杏林大学医学部付属病院（東京都三鷹市）は6月30日、同院の医師が患者の個人情報入りUSBメモリを紛失したと発表した。紛失したUSBメモリはパスワードロックなどがされておらず、30日時点でUSBメモリは発見できていない。個人情報の漏えいなどの事実は確認していないとしている。 【訂正履歴：2022年7月1日午後2時40分　当初、記事タイトルを「院内持ち出し」としておりましたが、「院外持ち出し」の誤りでした。お詫びして訂正いたします。】 紛失が発覚したのは6月19日。診療上のデータを院外に持ち出すのは禁止されていたが、データの判読に長時間を要することから、該当の医師は院外にUSBメモリを持ち出した。医師の帰宅後、患者27人の氏名やID番号、終夜睡眠ポリグラフ検査データ、睡眠時の状態を記録した動画が入ったUSBメモリを紛失していることに気付いたという。 同院は「この動画は赤外線を通して撮影している

ちょっと待った！　個人向けMicrosoft DefenderアプリはMicrosoft 365製品ファミリー向けではありません、Windows標準のDefenderも置き換えません：その知識、ホントに正しい？ Windowsにまつわる都市伝説（213） 既にIT系メディアのニュースでご存じかもしれませんが、Microsoftは2022年6月中旬に、クロスデバイス対応の個人向けアプリおよびサービスである「Microsoft Defender for individuals（個人向けMicrosoft Defender）」の提供を開始しました。自分も利用できると誤ってインストール、さらには無駄に購入してしまわないように、想定される勘違いをリストアップしてみました。

「もしも〜だったら」を確認するパスワード保護Excelファイル (俗に言う暗号化Excelファイル) のパスワードをcrackする難易度ってどれくらいだろうか？ と、ある事案 (参考リンク1) からの連想で急に確認したくなった。もちろん、事案のプレスリリースで述べられている「暗号化処理」が、Excelの機能を使ってExcelファイルをファイルレベルで保護する手法 (参考リンク2) なのか、それ以外の別の手法なのかは現時点で明らかになっていないので、これは「もしも前者だったら」の一種の私的な実証実験である。 実験の際には自分に条件を課し、手元のUbuntu環境にはもちろん純正のMicrosoft Excelは無いので、一連の内容をコマンドライン (CLI) のみでやってみようと考えた。 1. Secure Spreadsheetでパスワード保護Excelファイルを作成参考リンク3によると、次

大阪府門真市は6月27日、マイナンバーカード申請サポート会場で、市民1人の顔写真が記録されたSDカードを紛失したと報告した。SDカード内のデータは1度撮影するごとに毎回消去しており、他の市民の画像は入っていないという。 紛失したのは18日。マイナンバーカード申請サポート会場では、申請書作成のために来場者の顔写真を撮影し、その場で印刷するが、紛失時は撮影後に来場者への説明を優先。委託先の従事者が印刷のためカメラからSDカードを取り出そうとしたがカメラの中に入っていなかったという。周囲の捜索や従事者の手荷物検査などを行ったが発見はできなかった。 SDカードに保存されていたデータは来場者1人の顔写真のみで、本人には紛失について説明済み。紛失による被害の発生は確認していない。 門真市は再発防止に向け、委託先事業者に運用の見直しや研修の実施など個人情報管理の徹底を求めるとしている。 記憶媒体の紛失は

北海道をこよなく愛するピーターです。 本日2022/6/24㈮のホットニュースは尼崎市が全市民約46万人の個人情報が入ったUSBを紛失するです。 そして見つかりました。 新情報はこれから出てくるとは思いますが、「パスワードに関する情報(ヒント) は漏らしてはいけない」 のいい教材になったと思います。 そこで今回はパスワードを破るにはどれだけの時間がかかるかを、条件別に求めてみました。 ざっと計算しただけなので、抜け漏れはあります。 もしそもそもの計算式が違うよ等あればご指摘いただけると幸いです。 候補となる文字列と計算時間 候補となる文字列 パスワードに使用できる文字列は以下が考えられます。 ・アルファベット ・数字 ・特殊文字 これらをコードで確認しました。 結果は以下の通りです。1文字につき94個の選択肢があります。 したがってパスワードの桁数をnとすると、94^n通りのパターンが想定

委託先の従業員が全市民46万人分の個人情報が入ったUSBメモリを紛失したとして、6月23日に謝罪した兵庫県尼崎市。同市の記者会見がネットで波紋を呼んでいる。会見中、USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。Twitterでは「セキュリティの悪例として最高の手本」など批判が続出している。 会見では、職員がパスワードについて聞かれたときに「英数字13桁のパスワードを設定している。解読するのは難しいのかなと考えている」などと返答していた。 これを受け、Twitterでは尼崎市のセキュリティ体制への批判が続出。パスワードの組み合わせを総当たりで試す「ブルートフォース攻撃」がしやすくなるという指摘が相次いだ。中には明らかになった情報から、同市が使っていたパスワードを推測する人も。ある文字列の組み合わせがちょうど13文字になることから、一部では「これがパスワードではないか」

兵庫県尼崎市は6月23日、臨時特別給付金の支給事務にあたっていた委託先「BIPROGY関西支社」（大阪市）の関係社員が、全市民46万人分の個人情報が入ったUSBメモリを紛失したとして謝罪した。USBメモリにはパスワードと暗号化をかけており、23日時点で情報の漏えいは確認されていないとしている。 関係社員は21日、臨時特別給付金コールセンターで行われたデータ移管作業の際に、必要なデータをUSBメモリに保存し、カバンに入れて持ち出した。移管作業の完了後、同関係社員はUSBメモリを持ったまま飲食店で食事や飲酒をし、帰宅後にカバンの紛失に気付いた。 同関係社員は22日にカバンを捜索したものの見つからなかったため、警察署に遺失物届を提出。同日午後3時45分ごろにBIPROGYを通して市に報告した。 USBメモリには全市民の住民基本台帳データ46万517件、住民税に関する情報36万573件、生活保護や

ランサムウエア（身代金要求型ウイルス）攻撃の被害を2021年10月に受けた徳島県のつるぎ町立半田病院は、経緯などをまとめた有識者会議による調査報告書を22年6月7日に町議会に提示、16日に一般公開した。報告書で批判されたIT（情報技術）企業は「見解が異なる」と主張する。取材を進めると、システム開発・運用の根深い問題が見えてきた。ランサムウエアの感染経路は米フォーティネット製のVPN（仮想私設網

アニメ作品などのコラボカフェを手掛ける井上商事は6月7日、ECサイト「スイーツパラダイス　オンラインショップ」で、利用者のクレジットカード情報7645件が漏えいした可能性があると明らかにした。同サイトは2021年12月にカードが不正利用されたとの報告が相次ぎ、半年に渡り閉鎖したままの状態になっている。 情報漏えいの可能性があるのは、21年8月28日から21年12月8日までの期間に同サイトでクレジットカード決済を行った利用者のカード番号、名義人名、有効期限、セキュリティコード7409人分。サイトの脆弱性を突いた不正アクセスにより、決済システムが改ざんされたことが原因という。なお、クレジットカード情報は同社で保有していなかったとしている。 井上商事は21年12月、サイト利用者やカード会社から不正利用の恐れがあるとの連絡を受け、9日にサイトを閉鎖。第三者機関による調査を始めた。調査結果が出た22

豪Atlassianは6月2日（米西海岸時間）、同社のコラボレーションツール「Confluence」に関する一部製品で、遠隔地から任意のコードを認証不要で実行できてしまう脆弱性が見つかったと発表した。深刻度は同社基準の最高値である「Critical」で、修正プログラムは未公開。 CVE識別番号はCVE-2022-26134。Atlassianによると、ユーザー企業側のサーバで同サービスをホストする「Confluence Server」のバージョン 7.18.0で脆弱性の悪用を確認した他、IaaS上で管理するための「Confluence Data Center」バージョン7.4.0以降にも影響があるとしている。 修正プログラムは未公開だが、ユーザー側でできる一時的な対応として同社は、（1）Confluence ServerやConfluence Data Centerのインスタンスをインター

岩手県釜石市は5月26日、住民基本台帳に記載された市民の個人情報を違法に取得・漏えいしたとして、40代の職員2人を懲戒免職処分にし、住民基本台帳法違反で岩手県警に告訴したと発表した。 2人は2015年以降約7年間にわたり、市民の住所や氏名などのデータ入りExcelファイルをメールに添付し、私有アドレスに送信するといった手口で、数万件の情報を繰り返し流出させていたという。流出情報の一部には、市民の収入額や被災住所、マイナンバーも含まれていた。 2021年9月に内部告発があり、調査したことろ判明した。 処分を受けたのは、総務企画部の40代の女性係長と、建設部の40代の男性主査。 一例として女性係長は、15年2月に、市民1万9600人分の住所、氏名、生年月日、収入額などのデータ入りExcelファイルを、メールに添付して私有アドレスに送信。17年8月には、市民3200人分の住所、氏名、生年月日など

2022年5月24日（米国時間）、SANS ISCのフォーラムでPython向けライブラリの1つ（その後PHP向けライブラリでも判明）が第三者により不正なコードを含むアップデートが行われていたとして注意を呼び掛ける投稿が行われました。その後この行為に関わっていたとして実行者とみられる人物が顛末を公開しました。ここでは関連する情報をまとめます。 改ざんされた2つのライブラリ 今回影響が確認されたのPython Package Index（Pypi.org）で公開されている「ctx」、Packagist（Packagist.org）で公開されている「PHPass」の2つ。 影響を受けたライブラリ インストール実績 改ざんされたとみられる期間 概要 ctx 約75万回 2022年5月14日～5月24日頃 辞書(dict型オブジェクト)を操作するユーティリティを提供するPython向けのパッケージ

ぼっち・ざ・つぼっく💉 4 @tsuvoc こういう直接USBのコネクタがついてるの、下手に繋ぐとマルウェア仕込まれそうで怖くない？　そもそも電圧が規定通りかも心配だし。私は必ず間にモバイルバッテリを挟むようにしてる。 twitter.com/espresso3389/s… 2022-05-15 21:57:33 ぼっち・ざ・つぼっく💉 4 @tsuvoc @tsuvoc 汎用の100Vコンセントだと汎用ゆえにドライヤーだの炊飯器だの予想外のものに使われて容量オーバーの事故があるらしく、事業者的にはどう頑張っても12WなUSB TypeAは使い勝手いいらしいんだけど… 2022-05-15 22:21:14

アイフォーンのハッキングにかつて成功したオランダのセキュリティ研究者チームが、世界的なハッキング・コンテストで、送電網や原子炉などのインフラを制御する通信プロトコルのハッキングに成功した。研究者チームは、産業用制御システムのセキュリティは遅れていると指摘する。 by Patrick Howell O'Neill2022.05.06 15 8 ダーン・クーパーは以前にも、ひのき舞台でハッキングをしたことがある。 2012年、クーパーは世界最大のハッキングコンテストである「Pwn2Own（ポウンツーオウン）」のセンターステージで、新品のアイフォーンをハッキングして3万ドルを獲得した。好奇心に駆られたクーパーと同僚のタイス・アルケメイドは、その後、2018年に車をハッキングした。2021年は新型コロナウイルスのパンデミックがきっかけとなり、ビデオ会議ソフトウェアや新型コロナウイルス感染症（COV

セキュリティベンダーのProofpointは2022年4月26日（現地時間）、自社のブログで、犯罪グループ「TA542」が、マルウェア「Emotet」を感染させる新たな手法を開発している可能性があると伝えた。 Proofpointは、Emotetのアクティビティーにこれまでと異なる特徴が観測されたとし、広範囲のキャンペーンが展開される前のテスト段階にあると分析している。事前に内容を知っておくとともに、従業員などに情報を周知してほしい。

JPCERT/CCは4月26日、マルウェア「Emotet」に感染するメールの添付ファイルに、新たにショートカットファイルを使ったものが見つかったと発表した。ファイルを実行すると不正なスクリプトが実行され、Emotetに感染する。 Emotetは主にメールの添付ファイルを媒介として感染を広げるマルウェア。これまではメールに添付されたドキュメントファイルのマクロ（スクリプト）などを標的に実行させ、Emotetに感染させるという手法が観測されていた。 添付ドキュメントを安易に開かない、ドキュメント内のマクロを実行しないといった従来の対策に加え、ショートカットファイル（拡張子が「.lnk」）にも注意が必要になる。 JPCERT/CCは22日に、Emotetの感染有無を確認するツール「EmoCheck」をアップデート。新たに検知手法を追加した。 関連記事 猛威振るう「Emotet」の感染確認ツールが