ウォンテッドリーは7月30日、ビジネスSNS「Wantedly」について、ユーザー約20万人の情報が漏えいしていた可能性があると発表した。同社は4月、アクセス設定の不備による情報漏えいの可能性を発表。その後リスク調査をしたところ、同様の問題がサービス内で10件見つかり、新たな漏えいの可能性が発覚したという。 調査により、2013年10月17日から24年6月10日にかけて、未公開か削除済みの人材募集記事19万4733件、もしくは企業の公式ページ2万4435件が、本来アクセス権限を持たない第三者に閲覧された可能性が発覚。これにより、それぞれのページに載っていたユーザーの氏名や所属企業、職種、プロフィール画像、自己紹介文など20万578人分が漏えいした可能性が明らかになったという。 期間中は人材募集記事や企業の公式ページに対し「公開範囲を超えてブックマークやフォロー、募集に対する応募が可能であり

セキュリティ企業米Cohesityの日本法人Cohesity Japanは7月30日、サイバー攻撃からの復旧に関するアンケート調査の結果を発表した。対象は企業のIT・セキュリティ責任者302人。身代金要求型攻撃を受けたとき、身代金を支払うか聞いたところ、79％が「データの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払う」と回答したという。 「支払わない」と答えたのは12％。残り9％は「身代金の金額によっては支払うかもしれない」と答えた。身代金を払うと答えた人に、支払う金額について聞いたところ、77％が「100万ドル（約1億5880万円）以上を支払ってもよい」、24％は「500万ドル（約7億7000万円）以上を支払ってもよい」と答えた。 さらに、過去1年間に身代金を支払ったことがあるか聞いたところ、70％が「支払ったことがある」と回答。具体的な金額を聞いたところ、36％が

2023年度に観測されたインシデントの状況から国内外の情報セキュリティ政策、対策強化や取り組みの動向などをまとめた。主なトピックは以下の通り。 国家の支援が疑われる攻撃者グループによるゼロデイ脆弱性を悪用した攻撃の観測を発表：2023年5月 ファイル転送ソフトウェアに対するゼロデイ攻撃により情報漏えいやランサムウェア被害が発生：2023年6月 名古屋港のコンテナターミナルで利用しているシステムがランサムウェア攻撃を受けて停止：2023年7月 「政府機関等のサイバーセキュリティ対策のための統一基準群」が全面改訂：2023年7月 福島第一原発処理水放出に関する偽・誤情報拡散：2023年8月 元派遣社員による顧客情報約928万件の不正持ち出しを大手通信会社グループ企業が公表：2023年10月 能登半島地震が発生、SNSで偽・誤情報拡散：2024年1月 NISTが「サイバーセキュリティフレームワー

7月23日、アイドルグループ「UNICODE」（ユニコード）の日本におけるデビューシングル「HELLO WORLD」が発売された。日本人女性5人で構成されたグループだが、全員が韓国語を話せるバイリンガルで、プロデュースの拠点も韓国であることからK-POPアイドルをうたう。一方、グループ名やデビューシングルのタイトルから、SNSではITエンジニアなどIT関心層から「検索しにくそう」とする声も出ている。 UNICODEは、韓国では4月にデビュー。グループのマネジメントに携わるENPASS（東京都品川区）によれば「グループ名の由来は『UNICODE』は『Unity』（統一性）と『Code』の合成語で、『彼女たちの音楽は全ての国で共用されるコードのように全世界で通じる』という意味が込められている」という。 ただし、グループ名は文字コードの標準規格「Unicode」と、デビューシングルのタイトルはプ

米セキュリティ企業のPhylumは7月3日（現地時間）、JavasScriptライブラリ「jQuery」の特定バージョンがトロイの木馬化され、GitHubなどで拡散していると警告した。 同社は5月26日、パッケージ管理システム「npm」でトロイの木馬化されたjQueryを確認。少なくとも1カ月にわたって、数十のパッケージで“汚染”されたバージョンが公開されているのを確かめた。さらに、GitHubやCDNサービス「jsDelivr」でも拡散していることが分かったとしている。 対象のパッケージには、悪意あるコードが追加されたjQueryのコピーが含まれていた。汚染されたバージョンはWebサイトのフォームデータを抽出し、外部に送信するという。 Phylumは「マルウェアを作動させるために必要な条件は限られているが、パッケージが広く配布されていることから、潜在的な影響は広く、多くの開発者に影響を与

徳島県は7月3日、納税通知書などの印刷業務を委託していたイセトーがランサムウェア攻撃に遭った影響で、個人情報約20万件が漏えいした可能性があると発表した。徳島県は、イセトーから納税者情報を削除したとの報告書を受け取っていたが、実際には削除されておらず、さらに通常とは異なるネットワークで扱われていたという。 漏えいした可能性がある情報は、氏名、住所、税額、車のナンバーが記載された2023年度自動車税の印刷データ19万5819件。このうち14万9797件が個人（13万2503人分）のもので、4万6022件が法人（7691組織分）のものだった。さらに、氏名、住所、車のナンバーが書かれた22年度減免自動車の現況報告書4260件（同人数分、いずれも個人の情報）と、氏名、住所、還付額の書かれた22年度還付充当通知書1件（同）も漏えいした可能性がある。 徳島県は、イセトーの事務処理には不適切な点があった

これに対し、今回のデモを組織した団体「No Tech For Apartheid」は「自分たちの労働がアパルトヘイトや大虐殺の原動力となることは望まない」と訴える。Googleに対してイスラエル政府との契約の中止を求めるのは、発端となったプロジェクト・ニンバスの契約を「ガザのパレスチナ人を虐殺するイスラエルへの支援」と見なしていることによるものだ。 社員の解雇について同団体は「言語道断の報復行為」「Googleが自社の社員よりも、虐殺行為をしているイスラエル政府および軍との12億ドルの契約の方を大切にしていることが、これではっきりした」と反発した。 また抗議デモは平和的に行われ、Google社内で器物を損壊したり、同僚を妨害したりもしていないと主張。社員の解雇はGoogleのいう「開かれた文化」の虚偽をさらけ出したと訴え、解雇は不当だったとし全米労働関係委員会（NLRB）に不服を申し立てて

各店側はどのレンズメーカーが原因なのか詳細は報告していないが、レンズメーカーのHOYA（東京都新宿区）は3月30日から、社内システムで障害が起きていると発表。4月4日に発表した調査結果によると、この障害は「第三者による当社サーバへの不正アクセスに起因する可能性が高い」と公表している。 この影響により、複数の製品で生産工場内のシステムや受注システムが停止し、4日時点では在庫出荷などの業務は手作業で対応しているという。なお、機密情報や個人情報の外部流出の可能性は現時点では調査中としており「解析には相当の日数を要する見込み」（同社）としている。 関連記事 第三者が個人情報15万人分ダウンロード　労務管理クラウド「WelcomeHR」で漏えい　マイナカードや免許証の画像も ワークスタイルテック（東京都港区）が、同社の労務管理クラウドサービス「WelcomeHR」について、ユーザー情報が外部から閲覧

カオナビ子会社のワークスタイルテック（東京都港区）は3月29日、同社の労務管理クラウドサービス「WelcomeHR」について、ユーザー情報が外部から閲覧可能な状態になっていたと発表した。16万2830人分の情報が閲覧可能だったとしており、うち15万4650人分の情報が実際に第三者にダウンロードされたという。 2020年1月5日から24年3月22日にかけて、ユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書（マイナンバーカード、運転免許証、パスポートなど）や履歴書の画像が閲覧可能だった。情報がダウンロードされたのは23年12月28日から29日にかけてだったという。3月29日時点では二次被害は確認していないとしている。 「本来　ユーザーがストレージサーバに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバのアクセス権限の誤設定により、閲覧可能

個情委、ランサムウェアで約1カ月停止の社労士向けクラウド提供元に指導　「管理者権限のパスワード類推可能」「深刻な脆弱性が残存」【お詫びと訂正】 個人情報保護委員会は3月25日、社会保険労務士向けクラウドサービス「社労夢」を提供するエムケイシステム（大阪市）に対し、個人情報保護法に基づく指導を行ったと発表した。 同社は2023年6月、ランサムウェア攻撃を受け、サービスが約1カ月停止するなどの被害に遭っていた。サービスを導入する社労士法人や民間企業からは、エムケイシステムから報告を受けての発表も相次いでいた。 【訂正：2024年3月28日午後3時48分　記事掲出当初、漏えいの事実があると受け取れるような記載をしていましたが、エムケイシステムから個人情報保護委員会への報告は「漏えいのおそれ」に基づくものであり、漏えいの事実は確認されておりませんでした。お詫びして訂正いたします。】 個人情報保護委

人が足りない？　自治体システム標準化・ガバメントクラウドに取り組む現場のホンネ　尼崎市の場合：ガバクラ・自治体システム標準化の行方（1/3 ページ） 自治体の業務を共通化し、システムもそれに沿ったものに移行する“自治体システム標準化”。国は原則として2026年3月末までの対応を自治体に求めており、各自治体への補助金として1825億円を確保している。中には期限に先行して移行する自治体も出ているが、一方でスケジュールや、補助金の不足による負担増といった問題を抱える自治体も少なくない。 例えば茨城県水戸市や福島県福島市など、人口20万人以上の市町村の市長からなる中核市市長会は10月、全額国費による事業推進と期限の見直しを求める要望書を提出した他、京都市・横浜市などの市長からなる指定都市20市市長会も補助金の上限や対象となる経費の拡充などを求めている。 このうち補助金の上限については、11月10日

この記事は新野淳一氏のブログ「Publickey」に掲載された「GitHub、1200台以上のMySQL 5.7を8.0へアップグレード。サービス無停止のまま成功させる」（2023年12月12日掲載）を、ITmedia NEWS編集部で一部編集し、転載したものです。 米GitHubが提供するGitHub.comは、世界最大のソースコード管理システムを始めとするソフトウェア開発者向け支援サービスを提供しています。 そのGitHub.comはRuby on Railsで構築されており、同社はつねにRubyとRuby on Railsをアップデートし続けていることを今年（2023年）4月に明らかにしています。 参考：GitHubは200万行規模のRailsアプリケーションであり、毎週RailsとRubyを最新版にアップデートし続けている そして同社はこのGitHub.comを支える1200台以上

NTT西日本グループのNTTマーケティングアクトProCX（大阪市）は10月17日、マーケティング業務を代行するためにクライアントから預かっていた顧客情報900万件が不正に持ち出されたと発表した。コールセンター用システムの運用保守を依頼していたNTTビジネスソリューションズ（同）の元派遣社員が、第三者に情報を流出させていたという。

警察庁は2023年9月27日、「中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について」という注意喚起を発表しました。同庁はこれまで、状況証拠がある場合でも、こうした情報を公開しないケースが多かったのですが、今回は、国名を明記した形での注意喚起となっています。これは無視できるものではありません。 今回の注意喚起は警察庁やNISCだけでなく、何と米国連邦調査局（FBI）、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）など、米国政府機関の名前も連なっています。その上で、中国を名指ししたものとなっているのですから穏やかではありません。 ここで名指しされているサイバー攻撃グループBlackTechはかなり前から日本をターゲットに活動しており、2020年1月に発生した三菱電機への不正アクセスにも関与していたとされています。セキュリティベ

米Microsoftは8月31日（現地時間）、欧州経済領域（EEA）およびスイス地域で、ビデオ会議ツール「Teams」の「Microsoft 365」バンドルを解除すると発表した。EUの欧州委員会が7月、独禁法違反の可能性について正規調査を開始したことを受けたもの。 この調査のきっかけは、米Slackが2020年、欧州委員会にMicrosoftを独禁法違反で提訴したことだ。 Microsoftは公式ブログで、この変更は顧客がTeams抜きのOfficeをより安価に購入できるようにすべきであり、競合するサービスとの相互運用性をより容易にするために努力すべきだというEUの懸念に対処するために行うと語った。 この変更は10月1日に発効する。Teamsを含むEnterpriseスイートは提供されなくなるが、既存顧客は現行のプランを継続するか、更新日に新たなプランに切り替えるかを選択できる。 Mic

医療政策の企画立案などを目的とする日本医師会総合政策研究機構（日医総研）が8月24日に公開した文書が、SNS上で物議を醸している。医療機関とシステムベンダーの契約と責任分担に関するもので、「信義誠実の原則」を理由に「ベンダーのリスク説明が不足している場合、契約に記述がなくても、医療機関側から一定の責任を問える可能性がある」との内容が記されている。 文書のタイトルは「サイバー事故に関し システムベンダーが負う責任：医療DXを推進するために」。医療機関とベンダーには専門知識の格差があることなどから、「システムベンダーは信義誠実の原則に基づく不随義務として、医療機関が安全管理義務を履行するために必要な情報を適切に提供する義務を負う」との見方を示している。 「信義誠実の原則」とは「互いに信頼を裏切らないよう行動すべき」とする法原則。既知の脆弱性についてベンダーが適切に情報提供しない状態で、その脆弱

「ゲーム業界目指す最低限できていない」──社長のSNS投稿が議論呼んだサイバーコネクトツーが、実は抱えていた育成の課題：CEDEC 2023（1/3 ページ） 「ゲーム系専門学校や大学で学生に持っているゲーム機を聞くと、スマホ100％、Switch90％、PS4が70％、PS5が10％、Xboxが1％。結果を見る度に『ゲーム業界を目指す最低限の準備すらできていない』と認識する」──6月、X（当時はTwitter）でゲーム開発人材を巡るこんな投稿が話題になった。 投稿したのは「鬼滅の刃 ヒノカミ血風譚」「ドラゴンボールZ KAKAROT」などのゲーム開発を手掛けるサイバーコネクトツー（CC2）の松山洋社長だ。当時はゲーム業界関係者を中心に物議を醸し「家庭用ゲーム機にこだわる必要はない」「そもそも学生にはそんなお金はない」「最新ハードがなくても業界には入れる」などとSNS上でさまざまな議論を呼

社会保険労務士（社労士）向けクラウドサービス「社労夢」などで6月5日以降システム障害が続いているエムケイシステム（大阪市）は29日、2024年3月期通期連結業績予想を修正した。6月分のサービス利用料を請求しないため、収益が激減。もともと約32億円を見込んでいた売上高、2.6億円を見込んでいた営業利益はいずれも「未定」となった。 エムケイシステムはランサムウェアを使ったサイバー攻撃により、サービス提供用のサーバが暗号化された。社労夢に加え、人事労務向けサービス「DirectHR」などの9サービスが影響を受けており、29日の時点でも完全復旧はできていない。 約3400いるユーザーに正常なサービスを提供できないため、6月分の請求は停止。調査や復旧、再発防止にかかる費用は今後も増加する可能性があり、業績予想が立たない状況になっている。 このシステム障害により、サービスを導入する社労士法人や民間企業

社会保険労務士（社労士）向けクラウドサービス「社労夢」を提供するエムケイシステム（大阪市）は6月21日、ランサムウェア攻撃による障害への対応状況を発表した。5日から複数のサービスで障害が発生しており、21日時点で完全復旧に至っていない。「当社の約3400ユーザーの大半にサービス提供できない状況」（同社）という。 影響を受けているサービスは社労夢に加え、人事労務向けサービス「DirectHR」など9サービス。当初は8サービスと発表していたが、記載漏れがあったとして追加した。いずれもデータセンターにあるサービス提供用のサーバが暗号化されたという。 一部サービスについては復旧の状況も公開した。まず、社労夢などで提供している社労士事務所向けの給与計算機能については、AWS上で開発中だったバージョンを急きょ改修し、暫定版としてリリース。約2800の事務所に提供して対応した。開発中のバージョンは社労士

クラウドベンダーのエムケイシステム（大阪市）が提供するサービスで障害が発生している。6月5日から9日午後7時現在まで、クラウド型の人事労務向けサービス「DirectHR」など8サービスが利用しにくい状況だ。原因はランサムウェア攻撃。サービス提供に使っているサーバに不正アクセスを受け、データを暗号化されたという。 影響を受けているのは、DirectHRに加え、社会保険労務士向けクラウドサービス「社労夢V3.4」など。一部、バックアップから復旧を進めているサービスもあるが「システム全体の復旧についてはまだめどが立っておらず、調査を継続している」（同社）という。 同社が事態に気付いたのは5日の早朝。同社のデータセンターにあるサーバがダウンしたため、調査したところ、不正アクセスの可能性が浮上した。サーバをネットワークから切り離し、改めて調査したところ、ランサムウェアによる攻撃を受け、データが暗号化