個人情報漏えいやインターネット犯罪、ウイルス情報等のニュースを掲載しています。テーマは“事故から学ぶ情報セキュリティ”。みなさんの組織の体制や、事件・事故が起こる可能性等を考慮しながらご覧ください。 過去のニュースを見る： 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 　年度 ／ 1 2 3 4 5 6 7 8 9 10 ／ 次の20件 2017年12月 日付 タイトル・内容 22日 情報取扱い 顧客情報の漏えい／日新火災海上保険 22日 情報取扱い 不正アクセスで個人情報外部流出／インテリア通販サイト「SEMPRE.JP」 19日 情報取扱い 会員情報流出／ヤマケイオンライン（山と溪谷社） 15日 情報取扱い 個人情報等の流出（持ち出し）／リクルートエグゼクティブエージェント 13日 情報取扱い 教育用計算機システムへの不正アクセスによる個人情報漏えい／大阪大学 13日 情報取扱い 不正アクセスによる迷惑メールの送信被害／放送大学 07日 セキュリティ対策 『ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト』を公開／IPA 2017年11月 日付 タイトル・内容 20日 その他 データヘルス・ポータルサイト構築で病気予防／東京大学 【状況】 病気の予防や医療費適正化のための政策立案に活用が期待される、世界初の試みとして、厚生労働省の補助金で東京大政策ビジョン研究センターの「データヘルス研究ユニット」が2017年12月から、国内6,773万人分の健康診断、医療費、生活習慣などのデータを集計した分析・支援ウェブサイトを構築運用 1,399の健康保険組合（2,946万人）と、中小企業の全国健康保険協会（協会けんぽ、3,827万人）が持つデータを統合することで、業界別・地域別の健康状態の傾向や、どの健保組合がどれぐらい医療費を使い、どんな対策を取っているかを比較検討可能 【概要】 ・がんや高血圧症など疾病別の医療費、年次や年齢による医療費の変化、血糖値やメタボなど健診の結果分析・実施率、運動や喫煙など生活習慣の調査結果といったデータが一つのサイトに統合・分析される ・集合データを集計する仕組みのため、個々の加入者の個人情報が特定される恐れはなく、個人情報保護法制上の問題はない ・今後、属性を入力するだけで傾向と対策が出るよう進化させ、企業側からも職員の体調不良による仕事の能率低下などの情報を集め、関連を分析し、健康に関する科学的証拠に基づく政策立案が可能な、大きな社会実験 【今後】 ・国は、医療や介護などの個人データを統合する「保健医療プラットフォーム」を2020年度に稼働させる大目標を持つ ・国民健康保険と介護保険の保険者である市町村がデータヘルス・ポータルサイトに参加すればほぼ全国民を網羅することになり、より大きな医療・健康・介護のプラットフォームに ・個人情報流出が起きないよう、万全の対策が必要 19日 ネット犯罪 貨幣処理機メーカーに不正アクセス疑い／グローリー 【状況】 兵庫県警サイバー犯罪対策課と飾磨署は不正アクセス禁止法違反などの疑いで、貨幣処理機メーカー「グローリー」（姫路市）の社員（千葉県浦安市）を逮捕 逮捕容疑は2016年11月から今年10月にかけて、東京都文京区の同社首都圏支店で、同僚男性ら２人のIDとパスワードを使って社内システムに不正にアクセスし、うち１人のパスワードを変更し使えないようにした疑い 【経緯】 ・社員なら誰でもアクセスできるシステムが、2017年２月に「10人以上の社員がシステムにログインできない」と相談があり、同署などが調査し、逮捕 ・逮捕された社員は、「はっきり覚えていない」と容疑を否認 目的や詳細状況の情報は不明 16日 行政機関／公的機関からの情報 「サイバーセキュリティ経営ガイドラインVer2.0」リリース／経済産業省・IPA 【リリース】 経済産業省・IPAが「サイバーセキュリティ経営ガイドライン」のVer.2をリリース 【内容】従来の内容に加えて ・ITを活用する企業の経営層を対象に、認識すべきセキュリティの原則や、取り組むべき対策などを示したガイドラインであり、予防だけではなく復旧対策（レジリエンス）や情報共有（SERT）やインシデント発生時に対応すべきポイントなどの情報を提供 ・「攻めのIT投資」については、企業の収益確保に重要なITを支えるセキュリティについて、事業の成長に必須な「投資」であるという考え方 ・サイバー攻撃は受けることを前提とし、ログから攻撃を監視したり、検知できるリスク対応体制の構築、復旧の手順書作成や体制整備の必要性、サプライチェーンにおける対策の徹底 ・情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供 【その他提供資料】 ・付属チェックシートでは、チェック項目の一部見直しを実施し、米国立標準技術研究所（NIST）の「サイバーセキュリティフレームワーク」との対応関係 ・「インシデント発生時に組織内で整理しておくべき事項」 ・セキュリティ対策に役立つ文献集 【リソースダウンロード】 サイバーセキュリティ経営ガイドライン Ver 2.0／経済産業省・IPA http://www.meti.go.jp/press/2017/11/20171116003/20171116003-1.pdf 16日 ぜい弱性情報 ロボット掃除機「COCOROBO」、第三者が遠隔操作の恐れ／シャープ 【状況】 シャープのロボット掃除機「COCOROBO」を第三者から遠隔操作される可能性 ・同じLAN内の第三者がセッションIDを偽り、実際の所有者になりすましてCOCOROBOを遠隔操作できる恐れがある ・ロボット掃除機が外部から取得するデータは少ないが、情報漏えい・改ざんの可能性もある（IPA） 【原因】 COCOROBOのユーザーを区別する「セッションID」の管理に不備 【対応】 ・ファームウェアを最新版へアップデートするよう呼び掛け （IPAとJPCERTコーディネーションセンターが注意喚起） ・シャープ COCOROBO ファームウエアアップデート http://www.sharp.co.jp/cocorobo/manual/firmware.html 15日 セキュリティ対策 「Adobe Flash Player」のセキュリティアップデート／Adobe Adobe Systemsは、5件の深刻な脆弱性を修正した「Adobe Flash Player」のセキュリティアップデートを提供開始 今回のアップデートは、範囲外のメモリを読み込む脆弱性「CVE-2017-3112」や解放済みメモリへのアクセス「CVE-2017-11215」など、あわせて5件の脆弱性へ対処 重要度は、すべて3段階中もっとも深刻とされる「クリティカル（Critical）」にレーティングされており、悪用された場合、リモートよりコードを実行されるおそれがある。いずれも悪用は確認されていない 同社は、各プラットフォーム向けにこれら脆弱性を解消する最新版「同27.0.0.187」をリリースした。適用優先度は、いずれも3段階中2番目にあたる「2」で、0日以内のアップデートが目安として示されている ・Adobe Flash Player（バージョン確認） 　http://get.adobe.com/jp/flashplayer/about/ ・Flash Playerダウンロードセンター 　https://get.adobe.com/flashplayer/?loc=jp 15日 ネット犯罪 ウイルス保管は罪か？監視会社社員の逮捕／不正指令電磁的記録保管の疑い 【状況】 2017年10月事故を起こす可能性があるコンピューターウイルスを保管したとして、不正指令電磁的記録保管の疑いで情報セキュリティー会社の社員が逮捕された事件が波紋を広げた しかし、会社側は「シェアを使ってファイル流出の監視をしていただけ」と違法性はないと主張し、逮捕された社員も調べに対し、「ウイルスを保管していたが、悪いことだと思っていなかった」と容疑を否認 専門家は、「他人のパソコンに感染させるなど不正な目的で保管すれば、罪に問われる可能性がある」と警告 【詳細】 当事者は、企業情報がネット上に流出していないか監視する会社に所属し、勤務先のパソコンを使い、ファイル共有ソフト「シェア」上で、画像や動画、文書ファイルなどを外部に流出させるウイルス３個を保管していた また同時に使用していたパソコンの外付け記憶装置には、ウイルス入りのファイル約２千個が保管され、シェア利用者が常時ダウンロードできる状態だったため、ウイルスを拡散させる意図があったとされた 【原因】 情報セキュリティーの専門家は、以下を疑問視している ・監視業務にファイル共有ソフトが使用されていたことに驚く。情報流出を招きかねない状態であり、不適切 ・情報管理のプロが、ファイル共有ソフトの危険性を知らないわけがない。『未必の故意』を認定されてもおかしくない 【対応】 研究目的でウイルスを保管することもあるが、法的、技術的な対応が必要 14日 ネット犯罪 銀行装うマルウェア感染メールに注意／日本サイバー犯罪対策センター（JC3） 【状況】 三井住友銀行やみずほ銀行の利用者にマルウェアを感染させようとする攻撃が発生 三井住友銀行を装ったケースでは、法人向けサービスの利用者をターゲットとする一方、みずほ銀行のケースは個人のカードローン利用者を狙っていた。 【件名例】 【重要】[三井住友銀行] Web21電子認証による振込承認時のワンタイムパスワード必須化について（2017年11月目途） 「ワンタイムパスワード必須化」の案内を偽装し、詳細の確認などと称して、zipファイルをダウンロードさせようとする 【件名例】 「みずほ銀行カードローン」仮申し込みの審査結果のご連絡 みずほ銀行をかたったケースでは、「カードローン」の仮申し込みに対する審査結果の連絡を偽装し、審査結果の確認などと説明して「一時的な仮登録のためのパスワード」なるリンクより不正なファイルをダウンロードさせようとする 【対策】 DreamBot・Gozi感染チェックサイト【試験運用中】 不正送金被害につながるインターネットバンキングマルウェアDreamBot及びGoziによる感染拡大及びこれによる被害の防止のため、DreamBot又はGoziへの感染状況を確認するためのウェブサイトを試験運用 https://www.jc3.or.jp/info/dgcheck.html 13日 情報取扱い 業務取引情報漏えい／ゼネテック 【状況】 ・従業員が、エンジニアリングソリューション本部に係る取引先との取引情報等を無断で社外に持ち出した事実が判明 ・持ち出し情報は、エンジニアリングソリューション本部の取引情報のみで、システム本部、IoTビジネス本部、ココダヨ事業本部、管理部門の取引情報は含まれていない ・顧客情報をはじめとする各種情報の管理には、情報セキュリティマネジメントシステム（ISMS / ISO 27001）の導入、セキュリティ強化や社員教育の徹底を図っている 【進捗】 ・事実の判明後、直ちに四谷警察署に通報するとともに告訴の手続きを進めている ・持ち出された情報の拡散を防ぐための様々な対応を鋭意実施 ・目的や詳細状況の情報はない 【対応】 ・深くお詫びし、今後新たな情報が判明次第、速やかに報告 ・再発防止に向け、更なる情報管理の徹底を図る、顧客および関係者の信頼回復に向け取り組む 02日 ネット犯罪 GMOの流出個人情報、電子書籍として販売／Amazon「Kindle」 【状況】 ・11月1日、Amazonの電子書籍売買プラットフォーム「Kindle」で、GMOインターネットグループから流出した個人情報が電子書籍として無断販売されているのをGMOが発見、Amazonに削除を申請し、削除済だが、悪質な二次利用の可能性 【経緯】 ・10月30日、GMOインターネットグループが運営するサイト売買仲介サービス「サイトM&A」の会員情報1万4612件の流出を発表 ・流出の発覚からすぐ対象となる顧客にはメール等で通達 ・また個人情報悪用の二次被害防止のための対応が一部進行中であることから、公表を一定期間控えた 【対応】 ・販売していた個人名とGMOとの間には関係は不明、GMOでは販売主など詳細を調査中 ・GMOは、流出した個人情報について同じような悪質な二次利用がないか確認作業中 2017年10月 日付 タイトル・内容 30日 情報取扱い サイト売買仲介サービス登録会員情報流出／ＧＭＯインターネット 25日 情報取扱い 入試情報Webサイト「MEETS」個人情報流出／京都精華大学 25日 その他 「教育情報セキュリティポリシーに関するガイドライン」公表／文部科学省 24日 情報取扱い クレジットカード情報紛失／ＮＨＫ ／ 1 2 3 4 5 6 7 8 9 10 ／ 次の20件 ※ セキュリティニュースは、ソリューションパックおよびサポートパックでもご提供しています。 ※ ウイルス情報についての記事は、影響力等が中程度以上のものを掲載しています。詳細は各サイトにてご確認ください。 Page Top Copyright (C) 2002-2022 CDNS Corporation. All Rights Reserved.