目次
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2024/5/13
不正アクセスによるお客様情報流出に関するお詫びとお願い
– 株式会社バイオフィリア
https://biophilia.co.jp/news/1362/
この度、当社が提供するオンラインサービスを管理するサーバーに対し、外部からの不正アクセスがあり、お客様の個人情報の一部流出が判明しました。本件に関して、現時点で判明している概要と対応について、下記の通りご報告いたします。お客様および関係各位の皆様にご心配、ご迷惑をおかけすることになり誠に申し訳なく、ここに深くお詫び申し上げます。なお、現在のところ個人情報の不正流用等の事実は確認されておりません。現在、当面の安全確認作業を終え、更なる詳細調査と恒久的な再発防止策を進めておりますが、今回情報流出の対象となるお客様におかれましては、速やかにパスワードの変更・再設定をお願い申し上げます。また当社に限らず、他のWEBサービスで当社アカウントと同じメールアドレス・パスワードをご使用の場合も、大変お手数ではございますが、第三者による悪用を防ぐため、早急にご変更をお願いいたします。
大手クラウドサービスが管理するファイルサーバーにおいて異常を検知し、社内調査を実施したところ不正アクセスの痕跡を発見したとのこと。198,200件分の会員情報の一部と28,237件分の写真画像データ、8,525件のペットに関する情報の流出が確認されている。顧客情報の一部が外部にダウンロードされた後に、そのうちの一部データが消去されていたことも判明している。
2024/5/16
外部利用サービス提供事業者への不正アクセスについて
– NICT(国立研究開発法人情報通信研究機構)
https://www.nict.go.jp/publicity/topics/2024/05/16-1.html
https://sign.dropbox.com/ja-JP/blog/a-recent-security-incident-involving-dropbox-sign
NICTのセキュリティ講習「実践サイバー演習 RPCI」において使用しているDropbox社が運営する電子署名システム「Dropbox Sign」において、ユーザー情報に不正なアクセスを受けていたことが判明しました。
この情報には、「実践サイバー演習 RPCI」の令和3年度から令和5年度の受講者524名のDropbox Sign のユーザー名*、メールアドレスが含まれておりました。Dropbox社の調査によると、署名を求めるメールを受け取った方のDropbox Sign のユーザー名*とメールアドレスが流出したとのことです。
*受講証明書発行時にDropbox Sign または HelloSign アカウントを作成又は同アカウントでログインされた方が対象(なお、RPCI受講証明書発行に際しアカウント作成は必須ではありませんでした)。
5月16日時点では情報の不正使用などの事実は確認されておらず、現在もDropbox社と連携して調査中とのこと。
これは5月1日(現地時間)にDropbox sign teamから発表されたインシデントに関連しているものと考えられる。
同発表では、メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定に加えて、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていたと報告されたいた。
2024/5/17
お客様のメールアドレス等の漏えい可能性に関するお知らせとお詫びについて – 株式会社阪神タイガース
https://hanshintigers.jp/news/topics/info_9339.html
株式会社阪神タイガース(以下、球団)が、株式会社YTE(以下、YTE)に管理を委託するデータの一部が、クラウドサービス環境の誤設定により閲覧が可能な状態となっていたことにより、外部に漏えいした可能性があることが判明いたしましたので、お知らせいたします。お客様には大変なご迷惑、ご心配をおかけいたしますことを、お詫び申し上げます。
直接の原因はクラウドサービス環境の設定ミスによるものと判明している。
私の周りにはなぜか熱烈なタイガースファンが非常に多いので、何人かに連絡してみようと思います。
今回はクラウド関連のニュースを取り上げてみました。
クラウドサービスは、業務利用だけでなく個人で利用するのが今では当たり前になっています。
クラウドサービス提供側とユーザー側とで責任の範囲が明確に分かれているので、
管理ができる範囲内のものは確認して安全にサービスを利用していきましょう。
担当:RT