総務省と SBOM という組み合わせの妙に加え、雑多な雰囲気の会場でおカタい話、もしかして参加者はかなり少ないんじゃないか、などと多少イジワルな気持ちも相まって興味が沸いた筆者は、2023 年 6 月 14 日、この講演に足を運ぶことにした。

2024年3月、クレジット取引セキュリティ対策協議会は、クレジットカード・セキュリティガイドラインを改訂し、最新の5.0版を公表しました。今回の改訂では、外部からの既知の脆弱性の悪用やウイルスの侵入によってシステムの改ざんが行われ、クレジットカード情報が不正に窃取される漏えい事故が頻発している状況から、カード情報保護対策としてEC加盟店のセキュリティ対策の改善・強化策が示されています。 EC加盟店におけるカード情報保護対策 非対面取引となるEC 加盟店ではクレジットカード・セキュリティガイドラインにおいて「クレジットカード情報を保持しない非保持化、又はクレジットカード情報を保持する場合はPCI DSSに準拠する」ことが求められています。これまでEC加盟店では、PCI DSSに準拠済みのPSP（Payment Service Provider：インターネット上の取引にてクレジットカード決済ス

カオナビ子会社で、3月に約15万人分のユーザー情報漏えいを発表したワークスタイルテック（東京都港区）は5月31日、漏えいした情報の中にクレジットカードやデビットカードの情報が含まれることを発表した。調査の結果詳細が分かったとして、当初発表した漏えい件数も変更した。 ワークスタイルテックは当初、労務管理クラウドサービス「WelcomeHR」について、サーバの設定ミスによりユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書（マイナンバーカード、運転免許証、パスポートなど）や履歴書の画像など16万2830人分の情報が2020年1月5日から24年3月22日にかけて外部から一時閲覧可能で、うち15万4650人分の情報が実際に第三者にダウンロードされたと発表していたが、これを修正。 正しくは、顧客がWelcomeHRを通してクラウドストレージにアップロードしていた身分証のPDF

大手会計事務所のPwC（プライスウォーターハウスクーパース）は米国時間5月29日、OpenAIとの大規模な契約を発表した。この契約により、PwCは他の企業向けにChatGPTの再販を行うパートナーとなるのに加え、OpenAI製ビジネスソフトウェアの最大のユーザーとなる。 PwCは、同社の英国及び米国法人がOpenAIとの契約で、ビジネス向けチャットボットのChatGPT Enterpriseの最初の再販業者となることを明らかにした。 マイクロソフトが支援するOpenAIは、大企業のオペレーションを改善するためのツールとして、ChatGPTのビジネス向けエディションを昨年夏に立ち上げた。今回の契約が発表される以前は、ビジネス版を利用したい企業は、OpenAIに直接連絡を取る必要があった。 また、PwCはこの契約によってOpenAIが提供するビジネスソフトウェアの最大のユーザーとなる。世界4大

多くの情報システム部（情シス）がサーバのメンテナンス、ネットワークの保守といったインフラ関連の業務にリソースを充てている。コストの最適化、削減が目的とされることも多く、企業のビジネス力向上には直接寄与しないこともある。 そういった状況に警鐘を鳴らすのが、“情シスのモダン化”を支援している梶原成親氏だ。同氏は「本業の課題をソフトウェアで解決してビジネス力を向上させる『モダンな情シス』が求められている」と語る。 モダンな情シスとはいったどういった考えなのか。梶原氏への取材から、モダンな情シスの全貌や、変化する方法、アンチパターンが分かる。 モダンな情シスはどのように生まれた ――最初に、梶原さまの経歴や、IT部門の業務で重視していること、現在の役割を教えてください。 梶原氏：　以前は楽天の情報システム部に所属し、開発者向けの生産性向上ツールの提供や、全社向け情報システムの統括していました。 も

スキマバイト事業者に不正アクセス　個人情報など約50万件漏えいか　「情報転得した」と主張の人物がデータ入りUSBメモリ返還 いわゆる“スキマバイト”募集プラットフォームを手掛けるネクストレベル社（大阪市）は5月24日、不正アクセスにより個人情報など50万件近くが漏えいした可能性があると発表した。なお事態の発覚後、「情報を転得した」と自称する人物から連絡があり、警察官立ち合いの下、情報を含むUSBメモリを受け取ったという。 漏えいした可能性がある情報は、プラットフォームに登録している個人ユーザーのID、氏名、性別、生年月日、住所、電話番号、メールアドレス、口座情報、勤務経歴や勤務条件、資格、緊急連絡先、同サービス上に登録されている身分証明書の写真にアクセスするためのURLなど49万6119件。 このうち、身分証明書の写真にアクセスするためのURLは変更済みという。情報の中にマイナンバーは含ま

タリーズコーヒージャパン（東京・新宿）は30日、同社の電子商取引（EC）サイトに第三者による不正アクセスがあったと発表した。この影響でシステム障害が発生し、ECサイトを一時停止している。会員の個人情報が流出した可能性があり、調査している。直営ECサイトの「タリーズオンラインストア」でシステム障害が起き、現在、会員登録やコーヒー豆などの商品を購入できない状況になっている。タリーズによると、同サイ

タリーズコーヒージャパンは、オンラインストアで第三者による不正アクセスでのシステム侵害が判明したと発表しました。 タリーズによりますと、不正アクセスによるシステム侵害は20日、警視庁からの連絡を受けて発覚しました。 データを改ざんした形跡があるため個人情報が一部流出した可能性が高く、23日にはオンラインストアの利用を完全に停止したということです。 流出した可能性がある個人情報は、クレジットカード番号に加え、氏名や住所、電話番号などで、最大でオンラインサイトの登録者9万2685人に及びます。 タリーズは、オンラインストアでクレジットカードによる支払いをした利用客に身に覚えのない利用履歴がないか確認するとともに、不審な利用があった場合はカード発行会社へ連絡するよう呼びかけています。

コンテンツブロックが有効であることを検知しました。 このサイトを利用するには、コンテンツブロック機能（広告ブロック機能を持つ拡張機能等）を無効にしてページを再読み込みしてください。 ✕

ペットフード事業を手掛けるバイオフィリア（東京都新宿区）は5月13日、自社のクラウドサーバに不正アクセスを受け、最大で約20万アカウント分の情報が漏えいした可能性があると発表した。 漏えいした可能性があるのは、ペットフード出荷時や、ユーザーによるアカウント情報変更時のログ。2022年1月13日から24年5月3日までに、同社のサイトからペットフード「ココグルメ」「ミャオグルメ」を購入した19万8200アカウントの情報が対象という。このうち16万3474アカウントは氏名、住所、電話番号が、3万4726アカウントは氏名、住所、電話番号、メールアドレス、生年月日、性別、パスワードが漏えいした可能性がある。 19万8200アカウントのうち2万8237アカウントは、18年3月5日から24年5月3日にかけて同社のサービスにアップロードした写真も漏えいした可能性がある。このうち1万8149アカウントは会員

美容商社インテンスは5月20日、美容室向けのショップサイト「fofo」が不正アクセスを受け、顧客のクレジットカード情報1万5198件が平文で漏えいした可能性があると発表した。 原因は、サイトのシステムの脆弱性をついたこと不正アクセスにより、Webサーバにバックドアのスクリプト（WebShell）が設置され、サーバ内を不正操作されたこと。 2020年12月24日～2023年12月8日に「fofo」で購入した顧客のカード情報で、カード番号と有効期限、セキュリティコード、会員氏名、DBデータ、ログイン情報が、平文で出力され、保存された可能性があるという。 同サイトのカード決済は2023年4月1日に停止していたが、約半年後の9月13日、一部のカード会社から情報漏えいの懸念があると連絡を受けた。調査はそれから半年弱の2024年1月17日に完了したという。 対象の顧客には5月20日からメールで個別に連

はじめに こんにちは、ディフェンシブセキュリティ部 セキュリティスタッフ課の小林 雅哉です。 皆様は、「内部不正」と聞いてどのような印象をお持ちでしょうか。 予期できない、対策がしにくい、疑心暗鬼になる・・・など、やや不気味で不明瞭なイメージをお持ちになった方もいるのではないでしょうか。 これらの印象は、「どのように進行するのか？」、「何に警戒すればよいのか？」という内部不正への核心的な疑問に対して、ニュースや他社事例だけでは情報や説明が足りておらず、もどかしく思う気持ちから生じているのだと思います。 そこで本ブログでは、米国機関CISA※1による「Insider Threat Mitigation Guide」※2を解説することで内部不正に至るまでの「経過」と「予兆」を明らかにし、企業のセキュリティ対策を進められている皆様が持つ疑問や不安に応えていきます。 ※1　CISA（米国サイバーセ

もしそのコンテナターミナルが業務停止に陥るとどうなるか――。そのリスクを如実に示したのが、2023年7月4日に名古屋港コンテナターミナルで発生したランサムウェア感染被害だった。 2024年3月に開催されたセキュリティイベント「Security Days Spring 2024」に、国土交通省で最高情報セキュリティアドバイザーを務める北尾辰也氏が登壇。「名古屋港コンテナターミナルを襲ったサイバー攻撃とその背景」と題し、公表された報告書などを基に攻撃から復旧までのいきさつと、そこから得られた教訓を紹介した。 ITを用いた効率化が進んできたコンテナターミナル コンテナターミナルというと、港に林立する大型クレーン（ガントリークレーン）を思い浮かべる人も多いだろう。名古屋港コンテナターミナルもその一つだ。 同コンテナターミナルは5つのターミナルで構成されている。1日当たり約7500本のコンテナが出入

セキュリティ組織 MITRE は、誰も攻撃を免れることはできないという教訓を示すため、自らが攻撃の対象となったことを認めた。 非営利団体 MITRE は、同団体の研究開発センター NERVE（Networked Experimentation, Research, and Virtualization Environment：実験・研究・仮想化環境ネットワーク）が、Ivanti の仮想プライベート・ネットワークのゼロデイ脆弱性を通じて侵入されたことを報告した。報告によると、センターは、MITRE が「国家体制を有する国外の脅威アクター」と呼ぶ攻撃者が狙った多くの標的のうちの 1 つであった。

すべての Microsoft 製品 Global Microsoft 365 Teams Copilot Windows Surface Xbox セール 法人向け サポート ソフトウェア Windows アプリ AI OneDrive Outlook Skype OneNote Microsoft Teams PC とデバイス Xbox を購入する アクセサリ VR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox Live Gold Xbox とゲーム PC ゲーム Windows ゲーム 映画とテレビ番組 法人向け Microsoft Cloud Microsoft Security Azure Dynamics 365 一般法人向け Microsoft 365 Microsoft Industry Microsoft Power Platform W

イズミは2024年5月9日、同社グループの一部サーバーがランサムウエアに感染したことに伴い、最大で778万4999件の個人情報が閲覧された可能性があると発表した。 内訳は、「ゆめカード」の会員情報が最大778万2009件、連結子会社であるイズミテクノにおけるパートやアルバイト応募者情報が同2990件。それぞれ氏名や電話番号、住所などが閲覧された可能性があるとする。一方で、現時点で漏洩の事実は確認されていないという。 ランサムウエアの感染が発覚したのは、2024年2月15日のことだ。外部の専門機関による調査の結果、VPN装置を経由してグループ会社のサーバーに侵入されたことが分かったという。個人情報が閲覧された懸念があることに加え、イズミグループの共通メールサーバーに保管していたメール履歴が毀損された。件数は現時点で不明だ。 被害を受けたサーバーの通信記録を調査した結果、外部に情報が流出した痕

デル・テクノロジーズは5月9日、顧客情報が漏えいした可能性があるとユーザーに告知した。同社がユーザーに送ったメールで分かった。氏名、住所、製品の注文情報について、外部からアクセスされた可能性があるという。デルがユーザーに送ったメールは以下の通り。 海外メディアは、今回の漏えいが大規模なものである可能性も報じている。セキュリティ情報を発信するWebサイト米Daily Dark Webによれば4月28日、何者かがハッキングフォーラムで「2017年から24年にかけてデルから製品を購入した顧客の情報4900万件を盗んだ」旨を主張していたという。 Daily Dark Webは、データのうち約700万行が個人、約1100万行がコンシューマー事業者、残りはパートナー企業や学校、詳細が不明な団体なものだったとしている。データには米国、中国、インドなどの情報が含まれ、顧客の氏名や住所、郵便番号、製品・サー

大田区役所は2024年4月17日、2023年10月に同区役所のシステムで障害が発生していたことを伝えた。大田区のシステムが2023年10月9～10日未明にかけて障害を起こし、同年10月18日に完全に復旧していたことが分かった。 障害の主原因はSSDの故障　運用保守を委託したNECと和解するまでの経緯 この障害によって住民記録システムや国保年金システム、税務システム、介護保険システム、生活保護システムなど広範囲にわたって使用できない状態となり、区民に多大な影響が及んだとされている。 大田区役所によると、障害の主な原因は、システム基盤に使用されていたSSDストレージ3本がほぼ同時に故障したためだという。 同障害で発生したSSDの故障は、特定バージョンの製品にのみ発生する障害で、製品の修正情報（ファームウェアバージョンアップなど）について事業者製造部門から事業者運用保守部門に案内があったにもかか

総務省は、今般、令和4年10月に公表した「クラウドサービス利用・提供における適切な設定のためのガイドライン」の内容を、わかりやすく解説するために「クラウドの設定ミス対策ガイドブック」を策定いたしました。 総務省では、クラウドサービス利用・提供における適切な設定の促進を図り、安全安心なクラウドサービスの利活用を推進するため、クラウドサービスの提供者・利用者双方が設定ミスを起こさないために講ずべき対策や、対策を実施する上でのベストプラクティスについてとりまとめた「クラウドサービス利用・提供における適切な設定のためのガイドライン」を、令和4年10月に策定・公表しました。 今般、クラウドサービスを利用する事業者において、情報の流失のおそれに至る事案が引き続き発生している中で、本ガイドラインの活用促進を図るため、ガイドラインの内容をわかりやすく解説した「クラウドの設定ミス対策ガイドブック」を策定しま