Azure Active Directory (AzureAD)をご存知でしょうか? Azure ADについて 今まで企業の端末やユーザ管理をするとき使われてきた、Windows Actice Directoryのようなものですが、根本的な設計は全く異なります。SAML認証に対応していたりと、いわゆるIDaaSのようなもので、組織がクラウドサービスを利用する際のID基盤として使われています。 Microsoft Azureや組織向けOffice 365、Microsoft 365を利用している方は、ほぼ自動的にAzureADのテナントで管理されるユーザとして利用していると思います。 AzureAD知ってるよという方、会社や学校のアカウントの個人IDもAzureADを利用して払い出されている方も多いのではないでしょうか?いろんな便利なSaaSが増えてきたし、1つのアカウントで各サービスが使え
北陸先端科学技術大学院大学(JAIST)で学生・教職員の個人情報1725件が流出した。原因は、職員が無料セキュリティーツールを不用意に使用していたこと。パソコンで扱うファイルが自動的に外部サイトにアップロードされ、公開された。ツールは自動アップロードと第三者公開を利用規約に明記していたが、見過ごした。同サイトでは企業の機密ファイルなども公開されている。社員への注意喚起が必要だ。 北陸先端科学技術大学院大学(JAIST)は2021年1月29日、個人情報1725件が外部に流出したと発表した。流出したのは学生・教職員の氏名とメールアドレス、所属部局・研究室だ。 今回の情報流出事件が特異なのは、サイバー攻撃や内部犯行などが原因でなかった点だ。JAISTは、マルウエアではない正常なセキュリティーツールを業務用端末にインストールしていた。職員が誤って個人情報を扱う業務でその端末を使ってしまった結果、個
このたび、当社が運営するブラウザアプリである『Smooz(スムーズ)』において、ご利用者の情報の取扱い、データ収集、及びセキュリティについてご利用者をはじめとする皆様に、多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。 状況の確認と対策、原因調査を進めてまいりましたが、Smoozの提供を継続することは困難との結論にいたり、2020年12月23日をもってサービスを終了させていただきますことをご報告申し上げます。 これまでに収集したご利用者様の情報につきましては、返金に必要な情報以外はすべて削除が完了しております。返金対応が完了次第、全ての情報を削除いたします。収集したデータに関して悪用、個人情報の社外への流出は、現在のところ確認されていません。 【返金などのご対応につきまして】 プレミアム会員様には、12月分からの利用料金の返金をさせていただきます。また、交換可能なS
この記事は過去2回にわたる検証記事の続きとなります。 国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 前回の記事では、おすすめ記事機能を有効にしていると、Smoozがユーザーの閲覧しているURL情報を送信してしまうことについて解説しました。 ユーザーID、URLと共に送信されているbc、bt、bdという項目の内容がわからないままでしたが、これもユーザーの情報であるはずだと思い、調査を続けてきました。 ▼これがおすすめ記事のために送信される内容 (この内容は記事の最後にテキスト情報としても掲載しておきます) URL情報に関連するもので 『c、t、d』 と呼ばれそうなものは何か。 ・cのデータ量は飛び抜けて多い ・cとdは一致が見られることがある ・一部が一致しながらもcのほうが長かったりもする
2018年5月、「CISOハンドブック Ver. 1.0β」が公開された。NPO日本ネットワークセキュリティ協会のCISO支援ワーキンググループのメンバーによって作成されたこのハンドブックは、どのような狙いを持って作成されたのだろうか。中心となった4人のキーパーソンに、このドキュメントに込めた願いを聞いた。 「サイバーセキュリティ経営ガイドライン」は力強い味方、なのだが…… 皆さんは経済産業省が発行した「サイバーセキュリティ経営ガイドライン」をご存じだろうか。2015年12月に初版が公開され、ビジネスにおいてIT利活用を進める上で、セキュリティ投資をどう判断するかをまとめたものだ。経営者が情報セキュリティ対策を行う上で責任者となる「CISO」(Chief Information Security Officer:最高情報セキュリティ責任者)に指示すべき内容がまとめられており、2017年11
同社によれば、Windows Server 2003から最新版のWindows Server 2019までが影響を受けるとしている。つまり全てのWindows Serverが対象になる。 マイクロソフトはこの脆弱性を修正するセキュリティー更新プログラムを2020年7月14日(米国時間、以下同)に公開した。現在サポート期間中のWindows Serverに加え、2020年1月に延長サポートが終了しているWindows Server 2008および2008 R2に対しても更新プログラムを提供している。一方、それ以前の古いWindows Serverはサポート期間が終了しているため提供していない。 今回の脆弱性はDNSのSIGレコードが関係する。このためチェック・ポイントは脆弱性を「SIGRed」と名付けた。細工が施されたデータを送信されるとバッファーオーバーフローが発生し、任意のプログラムを実
普通は役所のシステムって構築してから5年とか7年は塩漬けにして使うもので、一度やらかしてしまうと名誉挽回の機会なんて向こう数年は与えられないんだけど、こと本件に関しては高市総務大臣から「今すぐ私がマニュアルなしでも使えるように直しなさい」と叱責いただいて、しっかりと予算的なサポートも得られたことで、たったの数ヶ月で立て直すことができた。 この数ヶ月は外部のセキュリティやPKIの専門家の方から様々なサポートをいただいて何とか実現したんだけれども、役所のシステム開発としては非常識というか、極めて難易度が高い案件だった。「え?単にChromeやSafariをサポートするだけでしょ、難しい訳ないじゃん」と思う諸兄は、もうしばらくこの話に付き合って欲しい。 もともとマイナポータルは日本を代表するITベンダーと通信キャリアの3社が開発したんだけど、大臣からの叱責を受け「ちゃんとお金を払うから直してよ」
クレジットカードを利用すると、『A店で1,980円を○月○日に利用しましたよ』といったメールが届く利用通知サービス。 これ、クレジットカードは不正利用が怖くて…という方にとって非常に有り難いサービスなんですが、楽天カードをはじめ、多くのクレジットカードでは利用から1~2日経過後にメールが届くほうが普通なんですよね。 楽天カード 公式 利用通知が届くのは一般的に1~2日後 カード利用内容を詳しく確認できる「カード利用お知らせメール」は、ご利用店舗からお客様のご利用情報が弊社へ到着した最短2日後にメールにてご指定のメールアドレスへお届けします。 それゆえ、不正利用に気付いたときにはすでに48時間以上が経過し、その間に10万、20万といった大金を使われてしまう可能性だって充分にありえる話。 それじゃちょっと不安、そう思う方も多いのではないでしょうか? 三井住友カードの利用通知サービスについて:
2020年2月にApple社が「2020年9月1日以降に発行されるSSLサーバ証明書で、有効期間が398日を超える証明書をSafariでは無効とする」という発表を、グローバルサインブログで紹介しました。本日はその続報を紹介します。 その後、ブラウザベンダーのアナウンス CA/Browser Forumでは、SSLサーバ証明書の有効期間を398日未満とする、基本ルール(Baseline Requirements)を盛り込むよう、投票に向けた議論を重ねている最中ですが、2020年6月23日にオンライン会合の場で、GoogleやMozillaも相次いでAppleのアナウンスに同意するかたちで、9月1日以降に発行されるSSLサーバ証明書で、398日を超える証明書は無効化することをアナウンスしました。 これは、CA/Browser ForumのBaseline Requirementsの要件にかかわ
光ファイバーの盗聴について考えたことはあるでしょうか?「光ファイバーって盗聴できるの?」「そんなの知ってるよ」など答えは様々かも知れません。ただ実際に試したことがある方は少ないのではないでしょうか?本稿では、光ファイバーの盗聴を実験した顛末を紹介します。実験は成功したのでしょうか? 本記事は、光ファイバー(光ケーブル)が盗聴されるリスクがある事を知っていただく事を目的としています。光ファイバーについて場合によっては必ずしも安全というわけではないことを知った上でセキュリティ対策を考えていただきたいと思います。 ご自身の環境以外では試さないようお願いします。 なぜ光ファイバーからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。以前LANケーブル(有線LAN)からの侵入・盗聴の実験を紹介したところ多くの方に参照いただけました。 サ
2020年5月28日、NTTコミュニケーションズは社内ネットワークや一部サービスが不正アクセスを受け情報流出の可能性があると発表しました。また、同年7月2日には発表済み事案の影響顧客に追加があったこと、そしてBYOD端末を経由した別事案を把握し、これも情報流出の可能性があると発表しました。ここでは関連する情報をまとめます。 NTTコミュニケーションズで起きた2つの事案 2つの事案概要を図に整理すると次の通り。両事案とも情報流出が発生した可能性がある。 2つの事案の概要図 事案① 複数の海外拠点を経由しNTTコミュニケーションズの一部サービスに侵入した事案。さらにそのサービスで運用されるサーバーを踏み台に、社内ネットワークへ侵入し、ADサーバーやファイルサーバーの操作を行った。サービス上で保管された工事情報等やファイルサーバー上の情報が流出した可能性がある。 事案② BYODとして使用してい
令和元年12月より、「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」(座長:佐々木 良一 東京電機大学総合研究所特命教授)を開催して参りました。 この度、同検討会において、自治体情報セキュリティ対策の見直しに係るとりまとめを行いましたので、公表します。 (1)とりまとめの位置付け 検討会において、自治体情報セキュリティ対策の見直しに係る具体的施策をとりまとめたもの 総務省に対して、次期自治体情報セキュリティクラウドの在り方についての自治体への助言や、「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改定などを提言 (2)具体的施策 自治体の効率性・利便性の向上とセキュリティ確保の両立を図る観点から以下を実施 1.「三層の対策」の見直し マイナンバー利用事務系の分離の見直し 住民情報の流出を徹底して防止する観点から他の領域との分離は
チェコのウイルス対策アプリメーカーAvast Softwareがセキュリティアプリをインストールしたユーザーのアクティビティデータを収集し、それをパッケージ化して子会社であるマーケティング解析企業Jumpshotを介して企業に販売していると、米メディアのMotherboardとPCMagが1月27日(現地時間)、Avastの内部文書や顧客企業への調査に基づいて報じた。 Avastのセキュリティアプリは無料のものもあり、日本でも多数のユーザーがインストールしている。Avastによると(リンク先はPDF)、MAU(月間アクティブユーザー数)は4億3500万人以上だ。 Avastは、アプリでのデータ収集はオプトインでユーザーに許可を得ていると説明したが、Motherboardが取材した多数のユーザーは許可した自覚がなく、そのデータが販売されていることも知らないと語った。Avastはデータは匿名化
2019年12月4日、新潟県長岡市内の中学校に通う生徒が校内のサーバーに記録された成績表を改ざんを行っていたとして不正アクセス禁止法などの容疑で書類送検されました。19日に中学校の校長が記者会見を行い、管理体制に不備があり保護者や関係者に不安を与えたとして謝罪しました。ここではこの事案に関連する情報をまとめます。 スライドショー作成のために貸与 事案の概要図 教員が委員会活動のためとして教員用PCを生徒に貸していた。 委員会活動とは具体的には給食時間に発表するスライドショーの準備。全校生徒に学校行事の写真を見せるもの。*1 生徒は自分のPCの性能では作業が追い付かない等と訴え借りていた。*2 使用中は教員が横にいたが、3分ほど教室を離れる時もあった。 生徒による不正行為はパスワード窃取と自宅からのリモート操作により行われていた。 事件に関連するタイムラインを整理すると次の通り。 日時 出来
TL;DR 主要ブラウザのサポートによって DoH の普及がますます進みそう DoH はユーザのプライバシー向上に寄与するが、一方でセキュリティ面など懸念材料も多い 一般ユーザにはまずは使ってみることをオススメする (個人の意見です) 企業内では現状はブロックすることをオススメする (個人の意見です) 目次 TL;DR 目次 動向整理 DoH 推進派 DoH 反対派 (おまけ) DoH サポート状況まとめ Browser vendors Firefox (Mozilla) Chrome (Google) Windows (Microsoft) Application / Tool 1.1.1.1 (Cloudflare) cloudflared DOH Proxy Curl goDoH DoHC2 DNSBotnet Publicly available servers Spec Time
2019年11月5日、トレンドマイクロは同社従業員(当時)の内部不正行為で一部の顧客情報が流出し、その情報が同社のサポートになりすました詐欺電話に悪用されていたと発表しました。ここでは関連する情報をまとめます。 トレンドマイクロの発表 blog.trendmicro.com www.trendmicro.com 2019年8月上旬、ホームセキュリティソリューション利用者の一部がトレンドマイクロサポート担当者になりすました詐欺電話を受けている事実を把握。 詐欺犯が保持している情報を受け、同社が組織的な攻撃を受けている可能性を考慮。 顧客情報の流出は外部からのハッキングではなく、同社従業員による内部不正行為が原因であることを確認。 徹底的な調査は即行われたが、2019年10月末まで内部不正行為によるものと断定できなかった。 同社は洗練されたコントロールを行っていたが、計画的犯行により突破されて
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く