2019年4月12日、小学館の漫画アプリ「マンガワン」のデータを改変し課金対象となっていた利用制限時間を大幅に引き延ばしていたとして男性が書類送検されました。ここでは関連する情報をまとめます。 被害を受けた漫画アプリ manga-one.com 小学館が提供するAndroid,iOS対応の漫画購読アプリ 2014年12月からサービス提供。 Android版のインストール端末数は100万件以上。*1 アプリ改変の内容 Android版アプリの利用可能時間を改変し、実質制限を無効化する。 当時Android版は一定時間(1日20分間)無料閲覧でき、その後課金し継続閲覧する仕様だった。 男性が紹介したのはアプリ内包のXMLファイルの特定値を改変する方法。 特定値はベタ書きで、数字を増やすだけで利用制限時間が引き延ばされた。 2017年12月アップデートでAndroid版も閲覧可能数に制限が変更さ

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。 2019年4月上旬の注目ニュースは3件。最初は、旧山梨医科大学（現山梨大学医学部）のドメインを第三者が取得した問題を取り上げる。 旧山梨医大のドメインを第三者に取得される（4月5日） 旧山梨医科大学（以下、山梨医大）のドメイン「yamanashi-med.ac.jp」を使って、アダルト情報を掲載するサイトが見つかった。原因は、日本レジストリサービス（JPRS）による審査のミスだった。 URLに使うドメインには、取得できる組織が制限される「属性型ドメイン」がある。例えば、ドメインの末尾が「co.jp」なら株式会社などの企業、「go.jp」なら政府関係の組織、「ed.jp」なら小中学校など18歳未満を対象とした学校組織と決まっている。 問題があった「ac.jp」は、18歳以上を対

自身のサイトにマイニングソフト「Coinhive（コインハイブ）」を設置したとして、Webデザイナーのモロさんが不正指令電磁的記録 取得・保管罪（通称：ウイルス罪）に問われている事件で、3月27日、横浜地裁は弁護側の主張を認め、「無罪」（求刑：罰金10万円）を言い渡しました。 モロさんの代理人である平野敬弁護士 モロさんが事件についてまとめた「仮想通貨マイニング（Coinhive）で家宅捜索を受けた話」（モロさんのサイトより） 事件のあらまし サイト訪問者のPCのCPUを使ってWebブラウザ上で仮想通貨をマイニング（採掘）させる「Coinhive」を設置したことを巡り、複数の検挙者が出ている問題（通称：コインハイブ事件）。ねとらぼでは1月30日に「なぜコインハイブ『だけ』が標的に　警察の強引な捜査、受験前に検挙された少年が語る法の未整備への不満」との記事を、2月16日に「『お前やってること

Zaifの仮想通貨流出、70億円に　当初発表から3億円拡大（ITMedia） http://www.itmedia.co.jp/news/articles/1809/22/news019.html Zaif「67億円超ハッキング事件」信憑性ゼロのテックビューロに集まる疑念の声（Not-So-News ） http://nots.hatenablog.com/entry/2018/09/20/170000 Zaifはハッキング被害の確認までに4日を要していた Zaifのプレスリリースから確認できる時系列は以下のとおり。 9月14日　17時頃から19時頃までの間、Zaifに外部からの不正アクセス。仮想通貨（BTC、MONA、BCH）が不正に送金される 9月17日　Zaif、サーバ異常を検知、翌18日ハッキング被害を確認。財務局へ報告を行うとともに、原因分析、捜査当局への被害申告等を行う 9月2

NTTドコモの運営するオンラインショップサイトに不正ログインが行われ、iPhoneが勝手に購入される被害が多数出ていると報じられました。ここでは関連情報をまとめます。 関連する公式案内 2018年8月14日 不正なアクセス対策としての「2段階認証」ご利用のお願い 2018年8月15日 ドコモオンラインショップにおける2段階認証開始について 2018年8月22日 ドコモオンラインショップにおける商品受取方法の変更について インシデントタイムライン 日時 出来事 2018年7月下旬 NTTドコモがオンラインショップサイトへのリスト型攻撃を検知。 2018年8月2日頃 Twitter上で不正ログインなどのツイートが出始める。*1 2018年8月5日 ユーザーから連絡を受け、NTTドコモがiPhoneの不正購入を把握。*2 ： NTTドコモが不正購入への対策を実施。 2018年8月13日 NTTド

中国・上海で開かれた見本市で米半導体大手AMDのカウンターに立つ訪問客。IMAGINECHINA提供（2013年7月25日撮影、資料写真）。(c)WENG LEI / IMAGINECHINA 【3月14日 AFP】イスラエルの情報セキュリティー企業CTSラボ（CTS Labs）は13日、米半導体大手アドバンスト・マイクロ・デバイス（AMD）の最新CPUやチップセットに、コンピューターやネットワークの乗っ取りに利用される恐れがある欠陥が見つかったと明らかにした。 今年初めには、米インテル（Intel）製のCPUにも「スペクター（Spectre）」や「メルトダウン（Meltdown）」と呼ばれる同様の脆弱（ぜいじゃく）性が見つかり、コンピューターセキュリティーをめぐる懸念が広まっていた。 CTSが公表した20ページの報告書によれば、今回見つかった欠陥は13件で、問題の製品は一般消費者向けの製

仮想通貨NEMが、国内取引所Coincheckから5億2300万XEM盗まれたことがわかりました。取引所がNEMをマルチシグを掛けずにホットウォレットに保管していたことが原因ではないかと考えられます。 この盗まれたNEMについて、現在ホワイトハッカーが追跡中です。ホワイトハッカーはNEMコミュニティの日本人開発者で、NEMのモザイクという仕組みを使い、盗難犯のアドレスからの送金にマーキング。犯人の追尾を行っています。 NEM財団が、流出資金自動追跡プログラムの作成を開始しました。 その完成を待ち引き継ぎを行い、作業終了とさせていただきます。 それまでは、こちらで追尾を続けます。 — Rin, MIZUNASHI (JK17) (@minarin_) 2018年1月26日 そもそもNEMを含む仮想通貨はブロックチェーン、分散型台帳技術を用いています。トランザクションごとのブロックがハッシュに

2017年12月20日、日本航空はビジネスメール詐欺の被害を受けたことを発表しました。ここでは関連情報をまとめます。 インシデントタイムライン 日時 出来事 ： 日本航空に貨物業務委託料の詐欺メールが届く。 2017年8月24日 日本航空が貨物業務委託料7月分として香港の銀行へ1回目の振り込み(ビジネスメール詐欺)。 2017年9月7日 日本航空が貨物業務委託料8月分として香港の銀行へ2回目の振り込み(ビジネスメール詐欺)。 2017年9月25日 日本航空に旅客機リース請求の詐欺メールが届く。 2017年9月29日 日本航空が旅客機リース請求として香港の銀行へ振り込み(ビジネスメール詐欺)。 数日後 何者かにより送金先口座から資金が引き出された。 2017年10月 正規の金融会社から日本航空へ支払い督促。*1 2017年10月7日 日本航空が詐欺被害を受けていたことを把握。 2017年11

日本航空は２０日、約３億８千万円の「振り込め詐欺」の被害に遭ったと発表した。取引先になりすましたメールで航空機リース料などの支払いを要求され、応じてしまったという。同社は２０日までに、警視庁や振込先銀行のある香港の警察、米連邦捜査局（ＦＢＩ）に被害届を出した。 被害は、米国の金融会社からリース契約で導入している機体（ボーイング７７７型）の支払いをめぐって起きた。日航の説明では、取引のある金融会社の担当者を装うメールが９月２５日に届き、支払口座を香港の銀行に変更したと伝えてきた。送信元のアドレスは画面表示上、担当者のものと同じだったため、日航側は信じて同月２９日に約３億６千万円を送金した。翌１０月、本物の金融会社から督促があり、だまされたことがわかったという。香港の銀行からはすでに金は引き出されていた。 このほか日航の米国にある貨物事業所にも似た手口のなりすましメールが届き、８月と９月に、計

クリスマスが近づき、プレゼント用の品をネット通販で購入しようと考えている方も多いだろう。年明けには、お年玉をもらった子どもたちが、前から欲しかったグッズを少しでも安く買えるよう、ネットショップを探し回るかもしれない。手軽で便利なネットショップだが、安全に利用するためには注意しなければならないポイントがある。 東京都は11月22日、インターネット通販で商品を申し込み、代金を支払ったのに商品が届かないという相談が多く寄せられているとして注意を呼びかけた。 都が公開した相談事例によると、40歳代の男性はネット通販で洋服を注文し、「入金確認後、発送する」とあったので代金を指定口座に振り込んだ。注文の際、サイトにはクレジットカードが使えると記載されていたが、支払方法の「クレジットカード決済」をクリックしても開けず、銀行振込みしか選択できない状態だったという。結果、商品は届かず、何度もメールで問い合わ

By Kaitlyn Baker ゲーミングキーボードとして人気の高い「Mantistek GK2 104キー メカニカル ゲーミング キーボード」が入力されたすべての情報を秘密裏に記録し、アリババグループが管理するサーバーに送信していることが明らかになりました。 Built-in Keylogger Found in MantisTek GK2 Keyboards—Sends Data to China https://thehackernews.com/2017/11/mantistek-keyboard-keylogger.html Mantistek製のメカニカルキーボードにキーロガーが内蔵されている「らしい」ということが、オンラインフォーラム上で話題となりました。これについてテクノロジー系ニュースメディアの「Tom's Hardware」が調査したところ、Mantistekのメカ

2017年10月30日、GMOインターネットは同社のサイト売買仲介サービス「サイトM&A」において、登録された会員情報等がインターネット上に流出していたことを発表しました。ここでは関連情報をまとめます。 インシデントタイムライン 日時 出来事 2017年5月17日以前 今回情報流出した会員情報の対象期間。 2017年8月30日 16時52分 掲示板にインターネット上に置かれたZIPファイルのハイパーリンク(公開先A)が投稿される。 〃 17時4分 掲示板にZIPファイルがGMOグループ関連の情報ではないかといった内容が投稿される。 2017年9月1日 15時59分 掲示板にサイトM&AのWebサイトのデータではないかといった投稿がされる。 あわせて公開されていたデータを別の場所(公開先B)にアップしたと投稿される。 2017年9月14日 GMOインターネットへ情報漏えいの疑念があるとの外部

国民生活センターは、子どもが宅配ボックスで遊んでいて閉じ込められる事故が発生したとして、注意喚起しています。 （国民生活センターより） 報告された事例は「かくれんぼをしていて、マンションに設置されていた宅配ボックスに隠れたら、何らかの原因で鍵が掛かってしまい出られなくなった」「兄と自宅マンション内の宅配ボックスで遊んでおり、扉を締めたら自動で鍵が掛かって出られなくなった」など。集合住宅で遊んでいてトラブルになるケースが多いようです。 宅配ボックスは人目に付きにくい場所に設置されている場合がある他、夏場は熱中症の危険もあり、重大な事故に発展する可能性も。国民生活センターは子どもに宅配ボックスで遊ばせないよう注意を呼びかけています。 （国民生活センターより） 関連キーワード 宅配 | 宅配ボックス | 国民生活センター | 子供 | 事故 | マンション | 注意喚起 | 熱中症 advert

ランサムウエア被害が発生した韓国のWebホスティング会社「NAYANA」がデータを復元できるコードをもらうため、ハッカーに13億ウォン（約1億3000万円）のビットコインを支払った。この事件は「サイバー強盗にやられた」として、韓国だけでなく欧米のメディアでも大きく取り上げられている。 事件は6月10日午前1時に発生した。NAYANAのLinuxサーバー153台（バックアップサーバー含む）が午前1時に一斉にErebusランサムウエアに感染。NAYANA社を利用している約3400社のホームページ上のデータが人質になった。 NAYANAは自社でデータの復元を試みたが失敗。政府機関の韓国インターネット振興院や警察庁サイバー捜査隊などに相談する一方、ハッカーと交渉を始めた。警察は「ハッカーにお金を払ってもデータを復元できる可能性は低い」として、交渉に応じてはならないとしたが、NAYANAは「自社だけ

2017年前半、脆弱性を突いた二つの大きなサイバー攻撃が立て続けに日本を襲った。一つは5月12日に世界的に発生したランサムウエア「WannaCry（ワナクライ）」、もう一つは3月10日から日本の企業や団体での被害報告が公表ベースで12件となったJavaのWebアプリケーションフレームワーク「Apache Struts2」だ。 3月10日、東京都と住宅金融支援機構（以下、機構）、日本貿易振興機構（JETRO）がStruts2脆弱性を悪用したサイバー攻撃の被害を最初に公表した。このうち、東京都と機構からクレジットカード払いサイトの運営を委託されていたのが、決済代行事業者大手のGMOペイメントゲートウェイ（以下、GMO-PG）である。