Cyber Security Intelligence Vox

RocketBoysは『タイ国家警察（Royal Thai Police）は2025年5月9日、タイ国内で活動していた日本の有名企業を標的にした国際詐欺グループの摘発を発表しました。このグループは、タイ人と西アフリカ出身者が協力し、日本企業から合計2億2800万バーツ（10億円相当）を不正に送金させた疑いがあります。』と報道している。

『摘発されたグループは、合法企業を装った上で、日本企業との商取引を偽装し、ビジネスメール詐欺（BEC）の手法を使って日本企業から資金を騙し取っていました。 振り込まれた資金のうち、1300万バーツ(約5400万円)が引き出されましたが、大部分は迅速な対応で凍結。現在、引き出された資金についても回収が進められています。』と報告している。

この国際的な犯罪グループは、タイ国内に正規の法人を設立し、日本企業との信頼を得た上で、偽の請求書を送付する手口で資金をだまし取っていた、との事ですので、詐欺被害が発生しそうな背景がありました。

このビジネスメール詐欺ですが、企業間の取引メールを乗っ取る、または偽装することで金銭を騙し取るサイバー犯罪です。特に、取引先企業のメールアカウントを乗っ取る、または偽装ドメインを用いて信用させたうえで、請求書の振込先口座を犯罪者の管理する口座へ変更させて、振り込ませるというものです。

取引先企業側は、もっともらしい理由で口座が変更されたと勘違いし、確認することなく、振り込んでしまう、ということになります。

この口座情報を含む、顧客情報の変更に対して無防備な企業が被害にあう事になります。

情報セキュリティの世界では、個人の認証も含めて、信用するために「多要素による確認」を行う事が大切である、とされていて、メールで情報変更があった場合、メール以外の（電話や対面などの）手段で確認する事を推奨しています。

https://rocket-boys.co.jp/security-measures-lab/bec-scam-group-defrauds-1-billion-yen-from-japanese-firms/

日本企業狙った詐欺グループを摘発 -ビジネスメール詐欺（BEC）で約10億円を騙し取る

RocketBoysは『2025 年 4 月 29 日ごろランサムウェア グループ LockBit(ロックビット)のリークサイトがハッキングされ、dumpファイルのリンクが設置されました。』と報道している。

『「犯罪はやめろ 犯罪は悪い プラハよりxoxo」というメッセージとpaneldb_dump.zipのダウンロードリンクが設置されました。』と報告している。

国際的なサイバー犯罪グループが盗んだ情報を公開してしまうリークサイト自体がハッキングされてしまった、という話になります。

サイバー犯罪者グループがハッキングされるのですから、ある種の正義の味方の様ですが、正体が分からないので、単なる（サイバー犯罪グループの）内部闘争かも知れないし、真相は分かっていません。

ハッキングされたサイバー犯罪グループは、LockBitと呼ばれており、日本でも「半田病院」や「名古屋港」が長時間の業務停止を余儀なくされる被害を受けており、欧州で主要メンバが逮捕されていて、もうグループの勢力が壊滅状態にあります。

しかしながらLockBitが消えたわけではなく、さらに悪質化し、特に製造業や金融業への攻撃が増加中と報道されており、警戒を緩めるわけには行かない事に変わりありません。

https://rocket-boys.co.jp/security-measures-lab/lockbit-ransomware-leak-site-hacked/

ランサムウェア グループ LockBit(ロックビット)のリークサイトがハッキングされる

ITmediaは『インドの政治家のある投稿がちょっとした物議をかもした。「親切な若い男性」の行為は単純な善意なのか、それともデータを盗む目的の「ジュースジャッキング」攻撃だったのか――。そんな論議がユーザーの間で交わされている。』と報道している。

これにたいして『ユーザーが警告していたのが、マルウェアを仕込んだ充電器や充電ケーブルを使い、USB接続経由でスマートフォンからデータを盗むジュースジャッキングの手口だ。10年ほど前に発見されたこの攻撃については、公共の場の充電ステーションやUSBポートが利用される恐れがあると指摘され、スマホを安易に接続してはいけないと呼び掛けられていた。』と報道している。

『米Appleや米Googleは当時、iOSとAndroidのソフトウェアアップデートを通じてジュースジャッキングを防ぐ対策を実装。USBケーブルでスマホをコンピュータや充電器に接続すると、画面に「このコンピュータを信頼しますか？」などの確認メッセージが表示されるようになった。ユーザーが「許可」を選択しない限り、データの転送やコードの実行などはできない。』とされており、ソフトウエアアップデートを行っていれば防ぐことができる。

ただし、このユーザの選択する部分に対して、さらに攻撃性をもたせた「チョイスジャッキング」と呼ばれる、ユーザ許可を乗っ取る手法が展開されているとの報道である。

一部の公共の場所や待ち合わせ場所などでは、AC電源の提供もあるが、USB端子が提供されている箇所もある。USB端子ならアダプタが不要なので、つい利用してしまうだろうが、単に電源の供給以外の目的があったら大変だ。

そうしたことから、アップデートは常にかけておくことと、安易に信じてUSB端子に接続しない方が良さそうだ。

https://www.itmedia.co.jp/news/articles/2505/13/news096.html

他人から借りたUSB充電器は危険？　スマホの「ジュースジャッキング」、対策かわす新手の手口も

ScanNetSecurityは『関西エアポート株式会社は4月28日、不正アクセスによる個人情報漏えいについて発表した。これは同社の法人向け会員制サービス「KIX-ITM Global Business Club（GBC）」を管理するサーバに外部から不正アクセスがあり、会員の個人情報の一部漏えいが判明したというもの。』と報道している。

関西エアポート株式会社は、『弊社が実施していたシステムの点検作業（脆弱性診断）の過程で、一部情報が第三者から閲覧可能な状態になっていたことが分かりました。調査したところ、通常とは異なるアクセス履歴が検知され、昨年2024年4月6日に複数の通信が繰り返されていたことが判明しました。』と経緯を報告している。

サービスを開始したり、改善したりする際に脆弱性テストを実施するのは、もはや当たり前だと思いますが、システム点検作業における脆弱性テストから情報漏えいが判明するという、非常に珍しいケースだと思います。システム点検が定期的に実施されているとすれば、高い警戒感をもったものと評価出来ます。

昨今の情報セキュリティ・インシデントの増加から、安全性の確認のために、定期的もしくは臨時に実施する例も多いと思います。この事例の場合は、ログ監視などが行われていなかった様なので、少なくともそうした事が自社で判明するのは、まだマシでしょう。

外部から漏洩を指摘されるよりもマシという話でしかなく、本来は監視を定常的に実施すべきです。

https://scan.netsecurity.ne.jp/article/2025/05/08/52805.html

脆弱性診断の過程で発覚 ～ 関西エアポートの法人向け会員制サービスに不正アクセス

https://www.kansai-airports.co.jp/update/list/250428/

不正アクセスによる個人情報漏洩についてのお知らせとお詫び

ITmediaは『PR TIMES社は5月7日、不正アクセスにより90万件超の情報が漏えいした可能性があると発表した。』と報道している。

侵入経路について『「PR TIMESの管理者画面に入るには、IPアドレス認証、BASIC認証、ログインパスワード認証を通過する必要がある。コロナ禍のリモート移行時にアクセスを許可するIPアドレスを増やす対応を行ったが、追加した経緯が不明のIPアドレスが存在し、侵入経路に使われていた。また、認証には普段使われていない社内管理の共有アカウントが使われていた」（同社）という。』と報道している。

コロナによる出社制限が発生し、リモートワークとなったケースも多いと思います。そのリモートワークへの切り替え時の「古い」設定が残存したままである点を狙われた様です。

報告書には、最初の攻撃を検知し、その経路を遮断しても、最初の攻撃時に設定されたバックドアを経由して、「しつこく」攻撃された様子が記されています。

アクセス経路の確認は、定常的に実施しないと、そこが穴になって攻撃されてしまう事例だと思います。報告書では技術的にも高い方々が検知から防衛まで実施している様子がうかがえるので、決してレベルの低いインシデントではないと思います。

そうしたことから、（先に記したアクセスルートの定期確認の様に）設定の追加変更に対する定時棚卸しの重要性を痛感します。

https://www.itmedia.co.jp/news/articles/2505/07/news168.html

企業向け広報サービス「PR TIMES」、90万件超漏えいか　コロナ禍で緩和したIPアドレス認証が侵入経路に

https://prtimes.jp/main/html/rd/p/000001531.000000112.html

PR TIMES、不正アクセスによる情報漏えいの可能性に関するお詫びとご報告

RocketBoysは『2025年4月25日、ジブラルタ生命保険株式会社は、元営業社員および事務社員による顧客情報の漏洩事案について、詳細を公表しました。関係するお客様には既に個別通知を行っており、あわせて不審な勧誘等について注意喚起を行っています。』と報道している。

加えて『北九州支社に2024年3月まで在籍していた元営業社員4名が、在籍時に担当していた顧客の契約情報を不正に持ち出していたというものです。さらに、当該元営業社員らのうち3名については、退職後に営業所の事務社員（2025年1月に懲戒解雇）が依頼に応じて契約情報の一部を漏えいしていたことが、社内調査により判明しました。』と報道している。

保険契約という重要な個人情報を取り扱う事業者にしては、ガバナンスが効いていない典型例のインシデントです。さらに、当該退職社員が退職後に個人情報持ち出しに協力した社員もいたという事で、多重にガバナンスが効いていない状況を上塗りした形です。

内部不正に対する牽制については、日時で情報転送を監視して検知した、「一関信金」の事例がありますが、おそらくジブラルタル生命は監視もしていないものと思われます。

お詫び文に『個人情報漏えいに関するモニタリング等の措置を強化してまいります。』との記述があります。金融機関の情報セキュリティ基準の１つでもある、FISC安全対策基準というものがありますが、金融情報システムセンターの会員に、銀行をはじめとして生命保険会社（ジブラルタ生命）も加盟しており、このセキュリティ基準の信頼性が危ぶまれます。

保険会社と契約する際に、情報セキュリティに関する状況の確認までは行わない事が多いので、せめてFISC準拠ぐらいはしていると思いがちですが、実態は残念な状況であることが明確となり、何も信用できなくなってしまいます。

https://rocket-boys.co.jp/security-measures-lab/gibraltar-life-insurance-data-leak-2025/

ジブラルタ生命保険、元社員の不正持ち出しによる情報漏洩を公表

https://www.gib-life.co.jp/st/about/is_pdf/20250425.pdf

弊社におけるお客さま情報の漏えいについて

ScanNetSecurityは『経済産業省は4月11日、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」の解説書として、【工場セキュリティの重要性と始め方】を策定したと発表した。』と報道している。

さらに『同省では、主に工場を有する中小規模の製造事業者の経営層や工場のセキュリティ担当者を対象に、2022年11月に策定された「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」の内容をより分かりやすく解説した「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」 Appendix【工場セキュリティの重要性と始め方】を策定した。』と報じている。

工場をはじめとするインフラへのIT普及・浸透に比例するように、それらに対するサイバー攻撃が激しくなってきており、社会的なサプライチェーン被害を防ぐ観点では、情報セキュリティの強化は急務となっています。

情報セキュリティの基本の基本を網羅した、こうした経産省の発行資料は、そうした動向を支えるものと思います。

かならずしも、ベンダーやコンサルタントに高いギャラを払って実施しなくとも、こうした指南書を自分たちで理解・実践することが、その後の継続性という意味でも大事だと思います。

https://scan.netsecurity.ne.jp/article/2025/04/28/52760.html

経産省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」解説書を策定

https://www.meti.go.jp/press/2025/04/20250411005/20250411005.html

中小規模の製造事業者向けに工場のセキュリティを確保するための具体的な手順や事例を紹介する解説書を策定しました

ScanNetSecurityは『三井住友カード株式会社は4月21日、メールに記載している顧客の宛名をカード名称から名字に変更し、不審メールとの見分けがつくよう改善したと発表した。』と報道している。

さらに『不審メールと同社のメールを見分けられるよう、顧客がハンドルネームの設定機能を提供していた。ハンドルネームが未設定の場合は、顧客の名字を記載して送信するように改善し、同社からのメールであると見分けることが可能となった。』としている。

詐欺メールは、その目的と性格から本物のメールと見分けがつかないレベルで似せているために、リンクをクリックしてニセサイトへ誘導したりします。

詐欺メールが真似することが出来ない、本当の送信者しか知らない情報を記載するのは、単純ではあるものの効果の高い、送信先の名前という点で、なかなかの対策だと思います。

最近では、金融機関からの本物のメールにはリンクを記載しない方針にしたそうですが、多少を不便さを踏まえても、詐欺メール被害撲滅には効果的だと思います。

https://scan.netsecurity.ne.jp/article/2025/05/01/52779.html

名字または HN を宛名に記載 不審メール判別を容易に ～ 三井住友カードの試み

https://www.smbc-card.com/customer_voice/improve/imp0000038.jsp

不審なメールが見分けられるようになりました！/p>

Appleは『「iOS 18.5」および「iPadOS 18.5」をリリースし、複数の脆弱性を解消した。あわせて「iPadOS 17.7.7」や他スマートデバイス向けのアップデートも提供している。』と発表した。

今回のアップデートでは、CVEベースであわせて33件の脆弱性に対処した。

旧端末向けに29件の脆弱性へ対処した。とあるので、過去のバージョンでもアップデートをしたほうが良さそうです。

https://support.apple.com/en-us/122404

About the security content of iOS 18.5 and iPadOS 18.5

https://support.apple.com/ja-jp/121161

iOS 18 のアップデートについて

Appleは『セキュリティアップデート「macOS Sequoia 15.5」「同Sonoma 14.7.6」「同Ventura 13.7.6」をリリースした。』と発表した。

今回のアップデートでは、「同Sequoia 15.5」においてCVEベースで50件の脆弱性に対応した。

過去バージョンのSonomaなどでも、「同Sonoma 14.7.6」では33件、「同Ventura 13.7.6」においても30件の脆弱性を解消した。また両OS向けに「Safari 18.5」を提供している。WebKitに関する脆弱性10件の修正が含まれる。とあるので、過去のバージョンでもアップデートをしたほうが良さそうです。

https://www.security-next.com/169473

Apple、「iOS 18.4.1」「iPadOS 18.4.1」を公開 - ゼロデイ脆弱性を修正

https://support.apple.com/ja-jp/122716

macOS Sequoia 15.5のセキュリティコンテンツについて

RocketBoysは『埼玉県は2025年4月23日、県が発注した複数の公共工事を請け負っている株式会社松永建設が、外部からのサイバー攻撃を受けてランサムウェアによる被害に遭ったと発表しました。現在、公共工事関連のデータが外部に流出した可能性があるとして、県と事業者が協力して影響の調査と対応を進めています。』と報道している。

加えて『対象となった松永建設は、埼玉県内で数多くの公共工事を請け負っている総合建設業者で、県内インフラ整備において中核的な役割を果たしてきました。』と報道している。

公共機関による公共事業発注における、発注先企業のインシデントの発生事例です。

業務委託関連の情報が漏洩した可能性が高いということでインシデントの好評に踏み切っています。インフラ工事に関する情報ですが、各種設計や積算のデータもあるかと思います。

こうした公共事業のサプライチェーンにおいて、様々な参加条件があるはずですが、情報セキュリティ関連の条件がどの程度あったのかは明らかではありません。

今後はセキュリティポリシーを含め、情報セキュリティ関連の管理についても、入札事業者の条件としていく必要もあるでしょう。

https://rocket-boys.co.jp/security-measures-lab/matsunaga-construction-ransomware-data-breach-2025/

埼玉県、委託先の松永建設のランサムウェアによるサイバー攻撃で情報漏洩の可能性

http://www.matsunaga.gr.jp/information/#news10301

ランサムウエア攻撃に関するご報告

Microsoftは2025年の月例セキュリティ更新プログラムを公開した。対応脆弱性のうち、５つについては、悪用された場合、アプリケーションプログラムが異常終了する、攻撃者によってパソコンを制御される、といった様々な被害が発生するおそれがあります。

今回のアップデートでは、Microsoft 社では悪用の事実を確認済みと公表しており、今後被害が拡大するおそれがあるため、至急、更新プログラムを適用してほしいとしている。

https://www.ipa.go.jp/security/security-alert/2025/0514-ms.html

Microsoft 製品の脆弱性対策について(2025年5月)

https://msrc.microsoft.com/update-guide/releaseNote/2025-May

2025 年 5 月のセキュリティ更新プログラム

securityNEXTは『一関信用金庫は、職員が顧客情報を私物のUSBメモリに保存し、自宅へ持ち帰っていたことを明らかにした。同金庫によれば、当時本部に勤務していた職員が、内部規程に違反して業務データを不正に自宅へ持ち出していたことが判明したもの。』と報道している。

さらに『業務用端末におけるデータのダウンロード状況を3月25日に確認したところ、前日24日に顧客の個人情報を含むファイルを私物USBメモリへ保存していたことが発覚。同職員への聴取でUSBメモリを自宅へ持ち帰っていたことも判明した。』と報じている。

業務用端末とはいえ、顧客個人情報を大量にダウンロードしている事を、監視システムで検知して、即座に対象職員を調査し、持ち出しを未然に防いだという好例になります。（実際には持ち出された可能性が否定できないので公表している）

金融機関では当たり前のオペレーションだとは思いますし、持ち出そうとした職員も知っていなければならないはずで、ちょっと不可解な部分もあります。

発表することによる影響として、内部不正に対してもしっかりと牽制している事のアピールにもなることで、こうした発表は必ずしもマイナス要因ではないと思います。

https://www.security-next.com/169633

職員が顧客情報をUSBメモリで持出、日次確認で判明 - 一関信金

http://ichinoseki-shinkin.jp/info/pdf/20250422.pdf

個人情報漏えいのおそれのある事案の発生に関するお知らせとお詫びについて

ITMedia Newsは『愛知県住宅供給公社は4月23日、県営住宅や一宮市営住宅の入居者の個人情報661人分が漏えいした可能性があると公表した。水質検査業務を委託したサンエイ（愛知県刈谷市）がランサムウェア被害を受けた。公社が委託業務に必要のない情報を提供していたことも分かった。』と報道している。

さらに『今回の業務に必要のない入居年月日や生年月日が一部含まれていた他、委託業務の対象ではない県営・市営住宅の連絡員・管理人の個人情報も複数あった。』としている。

情報漏えいを懸念するわけではないのですが、必要性のない、もしくは関係性の薄い情報は、もともと情報を取得すべきではないのですが、さらにそうした関係ない情報まで委託先に提供している点で、多重の問題を含んでいます。

情報セキュリティを高めるための様々なアプローチのうち、情報管理、つまり持っている情報について管理するのが基本なのですが、そうした管理をしていれば「必要以上の個人情報を取得しているのでは？」という疑問などが出ると思います。

前例踏襲の文化の中では見直すのは労力がかかると思いますが、漏洩したらその何倍もの労力が必要とされ、漏洩された人も困ることになり、結果として管理しておけばよかったとなるはずです。

https://www.itmedia.co.jp/news/articles/2504/24/news138.html

愛知県の住宅供給公社、入居者の個人情報661人分漏えいか　委託先のランサムウェア被害で　関係のない情報を渡していたことも明らかに

https://www.aichi-kousha.or.jp/news/uploads/250423HP.pdf

業務委託先における個人情報の漏えいの可能性について/p>

SecurityNEXTは『東京都は、採用選考の不合格者にメールで通知した際、一部宛名を誤っていたことを明らかにした。都によれば、4月4日10時過ぎ、2024年度第4期経験者採用選考における第1次選考の不合格者にメールで通知した際、ミスが発生したもの。』と報道している。

加えて『1280人に送信したが、このうち87人についてメールに誤った宛名を記載。メールの受信者から電話で指摘があり問題が判明した。』と報道している。

典型的な宛先間違いインシデントです。ただし送付内容が非常にデリケートなものであるため、その品位まで疑われてしまう案件になっています。

電子申請システムの不具合によるものと事故経緯では記されており、エラーが発生しても処理を継続していたため、データ更新に失敗した場合も誤ったデータで送付されている、とのこと。

いわゆるデータベースの基本動作の１つである整合性の維持に疑問が生じます。

宛先間違いの多くは、手入力していてBCC/CCを間違えるとか、メールクライアントの宛先サジェスチョンで違うメアドを選択してしまう、などで起きることが大半なのに対して、このケースは非常にレアケースです。

https://www.security-next.com/169369

採用選考の結果通知メールで異なる宛名を記載 - 東京都

https://www.spt.metro.tokyo.lg.jp/tosei/hodohappyo/press/2022/06/20/08.html

令和4年度東京都公立学校教員採用候補者選考（5年度採用）に係る受験票の誤送信について

RocketBoysは『東急スポーツシステムが運営するスポーツクラブ「アトリオドゥーエ Next たまプラーザ」は、2025年3月に発生したレッスン予約システムへの不正アクセスについて、調査結果および再発防止策を公表しました。不正アクセスは業務委託先スタッフによって行われたもので、顧客情報の漏えいは確認されなかったものの、利用者に混乱を招く結果となりました。』と報道している。

さらに『内部調査の結果、業務委託先から派遣されていた元アルバイトスタッフが、過去の在籍時に入手した他者のアカウント情報を不正に使用し、複数回にわたりシステムにアクセスしていたことが判明しました。』と報じている。

情報セキュリティ以前に、ガバナンス自体が失われている実態が明らかになってしまいました。

クラブ側の発表した原因分析には、意識の欠如やコンプライアンス不足と記されていますが、どれもクラブ自体が実施すべき事をしていない事が明確だと思います。

システムとオペレーション現場のギャップが、結果として騒動を生んでいる実態をクラブは重視すべきでしょう。

https://rocket-boys.co.jp/security-measures-lab/tokyu-sports-crest-unauthorized-access-disclosure/

東急スポーツシステム 運営 アトリオドゥーエ Next たまプラーザ、業務委託スタッフによる不正アクセスを公表

https://www.tokyu-sports.com/fitness/atriodue-next/tamaplaza/info/member/20250415

業務委託先による不正アクセスについて

RocketBoysは『アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、Oracle Cloudへのサイバー攻撃(不正アクセス)によるレガシークラウド情報漏洩の可能性に関する報告を受け、組織や個人に対して資格情報の流出と悪用に関する注意喚起を発表しました。』と報道している。

『CISAは「ハードコードされた認証情報（資格情報）の存在が、長期的な不正アクセスを可能にし、特に深刻なリスクを生む」と指摘し、機密性の高い情報の流出により、重大なセキュリティリスクにつながります』としている。

Oracle Cloudの認証情報が漏洩した件については、Oracleが否定し続けていましたが、ついにCISAが漏洩を前提とした対策を取る様に告知することで、（漏洩事態が）発生した可能性が高いのでしょう。

しかしながら、あくまで予防的な措置というスタンスでもあるので、事実経緯に関わらず、必要な対応を取るべきという事だと思います。

しかしながら、日本では国や地方自治体が使うガバナンスクラウドに採用されているOracle Cloudですが、Oracle自身がお客様に具体的な防止措置を告知する形を取っていない点が、本当にそれで良いのか？とも思います。

https://rocket-boys.co.jp/security-measures-lab/cisa-oracle-cloud-cyberattack-unauthorized-access-warning/

CISA、Oracle Cloudへのサイバー攻撃(不正アクセス)による潜在的な情報漏洩について警告

https://www.cisa.gov/news-events/alerts/2025/04/16/cisa-releases-guidance-credential-risks-associated-potential-legacy-oracle-cloud-compromise

CISA Releases Guidance on Credential Risks Associated with Potential Legacy Oracle Cloud Compromise

ScanNetSecurityは『福島県郡山市は4月1日、2024年12月9日に公表した「Out of KidZania in こおりやま 2024 事業」における再委託先事業者のサーバへの不正アクセスについて、最終報告を発表した。』と報道している。

加えて『「Out of KidZania in こおりやま 2024 事業」の運営業務を委託している株式会社東北博報堂福島支社の再委託先である、株式会社エクシードコネクトの委託先の株式会社イーエックスディーのサーバのデータが暗号化されるランサムウェア被害を受けたことに伴い、エクシードコネクトが当該サーバ内を調査した結果、同事業に係る個人情報が保管されていたことが判明しており、外部専門機関による調査を行っていた。』と報道している。

サプライチェーンセキュリティの難しさの典型例のようなインシデントです。

委託先に対する情報セキュリティに関するガバナンスは、契約条項や調達条件にいれるなどの対策が取れます。その対策に、さらに委託先に対する要件を入れるのは、かなり難しいでしょう。

サプライチェーンに関する情報セキュリティ上のガバナンスを効かせるためには、単なる丸投げでなく、例えば委託元が情報セキュリティリスクを担保し、結果的に委託先に対する情報セキュリティガバナンスを効かせるしかないのかも知れません。

つまり、元々の委託元（この場合は郡山市）が、委託先に対して情報セキュリティ要件を付与していないのが根本原因でしょう。

https://scan.netsecurity.ne.jp/article/2025/04/16/52690.html

委託先の委託先の委託先でランサムウェア被害「Out of KidZania in こおりやま 2024 事業」データをまとめて持ち出した可能性は極めて低い

https://www.city.koriyama.lg.jp/soshiki/119/133772.html

「Out of KidZania in こおりやま 2024事業」における電子メールの誤送信及びサーバーへの不正アクセスについて（最終報告）

ScanNetSecurityは『千葉県鴨川市は4月1日、職員による同市保有情報への不正アクセスについて発表した。』と報道している。

さらに『同市水道課（令和6年度）の職員（50歳代、主査）が、他の職員のアカウント及びパスワードを使用して不正に同市ネットワークシステムにアクセスし、データを取得したというもの。』と報じている。

不正アクセスの仕組み的原因としては『職員コードから類推することが容易なものを仮パスワードとして初期設定していたところ、当該職員が不正に利用したことが原因。』とされていて、仮パスワードのままで使っている職員のアカウントを悪用したということになります。

「仮パスワードは変更するもの」と思っていましたし、仮パスワードもすぐに変更されることを前提に容易なものだったそうで、すぐに変更する通知や告知などがされていない、バランスを欠いた運用のようです。

この鴨川市は、警察にも通報しているということで、内輪で処理してしまうことがなかった点は特筆すべきでしょう。

https://scan.netsecurity.ne.jp/article/2025/04/17/52698.html

警察にも通報 ～ 市職員が他の職員のアカウント使用し不正アクセス

https://www.city.kamogawa.lg.jp/soshiki/2/34615.html

鴨川市が保有する情報に対する不正なアクセスについて

ScanNetSecurityは『ニューヨーク州は、非常に不適切な設計の Web サイトを運営し、誰でも容易に個人情報を平文で探せる状態だったとして、オールステート保険を提訴した。』と報道している。

『データが盗まれたのは、オールステートのナショナル・ジェネラル・ビジネス・ユニットが運営していた、保険の見積もりを希望する消費者向けの Web サイトだ。名前と住所をもとにしてレクシスネクシス・リスク・ソリューションズのデータベースを用いて、運転免許証番号や住んでいる可能性のある運転者全員の氏名含む検索結果が画面に現れる。犯罪者はこのシステムを利用して、詐欺の目的で他人の個人情報を収集していた。』

『この見積もりツールを悪用したデジタル窃盗犯は、「パンデミックや失業手当の不正請求」を行ったとされている。』ということなので、単なる情報漏洩ではなく、悪用されてしまったという事になります。

公的な手続きに使われるデータが掲載されているデータベースをオープンにしてしまう感覚が理解出来ませんが、適切な形にするコストを投資せずに放置したというのが提訴の原因です。

ここまでではないにせよ、必要な投資を行わずにランサムウェア被害を発生させた企業はかなりの数に上っており、経営責任が問われる事態も一部に見られます。今後は提訴されるという事も念頭に置いたリスク管理が必要な時代となるでしょう。

https://scan.netsecurity.ne.jp/article/2025/04/17/52700.html

米保険大手 州から提訴される「原因はWebサイト、より大きい原因はセキュリティより利益を優先したこと」

RocketBoysは『Xのユーザーが日本の銀座や大阪、渋谷で正規の通信局にジャミングを行い偽の基地局を立ている活動を指摘しました。これはインバウンド観光客向けにSMSを送信しフィッシング詐欺を行うキャンペーンに利用されている可能性があります。』と報道している。

加えて『Xのユーザーは街中で歩いている際に、GSM方式（2G）の通信が行われ、日本国内の通信事業者NTTドコモの偽信号が発信され、ドコモが圏外になったことを指摘しました。一般の商用通信網では2G（GSM）は現在提供されていないため、この状況は非常に不自然です。国内で2Gの強力な電波が検出されている場合、不正な通信設備（IMSIキャッチャー）などが設置されている可能性があり、盗聴や位置情報の不正取得などのリスクが考えられます。』と報道している。

Xユーザの方をフォローしていて、その周辺の情報を見ていると、既にタイで中国人による不法発信が発見され逮捕されています。また発信はクルマから行われており、車両ナンバーを頻繁に変更するなどの通常ではあり得ない状況も見られているそうです。一部では白タクの運用も兼ねているなどの違法だらけという感じです。

日本国内で逮捕者が出たという報道も見ないので、まだ継続している様なので注意が必要です。

技術的には基地局を装った電波発信により、ISMIキャッチャーと呼ばれ、端末の識別番号などが収集されることもあるそうです。

我々が対応出来る対策としては、スマートフォンの2Gをオフにすることなのですが、Android端末は簡単に設定可能だそうです。iPhoneは直接的に設定出来ないので困ったものです。

https://rocket-boys.co.jp/security-measures-lab/fake-base-stations-phishing-sms-campaign-imsi-catcher/

銀座や渋谷 大阪で偽基地局からフィッシング詐欺 SMSを送信するキャンペーンを確認、IMSIキャッチャーか

RocketBoysは『株式会社関通（東証グロース：9326）は、2025年2月期の決算において、最終赤字に転落したことを明らかにしました。その主因は、2024年9月に発生したランサムウェア被害による業務停止および復旧対応にかかる費用です。』と報道している。

さらに『この一連の復旧対応と設備の除却、新たなセキュリティ体制の構築にかかった費用は、713百万円（約7.1億円）に上り、特別損失として計上されています。さらに、損害賠償費用として計上された358百万円については保険でカバーされ、同額が特別利益に振り替えられました。』と報じている。

ランサムウェア被害のために７億円もの支出を余儀なくされ赤字転落というのは、上場企業としてはかなりの痛手です。それでも3.5億円は保険で賄えた分は助かりました。

営業できなかった期間などを含めて、信頼性回復にはさらなる支出が必要な場合もあるでしょう。

元々このランサムウェア被害は、外部ネットワークとの接続口からの侵入であり、外部ネットワークから同社の複数のサーバへ侵入し、暗号化を実施したことが判明している。ネットワークという面でも、多くの接点を持つサプライチェーンのハブとなる流通企業は、そのコントロールが難しいのだと感じました。

https://rocket-boys.co.jp/security-measures-lab/kantsu-ransomware-attack-840m-yen-loss-operations-disruption/

関通、ランサムウェアによるサイバー攻撃の被害で純損失8.4億円を計上 特別損失・業務停止による影響が業績を圧迫

https://ssl4.eir-parts.net/doc/9326/tdnet/2592904/00.pdf

2025年２月期 決算短信

RocketBoysは『日経新聞の報道によると、2025年4月18日、インターネットイニシアティブ（IIJ）に対するサイバー攻撃に関し、メールサービスに利用されていたクオリティア社のWebメールシステム「Active! mail」に、開発元すら把握していなかったゼロデイ脆弱性（CVE-2025-42599）が存在し、この欠陥を突いた侵入の可能性が指摘されています。』と報道している。

IIJは4月15日に、同社が提供するメールサービスにおいて、最大400万人分の個人情報が流出した可能性があると公表しています。IIJ側は「現時点ではコメントできない」としていますが、クオリティア社は16日に公式サイト上で脆弱性を修正した新バージョンの適用を呼びかける緊急対応を実施。JPCERT/CCも18日に、この脆弱性を突いた攻撃が既に発生していることを確認し、警告を発出しています。

IIJは4月22日の続報でメールアドレス約31万件と586契約の情報漏洩を確認していますので、この原因がWebメールシステムの脆弱性を攻撃されたものという話になりそうです。

ゼロデイ脆弱性（CVE-2025-42599）は、JPCERT/CCを見ると、スタックベースのバッファオーバーフローで、サービス停止以外に、遠隔からの任意コード実行（RCE）が可能ということで、ここが狙われたものと思われます。

この脆弱性を攻撃できるのは、かなり高度な攻撃手法を使うクラッカーだと思われ、鉄壁の防御体制を敷いていても、蟻の一穴を突かれてしまうゼロデイアタックの怖さを感じました。

https://rocket-boys.co.jp/security-measures-lab/iij-cyberattack-active-mail-zero-day-cve-2025-42599/

IIJへの不正アクセスによるサイバー攻撃、Active! mailのゼロデイ脆弱性を悪用か

https://jvn.jp/jp/JVN22348866/

Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性

ScanNetSecurityは『米国のセキュリティ企業 Wiz社が中国 AI サービス企業 DeepSeek社の内部データベースがインターネット上で公開されているという調査を発表し、「データベースをインターネット上に公開するなど、あり得ない」はずだが、東京証券取引所の市場区分であるプライム市場、スタンダード市場、グロース市場のそれぞれに分けて調査したところ、平均で10 % を超えてDBが公開されていた』と報道している。

加えて『CVSSv3深刻度が High または Critical の脆弱性をもつ WordPressバージョンが動いている企業数も10%を超えている』と報道している。

続いた調査では「古くて放置されているWEBサイト」も10%を超えている、との結果も掲載されています。

情報資産管理という面でも、セキュリティポリシーが徹底されているか？が問われる情報セキュリティガバナンスという面でも、全く何もされていないに等しい上場企業が10%程度あると見たほうがいいわけです。

上場企業は独立した内部監査の仕組みが必要なはずですが、内部監査も情報セキュリティに関しては弱いのが実情でしょう。

https://scan.netsecurity.ne.jp/article/2025/04/14/52675.html

AeyeScan blog 第11回「『あり得ない』はあり得る：日本の上場企業におけるセキュリティ実態調査」

SecurityNEXTは『北海道下川町は、町立特別養護老人ホームの職員が公文書を不正に持ち出し、施設外で投棄していたことを明らかにした。』と報道している。

さらに『町立特別養護老人ホームなどに関する書類を公道に投棄していたもの。3月19日に住民より、自身の所有地付近に町内施設利用者に関する内容が記載された書類が投棄されているとの連絡が寄せられ、発覚した』と報じている。

報道では208件もの個人情報が投棄されていたとあり、幸いにも二次被害は確認されていないが、警察など関係機関において調査が進められており、今後関係者の処分や再発防止策について検討するとしている。

会計年度任用職員の方が、町道に投棄しているということは、何かの嫌がらせや、職務放棄などの異常事態だろうと思います。いわゆる非正規職員ですから、何等かの不満があったのかも知れません。

それよりも、個人情報を扱う上で、この投棄された資料は、関係者が容易に持ち出せる資料だったのだろうことは想像できます。ガバナンスの観点から情報管理面での責任の方を改善すべきだと思います。

https://www.security-next.com/168987

施設職員が個人情報含む書類を公道へ投棄 - 下川町

https://www.town.shimokawa.hokkaido.jp/section/2025/04/post-567.html

公文書の漏えいについて