7月4日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

キンコーズ、サーバーへの不正アクセスで個人情報流出

キンコーズ・ジャパンが管理運用するサーバーが外部からの不正アクセスを受けた。6月から、ユーザーが名刺を再注文したときにエラーが出ることで発覚した。同社はプログラム誤作動の可能性と、外部からの不正アクセスの可能性を想定し、サーバーにアクセスするための認証用IDを変更。その後も調査を続けたところ、不正アクセスの履歴を6月24日に確認した。詳しい原因や経路などの究明は現在も調査中となっている。

現時点で判明している流出が疑われる注文件数は2,438件。うち個人情報が含まれるものは1,741件(名刺、年賀状、宛名印字などから算出)。対象となる期間は、2017年1月1日~2022年4月26日。この期間に発生した注文のうち、2019年4月1日~2022年4月26日の期間のものは個人情報を含んでいる。対象店舗は、キンコーズ直営店、およびキンコーズオンラインからの注文。なお、九州地区と中四国地区は、フランチャイズ店舗、もしくは別法人のため対象ではない。

流出した可能性があるのは、プリントサービスで使用した名刺やチラシなどの印字内容。印刷データ記載の個人情報で、名刺に印字した氏名・会社名・電話番号・住所などの情報や、挨拶状・年賀状に印字した差出人の氏名や住所、宛先に印字した氏名や住所といった情報となる。なお、顧客のクレジットカード情報など、支払いや決済に関する情報は保持していないため流出はない。

同社は対象となる顧客への連絡を進めるとともに、調査も継続して実施。情報セキュリティ対策と監視体制のさらなる強化も行う予定としている。

人形工房ひととえオンラインショップが不正アクセス被害

松永が運営する「人形工房ひととえオンラインショップ」が不正アクセスを受けた。システムの一部の脆弱性を突いたペイメントアプリケーションの改ざんによるもの。

2021年9月3日に一部のクレジットカード会社からクレジットカード情報の流出懸念について連絡を受け発覚した。2021年9月6日にカード決済を停止し、第三者機関による調査を開始。その結果、2021年2月3日~2021年8月15日の期間に、商品を購入した顧客のクレジットカード情報など684件が流出していた。詳細は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード、ログインID(メールアドレス)、パスワード、電話番号、IPアドレス。

2022年1月20日までに会員登録、商品の購入をした人の個人情報も流出した可能性がある。件数は1,875名分。詳細は氏名、住所、メールアドレス、電話番号、パスワード、会員ID(同社が付与した番号)。会員登録時に入力していた場合は、会社名、FAX番号、性別、職業、生年月日も対象となる。

2022年1月20日までに商品の購入、カタログ請求をした人の個人情報(最大3,507名分)も流出の可能性がある。詳細は氏名、住所、メールアドレス、電話番号、FAX番号(商品購入時、カタログ請求時に入力していた場合)、お届け先情報(商品を購入した場合)、お子様の氏名・生年月日(商品を購入していた場合)。

同社は、クレジットカード会社と連携して流出した可能性のあるクレジットカードによる取り引きのモニタリングを継続して実施。顧客に対しても、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。合わせて、ログインパスワードの変更も推奨している。

再発防止策として、セキュリティ対策と監視体制の強化を実施。クレジットカード決済の再開日は決定しだい告知する。

読売新聞オンラインが不正アクセス被害、パスワード再設定を呼びかけ

読売新聞社が運営する「読売新聞オンライン」が第三者による不正アクセスを受けた。不正アクセスを確認したのは7月2日。同社は顧客情報保護の観点から、一部顧客のパスワード情報を無効化した。該当する人はパスワードの再設定が必要なことから、個別にメール連絡を行っている。

不正アクセスのあった日から約3万件のログインを確認しており(正規アクセス含む)、そのうち不正アクセスの件数が何件だったかは判明していない。なお7月5日の時点では、情報流出はないとしている。

幸紀会、不正アクセスにてデータベースへのアクセス不能と個人情報流出

医療法人社団 幸紀会のシステムが第三者からの不正アクセスを受け、個人情報が流出した可能性がある。不正アクセスは2022年5月27日に発生し、患者情報データベースへのアクセスができなくなった。直ちにサーバー復旧を試みたものの、患者および新型コロナワクチン被接種者の情報(最大111,991件)に流出の可能性があることが判明した。詳細は、氏名、生年月日、住所、電話番号、診療上の情報(病歴、治療歴など)、予防接種歴。

職員情報の715件も流出しており、こちらは氏名、生年月日、住所、電話番号。ただし、同病院のシステムとデータベースの仕組みから、抜き出した情報を閲覧・加工して不正利用できる可能性は低いとしている。

現在は専門の調査機関に協力を依頼し、不正アクセスの原因、全容解明・再発防止に取り組んでいる。なお現在のところ、流出した情報を悪用した二次被害はない。

日本ソーシャルフットボール協会、公開を控えていた動画が閲覧可能に

日本ソーシャルフットボール協会は、著作権に抵触する可能性から外部への公開を控えていた動画が、インターネット上で閲覧可能な状態だったことを明らかにした。

原因は、担当者間の共有不足と不理解によるものとしている。調査の結果、6月14日22時から6月15日6時30分まで、一般ユーザーがインターネットから当該動画を閲覧可能だったことが判明。この動画は個人情報などの流出につながるものではないが、著作権に抵触する可能性があり、情報管理の点からも問題があったと述べている。

同協会は今後、一層のコンプライアンス体制を確立し、個人情報保護についても法令順守を徹底していくとしている。

グループウェア「サイボウズ Garoon」に複数の脆弱性

サイボウズのグループウェア「サイボウズ Garoon」にて複数の脆弱性が公開された。対象のバージョンと脆弱性は以下の通り。

  • サイボウズ Garoon 4.0.0 から 5.9.1

脆弱性は、複数アプリケーションにおける操作制限回避と情報漏えい、閲覧権限の回避、アプリケーションに関する不適切な入力確認。ログイン可能なユーザーによってファイルの改ざんや削除の可能性がある。

  • サイボウズ Garoon 4.0.0 から 5.5.1 まで
  • サイボウズ Garoon 4.10.0 から 5.5.1 まで
  • サイボウズ Garoon 4.6.0 から 5.9.0 まで
  • サイボウズ Garoon 4.10.2 から 5.5.1 まで
  • サイボウズ Garoon 4.2.0 から 5.5.1 まで
  • サイボウズ Garoon 4.0.0 から 5.9.0 まで

[CyVDB-1584]、[CyVDB-1865]、[CyVDB-2670]、[CyVDB-2660]、[CyVDB-2689]、[CyVDB-2692]、[CyVDB-2718]、[CyVDB-2839]、[CyVDB-2841]、[CyVDB-2897]、[CyVDB-2906]、[CyVDB-2911]、[CyVDB-2889]、[CyVDB-2932]、[CyVDB-3001]

脆弱性は、掲示板に関する操作制限回避、操作制限回避など多数存在。ログイン可能なユーザーによってデータ改ざんの可能性がある。

いずれも、すでに脆弱性を解消したアップデートを公開している。利用しているユーザーは早期にアップデートを適用すること。

日本郵便を騙るフィッシングメール

7月6日の時点で、日本郵便を騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。

  • 【日本郵政】お届け時ご不在のご連絡

メールでは、重要な荷物が届いたが荷物に不備があり受取人と連絡が取れなかったと記載。確認のためにリンクをクリックするよう誘導する。リンク先は日本郵便を模したフィッシングサイトで、住所やクレジットカードなどの入力欄がある。

7月6日の時点でフィッシングサイトは稼働中なので注意のこと。このほかにも、DMMを騙るフィッシングメールもかなり拡散しているので気を付けてほしい。