NEW「Googleグループ」アクセス制限設定に不備、個人情報10,307件が 閲覧可能状態に

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

– 6/24号 目次 –

01. 「Googleグループ」アクセス制限設定に不備、個人情報10,307件が閲覧可能状態に


02. 損保ジャパン、個人情報等最大1,750万件流出の可能性…4月の不正アクセスで


03. 5月度フィッシング報告件数は229,536件、3か月連続の20万件超

「Googleグループ」アクセス制限設定に不備、個人情報10,307件が
閲覧可能状態に

– 6月18日(日本時間)、100円ショップ「ダイソー」運営元の大創産業社より、同社が内外でやり取りしたメールの一部情報外部から閲覧可能な状態にあったと発表されました

– 対象となるのは、同社ECサイト利用者4,498件、取引先4,578件、中途採用応募者698件および従業員533件、併せて10,307件の氏名・住所・電話番号・メールアドレス等となっています。

– メールのやり取りや管理を行っていた「Googleグループ」が2019年12月9日以降公開設定となっており、外部から指摘を受け今年4月26日に非公開設定を行ったとしています。

[ 出典 ]
https://www.itmedia.co.jp/news/articles/2506/18/news086.html
https://www.daiso-sangyo.co.jp/wp-content/uploads/2025/06/42c327021022154ac3ee5aa42ac101b5.pdf
https://www3.nhk.or.jp/news/html/20250417/k10014781801000.html

AUSからの所感 AUSからの所感

6月18日(日本時間)、100円ショップ「ダイソー」運営元の大創産業社より、同社が内外でやり取りしたメールの一部情報が外部から閲覧可能な状態にあったと発表されました。

対象となるのは、同社ECサイト利用者4,498件、取引先4,578件、中途採用応募者698件および従業員533件、併せて10,307件の氏名・住所・電話番号・メールアドレス等となっています。

メールのやり取りや管理を行っていた「Googleグループ」が2019年12月9日以降公開設定となっており、外部から指摘を受け今年4月26日に非公開設定を行ったとしています。

損保ジャパン、個人情報等最大1,750万件流出の可能性…4月の不正アクセスで

– 6月11日(日本時間)、損害保険ジャパン社より、社内システムが外部から不正アクセスを受け、大規模な情報流出が発生した可能性があると発表されました。

– 対象となるのは、同社顧客関連のデータ(氏名・連絡先・証券番号等)約726万件、代理店関連のデータ約178万件、その他証券番号・事故番号のみのデータ(同社データベースと照合しなければ個人を特定できないとのこと)約844万件、合わせて約1,748万件とされています。

– 4月17日~21日にかけて、同社Webシステムに不正アクセスがあったことが原因としており、被害を受けた情報の不正利用事実は現在確認されていないとのことです

[ 出典 ]
https://www3.nhk.or.jp/news/html/20250611/k10014832171000.html
https://www.sompo-hd.com/-/media/hd/files/news/2025/20250611_1.pdf

AUSからの所感 AUSからの所感

4月25日に不正アクセスの初報があり、今回の続報で被害状況の詳細が発表されたもので、これまでの不正アクセスによる情報流出事案の中でも突出した規模の被害となっています。

侵入経路については未発表であり、今後の続報待ちとみられますが、再発防止策において「他システムに同様の脆弱性がないこと」の確認等を挙げており、何らかの脆弱性を突かれて不正アクセスに至った可能性が考えられます。

外部公開システムから、社内ネットワークからのみアクセス可能なサーバー・ネットワーク機器、およびクライアントPCに至るまで全てのシステムにおいてOS等を最新に保ち、アンチウイルス・UTM等による防御、また不正アクセスやその兆候を早々に検知するシステムの導入等、情報流出を食い止める各種ソリューションの導入を強く推奨致します。

5月度フィッシング報告件数は229,536件、3か月連続の20万件超

– 6月20日(日本時間)、フィッシング対策協議会より、5月に寄せられたフィッシング報告状況が発表されました。

– 5月度の報告件数は229,536件で、4月度(https://www.antiphishing.jp/report/monthly/202504.html )の246,580件から17,044件減少しています。

– フィッシングサイトのURL件数は55,940件で4月度(48,373件)から7,567件増加、使用されるTLD(トップレベルドメイン名)の割合が多かったのは .com(約25.5%)、.goog(約24.8%)、.asia(約23.1%)、.cn(約8.0%) .net(約4.4%)、.jp(約4.4%)で、この6つで約90.1%を占めています。

– 悪用されたブランド件数は91件で4月度(100件)から9件減少、割合が多かったのはSBI証券(約23.3%)、Apple(約13.3%)、
Amazon(約6.8%)で、次いで1万件以上報告されたANA、野村證券、VISAと合わせて約59.3%、さらに1,000件以上報告された31ブランドまで含めると約95.4%を占めたとのことです。

[ 出典 ]
https://www.antiphishing.jp/report/monthly/202505.html

AUSからの所感 AUSからの所感

過去最多の報告件数となった3月度以降、減少は続いているものの緩やかで、3か月連続で20万件超を記録しています。

フィッシングサイトのTLDは長らく.comと並んで多数を占めていた.cnが急減し、代わりに.googと.asiaが急増しています。

同協議会からは6月3日に2024年におけるフィッシングの被害状況、フィッシングの攻撃技術・手法などをとりまとめた 「フィッシングレポート2025」および「フィッシング対策ガイドライン」の改訂版が発表されており、2024年に大手メールサービスからの推奨に伴い導入が進んだ各種対策について適切に運用されているか等の確認を推奨致します。