2017年
- 2017年12月20日
- JALで振り込み詐欺により3億8千万円の被害
日本航空社は、「ビジネスメール詐欺」により、約3億8,000万円をだまし取られる被害に遭ったことを発表した。
同社によると、航空機のリースを行っている米国のリース会社より、振込先が変更になったという趣旨のメールが担当者に届き、担当者がこれを信じて指定された香港の銀行口座に支払ったが、その後正規の金融会社より支払が無いとの連絡を受け、詐欺だということがわかったという。
- 2017年12月13日
- 大阪大学で不正アクセスにより個人情報が流出
大阪大学は、学内のシステムが不正アクセスを受け、教職員や学生等など約8万人分の個人情報が流出した可能性があることを発表した。
また、1人の職員のIDとパスワードが使用されて不正プログラムが仕掛けられ、それにより管理者のIDが盗まれたという。
- 2017年11月29日
- 「macOS High Sierra」に深刻な脆弱性が見つかる
MacOS High Sierra 10.13.1 に深刻な脆弱性があり、ユーザー「root」がパスワード無しでログインできてしまうことが判明した。
アップル社では、既にセキュリティアップデート「2017-001」を緊急公開しているため、対象システムの利用者は、このセキュリティアップデートを適用する必要がある。
- 2017年11月21日
- 米ウーバーで5,700万人の個人情報が流出
米国で配車サービスを行っているウーバー社が昨年10月にクラウドサービスへの不正アクセスを受けた際にウーバー社の顧客と運転手併せて5700万人の個人情報流出を受けたが、このことを公表していなかったことが判明した。
- 2017年11月10日
- フジテレビのチケット販売サイトに不正アクセスで被害発生
フジテレビ社は、同社が運営するチケット販売サイト「フジテレビダイレクト」に不正アクセスがあり、チケットが不正の購入されるなどの被害にあったことを発表した。
同社によると、攻撃はパスワードリスト型攻撃によるもので、不正ログインが181件あり、チケットが不正購入された被害も12件あったという。
- 2017年10月30日
- GMOで顧客情報約14,000件が流出
GMOインターネット社は、外部から不正アクセスを受け、14,612件の顧客情報が外部に流出したことを発表した。
流出した個人情報には、企業や個人の名前、住所、電話番号、生年月日、メールアドレスが含まれるという。
- 2017年10月26日
- ランサムウェア「BadRabbit」により日本のサイトが停止
10月24日ごろからランサムウェア「BadRabbit」による攻撃が発生し、ロシアを中心として大規模な被害が出ていたが、日本でも建材メーカー アイカ工業社のホームページが不正に改ざんされ、ウイルスの配布に利用されたため25日に閲覧できないようにしたと発表された。
「BadRabbit」は、ランサムウェア「Petya」の亜種とみられている。
- 2017年10月11日
- 医療機関予約システムが不正アクセスを受け,、約60万件の個人情報流出の可能性
札幌市のほくやく・竹山ホールディングス社は、子会社のアドウイック社が運営する医療機関予約システムが不正アクセスを受け、最大で約60万件の個人情報が流出した可能性があることを発表した。
流出した可能性のある個人情報は、医療機関を予約した人の氏名、電話番号、メールアドレス、受診医療機関名、診察券番号で、このシステムは北海道を中心に約80の医療機関で利用されているという。
- 2017年10月4日
- TOKYO-MXが不正アクセスを受け最大37万件の個人情報流出の可能性
東京メトロポリタンテレビジョン社(TOKYO MXテレビ)は、不正アクセスを受け、個人情報が流出した可能性があることを発表した。
不正アクセスは、サーバーのプログラムの脆弱性を狙った攻撃によるもので、流出した可能性ある個人情報は、コメント用投稿フォームなどから投稿された氏名及びメールアドレスの情報が約1270件、メールアドレスおよびニックネームの情報が延べ約37万件という。
- 2017年9月22日
- 東京ガスから再度顧客情報が流出
東京ガス社は、同社のWeb紹介サービスの「myTOKYOGAS」が再度不正アクセスを受け、顧客情報106件が流出したことを発表した。
このうちの24件では、3万8000円相当のポイントが提携会社のポイントに不正に交換されて使用されたという。
- 2017年9月1日
- 東京ガスから不正アクセスで顧客情報が抽出
東京ガス社は、同社のWeb照会サービスの「myTOKYOGAS」に10万件以上の不正アクセスがあり、17件の顧客情報が流出した可能性があることを発表した。
不正アクセスは、8月31日の午後3時頃発生した大量のログインエラーにより把握し、約45分後にウェブサイトを停止したという。
同社は、顧客にパスワードの変更を呼びかけている。
- 2017年7月12日
- スパリゾートハワイアンズのサイトでカード情報が流出
スパリゾートハワイアンズを運営する常磐興産社は、同社のショッピングサイト「ハワイアンズモール」の運営を委託する情報システム会社が不正アクセスを受け、最大6860人のクレジットカード情報が流出した可能性があると発表した。
情報流出の原因は、OpneSSLの脆弱性「HeartBleed」だということがわかりましたが、まだ未対応のサーバーが残っていて、忘れた頃に情報流出が発生することから、対策の難しさがわかります。
- 2017年6月29日
- カブドットコムにDDoS攻撃
カブドットコム証券社は、同社のWebサイトがDDoS攻撃を受け、午前9時2分ごろつながりにくい状態になったことを発表した。
同社では攻撃元のIPアドレスをつきとめ攻撃のブロックを行い、午前9時38分ごろにほぼ復旧したという。
- 2017年6月27日
- 世界的なサイバー攻撃が発生
ウクライナやロシア、英国、ノルウェーなど欧州各国で大規模なサイバー攻撃が発生した。
攻撃は、コンピュータのファイルを暗号化し、身代金を要求するランサムウェアと言われるウイルスによるもので、身代金はビットコインで約300ドルという。
特にウクライナでの被害が大きく、同国の銀行の多くで業務が困難になった他、多くの大手企業で被害が出たという。
このランサムウェアは、5月に発生した「WannaCry」とは別のもので、「Petya」の亜種でさらに高度な機能を持っていると見られています。
- 2017年6月22日
- メルカリで個人情報が流出
フリマアプリ「メルカリ」を運営しているメルカリ社は、同社のWeb版のアプリ「メルカリ」において一時5万4180人のユーザーの個人情報が外部から閲覧できる状態になっていたことを発表した。
原因は、パフォーマンス改善のためのキャッシュサーバの切り替えを行った時にサーバの設定ミスがあったためという。
- 2017年6月21日
- ホンダ工場がランサムウェア・ウイルスにより一時操業停止
ホンダ社は、同社の狭山工場で生産ラインを制御するPCがランサムウェア・ウイルス「WannaCry」の被害にあい、一時操業停止になったことを発表した。
- 2017年6月6日
- 国土交通省のサイトが不正アクセスを受け、情報流出の可能性
国土交通省は、同省のウェブサイト「土地総合情報システム」が不正アクセスを受け、不動産取引などのアンケート情報や不動産登記情報など最大約20万件の情報が流出した可能性があることを発表した。
攻撃は、「Apache Struts 2」の脆弱性を悪用したものであるという。
- 2017年5月30日
- 改正個人情報保護法が全面施行される
2016年1月1日に一部施行された改正個人情報保護法が、5月30日に全面施行された。
全面施行では、法律の対象となる保有する個人情報5000件以上という制限がなくなり、小規模の企業の他に、町内会、同窓会、サークル等の非営利組織も法律が適用される対象となった。
- 2017年5月12日
- 世界各国でサイバー攻撃が発生
世界の約100カ国以上でランサムウェアによる大規模なサイバー攻撃が発生した。
ランサムウェアは、コンピュータのファイルを暗号化し、暗号を解除するためには身代金を要求するもので、本ランサムウェアでは、ビットコインで300ドルの身代金の支払いを要求する画面が表示されるという。
このランサムウェアには、「WannaCry(ワナクライ)」という名前が付けられ、攻撃は、Windowsが持つネットワーク機能の脆弱性を悪用したもので、既にセキュリティ更新プログラムがマイクロソフト社から提供されていたが、このセキュリティ更新プログラムを適用していなかったPCが感染した。
ネットワーク機能の脆弱性のため、何もしなくてもランサムウェアに感染したPCと同一のLANに接続しただけで感染する。
日本でも、翌週明けの15日になって被害報告が出てきて大騒ぎになりました。
その後被害が出なくなったのは、対策が進んだからではなく、ウイルスの「キルスイッチ(緊急停止ボタン)」に相当するサーバーを立てた研究者がいたためで、その効果によりウイルスの活動が止まったと言われています。
ウイルスの活動が完全に無くなったわけではないため、古いWindowsOSの利用者は、至急セキュリティ更新プログラムの適用が必要です。
- 2017年4月28日
- 警視庁ホームページにサイバー攻撃
警視庁のホームページがサイバー攻撃を受け、28日13:20頃から一時閲覧出来なくなったが、17:45頃復旧した。
サイバー攻撃は大量のアクセスデータを送りつけるDDoS攻撃によるもので、警視庁では威力業務妨害容疑などで調べている。
- 2017年4月25日
- ぴあの運営サイトから個人情報15万件が流出
ぴあ社は、同社が運営しているB.LEAGUEのチケット販売サイトとファンクラブサイトが不正アクセスを受け、クレジットカード情報3万2187件を含む最大15万4599件の個人情報が流出した可能性があることと発表した。
すでに流出したクレジットカード情報により、21日時点で197件、計630万円の被害が出ているという。
不正アクセスは、今回も Apache Struts2 の脆弱性を悪用したもので、ぴあ社は「確認の徹底が不十分だった」と謝罪し、対策と再発防止策をスタートし、セキュリティの強化を図って行くという。
- 2017年4月13日
- 総務省に不正アクセス
総務省は、総務統計サイトである「地図による小地域分析」システムが不正アクセスを受け、利用のために登録を行った約23,000件の個人情報が流出した可能性があることを発表した。
この不正アクセスもApache Struts2の脆弱性を悪用したものであるという。
- 2017年3月24日
- めがね店「JINS」のオンラインショップに不正アクセス
めがね店「JINS」を運営するジェイアイエヌ社は、同社が運営するオンラインショップ「JINS」が不正アクセスを受け、約119万件の顧客情報が流出した可能性があることを発表した。
流出した顧客情報うち約75万件は、メールアドレスの他、利用者の氏名、住所、電話番号、生年月日等が含まれ、約44万件は、メールアドレスで、クレジットカード情報は含まれていないという。
この不正アクセスも、このところ被害が続いている Apache Struts2 の脆弱性を悪用したものであるという。
- 2017年3月14日
- ヤマサちくわからクレジットカード情報が流出
ヤマサちくわ社は、不正アクセスにより同社のショッピングサイトからクレジットカード情報を含む9426人分の個人情報が流出したと発表した。
クレジットカード会社より、カード情報流出の可能性があることの指摘を受け調査したところ、SQLインジェクション攻撃により個人情報が流出したことが判明したという。
- 2017年3月14日
- 日本郵政でもApache Struts2の脆弱性を悪用した不正アクセスが発生
下記のGMOペイメントゲートウェイ社での不正アクセスは、Apache Struts2 の脆弱性を悪用したものであったが、さらに、日本郵便社が運営する「国際郵便マイページサービス」でも、同じ脆弱性が悪用され、メールアドレス2万9116件や同サイトで作成された送り状1104件が流出した可能性があることが判明した。
また、日本貿易振興機構(JETRO)でもWebサイトが不正アクセスを受け、ログ情報が消去されていたため、ログに含まれるメールアドレスが流出した可能性があり、この不正アクセスも Apache Struts2 の脆弱性を悪用した可能性が高いという。
- 2017年3月10日
- GMOペイメントゲートウェイに不正アクセスで約72万件の個人情報流出の可能性
GMOペイメントゲートウェイ社は、同社が運営を受託している東京都の「都税クレジットカードお支払いサイト」と住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」が不正アクセスを受け、合わせて71万9830件の情報が流出した可能性があることを発表した。
不正アクセスは、JavaのWebアプリケーション・フレームワークの Apache Struts2 の脆弱性を悪用されたもので、Apache Struts2 の脆弱性については、IPAやJPCERTから注意喚起が公表されたため念のため調査したところ、不正アクセスが判明したという。
Strute2 の脆弱性は今までにも見つかっていましたが、今回見つかった脆弱性は今までのものよりかなり深刻なもので、サーバー管理者は対象としている
Struts2 を使っていないかどうか至急調査する必要があります。
- 2017年3月10日
- 法政大学で不正アクセスにより個人情報が流出
法政大学は、同大学のサーバーが不正アクセスを受け、学生と教職員の4万61人分の個人情報が流出したことを発表した。
法政大学によると、2017年1月10日と2月7日に外部から不正アクセスの形跡が見つかり、調査したところ外部への流出が判明したという。
- 2017年2月6日
- WordPressの脆弱性をねらった攻撃が激増
ホームページのコンテンツ管理ソフトの WordPress に脆弱性が見つかり1月26日に公開されたバージョンで修正されたが、この修正パッチに未対応のサーバーに対する攻撃が激増している。
セキュリティ企業のsucuri社によると、4つのハッキング集団が大規模なスキャンを実施していて、ハッキングされたサイトが6万6000ページ以上見つかったという。
IPA(情報処理推進機構)では、最新版に至急アップデータするように呼びかけている。
日本においても、このところホームページの情報が書き換えられたという被害が多数出ていて、詳細は公表されていませんが、WordPress の脆弱性をねらった攻撃を受けた可能性が高いと思われます。
- 2017年1月31日
- IPAが「情報セキュリティ10大脅威 2017」を発表
IPA(情報処理推進機構)より、「情報セキュリティ10大脅威 2017」が発表された。
2017年版で第1位となった脅威は、昨年と変わらず「個人の脅威」では、「インターネットバンキングやクレジットカード情報の不正利用」、「組織の脅威」では、「標的型攻撃による情報流出」であった。
今回、IoT機器がマルウェアに感染する事態を受け、新たに「IoT機器の不適切管理」が「個人の脅威」の10位、「IoT機器の脆弱性の顕在化」が「組織の脅威」の8位に登場した。
- 2017年1月25日
- 脆弱性のある日本のWebサイトの一覧が中国サイトに投稿
IPA(情報処理推進機構)は、SQLインジェクション攻撃に対して脆弱性のある日本のWebサイト約400件の情報が中国のポータルサイト「WooYun」に投稿されているとして、Webサイトの運営者に脆弱性の再点検や改修を呼びかけている。
2016年
2016年の情報セキュリティ ニュース・事件は、
こちらを参照してください。