4月3日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

「ぷらら」と「ひかりTV」などの顧客情報が流出

NTTドコモの個人向けインターネット接続サービス(ISP)「ぷらら」と「ひかりTV」の顧客情報が流出した可能性がある。

情報流出は2023年3月30日13時40分ごろに確認。「ぷらら」および「ひかりTV」などに関する業務を委託している企業が業務で使用しているPCから流出したとみられている。事案の確認後に流出元のPCをネットワークから隔離し、調査は続行中。

流出した可能性がある情報は、「ぷらら」と「ひかりTV」の顧客情報(約529万件)。内容は、氏名、住所、電話番号、メールアドレス、生年月日、フレッツ回線ID、お客さま番号となる。なお、クレジットカード情報や金融機関の口座情報といった決済情報は含まれていないとのこと。

東京都デジタルサービス局、アンケート結果の誤掲載で情報漏えい

東京都のデジタルサービス局において、ホームページに掲載したアンケート調査結果の誤掲載があった。同局が2022年2月4日午後に、都の施策の認知状況や都に求める取り組みなどのアンケート調査結果を東京都オープンデータカタログサイトに掲載。この情報に個人情報が含まれていた。

2023年3月13日午後にデジタルサービス局職員がデータを点検したところ、個人情報が含まれていることに気付き当該データを削除。ホームページ上の画面では、漢字や仮名文字のデータは記号などに置き換わっていたが、データをダウンロードするとデータ末尾の個人情報が判読できる状態だった。

東京都は再発防止策として、掲載するデータに個人情報が含まれないことを複数の職員で確認することを徹底していく。

「FRAGRANCYオンラインショップ」でクレジットカード情報が流出

FRAGRANCYが運営する「FRAGRANCYオンラインショップ」が第三者による不正アクセスを受け、顧客に関する4,387件のクレジットカード情報と最大16,347件の個人情報(クレジットカード情報含む)が漏えいした可能性がある。

不正アクセスは、2022年12月23日にクレジットカード会社からの連絡を受け発覚。同日にサイトでの販売を停止し、2023年1月12日から第三者機関が調査を開始した。その結果、2021年6月4日~2022年12月23日の期間に商品を購入した顧客のクレジットカード情報と、個人情報を入力した顧客の情報漏えいが分かった。一部のクレジットカード情報は不正利用の可能性もあるという。

不正アクセスの原因はシステムの一部の脆弱性をついたペイメントアプリケーションの改ざんによるもの。漏えい情報の内容は、クレジットカード情報が、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。個人情報が、氏名、住所、郵便番号、電話番号、メールアドレス、購入履歴、会社名、FAX番号、性別、生年月日など。

FRAGRANCYは、クレジットカード会社と連携し漏えいした可能性のあるクレジットカードによる取引のモニタリングを継続して実施。顧客に対しては、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう呼びかけている。今後は調査結果を踏まえ、システムのセキュリティ対策と監視体制の強化を実施。再発防止を図っていく。

会津大学、ドッペルゲンガードメインにより個人情報が漏えい

会津大学において、メールの誤送信による個人情報の漏えいが発生した。誤送信が起こったのは2023年1月11日。

誤送信の原因はドッペルゲンガードメイン。メールアドレスのドメインを「@gmail.com」とすべきところ、正規ドメインに似た「@gmai.com」としてメールを送信してしまった。これにより、学生1名の氏名、電話番号、メールアドレスが漏えいしている。情報公開の時点で悪用などはないが、会津大学は全教職員に対して個人情報や機密情報の適切な取り扱いについて注意喚起をして再発防止に努める。

ジャストシステム、一太郎2023など一部製品に脆弱性

ジャストシステムの一太郎など一部製品に関して脆弱性が公開された。脆弱性はCisco Talos セキュリティ インテリジェンス&リサーチグループがジャストシステムに対して指摘した。

脆弱性の内容は、悪用を目的に改ざん済みの文書ファイルを直接開いた場合、アプリケーションが強制終了することがあるというもの。対策として、該当する製品に対応するアップデートモジュールを提供。これを導入することで脆弱性を解消できる。なお、2023年4月4日現在、脆弱性を利用した攻撃はない。対象製品は以下の通り。

■個人向け
一太郎2023、一太郎2022、一太郎2021、花子Personal/2022/2021、ラベルマイティ17、ラベルマイティ17 プレミアム、ラベルマイティ POP in Shop12、楽々はがき Max、楽々はがき2021

■法人向け
JUST Office 5、JUST Office 4、JUST Office 3、JUST Government 5、JUST Government 4、JUST Government 3、JUST Police 5、JUST Police 4、JUST Police 3、一太郎Pro 5、一太郎Pro 4、一太郎Pro 3、一太郎Government 10、一太郎Government 9、一太郎Government 8、花子Pro 5/4/3、花子Police 7/6/5、ラベルマイティ17 プレミアム、ホームページ・ビルダー21

■体験版・ビューア
一太郎2022 体験版、一太郎ビューア

厚生労働省を騙るフィッシングメール

4月3日以降、厚生労働省を騙るフィッシングメールが拡散している。送られてくるメールのタイトル例は以下の通り。

  • 【厚生労働省】重要なお知らせ、必ずお読みください

メールでは、督促状で指定した期限までに未納の国民健康保険料を納付しない場合、財産を差し押さえる――などと記載。リンクからアクセスするように誘導する。リンク先は厚生労働省の国民健康保険料などお支払いサイトとなっており、Vプリカの発行コード番号などの入力欄がある。

4月3日以降もフィッシングサイトは稼働中とのことであり、警戒を怠らないようにしたい。ほかにも、ETC利用照会サービス、関税等お支払いサイト、総務省、三菱UFJ信託銀行を騙るフィッシングも確認しているので注意すること。