個人情報漏えいやインターネット犯罪、ウイルス情報等のニュースを掲載しています。テーマは“事故から学ぶ情報セキュリティ”。みなさんの組織の体制や、事件・事故が起こる可能性等を考慮しながらご覧ください。 過去のニュースを見る： 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 　年度 前の20件 ／ 2 3 4 5 6 7 8 9 10 11 ／ 次の20件 2017年04月 日付 タイトル・内容 01日 セキュリティ対策 「ネット未接続だから安心」につけ込む攻撃／警察庁・JPCERT CC 2017年03月 日付 タイトル・内容 30日 ネット犯罪 メール経由の攻撃が2.5倍（2016年下半期）／Tokyo SOC−日本IBM調査 状況】 Tokyo SOCにおける国内の企業を対象とした攻撃の観測状況を取りまとめたもので、検知したメール経由の攻撃は14万686件で、前期の5万7,490件から約2.5倍に跳ね上がった。 メール経由の攻撃全体のうち、ランサムウェア「Locky」への感染を狙う攻撃が94.9％と圧倒的多数を占めた。 【経緯】 ランサムウェアの感染目的のメールは、2016年3月に1万5,000件、5月には2万件、下半期はさらに増加しており、7月に2万5,000件を突破し、9月は4万件を超えた。 10月以降は1万5,000件以下とやや沈静化しているものの、引き続き警戒が必要。 30日 行政機関／公的機関からの情報 2016年の不正アクセス状況調査／警察庁 【件数・人数】 2016年に認知した不正アクセス事件件数は、2015年の2,051件から211件減の1,840件で、前年から211件減少した一方で検挙数は増加 不正アクセス後の行為は、 １）オンラインバンキングでの不正送金（70.9％） ２）インターネットショッピングでの不正購入（9.3％） ３）オンラインゲーム、コミュニティサイトの不正操作（6.7％） 検挙件数は502件と、前年の373件から増加 検挙人数は2000年の不正アクセス禁止法施行以来、最多の200人 【手口】 他人のパスワードを使って不正にアクセスする「識別符号窃用型」が457件と突出 １）パスワード設定、管理の甘さにつけ込んだものが244件（53.4％） ２）パスワードを知っている元従業員や知人によるもの（13.3％） ３）利用者からパスワードを聞き出した、またはのぞき見したもの（10.7％） ４）マルウェアを使用して入手したもの（7.4％） ５）他人から入手したもの（4.4％） またインターネット上へ流出していた情報を用いたり、フィッシングサイトで入手したケースでも検挙者が出ている 30日 ネット犯罪 ネットバンキングの不正送金被害状況／警察庁 【状況】 2016年に発生したオンラインバンキングの不正送金被害は1,291件で、被害額は16億8,700万円で前年の1,495件から204件減少し、被害額は16億8700万円で、前年の30億7300万円から大幅に縮小 不正送金の一次送金先に利用された口座名義は、1,722件のうち、約5割が「中国人名義」で「ベトナム人名義（約25％）」「日本人名義（約13％）」と続く 【詳細】 被害金融機関は150機関で、地方銀行が64行、信用金庫が33金庫、農業協同組合が20組合、都市銀行およびネット専業銀行、信託銀行、その他の銀行が17行、信用組合が11組合、労働金庫が5金庫 被害額の内訳は、都銀などが10億2,500万円、地銀が4億9,500万円、信金および信組が1億4,500万円、農協および労金が2,100万円 口座種別では、個人口座の被害額が12億5,200万円で、法人口座が4億3,500万円。法人口座の被害が、前年の14億6600万円から10億3100万円減と目立って改善された 【原因】 大口法人口座における被害が減少した 信金および信組の被害額が前年から7億9,400万円減少し、マルウェア感染端末の早期検知といった対策が影響したと見られる 被害が生じた口座のうち、個人口座の61％、法人口座の84％がワンタイムパスワードや電子証明書などのセキュリティ対策を講じていなかった 一方で電子決済サービスを用いて電子マネーを購入する手口などは多発しており、引き続き注意が必要 30日 ネット犯罪 仮想通貨トラブル、2年間で3倍超に／国民生活センター 「『必ずもうかる』という言葉は信じないで！」――国民生活センターが、仮想通貨の購入をめぐるトラブルが増えていると注意喚起。 【状況】 知人から仮想通貨を購入するように勧められ、金銭が戻ってこなくなったなどの相談が、2年間で194件（2014年度）から634件（16年度）に急増した。 2016年度の相談のうち、すでに金銭を支払ってしまった例は303件。支払った金額の平均は約250万円だった。 【背景・経緯】 「ビットコイン」をはじめとする仮想通貨の取引高は、年々増加傾向にあり、2016年上半期の取引高は約780万ビットコインだったが、下半期はその2倍以上の約1830万ビットコインにものぼったという（日本円でビットコインの取引できる取引所が分析対象）。 具体的な相談内容では、知人から「必ず値上がりする」「5倍以上の価値になる」と言われ、売却利益を目的に仮想通貨を購入したところ、もうかるどころか支払った額さえも戻ってこなかった――という事例があったという。 知人からの勧誘以外にも、参加したセミナーで「1日1％の配当がつく」と聞き、仮想通貨を購入してトラブルにあったという相談も寄せられているという。 【対応】 仮想通貨は、取引相場の価格変動リスクを伴うため、将来必ず値上がりするものではないことを注意喚起。 購入する場合は、契約先が仮想通貨を扱う資格「仮想通貨交換業者」に登録しているかを確認し、取引する通貨内容の仕組みやリスクが理解できなければ、契約しないように呼び掛け。 30日 その他 「インサイド」「RBB TODAY」「アニメ！アニメ！」など多数サイトダウン／イード 【状況】 3月30日午前7時ごろから、「インサイド」「RBB TODAY」「アニメ！アニメ！」など、イード運営のニュースサイト・Webサービスの約30サイト以上が接続できなくなる状態。 【原因】 ストレージ障害によるもので、現在復旧中とのこと（復旧時期などは未定）。 【対応】 「2017年3月30日（木）7：00頃よりシステム障害が発生し各サイトがご利用できなくなっておりましたが、現在は復旧し正常にご利用いただけるようになりました。お客様には大変ご不便をおかけしまたことお詫び申しあげます。今後このような事が起こらないようシステムの改善を行ってまいります。」とHPに掲載。 30日 セキュリティ対策 情報セキュリティに関するサプライチェーンリスクマネジメント調査／IPA 【調査結果のポイント】 １）委託元にとって、委託が連鎖するほど情報セキュリティ対策状況の把握は困難 ・直接取引がある委託先の情報セキュリティ対策状況を把握している（約86%） ・再委託先以降の情報セキュリティ対策状況を把握している企業（約47%） ２）大企業は、委託先へ「統一された情報セキュリティルール」を策定する傾向 委託先への情報セキュリティ管理を定めたルールの策定状況は、中小企業よりも大企業に強い傾向があり、また大企業ではより全社のガバナンスを強化する傾向 ・大企業では全社でまたは関連部署ごとに「統一されたルールがある」（84%） ・中小企業（65%） ３）中小企業は大企業よりも「委託先における情報セキュリティ管理の確認頻度が低い」傾向 ○ 委託先への情報セキュリティ管理を定めたルール徹底の手法と頻度について『証跡の提示』についての調査では 「頻繁・定期的に実施」する ・大企業（81％） ・中小企業（62%）約20ポイント低い 「契約の時だけ」しか実施しない割合は ・大企業（15%） ・中小企業（27%）約12ポイント高い 契約時に一度しか実施しない場合、新しいリスクに対処するための必要な見直しの機会がなく、PDCAサイクルが回っていないことが推測される。 『現場訪問による確認』や『普及・教育の実施』についても相対的に同じ傾向がみられる。 29日 ネット犯罪 標的型攻撃メール状況調査／警察庁・サイバーインテリジェンス情報共有ネットワーク 【状況】 2016年に把握された標的型メール攻撃は4,046件（前年比218件増） ・添付ファイルは圧縮ファイルが40％から89％に増加 ・添付ファイルは.exeが43%と減少し、.js（JavaScript）を用いた攻撃が54％と増加 ・ばらまき型が90％ ・94％は送信元メールアドレスを偽装 ・攻撃対象となったメールアドレスの84％は、未公開アドレスであることから、攻撃対象組織に事前調査を行っていると見られる 【対策】 警察庁は、2016年中に国内で稼働していたコマンド＆コントロールサーバについて、前年の48台を上回る64台についてテイクダウンを行った 29日 ネット犯罪 ブラウザ「動画」でだます「偽警告」の新手口に注意／情報処理推進機構（IPA） 【状況】 PC画面上に「偽の警告画面」を表示して、特定の電話番号へ連絡させ、遠隔操作ソフトをインストールさせたり、契約を結ばせるいわゆる「サポート詐欺」が発生しているが、あらたな手口が確認されたとしてが注意喚起 【手口】 動画をブラウザ上を全画面表示し、「操作が受け付けられない」「正規サイトや正規ソフトが警告を発している」など、動画の内容が実際にパソコン上で発生しているかのように錯覚させ、指定した番号へ電話をかけさせようとする。 ・具体的には全画面表示に切り替わることで、本来アクセスしているウェブサイトのURLを表示したアドレスバーが非表示となり、動画上で「マイクロソフトのサポートサイトへアクセスしているアドレスバーの画像」を表示。あたかも正規サイトがエラーを検知し、警告を発しているかのように見せかける。 ・Windowsに同梱されているセキュリティ対策ソフト「Windows Defender」がマルウェアを検知したように見せる画像や、「マウスのポインターが勝手に動いている」動画によって、パソコンが正常に動作していないよう利用者を思い込ませるケースもある。 ・警告メッセージで「5分以内」など制限時間を設け、相談する時間などをパソコンの利用者へ与えないようにする。 28日 その他 システム不備による過剰請求事故結果／イオン銀行 【状況】 イオンカードのキャッシングサービスで利息を過剰請求していた問題は、2015年に利息の誤りが判明し、翌2016年4月から公表・調査を続けていた調査が完了し、1991年まで遡った結果新たな返金対象者が1万7,546人となり、返金総額は約4,000万円にのぼった。 【原因】 過剰請求は、利息の日割り計算に漏れがあったことが要因。 顧客がキャッシングの一部を早期返済した場合、本来は元金から一部入金分を差し引いた金額を基に、その後の利息を計算しなければならないが、業務委託を受けていたイオンクレジットサービスの業務システムには日割り計算機能がなく、手作業で計算による漏れが生じた。 【経緯】 3回にわたる調査 ・2005年8月〜2015年8月の10年間では、誤請求の対象者数は約2400人、返金額は約600万円。 ・2005年2月〜8月を対象に約200人、約65万円の誤請求。 ・1991年2月〜2005年1月までの期間で、約4,000万円の過剰請求。 【対応】 2017年3月21日から順次、詫び状を送付 1991年2月より前の実績については、既に資料がないため調査できないとしており、心当たりのある顧客には問い合わせするように呼びかけ。 イオンクレジットサービスは一部入金があった際にアラートを出すシステム改修で利息の日割り計算漏れを防ぐ再発防止策を講じ、さらに利息を自動で日割り計算できる機能を追加するシステム開発を進める。 28日 行政機関／公的機関からの情報 iPhoneでもマイナンバーの本人確認／総務省 総務省は、省内での実験公開に伴い、マイナンバーカードで本人確認できる利用者証明機能をスマートフォンにダウンロードして使う実証実験で、これまでは難しいと考えられていた米アップルの「iPhone」への対応ができる見通しになったと明らかにした。 「Android（OS）」を使ったスマホとともに、2019年の実用化を目指す。 証明機能のダウンロードには、スマホでアプリを取得し、読み取り機能付きのスマホかパソコンにつないだカードリーダーで、マイナンバーカードを読み取る必要がある。アンドロイドのスマホはSIMカードに、iPhoneではOSの一部に機能を搭載する。 マイナンバーカードは、個人番号を知られるなどの不安から、持ち歩きに抵抗を感じる人が多く、スマホでの利用が普及の鍵を握る。利用者証明機能をダウンロードすればカードなしで本人確認が済み、東京五輪を想定して進められているイベント入場もスマホだけで可能になるとしている。 28日 情報取扱い 過去5年間で漏えいした個人情報は7,545万人分／東京商工リサーチ 東京商工リサーチ（TSR）は、「上場企業の個人情報漏えい・紛失事故」調査結果を発表。 2012年から2016年の5年間、上場企業と主要子会社で発生した個人情報の漏えい・紛失事故によって漏えいした可能性のある個人情報は、累計で最大延べ7,545万人分に達し、単純計算で日本の人口の半分を超えていることが判明。 調査は、2012年1月〜2016年12月までの上場企業と主要子会社の情報漏えい・紛失事故を、プレスリリース・お知らせ・お詫びなどの、自主的な開示に基づき、発表日ベースで独自集計したもの。個人情報の定義は、氏名、住所、電話番号、年齢、性別、メールアドレス、ログインID等で、リリースの「漏えいの可能性がある」が対象。 この期間で個人情報の漏えい・紛失事故を公表した企業は259社、事故件数は424件にのぼる。最大の個人情報漏えい事件は、2014年7月に発覚したベネッセホールディングスの3,504万人分で全体の5割を占めた。次いで、2013年5月に外部の不正アクセスで最大2,200万件のIDが外部流失した可能性を公表したヤフー、2012年11月に672万人分の過去の顧客取引データを記録したコムフィッシュ（記録メディア）を紛失した三菱UFJフィナンシャル・グループと続く。 原因別：書類などの紛失や誤廃棄が424件のうち191件（構成比45.0%）と最も多く、次いで誤表示・誤送信が85件（同20.0%）、ウイルス感染・不正アクセスが83件(同19.6%)。 産業分野別では、製造業の49社（漏えい・紛失事故65件）が最多。次いで、金融・保険業48社(同86件)、小売業44社（同60件）と続き、上位5産業までで全体の社数の約8割を占めた。情報・通信業（33社）は社数では5番目だが、発生件数では71件と製造業に次いで2番目に多い。 詳細は東京商工リサーチ （http://www.tsr-net.co.jp/news/analysis/20170327_01.html） 27日 その他 4社に3社が過去1年間にインシデントを認知／JIPDEC・ITR調査 【調査結果】 過去1年間に約4社に3社がインシデントを認知 端末の紛失 ・スマートフォン、携帯電話、タブレットの紛失、盗難（22.7％） ・モバイルPCの紛失、盗難（21.0％） マルウェア感染 ・標的型攻撃によるインシデント（12.4％） ・なりすましメールの受信（10.7％） 個人情報漏洩や紛失 ・人為的ミスインシデント（16.2％） ・内部不正（8.3％） 不正アクセス ・ウェブサイトに対する不正アクセス（8.7％） ・ウェブサイトの改ざん（3.5％） 24日 ネット犯罪 ウェブマネーをかたるフィッシングメールに注意／フィッシング対策協議会 【状況】 差出人名：「WebMoneyファンクラブ事務局」 メール件名：「ご登録パスワード変更完了のお知らせ」 パスワード変更の確認通知メールを偽装した偽メール 2017/03/24　9：00現在 フィッシングサイトは稼働中であり、JPCERT/CCにサイト閉鎖のための調査を依頼中 類似のフィッシングサイトが公開される可能性があり、引き続きご注意 【対応】 ・このようなフィッシングサイトにてアカウント情報（ウォレットID、パスワード、セキュアパスワード）を絶対に入力しないよう注意 ・類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会に連絡 （info@antiphishing．jp） 24日 ネット犯罪 通販サイト不正アクセスで個人情報が流出か／JINSオンラインショップ 【状況】 「Apache Struts2」の脆弱性を利用した第三者による不正アクセスが発生し、第三者が一定期間個人情報にアクセスできる状況にあったことが判明 1）メールアドレスと個人情報（氏名、住所、電話番号、生年月日、性別）／749,745件 2）メールアドレスのみ／438,610件 クレジットカード情報はサーバで保管しておらず、漏洩の事実は確認されていない 【対処の経緯】 ・2017年3月22日（水）20：00 　　外部専門調査機関へフォレンジック調査を依頼 ・2017年3月23日（木）2：00 　　サーバを構築し、JINSオンラインショップのプログラム移行 ・2017年3月23日（木）12：30 　　新オンラインショップにて不正アクセスの可能性のお知らせ掲示 ・2017年3月23日（木）16：00 　　お客様専用窓口の設置 【今後の対応】 ・情報流出が確認されたお客様について個別連絡 ・システムの監視を強化するとともに、再発防止について取り組む 24日 行政機関／公的機関からの情報 不正アクセスによる個人情報漏えい事故で報告要請／経済産業省 GMOペイメントゲートウェイが運営するウェブサイトが「Apache Struts 2」の脆弱性から不正アクセスを受け個人情報が流出した可能性があることが判明した問題で、経済産業省は個人情報保護法の主務大臣権限により、詳細な事実関係、個人情報の取り扱いや管理状況、調査状況、再発防止策について、4月24日までに書面で報告するよう要請。 外部へ流出した個人情報 ・都税クレジットカードお支払サイト（67万6,290件） ・住宅金融支援機構の関連サイト（4万3,540件） 23日 情報取扱い 礼状メールを誤送信でメールアドレス流出／シャープ 【状況】 3月7日（火）〜10日（金）に東京ビッグサイトで開催された流通情報システム総合展に来場した顧客への御礼電子メールの送信時、送信者のミスで全てのメールアドレスが表示された状態で送信し、情報漏えい 【経緯】 ・2017年3月21日（火）午前9時50分頃 　イベント来場の御礼を電子メールにて発信 　本来、「BCC」にて送信すべきところ、734件のメールアドレスを「宛先（To）欄」に記載した状態で送信 ・同日午前10時頃 　上記電子メールを受信された顧客から指摘 【対応】 メールアドレス流出に関するお詫びおよび当該電子メールの削除をお願い 電話での連絡を順次行う 【再発防止策】 ・再発防止に向けて、個人情報を含む重要なメールや複数の顧客に対しメールを送信する際に遵守すべき事項を、改めて全社員に周知徹底 ・社内イントラネットに上記事項を掲載し、いつでも確認できるようにした ・継続的に、全社員に対しeラーニング等を通じて個人情報保護および情報セキュリティ教育を徹底し、情報管理への感度の引き上げを図るとともに、全社的な情報管理体制の強化に取り組む 22日 ウイルス情報 不正プログラムに感染したIoT機器からのアクセスの増加／警察庁 【状況】 2017年１月下旬頃から宛先ポート5358/TCPに対するアクセスが増加しているとして注意喚起 発信元のIPアドレスから、ベトナムや台湾、ブラジル、韓国、トルコなどが中心で、マルウェアへ感染したIoT機器が発信元 【分析】 アクセスのうち、約52％は宛先ポート23/TCPに対してもアクセスを行っており、発信元となるIPアドレスに接続したところ、ネットワークカメラ等のIoT機器のログイン画面が表示されたことから、これらの機器が「踏み台」となっていると考えられる 急増したアクセスには「Mirai」ボットの特徴がみられないことから、「Mirai」ボットとは異なる不正プログラムに感染したIoT機器からのアクセスである可能性 【対策】 IoT機器を対象とした不正プログラムへの感染を防止するために、ユーザ名とパスワードは初期設定のままで使用せず、第三者に推測されにくいものに変更するなどのセキュリティ対策を実施する ○　その他の観測結果 「Mirai」に関しても、2月初旬より宛先ポート32/TCP及び3232/TCP並びに19058/TCPに対するアクセスの増加 22日 情報取扱い 設定ミスでDBから顧客情報流出の可能性／PLAN―B 【状況】 不正アクセスで取引先企業の情報約3,500件分が、データベースにアクセス可能であったことが判明 漏えいの可能性がある顧客情報は、提供サービスに登録の約3,500名の下記4つ ・名前 ・法人名 ・法人電話番号 ・法人メールアドレス ※取引情報や売上高、金融機関の口座情報などは不含  【経緯】 ・2017年3月8日（水） 　深夜に契約サーバー企業からアカウントが侵害されている旨の連絡 ・3月9日（木）8時50分 　調査の結果、ネット上のサービスに公開されている情報を元に、不正なアクセス方法によりデータベースにアクセス可能であったことが判明 ・3月9日（木）11時33分 　情報の洗い出しおよび影響範囲の特定を行い不正アクセスができないように全サーバー、全ソースコードをチェック 　アカウント情報の変更やAPI情報の変更、IAM情報の変更等の対処を完了 【原因】 常駐型業務委託スタッフがツールの設定を誤った 【対策】 ・情報システム部門を設置 ・弊社従業員の再教育 ・外部協力企業や常駐型業務委託スタッフについてセキュリティマニュアルの作成・指導、取扱い権限の厳密化 ・顧客情報管理の徹底を行い、再発防止に努める 22日 ネット犯罪 不正アクセスにより公開停止／おかやまオープンデータカタログ 【状況】 岡山県と県内12市町が共同でオープンデータを公開している「おかやまオープンデータカタログ」のWebサイトに3月17日（金）不正アクセスが行われ外部への攻撃の踏み台に利用されていることが検知されたため公開を停止 カタログサイトでは、利用者を含め個人を特定できるような情報は取得・保持していないことから、個人情報流出の可能性はない 【対応】 現在、不正アクセスの全容解明に向けて、県がカタログサイトの運用保守を委託している業者が詳細な調査を実施中 今後、その結果を踏まえて必要な対策を行い、安全が確認出来た時点で公開を再開する予定（現時点では再開時期は未定） 前の20件 ／ 2 3 4 5 6 7 8 9 10 11 ／ 次の20件 ※ セキュリティニュースは、ソリューションパックおよびサポートパックでもご提供しています。 ※ ウイルス情報についての記事は、影響力等が中程度以上のものを掲載しています。詳細は各サイトにてご確認ください。 Page Top Copyright (C) 2002-2022 CDNS Corporation. All Rights Reserved.