関連記事 上司や部下に読ませたい？　とある地方自治体の「会議改善に関するガイドライン」が分かりやすいと話題に 新潟県柏崎市が公開した「会議改善に関するガイドライン」が、Xやはてなブックマークで話題だ。同市がDXに伴う既存業務の見直しに当たって、会議の質を向上するために策定したもので、SNSなどでは「自治体からこれが出てくるのは画期的」「同僚や役員に読ませたい」といった声も出ている。 「テスト文字列にうんこと入れるな」──ゲーム会社の新卒向け資料“2024年版”が公開　テスト環境で悪ふざけするリスク説く 「テスト文字列にうんこと入れるな」──そんなふうに訴える新入社員向けの研修資料の2024年版が公開中だ。軽い気持ちで入れたテスト文字列が社外に漏えいした際のリスクについて説明した資料で、新たに事例などを加筆している。 早速出たぞ、24年度研修資料　新卒向け「エンジニア基礎」、ウィルゲートが公

群馬大学は5月22日、同学医学部附属病院の入院患者42人の個人情報が一時公開状態になっていたと発表した。YouTubeに掲載された動画に電子カルテの入院患者一覧画面が映り込んでいた。 動画は、病院で使用している製品を開発した企業が、導入事例の紹介として作成したもの。病院の同意を得て撮影し、当該企業の公式YouTubeチャンネルで2023年11月23日から公開していた。 しかし、動画内に電子カルテの画面が映り込んでいることが4月23日に判明。その日のうちに当該企業に連絡し、動画の公開を停止したという。 動画の長さは10分3秒で、このうち6秒間に入院患者の一覧が映っていた。一覧には42人の漢字氏名、カナ氏名、患者番号、診療科、入院日などの個人情報が記載されていた。 群馬大学は「動画作成時のチェックで患者の個人情報が映ってしまっていることを見落とした」と説明。患者には個別に謝罪すると共に、再発防

Rapid7は2024年5月16日（現地時間）、検索エンジン上の悪意のある広告を介してトロイの木馬化された「WinSCP」および「PuTTY」のインストーラーを配布するキャンペーンが展開されていることを伝えた。 検索エンジンでこれらソフトウェアを探している「Windows」ユーザーが狙われており、誤って悪意のある広告をクリックして偽のダウンロードページに誘導されてしまう可能性がある。 検索結果に潜む悪意　WinSCPとPuTTYのトロイの木馬化キャンペーン Rapid7によると、2024年3月初旬から始まったとされるこのキャンペーンでは、ファイル転送クライアントのWinSCPおよびSSHクライアントであるPuTTYを使用したいユーザーが標的となっている。 ユーザーが「Microsoft Bing」などの検索エンジンで「download winscp」や「download putty」といっ

美容商社インテンスは5月20日、美容室向けのショップサイト「fofo」が不正アクセスを受け、顧客のクレジットカード情報1万5198件が平文で漏えいした可能性があると発表した。 原因は、サイトのシステムの脆弱性をついたこと不正アクセスにより、Webサーバにバックドアのスクリプト（WebShell）が設置され、サーバ内を不正操作されたこと。 2020年12月24日～2023年12月8日に「fofo」で購入した顧客のカード情報で、カード番号と有効期限、セキュリティコード、会員氏名、DBデータ、ログイン情報が、平文で出力され、保存された可能性があるという。 同サイトのカード決済は2023年4月1日に停止していたが、約半年後の9月13日、一部のカード会社から情報漏えいの懸念があると連絡を受けた。調査はそれから半年弱の2024年1月17日に完了したという。 対象の顧客には5月20日からメールで個別に連

我が家では定期的に“変更”をしています。といってもパスワードではなく、「ルーター」のお話です。本コラムでも1年前の2023年4月に警視庁が公開した家庭用ルーターの不正利用に関する注意喚起について触れました。 当時のコラムでも、家庭ではルーターの設定を確認する機会がなかなかないことから対策が難しい点について言及していましたが、残念ながら1年たってもこの状況には変化がありません。筆者が解決策として期待していた「機能の少ないルーター」も市場のニーズとマッチせず、登場していないようです。 「ゾンビルーター／ゾンビIoT機器」をなくせ そういえば2019年2月には、総務省や国立研究開発法人情報通信研究機構（NICT）、インターネットサービスプロバイダー（ISP）が連携し、ルーターを含むIoT機器のセキュリティを向上させるプロジェクト「NOTICE」がスタートしました。NOTICEはインターネットに接

非営利調査機関の米Pew Research Centerは5月17日（現地時間）、「When Online Content Disappears」（オンラインコンテンツが消滅するとき）と題する調査レポートを公開した。「2013年に存在したWebページの38％が10年後にはアクセス不能に」というサブタイトルがついている。 この調査では、非営利プロジェクト「Common Crawl」のリポジトリから2013年から2023年までの毎年の約9万ページ、合わせて約100万のWebページをサンプリングした。調査結果は、この期間の全ページの25％が現在アクセス不能であることを示している。このうち、16％はルートドメインはアクティブだがアクセスできず、残り9％はルートドメインが廃止されたものだ。 政府の公的サイトでは、サンプリングした約50万ページのうち、21％に少なくとも1つのリンク切れが含まれていた。

セキュリティ企業のeSentireは2024年5月8日（現地時間）、脅威グループ「FIN7」が、署名されたMSIXファイルを悪用し、「NetSupport RAT」や「DiceLoader」といったマルウェアを配布していると報告した。 スポンサー付きGoogle広告を悪用　FIN7の巧妙なマルウェア配布手口 FIN7はロシアを拠点とする金銭的な動機を持つ脅威グループで、「Google Meet」などをはじめとした有名なITサービスに偽装し、Google広告や悪意あるWebサイトを利用してユーザーをだます手口を採用している。 スポンサー付きGoogle広告を介してユーザーを悪意あるWebサイトに誘導する Webサイトを訪れたユーザーに偽のWebブラウザ拡張機能をダウンロードするように促す偽のポップアップを表示する。偽のWebブラウザ拡張機能のペイロードは、「Windows」アプリケーションの

セガサミーホールディングス傘下で、玩具事業などを手掛けるセガ フェイブ（東京都品川区）は5月13日、4月24日に公表した不正アクセスによる個人情報漏えいについての調査が完了し、新たに約1万件の個人情報漏えいの可能性が判明したと発表した。前回発表分と合わせると、漏えいの可能性がある個人情報は約1万4900件となる。 新たに漏えいの可能性が判明したのは、2017年5月2日から19年4月23日にジャムおじさんのパン工場 横浜店のパン教室に応募した人の氏名、電話番号、メールアドレスなどが1万100件と、18年8月20日から23年1月30日にセガトイズ（当時）お客さま相談センターにメールで問い合わせをした人のうち、21年10月から23年1月まで継続して連絡していた人の氏名、住所、電話番号、メールアドレスが48件。 個人情報にクレジットカード情報は含まれておらず、5月13日時点で個人情報の不正利用など

コード決済サービス「PayPay」で5月15日の昼頃から障害が発生している。障害の発生時間や規模など詳細は不明だが、X（旧Twitter）には「PayPay障害」がトレンド入り。複数のユーザーから「アプリが使えない」などの報告が相次いでいる。 編集部で確認したところ、アプリを立ち上げようとしても「エラーが発生しました」と通知されるだけで、バーコード／QRコードは表示できない状態が続いている。ちょうどランチの時間帯でもあることから「PayPayの障害でランチが支払えない」「現金持っててよかった」などの声も上がっている。 なお、PayPayでは15日から「セブン-イレブン PayPayお買い得市」がスタートしており、それとの関連を指摘する声もある。これは、セブン-イレブンの対象商品をPayPayで支払うと最大20%、セブン-イレブンアプリ内のPayPay機能で支払うと最大30%ポイント還元する

総合スーパー「ゆめタウン」を展開するイズミ（広島県広島市）は5月9日、2月に受けたランサムウェア攻撃を巡り、最大で約778万件の情報が漏えいした可能性があると発表した。 クレジットカード「ゆめカード」会員の氏名や電話番号、住所、生年月日、性別など最大778万2009件が漏えいした可能性がある。クレジットカード情報は、被害を受けたシステムとは別のシステムで運用しており、影響はないという。 さらに、23年6月1日から24年2月14日にかけて、子会社であるイズミテクノの求人にパート・アルバイトとして応募した人の氏名・電話番号など最大2990件も漏えいした可能性がある。この他、公式サイトからの問い合わせ対応を除く、社内のメールサーバに保存していた業務メールの履歴データも破損した。履歴データについては、影響を受けた件数は不明という。 上記の情報については「現時点で、当社グループが保有する個人情報の漏

Google Cloudが、顧客のアカウントを誤って削除し、大規模障害の引き金になる──こんな出来事が海外で起きた。オーストラリアで年金基金を運営するUniSuperは5月8日（現地時間）、自社サービスで起きていた障害について、プライベートクラウドのアカウントが誤って削除されたことが原因だったと発表した。 UniSuperはGoogle Cloudを活用していたが、米Google自身が誤ってアカウントを削除。UniSuperは冗長性を確保するため、別のリージョンにもデータを置いていたが、そちらも無効にされていたという。 アカウントが削除された経緯については「（Google Cloudが）UniSuperのプライベート・クラウド・サービスをプロビジョニングする際の不用意な構成ミスにより生じた」（UniSuper）と説明している。しかし、UniSuperは他社のサービスでもバックアップを確保し

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年4月12日（現地時間）に、ブログに「ユーティリティーソフトウェアである『XZ Utils』に対するサプライチェーン攻撃の悪質な試みを受けてオープンソースコミュニティーに、より多くのリソースを提供するように推進している」と投稿した（注1）。 XZ Utilsへの攻撃が暴き出した　企業の“OSSタダ乗り問題” CISAは「今回の攻撃はオープンソースソフトウェア（OSS）の消費者が貢献者と協力して、より強靭で安全なエコシステムを構築する方法に関する根本的な転換を求めるものであり、オープンソースコミュニティーをより適切にサポートする責任をテクノロジー業界に負わせた」と評した。 CISAのジャック・ケーブル氏（シニア・テクニカルアドバイザー）とエイバ・ブラック氏（オープンソースソフトウェア・セキュリティの

情報漏えいを受け、LINEヤフーが韓国NAVERへの業務委託の終了を決めた。5月8日に開かれた2023年度通期・第4四半期決算会見で明かしたもので、LINEヤフーが2024年度中と進めていたLINEとPayPayのアカウント連携についても、社内のセキュリティガバナンス強化の優先を理由に計画時期を見直す。 LINEヤフーは、23年10月に不正アクセスによる情報漏えいが発生したと発表。情報流出は、同社と韓国の関連会社NAVER Cloud委託先企業の従業員PCがマルウェアに感染したことをきっかけに、NAVER CloudのADサーバも感染。その管理者権限や、LINEヤフーのADサーバの認証情報が奪取され、不正アクセス被害につながったとみられている。 この件に関し、LINEヤフーは24年3月に総務省から行政指導を受けており、同社は4月に報告書を提出。NAVERのシステムとの分離を進める他、「NA

GBHackers on Securityは2024年5月3日（現地時間）、新たなマルウェア「BirdyClient」（あるいは「OneDriveBirdyClient」）が「Microsoft Graph API」を悪用してMicrosoftクラウドサービスを介したコマンド＆コントロール（C2）通信が可能だということが明らかになったと報告した。このマルウェアはウクライナのある組織を標的とし、正規のクラウドトラフィックに紛れて悪意のある通信を行う。 正規クラウドトラフィックに紛れる新たな脅威 GBHackers on Securityによれば、BirdyClientは正規のソフトウェアを装いながら、動機や属性が不明な攻撃者に悪意のある目的で利用されている。BirdyClientは「Microsoft OneDrive」を悪用し、Microsoft Graph APIと接続することでC2通信

野村総合研究所（以下、NRI）は2024年4月26日、国内の情報・デジタル子会社（注1）を対象にした「情報・デジタル子会社における今後の方向性と課題に関する調査」の結果を発表した。 同調査は、日本国内に本社を持ち、売上高上位企業に当たる情報・デジタル子会社を対象に2024年2月に実施され、31社から有効回答を得た。 （注1）日本国内に本社を持ち、親会社からの出資によってIT、デジタルサービスを提供している子会社を指す。IT、デジタルサービスには、親会社・グループ内企業に対する内販サービス、グループ外企業に対する外販サービスのいずれかまたは両方が含まれる。孫会社またはIT、デジタルサービス提供企業の子会社は対象外とした（ただし、ITベンダーなどによる50％以上の出資によってIT、デジタルサービス提供企業の子会社になった場合は対象とした）。親会社の業種は、機械製造、素材・他製造、建設、小売り、

弊誌で4月23日に報じられた「海外ブランドクレカの成人コンテンツ決済停止、長期化の様相　サービス継続を断念するケースも」などにみられるように、ここ最近になり海外のクレジットカードブランドによる成人向けコンテンツへの締め付け強化が目立つようになり、大きな話題になっている。 例えば2024年3月末から4月上旬だけでも下記のような話題が出ており、その前後やニュースで報じられなかったものまでを含めれば、水面下でかなりの動きがあるとみている。 - 突如「ひよこババア」トレンド入り──クレカブランドの要請で「DLsite」が案内した表現変更が話題に - DLsite、American Expressも取り扱い一時停止　利用できるクレカはJCBのみに - Visa/Masterカードの決済停止、成人アニメ老舗ブランドの公式サイトも 筆者は主にクレジットカードを含む金融関係やECなどの小売サービスを普段執

高齢者、障害者などに対して総合的な雇用支援を実施する高齢・障害・求職者雇用支援機構（JEED）は4月26日、591件の企業、個人情報が漏えいした可能性があると発表した。JEEDが業務を委嘱する高齢者雇用推進の専門家「70歳雇用推進プランナー」がサポート詐欺に遭ったためとしている。 JEEDによると、3月11日に自身のPCを利用していた当該プランナーがサポート詐欺に遭遇。偽のセキュリティ警告に記載されたサポート窓口に電話し、指示に従って遠隔操作ソフトをPCにインストールした結果、約3時間にわたってPCが第三者にリモート接続されていた状態だったという。これにより、JEEDが提供し、プランナーがPCに保存していた情報が漏えいした可能性があるとしている。 漏えいした可能性があるのは、JEEDが当該プランナーに提供した東京都内591社の企業情報と個人情報で、企業名称、所在地、電話番号、担当者名、メー

日本プルーフポイントは2024年4月22日、日本企業の情報漏えい状況について調査結果「Data Loss Landscape 2024（情報漏えいの全容）」を公開した。 日本企業は従業員を“信頼しすぎ”？　情報漏えいリスクと企業の現状を調査 情報漏えい対策（DLP）において、内部脅威やデータ拡散、執拗（しつよう）な攻撃者、生成AIといったリスクを日本企業がどう捉えているか。また、情報漏えいを引き起こす主要な原因がユーザーの不注意や電子メールの誤送信であることが調査から明らかになった。 公開されたレポートの概要は以下の通りだ。 情報漏えいは広範かつ予防可能な問題：　1カ月に1件以上のインシデントが発生しており（過去1年間における1組織当たりの情報漏えいインシデントの平均は15件）、日本の回答者の76％（世界平均70.6％）が情報漏えいの主な原因として「ユーザーの不注意」と回答している。ユーザ

北朝鮮が管理していたとみられるクラウドストレージサーバから、米国、日本などのアニメ作品に関係するファイルが見つかった問題で、名前の挙がっていた日米のアニメ制作会社などが今週、相次いで関与を否定する声明を出した。 問題のサーバから自社のレイアウト用紙が見つかった北海道のアニメ制作会社・エカチエピルカは、レイアウト用紙が下請け企業から流出したと推測。「弊社からは過去に発注をしたこともなく、当該事実は一切ない」という。「弊社のレイアウト用紙が許可なく勝手に使われており、描かれた絵や作品とは無関係」。 米国のアニメ制作会社・Skybound Entertainmentも「当社は北朝鮮の企業やその関連団体とは協力しておらず、当社のアニメーションに北朝鮮企業が取り組んでいることについては全く知らない」という。今後、徹底的な内部調査を行う方針だ。 7月から放送予定のアニメ「魔導具師ダリヤはうつむかない」

海外クレジットカードブランドによる成人向けコンテンツの決済停止が相次いでいる問題で、「DLsite」を運営するエイシスは4月22日、「当面の間」は再開できないとする見通しを明らかにした。一方、同様に決済停止となった企業の中にはサービスの継続を諦めるケースも出てきた。 エイシスが、Visa、Mastercard、American Expressのユーザーに向けて公開した「続報」によると、「クレジットカードブランドと再開の交渉を行っていたが、現時点での再開は難しい状況」だという。「引き続き、再開の交渉は行っていく」としているが、同時に再開を待っているユーザーに対しては、他の決済方法への切り替えや、ポイント購入を勧めている。 クレジットカード決済は、消費者と事業者の双方にとって利便性が高い。決済を停止されても他の決済手段があれば影響は抑えられるものの、そうでない場合は事業全体に影響しかねない。例