2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。 短縮URLサービス中の広告表示を起因とした事案か いなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1 同社が公表した資料中
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1
ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ
ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Xが運営するECサイト(本件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、本件サイトにおけるクレジットカード決済機能を停止した(本件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Xは、本件サイトを、Yとの間で締結した請負契約(本件請負契約)に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理
マルチテナントの実現におけるDB設計とRLS / Utilizing RSL in multi-tenancy
# 実装の参考資料 - https://soudai.hatenablog.com/entry/2022/11/11/110825 # 類似の登壇内容の動画 - https://www.youtube.com/watch?v=PXy6I-AeI-I
2023年10月5日、兵庫県警は日本山村硝子から営業秘密情報を持ち出したとして不正競争防止法違反の容疑で男女二人を逮捕しました。男は同社の元社員で不正に持ち出された情報は中国企業に流出した疑いがあるとも報じられています。ここでは関連する情報をまとめます。 妻の会社を通じて不正取得した情報を提供か 不正競争防止法違反(営業秘密侵害)の容疑で逮捕されたのは日本山村硝子の元社員であった男とその妻の二人で両者とも日本に帰化した元中国籍。2016年6月28日19時5分頃に会社の営業秘密に当たる情報(日本山村硝子が独自に開発した超軽量ガラス瓶の成形技術(二酸化炭素削減につながる)に関連するプログラム)を妻と共謀し外部に持ち出しした疑い。 男は前の話は覚えていない、妻は犯罪に関わることはしていないと二人とも容疑を否認している。*1 男は中国語に堪能であったことから2016年在職当時中国担当のチームに係長
HOYAがサイバー攻撃で3度目の被害、「犯人」はダークウェブで犯行を公表 | JBpress (ジェイビープレス)
今回は、コンタクトレンズなどを製造販売する光学機器大手HOYAが被害を受けたことが判明した。 「解析には相当の日数を要する見込み」 これを受け、同社は次のような声明を出している。 <2024年3月30日未明、海外の事業所においてシステム挙動に不審な点があったことから調査をしたところ、当社グループの国内外の事業所においてシステム障害が起きていることを確認しました。当社は障害が起きたサーバーの隔離などの対応を直ちに行うとともに関係当局へ報告しました。外部の専門家を交えた調査の結果によれば、本件は第三者による当社サーバーへの不正アクセスに起因する可能性が高いとみられています。 本件により現在、複数の製品について、生産工場内のシステムや受注システムが停止しています。当社では、在庫出荷等の業務については、マニュアルで対応するなど最大限、顧客の需要にお応えするべく務めております。なお、当社が保有する機
2023年10月24日、東京大学は教員が使用していたPCがマルウエアに感染し、PC上に保管されていた情報が外部に流出した可能性があると公表しました。ここでは関連する情報をまとめます。 教員が在宅勤務で使用していたPCで被害 被害に遭ったのは東京大学大学院総合文化研究科・教養学部の教員(教授)で、在宅勤務で使用していたPCがマルウエアに感染していた。*1 大学が被害を覚知したのは、「標的型攻撃メールの事案を調査していた専門機関」からの指摘を受けたため。感染判明後に端末の調査を指摘をした機関と別の専門機関で調査をしたところ、PC内部の情報を盗み取った痕跡が確認された。 偽の講演の日程調整をやり取りする中でマルウエア感染 やり取り型の標的型攻撃のメールを通じて教員が使用してたPCがマルウエアに感染した。実在する組織の担当者を騙る人物から講演依頼のメールを受信し、日程調整のために教員がやり取りして
2023年10月18日、カシオ計算機は、同社が運営するICT教育アプリ「ClassPad.net」のシステムが不正アクセスの被害にあい、国内外の登録者情報が流出したと公表し謝罪しました。ここでは関連する情報をまとめます。 不正アクセスにより国内1,100の教育機関に影響 不正アクセスを受けたのは、AWS上に構築されたClassPad.netの開発環境のデータベース。*1 開発環境上で同社の担当者が作業を行おうとした際に、データベース上で障害が発生していることに気づき、不正アクセスが判明。さらに調査を進める中で、海外在住者の個人情報が外部に流出している事実も翌日に判明した。なお、ClassPad.netのアプリは不正アクセスの影響を受けていない。 不正アクセスは開発環境のネットワークセキュリティ設定の一部が解除された状態であったことが原因で、所管する部門のシステム誤操作、不十分な運用管理に起
いなげやネットスーパーの入会案内に記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生した。 スーパーマーケットを展開するいなげやは11月9日、神奈川県の川崎土橋店と川崎下小田中店で、ネットスーパーの入会案内ポスター/チラシに記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生したと発表した。 問題は、10月27日~11月9日に発生。QRコードからサイトにアクセスした際、「netsuper.rakuten.co.jp」という文字と「OK」ボタンを含む画面や、「モバイルアクティベーション」と書かれた画面などが表示された場合は「予定した入会サイトではない」としてすぐに閉じよう案内している。 心当たりのあるユーザーにはクレジットカード会社に連
エイチーム、Googleドライブで設定ミス 約94万人分の情報が「リンクを知っていれば誰でも閲覧できる状態」に
エイチーム、Googleドライブで設定ミス 約94万人分の情報が「リンクを知っていれば誰でも閲覧できる状態」に エイチームは12月21日、7日に発表した個人情報漏えいの可能性について、詳細な調査の結果を公開した。オンラインストレージ「Googleドライブ」の情報公開設定にミスがあり、顧客や取引先、退職者など93万5779人の情報を含むファイル1369件が、リンクを知っていれば誰でも閲覧できる状態だったという。 閲覧可能だったのは、エイチームやそのグループ会社であるエイチームライフデザイン、エイチームエンターテインメント、エイチームウェルネス、エイチームコマーステックのサービスを利用した人、契約や取引があった法人顧客、メールでのやりとりがあった法人顧客、過去に採用選考に応募した採用候補者、インターンシップに参加した学生、退職者含む従業員の氏名、メールアドレス、電話番号など。内訳は下記画像の通
2023年11月29日、今年夏ころに宇宙航空研究開発機構に対し不正アクセスが行われていたとして複数の報道機関が報じました。また2024年6月21日には、2023年の不正アクセス事案の詳細や2024年以降も不正アクセスが発生していたことが報じられました。ここでは関連する情報をまとめます。 ネットワーク機器の脆弱性を悪用しクラウドまで一連の攻撃か 宇宙航空研究開発機構(JAXA)で不正アクセスが確認されたのは調布航空宇宙センターのネットワークや事務処理に用いられる端末が接続されたネットワーク(JAXAnet)、そして同機構が利用しているクラウドサービス(Microsoft 365)で、JAXAnetにおいては管理(アクティブディレクトリ)サーバーも被害にあったと報じられている。攻撃者は外部からネットワークにアクセスし、内部の情報を閲覧ないしは窃取していた可能性がある。*1 *2 JAXAは20
中古車販売などを手がけるビッグモーター(東京都多摩市)は10月30日、自社Webサイトが第三者による不正アクセスを受け、「お問い合わせフォーム」から同社に連絡していた顧客の個人情報の一部が漏えいした可能性があると発表した。クレジットカード情報などは含まれていない。 同社によると、今年8月18日にWebサイトへの不正アクセスの痕跡を確認。該当するサーバーには、2016年11月から23年8月までにお問い合わせフォームを利用した人の住所、氏名、電話番号、メールアドレスなどの情報が含まれていた。クレカ情報やマイナンバー情報は収集していなかった。 ビッグモーターは不正アクセスを確認後、フォームを含むWebサイトの一部を停止。外部の専門家を交え、保管していた全ての個人情報を削除した。また個人情報保護委員会への報告や警察への相談も行ったという。 ビッグモーターは、「事態を重く受け止め、外部専門家の助言も
2023年9月28日、警視庁は双日の元従業員の男が前職の兼松から営業機密を不正に持ち出したとして不正競争防止法違反の容疑で逮捕したと発表しました。ここでは関連する情報をまとめます。 元同僚から認証情報を聞き出し不正入手か 不正競争防止法違反’(管理侵害行為)の容疑で逮捕されたのは双日元従業員の男。2022年7月16日21時から17日1時5分頃、自宅のPCから男の前職である兼松のデータベースに元同僚の認証情報を使用してログインし、一部の社員しかアクセスのできない3点の営業秘密情報(海外の自動車メーカーとの取引台帳、自動車新製品開発に関連する提案書、採算表)をダウンロードしPCに保存した疑い。男は容疑を否認している。*1 *2 *3 男は前職の兼松で自動車部品の取引部門に所属。転職先の双日でも自動車関連の担当をしていたが、完成車の担当となる取引が多かったことから前職との業務内容は重複していなか
LINEヤフーは11月27日、委託先企業への第三者による不正アクセスにより、ユーザー情報、取引先情報、従業員などに関する情報漏えいが判明したと発表した。該当情報は合計で最大約44万件に上る。 漏えいのうち最大30万2569件が「ユーザーに関する利用情報」。そのうちLINE IDとは別に、内部でユーザーを識別する文字列にひも付く、サービス利用履歴などが4万9751件。メッセージなど特定の人とのやり取りに関するような通信の秘密に該当する情報が2万2239件。日本に限ると漏えいしたユーザー利用情報は最大12万9894件で、ユーザー識別子にひも付くサービス利用履歴が1万5454件、通信の秘密に該当する情報が8981件。 なお、口座情報やクレジットカード情報、LINEアプリにおけるトーク内容は含まれないとしている。 取引先に関する個人情報は最大8万6105件が該当。そのうち、取引先などの従業員の氏名
位置情報アプリ「NauNau」で漏えいか、200万人以上のチャット履歴などが外部から丸見えだった可能性 提供元「確認中」
位置情報アプリ「NauNau」で漏えいか、200万人以上のチャット履歴などが外部から丸見えだった可能性 提供元「確認中」 スマートフォン向けゲーム事業を手掛けるモバイルファクトリー(東京都品川区)は10月23日、子会社のSuishow(同渋谷区)が手掛ける位置情報アプリ「NauNau」について、少なくとも200万人以上のユーザーの位置情報やチャット履歴が外部から閲覧できた可能性があるとして、詳細を調査中と発表した。NHKが21日に問題を報じたことを受けての発表で、2社は現在「報道内容について、事実確認を行っている」という。 NauNauは、位置情報や歩数などを友人同士で共有できるアプリ(iOS/Android)。リリースは2022年10月で、23年2月にサービスを終了した位置情報アプリ「zenly」の代替として、若年層を中心にユーザーを獲得している。 NHKの報道によれば、NauNauは「
山田養蜂場は10月19日、NTT西日本子会社のNTTマーケティングアクトProCX(大阪市)で発生した情報の不正持ち出しの影響で、顧客情報約400万件が漏えいした可能性があると発表した。 顧客の氏名、住所、電話番号、生年月日、性別が不正に持ち出された可能性がある。クレジットカードやマイナンバーの情報は含まない。NTTマーケティングアクトProCXからは「2016年2月~23年1月の期間に約400万件の漏えいと報告を受けた」といい、現在詳細を確認中としている。 NTTマーケティングアクトProCXは17日、コールセンター用システムの運用保守を依頼していたNTTビジネスソリューションズ(同)の元派遣社員が、クライアントから預かっていた顧客情報900万件を不正に持ち出していたと発表。これにより、NTTドコモなどのグループ企業やWOWOW、福岡県といった自治体の情報にも影響が出たことが分かっている
2023年11月22日、J:COMは同社のサービスであるメッシュWi-Fiのアプリ一部利用者および同社からメッシュWi-Fiサービスの提供を受けているケーブルテレビ会社の一部の利用者の情報が不正アクセスにより外部に流出したと公表しました。ここでは関連する情報をまとめます。 米国企業への不正アクセスが発端 不正アクセスはJ:COMに直接行われたのではなく、同社へメッシュWi-Fiサービスの提供を行っていたPlume Designが被害にあったことを発端とするもの。*1 Plume社は米国カリフォルニアに本社を置くスマートWifiなど、45か国以上でSaaS型ビジネスを行っている企業。Plume社が運用していたモバイルアプリのアクセスログサーバーに対して不正アクセスが行われ、サーバー上からJ:COM、ケーブルテレビ事業者の一部の顧客含む情報が外部に流出した。サービス提供にあたり、J:COMはカ
中国政府と関係のあるサイバー犯罪グループが、2年以上にわたってオランダの半導体企業であるNXPのネットワークにアクセスしてデータを盗み出していたことが判明したと、オランダのニュースメディアであるNRCが報じています。サイバー犯罪グループは、従業員のアカウントを通じてNRCのシステムにアクセスしていました。 Chinese hackers hadden ruim twee jaar onopgemerkt toegang tot netwerk NXP - NRC https://www.nrc.nl/nieuws/2023/11/25/chipindustrie-chinese-hackers-hadden-ruim-twee-jaar-onopgemerkt-toegang-tot-netwerk-nxp-a4182246 Chinese hackers steal chip desig
サポートケース管理システムへの不正アクセスから派生して行われたサイバー攻撃についてまとめてみた - piyolog
2023年10月23日、Oktaは自社のサポートケース管理システムへ不正アクセスがあり、一部のOktaのユーザー企業がアップロードしたファイルを閲覧されたと公表しました。窃取されたファイルには認証情報などが含まれる場合があり、このファイルを悪用したとみられる活動を検知したとBeyondTrust、Cloudflare、1Passwordがそれぞれ対応などを公開しています。ここではこれら関連する情報をまとめます。 サポートシステムから顧客の認証情報を窃取 Oktaが不正アクセスの被害にあったのはサポートケース管理システム。攻撃者は不正アクセス後に特定のOktaユーザー企業がサポートシステム上にアップロードされたHARファイルを窃取していたとみられる。 Oktaはサポートケース管理システムへの不正アクセスに際し、システム自体に保存されている認証情報が悪用されたと説明。サービスアカウントはサポー
世界有数の自動車メーカーであるトヨタグループの金融事業を統括するトヨタファイナンシャルサービスが、ランサムウェアグループ「Medusa」による攻撃を受け、ヨーロッパとアフリカの一部のシステムで不正アクセスが検出されたことを認めました。日本の組織や企業がランサムウェア攻撃を受ける事例は増えつつあります。 Toyota confirms breach after Medusa ransomware threatens to leak data https://www.bleepingcomputer.com/news/security/toyota-confirms-breach-after-medusa-ransomware-threatens-to-leak-data/ Toyota recovering from cyberattack on its financial services
「Alphv」あるいは「BlackCat」という名前で知られるランサムウェアグループが、金融機関・消費者向けのデータ企業であるMeridianLinkの顧客データと運用情報を盗み出し、身代金を要求しました。さらに、MeridianLinkがランサムウェアにデータを乗っ取られた事実を公表しなかったとして、アメリカ証券取引委員会(SEC)に苦情を申し立てました。 Ransomware Group Files SEC Complaint Over Victim's Failure to Disclose Data Breach - SecurityWeek https://www.securityweek.com/ransomware-group-files-sec-complaint-over-victims-failure-to-disclose-data-breach/ AlphV fil
AIトレーニングとデータ漏えいリスク 生産性改善やコスト削減の可能性を裏付ける調査は多数発表されており、企業における生成AI活用機運は拡大の一途だ。 しかし、生成AIに関するリスク懸念が完全に払拭された訳ではなく、生成AIを活用する上でのリスクを下げるための取り組みを模索する動きも活発化しつつある。たとえば、生成AIが嘘をつく「ハルシネーション」問題に対しては、RAG(Retrieval Augmented Generation)アプローチを用いるなどの対策が講じられている。 企業が懸念する主要リスクの1つとなるのが「データ漏えい」だ。生成AIに機密情報を入力してしまうと、その情報がAIのトレーニングに利用され、他のユーザーが利用した際のアウトプットとして生成される可能性がある。 ChatGPTが登場した当初、いくつかの企業で社内におけるChatGPT利用を禁止する動きがあったが、その主な
パスワード管理ツールを手掛けるカナダの1Passwordは10月23日(現地時間)、自社の従業員向けアプリの管理に使っている米Oktaのツールで不審なアクティビティが検出されたが、ユーザーデータやその他の機密システムが侵害されていないと判明したと発表した。 Oktaは20日、サイバー攻撃者が盗んだ認証情報を使ってサポートケース管理システムに侵入したと発表している。 1Passwordは23日に公開した報告書(PDF)で、攻撃者は盗んだセッションcookieを使ってOktaテナントに侵入したとしている。攻撃者は管理者アカウントを侵害し、認証フローを操作し、組織内のユーザーになりすますためのセカンダリIDプロバイダーを確立しようとしたことが確認されたという。 1Passwordは9月29日にこの侵害を検知し、Oktaと協力して侵害の特定に努め、10月20日に確認した。その後、従業員の資格情報を
カシオ計算機は10月18日、教育アプリ「ClassPad.net」ユーザーの個人情報12万件超が漏えいした可能性があると発表した。開発環境のデータベースが「システムの誤操作、及び、不十分な運用管理により、ネットワークセキュリティ設定の一部が解除状態だった」(同社)ことから、不正アクセスを受けたという。 ClassPad.netは学生だけでなく学校教員も使える点が特徴のPC・スマートフォン・タブレット端末向け教育アプリ。教材を使った勉強に使える他、教員は複数の学生の回答を一覧で確認できる。漏えいした可能性があるのは、ユーザーの氏名、メールアドレス、学校名、学年、学級名、出席番号、注文明細、決済手段、サービスの利用履歴やニックネームなど12万6970件。このうち9万1921件は国内の個人もしくは1108の教育機関のもので、残り3万5049件は海外ユーザーの情報という。いずれもクレジットカード情
【セキュリティ ニュース】戸籍情報に不正アクセスして家系図作成、職員を処分 - 阿蘇市(1ページ目 / 全2ページ):Security NEXT
熊本県阿蘇市は、他職員のIDを利用して戸籍総合システムに不正アクセスし、戸籍情報を閲覧して家系図を作成した職員に対し、懲戒処分を行った。 同市によれば、以前部下だった他職員より聞き出したログインIDやパスワードを使用し、6月下旬より戸籍総合システムに不正アクセスを行っていたもの。 職員がアクセスする権限を持っていないにもかかわらず、支所内の戸籍総合システムの専用端末が置かれた席に座っていたことから他職員が不審に思い、問題が発覚した。 93回にわたり戸籍情報を閲覧し、戸籍情報の帳票を35部を出力。窓口で相談を受けた住民や、自身の親族に関する家系図など2件を作成していた。 同職員は、以前に市民課戸籍係長を務めた経験があり、戸籍制度全般についての知識があり、戸籍の不正な閲覧や取得が問題ある行為であることを認識していたという。
11月7日に開かれたNTTの2023年度第2四半期決算会見では、NTT西日本グループ企業で発生した情報漏えいに関する質問が記者から飛び出した。これに対し同社の島田社長は「誠に申し訳ない」と謝罪。社内で定められた情報管理に関するルールの再確認と恒久的な対策の実施を明言した。 この漏えい問題はNTTマーケティングアクトProCXが発表したもので、コールセンター用システムの運用保守を依頼していたNTTビジネスソリューションズの元派遣社員が、クライアントから預かっていた顧客情報900万件を不正に持ち出していたとされている。これにより、NTTドコモなどのグループ企業やWOWOW、福岡県といった自治体の情報にも影響が出たことが分かっている。 テレマーケティング業務を委託されたNTTマーケティングアクトProCXは、NTTビジネスソリューションズ(NTT BS)のコールセンターシステムを利用。情報漏えい
Microsoftのソースコードと内部システムにロシア政府系ハッカー「Midnight Blizzard」がアクセスしていたことが判明
Microsoftは2024年1月に、NOBELIUMやCozy Bear、APT29などとしても知られるロシアの国家支援を受けたハッカー集団「Midnight Blizzard」からハッキングを受けたことを発表しました。さらに、Microsoftは3月8日の続報で、Midnight Blizzardがハッキングで得た情報を利用して自社のネットワークに侵入し、ソースコードや内部システムを侵害したことを報告しました。 Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard | MSRC Blog | Microsoft Security Response Center https://msrc.microsoft.com/blog/2024/03/update-on-micros
遺伝子検査ツールの23andMeがハッキング被害に遭い、約690万人分の顧客の遺伝的データやプロフィール情報が漏えいした問題で、23andMeはハッキング被害を受けた顧客が23andMeに対して集団訴訟を起こすことができないように利用規約を変更しました。 Legal - Terms of Service - 23andMe International https://www.23andme.com/en-int/legal/terms-of-service/ 23andMe frantically changed its terms of service to prevent hacked customers from suing https://www.engadget.com/23andme-frantically-changed-its-terms-of-service-to-pre
マイナビは10月25日、就職情報サイト「マイナビ」の応募者管理システム「MIWS」で、企業が応募者データのCSVをダウンロードする際に、別の企業の応募者データが取得される問題が発生していたと発表した。 「マイナビ2023」「マイナビ2024」「マイナビ2025」登録ユーザーの一部・計1662人の氏名やメールアドレスなどのデータが、本来取得できなかったはずの計15社に漏れていたという。 問題が起きていたのは、2022年2月17日から2023年9月13日の約1年半。漏えいしたデータは氏名、メールアドレス、住所、電話番号、所属学校などで、取得時に企業が指定したデータ形式によって項目が異なる。 企業が応募者データをCSV形式でダウンロードする際、システムがテンポラリデータ(一時的保存ファイル)を作成した後、CSVファイルを生成する仕様になっていたが、処理中にミドルウェア障害などが発生し、他社のCS
2023年9月25日、RansomedVCと呼ばれるランサムウェア集団がソニーのデータを盗んだと主張していることが確認されました。RansomedVCは「ソニーのあらゆるシステムをハッキングした」と強調してデータを販売すると述べていますが、この件に関してソニーが調査に乗り出したことが明らかになりました。 Sony investigates cyberattack as hackers fight over who's responsible https://www.bleepingcomputer.com/news/security/sony-investigates-cyberattack-as-hackers-fight-over-whos-responsible/ Sony Investigating After Hackers Offer to Sell Stolen Data -
漏えいした可能性があるのは、社員やグループ社員、退職者などの氏名、社員番号、所属していた社名、部署、役職名、メールアドレス、ハッシュ化されたパスワード。取材に関連する情報は含まれておらず、漏えいした可能性がある情報の悪用も同日時点では確認していないという。個人情報保護委員会への報告はすでに済ませた。 共同通信は7月22日にサーバの不審な動作を検知しており、外部の専門業者と協力の上、詳細を調査していたという。調査の結果、個人情報が漏えいした明確な証拠は見つからなかったものの、逆に漏えいの可能性を完全に否定することもできないことから、今回の発表に至ったとしている。 関連記事 東京海上日動、メール1300件超が漏えいの可能性 富士通の法人向けネットワークで起きた不正通信で 東京海上日動火災保険と東京海上日動あんしん生命保険が、メール1300件以上が外部に漏えいした可能性があると発表した。原因は富
セイコーグループ社は10月25日、8月に発表したランサムウェア攻撃の被害によって、グループ企業で管理していた個人情報など約6万件が漏えいしたことが分かったと発表した。同社は8月にランサムウェア攻撃を受けたことを公表。情報漏えいの事実を確認したとし、影響範囲の調査を進めていた。 漏えいしたのは、(1)セイコーウオッチ(東京都中央区)の顧客の氏名、住所、電話番号など、(2)セイコーウォッチや電子部品の製造販売を手掛けるセイコーインスツル(千葉市)の取引先担当者の氏名、社名、役職名など、(3)セイコーグループ社やセイコーウオッチの採用志望者の氏名、住所、学歴など、(4)セイコーグループ社やセイコーグループの従業員や退職者の氏名、人事情報など。 警察や個人情報保護委員会への報告も完了した。同社は再発防止策として、サーバや端末の挙動を監視し、不審な動きがあれば通知する「EDR」(Endpoint D
米Oktaは11月28日(現地時間)、10月に発生したネットワーク侵入について、ハッカーが顧客サポートシステムの全ユーザーに関する情報を盗んでいたことを発表した。 サンフランシスコに拠点を置く同社は顧客に対し、顧客サポートシステムを使用する全顧客の名前やメールアドレスを含むレポートを、ハッカーがダウンロードしていたと知らせた。 Oktaの株価は10月に急落した。ハッカーが侵入し、特定の顧客がアップロードしたファイルの閲覧を許したと発表したためだ。 Oktaは「情報が積極的に悪用されているという直接的な証拠はないが、フィッシングやソーシャルエンジニアリングのリスクが高まっていることを全顧客に通知している」と述べた。 Oktaは、米Microsoftが支援するOpenAIなどに、オンラインアプリケーションやWebサイトのログインを安全にするためのシングルサインオンや多要素認証といったサービスを
豊田通商インシュアランスマネジメント傘下、豊田通商インシュアランス・ブローカー・インディア(TTIBI)のMicrosoftアカウントのログイン情報が漏れ、同アカウントから送信されたメールが閲覧できる状態にあったことが報告されました。 Hacking into a Toyota/Eicher Motors insurance company by exploiting their premium calculator website https://eaton-works.com/2024/01/17/ttibi-email-hack/ この問題を報告したのはセキュリティ研究者のEaton Zveare氏。同氏によると、TTIBIのサブドメインにあるアイシャー・モーターズの保険料計算ウェブサイトを通じ、Microsoftアカウントの認証情報が漏れ出たとのこと。 Zveare氏がこの情報を元
NTT西日本の子会社で働いていた元派遣社員が約900万件の顧客情報を不正流出させた問題で、NTT側が2022年4月、業務委託元の企業から顧客情報が漏えいした可能性を指摘されながら、約3カ月後に社内調査に基づき「漏えいはない」と回答していたことが10月21日、分かった。NTT側は漏洩を見逃した上に対策を取らず、23年に入るまで流出を許していた。NTT側は社内調査が適正だったか検証する。 NTT西グループの流出としては最大規模。NTT西の森林正彰社長は20日、「私にも責任はある」と謝罪した。コールセンター業務を委託していた山田養蜂場(岡山県鏡野町)は約400万件の漏えい可能性を公表。岡山県警が不正競争防止法違反の疑いも視野に捜査している。被害は森永乳業やWOWOWなど企業のほか、福岡県といった自治体を含む59社・団体に及ぶ恐れがある。 山田養蜂場によると、22年1~3月、顧客から「他社から勧誘
米遺伝子検査企業の23andMeは12月4日(現地時間)、同社のサービスを利用した690万人の個人情報が10月に盗まれていたと、米TechCrunchなど複数の米メディアに認めた。 同社は10月に公式ブログで、サイバー攻撃に遭い、顧客プロフィール情報が漏えいしたことを発表していたが、対象となった顧客の人数などは公表していなかった。 10月初旬には、ハッキングフォーラムBreachForumsに23andMeユーザーのDNA情報を盗んだという投稿があった。その証拠として、ユダヤ系ユーザー100万人と中国人ユーザー10万人の情報とされるデータを公開した。 盗まれたデータには、氏名、誕生年、関係ラベル、親族と共有されているDNAの割合、祖先報告、自己報告された場所が含まれていたが、クレジットカード番号などはなかった。 同社は米証券取引委員会(SEC)に提出した文書で、23andMeのWebサイト
東京大学教養学部と同大学院総合文化研究科は10月24日、職員や学生の個人情報など4000件超が漏えいした可能性があると発表した。教員のPCが標的型攻撃メールによってマルウェアに感染したという。 漏えいした可能性があるのは、教職員、学生、卒業生などの氏名、学年、学生証番号、生年月日、住所、電話番号、メールアドレス、学歴、職歴など2409件、PCの持ち主が在籍する学会の会員や学会が主催したイベント参加者の氏名、生年月日、性別、住所など1082件など。 他にも、PCの持ち主が非常勤講師として他大学で実施した授業の受講者情報(氏名、学生証番号、住所、メールアドレスなど)796件に加え、過去に在籍した学生の成績や試験問題24件、東京大学教養学部もしくは同大学院総合文化研究科に所属する教員の評価30件が漏えいした可能性がある。 PCは教員が在宅勤務時に使っていたもので、すでにネットワークからは隔離済み
名古屋港をハッキングしたとみられる「LockBit」が今度はボーイングをハッキングし50GB分のデータを流出させたと発表
2023年10月にボーイングをハッキングしたランサムウェア集団「LockBit」が、ボーイングからの身代金支払いがなかったとして約50GB分の機密データをオンラインフォーラムで公開しました。 LockBit leaks Boeing files after failed ransom negotiations • The Register https://www.theregister.com/2023/11/10/lockbit_leaks_boeing_files/ Boeing breach: LockBit leaks 50 GB of data | Cybernews https://cybernews.com/news/boeing-data-leak-lockbit-ransomware/ 2023年10月28日、航空宇宙機器開発のボーイングがLockBitにハッキングを受け
「ETC利用照会サービス」が不正ログイン被害、海外 IP アドレスから大量のアクセス | ScanNetSecurity
東日本高速道路株式会社、中日本高速道路株式会社、西日本高速道路株式会社、首都高速道路株式会社、阪神高速道路株式会社、本州四国連絡高速道路株式会社は10月4日、6社が運営する「ETC利用照会サービス」への不正ログイン被害について発表した。 これは9月30日から10月2日にかけて、海外のIPアドレスから同サービスに大量の不正アクセスがあり、その一部アクセスでIDとパスワードが一致したためログインされ、顧客の個人情報が閲覧された可能性が判明したというもの。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog
“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
独自の製造技術情報を中国企業へ提供したとみられる事案についてまとめてみた - piyolog
偽の講演依頼を通じて東京大学教員が被害にあった標的型攻撃についてまとめてみた - piyolog
カシオ計算機のICT教育アプリ開発環境に対する不正アクセスについてまとめてみた - piyolog
「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害
JAXAへの不正アクセスについてまとめてみた - piyolog
ビッグモーターに不正アクセス、個人情報漏えいか フォームからの問い合わせ、約7年分
前職のデータベースに週末アクセス繰り返し不正発覚した事案についてまとめてみた - piyolog
LINEヤフーで不正アクセス、約44万件の利用情報などが漏えい 委託先PCがマルウェア感染
「ChatGPT」を含むOpenAIの認証情報が66万件以上流出など、ダークウェブで取引される認証情報についてカスペルスキーが調査
山田養蜂場でも情報漏えい、最大400万件か NTT西子会社の不正持ち出しで
J:COMのメッシュWi-Fiの情報流出についてまとめてみた - piyolog
中国のハッカーが大手半導体企業のネットワークに2年以上潜伏してチップ設計を盗み出すことに成功したと判明
トヨタがランサムウェアグループ「Medusa」の攻撃を受けデータ漏えいしたことを認める
企業のデータを盗んだサイバー犯罪集団が被害企業を「データの盗難を公表しなかった」と証券取引委員会に告発
ChatGPTの情報漏えいをどう防げばいいのか? 続々登場する新ソリューションの仕組み
1PasswordにOkta悪用のサイバー攻撃 「ユーザーデータなどは侵害されていない」
カシオの教育アプリに不正アクセス 個人情報など12万件超漏えいの可能性
USBメモリーは原則禁止→全面禁止に NTT西子会社の情報漏えいで、NTT島田社長が表明
ハッキング被害を受けた遺伝子検査ツールの23andMeが利用規約を突然更新、顧客による集団訴訟の提起を禁止
「マイナビ」で応募者の個人情報漏えい 別の企業の応募者データ取得できる状態、1年半にわたり
ハッキング疑惑を受けソニーが「調査を開始した」との声明を発表、「実は自分がやった」という別のハッカーが現れ状況は混迷
共同通信に不正アクセス 社員情報約4000人分が漏えいした可能性
セイコー、6万件の漏えい明らかに 8月発表のランサムウェア攻撃で
顧客サポートシステムに関する全ユーザーの情報が漏えいか Okta、10月のネットワーク侵入で
トヨタグループ傘下保険会社のMicrosoftアカウントが漏えい、約25GBのメールや顧客情報が閲覧可能に
NTT西系の情報流出 指摘後社内調査3カ月も「漏えいない」 委託元の指摘見逃し検証へ
23andMe、690万人のDNAデータを含む個人情報が盗まれたと認める
東大、個人情報など4000件超漏えいか 教員に標的型攻撃メール