管理不備と報じられたLINEの問題についてまとめてみた - piyolog
2021年3月17日、日本国内のLINE利用者の個人情報に対し、国外から技術者らがアクセスできる状態にあったにもかかわらず、規約上で十分な説明が行われていなかったと報じられました。ここでは関連する情報をまとめます。 何が問題と報じられたのか LINEの(主に日本国内利用者における)個人情報保護管理の不備が報じられた。報道で問題として指摘されたのは国内LINE利用者の個人情報移転先である国名の明記。移転先やアクセスを行う国名は原則として明記を行った上、利用者から同意を得るよう個人情報保護委員会が求めていた。 LINEは利用者へ国外で一部利用者情報を取り扱っていたことについて十分な説明ができていないと判断。利用規約において、「利用者の居住国と同等のデータ保護法制を持たない第三国に個人情報を移転することがある」と説明するも国名までは明記していなかった。 今回は管理不備とされる問題が報道で指摘され
データ移行で発生したみずほ銀行のシステム障害についてまとめてみた - piyolog
2021年2月28日、みずほ銀行でシステム障害が発生し、全国で同行のATMが利用できなくなる、キャッシュカードが取り込まれたまま戻ってこないなどのトラブルが発生しました。ここでは関連する情報をまとめます。 取り込まれ戻ってこないキャッシュカード みずほ銀行サイト上に掲載されたシステム障害発生の案内障害が発生したのは2021年2月28日11時頃。障害により各地で生じた影響は以下が報じられるなどしている。なお、法人向けに提供されるサービスでは今回のシステム障害による不具合は確認されていない。*1 障害発生から30時間後に全面復旧をした。 みずほ銀行の自行ATM5,395台の内、54%にあたる2,956台が停止し(2月28日19時40分頃時点)、預金引き落とし等が出来なくなった。*2 台数はその後訂正され、最大4,318台が停止していたことが明らかにされた。 *3 障害発生中は、ATMよりキャッ
2020年10月に発生した東京証券取引所のシステム障害についてまとめてみた - piyolog
2020年10月1日、東京証券取引所はアローヘッドの機器故障によりシステム障害が発生し、終日売買を停止すると発表しました。故障した機器は交換が行われ、取引は翌日再開されています。ここでは関連する情報をまとめます。 機器故障起きるも縮退運用に失敗 障害概要図 アローヘッド内の共有ディスク装置1号機で機器故障が発生した。実際故障したのはサーバー上のメモリ周辺機器とされる。 1号機故障により両現用で稼働していた2号機のみのフェールオーバー(縮退運用)が行われるはずだったが何らかの問題により行われなかった。 共有ディスク装置を使用する相場配信、売買監視のシステムで障害が発生。 障害復旧時に発生する注文データ消失による市場混乱を避けるため当日終日の取引停止の措置を実施。(遮断) フェールオーバー失敗原因は設定ミス フェールオーバーに失敗した理由が特定できたとして10月5日に発表。 障害発生時のフェー
日本郵便のe転居を悪用したストーカー事件についてまとめてみた - piyolog
2020年7月15日、警視庁は埼玉県の男を日本郵便の転居手続きサービスで虚偽申請をしたとして私電磁的記録不正作出・同供用容疑で逮捕しました。ここでは関連する情報をまとめます。 ストーカー行為に転居サービスを悪用 男は日本郵便が提供する転居サービス「e転居」に不正な申請を行い、知人の女性宛の郵便物を自分の実家の住所に転送していたとみられる。申請が行われたのは3月13日。男の実家には実際に他人宛の郵便物が届いていた。*1 男は取り調べに対し、女性が本当にそこで暮らしているか把握したかったと供述している。*2 男はTwitterを通じて女性の住所を特定作業を依頼していた。*3 男の自宅からは女性の住民票や印鑑も発見されている。 「e転居」は日本郵便のウェブサイトより郵便物等の転送の届け出ができるサービス。電話確認のみで申請を済ますことが出来、本人確認書類の提出は必要ない。*4 日本郵便のe転居サ
クレジットカードの偽決済画面が稼働していたサーバーについて調べてみた - piyolog
2019年6月8日夜、クレジットカードの情報窃取を目的としたページが稼働していたと情報をいただきました。偽ページが稼働していたドメインやIPアドレスを調べたところ、いくつか興味深い情報が確認できたため、調べた内容をここではまとめます。 偽決済画面だらけのサーバー 情報提供頂いたURLではクレジットカード情報を窃取することを目的とした偽決済画面が稼働していた。 サブドメインには決済代行サービスのペイジェントに似せた文字列が用いられていた。 偽決済画面はワイン販売を行っている会社名がフォーム上部(モザイク部)に掲載。 この会社は2019年2月にWebサイトの改修を目的として一時閉鎖すると案内。 6月に新ドメインでECサイト再開。新ドメインへ移行した理由は「諸事情により」とのみ説明。 問題のドメインsearch-hot.comを調べる 問題のページが稼働していたドメインsearch-hot.co
マルウェア感染によるPayPayアカウントの不正利用についてまとめてみた - piyolog
2019年5月23日、愛知県警はPayPayを不正に利用した詐欺事件で被疑者を逮捕(その後不起訴)したと発表しました。また2019年6月6日、日本経済新聞はこの事件で不正利用されたPayPayアカウントがマルウェア感染を通じて作成されたものであったと報じました。ここでは関連する情報をまとめます。 PayPayアカウント 不正利用事案の概要 日時 出来事 2018年12月4日 PayPayで100億円あげちゃうキャンペーンが開始。 2018年12月*1 偽佐川急便のSMSを通じて男性Aがマルウェアに感染。 感染から1時間以内 何者かが男性Aの電話番号を使ってPayPayのアカウントを作成。 2018年12月9日~11日 栃木県の男の所有するPayPayアカウントで約1000万相当の購入記録。 2018年12月10日 栃木県の男が愛知県名古屋市でPayPayを使って約35万円分を不正購入。 2
不正移管によるドメイン名ハイジャックについてまとめてみた - piyolog
2018年9月頃から第三者に汎用JPドメインがのっとられるドメイン名ハイジャックの事例が相次ぎ、これらは不正なドメイン移管手続きにより発生した疑いがあります。ここでは関連する情報をまとめます。 不正移管の手口 のっとり犯が自身が利用するレジストラを通じて他人が所有するドメインの移管申請を行う。 次のいずれか該当する場合に(一時的に)ドメイン移管申請が行われてしまう恐れがある。 指定事業者が承認確認(不承認含む)を行わない(放置する) 登録者または指定事業者がのっとり犯が行った移管申請を誤って承認してしまう 汎用JPが狙われているのは自動承認ルールを悪用しているためとみられる 移管元指定事業者から承認、または不承認が10日以内に確認取れない場合、自動承認となる。 「汎用JPドメイン名登録申請等の取次に関する規則」第11条第2項に則ったものとされる。 第11条(取次にかかる登録申請等に対する決
神奈川県警職員が10年以上行っていた不正アクセス事案についてまとめてみた - piyolog
神奈川県警は県警職員が内部ネットワークに不正アクセス行為を繰り返し、また多数の拾得物を窃盗したとして懲戒免職と書類送検をしたことを明らかにしました。ここでは関連する情報をまとめます。 一連の内部不正事案の登場人物 対象 概要 川崎署会計課 事務職員 男 44歳 県警ネットワークに不正アクセス、拾得物窃盗の疑いで書類送検。 懲戒免職処分。 交通指導課 事務職員 男 40歳 会計課職員から拾得物を譲り受けた。 会計課職員とは過去同じ職場だった。 停職3か月の懲戒処分。同日依願退職。 関係する上司6名 監督責任があったとして注意処分。 インシデントタイムライン 日時 出来事 2007年~2018年7月頃 会計課職員が県警ネットワークで繰り返し不正アクセス行為。 2017年4月~2018年4月 会計課職員が繰り返し保管する拾得物の窃盗行為。 2018年5月 会計課職員への貸与PCから修理の際に不審
for文無限ループURL投稿で補導された件についてまとめてみた - piyolog
2019年3月4日、兵庫県警察はインターネット掲示板に不正プログラムのURLを書き込んだとして未成年者を含む3名を不正指令電磁的記録供用未遂の疑いで児童相談所への通告や書類送検を行う方針と報じられました。ここでは関連する情報をまとめます。 不正プログラムはfor文無限ループか NHK報道から、張り付けられたURLで動作する「不正プログラム」はfor文無限ループとみられる。*1 JavaScriptを見る限り、特殊な実装や脆弱性を用いたものではなく、for文の条件式などを記述せずに無限ループさせたもの。顔文字やメッセージはalertダイアログを使って表示させている。 当該URLを開いたタブを閉じるなどの操作が必要な場合もあるが、最新のブラウザ(Chrome、Firefoxなど)では開いただけで落ちることはない。 URL投稿で摘発された3人 次の3人が問題となったURLを書き込んだとして児童相
ルーターの設定情報改ざんについてまとめてみた - piyolog
2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日本国内でも3月半ばぐらいから同様の事象が報告があがっています。 ここでは関連情報をまとめます。 確認されている被害事象 (1) ルーターの設定情報が改ざんされる ルーター内部に設定されたDNS情報が改ざんされる。 DNSはプライマリ、セカンダリともに改ざんされた事例が報告されている。 (2) マルウェア配布サイトへ誘導される 改ざんされたDNSへ名前解決のクエリを要求するとマルウェアを配布するサイトのIPアドレスが返され配布サイトへ誘導される。 一部サイト(Twitter,Facebookなど)は正規のIPアドレスが返されサイトへ接続できる。 誘導先の配布サイトではマルウェアのインストールを促す
CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754(Rogue data cache load) CVE-2017-5753(Bounds check bypass) CVE-2017-5715(Branch target injection) 影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開 論文中にx
WPA2の脆弱性 KRACKsについてまとめてみた - piyolog
2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。 脆弱性タイムライン 日時 出来事 2017年5月19日 Vanhoef氏が研究論文を提出。 2017年7月14日頃 Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。 その後 Vanhoef氏が影響範囲の広さを認識し、CERT/CCと協力し脆弱性情報を開示。 2017年8月24日 ラスベガスで開催されたBlackhatでVanhoef氏が関連研究を発表。 2017年8月28日 CERT/CCから複数の開発ベンダ*1に通知。 2017年10月6日 BlackhatのTwitterアカウントがWPA2をテーマとした発表があるとツイート。 2017年10月16日 SNSなど
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
