米Google、検索サイトに「HSTS」実装 危険URLを自動変換
HSTSではインセキュアなHTTP URLを自動的にセキュアなHTTPS URLに変換することによって、ユーザーによるHTTP URLの参照を防止する。 WebサイトのHTTPS接続を推進している米Googleは7月29日、転送中のデータの保護を一層強化する目的で、「www.google.com」のドメイン上で「HTTP Strict Transport Security」(HSTS)を実装したと発表した。 Googleによると、HSTSではインセキュアなHTTP URLを自動的にセキュアなHTTPS URLに変換することによって、ユーザーによるHTTP URLの参照を防止する。ユーザーはアドレスバーにHTTPのURLを入力したり、他のWebサイトのHTTPリンクをたどったりして、そうしたHTTP URLにアクセスしてしまうことがあるという。 「転送中のデータの暗号化は、ユーザーやユーザー
江崎グリコのECサイトに不正アクセス 個人情報8万3000件流出か - ITmedia ニュース
江崎グリコは3月7日、ECサイト「グリコネットショップ」が不正アクセスを受け、一部クレジットカード情報を含む個人情報約8万3000件が流出した可能性があると発表した。 不正アクセスを受けたのは、菓子や飲料、粉ミルクなどを販売する「グリコネットショップ」。化粧品や健康食品を扱う「グリコダイレクトショップ」や「スマイルビスコ」は対象外となる。 2012年10月12日~16年2月3日に利用したユーザーの住所、氏名、電話番号などの個人情報8万3194件が流出した可能性があり、うち4万3744件にはクレジットカード情報が含まれる。カード情報にはセキュリティコードは含まれない。 対象となるユーザーにはお知らせとお詫びをダイレクトメールで発送済み。流出の可能性があるクレジットカード番号情報はカード会社に提供しており、取引のモニタリングを継続して実施し、不正利用の防止に努めるという。 EC販売はシステムの
セキュリティベンダーのアークンから顧客情報流出 「金を払わなければ公開する」と封書届き発覚
セキュリティベンダーのアークンは1月12日、同社サーバが不正アクセスを受け、顧客企業3859社の社名や担当者名などが流出した可能性があると発表した。同社に4日、「顧客リストを窃取した。要求額の金銭を支払わなければ情報を公開する」と匿名の封書が届き、調査した結果確認したという。 不正アクセスを受けたのは、社外のデータセンターに設置している同社のバックアップサーバ。会社名、担当者名、メールアドレス、電話番号、住所が窃取された可能性があるという。これとは別に、3社の顧客アカウントへの不正アクセスの痕跡もあった。対象顧客には、お詫びとして500円分のクオカードを送る。 現在、警察・外部専門機関の協力を得て、不正アクセスを受けたシステムの侵入原因と被害範囲を確認するなど事実関係を調査中。ほかのシステムについても、セキュリティ対策と監視を強化した上で、不正アクセスの痕跡がないか調べている。 公表まで時
北大に不正アクセスの疑い 在学生・卒業生ら約11万件の情報流出か
北海道大学は1月13日、就職活動支援などを行う「キャリアセンター」のサーバが不正アクセスを受け、在学生と卒業生、企業など計約11万件の個人・法人情報が流出した可能性があると発表した。 同大によると昨年末、大量のスパムメールを送信したことで自動的にこれを遮断したサーバが学内に見つかった。このサーバはキャリアセンターのファイルサーバであることが分かり、ログなどを調べたところ、不特定多数の外部サーバと通信していることが今月4日に判明。サーバをネットワークから切り離した。 同サーバには在学生約1万8000人・卒業生約9万5000人と企業約2000社、合計計約11万件のデータが保存されており、流出した可能性があるとして調べている。現時点では流出による被害は確認されていないという。学内のほかのサーバについても調査する。 情報が流出した個人・法人には説明と謝罪の書簡を送る。同大は「職員に対してはより一層
不倫サイトの流出パスワードを解読、強力ハッシュの突破に成功か
既婚者の不倫を奨励していた出会い系サイト「Ashley Madison」から会員情報が盗まれ、インターネットに暴露された事件で、流出したパスワードの保護に使われていた強力なハッシュを破ることに成功したとして、「CynoSure Prime」というクラッキング集団がブログでその方法を公開した。 この事件ではAshley Madisonに登録していた会員の氏名や住所、パスワードなどの情報が大量に流出した。しかし、パスワードは「bcrypt」というアルゴリズムを使ってハッシュ化されており、全てを解読しようと思えば何百年もかかるとも言われていた。 これに対してCynoSure Primeは9月10日のブログで、Ashley Madisonのbcryptハッシュを効率的に破ることに成功したと報告。同サイトから流出したコードを調べた結果、「2つの興味深い機能」が見つかり、この機能を利用すれば、bcry
ハッカー集団が活動再開、「.jp」など大量サイトをハッキング
「GhostShell」と名乗るハッカー集団が膨大な数のWebサイトをハッキングしたと公言し、標的サイトの一覧や、流出させたとする個人情報などをインターネットに掲載している。この中には「.jp」サイトも複数含まれる。 同集団は6月末から7月初旬にかけ、ハッキングしたと称するWebサイトの情報をTwitterに次々に投稿し始めた。「パッチの手助けをしたければ脆弱性を報告して下さい」などの投稿もあり、Webサイトの脆弱性を突いて攻撃を仕掛けていると思われる。Pastebinに掲載されたURLの一覧を見ると、被害に遭っているのは世界各国の政府機関や民間組織、学術機関のサイトなど多岐にわたる。 セキュリティ企業のSymantecによれば、同集団が流出させたデータには電子メール、ユーザー名、住所、電話番号、生年月日などの個人情報が含まれ、件数は少なく見積もっても数千件に上る。パスワードはソルト処理と
Samsung Galaxyに深刻な脆弱性、6億台に影響か
この脆弱性を悪用された場合、端末のセンサーやGPS、カメラ、マイクなどへのアクセス、悪質なアプリのインストール、他のアプリや電話の機能の改ざん、メッセージや通話の盗聴、個人情報へのアクセスなどに利用される恐れがあるとしている。 Samsungは2014年12月にNowSecureから報告を受け、2015年初めごろから携帯電話会社向けにパッチの提供を開始したという。しかしNowSecureがまとめた米国のキャリアの対応状況によれば、6月16日の時点でほとんどが「未解決」または「不明」となっている。 問題のキーボードをアンインストールすることはできず、携帯電話会社からパッチが配信されているかどうかをユーザーが確認することも難しいとNowSecureは指摘する。 対策として、安全ではないWi-Fiの使用は避け、別のモバイル端末を使うか、パッチについて携帯電話会社に問い合わせるよう促している。 関
年金機構、職員の電子メールを禁止 外部向け「当面の間」
流出を受け、6日と7日は「休日年金相談」を全国の年金事務所で行う。 各紙の報道によると、データは東京都、和歌山県、沖縄県の3拠点から流出していたことが分かったという。 関連記事 年金機構のウイルス感染、公表前に2chに書き込みか 「感染しました」「月曜日には公表するのかな?」 「ウィルス感染しました」「月曜日には公表するのかな」――年金機構の個人情報流出について、公表前に2chに書き込みがあったことが分かった。 ウイルス入り「標的型攻撃メール」どう見分ける? 「高度な“だまし”のテクニック」、IPAが対策指南 年金流出問題は、機構の職員が不審なメールを開いたことが原因とされている。標的型攻撃メールには「高度なだましのテクニック」が使われているとし、見分ける際の着眼点をIPAが指南している。 甘利大臣「マイナンバー導入予定は変更なし」 セキュリティ懸念否定 甘利社会保障・税一体改革担当相は、
年金機構のウイルス感染、公表前に2chに書き込みか 「感染しました」「月曜日には公表するのかな?」
「ウィルス感染しました」「月曜日には公表するのかな」――標的型メール攻撃を受け、日本年金機構から125万件の個人情報が流出した事件に関連し、「2ちゃんねる」の年金機構関連スレッドに5月28日以降、内部情報とみられる書き込みがあったことが分かった。職員など内部情報を知る人が、6月1日の問題公表前に書き込んだ可能性がある。 2chの「公務員板」の年金機構スレッドに28日、「ウィルス感染しましたので、共用ファイルは利用禁止となりました」「あれほど、差出人不明めメールは開封するな、と警告があったのに、、、」(原文のまま)との書き込みがあった。29日には「全職員はパスワードを強制的に変更させられました」と書き込まれた。 30日には「ウィルス駆除対応の本部職員の方々、休日出勤おつかれさまです」「月曜日には、ウィルス感染を公表するのかな?」と書き込まれ、31日には「個人情報が抜かれてなければいいが、、、
サンリオ株主6249人分の個人情報が流出の可能性
サンリオは4月8日、同社の株主向け会員制サービス「サンリオ株主ポイント倶楽部」に登録した株主6249人分の氏名や住所、メールアドレスなどの個人情報の一部が流出した可能性があると発表した。流出経路などの調査を進めている。 流出した恐れがあるのは、株主番号、氏名、住所、性別、生年月日、メールアドレス、電話番号。パスワードは暗号化しており、流出の可能性はないとしている。 7日朝、株主から同社あてにメールで「サンリオ株主ポイント倶楽部にしか登録していないメールアドレス宛てに投資勧誘メールが届いた」との連絡があり、調査したところ、同サービスに登録している複数の社員株主にも同様のメールが届いていたことから、流出の可能性があると判断した。 運営はインベスター・ネットワークスに委託しており、サンリオは同社に調査を依頼。登録した株主に対して、お詫びと注意喚起のメールを8日に配信する。再発防止に向け、委託先を
「Ameba」に不正ログイン4万件 試行229万回 リスト型攻撃受け
国内大手サービスを狙ったリスト型アカウントハッキングが相次いでいる。サイバーエージェントは6月24日、「Ameba」がリスト型アカウントハッキングを受け、3万8280件の不正ログインがあったと発表した。ユーザー情報の改ざんや個人情報の流出はないとしている。 不正ログインを受けたのは19日午後5時27分から23日午前8時26分。試行は229万3543回あったという。不正ログインを受けたIDのパスワードをリセットし、ユーザーにパスワード再設定を依頼している。 該当のユーザは、ニックネーム、メールアドレス、生年月日、居住地域、性別などの登録情報、仮想通貨「アメゴールド」「コイン」の履歴情報が第三者に閲覧された恐れがあるという。クレジットカード情報は同社システムでは保有していない。 同社は全ユーザーに対して、他社サービスと同一のID・パスワードを利用している場合は、パスワードを変更するよう呼び掛け
ANAマイレージクラブに不正ログイン マイルをiTunesコードに不正交換される被害
全日本空輸(ANA)は3月11日、「ANAマイレージクラブ」のWebサイトに不正ログインがあり、顧客9人のマイレージ・112万マイルが「iTunesギフトコード」に不正に交換されていたことを明らかにした。現金に換算すると、最大で65万円分のマイルが奪われた可能性があるという。 顧客4人から「身に覚えのないマイル交換がある」と申告を受けて発覚した。10日午後6時半以降、iTunesギフトコードへの交換を停止。会員にはパスワードの変更を呼びかけている。ANAマイレージクラブの総会員数は2627万人。 ANAによるとiTunesのギフトコードは、ほかの電子マネーやポイントなどとの交換と異なり、交換先のIDなどを指定する必要なく発行できたという。証拠を残さずにマイルを詐取できる手段として、不正ログイン犯が選んだ可能性がある。 ANAマイレージクラブは、10ケタのマイレージ番号と、数字のみ4ケタのパ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
