 同大は、申込者以外の第三者から個人情報を閲覧できないことを確認したと説明。第三者への情報流出は確認されていないとしている。 (Security NEXT - 2024/07/12 ) ツイート PR
【セキュリティ ニュース】指定管理者がファイルを取り違え、個人情報を誤掲載 - 熊本市(1ページ目 / 全1ページ):Security NEXT
熊本市は、熊本市総合屋内プールの指定管理者である熊本市文化スポーツ財団が、スケート教室の申込者や参加者の個人情報を財団のウェブサイトに誤って掲載したことを明らかにした。 同市によれば、2月10日に同財団がウェブサイト上にスケート教室の告知と実施要項のPDFファイルをアップロードしようとした際、誤って申込者や参加者など50世帯111人分の個人情報を含むCSVファイルを誤ってアップロードしたもの。氏名や性別、生年月日、住所、電話番号、メールアドレスなどが含まれる。 財団ウェブサイトより、ファイルを閲覧したり、ダウンロードすることが可能となり、5月30日に申込者からインターネットで自分の名前を検索すると、文字化けしたスケート申込者らしきデータが表示されると電話連絡があり問題が発覚した。 同日同財団では、委託先業者に問題のデータについて削除を求め、検索エンジンに対しても、データの削除を依頼した。
帝国データバンクでメール誤送信、社内ルールに反し人事コードマスタが含まれた「見積作成ツール」を添付 | ScanNetSecurity
株式会社帝国データバンクは7月12日、メール誤送信による社内人事情報の流出について発表した。 これは同社内イントラネットにアップロードされていた「見積作成ツール(Excelファイル)」で作成した見積書を顧客に送付する際、社内ルールに反し「見積作成ツール」自体をメール添付した結果、同ツールに組み込まれていた人事情報が容易に再表示できる状態で流出したというもの。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2024 年 5~6 月の脅威動向と代表的な攻撃(後編)
2024 年 5~6 月の脅威動向と代表的な攻撃(前編)