キングジムの名刺専用スキャナ「ビズレージ」一部製品のうち39台において、試験時に使用した実在の名刺情報が消去されずそのまま出荷されてしまったという問題が発生したそうだ。これにより、同社のやり取りのあった30人分の名刺情報が流出したという(インターネットコム)。 『ビズレージの「名刺送りテスト」を実施する際に使うべきでない実在する人の名刺を使用』し、そのデータを削除せずに出荷してしまったために発生したとのこと。
キングジムの名刺専用スキャナ「ビズレージ」一部製品のうち39台において、試験時に使用した実在の名刺情報が消去されずそのまま出荷されてしまったという問題が発生したそうだ。これにより、同社のやり取りのあった30人分の名刺情報が流出したという(インターネットコム)。 『ビズレージの「名刺送りテスト」を実施する際に使うべきでない実在する人の名刺を使用』し、そのデータを削除せずに出荷してしまったために発生したとのこと。
米運輸保安庁(TSA)は、米国内のすべての空港で後方散乱X線を使用する全身スキャナーの撤去を完了し、ミリ波を使用する全身スキャナーに置き換えたとのこと(CNBCの記事、 Fox Newsの記事、 本家/.)。 2008年に導入された後方散乱X線を使用する全身スキャナーは、裸体に近い映像が映し出されることによるプライバシー侵害への反発が強く、検査を行う職員の健康被害も懸念されていた。昨年2月に成立した2012年FAA近代化改革法では2012年6月までの撤去を義務付けていたが、期限は2013年5月まで延長されていたとのこと。ミリ波を使用する全身スキャナーでは、ソフトウェア処理により検査対象者が抽象的な人型の輪郭で表示される(/.J記事)。
Facebookのサイト内を指定して特定のURLパターンをGoogleで検索すると、パスワードなしでFacebookアカウントにアクセス可能なリンクが表示されるという問題が発覚した。これを受けてFacebookでは、この機能を無効化する措置をとったそうだ(Matt Jones氏によるHacker Newsへのポスト、 BBC Newsの記事、 The Next Webの記事)。 Facebookからのメールには、パスワードなしで自分のアカウントに直接アクセス可能なリンクが用意されていることがある。このURLパターンを指定してGoogleで検索すると、リンク先ページが大量にヒットし、他人のアカウントにパスワードなしでアクセスできる状態だったという。ただし、パスワードなしでのアクセスが可能なのは1回のみなので、本人が先にリンクをクリックしていればパスワードなしでアクセスされることはなかったよう
米シティグループから21万人ものクレジットカード顧客情報が盗まれた事件(/.J過去記事)の手口は驚くほど単純なものだったそうだ(Mail Online、本家/.)。 「ここ最近最も大胆な手口の銀行データ盗難」などと言われたこの事件、大量の顧客情報を盗んだ手口は驚くほど単純なものだったそうだ。なんとシティグループのウェブサイトのクレジットカード顧客が利用するページのURLには顧客の口座番号が埋め込まれていたそうで、犯行グループは単にこの番号を他の番号に置き換えていくことでデータを手に入れていたとのこと。 犯行グループはこの口座番号を入れ替えてデータを取得するプログラムを開発し、大量のデータを持ち逃げしたとのことだ。
シマンテックは、Kingsoft Internet Securityの「WebShield」モジュールを悪用してInternet Explorerのスタートページを書き換えたり、特定のドメインへのアクセスを広告サイトにリダイレクトしたりするマルウェアを発見した(Symantec Connectの記事)。 これはWebShieldの設定がテキスト形式のファイルに書き込まれていることを悪用したもので、設定ファイルを置き換えてリパッケージングしたトロイの木馬として配布されているようだ。すべてのモジュールは正しく署名されており、その他の機能は正常に動作するため、インストールしてしまうと発見するのが困難になる。セキュリティソフトとマルウェアが紙一重、という点でなかなか興味深い話といえそうだ。 なお、キングソフトのアナウンスによれば、「Kingsoft Internet Security日本語版」には
ストーリー by reo 2011年02月09日 12時30分 munin で asterisk の存在を知りました 部門より JPCERT/CC が、主に UNIX / Linux 系サーバを対象としたインターネット公開サーバのセキュリティ設定に関する注意喚起を行っている (JPCERT-AT-2011-0002) 。 これによると、 5060/udp への Scan 活動が 2010 年 7 月頃より急増 (8 割はこの攻撃手法によるものらしい)インターネットに接続しているサーバに、なんらかの方法により侵入し、攻撃プログラムを設置 (/.old/aloha 以下)設置した攻撃プログラムで SIP サーバをスキャン、見つけると辞書攻撃を行い、アカウント情報の入手を試みるこれにより国際電話などを不正利用されるなども発生しているらしい (Asterisk を不適切な設定で利用した場合に発生し
セキュリティソフト Kaspersky Internet Security の 2007 年末時点でのソースコードがインターネットに流出したそうだ (本家 /. 記事、The H Security の記事より) 。 流出したコードは 2008 年初頭に Kaspersky 社に不満を持っていた元従業員によって持ち出されたと見られるものだそうで、ブラックマーケットへの販売も試みられていたという。ウイルス作者がこのコードを参考にした可能性もあるが、Kaspersky 社によると現在の製品には流出したコードの一部しか使われておらず、また流出したコードは保護機能に関するものではないと主張、ユーザーは不安を感じる必要はないと述べている。
はてなの AnonymousDiary で「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。 曰く、リクナビで JR 東海にエントリーしたところ、「○○様 ID: 12345678 パスワード: mypassword こんにちは ! JR 東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。 同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか無くせないものだろうか。
ストーリー by hylom 2010年08月03日 20時05分 all-your-router-are-belongs-to-us 部門より 本家/.によると、米Verizonが初期パスワードのまま変更していないルーターのパスワードを勝手に変更する、という行為を行っているらしい。 本家ストーリーによると、本家タレコミ子はVerizonが提供する光回線によるインターネット接続サービスを利用、Verizonが提供するルーターのパスワードは初期設定の「password1」のまま変更していなかったらしい。この設定のまま3年ほど運用を行っていたのだが、最近Verizon側から「あなたのルーターのパスワードは『password1』もしくは『admin1』のままだったため、シリアルナンバーに変更しました」という旨のメールが届いたという。このユーザーが確認したところ、実際にパスワードが変更されていたそ
ネズミの国よりスヌーピーが好きな ID がちょっと試してみた。当然のことながらカードクラブ会員ではない(登録にはディズニー★JCBカード [jcb.co.jp]が必要) ログインIDが分からない場合は「ディズニー★JCBカードインフォメーションセンター」に問い合わせてくださいということになっているので、これはいい。おそらく問題となるのはIDが容易に推測できちゃう場合。 パスワード再発行画面 [disneycardclub.jp]でパスワードの再発行手続きに必要なものは次の3つ。 ログインID (「ディズニー・カードクラブ」サイトにログインするためのID) ※半角英数字3-10文字以内で入力してください。ひみつの質問 「母親の旧姓は?」「ペットの名前は?」「好きなディズニーキャラクターは?」「あなたの出身地は?」「お父さんのお誕生日は?」から選択ひみつの質問の回答(※全角20文字以内で入力し
YouTube のコメント欄に HTML インジェクションの脆弱性が存在することが明らかになったそうだ (YouTube Help forum のスレッド、本家 /. 記事より) 。 見つかったバグは、YouTube のコメントの冒頭に「<script>」と記述すると、このタグ自体は無視されるがその後に続く内容はページに反映するというもの。このバグは英語圏の掲示板 4chan でも報告され、一時期はコメントにスクロール文字や不適切なサイトへのリダイレクト、その他もろもろのイタズラが仕込まれていたという。 YouTube ではバグの悪用を防ぐため現在このようなコメントをブロックしているとのこと。またデフォルトではコメント欄は非表示になっており、既に投稿された該当コメントの削除が行われているが、大元のバグはまだ修正されていない模様とのことだ。
スクウェア・エニックスは、同社の運営するオンラインゲームプラットフォームであるプレイオンラインにログインするために使用する、プレイオンラインID、プレイオンラインパスワード、さらにその他登録情報の一部が漏洩した可能性があることを発表した(お客様のプレイオンラインIDに関する重要なお知らせ)。 「弊社内の特定コンピューター端末に対して攻撃が行われた」とのことで、クレジットカード情報等の漏洩はないという。同社はセキュリティトークン(ワンタイムパスワード)を導入し、プレイヤー側のセキュリティレベルを向上させる施策を打ってきたが、今回は同社自身から情報漏えいした可能性があるという事態になってしまった。。
マイクロソフトは1日、IE上のVBScriptの新たな脆弱性が見つかったとしてセキュリティ勧告を公開した(CNET Japan、japan.internet.com、本家記事)。 この脆弱性は、細工された悪意あるサイトを表示した状態で「F1」キーを押下すると任意のコードが実行されてしまうというもの。「F1」キーはWindowsでは通常ヘルプを表示させるキーとなっているが、脆弱性はVBScriptとWindowsヘルプファイルとのやり取りにあるとのこと。Proof of Conceptは公開されているそうだが、実際の攻撃はまだ確認されていないという。 この脆弱性が影響するのはWindows 2000、Windows 2003 およびWindows XPであり、Windows Server 2008、Windows VistaおよびWindows 7は影響を受けないとのこと。脆弱性の修正は調査
Adblock Plusの開発者Wladimir Palant氏がAdblock Plusに対し、サイトの設定およびユーザーの同意の下で一部広告ブロックを解除できるという仕様変更を提唱しているそうだ(本家/.記事)。 Palant氏は自身のブログでAdblock Plusの目的は広告業界に打撃を与えることではないと説明し、またインターネットが広告収入に依存していることも理解していると述べた。しかし利益を上げるために広告がどんどん押し付けがましく鬱陶しいものになっており、これを避けるためユーザーはAdblock Plusを利用しているとの見方を示した。 元々Adblock Plusはユーザーが表示する広告を選択できるように設計されているが、ほとんどどのユーザーはほぼ全ての広告をブロックするフィルタリストを利用しているのが現状である。そこでPalant氏は、サイトの管理者が広告を表示して欲しい
ストーリー by hayakawa 2009年01月22日 11時12分 「業界最先端の暗号化」っていったい何? 部門より USA TodayやInquirerなどが報じているが、米国の大手カード処理会社Heartland Payment Systemsが「カード決済システムが攻撃され、数千万件の個人情報が流出した可能性がある」と発表した。 Inquirerによると、システムへの侵入が確認されたのは先週のことで、カード番号や有効期限、そして一部のカード所有者の名前といった情報が流出したそうだ。クラッカーはSnifferを使って同社とカード会社や銀行がやりとりする情報を傍受していたと見られている。同社は「業界最先端の暗号化」を行っているとしていたが、情報をやりとりする際はデータを暗号化しておらず、そのためクラッカーが認証情報を容易に傍受することができたようだ。
年末年始あたりから、Twitterを狙ったフィッシング詐欺が横行しているようだ(ITmedia・本家記事)。 フィッシング詐欺の手口は、Twitterからのダイレクトメッセージを装い、偽のTwitterログイン画面に誘導するURLを含む電子メールを送りつけるというもの。盗まれたTwitterのアカウント情報は、ユーザの友人などを悪意あるサイトへ誘導するために使われている。誘導先は単にアフィリエイトリンクで儲けることを目的としたサイトの場合もあるが、悪意あるプログラムが含まれるサイトの可能性もある。現在は、無料でiPhoneを手に入れられるといった内容など、iPhone人気を利用したメッセージが多く送られているとのこと。 Twitterのアカウント情報が盗まれるということは、当然そのユーザが使う他のウェブメールやオンラインショッピングサイト、またオンラインバンキングサイトなどのアカウント情報
KDDIは不具合のため7月25日から停止していたau one net(旧DION)のWebメールサービスを、2008年8月14日に再開したと発表した(ニュースリリース)。 不具合は無関係なユーザーのメール本文やアドレス帳などが見えてしまうというものだったが、KDDIによると原因は WEBメールを構成しているシステムにおいて、複数のシステムを制御するパラメータの設定に誤りがあり、システムに例外的な処理が発生した場合に本不具合が発生しました。 パラメータの設定誤りは2007年12月19日 (水) に実施したシステム改修作業の際に発生しました。 とのことで、KDDIは問題のパラメータを修正、さらに、不具合を検知して利用者のメールの誤った閲覧を阻止する機能を追加導入した、とのことだ。なお、ログデータからは計3名の利用者のメールが、それぞれ他の1人のユーザーから閲覧できる状態だったそうだ。 今回のケ
ITmediaなどによると、トレンドマイクロ社のウェブサイト(日本語及び英語サイト)の一部、ウイルス情報を公開していたページがクラッキングされ、アクセスしたユーザーにウイルスをダウンロードさせるような状態になっていたとのことです。3月12日18:00現在は、当該ページが一時的に閉鎖されています(トレンドマイクロ社のリリース)。 リリースによると、同社のウイルスチェックを最新のパターンにアップデートしていれば感染の危険はないと弁明していますが、そういう問題なんでしょうか、これ。「医者の不養生」で済む話題でもないような……。昨日から今日にかけて、当該ページにアクセスした可能性のある方は、念のためウイルスチェックを忘れずに行ってください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く