7月3日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
WOWOWオンデマンドでログイン処理のユーザー認証不具合、個人情報漏えいの可能性
WOWOWオンデマンドにおいて、個人情報が漏えいした可能性がある。情報漏えいの可能性がある期間は、2023年6月9日13時00分から6月22日23時11分にかけて。WebブラウザでWOWOWオンデマンドにアクセスおよびログインした人が、「マイページ」から別ユーザーの個人情報を閲覧でき、クレジットカードの変更・登録、会員手続きを行える状態だったという。対象人数は最大80,879名となる。
原因は、WOWOWオンデマンドへのログイン処理の際、WOWOWオンラインにてユーザー認証が正しく行われなかったため。これにより以下の情報に漏えいの可能性がある。これら情報には、氏名、住所、電話番号など個人を特定する情報は含まれていない。
- 契約情報(契約種別、月額料金、次回請求予定日、クレジットカード番号の下3桁)
- 端末名称
- 支払い履歴(日時、内容、キャリア決済の種類、クレジットカード番号の下3桁)
- 支払い方法(キャリア決済の種類、クレジットカード番号の下3桁)
- 視聴履歴(視聴日時、作品タイトル)
- ダウンロード情報(端末OS、ダウンロード日、ダウンロード作品)
- お気に入りコンテンツ(作品タイトル)
WOWOWは6月22日から6月23日にシステム対策を実施。現在は正常に稼働している。
TBグループの社内サーバーが不正アクセス被害
TBグループの社内ネットワークが第三者による不正アクセスを受けた。不正アクセスを確認したのは2023年6月12日。ただちにサーバーを停止し、ネットワークを遮断した。詳細は不明だが、不正アクセスを受けた情報の内容、原因や経路の究明、情報漏えいの可能性などを、外部の専門機関の協力を得ながら調査中とのこと。
今回の不正アクセスによって公式ホームページが閲覧できなくなり、第89回定時株主総会の招集に際して株主総会参考書類などの情報を別サイトから提供する措置を取った。復旧までの期間は、東京証券取引所Webサイト(東証上場会社情報サービス)に情報を掲載している。
那覇市社会福祉協議会、ボランティア登録者の情報が閲覧可能状態に
那覇市社会福祉協議会は、ボランティア登録者の情報がインターネット上で閲覧可能だったことを明らかにした。
2023年5月26日に、ボランティア登録情報がインターネット上で閲覧可能になっているとの指摘を受け発覚。事実関係を調査したところ、2023年度にアップロードしたチラシに掲載していたボランティア登録用QRコードのリンク先から、ある項目をクリックすると、回答者情報が閲覧できる状態だった。
原因は、「令和3年度ボランティア保険案内」のチラシをWebサイトで公開するときのリンクミス。修正版を公開したものの、一部のWebページが差し替わっておらず、問題ある状態で公開されていた。
情報が閲覧できる状態だった期間は2023年4月1日~2023年5月26日。閲覧の可能性のある人数は476名分。内容は、那覇市ボランティア・市民活動センターのボランティア個人登録用フォームから登録した情報となる(氏名、生年月日、住所、電話番号、メールアドレス、活動マッチングに関する事項など)。
事案の判明後は、登録フォームを非公開として原因究明の調査と対応を実施。チラシ作成時やWebサイトへの掲載時など、各作業段階で複数の現場担当者と管理職による確認がなかったことを問題とし、これらの解消と毎月1回ホームページを担当者がチェックすることを再発防止策として徹底していくとしている。
CIS、サーバーへのランサムウェア被害で個人情報と企業情報が流出
BtoB向けに各種のソリューションや開発を手がけるシーアイエスの一部サーバーが外部の第三者からの不正アクセスを受けた。これによりランサムウェア被害が発生し、保有する個人情報・企業情報が流出している。
不正アクセスは、6月25日深夜(日本時間)に発生。一部のサーバーがランサムウェアによる暗号化被害を受けた。被害状況の確認と調査の結果、保有する個人情報・企業情報を含む一部データが外部に流出していることがわかった。シーアイエスは、全サーバーとクライアント端末を社内外のネットワークから切り離し使用を停止した(ホームページやメールシステムについては通常通り稼働)。
対策本部を設置し、状況の把握、影響の範囲の調査、復旧への対応を進めている。グループ各社への被害はないものの、被害の全容把握については、しばらく時間を要するとのことだ。
G.Oホールディングス、メールアカウントへの不正アクセスで迷惑メール送信
G.Oホールディングスが管理するメールアカウント(2名分)が第三者による不正アクセスを受けた。2023年6月22日に、管理するメールアドレスからPayPay銀行を装ったフィッシングメールを受信したとの連絡を受け発覚。調査の結果、2023年6月21日にメールアカウントへの不正アクセス、およびフィッシングメールの送信を確認。フィッシング詐欺メールの送信に使われたメールアドレスは以下の通り。
当該メールアカウントは不正メールの送信に使われたものの、個人情報の流出はなかった。また、当該メールアカウントのパスワードを2023年6月22日に変更し、その後は不正アクセスはない。G.Oホールディングスは引き続き調査を進め、調査結果を踏まえてセキュリティ強化策を実施し、不正アクセスを防止するための再発防止策を講じるとしている。
新潟県、道路台帳図面に個人情報を誤記載
新潟県の土木部道路管理課において、県のホームページで公開している道路台帳図面に個人情報を記載するミスがあった。道路台帳図面は、新潟県のホームページで公開している一般県道 大沢小国小千谷線のもの。公開は2022年3月28日だが、2023年6月3日にホームページを閲覧した人からメールでの情報提供を受け、個人情報の掲載が判明した。
これを受け、2023年6月5日10時ごろから、該当する図面のみ公開を停止。道路台帳図面に掲載していたのは、道路台帳図面を作成した会社担当者の「氏名」(4人分)となる。新潟県では、ほかにも同様の事案がないかを確認を続け、確認が終わるまではホームページ上での公開を停止している。
エポスカードを騙るフィッシングメール
6月30日以降、エポスカードを騙るフィッシングメールが拡散している。メールの件名例は以下の通り。
- 【エポスカード】本人情報緊急確認
- 【エポスカード】個人情報確認
- 【エポスカード】重要なお知らせ
- 【エポスカード】重要:必ずお読みください
- 【エポスカード】お支払い金額確定のご案内
- 【エポスカード】二段階認証の導入についてのお知らせ
- 【エポスカード】お客様のアカウント認証に関するお知らせ
- 【重要】エポスカード本人確認のお知らせ
- 【最終警告】エポスカード からの緊急の連絡
- 【重要なお知らせ】エポスカード ご利用確認のお願い
- 「エポスカード」ご利用環境確認用ワンタイムURLのお知らせ
- お支払い方法変更のご案内【エポスカード】
- <緊急!エポスカード 重要なお知らせ>
メールでは、本人の利用かどうかを確認したい取引があったのでカードの利用を一時的に停止したなどと記載。利用確認のためにフィッシングサイトへと誘導する。リンク先はEPOS Netを模しており、エポスNet ID、新規登録の入力欄がある。6月30日以降もフィッシングサイトは稼働中とのことであり、警戒を続けてほしい。