2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。 短縮URLサービス中の広告表示を起因とした事案か いなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1 同社が公表した資料中
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1
ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ
ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Xが運営するECサイト(本件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、本件サイトにおけるクレジットカード決済機能を停止した(本件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Xは、本件サイトを、Yとの間で締結した請負契約(本件請負契約)に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理
マルチテナントの実現におけるDB設計とRLS / Utilizing RSL in multi-tenancy
# 実装の参考資料 - https://soudai.hatenablog.com/entry/2022/11/11/110825 # 類似の登壇内容の動画 - https://www.youtube.com/watch?v=PXy6I-AeI-I
2023年9月22日、津山市教育委員会は市内の公立中学校で教員が保管していたアカウント一覧表を不正に入手した生徒が他の生徒の授業用タブレットに不正アクセスを行っていた事案が発生したと発表しました。ここでは関連する情報をまとめます。 サポートのため教員が一覧表を教室へ持参 津山市公立中学校の生徒2名が不正に入手した生徒用Googleアカウント一覧表に記載された情報を元に、別の生徒8名のアカウント(授業用タブレット)に不正アクセスを行っていた。生徒らは授業に使用するタブレットに保存された動画(体育、音楽の授業の様子を撮影したもの)の閲覧やダウンロードを行ったり、タブレットのホーム画面の壁紙変更を行ったりしていた。*1 不正閲覧した生徒は、興味本位やからかい目的で行ったと学校の聞き取りに答えている。 生徒用Googleアカウント一覧表は1クラス約30名分の情報を記載したもので教員が管理を行ってい
NISCと気象庁が使用していたメール関連機器へのサイバー攻撃についてまとめてみた - piyolog
2023年8月4日、内閣サイバーセキュリティセンター(NISC)と気象庁はそれぞれ電子メール関連のシステム・機器から不正通信の痕跡が確認され、メールデータの一部が外部に流出した可能性があると公表しました。ここでは関連する情報をまとめます。 政府組織に対しゼロデイ攻撃 NISCと気象庁及び気象研究所、国立科学博物館、教職員支援機構が各々運用を行っていた電子メール関連システム・機器に脆弱性が存在しており、その脆弱性に関連した不正通信が確認された。 今回確認された不正通信により、メールデータの一部が外部に流出した可能性がある。両組織ではメールアドレス等の個人情報が漏えいした可能性を排除できないとして個人情報保護委員会に報告した他、対象者にも個別に連絡を行う。公表時点では流出可能性のある情報の悪用は確認されていないが、NISCでは約5,000件の個人情報が対象に含まれており、流出可能性のある事案が
2023年10月5日、兵庫県警は日本山村硝子から営業秘密情報を持ち出したとして不正競争防止法違反の容疑で男女二人を逮捕しました。男は同社の元社員で不正に持ち出された情報は中国企業に流出した疑いがあるとも報じられています。ここでは関連する情報をまとめます。 妻の会社を通じて不正取得した情報を提供か 不正競争防止法違反(営業秘密侵害)の容疑で逮捕されたのは日本山村硝子の元社員であった男とその妻の二人で両者とも日本に帰化した元中国籍。2016年6月28日19時5分頃に会社の営業秘密に当たる情報(日本山村硝子が独自に開発した超軽量ガラス瓶の成形技術(二酸化炭素削減につながる)に関連するプログラム)を妻と共謀し外部に持ち出しした疑い。 男は前の話は覚えていない、妻は犯罪に関わることはしていないと二人とも容疑を否認している。*1 男は中国語に堪能であったことから2016年在職当時中国担当のチームに係長
HOYAがサイバー攻撃で3度目の被害、「犯人」はダークウェブで犯行を公表 | JBpress (ジェイビープレス)
今回は、コンタクトレンズなどを製造販売する光学機器大手HOYAが被害を受けたことが判明した。 「解析には相当の日数を要する見込み」 これを受け、同社は次のような声明を出している。 <2024年3月30日未明、海外の事業所においてシステム挙動に不審な点があったことから調査をしたところ、当社グループの国内外の事業所においてシステム障害が起きていることを確認しました。当社は障害が起きたサーバーの隔離などの対応を直ちに行うとともに関係当局へ報告しました。外部の専門家を交えた調査の結果によれば、本件は第三者による当社サーバーへの不正アクセスに起因する可能性が高いとみられています。 本件により現在、複数の製品について、生産工場内のシステムや受注システムが停止しています。当社では、在庫出荷等の業務については、マニュアルで対応するなど最大限、顧客の需要にお応えするべく務めております。なお、当社が保有する機
2023年10月24日、東京大学は教員が使用していたPCがマルウエアに感染し、PC上に保管されていた情報が外部に流出した可能性があると公表しました。ここでは関連する情報をまとめます。 教員が在宅勤務で使用していたPCで被害 被害に遭ったのは東京大学大学院総合文化研究科・教養学部の教員(教授)で、在宅勤務で使用していたPCがマルウエアに感染していた。*1 大学が被害を覚知したのは、「標的型攻撃メールの事案を調査していた専門機関」からの指摘を受けたため。感染判明後に端末の調査を指摘をした機関と別の専門機関で調査をしたところ、PC内部の情報を盗み取った痕跡が確認された。 偽の講演の日程調整をやり取りする中でマルウエア感染 やり取り型の標的型攻撃のメールを通じて教員が使用してたPCがマルウエアに感染した。実在する組織の担当者を騙る人物から講演依頼のメールを受信し、日程調整のために教員がやり取りして
2023年10月18日、カシオ計算機は、同社が運営するICT教育アプリ「ClassPad.net」のシステムが不正アクセスの被害にあい、国内外の登録者情報が流出したと公表し謝罪しました。ここでは関連する情報をまとめます。 不正アクセスにより国内1,100の教育機関に影響 不正アクセスを受けたのは、AWS上に構築されたClassPad.netの開発環境のデータベース。*1 開発環境上で同社の担当者が作業を行おうとした際に、データベース上で障害が発生していることに気づき、不正アクセスが判明。さらに調査を進める中で、海外在住者の個人情報が外部に流出している事実も翌日に判明した。なお、ClassPad.netのアプリは不正アクセスの影響を受けていない。 不正アクセスは開発環境のネットワークセキュリティ設定の一部が解除された状態であったことが原因で、所管する部門のシステム誤操作、不十分な運用管理に起
いなげやネットスーパーの入会案内に記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生した。 スーパーマーケットを展開するいなげやは11月9日、神奈川県の川崎土橋店と川崎下小田中店で、ネットスーパーの入会案内ポスター/チラシに記載したQRコードが、予定していない不正サイトにアクセスする事象が発生し、一部の顧客のクレジットカード情報が抜き取られる被害が発生したと発表した。 問題は、10月27日~11月9日に発生。QRコードからサイトにアクセスした際、「netsuper.rakuten.co.jp」という文字と「OK」ボタンを含む画面や、「モバイルアクティベーション」と書かれた画面などが表示された場合は「予定した入会サイトではない」としてすぐに閉じよう案内している。 心当たりのあるユーザーにはクレジットカード会社に連
2023年8月28日、日本国内に設置されている通信機器(ルーター)のログイン画面が改ざんされたみられる事案が発生しました。通信機器の脆弱性を悪用した攻撃を受けたものとみられ、既に攻撃に必要な情報もSNS上で出回っており、開発元やセキュリティ機関が利用者に対し至急の対応を呼びかけています。ここでは関連する情報をまとめます。 改ざんされたままとみられる機器多数 改ざんされた画面は黒地の背景に変更され、赤文字で攻撃者による主張文とみられる文字列 *1が埋め込まれたものが確認されている。被害機器のログイン画面には「SkyBridge」と記載されており、これはセイコーソリューションズ製のLTE対応ルーターSkyBridgeとみられる。 同様の改ざん被害にあった端末の件数は約1500台と報じられている *2 他、Shodanで確認できるものは8月31日時点でも約400台。 改ざんされたとみられる機器の
エイチーム、Googleドライブで設定ミス 約94万人分の情報が「リンクを知っていれば誰でも閲覧できる状態」に
エイチーム、Googleドライブで設定ミス 約94万人分の情報が「リンクを知っていれば誰でも閲覧できる状態」に エイチームは12月21日、7日に発表した個人情報漏えいの可能性について、詳細な調査の結果を公開した。オンラインストレージ「Googleドライブ」の情報公開設定にミスがあり、顧客や取引先、退職者など93万5779人の情報を含むファイル1369件が、リンクを知っていれば誰でも閲覧できる状態だったという。 閲覧可能だったのは、エイチームやそのグループ会社であるエイチームライフデザイン、エイチームエンターテインメント、エイチームウェルネス、エイチームコマーステックのサービスを利用した人、契約や取引があった法人顧客、メールでのやりとりがあった法人顧客、過去に採用選考に応募した採用候補者、インターンシップに参加した学生、退職者含む従業員の氏名、メールアドレス、電話番号など。内訳は下記画像の通
2023年11月29日、今年夏ころに宇宙航空研究開発機構に対し不正アクセスが行われていたとして複数の報道機関が報じました。ここでは関連する情報をまとめます。 ネットワーク機器の脆弱性を悪用し攻撃か 宇宙航空研究開発機構(JAXA)で不正アクセスが確認されたのは一般業務用のイントラネットワークの管理(アクティブディレクトリ)サーバーで、外部から機構内ネットワークにアクセスされていた可能性がある。*1 JAXAはWebサイト等で不正アクセスの事実について公表を行っていないが、11月29日の参議院文教科学委員会でJAXA理事長が攻撃は事実と発言した。*2 被害にあったサーバーには役職員や派遣社員5,000件余りがサーバー上に保管されていたため、これら個人情報などが外部へ流出した可能性があるが、*3 情報流出の有無については調査中としている。また、ロケットや人工衛星の運用にかかる情報など機密性の高
内閣サイバーセキュリティセンター(NISC)は8月4日、電子メールシステムに不正通信があり、個人情報を含むメールデータが漏えいした可能性があるとして謝罪した。悪用の事実は確認されていない。 漏えいした可能性がある情報は2022年10月から23年6月の間に送受信したメールデータの一部。原因は電子メール関連システムの機器にあった未知の脆弱性としている。 問題が発覚したのは6月13日。メール関連システムに不正通信があった痕跡を発見し、翌日にはシステムの運用を停止。原因と思われる機器の交換などの対策をとった。 NISCは「引き続きセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層の状況把握に努めてまいります」としている。 関連記事 NISC、サイバー攻撃対応の訓練情報が流出 富士通ツールへの不正アクセスで 内閣サイバーセキュリティセンター(NISC)は、同センター
2023年9月15日、警視庁は転職先へ前職の名刺管理システムから取引先などの情報提供を行っていたとして不正アクセス禁止法違反などの容疑で男を逮捕したと発表しました。ここでは関連する情報をまとめます。 個人情報の不正提供容疑で摘発 警視庁は男を不正アクセス禁止法違反、個人情報保護違反の容疑で逮捕。個人情報保護法第179条の個人情報データベース等の不正提供等での摘発は全国で初めて。 東京都千代田区の建設技術者の派遣会社が使用していた名刺管理システム「Sansan」において、男の同僚だった社員のID、パスワードを転職予定の別の人材派遣会社のグループ会社社員へ送信し、2021年6月から2022年9月の8回にかけて名刺情報などのデータベースを閲覧するために不正アクセスしたなどの疑い。*1 *2 *3 男は「転職先での営業活動に使用できると思った」と供述し、容疑を認めている。*4 名刺管理システムには
「ずさんなセキュリティ」「無責任」──不正アクセス巡り、米Microsoftへの批判噴出:この頃、セキュリティ界隈で Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、不正アクセスの被害に遭っていたことが分かった。ハッカー集団はクラウドサービスにアクセスするための暗号鍵を入手し、Microsoftのシステムの脆弱性を悪用していたとされ、Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。 米政府機関など約25の組織の電子メールに対する不正アクセスについて、Microsoftが明らかにしたのは7月11日だった。電子メールサービス「Exchange Online」のデータに対する不審なアクセスについて6月16日に顧客から連絡があり、調べた結果、中国のスパイ活動を目的とする組織「Storm-0558」が5月15
中古車販売などを手がけるビッグモーター(東京都多摩市)は10月30日、自社Webサイトが第三者による不正アクセスを受け、「お問い合わせフォーム」から同社に連絡していた顧客の個人情報の一部が漏えいした可能性があると発表した。クレジットカード情報などは含まれていない。 同社によると、今年8月18日にWebサイトへの不正アクセスの痕跡を確認。該当するサーバーには、2016年11月から23年8月までにお問い合わせフォームを利用した人の住所、氏名、電話番号、メールアドレスなどの情報が含まれていた。クレカ情報やマイナンバー情報は収集していなかった。 ビッグモーターは不正アクセスを確認後、フォームを含むWebサイトの一部を停止。外部の専門家を交え、保管していた全ての個人情報を削除した。また個人情報保護委員会への報告や警察への相談も行ったという。 ビッグモーターは、「事態を重く受け止め、外部専門家の助言も
2023年9月28日、警視庁は双日の元従業員の男が前職の兼松から営業機密を不正に持ち出したとして不正競争防止法違反の容疑で逮捕したと発表しました。ここでは関連する情報をまとめます。 元同僚から認証情報を聞き出し不正入手か 不正競争防止法違反’(管理侵害行為)の容疑で逮捕されたのは双日元従業員の男。2022年7月16日21時から17日1時5分頃、自宅のPCから男の前職である兼松のデータベースに元同僚の認証情報を使用してログインし、一部の社員しかアクセスのできない3点の営業秘密情報(海外の自動車メーカーとの取引台帳、自動車新製品開発に関連する提案書、採算表)をダウンロードしPCに保存した疑い。男は容疑を否認している。*1 *2 *3 男は前職の兼松で自動車部品の取引部門に所属。転職先の双日でも自動車関連の担当をしていたが、完成車の担当となる取引が多かったことから前職との業務内容は重複していなか
LINEヤフーは11月27日、委託先企業への第三者による不正アクセスにより、ユーザー情報、取引先情報、従業員などに関する情報漏えいが判明したと発表した。該当情報は合計で最大約44万件に上る。 漏えいのうち最大30万2569件が「ユーザーに関する利用情報」。そのうちLINE IDとは別に、内部でユーザーを識別する文字列にひも付く、サービス利用履歴などが4万9751件。メッセージなど特定の人とのやり取りに関するような通信の秘密に該当する情報が2万2239件。日本に限ると漏えいしたユーザー利用情報は最大12万9894件で、ユーザー識別子にひも付くサービス利用履歴が1万5454件、通信の秘密に該当する情報が8981件。 なお、口座情報やクレジットカード情報、LINEアプリにおけるトーク内容は含まれないとしている。 取引先に関する個人情報は最大8万6105件が該当。そのうち、取引先などの従業員の氏名
位置情報アプリ「NauNau」で漏えいか、200万人以上のチャット履歴などが外部から丸見えだった可能性 提供元「確認中」
位置情報アプリ「NauNau」で漏えいか、200万人以上のチャット履歴などが外部から丸見えだった可能性 提供元「確認中」 スマートフォン向けゲーム事業を手掛けるモバイルファクトリー(東京都品川区)は10月23日、子会社のSuishow(同渋谷区)が手掛ける位置情報アプリ「NauNau」について、少なくとも200万人以上のユーザーの位置情報やチャット履歴が外部から閲覧できた可能性があるとして、詳細を調査中と発表した。NHKが21日に問題を報じたことを受けての発表で、2社は現在「報道内容について、事実確認を行っている」という。 NauNauは、位置情報や歩数などを友人同士で共有できるアプリ(iOS/Android)。リリースは2022年10月で、23年2月にサービスを終了した位置情報アプリ「zenly」の代替として、若年層を中心にユーザーを獲得している。 NHKの報道によれば、NauNauは「
山田養蜂場は10月19日、NTT西日本子会社のNTTマーケティングアクトProCX(大阪市)で発生した情報の不正持ち出しの影響で、顧客情報約400万件が漏えいした可能性があると発表した。 顧客の氏名、住所、電話番号、生年月日、性別が不正に持ち出された可能性がある。クレジットカードやマイナンバーの情報は含まない。NTTマーケティングアクトProCXからは「2016年2月~23年1月の期間に約400万件の漏えいと報告を受けた」といい、現在詳細を確認中としている。 NTTマーケティングアクトProCXは17日、コールセンター用システムの運用保守を依頼していたNTTビジネスソリューションズ(同)の元派遣社員が、クライアントから預かっていた顧客情報900万件を不正に持ち出していたと発表。これにより、NTTドコモなどのグループ企業やWOWOW、福岡県といった自治体の情報にも影響が出たことが分かっている
2023年11月22日、J:COMは同社のサービスであるメッシュWi-Fiのアプリ一部利用者および同社からメッシュWi-Fiサービスの提供を受けているケーブルテレビ会社の一部の利用者の情報が不正アクセスにより外部に流出したと公表しました。ここでは関連する情報をまとめます。 米国企業への不正アクセスが発端 不正アクセスはJ:COMに直接行われたのではなく、同社へメッシュWi-Fiサービスの提供を行っていたPlume Designが被害にあったことを発端とするもの。*1 Plume社は米国カリフォルニアに本社を置くスマートWifiなど、45か国以上でSaaS型ビジネスを行っている企業。Plume社が運用していたモバイルアプリのアクセスログサーバーに対して不正アクセスが行われ、サーバー上からJ:COM、ケーブルテレビ事業者の一部の顧客含む情報が外部に流出した。サービス提供にあたり、J:COMはカ
中国政府と関係のあるサイバー犯罪グループが、2年以上にわたってオランダの半導体企業であるNXPのネットワークにアクセスしてデータを盗み出していたことが判明したと、オランダのニュースメディアであるNRCが報じています。サイバー犯罪グループは、従業員のアカウントを通じてNRCのシステムにアクセスしていました。 Chinese hackers hadden ruim twee jaar onopgemerkt toegang tot netwerk NXP - NRC https://www.nrc.nl/nieuws/2023/11/25/chipindustrie-chinese-hackers-hadden-ruim-twee-jaar-onopgemerkt-toegang-tot-netwerk-nxp-a4182246 Chinese hackers steal chip desig
サポートケース管理システムへの不正アクセスから派生して行われたサイバー攻撃についてまとめてみた - piyolog
2023年10月23日、Oktaは自社のサポートケース管理システムへ不正アクセスがあり、一部のOktaのユーザー企業がアップロードしたファイルを閲覧されたと公表しました。窃取されたファイルには認証情報などが含まれる場合があり、このファイルを悪用したとみられる活動を検知したとBeyondTrust、Cloudflare、1Passwordがそれぞれ対応などを公開しています。ここではこれら関連する情報をまとめます。 サポートシステムから顧客の認証情報を窃取 Oktaが不正アクセスの被害にあったのはサポートケース管理システム。攻撃者は不正アクセス後に特定のOktaユーザー企業がサポートシステム上にアップロードされたHARファイルを窃取していたとみられる。 Oktaはサポートケース管理システムへの不正アクセスに際し、システム自体に保存されている認証情報が悪用されたと説明。サービスアカウントはサポー
明海大学は8月23日、学生の個人情報が書かれた書類を遺失したと発表した。元パートタイマーの職員が個人情報を含む書類を無断で持ち帰り、“裏紙”として私的に利用。一部は保管していたが、それ以外は廃棄したり、飲食店で紛失していたりしたという。紛失した書類に含まれていた情報の一部は漏えいの可能性がある。 元パートタイマーが持ち帰った書類は、2011年当時に在籍してた学生20人の氏名、学部、学科、学生番号などが含まれる資料など100枚程度。 事態は18日に発覚した。元パートタイマーが紛失した書類を第三者が拾い、そのまま明海大学に郵送したことで明らかになったという。同学は漏えいした可能性がある情報の悪用は確認していないとしている。今後は情報管理を再徹底し、再発防止を目指すという。 関連記事 日本郵便、約21万人分の顧客情報を紛失 “紙多すぎ”で扱いきれず 日本郵便が、郵便局で取り扱った投資信託取引と国
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。 複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていった
MicrosoftのAI研究部門が2020年7月にオープンソースのAI学習モデルをGitHubのリポジトリに公開した際に38TBにおよぶ機密データを漏えいしていたことを、クラウドセキュリティ企業のWizが公表しました。機密データにはパスワードや秘密鍵、3万件を超えるMicrosoft Teamsの内部メッセージが含まれていました。 38TB of data accidentally exposed by Microsoft AI researchers | Wiz Blog https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers Microsoft mitigated exposure of internal information in a
なぜ被害公表時に原因を明示するのか/しないのか~個別被害公表と事案全体のコーディネーションの観点から~ - JPCERT/CC Eyes
はじめに 複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害公表がなされていますが、報道やSNS上では、どの製品の脆弱性が原因なのか明かされないことへの疑問などが指摘されています。悪用された脆弱性に関する情報の被害公表時の取り扱いは、サイバー攻撃被害に係る情報の共有・公表ガイダンス[1]検討会(事務局:NISC、警察庁、総務省、経済産業省、JPCERT/CC)で議論され、同ガイダンスにて示されています。あらためて、個別の被害公表時の扱い方と、複数組織がいる場合の全体のコーディネーションについて解説します。 ※なお、公表のあった事案の詳細は不明ですが、現時点において関連する被害公表がなされた事案について弊センターは関与していないため、本稿については個別のインシデント対応に係る守秘義務契約等になんら影響するものではない点を記しておきます。 原因となった製品の脆弱性に関
テスラの元従業員2人が、テスラの従業員7万5000人分の個人情報を含む機密情報をドイツのメディアに不正に引き渡したと、テスラが発表しました。 Office of the Maine AG: Consumer Protection: Privacy, Identity Theft and Data Security Breaches https://apps.web.maine.gov/online/aeviewer/ME/40/014ae6db-4cb7-464b-b827-5d73f0bbc911.shtml Tesla says data breach impacting 75,000 employees was an insider job | TechCrunch https://techcrunch.com/2023/08/21/tesla-breach-employee-ins
世界有数の自動車メーカーであるトヨタグループの金融事業を統括するトヨタファイナンシャルサービスが、ランサムウェアグループ「Medusa」による攻撃を受け、ヨーロッパとアフリカの一部のシステムで不正アクセスが検出されたことを認めました。日本の組織や企業がランサムウェア攻撃を受ける事例は増えつつあります。 Toyota confirms breach after Medusa ransomware threatens to leak data https://www.bleepingcomputer.com/news/security/toyota-confirms-breach-after-medusa-ransomware-threatens-to-leak-data/ Toyota recovering from cyberattack on its financial services
近年は多くの企業がデータの保管やサービスの提供にクラウドホスティングサービスを利用しており、「データはクラウドで保管しているから安心」と思っている管理者も多いはず。ところが、デンマークのクラウドホスティング企業であるCloudNordicは2023年8月、「ランサムウェアによってほぼすべての顧客のデータが暗号化され、アクセスできなくなってしまった」と報告しました。 CloudNordic Ransomware Angreb https://www.cloudnordic.com/ Ransomware infection wipes all CloudNordic servers • The Register https://www.theregister.com/2023/08/23/ransomware_wipes_cloudnordic/ Danish cloud host says
「Alphv」あるいは「BlackCat」という名前で知られるランサムウェアグループが、金融機関・消費者向けのデータ企業であるMeridianLinkの顧客データと運用情報を盗み出し、身代金を要求しました。さらに、MeridianLinkがランサムウェアにデータを乗っ取られた事実を公表しなかったとして、アメリカ証券取引委員会(SEC)に苦情を申し立てました。 Ransomware Group Files SEC Complaint Over Victim's Failure to Disclose Data Breach - SecurityWeek https://www.securityweek.com/ransomware-group-files-sec-complaint-over-victims-failure-to-disclose-data-breach/ AlphV fil
生成AIの利用が急増している。しかし、依然として生成AIに関する懸念はつきまとっており、生産性を改善しつつリスクをどう下げるのかが多くの企業のトピックとなっている。特に注目される「情報漏えい」をどう防ぐのか。続々と登場する新ソリューションを紹介しよう。 バークリー音大提携校で2年間ジャズ/音楽理論を学ぶ。その後、通訳・翻訳者を経て24歳で大学入学。学部では国際関係、修士では英大学院で経済・政治・哲学を専攻。国内コンサルティング会社、シンガポールの日系通信社を経てLivit参画。興味分野は、メディアテクノロジーの進化と社会変化。2014〜15年頃テックメディアの立ち上げにあたり、ドローンの可能性を模索。ドローンレース・ドバイ世界大会に選手として出場。現在、音楽制作ソフト、3Dソフト、ゲームエンジンを活用した「リアルタイム・プロダクション」の実験的取り組みでVRコンテンツを制作、英語圏の視聴者
パスワード管理ツールを手掛けるカナダの1Passwordは10月23日(現地時間)、自社の従業員向けアプリの管理に使っている米Oktaのツールで不審なアクティビティが検出されたが、ユーザーデータやその他の機密システムが侵害されていないと判明したと発表した。 Oktaは20日、サイバー攻撃者が盗んだ認証情報を使ってサポートケース管理システムに侵入したと発表している。 1Passwordは23日に公開した報告書(PDF)で、攻撃者は盗んだセッションcookieを使ってOktaテナントに侵入したとしている。攻撃者は管理者アカウントを侵害し、認証フローを操作し、組織内のユーザーになりすますためのセカンダリIDプロバイダーを確立しようとしたことが確認されたという。 1Passwordは9月29日にこの侵害を検知し、Oktaと協力して侵害の特定に努め、10月20日に確認した。その後、従業員の資格情報を
カシオ計算機は10月18日、教育アプリ「ClassPad.net」ユーザーの個人情報12万件超が漏えいした可能性があると発表した。開発環境のデータベースが「システムの誤操作、及び、不十分な運用管理により、ネットワークセキュリティ設定の一部が解除状態だった」(同社)ことから、不正アクセスを受けたという。 ClassPad.netは学生だけでなく学校教員も使える点が特徴のPC・スマートフォン・タブレット端末向け教育アプリ。教材を使った勉強に使える他、教員は複数の学生の回答を一覧で確認できる。漏えいした可能性があるのは、ユーザーの氏名、メールアドレス、学校名、学年、学級名、出席番号、注文明細、決済手段、サービスの利用履歴やニックネームなど12万6970件。このうち9万1921件は国内の個人もしくは1108の教育機関のもので、残り3万5049件は海外ユーザーの情報という。いずれもクレジットカード情
11月7日に開かれたNTTの2023年度第2四半期決算会見では、NTT西日本グループ企業で発生した情報漏えいに関する質問が記者から飛び出した。これに対し同社の島田社長は「誠に申し訳ない」と謝罪。社内で定められた情報管理に関するルールの再確認と恒久的な対策の実施を明言した。 この漏えい問題はNTTマーケティングアクトProCXが発表したもので、コールセンター用システムの運用保守を依頼していたNTTビジネスソリューションズの元派遣社員が、クライアントから預かっていた顧客情報900万件を不正に持ち出していたとされている。これにより、NTTドコモなどのグループ企業やWOWOW、福岡県といった自治体の情報にも影響が出たことが分かっている。 テレマーケティング業務を委託されたNTTマーケティングアクトProCXは、NTTビジネスソリューションズ(NTT BS)のコールセンターシステムを利用。情報漏えい
オーストラリアのサイバーセキュリティメディアであるCyber Security Connectが、ソニーの「あらゆるシステム」をハッキングしたというランサムウェアグループ「Ransomed.vc」の存在を指摘しています。 Ransomed.vc group claims hack on ‘all of Sony systems’ - Cyber Security Connect https://www.cybersecurityconnect.com.au/commercial/9600-ransomed-vc-group-claims-hack-on-all-of-sony-systems ‘All Of Sony Systems’ Allegedly Hacked By New Ransomware Group https://kotaku.com/sony-playstation-h
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog
“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
生徒用アカウント一覧表を盗み撮りして行われた不正アクセスについてまとめてみた - piyolog
独自の製造技術情報を中国企業へ提供したとみられる事案についてまとめてみた - piyolog
偽の講演依頼を通じて東京大学教員が被害にあった標的型攻撃についてまとめてみた - piyolog
カシオ計算機のICT教育アプリ開発環境に対する不正アクセスについてまとめてみた - piyolog
「いなげや」QRコードから不正サイトに誘導、カード情報抜き取られる被害
1500台被害と報じられた国内通信機器の改ざんについてまとめてみた - piyolog
JAXAへの不正アクセスについてまとめてみた - piyolog
内閣サイバーセキュリティセンターで情報漏えい 未知の脆弱性が原因
前職の名刺情報を転職先に不正提供した事案についてまとめてみた - piyolog
「ずさんなセキュリティ」「無責任」──不正アクセス巡り、米Microsoftへの批判噴出
ビッグモーターに不正アクセス、個人情報漏えいか フォームからの問い合わせ、約7年分
前職のデータベースに週末アクセス繰り返し不正発覚した事案についてまとめてみた - piyolog
「ChatGPT」を含むOpenAIの認証情報が66万件以上流出など、ダークウェブで取引される認証情報についてカスペルスキーが調査
LINEヤフーで不正アクセス、約44万件の利用情報などが漏えい 委託先PCがマルウェア感染
山田養蜂場でも情報漏えい、最大400万件か NTT西子会社の不正持ち出しで
J:COMのメッシュWi-Fiの情報流出についてまとめてみた - piyolog
中国のハッカーが大手半導体企業のネットワークに2年以上潜伏してチップ設計を盗み出すことに成功したと判明
パートが資料を持ち帰って裏紙に→実は個人情報 明海大学で漏えいの可能性
Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大したという話 | スラド IT
MicrosoftのAI研究部門がMicrosoft Azure経由で38TBもの内部機密データを漏えいしていたと判明
テスラから7万5000人分以上の個人情報が流出、テスラは元従業員2人の犯行と断定
トヨタがランサムウェアグループ「Medusa」の攻撃を受けデータ漏えいしたことを認める
「日本の重要インフラに影響を及ぼした」〜名古屋港へのランサムウェア攻撃をトレンドマイクロが解説
ランサムウェアの被害を受けたクラウドホスティングサービスが「ほぼすべてのデータ」を失ってしまったと報告
企業のデータを盗んだサイバー犯罪集団が被害企業を「データの盗難を公表しなかった」と証券取引委員会に告発
ChatGPTの情報漏えいをどう防げばいいのか? 続々登場する新ソリューションの仕組み
1PasswordにOkta悪用のサイバー攻撃 「ユーザーデータなどは侵害されていない」
カシオの教育アプリに不正アクセス 個人情報など12万件超漏えいの可能性
USBメモリーは原則禁止→全面禁止に NTT西子会社の情報漏えいで、NTT島田社長が表明
「ソニーのあらゆるシステムをハッキングした」とランサムウェアグループが主張