個人情報漏えいやインターネット犯罪、ウイルス情報等のニュースを掲載しています。テーマは“事故から学ぶ情報セキュリティ”。みなさんの組織の体制や、事件・事故が起こる可能性等を考慮しながらご覧ください。 過去のニュースを見る： 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 2025 2026 　年度 前の20件 ／ 10 11 12 13 14 15 16 17 18 19 ／ 次の20件 2016年03月 日付 タイトル・内容 09日 ネット犯罪 「ドラゴンクエストX」を装ったフィッシング攻撃、発生 ○概要 スクウェア・エニックスが提供するオンラインゲーム「ドラゴンクエストX」を装ったフィッシング攻撃が発生。 問題のメールは、「アカウントの接続環境が変化した」「不審なアクセスを検知したためログインが制限されました」などと説明。 「セキュリティ対策とパスワードの再検証を行ってください」と騙し、偽サイトへ誘導してアカウント情報を詐取する。 誘導先のフィッシングサイトは稼働しており、同協議会はJPCERTコーディネーションセンターに調査を依頼した。 注意喚起を行うとともに、類似したフィッシング攻撃を見かけた場合は、情報を提供してほしいと呼びかけている。 08日 ネット犯罪 滋賀県を発信元とするマルウェアを送りつけるメールに注意／滋賀県 ○概要 滋賀県を発信元と装い、マルウェアを送りつけるメールが発生。同県以外の組織に対しても、同様のメールが送信される可能性もあるとして注意喚起を行っている。 問題のメールは、滋賀県庁のドメインを用いた「documents＠pref.shiga.lg.jp」を発信元としている。 ３月２日２時過ぎから５時過ぎにかけて、立て続けに３通のメールが職員に届いたが、いずれの職員も開封していない。 メールの件名と本文は英語で記載されており、zipファイルが添付されている。 同県はファイルをVirusTotalで調査、その結果、９製品でマルウェアとして判定されたため、マルウェアと判断したとのこと。 07日 ネット犯罪 「ビックカメラ.COM」パスワードリスト攻撃、ポイントの不正使用も ○概要 通販サイト「ビックカメラ.COM」において、なりすましによる不正ログインが発生。 他サイトから流出したと見られるIDとパスワードを悪用した、第三者による不正ログインが発生。ポイントが不正に利用される被害も発生しており、詳細について調査を進めている。 同社は不正アクセスの痕跡はないとして、同社経由の情報漏えいを否定している。不正アクセスの被害に遭ったと見られるIDに対し、利用制限を実施し、顧客に連絡を取っている。 07日 情報取扱い 個人情報を含む業務資料を一般の第三者にメール送信／西日本高速道路 ○概要 西日本高速道路において、個人情報を含む業務資料を誤って、一般の第三者へメールで送信した。 関西支社の従業員が、2月29日11時過ぎに個人情報含む業務資料をメールで送信。その際、本来の宛先である行政機関ではなく、誤って一般の第三者に送信してしまったとのこと。 同社は誤送信先に連絡し、誤送信した資料の消去を依頼した。また、対象となる関係者には説明と謝罪を行う。 ○流出した個人情報の件数 15件 ○流出した個人情報の内容 和歌山県内の高速道路建設予定地の土地の補償に関する情報 07日 情報取扱い 業務用携帯電話を紛失／ことに・メディカル・サポート・クリニック ○概要 札幌市の「ことに・メディカル・サポート・クリニック」の職員が、取引先の連絡先が登録された業務用携帯電話を紛失。 ３月１日16時30分頃、同クリニックの職員が訪問診療中に業務用携帯電話を紛失。 医療法人 新産健会は、携帯電話の利用停止措置をとり、対象となる取引先関係者への説明と謝罪を行っている。 ○紛失した個人情報の件数 約50件 ○紛失した個人情報の内容 取引先企業の連絡先 ○URL 業務用携帯電話紛失のご報告とお詫び http://www.kotoni-medical.com/pdf/20160304_owabi.pdf 07日 ネット犯罪 Twitter上に不適切な書き込みをした職員、懲戒処分に／岐阜県 ○概要 岐阜県の職員が、Twitter上に不適切な書き込みを80回にわたり繰り返し行っていたとして、懲戒処分となった。 同職員は2015年9月7日から11月29日にかけて、Twitterに差別的な主張を含む不適切な内容を、80回にわたり書き込んでいたとのこと。同年10月１日および５日の勤務時間中、Twitter上に私的な書き込みを４回行っていた。 同県は同職員に対し、減給10分の1（１カ月）とする懲戒処分を決定し、監督者２人に対しても口頭による注意を行った。 07日 情報取扱い 「グリコネットショップ」不正アクセスを受け、顧客情報が流出 ○概要 「グリコネットショップ」が不正アクセスを受け、顧客情報が流出。 1月29日にクレジットカード会社より、情報流出の可能性について指摘があった。2月1日より外部企業による調査を実施した。2月29日に調査の最終報告を受けたとして事態を公表。 漏えいした情報の特定には至っていない。現行システムを導入した2012年10月12日から、システムを停止した2016年2月3日までに「グリコネットショップ」で注文した最大8万3194件の顧客情報が流出した可能性がある。 同社は、3月7日に関連する顧客に書面を発送し、身に覚えのない請求が行われていないかクレジットカードの利用明細書を確認するよう注意喚起を行った。 また通信販売の再開については、システムの安全性を確認した上で再開する予定とのこと。 ○流出した個人情報の件数 最大8万3194件 ○流出した個人情報の内容 氏名、住所、電話番号、メールアドレス、届け先情報、家族情報 （4万3744件は、クレジットカードの名義や番号、有効期限が含まれる） 04日 その他 内部不正の実態調査、故意による不正は４割、組織への不満も理由に／IPA ○概要 情報処理推進機構（IPA）が、企業3652社を対象に、過失を含む内部不正の実態調査を実施した。 ※これまでにルールや規程違反を含めた内部不正が発生した企業 　300 人以上の企業で、8.6％ 　300 人未満で、 1.6% ※外部攻撃があった割合 　300 人以上の企業で、18.5％ 　300 人未満で、 5.4％ いずれも企業規模が大きいほどインシデントを経験する割合が高くなっていることがわかる。 ※内部不正経験者の職務 　システム管理者（兼務を含む）：51％ 　一般従業員：14.5％ 　係長、主任：13.5％ 　課長：9.5％ 　部長：5.5％ ※年代別 　40代：38.6％ 　30代：31.5％ 内部不正経験者の職務では、兼務を含むシステム管理者が過半数を占める。年代別では、40代が最も多い結果となった。 ※内部不正経験者が起こしたインシデントの内容 　うっかりミスや不注意によるルール違反：66.5％ 　顧客情報などの職務で知り得た情報の持ち出し：58.5％ 　個人情報を売買するなど職務で知り得た情報の目的外利用：40.5％ 　システムの破壊、改ざん：36.5％ ※内部不正を行った理由 　ルールを知っていたがうっかり違反した：40.5％ 　ルールを知らず違反した：17.5％ 　業務が忙しく、終わらせるため持ち出す必要があった：16.0％ 　処遇や待遇に不満があった：11.0％ 　ルールはあったがルール違反を繰り返している人がいたので自分もやった：7.0％ 　持ち出した情報や機材で転職や起業を有利にしたかった：3.5％ 　企業・組織や上司などに恨みがあった：3.0％ 　持ち出した情報や機材を換金したかった：1.5％ 内部不正を行った理由をみると、上位２つは「故意が認められない」ケースで、合わせて58％と６割近くになる。反対に、３つめ以下の「故意による持ち出し」は合わせて42％となる。 情報を持ち出す手段としては、すべての情報で「USBメモリ」が最も多かった。また、メールやSNSを利用するケースも多いことがわかった。 ○URL プレス発表　「内部不正による情報セキュリティインシデント実態調査」報告書の公開 http://www.ipa.go.jp/about/press/20160303.html 03日 情報取扱い 顧客情報含むカバン、飲食店で所在不明に／ワールド・エステート ○概要 ワールド・エステート（不動産仲介業）において、顧客情報が入ったカバンを飲食店で預け、その後所在がわからなくなっていることが判明。 2月15日、従業員は業務終了後に立ち寄った飲食店で、カバンを店に預けた。しかし店側が誤って他の客にそのカバンを渡したとのこと。 カバンには、同社が販売を受託している分譲マンションに関する顧客の情報が含まれている。同社は対象となる顧客に連絡し、謝罪している。 ○流出した個人情報の件数 23人 ○流出した個人情報の内容 氏名、年齢、勤務先名など ○URL 個人情報紛失についてのお詫びとお知らせ http://www.world-est.co.jp/archives/001/201602/個人情報紛失についてのお詫びとお知らせ.pdf 03日 情報取扱い 顧客情報1万5000件を保存したUSBメモリ、紛失／ジローレストランシステム ○概要 ジローレストランシステム（イタリアンレストランやカフェなどを運営）において、顧客情報を保存したバックアップ用USBメモリが紛失。 ２月２日、同社本社で顧客リストを更新しようとした際、バックアップに用いていたUSBメモリがないことに気が付いた。USBメモリは内部で利用しているもので、使用しない時は金庫で保管しているとのこと。 紛失した情報の不正利用等の報告はない。 ○紛失した個人情報の件数 約1万5000件 ○紛失した個人情報の内容 氏名、住所、電話番号、メールアドレス、誕生日、会社名、役職など 03日 ネット犯罪 個人情報持ち出しと不正アクセスを行った職員を懲戒免職／岐阜県 ○概要 岐阜県において、職場から私的な目的で個人情報を持ち出すとともに、他人のIDを使ってコンピュータに不正アクセスを行った職員に対し、３月２日付けで懲戒処分が実施された。 ○経緯 ※2013年8月22日頃 　岐阜県総合医療センターで、同センター職員の個人情報を業務以外の目的で収集。 ※2014年8月12日、9月12日 　総務事務センターで県職員の個人情報を持ち出す。 ※2014年9月12日〜2015年11月18日 　類推したIDやパスワードを用いて、57回にわたり不正アクセスを行う。 同県は同職員を懲戒免職とし、管理監督する立場にあった３人に対しても、管理監督責任に基づく戒告処分を行った。 02日 情報取扱い 卒業生の生徒指導カード、紛失／大阪府立吹田東高校 ○概要 大阪府立吹田東高校において、卒業生の生徒指導カードが所在不明になっていることが判明。 紛失したのは、2004〜2009年度の卒業生の指導カード。保存期間経過後に適切に廃棄されておらず、放置されていたことがわかった。 2月12日に神戸市のフェリーターミナル付近の植え込みから生徒指導カード２枚が拾得、また解体中の旧校舎からも発見され、問題が発覚した。 フェリーターミナル付近で拾得された２枚は、旧校舎から運び出した廃棄ロッカーに入っていたものだったが、処分場に運ばれた際にトラックの荷台に残ったものが落下したと見られている。 今回の問題を受けてカードを探したところ、旧校舎の解体現場では801件、処分場でスクラップなどから381件を回収したが、707件の所在がわかっていない。 教育委員会は、カードの所在がわからない卒業生に対し謝罪文を送付した。また、卒業生や保護者を対象とした説明会を開くなど対応を進めている。 ○紛失した個人情報の内容 生徒と保護者の氏名、住所、電話番号、生年月日、緊急連絡先、生徒の写真、自宅付近の地図、出身中学校など 01日 ネット犯罪 不正アクセス　京都動物愛護センターのサイト改ざん被害 ○概要 京都動物愛護センターのウェブサイトが不正アクセスを受け改ざんされた。 同センターが委託している外部サーバが不正アクセスを受けたもので、2月27日20時頃にウェブサイトを閉鎖し、被害状況など詳細を調査している。 改ざんされた日時はわかっておらず、改ざんされたウェブサイトを閲覧した場合、マルウェアに感染する可能性があった。心当たりのあるユーザーは、マルウェアへ感染していないかチェックするよう呼びかけている。 同サイトは個人情報を保有していないとし、個人情報流出の可能性を否定している。また京都府や京都市の公式サイトは別サーバで運用されており、影響はないとのこと。 2016年02月 日付 タイトル・内容 29日 ネット犯罪 不正アクセス　ゴルフ情報メディア「ALBA.Net」会員情報流出 ○概要 ゴルフ情報メディア「ALBA.Net」が不正アクセスを受け、会員の個人情報が流出。 2月25日7時40分頃、サイト内の一部ページにおいて表示できなかったり、表示が遅いなどの不具合に従業員が気付き、調査した結果、同日1時40分頃にウェブサーバが不正アクセスを受け、SQLインジェクションの脆弱性を突かれたことが判明。 流出したのは、2005年9月30日以前に登録した会員の情報。 ゼビオの子会社で同サイトを運営しているクロスプラネットは、一部サービスを停止し原因となるプログラムを削除した。また不正アクセスが行われた発信元からのアクセスを遮断。 対象となる会員にはメールと電話で謝罪を行っている。 ○流出した個人情報の件数 1000人分 ○流出した個人情報の内容 氏名、電話番号、生年月日、性別など 26日 ネット犯罪 りそな銀行装う不審なメールに注意 ○概要 りそなグループに対するフィッシング攻撃が頻発しているとして、フィッシング対策協議会が注意喚起を行っている。 １月末に確認されていた「りそな銀行」や「埼玉りそな銀行」のフィッシングだが、再び「りそな銀行」を装うメールが確認されている。 今回確認されたメールは、「システムセキュリティのアップデート」を利用に、ウェブサイトへのアクセスを促す内容となっており、「本人認証サービス」のボタンからりそな銀行の偽ログイン画面に誘導する。 メールの本文は「貴様のアカウントの利用中止を避けるために、検証する必要があります」など、不自然な言い回しが含まれる。 2月26日11時30分の時点でフィッシングサイトは稼働中とのこと。同協議会は、サイトの閉鎖に向けてJPCERTコーディネーションセンターに調査を依頼した。また、今後も類似の攻撃が発生する可能性があるため、引き続き警戒を呼びかけている。 25日 ネット犯罪 CMS「WordPress」や「Joomla！」など、改ざん被害発生 ○概要 オープンソースで提供されている主要コンテンツマネジメントシステム（CMS）において、改ざん被害が発生、JPCERTコーディネーションセンターが注意を呼びかけている。 「WordPress」や「Joomla！」「Drupal」「MODX」など広く利用されているCMSを構成する一部PHPファイルに、不正なコードが挿入されるケースが確認されている。いずれも同じコードが挿入されていた。 改ざんされたPHPファイルには、コードの前後に特徴的なコメントが挿入されるケースがある。また、コードが難読化されているケースもあるとのこと。 改ざんされると、CMSが生成するページに、外部から取得された不正なコードが挿入された状態になる。 同センターが確認したケースでは、難読化された「JavaScript」を挿入、「iframeタグ」によってマルウェアに感染させる不正サイトへ誘導していた。 被害が生じたサイトにおいて、改ざんに至った経緯などはわかっていないが、CMSやプラグインの脆弱性が悪用された可能性もあるとして、同センターは最新版を利用するよう注意喚起を行っている。 ○URL 改ざんの標的となるCMS内のPHPファイル http://www.jpcert.or.jp/magazine/acreport-cms.html 24日 情報取扱い 患者の個人情報、サイトに掲載／鳥取県 ○概要 鳥取県がウェブサイトで公開した地域医療支援病院の報告書に、患者の個人情報が含まれていたことが判明。 個人情報が含まれていたのは、報告書内の「高額医療機器の共同利用実績」。2月19日に医療関係者から指摘があり問題が判明、削除した。 同県では、地域医療支援病院として承認された病院は、毎年の業務実績を県に報告する義務があり、今回の報告書は、2014年11月18日と2015年1月30日に公開したものだった。 今回の報告書は、2014年11月18日と2015年1月30日に公開したもので、担当者は個人情報が含まれていることに気が付かず、公開前のチェックも行われていなかった。 同県は対象となる患者に対し、書面で謝罪した。個人情報が悪用されるといった被害などは報告されていないとのこと。 ○流出した個人情報の件数 379人分 ○流出した個人情報の内容 氏名、電子カルテの患者ID、共同利用する高額医療機器や機器を共同利用して検査した日など 22日 情報取扱い 個人情報記載した手術予定表が所在不明に／中電病院 ○概要 広島市の中電病院において、2015年4月1日〜2016年1月14日までに同院で手術を受けた患者の個人情報が記載された書類を紛失。 1月15日、手術予定表を綴じたファイルがなくなっていることが判明。 第三者がファイルを持ち出すことは難しいと説明。手術室内でファイルを置いていた場所の横に可燃廃棄物の回収箱があり、ファイルが誤って回収箱に混入し、廃棄された可能性が高いとしている。 今回の件に関する情報の不正利用等は確認されていない。また同院は、対象となる患者に書面を送付し、報告と謝罪を行うとしている。 ○紛失した個人情報の件数 1615件 ○紛失した個人情報の内容 氏名、年齢、病名、手術方式など ○URL 中電病院における個人情報の紛失について http://www.energia.co.jp/press/15/p160219-1.html 22日 ネット犯罪 観光情報サイト「南房総いいとこどり」が不正アクセス／南房総市 ○概要 千葉県南房総市の観光情報サイト「南房総いいとこどり」が不正アクセスを受け、改ざん被害に遭った。 改ざんされていた時間は、１月８日１時過ぎから同日８時半過ぎまで。この時間帯に同サイトを閲覧すると、不正なサイトに誘導されマルウェアに感染する可能性があった。情報漏えいはないとのこと。 同市はサイトを修正し、2月16日に再開している。心当たりのある利用者には、マルウェア感染の有無をチェックするようアナウンスしている。 19日 情報取扱い システム不具合、入試出願登録情報が閲覧可能に／学習院大学 ○概要 学習院大学において、入試ウェブ出願システムに不具合があり、出願登録情報を出願者以外が一時閲覧できる状態になっていた。 ウェブ出願確認画面の不具合が原因で、出願登録情報が第三者から閲覧できる状態だった。1月14日に受験生から指摘があり判明。 閲覧が可能だったのは、ウェブ経由の出願を受け付け開始した1月5日から、システムの修正が完了した14日22時過ぎまで。 入学試験への影響を避けるため、同事案の公表は入試実施後に行ったとのこと。 ○流出した個人情報の件数（閲覧された可能性のある件数） 86人分 ○流出した個人情報の内容 氏名、住所、電話番号、生年月日、メールアドレス、出身高校、出願情報など 前の20件 ／ 10 11 12 13 14 15 16 17 18 19 ／ 次の20件 ※ セキュリティニュースは、ソリューションパックおよびサポートパックでもご提供しています。 ※ ウイルス情報についての記事は、影響力等が中程度以上のものを掲載しています。詳細は各サイトにてご確認ください。 Page Top Copyright (C) 2002-2022 CDNS Corporation. All Rights Reserved.