日付 |
タイトル・内容 |
30日 |
|
|
|
【状況】
企業の求人情報に係る採用担当者、在学生及び修了生に関する個人情報漏えい
平成30年8月7日〜10月22日の期間に学外から閲覧可能な状態
【内訳】
・企業採用担当者の氏名、ふりがな及びメールアドレス等:405社・1,086件
・プロジェクト実習参加(平成14〜15年度分)、ゼミナール発表(平成8〜9年度分)、研究室仮配属(平成17〜29年度分)及び研究室本配属(平成24年度)に係る在学生及び修了生の情報
生番号・氏名・メールアドレス等:246人分(利用停止済)
学生番号・氏名等:1,771人分(在学生137人を含む)
【原因】
ホームページの運用サーバの更新時にアクセス制御機能の誤設定
【対応】
・アクセス制御機能を適切に設定し直し、学外IPアドレスからのアクセスを禁止
・検索サイト上のキャッシュファイルの削除
【再発防止策】
・情報システム登録情報や登録情報へのアクセス制御機能の設定状況について点検
・保有個人情報の適切な取扱いについて周知を徹底する |
|
|
|
|
|
30日 |
|
|
|
■「情報セキュリティ10大脅威 2019」
( )内は昨年の順位、【NEW】は初めてランクインした脅威
<個人>
1位 クレジットカード情報の不正利用(1位)※
2位 フィッシングによる個人情報等の詐取(1位)
3位 不正アプリによるスマートフォン利用者の被害(4位)
4位 メールやSNSを使った脅迫・詐欺の手口による金銭要求【NEW】
5位 ネット上の誹謗・中傷・デマ(3位)
6位 偽警告によるインターネット詐欺(10位)
7位 インターネットバンキングの不正利用(1位)
8位 インターネットサービスへの不正ログイン(5位)
9位 ランサムウェアによる被害(2位)
10位 IoT機器の不適切な管理(9位)
<組織>
1位 標的型攻撃による被害(1位)
2位 ビジネスメール詐欺による被害(3位)
3位 ランサムウェアによる被害(2位)
4位 サプライチェーンの弱点を悪用した攻撃の高まり 【NEW】
5位 内部不正による情報漏えい(8位)
6位 サービス妨害攻撃によるサービスの停止(9位)
7位 インターネットサービスからの個人情報の窃取(6位)
8位 IoT機器の脆弱性の顕在化(7位)
9位 脆弱性対策情報の公開に伴う悪用増加(4位)
10位 不注意による情報漏えい(12位)
※クレジットカード被害の増加とフィッシング手口の多様化で2018年個人1位の「インターネットバンキングやクレジットカード情報等の不正利用」を本年から以下にテーマ分割
(1)インターネットバンキングの不正利用
(2)クレジットカード情報の不正利用
(3)仮想通貨交換所を狙った攻撃
(4)仮想通貨採掘に加担させる手口
(5)フィッシングによる個人情報等の詐取
新たな脅威としてランクインしたのは「メールやSNSを使った脅迫・詐欺の手口による金銭要求」(個人4位)と「サプライチェーンの弱点を利用した攻撃の高まり」(組織4位) |
|
|
|
|
|
28日 |
|
|
|
【状況】
平成29年7月11日に本サービスを開始して以降、システム(キャッシュ)設定の不備から顧客情報が他者から閲覧可能となっていたが、判明後直ちに設定を変更し、他者からの閲覧をできなくした
【漏えい情報】
「買取now」に申込登録をした最大1,391名の・氏名(漢字及びフリガナ)・性別・住所・電話番号・メールアドレス
【再発防止策】
・外部から定期的にサイトへのアクセスを実施し、意図しないキャッシュの発見及び異常が発生した場合には自動で関係者に通知を行うシステムを導入する方針
・個人情報保護及び情報セキュリティ教育内容を再度見直し、全社的な情報管理体制の強化に取り組む
|
|
|
|
|
|
28日 |
|
|
|
【状況】
外部からの不正アクセスで約480万件の「宅ふぁいる便」の顧客情報が外部漏洩
【経緯】
・1月22日11時:認識していないファイルが「宅ふぁいる便」サーバー内に作成されていることを確認し、システムを管理している社員およびパートナー企業に確認
・1月22日13時:社員およびパートナー企業から作成していないとの報告を受け、第三者機関を含めて、原因の究明、被害状況などの調査を開始
・1月22日19時:「宅ふぁいる便」サーバー内に不審なアクセスログを確認
・1月23日10時50分:情報漏洩などの被害防止のため「宅ふぁいる便」のサービスを停止
・1月24日20時:ウェブサイトにて「『宅ふぁいる便』サービスの一時停止に関するお知らせとお詫び(第一報)」を掲載
・1月25日15時30分:顧客情報の漏洩を確認
【漏洩した顧客情報】
(1)2005年以降、全期間を通じてお客さまにご回答いただいている情報
氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、職業・業種・職種、居住地の都道府県名、メールアドレス2、メールアドレス3
(2)上記に加えて、2005年〜2012年の期間でのみ、お客さまに回答いただいていた情報
居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者、子供
【対応】
・「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスの利用者はログインパスワードの変更依頼
・1月13日から1月23日まで、「宅ふぁいる便」のサービス利用者は、送信ファイルが届かない可能性がありるため確認依頼
【宅ふぁいる便を装うフィッシング等の偽装メールに注意】
|
|
|
|
|
|
23日 |
|
|
|
【状況】
個人情報の取り扱いについて、個人情報保護方針や会員規約には示していなかったが2012年から発行ポイントカード「Tカード」の会員情報を令状なしに捜査機関に提供していた
今後は明示し、同様に提供していく
【経緯】
従来は裁判所の令状が発行された場合にのみ、会員の個人情報を提供してきたが、2012年以降、捜査機関の「捜査関係事項照会書」の要請に対しても、会員の個人情報を提供
この対応は「保有する個人情報は年々拡大し、社会的情報インフラとしての価値も高まってきた」とし、「社会貢献を目指した」と説明
【対応】
これらのT会員の個人情報の取り扱いについて、個人情報保護方針を2019年1月21日に改訂し、T会員規約にも明記
|
|
|
|
|
|
23日 |
|
|
|
枠組みの構築に関しては、日−EU双方の経済界の要望等も受け個人情報保護委員会と欧州委員会との間で交渉を重ね、平成30年7月、個人情報保護委員会が個人情報保護法第24条に基づく指定をEUに対して行い、欧州委員会がGDPR第45条に基づく十分性認定を我が国に対して行う方針について合意
この合意を踏まえて、我が国においては、第85回個人情報保護委員会において、上記のEU指定を1月23日付けにて行うことを決定しました(※)。また、欧州委員会においても、上記の我が国の十分性認定を同23日付けにて行うことを決定
(※)
個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等(平成31年個人情報保護委員会告示第1号)
https://www.ppc.go.jp/files/pdf/190123_h31iinkaikokuji01.pdf
アイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブル
本枠組みの発効により、データが安全かつ円滑に流通する世界最大の地域が創出され、グローバルビジネスを展開する企業にとって、業務の効率化及びコストの削減等が見込まれる他、新たなビジネス・モデルを創造する契機となり、ひいては、消費者が享受する便益の向上にもつながることが期待される
|
|
|
|
|
|
18日 |
|
|
|
【状況】
2018年12月5日:外部通報者から会員情報が漏えいの通報
2018年12月7日:情報漏えいの事実を確認
漏えい情報:登録メールアドレス及び平文パスワード(1万9700件)
2019年1月時点では、第三者によるアカウントの不正利用、漏えい情報の拡散等の二次被害は確認されていない
【原因】
外部からの不正なアクセスによる情報漏えいである可能性が高い
【再発防止策】
・サービスに関する登録パスワードをハッシュ化
・ユーザー登録パスワードの変更のアナウンス
・不正アクセスへの技術的予防措置の実施
・円滑かつ確実なセキュリティ対策を実現するためのサーバ環境の変更 |
|
|
|
|
|
17日 |
|
|
|
【状況】
三井住友銀行をかたるフィッシングの報告
【メール件名】
Sumitomo Mitsui - メンテナンス
【内容】
三井住友銀行をかたるフィッシングの報告を受けています。
1)2019/01/17 13:00 現在、フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中、類似のフィッシングサイトが公開される可能性があり、引き続き注意
2)このようなフィッシングサイトにて、クレジットカード情報(カード番号、失効、セキュリティコードなど)、認証情報(パスワードなど)を絶対に入力しない
3)類似のフィッシングサイトやメールを発見した際には、フィッシング対策協議会 (info@antiphishing.jp) まで連絡
メール内の URL
http://●●●●.co.za/smbc.html
http://www.●●●●.com/smbc.html
http://www.●●●●.com/2smbc.html
転送先の URL
https://smbc-co-jp-sumitomo-mitsui.●●●●.ca/ |
|
|
|
|
|