Cyber Security Intelligence Vox

Gigazineの記事では『マクドナルドの求人サイト「McHire」に管理者用のログイン画面があり、そこに「123456」というパスワードを入れたところアクセスできてしまったと、セキュリティ専門家のイアン・キャロル氏とサム・カリー氏が報告しました。管理者用のページから応募者の情報を簡単に閲覧できたこともわかっています。』と記している。

上記記事を受けて、ITmediaのブログでは『例えば、同じ権限で5人が別々なIDとパスで利用している場合、各自適切なパスワード管理等が出来ていても、1人だけ123456のようなパスを使っていれば、他の4人がどれだけ適切なセキュリティ管理をしていても、セキュリティ強度は一番低いレベルに落ちるのです。』と記している。

あくまで米国での話ではありますが、Gigazineの記事では『キャロル氏らがこのリンクにアクセスし、何気なくユーザー名とパスワードに「123456」と入力したところ、すぐにログインできてしまったとのことです。この「123456」という認証情報はデフォルトで設定されるもので、管理者が設定を変更していなかったことが原因だと考えられます。』と記しており、デフォルト設定のパスワード自体が非常に危険であることも分かっています。

それを受けたITmediaブログ記事でも、情報セキュリティの強度レベルは、その組織やシステムの「最低レベル」に設定されてしまうという特性を分かりやすく説明しています。いわゆる「桶」の理論です。

その理論で言えば、デフォルトパスワードが情報セキュリティレベル最低で設定されていること自体が、導入企業の情報セキュリティレベルを大幅に下げるという事に直結する、ウソの様な事例でした。

https://gigazine.net/news/20250710-mcdonalds-job-hire-leak/?utm_content=20250710-mcdonalds-job-hire-leak

マクドナルドが使う求人サイトのパスワードが「123456」で応募者情報6400万件が流出

https://blogs.itmedia.co.jp/niikura/2025/07/6400123456.html#utm_medium=email&utm_source=ent-mag&utm_campaign=20250717

マクドナルドが求人サイトで6400万件流出の123456なパスで考える本当の弱点

https://note.com/connectone/n/n214bcf01e57f

第2話 セキュリティ桶の理論

ITmedia エンタープライズのコラム「半径300mのIT」では『JR東日本の子会社で、駅ビルの商業施設を運営するアトレが、旧「アトレカード」の裏面に記載しているQRコードをスマホなどで読み込まないようにユーザーに呼び掛けた件についで、QRコードが人には読めず、埋め込まれたURLや文字列をスキャン前に知ることができないリスクが根底にある』と記している。

『QRコードを利用したフィッシングは「クイッシング」とも名付けられており、今や決済にまで広がった用途に、攻撃者も目を付けています。』と記している。

このコラムでは『スマートフォンのOCR機能がほぼ実用的になっていることを考えると、リスクの混入しやすいQRコード経由よりも、むしろそのままURLを記載し、スマホ自身に文字として読み取らせる方がいいのかもしれません。そうすれば完全に悪意のある別ドメインに遷移することを防ぐことは可能です。』と記しており、セキュリティの観点からURL記載という昔の方式の方が、可読性が高くて良い、とまとめています。

元々の問題であるドメインを含めた情報資産管理不足は依然として問題ですが、その悪用を防ぐという意味では、可読性を優先してスマホの計算パワーを使った方が良いという意見にはなるほどと思いました。

また、この発想の面白いところは、OCR機能という情報漏えいにもつながる技術を、逆手に使って詐欺を防ぐ点にあります。

https://www.itmedia.co.jp/enterprise/articles/2507/15/news036.html

QRコードはもう止めて……　筆者が「これはいけるかも？」と思う代替策

https://www.itmedia.co.jp/news/articles/2507/02/news058.html

旧「アトレカード」のQRコード読むと“不審なサイト”に、注意呼び掛け　ドメイン管理の不備か

https://www.atre.co.jp/news/5360/

【お知らせ】旧アトレカードをご利用のお客さまへ

ITmediaNewsは『滋賀県教育委員会は7月1日、不正アクセスによる改ざんを受けて5月27日から閉鎖している県立図書館の公式Webサイトについて、原因調査の結果を発表した。管理用ソフトに対する総当たり攻撃の痕跡を発見した他、システム更新の不備が判明したという。』と報道している。

『保守管理業者に依頼した調査で、サーバログも分析し、Webサイトの管理ソフトに対する総当たり攻撃の痕跡を発見。県教委はWebサイト管理ソフトに何者かが不正ログインし、サイトを改ざんしたとみている。』と報告している。

総当たり攻撃は、アクセスログとは違いますが、例えばID/PWエラーなどのログ件数などを見れば異常は検知可能でしょう。攻撃側も、１回総攻撃してみてから、その反応（IPアドレスブロックなどの対応）がされていなければ、誰も見ていないとわかるので、あとは「ノンビリ」攻撃すればいいわけです。

これから攻撃、もしくは今攻撃しています、という兆候がせっかくあったのに、サイト改ざんされてしまっています。

保守管理業者は、スポットで作業委託されるだけで、運用全般を受けているわけではないでしょう。また、そうした委託もしていないのでしょう。これでは予兆も何もなく、被害が出ないと分かりません。

https://www.itmedia.co.jp/news/articles/2507/01/news103.html

総当たり攻撃の痕跡や、システム更新不備が判明──1カ月ぶり復旧の滋賀県立図書館公式サイト、原因調査の結果を公開

https://www.pref.shiga.lg.jp/edu/hodo/oshirase/344978.html

県立図書館ホームページの再開について

ITmedia Newsは『JR東日本の子会社で、駅ビルの商業施設を運営するアトレ（東京都渋谷区）は6月27日、旧「アトレカード」の裏面に記載しているQRコードをスマホなどで読み込まないようにユーザーに呼び掛けた。不審なサイトにつながるという。』と報道している。

『アトレカードの裏面には、同社が「アトレクラブ」会員向けに提供していたWebサービス「マイアトレ」で2015年度まで使用していたドメイン「atre-club.jp」のURLをQRコードにして記載していた。しかしatre-club.jpはサービス終了後になんらかの理由で失効し、第三者の手に渡ったとみられる。』と報告している。

『なお編集部で確認したところ、当該URLはアクセスできない状態になっていた（7月2日午前11時現在』とあるので、実害はない様ですが、こっそりと詐欺サイトを開設されたら一発でアウトです。

こうしたドメイン名やそうした関連のものは、情報資産という形で管理されることが多く、その責任者や有効期限について、台帳管理されることが一般的です。

定期的に棚卸ししないと台帳自体の有効性がなくなるので、使っている場合は更新を、そうでない場合には影響度を管理責任者が考慮して延長等をすることになると思います。

そうしたガバナンスの基本のキがどこかでうまく動かなかったのでしょう。

https://www.itmedia.co.jp/news/articles/2507/02/news058.html

旧「アトレカード」のQRコード読むと“不審なサイト”に、注意呼び掛け　ドメイン管理の不備か

https://www.atre.co.jp/news/5360/

【お知らせ】旧アトレカードをご利用のお客さまへ

ITmediaNewsは『法人向けに電気料金削減のコンサルティングを提供するエネクラウド（東京都渋谷区）は5月16日、クラウド上のデータが削除される不正アクセス被害を受けたと発表した。』と報道している。

『同社は4月18日に被害の発生を公表しており、今回はその調査結果として詳細を明らかにした。AWS（Amazon Web Services）に設定していたアクセスキーが、外部から不正に使用されていたという。』と報告している。

『被害は4月9日未明に発生。AWSのクラウドストレージ「Amazon S3」において、外部から不正に使用されたアクセスキーを通じて45件のS3バケットが削除された。同社では4月14日午前8時50分に異常を認識し、調査を開始したという。』ということで、バックアップもしくは特殊なサルベージ方法でもない限り復旧は無理という事になります。

いわゆるランサムウェアは、情報を搾取して暗号化し、その暗号化キーの提供を身代金とするものですが、これは情報集出や搾取もなく、削除して復旧の対価を要求するものとしています。

クラウドサービスの権限管理とアクセスキーの管理は、今回の様なケースでなはないが、問題を起こしていて、こうした「キーの管理」の難しさを感じさせます。

https://www.itmedia.co.jp/news/articles/2505/20/news088.html

クラウド狙う“削除型ランサム”被害　エネクラウドがデータ消失を公表、顧客情報漏えいの可能性も

SecurityNEXTは『日本ネットワークセキュリティ協会（JNSA）は、「今すぐ実践できる工場セキュリティハンドブック」の「サイバー対応IT-BCP編」をあらたに公開した。』と報道している。

『同資料は、製造業の中小企業を想定し、工場におけるセキュリティ対策を進めるためのポイントを解説した参考資料。』で、『2022年以降、「リスクアセスメント編」「リスク対策編」「リスク対策集」を提供してきたが、「サイバー対応IT-BCP編」をあらたに追加し、今回でシリーズが完結した。』と報告している。

「サイバー対応IT-BCP編」では、サイバー攻撃の検知から被害発生時におけるシステムの復旧までを中心に、工場のIT面における事業継続計画を策定するためのノウハウを取りまとめている。との事なので、BCPの作成方法が分からないとか、担当者がいない、といった場合でも活用しやすくなっています。

さらに、『事業継続計画のひな型はもちろん、ひな型と生成AIを活用し、質問へ回答することで自組織に適した計画を作成できるツールなども紹介した。』とあり、まさに手取り足取りガイドしてくれます。

サプライチェーンの中でも、工場は最も影響の大きい被攻撃箇所となりますので、このプランを立てる過程を通じて、より強固なプランとして欲しいと思います。

https://www.security-next.com/170232

サイバー攻撃に備えた工場向けBCP支援ツール - JNSAが無償公開

RocketBoysは『タイ国家警察（Royal Thai Police）は2025年5月9日、タイ国内で活動していた日本の有名企業を標的にした国際詐欺グループの摘発を発表しました。このグループは、タイ人と西アフリカ出身者が協力し、日本企業から合計2億2800万バーツ（10億円相当）を不正に送金させた疑いがあります。』と報道している。

『摘発されたグループは、合法企業を装った上で、日本企業との商取引を偽装し、ビジネスメール詐欺（BEC）の手法を使って日本企業から資金を騙し取っていました。 振り込まれた資金のうち、1300万バーツ(約5400万円)が引き出されましたが、大部分は迅速な対応で凍結。現在、引き出された資金についても回収が進められています。』と報告している。

この国際的な犯罪グループは、タイ国内に正規の法人を設立し、日本企業との信頼を得た上で、偽の請求書を送付する手口で資金をだまし取っていた、との事ですので、詐欺被害が発生しそうな背景がありました。

このビジネスメール詐欺ですが、企業間の取引メールを乗っ取る、または偽装することで金銭を騙し取るサイバー犯罪です。特に、取引先企業のメールアカウントを乗っ取る、または偽装ドメインを用いて信用させたうえで、請求書の振込先口座を犯罪者の管理する口座へ変更させて、振り込ませるというものです。

取引先企業側は、もっともらしい理由で口座が変更されたと勘違いし、確認することなく、振り込んでしまう、ということになります。

この口座情報を含む、顧客情報の変更に対して無防備な企業が被害にあう事になります。

情報セキュリティの世界では、個人の認証も含めて、信用するために「多要素による確認」を行う事が大切である、とされていて、メールで情報変更があった場合、メール以外の（電話や対面などの）手段で確認する事を推奨しています。

https://rocket-boys.co.jp/security-measures-lab/bec-scam-group-defrauds-1-billion-yen-from-japanese-firms/

日本企業狙った詐欺グループを摘発 -ビジネスメール詐欺（BEC）で約10億円を騙し取る

RocketBoysは『2025 年 4 月 29 日ごろランサムウェア グループ LockBit(ロックビット)のリークサイトがハッキングされ、dumpファイルのリンクが設置されました。』と報道している。

『「犯罪はやめろ 犯罪は悪い プラハよりxoxo」というメッセージとpaneldb_dump.zipのダウンロードリンクが設置されました。』と報告している。

国際的なサイバー犯罪グループが盗んだ情報を公開してしまうリークサイト自体がハッキングされてしまった、という話になります。

サイバー犯罪者グループがハッキングされるのですから、ある種の正義の味方の様ですが、正体が分からないので、単なる（サイバー犯罪グループの）内部闘争かも知れないし、真相は分かっていません。

ハッキングされたサイバー犯罪グループは、LockBitと呼ばれており、日本でも「半田病院」や「名古屋港」が長時間の業務停止を余儀なくされる被害を受けており、欧州で主要メンバが逮捕されていて、もうグループの勢力が壊滅状態にあります。

しかしながらLockBitが消えたわけではなく、さらに悪質化し、特に製造業や金融業への攻撃が増加中と報道されており、警戒を緩めるわけには行かない事に変わりありません。

https://rocket-boys.co.jp/security-measures-lab/lockbit-ransomware-leak-site-hacked/

ランサムウェア グループ LockBit(ロックビット)のリークサイトがハッキングされる

ITmediaは『インドの政治家のある投稿がちょっとした物議をかもした。「親切な若い男性」の行為は単純な善意なのか、それともデータを盗む目的の「ジュースジャッキング」攻撃だったのか――。そんな論議がユーザーの間で交わされている。』と報道している。

これにたいして『ユーザーが警告していたのが、マルウェアを仕込んだ充電器や充電ケーブルを使い、USB接続経由でスマートフォンからデータを盗むジュースジャッキングの手口だ。10年ほど前に発見されたこの攻撃については、公共の場の充電ステーションやUSBポートが利用される恐れがあると指摘され、スマホを安易に接続してはいけないと呼び掛けられていた。』と報道している。

『米Appleや米Googleは当時、iOSとAndroidのソフトウェアアップデートを通じてジュースジャッキングを防ぐ対策を実装。USBケーブルでスマホをコンピュータや充電器に接続すると、画面に「このコンピュータを信頼しますか？」などの確認メッセージが表示されるようになった。ユーザーが「許可」を選択しない限り、データの転送やコードの実行などはできない。』とされており、ソフトウエアアップデートを行っていれば防ぐことができる。

ただし、このユーザの選択する部分に対して、さらに攻撃性をもたせた「チョイスジャッキング」と呼ばれる、ユーザ許可を乗っ取る手法が展開されているとの報道である。

一部の公共の場所や待ち合わせ場所などでは、AC電源の提供もあるが、USB端子が提供されている箇所もある。USB端子ならアダプタが不要なので、つい利用してしまうだろうが、単に電源の供給以外の目的があったら大変だ。

そうしたことから、アップデートは常にかけておくことと、安易に信じてUSB端子に接続しない方が良さそうだ。

https://www.itmedia.co.jp/news/articles/2505/13/news096.html

他人から借りたUSB充電器は危険？　スマホの「ジュースジャッキング」、対策かわす新手の手口も

ScanNetSecurityは『関西エアポート株式会社は4月28日、不正アクセスによる個人情報漏えいについて発表した。これは同社の法人向け会員制サービス「KIX-ITM Global Business Club（GBC）」を管理するサーバに外部から不正アクセスがあり、会員の個人情報の一部漏えいが判明したというもの。』と報道している。

関西エアポート株式会社は、『弊社が実施していたシステムの点検作業（脆弱性診断）の過程で、一部情報が第三者から閲覧可能な状態になっていたことが分かりました。調査したところ、通常とは異なるアクセス履歴が検知され、昨年2024年4月6日に複数の通信が繰り返されていたことが判明しました。』と経緯を報告している。

サービスを開始したり、改善したりする際に脆弱性テストを実施するのは、もはや当たり前だと思いますが、システム点検作業における脆弱性テストから情報漏えいが判明するという、非常に珍しいケースだと思います。システム点検が定期的に実施されているとすれば、高い警戒感をもったものと評価出来ます。

昨今の情報セキュリティ・インシデントの増加から、安全性の確認のために、定期的もしくは臨時に実施する例も多いと思います。この事例の場合は、ログ監視などが行われていなかった様なので、少なくともそうした事が自社で判明するのは、まだマシでしょう。

外部から漏洩を指摘されるよりもマシという話でしかなく、本来は監視を定常的に実施すべきです。

https://scan.netsecurity.ne.jp/article/2025/05/08/52805.html

脆弱性診断の過程で発覚 ～ 関西エアポートの法人向け会員制サービスに不正アクセス

https://www.kansai-airports.co.jp/update/list/250428/

不正アクセスによる個人情報漏洩についてのお知らせとお詫び