カテゴリー: I　C　T

東建コーポレーションは11/17、同社とグループ会社のネットワークが第三者による不正アクセスを受け、グループが保有する個人情報が外部に流出した可能性があることを公表しました。流出の可能性を確認したのは10/20としていますから、1ヶ月もかかっています。

最大657,096件

東建グループ全体で保有している個人情報（法人情報含む）を保管していたサーバーが狙われたということで、最大で65万件の情報が外部流出した可能性があるとのこと。東建コーポレーションはじめ、子会社のナスラック、柔道チャンネル、ホテル、ゴルフ場、ホームメイトなどなど。

サイトやらメルマガなどで登録された個人情報がダダ洩れです。同社ホームページでは各種サービス名と当該サービスにおいて、顧客のどのような個人情報が流出したのかが分かるようになっています。

が、しかし、このホームページに行かなければ、当然ですが何も分かりません。TDnetへの開示もしていません。おまけにこのニュースを伝えた日本経済新聞の11/18付け朝刊は、子会社のナスラックのサイト利用者の情報が流出という誤報に近い状況でした。

不正アクセスを受け、情報流出の可能性が判明したら、出来るだけ早く顧客にそれを伝えるべきです。自社のホームページでお知らせを掲載、、、だけではどうかと思います。

三菱電機も

三菱電機でも、同社が利用するクラウドサーバーがサイバー攻撃を受け、同社と取引のある国内企業や個人事業主の金融口座情報が流出した可能性があることを公表しています。最大で8,635件の金融機関情報が流出した可能性があるとのこと。同社もやはり開示はしていません。

そういえば、今年1月にも不正アクセス被害受けてましたよね、三菱電機。あの時も初報では大したことなかったけど、1か月後、実は防衛関係の情報が流出、、、みたいな展開でした。

Peatix Incは11/17、同社が提供するイベント管理アプリサービスPeatix（ピーティックス）にサイバー攻撃が発生し、最大で677万件の個人情報が外部流出した可能性があると公表しました。677万件は驚きです。

Peatix（ピーティックス）

ピーティックスはオンラインのイベント運営やチケット販売を手掛ける会社だそうです。自治体などもこのサービスを使っているケースがあるようで、宇都宮市と宮崎市、鹿児島県はそれぞれ、個人情報が流出した恐れがあると公表しました。

宇都宮市や宮崎市では、新型コロナウイルスで低迷する飲食店を支援するプレミアム付き商品券を、オンラインで購入した市民の氏名とメールアドレスが流出したようです。

事故の概要

10/16～10/17にかけて、外部からの不正アクセスが行われ、顧客の個人情報が流出した可能性があるとのこと。このことを認識したのが11/9だそうです。

流出した情報は、氏名やメールアドレス、暗号化されたパスワードなどが含まれているものの、クレジットカード情報やイベント参加情報などは流出していないとのこと。

既に情報が・・・

その後の情報で、流出したとみられる約200人分の情報がインターネット上で閲覧できる状態になっていることが18日、分かったようです。攻撃者が盗んだ情報を販売する目的で掲載したということですね。

掲載されていたのは「個人データベース販売」と題された英語のサイトで「ピーティックス」、「大部分が日本人」などの説明があり、「サンプル」の欄には約200人分の氏名とメールアドレスが記載されていたと。サイバー攻撃、マジでヤバい状況になってきました。

こうして売られたリストを使用し、リスト型アカウントハッキングが仕掛けられ、パスワードの使い回しや安易なパスワードを使用している人が、また大勢被害にあうことになります。マジでヤバいです。

11/4に不正アクセスによるシステム障害発生を公表していたカプコン。11/16には、現時点で判明している被害の状況について公表しています。巷で言われていたように、やはりランサムウェアによる被害を受けていました。最大36.4万件の個人情報が流出した可能性もあるとのこと。

Ragnar Locker

このランサムウェアは「Ragnar Locker」と呼ばれており、この攻撃を仕掛けたグループ名でもあるようです。同グループは11/9に犯行声明を公開しています。Ragnar Lockerの実行ファイルのデジタル署名はロシアの企業になっているなどという話も。

企業名を名指しで脅迫するメッセージを表示するようにできており、あらかじめカプコンだけを標的にして準備されたランサムウェアということです。サーバを破壊し、データを暗号化すると同時に、1テラバイトのデータを犯行グループへ送信しています。さらにはアクセスログの抹消まで。

こうして抜き取られたデータのうち、9件の個人情報と企業情報の一部が公開サイトに晒されており、これ以外のデータ（個人情報等）を公開されたくなかったら、仮想通貨で身代金を払えという要求をしてきています。

このあとの展開は

犯行声明において、1テラバイトの情報を抜いたと言っているので、おそらく冒頭の個人情報36.4万件は大きく外れてないんでしょう。身代金を要求されているカプコンとしても、ここまでよく情報を開示してきたと思います。

日本、米国の警察当局とも連携し、大手セキュリティベンダにも協力を仰いで全容解明に取り組んでいるようです。これだけ大きな被害が出たうえ、ここまで情報が開示されるのは珍しいケース。もちろんこの後は捜査の関係で情報が一旦出て来なくなるでしょうが。。。

最新の情報では、身代金は11億円といわれており、カプコンはその要求に応じていないとのことです。

11/4愛知県警は、パソコンに感染して遠隔操作するマルウエアをダークウェブで販売したとして、千葉県在住の自称フリーカメラマン（21歳）を逮捕したと発表しました。逮捕容疑は不正指令電磁的記録保管・提供だそうです。いわゆる不正指令電磁的記録に関する罪です。

事件の概要

容疑者はマルウエアの一つである「Dark Comet」を自身のハードディスクに保管したうえ、ダークウェブ（闇サイト）掲示板サイトで購入者を募り、販売したといいます。このDark Cometは、感染したパソコンを遠隔操作で不正に操作し、データ閲覧やパソコンのカメラを起動させる機能を持っています。

Dark Cometをどう入手したかは分かってないようですが、このマルウエアの販売で約90万円の利益を得ていたとのこと。朝日新聞では1ファイル3万円で販売、、、と伝えていましたから、30人くらい買った奴がいるということでしょうか。

中学生だって

この事件で思い出したのが、2017年6月に起きた、大阪府内の男子中学生がランサムウエアを作成した容疑で逮捕されたという事件です。なんといっても容疑者が14歳というのがショッキングでした。この時の容疑も不正指令電磁的記録作成・保管でした。ちなみに2015年にも17歳の少年がランサムウエアを作っていたという事件がありましたね。

不正指令電磁的記録に関する罪

何でこう難しい名前にするんでしょうね。簡単に言うと、コンピュータ・ウイルスに関する罪ということ。先ほどの2件の容疑に書いたように、「作成」、「提供」、「供用」、「取得」、「保管」の行為に対して罰せられる法律です。2011年7月に施行されました。

今回逮捕された自称カメラマンの男は、「保管」と「提供」の容疑で、14歳の少年の場合は「作成」と「保管」の罪で逮捕ということです。

消費者庁は10/21、実在の通信販売サイトをかたった偽サイトなどに関する注意喚起を行いました。今年夏あたりから、家電製品、家具、生活雑貨などの通信販売サイトで商品を注文し代金を支払ったものの、商品が届かないなどの相談が、各地の消費生活センター等に数多く寄せられているそうです。

ダイソン　LOWYA

消費者庁が確認した偽の通信販売サイトとしてダイソン、LOWYAが紹介されています。偽サイトでは公式サイトと同じ「dyson」や「LOWYA」という屋号が用いられていて、どちらのサイトも不自然な日本語表記はほとんどみられず、一見しただけでは偽サイトであると気付くことは困難だと指摘しています。

被害の状況

消費者が、各偽サイトで商品を注文して代金を支払ってから、数日経っても商品は届かず、問合せをしても連絡がとれない。結局、注文した商品が届かないという被害が、多数発生しているようです。

また、偽サイトにおいて商品の代金をクレジットカードで支払った場合、支払った代金の被害だけでなく、決済の際に入力したクレジットカード番号などで別の決済をされたり、個人情報が悪用されたりするおそれもありますよね（この被害はまだ報告されてない模様）。

見破る方法

偽サイトの特徴としては、異常に価格が安いことがあげられていました。ダイソンの掃除機は正規サイトで53,900円しているところ、偽サイトでは7,750円となっています。ん～、確かにこの価格を見た時点で警戒すべきですね。

最も大切なのは、通販サイトではまずURLを確かめること。消費者庁でも、「公式サイトと偽サイトとを見分けるには、URLを確認するのが確実です（ただし公式サイトのURLに似たURLも確認されており、注意が必要です。）。」としていました。皆さんもこのような偽通販サイトに引っかからないようご注意ください。