愛知県豊田市において、メール送信時にBCCを用いて強制的に送信するシステムが一時停止し、メールアドレスが流出したことがわかった。委託先がライセンスの更新手続きを失念していたという。

メールシステムの運営を受託しているひまわりネットワークにおいて、同システムの稼働に必要なソフトウェアライセンスについて更新手続きをし忘れたことから、一時的にシステムが停止したという。

今後は次の対策を講じ、再発防止を徹底してまいります。
・ライセンス管理システム導入によるライセンス有効期限の管理強化
・ライセンス有効期限が近づいたことを知らせるアラート機能の導入
・テストメール送信による強制BCC機能の稼働状態の定期確認

DeNAの公式Twitterによれば、同社の新卒採用向けアカウント「@DeNA_shinsotsu」が乗っ取り被害に遭ったことが3月14日に判明したもの。

去年、兵庫県尼崎市ですべての市民の個人情報が入ったＵＳＢメモリーが一時、紛失した問題を受けて、市は来年度から情報セキュリティーについて専門的な知識を持った人材を外部から登用するなど管理体制を強化します。

-略-

また、個人情報を扱う業務に携わるすべての人に管理の意識を徹底してもらうため、委託先の事業者にも研修を行い、市の職員の研修の回数も増やすことにしています。
市は、これらに必要な経費としておよそ５８０万円を新年度予算案に計上します。

Linux Foundationは、オープンソースソフトウェアを安全に開発、使用する方法について学習できる無料オンラインコンテンツ「セキュアソフトウェア開発」の提供を開始した。

同コンテンツは、ソフトウェアやウェブアプリケーションの開発者など、セキュアなソフトウェアの開発方法を学習することができるオンライン講座。従来、英語で提供してきたが、日本語による受講にも対応した。

1. はじめに
2. パート1：要件、設計、および再利用 - 概要
3. セキュリティの基本
4. 安全な設計原則
5. 外部ソフトウェアの再利用
6. パート2：実装 - 概要
7. 入力の検証
8. データを安全に処理する
9. 他のプログラムを呼び出す
10. 出力の送信
11. パート3：検証およびより専門的なトピック
12. 検証
13. 脅威モデリング
14. 暗号化
15. その他のトピック
16. 最終試験

　報告書では、USBメモリーや関係するパソコンなどを調査した結果、個人情報の漏えいは確認されなかったということです。

　また、市が契約書等で定めていたにもかかわらず、承諾を得ることなく委託業務の再委託や再々委託が行われていたほか、メモリの運搬については「鍵付きの金属ケース」での運搬が規定されていましたが、行われていなかったと指摘。

　さらに委託先の従業員がデータ移転作業後の飲み会について異議や注意喚起を行わなかったなど委託業者側の管理監督が行き届いていなかったとしています。

　また、市側も外部業者の濫用を抑止し、データの管理者としてチェック機能を効かせられなかったとも指摘してます。

米Twitter社から漏えいしたTwitterアカウントデータ約540万件が、ハッカーフォーラムで公開されていると、米メディアBleeping Computerが報じている。公開されたのはアカウントのID、名前、ログイン名、電話番号、メールアドレスなど。1月に見つかったTwitterの脆弱性を突いた攻撃により盗まれたもので、8月には3万ドル（約405万円）で販売されていた。

In January 2022, a vulnerability in Twitter's platform allowed an attacker to build a database of the email addresses and phone numbers of millions of users of the social platform. In a disclosure notice later shared in August 2022, Twitter advised that the vulnerability was related to a bug introduced in June 2021 and that they are directly notifying impacted customers. The impacted data included either email address or phone number alongside other public information including the username, display name, bio, location and profile photo. The data included 6.7M unique email addresses across both active and suspended accounts, the latter appearing in a separate list of 1.4M addresses.

This only contains 5.4 Million users, and is missing the 1.4 Million suspended accounts mentioned in the description.

Compromised data: Usernames, Display names, Bios, Locations, Email addresses, Phone numbers


2022年1月、Twitterのプラットフォームの脆弱性により、攻撃者がソーシャルプラットフォームの数百万人のユーザーの電子メールアドレスと電話番号のデータベースを構築することができました。その後2022年8月に共有された開示通知で、Twitter社は、この脆弱性は2021年6月に導入されたバグに関連しており、影響を受けた顧客に直接通知していることを助言しました。影響を受けたデータには、ユーザー名、表示名、経歴、所在地、プロフィール写真などの公開情報とともに、メールアドレスや電話番号のいずれかが含まれていました。このデータには、有効なアカウントと停止中のアカウントの両方で、670万件のユニークなメールアドレスが含まれており、後者は140万件のアドレスの別リストに表示されています。

このデータには540万人のユーザーしか含まれておらず、説明にある140万人の停止中のアカウントは含まれていません。

漏洩したデータ。ユーザー名、ディスプレイ名、経歴、所在地、電子メールアドレス、電話番号

セキュリティ専門家による調査の結果、お客さまのメールアドレスおよびお客様管理番号が保管されているデータサーバーのアクセス履歴からは、第三者によるアクセスは確認することはできないものの、同時に完全には否定できない状況という。

「T-Connect（ティーコネクト）」とは、トヨタが展開する通信サポートサービスです。T-Connect（ティーコネクト）では、前身であるG-BOOKのサービスを継続しながら、専用アプリのダウンロードやAIによる案内、有人による対応など、様々な新サービスを追加しました。

T-Connect（ティーコネクト）対応車にはOSが装備されているので、エンジンをかけるとすぐに通信が始まります。T-Connect（ティーコネクト）の利用には「T-Connect（ティーコネクト）ナビ」の他に、モバイル回線を有しているスマホかケータイ、またはタブレットなどの機器が必要です。Wi-fi接続をする通信機器がない場合は「DCM」という専用機器を用意すればサービスを利用できます。

同社の委託元及び再委託先等を
含めた関係者全体が個人情報の適正な取扱いを図ることが可能な状態を醸成することが、抜本的な問題解決に向けて重要である。この点に関して、今後公表予定とされる尼崎市等での調査結果を十分に踏まえて、今後も、当委員会の追加対応の要否を継続検討することとしたい

なお、「DIY FACTORY Business」のサービスは終了しております。今後の再開につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、システム開発からコンテンツ制作までをDAITO VIETNAM（システム開発をメインとした子会社）で行うことで高い生産性を実現。今後はビジネス登録された業種情報をベースに、顧客グループ～個々に最適化された検索結果・レコメンドアルゴリズムの開発、さらなる物流拠点の拡大による事業者向け商材の在庫を強化していくことで、高い利便性の実現に向けて尽力いたします。

尼崎市の漏洩の件で情報セキュリティに詳しいという学識経験者がいろいろコメントしてるけど、自治体が置かれている状況を理解している学識経験者は皆無なんだなと実感
古いシステム、環境で良いなんて自治体関係者は誰も思っていない
そもそもなぜUSB等の可搬媒体を使用しているのかという問題は
各自治体が定めている個人情報保護条例に『外部とのオンライン結合を禁止』しているため、自治体から見ればどこともオンライン回線での接続は禁止されているためUSB等の可搬媒体を使用している
それでは個人情報保護条例を変えればいいという話になるが、それも簡単にはいかない
国が定めている個人情報保護法は平成14年に制定されたが、それ以前に各自治体で各自で自らの情報を守るために条例を定めている
一番早い自治体は確か神奈川県で昭和61年ぐらいに定めてたはず
国が法政化する遥か前から自治体は自ら情報漏洩の防衛を前提に条例を定めていた

　宮城県名取市は２９日、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表した。ダイヤルキー付きで移動中の開封を制限するほか、衛星利用測位システム（ＧＰＳ）で位置情報を追跡できる。

最高クラスの安全性を誇ると言われている暗号化USBデバイスの「IRONKEY（アイアンキー）」に入れ、保管することにしました。

ー略ー

その「アイアンキー」のパスワード入力失敗回数は10回まで…。最後の10回目まで間違えた場合には、この「アイアンキー」内のデータには永遠にアクセスできないようになってしまします。

セキュリティ事故

その日は最後に住民データをUSBメモリにしまって作業終了．気の合う仲間と共にガッツリと気を失うまで飲み明かした． 気がついたのは路上，はて？いつから眠っていたのだろうか？　今は午前3時．あれ？持っていたカバンが見当たらない！お酒を飲みすぎたせいか頭が痛い.とりあえずコンビニで水を買って飲もうと思い歩き出した. しかし,歩いているうちに自分がどこを歩いていたのか分からなくなってきた. そして,気づいた時には見知らぬ場所に立っていたのだ.
「ここは一体どこだ？」
まずは一旦自分の行動を振り返ってカバンを探してみる．どうするどうする？こんな時，社員教育では……
『迷ったらその場を動くな！』
そうだ,まずは動かないことが大切だ.じっとしていれば誰かに見つけてもらえるかも.でもこの場から動いてしまった方が早く見つけられるかも？そんな事を考えながらしばらくウロウロしていると,目の前に大きな未来像が見えてきた．そう，テレビで大々的に報じられて取引先の上長が頭を下げている姿だ．
「あの時は大変だったよ」
「えっ！？何ですかいきなり！」
部下の一人が驚いている.
「あぁすまないね.ちょっと思い出しただけさ」
私は今,会社からの帰り道にある公園にいる.ベンチに座ってぼんやりと夜

５月 30 日、セキュリティ関連の第三者より、本サービスの登録者情報を閲覧する機能を悪用できる可能性がある旨、注意喚起がありました。

所有者のメールアドレスのドメインが無効であったことを確認し、当該ドメインを5ドル支払い取得。その後所有者と同じメールアカウントを作成しPyPIのパスワードリセットを実行して所有者のアカウントを掌握。

広島県は30日、県東部の新型コロナウイルス感染者の宿泊療養施設で、患者5人の個人情報が流出したと発表した。スタッフが患者の氏名や生年月日、保険者番号などが記された健康保険証の写真を迷惑メールの発信元に誤送信したという。

5月6日に調査員が防府市内の商業施設で単位区別世帯名簿をコピーした際、名簿原本をコピー機に置き忘れたもの。

山口県は、国からの委託で実施する国民生活基礎調査の調査員が、個人情報含む世帯名簿をコピーした際、原本をコピー機に置き忘れたことを公表した。

世態票

単独世帯の状況、5月中の家計支出総額、世帯主との続柄、性、出生年月、配偶者の有無、医療保険の加入状況、公的年金・恩給の受給状況、公的年金の加入状況、就業状況等

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月4日(米国時間)、「F5 Releases Security Advisories Addressing Multiple Vulnerabilities｜CISA」において、F5ネットワークスのロードバランサー「F5 BIG-IP」に脆弱性が存在すると伝えた。

F5は2022年5月4日、CVE番号CVE-2022-1388でトラッキングされるBIG-IP製品のiControlRESTコンポーネントにおけるリモートコード実行の脆弱性についてのセキュリティアドバイザリを公開しました。脅威アクターがこの脆弱性を悪用すると、パッチ未適用のシステムで認証を回避して任意のコードを実行可能です。この脆弱性はCVSSスコア9.8となっており緊急の対応が必要です。当該アドバイザリの公開以降、パッチ未適用のシステムを探して大量のスキャン活動が行われ、実際の悪用も始まっています。

　引っ越し大手のサカイ引越センター（堺市）の利用者の住所や電話番号などの個人情報延べ約430人分が3月、川崎市宮前区の集合住宅のごみ捨て場に出されていたことが、関係者への取材で分かった。同社は事実を認め「真摯しんしに対応する」としているが、4月施行の改正個人情報保護法では、より厳しい管理が必要とされる。

　同社は本紙の取材に、この事実を把握していると認めた。従業員1人が本来シュレッダー処分すべき書類を自宅へ持ち帰り、一般ごみとして捨てていたという。

　「個人情報の記載書類については、社内マニュアルに基づき、シュレッダーなどをして持ち帰らないように指導教育を行っている」と説明。外部からの通報を受けて回収したといい、「詳細は調査中だが、お客さまへ真摯に対応を行ってまいります」と回答した。

　情報を持ち出したのはFace Expressの運用を担当するエアリンク（東京都港区）の元従業員。同社によると、元従業員は職務怠慢や社内規定違反により1月末で退職勧告を受け退職したが、その後に元従業員の個人PCにFace Expressのデータが保存されていることが分かったという。

　クレジットカード業界向けの情報セキュリティ基準「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている。

メタップスペイメントによれば、保持期間は非公開だが「長期間保存していた事実はない」としている。

　トヨタの工場では通常、全作業員が、潜在的な問題を発見した場合にライン全体を停止させる権限を持つ。作業を止めて問題を即時に解決することで、最終的には無駄な時間を減らせるという考え方だ。

　同事件は、被告人が音声合成ソフトウェアを用いて作られた楽曲の情報を共有するインターネット上のWebサイト「X」運営に際し、閲覧者の同意を得ずに使用する電子計算機のCPUに仮想通貨モネロの取引履歴の承認作業等の演算を行わせて報酬を取得しようと考え、2017年10月30日から11月8日までの期間にプログラムコードをサーバコンピュータ上のXを構成するファイル内に蔵置して保管したというもの。

ただし、仮想通貨のマイニングや取引にかかる手数料はノートンによって固定化されているものではなく、市況やその他の要因により変動します。そのため、ユーザーが引き出そうとする仮想通貨の額が手数料を下回る場合に引き出しがブロックされてしまい。このことがユーザーを混乱させていると、セキュリティニュースサイトのKrebs on Securityは説明しています。

同大によれば、2021年12月6日にUSBメモリの拾得者からの連絡で紛失していたことが判明したという。本誌取材に対し、USBメモリの所有者や利用目的、セキュリティ対策の実施状況、紛失した原因についてはコメントを避けている。

所在不明となっているのは、前日15日に預かった文書保管箱19箱のうちの１箱で、同団体の年金関係書類である「退職届」や「組合員期間等証明書」など個人情報を含む872人分の書類が収納されていたという。

オフィス以外で発生した機密文書の廃棄にもあらたに対応する。

社内関係者に対するヒアリングでは、ハードディスクの内部にデータは存在しなかったとする証言もあるが、消去した記録が残っておらず確認できないことから事態を公表した。

車両よりパソコンを持ち去られた車上荒らしと見られるが、ほかの場所に置き忘れた可能性も否定できないという。車両の施錠についても記憶が曖昧としている。窓ガラスが割られるといった被害はなかった。

紛失判明後に端末に対するログインパスワードを変更した。パソコン内のデータは、暗号化されていないという。

　警視庁は27日、東京都目黒区にある区営住宅の申込者38人分の個人情報が入ったフロッピーディスク（FD）2枚を紛失したと発表した。申込者が暴力団関係者かどうか照会するため、同区から個人情報を提供されていた。

大和リビングは、自社宛てに郵送した顧客情報含む書類が、郵送の過程で所在不明になったことを公表した。

同社によれば、10月8日に名古屋東営業所から東海支店宛てにレターパックプラスで郵送した書類が、所在不明となったもの。

現金、宝石等の貴重品を送る場合
必ず一般書留・現金書留（簡易書留を除きます。）としてください。

　日本郵便は12月15日、金融商品について顧客の取引内容を記載した「金融商品仲介補助簿」などを紛失したと発表した。合わせて約21万4000人分の顧客情報が記載されていたという。仲介補助簿には、氏名や記号番号、取引内容（購入・解約）、取引金額、銘柄などを記載しているという。

　仲介補助簿については保存場所や期間を定めていたが、各郵便局での保存期間の認識の違いや、保存する箱の入れ間違いにより、保存期間内に誤って廃棄してしまった。その他の書類についても「紙媒体で作成・保存すべき書類が膨大な環境にあることが、取扱いのミスにつながった」とした。

　LINE Payは、12月6日に一部ユーザーのキャンペーン情報がソフトウェア開発プラットフォーム「GitHub」上で閲覧できる状態になっていたと発表。氏名／住所／電話番号／メールアドレス／クレジットカード番号／銀行口座番号などは含まれておらず、現時点でのユーザーへの影響は確認されていない。

　徳島県つるぎ町の町立半田病院（１２０床）で、院内のシステムがサイバー攻撃を受けて電子カルテを使用できなくなる被害があり、同病院は２６日、システムを新しくした上で、停止していた新規患者の受け入れを来年１月４日に再開すると発表した。個人情報の保護と引き換えに求められていた「身代金」は支払わない。

　同病院はシステムの復旧を模索してきたが、地域医療への影響が長期化する恐れがあるとして断念。別のサーバーを用いるなどしてシステムを再構築することに決めた。システムの構築などにおよそ２億円かかるという。

病院によると21年12月29日に復旧が確認された。

病院は復旧方法について「今後のセキュリティー対策に関わるので公表しない」としている。

1都3県の一部の販売店が、電気の切り替え営業の際、ガス契約で得た氏名や住所などを

　ハッカーがフォーラムに投稿したデータは、100GBにものぼる超巨大なテキストファイルだ。そしてコメント欄で「パスワードは6〜20文字の範囲で、ASCII文字（アスキー文字）を使用したもののみ収集した」と述べ、リストには820億のパスワードが含まれると主張した。

　内閣サイバーセキュリティセンターは２日、富士通の情報共有システムへの不正アクセスに絡み、同センターが実施したサイバーセキュリティーに関する訓練に参加した政府や民間企業約９０組織、約１７０人分の役職、氏名などの個人情報が流出したと発表した。

関係者によると、新たに流出が確認されたのは、内閣官房の内閣サイバーセキュリティセンターが東京五輪開催中のサイバー攻撃に備えて実施した情報共有訓練の参加者の所属先や役職、名前など。

11月8日のNISC演習の攻撃シナリオは「東京オリンピックの開会式当日にサイバー攻撃を受けた」というもので、過去最高となる約5000人が参加したという。これに対しNCAはNISCの攻撃シナリオを一般企業向けに変更した。演習会場は東京の3カ所に、今回初めて大阪の1カ所を加えた。

　米Microsoft傘下のLinkedInのものとみられる約5億人分の個人情報が米Facebookの5.33億人の個人情報公開と同じ犯罪フォーラムで販売されているとリトアニアのニュースメディアCyberNewsが4月6日（現地時間）に報じた。

2020年4月5日（日）
13:30 フィッシング攻撃を受ける
14:06 攻撃者が侵入用サーバーを作成
14:44侵入用サーバー経由でデータベースサーバーへ侵入

2021年5月7日、米国の石油パイプライン企業Colonial Pipelineはランサムウエアによる影響をうけ業務全体を一時停止する措置を講じたことを発表しました。停止された輸送サービスは12日に再開され、15日までに供給網全体が復旧されました。

2021年2月5日、米フロリダ州タンパ近郊オールズマー市の浄水システムに対し、何者かがリモートから不正に操作を行い、システムで添加制御が行われていた水酸化ナトリウムの量を危険な水準に引き上げる行為が一時行われました。

　内閣府は22日、内閣官房などと共同で利用しているファイル共有のストレージサービスに不正アクセスがあり、

〜略〜

1月に内閣府のネットワークを運用する事業者が不正アクセスを検知し、調査を進めていた

III. 対策

脆弱性に対応したバージョンは2021年2月16日の段階で提供されていません。株式会社ソリトンシステムズによると、脆弱性に対応したバージョンを2021年3月に提供する予定とのことです。

更新: 2021年3月5日追記
2021年3月5日、株式会社ソリトンシステムズより脆弱性（CVE-2021-20655）について修正済みのバージョンが公開されました。修正済みバージョンの適用をご検討ください

別にあらたなVPN機器を導入済みだったが、米カリフォルニア州における新型コロナウイルス感染の急拡大に起因するネットワーク負荷の増大にともない、通信障害など備え、緊急避難用のインフラとして同法人にのみ旧システムのVPN機器1台を残していた

Trelloの初期設定ではボードは非公開になっており、ユーザーの任意で公開範囲を選択することが可能です。詳細は、こちらの記事にて確認いただけます。

取材した大手新聞社の経済担当記者によれば、一般企業や官公庁のデータではないかと思われる資料まで確認できたという。

〜略〜

「マルチ商法グループが管理していると思われる情報が出てきて、そこにはターゲットとなる人物の実名や勤務先、ターゲットにいつ誰が接触し、どういう反応をしたか、どれくらいモノを買わせることができるかなど詳細なメモもありました」（大手紙経済担当記者）

〜略〜

一方で、「人生が終わる」レベルの被害がおよびつつある人もいると話すのは、関東地方の風俗店経営者の男性（40代）。

「どこかの人材業者らしきアカウントが、コロナワクチンの治験に参加を希望している人の名前、住所、電話番号や免許証の写真をアップしていました。業者は手広く『女性のスカウト』もやっていたようで、水商売で働きたいと希望している未成年の個人情報、風俗店で働いている成人女性の写真や個人情報、借金の有無などの記載もあり、自分の名前を入れてヒットしないかと業界で働く女性はびくびくしていますよ」（性風俗店経営者の男性）

大学生の顔写真付き履歴書や住所がダダ漏れ　採用・不採用の理由までもが情報漏洩し、面接担当が顔採用していた事まで判明

ここで 一番やってはいけないことは、慌ててアカウントを削除してしまうこと です。公開ボードが削除できなくなり、どうしようもなくなる可能性があります

SNS大手フェイスブックを利用する5億人以上のユーザー個人情報が4月3日、ハッカー向けサイト上で無料公開されたようだ。アカウントに紐づく個人の携帯番号もこれまでより広範囲に流出した可能性があるため、仮想通貨を取引するユーザーは今後SIMスワップ攻撃などのIDベースの攻撃に注意が必要だ。

　同社は「このデータはFacebookのシステムをハッキングすることによってではなく、2019年9月以前にスクレイピングによって集められたことを理解するのが重要だ」としている。ユーザーにとって重要なのは、自分の個人情報も5.33億人に含まれているのか、含まれているとして、電話番号などもふくまれているのかのはずだが、Facebookは今のところ、流出したユーザーに通知してはいない。

過去に流出した利用者５億３０００万人以上の個人情報がインターネット上で最近閲覧可能になっていた問題について、当該の利用者に通知しておらず、通知する予定もないと、広報担当者が７日、明らかにした

　LINEユーザーの個人情報が、同社の委託先の中国企業でアクセスできる状態にあったことが判明した。それを受けて、総務省がLINEを活用した行政サービスを停止すると公表するなど大きな影響が出ているようだ。

LINEの個人情報問題で新たな事実が判明。LINE Payで何をどこで買ったかといった情報や加盟店の銀行口座の番号などが韓国国内のサーバーにあることが分かった。

日本ユーザーに安心いただくための2つの国内化

・中国における開発拠点および外部委託先における個人情報へのアクセスコントロール等の実施
・LINEトークルームおよびLINE公式アカウント、LINE Payにおけるデータの国内移転
・4月19日（月）総務省への報告

以降の情報は、以下ページにて定期更新するという。

LINE：プレスリリース「LINEにおける個人情報の取り扱いに関連する今後の主な予定について」
https://linecorp.com/ja/pr/news/ja/2021/3680

4月19日に報告を徴収したが、報告内容より安全管理措置や利用者に対する説明など一部不十分な点があると判断し、文書により指導を行ったもの。

〜略〜

利用者が理解できるよう措置を講じることなども指導内容に含まれ、5月31日までに対応状況を報告するよう同社へ求めている。