こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。 考えていると結局のところ、サービス提供側が意図していることとは全然違うことが起きている気がするので、この辺はしっかり考えて実装したいところですね。（実装ミスは問題外として） カテゴリ滅びてほしいもの実装側がやりたいこと利用者が感じること実際に起きていること代替手法認証CAPTCHAbot避けぐにゃぐにゃ文字が読めない バイクと自転車の違いとは？ユーザの離脱、カゴ落ちパスキーの利用 新しいタイプのCAPTCHA（通常は画面に出ない） リスクベース認証との組み合わせによる抑制認証パスワード誰でも使える認証手段の用意忘れる。複雑なパスワードをそれぞれのサービス毎に管理するのは無理パスワードの使い回し。パスワード

福岡市で飲食店を経営する会社は、自社のネット通販のウェブサイトが不正アクセスを受け、１万５０００人余りのクレジットカードの情報が漏えいしたおそれがあると発表しました。 一部のカード情報は不正に利用された可能性があるということです。 情報漏えいのおそれがあるとホームページで発表したのは、福岡市博多区で飲食店を経営する「有限会社なごみ」です。 発表によりますと、商品を購入することができる自社のウェブサイト「味市春香なごみオンラインショップ」が不正アクセスを受け、顧客が入力したクレジットカードの情報が外部に流出するよう改ざんされていたということです。 漏えいしたおそれがあるのは、２０２１年１月２７日から去年５月１５日の間にクレジットカードで決済した１万５２７４人分の名前やカード番号、有効期限、それに、セキュリティコードなどの情報です。 一部のクレジットカード情報は不正に利用された可能性があるとい

大塚商会は4月19日、メール誤送信により顧客2687人分の個人情報が漏えいしたと発表した。顧客の個人名が含まれるファイルを、社外の特定の1人に送信したという。 個人情報漏えいが発生したのは同社社員が2月14日に送信したメールで、当該社員の事後確認により2月19日に誤送信が判明した。業務上必要なファイルをメールで送信する際に、手入力した宛先のメールアドレスに誤りがあった。 ファイルに含まれていた個人情報は顧客2687人の氏名（住所、電話番号、メールアドレス、取引内容の記載はなし）。4月19日時点で送信先からの返信はなく、削除確認は取れていない。 同社は漏えいの原因について、社員がファイルに個人情報を記載したシートが含まれていると気付かなかったこと、メールアドレスの誤入力、そして送信前に宛先の確認を怠ったことだと説明。再発防止に努めるとしている。 なお、当該顧客に対してはメールおよび郵送にて個

大田区は4月17日、2023年10月に発生したシステム障害の検証結果を公開し、システムの運用・保守を担っていたNECに対し損害賠償金486万8437円を請求すると発表した。障害の原因はNECによる情報共有の不足と結論付けている。同社も結果や損害賠償に同意しているという。 障害が発生したのは、23年10月9日から10日未明にかけて。システムを構成していたSSD3台がほぼ同時に故障し、データが全損して使用できない状態になった。これにより、大田区の住民記録システムや国保年金システム、税務システムなどが影響を受け、18日の完全復旧まで、区の業務に支障をきたした。 大田区は障害の原因について、SSD3台の同時故障を想定していないシステム構成にあったと説明。「システム基盤は19年に構築し、構築当時からSSDの故障について2本までは耐えうる構成をとっていたが、今回はその想定を大幅に上回る障害が発生したた

小泉龍司法相は16日の記者会見で、10月1日から株式会社の登記の際に代表者が希望すれば自宅住所を非公開にできると発表した。「自宅がオープンになってしまうということに対する抵抗感、個人情報保護の観点からの問題提起があった。新たな起業の促進につながることを期待をしたい」と述べた。会社法は代表者の氏名、住所などを登記事項としている。公正で円滑な商取引が目的だが、経団連などが「プライバシー保護」を理由

今回は、コンタクトレンズなどを製造販売する光学機器大手HOYAが被害を受けたことが判明した。 「解析には相当の日数を要する見込み」 これを受け、同社は次のような声明を出している。 ＜2024年3月30日未明、海外の事業所においてシステム挙動に不審な点があったことから調査をしたところ、当社グループの国内外の事業所においてシステム障害が起きていることを確認しました。当社は障害が起きたサーバーの隔離などの対応を直ちに行うとともに関係当局へ報告しました。外部の専門家を交えた調査の結果によれば、本件は第三者による当社サーバーへの不正アクセスに起因する可能性が高いとみられています。 本件により現在、複数の製品について、生産工場内のシステムや受注システムが停止しています。当社では、在庫出荷等の業務については、マニュアルで対応するなど最大限、顧客の需要にお応えするべく務めております。なお、当社が保有する機

本稿の趣旨は米国連邦政府のクラウド推進戦略、いわゆる「Cloud First」から始まる一連の政策が辿った経緯を概観することである。米国のクラウド戦略は、掛け声こそ勇ましかったものの、あまりうまくいかなかった。これは筆者の主観ではなく、連邦政府自身がそれを認めるレポートを出している。あとで具体的に見ていこうと思う。 本邦においてもガバメントクラウドが本格的に動き出している。さくらインターネットが政府公認のベンダーとして認証を受けたことが話題になったのはつい最近のことだ。本邦のクラウド戦略もかなり米国のそれを参考にしており、そのまま進むと同じ轍を踏む可能性もなきにしもあらずである（実際には米国と日本では政府の置かれている状況がかなり違うので、一概に米国と同じ道筋を辿るとは言い切れないのだが）。しかし、世界で最も積極的にクラウドを採用した政府がどのような点で成功し、どのような点で苦しんできたか

2024年4月4日、HOYAは同社グループにおいて3月30日にシステム障害が発生しており、その原因について不正アクセスに起因する可能性が高いと公表しました。HOYAは国内トップのレンズメーカーで、障害により取引先である眼鏡チェーン各社にも一部販売見合わせなどの影響が出ています。ここでは関連する情報をまとめます。 複数事業所でシステム障害 海外の事業所で不審な挙動がシステムで確認され調査した結果、HOYAグループ国内外の事業所においてシステム障害が発生していることが判明。直ちに障害発生が確認されたサーバーの隔離などの対応を実施。 外部専門家を交えた調査の結果、何者かによる同社サーバーに対する不正アクセスに起因し生じた可能性が高いと同社は判断。機密情報、個人情報などの流出の可能性について調査を進めており、結果が判明するまでには相当の日数を要する見込みとしている。外部からはランサムウエア被害の可

カオナビ子会社のワークスタイルテック（東京都港区）は3月29日、同社の労務管理クラウドサービス「WelcomeHR」について、ユーザー情報が外部から閲覧可能な状態になっていたと発表した。16万2830人分の情報が閲覧可能だったとしており、うち15万4650人分の情報が実際に第三者にダウンロードされたという。 2020年1月5日から24年3月22日にかけて、ユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書（マイナンバーカード、運転免許証、パスポートなど）や履歴書の画像が閲覧可能だった。情報がダウンロードされたのは23年12月28日から29日にかけてだったという。3月29日時点では二次被害は確認していないとしている。 「本来　ユーザーがストレージサーバに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバのアクセス権限の誤設定により、閲覧可能

社会制度のバグ？　本人確認の穴を突いたマイナンバー過信の新手口とは：小寺信良のIT大作戦（1/3 ページ） いわゆる振り込め詐欺の手口は、いつの時代にも手を替え品を替え新しい手法が開発され続けてきているが、今年3月にはこれまで聞いたことがない手口の詐欺事件が発覚した。読売新聞オンラインが報じたところによると、女性のマイナンバーカードの情報を元にネットバンキング口座を無断で作り、そこに本人に現金1400万円を振り込ませたという。 これだけでは何がどうなっているのかわかりにくいが、これはマイナンバーを使った本人確認の穴を突いた犯行と見ていいだろう。今後の課題も含め、この事件から読み取れる情報を整理してみたい。 口座とは無関係なアクション 2024年1月、70歳代の女性宅に「総合通信局」の職員や警察官を名乗る人物から「口座の情報が流出している」などと電話があったという。 警察はまあわかるが、総合

平素より、はてなブログをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しました。 ユーザー設定画面より本機能を有効としていただくことで、ログイン時における第三者からの不正ログインやフィッシング、なりすましなどのリスクの低減が期待できます。 是非ご利用下さい。 詳しくは以下のはてなヘルプをご参照下さい。 パスキーについて知りたい https://hatena.zendesk.com/hc/ja/articles/29891566718745 パスキーを設定すると、パスワードはどうなりますかhttps://hatena.zendesk.com/hc/ja/articles/29891880668953 パスキーの設定方法 https://hatena.zendesk.com/hc/ja/articles/29891975697177 パスキー設

2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しましたことをお知らせいたします。 また、本対応に合わせてアカウント関連の画面デザインをリニューアルいたしました。 パスキーとは パスキーとはお持ちのスマートフォン・PC・タブレット端末等に搭載されているロック機能を使用してウェブサイトやアプリにログインできる仕組みです。パスキーをご利用いただくことにより、パスワード認証時における第三者からの不正ログインやフィッシングなどのリスクの低減が期待できます。 パスキーの設定方法はこちらをご参照ください パスキーの

静岡県焼津市は、市内にある「焼津市駿河湾深層水脱塩施設」を利用した約1万5000人の個人情報が漏えいしたおそれがあると発表した。業務委託先の従業員が「サポート詐欺」にかかったとみられる。 漏えいのおそれがある個人情報は、施設を利用する際に登録した氏名、住所、電話番号、そして登録日と登録番号。クレジットカード番号などの情報は含まれてない。 同市は日本一深い駿河湾から採取した海洋深層水を加工し、「駿河純水」「駿河濃水」の名称で販売しており、流出したおそれのある利用者は深層水の購入者だった。なお、同施設の利用登録や深層水の購入は、併設する「深層水ミュージアム」が窓口になっている。 「サポート詐欺」に32万円 焼津市によると、3月14日に施設の管理業務を委託している静岡県水産加工業協同組合連合会の従業員がPCを操作した際、ウイルス感染したという内容の表示があり、表示された電話番号に電話して指示通り

デジタル時代の今、誰もが毎日、オンラインの脅威にさらされている。しかし、そんな脅威から保護されるか、犠牲になるかは「わずか数分間の問題」による。この問題に取り組むために、グーグルはデスクトップおよびiOSのChromeユーザー向けに新たなセキュリティとプライバシーの保護を導入した。 これらの新機能は、フィッシング攻撃の検出とブロックをより効率的に行うように考えられている。グーグルは、このアップデートによってブラウザが検出、ブロックしたフィッシング攻撃の数は25％増えたという。 ■時間勝負、悪意あるサイトは「10分間以下」しか存在していない グーグルのChromeとセーフブラウジングの各責任者が3月14日に公開した統計によると、サイバー犯罪者がユーザーの個人データを盗んで金銭にアクセスするために使用される悪意のあるサイトは、平均「10分間以下」しか存在していない。それは、犯罪者にとってはチャ

GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン（取り違え）攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。

【読売新聞】　北海道警札幌厚別署は８日、札幌市厚別区の７０歳代女性が、約１４００万円をだまし取られる被害に遭ったと発表した。女性のマイナンバーカードの情報などを基に、女性名義のインターネットバンキングの口座を無断で作り、振り込ませた

シートベルトにとって重要な部品「リトラクター」 こんにちは、ライターの井上マサキです。 車に乗るときは、すべての座席（運転席・助手席・後部座席）で必ず着用しなくてはならないシートベルト。シートベルトを着用するかしないかで、事故にあったときの致死率は大きく変わります。特に後部座席で非着用の場合、一般道で約3.6倍、高速道路では約15.4倍も致死率が高くなる※そうです。 ※ 「後部座席シートベルト着用・非着用別致死率」過去10年の合計。参考：警察庁「全ての座席でシートベルトを着用しましょう」 そんな大事なシートベルトですが、そもそも、あのベルトはどんな素材でできていて、どれくらい強いものなんでしょう。どういう進化を遂げてきて、どんな仕組みで私たちの体を守ってくれているのか……？ 知らないことばかりです。 そこで今回は、シートベルトで世界2位のシェアを占めるZF Friedrichshafen

登大遊氏が憂う、日本のクラウド、セキュリティ、人材不足、“けしからん”文系的支配：ITmedia Security Week 2023 冬 2023年11月29日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「実践・クラウドセキュリティ」ゾーンで、情報処理推進機構（IPA）サイバー技術研究室 登大遊氏が「コンピュータ技術とサイバーセキュリティにおける日本の課題、人材育成法および将来展望」と題して講演した。日本における「ハッカー」と呼ぶべき登氏が初めてアイティメディアのセミナーに登壇し、独特の語り口から日本におけるエンジニアリングの“脆弱性”に斬り込んだ。本稿では、講演内容を要約する。

総務省は、本日、LINEヤフー株式会社（代表取締役社長 出澤 剛、法人番号 4010401039979、本社 東京都千代田区）に対し、同社における、不正アクセスによる通信の秘密の漏えい事案に関し、通信の秘密の保護及びサイバーセキュリティの確保の徹底を図るとともに、再発防止策等の必要な措置を講じ、その実施状況を報告するよう、文書による行政指導を行いました。 LINEヤフー株式会社（代表取締役社長 出澤 剛。以下「LINEヤフー社」という。）からの報告により、同社及び同社のITインフラの運用に係る業務委託先であるNAVER Cloud社が、それぞれセキュリティに係るメンテナンス業務を委託していた企業においてマルウェア感染が生じたことを契機として、NAVER Cloud社の社内システムが侵害されるとともに、同社を介して、同社とネットワーク接続のあったLINEヤフー社の社内システムに対して不正アク