崩壊する「HTTPS神話」、鍵マークはもはや信頼の証しではない
個人情報を入力するWebサイトでは、Webブラウザーに鍵マーク(錠マーク)が表示されているのを確認する――。セキュリティーのセオリーとして、筆者が何度も記事に書いたフレーズだ。 だが、「鍵マークが表示されていれば安全」というHTTPSの神話は崩壊した。常識が変わったのだ。 米国の政府組織であるインターネット犯罪苦情センター(IC3)は2019年6月、「Webブラウザーのアドレスバーに、鍵のアイコンあるいは『https』という表示があるという理由だけでWebサイトを信頼しないでください」と注意を呼びかけた。
米ヤフー、新たに10億人以上の情報流出 過去最大 ロシア関与か - 日本経済新聞
【シリコンバレー=兼松雄一郎】米ヤフーは14日、2013年8月に10億人以上の利用者のアカウント情報が流出していたと発表した。個人情報の流出規模としては過去最大。今年9月に流出を公表した5億人分以上の個人情報とは別の情報だが、同社は前回と同じ特定の国家が支援する攻撃者の犯行とみている。捜査当局から指摘を受け、流出が明らかになった。ロシア政府の関与が疑われている。米通信大手ベライゾン・コミュニケ
【お知らせ】不正アクセスによるお客様契約情報流出に関するお詫びとご報告 | 新着情報| レンタルサーバーのカゴヤ・ジャパン
弊社システムへの不正アクセスに関するFAQ お客様各位 カゴヤ・ジャパン株式会社 代表取締役 北川貞大 不正アクセスによるお客様契約情報流出に関するお詫びとご報告 このたび、弊社がお客様に提供しております契約情報データベースサーバーに対し第三者による 不正アクセスがあったことが発覚し、不正アクセスの全容解明ならびに被害状況の調査を進めてま いりました。 調査の結果、サーバーに保管していたお客様のクレジットカード情報を含む個人情報が不正アクセ スにより外部に流出した可能性があることが判明いたしました(以下、「本件」といいます)。 本件の詳細につきましては、下記のとおりご報告いたしますとともに、 お客様ならびにご関係者の 皆様に、多大なるご不安とご迷惑をお掛けいたしますこと、ここに深くお詫び申し上げます。 記 1.事案概要 (1)流出の対象期間:2015年4月1日~2016年9月21日 ※脆弱
アングル:米ヤフーの個人情報流出、ハッキング認識時期が問題
9月23日、米インターネット検索大手ヤフー<YHOO.O>から少なくとも5億人分のユーザー情報が流出した事件は、ヤフーがいつ流出を認識したかが重大な問題となっている。写真はスイスのロールの建物にある同社のロゴ。2012年12月撮影(2016年 ロイター/Denis Balibouse) [ワシントン 23日 ロイター] - 米インターネット検索大手ヤフーから少なくとも5億人分のユーザー情報が流出した事件は、ヤフーがいつ流出を認識したかが重大な問題となっている。ヤフーは7月に中核事業を48億3000万ドルで米通信大手ベライゾン・コミュニケーションズに売却することで合意しており、今回の事件が事業売却計画に影響しかねないためだ。 ヤフーは22日に事件を公表したが、これまでのところ流出を確認した時期は明確にしていない。また今回のハッカー攻撃は国家の支援を受けているとの認識を示したが、具体的な証拠は
米Google、検索サイトに「HSTS」実装 危険URLを自動変換
HSTSではインセキュアなHTTP URLを自動的にセキュアなHTTPS URLに変換することによって、ユーザーによるHTTP URLの参照を防止する。 WebサイトのHTTPS接続を推進している米Googleは7月29日、転送中のデータの保護を一層強化する目的で、「www.google.com」のドメイン上で「HTTP Strict Transport Security」(HSTS)を実装したと発表した。 Googleによると、HSTSではインセキュアなHTTP URLを自動的にセキュアなHTTPS URLに変換することによって、ユーザーによるHTTP URLの参照を防止する。ユーザーはアドレスバーにHTTPのURLを入力したり、他のWebサイトのHTTPリンクをたどったりして、そうしたHTTP URLにアクセスしてしまうことがあるという。 「転送中のデータの暗号化は、ユーザーやユーザー
JTB 個人情報700万人分 不正アクセスで流出か | NHKニュース
大手旅行会社、JTBは顧客の個人情報が入ったサーバーが不正にアクセスされ個人情報が外部に流出したおそれがあると発表しました。関係者によりますと流出したおそれのある情報は名前、住所、パスポート番号など最大でおよそ700万人分に上るということです。
江崎グリコのECサイトに不正アクセス 個人情報8万3000件流出か - ITmedia ニュース
江崎グリコは3月7日、ECサイト「グリコネットショップ」が不正アクセスを受け、一部クレジットカード情報を含む個人情報約8万3000件が流出した可能性があると発表した。 不正アクセスを受けたのは、菓子や飲料、粉ミルクなどを販売する「グリコネットショップ」。化粧品や健康食品を扱う「グリコダイレクトショップ」や「スマイルビスコ」は対象外となる。 2012年10月12日~16年2月3日に利用したユーザーの住所、氏名、電話番号などの個人情報8万3194件が流出した可能性があり、うち4万3744件にはクレジットカード情報が含まれる。カード情報にはセキュリティコードは含まれない。 対象となるユーザーにはお知らせとお詫びをダイレクトメールで発送済み。流出の可能性があるクレジットカード番号情報はカード会社に提供しており、取引のモニタリングを継続して実施し、不正利用の防止に努めるという。 EC販売はシステムの
セキュリティベンダーのアークンから顧客情報流出 「金を払わなければ公開する」と封書届き発覚
セキュリティベンダーのアークンは1月12日、同社サーバが不正アクセスを受け、顧客企業3859社の社名や担当者名などが流出した可能性があると発表した。同社に4日、「顧客リストを窃取した。要求額の金銭を支払わなければ情報を公開する」と匿名の封書が届き、調査した結果確認したという。 不正アクセスを受けたのは、社外のデータセンターに設置している同社のバックアップサーバ。会社名、担当者名、メールアドレス、電話番号、住所が窃取された可能性があるという。これとは別に、3社の顧客アカウントへの不正アクセスの痕跡もあった。対象顧客には、お詫びとして500円分のクオカードを送る。 現在、警察・外部専門機関の協力を得て、不正アクセスを受けたシステムの侵入原因と被害範囲を確認するなど事実関係を調査中。ほかのシステムについても、セキュリティ対策と監視を強化した上で、不正アクセスの痕跡がないか調べている。 公表まで時
北大に不正アクセスの疑い 在学生・卒業生ら約11万件の情報流出か
北海道大学は1月13日、就職活動支援などを行う「キャリアセンター」のサーバが不正アクセスを受け、在学生と卒業生、企業など計約11万件の個人・法人情報が流出した可能性があると発表した。 同大によると昨年末、大量のスパムメールを送信したことで自動的にこれを遮断したサーバが学内に見つかった。このサーバはキャリアセンターのファイルサーバであることが分かり、ログなどを調べたところ、不特定多数の外部サーバと通信していることが今月4日に判明。サーバをネットワークから切り離した。 同サーバには在学生約1万8000人・卒業生約9万5000人と企業約2000社、合計計約11万件のデータが保存されており、流出した可能性があるとして調べている。現時点では流出による被害は確認されていないという。学内のほかのサーバについても調査する。 情報が流出した個人・法人には説明と謝罪の書簡を送る。同大は「職員に対してはより一層
不倫サイトの流出パスワードを解読、強力ハッシュの突破に成功か
既婚者の不倫を奨励していた出会い系サイト「Ashley Madison」から会員情報が盗まれ、インターネットに暴露された事件で、流出したパスワードの保護に使われていた強力なハッシュを破ることに成功したとして、「CynoSure Prime」というクラッキング集団がブログでその方法を公開した。 この事件ではAshley Madisonに登録していた会員の氏名や住所、パスワードなどの情報が大量に流出した。しかし、パスワードは「bcrypt」というアルゴリズムを使ってハッシュ化されており、全てを解読しようと思えば何百年もかかるとも言われていた。 これに対してCynoSure Primeは9月10日のブログで、Ashley Madisonのbcryptハッシュを効率的に破ることに成功したと報告。同サイトから流出したコードを調べた結果、「2つの興味深い機能」が見つかり、この機能を利用すれば、bcry
日本の個人情報も筒抜け 「あらゆるデータがNSAに」:朝日新聞デジタル
米国家安全保障局(NSA)による日本政府や民間企業への盗聴疑惑を明らかにしたウィキリークスの告発が波紋を広げた。ただ、NSAが手にしているのは政府や大手企業の情報だけではない。日本の一般市民のデータは、どこまで彼らの手中にあるのか。 NSAによる極秘の情報収集は、2013年のエドワード・スノーデン元米中央情報局(CIA)職員が明らかにした文書や、元NSA職員の内部告発で断片的に明るみに出ている。 NSAは通信事業者の協力を得て、電話の発信者と通話先の電話番号、時刻、長さ、メールの送信者、送信先、時刻、訪れたサイトなどの「メタデータ」を集めてきた。会話の中身を盗聴しなくても、メタデータで、交友関係や生活形態まで把握できると言われる。 対象は、個人も政府も企業も関… この記事は有料会員記事です。有料会員になると続きをお読みいただけます。 この記事は有料会員記事です。有料会員になると続きをお読み
日本郵政グループの事務用PCから意図しない通信を確認、一部ネット遮断
日本郵政グループは2015年7月4日、同グループの事務用PCから「意図しない通信」を確認したと発表した。外部からの情報に基づき調査した結果、分かったもの。 現時点では情報流出は確認されていないが、同グループは一部のインターネット接続を遮断した上で、調査、検証を進めている。意図しない通信が確認されたPCの台数やグループ企業名は「セキュリティ上の観点から公開できない」(日本郵政 システム部門グループIT企画部)とした。 日本郵政グループが意図しない通信を確認したのは2015年6月29日。ある第三者機関からの通知を受け、該当する一般OA事務用PCを調査した結果、海外の特定のWebサイトへの通信を確認した。暫定措置として同日より、グループの一部でインターネット接続を遮断した。現時点では当該PCからウイルスは検知されておらず、また顧客向け業務システムへの影響もみられないという。
ハッカー集団が活動再開、「.jp」など大量サイトをハッキング
「GhostShell」と名乗るハッカー集団が膨大な数のWebサイトをハッキングしたと公言し、標的サイトの一覧や、流出させたとする個人情報などをインターネットに掲載している。この中には「.jp」サイトも複数含まれる。 同集団は6月末から7月初旬にかけ、ハッキングしたと称するWebサイトの情報をTwitterに次々に投稿し始めた。「パッチの手助けをしたければ脆弱性を報告して下さい」などの投稿もあり、Webサイトの脆弱性を突いて攻撃を仕掛けていると思われる。Pastebinに掲載されたURLの一覧を見ると、被害に遭っているのは世界各国の政府機関や民間組織、学術機関のサイトなど多岐にわたる。 セキュリティ企業のSymantecによれば、同集団が流出させたデータには電子メール、ユーザー名、住所、電話番号、生年月日などの個人情報が含まれ、件数は少なく見積もっても数千件に上る。パスワードはソルト処理と
Samsung Galaxyに深刻な脆弱性、6億台に影響か
この脆弱性を悪用された場合、端末のセンサーやGPS、カメラ、マイクなどへのアクセス、悪質なアプリのインストール、他のアプリや電話の機能の改ざん、メッセージや通話の盗聴、個人情報へのアクセスなどに利用される恐れがあるとしている。 Samsungは2014年12月にNowSecureから報告を受け、2015年初めごろから携帯電話会社向けにパッチの提供を開始したという。しかしNowSecureがまとめた米国のキャリアの対応状況によれば、6月16日の時点でほとんどが「未解決」または「不明」となっている。 問題のキーボードをアンインストールすることはできず、携帯電話会社からパッチが配信されているかどうかをユーザーが確認することも難しいとNowSecureは指摘する。 対策として、安全ではないWi-Fiの使用は避け、別のモバイル端末を使うか、パッチについて携帯電話会社に問い合わせるよう促している。 関
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ヤマト個人情報3千件超漏えいか 「クロネコメンバーズ」 | 共同通信
米大統領選「ロシア関与」 サイバー攻撃巡りCIA 現地報道、トランプ氏は反論 - 日本経済新聞
米シマンテック、個人情報保護サービス企業を買収 2550億円で - 日本経済新聞
JPモルガンなどから1億件情報、大規模サイバー犯罪で4人起訴 - Bloomberg
もはやサイバー戦争 「年金機構」報告書に見る危機 ラック 取締役 専務執行役員CTO(最高技術責任者) 西本 逸郎 - 日本経済新聞
ネット不正送金15億円 信金で被害急増 15年1~6月 - 日本経済新聞
