情報セキュリティコンサルティング 情報セキュリティコンサルティング
ISMS
gbvy[W
RTeBO
\[VpbN for ISMS
\[VpbN for o}[N
ZLeBKoiX
ISO10002
PMS^JIS Q 15001
vCoV[}[N\x
SECURITY ACTION
x
KC_XEex
RTeBO
qijvTZLeB
Z~i[
ZLeBZ~i[
e[}Z~i[
ZLeBuK
ZLeBc[
ISMSEPMS[jO
ISMSEPMS 
[jO
ZLeBT[rX
ZLeBj 
[X
ZLeBpW
ATCgN
ミ
ミTv
lj
CDNS [jOu`ミ 
I
CDNS.BLOGFbcmrX^btuO
RT^gBlogFZLeBRT^g 
_gDqg
CDNSiCDNS_jpjon Twitter
Navi Site OCR``ISMSEo}[N\z^c 
ASP
SECURITY ACTION
ZLeBRTeBOCDNS
ISMS
ISMS
セキュリティサービス/セキュリティニュース


個人情報漏えいやインターネット犯罪、ウイルス情報等のニュースを掲載しています。テーマは“事故から学ぶ情報セキュリティ”。みなさんの組織の体制や、事件・事故が起こる可能性等を考慮しながらご覧ください。
過去のニュースを見る:  年度

1 2次の20件
1か月分すべての内容を表示する 2018年04月
日付 タイトル・内容
05日
内容を表示する
ぜい弱性情報 ルーターにサイバー攻撃で調査/情報通信研究機構(NICT)
05日
内容を表示する
ネット犯罪 8,700万人の大規模利用者情報流出/FaceBook
04日
内容を表示する
セキュリティ対策 「パスワードスプレー」攻撃に警戒/JPCERT
03日
内容を表示する
ネット犯罪 中央省庁2,000人余のメールアドレス流出/内閣サイバーセキュリティセンター

1か月分すべての内容を表示する 2018年03月
日付 タイトル・内容
27日
内容を非表示にする
情報取扱い 委託先による入力ミスや入力漏れで約15万人分の年金支払に影響/日本年金機構
【状況】
委託先事業者で「扶養親族等申告書」のずさんな入力処理などが判明し、本来とは異なる年金が支給されるなど、14万9000人に影響

【原因】
・委託業者が本来禁止されている再委託を海外の事業者に対して実施していた
・入力ミスや入力漏れなどずさんな処理が
・31万8000人分の申告書で入力ミスが発生
・7万人で誤った金額により支給が行われ19億6000万円分が正しく支給されていなかった

【対応】
・月の支払時には申告書の内容を正しく反映した源泉徴収税額を差し引き、あわせて2月支給分のの差額を調整
・対象者には4月上旬を目安に書面で謝罪
22日
内容を非表示にする
ネット犯罪 楽天市場を装った不審なメール/注意喚起
楽天市場を装った不審なメール(注文内容ご確認メール)が配信されている
楽天市場をより配信したメールではない

ウイルス感染や個人情報の抜き取りなどの被害に遭う可能性
身に覚えのない件名のメールは開封せずに速やかに削除(※ごみ箱からも削除)

下記内容にも注意
・身に覚えのない内容のメールに記載されてるリンク、URLはクリックしない
・リンク、URLをクリックしてファイルがダウンロードされる場合は開かない
・不明な添付ファイル(zip)は開かない
・宛先に自分以外の複数の受信者(メールアドレス)が入っているメールは開かない
20日
内容を非表示にする
その他 不正に顧客情報を持ち出しDM送付(元従業員)/シェイプアップハウス
【状況】
元従業員が顧客情報を持ち出し、退職後に自身が開業したサロンの営業活動に利用

リストは、2014年9月1日から2016年9月26日までの間に利用した会員354人分の情報(氏名や住所、電話番号、性別、会員番号、最終来店日など)

元従業員は、リストに記載された43人分の顧客情報を不正に利用。自身が開業したエステティックサロンを宣伝するダイレクトメールを送付

2月14日にダイレクトメールを受け取った顧客から問い合わせがあり、問題が発覚

【対応】
同社では弁護士を通じ、持ち出された顧客リストの原本を回収
ダイレクトメールの送付以外で情報の利用はないことを確認
20日
内容を非表示にする
ネット犯罪 ランサムウェア被害/中部大
【状況】
(1月9日2時半ごろ)
・工学部情報工学科研究室のパソコンとファイルサーバが、不正にログインされ、セキュリティ対策ソフトがアンインストールされ、ランサムウェアがインストールされた
・暗号化被害が発生(受講者名簿と行事参加者名簿などの個人情報)

(同日14時ごろ)
・問題を把握し、対象機器をネットワークから遮断

外部のセキュリティ事業者に調査を依頼
・不正ログインの発信元は、攻撃元が内部や外部であるかも含めて未特定
・盗まれたパスワードが利用され、インターネット経由で攻撃された可能性もある
・感染したランサムウェアも未特定
 マルウェアの「FAKEGLOBE」が利用された可能性
「FAKEGLOBE」はトロイの木馬で「Locky」の感染活動でも利用
19日
内容を非表示にする
ネット犯罪 「気になる!くまもと」に不正アクセスで改ざんや個人情報漏えい/熊本県
【状況】
・メールマガジン「気になる!くまもと」のウェブサイトで改ざんが発生
・サーバ内部に保存されていた個人情報が外部へ流出
 3月17日 気が付き、調査
 3月18日 サーバ内部の個人情報1万2424件が外部へ流出が判明

流出情報:2008年5月から2018年1月にかけてプレゼント企画へ応募した読者会員に関する個人情報(メールアドレス、性別、年齢、都道府県、アンケートへの回答内容など)

【対応】
・不正アクセスの経緯など調査
・読者のメールアドレスに対して謝罪のメールを送信し、注意喚起を
・委託を受けた外部事業者が運営しており、同県公式サイトや庁内のネットワークシステムとは別システムで運営
15日
内容を非表示にする
ネット犯罪 不正アクセスによる情報流出/カラーミーショップ
【概要と経緯】
2018年1月7日
サービスにおいて不正アクセスが発生し、サービスの情報が閲覧され、ショップオーナーおよび購入者様の情報が流出した可能性が判明
直ちに侵入経路を遮断し、不正なプログラムが実行されないよう、悪用されたアプリケーションの機能を停止

1月8日
外部のセキュリティ専門機関にも調査を依頼し、調査を進めた

1月10日
閲覧された可能性のある情報の中に、一部のショップオーナーおよび購入者様のクレジットカード情報が含まれていたことが判明
クレジットカード各社へ当該クレジットカード情報を報告し、不正利用監視の体制強化を依頼
警視庁渋谷警察署に相談および、セキュリティ専門機関2社によるフォレンジック調査を開始

1月25日
セキュリティ専門機関によるフォレンジック調査結果、被害状況が判明

【流出クレジットカード情報・件数】
(1)流出したショップオーナー様のクレジットカード情報:22件
(2)流出した可能性のあるショップオーナー様のクレジットカード情報:最大 9,430件
(3)流出した可能性のある購入者様のクレジットカード情報:最大 2,711件

【対応】
(1)ショップオーナー様のパスワードリセット
(2)ショップオーナー様への個別のご連絡
(3)クレジットカード情報が流出した可能性のある購入者様へのご連絡
流出したショップオーナーのクレジットカード情報以外の情報:最大 77,385件

【再発防止対応】
・「再発防止委員会」を設置
・全サービスのセキュリティ強化と再発防止に取り組み、信頼の回復に努める

詳細は https://pepabo.com/news/information/201801260800
13日
内容を非表示にする
その他 不正送金NEMを補償、一部仮想通貨の出金なども再開/コインチェック
コインチェックは、顧客から預かっていた仮想通貨「NEM」が不正に送金された問題で、顧客に対して補償を実施し、一部仮想通貨の出金と売却を再開した

約26万人を対象に日本円で補償を実施
1XEMあたり88.549円のレートで計算し、「Coincheckアカウント」の残高に補償金額を反映させる

また、安全を確認できたとして「ETH」「ETC」「XRP」「LTC」「BCH」について出金と売却を再開
また「BTC」についても出金を再開
12日
内容を非表示にする
JIPDEC・政府機関 サイバーセキュリティ基本法改正案/閣議決定
サイバーセキュリティ基本法の改正案を3月9日に閣議決定
政府では同改正案を第196回通常国会へ提出し、成立を目指す

改正案は、2020年東京オリンピック、パラリンピックの開催に向けて、サイバーセキュリティ対策を促進する「サイバーセキュリティ協議会」の創設を盛り込んだ

行政機関や自治体をはじめ、重要インフラ事業者、セキュリティ事業者、教育機関、有識者などを構成員とし、官民が相互に連携して情報共有を図り、必要な対策について協議を行うための官民情報共有組織の創設
12日
内容を非表示にする
ネット犯罪 WEBサイトへの不正アクセスで個人情報流出の可能性/尼崎市健診すずめ通信
【状況】
尼崎市が委託し、受託事業者が運営・管理している、健診すずめ通信のWEBサイト、健康情報メールマガジンに登録された会員個人情報が、不正アクセスにより流出している可能性が、平成30年3月6日に判明

現時点で、流出の可能性のあるデータは次の通りです。
●健診すずめ通信のWEBサイトの会員
個人情報:3,026件(最大)
データ内容:ID・パスワード、会員名、会員名(カナ)、メールアドレス、電話番号、性別、生年月日、郵便番号、住所、医療保険種別

●健康情報メールマガジンに登録された会員
個人情報:11,516件(最大)
データ内容:メールアドレス、生年月日

【流出の原因】
アクセスログを確認で不審なログが検出された

【対応】
・今後一切の情報流出を防止するため、WEBサイトを一時閉鎖
・流出した個人情報の特定、原因の究明に向けて、現在調査を実施
09日
内容を非表示にする
セキュリティ対策 IoT導入企業向けのセキュリティチェックシート公開/JSSEC
日本スマートフォンセキュリティ協会(JSSEC)は、企業のIoT機器を導入、検証する際に活用できる「IoTセキュリティチェックシート」を公開

【内容】
・一般企業がIoTを導入、利用する際にセキュリティ対策面で検討すべき項目を洗い出したチェックシート
・「方針」「分析」「設計」「構築、接続」「運用、保守」の各項目ごとに指針と要点をまとめた
・IoT導入時に検討すべき観点、推奨事項など
・高度な対策が求められる医療機関や重要インフラ事業者については対象外
08日
内容を非表示にする
JIPDEC・政府機関 仮想通貨取引事業者7社に行政処分/金融庁
金融庁は、仮想通貨取引事業者の報告や立入検査の結果を受けて処分を実施

●「コインチェック」「テックビューロ」「GMOコイン」「バイクリメンツ」「ミスターエクスチェンジ」「ビットステーション」「FSHO」の7社に行政処分

・システムリスク管理体制の整備をはじめ、適正な業務運営体制を確保するよう業務改善命令を出し、業務改善計画を3月22日までに提出するよう要求

・コインチェックに対しては、停止中の取引に関する再開や、顧客に対する補償の報告をはじめ、経営体制の見直しや顧客保護の徹底、マネーロンダリング対策などの不備を指摘

・システム障害など発生したテックビューロやGMOコインに対し、原因分析が不十分で適切な再発防止策を講じていないことが理由

・バイクリメンツやミスターエクスチェンジについては、利用者財産の分別管理や帳簿書類の管理体制整備やマネーロンダリング体制についての改善要求


●「ビットステーション」「FSHO」の2社については、1カ月間(3月8日から4月7日まで)業務停止命令

・「ビットステーション」は、同社株主の経営企画部長が、預かり資産だった仮想通貨を私的に流用
・「FSHO」についても、取引時確認を検証する体制が整備されておらず、職員の研修も未実施
08日
内容を非表示にする
JIPDEC・政府機関 認定個人情報保護団体の活動を紹介するシンポジウム開催/個人情報保護委員会
個人情報保護委員会は、「認定個人情報保護団体シンポジウム」を3月30日に都内で開催

【目的】
個人情報を取り扱う事業者と消費者の間に立ち、苦情処理などの仲介業務を行う認定個人情報保護団体の活動内容を紹介

個人情報の取り扱いに関するメリットや課題、消費者の信頼性を確保するための個人情報の取り扱いなどをテーマに、講演とパネルディスカッションを実施
認定個人情報保護団体の紹介スペースで主要団体を紹介
06日
内容を非表示にする
ネット犯罪 サイバー攻撃−ゲーム13タイトル障害/マイネット
【状況】
マイネットグループが運営するサーバが3月1日から断続的にサイバー攻撃を受け、一部ゲームタイトルで障害が発生

ゲームサーバへ接続しようとするとメンテナンス画面やエラー画面となり、ゲームをプレイすることができない状況で、同社グループが提供する約3分の1にあたる13タイトルに影響が出ている

【原因】
アカウントのビジネスチャットツール、グルー プウェアアカウント、グループ内のネットワークのAD(Active Directory)、VPN の ID 及びパスワード情報を盗み犯行を行ったものと考えられる

【ユーザーへの影響】
・外部事業者に各種決済システムを委託しており、ユーザー様のクレジットカード情報は所有していない
・ブラウザタイトル版でユーザー様のメールアドレス情報は所有していない
・セキュリティ対策準備が整うまでの間、ゲームサービスの提供が出来ない

【再発防止策】
・抜本的な情報セキュリティ強化対策を取るプロジェクトを立ち上げ、再発防止に着手
・外部の専門アドバイザーを含め、セキュリティ強化と再発防止に取り組み、信頼の回復に努める
・損害の回復のための犯人の特定、民事及び刑事手続きによる責任追及を実施する
05日
内容を非表示にする
JIPDEC・政府機関 不正競争防止法改正案/経産省
IoTやビッグデータの活用などが進み、企業競争力となってきているデータを利用する環境の整備に向けて改正

・「ID」「パスワード」により管理し、提供相手を限定するデータについて不正に取得、使用、開示する行為をあらたに不正競争行為として追加
・プロテクト機能を破る機器の提供にくわえ、プロテクト機能の効果を妨げるサービスの提供についても不正競争の対象となる
・データは複製や提供が容易で、不正に流通すると被害が急速、広範囲に拡大するおそれがあるとして、差止請求権や損害賠償の特則など民事上の救済措置を設ける
02日
内容を非表示にする
情報取扱い 顧客外付けハードディスクの紛失/ネオジャパン
【経緯】
2月22日(木)顧客から預かった外付けハードディスクが社内職務室より紛失
2月28日(水)に神奈川県戸部警察署に事案取扱いとして届け出

【紛失情報】
紛失した外付けハードディスクには顧客業務に関わる重要な機密事項の情報が格納

【原因】
情報セキュリティ管理(ISMS)の「ISO27001」をプロダクト事業本部で取得し、職務室への入退管理等のセキュリティ対策、情報・データの管理等は社内ルールを設けて運用していたが、ルール及び運用面に不十分な点があった

【再発防止策】
社長を最高責任者とする情報セキュリティ対策強化委員会を編成
ガバナンス強化、社員のセキュリティ教育を徹底
02日
内容を非表示にする
JIPDEC・政府機関 サイバーセキュリティに関するガイドライン公開/JASA日本セキュリティ監査協会
日本セキュリティ監査協会はISMSを適用している組織が、サイバーセキュリティ対策を行うための2つのマネジメントガイドラインを公開

「サイバーセキュリティ対策マネジメントガイドライン」
「管理された非格付け情報の保護対策マネジメントガイドライン」(サプライヤー向け)

二つのガイドラインは、米国のNIST各々の基準と ISMS のための国際標準である ISO/IEC27001 及び ISO/IEC27002 とを各々比較し、ISMS に不足している、あるいはより明確にした方がいい内容を、ISO の規格に従って整理した

http://www.jasa.jp/information/public_doc.html?key=2017

1 2次の20件

セキュリティニュースは、ソリューションパックおよびサポートパックでもご提供しています。
ウイルス情報についての記事は、影響力等が中程度以上のものを掲載しています。詳細は各サイトにてご確認ください。

Page Top

ISMS
ISMS

Copyright (C) 2002-2017 CDNS Corporation. All Rights Reserved.

情報セキュリティコンサルティング 情報セキュリティコンサルティング