個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」（Pマーク制度）を運営する日本情報経済社会推進協会（JIPDEC）は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS（Network-Attached Storage）に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1

2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。 短縮URLサービス中の広告表示を起因とした事案か いなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1 同社が公表した資料中

パスワードが好きな人はあまりいないでしょう。入力には時間がかかる上に、覚えるのも一苦労です。数字、記号、大文字を組み合わせて、一度も使用したことがない文字列を作るのも、容易ではありません。しかし、どこでも同じパスワードを使用したり、単純で短い（読み取りが容易で脆弱な）パスワードだけを使用したりすると、遅かれ早かれ、ハッキングされます。入力のしやすさ、記憶しやすさ、ハッキング耐性をすべて満たす方法はあるのでしょうか？あまり聞いたことがないかも知れませんが、パスワードに絵文字を使用することができるのをご存じですか？そうです。我々がチャットや投稿で愛用している、あのスマイルマーク😁やその他のアイコン🔐です。 現在、パソコンやスマホでは、アルファベットや句読点の記号と同じくらい当たり前に、絵文字が使われています。これは、絵文字が世界共通の文字コードUnicode標準の一部であるためです（絵文字

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます パスワードが長い方が安全であるのは、常識だと言っていいだろう。パスワードが長くなるほど、あり得る組み合わせが増える。つまり、自動化システムであらゆる組み合わせを試していくことでパスワードを破る「総当たり攻撃」にかかる時間も、それだけ長くなるわけだ。 セキュリティの専門家は、もはや8文字のパスワードでは短すぎ、ゲーミングPCに使われるGPUのような、簡単に入るハードウェアでも簡単に破れると考えている。例えばHive Systemsの計算では、NVIDIAの「GeForce RTX 4090」を使用した場合、8文字のアルファベット（大文字と小文字）、数字、記号のすべての組み合わせを調べたとしても1時間もかからないという。これは2年前に主流だ

悪意のあるルールは、パスワードを変更しても有効なまま 攻撃者は、ターゲットのメールアカウントを侵害すると、自動的に受信トレイのルール（以下、メールルール）を設定するという。これは、メールルールを利用して情報や金銭を盗んだり、セキュリティツールなどからのアラートの発見を遅らせたりするのが目的だ。外部転送などの機能を使って、被害者や被害者の組織に関する情報を収集し、さらなる悪用や作戦の一部として利用するケースもあるという。 関連記事 サイバーセキュリティの知識と注意力が試される？　悲喜こもごもの○×クイズ「UCSQ 2023」レポート サイバーセキュリティの知識をオンラインとオフラインで競い合うクイズイベント「アルティメットサイバーセキュリティ」が開催されました。245人が競い合ったイベントではどのような戦いが繰り広げられたのか、取材しました。 34％の組織は生成AIリスク軽減のためのセキュリ

位置情報アプリ「NauNau」で漏えいか、200万人以上のチャット履歴などが外部から丸見えだった可能性　提供元「確認中」 スマートフォン向けゲーム事業を手掛けるモバイルファクトリー（東京都品川区）は10月23日、子会社のSuishow（同渋谷区）が手掛ける位置情報アプリ「NauNau」について、少なくとも200万人以上のユーザーの位置情報やチャット履歴が外部から閲覧できた可能性があるとして、詳細を調査中と発表した。NHKが21日に問題を報じたことを受けての発表で、2社は現在「報道内容について、事実確認を行っている」という。 NauNauは、位置情報や歩数などを友人同士で共有できるアプリ（iOS／Android）。リリースは2022年10月で、23年2月にサービスを終了した位置情報アプリ「zenly」の代替として、若年層を中心にユーザーを獲得している。 NHKの報道によれば、NauNauは「

2023年10月18日、カシオ計算機は、同社が運営するICT教育アプリ「ClassPad.net」のシステムが不正アクセスの被害にあい、国内外の登録者情報が流出したと公表し謝罪しました。ここでは関連する情報をまとめます。 不正アクセスにより国内1,100の教育機関に影響 不正アクセスを受けたのは、AWS上に構築されたClassPad.netの開発環境のデータベース。*1 開発環境上で同社の担当者が作業を行おうとした際に、データベース上で障害が発生していることに気づき、不正アクセスが判明。さらに調査を進める中で、海外在住者の個人情報が外部に流出している事実も翌日に判明した。なお、ClassPad.netのアプリは不正アクセスの影響を受けていない。 不正アクセスは開発環境のネットワークセキュリティ設定の一部が解除された状態であったことが原因で、所管する部門のシステム誤操作、不十分な運用管理に起

2023年10月16日、Ciscoは同社のネットワーク製品のOSとして搭載されているCisco IOS XEに未修正（当時）の脆弱性 CVE-2023-20198 および CVE-2023-20273 を悪用する活動が確認されたとしてセキュリティ情報を公開しました。 CVE-2023-20198は権限昇格の脆弱性で、リモートから管理者に相当するアカウントを作成される恐れがあります。またその後の調査でさらに別の脆弱性 CVE-2023-20273 が悪用されていることも判明しました。同社は CVE-2023-20198 を最大の深刻度であるCriticalと評価しており、脆弱性への対応を強く呼び掛けています。ここでは関連する情報をまとめます。 脆弱性 CVE-2023-20198 / CVE-2023-20273 の概要 Cisco社の複数のネットワーク製品に搭載されているCisco IOS

宿泊予約サイト「Booking.com」を運営するブッキング・ドットコム日本支社は10月10日、宿泊施設に対して未払いが相次いでいる問題について謝罪した。支払いシステムの更新作業で起きた不具合が原因であったと説明。同社は「現在緊急に対応させていただいております」としている。 Booking.comは、宿泊施設に代わって、利用客に対してオンライン予約を提供するサービス。運営会社のBooking.comはオランダに本社を置いている。同サービスを巡り、TBSなどの一部報道機関は10日、宿泊施設への宿泊費の未払いが相次いでいるブッキング・ドットコムに対し、一部の施設オーナーが損害賠償請求を起こす方針であると報じていた。 この報道を受け、ブッキング・ドットコム日本支社は声明を発表。「お取引先（パートナー）各社様に対し、期日通りに支払いを履行することは、当社にとって常に最優先事項であり、先般の支払いシ

サポート詐欺とは、ウイルス感染したかのような警告や警告音を出して不安を煽り、虚偽のサポート窓口に電話をかけさせて金銭を騙し取ろうとする詐欺行為です。 【図1】サポート詐欺サイトの例 この詐欺手法は、何年も前から存在しておりたびたび話題となっていますが、最近は特に活発化しており、相談件数も増え続けています（※1）。 【図2】「ウイルス検出の偽警告」相談件数の推移（※1） （※1）出典：情報セキュリティ安心相談窓口の相談状況［2023年第2四半期（4月～6月）］ | IPA 独立行政法人 情報処理推進機構 サポート詐欺サイトが表示される要因には下記のようにいくつか考えられます。 閲覧したWebサイトの広告に不正なものが紛れ込んでいた閲覧したWebサイトが改ざんされていたメールに記載されたURLにアクセスした Webサイトを閲覧中に広告からサポート詐欺サイトが表示された事例 本稿では、Webサイ

ritouです。 前回は、パスキーやパスワードマネージャーを使う時の認証要素について触れました。 今回は、 同じ要素の認証を重ねる意味 同一端末やパスワードマネージャーだけで完結するMFA あるアカウントに紐づけられて同期されるクレデンシャル管理 についての 基本的な整理 をします。 前回に続き、書いていることは無難な内容だと思います。 (長いので先に)まとめ 単一要素を重ねる意味について、要素の種類によっては有効な場合もある SYK を重ねるケースは決済などでまだ見られるが今後は淘汰されていくのでは？ SYH の場合、管理デバイスを分離することで安全性を上げられる。ただし手間は増えるしフィッシング耐性は別途考慮する必要あり。 SYA を重ねる=単一SYAの精度を上げるのと同じ扱いになりそう(顔だけ、指紋だけ -> 顔 + 指紋など) 同一端末やパスワードマネージャー内で完結するMFAやプ

アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁が、先日2023/08/04に2022 Top Routinely Exploited Vulnerabilitiesというレポートを公開していました。 2022年に最も悪用された脆弱性トップ12がリストアップされているようです。 以下では該当の脆弱性をそれぞれ紹介してみます。 理論上危険とか原理上危険とかではなく、実際に使われた脆弱性ということなので、対策する必要性は極めて高いといえるでしょう。 心当たりのある人はすぐに対処しましょう。 2022 Top Routinely Exploited Vulnerabilities CVE-2018-13379 Fortinet社のVPN機器FortiGateに存在する脆弱性で、VPNのログイン情報を抜かれます。 VPNでなりすまし放題ということなわけで、極めて重大な脆弱性と言えるでしょう。

万が一、偽サイトに誘導されてもまだ大丈夫。よく訪れるウェブサイトなら自動ログインによってユーザー名などが表示されるが、偽サイトでは当然表示されない（図31）。 図31 ECサイトなどは、定期的に訪れていればクッキーの働きで自動的にログインする（左）。一方、偽サイトは身元がわからないので当然ログインしない（右）。なお、金融機関などはセキュリティ上ログインが維持されない場合が多い

パスワード管理ツールの定番「1Password」のiOS版（iOS 17）が、パスワードレス認証「パスキー」に対応した。事前に設定しておけば、生体認証などで1Passwordにログインでき、複数のパスワードをより簡便に管理できる。 6月からβ対応していたWebブラウザ版でも正式にパスキー対応した。Android版も提供準備ができており、近日中にAndroid 14で利用できるようになる予定だ。 パスキーは、事前に設定しておくことで、パスワード入力不要でログインでき、不正ログイン対策にもなるセキュアな認証方式。スマートフォンなどのユーザー端末で鍵ペアを生成。アプリやサーバには公開鍵を、デバイス側には秘密鍵を安全に格納し、ログイン時に指紋などデバイス側の生体認証で秘密鍵を取り出して鍵ペアで認証する。 関連記事 1Password、「パスキー」をサポート　主要ブラウザのβ版拡張機能で サブスク制

ドメインは、サービス終了ののちに失効したとみられ、GMOインターネットグループが展開するドメイン登録サービス「お名前ドットコム」内に開設されている「.jpドメインオークション」にて、オークション形式で出品されている。終了時刻は9月25日の午後7時。同日午後3時時点では40万円を超える入札が入っている。 もしドメインが第三者の手に渡ってしまうと、詐欺サイトや、ドコモ口座を模したフィッシングサイトが作られる可能性も考えられる。そのフィッシングサイトにかつて本物だったドメインが使用されているとすれば、ブラウザのセキュリティ機能をすり抜けたり、パスワード管理ツールが動いてID・パスワードを自動入力してしまったりする可能性も出てくる。 特に今回オークションに掛けられているドメインが金融サービスに関することから「税金で作ったサイトのドメインを手放して悪用されるのも大概だが、金融のドメインは本当にヤバい