Cyber Security Intelligence Vox

フィッシング対策協議会は『Xでフィッシング対策協議会のロゴや画像を無断で使用した、なりすましアカウントを確認しています。なりすましアカウントからのメッセージにはご注意いただくとともに、URL等に安易にアクセスしないようにご注意ください。』と注意を掲載している。

加えて、X公式アカウントを掲載し、被害があれば警察へ連絡する旨の告知を出している。

ITmediaの記事によると、なりすましアカウントは在宅副業のあっせんなどで公式LINEアカウントへ登録する様に呼びかけていたとのこと。

なりすまし注意の告知から5日後の4/7には偽アカウントは見当たらなくなっていたとのこと。

偽アカウントは少なくとも５日間は生きていたわけで、SNS上の公式アカウントも、なかなか信用ならない感じがしました。

https://www.antiphishing.jp/news/info/caution_20250402.html

【重要】Xのなりすましアカウントにご注意ください

https://www.itmedia.co.jp/news/articles/2504/07/news137.html

フィッシング対策協議会のなりすましアカウント、Xで確認

ScanNetSecurityは『デジタルアーツ株式会社は3月25日、日本国内の組織における受信メール約4.6億通を集計し、悪性メールを分析したセキュリティレポートを公開した。』と報道している。

さらに『調査結果によると、対象となる約4.6億通のメールの42％にあたる約1.9億通が悪性メールとしてブロックの対象となったことが判明した。』と報じている。

報道では『「悪性メール」と判定されたメールについて、どのような理由で悪性判定されたのかを調査した結果、91％がフィッシングメールであった。』とあり、メール全体の38%がフィッシングメールである事が分かっている。つまり1/3のメールがフィッシングであるという事になる。

それにしても「悪用されたブランド名を見てみると、Amazonが29%、PayPayが10%、えきねっとが6%、三井住友が6%で、上位4つのブランドのフィッシングメールだけで半数を占めていることが判明した。」という報道の通りだとすると、これらから普通に発信される情報が、思った通りにお客様に伝わらないという（企業側の）被害もある。

DMARCなどのメール信頼度設定は当然のこと、アプリの通知などのオプトインでないと企業情報は伝わらない時代なのでしょう。

https://scan.netsecurity.ne.jp/article/2025/04/07/52618.html

「悪性メール」の 91 ％がフィッシングメール ～ 国内 818 組織 受信メール約 4.6 億通集計

https://www.daj.jp/webtopics/1220/

【セキュリティレポート】4.6億通の国内組織における受信メールを分析 悪性メールは42%、うち91%はフィッシング

RocketBoysは『物流や倉庫管理システム「クラウドトーマス」を提供する株式会社関通が悪意を持った第三者からサイバー攻撃とランサムウェア攻撃を受け、同社の顧客の約47社が個人情報漏洩や出荷停止、出荷遅延を発表しています。本記事では、関通と関通の顧客のセキュリティインシデントをランサムウェアの事例としてまとめています。』とまとめ記事を掲載している。

ここでは、フェーズごとの発表内容の他に、その影響先が発表している発表内容もまとめている。

日本政府も重要インフラとして物流分野を挙げているが、まさにその物流で事件が発生したことになります。発表内容から、その原因は次のように発表しています。「ランサムウェア感染と不正アクセスの侵入経路は、外部ネットワークとの接続口からの侵入であり、外部ネットワークから同社の複数のサーバへ侵入し、暗号化を実施したことが判明。」

物流も含めたインフラ企業は、外部との接点も多く、まさにサプライチェーンの要でもあるので、そこからの侵入に対する防御はかなり難しい気がします。

それでも、物流インフラという社会基盤を支えるのには、さらに高度な情報セキュリティ面での防御が必要だったといういう真摯な反省と再発防止に努めてもらいたいと思いました。

https://rocket-boys.co.jp/security-measures-lab/kantsu-cyberattack-ransomware-case-summary/

関通のサイバー攻撃とランサムウェアの被害まとめ

https://www.kantsu.com/news/6615/

【第3報】当社におけるサイバー攻撃によるシステムの停止事案発生のお知らせ

RocketBoysは『琉球銀行は法人向けインターネットバンキングサービス「りゅうぎんBizネット」において、複数の不正送金被害が確認されたことを受け、即日振込サービスの一部を緊急停止したと発表しました。被害額は同日午後1時時点で1億円に達しており、再開時期は未定とされています。』と報道している。

さらに『同行は「銀行システム自体に問題は確認されていない」と説明しており、今回の被害は利用者を狙った“なりすまし電話”によるソーシャルエンジニアリング的な詐欺のニュアンスがあります』と報じている。

銀行側が止めるというケースは非常に珍しいと思いますが、琉球銀行を名乗る自動音声の偽電話が用いられ、顧客にネット送金に必要なパスワードを入力させる手口が使われた、とあるのでジレンマのある決断だと思います。

それにしても「琉球銀行を名乗る自動音声の偽電話が用いられ、顧客にネット送金に必要なパスワードを入力させる手口」という報道の通りだとすると、偽電話が銀行口座の管理をしている担当者に電話をかけるといった、非常にターゲットを正しく設定している点が恐ろしいです。

記事でもソーシャルエンジニアリングと書いていますが、担当が違えば具体的な被害には繋がらないのですから、どこかでそうした担当者リストが出回ったのかもと考えてしまいます。

https://rocket-boys.co.jp/security-measures-lab/ryugin-biznet-1-billion-yen-fraud/

琉球銀行、ボイスフィッシングにより約1億円 不正送金 被害

https://www.ryugin.co.jp/83077/

金融機関を装った新しい手口の詐欺にご注意ください

SecurityNextは『日本サイバー犯罪対策センター（JC3）は、ランサムウェア攻撃の課題や対処などを学ぶことができるカードゲーム「キャット＆チョコレート ランサムウェア攻撃対処編」を公開した。』と報道している。

さらに『「キャット＆チョコレート」は、さまざまなアクシデントに対して、アイテムを駆使し、どのようにピンチを切り抜けるか競うカードゲーム。同ゲームを原案とし、ランサムウェア被害への対応を想定した内容にアレンジした。』と報じている。

ゲームで学ぶという点がユニークであり、手に取りやすいという点で画期的だと思います。このゲームでは具体的に『「暗号化されて業務が完全停止」「VPNからの侵入」「バックアップごと暗号化」「リークサイトの公開情報がSNSで拡散して炎上」など、実際に発生しているランサムウェア攻撃の実態などを盛り込んだ内容となっている』ということで、ある種BCP訓練とも言えます。

BCP訓練やランサムウェアの訓練などのインシデント訓練は、リアリティがないと参加者も一生懸命にならないし、面白いものはシナリオ作成が大変なので、そのシナリオ作成がとても重要で大変で訓練の精度を左右します。

こうしたゲームであれば、シナリオ作成せずとも、参加者が楽しめて、訓練にもなります。

https://www.security-next.com/168630

ランサムウェアへの対処を学ぶカードゲーム - JC3が無償公開

https://www.jc3.or.jp/news/2025/20250319-616.html

【インシデント対応】　コミュニケーション・カードゲーム「キャット＆チョコレート　ランサムウェア攻撃対処編」を作成しました

ScanNetSecurityは『プルーフポイントでは、攻撃の塊を攻撃キャンペーンとして定義しています。その分析結果から、なんと全世界のメール脅威のうち、1 月は 69.5 %、2 月は 80.2 ％が日本をターゲットにしていることが分かりました。』と報道している。

さらに『日本が攻撃される理由として、３点を挙げている。１点目はAIにより日本語の壁がなくなったこと。２点目は日本人の個人情報はアンダーグラウンドで高値で売れる。３点目は地政学的な軍事的・戦略的な攻撃の可能性があること』をあげている。

日本が攻撃されている理由３つを分解すると、２点目の個人情報の価値については、恐らく騙されやすさという点もあると思いますし、これが割とニュースとして頻繁に報道されている点だと思います。

本当に恐いのは３点目で、地政学的な背景をもった攻撃ですが、それらは重要インフラに対してであったり、防衛面に関連する企業だったりするかも知れません。これは件数は少なく話題に上がることも少ないと思います。

既にこうした重要インフラなどが攻撃により侵入されていたりすると、本当に安全保障上の脅威というか危機かも知れません。

https://scan.netsecurity.ne.jp/article/2025/04/02/52600.html

Proofpoint Blog 45回「日本が今、最も狙われている — 急増する DDoS 攻撃とメール攻撃の実態」

RocketBoysによると『2025年3月、宮城県において、複数の職員が業務用情報共有ツールに不正アクセスし、人事情報や業務会話を不正閲覧していた事実が発覚しました。5名の職員が懲戒処分を受ける事態となり、県は住民に対して謝罪しました。』と報道した。

報道では『宮城県によると、本庁および地方機関に勤務していた人物で、職務上知り得た情報共有ツール「チャットラック」の管理者IDとパスワードを使い、業務とは無関係な人事情報や会話ログを不正に閲覧しており、その不正行為は約2年半にわたり継続され、最終的には380件を超えるファイルがダウンロードされたとのことです。県の行政管理室に「会話内容が見られているのではないか」との申告をきっかけに調査が行われ、不正が発覚しました。』と報じた

申告をキッカケとして調査が行われたという事で、それまで２年間もの間、監査らしい事も行われいなかったという事でしょう。

情報セキュリティに関しても、同様の状態であろう事は容易に予想できます。

一般的には県知事を頂点するガバナンス管理が行われておらず、管理者アカウントの使いまわしやアクセスログの監査といった基本的なマネジメントも行われていなかったようです。

個人の倫理観に頼る県庁のガバナンス不全が、結果として職員の懲戒処分を生んだとも言え、当事者の処分だけが発表されていますが、根本的な部分は放置されている様です。

https://rocket-boys.co.jp/security-measures-lab/miyagi-staff-abused-admin-id-accessed-hr-chat-data/

宮城県の職員が管理者IDで不正アクセス、人事情報や会話の内容を閲覧した職員5人を処分

https://www3.nhk.or.jp/tohoku-news/20250328/6000030695.html

人事情報など不正閲覧繰り返す 県職員５人を減給の懲戒処分

RocketBoysによると『2025年3月28日、　JA鹿児島県信連の職員が、取引先の個人情報約500件を外部に漏洩し、あわせて現金200万円を着服していたとして懲戒解雇処分となったことが報じられました。』と報道した。

報道では『業務上知り得た取引先やJAグループ関係者、知人ら約500人分の個人情報（氏名、電話番号など）を、闇金に提供していたとされています。この事案が発覚したのは2025年2月、貸金業者を名乗る人物からJA県信連に「職員が借金を返済しない。個人情報を持っている」との連絡が入り、内部調査が行われたことがきっかけでした。その後、謝罪対応の過程で現金着服も明るみに出た形です。』と報じた。

いわゆる内部不正のオンパレード状態ですが、情報漏えい先が名簿業者ではなく、闇金融業者という点がポイントです。結果的に担保としてなのか個人情報を渡したものの、闇金融業者が裏切って通報するという流れです。

内部不正の動機としては、こうした借金を背景として行われるケースが多そうです。一方でそれら内部不正を防ぐ方法も、内部不正をやりにくくする事が中心となります。

組織の情報セキュリティガバナンスとなりますが、不正をやっても見つかる、不正をやりにくくする、といった点を考えると、具体的にはアクセス権限とログ監視が重要であることは自明だと思います。

https://rocket-boys.co.jp/security-measures-lab/ja-kagoshima-employee-fired-leak-to-loan-sharks-embezzlement/

JA鹿児島県信連職員、闇金業者へ500人の個人情報漏えいと200万の着服が発覚し懲戒解雇に

https://www.jabank-kagoshima.or.jp/info-shinren/jabank-482

不祥事件の発生について

マイナビニュースによると『Bleeping Computerは、Oracleから顧客情報が流出したと報じた。Oracleは侵害された事実はないと報道を否定しているが、Bleeping Computerは流出したデータの信憑性を確認したと伝えている。』と報道した。

報道では『このインシデントは「rose87168」と名乗る脅威アクターのデータ侵害フォーラムへの投稿にて明らかになった。脅威アクターの主張によると、ドメイン「oraclecloud.com」を侵害し、シングルサインオン(SSO: Single Sign On)およびLDAP(Lightweight Directory Access Protocol)から約600万人の顧客データを窃取したという。』と報じた。

「Bleeping Computerはデータに含まれる被害企業に連絡を取り確認を行っている。匿名を条件に連絡に応じた複数の企業は、LDAP表示名、メールアドレス、名前、その他の識別情報のすべてが正しいと回答したとのことだ。」という事で情報漏洩は確からしい。一方で、Oracleは「クラウド環境に対する侵害の事実はない」と公式に否定しています。

「ブルームバーグにょるとIT大手のOracle(オラクル)が、Oracle Cloud Infrastructureにおける大規模なデータ漏洩を一部の顧客に対して非公開で通知していたことが報じられました」といった報道も出ていて、情報漏えいインシデントの真実味が増しています。

Oracle Cloudは、日本でも展開していて、いわゆる「ガバメントクラウド」承認も得ていて、政府や自治体のサービスが稼働している環境でもあるため、この動向は注視しています。

https://news.mynavi.jp/techplus/article/20250328-3166297/

Oracleから600万件の顧客情報流出の可能性、Oracleは否定も流出データ確認

https://rocket-boys.co.jp/security-measures-lab/oracle-6-million-data-breach-class-action-lawsuit/

Oracleの不正アクセスによる個人情報漏洩 疑惑が訴訟に発展

SucanNetSecurityは『はたけなか製麺株式会社は3月17日、同社が運営する「はたけなかオンラインショップ」への不正アクセスによる個人情報漏えいについて発表した。』と報道した。

さらに『宮城県警から一部が不正に改ざんされている懸念がある旨の連絡があり、同県警の指示に従い当該サイトを停止し、不正プログラムを除去した上で再開したが、第三者機関による調査を開始したところ、ペイメントアプリケーションの改ざんが行われたことが原因で、顧客のカード情報が漏えいし、一部顧客のカード情報が不正利用された可能性があることを調査結果で確認したというもの。』と報道した。

以前にもここに書いた様に、脆弱性を突かれてペイメントアプリを改ざんされて、カード情報がまるまる漏洩するケースが多発しています。

脆弱性といいアプリの改ざんといい、同一パターンによるものでしょう。マクニカさんの開設ページを読むと、不正なJavaScriptをサイトに仕込まれるのが主たる改ざん方法とのことですが、こうした事例を防止する方法は、サイト運営上は一般的な手法である「サイトの脆弱性管理」と「WAFなどの検知システムを運用」という事になるそうです。

結論としては、そうしたサイト運用、しかも機密情報であるカード情報を取り扱うECサイトで、基本的な運用さえもされていない、という事になります。

身を守るという点では、リアル店舗であれば、店員の対応も含めて信頼性について感じる事も可能でしょうが、ECサイトの信頼性という面では判断が難しい現実があります。防衛手段を考えるものの、漏洩しても影響が少ない、オンラインショップ専用のカードを用意して、こうした事件があったらすぐにカード再発行するぐらいしか思いつきません。

https://scan.netsecurity.ne.jp/article/2025/03/26/52555.html

「はたけなかオンラインショップ」に不正アクセス 824 名のカード情報が漏えい

https://hatakenaka.jp/blogs/news/弊社が運営する-はたけなかオンラインショップ-への不正アクセスによる-個人情報漏えいに関するお詫びとお知らせ

弊社が運営する「はたけなかオンラインショップ」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ

https://security.macnica.co.jp/blog/2023/02/web-1.html

ペイメントアプリケーションの改ざん（Webスキミング）に関する概説と対策手法について

RocketBoysによると『2025年3月24日ティーエムジーインターナショナル株式会社が運営する「ミートガイ本店オンラインストア」は2024年12月19日に発生した不正アクセスで、データベース内の顧客の個人情報（103,006件）、内クレジットカード情報（約6,929件）が漏洩した可能性があることが発表しました。』と報道した。

報道では『顧客の連絡により「ミートガイ本店オンラインストア」のサイト内レジ画面の支払い方法の表示崩れ及びサイトの管理画面内の一部が表示出来なくなっていたことを発見し、外部のセキュリティ専門会社に連絡しサイト内システム調査を開始。（その結果）不審なコードを発見し、サイトを閉鎖した。』と報じた。

「顧客(6,929名)で、漏洩した可能性のある情報には、クレジットカード番号だけでなくカード名義人名や、有効期限、セキュリティコードまで含まれている」ということで、カード決済に必要な情報が完璧に揃う事になります。

漏洩された利用者は、カードの再発行するしか手がなくなる事になり、カード切替は非常に大変だと思います。電気代をはじめとした生活の代金をカード支払いにしていたら、さらに大変だと思います。

オンラインショップ専用のカードを作っておいて、漏洩を前提とした使い方をすべき時代になったのでしょうか。

https://rocket-boys.co.jp/security-measures-lab/themeatguy-online-store-data-breach-100k-records-6k-credit-cards/

ミートガイ 本店 オンラインストア、不正アクセスにより約10万件の個人情報とクレカ情報も6千件が漏洩

https://www.themeatguy.jp/password/

ティーエムジーインターナショナル株式会社が運営する「ミートガイ本店オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告

RocketBoysによると『2025年3月19日、個人情報保護委員会は、株式会社イセトーに対し、個人情報保護法第147条に基づく指導を行いました。本件は、イセトーが受託していた個人情報がランサムウェア攻撃により漏えいし、ダークウェブ上に公開されるという重大なインシデントを受けての措置です。』と報道した。

報道では『イセトー社内のルールでは「個人データは業務系ネットワークでのみ取り扱う」とされていましたが、保管ルールを遵守せず、本件個人データを基幹系ネットワーク上のサーバへコピーの上、業務を行っていた事が指摘されています。その結果、攻撃者が本来侵入できないはずの個人データを取得し、外部へ流出させる事態となりました。』と報じた。

最終的に合計 3,076,477 人もの個人情報漏えい件数となっており、2024年の最大ケースだと思います。さらにランサムウェアグループ 「8Base」にもデータがリークされています。

「イセトー社はPマークとISO27001認証及びISO27017を取得していましたが、ルールが守られず実質的に適切な運用が行われていませんでした。」と報道されており、これでは何を信頼して情報を預けたら良いのか分かりません。

今後は委託先に対する情報セキュリティ管理の方法を模索する時代になるのかも知れません。

https://rocket-boys.co.jp/security-measures-lab/ppc-issues-administrative-guidance-isetoh-cyberattack-data-breach/

個人情報保護委員会、イセトーへのサイバー攻撃による約307万人の個人情報漏洩について行政指導を発表

https://www.ppc.go.jp/news/press/2024/250319_houdou/

株式会社イセトーに対する個人情報の保護に関する法律に基づく行政上の対応について

Appleは『同社スマートデバイス向けに最新OSとなる「iOS 18.4.1」「iPadOS 18.4.1」をリリースした。』と発表した。同時に『「macOS Sequoia 15.4.1」をリリースした。』とも発表している。

今回のアップデートは、CVEベースであわせて2件の脆弱性へ対処したもので、これら脆弱性に関して「iOS」では、特定の個人を標的とした非常に洗練された攻撃で悪用された可能性があるとの報告を受けているという。

「iOS 18.4.1」については「特殊な攻撃に利用された脆弱性」とあり、これは実際に攻撃に利用された可能性があるため、早めにアップデートした方が良いでしょう。

「macOS Sequoia 15.4.1」については、iOS（iPhone/iPad用のOS）と同様の脆弱性に対応したもので、iOSでは「特殊な攻撃に利用された脆弱性」とあり、macOSでも同様の脆弱性を対応したというもの。

こちらは、即時対応というレベルではなさそうですが、アップデートしておいた方が良さそうです。

https://www.security-next.com/169473

Apple、「iOS 18.4.1」「iPadOS 18.4.1」を公開 - ゼロデイ脆弱性を修正

https://support.apple.com/ja-jp/121161

iOS 18 のアップデートについて

https://support.apple.com/en-us/122400

About the security content of macOS Sequoia 15.4.1

SecurityNEXTは『東京マラソン財団は、東京マラソン2025における活動別ボランティア名簿の一部が所在不明となっていることを明らかにした。同団体によれば、活動別ボランティアリーダー説明会で配付したボランティア名簿を、説明会に出席したボランティア1人が、次の説明会へ移動する際に紛失したもの。』と報道した。

さらに『紛失した名簿には、ボランティア619人分の個人情報が記載されていた。』と報道した。

ボランティアメンバへの情報セキュリティガバナンスの展開は、教育訓練も含めて展開が難しい対象だと思います。その意味で、主催者側がそうした情報の管理を主体的に実施する必要があるのですが、その管理もボランティアへ展開してしまったという例になります。

ボランティアも無責任というわけではなく、役割を果たすべく協力したのだと思いますので、その意味でも残念です。

結論としては、主催者側の役割分担に対して、主催者側の内部で管理するべきであることが第一です。

ボランティアで参加される方も、自分の責任の重さを認識して、場合によっては、作業参加を見合わせる事も必要だと思います。

https://www.security-next.com/168335

ボランティアが移動中に名簿を紛失 - 東京マラソン財団

https://tokyo42195.org/news/jn_250306_01.html

東京マラソン2025活動別ボランティア名簿の紛失について

SecurityNEXTによると『サーバやネットワーク機器の販売、保守などを手がけるベル・データは、ランサムウェアを用いたサイバー攻撃を受けた問題で、VPN機器を経由して社内サーバにアクセスが行われ、システム内部に保存されていた個人情報を攻撃者によって参照された可能性があることが判明した』と報道した。

報道では『対象となる個人情報は4万7359件。このうち4万6915件は取引先関係者に関する情報で、一部情報については、いわゆる「リークサイト」上にアップロードされていることを確認した。』と報じた。

「紺屋の白袴」案件か？と思って読んでいました。システムインテグレーター事業を展開されていて、当然アウトソーシングサービスの展開やセキュリティ関連サービスもあります。

今回のランサムウェア攻撃の入口は、VPN経由でサーバアクセスされたという事で、かなり頻繁に事例が発生していて、事業内容から感度の高い対応が期待されていたはずです。

お客様対応が第一で、自社の対応が後回しになっていた、とも考えられますが、それも説得力のない話に聞こえます。

https://www.security-next.com/168371

VPN経由でランサム攻撃、情報の外部公開を確認 - ベル・データ

https://www.belldata.com/news/topics/250317.html

当社へのランサムウェア攻撃に関するお知らせとお詫び

SecurityNEXTによると『神奈川県二宮町は、保育士が園児の緊急連絡表をコピーして持ち出し、裏面をメモとして利用した結果、流出した問題で懲戒処分を実施した。』と報道した。

報道では『5月下旬に保育士が園児の緊急連絡表1枚を私的にコピーして自宅へ持ち帰ったが、半裁した名簿の裏面をメモ用紙として利用。図書館で借りた本に挟み、そのまま返却していた。図書館利用者が名簿に気づき、図書館の窓口に申し出たことで問題が発覚』と報じた。

なかなか類を見ない情報漏えいケースだと思います。記載されている情報の意味や意義が全く認識されていない点で、基礎的な教育が大事である事が分かるかと思います。

企業活動でいうと、例えば情報レベルの設定という事が関連します。これは情報に対するセキュリティレベルを付けて管理する事で、例えば「秘密情報」とか「社外秘情報」といったものを、情報そのものに付けて、取り扱いの厳重さを決めるものです。

まぁそれが徹底されてなくても、電話番号などの情報はちょっと注意が必要だなと思う事を前提としたいのですが、それも教育がないと成り立たない例かと思います。

https://www.security-next.com/167795

持ち出し緊急連絡表をメモ利用、保育士を懲戒処分 - 二宮町

https://www.town.ninomiya.kanagawa.jp/cmsfiles/contents/0000002/2820/0303ksihahappyo.pdf

町立百合が丘保育園における個人情報の持ち出し及び 漏洩に係る関係職員の処分等について

SecurityNEXTは『リクルートが発行する旅行情報誌「北海道じゃらん」の関連サイトが、サイバー攻撃を受けたことがわかった。会員の個人情報が流出した可能性もあるとして調査を進めている。』と報道した。

さらに『氏名、性別、生年月日、住所、電話番号、メールアドレス、ニックネーム、ハッシュ化されたパスワードのほか、婚姻状況や職業など任意で入力された情報も対象となる。』と報道した。

利用意図がはっきりしない「任意情報」として、ニックネームや婚姻情報や職業なども漏洩対象とされており、そうした情報の収集に対する責任が発生してしまった例となります。

「マーケティング情報として利用する（予定）」の得られる価値を上回る負債となってしまい、どの様に事態を収集するのか注目していました。実際にフィッシングメールが送られたといった具体的な被害が出始めていることで、そうした警戒のお知らせ以上の対応があるのか？を注目したことになります。

結論としては、残念ですが、たいした対応もされずにサイトを閉鎖して幕引きという形になりそうです。リクルート社の発表でも、再発防止策には具体性のない「お気持ち」が記されているだけです。

利用者側の対策としてですが、そのサイトに登録する情報について、本当に登録していいか？よく考えて、警戒しながら対応すべきですね。今からでも登録しているサイトの情報のうち「任意情報」は消しておいた方がいいでしょう。

https://www.security-next.com/168415

「北海道じゃらん」に攻撃、個人情報流出か - フィッシング攻撃も

https://www.recruit.co.jp/newsroom/pressrelease/2025/0319_15575.html

『北海道じゃらん』不正アクセスに関するお詫びとお知らせ

https://www.recruit-hokkaido-jalan.jp

『北海道じゃらん』

マイナビニュースによると『パスワード管理サービス「LastPass」のマスターパスワードが解読されサイバー攻撃に悪用された可能性が高いと報じた。』と報道した。

報道では『2022年、LastPassは同社への不正アクセスにより複数の機密情報を窃取されている。このとき暗号化されたユーザーデータと平文データの両方も窃取されている。今回、この暗号化されたデータを解読され、昨年1月の事案に悪用されたことが明らかになった』と報じた。

パスワード管理ツールの情報が搾取されるという、非常に危険な状態です。日本ではあまり騒がれていないので、日本には利用者があまりいないのかも知れません。

ここでの問題は「LastPassが最初に侵害されてから2年半が経過し、世界中の個人や企業から数億ドルが盗まれました。LastPassはユーザーに認証情報のローテーションを促すことができたはずです。脅威アクターによる何百万ドルもの盗難を防ぐことができたはずです。しかし、LastPassは顧客が危険にさらされたことを否定し、代わりに被害者を責めることを選んだのです」と報道されていて、自己防衛するしかない様です。

パスワードは長く複雑なものを設定し、パスワード管理ツールで管理すべき、という流れが来始めており、その流れは止めるべきではないと思います。

ここでは、パスワード管理ツールも完璧ではないので、インシデント情報が出た時点で、管理パスワードを全て更新するなどの緊急活動をすべし、という教訓を得たという事かと思います。

https://news.mynavi.jp/techplus/article/20250318-3149283/

LastPassのマスターパスワード、解読され攻撃に悪用される

https://www.lastpass.com

lastpass

RocketBoysによると『松戸市教育委員会はは株式会社イシクラへのサイバー攻撃と不正アクセスにより、松戸市立小学校26校において卒業アルバム制作に関連した個人情報の漏洩のおそれがあることを公表しました。』と報道した。

報道では『卒業アルバムの作成を受注していた会社の再受注先である株式会社イシクラが運用するWebサーバーが不正アクセスの被害を受けました。』と報じた。

典型的なサプライチェーンサイバーセキュリティインシデントであるという点がトピックです。先日も書いた通り、サプライチェーン攻撃に対しては委託先の委託先が弱点となる事があることになります。

具体的弱点は「（委託先である）イシクラが運用するWebサーバーにおいて、外部機器の交換時の設定不備により脆弱性が発生。」という典型的な形式です。

委託先の委託先などの把握も、委託先に任せきりに出来ないという例になると思います。

https://rocket-boys.co.jp/security-measures-lab/matsudo-elementary-schools-ishikura-cyberattack-5000-data-breach/

千葉県松戸市の小学校26校、合計5,000人の個人情報がイシクラの不正アクセスとサイバー攻撃で卒業アルバムの情報漏洩か

https://www.ishikura.co.jp/news/386

不正アクセスによる情報漏えいのおそれがある事案の発生に関するご報告とお詫び

RocketBoysによると『プロ格闘ゲーマーの立川さんが、SNSアカウントの乗っ取り被害にあった件について、その経緯や乗っ取りの手口を明らかにしました。』と報道した。

『個人スポンサーの依頼を受け、依頼を調査しましたが、報酬に関する相場も適切なもので、SNSのフォロワーの調査を実施しましたが、不審な点はなかった。実際は連絡してきたアカウントも乗っ取られており、相手を騙すために周到な手口となっています。』とのこと。

信用させて情報やお金を盗むのが手口なのですが、この信用させる手口がスパイ映画の様にうまく出来ている点が、この記事のポイントになります。

実際にはinfostealerと呼ばれる、情報抜き取りアプリをインストールさせ、本人が気づかないうちに情報を抜き取ることになります。

さらには各種サービスアカウントを盗られるだけでなく、多要素認証が設定されているアカウントも盗られてしまったとのこと。

ここまで周到にされると、防衛手段はかなり限られると思いますが、入口となっているinfostealer（情報搾取アプリ）の段階で防げるか否かがポイントで、いわゆるアンチウイルスソフトが頼りかも知れません。

https://rocket-boys.co.jp/security-measures-lab/pro-gamer-sns-hacked-impersonated-by-known-company/

プロゲーマーのSNS乗っ取り被害、犯人は有名企業の社員になりすまし周到な手口でマルウェアをダウンロードさせる

https://www.youtube.com/watch?v=QEXghZcanvM&t=1s

全てのSNSアカウント乗っ取られ宇宙に飛ばされた立川、復帰後に語られる驚きの犯行手口とは...【乗っ取り/犯行手口】【立川/切り抜き】

Microsoftは2025年の月例セキュリティ更新プログラムを公開した。『最大重要度を見ると、4段階中もっとも高い「クリティカル（Critical）」とされる脆弱性は11件。のこる110件については次に高い「重要（Important）」としている。』となっており、脆弱性1件については悪用が確認されているが、一部プラットフォーム向けのパッチが準備中となっている。

今回のアップデートは、31件についてはリモートよりコードを実行されるおそれがあり、49件は権限昇格の脆弱性としており、共通脆弱性評価システム「CVSSv3」におけるベーススコアを見ると、「7.0」以上とされる脆弱性が98件におよぶので、アップデートモジュールが配布され始めたら、アップデート実施すべきでしょう。

https://www.security-next.com/169096

MS、月例セキュリティ更新を公開 - ゼロデイ修正パッチが一部準備中

https://msrc.microsoft.com/update-guide/releaseNote/2025-Apr

April 2025 Security Updates

ScanNetSecurityによると『経済産業省が2月19日、独立行政法人情報処理推進機構（IPA）を通じて実施した中小企業等におけるサイバーセキュリティ対策に関する実態調査の結果によると、約7割の企業が組織的なセキュリティ体制が整備されていないなどのアンケート結果が得られた』と報道した。

報道では『不正アクセスされた企業の48.0%が脆弱性を突かれ、他社経由での侵入も19.8%で、過去3期内でサイバーインシデントが発生した企業における被害額の平均は73万円、復旧までに要した期間の平均は5.8日となっている』と報じた。

「過去3年間にサイバー攻撃の被害に遭った中小企業の約7割が取引先にも影響が及ぶ「サイバードミノ」が起きた実態が明らかになったとしている。」という点がトピックです。つまり、サプライチェーン攻撃に対する防衛に対する投資が進んでいない、という実態は変わっていない、ということです。

一方で「普段からセキュリティ対策投資を行っている中小企業の約5割で、取引先との取引につながったと実感しているという実態が判明した」という結果も合わせて発表されており、約半数が投資に見合う効果が得られているという事で、投資効果は「ある」という結果が出たのは良い事です。

昔の話ですが、インターネット活用が進まない企業が淘汰される、と言われていたのと同じく、サプライチェーンのサイバーセキュリティリスクが、これだけ取り沙汰されると、投資していない企業は段々と先細りになるのではないでしょうか。

https://scan.netsecurity.ne.jp/article/2025/03/17/52507.html

約 7 割が取引先にも影響 ～ 過去 3 年間サイバー攻撃被害に遭った中小企業 IPA調査

https://www.meti.go.jp/press/2024/02/20250219001/20250219001.html

中小企業の実態判明 サイバー攻撃の7割は取引先へも影響

RocketBoysによると『2025年3月13日、全国で新たな特殊詐欺の手口が確認され、警視庁が注意を呼びかけています。実在する新宿警察署の代表番号を悪用した不審電話が、ここ3日間で全国から400件以上寄せられていることが判明しました。』と報道した。

『これまでも、電話番号の前に「+」と国番号が表示される国際電話で、実在の番号を装った詐欺電話が報告されていましたが、今年2月から国内の発信に見せた実在する警察署の番号からの電話が確認されるようになりました。』とのこと。

海外からの電話番号（いわゆる+表記が付いている）は、およそ詐欺系の電話なので、出ることなく切る様にしていますが、国内のそれも末尾が0110だと出てしまいますね。

最近、テレビなどの報道でも報じられていますので、この手の「Caller ID スプーフィング」と呼ばれる電話番号を偽装した電話による詐欺も、警戒度合いが上がっていると思います。

詐欺というからには、どこかでお金を盗らないといけないのですが、個人情報を取ったり、お金を振り込ませたりするそうなので、その時点でオレオレ詐欺と同じく、気づく方も多くなっていると思います。

このさきのことを考えると、ターゲティングを絞り込んで、取引先の電話番号を偽装したフィッシング電話などの警戒が必要かも知れません。

https://rocket-boys.co.jp/security-measures-lab/shinjuku-police-station-spoofed-number-scam-call/

新宿警察署の実在の代表番号を装った詐欺電話、特殊詐欺 グループの電話スプーフィングか？

https://www3.nhk.or.jp/news/html/20250313/k10014748861000.html

“新宿警察署の代表番号から不審電話” 新手口の特殊詐欺か

RocketBoysは『中国のメーカー Espressif によって製造され、2023年時点で 10億台以上 のデバイスに使用されている ESP32マイクロチップ に、攻撃に悪用される可能性のある文書化されていないコマンドによる隠し機能が含まれていることが判明しました』と報道した。

報道では『このコマンドを使用すると、デバイスのなりすまし、不正なデータアクセス、ネットワーク内の他のデバイスへのピボット攻撃、および長期的な持続的攻撃が確立する可能性があります。』と報じた。

「10億台以上 のデバイスに使用されている」という点がトピックです。また、隠し機能の悪用によりかなりの影響が懸念されています。例えば、ネットワーク内の他のデバイスへのピボット攻撃ということは、会社で利用していた場合に、周辺の接続機器に対して脆弱性を突いた攻撃が可能となってしまうことになります。

特に地政学的な意味でも、中国のメーカーという点がトピックとなっていると思います。ファーウェイの通信機器が排除された様に、中国政府にデータが抜き取られる懸念があるわけです。

現時点では対応方法が明確になっておらず、脆弱性としてトレース（CVE-2025-27840）されるので、今後もウォッチが必要です。

https://rocket-boys.co.jp/security-measures-lab/china-bluetooth-chip-hidden-feature-1b-devices/

10億台のデバイスで使用される中国 メーカー製 Bluetoothチップに文書化されていない隠し機能を発見

https://nvd.nist.gov/vuln/detail/CVE-2025-27840

CVE-2025-27840 Detail

RocketBoysによると『2025年3月11日、山形新聞の報道では山形県内で山形銀行を装ったフィッシング詐欺事件が相次ぎ、第三セクター「山形鉄道」が約1億円の不正送金被害に遭っていたことが明らかになりました。』と報道した。

これは『山形銀行を装った自動音声電話が企業にかかってきて、企業担当者に対し偽サイトへの誘導が行われました。』と報じた。

偽サイトへ誘導されて情報入力を求められる、というその時点で気づきそうなものですが、偽サイトが巧妙なのでしょう。全ての情報を入力してしまったそうです。

例えば伝票ベースで支払う場合、担当が騙されてしまっても、上司等のチェックする立場の人間を通すので、そこで詐欺であると気づく機会があります。

しかしながら、銀行アカウントを渡してしまう形の詐欺にあうと情報を渡す時点で誰のチェックも受けないので、防御がない状態です。

銀行アカウントの管理者には、特別なサイバーセキュリティ教育が必須の時代になりました。経理などの業務知識に加えて、巧妙なサイバー攻撃に関する知識がないと会社が傾く事になります。

https://rocket-boys.co.jp/security-measures-lab/yamagata-railway-voice-phishing-1billion-yen-loss/

山形鉄道が山形銀行を装った ボイスフィッシングで1億円の被害

https://www.yamagatabank.co.jp/release/pdf/20250310.pdf

当行を騙る「ボイスフィッシング」による不正送金に関する注意喚起について

フィッシング対策協議会によると『SBI証券をかたるフィッシングメール、楽天証券をかたるフィッシングメール、マネックス証券をかたるフィッシングメール』が多発していると警告している。

これは『SBI証券をかたるフィッシングメール』の場合、「【重要】3月28日(金)以降のオンラインサービスログイン時の確認画面表示について【SBI証券】」などの件名の例があげられている。

「2025/04/01 10:00 時点では、フィッシングサイトは稼働中」とあるので、このフィッシングメールで、うっかりクリックなどをすると、フィッシングサイトに誘導され、アカウント入力を促す画面となるそうです。

楽天証券をかたるフィッシングメール、マネックス証券をかたるフィッシングメール、それぞれもフィッシングサイトは稼働中の様なので、同様に誘導されます。

SBI証券、楽天証券、マネックス証券、それぞれが提供している多要素認証などのアカウント攻撃防御の仕組みの登録も重要なことだと思いますので、それぞれのサービスに案内を確認した方がいいでしょう。

https://www.antiphishing.jp/news/alert/rakutensec_20250401.html

楽天証券をかたるフィッシング (2025/04/01)

https://www.antiphishing.jp/news/alert/sbisec_20250401.html

SBI証券をかたるフィッシング (2025/04/01)

https://www.antiphishing.jp/news/alert/monex_20250331.html

マネックス証券をかたるフィッシング (2025/03/31)

RocketBoysによると『ロリポップ！レンタルサーバーを利用しているWebサイトに設置されたお問い合わせフォームが悪用され、スパムメールが不正に配信されるケースが多発しています。』と報道した。

『お問い合わせフォームの自動返信機能が悪用され、第三者によりスパムメールの不正配信が行われているケースが確認される』とのこと。

ビジネス利用のお客様が、フォームからの問い合わせに対して「お問い合わせありがとうございます。」といった「自動返信」の機能の悪用事例だと思います。要するに問い合わせメールアドレスを他人のメアドに設定し、問い合わせ内容を迷惑メール文面にする、といった内容だと思います。

こうした自動返信系の機能は、昔からセキュリティ的に悪用される例が絶えないので「翌営業日にご返信します」として、自動にしないのが鉄則だと思います。

https://rocket-boys.co.jp/security-measures-lab/lolipop-server-contact-form-abuse-spam-warning/

ロリポップ！レンタルサーバーに設定しているサイトの問い合わせフォームを悪用し迷惑メール配信する事例の注意喚起

https://lolipop.jp/info/news/7949/?yclid=YSS.1000033197.EAIaIQobChMIvYferMKDjAMVoAt7Bx1h2hcmEAAYASAAEgLL7PD_BwE

【注意喚起】お問い合わせフォームの自動返信を悪用したスパム配信にご注意ください

Appleは『スマートデバイス向けに最新OSとなる「iOS 18.4」「iPadOS 18.4」をリリースした。』と発表した。

報道では『今回のセキュリティアップデートでは、あわせて62件の脆弱性を解消した。』と報じた。

62件もの脆弱性に対応しているそうで、早めの対応が必要そうです。

https://www.security-next.com/168791

Apple、「iOS 18.4」「iPadOS 18.4」公開 - 60件以上の脆弱性を解消

Appleは『旧スマート端末向けに「iOS」および「iPadOS」のセキュリティアップデートをリリースした。』と発表した。いずれも悪用の報告があるゼロデイ脆弱性に対応している。

旧スマート端末向けのiPadOS 17.7.6」では、38件の脆弱性に対応。同日リリースされた「iOS 18.4」「iPadOS 18.4」の修正内容と一部重複している。

報道では『1月に公開された「iOS 18.3」「iPadOS 18.3」で修正されていた「Use After Free」の脆弱性で、悪用されると権限昇格のおそれがある。「iOS 17.2」より以前のバージョンに対して悪用されたとの報告があるという。』と記しているので、悪用事例がある以上は、なるべく早いアップデート適用が必要です。

iOS16系以前のiOSも「「iOS 16.7.11」「iPadOS 16.7.11」および「iOS 15.8.4」「iPadOS 15.8.4」をリリースした。」とあるので、かなり危険な脆弱性と言えると思います。

https://www.security-next.com/168798

Apple、旧スマート端末向けにアップデート - ゼロデイ脆弱性に対応

SecurityNEXTによると『松山大学と松山短期大学は、職員がいわゆる「サポート詐欺」の被害に遭ったことを明らかにした。端末内部に保存されていた個人情報が流出した可能性があるという。』と報道した。

報道では『1月3日、職員が自宅のパソコンでインターネットを利用していた際、警告音とともに偽のセキュリティ警告画面が表示され、正規の警告であると誤解し、サポート詐欺の被害に遭ったという。』と報じた。

「警告音とともに偽のセキュリティ警告画面が表示され」た時点で気づくべきだったでしょうが、その先の「サポート窓口と信じて電話をかけ、相手の指示に従ってリモート操作可能な状態まで」行ってしまった様です。

教育機関なので、職員教育も期待されますが、そこまで手が回らなかったのでしょう。最も簡単に騙されてしまっています。

結果として研修を実施して教育したそうですが、定期的に基本レベルの研修はすべきだと思います。

教材としてIPAが無料で利用可能なものを公開していますので、それらを活用すれば、すぐにでも出来ます。

https://www.security-next.com/167656

「警告音付き偽画面でサポート詐欺被害、支払要求で気付く - 松山大

https://www.ipa.go.jp/security/anshin/measures/fakealert.html

偽セキュリティ警告（サポート詐欺）対策特集ページ