セキュリティエンジニアが気になったニュースまとめ 2023/4/17~4/23
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2023/4/17
LINEギフトおよび提供を終了した弊社ECサービスにおけるデータの取り扱いに関するお知らせとお詫び
https://linecorp.com/ja/security/article/445
このたび、LINEギフトおよび過去に弊社が提供をしていたLINEのECサービス(LINE FLASH SALE・アカウントコマース等)にて、不適切なデータの取り扱いがあったことを確認いたしました。本件の概要について、下記のとおりご報告いたしますとともに、ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。なお、該当データには住所・電話番号・メールアドレスや、銀行口座・クレジットカード番号などは含まれておりません。また、2023年4月17日時点で情報の不正利用などの二次被害の発生は確認されておりません。
2015年2月頃〜2023年3月9日の約8年間に渡って、本来ギフトの受け取り主にはら送られるべきではない情報が通信内容に含まれていた。通常の操作では見えないが、通信内容を分析すると、送り主が受け取る相手をどのような名前で登録しているかや、送り主が閲覧しているサイトなどの情報が分かる状態になっていた。住所や電話番号、クレジットカード番号などは含まれていないとのこと。
注文者が商品を探すために用いた検索語句もわかるようになっていたとのことで、少し恥ずかしい気分ですね。。。
2023/4/19
不正アクセス発生による個人情報漏洩の可能性のお知らせとお詫び
https://ssl4.eir-parts.net/doc/7743/announcement/88013/00.pdf
調査の結果、当社関連のファイル11件(当社関連先の個人情報6件を含む)の漏洩が、認められたものの、その他のお取引先さまの情報、お客さまの個人情報の漏洩の痕跡は認められませんでした。しかしながら、本不正アクセスの発生自体は事実であり、他の個人情報漏洩の可能性を完全に否定することは難しいと判明したことから、二次被害が起きないことを最優先に考え、対象となる方には、順次個別にご連絡をすることといたしました。
コンタクトレンズメーカーのシードは、不正アクセスを受け、顧客や従業員などの個人情報が最大7万件流出した可能性があると発表した。システムメンテナンス用に設置していたネットワーク機器の脆弱性を突いた不正アクセスを受けた可能性が高い。流出した情報にクレジットカード関連の情報は含まれていないが、子会社シードアイサービスで商品を買った顧客の氏名、住所などの情報が不正に複製された可能性を排除できないとしている。
保守用端末やメンテナンス用機器の脆弱性が悪用されるといった同様の事例も複数あるため、組織としてセキュリティ対策が非常に重要ではないでしょうか。
2023/4/20
当社サーバへの不正アクセスに関するお知らせとお詫び(第2報)
https://www.osg.co.jp/news/2023/04/incident02.htm
https://www.osg.co.jp/about_us/ir/news/file/20230420_release.pdf
当社の管理運用するサーバが、4月12日早朝、第三者からのランサムウェアによる不正アクセスを受け、社内システムで障害が発生していることを確認いたしました。被害の拡大を防ぐため、直ちにサーバの停止、外部とのネットワークを遮断するなどの対応を実施いたしました。当社内で対応を実施するのと同時に、外部の専門家の協力を得ながら、被害の状況、原因や経路の究明などの調査を進めております。
精密切削工具大手で東証プライム上場企業のオーエスジー株式会社は4月20日、ウイルス感染によるシステム停止について第2報を発表した。同社では4月12日午前6時頃に、同社基幹システムサーバで障害を検知し確認したところ、一部のサーバとパソコン端末でのウイルス感染が判明。不正アクセスによる個人情報が流失した可能性は完全に否定できないが、現時点で流出の事実は確認されていないとしている。
オーエスジーでは過去に元社員による機密情報の漏洩という事件もありました。
まとめのまとめ
明日からG.W.が始まります。
旅行に行く方も多い方思いますが、長期期間中はどうしても気も緩みがちになるので、
外出中のインターネットの利用やSNSの利用に十分注意してG.W.を楽しみましょう。
担当:RT