武安技術士事務所は情報システム開発・情報セキュリティ対策を得意分野とする技術士事務所です。

2014年

2014年12月26日

PlayStationNetwork と Xbox Live にサイバー攻撃

　ソニー社の「PlayStationNetwork」とMicrosoft社の「Xbox Live」のサービスが相次いでダウンした。
　原因は、何者かによるDDoS攻撃によるものとされているが、これに対して「Lizard Squad」を名乗るハッカー集団がTwitterに上に犯行を認める声明を出している。

2014年12月19日

韓国で原発情報がネットに流出する

　韓国の原発管理会社である「韓国水力原子力」の内部情報がインターネット上に流出した。
　外部からハッキングされて流出したものとみられていて、同社の職員の個人情報が含まれているが、重要資料は含まれていないという。

2014年12月12日

共同通信の子会社で顧客情報が流出

　一般社団法人共同通信社の子会社で雑誌の出版や講演会を開催している株式会社共同通信社は、同社の業務用パソコン２台がウイルスに感染し、最大1万7000人分の顧客情報が外部に流出した可能性があることを発表した。
　流出した可能性がある個人情報は、会員制情報誌の送付先やメールマガジンの送付先であるという。

2014年12月8日

技術評論社のWebサイトが改ざんされる

　技術評論社は、Webサイトが不正アクセスにより改ざんを受けていたことを発表した。
　改ざんを受けていたWebサイトにアクセスすると、第三者のWebサイトにリダイレクトされる設定になっていたという。

2014年12月1日

ソニー・ピクチャーズ（SPE）にサイバー攻撃

　ソニー・ピクチャーズ・エンタテインメント（SPE）がサイバー攻撃を受け、従業員の個人情報や未公開の新作映画が外部に流出したと米のメディアが伝えた。
　また、流出した新作映画は、ファイル共有サイトに出回り、大量にダウンロードされているという。
　この事件は、FBIが12月19日に北朝鮮が関与したという発表を行い、大きな国際問題へと発展しています。

2014年11月28日

国内大手サイトが「シリア電子軍」にハッキングされる

　11月27日の夜から、複数の国内大手サイトにアクセすると、「シリア電子軍」と思われるサイトに飛ばされるという事件が発生した。
　28日の午前1時には既にこの事象は起きなくなったが、原因はドメイン登録業者である米Gigya社のサイトがハッキングされて別のDNSサーバにつながるよう改ざんされ、そこから「シリア電子軍」のサイトに接続されるよう設定されていたという。
　米Gigya社は、ソーシャルメディア・プラットフォームを提供していて、このサービスを利用していたサイトに影響が出たようであるが、Gigya社自体のプラットフォームがハッキングされいるてわけではないので、このプラットフォームを使用していても問題はないと説明しています。

2014年11月11日

ホテルの宿泊客をねらったマルウェア「Darkhotel」が公表される

　カスペルスキー社は、アジア太平洋地域のホテルにおいて、宿泊客をねらったマルウェア「Darkhotel」の存在を公表した。
　宿泊者がホテルのネットワークにPCを接続すると、ツールのアップデートに見せかけてマルウェアをダウンロードさせて情報を盗み取るという。
　「Darkhotel」は、スパイを目的とした標的型攻撃に使用されているらしく、高度な専門的技術が関わっていると言われていて、実体についてはまだよく分かっていないようです。

2014年11月5日

ドメイン名ハイジャックで日経電子版などのサイトが被害を受ける

　「.com」ドメインを管理するアメリカの会社が不正アクセスを受け、アドレス情報が書き換えられ、正規のサイトにアクセスしようとすると攻撃者が用意した別のサイトに誘導されるサイバー攻撃があり、「日本経済新聞　電子版」などのサイトが被害を受けた。
　このホームページも「.com」ドメインにあるため、油断はできないですね。

2014年9月30日

docomo IDに不正ログインがあり個人情報が閲覧された可能性

　NTTドコモ社は、同社の「docomo ID」に外部からの不正ログインがあり、顧客情報が閲覧された可能性があることを発表した。
　27日〜29日までの間に約225万件の不正ログインが試みられ、不正ログインが確認されたユーザー数は30日時点で6072人になるという。
　不正ログインは、特定のIPアドレスから行われていて、他社サービスから流出したID／パスワードを利用した「パスワードリスト攻撃」によるものと見られている。

2014年9月26日

クロネコメンバーズに不正ログインがあり個人情報が閲覧された可能性

　ヤマト運輸社は、同社の「クロネコメンバーズ」のウェブサービスに外部からの不正ログインがあり、個人情報が閲覧された可能性があることを発表した。
　確認された不正ログインの件数は1万589件で、不正ログインの試行件数は約19万件になるという。
　不正ログインは、特定のIPアドレスから行われていて、また、同サービスで使用されていないIDが多数含まれていたため、他社サービスから流出したID／パスワードを利用した「パスワードリスト攻撃」によるものと見られている。

2014年9月24日

bashシェルに重大なぜい弱性が見つかり修正パッチが提供される

　LinuxなどのUNIX系OSやMacOS Xで使用されているbashシェルに、きわめて重大なぜい弱性が見つかり修正パッチがリリースされた。
　このぜい弱性を悪用するとシステムを乗っ取ってシェルコマンドを実行することができるという。
　また、25日には警察庁よりこのぜい弱性を利用したアクセスが観測されたと発表があり、サーバー管理者に対して早急に対応することを求めている。
　このぜい弱性はかなり深刻で、4月に大騒ぎになったOpenSSLのぜい弱性に匹敵する問題と指摘しているセキュリティ関係者もいるようで、「Shellshock」という名前が付けられています。

2014年9月24日

JALの顧客情報システムに不正アクセスで情報漏えいの可能性

　日本航空株式会社（JAL）は、同社の顧客情報システムにアクセスできる社内の一部のPCがコンピュータウイルスに感染し、顧客情報が外部に流出した可能性があることを発表した。
　JALによると、流出した可能性があるのは「JALマイレージバンク」会員の個人情報で、流出した情報や件数は把握できていないが、流出したデータが圧縮されていた場合の推定される最大件数は75万件になるという。
　外部から侵入された原因は不明だが、社内の23台のPCがコンピュータウイルスに感染し、うち12台のPCが顧客情報システムにアクセスし、うち7台のPCが外部にデータを送信した可能性があるという。
　全てのPCにウイルス対策ソフトがインストールされていたことから、同社を狙った新種のコンピュータウイルスの可能性があるという。
　JALを狙った標的型攻撃が行われた可能性があります。標的型攻撃では、コンピュータウイルスが新種であったりゼロデイ攻撃を利用するため、内部への侵入を完全に防ぐのは難しく、外部への送信を阻止する出口対策が重要になります。

2014年9月22日

法務局のネットワークシステムに不正アクセス

　法務省は、各地の法務局を結ぶネットワークシステムのサーバーや端末に外部からの不正アクセスがあったと発表した。
　ネットワークは、登記情報等のシステムとは分離されているが、人権相談業務等に使用しているため、職員がやり取りするメールや掲示板を通して個人情報が外部に流出した可能性があるという。

2014年9月11日

約500万件の Gmail のアカウント・リストが流出

　Google社の Gmail のメールアドレスとパスワードの約500万件のリストがロシア語のサイトに掲載された。
　メールアドレスの大半はGmailのものであったが、その他のサービスのメールアドレスも含まれているという。
　Google社は、メールアドレスとパスワードのうち有効なものは2％未満で、Google のシステムが侵害を受けて流失したものではないと発表した。

2014年9月9日

NTTドコモの顧客企業の社員の個人情報が流出

　NTTドコモ社は、顧客企業の1社1053人分の個人情報が外部に流出した可能性があることを発表した。
　外部からの不正アクセスは確認されていないため、内部関係者が不正に持ち出した可能性が高いという。
　昨年10月に顧客企業の社員自宅宛に不振な郵便物が届いたことから情報流出が発覚した。

2014年9月1日

iCloud に保存していた女優の個人的な画像が流出

　iCloud がハッキングを受け、iCloud に保存していた複数の女優やモデルの写真が投稿されたと31日に米メディアが伝えた。
　写真が流出した原因は明確になっていないが、事件の数日前に iCloud のログインにブルートフォース攻撃を仕掛けてパスワードを見つけるツールが公開されていた。
　その後Apple社は、ユーザー名、パスワード、セキュリティの質問を狙った標的型攻撃によるものという調査結果を発表した。

2014年8月26日

日産自動車のホームページが不正改ざんを受ける

　日産自動車社は、同社のホームページが第三者の不正アクセスにより改ざんを受けていたと発表した。
　改ざんを受けたのは、「下取り参考価格シミュレーション」のサイトで、このサイトにアクセスを行った人が別のホームページに遷移させられる他、意図しないファイルをダウンロードさせられた可能性もあるという。

2014年8月25日

SONYの「PSN」等を含む「SEN」にDDoS攻撃で接続障害が発生

　SONY社の「PSN」等を含む Sony Entertainment Network（SEN）のすべてのネットワークサービスで、大規模なDDoS攻撃により接続障害が発生した。
　このDDoS攻撃に関連して、犯行声明を出したグループが SOE社長の John Smedley 氏の搭乗した American Airlines 362便に爆弾を仕掛けたとTwitter上に投稿したため、同便は飛行予定を変更したことで、FBIが捜査を開始したという。

2014年8月18日

Suicaポイントクラブに不正アクセス

　JR東日本社は、同社の「Suicaポイントクラブ」のホームページに大量の不正アクセスがあり、第三者が個人情報を閲覧した可能性があることを発表した。
　15日に約29万6000件のログインの失敗があり、サービスを停止して調査したところ、756のアカウントに対して不正ログインが行われたことが判明した。
　Suicaポイントクラブでは、今年の3月18日にも不正アクセスを受けていましたが、その後大量アクセスのチェック体制の強化や、サービス復旧の時間の短縮化を行ってきたということです。

2014年8月13日

無印良品ネットストアに不正アクセス

　良品計画社は、同社が運営する「無印良品ネットストア」にリスト型攻撃とみられる不正アクセスがあり、会員の名前、住所、電話番号等が閲覧された可能性のあることを発表した。
　不正アクセスは、8月7日から12日までの間で422万382回のアクセスがあり、その中ので2万957件のIDに対して不正ログインが行われたという。

2014年7月29日

OCN ID のなりすましで、ポイントを不正使用

　NTTコミュニケーションズ社の「ポイントーク」とNTTレゾナント社の「gooポイント」において、両サービスで使用するOCN IDのなりすましによる不正アクセスが発生し、ポイントから景品や他のポイントへの不正な交換が行なわれたことを両社が発表した。
　不正使用された疑いのあるOCN IDは1265件で、このうち568件でポイントの交換が行われていて、被害額は最大60万円になるという。
　利用者の利便性向上のために、IDの共通化やポイントの共通化が進んでいますが、セキュリティ対策もその分向上しなければ、それだけ被害が広がってしまいます。
　どうも、利便性向上に比べて、セキュリティの重要性の認識が遅れているようです。

2014年7月28日

アイ・オー・データのネットワークカメラに脆弱性

　アイ・オー・データ機器社は、ネットワークカメラ「Qwatch」シリーズに認証を回避する脆弱性があり、製品のファームウェアを最新版に更新することを呼びかけている。
　脆弱性がある機器をそのまま使用すると、カメラで撮影された映像を第三者にのぞかれたり、カメラを操作される可能性があるという。

2014年7月24日

欧州中央銀行のデータベースが破られ個人情報が流出

　欧州中央銀行（ECB）は、Webサイトに接続しているデータベースサーバの脆弱性を悪用されて不正アクセスを受け、カンファレンス等のイベント参加者の登録者情報が盗まれたことを発表した。
　流出した情報と引き替えに金銭を要求するメールがECBに届いて不正アクセスが発覚したという。

2014年7月23日

NTT COM の「思い出あんしん保管」で個人情報が閲覧可能に

　NTTコミュニケーションズ社は、同社の「思い出あんしん保管」サービスで申込手続きを行った顧客の一部の個人情報がインターネット上で閲覧可能になっていたことを発表した。
　閲覧できる状態になっていた個人情報は、2013年6月20日〜2014年7月18日の期間中に「思い出あんしん保管」に申し込んだ顧客の情報で、最大で378人になるという。
　1年以上もインターネット上で閲覧可能になっていた原因は発表されていませんが、「思い出あんしん保管」という名前が皮肉になっています。

2014年7月15日

LINEが乗っ取り対策として「PINコード」の入力が必要に

　LINE社は、「LINE」の乗っ取りによる被害が発生していることを受け、従来のパスワードの他に本人確認のため新たに「PINコード」（携帯電話用内部に設定する暗証番号）の入力を求めるように変更すると発表した。
　この新たなセキュリティ対策は17日午後3時より提供される。
　本質的な情報セキュリティ対策ではありませんが、単純な犯行には有効かもしれません。
　問題は、きちんとした教育を受けずに安易に高度な情報機器やサービスが使えるようになっているためで、この問題をなんとかしないと、また新たな問題が出続けるでしょう。

2014年7月12日

オムロンがJRの駅で撮影した乗降客の映像を無断流用

　オムロン社が、JR東日本から委託を受けて首都圏の4駅で撮影した乗降客の映像を無断で他の研究に使用していたことがわかった。
　同社は、JR東日本との契約で、撮影した映像を目的外に使用しないとしていた。

2014年7月10日

ベネッセから流出した個人情報をジャストシステムが利用

　ベネッセから流出した個人情報をジャストシステム社が利用して、DM（ダイレクトメール）の発送に使用していたことが判明した。
　ベネッセの顧客情報にしかない情報が、ジャストシステム社からのDMに記載されていることから判明した。
　ジャストシステム社は、ベネッセ社から流出した顧客情報とは知らずに名簿業者から購入していたという。
　ジャストシステムは、ベネッセから流出した顧客情報とは知らなかったとしていますが、個人情報の保護が厳しくなっている現在において、件数が多い顧客情報は不正な方法で集められた可能性が高いことは、多くの個人情報を保持しているジャストシステムが認識していないはずは無く、社会的信用を失う大きな問題となりそうです。

2014年7月9日

ベネッセから個人情報760万件が流出

　ベネッセホールディングス社は、同社の通信教育サービスを利用している顧客の約760万件の個人情報が、外部に流出した可能性があることを発表した。
　流出した個人情報は、社内のデータベースで管理されていたもので、最大2070万件におよび可能性があるという。
　流出した個人情報の流出件数は、国内過去最大の2070万件にも及ぶ可能性があるということで、連日報道機関で報道され大問題となりました。
　11日にベネッセのグループ会社のIT企業のシンフォーム社に派遣会社より派遣されていたシステムエンジニア（SE）が顧客情報をコピーしていた痕跡が見つかりました。さらに17日になって、このSEは不正競争防止法違反（営業秘密の複製）容疑で逮捕され、内部でデータのアクセス権限を持った技術者の犯行であることが明確になりました。

　事件は内部で働いていたSEによる犯行でしたが、情報セキュリティ上は、以下の問題があったとされています。
　(1) スマホをPCに接続してファイルがコピーできてしまう（デバイス制御ソフトが最新機種に未対応）
　(2) スマホを重要な情報を持ち込める室内に持ち込めた（内部ルール及びチェック体制の不備）
　(3) 外部の派遣SEに重要な情報を取り扱える権限が与えられていた（内部統制の不備）

2014年6月20日

PSO2のサーバに対してDDoS攻撃が継続

　セガ社は、同社のオンラインRPG「ファンタシースターオンライン2」（PSO2）のサーバーに対して、19日よりDDoS攻撃を受け、サービスを停止していることを発表した。
　なお、DDoS攻撃はその後も継続されているという。
　6月19日にサービスを停止したPSO2のサービスは、6月27日に再開できるようになりました。
　さまざまな対策を実施したということですが、今回の攻撃はかなり大規模であったようです。

2014年6月20日

niconicoでFlashの更新を促す偽メッセージが表示される

　ドワンゴ社とニワンゴ社は、動画サービス「niconico」において、Flash Playerの更新を促す偽のメッセージが表示され、そのまま指示に従うとマルウェアがダウンロードされるという不正事象が、19日未明より発生していたことを発表した。
　偽のダウンロードサイトは、正規サイトに似せているが、一部の日本語が怪しくなっていたという。
　原因は、マイクロアド社の広告配信ネットワークで配信された広告に悪意のあるスクリプトが埋め込まれていたためで、19日昼には同広告ネットワークとの通信は遮断された。

2014年6月17日

mixiへの不正ログインは26万アカウントに対して430万回に及ぶ

　ミクシィ社は、同社のSNSサイト「mixi」へ行われている不正ログインが、16日までに26万3596アカウントに対して430万回の試行が行われたことを発表した。
　この不正ログインによる課金やポイントの不正利用は確認されていないという。
　このところ、他社サービスから流出したユーザID、パスワードを使用したリスト型攻撃が、mixi、niconico、LINEと多くのユーザをかかえる大手のサイトに対して立て続けに行われています。
　一部のサイトでは、金銭的な被害も発生しているため、ユーザに対しての注意喚起がさらに必要になります。

2014年6月13日

LINEで不正ログインが発生

　LINE社は6月12日、他社サービスから流出したユーザIDとパスワードを使った不正ログインが発生したため、利用者に対してパスワードの変更を呼びかけた。
　LINE社による、友人のふりをして電子マネーを購入して送ることを依頼するメッセージが書き込まれて、電子マネーがだまし取られる被害が発生しているという。
　LINEの利用者は、セキュリティに対する犯罪に対して知識が十分でない人も多いので、犯罪者に狙われやすいので、利用者保護のための特別なセキュリティ対策が必要になります。

2014年6月13日

ニコニコ動画で不正ログインが発生

　ドワンゴ社とニワンゴ社が運営する「niconico」で不正ログインが発生し、5月27日以降、220万3590回の不正ログインの試行により21万9926アカウントが不正ログインを受け、19アカウントに対して17万3610円のニコニコポイントが不正使用されていたことが公表された。
　不正ログインは、他社サイトから流出したユーザIDとパスワードを利用したリスト型攻撃によるものであるという。

2014年6月9日

mixiで不正ログインが発生

　ミクシィ社は、同社のSNSサイト「mixi」に不正ログインが受けていることを発表した。
　同社では、他社サイトから流出したパスワードによる不正アクセスとみている。

2014年6月5日

OpenSSLに新たな欠陥が見つかる

　OpenSSL Projectは、OpenSSLに新たな脆弱性があることを発表し、脆弱性に対応した新たなバージョンを公表した。
　この脆弱性に対して、サーバ・クライアントの双方で対応していない場合には、通信の盗聴・改ざんを受ける可能性があるという。

2014年6月2日

バッファローのダウンロードサイトが不正アクセスにより改ざんされる

　バッファロー社は、同社の無線LANやHDD等の更新ファイルのダウンロードサイトが改ざんを受け、ダウンロードサイトから更新ファイルをダウンロードして実行すると、ウイルスに感染する可能性があることを発表した。

2014年5月21日

米国イーベイがサイバー攻撃を受け、個人情報が流出

　米国のインターネット競売のイーベイ社は、同社のサーバーがサイバー攻撃を受け、顧客データベースから顧客情報が盗まれたことを発表した。
　顧客情報には、暗号化されたパスワード、氏名、住所、電話番号、メールアドレス、誕生日が含まれているが、クレジットカード情報は含まれていないという。また、盗まれた可能性のあるユーザー数は最大で1億4500万人に上るという。

2014年5月12日

セガの公式サイトが不正アクセスを受け、不正プログラムが置かれる

　セガ社は、同社の公式サイトのウェブサーバーが不正アクセスを受け、サーバー内に置かれた不正プログラムが不正な動作をしようとしていたことを検知したと発表した。

2014年5月12日

三井住友銀行でウイルスにより不正送金の被害が発生

　三井住友銀行のインターネットバンキング「SMBCダイレクト」で、パスワードを盗み取ろうとする新たなウイルスが見つかったことが判明した。
　ユーザーがログインすると、このウイルスにより偽りの画面が表示され、その画面に暗証番号を入力すると直ちに不正送金が行われるもので、数十件の不正送金の被害が発生しているという。

2014年5月2日

「マイソニークラブ」に不正アクセスがあり、ポイントが不正使用される

　ソニーマーケティング社は、会員制サイト「マイソニークラブ」に不正アクセスがあり、会員273人、総額753,000円相当分のポイントが不正使用されたことを発表した。
　第三者が不正に入手したメールアドレスとパスワードを不正使用された可能性があるという。

2014年5月2日

マイクロソフトがIEの脆弱性に対応したアップデートを公開

　マイクロソフト社は、IEの脆弱性に対応した緊急のアップデート更新プログラムを公開した。
　今回は特例として、既にサポートが終了したWindowsXPも更新の対象としている。
　今回のIEの脆弱性の影響は大きく、IEを使わないようにという呼びかけも各方面から行われたため、緊急アップデータが素早く行われたようです。また、WindowsXPのサポートが先月に終了したばかりとあって、その影響の大きさからWindowsXPへの対応も特別に行ったようですね。

2014年4月30日

「My SoftBank」に不正アクセスがあり、個人情報が閲覧された可能性

　ソフトバンクモバイル社は、利用者向けのWebサイト「My SoftBank」に不正アクセスがあり、724件のアカウントに対して個人情報の閲覧が行われた可能性があると発表した。
　不正アクセスは、外部から盗まれたID、パスワードを使用して行われたものとみられている。

2014年4月28日

IE に脆弱性が見つかり、既にゼロデイ攻撃が発生

　Micorsoft社の IE（インターネット・エクスプローラー）に脆弱性が見つかり、既にゼロデイ攻撃が発生していることが判明する。
　この脆弱性により、パソコンでプログラムが勝手に動かされたり、悪意のあるサイトに転送される可能性があるという。
　（ゼロデイ攻撃：ソフトウェアにセキュリティ上のバグが発見された後、修正プログラムが公表される前に、
　　　　　　　　　バグを利用した攻撃を行うこと）
　IE のセキュリティホールを利用した攻撃は珍しくないですが、以前に比べると攻撃手段として使われることが多くなっています。
　IE を使わないことが一番良い対策ですが、IE を対象としたサイトも多いため、なかなか難しいようです。
　今後、修正プログラムが出てきても、WindowsXP に対応した IE の修正プログラムは出てこないため、WindowsXP を使い続けることの危険性がより増すことになります。

2014年4月25日

国税庁の一部のウェブサイトが Apache Struts の脆弱性により公開を中止

　国税庁は、一部のウェブサイトに脆弱性があるためサービスを停止したことを発表した。
　オープンソースでのJava Webアプリケーションフレームワークである Apache Struts 2 に、リモートでの第三者による任意のコード実行を許す脆弱性が見つかり、修正データが発表されたが、これと同様の問題が Apache Struts1 においても存在することが判明した。国税庁のウェブサイトのウェブサイトが Apache Struts1 を使用して開発されていたためサービスを停止したという。
　Apache Struts1 を利用して開発されたウェブサイトは多数存在するため、今後大きな影響が出ることが心配されます。

2014年4月23日

パナソニックのサイトに不正アクセスがあり、顧客情報流出の可能性

　パナソニック社は、同社が運営する会員制サイト「クラブ　パナソニック」に不正アクセスがあり、顧客情報が閲覧された可能性があることを発表した。
　不正アクセスは、他のサイトから流出したユーザIDとパスワードを悪用したものを使ったとみられ、460万件の不正アクセスのうち、78361件のログインが成功していたという。

2014年4月23日

石川県警のホームページに不審なファイルが見つかり、公開を中止

　石川県警は、県警のホームページ内に不審なファイルが見つかったため、公開を中止したと発表した。
　外部から不正アクセスを受けた疑いがあるため、サーバーへのアクセスについて調査しているという。

2014年4月22日

日医総研のホームページに不正アクセスがあり、200人分のメールアドレス流出の可能性

　日本医師会の「総合政策研究所」のホームページのサーバーに不正アクセスがあり、閲覧者が外部のサイトに不正に転送されるウイルスが仕込まれていたことを発表した。
　ホームページで管理されていた一部のメールアドレスが漏洩した可能性があるという。

2014年4月19日

三菱UFGニコスで「OpenSSL」のバグにより個人情報が流出

　クレジットカード会社の三菱UFJニコス社は、同社のホームページが不正アクセスを受け、894人分の個人情報が漏洩した可能性があることを発表した。
　不正アクセスは、OpenSSLの欠陥を悪用されたもので、同社は欠陥を認識していたが、対策を完了するまでの時間に攻撃を受けたものという。

2014年4月14日

OpenSSLの欠陥によりカナダ歳入庁で個人情報が盗まれる

　カナダ歳入庁は、OpenSSLの欠陥によりサイトが攻撃を受け、納税者約900人分の社会保険番号が盗まれたことを発表した。

2014年4月10日

グーグルグループで空港の詳細図の機密情報が公開される

　グーグルグループで中部国際空港（セントレア）と新千歳空港の詳細図が、インターネット上で誰でも閲覧できる状態になっていたことが判明する。
　グーグル社では、グーグルマップ上に空港の施設情報を表示するために、空港側から詳細図を入手し、それをグーグル社内でグーグルグループを使用して共有していたが、誤って共有範囲を「一般公開」と設定したため、インターネット上で誰でも閲覧が可能になったという。
　その後、東京駅や新大阪駅の内部情報も同様に公開されていたことが判明する。
　グーグルマップは、昨年環境省などの内部情報が公開されていて大問題になりましたが、今回はサービスを提供しているグーグル社内で起きたため、サービスに詳しい人でも事故を起こす可能性のある危険性の高いサービスとして、問題視されています。

2014年4月7日

「OpenSSL」に重大なバグが見つかり、修正版が提供される

　オープンソースの暗号化ソフト「OpenSSL」を提供している OpenSSL Project は、「OpenSSL」に情報漏洩につながる重大な脆弱性が見つかり、これに対応した修正版を公開した。
　この脆弱性が悪用されると、パスワードや秘密鍵が漏洩する可能性があり、外部から攻撃を受けても痕跡が残らないという。
　日本でも多くのWebサイトでこの「OpenSSL」を利用しているため、セキュリティ関連機関や警察庁から注意を呼びかけている。
　対象となるバージョンの「OpenSSL」を使用しているサーバは、かなりあると思われるため、大騒ぎになりました。
　不正アクセスを受け情報が盗まれてもわからない。というところが問題で、被害が広まる可能性があります。
　OpenSSL を使用しているサーバ管理者に対して、大至急対応することが求められています。

2014年3月28日

建築研究所のサーバに不正アクセスがあり、個人情報が漏洩

　建築研究所は、同所のサーバに不正アクセスがあり、同所の国際地震工学センターの元研修生ら約330人の個人情報がインターネット上に流出したことを発表した。

2014年3月20日

JIS Q 27001:2014 が発行される

　昨年9月26日に発表された ISO/IEC 27001:2013 に対応したJIS規格　「JIS Q 27001：2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項」が発行されたことを一般財団法人日本情報経済社会推進協会が発表した。
　これにより、JIS Q 27001:2006 による新規認証は、2014年10月までとなり、既にJIS Q 27001:2006で認証を受けているすべての事業所は、JIS Q 27001:2014に移行し、2015年10月1日までに認証を受ける必要になった。

2014年3月19日

西日本新聞のホームページが改ざん

　西日本新聞社は、同社のホームページが改ざんされ、外部のサイトに誘導されたという報告を受けたことを発表した。
　同社のホームページから一時ロシアのホームページに誘導されたという指摘が数件あったが、同社が確認したところ改ざんされたホームページは元に戻っていたという。

2014年3月18日

SuicaポイントクラブのWebサイトに大量のアクセス

　JR東日本社は、同社が運営する「Suicaポイントクラブ」のWebサイトに約94万件のアクセスが確認されたため、ログインを停止するようにし、再開後もポイント交換サービス等の一部のサービスを停止していることを発表した。
　大量のアクセスのうち、約1万9000件はログインに成功していたが、不正利用等は確認されていないという。

2014年3月10日

ANAマイレージクラブのWebサイトに不正ログインがありマイルが不正に交換される

　全日空社は、ANAマイレージクラブのWebサイトに不正ログインがあり、会員のマイルがitunesギフトカードに不正に交換されていたことを発表した。
　9人の会員の約65万円分のマイルが、iTunesギフトカードに交換された可能性があるという。
　2月に日本航空のJALマイレージで同様の事件が起き、安全性の見直しがされたはずですが、今回は全日空で起きてしまいました。インターネットの世界では、他社の事件は決して対岸の火事ではないですね。

2014年3月9日

@wikiで個人情報が流出

　無料ホームページサービスの「@wiki」を運営するアットフリークス社は、@wikiの登録ユーザの管理情報やデータの外部流出があったことを発表した。
　ホームページに悪意のある不正なファイルが仕込まれているという指摘や、全ユーザのユーザIDや暗号化されたパスワードが流出しているという指摘があり、全ユーザのパスワードをリセットしたという。

2014年2月28日

光文社のECサイトに不正アクセスがあり、クレジットカード情報流出のおそれ

　光文社は、同社が運営する「kokode.jp KOBUNSHA SELECT SHOP」「女性自身百貨店」「Mart SELECT SHOP」のショッピングサイトに不正アクセスがあり、クレジットカード情報が流出した可能性のあることを発表した。
　クレジットカード会社よりカード情報流出の可能性があるとの指摘を受け調査を行ったところ、不正アクセスにより外部に情報を送信するようにプログラムが改ざんされていたことが判明したという。

2014年2月28日

「My SoftBank」に不正アクセスがあり、個人情報流出のおそれ

　ソフトバンク社の「My SoftBank」に不正アクセスがあり、344件の個人情報が流出した可能性があることを発表した。
　不正アクセスは、同社以外のサイトから盗まれたIDとパスワードを流用してログインを試みる「リスト型攻撃」によるものとしている。

2014年2月26日

はとバスのホームページが不正改ざんを受け、閲覧者がウイルス感染のおそれ

　はとバス社は、同社のホームページが不正アクセスにより改ざんを受け、ホームページを閲覧した人がウイルスに感染した恐れがあることを発表した。

2014年2月25日

「mixi」に不正ログインが確認される

　ミクシィ社は、同社のSNSサイト「mixi」に370件の不正ログインがあり、一部のユーザが身に覚えのないゲームに登録されていたことを発表した。
　不正ログインは、他のサイトから流出したユーザID、パスワードを使用して行われた可能性が高いとみられている。

2014年2月24日

「はてな」に不正ログインの疑い

　はてな社は、同社のサービスに対して外部から不正ログインが行われた可能性があることを発表した。
　情報流出は確認されていないがい、ユーザ情報の改ざんやポイントの不正交換の被害が確認されているという。
　他社のサービスから流出したユーザID、パスワードを使用して不正ログインが行われた可能性が高いとしてる。

2014年2月3日

JALマイレージに不正アクセスがあり、マイルがAmazonギフト券に交換されていたことが判明

　日本航空社は、「JALマイレージバンク」のWebサイトに不正アクセスがあり、約60人のマイルが引き落とされAmazonギフト券に交換されていたと発表した。
　パスワードが盗まれた詳細は現在調査中であるが、パスワードが数字6桁になっているため、総当たり攻撃（ブルートフォース攻撃）に対して脆弱であるとの指摘もある。

2014年2月3日

東大の研究機関のコンピュータに不正アクセス

　東大カブリ数物連携宇宙研究機構は、研究用コンピュータに不正アクセスがあったことを発表した。
　コンピュータには、ハワイのすばる望遠鏡の観測結果や研究用データが記録されているが、データの改ざん等は確認されていないという。

2014年1月30日

ECカレントなどのサーバに不正アクセスがあり、決済情報が漏洩した可能性

　ストリーム社は、同社が運用する通販サイトの「ECカレント」「イーベスト」「特価COM」のサーバが外部から不正アクセスを受け、購入者のクレジットカード情報を含む決済情報等が外部に流出した可能性があることを発表した。
　カード会社より、同社で購入した顧客のカードが他社で不正使用されたという連絡を受けログを調査したところ、不正アクセスの痕跡が見つかり、侵入者が情報を閲覧できたことが確認できたという。
　不正アクセスの原因は、サーバに脆弱性があったためということですが、通販サイトのサーバを運営する場合には、
サーバの脆弱性にタイムリーに対応していくことがとても重要です。

2014年1月29日

楽天子会社の「Stylife」で不正アクセスにより、カード情報流出の可能性

　楽天子会社のスタイライフ社が運営するショッピングサイト「Stylife」に「パスワードリスト攻撃」によるものと見られる不正アクセスがあり、最大2万4158件のアカウントのクレジットカード情報が閲覧された可能性があることが判明した。

2014年1月23日

動画再生ソフト「GOM Player」のアップデートでウイルス感染

　動画再生ソフトの「GOM Player」をアップデートすると、コンピュータウイルスに感染し、感染したPCから内部ネットワークの情報が外部に送信される可能性のあることが判明した。
　このソフトをアップデートすると、正規とは異なる踏み台サイトに誘導され、踏み台サイトからウイルスが送られてきて感染するという。
　1月6日の高速増殖炉「もんじゅ」のパソコンがウイルスに感染した事件も、この動画再生ソフトのアップデートを行ったためであった。
　ソフトウェアのアップデートを利用するという、新たな攻撃手法が使われましたが、ユーザが対応することがほとんど不可能のため、同様な手口による攻撃が増えるのではないかと心配されています。

2014年1月17日

スマート家電から大量の迷惑メールが発信されていたことが判明

　米国で企業向けデータ保護サービスを行っているProofpoint社は、2013年12月23日から2014年1月6日の間に、10万台位以上の家庭用機器から75万通以上の迷惑メールが発信されていたと発表した。
　これらの家庭用機器は、家庭用ルータやマルチメディアセンター、テレビ、冷蔵庫などのスマート家電で、ネットワークから不正侵入されメールの不正送信に利用されていたという。
　スマート家電のようにネットワークに接続する機器の仕組みは、PCと同様のシステムになっていますが、PCと比較するとセキュリティ上無防備になっていることが多く十分な注意が必要ですが、利用者も意識していないことが多いため今後大きな問題になりそうです。

2014年1月16日

KADOKAWAのホームページが改ざんを受け、閲覧者がウイルスに感染する可能性

　角川書店などを運営する出版社の「KADOKAWA」は、同社のホームページが不正アクセスを受け、改ざんされたことを発表した。
　改ざんされたホームページを閲覧するとPCがコンピュータウイルスに感染し、インターネットバンキングやショッピングサイトのユーザIDやパスワードが外部に流出する可能性があるという。
　今回、仕掛けられたコンピュータウイルスは、JAVA や Flash Player の脆弱性を利用したもので、脆弱性に対応していないパソコンは、トロイの木馬型ウイルスによりユーザIDやパスワードが盗み取られる可能性があります。
　そのため、Windows だけでなく Java や Adobe のようなソフトウェアのアップデートも確実に行う必要があります。

2014年1月16日

大手チェーン店の名をかたった非公認アプリが App Store で配信

　「ピザーラ」や「マツモトキヨシ」などの大手チェーン店の名をかたった非公認アプリが App Store に登録されていており、それぞれの会社では注意をよびかけている。
　これらの非公認アプリを使用すると、各社の公式のスマートフォンサイトに接続される仕組みになっているが、非公認アプリは安全性が確認できないため、利用には注意が必要である。

2014年1月6日

高速増殖炉「もんじゅ」のパソコンがウイルスに感染

　日本原子力研究開発機構は、高速増殖炉「もんじゅ」の職員が使用するパソコンがコンピュータウイルスに感染し、パソコンの中の情報が外部のサーバーに送信された可能性があることを発表した。
　このパソコンには、「もんじゅ」の運転管理などの安全上重要な情報が含まれていないという。
　今回のコンピュータウイルスは、動画再生のフリーソフトを更新した際にウイルスに感染した可能性があるということですが、国の安全管理上重要な施設で、一般に知られているフリーソフトとは言え、フリーソフトを使用することはリスクがあるので、セキュリティ上問題ではないでしょうか。

2013年

　2013年の情報セキュリティ ニュース・事件は、こちらを参照してください。