| 日付 |
タイトル・内容 |
| 30日 |
 |
|
|
○概要
レンタルサーバ「ロリポップ!」でウエブサイトが改ざんされた被害の続報。
サーバ内に設置されたWordPressの改ざんを防止するために実施した設定変更により、WordPressをインストールしていない利用者において一部混乱が生じた。
同サービスを運営するpaperboy&co.では8月29日夜、セキュリティの確保を理由に緊急対策を実施。
PHPやCGIの「パス設定」に対し、これまで利用が許可されていた一部「絶対パス」の指定をできないよう急遽変更したことから、一部利用者でウェブアプリが正しく動作しなくなるといった不具合が生じた。
設定変更にあたり、プログラムが正常に動作しなくなったアカウントに対しては、順次対応していく方針だったが、翌30日朝にセキュリティを確保できたとして従来の設定を再度許可した。
現在、混乱は収束に向かっている。 |
|
|
|
|
|
| 30日 |
|
|
|
○概要
日本ガスで顧客情報が記載された口座振替依頼書が紛失。
口座振替の登録状況が、金融機関確認中となっている顧客をチェックしていた際、振替依頼書を金融機関へ送付してから長期間経過しているものが数件あり、調査した結果、依頼書が金融機関に届いていないことが判明した。
問題の口座振替依頼書は、同社から送付された形跡も残っておらず、社内からも発見できなかった。紛失した情報の不正利用などは確認されていない。同社は、該当する顧客を個別に訪問し説明と謝罪を行う。
○紛失した個人情報の件数
17件
○URL
お客さま情報が記載された口座振替依頼書の紛失について
http://www.nihongas.co.jp/20130828-082119.html |
|
|
|
|
|
| 30日 |
|
|
|
○概要
埼玉県が生活保護世帯に対する学習支援事業を委託している一般社団法人において、支援対象である中学生の個人情報が記載された名簿を紛失。名簿は住民により拾得され、返却手続きが進められている。
同県が事業を委託している、彩の国子ども・若者支援ネットワークの職員が、8月23日9時26分、ふじみ野市内のコンビニエンスストアで名簿をコピーした際、原本をコピー機に置き忘れたとのこと。
その後24日1時頃、同市在住の男性が名簿を拾得し、27日に市内の中学校へ連絡したことで紛失が判明した。
同県は対象世帯を訪問し説明や謝罪を行い、委託先に対しては個人情報の取り扱いについて文書による注意を行う方針としている。
○紛失した個人情報の件数
17人分
○紛失した個人情報の内容
氏名、学年、世帯主名など |
|
|
|
|
|
| 30日 |
|
|
|
○概要
アットフリークスが運営するホスティングサービス「@PAGES」において、ユーザー情報が流出。
同社は流出状況について明らかにした。流出の原因は、ユーザー管理情報が保存されているデータベースのユーザー名とパスワードが流出し、サーバから抜き出された可能性があるとのこと。流出経路はまだわかっておらず調査中としている。
影響を受けるユーザーは、2013年2月27日午後2時54分時点で同サービスを利用していたユーザー、17万5297件に及ぶとみられる。
流出したデータについて具体的な言及は避けているが「一般ブラウザではアクセスできないが、特定の場所からデータを閲覧可能」と説明している。問題のファイルを削除することは技術的に困難だが、被害拡大を防止する措置を検討しているとのこと。
○流出した個人情報の件数
17万5297件
○流出した個人情報の内容
ユーザー名、パスワード、メールアドレス、ホスト名、IPアドレス、ユーザーエージェント」など |
|
|
|
|
|
| 30日 |
|
|
|
○概要
レンタルサーバ「ロリポップ!」でウエブサイトが改ざんされた被害の続報。
大規模改ざんの原因について、第1報を発表した8月28日の時点では、利用者におけるパスワード管理の不備であると発表、翌29日には、プラグインやテーマの脆弱性が利用され、情報を抜き出す不正なファイルがアップロードされたと改めた。
さらに30日の発表では、プラグインやテーマの脆弱性を利用されたことが「改ざんの手法」であるとの認識を示した上で、脆弱性に対し攻撃を行う際の侵入経路に、同社によるパーミッション設定の不備が悪用されたことを認めた。
ファイルのパーミッションについて、同社は、29日の午前中より変更作業を進めていたが、原因として公表するタイミングが30日となったことについて「被害拡大の防止を最優先したため」と釈明した。 |
|
|
|
|
|
| 29日 |
|
|
|
○概要
レンタルサーバ「ロリポップ!」でウエブサイトが改ざんされた被害の続報。
当初、改ざん被害件数を4802件としていたが、その後の調査であらたに3636件の改ざんが判明し、合計で8438件となった。
また改ざんの原因についても、当初は利用者におけるパスワードの管理不備を理由に挙げていたが、その後の調査で、プラグインやテーマの脆弱性が悪用され、不正なファイルがアップロードされたと説明している。
問題の不正ファイルを利用することで、WordPressの設定ファイルから情報の窃取が可能となり、データベースの書き換えや改ざんを行われたのではないかとのこと。
同社は被害の拡大を防ぐため、当初から実施している設定ファイルのパーミッション変更や不正ファイルのスキャンの他に、サーバ設定の変更も実施。変更の影響を受ける利用者については順次対応するとのこと。
また、不正ファイルを検知したサーバにおいて、再発を防止するため「WAF(Web Application Firewall)」を有効にするとしている。
○被害に遭った件数
8438件
○URL
当社サービス「ロリポップ!レンタルサーバー」、第三者による大規模攻撃について
http://www.paperboy.co.jp/news/201308290245 |
|
|
|
|
|
| 29日 |
|
|
|
○概要
レンタルサーバ「ロリポップ!」でウエブサイトが改ざんされる被害が発生。
同サービスを運営するpaperboy&co.によると、同サービスで「WordPress」を設置している利用者において、大規模な改ざん被害が発生しているとのこと。
同社は、同サービスの共有部分であるデータベースなどが不正アクセスを受け、大規模な改ざんに発展したのではないかとの一部憶測を否定し、利用者がWordPressにおいて脆弱な「ID」と「パスワード」を設定したことにより、管理画面へ不正ログインされるケースを多数確認していると指摘した。
利用者側のパスワード管理がおもな原因であるとの認識を示した上で、利用者に対し適切なパスワード設定やアクセス制限を実施するよう注意を呼びかけた。
被害の有無に関係なく、サーバ内に設置されたWordPressの設定ファイルに対し、パーミッションを強制的に変更し、サーバ上のファイルに対して不正ファイルがないかスキャンを行い、検知した場合はパーミッションを変更する措置を取っているとのこと。
○被害に遭った件数
4802件
○URL
ロリポップ!レンタルサーバーで発生している不正ログインについて
http://www.paperboy.co.jp/news/201308290245 |
|
|
|
|
|
| 29日 |
|
|
|
○概要
ヤフーの約15年前の内部情報が、インターネット上の掲示板で一時公開されていたことが判明。
流出した採用情報に関しては、保管期間である5年経過後に削除。また、パスワードの悪用は不可能で、現時点で同様の漏えいが発生する可能性もないとしている。
これらの情報はすでに社内で保有しておらず、過去に外部へ流出した可能性があるが、流出元はわかっていないとのこと。同社は、個人情報が流出したとして厚生労働省に報告を行った。
○流出した個人情報の件数/内容
1998年ごろの内部情報
・応募者15人分の情報を含む採用活動の関連メール
・77人分の従業員用パスワードリスト
(いずれも氏名が含まれる) |
|
|
|
|
|
| 29日 |
|
|
|
○概要
朝日新聞社とベネッセコーポレーションが共同で展開する「語彙・読解力検定」のウェブサイトが不正アクセスを受け、改ざんされる被害に遭った。
改ざんの時期や規模、影響の範囲などはわかっていない。両社はサイトを閉鎖し、原因等について調べるとしている。
また、サイトを閲覧した利用者に対し、ウイルスチェックをするよう呼びかけている。
○URL
「語彙・読解力検定」のホームページに関するお詫びとお知らせ
http://blog.benesse.ne.jp/info/corp/2013/08/post-4.html |
|
|
|
|
|
| 28日 |
|
|
|
○概要
アットフリークスが運営するホスティングサービス「@PAGES」において、ユーザー情報が流出。
流出したのは、2013年2月27日15時以前に登録したユーザーの管理情報。全ユーザーのパスワードを強制的にリセット。パスワードの変更を呼びかけている。
同社は、氏名・住所・電話番号・クレジットカード番号の流出については否定している。
○流出した個人情報の内容
ユーザー名、パスワード、メールアドレス、登録時のIP、登録時のユーザエージェント
○URL
【お詫び】ユーザ情報流出に関するお知らせ(8/28)
http://www10.atwiki.jp/atpagesguide/pages/303.html
【お詫び】ユーザ情報流出に関するお知らせ【第2報】(8/29)
http://www10.atwiki.jp/atpagesguide/pages/304.html
|
|
|
|
|
|
| 28日 |
|
|
|
○概要
ファッションブランド「LIBRE MAISON」のオンラインショップが不正アクセスにより改ざん被害に遭った。
同オンラインショップは8月20日にすでに閉店しているが、閉店の案内ページが被害に遭ったとのこと。
8月23日0時〜19時にかけて改ざんされた状態となっており、閲覧した場合ウイルスに感染するおそれがあった。顧客情報の流出については否定している。
同サイトを運営するトリニティアーツは、改ざんされた期間に同ページへアクセスした利用者に対し、ウイルスチェックをするよう呼びかけている。
○URL
LIBRE MAISON オンラインストアに関するお詫びとお知らせ
http://libremaison.com/info.html |
|
|
|
|
|
| 28日 |
|
|
|
○概要
若狭高浜観光協会が運営する観光情報サイトが不正アクセスを受け、複数のページで改ざん被害が発生。
8月13日〜19日16時までの改ざんされた期間にページを閲覧した場合、外部サイトに誘導されウイルスに感染するおそれがあった。今回の不正アクセスによる個人情報の流出は確認されていない。
ウエブサイトは現在、通常通り公開されているが、同協会では心当たりがある利用者に対し、ウイルスチェックをするよう呼びかけている。
○改ざん被害に遭ったページ
「若狭たかはま観光情報」(トップページ)
「ぷらっとHome高浜」
「つりをもっと楽しくする情報サイト」
「若狭高浜花火大会」など
○URL
当協会ホームページの改ざんに関するお詫びとご報告
http://www.wakasa-takahama.jp/owabi/hpowabi.pdf |
|
|
|
|
|
| 27日 |
|
|
|
○概要
ジブラルタ生命保険の従業員が、顧客などの個人情報が登録された携帯電話を紛失。
8月17日15時頃、営業活動中だった同従業員は、岩手県釜石市のコンビニエンスストアの駐車場に車を止め、会社が貸与している携帯電話を一時的に車の上に置いた際、そのまま走行し紛失した。
携帯電話にはパスワードが設定されているとのこと。駐車場や走行した道の捜索を行ったが発見できず、同日中に警察へ届け出た。情報の不正利用などは確認されていない。
○紛失した個人情報の件数
800件
○紛失した個人情報の内容
氏名、電話番号(同従業員の顧客や個人的な関係者など) |
|
|
|
|
|
| 27日 |
|
|
|
○概要
掲示板「2ちゃんねる」向け有料サービス「2ちゃんねるビューア」の顧客情報が外部へ流出した問題の続報。
今回の流出に伴い、実際に投稿が特定される事態が発生。
作家の杉井光氏は、掲示板へ誹謗中傷や暴言などを書き込んでいたことを認め、自身の公式ブログにて謝罪するコメントを発表した。関係者にも謝罪を行っているとのこと。 |
|
|
|
|
|
| 26日 |
|
|
|
○概要
中野区の小学校教諭が、児童の個人情報や写真が記録されたSDメモリカードを紛失。
紛失したメモリカードは、同教諭が個人で所有しているデジタルカメラで使用していたもので、カメラと一緒にケースに入れていたが、7月23日にカードがなくなっていることがわかり、24日に校長に報告した後、28日に警察へ届け出た。
○紛失した個人情報の件数/内容
昨年度担任した6年生26人の氏名と成績評価
卒業を祝う会で使用した個人写真 等 |
|
|
|
|
|
| 26日 |
|
|
|
○概要
福岡県中小企業振興センターのウェブサイトが不正アクセスにより改ざん被害に遭った。同サイトは個人情報を保有しておらず、情報流出のおそれはないと説明している。
8月15日18時〜20日21時頃にかけてウェブサイトが改ざんされた状態となっており、この間にサイトにアクセスした場合、外部サイトへ誘導され、ウイルスに感染するおそれがあった。
ウェブサイトは21日16時に復旧したが、詳しい原因については調査を進めている。改ざんされていた期間中にアクセスした利用者に対してはウイルスチェックをするよう呼びかけている。 |
|
|
|
|
|
| 26日 |
|
|
|
○概要
京都大学 経営管理大学院のアジアビジネス人材育成寄付講座において、「Googleグループ」の設定不備により講座関係者の個人情報が流出。
「Googleグループ」は学内関係者の業務連絡用に利用していたが、サービスの利用を開始した2012年12月4日から、外部の指摘を受けて設定を変更した2013年8月11日まで、メーリングリストの内容を関係者以外からも閲覧できる状態だった。
問題発覚後、同大学院はアクセスできないよう設定を変更し、サイトを削除。また関係者に対し流出の報告や謝罪を行っている。
○流出した個人情報の件数/内容
・同講座関係者 175人分/氏名、勤務先住所と電話番号、メールアドレス等
・同講座協議会の出席者31人分/氏名
・受講生による講師評価シート/19件
・受講生の面談記録/8件
・講師の宿泊先リスト/27件
○URL
個人情報流出に関するお詫び
http://www.gsm.kyoto-u.ac.jp/jp/news-events/news/428-press-release-20130823.html |
|
|
|
|
|
| 26日 |
|
|
|
○概要
掲示板「2ちゃんねる」向け有料サービス「2ちゃんねるビューア」の顧客情報が外部へ流出。
8月25日23時半頃、顧客情報が流出したとの連絡が入り、流出を確認した。同サービスを提供するN.T.Technologyによれば、クレジットカードやビットキャッシュによる決済を停止し、漏えい範囲や原因などを調査中。今のところ流出経路なども明らかになっていない。
2ちゃんねるは「匿名掲示板」として利用されているが、流出した情報から書き込みを行った人物を特定することができるといった指摘も出ており、利用者に混乱が生じている。
○流出した個人情報の件数
数万件
○流出した個人情報の内容
住所やメールアドレスのほか、一部にはクレジットカードの名義、カード番号、有効期限、セキュリティコード |
|
|
|
|
|
| 23日 |
|
|
|
○概要
NPO法人シクロツーリズムしまなみが運営する「しまなみサイクルオアシス」のサイトが改ざんされ、閲覧者にウイルス感染の可能性があったことが判明。改ざんされたのは8月20日13時44分頃とみられる。
同サイトへ複数のリンクを張っていた愛媛県は、今回の不正アクセスを受けリンクを削除した。また同サイトの利用者に対し、ウイルス感染の有無をチェックするよう呼びかけている。
○URL
「しまなみサイクルオアシス」ホームページの改ざんに伴う県ホームページのリンクの削除について
http://www.pref.ehime.jp/h12200/hp/kaizan-osirase.html |
|
|
|
|
|
| 23日 |
|
|
|
○概要
住友生命保険が、顧客の個人情報を国や自治体などへ誤って提供していたことが判明。
同社顧客の保険契約を差押えた国や自治体など債権者が、契約を解約して支払請求手続きを行った際、本来開示する必要のない契約者の個人情報を提供していたとのこと。
契約者による支払請求手続において、住所や電話番号、保険料振替口座などをあらかじめ印字した請求書を提供しているが、契約者本人以外の請求に対しても、本来必要のないこれら情報を印字した請求書を提供していた。
同社は、対象となる契約者および債権者に対し謝罪の文書を送付。漏えいした個人情報の不正利用は確認されていないとのこと。
○流出した個人情報の件数/内容
・国や地方公共団体などの公的機関に対し
住所、電話番号、保険料振替口座など3万2369人分の情報を提供
・公的機関以外の債権者による解約手続きにおいて
契約者495人分の情報を提供
・契約者に対し
債権者39人の送金口座情報を提供
○URL
個人情報の漏えいについて
http://www.sumitomolife.co.jp/about/newsrelease/pdf/2013/130822.pdf |
|
|
|
|
|
