Cyber Security Intelligence Vox

サイバーセキュリティ総研ニュースによると『静岡県東部の県立高校で、生徒の成績データが学年全体に共有される事態が発生した。』と発表した。

発表では『3月4日に同校の教諭が模試のスケジュールをクラウド上に共有する際、誤って2年生1クラス（35名分）の成績表を掲載。一時、学年全体の生徒が閲覧できる状態になっている。成績表の画像がコピーされ、一部の生徒間でSNS上に流出したことが確認されている。』としている。

報道では『誤掲載した教諭は、パソコンに複数のファイルを保存していたため「勘違いしてしまった」と説明。成績表を保存する際に「模試年間スケジュール」という誤ったファイル名を付けてしまったことも要因とみられている。』と記している。

メールの誤添付や、今回のような誤アップロードの大半の原因は、複数のファイルを（例えばダウンロードフォルダなどの）一箇所に保存していて、送付や添付する際に間違うというパターンです。

セキュリティのルールで「クリアデスク」という机上の整理整頓と情報レベルによらず放置しない、というルールがあります。紙の仕事が減って、PCのデスクトップがいわゆる机上であると考えると、そこに情報を保持・保管したままというのは、リスクが高いままに放置しているのと同じ意味になると思います。

https://cybersecurity-info.com/news/student-performance-data-was-shared-with-the-entire-grade/

35名分の成績データ、学年全体に共有　生徒によるSNS拡散も発生【静岡】

ScanNetSecurityによると『大阪府藤井寺市は2月28日、2024年12月10日に公表した藤井寺市立小・中学校での学習用クラウドサービスアカウントの利用不能について、調査結果を発表した。』と報道した。

これは『同市では2024年12月5日夕方頃に、同市内小・中学校の児童生徒及び教職員の利用している学習系ネットワークのマイクロソフトアカウント及びそれに関連付けられたクラウドサービスにログインできない事象が発生しており、保守管理事業者にてマイクロソフトの管理用アカウントへの第三者からの不正アクセスを確認していた。』と報じた。

発表内容では不正アクセスの原因は「第三者からのブルートフォース攻撃（あらかじめ決められた文字や記号の組み合わせを総当たりで試行する攻撃手段）が行われたと推察されます」とされており、管理用アカウントが乗っ取られたという事だと思います。

攻撃手段から考えて、設定されているパスワードが容易に推測可能なものだったという事でしょう。

特に「管理用アカウント」は管理担当者の間で共用されている事がある場合と、もう１つは複数人の管理権限を持つ人が存在する場合の２通りある点で、設定されているパスワードの複雑性などが甘くなる点が問題です。

管理権限を持つアカウントならなおさらですが、設定パスワードの複雑性をパスワードポリシーとして定め、簡単なものは設定出来ない様にする事が大事だと思います。

https://scan.netsecurity.ne.jp/article/2025/03/11/52472.html

ブルートフォース攻撃が原因 ～ 藤井寺市の学習系ネットワークのマイクロソフトアカウントに不正アクセス

https://www.city.fujiidera.lg.jp/soshiki/kyoikuiinkai/gakkokyoiku/osirase/gakusyuyoukuraudosa-bisuakaunto/19595.html

【保護者の皆様へ】学習用クラウドサービスアカウントの利用不能に係る調査結果について

ScanNetSecurityによると『有限会社柏崎青果は2月25日、同社が運営する「柏崎青果オンラインショップ」への不正アクセスによる個人情報の漏えいについて発表した。』と報道した。

これは『当該サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスでペイメントアプリケーションの改ざんが行われたことが原因で購入者のカード情報が漏えいし、一部顧客のカード情報が不正利用された可能性があることを2024年8月16日に完了した調査結果で確認したというもの。』と報じた。

報道では既にクレジットカードが不正利用されているという点で重大です。

また、ECサイトのシステム脆弱性を突かれてカード情報が盗られたという事ですが、他の案件でも、決済モジュールを入れ替えられて、発覚するまでの期間の利用者のカード情報が盗られたという話がありました。

今回発生したインシデント内容でも、ペイメントアプリの改ざんとあるので、どうも同じ様な事象の様です。このシステム脆弱性自体が具体的にどういったものか？

脆弱性対策情報データベースを見てみると、それではないか？と思われる脆弱性が挙げられています。自身のサイトもしくは委託元のサイトに、該当する脆弱性がないかどうか確認した方が良さそうです。

https://scan.netsecurity.ne.jp/article/2025/03/05/52441.html

「柏崎青果オンラインショップ」に不正アクセス、カード情報 1,348 件が漏えいした可能性

https://kashiwazakiseika.com/info/news/n20250225/

弊社が運営する「柏崎青果オンラインショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ

https://jvndb.jvn.jp/index.html

JVN iPediaにようこそ

RocketBoysによると『徳島県は2025年2月22日から2月27日にかけて、県教育委員会のメールサーバが不正アクセスによる第三者に悪用され、迷惑メールが大量に送信されていたことが発表しました。』と発表した。

発表では『県教育委員会が使用するメールサーバを経由し、約140万通の迷惑メールが送信されていました。送信元アドレスには、実在しないものと実在するものが混在しており、特に実在するアドレスを使用したケースでは、受信者が正規のメールと誤認する恐れがありました。』としている。

これはフィッシングメールの基地として使われてしまったという点で重大です。「@mt.tokushima-ec.ed.jp」ドメインは、（実在するドメインに見間違えてしまう）「ドッペルゲンガードメイン」とは違って実在する分だけ重大度が高いと思います。

不幸中の幸いで、実際に送付されたメールは、フィッシングメールというよりも迷惑メールのレベルだったそうで、実害に結びつく可能性が低いので良かったです。

原因は確認中だが、サービス提供者のメンテナンスによるものとされていて、作業精度の低さが問題となりそうです。この件とは別に、サービス提供者の作業による発生というインシデントが見られます。サービス提供者への確認も委託側の責任として発生すると思います。

https://rocket-boys.co.jp/security-measures-lab/tokushima-edu-mail-server-breach-spam-relay/

徳島県 教育委員会がメールサーバへの不正アクセスにより迷惑メールの踏み台に

https://www.pref.tokushima.lg.jp/ippannokata/kyoiku/gakkokyoiku/7302132/

【注意喚起】迷惑メール送信事案の発生について

マイナビニュースによると『LINEヤフーは本社においてサイバーセキュリティ専門企業であるGSXの専門家を迎え、全社規模のインシデント対応訓練を行った。』と報道した。

これは『同社は2023年不正アクセスによる情報漏洩が発生しており、その教訓を生かしさまざまな訓練を実施している。』と報じた。

報道では『インシデントの発生に対応した訓練を部署ごとに行っている。そうした中、同社は全社レベルのインシデントの発生を想定し、セキュリティ問題に対応する部署の責任者を本社に集め、組織間の連携強化とセキュリティ・リスクマネジメント体制の改善と強化、全社のインシデント対応の迅速化を目的にインシデント対応訓練を実施した。』としており、全社で実施した訓練であるとのことです。

訓練は、実際に発生した事件をベースに作成されたシナリオを基に行われたそうで、シナリオ自体は最悪なパターンで組まれていて、記事では実際に発生し得る事態を訓練している様子が伝わります。

ここまでの規模の訓練は、LINEヤフーぐらいの企業でないと実施するのは難しいですが、この中で実施されたシナリオや課題について、一部をピックアップして実施しても、十分効果的な訓練になりそうです。

https://news.mynavi.jp/techplus/article/20250303-3141119/

LINEヤフーがインシデント対応訓練、ランサムウェア感染や情報漏洩にどう対応すべきか

Googleによると『3月25日、同社ブラウザ「Chrome」のセキュリティアップデートをリリースした。修正した脆弱性についてはすでに悪用が確認されている。』と発表した。

発表では『重要度は4段階中、上から2番目にあたる「高（High）」とレーティング。3月20日にKasperskyの研究者より報告を受けたとしており、すでに同脆弱性が悪用されているとの報告がある。』としている。

既に脆弱性に対する悪用が報告されているとのことなので、今後のアップデートの適用を忘れずに実施する方が良さそうです。

https://www.msn.com/ja-jp/news/techandscience/windows版-google-chrome-にゼロデイ脆弱性-すでに悪用の報告あり-すぐに更新を-v13406998177178が展開中/ar-AA1BEItu

Windows版「Google Chrome」にゼロデイ脆弱性、すでに悪用の報告あり

ScanNetSecurityによると『国立大学法人東京外国語大学は2月21日、個人情報を含むUSBメモリが一時的に所在不明であったと発表した。』と報道した。

これは『2月9日に、同学教員が個人情報を含むデータを保存したUSBメモリを洋服に入れたままクリーニング店にクリーニングを依頼したというもの。』と報じた。

丁寧なクリーニング店の取り扱いで具体的な漏洩は避けられましたが、情報管理の観点からは持ち出した時点でアウトなわけです。

教育機関のこうした事例が後を絶たないのは、情報セキュリティ教育の不足というよりも、情報に対する認識が決定的に不足しているとしか言いようがないですね。

https://scan.netsecurity.ne.jp/article/2025/03/04/52431.html

忘れ物の USB メモリはクリーニング店で厳重に保管

https://www.tufs.ac.jp/NEWS/notice/250221_1.html

個人情報が含まれるUSBメモリーの一時的所在不明とその回収について（お詫び）

RocketBoysによると『千代田化工建設株式会社はグループの社員や役員になりすました詐欺行為の注意喚起をしました。詐欺行為を行う第三者は、EメールやSNSを利用し、見積依頼や商談の持ちかけ、さらには虚偽の求人情報を送信しているとみられます。』と報道した。

記事では『詐欺行為に使われるメールアドレスは、同社の正式ドメインに酷似したもの（ドッペルゲンガードメイン）が使用されるケースが多いため、十分な確認が必要です。』としている。

フィッシングメールの見分け方の１つとして、送信者のメールアドレスを確認するという方法があります。多くのフィッシングメールは、見たこともないドメインからメール配信されることが多く、ある程度の有効性があります。

ここで紹介されている「ドッペルゲンガードメイン」とは、一見正式ドメインの様に見える、紛らわしいメールアドレスであるという事です。人間はついつい頭の中で修正して認識しようとするクセのようなものがあり、ちょっとした細工で騙されてしまいます。

今回発生した事案では、１例として「@chioydacorp.com」を挙げていますが、一見すると正しいように見えてしまいます。しかし実は「y」と「o」が入れ替えられています。

ドメインの確認は目で行うというのは古いやり方なのかも知れません。

https://rocket-boys.co.jp/security-measures-lab/chiyoda-corp-fraud-alert-impersonation-scam/

千代田化工建設、グループ会社の社員・役員を騙った詐欺行為の注意喚起

https://www.chiyodacorp.com/jp/media/2025/post-326.html

当社グループ会社の社員・役員を騙った詐欺行為にご注意ください

ScanNetSecurityによると『東京損保鑑定株式会社は2024年12月25日、10月7日に公表した第三者からの不正アクセスによる個人情報漏えいの可能性について、調査結果を発表した。』と報道した。

これは『2024年8月29日に、社内のサーバにアクセスできない状態であったためサーバ保守業者に確認を依頼したところ、暗号化されていることが判明しており、サーバ保守業者とセキュリティ専門会社に調査を依頼し、被害拡大防止措置と原因調査及び復旧対応に着手していた。』と報じた内容の調査結果報道である。

東京損保鑑定へのランサムウェア攻撃により、サプライチェーンとなっている損保会社複数社が情報漏えい懸念などの発表をしていました。その調査結果が発表されたことになります。

東京損保鑑定では、UTMと呼ばれるセキュリティ対策統合製品を導入しており、必要な機能が全て揃っているのに、管理者の負担が低いという優れた製品を導入していました。

それに対する攻撃手法としてブルートフォースアタックが行われ、RDPに対するハッキングが成功し、そこから一気にランサムウェアの展開がされたという事になります。

ブルートフォースアタックが、いわゆる総当り攻撃という非常に古典的な方法であることから、設定されているアカウントとパスワードが非常に脆弱なものだったと思われます。

最新機器（機能）を入れたものの、そもそものセキュリティ基準（ルール）が緩いために、意味を持たなくなってしまったということになります。

https://scan.netsecurity.ne.jp/article/2025/03/03/52425.html

UTM 機器へのブルートフォース攻撃後に RDP 接続で侵入 ～ 東京損保鑑定へのランサムウェア攻撃

https://www.to-son.co.jp/news/27875

不正アクセスに関するご報告　その２

ScanNetSecurityによると『一般社団法人くすりの適正使用協議会は2月21日、同協議会のくすりのしおりデータベースに行われたサイバー攻撃について、調査結果を発表した。』と報道した。

これは『2024年12月29日午後4時17分に、同協議会が運営する「くすりのしおりミルシルサイト」に侵入され、くすりのしおりデータベースが改ざんされたというもの。』に対する追加報道としている。

システム開発に関係する人であれば「SQLインジェクション」という攻撃方法についてはご存知だと思います。検索入力欄にSQL文を入れて、検索対象外のデータを取得したり、場合によっては改ざんする手法をいいます。

入力された文字列を、サニタイジングと呼ぶSQL文などを無効化する仕組みにより無害化する事は、ある意味で常識でしょう。これを忘れてしまった、とか無効化が不十分である、といった場合に備えて、インターネットに公開する前に、脆弱性診断ソフトなどで確認する事も推奨されています。

今回発生した事案は、開発中に留意することと、事前に実施することの手順が不十分なために発生しており、おそらくはルールなどがないか徹底されていないのでしょう。さらに、再発防止策に記載されている事は事前にやっておく事をやっただけ、という事になってしまいます。

https://scan.netsecurity.ne.jp/article/2025/03/03/52426.html

くすりのしおりデータベースに SQLインジェクション攻撃、外部不正サイトを示すテキストを付記

https://www.rad-ar.or.jp/release/post?id=2294ba7a3461335bf700035f

くすりのしおりデータベースに対するサイバー攻撃について

RocketBoysによると『130,000台以上のデバイスがボットネットに感染し、Microsoft 365（M365）アカウントを標的としたパスワードスプレー攻撃が行われていることが明らかになりました。』と報道した。

さらに『今回のサイバー攻撃者は、パスワードスプレー攻撃と呼ばれる手法を活用しています。攻撃者は、既存のパスワードリストを使い、短時間で大量のMicrosoft 365アカウントに対してログインを試みます。』と報じている。

ボットネットからパスワードスプレー攻撃を仕掛ける、というかなり大規模な攻撃で、ダークウェブに流れた大量の漏洩情報からターゲットとなるアカウントリストを作成しているのでしょう。

どこかで漏れた情報がこうした形で活用されるので、「メールアドレスが漏れただけ」と軽く考えずに、パスワードを強固なものに変更するなどの対策が必須です。

もう１点のポイントは「非対話型ログイン（自動ログイン）が使われた」とあります。OAuth 2.0という認証方法上で、トークンと呼ばれるキーの様なものの交換が行われるのですが、その意味では高度な攻撃が実施されていることがわかります。

https://rocket-boys.co.jp/security-measures-lab/botnet-infects-13-devices-targets-microsoft-365/

13万台以上のデバイスがボットネットに感染し、Microsoft 365を標的に

https://learn.microsoft.com/ja-jp/entra/identity/monitoring-health/concept-noninteractive-sign-ins

Microsoft Entra での非対話型ユーザー サインインとは

RocketBoysによると『2025年2月27日、株式会社ＤＴＳは同社のグループ会社であるデジタルテクノロジー株式会社のシステムにおいて第三者による不正アクセスが発生したことを確認し、デジタルテクノロジーが保有する情報が一部漏えいした恐れがあることを発表しました。』と報道した。

さらに『2025年２月17日にデジタルテクノロジーのシステムにおいて障害が発生し、一部のサービスが停止。外部のセキュリティ対策企業へ調査を依頼したところ、不正アクセスを受けたことが確認される。』と報じている。

いわゆるシステム障害の原因を調べてみたら侵害されていたという事です。しかしながら顧客にDXを展開することを標榜するシステム開発会社の系列なので、発表の仕方があったのでは？と思いました。

こうした発表も広報部門と連携したCSIRTが主体となって実施すると思いますが、そこでの対応手順の整備も課題がありそうです。

最近、「サイバーインシデントは発生するのか？というよりも、いつ発生するか？」であると、言われるようになっています。そういう意味ではシステム開発会社であろうと、発生するわけですので、発表の仕方という意味では、原因追及と再発防止、復旧手段にフォーカスすべきだと思いました。

https://rocket-boys.co.jp/security-measures-lab/dts-digital-technology-data-breach/

ＤＴＳのグループ会社、デジタルテクノロジーが不正アクセスで情報漏洩の可能性

https://scan.netsecurity.ne.jp/article/2025/02/28/52416.html

グループ会社における不正アクセス被害の発生について

SecurityNEXTによると『大阪府高槻市は、市内中学校のウェブサイトにおいて、生徒の個人情報が含まれたファイルの誤掲載が発生したことを明らかにした。』と報道した。

さらに『同市によれば、1月31日18時17分ごろ、中学校の教職員がウェブサイトに「進路だより」を掲載しようとしたところ、アップロードするファイルを誤り、3年生89人分の氏名や成績を含む表計算ファイルを掲載するミスがあったという。』と報じている。

サイトへの誤掲載や、メールへの誤添付、といった取り扱うべき情報を取り違える案件も、こうした報道では時々発生しています。

本件の再発防止では『ウェブサイトの更新にあたり、確認作業を徹底し、再発を防止するよう求めた』とあり、要するに「気をつける」レベルにとどまっています。

情報セキュリティ管理の基本として、情報レベル別の管理が求められており、例えば重要情報は（ローカルPC内でも）重要情報として（フォルダを分けるなど）管理することが求められています。

想像になりますが、例えばダウンロードフォルダに入手したファイルを全部置いていて、それによって情報の取り違えが発生してしまっているのではないか？と思います。

https://www.security-next.com/167514

中学校サイトに成績情報含むファイルを誤掲載 - 高槻市

https://www.city.takatsuki.osaka.jp/uploaded/attachment/49461.pdf

市立中学校ホームページへの個人情報の誤掲載について

ScanNetSecurityによると『大分みらい信用金庫は2月17日、同金庫のウェブサイトへの第三者からの不正な書き込みについて発表した。』と報道した。

さらに『これは同金庫のウェブサイト「＃みらっこ旅フォトコンテスト」に対し、第三者からの不正な書き込みが発生したというもの。』と報じている。

キャンペーン等の一時的に設定したページやサイトが攻撃される例が時々発生しています。よくある例としては、キャンペーンなどの臨時で取得したドメイン名が、有効期限を更新しないために他社に取られて悪用されるというものがあります。

このページ放置も結果的に「忘れられた」ことで、攻撃されたり悪用されたりしているわけです。

情報セキュリティ管理の基本として、情報資産管理というものがあり、対象資産とその資産の保持期限などが記されたものを、定期的に棚卸しして、期限を超えたものは処分するなどの対応を行うことを指します。

担当者まかせにしている組織では、こうした「人は忘れる」ことを忘れてしまっていると思います。また、発表されているURLを見ると、情報リテラシ面の向上も問われそうです。

https://scan.netsecurity.ne.jp/article/2025/02/28/52416.html

2022年から使用していないイベント専用ページに不正書き込み ～ 大分みらい信用金庫

https://www.oitamirai.co.jp/news/ｗｅｂサイトへの書き込み事案に関するご報告/

Ｗｅｂサイトへの書き込み事案に関するご報告

ScanNetSecurityによると『ANAホールディングス株式会社と全日本空輸株式会社は2月20日、ANAマイレージクラブ会員のWebパスワード管理についての注意喚起を発表した。』と報じた。

同報道では『第三者が顧客のメールアカウントを乗っ取り、2段階認証用の認証メール（ワンタイムパスワード）を盗み取ったうえで不正にANAウェブサイトへログインし、個人情報を勝手に更新する、マイルを詐取・不正利用するなどのケースを確認しているという。』と注意喚起しています。

こうした大規模サイトに対して、不正利用を目的として、過去に漏洩したアカウント情報を使ってアクセスする、いわゆる「リスト攻撃」が実施されている様です。

別の旅行・ホテル予約サイトやEコマースサイトなどにも実施されていて、実害も出ていることから、パスワードの使いまわしは、こうした攻撃に弱い事を再認識すべきです。

https://scan.netsecurity.ne.jp/article/2025/02/28/52418.html

マイル詐取や不正利用確認 ～ ANAマイレージクラブ会員へパスワード管理注意喚起

https://www.ana.co.jp/ja/jp/special-notice/001001.html?p1=top&p2=ja&p3=global

ANAマイレージクラブ会員のWebパスワード管理徹底のお願いとセキュリティ対策推奨のお知らせ

Rocket Boysは『株式会社アマベルは同社が運営する、公式通販サイトで「AmavelOnlineShop」で他人のクレジットカードによる不正注文が増加しており、対策の実施を発表しました。』と報じている。

さらに『Amavel Online Shopでは、他人のクレジットカードを不正に利用した注文が増加していることを受け、不正注文を検知するシステムを導入。これにより、不審な取引の際には注文を一時保留し、電話によるご本人確認を行う対応を実施。』と報じている。

この対策実施内容が具体的に記されており、クレジットカードに関するセキュリティに対する情報公開のありかたがポイントになります。

他社でも同様の対策を実施しているケースもあると思いますが、そのルールはあまり知られていません。例えば「注文された国と請求先の国が異なる場合」といった、注文時の怪しさをチェックするケースはある程度想像出来る部分もあると思います。

ここでは、例えば「過去に他社で送り主による配送キャンセルが発生した配送先の場合」といった様に配送に関するチェックもされています。

こうした情報公開はサイト運営側の負担増にはなりますが、その分安心感という価値を得られるものと思います。

https://rocket-boys.co.jp/security-measures-lab/official-online-store-fraudulent-order-countermeasures/

Amavel(アマベル)、公式通販サイトで他人のクレジットカードによる不正注文の対策を実施

https://www.amavel.jp/blogs/topics/重要-不正注文に関する対応としまして

【重要】不正注文に関する対応としまして

RocketBoysによると『2025年2月26日、電気通信大学は学内の複数のメールアドレス宛に「ばらまき型脅迫詐欺メール（性的脅迫メール）」が送信されていることの注意喚起をしました。』と報じた。

同報道では、注意喚起として詐欺メールの内容を画像で公開しています。

セキュリティ関係者が教育の題材として詐欺メールの具体例を欲しがっているところへ、ちょうどいい事例が来ました。

このレポートではほぼ全文が掲載されており、文脈としても昔からのパターンを踏襲しており、脅迫メールの文面としての新鮮味は全くありませんが、実際に送付された例として参考にはなると思います。

https://rocket-boys.co.jp/security-measures-lab/uec-sextortion-scam-email-warning/

電気通信大学、学内へのばらまき型脅迫詐欺メール（性的脅迫メール）に関する注意喚起

https://www.cc.uec.ac.jp/blogs/news/2025/02/20250226scam.html

【2025/2/26 7:10】ばらまき型脅迫詐欺メール（性的脅迫メール）に関する注意喚起

ScanNetSecurityは『一般社団法人岐阜県民間保育園・認定こども園連盟は2月13日、ホームページ改ざんと不審メールについて発表した。』と報じている。

さらに『同法人のウェブサイトでは2月13日に、「保護中: ホームページ改ざん及び不審メールについて復旧のお知らせと報告」というタイトルのコンテンツを掲載したが、2月19日現在はパスワードで保護されており、内容を閲覧できなくなっている。』と報じている。

本件に関しては、セキュリティインシデントに対する情報公開のありかたがポイントになります。

当然のことですが、直接的な影響範囲への情報共有は最低限度として必要で、それが特定出来ない場合には公開するしかないわけです。

この断片的な報道では、ホームページが改ざんされ、不審なメールが発信されたとのことなので、管理アカウントの管理不備といったところが原因でしょうか。わざわざ隠蔽する必要もないレベルのインシデントです。

逆に「隠蔽」のような行動することで、逆に注目を浴びてしまっている気がします。

https://scan.netsecurity.ne.jp/article/2025/02/27/52408.html

パスワードで保護「ホームページ改ざん及び不審メールについて復旧のお知らせと報告」

Googleは現地時間2025年3月10日「Chrome」のセキュリティアップデートをリリースした。5件の脆弱性に対応した。

5件の脆弱性は重要に相当するので、Chromeのアップデート機能により順次適用される。

ヘルプによると「アップデートは通常、パソコンでブラウザを閉じて次に開くまでの間にバックグラウンドで行われます。ブラウザをしばらく開いたままにしていると、保留中のアップデートがあることが示される可能性があります。」とあり、お知らせが出てから再起動すれば適用されるとの事です。

https://www.security-next.com/168072

「Chrome」にアップデート - 脆弱性5件を解消

https://support.google.com/chrome/answer/95414?hl=ja&co=GENIE.Platform%3DDesktop

Google Chrome を更新する

Adobeは、2025年3月11日にアップデプログラムを公開した。９件の脆弱性に対応した。

６件の脆弱性はCriticalに相当するので、早急なアップデートが必要だ。

Security NEXTの記事では『解放後のメモリを使用するいわゆる「Use After Free」の脆弱性や未初期化ポインタに対するアクセス、域外メモリの読み取りなどに起因する』とあり、この脆弱性は「重要レベル」となっている。

https://www.security-next.com/168087

「Adobe Acrobat/Reader」に深刻な脆弱性 - アップデートが公開

https://community.adobe.com/t5/acrobat-discussions/new-adobe-acrobat-and-reader-updates/td-p/15204153

New Adobe Acrobat and Reader Updates!!

マイクロソフトは、2025年3月の月例セキュリティ更新プログラムを公開した。Windowsに関して、アドバイザリの公開時点ですでに悪用されている脆弱性6件を含む、56件の脆弱性に対応した。

Security NEXTによると『米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、悪用が確認された脆弱性カタログへこれら6件を追加。米国内の行政機関へ対応するよう求めるとともに、広く注意喚起を行った。』としています。

Security NEXTの記事では『脆弱性6件のうち、3件は、Windowsの標準ファイルシステムである「Windows NTFS」』とされており、「Windows Fast FATファイルシステムドライバ」の脆弱性が含まれており、いずれも仮想マシンで使用される仮想ディスクのフォーマット「VHD」の処理に起因し、細工した「VHD」により攻撃が展開されていた。』とあり、クラウドなどの仮想マシンでも対応が必要そうです。

https://www.security-next.com/168094

米当局、Windowsに対するゼロデイ攻撃に注意喚起

https://msrc.microsoft.com/update-guide/releaseNote/2025-Mar

2025 年 3 月のセキュリティ更新プログラム

Appleは2025年3月11日、iOS向けのセキュリティアップデート18.3.2をリリースした。

脆弱性を修正したSafariが提供されている。

iOS 18.3.2だけでなくiPadOS 18.3.2も提供されているので、iPadユーザ向けにもSafariの脆弱性対応版が提供されていますので、それらを利用している方も更新が必要です。

『悪意のあるウェブコンテンツを読み込んだ際に同脆弱性を悪用され、保護をバイパスされるおそれがあり、特定人物に対する非常に高度な攻撃に悪用された可能性があるとの報告がある』という具体的危険性（脆弱性）があるという説明です。

https://support.apple.com/en-us/122281

About the security content of iOS 18.3.2 and iPadOS 18.3.2

Appleは2025年3月11日、Mac OS Sequoia向けのセキュリティアップデート15.3.2をリリースした。

さらに脆弱性を修正したSafari 18.3.1も提供されている。

macOS Sequoiaだけでなく、macOS Sonoma、macOS Ventura向けにもSafariの脆弱性対応版が提供されていますので、それらのmacOSを利用している方も更新が必要です。

『悪意のあるウェブコンテンツを読み込んだ際に同脆弱性を悪用され、保護をバイパスされるおそれがあり、特定人物に対する非常に高度な攻撃に悪用された可能性があるとの報告がある』という具体的危険性（脆弱性）があるという説明です。

https://support.apple.com/en-us/122283

About the security content of macOS Sequoia 15.3.2

株式会社Acompanyは2月12日、「日本企業におけるプライバシーガバナンスの取り組み事例」の実態調査の結果を発表した。

実態調査では『インシデントが発生した企業のうち、90%は社内教育を実施していた』と記している。

『プライバシーガバナンスの強化には社内教育に加え、プライバシーガバナンスに特化したCxOの設置やPIA（プライバシー影響評価）の導入など、多層的な対策を組み合わせをインシデント発生後に実施している』としており、情報セキュリティガバナンスの責任者が少なくとも必要としている。

このレポートではもう１つ面白いものとして、情報漏えいなどが発生してから70%の企業がCxOを設置している点にあります。つまり、事後に必要性を意識したと、再発防止が図られているわけです。

再発防止策を（他社が）事前に実施しておけば、情報漏えいなどのインシデントを防止できる可能性が高くなるのではないか？と考えると、このレポートの意味は深くなると思います。

https://acompany.tech/news/25-0212-1

【東証プライム市場上場企業のプライバシーガバナンス実態調査】個人情報漏洩などインシデント発生企業の90%は社内教育を実施

サイバーセキュリティ総研は『「AIG損害保険」社で不正アクセスにより顧客データが流出した可能性が判明している。公表によると、2024年8月29日に同社が業務を委託している「東京損保鑑定」社のサーバーで異常が検知されたことで問題が浮上。調査の結果、ランサムウェアによる被害を受けていたことが判明しており、AIG損害保険の顧客情報にも影響が及ぶ可能性が明らかになっている。』と報じている。

東京損保鑑定社の発表では『セキュリティ専門会社の調査によると、本件の原因は、UTM機器へのブルートフォース攻撃後に、当社サーバにRDP接続によって侵入され、ランサムウェアの実行によりファイルの暗号化及びドライブの暗号化が施されたことによるものと考えられます。』を原因としている。

本件に関しては、高レベルのネットワーク・セキュリティを提供するUTMがブルートフォース攻撃で破られてしまっているところが注目すべきポイントになります。

当然のことですが、非常に高い機能を使いこなすには、基礎的な情報セキュリティレベルの行動ベースが必須です。

この報道では考えられるパスワード候補を片っ端から試されて破られているので、そうしたレベルのパスワードだったのでしょう。また、事後報告で多要素認証を導入したとあるので、大事な機能を使っていなかった事、さらに言えば（ブルートフォース攻撃中に）ログイン試行されている事も検知していない監視状況、というのもあります。

導入支援したベンダーさんの支援や指導がなかったのか？と、高機能製品だっただけにもったいないと思いました。

【補足】UTM（統合脅威管理）とは、ファイアウォール、IPS、IDS、Webフィルタリング、アンチウイルス、アンチスパムなどのセキュリティ対策機能が統合された製品です。

【補足】ブルートフォース攻撃とは、考えられるパスワードの組み合わせを全て試してアカウントへの不正アクセスを試みる攻撃手法のことを指します。

https://cybersecurity-info.com/news/aig-general-insurance-ransomware-damage/

保険や個人情報など155件流出のおそれ　ランサムウェア被害【AIG損害保険】

https://www.to-son.co.jp/news/27875

不正アクセスに関するご報告　その２

Rocket Boysは『九州フィナンシャルグループの社長で肥後銀行の頭取でもある笠原 慶久氏が個人利用しているSNSアカウントを乗っ取られ、実態不明の投資投稿をされたことを発表しました。』と報じている。

報道では当人がX(旧Twitter)で『私のインスタグラム、facebookが乗っ取られていて、嘘の投稿がでています。』と記している。

企業プロモーションのために、会社のトップクラスの方がSNSをするのも珍しくはありません。しかし、（会社の規模にもよりますが）実際には広報部門が運用していて、当人が直接運用していないケースが多いかと思います。

今回の場合は、当人が直接運用したのか？広報部門なのか？は分かりませんが、いずれにせよ乗っ取られてしまう程度のセキュリティ設定だったと言わざるを得ません。

例えばパスワードの設定でも「nekochanKAQAi!2」（ネコちゃんかわいい）と日本語をベースにした、自分には覚えやすい「長い」文字列の安全度はかなり高いと言われています。

こうした基本的な部分を確実に実施するのは、情報セキュリティの基本中の基本かと思います。

https://rocket-boys.co.jp/security-measures-lab/higo-bank-ceo-account-hacked-investment-scam/

肥後銀行 頭取のSNSアカウントが乗っ取られ、実態不明の投資投稿をされる

https://x.com/yoshihisa__K/status/1891045229001658515?mx=2

（肥後銀行 頭取のX投稿）

https://news.trendmicro.com/ja-jp/article-password-generate/

【簡単3ステップ】安全で覚えやすいパスワードの作り方

SecurityNEXTは『広島市立北部医療センター安佐市民病院は、職員の私物パソコンが外部より侵害された問題で、パソコンには患者の個人情報が保存されていたものの、情報流出の可能性は低いとの調査結果を公表した。』と報じている。

報道では『同院によれば、2024年10月9日17時半ごろ、院内でインターネット回線に接続されていた職員の私物パソコンが第三者により侵害され、内部のファイルが閲覧できない状態となったもの。』としている。

病院で私物パソコンが個人情報の保持する形で利用されている点には、どういう経緯でそうなっているのか？と疑問を持ちました。

当然のことですが、私物パソコンを業務利用する場合や、業務ネットワークへ接続する場合には、よほどの理由があるはずだからです。

この報道の不思議な点は、後日に病院側の発表から「私物パソコン」という文言が消されている点にあります。調べてみたら私物ではなかったのか？私物だとマズイから消したのかは分かりません。

仮に私物パソコンでなかった場合には、そうした発表をしている点でインシデントですし、本当に私物パソコンだったら情報セキュリティに対するガバナンスが疑われます。

https://www.security-next.com/167465

患者情報含む端末が侵害、内部に遠隔操作ソフト - 安佐市民病院

https://www.asa-hosp.city.hiroshima.jp/news/2564.html

安佐市民病院パソコンへの不正アクセスについて（お知らせ）

https://megalodon.jp/2024-1021-0754-20/https://www.asa-hosp.city.hiroshima.jp:443/news/2474.html

【魚拓】病院外部からの不正アクセスの発生について

ScanNetSecurityは『滋賀県彦根市は2月13日、彦根市メール配信システムから送信されるメールがなりすましメール警告表示される事象について発表した』と報じている。

報道では『同市では一部の例として、「このメールは送信ドメイン認証が行われておりません。なりすましメールの可能性があります。」といった警告文が表示されることを確認しているが、メールは配信用メールアドレスから行っており、警告表示はされるが内容の閲覧は可能。』と報告している。

なりすましメールを防止するために導入が進んでいる「送信ドメイン認証」ですが、導入を前提とした動きが始まっている様です。

送信ドメイン認証には、いくつか方式がありますが、例えばGoogleでは、なりすましメール対策の一つとして送信ドメイン認証の対応を義務化しており、特に一定数を送信するドメインには、より厳密なDMARKという方式の導入を義務付けています。そのため、公共期間からのメールでも拒否される場合があり、話題になった事があります。

NTTドコモもドコモメールに「迷惑メールフォルダ」を導入すると発表するなど、なりすましメールを防止する技術導入が一般化しています。

https://scan.netsecurity.ne.jp/article/2025/02/21/52373.html

市のメールに警告表示「このメールは送信ドメイン認証が行われておりません。なりすましメールの可能性があります。」

https://www.city.hikone.lg.jp/kakuka/shicho_chokkatsu/3/2/27117.html

彦根市メール配信システムより送付されるメールが、なりすましメール警告表示される事象について

ScanNetSecurityは『ソースコード管理サービスに含まれる情報が不正取得 ～ アイリッジの業務委託先がマルウェア感染』を報じている。

報道では『これは同社の業務委託先で使用していた端末がマルウェア感染したことに起因して、同社システムへの不正アクセスが発生し、ソースコード管理サービスに含まれる一部の情報が不正に取得された』と報告している。

システム開発の現場では、複数の開発者がソースコード管理ツールを使って、開発やテストなどを実施しており、開発者間での共通基盤となっています。

当然のことですが、開発者には業務委託先も含まれており、ソースコード管理ツールを介して、サプライチェーンを構成している事になります。

これまでにサプライチェーン上に存在するサイバーセキュリティの弱点を突いた攻撃は、業務委託先で情報漏えいが発生したケースという形で非常に多く発生しています。その多くは業務委託先のネットワークなどの共通基盤を通じて、情報を搾取するパターンです。

そうした意味では、これも同様に共通基盤を狙った犯行だと思われ、サプライチェーンを構成する共通基盤全体に対する警告でもあると思われます。

https://scan.netsecurity.ne.jp/article/2025/02/21/52374.html

ソースコード管理サービスに含まれる情報が不正取得 ～ アイリッジの業務委託先がマルウェア感染

https://iridge.jp/news/202502/37909/

不正アクセスの発生について

独立行政法人情報処理推進機構（IPA）は2024年度中小企業における情報セキュリティ対策の実態調査報告書」の速報版を発表した。

報告書では『調査結果によると、2023年度にサイバーインシデントの被害を受けたと回答した企業975社のうち、サイバーインシデントによる影響として「データの破壊」と回答したのは35.7%、「個人情報の漏えい」と回答したのは35.1%であった』と報告している。

サイバーインシデントの４割が情報漏えいとデータ破壊、被害額の平均は73万円で、100万円以上の被害のあった企業は9.4％、復旧までに要した期間の平均は5.8日で、50日以上を要した企業も2.1％あった。と報告されている。

被害額の中に復旧までの期間の営業被害が含まれているのかまでは読み取れませんが、含んでいないとすると、被害総額は「平均73万円＋5.8日の非稼働営業費用」となるかと思います。軽く平均で100万円は超える事になるのでしょう。

それに対して『「情報セキュリティ対策投資をしていない」企業は62.6％で、2016年度調査の55.2％、2021年度調査の33.1％からさらに増加していることが判明した。』と報告されているのですが、投資していないから被害にあったのか、被害にあっても投資していないのか、までは読み取れていません。

いずれにせよ、被害額に対して、どの程度の保険（投資）をするかの指標となるかと思いますので、詳細を読み込む必要があります。

https://www.ipa.go.jp/pressrelease/2024/press20250214.html

「2024年度中小企業等実態調査結果」速報版を公開

Rocket Boysによると『株式会社レアルは同社が利用するBooking.com(ブッキングドットコム)へ不正アクセスが発生し、一部予約者へフィッシングメッセージが配信されたことと個人情報漏洩の可能性を発表しました。』と報じている。

この報道では『2024年12月27日22時頃～2024年12月29日13時頃、Booking.com社を通じて弊社宿泊施設を予約された一部の顧客に対し、同社の管理下にあるBooking.comサイト内に不正なアクセスがあり、フィッシングサイト等へ誘導するメッセージが配信された可能性があることを確認。』と報じている。

株式会社レアル自体は発表文がありませんので、詳細は分かりませんが、Booking.comの管理アカウントが侵害され、Booking.comの管理権限で情報の取得や、顧客むけメールが発信されたのでしょう。

よくあるパターンという意味では、Booking.comの管理アカウントのアカウント名とパスワード、特にパスワードが簡単なもので破られた可能性があると想像します。

会社内の共有アカウントの様に使っていたために、パスワードの複雑さを簡単なものにして、更新頻度が低いといったことが考えられます。そうしないと運用コストが高くなりますからね。

結果としてお客様に迷惑をかけ、運用コストの低減がイコール会社の信頼性の低減につながってしまった例になると思います。

https://rocket-boys.co.jp/security-measures-lab/real-booking-hack-data-leak/

株式会社レアル、Booking.comへの不正アクセスにより個人情報漏洩の可能性

サイバーセキュリティ総研によると『香川県三豊市は、市内中学校で職員のパソコンが「サポート詐欺」による遠隔操作被害に遭ったと公表。』と報じている。

さらに報道によると『市教育委員会によると2025年2月7日、中学校の職員が業務のためインターネットを閲覧していた際、偽のセキュリティ警告画面が表示された。指示された電話番号に連絡したところ、相手の指示に従ってパソコンを操作。その後、遠隔操作ツールをインストールしてしまったという。（中略）職員によると、詐欺の電話相手は「片言の日本語」を話していたという。』と報じている。

最近多発しているサポート詐欺は、パニックになって冷静さを失ってしまい、騙されて遠隔操作ソフトをインストールしてしまいます。落ち着けば特に対応の必要もないもので、この「冷静さを失う」ところがポイントです。

記事だけ読んでいると「なんかおかしいな？」と思うタイミングがあるのに、それを逃しています。

このケースでも「指定した電話番号に電話させる」「電話に出たサポート担当の日本語がカタコト」「何かをインストールされている」という気づくタイミングがありそうですが、冷静さを失ったのでしょう。

サイバーセキュリティ教育とまでは言わないまでも、情報提供ぐらいでも効果はあると思います。

https://cybersecurity-info.com/news/pc-support-scam-could-lead-to-leak-of-personal-information-of-approximately-660-junior-high-school-students/

PCサポート詐欺で中学生徒約660名分の流出おそれ「片言の日本語だった」【香川県】

https://youtu.be/RrOvLdm6WyU?si=hKg0m5-p-Gwq6yQx

ＳＴＯＰ！特殊詐欺　サポート詐欺編　≪香川県≫

ScanNetSecurityによると『日本無線株式会社は2月12日、標的型攻撃メール送信について最終報を発表した』と報じている。

さらに報道によると『顧客メールアドレスに対し同社社員アカウントから994通の標的型攻撃メールの発信を確認したため、当該アカウントからの社外宛メール送信を遮断し、調査したところ、9月24日に当該社員が取引先からのメールに記載のURLにアクセスし、ID、パスワードを入力したことで、サインイン情報が不正に窃取されたことが判明していた。』と報じている。

取引先からのメールにID（メールアドレス）を入れる事はあると思いますが、パスワードまで入力することはありえないと思います。この「取引先だから安心」と思う正常性バイアスがポイントです。

結果としてフィッシングメールが送信され、そのフィッシングメールを受信した側は「取引先からのメールだから」安心してメールを見たり、入力したりしてしまいます。

標的型も含めてフィッシングメールは、そうした正常性バイアスを利用した手口なので、どこか疑いを持って臨まないといけません。

本件の対策として「海外からのアクセスを禁止した」といった内容が実施されていますが、被害がないうちに、その対策を実施しておくべきなのかも知れません。

https://scan.netsecurity.ne.jp/article/2025/02/20/52365.html

日本無線の社員アカウントから 994 通の標的型攻撃メールを送信

https://www.jrc.co.jp/news/2025/0212-2

標的型攻撃メール送信に関するお詫びとご報告（最終報）

LibreOfficeのWindows版において、脆弱性（CVE-2025-0514）が発表されました。パッチがリリースされているので対象者はアップデートする事をお勧めします。

この脆弱性は『ハイパーリンクを介して悪意のある実行ファイルが無条件に実行される可能性のある』としており、攻撃者が非ファイル形式のURLを使用することで、意図しないプログラムを実行させることが可能との事です。

現在利用しているバージョンが、24.8.4以前の場合は、早急に24.8.5の以上のバージョンにアップデートする必要があります。

https://nvd.nist.gov/vuln/detail/CVE-2025-0514

CVE-2025-0514 Detail

Rocket Boysによると『株式会社クレイズは、同社が運営する旧ECサイト「一撃オフィシャルショップ」において第三者による不正アクセスが発生し、(中略)7,455件のクレジットカード情報が漏えいした可能性があることを公表しました。』と報じている。

この報道では『2021年4月13日～2024年7月26日の期間中に旧「一撃オフィシャルショップ」においてクレジットカード決済をされた方7,455名で、（中略）セキュリティコードを含む』と報じている。

原因として「脆弱性をついたこと（攻撃）による第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。」としており、カード決済情報が「全て」漏洩したので、この期間にこのサイトでクレカ決済をした方は、カードの切替などをしないといけなくなりました。

それにしても３ヶ月もの間、カード情報全てを漏洩され続けたというのは異例のケースだと思われます。また、7月に異常が見られてから発表が半年後の2月まで、第一報も出さないのも異例だと思われます。

ノンビリしたインシデント報告の例として取り上げてみました。

https://rocket-boys.co.jp/security-measures-lab/karate-gear-ec-site-data-breach/

空手用品を販売するECサイト、不正アクセスにより約7千件のクレジットカードなどの個人情報が漏洩

https://www.ichigeki-officialshop.com/pdf/20250217_公表文書_クレイズ.pdf

弊社が運営する「一撃オフィシャルショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

ScanNetSecurityによると『株式会社紀陽銀行は2月12日、「ボイスフィッシング」による不正送金に関する注意喚起を発表した。』と報じている。

この報道では『銀行担当者を騙る犯人が被害者（企業）に電話をかけ、フィッシングサイトに誘導してインターネットバンキングのアカウント情報等を入力させて盗み取り、法人口座から不正に送金する「ボイスフィッシング」の被害が全国的に急増しているとし、注意を呼びかけている。』と報じている。

手口を読むと「銀行担当者を名乗る」電話で聞いたメアドにフィッシングメールを送る。フィッシングサイトへ誘導した上で、オンラインアカウントを入力させて、口座から資産を不正に引き出す、という手口だそうです。

銀行側が注意として発信している内容を読むと、オンラインアカウントへのログインには多要素認証などの安全策がない様に見えます。つまり犯罪者側は、そうした機能的に弱いオンラインアカウントを狙っているとも言えます。

昔は通帳と印鑑を分けて管理するといった方法がありましたが、機能的に補完がない銀行の場合は、IDとパスワードを別管理した方がいいのかも知れません。

https://scan.netsecurity.ne.jp/article/2025/02/20/52366.html

紀陽銀行が「ボイスフィッシング」による不正送金に注意を呼びかけ

https://www.kiyobank.co.jp/personal/get_pdf.php?f=00002887

「ボイスフィッシング」による不正送金に関する注意喚起について

サイバーセキュリティ総研によると『宮崎県の「道の駅ゆ～ぱるのじり」で、第三者による不正アクセス被害が発生。取引先の個人情報が流出した可能性が懸念されている。』と報じている。

さらに報道によると『社員が業務時間中にwebサイトを閲覧していた際、ブラウザ上に表示されたサポートを装う電話番号へ架電するよう誘導された。同社員は、悪意ある遠隔操作ソフトをインストールしてしまったとのことで、異変に気付いた他の社員が対応。該当パソコンの電源を切断したものの、PC内には取引先の個人情報が保存されていたという。』と報じている。

サポート詐欺は、画面が乗っ取られた様になるため、パニックになってしまって遠隔操作ソフトをインストールしてしまう、という流れとなるため、落ち着けば特に対応の必要もないものです。

そうして落ち着くためには、サポート詐欺の手口などについて、従業員に対する教育（というと大げさですが）や情報提供が大切です。

このケースでも「他の従業員が電源切断した」という正しい対処方法を実施しており、従業員教育の成果が発揮されたと思われます。

従業員教育を主催する側も受ける側も、その効果について疑問を持つ事もあるかも知れませんが、この様に効果はあるという実例があるのは大事なことだと思います。

https://cybersecurity-info.com/news/support-scam-roadside-station-in-miyazaki-prefecture/

サポート詐欺で住所や口座情報など流出おそれ　宮崎県の道の駅

https://yuparu-nojiri.com/wp/y-news/17939.html

出荷者個人情報漏えいのおそれに関するお詫びとお知らせ

サイバーセキュリティ総研によると『ゴルフ場関連サービスを展開する「ニチノー緑化」社でサイバー攻撃被害が発生。』と報じている。

この報道では『2025年2月11日にシステム障害が発生。調査の結果、ランサムウェアによる不正アクセスが確認されており、同社が保管する企業情報や個人情報の一部が暗号化されていたという』と報じている。

システム障害が発生したので調査したらサイバー攻撃により侵害され、暗号化されたという内容に読めます。

特に再発防止策のようなものも明示されていないので、なんともノンビリしたものです。

「現時点で、サーバーに保存されていた情報の漏洩は確認されていないとされている」としているが、侵害自体すら検知出来ないのに、情報漏えいが確認出来るのかなぁ？と思ってしまいます。

ノンビリしたインシデント報告の例として取り上げてみました。

https://cybersecurity-info.com/news/ransomware-nichino-greening/

企業情報や個人情報が暗号化　ゴルフサービス

https://www.nichino-ryokka.co.jp/wp-content/uploads/2025/02/リリース_NR不正アクセス_20250214.pdf

サイバー攻撃による被害の発生に関するお知らせ