クロネコWebサイトに不正ログイン、メールアドレスや住所が流出の可能性
ヤマト運輸は2014年9月26日、運営する会員制Webサービス「クロネコメンバーズ」が特定のIPアドレスから約1万件の不正ログインを受けたと発表した(写真)。他社サービスから流出した可能性のあるIDとパスワードを用いてログインする「リスト型攻撃」によるものとしている。ヤマト運輸は緊急の措置として、特定のIPアドレスからのログインを遮断するなどの対策を講じた。 不正ログインの件数は26日17時の時点で、1万589件。不正ログインの試行件数は約19万件だという。今回の攻撃で、登録する顧客の個人情報が閲覧された可能性がある。 閲覧された可能性のある項目は、クロネコID、メールアドレス、PCやスマホなどの利用端末の種別、氏名、氏名のふりがな、電話番号、性別、郵便番号、住所。個人情報が閲覧された可能性のある顧客に対しては、個別に対応策を案内するとしている。
「偵察メール」に気をつけろ、“進化”を続ける標的型攻撃
「○○さん 明日事務室にいますか?用事があります。お返事お待ちしてます」。あなたの仕事用アドレスに、意味のよく分からないメールが届いたことはないだろうか。もしかすると、それは標的型攻撃の「偵察メール」かもしれない。 あるいは、「御社の製品について質問があります」といったメールをきっかけに、顧客と思われるユーザーとメールのやり取りをしたことはないだろうか。もしかすると、メールのやり取りをしているのは、顧客ではなく、標的型攻撃を仕掛けようとしている攻撃者かもしれない。 標的型攻撃は巧妙化の一途をたどっている。数年前の認識のままで「ウイルスメール攻撃の一種」程度に捉えていると、被害に遭うことは必至だ。 脅威の「やり取り型」 これまでITproで報じているように、国内外の企業を狙った標的型攻撃が相次いでいる。標的型攻撃の基本的な手口は、ターゲットとした企業のネットワークにメールを使ってウイルス(マ
ヤフーとCCC、Tカード購買履歴とWeb閲覧履歴を相互提供へ
ヤフーは2014年6月2日付けでプライバシーポリシーを改訂する(Yahoo! JAPANからのお知らせ)。カルチュア・コンビニエンス・クラブ(CCC)がTカードで収集した商品購入履歴と、ヤフーが収集したWeb閲覧履歴を互いに共有できるようにする。2012年6月に始まったヤフーとCCCの連携が、ポイント共通化の段階を超え、ユーザーの属性情報や履歴情報の共有にまで歩を進めることになる。 ヤフーは、新たなプライバシーポリシーの文章を6月2日に公開する予定で、同日に有効になる。情報連携を望まないユーザーにはオプトアウト(情報提供の停止)の仕組みを用意する。オプトアウトの告知日や告知方法は「現在調整中」(ヤフー広報)。オプトアウト告知を含め、プライバシー侵害を懸念するユーザーを納得させる枠組みを作れるかが情報連携の成否を左右しそうだ。 相互提供の対象になるのは、ヤフーのユーザーID「Yahoo!JA
バイドゥによる大量アクセスで生じた“疑惑”、入力データの流用はあったのか
日本語入力ソフトからの情報不正送信で2013年末に揺れたバイドゥ(百度)が、再び批判にさらされている。他社が運営する非公開の顔文字辞典サーバーに、2時間に30万回を超える大量アクセスを実施したうえ、そのアクセスの際に、日本語入力ソフトでユーザーが入力した文字列を検索語として流用した疑いが出てきたからである。当事者から事件の経緯やデータ流用の有無などについて聞いた。 事件は2014年4月10日の夜に発生した。スマートフォンやWebブラウザー向けに「みんなの顔文字辞典」というサービスを提供するアイ・オーの非公開サーバーに、不審なIPアドレス群から約40万回の大量アクセスがあったのである。「ログを確認するとアクセス開始は19時台。20時過ぎから30分間ほどアクセス数が急増し、その後30分程度の休止期間を経て、21時過ぎに再度30分間ほど大量アクセスがあった。20時から22時までの2時間のアクセス
「見てもらう」ために過激に走る、身近になった動画配信の落とし穴
あなたは「Hikakin(ヒカキン)」を知っているだろうか。YouTubeで日本国内月間アクセス1位を記録したこともある、YouTubeでチャンネルを持ち動画を配信する著名なYouTuber(ユーチューバー)だ(写真1)。 先日小学校高学年の子どもたちに聞いたところ、子どもたちはほぼ全員がHikakinを知っていた。YouTubeで広い人気を得て、広告収入だけで数千万円の年収を稼ぐとされるHikakinに憧れる子どもは少なくない。ある小学5年生男子は、「かっこいい。将来はHikakinみたいになりたい」と目をキラキラさせていた。 ネットの配信主たちは、視聴者からのコメントに応えてくれるなど、直接メッセージのやり取りができる。子どもたちにとってテレビのタレントよりも身近にいる、憧れの存在となっている。ニコニコ動画などのボカロP(音声合成ソフトのVOCALOIDを活用し楽曲を作るプロデューサー
「My SoftBank」で不正アクセス、344件の顧客情報が漏洩
ソフトバンクモバイルは2014年2月28日、携帯電話の顧客向けサイト「My SoftBank」でリスト攻撃の不正アクセスを受けたと発表した。344件の顧客情報が第三者に閲覧された可能性がある。顧客情報には名前や携帯電話番号、固定電話番号、契約内容、利用状況が含まれており、クレジットカード番号や銀行口座、住所はマスキングされているので閲覧できないとしている。ただ、同社の「まとめて支払い」に対応したコンテンツ配信サイトでコンテンツを購入される可能性はあり、身に覚えのないコンテンツ課金など不自然な点があった場合は同社カスタマーサポートに連絡してほしいと呼び掛けている。 不正アクセスを受けたのは、2014年2月24日と25日。特定のIPアドレスから大量のアクセスを受けていたことが26日に判明した。調査した結果、IDとパスワードを変えて何度も接続を試されていた。ほとんどは認証に失敗していたが、成功し
テレビや冷蔵庫がスパムの踏み台に
セキュリティベンダーの米プルーフポイントは2014年1月中旬、インターネットに接続されたテレビや冷蔵庫などを悪用した、大規模なスパム(迷惑メール)送信を確認したとして注意を呼びかけた。2013年末から2014年初頭にかけた2週間で、10万台以上の機器から75万通以上のスパムが送られたという。今後、IoT(モノのインターネット)を悪用したサイバー攻撃は確実に増える。ベンダーとユーザーの両方が警戒する必要がある。 インターネットにつながる機器の悪用は、国内でも以前から確認されている。悪用される主な原因は、パスワードを設定しないといった設定の不備や、ファームウエアの脆弱性だ。例えば2004年、ネットに接続できる東芝製HDDレコーダーがスパムの踏み台に悪用された。最近では、2013年4月以降、ロジテックの無線LANルーターが乗っ取られ、DDoS(分散サービス妨害)攻撃に悪用されている。 ただ、今ま
JALマイレージWebサイトに不正アクセス、約2700万人にパスワード変更を依頼
日本航空(JAL)は2014年2月3日、同社が運営する「JALマイレージバンク(JMB)」の会員Webサイト(画面)への不正ログインが判明し、JMB会員になりすました第三者がマイルを特典に交換するトラブルが多数発生していたことを発表した。 JAL広報部の説明によれば、1月31日から2月2日までに7人のJMB会員がコールセンターに「身の覚えのない特典交換をされた」という問い合わせをした。JALが調査したところ、不正ログインによる「Amazonギフト券」への交換の可能性が疑われたため、2月2日16時までにAmazonギフト券交換サービスを停止した。不正交換の可能性があるJMB会員は約60人で、JALが個別に事実確認を進めている。 現時点では「Amazonギフト券」以外への特典交換の影響は確認されていないという。だが、不正ログインに至った経緯の全容が明らかになっておらず、今後影響が広がる可能性が
サポート終了迫るXP、買い換えで中古のWindows 7モデルが人気を集める理由
2001年10月の登場以来、長らく愛用された「Windows XP」のサポートがいよいよ2014年4月9日で終了する。サポート終了まで3カ月を切ったいま、アキバの中古ショップでも駆け込み的なパソコンの買い替え客が増えている。 意外なのが、中古品は最新のWindows 8モデルではなく、ひと世代古いWindows 7モデルがよく選ばれているということ。中古品を取り扱うビートオン 秋葉原店の石山祐輔氏は、「中古パソコンの売り上げの70~80%はWindows 7モデルが占めるほど」と語る。 現在新品で入手できるWindows 8モデルと比べてスペックの劣るWindows 7搭載の中古パソコンがあえて選ばれる理由や、程度のよい中古品を購入するための豆知識、中古品をより快適に使うためのノウハウなどを、中古ショップの担当者に聞いた。 Core 2 Duo搭載のモバイルノートPCが人気 現行機にはない
健診受けないと賞与減のローソン、社員が「健康アプリ」で体を張り実験して来年サービス開始
東京・大崎にあるローソン本社。ここで働く社員のAさんは昼休み、いつものように近くの食堂に入った。この日注文したのは「レバにら炒め定食」。さっそくお膳が運ばれてきた。 早く食べたい気持ちを抑えながら、Aさんは食事に手を付ける前に、ポケットからスマートフォンを取り出した。慣れた手つきでアプリを立ち上げ、スマホのカメラで「カシャ」とレバにら炒めを撮影(写真1)。それから「いただきます」と言って、ゆっくりと食べ始めた──。 Aさんはこうして毎日3食、スマホで食事の写真を撮影し、記録していっている。ちなみに前日の昼は「けんちん汁」、夜は「チンゲンサイ炒めにんにく風」を食べた。それらももちろん記録してある。 最近は高級レストランなどでも平気でスマホを取り出し、料理の写真を片っ端から撮ってはアップする人も珍しくなくなった。そういう意味ではAさんの行動は、混み合う店内でもさほど目立ったものではないのかもし
狙われる複合機、情報漏えい源だけでなくサイバーテロの“踏み台”にも
ファックスやスキャナーなど複数の機能を搭載したプリンタ、いわゆる複合機からの情報漏えい問題を複数のメディアが大きく報じている(関連記事:複合機からの情報漏洩でメーカーが注意喚起、「メーカーの対応に問題も」と専門家)。こうした攻撃は技術的には目新しい脅威ではなく、古くからあるIT環境に対するマネジメントが抱える課題が顕在化したものといえる。今回は、そうした視点からこの背景や今後の展開を考えてみたい。 総務部門や庶務部門の所管である複合機が狙われる 筆者は、この問題に対して日経コミュニケーション2012年2月号に「複合機が丸見えになる恐れ」と題する記事を投稿した。技術的な脅威についてはこの記事に詳しく解説したので、関心のある方はそちらを読んでいただきたい。 この記事で説明したようにオンラインデバイスを機種別、国別に一覧表示する「SHODAN」と呼ぶ検索エンジンを使うと、インターネットに接続され
ソニーがFeliCaでビッグデータ事業参入
ビッグデータとプライバシーの議論に一石を投じるか---。ソニーがビッグデータ利活用事業へ向け、本格的に足を踏み出した。 同社は2013年8月19日、ビッグデータの活用を目的として、プライバシーに配慮したクラウドシステムを開発したと発表した。個人を識別するデータを分離して、履歴データのみインターネット上のサーバーに保存する仕組みだ。サイバー攻撃などで万が一データが漏洩しても、プライバシーの被害を最小限にできる。 このクラウドシステムを利用した事業の第一弾は、薬局で受け取る処方薬の履歴データをサーバーに保存する「電子お薬手帳」である(図)。2013年秋に川崎市全域で試験サービスを開始する。 利用者にはまず、ソニーが開発した非接触型ICカード技術「FeliCa」対応の専用カードを配布する。FeliCaカードには、利用者に割り当てた共通IDと、暗号化した氏名、生年月日を保存する。サーバーには、共通
「できない人」にいくら教えても「できる人」にならないのか
「こういう言い方をしたらいけないのかもしれないが、結局は生まれつきですよ。できる人に機会を与えれば、自分でできるようになる。できない人にいくら懇切丁寧に教えても、できる人にはならないね」 この身も蓋もない発言を聞いたのは、筆者が駈け出しの頃だったから、もう20年以上も前だ。情報システムの開発を成功させるにはどうすればよいか、色々な方を取材していたとき、「開発で一度も失敗したことがない人がいる」と紹介され、その人に会ったところ、こう言われてしまった。 そもそも、失敗しないその人との話はあまり弾まなかった。「なぜ失敗しないのですか」と聞くと相手は「うーん。失敗したことがないからなあ」と首をひねった。「あなたのように失敗しない部下をどう育てますか」と問うと、冒頭の答えが返ってきた。 当時のことを思い起こしてみると、筆者の取材能力に問題があり、相手から話をうまく聞き出せなかった。その人が不親切であ
派遣制度の見直しでIT業界に激震
2013年8月20日、厚生労働省の「今後の労働者派遣制度の在り方に関する研究会」が、労働者派遣制度の見直し案を盛り込んだ報告書を公表した。同省は2013年中に「改正労働者派遣法案」の骨子をまとめ、2014年の通常国会での法案提出を目指す。 「複雑だった派遣制度がシンプルで分かりやすくなる」と、厚生労働省の富田望職業安定局 派遣・有期労働対策部需給調整事業課長は説明する。だが、IT業界やユーザー企業のシステム部門への影響は大きそうだ。 着目すべき点は二つある。IT技術者を含む専門26業務の撤廃と、特定労働者派遣における「常時雇用」の定義の見直し、である。これにより、ITベンダーはユーザー企業などに派遣している技術者の雇用契約を見直す必要が出てくる。ユーザー企業は、自社に派遣されている技術者が3年ごとに交代する可能性がある(表)。 IT業界における技術者派遣の形態は、大きく二つに分けられる。人
Facebookの脆弱性、発見者がZuckerberg CEOのウオールを使って証明
パレスチナのIT研究者が米FacebookのMark Zuckerberg最高経営責任者(CEO)のウオールにバグ報告を直接書き込んだことを、複数の米メディア(VentureBeat、PCMag.comなど)が現地時間2013年8月18日に報じた。同研究者は、Facebookのセキュリティチームに脆弱性を報告したが無視されたので、証明のためにやむなく実行したとしている。 Zuckerberg氏のウオールに投稿したKhalil Shreateh氏は、自身のブログでこの件について詳しく説明している。同氏は、たとえ友達承認されていなくても別のFacebookユーザーのウオールに投稿できてしまう深刻な脆弱性をFacebook上に発見し、Facebookのホワイトハットプログラムを通じて報告した。しかし電子メールで説明を繰り返したのち、8月14日にFacebookのセキュリティチームから「これはバグ
「ほこ×たて」対決の功罪、ロシア人ホワイトハッカーに裏側を聞いた
なぜ、こうなった――フジテレビの人気番組「ほこ×たて」で2013年6月9日、ハッカーとセキュリティ技術者が攻撃、防御の腕を競う珍しい企画があった。「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」という触れ込みである。 IT記者として、これを見ないという選択肢はない。何より、難解なハッキングの世界を、テレビというメディアがどのように料理し、分かりやすく紹介するのか、興味があったのだ。 結論からいうと、番組を視聴した後、何ともいえない違和感が残ってしまった。「『ほこ×たて』といえど、やはりハッキング勝負の映像化は難しかったのか…」と考え込んでしまった。 今回の「ほこ×たて」の事態は、日々セキュリティ関連の記事を書いている筆者にとっても、無縁ではいられない。防御側であるネットエージェントの説明、攻撃側である楽天所属のヴィシェゴロデツェフ・マラット氏への
第1回 「個人番号」では串刺し検索ができない
マイナンバー法案が、国会で審議中だ。システム調達は巨額で、特需が生じると分析する向きもあるが(関連記事)、システム調達費用が巨額になるのには、それなりに理由がある。マイナンバーはかなり複雑なシステムであり、要求要件が非常に難しいからだ。 本連載では、マイナンバーのシステムが抱える複雑さや、システムを開発する上での難しさを解説する。連載第1回である今回は、マイナンバーがどのような設計原理に基づいているのか。以下に示した図を基に、例を挙げて説明しよう。 サーバーをまたいでの串刺し検索が許されていない マイナンバーの特徴は、「個人番号を使ったサーバーをまたいでの串刺し検索が、一切できない」という点にある。例として、「ある人物の年金加入記録を郵送したところ、転居先不明で日本年金機構に戻ってきてしまった」という場合を考えてみよう。 マイナンバーを導入すると、日本年金機構は以下の手順で、転居先を調べる
[続報]住基ネット障害の原因は「文字化け」、231市町村に影響
2013年3月26日から発生していた住民基本台帳ネットワークシステム(住基ネット)の障害の原因が、データベース(DB)に情報を書き込む際の文字コードの誤り(文字化け)にあったことや、障害が影響した市町村の合計が231に及んでいたことなどが分かった。総務省が4月2日に発表した(関連記事:全国200の自治体で住基ネットが利用不可能になる障害が発生)。 今回の障害は、自治体にある住民基本台帳システムと住基ネットを接続する「コミュニケーションサーバー」のハードウエアとOSを231の自治体で更新し、それに伴い、コミュニケーションサーバーのアプリケーションに対して、新OSに対応させる修正プログラムを適用することで発生した。 コミュニケーションサーバーのアプリケーションは、氏名・住所・生年月日・性別という4つの「本人確認情報」を、DBサーバーである「Oracle Database」に保存する際に、住基ネ
ファーストサーバ最終報告書、ベテラン担当者のマニュアル無視を黙認
ヤフー子会社のファーストサーバは2012年7月31日、6月20日に発生した大規模障害(関連記事)についての調査報告書(最終報告書)を公表した(写真)。報告書は、ファーストサーバに利害関係のない3人の委員による「第三者調査委員会」(関連記事)が作成した。同社Webサイトに「要約版」を掲載している。 報告書は調査対象とする事故を、6月20日に発生した「第1事故」と、第1事故で消失したデータが想定外の場所に復元された「第2事故」(関連記事)の2つとしている。 1人だけ自作プログラムでメンテナンス 報告書は、第1事故の事実関係について次のように言及している。ファーストサーバではシステム変更を実行する際、社内マニュアルに沿って実行することになっており、第1事故の原因となったシステム変更の担当者(A氏)以外は社内マニュアルに従っていた。 ところが、A氏だけはマニュアルに従わず、自作の「更新プログラム」
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
合理的な匿名化措置は可能なのか 「パーソナルデータに関する検討会」で議論されたこと