2021年1月6日、福岡県は新型コロナウイルス感染症陽性者の情報の外部への流出が発生したと発表しました。ここでは関連する情報をまとめます。 福岡県内の陽性者一覧が流出 新型コロナウイルス感染症対策本部（調整本部）における個人情報の漏えい等事案について（福岡県） 対象の陽性者数は約9,500人。(同県全体でこれまでに把握された2021年1月5日頃までの全陽性者数に相当） 流出したファイルは調整本部が作成した陽性者の一覧表。陽性者の氏名、年齢、性別、居住自治体名、症状などが含まれる。 インターネット上で1か月(2020年11月30日から少なくとも2021年1月5日)にわたり、第三者（メール誤送信を受けた男性一人）が閲覧できる状態だった。男性以外の流出や悪用の事実は確認されていない。 経緯をまとめると以下の通り。 日時 出来事 2020年4月 対策本部がGoogle Drive上での陽性者一覧表

米Microsoftや米McAfeeなどの19組織が、ランサムウェア（Ransomware）対策のためのタスクフォース「Ransomware Task Force」（RTF）を結成した。メンバーの1社である米Institute for Security and Technologyが12月21日（現地時間）に発表した。 ランサムウェアとは、攻撃者が何らかの方法で被害者のPCを“人質”にとり、身代金（ransom）を請求するために使うマルウェアの総称。メールのリンク先や添付メールをクリックすることで感染することが多く、その手口は年々高度化している。 現在、ランサムウェア対策はさまざまだが、そのギャップの調整が必要だ。RTFは、業界全体のコンセンサスに基づいたランサムウェア攻撃対策のフレームワーク標準化を目指す。そのために専門家に論文を依頼し、業界全体の利害関係者を関与させて、対策を統合してい

調べた事実を列挙してみる。 ・デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている ・検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている ・検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている ・サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている ・プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信されている ・https通信であろうとも閲覧したURLは完全な形でアスツール社のサーバーに送信されている 様々な設定を調べたが、どのようにしても外部への閲覧情報送信を止めることはできなかった。 あなたが何を調べ、何を買おうとしているのか、何で遊び、どこへ行こうとしているのか。それらはあなたの知ら

hontoにあった怖い話　「サービス誤登録削除を依頼したら当方のメアド変更を提案される」の巻：CloseBox（1/2 ページ） 自分のメールボックスに宛先を間違えたメッセージが大量に届くが、それを防ぐ術がない。今回はそんなお話です。 Gmailなどの一般的なメールサービスをかなり初期から使っているユーザーは多く経験していることだと思うのだが、スパムが多い。ただのスパムならばスパムフィルターで防げるのだが、やっかいなのが、他人が自分のメールアドレスを誤って登録し、その登録サービスから大量のメルマガやお知らせが届く場合だ。その対策はサービスによって異なり、多くの場合、メールクライアント側でスパムとしてはじく処理をしても効果がない。今回はその1つの例について語りたい。 筆者がGmailで使っているのは自分の名前に由来する短いメールアドレスだ。iCloudやHotmailなどのアカウントも持って

デジタル化推進についての意見を、政府が国民から募るWebサイト「デジタル改革アイデアボックス」に、さまざまな意見が集まっている。平井卓也デジタル改革担当相は11月17日、同サイトに寄せられた意見を基に、中央省庁の職員がメールでデータ送信する際に使うパスワード付きZIPファイルを廃止する方針を明らかにした。 この決定について、ネット上では称賛する声が多かったが、「アイデアボックス内の投票で、政府のセキュリティに関連する重要な政策が決まったことに危機感を覚えた」という人もいる。個人開発者の矢野さとるさんもその1人だ。 矢野さんは、アイデアボックスに寄せられた意見を、Twitterの専用アカウント「デジタル改革アイデアボックス君JP」（@ideabox_jp）上に自動投稿するサービスを開発・公開した。国民生活に直接関係するアイデアは、ユーザー数の多いプラットフォームで広く議論し尽くす必要があると

セキュリティ企業のCheck Point Softwareがこのほどまとめた2020年9月版のマルウェアランキングでは、Emotetが3カ月連続でトップに立ち、世界の組織の14％に影響を及ぼしていた。 被害が後を絶たない理由は、Emotetが継続的に手口を進化させ、アップデートを繰り返して姿形を変え続けていることにある。 例えば不正な添付ファイルがウイルス対策ソフトに検出されるようになると、パスワードで保護された「.zip」などのアーカイブファイルを添付する手口に切り替えて、検出を免れるようになった。 被害者をだましてマクロを有効にさせる手口も巧妙化している。.zipファイルを添付する手口の場合、メールの本文に記載されたパスワードをユーザーが入力すると悪質なマクロが展開され、Emotetがダウンロードされる仕組みだった。 また、「このファイルはAndroidで作成されたものなので、操作を完

昨年７月の参院選広島選挙区の大規模買収事件で公選法違反罪に問われた河井案里被告（４７）＝参院広島＝の第２１回公判が１９日、東京地裁であった。検察側は、夫で元法相の克行被告（５７）＝衆院広島３区＝から依頼を受け、パソコンの「買収リスト」を消去したインターネット業者の供述調書を朗読。復元不可能な状態にするよう頼まれたとの供述内容を明らかにした。 供述調書によると、業者は、案里被告陣営が車上運動員に違法報酬を払ったとの疑惑が報道された直後の昨年１１月３日、克行被告から東京都内の議員宿舎に呼び出され「まずいものを消したい」と頼まれた。 業者は近くの家電量販店で、完全に消去できるソフトを購入。同日、克行被告が議員宿舎、業者は克行被告の議員会館の事務所でパソコンのデータを消す作業を進めた。克行被告は焦り困っている様子だった。 業者は翌４日に広島市へ移動。河井夫妻宅のパソコンのデータを削除した。同日中に

簡単に人が殺せることを証明するための殺人は殺人。簡単に詐欺ができる事を証明するために詐欺は詐欺。ネットにはそんな事も分からんのが多すぎる。危険があるなら告発サイト作るだけでいい。実践の必要は無い。 web

鍵開けるときの｢ガチャッ｣の音だけで、合鍵作れます2020.10.06 17:0039,381 Andrew Liszewski - Gizmodo US ［原文］ （ そうこ ） え、なにそれ怖い。 どう考えてもフィクション世界のスパイとしか思えないことが、現実になろうとしています。なんかね、鍵を開ける｢音｣をスマホで録音すれば、合鍵が作れちゃうらしいの。 シンガポール国立大学のサイバーフィジカルシステム研究チームが、鍵の脆弱性（というか、昔からあるものが最先端技術で危うくなる状況）を新たに発見しました。｢SpiKey｣と名付けられたこのセキュリティエラーは、昔からある一般的なピンシリンダータイプの鍵に関するもの。ピンシリンダーの構造は内部に複数のピンがあり、錠それぞれこのピンのパターンが異なります。鍵を差し込み、鍵に施されたギザギザ（凹凸）とピンのパターンが一致すると、クルリと回って鍵

ゆうちょ銀行で、「ドコモ口座」などの電子決済サービスに加え、みずからが運営するデビットカード・プリペイドカードの「mijica」でも不正なアクセスによって、貯金を引き出され送金されるなどの被害が出ていたことが分かりました。 これまでに確認された被害は332万円余りに上ります。 先月から今月にかけて何者かが利用者になりすましてmijicaの専用のサイトに不正にアクセスし、口座の貯金やカードにチャージされているお金を、別の名義のカードに送金していました。 これまでのところ被害にあったのは54人で、すべてゆうちょ銀行に口座を持ちmijicaを実際に発行済みの人だということで、被害額は合わせて332万2000円に上るということです。 詳しい手口は分かっていませんが、被害は先月8日と今月6日それに15日の3日間に集中し、ほとんどの場合、送金などの利用通知の宛先となるメールアドレスが勝手に変更されてい

","naka5":"<!-- BFF501 PC記事下（中⑤企画）パーツ＝1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下（中⑥デジ編）パーツ＝8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下（中⑥デジ編）パーツ＝8826 -->","adcreative72":"<!-- BFF920 広告枠）ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag ＰＣ誘導枠５行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">

今だから白状すると、昔、運営していたサービスの一般ユーザーのパスワードをハッシュ化（暗号化）せずに平文でDBに保存していたことがある。 言いわけは、幾つかある。 一つは、今では当たり前のようについているパスワードリマインダーの仕組みが当時は一般的ではなかったこと。 ユーザーがパスワードを忘れた、と問い合わせしてきた時に、最も自然な方法はまさに当人が設定した「パスワード」を一言一句違わず登録メールアドレスに送信することだった。あなたのパスワードは○○○です。ああそうそう、そうだったね。こういう感じだ。 当時のユーザーはそれを不審がらなかった。 またサポートコストの問題があった、パスワードの再発行を、そのためのトークンを含んだ長いURLを、大半のユーザーが嫌がっていた。 サポート部門はOutlookExpressに表示された長すぎるURLのリンクが途中で切れててクリックできない、という苦情にい

8月14日(金)にお知らせしました、noteサービスにおいて記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できてしまっていた不具合について、経緯および今後の再発防止策をご報告いたします。 改めて、みなさまの大切な情報をお預かりしているサービスにも関わらず、IPアドレスが閲覧できる状態だったこと、そして、みなさまに大きな不安や疑念を感じさせてしまったことについて、深くお詫び申し上げます。 原因及び再発防止策について 原因 投稿者のIPアドレスを意図せず露出してしまうコードが残っていました 対策 ・全ソースコードに対して、IPアドレス及びそれ以外のセンシティブな情報が露出するような同様の欠陥がないことを調査し、さらに対応するデータベースからIPアドレスのデータを削除しました ・CEO、CTO直轄の特別対策チームを結成して、直接の対策と構造的な課題や開発体制までを含めた徹底的な見

すまん。この文自体は読んでないが便乗して書くと、問題はIPアドレスが漏れたことではない。note開発者の中に意図的に悪さをしたヤツが居たということだ。クレカを含む全ての情報が漏れる可能性があると心得るべき。

https://twitter.com/clockmaker/status/1294213347898843136 これ見たけどやらかしが低レベルすぎやしないか、ヒューマンエラーのレベルじゃないだろ とりあえずRails触れますって奴ととりあえずNuxt触れますって奴がガチャガチャやった結果にしか見えねえよ API設計が無茶苦茶だし、コードレビューもろくに実施されてねえだろうし、試験の観点はどうなってんだよって話だろ やっぱ優秀なエンジニアなんてどこにもいねえんだな、安心して寝るわ

この有料記事は、5月29日をもちまして、販売を終了させていただきました。ご愛読いただいておりますお客様にはご不便をお掛け致しますが、何卒ご理解のほどお願い申しあげます。なお、5月29日までにご購入いただいた記事は、以下ページからお読みいただけます。 神田敏晶のページ 1961年神戸市生まれ。ワインのマーケティング業を経て、コンピュータ雑誌の出版とDTP普及に携わる。1995年よりビデオストリーミングによる個人放送「KandaNewsNetwork」を運営開始。世界全体を取材対象に駆け回る。ITに関わるSNS、経済、ファイナンスなども取材対象。早稲田大学大学院、関西大学総合情報学部、サイバー大学で非常勤講師を歴任。著書に『Web2.0でビジネスが変わる』『YouTube革命』『Twiter革命』『Web3.0型社会』等。2020年よりクアラルンプールから沖縄県やんばるへ移住。メディア出演、コ

非常に感染力・拡散力が高く、PCにダウンロードされることでさまざまなマルウェア感染を引き起こす「Emotet」は近年、その被害の大きさから問題視されています。このEmotetのマルウェアファイルが、何者かに無害なGIFアニメーションへと置き換えられているという報告があがっています。 Emotet being hijacked by another actor | by Kevin Beaumont | Jul, 2020 | DoublePulsar https://doublepulsar.com/emotet-being-hijacked-by-another-actor-b22414352a7b A vigilante is sabotaging the Emotet botnet by replacing malware payloads with GIFs | ZDNet htt

2020年7月15日、警視庁は埼玉県の男を日本郵便の転居手続きサービスで虚偽申請をしたとして私電磁的記録不正作出・同供用容疑で逮捕しました。ここでは関連する情報をまとめます。 ストーカー行為に転居サービスを悪用 男は日本郵便が提供する転居サービス「e転居」に不正な申請を行い、知人の女性宛の郵便物を自分の実家の住所に転送していたとみられる。申請が行われたのは3月13日。男の実家には実際に他人宛の郵便物が届いていた。*1 男は取り調べに対し、女性が本当にそこで暮らしているか把握したかったと供述している。*2 男はTwitterを通じて女性の住所を特定作業を依頼していた。*3 男の自宅からは女性の住民票や印鑑も発見されている。 「e転居」は日本郵便のウェブサイトより郵便物等の転送の届け出ができるサービス。電話確認のみで申請を済ますことが出来、本人確認書類の提出は必要ない。*4 日本郵便のe転居サ