武安技術士事務所は情報システム開発・情報セキュリティ対策を得意分野とする技術士事務所です。

2016年

2016年12月14日

米国ヤフーで10億人の個人情報流出が判明

　米国ヤフー社は、2013年8月に起きた第三者によるサイバー攻撃により、10億人以上のアカウントの個人情報が流出した可能性があることを発表した。
　同社では、2016年9月にも2014年のサイバー攻撃で、5億人の個人情報が流出したと発表したが、今回発表した流出との関連はないとみられるという。
　また、日本のヤフーを運営するヤフージャパン社では、米国のヤフーとは別システムのため、情報流出は確認されていないという。

2016年12月2日

資生堂子会社のイプサで42万人の個人情報が流出

　資生堂社は、同社の子会社「イプサ」のインターネット通販サイトに不正アクセスがあり、同社の顧客42万1313人分の個人情報が流出した可能性があると発表した。
　流出した個人情報には、氏名、住所、電話番号、生年月日、メールアドレス等が含まれる他、最大で5万6121件のクレジットカード情報が流出した可能性があるという。
　今回の事件は、クレジットカード決済代行会社より情報流出懸念の連絡があり、個人情報流出が判明したという。

2016年11月21日

ローソンに不正アクセスでポイント不正使用被害

　ローソン社は、同社の「ローソンWEB会員向けサービスサイト」に第三者からの不正アクセスがあり、Pontaポイントに計3件18万4414ポイント（約18万円相当）の不正使用の被害があったことを発表した。
　不正アクセスは、パスワードリスト型攻撃によるものと見られている。

2016年11月16日

東北電力のウエブサービスに不正アクセス

　東北電力は、同社の会員制ウェブサービス「よりそうeねっと」に不正アクセスがあり、利用者540人のポイントが他社のポイントに交換されたと発表した。
　10日より15日にかけて大量の不正アクセスがあり、その後利用者から問合せがあったため不正アクセスが発覚した。
　不正アクセスは、パスワードリスト型攻撃によるものと見られている。

2016年11月15日

経団連のパソコンにサイバー攻撃

　経団連は、事務局のパソコンが外部から不審なアクセスを受け、標的型ウイルスに感染していたこと発表した。
　政府とやりとりした文書やメール、個人データなどが漏洩した可能性があるという。

2016年11月14日

椿本チェインで個人情報が流出

　椿本チエイン社は、同社が運営している「TT-net」（つばきパワトラ総合技術サイト）に外部から不正アクセスがあり、顧客の個人情報が流出した可能性があることを発表した。
　流出した可能性があるのは、同社の顧客6万4742人の氏名やメールアドレス、ログインユーザー名、パスワードなどで、同社では個別にお詫びを伝えるとともに、パスワードの再設定を要請している。

2016年11月9日

レンタル・サーバー会社カゴヤから個人情報が流出

　レンタル・サーバー会社のカゴヤ・ジャパン社は、同社の顧客情報を管理しているデータベース・サーバーに不正アクセスがあり、顧客情報が外部に流出した可能性があることを発表した。
　流出した可能性がある情報は、2万809件のクレジットカード情報を含む4万8685人分の個人情報で、氏名、住所、電話番号、メールアドレスが含まれるという。
　不正アクセスは、データベースサーバーの脆弱性を突いた、OSコマンドインジェクション攻撃によるものと見られている。

2016年10月26日

住宅ローン「フラッと35」の顧客情報が流出

　住宅金融支援機構が業務を委託する民間金融機関「優良住宅ローン」は、外部から不正アクセスを受け、住宅ローン「フラット35」利用者など3万7247人の個人情報が外部に流出した可能性があることを発表した。
　同社によると、メール管理サーバーが不正アクセスを受け、同社の役職員５人に届くメールが、外部に転送される設定に変更されていたという。

2016年10月10日

富山大へのサイバー攻撃で放射性物質研究施設から情報流出

　富山大学は、同大学の水素同位体科学研究センターがサイバー攻撃を受け、研究成果や共同研究者ら1492人分の個人情報が流出した可能性があることを発表した。
　サイバー攻撃を受けたのは、同大学の非常勤職員が管理していたパソコンで、知り合いを装って送られてきたメールの添付ファイルを開いてウイルスに感染したという。

2016年10月3日

エンファクトリーで不正アクセスにより個人情報が流出

　エンファクトリー社は、同社が運営するオンラインショップの「STYLE STORE」と「COCOMO」が第三者による不正アクセスを受け、クレジットカード情報を含む3万8313件の個人情報が流出した可能性があることを発表した。
　不正アクセスは、サイトで使用しているプログラムに脆弱性があったことが原因と見られている。

2016年9月30日

東急ハンズで不正アクセスにより861人の個人情報が流出

　東急ハンズ社は、同社が運営する通販サイトの「ハンズ・ギャラリー マーケット」が不正アクセスを受け861件の個人情報が流出した可能性があることを発表した。
　同社は、クレジットカード会社からカード情報流出の恐れがあると連絡を受け第三者機関で調査したところ、同通販サイトから流出の可能性があることが判明したという。

2016年9月22日

米ヤフーから5億人の個人情報が流出

　米国のヤフー社は、2014年にサイバー攻撃を受け、世界全体で少なくとも5億人分の個人情報が流出したことを発表した。
　　ヤフージャパン社は、日本でのサービスは独自運営されているため、日本の利用者への影響はないとしている。

2016年8月18日

調味料メーカーの一番食品のサイトよりカード情報が流出

　福岡県の調味料メーカーの一番食品社は、同社が運営するオンラインショップの「一番食品オンラインショッピング」において、最大でクレジットカード情報479件が漏えいした可能性があることを発表した。
　同社によると、「一番食品オンラインショッピング」を運営するシステム会社のWebサーバーに対してシステムの脆弱性をねらった不正アクセスがあったためという。
　6月にクレジットカード決済代行会社より、カード情報が漏洩している疑いがあるとの連絡を受け調査したところ、外部からの不正アクセスが判明した。

2016年7月28日

高島屋で顧客情報が流出

　高島屋社は、同社の日本橋店で421人分の顧客情報が流出していたことを発表した。
　同社の外商部に所属していた元社員が、顧客情報を個人のPCに移し、そのPCをリサイクル店に売却する際にデータの消去が不十分であることが判明したという。

2016年7月19日

同人誌印刷大手のグラフィックで不正アクセスにより個人情報が流出

　同人誌印刷大手のグラフィック社は、同社のデータベースが不正アクセスを受け、8985件の個人情報が流出したと発表した。
　7月1日に決済代行会社から情報流出の可能性を指摘され、調査を行ったところ、不正アクセスにより顧客情報の流出が判明したという。

2016年7月7日

東京動物園協会のホームページが不正アクセスでメールアドレス流出

　東京都は、東京動物園協会が管理する都立動物園・水族園の公式ホームページ「東京ズーネット」が外部から不正アクセスを受け、メールマガジン読者のメールアドレス約27,100件が流出したと発表した。
　職員がホームページが改ざんされていることを発見し、また、メールアドレスを保管しているサーバーにアクセスされた形跡があることも確認されたという。

2016年7月4日

柏市の職員のパソコンがウイルス感染

　柏市は、環境サービス課と宅地課のパソコンがウイルスに感染し、外部のサーバーと不正な通信を行っていたことを発表した。
　月額管理費の確認を求めるメールが両課に届き、職員が添付のファイルを開いたため、ウイルスに感染したという。

2016年6月30日

ヤマト運輸を装った不審メール出回る

　ヤマト運輸社は、同社からのメールを装った不審なメールが送信されているとして、注意を呼びかけている。
　不審なメールは、「宅急便お届けのお知らせ」などの件名で、同社の「お届け予定eメール」を装ったもので、添付ファイルを開くと、ログイン情報などを盗み取るトロイの木馬「Bebloh」に感染するという。

2016年6月27日

佐賀県教育システムに不正侵入で17歳の少年を逮捕

　警視庁サイバー犯罪対策課は、佐賀県の17歳の少年を佐賀県の教育情報システムに侵入したとして、不正アクセス禁止法違反容疑で逮捕した。
　逮捕容疑は、県立高校の教育情報システムに無線LANから他人のIDとパスワードを使用して不正に侵入し、成績表などのファイル約21万ファイルを盗み出し、また、佐賀県の教育情報システム「SEI-Net」に不正アクセスした疑いによるもの。
　少年は、6月6日に「B-CASカード」を使用せずにパソコンでデジタル放送を視聴できるプログラムを開発してネット上に公開したとして、不正競争防止法違反容疑で逮捕されたが、少年の自宅のサーバーを解析したところ、個人情報が発見されたという。

2016年6月24日

群馬県の職員のパソコンがウイルスに感染

　群馬県庁は、県庁の職員用のパソコン1台がウイルスに感染し、5日間外部と不正な通信を行っていたことを発表した。

2016年6月22日

静岡市、御前崎市で職員のパソコンがウイルスに感染

　静岡市と御前崎市は、標的型メールにより職員用のパソコンがウイルスに感染し、外部と不正な通信をしていたと発表した。
　メールに添付された圧縮ファイルを開いたことにより感染したとみられるが、ウイルス対策ソフトでは検知できなかったという。

2016年6月22日

ViViの通販サイトで個人情報が流出

　ハイプドビッツ社は、同社が運営するECプラットフォーム「スパイラルEC」が不正アクセスを受け、個人情報が外部に流出したことを公表した。
　外部に流出したのは、スパイラルEC上でウェアハート社が運営する女性月刊誌「ViVi」の公式通販サイト「NET ViVi Coordinate Collection」で注文を行った1万946人の氏名、住所、メールアドレス等の個人情報としている。
　7日にサイトの共同運営会社が異常に気づき調査した結果、不正アクセスが判明した。
　不正アクセスの原因は、システムの設定不備によるものとされている。

2016年6月20日

Apache Struts 2 の脆弱性を悪用するプログラムが公開される

　多くのウェブサイトで使用されている JavaアプリケーションフレームワークのApache Struts 2 に脆弱性が確認され、既に攻撃を受ける実証コードが公開されているため、脆弱性を修正したバージョンへの更新が呼びかけられている。
　脆弱性が悪用されると、サーバ上で第三者により任意のコードが実行される可能性があるという。

2016年6月14日

JTBから793万人分の個人情報が流出

　JTB社は、不正アクセスにより顧客の個人情報約793万人分が流出した可能性があると発表した。
　3月19日〜24日に内部から外部への不審な通信を確認したため、通信を遮断して調査したところ、4月1日にサーバー内にデータファイルが作成されその後削除された痕跡が見つかったという。
　また、同社のグループ会社「i.JTB」のPCでメール添付のファイルを開いたことからウイルスに感染したことがわかり、さらに、削除されたファイルを復元したところ、5月13日にファイルの中に個人情報が含まれていたことが見つかったため、JTB社は「事故対策本部」を発足させたという。
　JTB社では、かなり十分なセキュリティ対策を行っていると思われ、不正アクセスを発見することができましたが、残念なことは運用や体制に問題があり、情報流出を防げなかったことです。
　しかし、多くの企業ではセキュリティ対策が十分でないため、このレベルの不正アクセスを受けて情報が流出しても、気づいていない企業がかなりあることが予想されます。

2016年6月3日

電気通信大学のサーバーよりフィッシングメール280万件を送信

　電気通信大学は、学内のPCが不正アクセスを受け、約280万通のフィッシングメールを送信する踏み台とされていたことを発表した。
　不正アクセスを受けたのは、レーザー新世代研究センター研究室のPCで、不正アクセスを受け同大学のドメインからフィッシングメールが送信されたという。

2016年5月16日

情報セキュリティマネジメント試験の合格発表が行われる

　今年春から始まった“情報セキュリティマネジメント試験”の合格発表が行われ、合格率が88.0%であったことがわかった。
　受験者を見ると、90%以上が社会人で、平均年齢は39.8歳、合格者の平均年齢は40.1歳、最年少が14歳、最年長が72歳であった。
　かなり合格率が高くなりましたが、IPAでは「社会人としての経験が豊富な層の受験者が多かったことから、合格率が高い水準になったと考えられます。」とコメントしています。

2016年5月11日

amebaにパスワードリスト型攻撃による不正ログインが発生

　サイバーエージェント社は、同社が運営する「ameba」に5万905件の不正アクセスがあったことを発表した。
　223万6076回のログインの試行が行われ、その中の5万905件で不正ログインが成功したという。
　不正アクセスはパスワードリスト型攻撃によるもので、同社は全会員にパスワードの変更を呼びかけている。

2016年4月29日

栄光ゼミナールに不正アクセスで個人情報が流出

　栄光社は、同社の学習塾栄光ゼミナールのWebサイトに不正アクセスがあり、生徒や保護者2761人の個人情報が流出したことを発表した。
　同社によると、「ケータイキット for Movable Type」の修正版を適用した後、アクセスログを解析したところ、不正アクセスによる情報流出が見つかったという。
　脆弱性のあるソフトウェアの修正版を適用した後、念のため不正アクセスされていなかったのか確認したところ、既に不正アクセスを受けていたことがわかったということですが、不正アクセスされているのに気づいていないWebサーバーがかなりあることが予想されます。
　このソフトウェアを使用しているWebサーバの管理者は、修正版の適用だけでなく、不正アクセスされていないことを至急確認する必要があります。

2016年4月28日

エイベックスのWebサイトに不正アクセスで個人情報が流出

　エベックス・グループ・ホールディングス社は、同社の所属アーティストのWebサイトに不正アクセスがあり、サイトに入力した個人情報約35万件が流出した可能性があることを発表した。
　同社によると、使用しているソフトウェアに脆弱性があり、不正アクセスが行われたことが判明したという。

2016年4月23日

OSコマンドインジェクションの脆弱性の修正版が公開される

　J-WAVEの不正アクセスの原因となったソフトウェア「ケータイキット for Movable Type」を開発したアイデアマンズ社は、同ソフトウェアの修正バージョンを発表した。
　Movable Typeのプラグイン「ケータイキット for Movable Type」の画像処理機能に脆弱性があり、悪意のあるリクエストパラメーターにより任意のOSコマンドが実行できてしまうという。
　アイデアマンズ社では、利用者に対して、修正済みバージョンに必ずアップグレードするよう呼びかけている。
　なお、日本テレビの不正アクセスの原因となったソフトウェアが、本ソフトであるかどうかは明らかにされていない。

2016年4月22日

J-WAVEのWebサイトに不正アクセスで個人情報が流出

　FMラジオ局のJ-WAVEは、同社のホームページに不正アクセスがあり、個人情報約64万件が流出した可能性があることを発表した。
　不正アクセスは、ソフトウェアの脆弱性をついた、OSコマンドインジェクション攻撃によるもので、また、脆弱性のあるソフトウェアは、Movable Type用プラグインの「ケータイキット for Movable Type」であるとしている。

2016年4月21日

日本テレビのWebサイトに不正アクセスで個人情報が流出

　日本テレビホールディングス社は、日本テレビのホームページに不正アクセスがあり、個人情報最大で約43万件が外部に流出したこと可能性があることを発表した。
　流出した可能性があるのは、ホームページからプレゼントの応募や意見募集でフォームに入力した内容でクレジットカード情報はないという。
　不正アクセスは、ソフトウェアの脆弱性をついた、OSコマンドインジェクション攻撃によるものと見られている。

2016年4月1日

Mobageで不正ログインが発生

　ディー・エヌ・エー社は、同社が運営する「Mobage」で不正ログインが行われていたことを発表した。
　不正ログインが行われたのは今年1月9日〜4月1日の間で対象IDは最大104,847件になり、ニックネーム、生年月日、性別等が閲覧された可能性があるが、氏名やクレジットカード情報については閲覧された可能性はないという。
　不正ログインは、パスワードリスト型攻撃の可能性があるということで、同社は同じID・パスワードは使用ように呼びかけている。

2016年3月7日

江崎グリコに不正アクセスで最大8万件の顧客情報流出

　江崎グリコ社は、同社のオンラインショップサイトの「グリコネットショップ」が不正アクセスを受け、顧客の個人情報が流出した可能性があることを発表した。
　流出した可能性のある最大83,194件の個人情報のうち、43,744件にはクレジットカード情報も含まれ、クレジットカード会社から不正利用の可能性があるとの連絡を受け調査した結果、不正アクセスの形跡が見つかったという。

2016年3月3日

2015年のインターネットバンキングからの不正送金は30.7億円

　警察庁は、2015年にインターネットバンキングの口座から不正送金される被害額が約30億7300万円となり、昨年より5.6%増加し過去最悪を更新したと発表した。
　法人口座の被害が増えたことにより被害額も増え、特に信用金庫・信用組合の法人口座の被害は8倍に拡大しているため、企業にいっそうの対策を呼びかけている。
　大企業ではセキュリティ対策が進んでいるため、対策が遅れている中小企業がねらわれて、その結果、信用金庫・信用組合の法人口座が被害が増えているようです。
　中小企業でも情報セキュリティ対策をきちんと行わないと、会社経営上大きなリスクとなります。

2015年2月27日

京都動物愛護センターが不正改ざんされ、ウイルス感染の恐れ

　京都府と京都市が共同して運用している「京都動物愛護センター」は、同センターの外部委託先のホームページが不正アクセスにより改ざんされたため、同ホームページを閉鎖したと発表した。
　府職員が同センターのホームページを閲覧したときに、ウイルス対策ソフトがホームページのウイルスを感知して、不正アクセスが判明したという。

2016年2月15日

IPAが「情報セキュリティ10大脅威2016」を発表

　情報処理推進機構（IPA）は、「情報セキュリティ10大脅威2016」を発表した。
　情報セキュリティ10大脅威は、IPAより毎年発表されているが、昨年までは総合順位のみ発表であったのが、今年は総合順位、個人に対する順位、組織に対する順位の3種類の順位が発表された。
　総合上位3位は以下の内容となった。
　総合1位は、「インターネットバンキングやクレジットカード情報の不正利用」で、個人での1位、組織での8位。
　総合2位は、「標的型攻撃による情報流出」で、組織での1位。（個人ではランク外）
　総合3位は、「ランサムウェアを使った詐欺・恐喝」で、個人での2位、組織での7位。

2016年2月2日

ヤフー子会社で顧客情報18万件がネットに流出

　ヤフー社の子会社であるワイジェイFX社は、顧客情報18万5626件と営業機密情報が元従業員により持ち出され、インターネット上で誰でも閲覧できる状態になっていたことを発表した。
　流出は外部からの通報で発覚し、調査した結果、元従業員による持ち出しが確認された。
　元従業員はデータを持ち出し、ネットに接続されている私用のサーバーに保管したが、設定を誤り外部から閲覧できる状態になっていたため、データの持ち出しが発覚した。
　またSEによる顧客データの持ち出しによる事件が発生してしまいました。企業も社員への教育や流出防止対策を行っているはずですが、完全には防げないようです。

2016年2月1日

Amazonをかたるフィッシングサイトが見つかる

　フィッシング協議会は、amazonをかたるフィッシングサイトが見つかったとして、注意を呼びかけている。
　このフィッシングサイトは、amazonのサイトのアドレスによく似ていて、デザインも似せたものとなっている。
　amazonから送られたように見せかけたフィッシングのメールのアドレスを開くと、このフィッシングサイトに誘導され、このサイトにパスワードを入力すると、パスワードが盗まれる可能性があるという。
　amazonのようにメールで取引が行われるところから、取引のメールにそっくりのメールが送られてくると、疑わずにリンク先もクリックしそうです。
　インターネットを使っている以上、それを使うリスクも大きくなっていますので、慎重な対応が必要です。

2016年2月1日

財務省・金融庁のホームページがアクセス障害

　財務省と金融庁のホームページが1月31日深夜からアクセスできない状態となった。
　厚生労働省のホームページも同じ時間にアクセスできない状態となったが、2時間ほどで復旧したという。

2016年1月22日

核物質管理センターのPCから情報流出

　原子力施設の核査察などを行っている公益財団法人核物質管理センターは、同センターの六ケ所保障措置センターの職員が使用するPCが外部と不正な通信を行っていたことを発表した。
　このPCには、職員が無断でファイル共有ソフトをインストールしていて、このソフトから情報が流出した可能性あるが、PCには核物質などの機密情報はなかったという。

2016年1月21日

ネットワークカメラの映像を公開しているサイトが話題に

　監視カメラや防犯カメラとして使用しているネットワークカメラで映した映像で外部から見られるものを集めたロシアの「Insecam」サイトが話題になっている。
　同サイトでは、世界各地に設置されているネットワークカメラのうち、外部からアクセス出来るサイトを集めて映像を公開しているが、日本のネットワークカメラも5000台以上公開されていて、カメラを設置している人は注意が必要である。
　インターネットにネットワークカメラを接続した場合、そのままでは誰でも映した映像を見られるため、セキュリティ設定を行う必要がありますが、まったくセキュリティ設定を怠っていたり、設定するパスワードが初期値の場合には、外部からのぞかれてしまう可能性があります。
　ネットワークカメラの設置は業者まかせにすることが多いのが現状ですが、セキュリティの設定は設置者の責任ですので、安易に設置しないでセキュリティに十分気をつけて設置する必要があります。

2016年1月18日

金融庁のホームページに障害、サイバー攻撃の可能性

　金融庁のホームページが18日朝から夕方までの間、断続的につながりにくい状態になった。
　「アノニマス」を名乗る人物による金融庁へのサイバー攻撃を示唆する書き込みがインターネット上にあったという情報があるが、確認はされていない。
　サイバー攻撃は、DDoS攻撃によるものとみられている。

2016年1月13日

日産がホームページを一時閉鎖

　日産自動車社は、同社のホームページを一時閉鎖したと同社のFacebookで発表した。
　日産自動車のホームページが12日夜からつながりづらくなり、また「アノニマス」がツイッター上で同社のホームページを攻撃を示唆する投稿があり、「アノニマス」によるDDoS攻撃の可能性があるとして、同社で原因を調べている。

2016年1月13日

北大がサイバー攻撃を受け、個人情報流出の可能性

　北海道大学は、学内のサーバーが不正アクセスを受け、サーバー内の在学生、卒業性、企業などの個人情報約11万件が流出した可能性があることを発表した。
　これまでに具体的に被害を受けた情報はないが、外部のサーバーと不審な通信を行っていたことが判明したという。

2016年1月13日

Adobeが Acrobat DC と Acrobat Reader DC を更新

　Adobe Systems社は、定例セキュリティアップデートにより Adobe Acrobat DC と Adobe Acrobat Reader DC の最新版を公開した。
　ただし、これらより前のバージョンである Acrobat X や Adobe Reader X についてはすでにサポートが終了しているため　セキュリティアップデートは提供されないが、Windows Vista や Mac OS X 10.5 で稼働するバージョンは X が最後のため、これらの OS で X を使っている場合には、別のPDFソフトに移行しないとセキュリティリスクが増大するため注意が必要となる。
　Windows Vista や Mac OS X 10.5 は、OSとしてはサポート対象ですが、Adobe でのサポート対象外となっている状況は情報セキュリティ対策としての盲点になります。「使用しているソフトウェアをアップデートして最新化する」という対策では対応できないケースになっていて、十分な対策を行うためには個別のリスク分析が必要であることがわかります。

2016年1月13日

古いバージョンのIEのサポートが終了

　Microsoft社が月例セキュリティ情報を公開し更新プログラムを提供した。
　今回の更新でのIE（インターネット・エクスプローラー）に対する更新プログラムの提供は、Microsoft社のポリシー変更により各OSで稼働可能なIEの最新バージョンのみ更新プログラムの提供が行われるようになるため、古いIEに対する更新プログラムの提供は今回が最後となった。
　古いIEを今後も続けて使用していると、脆弱性が見つかっても更新プログラムが提供されないため、セキュリティ上のリスクが増大するため、最新版のIEへの更新が必要となる。
　WindowsUpdateを行っていれば、自動的に最新版のIEがインストールされますが、WindowsUpdateを行っていなかったり、最新版のIEのインストールが事情によりできない場合には注意が必要です。
　どうしても古いIEを使わなければならない場合には、WindowsXPを使わなければならない場合と同様の対策が必要になります。

2015年

　2015年の情報セキュリティ ニュース・事件は、こちらを参照してください。