更新：2023/11/10

平素より予防法務協会をご利用いただきありがとうございます。

直近に発生したサイバーリスク関連の「インシデント・脆弱性情報」「政策・立法関連情報」等をまとめて皆様に月１回、配信させていただいております。

企業経営者・従業員が把握しておくべき、サイバーリスクに関する最近のインシデント、政策、社会的動向等を紹介します。

新聞等で取り上げられないものも含め、世の中でどのようなサイバーインシデントが発生しているのかを把握するのにお役立ていただければと存じます。

┌―――目次――――――――――――――┐

　１：インシデント・脆弱性情報等

　２：政策・立法関連

　３：対策

　４：その他

└―――――――――――――――――――┘

１．インシデント・脆弱性情報等

◇2023/9/5　高知県の委託事業者　登録制サイトに約4,300件の個人情報を誤掲載

高知県の委託事業者は9月5日、同社が運営する登録制サイトへの誤掲載により個人情報が漏えいしたことを公表した。

登録制サイトは林業事業者向けのデータダウンロードサービスとして、登録した林業事業者がIDとパスワードでログイン後に利用可能なサービスであるという。

高知県によると、5月17日から8月24日の期間で、同サイトに公開したファイルの一部に森林所有者の氏名と一部の住所が含まれていたという。

委託事業者によると、8月24日に高知県の担当者からの連絡で発覚したとのこと。

同社は、ダウンロードした事業者を特定し、当該事業者が他者にデータを渡していないことを確認の上、データの削除依頼を行ったという。公表時点で、第三者への情報漏えいの事実は確認されていないという。

高知県は、該当者へのお詫びを行い、同社に対して再発防止策の強化を指導するとしている。

同社も情報管理と再発防止策の徹底を図るとしている。

◇2023/9/6　某精肉店　HP改ざんにより4日間サイト閉鎖

某精肉店は9月6日深夜、不正アクセスによるホームページ改ざんと、メール配信システムの悪用について公表した。

同社が運営するホームページには「2023年9月1日付で破産手続きを開始いたしました。」という事実と異なる内容が掲載されていたという。

また、同社小売店舗で利用しているメールマガジン配信システムが不正アクセスを受けた可能性があるとのこと。

一部のユーザにメールが配信され、一部顧客のメールアドレスが漏えいした可能性があるという。

公表時点で、メールアドレスが悪用されたことによる被害は報告されていないとのこと。

9月6日、同社は不正アクセスを受けたサーバではない新規サーバでホームページを復旧し、配達及びECサイトの利用も再開したという。

メールマガジンサービスは停止しており、当面の間はホームページやX（旧Twitter）にてお知らせを掲載するとしている。

なお、配達及びECサイトは不正アクセスを受けたサーバとは異なるサーバやシステムで運営しており、クレジットカード情報ならびに個人情報の漏えいはないとしている。

◇2023/9/26　某特殊法人に不正アクセス　2万件超の個人情報漏えいの可能性

某特殊法人は9月26日、同法人の業務用サーバが不正アクセスを受け、従業者等の個人情報が漏えいした可能性があることを公表した。

漏えいした可能性のある個人情報は、同法人職員、スタッフ、委託業務従事者23,435名分のアカウント情報である氏名・メールアドレス・部署・役職名・内線番号・ユーザID・ハッシュ化されたパスワードとし、公表時点で不正利用等の二次被害は確認されていないという。

不正アクセスを受けたサーバには「受信契約者情報」や「取材に関する情報」は一切含まれていないとしている。

7月31日、システム侵害の可能性があることが判明した後、同法人は個人情報保護委員会へ報告するとともに、外部調査機関にも協力依頼をしたという。

調査の結果、個人情報が外部へ漏えいした明確な証拠は確認できていないが、個人情報漏えいの可能性が完全に否定できないことから、対象者には電子メール等にて通知するとしている。

同社は、引き続きセキュリティ対策の強化に努めるとしている。

◇2023/9/27　某衣料品メーカーの海外子会社に不正アクセス　システム稼働に支障

某衣料品メーカーは9月27日、英国子会社の社内ネットワークが不正アクセスを受けたことについて公表した。

9月19日、正常なシステム稼働に支障が生じ、公表時点で外部専門家からの助言のもと、システムの復旧対応や事業活動に対する障害への対処等を行っているという。

また、取引先等の関連業者に対してシステム障害の影響について通知を実施したという。

同不正アクセスは、英国子会社にとどまり、同社グループのシステムには影響がないことを外部専門家と確認しているという。

同社グループの当期業績予想に及ぼす影響については、公表時点で調査中としている。

なお、一部報道は、本件により業務の一部が1週間以上停止したと報じている。

◇2023/9/29　某教育関連会社のシステム開発サーバへ不正アクセス　個人情報漏えいの可能性

某教育関連会社は9月29日、同社の学習支援システム開発サーバへの不正アクセスにより個人情報が漏えいした可能性があることを公表した。

同社は9月12日に第三者による不正アクセスを確認し、調査を行ったところ、5月16日以降複数回の不正アクセスにより顧客情報及び教材情報の一部が漏えいした可能性があることが判明したという。

漏えいした可能性のある情報は1,249名分の氏名・ID・一部受講情報で、メールアドレス・性別・生年月日・住所・電話番号・クレジットカード情報は含まれていないとしている。

同社は再発防止策として、既に通信制限等のセキュリティ強化やアカウントのID・パスワードをより強固なものに変更する等の対応を行っているとのこと。

また、同社内の開発サーバの運用体制が不十分であったとし、健全な開発運営を行うことができるよう改善に努めていくとしている。

◇2023/9/30　県のパソコンへサポート詐欺　マイナンバー含む個人情報が漏えいの可能性

三重県は9月30日、同県の施設において職員のパソコンが不正アクセスを受け、施設が保有する個人情報が漏えいした可能性があることを公表した。

県によると、9月12日に職員がインターネットを閲覧していた際に警告画面が表示され、記載の電話番号に電話をして指示に従ったところ、気づかぬうちに遠隔操作のできるソフトウェアがインストールされていたという。

その後、問題なくパソコンが利用できていたが、9月22日に画面上で身に覚えのないソフトが起動し、遠隔操作されていることに気づいたとのこと。

ウイルスチェックを行ったところ、ウイルスに感染していることが判明し、施設の保有する個人情報が外部に漏えいした可能性があると判断したという。

漏えいした可能性のある情報は、氏名・住所・電話番号・ファックス番号・メールアドレス・生年月日と、聴覚障がい者の障害者手帳情報、手話通訳者と要約筆記者等の振込先口座・保有資格・マイナンバーであり、総数は1,212名分としている。

漏えいの有無については公表時点で調査中とし、対象者へはお知らせとお詫びの通知を行ったとのこと。

同県は再発防止策として、職員へ適切な初期対応と個人情報の取り扱いについての研修を行うとしている。

また、長野県も9月13日、サポート詐欺による個人情報漏えいが生じた可能があることを公表している。

◇2023/10/2　某サービス運営会社のサーバへ不正アクセス　データ削除や個人情報の不正利用を確認

某サービス運営会社は10月2日、同社のサーバが不正アクセスを受けたことに関する報告書を公表した。

同社によると、個人情報の窃取や不正利用が発生したほか、サーバ内のデータが削除され通常業務を行うことが困難な状況に陥ったという。

原因は外部のメルマガ管理システムがサイバー攻撃を受けたことによるもので、同社は既に当該システムを利用していなかったものの、サーバ上で保管していたことから攻撃の対象となったとしている。

漏えいした可能性のある情報は、個人利用者の氏名・生年月日・住所・電話番号・メールアドレス・職種等、求人応募者の最終学歴・職務経歴、法人利用者の氏名・年齢・住所（都道府県のみ）・電話番号・メールアドレス・職種等の合計33,670件で、退会済の顧客データも含まれるとしている。

なお、決済については外部に委託しているため、クレジットカード情報等の漏えいはないとしている。

同社によると、不正に取得した個人情報を利用し、犯罪行為を示唆し閲覧者の不安を煽る内容のメールの送信や掲示板の書き込み等を確認しているという。

同社は再発防止に向けWebサーバの遮断や対象者への注意喚起、外部専門家との事実関係調査、警察ならびに個人情報保護委員会への報告等を行ったとしており、今後については外部専門家による脆弱性診断やプラットフォーム診断、WAFの導入、ファイアウォールからのIP制限をはじめ、外部専門家及びセキュリティ監督委員会等の提言を踏まえたセキュリティ強化の検討等を行うとしている。

また、富山県は同社に事業を委託しており、44名分の個人情報が漏えいしたことを公表している。

◇2023/10/11　某教育関連会社のECサイトへ不正アクセス　個人情報とカード情報が漏えいか

某教育関連会社は10月11日、同社が運営するECサイトが不正アクセスを受け、顧客の個人情報ならびにカード情報が漏えいした可能性があることを公表した。

同社によると、7月27日に一部のクレジットカード会社からカード情報の漏えい懸念について連絡を受け、同日にカード決済を停止し同サイトを閉鎖、第三者機関による調査を開始したという。

8月27日に完了した調査の結果、2021年3月2日から2023年7月18日の期間に同サイトを利用した顧客のクレジットカード情報が漏えいし、一部の顧客については不正利用された可能性があることを確認したという。

原因は、同サイトのシステムの一部の脆弱性を突いたことによるペイメントアプリケーションの改ざんによるものだとしている。

漏えいした可能性のある情報は、2021年3月21日から2023年7月18日の期間に同サイトでクレジットカード決済を行った顧客23,309名分のカード名義人名・カード番号・有効期限・セキュリティコードと、過去に同サイトを利用した顧客最大25,326名分の氏名・住所・電話番号・メールアドレス・購入履歴・性別・生年月日・会社名・ファックス番号とのこと。

対象者へは個別にメールまたは書状にて連絡をするとし、クレジットカードの利用明細に身に覚えのない請求がないか確認をするよう呼び掛けている。

不正アクセスを受けたECサイトは7月18日に閉鎖し、異なるプラットフォームを利用した新システムにリニューアルをしているが、公表時点で運営を停止しているとのこと。

不正アクセスを受けたシステムと相関関係がないことを確認し、より堅牢なシステムで運営を再開するとしている。

同社は所轄警察署ならびに個人情報保護委員会への報告を済ませており、今後捜査にも全面的に協力するとしている。

◇2023/10/16　某古本小売会社　サーバ設定の不備で個人情報が漏えい

某古本小売会社は10月16日、同社ウェブサイトにおける個人情報漏えいに関して続報を公表した。

同社によると、10月9日に同社ウェブサイト上で受付を開始した抽選申込画面において、複数の抽選申込者より自身と異なる申込者の情報が表示されると指摘を受けたという。

同社は受付開始から2時間後に抽選受付を停止、同日中に「緊急対策本部」を設置の上、同サイトの保守受付先と調査を開始したという。

調査の結果、10月9日18時から20時に抽選申込を完了または入力内容の確認画面まで進んだ顧客の個人情報が漏えいした可能性があることが判明したとのこと。

漏えいの可能性がある情報は、最大99名分の氏名・生年月日・住所・電話番号・メールアドレスとしている。

原因はサーバ設定の不備によるもので、本来保存されないキャッシュが保存されていたことにより、一定の条件下で他の顧客の確認画面に表示されてしまったとしている。

同社は対象者への個別対応について検討を進めており、再発防止策については準備が整い次第改めて開示するとしている。

◇2023/10/24　某情報通信会社の社内システムへ不正アクセス　標的型攻撃でファイル持ち出し

某情報通信会社は10月24日、社内システムが不正アクセスを受けたことに関する最終報を公表した。

調査の結果、不正アクセスは同社を狙った標的型攻撃であり、攻撃により一部社員のアカウント・パスワード情報が窃取されたことに起因しているという。

攻撃者は6名のアカウント・パスワードを利用して社内端末に侵入し、クラウド上に保管していた20ファイルが閲覧またはダウンロードされたとのこと。

また、パートナー会社向け教育サイトが侵入を受け、バックドアの設置を試行されたという。

なお、当該ファイルは全て同社の作業資料であり、顧客から受領した資料や顧客へ納品する資料は含まれていないとのこと。

同社はこの攻撃についてSOCで検知を行い、CSIRTがアクセスを遮断したため被害は局所化しており、以降のサイバー攻撃は発生していないとしている。

原因は、多層防御のうち一部で対応していないシステムが存在していたことと、一部の社員が推測可能なパスワードを利用していたことが重なったためとしている。

同社は再発防止策として、暫定措置として多層防御に対応していないシステムへの社外からのアクセスを停止し、全社員のパスワードを強度が高いものへ変更したという。

侵害された端末やシステムについては分析をしており、利用再開に向け対策を講じて再構築を行うとのこと。

そのうえ、社外からアクセスされる全てのシステムで多層防御を徹底し、継続的に攻撃のモニタリング強化を図るとしている。

２．政策・立法関連

◇2023/10/5-6　NISCが日ASEANサイバーセキュリティ官民共同フォーラムを開催　　覚書締結

内閣サイバーセキュリティセンター（NISC）は10月5日及び10月6日で、日AESAN友好協力50周年を記念し、「日　ASEANサイバーセキュリティ官民共同フォーラム」を都内で開催したという。

同フォーラムは、サイバーセキュリティ分野における日本とASEAN諸国との国際的な連携と取り組みを強化することを目的としているという。

NISCによると、日ASEANの民間団体間における覚書の署名式が行われ、ブルネイ・カンボジア・インドネシア・日本・マレーシア・フィリピン・シンガポール・タイ・ベトナムの9か国のセキュリティ業界団体等が同覚書を締結したという。

同覚書の締結により、サイバーセキュリティにおける各国の脅威やインシデント及びその解決策に関する情報交換を行い、セキュリティ意識向上と能力開発のために、組織メンバー間の協力を促進していくとしている。

日　ASEANサイバーセキュリティ官民共同フォーラムの結果　ーNISC

◇2023/10/11　第7回経済安保分野におけるセキュリティ・クリアランス制度等に関する有識者会議を開催

内閣官房は10月11日、第7回経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議を開催した。

セキュリティ・クリアランス制度は、国家における情報保全措置の一環であり、政府保有の安全保障上重要な情報として指定を受けた情報にアクセスする必要がある者に対して、政府が信頼性を確認した上でアクセスを認める制度。

同有識者会議は、総理の指示を受けて2月21日に設置された。第7回有識者会議では、この新しい制度の基本的な骨格として、経済安全保障上の重要な情報の秘密指定・指定解除、経済安全保障上の重要な情報の管理・提供ルール、漏えいや不正取得に関する罰則の3つが掲げられた。経済安全保障上重要な情報を指定するにあたっては、6月6日に公表した中間論点整理における、「我が国として真に守るべき政府が保有する情報に限定する」という基本的な考え方を踏まえ、範囲を適切に画していくため情報を整理していくべきとしている。

経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議　ー内閣官房

３．対策

◇2023/9/26　警視庁がメタバース空間内にサイバーセキュリティセンターを設置

警視庁は9月26日、メタバース空間（バーチャル秋葉原）内に警視庁サイバーセキュリティセンターを開所し、広報啓発エリアを公開したことを公表した。

バーチャル秋葉原内のサイバーセキュリティセンターではその開設の目的を、都民へサイバー空間に潜む危険性やサイバーセキュリティ対策について必要な情報を広く提供するためとしている。

警視庁は、同空間を通じて、サイバーセキュリティ対策の大切さについて理解し、意識を高めてほしいとしている。

なお、同センターはインシデント対応訓練にも活用する予定とのこと。

同センター内では、警視庁作成のサイバーセキュリティに関する動画を視聴することができ、サイバーセキュリティの意識を高めることができるという。

また、サイバーセキュリティ以外にも、振り込め詐欺防止対策等の広報動画も一部視聴することができるようになっており、幅広い年齢の人がメタバース空間を体験し、各種犯罪の防止に役立ててほしいとしている。

メタバース空間内に警視庁サイバーセキュリティセンターを設置　ー警視庁

◇2023/9/27　警察庁・NISC　中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について（注意喚起）

警察庁及び内閣サイバーセキュリティセンター（NISC）は9月27日、米国家安全保障局（NSA）、米連邦捜査局（FBI）及び米国土安全保障省サイバーセキュリティ・インフラ庁（CISA）とともに、中国を背景とするサイバー攻撃グループBlackTech（ブラックテック）によるサイバー攻撃に関する注意喚起を合同で発出したという。

目的は、BlackTechによるサイバー攻撃の手口を公表することで、脅威を認識するとともにサイバー攻撃の被害拡大を防止するための適切なセキュリティ対策を講じてもらうことという。

BlackTechは、初期侵入ではインターネット接続したネットワーク機器に対し、ソフトウェアの脆弱性、ネットワーク設定の不十分さ、サポート切れの機器・ソフトウェア等をサイバー攻撃するという。

また、足がかりとなる侵害拠点を構築したのち、内部のルータを通じて、本社や別の拠点のネットワークへ侵入を拡大するという。

そのため、特に複数拠点を有するネットワーク管理事業者は、自組織のみならず関連グループ組織、システム開発・保守業者等と連携の上、対策することが必要としている。

ルータの侵害手口では、稼働中のシスコ製ルータのファームウェアを改変されたファームウェアに取替えることが確認されているという。

悪意のあるサイバー活動のログを隠蔽し、長期的に標的ネットワークへのアクセス維持をするためと考えられている。

リスク低減のための主な対処例としては、セキュリティパッチ管理の適切な実施、端末の保護、ソフトウェア等の適切な管理・運用とネットワーク・セグメンテーション、本人認証の強化と多要素認証の実装、アカウント等の権限の適切な管理・運用、侵害の継続的な監視、インシデント対応計画とシステム復旧計画の作成等、ゼロトラストモデルに基づく対策としている。

また、ネットワークの不審な通信を検知した際には、速やかに所管省庁、警察、セキュリティ関係機関等に情報提供するよう呼び掛けている。

中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について　ー警察庁・NISC

４．その他

◇2023/9/15　TikTokがGDPRに違反　アイルランドデータ保護委員会より約546億円の制裁金

アイルランドデータ保護委員会は9月15日、動画投稿SNS「TikTok」がGDPRに違反したとして現地法人へ3億4,500万ユーロ（日本円で約546億円）の制裁金を科すことを公表した。

当局によると、2020年7月31日から12月31日の期間において、TikTokにおける子どもの個人情報の取扱いについて調査を行ったとのこと。

調査の結果、GDPRの複数の条項に違反していたことが明らかになったという。

具体的には、ユーザが子どもであっても初期設定でプロフィールが公開設定となっていた点、ペアレンタルコントロールの設定において親アカウントが実際の保護者であるかの確認がなされていなかった点、子どもに確かな透明性のある情報を提供しなかった点等が問題点として挙げられている。

これを受けて当局は、制裁金3億4,500万ユーロと、3か月以内の情報の取扱い是正を勧告した。

Irish Data Protection Commission announces €345 million fine of TikTok　ーIrish Data Protection Commission

◇2023/9/21　警察庁　令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について

警察庁は9月21日、「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公表した。

本資料は、脅威の情勢を示す指標、事例とともに、サイバー空間における安全・安心の確保に向けた警察の主な施策等を3部構成で取りまとめたものという。

第１部「令和5年上半期における脅威情勢の要点」では、脅威概況としてランサムウェア被害が103件と引き続き高水準で推移をし、フィッシング被害等に伴うクレジットカード不正利用被害やインターネットバンキングでの不正送金被害も急増しているとしている。

これまでよく見られたランサムウェア攻撃は、データを暗号化して窃取し、暗号化されたデータの復号や外部公開の阻止するための二重恐喝で対価を要求するものであったが、最近の事例では「ノーウェアランサム攻撃」と呼ばれる手口が確認されたという。

ノーウェアランサム攻撃は、データを暗号化することなくデータの外部公開を阻止するために対価を要求するものであり、新たに6件確認されたという。

第2部「脅威の情勢」では、標的型メール攻撃の傾向として、メールの添付ファイルからフィッシングサイトへ誘導するものや、実在する人物を装ってメールを送り、複数回のやり取り後に不正プログラム（マルウェア）のファイルを送り、実行させるものが確認されているという。

第3部「サイバー事案の検挙状況等」では、令和5年上半期におけるサイバー事案の検挙件数は1,181件であったという。不正アクセス禁止法違反の検挙件数は前年同期対比で45件減の188件であり、内83.5%の157件が識別符号窃用型であったという。

識別符号窃用型の不正アクセス手口では「利用権者のパスワード設定・管理の甘さにつけ込んで入手」が最も多い61件であり全体の38.9%を占めているという。

令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について　ー警察庁

__________________________________________________________________________________

▼内容についてのご相談・ご確認は　白根（support@prev-legal.com）までご連絡ください。

▼本サービスの内容の全部又は一部については、お客様社内での利用に限ります。

二次利用、引用、転載、複写、商業目的での利用等を行うことはできません。

__________________________________________________________________________________