| 日付 |
タイトル・内容 |
| 28日 |
 |
|
|
○概要
ソフトバンクモバイルの携帯電話利用者向けサイト「My SoftBank」において、第三者が利用者になりすました不正ログインが発生。
不正アクセスが発生したのは、2月24日と25日の2日間。個人情報が閲覧されたり、コンテンツを不正に購入された可能性があるとのこと。
同社は、同サービスのIDやパスワードが同社サーバから流出した形跡はないとしており、他サービスなどで流出したIDやパスワードを利用したパスワードリスト攻撃だと説明している。
対象の利用者へ個別に連絡し、パスワードのリセット処理を実施した。また、監視体制や認証機能の強化なども実施。
○閲覧された可能性のある個人情報の件数
344件
○閲覧された可能性のある個人情報の内容
氏名、電話番号、契約内容、利用状況等 |
|
|
|
|
|
| 28日 |
|
|
|
○概要
ミクシィのソーシャルネットワーキングサービス「mixi」の一部利用者において、不正ログインの被害が発生。
「mixiボイス」において利用者以外による不正な投稿が行われた。発生したのは、2月28日2時45分頃〜14時ごろにかけて。
悪用されたアカウント情報について同社経由の漏えいを否定し、他社サービスで流出した情報が用いられたパスワードリスト攻撃であるとしている。
同社は攻撃者によるアクセスを制限し、不正投稿を削除。不正ログインが発生したユーザーにはパスワードの変更を要請した。また利用者に対し、パスワードの使い回しやメールアドレスやパスワードの管理について、注意を呼びかけている。
○被害に遭ったIDの件数
1万6972件 |
|
|
|
|
|
| 27日 |
|
|
|
○概要
「ヤマレコ(登山記録などを共有できる登山者向けコミュニティサイト)」のサイトが、不正アクセスにより改ざん被害に遭った。
IEの未修正の脆弱性「CVE-2014-0322」を狙ったゼロデイ攻撃と見られている。「Javascriptファイル」が改ざんされ、不正ファイルを読み込ませる「iframeタグ」が挿入され、サーバ上へマルウェアに感染したファイルを設置されたとのこと。
改ざんされていたのは、2月24日2時〜同日12時と同日16時から20分間。期間中にサイトを閲覧した場合、マルウェアへ感染する可能性があった。
同社は、外部からログインされた形跡などは発見されておらず、ウェブアプリの脆弱性が利用された可能性があるとしながらも、情報が少ないため不正アクセスの経路や方法について特定することができない可能性もあるとしている。
今回の問題を受け、不正アクセスへの対策とし、アクセス制限やアプリケーションのアップデート、ウェブアプリケーションファイアウォール(WAF)の導入など実施。
個人情報の漏えいやデータベースの不正操作については確認されていないが、利用者に対しマルウェア感染の有無等を確認するよう呼びかけている。
○URL
サイト改ざんの影響について
http://www.yamareco.com/modules/diary/67-detail-67764 |
|
|
|
|
|
| 26日 |
|
|
|
○概要
観光バス事業などを展開するはとバスのウェブサイトが、外部より不正アクセスを受け改ざん被害に遭った。
改ざんされたのは、2月18日22時前〜24日11時頃で、サイト上に不正なプログラムが設置され、閲覧するとマルウェアへ感染する可能性があった。
詳細については現在調査中だが、顧客情報の流出などは現時点では確認されていないとのこと。利用者に対しウイルスチェックの実施を呼びかけている。
また、モバイル向けのウェブサイトや外国語で提供しているサイトについては被害は確認されていないが、一時閉鎖している。
サイトの再開日時について目処は立っておらず、今後アナウンスする予定とのこと。
○URL
「弊社ホームページ一時閉鎖に関するお詫びとお願い」
http://www.hatobus.co.jp/ |
|
|
|
|
|
| 26日 |
|
|
|
○概要
大手外食チェーンのセブン&アイ・フードシステムズがAndroid端末向けに提供しているアプリ「デニーズ」において、SSLサーバ証明書の検証処理に脆弱性「CVE-2014-1967」が見つかり、アップデートが公開された。
脆弱性を悪用されると中間者攻撃を受けるおそれがあるとのこと。
この脆弱性は「同2.0.0」および以前のバージョンに存在し、同社は脆弱性を解消したアップデート「同2.0.1」を公開している。
今回の脆弱性は情報処理推進機構(IPA)へ報告し、JPCERTコーディネーションセンターが調整を行った。
○URL
JVN#48810179
Android 版アプリ「デニーズ」における SSL サーバ証明書の検証不備の脆弱性
http://jvn.jp/jp/JVN48810179/ |
|
|
|
|
|
| 25日 |
|
|
|
○概要
愛知大学において、試験の単位レポートと採点表を盗難により一時紛失。
2013年度秋学期末定期試験の1科目について、単位レポートとその採点表を2月10日に紛失し、盗難として警察へ被害届を提出したが、14日に発見され回収した。
同大学は対象となる学生に文書を通じて経緯説明と謝罪を行った。
○URL
単位レポートの紛失に関するお詫び
https://www.aichi-u.ac.jp/information/news/Com0000599.html |
|
|
|
|
|
| 25日 |
|
|
|
○概要
大阪市の大正区役所と淀川区役所の戸籍担当職員が、戸籍情報システムを利用し、橋下徹市長の戸籍を業務とは関係なく閲覧していたことが判明。
橋下市長からの個人情報の開示請求を受け、2月7日、同市が戸籍の発行履歴を確認したところ、戸籍情報の不正閲覧が発覚。
大正区の職員は、2011年3月11日、10月5日、11月15日に8回にわたって閲覧、淀川区の職員は、2013年11月14日に2回閲覧したとのこと。いずれも内容の出力や他人への漏えい等は否定。
2人の職員について同市は、戸籍情報システムへの全アクセスログを調査し、業務外閲覧の詳細を確認したうえで処分を行うとしている。また、戸籍業務に従事している全職員を対象に、自己申告による調査とアクセスログによる調査を実施するとのこと。 |
|
|
|
|
|
| 25日 |
|
|
|
○概要
三菱東京UFJ銀行の90支店において休眠口座に関する情報を記載した資料「本部移管明細表」が所在不明となっていることが判明。
顧客情報の管理強化に向けて、永久保存扱いで保管している帳票や資料の保管状況を調査しており、その際、休眠口座に関する内部資料の紛失が判明したとのこと。
同行は、保管期間の終了した不要な書類を処分する際、誤って一緒に処分した可能性が高いと説明している。悪用された報告もないとのこと。
対象となる顧客の預金については、資料の提示などにより払い戻しを行う。
○紛失した個人情報の件数
2万2000件
○紛失した個人情報の内容
氏名、口座番号、明細作成時の預金残高など
○URL
情報の保管管理の強化に伴い判明したお客さま情報の紛失について
http://www.bk.mufg.jp/news/news2014/pdf/news0224.pdf |
|
|
|
|
|
| 25日 |
|
|
|
○概要
京都銀行のオンラインバンキングに見せかけたフィッシングサイトへ誘導するリンクが、ヤフーのインターネット広告サービス「スポンサードサーチ」に掲載されていたことが判明。
問題の広告は同社の審査をすり抜けて、検索結果ページの上下や右側に、2月11日〜18日まで約1週間にわたり掲載されていた。
京都銀行は、2月18日にインターネットバンキングのログイン画面を装ったフィッシングサイトを確認したとして注意喚起を行った。合わせてヤフーに対し対応を依頼。ヤフーは同日アカウントを停止した。
京都銀行は、18日時点で被害を把握していなかったが、その後フィッシング攻撃により詐取された情報を悪用され、不正送金される被害が発生していたことを確認した。被害状況を19日に公表。
ヤフーでは今回の問題を受け、今後は金融関連の広告審査について、システムと目視による確認を組み合わせるなど強化を図る方針とのこと。
○URL
【重要】個人向けインターネットバンキングをご利用のお客さまへ
http://www.kyotobank.co.jp/ |
|
|
|
|
|
| 24日 |
|
|
|
○概要
はてなが提供するサービスにおいて、第三者が利用者になりすました不正ログインが発生している可能性があることが判明。
登録している個人情報の閲覧や変更の他、利用者が保有する「はてなポイント」の不正交換が発生している。ポイントはAmazonギフト券への交換、それにともなう再課金が発生している可能性があるとのこと。
不正ログインが発生したアカウントについて、他サービスから流出したアカウント情報が利用されていると同社は説明している。また、同社経由の流出についても否定。
そのため他サービスと共通のIDやパスワードを使い回しているユーザーに対して、登録情報が改変されいないか、ポイントの不正利用が発生していないか、などの確認をしており、さらに早急にパスワードを変更するよう呼びかけている。
同社では警察へ相談するとともに、不正アクセスを受けた期間や被害の規模について調査を進めている。
○閲覧、変更された可能性のある個人情報
氏名、郵便番号、生年月日、メールアドレス、クレジットカード番号の一部など |
|
|
|
|
|
| 21日 |
|
|
|
○概要
エフエム・ノースウエーブにおいて、サイト経由でメッセージを送った視聴者の個人情報が、インターネット上で閲覧可能な状態になっていたことが、1月30日に外部からの指摘で判明した。
設定に問題があり、特定の検索エンジンからアクセス可能になったとのこと。閲覧可能だった個人情報は、2013年9月9日〜2014年1月30日の間に、同局の一部番組へサイト経由でメッセージを送った視聴者のもの。
同社は個人情報を閲覧できないよう修正し、検索サイト上のデータがすべて削除されたことを確認した。
○流出した個人情報の件数
10人
○流出した個人情報の内容
氏名、住所、電話番号、生年月日、メールアドレス |
|
|
|
|
|
| 20日 |
|
|
|
○概要
オンラインバンキングサービス「ゆうちょダイレクト」の利用者を狙ったフィッシングメールや個人情報を騙し取るための偽サイト等が確認され、ゆうちょ銀行やフィッシング対策協議会が注意喚起を行っている。
問題のメールは、ログイン画面がリニューアルしたなどと騙し、詐欺サイトへ誘導する手口で、「ゆうちょ銀行からのお知らせ」との件名で送信されているとのこと。
誘導先のフィッシングサイトでは、利用者の顧客番号、ログインパスワード、合言葉、暗証番号などを入力させようとする。
また正規サイトへアクセスした場合も注意が必要で、インターネットバンキング「ゆうちょダイレクト」を利用している場合、パソコンへ感染したウイルスがブラウザ上に、本来は存在しない入力画面を表示し、暗証番号や合言葉などを入力させるいわゆる「マンインザブラウザ(MITB)攻撃」が発生しているとのこと。
同行が把握している手口では、正規サイト上の「入出金明細照会」をクリックすると、本来は存在しない正規サイトのデザインに似せた不正画面が表示され、暗証番号の入力を促される。
実際は入出金明細照会の利用で暗証番号の入力は必要ない。同行は暗証番号の入力が必要なページを利用者へ案内し、注意を呼びかけている。 |
|
|
|
|
|
| 20日 |
|
|
|
○概要
横浜市港南区で、固定資産税課税のために作成した「家屋調査表」が所在不明になっていることが判明。
同市において、1月21日に家屋調査表を業務で使用する際、28件が所在不明となっていることが判明し、さらに調査を行ったところ、それ以外に7件の家屋調査表についても見当たらないことがわかった。
同市は対象となる家屋所有者に説明と謝罪を行い、資料の復元を進めている。また、不正利用などは確認されていないとのこと。
○紛失した個人情報の件数
35件
○紛失した個人情報の内容
家屋の所在、所有者の氏名、住所、間取りなど |
|
|
|
|
|
