タグ

securityに関するhobo_kingのブックマーク (287)

  • ドコモからのお知らせ : 一部銀行の口座情報を使用したドコモ口座の不正利用について | お知らせ | NTTドコモ

    お客様の設定により、お客様情報が「非表示」となっております。お客様情報を表示するにはdアカウントでログインしてください。 お客様情報表示についてへ お客様情報表示についてへ ドコモからのお知らせ 一部銀行の口座情報を使用したドコモ口座の不正利用について 2020年9月8日 一部の銀行において、ドコモ口座を利用した不正利用が発生しております。 件は、不正に取得された銀行口座番号やキャッシュカードの暗証番号等を悪用したものであり、当社システムに不正アクセスされ情報を取得されたものではございません。 当社は、これまで不正アクセスに対する二段階認証やアカウントロック等、様々なセキュリティ対策を講じておりますが、お客さまにより安心・安全にご利用頂けるよう、更なる対策強化に努めてまいります。 また、被害に関する調査、対策については、銀行と連携して対応してまいります。 ドコモは今後もお客さまへの一層の

    hobo_king
    hobo_king 2020/09/09
    責任を押しつける言い草しかしておらず、不正利用の全貌と具体的な防止策等が見えてこない。お金を扱うのにこれでは……不誠実な対応としか言えない。
  • iPhoneのカレンダー、見覚えのない不審な通知はどうしたら? IPAが注意喚起

    iPhoneのカレンダー、見覚えのない不審な通知はどうしたら? IPAが注意喚起
  • 当社アプリ(Android版)においてアプリの権限を求める件について | お知らせ | NEOBANK 住信SBIネット銀行

    当社アプリのAndroid版バージョン5.0におきまして起動時にアプリの権限を求めることがございます。こちらは2020年7月31日にリリースを行いました「スマート認証NEO」の仕様によるものとなります。 いずれの権限も当社がお客さまの個人情報や他アプリの情報等を取得するものではございませんので、何とぞご理解賜りますようお願い申し上げます。 「スマート認証NEO」はサービスを利用するスマートフォンのみに保存された人確認情報を利用して認証を行う方式で、従来のパスワードに変わる新しい認証技術(FIDO※)を用いています。認証に用いるデータがネットワークを経由せず端末のみに保管されているため、IDやパスワードなどの認証情報が漏洩するリスクが低く、より安心安全なお取引が可能となります。 また、当社「スマート認証NEO」ではFIDOの標準仕様に準拠して実装されており、お客さまのスマートフォンに保存さ

    hobo_king
    hobo_king 2020/08/15
    Android版か……iOS版はどういう実装になってるんだろ。比較したら興味深い結果が出る可能性あるかな?
  • TikTokのAndroid版アプリはポリシーに違反してMACアドレスを1年以上にわたって収集していたことが明らかに

    by Solen Feyissa アメリカのドナルド・トランプ大統領は、中国のByteDanceが開発・運営するショートムービー共有アプリ「TikTok」に対し、「2020年9月15日までにTikTokアメリカ企業に売却すること」を要求しています。そんな中、ウォール・ストリート・ジャーナルの報告により、TikTokAndroidのポリシーに違反して、端末を識別し得る物理アドレスのMACアドレスを1年以上にわたって収集し続けていたことが明らかになりました。 TikTok Tracked User Data Using Tactic Banned by Google - WSJ https://www.wsj.com/articles/tiktok-tracked-user-data-using-tactic-banned-by-google-11597176738 TikTok coll

    TikTokのAndroid版アプリはポリシーに違反してMACアドレスを1年以上にわたって収集していたことが明らかに
    hobo_king
    hobo_king 2020/08/12
    “ウォール・ストリート・ジャーナルの報告により、TikTokがAndroidのポリシーに違反して、端末識別子であるMACアドレスを1年以上にわたって収集し続けていたことが明らかに”
  • TP-LINK(RE450v1)のフィルタ設定のお願い | Null Gamer Exception

    今どきの TP-LINK ルータでも確認しました。 はじめのはじめに(2020/07/27 追記) 以下の記事で解説しましたが、アクセスが殺到しており表示しづらい時期がありました。 1.ページが表示されない件 単純なサイトの負荷によるものです。 アクセス増加→ AWSCPU クレジット使い果たして CPU 制限掛かる→繋がらない・・って感じでした。 いまはスケールアップと同時アクセスを絞ってなんとかしていますが、お金掛かるのでそのうち縮退します。 →縮退しました。 2.この記事は 2017年に書き2018年に更新したものです 従って、2020年 現在のファームウェア、および後継の製品は、 事象が解消され問題なくなっている「可能性」があります。 なお、現時点で再購入して検証する予定はありません。 #安く売ってたら試してみようかな。 2020/07/27 追記 捨てたと思った RE450

    TP-LINK(RE450v1)のフィルタ設定のお願い | Null Gamer Exception
    hobo_king
    hobo_king 2020/07/26
    TP-LINK製品ってこんなことやらかしてるの? 事実確認は改めてするつもりだけど、未だにこのままだったら不買運動を支持するしかないな。
  • 「ログを一切取らない」と謳っていたVPNサービスから、2000万件を超える個人情報が流出した件 - 悪霊にさいなまれる世界 -The Demon-Haunted World

    完全に笑い話。 www.hackread.comwww.privateinternetaccess.com 香港を拠点とする"UFO VPN"なるサービス、この手のVPNではよくある「No Log Policy」(ログは一切取らない)を掲げてたにもかかわらず、ログどころかユーザ名・平文パスワード・IPアドレス・接続先・タイムスタンプ諸々が保存されていて、これが流出した。 しかも、発覚したきっかけは、VPNMenterと言う調査サービスがElasticsearchクラスタに894GBのデータベースがパスワード無しで保存されていたのを発見したこと、というアボガドバナナかと案件。 ほかにも"FAST VPN", "FREE VPN", "Super VPN", "Flash VPN", "Rabbit VPN"と言うサービスのデータも含まれていたが、どうやらサービスの名前だけ違って全て同じアプリ

    「ログを一切取らない」と謳っていたVPNサービスから、2000万件を超える個人情報が流出した件 - 悪霊にさいなまれる世界 -The Demon-Haunted World
    hobo_king
    hobo_king 2020/07/20
    “香港を拠点とする"UFO VPN"なるサービス” もう拠点の場所だけで絶対ログ取ってるなコレってサービスだ……。反政府的な動きをしている個人法人をハニーポット的に集めるのに利用してたか?
  • iOS 14でバッチリ可視化、TikTokがテキスト入力中に、クリップボードを逐一読み取る様子【やじうまWatch】

    iOS 14でバッチリ可視化、TikTokがテキスト入力中に、クリップボードを逐一読み取る様子【やじうまWatch】
    hobo_king
    hobo_king 2020/06/26
    なんじゃこりゃー。まあ、個人的には使う予定無いけども大丈夫かこれ……。
  • クレジットカード情報不正取得 1000万円以上利用か 高校生逮捕 | NHKニュース

    アルバイト先で盗んだクレジットカード情報で航空会社の予約サイトから航空券をだまし取っていたとして、横浜市の高校生が警視庁に逮捕されました。全国各地のテーマパークに遊びに行くための代金など1000万円以上の不正利用を繰り返していたということです。 警視庁によりますと、ことし1月、他人のクレジットカードを使って航空会社の予約サイトを通じて羽田空港と関西の空港を往復する航空券4枚、合わせておよそ14万円相当をだまし取った疑いが持たれています。 男子生徒はスーパーマーケットでレジ係のアルバイトをしていて、買い物客のカード情報を盗み見たり記憶したりして不正に手に入れていたということです。調べに対して容疑を認め、およそ80人分のカード情報を盗んだと話しているということです。 東京ディズニーランドや大阪のUSJ=ユニバーサル・スタジオ・ジャパンなど全国各地のテーマパークに遊びに行くためのホテル代や飛行機

    クレジットカード情報不正取得 1000万円以上利用か 高校生逮捕 | NHKニュース
    hobo_king
    hobo_king 2020/06/23
    記憶だけで盗み取ったのか……瞬間記憶に近い特殊能力な気が。まあ盗み方も使い方も強引ではあるな。
  • Dropbox Businessは非常に危険です | 江口某の不如意研究室

    (この記事は、Dropbox社に対してフェアじゃないものになっています。続きの「Dropbox Businessは馬鹿が使うと非常に危険なことを検証しました」も読んでください) 最近、非常に重大な事故を起こしてしまったので報告します。実際の被害は、最高が7だとすると3か4ぐらい、しかし潜在的な危険度からいうと7段階で7、ってくらい重大。Dropboxでファイルを大量に失なってしまったばかりか、個人情報流出の危険をおかしてしまいました。(実際には流出といえるものはありませんでしたが) Dropbox Businessチームに招待され参加して「アカウントを統合」すると、自分では抜けられない状態になる それだけでなく、それまで自分がもっていたファイルもすべてチームのものになる 個人用の契約が勝手に解除されてしまう 私のアカウントを削除すると、管理者は私のファイルを自分のものにすることができる 管

    hobo_king
    hobo_king 2020/06/21
    ひえー。これはDropBox側がダメだろう。少なくとも相当に酷い。
  • TISのテレワークサービス障害、復旧できず終了へ - 日本経済新聞

    システム開発のTISは18日、障害のために停止していたテレワーク向けクラウドサービス「RemoteWorks(リモートワークス)」を9月末で終了すると発表した。アプリケーションの不具合によるセキュリティーリスクが内在しており、その解消に大がかりなシステム修正が必要になると判断したため。約400社の利用企業に対して、代替手段の提供やサービス終了の手続きを既に進めており、現状では大半が解約済みだとい

    TISのテレワークサービス障害、復旧できず終了へ - 日本経済新聞
    hobo_king
    hobo_king 2020/06/19
    「おおTISよ、しんでしまうとはなさけない!」 ……深刻だけどダメさ加減からすればこんな感じっすかね。
  • LANケーブルをニッパーで切断し5秒でネットワークへ侵入・盗聴できるか実験してみました

    サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか?稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか? 記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。 ご自身の環境以外では試さないようお願いします。 なぜLANケーブルからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず

    LANケーブルをニッパーで切断し5秒でネットワークへ侵入・盗聴できるか実験してみました
  • 感染者の電子カルテがSNSに流出 青森 新型コロナウイルス | NHKニュース

    先月30日、青森県で新型コロナウイルスへの感染が確認された20代の男性の電子カルテの画像がSNS上に流出したことがわかり、カルテを管理する津軽地方の自治体の広域連合が記者会見を開いて謝罪しました。 医療機関を運営しているつがる西北五広域連合によりますと31日、地元の新聞社から「男性の電子カルテの画像が通信アプリ『LINE』上で流出している」と連絡があったということです。 これについて広域連合の高杉滝夫病院事業管理者らが1日夕方、記者会見を開き、画像が流出した電子カルテは広域連合が管理するものだと認め「患者や家族、住民の皆様に対し、ご迷惑、ご心配をおかけしたことを深くおわびします」と謝罪しました。 広域連合によりますと、流出したのは印刷した電子カルテを撮影した画像とみられ、画像には男性の症状や移動経路、それに実家がある自治体名が記されていて、氏名や住所など個人が特定される情報は含まれていなか

    感染者の電子カルテがSNSに流出 青森 新型コロナウイルス | NHKニュース
    hobo_king
    hobo_king 2020/04/01
    “電子カルテを撮影した画像が流出している” 何処の馬鹿だか知らないが、最初の流出者やそれに続く伝達者まで全員を徹底的に追い詰めてやらかした罪を償わせてくれ、絶対に。心底軽蔑してやる。
  • ワコムのペンタブ用ドライバーがPC上で起動したすべてのアプリの名前を収集しているという報告

    by stevepb ペンタブレットやCAD関連製品を中心としたPCの周辺機器メーカーであるワコムのタブレット用ドライバーが、PC上で起動したアプリケーションの名前をGoogleアナリティクスに送信していたことが判明しました。この事実を解明したセキュリティエンジニアのロバート・ヒートン氏が、どうやってワコムのドライバーのトラフィックをチェックしたのかをブログで解説しています。 Wacom drawing tablets track the name of every application that you open | Robert Heaton https://robertheaton.com/2020/02/05/wacom-drawing-tablets-track-name-of-every-application-you-open/ ヒートン氏はブログ用のイラストを投稿するため

    ワコムのペンタブ用ドライバーがPC上で起動したすべてのアプリの名前を収集しているという報告
    hobo_king
    hobo_king 2020/02/06
    これはよろしくない。良くない噂は聞いては居たけど……こういう事一回やっちゃうともう二度と信用されないのに何故やるのか……。
  • ウイルス対策ソフトの欠陥悪用 三菱電機のサイバー攻撃 | 共同通信

    黒枠のラベルは、コンテンツホルダー自身が付与したものです。グレー枠のラベルは文解析で自動付与されたものです。 三菱電機へのサイバー攻撃で、同社のパソコンに導入されていたトレンドマイクロ社のウイルス対策ソフト「ウイルスバスター」の法人向け製品にあったセキュリティー上の欠陥(脆弱性)が悪用されていたことが22日、関係者への取材で分かった。 トレンドマイクロは2019年4月、この脆弱性について注意喚起するとともに修正プログラムを出していた。三菱電機が攻撃を受けたのはこの前で、未知の脆弱性が攻撃に悪用されたことになる。 関係者によると、中国国内にある子会社でウイルス感染があったのは19年より前とみられ、ハッカーはこれを足がかりに日にある社に侵入した。

    ウイルス対策ソフトの欠陥悪用 三菱電機のサイバー攻撃 | 共同通信
    hobo_king
    hobo_king 2020/01/23
    トレンドマイクロね……。この時点で未知の脆弱性だったって事は、積極的に穴を探されて見事にそこを突かれた形か。ウイルスバスターに対してある種の信頼があったのかね。「隙があるはず」っていう……。
  • ログ消去もされていた三菱電機の不正アクセスについてまとめてみた - piyolog

    2020年1月20日、三菱電機は自社ネットワークが不正アクセスを受け、個人情報等が外部へ流出した可能性があると発表しました。ここでは関連する情報をまとめます。報道によれば現在も三菱電機は不正アクセスへの社内調査等を進めています。 発端は研究所サーバーの不審ファイル動作 2019年6月28日に情報技術総合研究所のサーバーで不審なファイルが動作したことを社内で検知。 同じファイルが中国、及び国内他拠点で検出され内部侵害の被害を受けている可能性を受け調査を開始。 報道された出来事を時系列にまとめると以下の通り。 日時 出来事 2017年後半? 三菱電機の中国国内子会社でマルウェア感染。 2019年3月18日 三菱電機が中国拠点のウイルスバスター法人向け製品の脆弱性を悪用された攻撃を受ける。*1 : アップデート機能を悪用し中国拠点で侵害範囲が拡大。 2020年4月3日 中国拠点端末より国内拠点の

    ログ消去もされていた三菱電機の不正アクセスについてまとめてみた - piyolog
    hobo_king
    hobo_king 2020/01/21
    狙い澄ました攻撃。コレ読む限り、三菱電機の不正アクセス問題は特別機密性の高い情報以外のビジネス関連情報は丸裸にされてると見ていい状況かなあ。
  • 【独自】三菱電機にサイバー攻撃 防衛などの情報流出か:朝日新聞デジタル

    ","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"

    【独自】三菱電機にサイバー攻撃 防衛などの情報流出か:朝日新聞デジタル
    hobo_king
    hobo_king 2020/01/20
    防衛相や環境相や内閣府、果ては原子力規制委員会絡みの情報……盗まれた情報の如何によっては、もう中国から日本の政治行政経済の何処にデカい裏口作られてても不思議じゃないじゃないかよ……。
  • 世界一受けたい授業「フィッシング詐欺の見破り方」が、詐欺被害を助長しかねない件

    2020/1/18(土) 日テレビ系『世界一受けたい授業(@seka1jugyou_ntv)』にて、フィッシング詐欺の見破り方と称する手法が放送されました。しかしこの手法は、誤ってフィッシングサイトへアクセスする可能性を引き上げる「極めて危険」なものです。また、フィッシング詐欺対策を行っている各種団体や多くのセキュリティエンジニアも、このような手法は推奨していません。 (@u_1ch1 さんより、画像を提供頂きました)

    世界一受けたい授業「フィッシング詐欺の見破り方」が、詐欺被害を助長しかねない件
    hobo_king
    hobo_king 2020/01/19
    ああ、偶然つけられてたTVからこれ流れてて「オイオイ……誰がこの授業受けさせたいって思ってるんだか……詐欺師集団か?」ってなってた。”フィッシングメールは「見破れない」” 嫌な話だけどこれな。
  • オレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列

    あるいは私たちがPKIについて説明し続けなければいけない理由 Web屋のなくならない仕事の一つに「SSL証明書とPKIについて説明する」というのがある。 世の中のサイトはだいたいhttps://というアドレスでつながるように出来ていて、httpsでつながるということは何らかのSSL/TLS証明書が必要だということだ。(さもなければchromeがユーザーに不吉な警告を発することになる) 証明書が必要になる度、同じ質問が繰り返される。「なんか全部値段が違うけど、どの証明書(ブランド)がいいの?」と。そして私たちは毎回困ってしまう。 エンドユーザーの立場で言えば、証明書が有効でありさえすれば、無料のLet's Encryptでも21万円するDigiCertグローバル・サーバID EVでも、Webサイトの利便性は何も変わらない。私たちWeb制作業者の立場でも、代理店契約でもしない限り、証明書そのも

    オレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列
    hobo_king
    hobo_king 2020/01/17
    EV証明書使ってる所少ない……。つーかchromeがDV、OV、EVの各証明書の差をパッと見区別しないんだから、今更余程の理由がないとEV証明書の価値はDV証明書と大差無いのか……。
  • ブロードリンク社長「心より深くおわび」 辞任の意向も:朝日新聞デジタル

    ","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"

    ブロードリンク社長「心より深くおわび」 辞任の意向も:朝日新聞デジタル
    hobo_king
    hobo_king 2019/12/09
    盗んで売ってた社員が酷いのは言うまでも無いけど、会社の管理体制そのものも杜撰すぎてなあ。もはや如何ともし難い。
  • 「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説

    「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説(1/2 ページ) ECサイトからクレジットカードや個人情報などの情報漏えいが相次いだ2019年。記憶に新しいところでは象印、19年前半ではヤマダ電機などのECサイトからクレジットカード情報が漏えいした。セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。 サイトはクレジットカード情報を保持していないのに…… 徳丸氏は、19年に目立った攻撃手法として「入力画面の改ざん」と「偽の決済画面」という2つの手法を挙げる。 これらの攻撃を受けるECサイトは、決済方法について2種類に分けられる。1つは、クレジットカード情報をECサイトの画面で受けつつも直接決済サーバに送り、決済サー

    「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
    hobo_king
    hobo_king 2019/12/09
    うーん、結構名の知られたところからも漏洩してるし、PayPalを今後は使っていくかなあ……。