| 日付 |
タイトル・内容 |
| 29日 |
 |
|
|
【状況】
2019年4月16日、第三者による不正なアクセスを受け、ペイメントアプリケーションの改ざんが行われたことにより、クレジットカードの情報が最大37,832件流出した可能性があることが判明
【流出情報】
2019年3月18日〜2019年4月26日の期間中に「ヤマダウエブコム・ヤマダモール」で新規クレジットカード登録、及びクレジットカード登録の変更をした利用者:最大37,832名
・クレジットカード番号
・有効期限
・セキュリティコード
【対応】
・2019年4月26日「ヤマダ ウエブコム・ヤマダモール」での新規クレジットカード登録、及びクレジットカード登録の変更を停止し、第三者調査機関による調査を開始
・クレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止対策を実施
・監督官庁である個人情報保護委員会には2019年5月28日に報告済
・警察当局にも2019年5月7日に報告及び相談
【再発防止】
・システムのセキュリティ対策および監視体制の強化
|
|
|
|
|
|
| 25日 |
|
|
|
【状況】
2019年3月27日に、システム不具合による個人情報漏えい等が発生
1)個人情報の漏洩:最大で344名
2)意図しない商品の購入・解約:購入3件、解約5件の合計8件
3)クレジットカード情報の上書き:2名
【原因】
J SPORTSオンデマンドウェブサイトのキャッシュ処理の不具合により、該当の障害時間内ににログインした顧客のセッションが、同時間帯にログインした他の顧客に共有されていた
【対応】
28日本件発覚後、被害拡大を防ぐために決済機能及びマイページ機能を一時的に停止し、新規の契約及び登録情報を参照・変更できないように対応
サーバ側のキャッシュ機能を一部解除
【再発防止】
・設計、テストレビュー体制の見直し
・人的チェックに加えて、ツールを用いた機械的チェック機能の強化
|
|
|
|
|
|
| 25日 |
|
|
|
【概要】
・実施期間:2019年2月19日から28日
・調査対象:インターネットサービスを提供している事業者(匿名)
・回答者数:308名
■インターネットサービスの個人認証を主にどのような方法で実施しているか?
結果:大部分の回答者が「IDとパスワードのみ」と回答する中、20%以上の回答者が「多要素認証」や「リスクベース認証」なども用いた複合的な認証を実施していると回答
■インターネットサービスにおいて、パスワードの定期的な変更を要求しているか?
結果:「パスワードの定期的な変更を要求している」と回答したサービス事業者を合計すると、73.7%に上ります。ただし、パスワード変更を必須としているわけではなく、推奨に留めているものも含まれています。要求するまでの期間についても、3か月以内から12か月以上まで分布
■インターネットサービスにおけるパスワード管理は、何らかの方法で盗まれても問題ない読めない状態(ハッシュ、暗号化など)で管理しているか?
結果:大部分の回答者が質問に「はい(パスワードを読めない状態で管理している)」と答える一方、13.6%の回答者が「いいえ」と回答しており、パスワードを「平文」、つまりそのままの状態で管理している
【詳細ページ】
https://www.antiphishing.jp/news/info/wg_auth_report_20190516.html
|
|
|
|
|
|
| 24日 |
|
|
|
【概要】
PMSの運用に活用できる資料等を公開
目的:従業者に対して行う個人情報保護教育に利用
内容:全従業者を対象とした、個人情報保護マネジメントシステム(PMS)に関する基本事項
ひな形については、事業者の実態に合わせ、適宜内容を追加して利用可
教育ポイント
a.個人情報保護方針(内部向け/外部向け)
b.PMSに適合することの重要性及び利点
c.PMSに適合するための役割及び責任
d.PMSに違反した際に予想される結果
基本編:個人情報管理の重要性
・使用にあたってのご案内(220KB)
・本編(1MB)
・本編(補足説明付き)(713KB)
・本編(ひな形)(PowerPoint形式:1.2MB)
https://privacymark.jp/system/reference/index.html#tools
|
|
|
|
|
|
| 22日 |
|
|
|
−クラウドサービスの健全活用を目指して−
国内外で実施されているクラウドサービスの提供や利用に対する適合性評価制度、医療分野等におけるクラウドサービスの扱いに関するガイドライン等の概要・特徴、ISMSとの関連性等の情報など
クラウドサービス検討時の参考資料(ガイダンス)集
【国内制度】
・ISMSクラウドセキュリティ認証
・CSマーク
【国際制度】
・CSA STAR
・ECE Star Audit Certification
【ガイドライン】
・ISO/IEC 27001
・ISO/IEC 27002
・ISO/IEC 27017 他
【詳細ページ】
https://www.jipdec.or.jp/archives/smpo/JIP-ISMS201-1.0.pdf
|
|
|
|
|
|
| 21日 |
|
|
|
【状況】
旧モバイルユーザー用マイページサーバー(現在は別サーバー運用中)及びモバイル用WEB申込フォームサーバーの一部顧客の個人情報データが削除された(クレジットカード等の決済情報は不含)
(対象個人情報データ)
・マイページサーバーに保存していた個人情報(2018年4月15日以前の利用者):13,002件
「氏名」「モバイル電話番号(ログインID)」「モバイルマイページ用ログインパスワード」「利用しているサービス名称」
・WEB申込フォームサーバーに保存されていた個人情報:213件
「氏名」「住所」「メールアドレス」のうちのいずれか
【経緯】
・2019年5月8日、モバイル用WEB申込フォーム手続き中にエラー
・社内調査結果、同日午前2時に国外の第三者によるの不正アクセスによる一部個人情報の削除
・サーバーアクセスを停止し対応作業を開始し、同日午後に監督官庁への報告や警察への被害届の提出と相談を行い、セキュリティ専門会社による調査及び対策を手配
・情報の不正利用等の二次被害は確認されていない
【再発防止】
・システムのセキュリティ対策及び監視体制の強化
・警察機関とも連携し、今後の捜査に全面的に協力
|
|
|
|
|
|
| 20日 |
|
|
|
【概要】
「入退管理システムにおける情報セキュリティ対策要件チェックリスト」
「政府機関等の情報セキュリティ対策のための統一基準」で調達・運用時のセキュリティ要件を求められているIoT機器を含む特定用途機器の「入退管理システム」について、想定される脅威に対する情報セキュリティ対策の要件を列挙
チェックリストは政府機関の調達に限らず、自治体や民間組織における調達にも利用可能
【詳細ページ】
https://www.ipa.go.jp/security/jisec/choutatsu/ecs/checklist_ecs.pdf
|
|
|
|
|
|
| 20日 |
|
|
|
【パブリックコメント募集】
民間企業のサイバーセキュリティ対策の情報開示を促進するため「サイバーセキュリティ対策情報開示の手引き(案)」を作成
令和元年5月18日(土)から同年6月6日(木)までの間、意見を募集
http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00024.html
【概要】
Society5.0の実現に向けて、5G、IoT、AIをはじめとしてICTの利活用が社会・経済のあらゆる局面に浸透している今日、企業が適切なサイバーセキュリティ対策をとることは経営層が認識すべき重要な経営課題となっている
その上で、各企業のサイバーセキュリティ対策の実施状況について適切に開示して説明責任を果たすことを通じ、利用者や取引先企業、さらには社会からの信頼感がより一層得られることを促進する
|
|
|
|
|
|
| 17日 |
|
|
|
【概要】
IoT推進コンソーシアム、経済産業省及び総務省は、カメラ画像について、その特徴を踏まえつつ利活用の促進を図るため、事業者が、生活者のプライバシーを保護し、適切なコミュニケーションをとるにあたっての配慮事項を整理した「カメラ画像利活用ガイドブックver2.0」公表
ガイドブックの中でも、カメラ画像の取得を始める前や、実際に取得を実施する際に、生活者が容易に当該カメラ画像の利用目的や利用方法を理解でき、必要に応じて運営主体への問合せなどができるよう、必要な情報を「事前告知」「通知」することが重要
「カメラ画像利活用ガイドブック 事前告知・通知に関する参考事例集」では、「事前告知」「通知」について、事業者名を伏せた形で以下の観点から実事例を紹介
・事前告知・通知する内容として、どのようなものが適切なのか
・物理的な方法で実施する場合、どのような場所にポスター掲示などをするとよいか
・電子的な方法で実施する場合、どのようにWebサイト等を活用するとよいか
【詳細ページ】
https://www.meti.go.jp/press/2019/05/20190517001/20190517001.html
|
|
|
|
|
|
| 17日 |
|
|
|
【状況】
ウェブサイトに悪意あるファイルがアップロードされ、フィッシングメール等を経由してそのファイルがダウンロードされてしまう可能性があった
期間:2019年05月15日23:15前後 〜 2019年5月16日18:00前後
【原因】
管理ツールの脆弱性、FLASH脆弱性の可能性が考えられる
【対応】
・ウェブサイトの公開停止と管理パスワードを変更
・ウェブ上の全てのデータを削除
・ウェブサイトを復旧し、脆弱性を修正
|
|
|
|
|
|
| 15日 |
|
|
|
【状況】
・2月28日に決済代行会社より情報流出の可能性についての指摘
・クレジットカード決済を停止して3月5日より外部事業者による調査を実施
・3月22日にクレジットカード情報が流出し、不正に利用された可能性があるとの報告
2018年4月3日から5月16日、および2018年9月3日から2019年2月28日までにクレジットカードによる決済を利用した顧客2415人が被害に遭った可能性
【対応】
小田垣商店オンラインショップ お客様相談窓口サイトでクレジットカード情報流出に関する質問について、回答を用意
https://www.odagaki.co.jp/news/2019.html
|
|
|
|
|
|
| 14日 |
|
|
|
【状況】
・代表メールアカウントが不正アクセスを受け、当該アカウントから約2,200件の迷惑メールが送信された
・メールは、出会い系サイトへの誘導を目的とした内容の英文であり、送信先の詳細等については不明
【対応】
・パスワードの強制変更を行い、不正アクセスを遮断
|
|
|
|
|
|
| 13日 |
|
|
|
【状況】
2019年2月27日にイノベーション研究科の学生・教員専用サイトで発生した個人情報の漏えい報告の後、引き続き調査を行ったところ、不正アクセスによって個人情報の漏えいが判明
・講座・イベントの申込者、サイト利用者のメールアドレス:7,956件
・イベント申込者情報(メールアドレス、氏名、住所等):20件
・サイト機能利用者情報(メールアドレス、氏名、住所等):19件
現時点で漏えいした個人情報に関わる二次被害は確認されていない
【原因】
2018年10月以前に在学生や卒業生、教員の一部が使用するメールアドレスとログインパスワードが流出した可能性が高い
|
|
|
|
|
|
| 13日 |
|
|
|
【状況】
5月10日
オンラインストアサイト(ユニクロ公式オンラインストア、ジーユー公式オンラインストア)で第三者による不正なログインが発生
1)不正ログインが確認された顧客アカウント数
ユニクロ公式オンラインストア・ジーユー公式オンラインストアに登録者:461,091件
2)閲覧された可能性のある顧客個人情報
・氏名(姓名、フリガナ)
・住所(郵便番号、市区郡町村、番地、部屋番号)
・電話番号、携帯電話番号、メールアドレス、性別、生年月日、購入履歴、マイサイズに登録している氏名およびサイズ
・配送先の氏名(姓名、フリガナ)、住所、電話番号
・クレジットカード情報の一部(カード名義人、有効期限、クレジットカード番号の一部)
(クレジットカード番号は上4桁と下4桁以外は非表示。クレジットカードセキュリティコードは、表示・保存されていない)
【対応】
・通信元を特定してアクセスを遮断し、その他のアクセスについても監視を強化
・5月13日にパスワードを無効化し、パスワードの再設定依頼をメールで個別連絡
|
|
|
|
|
|
| 10日 |
|
|
|
【調査の目的】
商取引の結節点に位置する大企業・中堅企業が、サプライチェーン上の取引先のサイバーセキュリティについて、どの程度把握・関与しているか、どの程度サイバー攻撃被害に遭っているか、今後、取引先に対しどのような要求事項を有しているか等を調査・公表することを通じて、サプライチェーン全体でのサイバーセキュリティに対する意識向上を図る
調査対象:全国の従業員100人以上の企業(118社)
【調査結果のポイント】
●大企業・中堅企業の約7割(68%)は、「仕入・外注・委託先(買い先)」「販売・受注・受託先(売り先)」におけるサイバーセキュリティやサイバー攻撃被害について「あまり把握していない」。
また56%は、取引先のサイバーセキュリティへの「関与・管理等」につき「何も(殆ど)せず」と回答。
●「取引先に今後求めていきたいこと」は「口頭や文書での注意喚起」(42%)、「契約締結の依頼/要件化」(34%)。「何も(殆ど)せず」の企業も約2割(19%)存在。
●「取引先がサイバー攻撃被害を受け、それが自社に及んだ経験」がある企業は4社に1社(25%)。
内容は、標的型メール(15社)、詐欺的誘導メール(13社)など。その結果、「情報漏洩」(5社)、システムダウン(3社)、データ損壊(3社)など実害も出ている。
●「取引先がもしサイバー攻撃を受け、その被害が自社にも及んだ場合、採り得る対処」としては、「口頭や文書での注意喚起」(51%)、「損害賠償請求」(47%)、「セキュリティソフト・ハード導入の依頼/要件化」(37%)、「取引停止」(29%)など。
●「中小企業は今後どうしていくべきか」については、「中小企業自身が自衛すべき」(60%)、「国や自治体が支援すべき」(45%)、「IT企業や損保会社が安価・簡便なセキュリティサービスを提供すべき」(30%)、「商工会議所などが支援すべき」(27%)など。
【詳細レポート】
http://www.osaka.cci.or.jp/Chousa_Kenkyuu_Iken/press/190510sc.pdf |
|
|
|
|
|
