国税庁委託先がマイナンバーなど個人情報70万件漏えい - 毎日新聞国税庁は14日、東京、大阪両国税局からデータ入力を委託されていた業者が契約に反して別業者に再委託し、マイナンバーなど個人情報が含まれる約70万件の書類を流していたと発表した。 両国税局から委託されていた会社はシステムズ・デザイン(東京都杉並区)。両局が企業から提出を受けた、給与や住所、氏名、マイナ…
標的型攻撃で悪用されたInternet Explorerの未修正の脆弱性CVE-2020-0674についてまとめてみた - piyolog
2020年1月17日、MicrosoftはInternet Explorerに深刻な脆弱性が存在し発表時点でまだ修正中であることを明らかにしました。ここでは関連する情報をまとめます。 1.概要編 ① いま何が起きているの?(1月17日時点) サポートされている全てのInternet Explorerに深刻な脆弱性。脆弱性はCVE-2020-0674が採番。1月11日時点のCVSSスコア(現状値)は7.1。 17日時点で修正中であり更新プログラムが公開されていない。限定的ながらこの脆弱性を悪用する攻撃が確認されている。 2020年1月14日にサポート期限を迎えたばかりのWindows 7も影響を受ける。更新プログラムの提供は明記がないが、Microsoftが発表した対象のリストに含まれている。 ② この脆弱性の影響を受けるとどうなるの? リモートから任意のコード実行が可能な脆弱性が存在し、悪
Amazonで発生した注文履歴の誤表示についてまとめてみた - piyolog
2019年9月26日にAmazon.co.jpの注文履歴で誤表示などの問題が発生しているとのSNS上の投稿が複数ありました。Amazon Japanも事象発生を認め調査中と取材に回答しています。ここでは関連する情報をまとめます。 Twitterへ投稿された事象 Amazon.co.jpで次の事象が発生していたとしてTwitterへ複数の投稿が寄せられていた。*1 Amazon.co.jpの一部の利用者で発生していた模様。(国外サイトで同事象の報告はない) piyokangoが確認した範囲ではTwitterでは9月26日6時頃から事象報告の投稿が始まっている。*2 PC向け、スマートフォン向け、公式アプリいずれでも問題の発生が投稿されている。 注文履歴で発生していた事象として履歴の誤表示と、システムエラーの2種類が報告されている。 (1)注文履歴の誤表示 自分以外の注文履歴の一覧が表示された
アマゾンで他人の“注文履歴”が見えてしまう状態に--同社は「現在調査中」
通販サイトの「Amazon.co.jp」で、他人の注文履歴が表示されてしまうエラーが、9月26日から一部のユーザーの間で起きているようだ。 Amazon.co.jpで注文履歴を選ぶと、そこに身に覚えのない注文履歴が並んでいるという報告がTwitterなどで相次いでいる。名前や住所なども閲覧できる状態だという。 CNET Japan編集部でも確認したところ、同様の事象が起きているスタッフがいた。東京都内で暮らしているが、届け先の住所が「鹿児島県」になっていた。 アマゾンジャパンに同件について問い合わせたところ「Amazonは、お客様のセキュリティとプライバシーを大変重要に考えています。本件については認識しており、現在調査を進めております」との回答を得た。続報があり次第、お伝えする。 【追記】同社は9月28日9時30分に「本事象は解決し、お問い合わせいただいたお客様にはご連絡をしています」とコ
脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性についてまとめてみた - piyolog
2019年9月16日、VPNサービスのレビュー等を行うvpnMentorはインターネット上でエクアドル国民に関わる大量の情報を発見したと発表しました。ここでは関連する情報をまとめます。 vpnMentorの発表 www.vpnmentor.com 数百万人のエクアドル国民に影響が及ぶ可能性がある大規模なデータを発見した。 発見したのはvpnMentorのリサーチャー Noam Rotem氏、Ran Loca氏の二人。 露出していたElasticsearchには2000万人を超える個人に関わる情報が含まれていた。 vpnMentorはZDnetへ情報提供を行っており、同件の報道が行われている。 どうやって発見したのか vpnMentorは大規模なWebマッピングプロジェクトの一部で確認したと説明している。 既知のIPブロックに対してポートスキャンを実行。 公開状態のデータベースに対してシステ
2年以上悪用されてきたiPhoneやAndroidを乗っ取れる脆弱性「Simjacker」が発見される
セキュリティ会社AdaptiveMobile Securityは自社ブログへの投稿で、「ユーザーに気づかれることなくスマートフォンを監視したり乗っ取ったりできるSIMカードの脆弱性を発見した」と公表。「Simjacker」と名付けられたこの脆弱性は、少なくとも2年以上にわたり30カ国以上もの地域で使用されるさまざまなメーカーのデバイスで悪用されてきたおそれがあるとのことです。 Simjacker – Next Generation Spying Over Mobile | Mobile Security News | AdaptiveMobile https://www.adaptivemobile.com/blog/simjacker-next-generation-spying-over-mobile Simjacker attack exploited in the wild to
エクアドル、ほぼ全国民の個人情報流出か
エクアドルで、全国民に相当する規模の大規模な個人情報流出が発生/Fiscalía General del Estado/Twitter (CNN) 南米エクアドルで最近、国民ほぼ全員の個人情報がインターネット上に流出した恐れがある。サイバーセキュリティーを手掛ける専門家集団「vpnメンター」が問題を発見し、16日に発表した。 同国の未成年者約700万人を含む2000万人以上の名前や生年月日、出生地、住所、メールアドレス、身分証明書番号や納税者番号、銀行口座の残高情報などが漏れたとみられる。 エクアドルの人口は約1650万人。司法当局によると、残りの数百万人はすでに亡くなった人とみられるが、現時点で正確な内訳は分かっていない。 vpnメンターの報告書によると、情報流出は同国のコンサルティング会社「ノバエストラット」が米フロリダ州マイアミに保有している無防備なサーバーで見つかった。 2012年
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
400万人以上の個人情報がChromeとFirefoxの拡張機能から流出してネット上で販売されていたことが判明
サイバーセキュリティ研究者のサム・ジャダリ氏は2019年7月20日、「ブラウザの拡張機能を介した壊滅的なデータ漏えい」として「DataSpii(データスパイ)」というセキュリティ問題を報告しました。ジャダリ氏によると、Google ChromeやMozilla Firefoxの拡張機能の一部が個人情報を含む閲覧履歴を収集し、入手した情報をインターネット上で販売していたとのことです。 DataSpii - A global catastrophic data leak via browser extensions https://securitywithsam.com/2019/07/dataspii-leak-via-browser-extensions/ My browser, the spy: How extensions slurped up browsing histories f
クレジットカードの偽決済画面が稼働していたサーバーについて調べてみた - piyolog
2019年6月8日夜、クレジットカードの情報窃取を目的としたページが稼働していたと情報をいただきました。偽ページが稼働していたドメインやIPアドレスを調べたところ、いくつか興味深い情報が確認できたため、調べた内容をここではまとめます。 偽決済画面だらけのサーバー 情報提供頂いたURLではクレジットカード情報を窃取することを目的とした偽決済画面が稼働していた。 サブドメインには決済代行サービスのペイジェントに似せた文字列が用いられていた。 偽決済画面はワイン販売を行っている会社名がフォーム上部(モザイク部)に掲載。 この会社は2019年2月にWebサイトの改修を目的として一時閉鎖すると案内。 6月に新ドメインでECサイト再開。新ドメインへ移行した理由は「諸事情により」とのみ説明。 問題のドメインsearch-hot.comを調べる 問題のページが稼働していたドメインsearch-hot.co
佐世保共済病院のマルウェア感染についてまとめてみた - piyolog
長崎県佐世保市の佐世保共済病院は、院内のシステム点検により外来受診などに一部制限が発生していると発表しました。点検の原因はマルウェア感染と報じられています。ここでは関連する情報をまとめます。 佐世保共済病院の発表 kkr.sasebo.nagasaki.jp 2019年5月31日の発表*1は削除済み。 コンピュータシステムの点検作業を実施。 診療に時間を要する状況にあり、外来は予約患者のみに制限。 2019年6月3日(月)からの通常の診療体制になった。 インシデントタイムライン 日時 出来事 2019年5月28日 17時頃 放射線検査機器接続のPCでマルウェアを検知。 : 院内PC 約5台からマルウェアを検知。 同日夜 検査機器と電子カルテシステムなどのネットワークを遮断。 2019年5月29日 新規、救急患者の受け入れを原則見合わせ。 2019年5月31日 佐世保共済病院がシステム点検に
[書評]噂の学園一美少女な先輩がモブの俺に惚れてるって、これなんのバグですか?
瓜生聖(うりゅうせい)の近著「噂の学園一美少女な先輩がモブの俺に惚れてるって、これなんのバグですか? 」を読んだので紹介したい。本書は、JNSA(特定非営利活動法人 日本ネットワークセキュリティ協会)が主催したサイバーセキュリティ小説コンテストにて大賞を受賞した作品「目つきの悪い女が眼鏡をかけたら美少女だった件」を大幅に加筆したのち、角川スニーカー文庫から出版された。 重要事項説明 著者と評者は知人関係にあり公私共に交流がある 評者が読んだ書籍はご恵贈いただいたものである この記事のリンクにはアフィリエイトが含まれる はじめに 著者の瓜生聖は、twitterのプロフィールには「ITmediaで記事を書いてる兼業ライター」とあるが、本業はITエンジニアである。つまり、現役のITエンジニア兼テクニカルライターである人物が、サイバーセキュリティ小説を書いたのが本書ということになる。瓜生聖はライタ
「お金を払ってセキュリティを学ぶ」のは平成で終わり? ある無料教本が神レベルで優れている件
毎日のように企業や組織を狙ったサイバー攻撃が繰り返され、その方法も次々と新しくなっています。皆さんの中にはひょっとして、小さな企業を十分守るだけのセキュリティの知識を身に付けるには「ある程度お金がかかるはず」と思っている方もいるのではないでしょうか? 実は、そんなことはありません! 内閣サイバーセキュリティセンター(NISC)は2019年4月19日、新たに「小さな中小企業とNPO向け情報セキュリティハンドブック 初版(Ver.1.00)」を公開しました。その内容は、セキュリティ本を上梓している筆者が「ぐぬぬ」とうなったほどです。これは、素晴らしい! 「どうしてこの人は、他人の本をそこまで推すの……?」と面食らった読者もいるかもしれません。この本を読んでほしいと私が考える根拠を、これから詳しく説明していきましょう。 NISCはこれまでも、個人向けに黄色い表紙の「インターネットの安全・安心ハン
ラブライブ!公式サイト乗っ取りに使われた「ドメイン移管」の仕組みとは “10連休”に危険潜む?
汎用JPドメインの扱い 10日以内に返事しないと…… 今回被害に遭ったラブライブ!公式サイトのドメインは「○○.jp」という形式で、「汎用JPドメイン」と呼ばれる。 汎用JPドメインの登録・管理は日本レジストリサービス(JPRS)が行っており、JPRSは、インターネットイニシアティブやGMOインターネットなどの各指定事業者(レジストラ)からドメイン名の登録手続きなどを受ける。 ドメイン名を登録したいエンドユーザーは、レジストラや再販・取次事業者(リセラー)に申請することになる。 ドメイン名は複数のレジストラやリセラーが登録業務を行うため、あるユーザーがあるドメイン名を取得したくても、他のレジストラでそのドメイン名がすでに登録されている場合がある。 この場合に発生するのが「ドメイン移管」で、手続きに関する規則はJPRSが定めている。 JPRSの「汎用JPドメイン名登録申請等の取次に関する規則
ラブライブ!公式サイトの改ざんについてまとめてみた - piyolog
2019年4月5日早朝、ラブライブ!の公式サイトで改ざん被害が発生したと運営元アカウントが明らかにしました。ここでは関連する情報をまとめます。 公式のアナウンス 安全性が確認されるまでは暫定的に設置したサイトを閲覧するよう案内。 www.sunrise-inc.co.jp 発生直後に掲載されていた案内(現在は削除済) サンライズ社サイト www.sunrise-inc.co.jp 公式Twitter 今後の状況につきましては本公式Twitterにてお伝えさせていただきます。 いつも応援して頂いている皆様にはご迷惑をお掛けし心苦しい限りですが、何卒、宜しくお願い致します。— ラブライブ!シリーズ公式 (@LoveLive_staff) 2019年4月4日 『ラブライブ!』シリーズ公式サイトページ内容改ざんに関しまして、ご迷惑をおかけしまして大変申し訳ございません。 現在原因を究明しております
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Git」に複数の脆弱性、Windowsユーザーはとくに注意/修正版のv2.24.1などへ更新を
XP以降、20年存在していたWindowsの脆弱性をGoogleが発見
あやしいソフトも安全・気軽に試せる「Windows サンドボックス」【「May 2019 Update」でWindows 10はさらに便利に】
Railsエンジニアのためのウェブセキュリティ入門
Wi-Fiセキュリティ新規格「WPA3」に脆弱性、登場から1年経たずに発見される 
