2024年7月4日、ハッキングフォーラム上に約100億件ものパスワード情報を含むファイルが投稿されました。セキュリティメディアのCybernewsは「史上最大のパスワード漏えい」として、今回のデータ漏えいについて報じています。 RockYou2024: 10 billion passwords leaked in the largest compilation of all time | Cybernews https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/ This is likely the biggest password leak ever: nearly 10 billion credentials exposed | Mashable https://mashable.com

個人情報保護委員会は7月4日、メール送信時にミスがあった案件が発生したと発表した。主催する説明会の開催案内を96件のメールアドレス宛てに送信した際、宛先全員にメールアドレスが表示される状態で一斉送信した。個人情報保護委は「関係者の方々にご迷惑をお掛けしたことを深くおわび申し上げます」と謝罪した。 誤送信があったのは2日。同日には送信先に対して誤りがあったことを伝えて謝罪をし、受け取った誤送信メールの削除を依頼したという。 再発防止策として、職員に対してメール送信時の注意事項や個人情報取り扱い時の留意点などの周知や教育を徹底するとし「外部へのメール送信に当たっては、事前に複数人で確認することを改めて徹底するなど、より厳格かつ適正な個人情報の取扱いに努める」と報告した。 個人情報保護委は2022年1月にも、募集したパブリックコメントに意見を提出した12人分の氏名や一部所属先などの個人情報を漏え

2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー（sshd）コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC

中国政府は、スパイ行為の疑いがあれば、国家安全当局の担当者が、個人の携帯電話やパソコンを検査できるなど、取締りの権限を明確化した新たな法令を7月1日から施行します。国家の安全を最優先にする習近平指導部はスパイ行為の摘発を徹底する姿勢を一層鮮明にしています。 中国でスパイの取締りなどを行う国家安全省は、取締りの権限を明確化した新たな法令を1日から施行します。 この中では、スパイ行為の疑いがあれば、国家安全当局の担当者が、個人や組織の持つ携帯電話やパソコンといった電子機器を検査できると明記しています。 こうした検査を行う場合は、市レベル以上の国家安全当局の責任者の承認を得て通知書を作成するなどの手続きをとると規定していますが、緊急の場合は、承認があれば当局者だと明示することで現場で検査できるとしています。 今回の法令について、国家安全省は「国家の安全に危害を加える違法な活動を打ち砕くものだ」と

Sansecは6月25日(現地時間)、「Polyfill supply chain attack hits 100K+ sites」において、オープンソースのJavaScriptライブラリ「Polyfill.io」が改変され、10万以上のWebサイトに展開されたと報じた。 Polyfill supply chain attack hits 100K+ sites Polyfill.ioの買収 Polyfill.ioはAndrew Betts氏が開発した人気のJavaScriptライブラリ。古いWebブラウザをサポートし、JSTOR、Intuit、世界経済フォーラムを含む10万以上のWebサイトに利用されている。 Polyfill.ioは2024年2月、中国を拠点とするコンテンツデリバリーネットワーク(CDN: Content Delivery Network)企業の「Funnull」に買収

株式会社ドワンゴ サイバー攻撃についてQ1.どこからどうやってどのようなウィルス・マルウェア・ランサムウェアの攻撃を受けたのかは判明しているのでしょうか。専門の調査機関にもご協力いただいての調査が必要になります。より正確な調査結果など、お知らせすべき新たな事実が判明いたしましたら随時ご報告いたします。 Q2.ランサムウェアというのは何でしょうか。警察庁の説明では、ランサムウェアとは、感染するとパソコン等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価（金銭や暗号資産）を要求する不正プログラムです。 Q3.なぜランサムウェアだという発表を遅らせていたのでしょうか。ランサムウェアと世間に公表すると、攻撃者が次のステップに進んでしまい、攻撃が激しくなる可能性があるので、ある程度安全が確認できるまで公表を差し控えておりました。 Q4.被害について確認中とのこと

はじめに こんにちは、Techouse の人材プラットフォーム事業部でサーバーサイドエンジニアを担当している imayayoh と申します。 Techouse では各事業部でエンジニアがインフラの監視として、AWS・外部サービス等のグラフモニタリングを実施しています。モニタリングでは下記に重点を置いており、インフラ構成の見直しや障害対応の場として活用しています。 サービス運用に十分なスペックでインフラが構成されているか 最適なコストでサービスが運用されているか インフラ・外部サービスで重大な問題が発生していないか 本日はモニタリングの実施で即時対応できたトラブルの一例として、Application Load Balancer (ALB) への謎の大量アクセス攻撃を紹介します。 コストモニタリング 弊社のサービスではインフラに AWS を使用しており、モニタリングでは AWS Billing

2024年5月20日、岡山県精神科医医療センターは、サイバー攻撃に起因した電子カルテのシステム障害が発生していると公表しました。また6月11日には同センターが保有する患者情報が流出の可能性も判明したことが明らかにしました。ここでは関連する情報をまとめます。 ランサムウエアで電子カルテシステムに障害 ランサムウエアによる被害にあったのは岡山県精神科医療センターと東古松サンクト診療所。攻撃によってデータが暗号化され、2024年5月19日16時頃に両施設で運用している電子カルテシステムを含む総合情報システムで障害が発生した。また翌20日にはシステム内に脅迫メッセージとその連絡先であるメールアドレスを記載したものが確認された。 同センターでは障害発生後に紙カルテを用いた診療体制に運用を切り替えしており、医療サービスの提供への直接的な影響は生じていない。また6月1日からは仮の電子カルテシステムを使用

ドワンゴは6月10日、8日から続く大規模障害を巡り、今後の方針を発表した。10日午後6時時点で「サイバー攻撃の影響を受けずにニコニコのシステム全体を再構築するための対応を進めている」という。復旧予定やサイバー攻撃の詳細については「今週中に、役員の栗田穣崇およびCTO鈴木圭一が、復旧までの見込みおよびその時点までの調査で分かった情報を説明する予定」としている。 会員費の払い戻しなど、個々のサービスへの質問については「影響の調査を行っている段階のため」として回答を控えたが「誠実に対応させていただきますので続報をお待ちください」とした。 今回の攻撃を巡っては、ニコニコ以外にもKADOKAWAが提供する複数のサービスがダウンしており、KADOKAWAの公式サイトも表示できない状態が続いている。 関連記事 「#がんばれニコニコ」拡散　サイバー攻撃でダウン中、ユーザーが復旧を応援 「ニコニコ」でサイバ

パスワードレスなユーザー認証を実現する業界標準である「パスキー」を策定するFIDOアライアンスは、パスキーのユーザー体験を最適化させるためのデザインガイドラインの公開を発表しました。 パスキーは、従来のパスワードによるユーザー認証よりも強力で安全な認証方式とされており、普及が期待されていますが、多くのユーザーが慣れ親しんできたパスワード方式と比べると、サインアップやサインインの方法が分かりにくいという課題が指摘されていました。 FIDOアライアンスによるデザインガイドラインの公開は、こうした状況を改善するものとして期待されます。 パスキーのデザインガイドラインの内容 デザインガイドラインは主に以下の要素から構成されています。 UXの原則（UX princeples） コンテンツの原則（Content principles） デザインパターン（スキーマ、サンプルビデオ、AndroidとiOS

2024年5月28日、生成AIを使用したマルウエアを作成した容疑で警視庁が男を逮捕したことが報じられました。ここでは関連する情報をまとめます。 対話型生成AIを使用しランサムウエアらしきものを作成 男の容疑は不正指令電磁的記録作成。2023年3月31日に自宅PCやスマートフォンを使用して、対話型生成AIを使用し、不正プログラムの設計情報を組み合わせてマルウエアを作成した疑い。2024年3月に警視庁は男を偽造身分証を使用してSIMカードの不正契約を行ったなどとして詐欺容疑（今回の事案とは別件）で逮捕しており、*1 捜査より自宅から押収されたPCを解析したところマルウエアが発見された。*2 生成AIを使用したマルウエア作成の事案摘発は全国で初めてとされる。*3 男は以前に闇バイトとしてSIMカード詐取などの違法行為を行っており、トラブルとなった知人からランサムウエアを送り付けられていた。これを

私の母は、実際1時間半程度電話で話していたと言いますが、最終的に振込指示の時点では信じ切ってしまっているので抗う術がないのかなと思います。 なので、素人が電話をかけてしまった時点でほぼアウトな手口な気がします。 最後振込終わった後に「私は詐欺です、警察に電話してください」これが表示される意図は分かりませんが、振り込んだ時点で詐欺師的にはもう勝ち確定なので、警察への手続きとかで更に心のダメージを与えるための悪質なメッセージなのかなと。。。 そんなこんなで、50万円もの大金をだまし取られました。 被害後の返金手続きと振り込め詐欺救済法について 母親は被害後、すぐ警察に電話したそうですが、やったことは下記です。 振り込み元口座の凍結（私の母親の口座） 振り込み先銀行に対して振込先口座の凍結依頼 振り込み元口座の凍結は二次被害防止のためですね。 ただし、返金に重要な振り込み先口座の凍結は、被害後す

【読売新聞】　マイナンバーカードの偽造が相次いで発覚している。不正対策による「信用」で本人確認時のチェックが甘くなり、悪用につながっているとみられ、ＳＮＳでは１万～２万円で流通しているという。中国籍の被告が取材に応じ、偽造の実態を証

群馬大学は5月22日、同学医学部附属病院の入院患者42人の個人情報が一時公開状態になっていたと発表した。YouTubeに掲載された動画に電子カルテの入院患者一覧画面が映り込んでいた。 動画は、病院で使用している製品を開発した企業が、導入事例の紹介として作成したもの。病院の同意を得て撮影し、当該企業の公式YouTubeチャンネルで2023年11月23日から公開していた。 しかし、動画内に電子カルテの画面が映り込んでいることが4月23日に判明。その日のうちに当該企業に連絡し、動画の公開を停止したという。 動画の長さは10分3秒で、このうち6秒間に入院患者の一覧が映っていた。一覧には42人の漢字氏名、カナ氏名、患者番号、診療科、入院日などの個人情報が記載されていた。 群馬大学は「動画作成時のチェックで患者の個人情報が映ってしまっていることを見落とした」と説明。患者には個別に謝罪すると共に、再発防

もしそのコンテナターミナルが業務停止に陥るとどうなるか――。そのリスクを如実に示したのが、2023年7月4日に名古屋港コンテナターミナルで発生したランサムウェア感染被害だった。 2024年3月に開催されたセキュリティイベント「Security Days Spring 2024」に、国土交通省で最高情報セキュリティアドバイザーを務める北尾辰也氏が登壇。「名古屋港コンテナターミナルを襲ったサイバー攻撃とその背景」と題し、公表された報告書などを基に攻撃から復旧までのいきさつと、そこから得られた教訓を紹介した。 ITを用いた効率化が進んできたコンテナターミナル コンテナターミナルというと、港に林立する大型クレーン（ガントリークレーン）を思い浮かべる人も多いだろう。名古屋港コンテナターミナルもその一つだ。 同コンテナターミナルは5つのターミナルで構成されている。1日当たり約7500本のコンテナが出入

続いて、上記説明文を受けての設問内容です。 設問5 [S/MIMEの調査と実施策] について答えよ (1) 表4中の下線⑨の電子署名データの作成方法を，25字以内で答えよ。 (2) 表4中の下線⑩のハッシュ値 aを取り出す方法を，20次以内で答えよ。 (3) 表4中の下線⑪について，どのような状態になれば改ざんされていないと判断できるかを，25字以内で答えよ。 不備の内容 S/MIMEについての基礎 ここで、不備の説明に移る前に、S/MIMEに関する基本事項について触れておきます。 S/MIMEは公開鍵暗号(守秘/署名/鍵共有)を用いてメールの暗号化や署名を行う技術およびその規格です。 最新はRFC8551のv4(2019年)ですが、アプリの対応状況は不明なところがあるので、一つ前のRFC5751のv3.2(2010年)を参照した方が無難かも知れません。 そして、S/MIMEで使用するデー

河野太郎デジタル相は10日、自身のX（旧ツイッター）を更新し、マイナンバーカードの偽造によるトラブルが相次いでいることを念頭に、見分け方などの注意を呼びかけた。 「マイナンバーカードにはさまざまな偽造防止対策が施されており、しっかりそれらを確認いただければ券面の偽造は判別できます。例えば右上のマイナちゃんはパールインキで印刷されており、角度によって色が変化します」と投稿。偽造かどうかの見分け方について、言及した。 偽造したマイナカードが身分証として使われた上で、地方議員のスマートフォンがだまし取られるなどの事件が全国で相次いでいる。河野氏は10日の記者会見でも「目視であっても、丁寧にカードをチェックすれば偽造は見破れる」などと主張。偽造かどうかを見分けるポイントを記した文書を、事業者向けに配布する考えも示した。 ただ、「目視」に言及した河野氏の会見での発言やX投稿には、SNS上で疑問の声が