Japan's Education Minister Hirokazu Matsuno speaks at a news conference at Prime Minister Shinzo Abe's official residence in Tokyo, Japan, August 3, 2016. REUTERS/Kim Kyung-Hoon 文部科学省は1月10日、職員約30人分の人事異動案を誤って約1700人の全職員に送信していたことを公表した。人事課の職員が4日夕、今月中旬に発令予定だった管理職や若手職員の人事案を部下にメールで送ろうとしたところ、誤って全職員に送信してしまったという。 一方でこの問題について、全職員に誤送信しかねないシステムや、再発防止策として同省が公表した「人事情報は今後は紙や口頭でやりとり」との報道には、ネット上などで「時代に逆行するのでは」と驚きの声

宇宙要塞デス・スターの破壊は、「スター・ウォーズ エピソード4／新たなる希望」のクライマックスイベント。帝国軍の基幹要塞は、なぜ崩壊の憂き目に遭ったのか？　カスペルスキーがセキュリティ企業としての観点から分析し、ブログでレポートしました。帝国軍のセキュリティ体制の甘さが、大真面目に考察されていて興味深い内容です。 言われてみると、R2-D2がマルウェアのように思えてくる（画像はカスペルスキー公式ブログ）より 同作を資料とし、銀河帝国を企業と見立ててレポートは進行。同社はデス・スターの崩壊は一見すると反乱軍の奮戦の成果に見えるが、実際は指揮系統の怠慢とずさんなサイバーセキュリティ対策が原因と指摘。戦闘機に反応炉を破壊されるほどの致命的な脆弱性（※）や、設計図の漏洩自体は真の問題点ではなく、「攻撃を受けて初めて脆弱性に気づいたこと」こそ致命的な失策としています。確かに、設計図が盗まれた段階でセ

結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。 予想より反響が大きかったので文末にgmailを使った対策を追記した。 なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。 Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE http://gigazine.net/news/20160125-amazon-customer-service-backdoor/ こーんな記事があったものだから、嘘くせえと思って実際に（英語めんどくさいので日本の）カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。 なお、ニセの住所

スイスProton Technologiesは現地時間2015年11月5日、同社の電子メールサービス「ProtonMail」が執拗な分散型サービス拒否攻撃（DDoS）を受け、犯罪集団に身代金を支払ったことを明らかにした。攻撃はかつてないほど大規模で広範囲だったと同社は釈明している。 ProtonMailは、もともとは活動家やジャーナリスト、内部告発者などに向けて構築したサービスで、強固なプライバシー保護を売りにしている。 Proton Technologiesの説明によると、同社は11月3日の深夜、脅迫メールを受け取った。脅迫メールは、過去数週間にわたってスイス国内で発生していた一連のDDoS攻撃の実行犯と見られる犯罪集団から送られてきた。脅迫メール受信後にProtonMailに対してDDoS攻撃が行われ、同サービスは約15分間アクセスできない状態に陥った。 攻撃はいったん停止したが、翌朝

拙著「徳丸浩のWebセキュリティ教室」が10月22日に発売されます。Amazon等では既に予約開始されています。 本書は書きおろしではなく、日経コンピュータ誌に連載したエッセイを、ほぼそのまま並べ直した形となっています。前著「安全なWebアプリケーションの作り方」のようながっつりした技術書ではなく、もう少し気楽な読み物として、技術者以外の方々にも読んでいただける内容になっている…と思います。 目次は、日経BP社のページから「目次を見る」で閲覧できますので、購入前の参考になさってください。 日経コンピュータ誌連載になかったものとして巻頭言があります。これはインタビュー記事ですが、カメラマンが弊社に来られて、生まれて初めて本格的な撮影をいただきました。写真を見るのが怖いですねw 元々がエッセイの連載ですので、本書の内容には、時事ネタあり、対策の考え方、ネットで論争となったあのネタ…等、様々です

国勢調査の“偽サイト”作った意図は？　総務省から削除依頼……「騒ぎになり深く反省」と制作者（1/3 ページ） 国勢調査のネット回答のセキュリティを心配したある男性が、啓発のための偽サイトを作成した。ITリテラシーの低い友人に注意を喚起する意図だったが、想定外の反響を受け、深く反省しているという。[update]

情報処理推進機構（IPA）は2015年9月15日、情報処理技術者試験に利用部門のセキュリティ担当者向けの「情報セキュリティマネジメント試験」を新たに設け、2016年春期試験から実施すると公表した（写真）。内部不正やサイバー攻撃が相次ぐ中、技術だけでなく人の対策が不可欠になってきたことに応える。 7年ぶりに新試験を追加する。新試験はユーザー企業の情報セキュリティを利用者側の現場で管理する人材に対して、基本的な知識やスキルを認定するもの。「内部不正や標的型攻撃で大量の情報漏洩が相次ぐ中、システムだけでなく人の対策も欠かせなくなった。だが試験からはすっぽりと抜け落ちていた」とIPA関係者は話す。 具体的にはどんな人材なのか。実態としては「火元責任者」のように兼任者がほとんどだろう。サイバー攻撃の被害が判明した時やサイバー攻撃の対策訓練の時などに、CISO（最高情報セキュリティ責任者）の指示の下、

「情報流出した基礎年金番号は、2015年9月から新しい番号に変更します――」。 日本年金機構が、年金情報流出問題に際して2015年6月に公表した対策を聞いて、私はあれ？と意外に思った。基礎年金番号って、他人に見せてはならない「秘密の番号」だったっけ、と。 実はこの点に、2015年10月から配布されるマイナンバーの運用にも関わる、年金情報流出問題が明らかにした課題が隠されている。 見える番号なのに、秘密にすべき？ 公的機関や民間企業が個人に割り振る番号の中には、一部の人や企業と番号を共有する「見える番号」でありながら、むやみに公表するのが望ましくない「秘密の番号」とみなされているという、相矛盾した性質を持つものがある。 例えばクレジットカード番号は、氏名、有効期限と共に人の手に渡れば、通販サイトによってはカードの持ち主になりすまして買い物ができてしまう。カードを紛失して再発行する際は、新しい

最近、「標的型攻撃」が“ブーム”だ。国民年金機構からの情報漏洩事件を皮切りに、被害が相次いで報告されている。事件に関する報道を見て、「なぜあんなメールにだまされるのか」「添付ファイルを安易に開きすぎる」「自分たちは大丈夫」などと思っている人は少なくないだろう。 だが、表面化するのは氷山の一角。ばれるのは、それほど巧妙ではないからだ。一口に「標的型攻撃」といっても、その“巧妙さ”は様々。巧妙な標的型攻撃は、攻撃されていることに気付かせない。多くの人が思っている以上に、標的型攻撃は恐ろしいのだ。 関係者からのメールに見せかける 標的型攻撃とは、特定の企業や組織を狙ったサイバー攻撃だ。多くの場合、攻撃対象とした企業の従業員にウイルス添付メールを送信して、企業内のパソコンにウイルスを感染させる（図1）。そして、ウイルス感染パソコンを遠隔から操り、金銭的価値の高い情報を盗み出す。Webサイト経由でウ

メディア関係者向けお問い合わせ先 メールでのお問い合わせ: pr-jp@google.com メディア関係者以外からのお問い合わせにはお答えいたしかねます。 その他すべてのお問い合わせにつきましては、ヘルプセンターをご覧ください。

年金機構が不正アクセスを受け、基礎年金番号など125万件が流出。メールに添付されていたウイルス入りファイルを開いたことが原因とみている。 公的年金の運営を担う日本年金機構は6月1日、同機構が管理している個人情報が、不正アクセスにより流出したと発表した。現時点で流出した可能性があるのは、年金加入者の氏名や基礎年金番号など約125万件。職員の端末に届いたメールに添付されていたウイルス入りファイルを開いたことが原因みている。 流出した可能性のある情報は、基礎年金番号と氏名の組み合わせ約3万1000件と、基礎年金番号・氏名・生年月日の組み合わせ約116万7000件、基礎年金番号・氏名・生年月日・住所の組み合わせ約5万2000件の計約125万件。 外部から職員の端末に届いたメールにウイルス入りファイルが添付されており、そのファイルを開封したことで不正アクセスが行われ、情報が流出したとみている。 不正

2022.03.09 Azure AD導入環境に対するペネトレーションテストの資格「Certified Az Red Te...

既に報道されているように、インターネットバンキングに対する不正送金事件が多発しています。 警察庁は2015年2月12日、2014年（平成26年）の1年間に発生した、インターネットバンキングでの不正送金事件の被害状況などに関するデータを発表した。 不正送金事件の発生件数は1876件となり、前年の1315件から500件以上増加。被害額については約29億1000万円となり、前年の14億600万円から2倍超の増加となった。 2014年のネットバンキング不正送金は約29億円で法人被害が激増、警察庁発表 より引用 このような状況を受けて、フィッシング対策協議会では、インターネットバンキングの不正送金にあわないためのガイドラインとして以下の「鉄則」を公開しています。 第一の鉄則：乱数表等（第二認証情報）の入力は慎重に！ 第二の鉄則：インターネット利用機器を最新の状態に保とう！ これらは確かに重要な施策で

コンピュータセキュリティや暗号化を教える大学教授の7歳になる息子が、いとも簡単に父親のiPhoneの指紋認証を破ることに成功したというニュースが話題となっています。 その小さなハッカーの成し遂げたことによって、より重要で深刻な側面も浮かび上がっているからです。 Matthew Green氏は、ジョンズ・ホプキンス大学で暗号化やコンピュータセキュリティを研究する権威です。 セキュリティや暗号化の専門家である彼は、自分の7歳の息子によって、こともあろうに自分のiPhone 6 Plusの指紋認証を破られました。 Green氏のiPhone 6 Plusは、当然ですが、彼の指紋によってだけロックを解除できます。 そこで、息子のHarrison君は、大胆な考えを実行に移しました。 彼は、ある日の朝、両親の眠る寝室にそっと忍びこみました。 そして、ぐっすりと眠る彼のお父さんの右手の指をiPhoneの

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ 著者：鈴木 正朝 出版社：翔泳社 ジャンル：経営・ビジネス 日本のプライバシーの現状は？ 個人情報保護法改正の議論で考えなければならないこととは？ 個人情報とプライバシー、法と技術とビジネス、そして個人など、さまざまな視点から斬り… ニッポンの個人情報—「個人を特定する情報が個人情報である」と信じているすべての方へ　［著］鈴木正朝、高木浩光、山本一郎 本書のサブタイトルにご注目。ちょっとわかりづらいかもしれないが、 Ｑ「ビッグデータをどんどん利活用しよう！」 Ａ「個人情報の取り扱いはちゃんと行ってね」 Ｑ「住所や電話番号とかだろ。それはちゃんとやるよ」 Ａ「検索履歴とか図書館の貸し出し履歴とかは？」 Ｑ「それらは個人情報じゃないでしょ？」 Ａ「え？　もしかして個人情報＝個人を特定する情報だけだと思ってるの？

訪問するユーザー毎に、あるいはリンク元ごとに異なるURLを表示することで、どのリンクをクリックされたかを判別するクリックトラック。URL の末尾に ?utm_source= などで始まる長いパラメーターがついてれば、サイ […] 訪問するユーザー毎に、あるいはリンク元ごとに異なるURLを表示することで、どのリンクをクリックされたかを判別するクリックトラック。URL の末尾に ?utm_source= などで始まる長いパラメーターがついてれば、サイトの訪問者から見ても追跡していることは明らかですね。 コードとしては存在するんだけどちょっとあるように見えない文字、たとえば Unicode の幅の無い空白文字や幅がとても狭い空白文字を使うことで、気づかれにくいトラッキングができるのではないか、というブログ記事が Hacker News で上がっていました。 サンプルリンク 上のリンクの末尾には「