富士薬品は3月24日、ビジネス版LINEである「LINE WORKS」で、誤操作により友だち登録している顧客160人を含めたトークルームを作成、それによりニックネームとアイコンといった顧客情報が相互に閲覧できる状態となってしまったと発表した（富士薬品、Security NEXT）。

顧客側で公開範囲を「全体公開」として設定している場合、LINEタイムラインへの投稿が、トークルーム内の顧客間でお互いに見られる状態になっていた。ただしトークルーム内での投稿などは行われなかったとしている。Security NEXTの記事によれば、富士薬品側がLINE WORKSを提供しているワークスモバイルジャパンにトークルームの削除方法を問い合わせたところ、削除手段は提供されていなかったとしている。このため、富士薬品は対象となる160名の顧客に対して個別にトークルームから退出してもらうように電話で案内したとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
韓国政府によるLINE通信傍受を報じた記事への反論ブログが一度削除。指摘後に復活へ 2021年03月31日
LINE Payの出入金や購入先含む決済情報は韓国サーバーに保管。サーバー管理はNAVERが担当 2021年03月24日
LINE個人情報問題が国や自治体へ影響。総務省も採用活動などへの使用中止へ 2021年03月19日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
LINEのトークなどを含む個人情報、中国の委託先技術者が閲覧できる状況に 2021年03月17日
大阪府知事・大阪市長は公用メールを使わない 2020年11月25日

情報処理推進機構（IPA）が、ブラウザの通知機能を悪用して偽の通知を表示させ、不審なサイトに誘導する手口が増えているとして、安易に通知を許可しないことや表示された通知表示の内容をよく確認する、誘導先のサイトでアプリをインストールや個人情報の入力を避けるといったことを求めている。TECH+のまとめを引用すると手口は次のとおりとされる（IPA、TECH+）。

1. CAPTCHA認証などを装った画面を表示させ、通知表示の「許可」を押させるように誘導する
2. 通知許可が得られたら、閲覧中に「パソコンがウイルスに感染した」「スマートフォンをクリーンアップしてください」などの通知を表示する
3. 通知表示をクリックさせ、不審なサイトへ誘導する

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
東大が独自の新型コロナ感染対策アプリ「MOCHA」を開発。学校内専用 2021年03月02日
COCOAのような緊急アプリはデジタル庁で開発主導へ。平井デジタル改革担当相 2021年02月08日
watchOS 7.3配信へ。国内でもApple Watchで心電図や心拍の通知機能が利用可能に 2021年01月28日
Apple Watchの不規則な心拍通知機能、誤検知で医療現場の負担を高めているとの研究成果 2020年10月03日
YouTube、電子メールによる更新情報通知を13日で廃止 2020年08月10日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日

Salesforce関連の設定不備による情報流出が相次いでいる問題で、両備システムズが第三者による不正アクセスがあったと発表した（両備システムズ 2021.02.12、両備システムズ 2021.02.15）。

対象となったのは同社が提供している自治体向けの健診・検診インターネット予約システム「Web住民けんしん予約」、住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」の三つ。この3システムを導入しているのは71団体に上るという。2月12日の19時点でこの71団体様のうち13の団体から第三者からの不正アクセスがあったと発表しているという（毎日新聞、Security NEXT、ScanNetSecurity、NHK）。

同社では2月1日中にシステムの設定変更を行ったとしている。日経新聞によればトラブルの発端は、Salesforceが2016年1月に投入したUIに含まれる「Lightning Experience」にあった可能性が高いとしている（日経新聞）。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
Salesforce利用企業の複数が設定不備から情報流出。楽天、PayPay、イオン、バンダイなど 2021年02月04日
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月08日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
NTTコミュニケーションズで「水平移動」型の不正アクセス、621社の情報流出の恐れ 2020年05月30日
日経グループの社員がメール経由でウイルスに感染、社員ら1万2514人分の個人情報流出 2020年05月15日

米フロリダ州にあるオールズマー市で、水道局の浄水システムがハッキングされ、飲料水の水酸化ナトリウム（苛性ソーダ）が100倍の濃度に設定という事故があったそうだ。職員が異常に気がついたため直接的な被害は発生しなかったという。長時間気がつかなかった場合は、住民に健康被害が出ていた可能性もある（CNN、Engadget、Reuters、Tampa Bay Times）。

この浄水システムの従業員用コンピューターには、外部からのメンテナンス用にリモートデスクトップアプリのTeamViewerがインストールされていたという。そのTeamViewerを何者かが遠隔操作で操作し、浄水システムを設定しようとしているのを監視担当の職員が発見した。

職員はTeamViewerが外部からコントロールされるときに表示されるポップアップに気がついた。ただ、上司が定期的にシステムにリモートアクセスしていたため、こうした表示が出るのは日常的な出来事だったそうだ。

しかし、その日は2度アクセスがあり、その2回目の操作では不正侵入者はマウスをドラッグしプログラムを開いてシステムを操作、水酸化ナトリウムの添加量を100ppmから11,100ppmに増やす設定をした。侵入者は3〜5分間ほど作業していたという。職員は侵入者が離脱した後に設定をすぐに元に戻したことでトラブルは防ぐことができたとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
スマート貞操帯がハッキングされ身代金を要求される。支払うも解除されず 2021年02月02日
日産の社内ツールやソースコードがサーバーの設定ミスで流出 2021年01月08日
APT29と見られる組織が米財務省などのメールを傍受。アップデートを改ざんして侵入か 2020年12月14日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
SNSを利用した空き巣にご用心 2020年11月11日
カプコンがランサムウェアの被害に。1100万ドルの身代金を要求 2020年11月10日
テレフォンバンキングがリバースブルートフォース攻撃される可能性について 2020年09月18日
米ルイジアナ州地裁、ランサムウェア攻撃を受けて裁判所文書が流出 2020年09月14日

Salesforceが提供しているサービスで、設定不備により顧客情報などが流出するトラブルが複数起きているようだ。内閣サイバーセキュリティセンター（NISC）も1月29日に注意喚起を求める文書を公開した（NISC[PDF]）。この文章では具体的な設定項目についての詳細は触れられていないが、日経クロステックの記事によれば、

「Salesforceサイトを有効に設定（インターネットに公開している）」などの3条件がそろうと、「セールスフォースが提供するクラウドサービスに保存した情報に第三者が特定の機能を用いてアクセス可能となり、情報が漏洩する可能性がある」

としている。同じ日経クロステックの別記事によると、1日までに楽天やPayPay、イオン、バンダイとBANDAI SPIRITSや 日本政府観光局（JNTO）[PDF]で、この設定不備の問題により顧客情報の流出が起きたとしている。この中の一番新しい被害と思われるバンダイの29日の発表によれば、氏名、住所、電話番号、メールアドレス、対応記録が第三者からアクセスされた可能性があるという。

なおITmediaの記事によると、NISCの担当者は現在の状況は「明らかになっているのは氷山の一角」と話している模様。Salesforce側は12月25日にこの問題に関する声明を発表しており、それによると、プラットフォームの脆弱性に起因するものではなく、公開サイト機能を利用ユーザーが適切な設定をしていないためことが原因としている（Salesforce）。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月08日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
過去最大の上場が一時停止。アリペイのアントグループ、上海・香港への上場を直前で停止発表 2020年11月04日
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日
NTTコミュニケーションズで「水平移動」型の不正アクセス、621社の情報流出の恐れ 2020年05月30日
日経グループの社員がメール経由でウイルスに感染、社員ら1万2514人分の個人情報流出 2020年05月15日

GitHubへの社内コード流出の件は、さまざまなところで波紋を呼んでいるようだ。コンピュータソフトウェア協会（CSAJ）は2日、「GitHubに関する対応とお願い」という声明を発表した（一般社団法人コンピュータソフトウェア協会、INTERNET Watch）。

簡単に言えば大手の発注元は、下請け企業などに対して、GitHubなどへのアクセスを禁止する方向に動かないでほしいというものとなっている。どうも今回の件で大手企業がGitHubへのアクセスを禁止する方向に動いている気配がある模様。このため、先のGitHubに関する対応とお願いでは、日本の抱える多重下請け構造のことやGitHubはソースコードを共有し合うサービスであり、開発の速度や質の面でも欠かせないサービスであると言うことを説得するような内容となっている。

同様にITmediaに掲載された「GitHubは悪者か? SMBCのソースコード流出から学ぶ、情報漏えいのリスク」という記事でも、

GitHubなどのエンジニアが利用するサービスを悪者にして一切の接続を禁止するといった“やったつもりのセキュリティ対策”はお薦めしません。

と同し懸念を指摘する一文が含まれている。こちらの記事では教育に力を入れて対処していくすべきだとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ソースコード流出事件を受けて、GitHubの監視サービスがスタート 2021年02月02日
年収を査定してもらうためとして、SMBC証券の業務コードを公開していたことが発見される 2021年01月29日
日産の社内ツールやソースコードがサーバーの設定ミスで流出 2021年01月08日
Microsoft、SolarWindsの悪用攻撃によりソースコードを閲覧される 2021年01月05日
流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み) 2020年11月06日
Microsoft、流出したWindows XPのソースコードをGitHubから削除するのに10日を要する 2020年10月12日

東京ガスの運営する恋愛ゲーム「ふろ恋 私だけの入浴執事」で、ウェブ会員1万365件分のメールアドレスとニックネームが流出していたことが判明したという。同社リリースによれば、1月28日にウェブ版アプリ内で海外アダルトサイトに誘導するリンクがあったことが判明。不正アクセスが疑われることから調査をしたところ、29日の夜に不正アクセスが確認されたとしている。対応としてウェブ版アプリの運用を停止したとしている。原因等は調査中だとしている（東京ガス、公式Twitter、東京新聞）。

なお「ふろ恋 私だけの入浴執事」は

入浴執事「フロピスト」の男性達と交流することで癒やされる、“頑張るあなたへ贈るおかえり入浴アプリ”です。

だそうです（4Gamer）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
2018年のコインチェック事件で、盗まれたNEMのマネーロンダリングに関与したと見られる31人を検挙 2021年01月26日
あいちトリエンナーレのメール配信システムに不正アクセス。なりすましメールが送信される 2021年01月06日
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月08日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日
チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 2020年11月20日

あるAnonymous Coward 曰く、

近年ではGitHubと連携するサービスが多々あるが、あるユーザーが「GitHubのコードで年収を査定してくれるサービスを使うため」という理由で、手元にあった会社のソースコードをそのままpublicリポジトリにアップロードして放置してしまい、それが発見されるという事件があり大騒ぎになっている（Togetter、経緯のまとめっぽいツイート）。

発端となったのはゲームを巡るTwtter上での炎上事件だったようで、炎上した結果個人情報などが調べられた末に、28日夜にGitHubに会社のコピーライト表記が入ったソースコードが公開されているのが判明。慌てた周囲の人が本人に問い合わせるも「それ単体では動かない」「商用利用していない」「GitHubは非公開にした」「デフォルトで公開になるとは思ってなかった」「コードから推定年収を計算してくれるサイトを使うために、手元にあったコードをすべてアップした」「どこで作ったコードか覚えていない」「明日営業さんに聞いてみる」と全く問題を理解していない感じの返答が続いて、逆に周囲が騒然となる事態となっている。

アップロードされていたソースのコピーライトとしては、SMBCやNTTといった企業の名が挙がっている。SNS上では、本人の危機意識の無さを嘆く一方、とばっちりでGitHub禁止令が出るのではと危惧する声や、多重請や派遣が溢れるのにコンプライアンス教育が徹底できるわけがないと業界構造の問題を訴える声も上がっている。

情報元へのリンク

日経クロステックによれば、この件を受けて三井住友銀行（SMBC）は流出したコードが行内システムのソースコードの一部と一致していたことを認めているという。セキュリティーに影響を与えるものではないことは確認済みだとしている。公開されていたコードは、複数ある事務系のシステムのエラーチェックに関するものだとしている。ITmediaによると関連する流出コードに対し、コピーライトに名前の出ている関係各社は対応に追われている模様（日経クロステック、ITmedia）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
日産の社内ツールやソースコードがサーバーの設定ミスで流出 2021年01月08日
新型コロナワクチンをリバースエンジニアリングする 2021年01月06日
Microsoft、SolarWindsの悪用攻撃によりソースコードを閲覧される 2021年01月05日
流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み) 2020年11月06日
YouTube動画のダウンロードツール「youtube-dl」関連プロジェクトを削除 2020年10月27日
本レビューサイト「ブクログ」、2年弱ソースコード上にメールアドレスが表示された状態に 2020年10月27日
Microsoft、流出したWindows XPのソースコードをGitHubから削除するのに10日を要する 2020年10月12日

あるAnonymous Coward 曰く、

埼玉県の新型コロナウイルス新規感染者情報ページで、一部の患者の氏名や検査機関と思われる個人情報が公開されてしまっていたらしい。公開されていた期間は25日午後5時から同10時半ごろまでの5時間半程であるようだ。(埼玉新聞、NHK、テレ朝NEWS)。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ランサムウェア被害にあったスコットランド環境保護庁、身代金は支払わないと明言 2021年01月23日
米非営利組織、App StoreでのTelegramアプリ公開差止を求めてAppleを訴える 2021年01月23日
ソフトバンク元社員、楽天モバイル転職時に機密情報を持ち出したとして逮捕。楽天は情報利用を否定 2021年01月15日
福岡県が管理する新型コロナ陽性者数千人分の個人情報が流出、経緯に不可解な点も 2021年01月07日

あるAnonymous Coward 曰く、

2018年1月に発生した仮想通貨取引所のコインチェックから不正アクセスで約580億円相当のNEMが盗まれた事件で、警視庁は盗まれたNEMと知りながら別の仮想通貨との交換に応じたとして、31人を組織犯罪処罰法違反の疑いで検挙した（NHK、日経新聞）。

盗まれたNEMは最終的に全額が換金されてしまったとみられるが、今回検挙された人々はそのうち計190億円分のマネーロンダリングに応じたとみられている。一方で、NEMを盗んだ犯人は未だ特定に至っていない。

情報元へのリンク

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
お名前.comが顧客に提供する管理ツールに脆弱性が見つかる、コインチェックなどがこれを狙った攻撃を受ける 2020年06月05日
国連の北朝鮮制裁に関する報告書からコインチェックへの言及が消える、北朝鮮の関与を示す根拠なし 2019年09月13日
北朝鮮、サイバー攻撃で5億ドル以上を稼いでいたとの試算 2019年03月18日
マカフィーが2018年10大セキュリティ事件を発表 2018年12月13日
ハードフォークで生じた仮想通貨を利用者に適切に付与することを求めた集団訴訟が提起される 2018年06月01日
暗号通貨に対する「Block withholding attack」が初めて確認される 2018年05月18日
コインチェックから流出したNEMの追跡打ち切り、犯人らはすでに匿名で換金済みか 2018年03月22日
流出したNEM、匿名ネットワーク上での交換を行う動きが確認される 2018年02月10日
仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される 2018年01月29日

1月12日に元ソフトバンク社員が社内の営業秘密を不正に持ち出したとして警視庁に逮捕されたそうだ。この人物は2019年末にソフトバンクを退職し、楽天モバイルに社員として転職していたという（ケータイ Watch、ITmedia）。

12日のソフトバンク側の発表によれば、この人物はソフトバンクの4Gおよび5Gネットワーク用の基地局設備の情報を持ち出したとしている。顧客などの個人情報についてはアクセス権がなかったことから持ち出しはされていないとのこと（ソフトバンク）。

この発表を受けて、楽天モバイル側も同日にリリースを出している。従業員1名が、不正競争防止法違反の容疑により逮捕されたことは認めつつも、この従業員が前職により得た営業情報を業務に利用していたことはないと否定している（楽天モバイル）。

東洋経済の記事では、持ち出しの手法についての解説が行われている。これによれば、容疑者はソフトバンク在籍の最終日に社内サーバーに接続し、機密情報を自分の別メアドに送信するという単純な手法であったようだ。同記事ではソフトバンク側の情報管理体制にも問題があったと指摘している（東洋経済）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 携帯電話 | 携帯通信 | 情報漏洩 |

関連ストーリー：
楽天モバイル、「Rakuten UN-LIMIT」の契約申し込み数が200万回線突破 2021年01月04日
楽天モバイルが総務省に周波数再編とプラチナバンド割り当てを要求 2020年12月26日
ソフトバンクが月額2980円・20GBのahamo対抗料金プランを発表。LINE使い放題が特徴 2020年12月22日
総務省、代理店がマンション関係者を装いSoftBank Airの営業したとしてソフトバンクを指導 2020年12月16日
ソフトバンク、Boston Dynamicsをヒュンダイに売却へ 2020年12月14日
MMD研究所、11月の携帯電話料金の調査結果発表。大手3キャリアは平均8000円以上 2020年12月03日
KDDI、楽天モバイルへのローミングエリアを一部終了。東京都は2021年3月末までに停止へ 2020年10月29日

AppleのワイヤレスヘッドフォンAirPods Maxで、数時間使用するとイヤーカップ内部に結露が発生することが話題になっている(Mac Rumorsの記事、 Forbesの記事、 9to5Macの記事、 iPhone in Canada Blogの記事)。

報告によれば、結露が発生するまでの使用時間は1時間～数時間で、外気温にかかわらず発生するという。耳を覆う形のヘッドフォンを気温の高いときに使用するとイヤークッションが汗で湿って不快なこともあるが、AirPods Maxのイヤークッションは湿っておらず、取り外すとアルミニウム製のイヤーカップ内部に結露がみられるとのこと。水滴が流れるほどの結露が発生することもあるようで、防水でないAirPods Maxでは故障の可能性もある。水と無関係な故障でも水没と判定されることを懸念する人もいるようだ。

すべて読む | セキュリティセクション | ハードウェア | アップル | 音楽 | 情報漏洩 |

関連ストーリー：
イタリア当局、iPhoneの防水機能に関する宣伝と製品保証についてAppleに1,000万ユーロの制裁金 2020年12月01日
Apple、製品のお手入れ方法に消毒剤の使い方を追記・取り消し 2020年03月13日
Apple、クレジットカードのお手入れの方法を公開 2019年08月24日
イヤホンの長時間使用で、耳の穴の中にカビが生えることがある 2019年06月14日
HP、耳をアクティブに冷却するゲーミングヘッドセットを発表 2018年06月02日
iPhone4 の受信障害、解決策は「そこを触るな」 2010年06月28日

あるAnonymous Coward 曰く、

TBS系列のJNNによると、新型コロナウイルス陽性患者・数千人分の個人情報の記載された福岡県の内部文書が少なくとも1か月以上に渡ってインターネットに公開されていたという（TBS NEWS）。

報道されたニュース映像では、氏名、年齢、性別、市区町村レベルの住所、詳しい症状といった要配慮個人情報がGoogle スプレッドシートで管理され、適切なアクセス制限が行われていなかったことが伺える。しかし、Google スプレッドシート文書は誤ってアクセス制限を行わなずに公開したとしても、ランダムに発行される共有URLを知らなければアクセスすることはできない。

発覚のきっかけは、去年11月末に神奈川県在住の無関係の男性の元に内部文書が送られてきたことだという。この男性は福岡県に連絡したものの、第三者が内部文書にアクセスできる状態が1か月あまりも続き、（おそらくは男性からの情報提供を受けた）JNNが取材したところ、1月6日になってネット上から削除されたとのこと。

漏洩の件数や内容を考えると重篤なインシデントと言えるが、男性に文書を送ったのは何者なのか？ どうして共有URLを知っていたのか？ なぜ無関係の男性に文書を送ったのか？ なぜ県は1ヶ月も放置したのか？ など、謎が尽きない。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ポイ活ブラウザ「SMOOZ」サービス終了のお知らせ 2020年12月24日
中国・東莞市、市民の反発を受けて顔認識トイレットペーパーディスペンサーの使用を中止 2020年12月09日
オリックス系旅館・ホテル運用会社で個人情報入りのサーバーまるごと紛失 2020年12月10日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日
チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 2020年11月20日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
日産の社内ツールやソースコードがサーバーの設定ミスで流出 2021年01月08日

サイバーセキュリティ企業のFireEyeが8日、サイバー攻撃により同社の所有する攻撃診断ツール「Red Team」が盗まれたと発表した（FireEye、ITmedia）。

このツールは、多くのサイバー攻撃役を模倣し、その攻撃パターンを再現する機能を持つようだ。これまでFireEyeは、このツールを使用して診断セキュリティサービスを提供してきたとしている。同社は今回の攻撃は、過去の経験から国家による攻撃だと断言した。過去に目撃したことのない新しい技術の組み合わせを使用して攻撃を行ってきたとしている。なお、同社はGitHub上で、このツールを使った攻撃への対策をするためのツールを公開したとのこと。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
ベトナム政府、新型コロナウイルス対策のため中国政府機関に対しサイバー攻撃を仕掛けていた？ 2020年04月28日
セキュリティソフトウェアの多くが当面はWindows 7をサポート 2020年02月01日
中国のサイバー攻撃集団によるものとみられる医療業界を狙った攻撃、2013年より継続中との分析 2019年08月28日
OneDriveに保存したファイルを使用するマルウェア・フィッシング攻撃が急増 2019年06月30日
中国の掲示板サイトで日本人のものと見られる大量のメールアドレス/パスワードが販売される 2018年05月21日