カテゴリー: I　C　T

LDH JAPANは12/8、同社が運営するオンラインショップ「EXILE TRIBE STATION ONLINE SHOP」がサイバー攻撃を受け、同サイトでクレジットカード情報の登録を行った4万4,663名のカード情報について流出が確認されたことを公表しました。

流出の概要

個人情報流出の可能性があるのは、8/18～10/15の期間中に同SHOPにおいて、新規にクレジットカード情報を会員登録した顧客、又は既に会員登録により登録済みのクレジットカード番号を変更した顧客、計44,663名のクレジットカード情報だそうです。

流出した情報は、クレジットカード名義人、クレジットカード番号、有効期限、セキュリティコードとしています。サイバー攻撃を受けて個人情報が流出する事件は増加していますが、多くの場合クレジットカード情報は別会社で管理されており、流出を免れていました。

今回のケースはモロにクレジットカード情報が流出。おまけにセキュリティコードまで。さらに、11/27時点で、少なくとも209名の顧客のカードが不正利用をされた可能性があるとクレジットカード会社から報告を受けているとのこと。

既にそこから2週間が経過しており、不正利用の被害は拡大していると思われます。これは相当ヤバい事故ですね。実際に不正利用が確認されているだけに、4万名を超える情報流出は、「可能性」ではなく、確実に流出していそうです。

「EXILE TRIBE STATION ONLINE SHOP」といいますから、エグザイルのチケットやらグッズを販売するサイトなんだと思われます。今現在は情報漏えいに関するQ&Aなど、しっかりした情報提供がされていますが、いかんせん情報開示が遅すぎでした。

政府の行政ポータルサイト「e-Gov」の電子申請システムがリニューアルで不具合発生です。行政手続きをネットで行える「e-Gov電子申請」で、別の申請者の基本情報が表示される事象があったようです。この事象、11/24～11/26の間で10件確認されたということです。

e-Govリニューアル

いつもお世話になっているe-Govなんですが、kuniの場合は「e-Gov法令検索」しか使わないので、電子申請の方の不具合には全く気が付きませんでした。11/24にリニューアル、その途端に障害発生ですね。3連休で新システム稼働への準備をしたんでしょうが、、、。

まぁ、障害が起きるのはしょうがないです。問題は障害発生後の対応。11/26には不具合修正を完了し、同様の事象が発生しないことを確認済みとしています。

個人情報漏えい

申請者の入力画面に別の申請者の情報が表示される事象。つまり個人情報の漏えいですね。総務省の発表では「個人情報（法人の担当者氏名及びメールアドレス）」としか説明されていなくて、詳細は分かりません。

が、10件発生して、「ご迷惑をおかけした関係者に対し、事実の報告及び謝罪を行っております」としていますのでまぁ、これはこれで収まるんでしょう。3日間で10件しか利用されなかった、、、の方が問題かも。

e-Govでは個人情報が誤表示される事象以外にも、ウェブサイトが正しく表示されなかったり、ファイルをアップロードするとエラーが発生したりといった不具合も出ているようです。こちらの不具合についてはまだ解消しきれてないようですね。

既に2週間が経過しているんですが、サイトのどの画面で何を行った場合に、どういうエラーが起きるのか。こういう具体的な案内をどんどん掲載していかないと、サポートデスクがパンクしちゃいますよ。

先週でしたか、日本経済新聞の1面トップに、「機密情報盗み身代金要求　暴露型ウイルス、1000社被害　1～10月　企業活動停滞も」という記事が掲載されました。暴露型ウイルスという定義はちょっとどうなんだろうとは思いますが、、、。とにかく被害メチャ拡大してます。

新型のランサムウエア

ランサムウエアといえば、被害企業等のパソコンやサーバなどのデータを暗号化し、データの復旧と引き換えに身代金を要求するものでした。最近増えてきたのがパソコンやサーバのデータを盗み、その後に元のデータを暗号化するというタイプです。こういうタイプのランサムウエアを暴露型と呼んでるようです。

直近で被害を受けた企業として、当ブログでも取り上げたカプコンが紹介されてます。米国のクラウドストライクという企業が実施した調査結果も伝えています。過去一年以内にランサムウェアの攻撃を受けた日本企業の32％が身代金を支払っていたそうです。平均支払額は1億2300万円で、42％が攻撃者との交渉を試みたとのこと。

サイバー対策費用など

日経ではここまでしか書いてなかったんですが、実は続きがあって、日本における過去3年間のDXに対する投資額は平均3億8400万円（366万ドル）。世界平均の486万ドルを下回っているそうです。

また、サイバーセキュリティへの平均投資額は4850万円（46万ドル）で、こちらも世界平均の61万ドルを大きく下回っています。DXへの投資額、セキュリティへの投資額、ともに世界平均の3/4というのは残念です。

さらに、コロナ禍でセキュリティに最新ツールを導入した日本企業の割合は世界平均よりも9ポイント低い39％にとどまり、調査対象国の中で最下位だったそうです。

※　ここでいう世界平均とは、調査対象とした米国をはじめ、イギリス、フランス等ヨーロッパ6カ国、中東、インド、シンガポール、オーストラリア、日本です。

東建コーポレーションは11/17、同社とグループ会社のネットワークが第三者による不正アクセスを受け、グループが保有する個人情報が外部に流出した可能性があることを公表しました。流出の可能性を確認したのは10/20としていますから、1ヶ月もかかっています。

最大657,096件

東建グループ全体で保有している個人情報（法人情報含む）を保管していたサーバーが狙われたということで、最大で65万件の情報が外部流出した可能性があるとのこと。東建コーポレーションはじめ、子会社のナスラック、柔道チャンネル、ホテル、ゴルフ場、ホームメイトなどなど。

サイトやらメルマガなどで登録された個人情報がダダ洩れです。同社ホームページでは各種サービス名と当該サービスにおいて、顧客のどのような個人情報が流出したのかが分かるようになっています。

が、しかし、このホームページに行かなければ、当然ですが何も分かりません。TDnetへの開示もしていません。おまけにこのニュースを伝えた日本経済新聞の11/18付け朝刊は、子会社のナスラックのサイト利用者の情報が流出という誤報に近い状況でした。

不正アクセスを受け、情報流出の可能性が判明したら、出来るだけ早く顧客にそれを伝えるべきです。自社のホームページでお知らせを掲載、、、だけではどうかと思います。

三菱電機も

三菱電機でも、同社が利用するクラウドサーバーがサイバー攻撃を受け、同社と取引のある国内企業や個人事業主の金融口座情報が流出した可能性があることを公表しています。最大で8,635件の金融機関情報が流出した可能性があるとのこと。同社もやはり開示はしていません。

そういえば、今年1月にも不正アクセス被害受けてましたよね、三菱電機。あの時も初報では大したことなかったけど、1か月後、実は防衛関係の情報が流出、、、みたいな展開でした。

Peatix Incは11/17、同社が提供するイベント管理アプリサービスPeatix（ピーティックス）にサイバー攻撃が発生し、最大で677万件の個人情報が外部流出した可能性があると公表しました。677万件は驚きです。

Peatix（ピーティックス）

ピーティックスはオンラインのイベント運営やチケット販売を手掛ける会社だそうです。自治体などもこのサービスを使っているケースがあるようで、宇都宮市と宮崎市、鹿児島県はそれぞれ、個人情報が流出した恐れがあると公表しました。

宇都宮市や宮崎市では、新型コロナウイルスで低迷する飲食店を支援するプレミアム付き商品券を、オンラインで購入した市民の氏名とメールアドレスが流出したようです。

事故の概要

10/16～10/17にかけて、外部からの不正アクセスが行われ、顧客の個人情報が流出した可能性があるとのこと。このことを認識したのが11/9だそうです。

流出した情報は、氏名やメールアドレス、暗号化されたパスワードなどが含まれているものの、クレジットカード情報やイベント参加情報などは流出していないとのこと。

既に情報が・・・

その後の情報で、流出したとみられる約200人分の情報がインターネット上で閲覧できる状態になっていることが18日、分かったようです。攻撃者が盗んだ情報を販売する目的で掲載したということですね。

掲載されていたのは「個人データベース販売」と題された英語のサイトで「ピーティックス」、「大部分が日本人」などの説明があり、「サンプル」の欄には約200人分の氏名とメールアドレスが記載されていたと。サイバー攻撃、マジでヤバい状況になってきました。

こうして売られたリストを使用し、リスト型アカウントハッキングが仕掛けられ、パスワードの使い回しや安易なパスワードを使用している人が、また大勢被害にあうことになります。マジでヤバいです。