新規記事の投稿を行うことで、非表示にすることが可能です。
2023年11月28日
日本学術振興会、不正アクセスによる1272名の個人情報流出
日本学術振興会が、ソフトウェア「Proself」の脆弱性を悪用された不正アクセスで、国内外の関係者1272名の個人情報が流出したと発表。
システムで何が起きたか
日本学術振興会は、ファイル転送ソフトウェア「Proself」が不正アクセスを受けたことを明らかにした。この攻撃は、未知のXXE脆弱性「CVE-2023-45727」を利用したもので、8月29日から9月20日にかけて発生した。
原因
この不正アクセスの原因は、Proselfに存在した「XML外部実体参照(XXE)」の脆弱性。開発元ノースグリッドもこの脆弱性を把握しておらず、10月になって初めて発覚した。
被害状況
流出した情報には、海外との研究者交流事業関係者391名、学術振興に関する行事や会議の参加者569名、同法人役職員312名の氏名、所属、役職、略歴、メールアドレスなどが含まれる。個人情報以外の機密情報の漏えいについてはコメントが避けられている。
対応
日本学術振興会はProselfのアップデートを実施し、問題の脆弱性を解消。対象者にはメールで事態を報告し、二次被害の確認はないとしている。個人情報保護委員会と警察には報告と相談を行った。今後、情報セキュリティ運用ルールの見直しと定期的な研修、内部点検を通じてセキュリティ強化を図る予定。
LINEヤフー、約44万件の個人情報漏洩の可能性発表
LINEヤフーが約44万件の個人情報が不正アクセスにより漏えいした可能性があることを発表。原因は韓国NAVER Cloudの委託先のマルウェア感染。
システムで何が起きたか
LINEヤフーは、LINE利用者や関係者の情報が含まれたシステムに不正アクセスがあったことを確認。漏えいした可能性がある情報は約44万件に上る。
原因
不正アクセスの原因は、LINEヤフーの関係会社である韓国NAVER Cloudの委託先企業の従業員PCがマルウェアに感染したこと。共通の認証基盤を利用していたため、LINEヤフーにアクセスが可能となった。
被害状況
流出した可能性のある情報は、LINE利用者の年代、性別、スタンプ購入履歴など、約44万件。うち日本ユーザー約13万件、取引先情報およそ8万6000件、従業員情報およそ5万1000件が含まれる。しかし、メッセージ内容や銀行口座、クレジットカード情報の流出は確認されていない。
対応
LINEヤフーは被害者に個別に連絡し、認証システムの分離と管理の強化を行う。二次被害の可能性があるユーザーへの警告と、フィッシング詐欺への注意喚起も実施。また、再発防止策として外部企業を交えた安全管理措置の強化を計画している。
