先週のサイバー事件簿 - 千葉県の小中学校でランサムウェア被害、自力復旧を目指す
8月29日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
○千葉県南房総市、小中学校の校務ネットワークが不正アクセス被害
千葉県南房総市教育委員会は、市内の小中学校が使用する校務ネットワークが第三者による不正アクセスを受けたことを明らかにした。この不正アクセスにより、サーバーに障害が発生。使用を停止している。
不正アクセスは、2022年7月17日の午前3時30分に市の委託事業者がサーバーとの通信ができないことを確認。調査の結果、ランサムウェア攻撃を受けこれに感染したことが判明した。以降はネットワークを遮断し、影響範囲や侵入経路などを調査している。
ランサムウェア攻撃による被害は、約2,000人の個人情報の暗号化。市内12の小中学校における児童生徒の過去3年分の成績表、出欠、住所、氏名、保護者連絡先、身長、体重などの情報が閲覧できなくなった。
ランサムウェア攻撃は、ロシアを拠点とするハッカー集団「ロックビット3・0」によるものと見られており、金銭を払わないと情報をインターネットに公表するという脅迫も受けている。南房総市教育委員会は、金銭を払わずに9月までに自力での復旧を目指すとのことだ。
○東京都、個人情報を匿名化せずにWebで公開する事故
東京都は8月26日、公表した命令書に個人情報を記載したまま、東京都公式ホームページと東京都労働委員会ホームページに掲載していた発表した。
東京都労働委員会では、不当労働行為救済申立事件について、当委員会が発出した命令書の概要を東京都公式ホームページと東京都労働委員会ホームページに掲載している。その際、本来は匿名化すべき個人情報を匿名化せずに掲載していた。
掲載時期は、東京都労働委員会ホームページが2022年8月24日17時00分ごろ、東京都公式ホームページが8月25日17時00分ごろ。表示していた内容は、個人A氏の苗字が6カ所、B氏の氏名が1カ所となる。
事態を把握後、2022年年8月26日11時50分ごろに、東京都労働委員会ホームページの当該ページの個人名を削除、15時20分ごろに東京都公式ホームページの当該ページの個人名を削除している。
○大阪市、こども青少年局でメール誤送信-個人情報が漏えい
大阪府大阪市は、大阪市こども青少年局保育企画課においてメールの誤送信があったことを公表した。これにより個人情報と法人情報が流出している。
誤送信は2022年8月25日に発生。保育企画課の職員が民間保育施設の運営状況に関する資料を課内の関係職員と共有するためメールを送信。その後、資料の差し替えが生じメールを再送信しようとしたところ、前回送信したメールの宛先のうち1名が本来送信すべき本市職員と同姓の別の民間保育施設職員だったことが分かった。流出した情報は、民間保育施設職員の苗字および雇用形態8名分と、運営状況についての内容となる。
同市は事態判明後、メールの誤送信先となる民間保育施設職員に連絡し、メールの添付ファイルを開いていないことを確認。削除するよう依頼した。流出した情報元となる民間保育施設にも連絡し、園長と職員8名に経過の説明と謝罪を行っている。
再発防止策として、メールを送信する際の宛先確認の徹底、個人情報や法人情報を含む資料を課内で共有する場合は課内共有フォルダに保存することなどを、職員に周知徹底するとしている。
○長野県松本市、新型コロナウイルス感染症に関するメールを誤送信
長野県松本市は8月25日、市立小中学校で発生した新型コロナウイルス感染症に関するメールの誤送信があったことを公表した。これにより個人情報が一部の保護者に流出している。
誤送信は、生徒の感染情報を3通のメールで送付する際、最初の2通を校長宛てで送ったものの、3通目の送信先を「全体」としてしまった。保護者からの電話で誤送信が発覚しメールを削除したものの、すでに206人(うち保護者194人)が閲覧済みだった。
流出したのは感染児童生徒1名の個人情報で、保護者・教職員あわせて642人に送信。情報の詳細は、学級、氏名、療養状況、家族構成、検査結果、濃厚接触者となった児童生徒3名の姓。
同市は再発防止策として、今年度から全校で導入して10月に運用開始予定の連絡システムによる連絡を徹底する。このシステムでは、保護者と教職員に同時に送信するリスクがなくなるとのこと。また、メールを送信する際には複数人で宛名を確認、教職員に対してのメール送信に関する研修なども実施する。
○プラネックスコミュニケーションズのネットワークカメラ「スマカメ」に脆弱性
プラネックスコミュニケーションズのネットワークカメラ「スマカメ CS-QR10」と「スマカメ ナイトビジョン CS-QR20」に複数の脆弱性を確認している。対象の製品は以下の通り。
スマカメ CS-QR10
スマカメ ナイトビジョン CS-QR20
脆弱性は、ハードウェアインタフェースに対する保護機構の欠如、およびバックドア。これらを放置すると、攻撃者が当該製品のインタフェースにシリアル接続したり、Web管理インタフェースへログインされたり可能性がある。当該製品上で任意のOSコマンド実行もあり得る。
すでに「スマカメ」のサポートは終了しているため、アップデートによる修正の可能性はないと考えてよい。ローカルネットワークで使用する場合は、管理者パスワードなどを変更すること。早めに使用を中止し、代替製品へのリプレースを行うべきだ。
○Apple、iOS 12のセキュリティアップデートを公開
Appleは8月31日、iOSのセキュリティアップデートを公開した。アップデート後のバージョンは「iOS 12.5.6」となる。
修正した脆弱性は、領域外書き込みに関するもの。悪意のあるWebコンテンツを処理すると、任意のコード実行の可能性がある。この脆弱性は実際に悪用の報告があったので注意が必要だ。
対応機種は、iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、iPod touch(第6世代)。該当するデバイスを使用している場合は、できるだけ早期にアップデートすること。
○Google、脆弱性24件を修正したChrome最新バージョン「105」
Googleは8月30日、Chromeの最新バージョン「105」を公開した。Windows向けが「105.0.5195.52/53/54」、macOSおよびLinux向けが「105.0.5195.52」となる。
今回のアップデートでは、「緊急」1件、「高」9件、「中」9件、「低」3件を含む24件の脆弱性を修正している。「緊急」の脆弱性は、Network Serviceにおける解放後のメモリ使用に関するもの。「高」の脆弱性では、レイアウトやWebSQLでの解放後のメモリ使用、スクリーンキャプチャでのヒープバッファ オーバーフローなどを修正している。
多くの脆弱性を修正しているため、Chromeを使用している場合は早急にアップデートすること。
○千葉県南房総市、小中学校の校務ネットワークが不正アクセス被害
千葉県南房総市教育委員会は、市内の小中学校が使用する校務ネットワークが第三者による不正アクセスを受けたことを明らかにした。この不正アクセスにより、サーバーに障害が発生。使用を停止している。
不正アクセスは、2022年7月17日の午前3時30分に市の委託事業者がサーバーとの通信ができないことを確認。調査の結果、ランサムウェア攻撃を受けこれに感染したことが判明した。以降はネットワークを遮断し、影響範囲や侵入経路などを調査している。
ランサムウェア攻撃は、ロシアを拠点とするハッカー集団「ロックビット3・0」によるものと見られており、金銭を払わないと情報をインターネットに公表するという脅迫も受けている。南房総市教育委員会は、金銭を払わずに9月までに自力での復旧を目指すとのことだ。
○東京都、個人情報を匿名化せずにWebで公開する事故
東京都は8月26日、公表した命令書に個人情報を記載したまま、東京都公式ホームページと東京都労働委員会ホームページに掲載していた発表した。
東京都労働委員会では、不当労働行為救済申立事件について、当委員会が発出した命令書の概要を東京都公式ホームページと東京都労働委員会ホームページに掲載している。その際、本来は匿名化すべき個人情報を匿名化せずに掲載していた。
掲載時期は、東京都労働委員会ホームページが2022年8月24日17時00分ごろ、東京都公式ホームページが8月25日17時00分ごろ。表示していた内容は、個人A氏の苗字が6カ所、B氏の氏名が1カ所となる。
事態を把握後、2022年年8月26日11時50分ごろに、東京都労働委員会ホームページの当該ページの個人名を削除、15時20分ごろに東京都公式ホームページの当該ページの個人名を削除している。
○大阪市、こども青少年局でメール誤送信-個人情報が漏えい
大阪府大阪市は、大阪市こども青少年局保育企画課においてメールの誤送信があったことを公表した。これにより個人情報と法人情報が流出している。
誤送信は2022年8月25日に発生。保育企画課の職員が民間保育施設の運営状況に関する資料を課内の関係職員と共有するためメールを送信。その後、資料の差し替えが生じメールを再送信しようとしたところ、前回送信したメールの宛先のうち1名が本来送信すべき本市職員と同姓の別の民間保育施設職員だったことが分かった。流出した情報は、民間保育施設職員の苗字および雇用形態8名分と、運営状況についての内容となる。
同市は事態判明後、メールの誤送信先となる民間保育施設職員に連絡し、メールの添付ファイルを開いていないことを確認。削除するよう依頼した。流出した情報元となる民間保育施設にも連絡し、園長と職員8名に経過の説明と謝罪を行っている。
再発防止策として、メールを送信する際の宛先確認の徹底、個人情報や法人情報を含む資料を課内で共有する場合は課内共有フォルダに保存することなどを、職員に周知徹底するとしている。
○長野県松本市、新型コロナウイルス感染症に関するメールを誤送信
長野県松本市は8月25日、市立小中学校で発生した新型コロナウイルス感染症に関するメールの誤送信があったことを公表した。これにより個人情報が一部の保護者に流出している。
誤送信は、生徒の感染情報を3通のメールで送付する際、最初の2通を校長宛てで送ったものの、3通目の送信先を「全体」としてしまった。保護者からの電話で誤送信が発覚しメールを削除したものの、すでに206人(うち保護者194人)が閲覧済みだった。
流出したのは感染児童生徒1名の個人情報で、保護者・教職員あわせて642人に送信。情報の詳細は、学級、氏名、療養状況、家族構成、検査結果、濃厚接触者となった児童生徒3名の姓。
同市は再発防止策として、今年度から全校で導入して10月に運用開始予定の連絡システムによる連絡を徹底する。このシステムでは、保護者と教職員に同時に送信するリスクがなくなるとのこと。また、メールを送信する際には複数人で宛名を確認、教職員に対してのメール送信に関する研修なども実施する。
○プラネックスコミュニケーションズのネットワークカメラ「スマカメ」に脆弱性
プラネックスコミュニケーションズのネットワークカメラ「スマカメ CS-QR10」と「スマカメ ナイトビジョン CS-QR20」に複数の脆弱性を確認している。対象の製品は以下の通り。
スマカメ CS-QR10
スマカメ ナイトビジョン CS-QR20
脆弱性は、ハードウェアインタフェースに対する保護機構の欠如、およびバックドア。これらを放置すると、攻撃者が当該製品のインタフェースにシリアル接続したり、Web管理インタフェースへログインされたり可能性がある。当該製品上で任意のOSコマンド実行もあり得る。
すでに「スマカメ」のサポートは終了しているため、アップデートによる修正の可能性はないと考えてよい。ローカルネットワークで使用する場合は、管理者パスワードなどを変更すること。早めに使用を中止し、代替製品へのリプレースを行うべきだ。
○Apple、iOS 12のセキュリティアップデートを公開
Appleは8月31日、iOSのセキュリティアップデートを公開した。アップデート後のバージョンは「iOS 12.5.6」となる。
修正した脆弱性は、領域外書き込みに関するもの。悪意のあるWebコンテンツを処理すると、任意のコード実行の可能性がある。この脆弱性は実際に悪用の報告があったので注意が必要だ。
対応機種は、iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3、iPod touch(第6世代)。該当するデバイスを使用している場合は、できるだけ早期にアップデートすること。
○Google、脆弱性24件を修正したChrome最新バージョン「105」
Googleは8月30日、Chromeの最新バージョン「105」を公開した。Windows向けが「105.0.5195.52/53/54」、macOSおよびLinux向けが「105.0.5195.52」となる。
今回のアップデートでは、「緊急」1件、「高」9件、「中」9件、「低」3件を含む24件の脆弱性を修正している。「緊急」の脆弱性は、Network Serviceにおける解放後のメモリ使用に関するもの。「高」の脆弱性では、レイアウトやWebSQLでの解放後のメモリ使用、スクリーンキャプチャでのヒープバッファ オーバーフローなどを修正している。
多くの脆弱性を修正しているため、Chromeを使用している場合は早急にアップデートすること。
