7月18日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
個人情報保護委員会、破産者情報を公開している事業者に勧告
個人情報保護委員会は、破産者などの個人情報を違法に取り扱っている事業者に対し、個人情報の保護に関する法律第145条1項に基づき、個人データの提供を直ちに停止するよう勧告した。
勧告の理由として3点を挙げている。1つ目は、個人情報を不特定多数に公開することで、財産的/人格的差別誘発のおそれがあること。個人情報が地図データとひも付けられていることで、違法行為を助長、誘発する可能性がある。これは個人情報保護法第19条に違反するとしている。
2つ目は、Webサイトで個人情報を利用しているにも関わらず、個人情報の取得後に利用目的を本人に通知、公表していないこと。これは個人情報保護法第21条第1項に違反する。
3つ目は、本人の同意を得ないで個人情報を第三者に提供している状態であることから、個人情報保護法第27条第1項に違反している。これらを踏まえ、個人の権利利益を保護するため勧告を実行した。
クリーンテックス、不正アクセスを受け4万件超の個人情報が流出か
クリーンテックス・ジャパンの社内サーバーが不正アクセスを受け、個人情報が流出した可能性がある。
不正アクセスの経緯は、7月8日朝に社内システムへのアクセスができないことを同社の従業員が発見。調査したところ、複数のサーバーにてデータが暗号化されていることを確認した。被害の拡大を防ぐため、不正アクセスを受けた可能性のある全サーバーへのアクセスを遮断。社内における全デバイスに対してウイルススキャンを実施した。現在は復旧作業を進めつつ、原因究明などの調査を継続している。
外部に流出した可能性があるのは、同社オンラインストア、および、自社で直接商品を出品している楽天、Amazon、Yahooショッピングを利用した顧客の個人情報。期間は2016年5月11日~2022年7月7日となり、最大40,600件が該当するという。情報の詳細は、氏名、住所、電話番号、注文商品など。この件による個人情報の不正利用は発表時点では発生していない。
なお、メールアドレスや会員用ID、パスワードはそれぞれ専用のシステムで管理しているため、流出の可能性はないという。決済情報についてはすべて外部に委託しており、クレジットカード情報の流出もないとしている。
同社は今回の不正アクセス発覚後、社内サーバーを利用しない運用へと変更。7月8日以降の情報流出はない。
小堀酒造店が不正アクセスを受け管理システムサーバーが停止
小堀酒造店の販売管理システムサーバーが7月2日に不正アクセスを受け、サーバーが停止している。
同店は不正アクセスの確認後にネットワークを遮断。専門家による調査の結果、サーバーに保存していた個人情報を含むデータの流出を完全には否定できないことが分かった。ただし、クレジットカード情報、口座情報、メールアドレスは、ネットワークから切り離して管理していたため、流出の可能性はないとしている。
ログインIDとパスワードも外部管理なので、こちらも流出はない。ウイルス感染もなかったことから、同社からのメールを受信しても、ウイルス感染などの被害を引き起こすことはないとしている。
現在は販売管理システムを使わずに業務を行っているため、業務や事後処理に遅延が発生している。これを解消するため、システムの復旧を急ぎ、7月27日をめどに社内業務の正常化を目指している。
農研機構運営のデータベースWebサイトが改ざん被害
農業・食品産業技術総合研究機構が運営する「イネ QTL 遺伝子情報データベース」Webサイトが改ざん被害にあった。改ざんは2022年7月14日に確認し、同日の17時49分にWebサイトへのアクセスを遮断した。
詳しい調査によると、サーバーへの不正アクセスとWebサイトの改ざんが判明。この改ざんによる個人情報などの流出はないものの、不適切なWebページを表示しまっていた。発表時点で利用者からの被害連絡などはない。
改ざんされていた期間は2022年7月14日13時7分~17時49分。同社は、該当期間にWebサイトへアクセスしていた場合、セキュリティソフトを最新の状態にしてウイルスチェックを実施するよう呼びかけている。
サイボウズ Office 10に脆弱性、アップデート配信
サイボウズの中小企業向けグループウェア「サイボウズ Office 10」に関して、脆弱性情報が公開された。対象のバージョンは以下の通り。
- サイボウズ Office バージョン 10.8.6(パッケージ版)より以前のバージョン
脆弱性の深刻度は「警告」で複数存在する。おもなものは、特定のパラメータにおけるクロスサイトスクリプティング、HTTPヘッダインジェクション、システム設定に関する情報漏えい、ファイル管理に関する閲覧制限回避、プロジェクトに関する操作制限回避、カスタムアプリに関する閲覧制限回避、スケジュールに関する操作制限、閲覧制限回避、アドレス帳に関する閲覧制限回避など。
脆弱性を放置すると、データの窃取、改ざん、任意のスクリプト実行といった被害が発生する可能性があるという。なお、7月19日に「サイボウズ Office バージョン 10.8.6」へのアップデートを公開しており、これを適用することで脆弱性は解消する。
Google、脆弱性11件を修正したChrome最新バージョン「103.0.5060.134」
Google Chromeの最新バージョン「103.0.5060.134」が公開された。Windows、macOS、Linuxに向けて、数日から数週間にわたってアップデートを配信する。
今回のアップデートでは、「高」5件、「低」1件を含む11件の脆弱性を修正。「高」の脆弱性は、ServiceWorkerAPIおよびビューなどにおける解放後のメモリ使用、ファイル内の信頼できない不十分な入力検証など。Chromeのユーザーはできるだけ早めにアップデートしておくこと。