情報漏洩

TOKYOMXのWebサイトへ不正アクセス。37万人分の視聴者情報流出

TOKYOMXのWebサイトへ不正アクセス。37万人分の視聴者情報流出

TOKYOMXは10月4日、同社Webサイトへの不正アクセスを受け、視聴者情報37万人分が流出したと同社Web上で発表を行いました。 同社によると、流出した視聴者情報は、一部番組のコメント用フォームから投稿された氏名とメールアドレス約1270件、およびニックネームとメールアドレスのべ37万件との事。 不正アクセスが発覚したのは、10月3日。同社Webサーバへのアクセスの異常値が検知されたため、調査したところ外部からの不正アクセスが発覚。サーバの一部プログラムの脆弱性を悪用された事が原因とみられている。 同社は、不正アクセスの発覚後、原因となったコメントフォームを利用停止し情報流出拡大を防ぐ対策を講じたとのこと。なお、今回の不正アクセスでは住所、電話番号、クレジットカード情報は含まれていないとのこと。 不正アクセスの流れ 不正アクセスによる情報漏洩の被害は今となっては珍しいことではなく、身近なリスクとなってきました。不正アクセスはどの様に行われ、何が行われるか、事前準備から情報窃取までの段階に至るまで段階別に応じて主な流れを紹介します。 1.事前調査 フットプリンティング 攻撃を行う前に攻撃対象の弱点を調べる情報収集を行う下見の事です。 ポートスキャン 不正アクセスを行う前に攻撃対象のポートに抜け穴がないかチェックする行為です。 2.不正アクセス(権限取得) ■パスワードクラックを用いた攻撃手法 辞書攻撃 人名・地名など辞書に載っているような言葉や誕生日などを組み合わせて解読を行う方法の事です。 ブルートフォースアタック(総当たり攻撃) 推測されうるパスワードを全て総当たりで試してログインを行う攻撃のことです。 パスワードリスト攻撃 他のサービスで流出したアカウントを利用して不正アクセスを行う攻撃のことです。ID・パスワードを別サービスで使いまわして利用しているケースを悪用した攻撃のことです。 ■脆弱性を悪用した攻撃手法 OSコマンドインジェクション 内部でOSコマンドを呼び出すWebアプリケーションの脆弱性を悪用し、外部から不正なOSコマンドを実行させる攻撃のことです。 SQLインジェクション 内部のデータベースと通信するWebアプリケーションの脆弱性を悪用し、外部からデータベースに不正なSQLコマンドを実行する。 クロスサイトリクエストフォージェリ(CSRF) 情報の書き込み、設定の変更、注文の確定等を行うWebアプリケーションへ直接リクエストを送信するような罠ページへユーザーを誘導する攻撃のことです。 クロスサイトスクリプティング(XSS) 動的に生成されるページの脆弱性を悪用し、任意のタグやスクリプト等を埋め込むよう仕向ける攻撃です。 3.不正を実行 盗聴…通信を流れるデータを盗聴し情報を不正入手します。…
国交省サイトへ不正アクセス、登記情報約19万件流出

国交省サイトへ不正アクセス、登記情報約19万件流出

6月6日、国土交通省は、同省が運営するWebサイト「土地総合情報システム」内の機能である「不動産取引価格アンケート(電子回答)」のサイトへ不正アクセスを受け、登記情報やアンケートの回答が流出した可能性があると発表しました。 流出したアンケートの回答情報は、2017年4月7日から6月2日までに同サイト上で作成された不動産取引価格アンケート回答の情報(氏名・法人名、契約日、取引価格等最大4,335件)と所有権移転登記情報(登記原因日、地番、地目、面積(登記名義人の名称を除く)。最大194,834件)との事です。 今回の不正アクセスの原因は、Webアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用した不正プログラムの設置によるものと国交省は発表しています。 さいごに 国交省によると、2017年6月2日に「土地総合情報システム」の電子回答システムの緊急停止を行っており、今後については、個人情報流出の有無について調査を行い、システム監視の強化や再発防止対策を検討中との事です。   今年4月にも総務省が運営するサイトにも「Apache Struts 2」の脆弱性を利用した攻撃が発生しており、大手企業や官公庁を狙った攻撃が相次いでいました。 関連記事はこちらから 総務省サイトへ不正アクセス、約2.3万人の個人情報漏洩 Apache Struts2の脆弱性を突く攻撃被害が相次ぐ 日本郵便へ不正アクセス、個人情報約2万9千件情報流出 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら
総務省サイトへ不正アクセス、約2.3万人の個人情報漏洩

総務省サイトへ不正アクセス、約2.3万人の個人情報漏洩

総務省は4月13日に、政府統計システムの地図情報サイト「地図による小地域分析」(jSTAT MAP)がWebアプリケーション「Apache Struts 2」の脆弱性を突いた不正アクセスを受け約2.3万人分の個人情報漏洩が発生したと発表しました。 原因は、同サイトで利用していたWebアプリケーション「Apache Struts 2」の脆弱性を利用され、不正プログラムを仕掛けられたことによる情報窃取の被害を受けたことです。 漏洩した個人情報は、公表済みの統計情報に加え、サービス開始の2013年10月以降にユーザー登録した約2万3000人分の個人情報(氏名、性別、年齢、職業、会社・学校名、電話番号、メールアドレス、サイトの利用目的など)と利用者がアップロードした情報とのことです。 今後の対応について 総務省によると、4月11日正午に同サイトを停止しており、サイト停止以降の情報漏洩はないとのことです。 なお、同サイトを利用したことにより、ユーザーPCへのウイルス感染などの影響はないと否定しています。 同サイトの再開については、不正アクセスや情報漏洩対策を行った上でサービスを再開予定。 セキュリティ対策については、脆弱性解消やシステム監視強化に取り組むとのことです。 <図1>地図による小地域分析(jSTAT MAP)」より引用 さいごに 「Apache Struts 2」の脆弱性を利用した攻撃は、日本郵便、沖縄電力、ニッポン放送などでも同様の攻撃を受け、個人情報漏洩の被害が発生しました。 関連記事はこちらから Apache Struts2の脆弱性を突く攻撃被害が相次ぐ 日本郵便へ不正アクセス、個人情報約2万9千件情報流出 Webサイトの脆弱性を突いた攻撃が相次いでいます。修正パッチが発表された際は、速やかにバージョンアップを行うことで脆弱性を解消しておきましょう。 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら
Apache Struts2の脆弱性を突く攻撃被害が相次ぐ

Apache Struts2の脆弱性を突く攻撃被害が相次ぐ

Webアプリケーションフレームワークの「Apache Struts2」の脆弱性を突いた不正アクセスやWebサイト改ざんなどの被害が相次いで発生しています。 「Apache Struts2」の脆弱性による危険性はIPA(情報処理推進機構)やJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)などから3月8日に既に注意喚起が行われていました。 セキュリティベンダー大手のラックによると、3月7日から「Apache Struts2」脆弱性に対する攻撃が増加しており、3月9日だけで攻撃被害や重要インシデントが10件超発生したとのこと。 攻撃手法は、ウェブサイトへのバックドアの設置やIPS/IDSによる検知回避を狙ったSSL・TLS暗号化通信を介しての攻撃が観測されています。 また、今回の攻撃の特徴の一つとして、URLへ攻撃コードを埋め込むのではなく、「Content-Type」というHTTPのヘッダーに挿入されることから、ログの取得設定にもよるが攻撃の痕跡がログに残らない可能性も指摘されています。 <図1>インシデント通知推移(ラック掲載資料より引用) 沖縄電力運営Webサイトへの攻撃被害 3月15日、沖縄電力によると、同社が運営するWebサイト「停電情報公開サービス」が「Apache Struts2」の脆弱性を突かれ、第3者による不正アクセスによる情報漏洩、またはWebサイトの改ざん被害が発生しました。 同サイトの希望者に停電情報を配信する「メール配信サービス」に登録している顧客情報6478件(メールアドレス、ニックネーム、停電情報の配信希望地域)が情報流出した可能性が高いとのことです。 ニッポン放送のWebサイトへも攻撃被害 3月17日ニッポン放送は、同社が運営する音声ネット配信サービス「Radital(ラジタル)」のWebサイトが不正アクセスを受け、サイトの改ざん被害と個人情報が流出したとの発表を行いました。 同社のサイトへの不正アクセスは、沖縄電力運営サイト同様に、「Apache Struts2」の脆弱性を利用したものでした。 流出したとされる個人情報は、「Radital」の商品発送フォームから作成された 氏名・住所・電話番号・メールアドレス11,330件(2012年10月18日~2017年3月1日の期間の利用者)。 「Radital」会員のメールアドレス・ニックネーム・生年月45,984件(2012年9月3日~2017年3月11日の期間の登録者)とされています。 ※氏名・住所・電話番号・クレジットカード情報は含みません。 さいごに 「Apache Struts2」の脆弱性に関して注意喚起が行われている中で、脆弱性を利用した攻撃被害が相次いで発生しました。 被害にあった中には、「Apache Struts2」の脆弱性について把握していながらも、対応協議中に被害に遭うケースなどもあったようです。 なお、今回の件は公式サポートが終了した「Apache Struts 1」への影響は不明とのことです。 影響を受けるバージョンは下記のバージョンです。…
日本郵便へ不正アクセス、個人情報約2万9千件情報流出

日本郵便へ不正アクセス、個人情報約2万9千件情報流出

3月13日、日本郵便は同社が運営する「国際郵便マイページサービス」へ第3者による不正アクセスが発生し、約2万9千件のメールアドレスと送り状約1100件の情報が流出したとの発表を行いました。 同社が運営する「国際郵便マイページサービス」とは、EMSや国際小包、国際書留を発送する際の送り状やインボイスの作製サービスを提供しているサイトです。 不正アクセスにより流出した情報は、3月12日から3月13日の間に「国際マイページサービス」上で作成された送り状約1100件とメールアドレス(顧客情報)約2万9千件との事です。 今回の不正アクセスはアプリケーションフレームワーク「Apache Struts2」の脆弱性(CVE-2017-5638)を利用されたことが原因とされています。 同サイトの閲覧によるマルウェア感染はないとの事です。 Apache Struts2とは 「Apache Struts2」とはアメリカにあるオープンソースソフトウェアの開発を支援するApache Struts財団が開発したウェブアプリケーションのフレームワークのことです。Apache Struts財団によりオープンソースソフトウェアとして無償で提供されているものです。 さいごに 同社の発表によると被害にあったページは、3月13日にサービスを緊急停止し、対策を講じた上で3月14日に復旧を行ったとのこと。 今後の対応策について、情報流出した可能性のあるユーザに対して個別に連絡を行い、システムの監視を強化する事で再発防止を強化するようです。 また、IPA(情報処理推進機構)やJPCERT/CCなどは「Apache Struts2」の脆弱性を悪用した攻撃の危険性を指摘しており、Web上で注意喚起を行っています。 開発元のApache Software財団により、脆弱性を修正した最新バージョンが公開されているため、最新バージョンに更新する事で、脆弱性を解消しておきましょう。 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら
静岡県湖西市、1992名分のマイナンバーを誤送付

静岡県湖西市、1992名分のマイナンバーを誤送付

静岡県湖西市は、ふるさと納税者の通知書を納税者が居住する自治体に送付した際、関係ない別人のマイナンバーを記載して送付していた事を発表しました。 湖西市によると、同市へふるさと納税を行った5853人に関して、納税者が居住する全国の自治体に通知書を送付したところ、一部で誤って、他の納税者のマイナンバーを記載してしいると連絡があったことから発覚しました。 この連絡を受け、全送付分のデータを調べたところ、1992人分の誤記載が判明し、関係する自治体に報告を行いました。 マイナンバー誤送付の原因 湖西市によると今回の原因は、納税者の個人情報管理に使用している表計算ソフトの操作ミスとのことです。 表計算ソフトでの作成の際、氏名や住所を記載する欄とマイナンバーの欄にずれが発生し、そのまま通知書として印刷した為、ふるさと納税寄付者とは異なるマイナンバーが届けられたのが原因としています。 重大事態とは 今回の1992人分という大人数の個人情報漏洩は、マイナンバー法で定められた「重大事態」に該当します。 「重大事態」とは個人情報保護委員会が「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」に定められている規則のことです。その規則に基づくと以下の4点が重大事態と定められています。 情報提供ネットワークシステム等又は個人番号利用事務を処理するために使用する情報システムで管理される特定個人情報が漏えい等した事態。 漏えい等した特定個人情報に係る本人の数が100人を超える事態。 特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ閲覧された事態。 従業員等が不正の目的をもって、特定個人情報を利用し、又は提供した事態。 重大事態が発生した場合は、速やかに個人情報保護委員会への報告を行うように規定されています。報告内容は情報漏洩事故の概要と原因、個人情報の内容、再発防止予防措置となっています。 マイナンバー制度におけるセキュリティ対策 マイナンバー制度やマイナンバー制度に必要なセキュリティ対策について、特設サイトを設けて説明しています。 こちらもあわせてご覧下さい。 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら
埼玉県の病院で約3600人分の個人情報が入ったUSBメモリーを紛失

埼玉県の病院で約3600人分の個人情報が入ったUSBメモリーを紛失

埼玉県立循環器・呼吸器病センターに所属する医師が約3600人分の患者の個人情報が入ったUSBメモリーを紛失したと同センターにより発表がありました。 USBメモリーに保存されていた個人情報は、同センターで受診を行った患者の情報で「氏名、生年月日、性別、診察券番号、処置年月日、処置の内容、放射線検査画像及び担当医師の氏名」が保存されていたとの事です。 また、漏洩した個人情報の不正利用は確認されていないとし、患者らへ説明・謝罪を行うとしています。 USBメモリー紛失の原因 埼玉県によると、USBメモリーを紛失した医師は、1月25日の勤務終了後、処置記録データを自宅のパソコンで整理するため、病院の内部規定に違反してUSBを許可なく持ち出したとの事。 その後、タクシーでの帰宅途中に、USBが入ったバッグがないことに気付き紛失が発覚。なお、紛失したUSBメモリーにはパスワード設定がされていなかったとのことです。 USBメモリーのセキュリティ対策 この様なセキュリティ事故のリスクを低下させる為に、USBメモリーのセキュリティ対策をご紹介します。 1.外部への記憶媒体や端末の持ち出しは控えるようにしましょう。 2.万が一、外部へ記憶媒体や端末を持ち出す際は事前申請を義務付けましょう。 ※いつ、誰が持ち出したか後で記録を追えるようにし、インシデント発生時の対応方法や責任を明確にしておきましょう。 3.USBメモリーには、最低限使用するデータのみ入れましょう。 ※万が一に備えて必要のない機密情報、個人情報は入れないようにしましょう。 4.USBメモリーには、パスワード設定、または暗号化を行いましょう。 5.持ち運びの際、USBメモリーの入った鞄は手元に置き目を離さないようにしましょう。 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら
日本診療放射線技師会で個人情報が保存されたPCの盗難被害

日本診療放射線技師会で個人情報が保存されたPCの盗難被害

日本診療放射線技師会で個人情報が保存されたPCの盗難被害 日本診療放射線技師会は、役員に貸与していた個人情報が保存されたノートPCが盗難被害にあったことを11月11日にホームページ上で発表いたしました。 日本診療放射線技師会の発表によると、盗難されたノートPCには、講習会受講者や委員会委員等の氏名、会員番号、メールアドレス、施設名等、施設名等住所、施設名等電話番号、携帯電話番号など1022名の個人情報が保存されていました。 盗難被害にあった場所や状況などは公表されておりませんが、盗難されたノートPCには、ID・パスワードをかける措置は行っており、盗まれた端末からの個人情報の外部流出は確認されていないそうです。 必要なセキュリティ対策 今回盗難被害にあった端末はノートPCでした。ノートPCは、持ち運びが便利で利便性が高い反面、盗難や紛失の危険性も孕んでいるため、十分な注意が必要です。オフィス内のセキュリティも含めて以下のセキュリティ対策を推奨いたします。 1.パソコンにID・パスワードを設定しておきましょう。 2.セキュリティワイヤーでパソコンを固定しておきましょう。 3.ハードディスクの暗号化を行いましょう。 ※近年外部端末の持ち出しによる紛失や盗難が原因の個人情報漏洩ケースが増えています。データをフォルダ、ファイル事に暗号化するのではなく、OSを含めたハードディスク丸ごと暗号化しセキュアな状態に保ちましょう。 4.来訪者用のゲストカードを作成しましょう。 ※建物内では、関係者か関係者以外の来訪者かは判別が付きにくい為、来訪者には来訪者用のゲストカードを配布し、入退室の管理を行いましょう。 5.入退室管理システムを使用し、関係者以外のアクセス制限を設けることも大切です。 ※社長室や役員用執務室など企業・組織において重要情報を扱う部屋には、社内でもエリア事に立ち入り制限を設け、セキュリティ強度を高めておく必要があります。 6.外部に持ち運ぶ端末は、鍵のついた保管場所へ厳重に端末管理を行いましょう。 ※使用者、使用日時など履歴に残しておくと万が一の時に記録を遡ることができます。 アルテミスが推奨する理想のオフィスセキュリティはこちら 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら
2016年度上半期マイナンバー含む個人情報漏洩66件、そのうち「重大事態」2件も

2016年度上半期マイナンバー含む個人情報漏洩66件、そのうち「重大事態」2件も

2016年度上半期マイナンバー含む個人情報漏洩66件、そのうち「重大事態」2件も 政府の個人情報保護委員会によると、今年4月から9月までの半年間でマイナンバーを含む個人情報漏洩や紛失の事故が66件あったと発表がありました。また、66件中、行政機関が2機関より3件、地方公共団体が30機関で37件、民間事業者が17機関で26件と合計66件との事でした。 そのうち個人情報保護員会が定める100人以上の特定個人情報漏洩が起きた「重大事態」は2件にものぼり、いずれも民間事業者からの漏洩事故であることも判明しました。 特定個人情報における「重大事態」とは 「重大事態」とは個人情報保護委員会が「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」に定められている規則のことです。その規則に基づくと以下の4点が重大事態と定められています。 1、情報提供ネットワークシステム等又は個人番号利用事務を処理するために使用する情報システムで管理される特定個人情報が漏えい等した事態。 2、漏えい等した特定個人情報に係る本人の数が100人を超える事態。 3、特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり、かつ閲覧された事態。 4、従業員等が不正の目的をもって、特定個人情報を利用し、又は提供した事態。 重大事態が発生した場合は、速やかに個人情報保護委員会への報告を行うように規定されています。報告内容は情報漏洩事故の概要と原因、個人情報の内容、再発防止予防措置となっています。 2016年上半期におけるマイナンバーを含む重大事態の事故について 上半期でのマイナンバーを含む個人情報漏洩件数は66件中2件が「重大事態」と個人情報保護委員会からの発表にありました。同委員会からの発表によると重大事態の2件の情報漏洩事故は以下の2ケースです。 1、従業員等約400 人分のマイナンバーが記載された扶養控除等申告書を車で郵便局へ運ぶために、移動途中、車を離れた際に車両の窓ガラスを割られ盗難を受けたケース。 2、従業員の情報管理を委託されていた会社が特定個人情報を含む個人情報400人余りのデータを誤って削除してしまったケース。 特定個人情報を含む情報のセキュリティ対策 2015年10月5日のマイナンバー法施行から約1年以上が経過し、2016年1月1日からのマイナンバー制度の運用から約10か月経ちました。 企業は、マイナンバーを厳重に管理するよう法に定められ、不正に漏洩を行った際には厳しい罰則も設けられています。 企業や組織は、顧客情報・社員情報など幅広い情報資産を扱っています。 その為、厳重な情報セキュリティ対策を欠かすことはできませんが、今回の「重大事態」のケースに照らし合わせながら、そのセキュリティ対策を解説していきます。 1、紙媒体に記載されたデータを外部へ輸送する際は、中身が見えない封筒を用い、開封防止用の梱包材を用いる事。 2、郵便を使用して紙媒体の重要情報を輸送する際は、配送状況を確認できるサービスを利用する事。 3、データ上に記録されている場合は、バックアップを取っておき、万が一のデータの消失・改ざんに備えること。誰がいつアクセスを行ったかログを取る事も大切です。 4、特定個人情報を含む重要な情報は、金庫などに保管し厳重に管理する事。 5、特定個人情報を含む重要な情報を扱うエリアは入退室管理システムを使って関係者以外が入室できないようエリア別制限を行うこと。 マイナンバーを含む情報セキュリティ対策のことならお気軽にご相談ください。 お問い合わせはこちら
米ヤフー、5億件の個人情報漏洩。国家関与による攻撃か

米ヤフー、5億件の個人情報漏洩。国家関与による攻撃か

米ヤフー、5億件の個人情報漏洩。国家関与による攻撃か 米ヤフーは9月22日、2014年後半に同社ネットワークへのサイバー攻撃を受け、5億件ものユーザ情報の漏洩があったと発表を行いました。5億件もの情報漏洩事案は、大規模な情報セキュリティの事故です。 流出した個人情報 流出した個人情報は、氏名・メールアドレス・電話番号・生年月日・ハッシュ化されたパスワードおよび秘密の質問と答(一部ユーザ)とされており、ハッシュ化されていないパスワード・クレジットカード・銀行口座情報は含まれていないとのことです。 ですが、上記情報が漏洩したことにより、第3者による不正ログインなどの危険性もあります。 今回の情報漏洩の原因 また、同社はこの流出を引き起こした攻撃について「特定の国家が関与した可能性」を示唆し、FBI等捜査当局と協力しながら調査を進めるとしており、国家機関による支援を受けたハッカーからの攻撃と推定しています。 なお、今回の件を受けて、該当するユーザに対し、パスワードや秘密の質問の変更、および二段階認証等の使用を呼び掛けています。 各国でも整備が進むサイバー防衛専門部隊 国家機関と疑われる組織からの攻撃は、ここ数年、よくニュースでも取り沙汰されています。2011年にアメリカ国防省は、サイバー空間を陸・海・空・宇宙に次ぐ「第5の戦場」と位置づけており、いまやサイバー空間は安全保障の分野にまで広がってきています。 日本でも2011年に大手防衛関連会社が標的型攻撃によるサイバー攻撃を受け、国家機関からの攻撃ではないかと疑われていました。この様に、近年急速に相次いでいる国家機関からと疑われるサイバー攻撃の状況から、アメリカ軍では2010年にサイバー軍を創設するなど各国の軍や国防組織でもサイバー専門部隊を発足し、サイバー防衛への取り組みを強化しています。 その様な各国の流れの中で、日本にもサイバー防衛専門部隊を自衛隊にも設けており、簡単に概要を紹介いたします。 ・自衛隊サイバー防衛隊 サイバー防衛隊は、2014年に発足した自衛隊の陸海空統合部隊です。約100人程の規模とされており、防衛省によると、主に防衛省・自衛隊のネットワーク監視や外部からのサイバー攻撃の防衛、サイバー攻撃への脅威情報収集・分析・研究を行う組織となっています。 米ヤフー社、個人情報漏洩の日本への影響と取り組むべき対策 「Yahoo! JAPAN」を運営する日本のヤフー株式会社は、自社が運営する公式ツイッターで今回の米ヤフー社の情報漏洩は日本での影響はないと発表しております。 ですが、別のサービスでYahoo!と同じパスワードを使っている場合、連鎖的に不正ログインの被害を受ける可能性が高く、また、サービスを頻繁に利用せず、アカウントを作ったきり放置している場合、これもまた不正行為の温床となります。まず、アカウントを作成していたかどうか確認の上、速やかにパスワードを変更すること(もちろん、他のサービスでは使っていない、推測されにくいパスワードにすること)を推奨致します。 情報セキュリティに関することならお気軽にご相談ください。 お問い合わせはこちら