Cyber Security Intelligence Vox

RocketBoysによると『地方独立行政法人岡山県精神科医療センターは、2024年5月19日に発生したランサムウェア攻撃に関する調査報告書を公表しました。』と報じている。

さらに報道によると『2024年5月19日、岡山県精神科医療センターは大規模なランサムウェア攻撃を受け、電子カルテを含む病院情報システムが完全に機能停止しました。（中略）組織に一般的なセキュリティ意識があれば防げていたサイバー攻撃でした。』と報じている。

レポート概要を見ただけで、そのサイバー攻撃に対する脆弱な状況が分かる内容でした。

この医療機関のインシデント発生以前に、いくつかの病院のサイバー攻撃事件が発生しており、そこでも長期間に及ぶ診療業務が停止していました。「それらに学んでいない」という指摘もされています。

一般企業では内部監査などで調査されることもあり、改善される機会もありますが、地方自治体の公的機関では、それも難しいのかも知れません。つまり、改善機会がないのかも？という懸念が浮かんできます。

本業の医療診察業務についても、インシデントがあっても、改善機会につながっていないのかも知れないと心配は膨らんできます。

なお、発表されているレポートは非常に質の高いもので、その調査項目と内容・網羅性、そこから導かれた原因と対策は、非常に参考になります。特に後半の詳細は、資料として手元に置いておくべきでしょう。

https://rocket-boys.co.jp/security-measures-lab/okayama-mental-hospital-ransomware/

岡山県精神科医療センターの個人情報漏洩は「人災」　ランサムウェアによるサイバー攻撃の調査報告書を発表

https://www.popmc.jp/wp-content/uploads/2025/02/24bb9b94f7eb10eff58b605c01c384ad.pdf

ランサムウェア事案調査報告書

SecurityNextによると『情報通信設備の構築やソフトウェアの販売、保守運用サービスなどを手がける協立情報通信は、メールの送信ミスにより、メールアドレスの流出が発生したことを明らかにした。』と報じている。

さらに報道によると『同社は今回の問題を受けて謝罪。メール一斉送信時の運用フローを見直し、複数社員によるチェックの徹底や個人情報の重要性に対する意識向上を図り、再発防止に努めるとしている。』と報じている。

インシデントが発生し、関係者や関係機関へお詫びを発信する際に、事実経緯と再発防止策の記載があります。この事実経緯と再発防止策が噛み合っているか？原因追及を深いレベルまで実施して、真の原因に対する対策になっているか？といった観点で見てみると、その企業が発生してお詫びしているインシデントについて、どの程度の重大さを認識しているかが分かると思います。

報道されているこの企業を責めるつもりは一切ありませんが、「メール送信時の人為的ミス」を原因とするのであれば、「人為的ミス」をどのように再発させないか？が中心課題となると思います。

「運用フローの見直し」「社員による（目視）チェック」となると、そこにも「人為的ミス」の混在が懸念されるので、あまり良い（企業広報として発表する）再発防止策とは言えない気がします。

この「企業広報として発表する」という視点が１つのポイントとなります。

https://www.security-next.com/167134

関係者向けメールで誤送信が発生 - 協立情報通信

https://www.kccnet.co.jp/news/2025/20250130.html

メール誤送信のご報告とお詫び

ScanNetSecurityによると『秋田県厚生連 能代厚生医療センターでサイバー攻撃に対するBCP対応訓練を行ったと発表した。』と報じている。

この報道では『電子カルテシステムがサイバー攻撃により使用できなくなった場合を想定した事業継続計画（BCP）対応訓練を実施。』と報じている。

事業継続に危機的な状況になった際に発動されるBCPですが、震災などによるBCP訓練が行われる事例は多いと思いますが、サイバー攻撃により発動されたケースで実施されるというのは、今後増加すると思われます。

こうした訓練を実施するには、シナリオの作成はもとより、想定ケースをどのように設定するか？などの高度なサイバーセキュリティの知見と、参加メンバ（従業員や職員）の基礎的なトレーニングが行われていないとうまくいかないと思います。

訓練なので必ずしもうまく行く必要はありませんが、少なくとも基礎的な理解の上で実施されていると想像します。

また、こうした訓練を実施していることは、企業や事業所・病院などのサイバー攻撃に対する姿勢と準備が、関係者や関係機関に対して、強いメッセージになるので、こうした報道が増えていくことと思います。

https://scan.netsecurity.ne.jp/article/2025/02/14/52326.html

厚生医療センターでサイバー攻撃に対する BCP 対応訓練実施

https://www.bunkaren.or.jp/member/akita_noshiro_anticyber_202502/

サイバー攻撃に対するBCP対応訓練

Rocket Boysによると『財務省は2月10日、同省関税局調査課の職員が、不正薬物の密輸事件に関連する容疑者ら187人の氏名や住所が記載された機密書類を紛失したと発表しました。現在も書類は発見されておらず、情報漏えいの可能性を否定できないとしています。』と報じている。

さらにさくらフィナンシャルニュースによると『過去に各省庁間で機密情報を取り扱う議論がなされていた』が『具体的な年月日は公表されていない場合が多いが2000年代から2010年代にかけて複数回発生している』ために『行政のコンプライアンスがなっていない、遅れていると、民間企業に勤める人々から疑問の声が上がっている。』と報じている。

コンプライアンス以前に職務意識の問題だと思いますが、ここで非常に興味深いのは、行政のコンプライアンスに対する信頼性が失われているという点にある。

さらに、こうした組織的な責任が問われる様な場面でも、行政機関の場合、責任の所在が曖昧になっている。責任の所在が曖昧ということは、再発防止策の検討も行われないと思った方がいいだろう。

最近の事例から「サプライチェーンのセキュリティマネジメント」といった懸念点に対して、対策などを検討しなければならないという機運が出ているが、そのサプライチェーンの中に行政機関はあまり認識されていない。

つまり行政機関もサプライチェーンの１つとして「リスク」と捉えるべきという事になる。

https://rocket-boys.co.jp/security-measures-lab/finance-customs-doc-leak-187/

財務省関税局職員が飲酒後に機密書類を紛失、密輸事件の容疑者187人の情報流出の可能性

https://www.sakurafinancialnews.com/20250212-4/

財務省職員PCと書類の紛失 不正薬物密輸事件187人容疑者個人情報流出　横浜市内で飲酒後発覚

Rocket Boysによると『株式会社レジステイがAirbnbアカウントの不正アクセスによるフィッシング詐欺被害を公表しました。サイバー攻撃者はアカウントを乗っ取り、予約客に対しフィッシングサイトへ誘導するメッセージを送信。さらに、一部のお客様の個人情報が第三者に閲覧された可能性があることも判明しました。』と報じている。

この報道では『不正アクセスの原因や、漏洩した可能性のある個人情報の範囲については現在も調査中であり、Airbnb社や捜査機関と連携し、さらなる解析中』と報じている。

宿泊事業者にとって宿泊予約サイトは、ある意味で事業運営に必要な機能を提供するSaaSサービスに例えることが出来るでしょう。

業務として宿泊事業を行う会社のスタッフが取り扱うため、「複数人のスタッフが共有アカウントを使う」という状態か、各スタッフが業務用のアカウントを管理・使用している状態になっているのではないかと思います。

こうした場合、パスワードポリシーや多要素認証の使用などの、いわゆるアカウント管理が非常に大事になりますが、それらがガバナンスとして徹底されているかが問われているのだと思います。

結果として、こうした顧客被害につながる事態を発生させ、会社としての公式発表もない、というガバナンス不全が露呈してしまい、事業者として信頼失墜につながります。

https://rocket-boys.co.jp/security-measures-lab/registei-airbnb-hack-phish/

株式会社レジステイのAirBNBへ不正アクセス、一部予約者へフィッシングメッセージを送付

Rocket Boysによると『佐賀県東松浦郡玄海町は、2024年8月に発生した「玄海町ふるさと納税特設サイト」への不正アクセスにより約41万人の個人情報が漏洩した事を発表しました。』と報じている。

同報道によると『レシピ紹介ページ（返礼品を使った料理の一例を紹介するページ）を2024 年 5 月 16 日に改修した際に、レシピ紹介ページを作成するプログラム内に、SQL インジェクションによる不正アクセスを受け付ける、セキュリティ上、脆弱な箇所があったことが原因』と報じている。

検索ページにおいて、SQLインジェクションは古典的な攻撃方法で、今ではチェックなしで公開される事はないと思っていました。

ふるさと納税で得た寄付のかなりの分を、この対応及び対策で使ってしまったのでは、納税者も困ってしまいます。

再発防止策もセキュリティ強化対策実施と監視体制の強化を実施するとあって、個人情報を扱う基本となる体制が元々整備されていない状況だったのでは？と思われても仕方ないでしょう。

ふるさと納税される方も増えていると聞きますが、送金先のセキュリティ状況までチェックしていないので、それすらも「リスク」であるとの認識が必要です。

https://rocket-boys.co.jp/security-measures-lab/genkai-furusato-leak-410k/

玄海町 ふるさと納税サイト、2024年8月の不正アクセスにより約41万人の個人情報が漏洩

https://www.town.genkai.lg.jp/uploaded/attachment/6838.pdf

「玄海町ふるさと納税特設サイト」への不正アクセスによる個人情報の漏えいに関するお知らせとお詫び

Rocket Boysによると『札幌市教育委員会は2025年2月10日、札幌市立小学校の50代男性教頭が、児童および保護者約200人分の個人情報が保存されたUSBメモリーを紛失していたことを公表しました。』と報じている。

この報道では『教頭は2011年から2016年にかけて、自宅で作業を行うために授業風景の撮影データ（中略）を私物のUSBメモリーに保存していました。（中略）ジャケットごとリサイクルショップに売却したことにより、USBメモリーの所在が不明となりました。紛失から約8年後（中略）匿名の情報提供者から札幌市教育委員会にUSBメモリーが郵送され、情報漏えいの事実が発覚しました。』と報じている。

このインシデントのすごい点は私物のUSBメモリに個人情報を保存して、それを忘れてリサイクルショップ経由で情報提供者からの通報で発覚という経緯にあります。

一般的には情報持ち出しに関するルールの不備や、そうしたUSBメモリの取り扱いに関する認識のなさ、などが挙げられますが、何よりも教育の場では個人情報を扱っている認識が「ない」という事実です。

教育のデジタル化などが推進されようとしていますが、情報取り扱いの基本が理解されていないままで進められる事の不安が拭えません。

教育コンテンツのデジタル化と合わせて、基本的な情報取り扱いのルールや職員に対する情操教育を両輪として進める必要性を感じます。

https://rocket-boys.co.jp/security-measures-lab/sapporo-school-usb-data-leak/

札幌市立小学校の教頭が私物のUSBに児童と保護者の個人情報を無断で保存し紛失。200名の個人情報漏洩の可能性

https://www3.nhk.or.jp/sapporo-news/20240708/7000068283.html

個人情報紛失しネット流出 札幌市教委が教諭と校長を懲戒処分

マイナビニュースが2025/2/10に『Malwarebytesは2月7日(米国時間)、2,000万件のOpenAIアカウントが売りに出されたと報じた。』と報じている。

その後Rocket Noysが2025/2/12に『セキュリティ企業KELAの調査によると、これらの認証情報はOpenAIのシステム侵害によるものではなく、インフォスティーラー（情報窃取型マルウェア）によって収集されたデータであることが判明しました。』と報じている。

システム攻撃をする人は、影響を非常に大きく言うらしいので、初報ではOpenAIから漏れた様に見えましたが、結論としてマルウエアにより収集されたデータだったという事です。

インフォスティーラー（情報窃取型マルウェア）は『システム内の機密情報を盗み取るマルウェアであり、攻撃者が認証情報や金融データを取得する主要な手段の一つとなっています。』という事で、『感染したデバイスのブラウザ、パスワードマネージャー、クリップボードなどからログイン情報を抜き取り、ダークウェブのマーケットプレイスや犯罪フォーラムで販売されるという流れが一般的です。』となる様です。

いずれにせよOpenAIアカウントが悪用されれば、情報漏えいの可能性も否定出来ませんし、費用面でも悪影響が出てしまいます。ですので早期にアクセス情報の更新（パスワード変更など）が必要です。

https://news.mynavi.jp/techplus/article/20250210-3126088/

OpenAIアカウントが2,000万件流出、サイバー攻撃者が主張

https://rocket-boys.co.jp/security-measures-lab/openai-20m-infostealer-leak/

2000万以上のOpenAIのアカウント情報窃取疑惑、実際はインフォステーラーによる情報流出

ScanNetSecurityによると『米国Illumioは1月29日、「The Global Cost of Ransomware Study（ランサムウェアのコストに関するグローバル調査レポート）」を発表した。』と報じている。

この報道では『同レポートによると、日本企業ではランサムウェア攻撃のあった企業の51％が業務停止に追い込まれ、48％が顧客を失い、45％が雇用削減を余儀なくされ、35%が大幅な減収となったことが判明している。』と報じている。

このレポートのすごい点は実際の具体的な影響を数値化している点にあります。どれくらいの影響があるのか？実際にランサムウェア被害を受けた企業が、平均よりも軽度なのか重度なのか、１つの指標となります。

具体的に中身を読んでイメージすると『平均で12時間システムがダウンしていること』『ランサムウェア攻撃を封じ込めて修復を行うためには、平均16.4名の人員が割り当てられ、1人当たり138時間を費やし、また日本企業の32%が、攻撃によって深刻なブランドダメージを経験している。』

これは企業価値毀損のBCP発動要件になると思われます。その毀損される企業価値を具体的に計算可能な形にしているという意味になります。つまり、対策費用の多い少ないは、想定される被害金額を母数として計算するはずですので、企業のセキュリティにかける対策費用の見積もり根拠となる数字とも言えます。

例えば、セキュリティ対策費用を議論する時に、実際に被害が発生した場合の被害額が平均値ベースで計算可能なので、多い少ないが経営者の判断可能な数値となるわけです。

https://scan.netsecurity.ne.jp/article/2025/02/10/52298.html

51％業務停止 48％顧客喪失 45％雇用削減 35%大幅減収 ～ ランサムウェアのコスト調査

https://www.illumio.com/ja/news/cost-of-ransomware-study

Illumioがランサムウェアに関するグローバル調査レポートを発表。 ランサムウェア攻撃を受けた日本企業の51%が、 業務停止に陥ったことが明らかに

ITmedia Newsによると『4月に開幕する2025年大阪・関西万博を運営する日本国際博覧会協会が個人情報保護方針の改正を検討していることが2月7日、分かった。』と報じている。

この報道では『チケット購入に必要な「万博ID」の登録で個人情報保護方針への同意を求められるが、取得する個人情報が幅広く解釈でき、利用目的が不明確だと有識者から指摘が挙がっていた。』と報じている。

個人情報保護法では、取得した情報の利用目的を「できる限り特定しなければならない」と明記されています。また、個人情報を多く収集すればするほど、管理リスクが高くなり、取得・管理・廃棄のサイクルが大変になります。

その意味では、このケースでは「取得」にあたって、リスクが発生したとも言えます。『SNSのパスワードに関する情報、顔画像や指紋などの生体情報、「要配慮個人情報」にあたる「障害の有無」といった医療情報も取得するとしている。』と、ここまで取得する行為自体が合理性に疑問が出て、「評判が悪くなる」という懸念すべきリスクが発生している、と言えると思います。

それでも取得理由が明確であれば、説明の中でリスク軽減を図る事が出来るでしょうが『策定時の協議内容などの経緯は「はっきりと分からない」としつつも「さまざまなイベントが想定されていて対応する必要があった」と弁明。弁護士などとの協議を経て「取得する情報は幅広く設定した」としている。』との報道から、不明確さが目立ってしまいます。

このケースから学ぶべきことは、自社（自団体など）が許容可能なリスク以上の個人情報の取得から廃棄までを実施していないか？を常に客観的に見るべきということかも知れません。

https://www.itmedia.co.jp/news/articles/2502/07/news169.html

万博協会、個人情報保護方針改正を検討　有識者「幅広く取得し利用目的も不明確」

Rocket Boysによると『2025年2月5日、ABCニュースの調査により、急成長中の人工知能（AI）企業「DeepSeek」が利用者の情報を中国政府に直接転送する可能性があることが判明しました。サイバーセキュリティ専門家の分析によると、DeepSeekのプログラムコードには、中国政府の管理下にあるサーバへのデータ転送機能が組み込まれている可能性があるといいます。』と報じています。

さらに報道によると『DeepSeek は悪意のあるプロンプト（脱獄手法）に対する耐性が低く、攻撃者に悪用されやすいと指摘』と報じています。

地政学的な事情で中国発の生成AIサービスの情報が、中国政府に送信されている、というのもある程度想定範囲内の気がします。当たり障りのないプロンプト（生成AIに対する情報提供及び操作）でその性能などを見てみるのはいいと思いますが、提供情報の内容には常に注意が必要でしょう。

この報道の中で注目すべきは、生成AIに対するいわゆる脱獄手法と呼ばれる、ガードされるべき問い合わせに対して回答してしまうという点です。

別の報道になりますが「生成AIによる標的型攻撃メールは、人間が作った内容より、数倍も効果が高い」という研究結果があり、生成AIを（いわゆる脱獄して）そのガードを外してしまう事は、情報セキュリティ上の懸念点となっているものです。

ちなみに（これも）別の報道になりますが「生成AIが脱獄されてしまう」確率は、ChatGPT-4oでも86%となり、Google Geminiでも64%なので、DEEP SEEKが突出して高いというわけでもないようです。

今後の情報セキュリティと生成AIとの関係性や攻防は注目すべき動向になります。

https://rocket-boys.co.jp/security-measures-lab/deepseek-sends-user-data-china/

DeepSeekに利用者の情報を中国政府に直接送信する機能が存在

https://rocket-boys.co.jp/security-measures-lab/11818/

AIが作成したフィッシングメールのクリック率が50%を超える

https://rocket-boys.co.jp/security-measures-lab/deepseek-jewelbreak-attack-100/

AIの脱獄(ジュエルブレイク)テストでDeepSeekは攻撃成功率が100%

Rocket Boysによると『トレンドマイクロのZero Day Initiative（ZDI）チームは、2024年9月からウクライナの組織を標的とするSmokeLoaderマルウェアキャンペーンにおいて、7-Zipのゼロデイ脆弱性 CVE-2025-0411 が悪用されていることを発見しました。』と報じている。

この脆弱性について『Windowsでは、インターネットなどの信頼できないソースからダウンロードされたファイルには「Mark-of-the-Web（MoTW）」が付与されます。（中略）この保護機能は、Windows Defender SmartScreenを通じて追加のセキュリティチェックを実施します。しかしこの脆弱性はこの保護機能を回避するもの』と報じている。

この記事では、２つのセキュリティ脅威が含まれていつと思われます。

１つめのセキュリティ脅威は、IPAが最近発表した「情報セキュリティ10大脅威 2025」に初登場した『地政学的リスクに起因するサイバー攻撃』が含まれているという点です。報道によればロシアからウクライナへのサイバー攻撃で発見された、と報道しており、まさに紛争当事国同士のセキュリティ上の脅威となるわけです。

２つめのセキュリティ脅威は、標的型攻撃メールを使ってメールの添付ファイルを開かせようとする手法（これは新しいものではない）が使われ、そのファイルが『ホモグリフ攻撃による拡張子の偽装』が施されており、無害のPDFファイルを装っているので、つい開いてしまうという事です。（今回の事例では、XXXX.pdf.exeとなっていた）

この後者の手法は標的型攻撃で、正しいURLに見える（例：go0gle.com）宛先へ誘導する手法と非常に似ています。ただし、標的型攻撃自体が非常に高度な攻撃手法なので、頻繁に見るものではないため、警戒が薄くなっているため、より脅威度が増していると見えます。

https://rocket-boys.co.jp/security-measures-lab/7zip-cve2025-0411-zero-day/

7-Zipの脆弱性がゼロデイ攻撃に悪用されている(CVE-2025-0411)

https://www.ipa.go.jp/security/10threats/10threats2025.html

情報セキュリティ10大脅威 2025

Rocket Boysは『株式会社プレナスは2025年1月30日、「ほっともっとネット注文」の一部サービス（宅配・for Biz・季節商品予約）において外部からの不正アクセスを受け、顧客の個人情報が漏洩した可能性があることを発表しました。』と報道しました。

報道内容には『今回クレジットカード情報とメールアドレスが漏洩している可能性があり』『クレジットカードのセキュリティーコード漏洩について明言されていませんが念のため、クレジットカードが不正利用ていないか心当たりのない決済履歴がないか利用確認する必要があります。』と報告しています。

メアドなどが流出したといったセキュリティインシデントは数多いですが、今回はクレジットカード番号そのものの漏洩ということで、より一段高い警戒が必要な事案です。

悪用されているといった報道はまだありませんし、ほっともっとのホームページ上にも特に掲示はないのですが、漏洩された情報が悪意を持った人間にいつ使われるかは予想がつきません。

プレナス社からのお知らせを読むと、不正アクセス検知が２回発生していて、２回目に漏洩の事実が発見されたと記されていて、サービスを停止せず運用を優先したと見られても仕方ないかと思いました。

https://rocket-boys.co.jp/security-measures-lab/plenus-hottomotto-data-breach/

プレナス、ほっともっとネット注文への不正アクセスと個人情報漏洩の可能性

https://www.plenus.co.jp/files/optionallink/00002886_file.pdf

当社「ほっともっとネット注文」への不正アクセス発生及び個人情報漏えいの可能性に関するお知らせ

Rocket Boysによると『従業員が顧客データやソースコード、従業員の福利厚生、財務データなどの多岐にわたる機密データを、ChatGPTやCopilotなどの生成AIツールに入力することが、企業にとって大きなリスクとなってきています。』と報道した。

さらに『2024年には、ChatGPTユーザーの64%が無料版を使用しており、機密情報を含むプロンプトの54%がこれらの無料版で入力されていました。』と報道しています。

昨今のDeep Seekという中国発の生成AIツールが話題になっており、その中の議論でも「プロンプトに機密情報を入れると中国政府に漏れる」といった話もありました。

研究報告では、ChatGPTでは有償プランは生成AIツールが（入力データを）学習しないとなっている様なので、使い方として「無料プラン」では業務で使ってはいけない。というのが基本ということです。

しかしながら、研究報告では、ChatGPTでさえ54%が無償プランを利用しているにも関わらず機密情報を入力しているとの事なので、生成AIの利用における情報の取り扱いリスクが軽視されている実態が明らかになっています。

とすると、日本では生成AIの利用度が低いといった話は、（有償プラン利用のための）投資に迷っているという次元なのかも知れません。

https://rocket-boys.co.jp/security-measures-lab/employees-input-confidential-data-ai/

従業員は生成AIへ機密情報を頻繁に入力している

Security NEXTによると『Googleは、同社ブラウザ「Chrome」のセキュリティアップデートをリリースした。脆弱性1件を修正している。』と報じている。

この脆弱性について『開発者向けツールに明らかとなった解放後のメモリを使用するいわゆる「Use After Free」の脆弱性。12月18日に報告を受けたもので、重要度は上から3番目にあたる「中（Medium）」としている。』と報じている。

セキュリティ系の勉強をされている方は、脆弱性についての技術的な特性や原理について勉強するのですが、この「Use After Free」についても同様です。

私は現実的ではないと思った脆弱性なのですが、開発ツールの機能によってはこの脆弱性が突かれるそうなので、脆弱性として認定されているのだと思います。

実際に脆弱性として出てきている以上は、具体的な攻撃について、もう少し勉強したいと思いました。

https://www.security-next.com/166665

「Chrome」にアップデート、「Use After Free」の脆弱性を修正

https://cwe.mitre.org/data/definitions/416.html

CWE-416: Use After Free

ScanNetSecurityによると『新潟県は1月15日、創業・イノベーション推進課でのメール誤送信による情報漏えいについて発表した。』と報道した。

さらに『県内外の企業80社に対しイベントの案内に関するメールを送信する際に、相手企業のメールアドレスを「BCC」ではなく「CC」に入力していたことが原因で、89件のメールアドレスが漏えいしたというもの。同日、送信者が送信済みメールを確認し発覚した。』と報道しています。

案内メールの送付先メールアドレスをToやCcに入れて送信して、送信先メールアドレスが漏れるというインシデントは頻繁に発生しています。

しかしながら、再発防止策が不十分なために、その発生件数が減ることはありません。

表題にある通り、案内メール送信専用のインターフェースで、BCCにしか送信先メールアドレスを入力出来ない仕組みにするのは、かなり効果のある再発防止策だと思い、目に止まりました。

誤発送した後のコストを考えると、ここで抑えておくというのは投資対効果の面からも良いと思いました。

https://scan.netsecurity.ne.jp/article/2025/01/28/52226.html

BCC にのみアドレスを入力可能なメールシステムの使用徹底 ～ 新潟県

https://www.pref.niigata.lg.jp/sec/sogyosuishin/johoroei.html

メール誤送信による情報漏えい事案の発生について

Appleは現地時間2025年2月10日、セキュリティアップデートとなる「iOS 18.3.1」および「iPadOS 18.3.1」「iPadOS 17.7.5」をリリースしました。

『ロックされたデバイスのUSB制限モードを無効にする物理的な攻撃の可能性への対応』と報告しています。

「CVE-2025-24200: トロント大学マンクスクールのシチズンラボのビル・マルザック」とあるので、トロント大学の研究チームが発見した脆弱性への対応という事です。

USBケーブルを通じて脆弱性を攻撃されるということで、ご利用のiPhoneやiPadを、自宅や職場以外でUSBケーブルに繋いだ場合に、攻撃される可能性があるということですね。

https://support.apple.com/en-us/122174

About the security content of iOS 18.3.1 and iPadOS 18.3.1

マイクロソフトは、2025年2月の月例セキュリティ更新プログラムを公開した。「クリティカル（Critical）」とされる3件を含む55件の脆弱性に対応した。

対応内容のうち、CVEベースで55件の脆弱性を修正している。最大重要度を見ると、4段階中もっとも高い「クリティカル（Critical）」とされる脆弱性が3件あり、今回の定例パッチでアップデートした方が推奨される。

Security NEXTの記事では『脆弱性によって影響は異なるが、21件についてはリモートよりコードを実行されるおそれがある。権限昇格の脆弱性19件やサービス拒否の脆弱性9件、なりすましおよびセキュリティ機能のバイパスがそれぞれ2件、情報漏洩やメモリ破損の脆弱性に対処した。』とされており、悪用の事例（いわゆるゼロデイ）は含まれていないようだ。

https://www.security-next.com/167121

「2月のMS月例パッチがリリース - ゼロデイ含む複数脆弱性を解消

https://msrc.microsoft.com/update-guide/releaseNote/2025-Feb

2025 年 2 月のセキュリティ更新プログラム

マイナビニュースによると『昨今、自社でセキュリティ対策を講じていても、取引先がサイバー攻撃を受けて、情報漏洩の被害を受ける可能性がある。』と報道した。

さらに『企業や自治体は取引先にまで迷惑をかけないよう、セキュリティを高めることが求められている。トレンドマイクロはその際の手段の一つして、サイバーリスクの可視化を行うことを推奨している。』と報道しています。

記事タイトルは人間の感染症の様に感染が拡がる様に聞こえますが、それと似たよう現象が発生してしまうことを危惧しています。つまり「感染予防対策がされていない人が周辺にいると、自分の感染リスクも高まる」といったことです。

しかしながら、サイバーセキュリティにおいては、「あの人はマスクしていない」などのように容易に状況を把握しにくいものです。そのため、この（内容が発表された講演では）リスク値を認識して公表すべきと言っています。

自社リスク値を公表するのは、上場企業が自社の監査報告中に記すとか、なかなかあえて実施するのは難しそうです。

そのためのコストを、例えばISMSなどの認証取得に求めるのが現状だとすると、情報を扱う企業は、自社のリスクについて認証取得により公表している、とも言えるかも知れません。そうした公表内容を見て、業務委託の安全性を確認するというのもそろそろ始まりそうです。

https://news.mynavi.jp/techplus/article/20250127-3114775/

サイバーリスクを放置しているとサプライチェーン全体に広がる被害が発生する恐れ

マイナビニュースによると『サイバー攻撃者が技術力の低い攻撃者を標的にマルウェアを配布したと報じた。』

さらに『無料で強力なマルウェアを入手できると考えた技術力の低い攻撃者は、それ自体がマルウェアを配布する手段だと認識できずに侵害されたとみられている。』と報じている。

悪が悪を制するみたいな報告ですが、この報告で注目すべきは、侵害された台数が２万台近くあり、その国別のシェアにあります。

上位は想定通りロシアや米国なのですが、インド・ウクライナ（紛争当事国）・トルコなどがあり、中国や日本は見つかってない様です。

紛争当事国は紛争内でサイバー攻撃を行っていると予想されるので、ウクライナ戦争の周辺国などがあるのも理解できます。

https://news.mynavi.jp/techplus/article/20250127-3116529/

攻撃者が攻撃者にマルウェア配布、2万台近いデバイスに感染

https://www.cloudsek.com/blog/no-honour-among-thieves-uncovering-a-trojanized-xworm-rat-builder-propagated-by-threat-actors-and-disrupting-its-operations

No Honour Among Thieves: Uncovering a Trojanized XWorm RAT Builder Propagated by Threat Actors and Disrupting Its Operations

マイクロソフトは「Microsoft Edge」のセキュリティアップデートをリリースしました。10件の脆弱性を修正しているとしています。

Security NEXTによると『具体的には、リモートよりコードを実行されるおそれがある脆弱性4件に対処した。いずれも重要度を4段階中、上から2番目にあたる「重要（Important）」とレーティングしている。』と報じている。

利用者の多いブラウザで、特に企業内で利用される事が多いかと思います。自動アップデートでアップデート出来ると思いますので、アップデートされているか確認した方がいいと思います。

また、リリースノートにはiOS版やAndroid版のアップデートも記載されていましたので、スマートフォンで利用されている方もアップデートの対象です。

https://www.security-next.com/167062

「MS Edge」がリリース - 独自含む脆弱性10件を解消

https://learn.microsoft.com/ja-jp/deployedge/microsoft-edge-relnotes-security

Microsoft Edge セキュリティ更新プログラムのリリースノート

マイナビニュースによると『セキュリティ研究者は、自動車の製造販売を手掛ける「SUBARU(スバル)」のコネクティッドサービス「SUBARU STARLINK」から脆弱性を発見したと伝えた。』と報道した。

さらに『脆弱性はコネクティッドサービス「SUBARU STARLINK」の管理ポータルサイトから発見された。（中略）研究者はこのアカウントを使用し、管理ポータルサイトから自身の所有する車両を操作可能か調査している。その結果、次の操作を実行できることが明らかになった。』として、いくつかの車両操作が外部から操作可能だとも報じています。

記事には『幸いなことに、この脆弱性はSUBARUに報告後、24時間以内に修正され、これまでのところ悪用は確認されていない。』とあり、即座に対応されたので、あくまで脆弱性対応の情報でしかありません。

しかしながら、研究者が高度な技術を使ってハッキングしたという背景ながら、そのリスクについては懸念が常に先立ちます。

こうしたサービスでは（一般論として）「ペネトレーションテスト」により、脆弱性の有無を確認することが必須でしょうが、そのテストで検出されなかったものについては、この記事にある様に「即座の対応」が期待されます。

特に自動車の様な物理的なものは、情報漏えいよりも、物理的事故につながるものが最も怖いので、最も高いセキュリティレベルと、その対応体制の構築が最も大切だと思いました。

https://news.mynavi.jp/techplus/article/20250127-3116523/

SUBARUのコネクティッドサービスに脆弱性、車両制御に加え個人情報窃取可能

https://samcurry.net/hacking-subaru

Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel

Rocket Boysによると『東京都保健医療情報センターはメールサーバへ不正アクセスされ、479,716の迷惑メールの配信に悪用された事を発表しました。』と報道した。

さらに迷惑メール配信の原因として『本メールサーバのテストアカウントとして作成していたメールアカウントのパスワードの強度が低かったことが不正利用の一因と考えられ、既にパスワードの強化を図っているとのこと』とも報じています。

ハッキングされた背景の詳細は報道されていないので分かりませんが、テストアカウントは「共用される」ことが多いので、あまり複雑なパスワードを設定したり、多要素認証設定できない、という特性があると思います。

様々なシステムの構築や運用を外部に委託する公共機関や地方自治体機関も多く、

こうした「テストアカウント」を、利用機関が設定する場合もあれば、ベンダーが構築時に設定しているものや、運用時に監視などの目的で利用している場合もあるでしょう。

（東京都の発表のうち、再発防止策を読む限りにおいては、運用管理受託者、つまりベンダーの「テストアカウント」であると想像されます）

心理的背景として「こんな小さなシステムは攻撃されない」とか、「こんな（テストアカウント）は誰にも見つけられない」といった大丈夫だろうといった考えを持っていたというものもあると思います。

具体的にハッキングされている事例が出ている以上は、こうした心理的背景や、アカウント管理の対象はシステム上の全てであるとリセットして考える必要がありそうです。

https://rocket-boys.co.jp/security-measures-lab/tokyo-health-mail-server-hack/

東京都保健医療情報センター、メールサーバへ不正アクセスされ約47万件の迷惑メールの配信に悪用

https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2025/01/24/14.html

東京都保健医療情報センターのメールサーバの外部からの不正利用について

日経XTECHによると『中国銀行は、2025年1月17日から実施しているオンラインバンキング用のスマートフォンアプリ「ちゅうぎんアプリ」のダウンロードと新規登録の一時停止を1月20日時点で継続している。同行の広報担当者は日経クロステックの取材に対して、同行の行員や市役所職員を装った「還付金詐欺」が未遂も含めて10件以上発生しており、被害の拡大を防ぐ狙いがあると説明した。』と報じている。

手口として次のように報道している。『行員や市役所職員を名乗る犯人が高齢者宅に電話をかけ（中略）口座番号と生年月日、キャッシュカードの暗証番号を聞き出し、その情報を使ってアプリを登録する。犯人は登録したアプリで振り込み手続きを行い、手続きに必要な認証番号も再度連絡することで聞き出して、不正な振り込みを実行させるという。』

よく報道されている詐欺電話の展開をアレンジして、アプリの利用登録において暗証番号だけという弱点を利用している点は、詐欺をする側が細かくリサーチして対応している点で、少し驚きです。

一般的に銀行アプリはそんなものなのかも知れませんが、ATMが詐欺振込の警戒がされていることもあり、アプリを活用する「活路」を見出したのかも知れません。

https://xtech.nikkei.com/atcl/nxt/news/24/02074/

中国銀行がアプリのダウンロードを一時停止、原因は相次ぐ還付金詐欺

https://www.yomiuri.co.jp/local/okayama/news/20250121-OYTNT50054/

中銀アプリ　不正送金被害

https://www.chugin.co.jp/news/2976.html?y=2024&c=203

【重要】「ちゅうぎんアプリ」のダウンロードと新規登録を一時的に停止しています

ScanNetSecurityによると『防犯カメラなどのセキュリティ機器を販売する株式会社ティービーアイは1月9日、同社従業員メールアカウントへの不正アクセスについて発表した。』と報道した。

さらに『これは2024年12月末から2025年1月年始にかけて、同社従業員1名のメールアカウントに海外から複数回、不正アクセスがあり、（中略）当該アカウントから複数のスパムメールが送信されたことを1月6日に確認したというもの。』とも報じています。

年末年始は従業員が休みである事が多く、人の目が少ないことから、特別に警戒が必要な時期とされています。このインシデントで興味深いのは、そうした年末年始をターゲットにしている点が１つあります。

それよりもセキュリティに関連する事業者の従業員がメールアカウントをハッキングされてしまった点にあります。

ハッキングされた背景は報道されていないので分かりませんが、一般的には、他からの情報漏えいインシデントによる情報を使われた（パスワード使い回し）や、簡単に憶測可能なパスワードであったことなどがあります。

いずれにせよ、従業員に対するサイバーセキュリティ教育がされているであろうとも、こうした事が発生してしまう、という事実は、よく考える必要があります。

https://scan.netsecurity.ne.jp/article/2025/01/21/52193.html

ティービーアイの従業員メールアカウントに不正アクセス、複数のスパムメールを送信

https://www.tbeye.com/topics/当社従業員メールアカウントへの不正アクセスに/

当社従業員メールアカウントへの不正アクセスに関するお詫びとご報告

Googleは1月28日にGoogle Chromeのセキュリティアップデートである、132.0.6834.159/160 for Windows, Mac and 132.0.6834.159 for Linuxを発表しました。

２つのセキュリティアップデートが適用される様です。ご利用されている方も多いかと思いますのでNewsで配信します。

具体的なアップデート方法は、サポートページに記載されています。

https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_28.html

Stable Channel Update for Desktop

https://support.google.com/chrome/answer/95414?hl=ja&co=GENIE.Platform%3DDesktop

Google Chrome を更新する

Rocket Boysによると『Huluは2025年1月17日（金）から18日（土）、22 日（水）、26 日（日）の期間でHuluの一部アカウント（951件）において第三者による不正ログインが確認された事を発表しました。他のサービスや企業で漏洩したパスワードを利用したリスト型アカウントハッキングによる不正アクセスの可能性があるとしています。』と報じている。

不正アクセスによる影響として『マイリスト（お気に入り、視聴履歴）情報の閲覧の可能性』や『アカウントページ閲覧の可能性』があると発表されています。

「リスト型アカウントハッキングとは、過去に何らかの形で漏えいしたIDやパスワードの“リスト”をもとに、不特定多数のウェブサービスやシステムに対して不正ログインを試みる攻撃手法です。 」とあり、様々なサイトからの情報漏えいが報道されていますが、攻撃者は、そうした漏洩情報を入手し、機械的に認証を試行することで、ほんの一部でも成功すれば大きな成果を得られることになります。

パスワードの使い回しはやめましょう。と言われている理由はここにあります。発表されているか否かを問わず、１箇所で情報が漏洩したら使われてしまう、という事になるためです。

https://rocket-boys.co.jp/security-measures-lab/12092/

Hulu、一部ユーザーへのリスト型アカウントハッキングによる不正アクセスを発表

https://www.hjholdings.jp/release/20250120.html

Hulu「リスト型アカウントハッキング（リスト型攻撃）」による弊社サービスへの不正ログインの発生について

https://it-trend.jp/onetime_password/article/cyber_attack_series

リスト型アカウントハッキング攻撃の特性と対策とは

EnterpriseZineによる「JPCERT コーディネーションセンター（JPCERT/CC） フィッシング対策協議会 事務局長の吉岡道明氏による「最近のフィッシング報告動向」をレポート」記事が掲載されていた。

『フィッシング報告件数の年別集計を示した。報告件数は2020年から急増し、その後は毎年報告件数を更新している。2024年もまた前年の報告件数を上回る勢いであるとした。』とも報じています。

この講演で興味深いのは、「フィッシングメールが迷惑メールフィルタをすり抜ける」ために様々な技術を使っている点と、「利用者へのアドバイス」にあります。

前者（迷惑メールフィルタのすり抜け）は、迷惑メールフィルタで引っかからないから安心という事はないという事実の確認になります。

後者のアドバイスは、「注意しましょう」レベルの仕組み化しにくい内容なので、具体的な確認アクションに落とし込む必要があります。

ところで、「フィッシング対策ガイドラインの重要5項目」も掲載されていますが、これはプロモーションメールなどを送信する企業側に求めている内容です。特に金融機関をはじめとする一般消費者向けの重要サービスにおいては、こうした重要事項を遵守しないと、顧客が守れないという事を指しています。

顧客をサイバー攻撃から守るという点を、自社のリスク戦略と捉えていない企業が淘汰されてしまう時代なのだと感じます。

https://enterprisezine.jp/article/detail/20951

フィッシング報告件数が急増中！メールフィルターもすり抜ける“詐欺メール”を見抜くには

ScanNetSecurityによると『医師による、病院へのランサムウェア攻撃が地域医療に与える影響について考察した講演が行われた』と報じている。

講演の中で『高度な医療機器は多くの人を救う存在ではあるものの（中略）サイバー攻撃というリスクから逃れられない存在でもある。攻撃者はスマートフォンも医療機器も区別はしない。ランサムウェアによる攻撃は拡大を続けている。』と発表されています。

講演の中でも述べられている様に「現在、これらの機器は Wi-Fi 接続され監視制御されている。右側には人工呼吸器が見える。これもただ酸素を供給するだけでなく非常に複雑なソフトウェアによって精密な制御がなされている」IT機器と機能により制御されている現代の医療現場でランサムウェアによりシステムが停止するリスクは、一般企業のそれよりかなり深刻である。」とかなり高いレベルの防御が必要な環境である事が確認できる。

端的に言えばサイバー攻撃が、人命に直結する環境ということから、その防衛姿勢は「国防」に準じるレベルである必要があると感じます。

https://scan.netsecurity.ne.jp/article/2025/01/17/52177.html

攻撃対象者による研究「病院へのランサムウェア攻撃が地域医療に与える影響」

サイバーセキュリティ総研によると『損害保険会社「共栄火災海上保険」社において、情報流出の可能性が判明した。』と報じている。

さらに報道によると『情報流出は業務委託先である「東京損保鑑定」社で発生。2024年8月29日に同社のサーバー内のファイルが閲覧不能となり、外部の専門機関による調査の結果、ランサムウェア攻撃を受けていたことが判明した。』と報じている。

サプライチェーンに対するサイバーセキュリティ攻撃による情報漏えい事案はいくつか発生していますが、保険会社でも発生してしまっています。

この報道を見た限りでは、システム障害の原因追及したところ、サイバーセキュリティ侵害が発生していたことが判明すると見えます。つまり侵入検知すらされていないという事になります。

この事案の様に、業務委託先のうち、重要な情報を受け渡す様な場合の、相手先のサイバーセキュリティ状況の確認は必須の事項となっている状況にあると思います。

委託先の監査まで実施するかどうかは契約などの関係性にもよりますが、最低でもセキュリティポリシーの提出を求めるぐらいは必要だと思います。セキュリティポリシーも出せない会社は論外として、少なくとも委託先の状況は見えると思います。

https://cybersecurity-info.com/news/kyoei-fire-marine-insurance-ransomware-damage/

被保険者224件分の情報がランサムウェア被害　サーバー内ファイルが閲覧不能【共栄火災海上保険】

https://www.kyoeikasai.co.jp/info/info20250207.pdf

当社業務委託先鑑定会社における不正アクセスに伴う情報漏えいのおそれについて

Rocket Newsによると『山形県大石田町は職員が権限を利用し、町内の共有フォルダへ繰り返し不正アクセスした事で停職処分をしたことを発表しました。』と報じています。

『主事職級職員（20歳代・男性）は、人事異動後に管理者権限のアカウントを不正に使用し、サーバ内の共有フォルダへ93日にわたり不正アクセスを実施。業務に無関係な人事情報や職員情報を興味本位で閲覧していました。』とも報じています。

アカウントに基づく権限の棚卸しがされていないケースが散見されますが、今回のケースは（恐らくですが）共有フォルダのアカウントとパスワードを共有していて、それを（本来権限がない時期に）参照したという事ではないか？と思います。

権限管理の問題の前に権限管理自体が出来ていないので、懲戒対象に電算担当が含まれているのが、その様に想像した理由です。

権限管理が出来る「フォルダ」は、単なる共有フォルダと比較にならないコストがかかるので、更新が出来ていなかったのかも知れません。

システムの権限管理に悩ましい問題として、引き継ぎなどの扱いがあると思います。期間を決めて、その間の利用は監視強化とするなどが理想的な運用ですが、このコストが、権限管理システムの運用の負担を意外と上げていることも見逃しやすいと思います。

https://rocket-boys.co.jp/security-measures-lab/oishida-town-folder-access-breach//

山形県大石田町の職員が権限を利用し町内のフォルダへ不正アクセス

https://www.town.oishida.yamagata.jp/chousei/jyouhou/chokai/somu20250115.files/070115chokaisyobunpdf.pdf

大石田町職員の懲戒処分等の公表について

ScanNetSecurityによると『東証プライム上場企業、株式会社フジクラは12月25日、同社ネットワークへの不正アクセスについて発表した。これは2024年7月2日に、同社がネットワークの保守運用を委託している NTTコミュニケーションズ株式会社が管理するネットワーク保守・監視用VPN装置を通じ、同社の情報ネットワークに外部から不正アクセスが判明し たというもの。』と報じている。

報告書からは『フォレンジック調査を進める中で、当社佐倉事業所の複数のサーバに外部からのアクセス及びデータ流出の痕跡があったことが確認されました。（中略）個人情報の漏えいのおそれは否定できないものと考えております。』と発表されています。

よく「ベンダー任せ」と否定的な形で記されることがありますが、今回の業務委託先は国内でもトップクラスだと思いますので、委託元が出来ることは何かを考えさせられる事象だと思います。

報告書の後半に『当社においても、保守委託先の管理体制を強化し、（中略）不正アクセスに対してより迅速に対応可能な体制を構築しました。』と記されており、「保守委託先の管理」が「ベンダー任せ」からの脱却のキーなのかも知れません。

https://scan.netsecurity.ne.jp/article/2025/01/15/52160.html

フジクラへの不正アクセス、委託先 NTTコミュニケーションズによる VPN 装置の管理不備

https://www.fujikura.co.jp/news/general/__icsFiles/afieldfile/2024/12/24/release20241225.pdf

当社ネットワークへの不正アクセスについて

ScanNetSecurityによると『クラウド製品を提供する株式会社エイ・アイ・エスは2024年12月24日、11月8日に公表した同社の社内サーバへのランサムウェア攻撃について、調査結果を発表した。』と報じています。

『2024年11月8日に公表した同社の社内サーバへのランサムウェア攻撃について、調査結果を発表した。』とのことです。

記事よりも「株式会社エイ・アイ・エス」による発表内容が、（実際に被害を受けているので、当たり前ですが）非常にリアリティがあり、インシデント発生日の対応、及び３日後に第一報の発報といった即応の対応など、体制や訓練などの対応がされていることが読み取れます。

インシデントの原因となっているランサムウェアの侵入経路自体は、平凡と言ってはいけないのかも知れませんが、SSL-VPN経由と報告されており、最も発生パターンの多いケースだと思います。

その意味では、非常に具体的な項目が記されている再発防止策が、単なる他山の石でない事は自明です。

これを読んでいる方々も、これらの再発防止策が自社で適用出来ているか？のチェックリストになると思います。

https://scan.netsecurity.ne.jp/article/2025/01/14/52150.html

バックアップデータから復元実施 ～ エイ・アイ・エスにランサムウェア攻撃

https://a-i-s.co.jp/presssyousai.php?releaseId=153

ランサムウェア攻撃に関する調査結果のご報告