スキマバイト事業者に不正アクセス 個人情報など約50万件漏えいか 「情報転得した」と主張の人物がデータ入りUSBメモリ返還
スキマバイト事業者に不正アクセス 個人情報など約50万件漏えいか 「情報転得した」と主張の人物がデータ入りUSBメモリ返還 いわゆる“スキマバイト”募集プラットフォームを手掛けるネクストレベル社(大阪市)は5月24日、不正アクセスにより個人情報など50万件近くが漏えいした可能性があると発表した。なお事態の発覚後、「情報を転得した」と自称する人物から連絡があり、警察官立ち合いの下、情報を含むUSBメモリを受け取ったという。 漏えいした可能性がある情報は、プラットフォームに登録している個人ユーザーのID、氏名、性別、生年月日、住所、電話番号、メールアドレス、口座情報、勤務経歴や勤務条件、資格、緊急連絡先、同サービス上に登録されている身分証明書の写真にアクセスするためのURLなど49万6119件。 このうち、身分証明書の写真にアクセスするためのURLは変更済みという。情報の中にマイナンバーは含ま
クレカ情報1.5万件、平文で流出か 美容室向けECサイト「fofo」に不正アクセス
美容商社インテンスは5月20日、美容室向けのショップサイト「fofo」が不正アクセスを受け、顧客のクレジットカード情報1万5198件が平文で漏えいした可能性があると発表した。 原因は、サイトのシステムの脆弱性をついたこと不正アクセスにより、Webサーバにバックドアのスクリプト(WebShell)が設置され、サーバ内を不正操作されたこと。 2020年12月24日~2023年12月8日に「fofo」で購入した顧客のカード情報で、カード番号と有効期限、セキュリティコード、会員氏名、DBデータ、ログイン情報が、平文で出力され、保存された可能性があるという。 同サイトのカード決済は2023年4月1日に停止していたが、約半年後の9月13日、一部のカード会社から情報漏えいの懸念があると連絡を受けた。調査はそれから半年弱の2024年1月17日に完了したという。 対象の顧客には5月20日からメールで個別に連
楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき
楽天モバイルで「身に覚えのないeSIM再発行」の危険性 緩すぎる2つのプロセスは改善すべき:石野純也のMobile Eye(1/3 ページ) 楽天モバイルは、4月23日にあるお知らせをWebサイトに掲載した。タイトルは、「【重要】身に覚えのないeSIMの再発行にご注意ください」。ユーザー自身が気付かない間に、eSIMを再発行され、楽天モバイルの回線を乗っ取られてしまった事例があり、それに対する注意喚起を行った格好だ。悪意のある第三者がSIMカードやeSIMの情報を盗み取る犯罪は「SIMスワップ」や「SIMハイジャック」などと呼ばれることがあり、世界各国で問題視されている。 こうした事例に対し、楽天モバイルはユーザーにIDのメールアドレスからの変更や、他のサービスとのパスワードの使い回しをやめるよう案内している。ただ、これで本当に十分な対応といえるのだろうか。モバイル回線は単に電話やデータ通
富士通Japan、“コンビニ交付”でまたまた誤交付 同社は謝罪 「全力を挙げて再発防止」
富士通Japanは4月16日、住民票のコンビニ交付システムで証明書が誤交付されたと発表した。香川県高松市で申請者とは異なる住民の住民票が発行されたという。同社のコンビニ交付システムでは、2023年にも複数回の誤交付が発生していた。 高松市では1月4日から、富士通Japanのコンビニ交付システム「Fujitsu MICJET コンビニ交付」を導入していた。しかし、コンビニ交付サービスの項目でシステムの設定ミスがあり、4月4日に別人の住民票が誤交付される事象が発生した。 富士通Japanは誤交付の原因について「複数サーバでシステムを構成している高松市向けに、本来はその構成に応じたプログラムを適用すべきところを、誤って単一サーバ構成向けのプログラムを適用していたことによるもの」と説明。16日時点では既に正しいプログラムを適用し、正常に動作することを確認したという。また、同システムを利用する全ての
高校入試の出願システム、Gmailにメール届かず……神奈川県、受験生に「@gmail.com以外のアドレス使って」
神奈川県教育委員会が2024年1月4日にリリースした、公立高校入試のインターネット出願システムで、「@gmail.com」ドメインのアドレスにシステムからのメールが届かず、受験生が出願用アカウントを作成できない問題が起きている。 15日夜時点でも解消しておらず、県教委は受験生に対して、「@gmail.com以外のメールアドレスで登録してほしい」と呼び掛けている。 このシステムは、公立高校の2月入試に出願する受験生などが利用する。中学校で受け取った書類に書かれたURLから出願サイトにアクセスし、メールアドレスなどを登録して「志願者アカウント」を作成すると、出願サイトへのログインに必要な「登録番号」がメールで届く、という流れだ。 だが、登録したメールアドレスが「@gmail.com」の場合、登録番号入りのメールが届かない不具合が起きているという。 新システムによる出願は1月4日に受付スタート。
Oktaが一連のサイバー攻撃について“猛省” セキュリティ文化の変革を宣言
Oktaは一連のサイバー攻撃への対処について、同社の決算報告会で改善することを誓い、セキュリティの甘さにつながる文化の変革に乗り出すとした。その具体的な取り組みとは。 OktaのCEO兼共同設立者であるトッド・マッキノン氏は、2023年11月29日(現地時間、以下同)に実施された同社の第3四半期の決算説明会で、すぐに要点に入り、以下のように述べた。 「同年9月下旬に発生したサイバー攻撃は、誰にとっても最大の関心事だ。リスクは高いが、現在および将来の顧客を守るために必要なことは何でもする」 一連のサイバー攻撃による情報漏えい 決算説明会でOktaが示した4つの要点 今回のサイバー攻撃は、2023年に発生した一連のセキュリティインシデントの最新の例だ。夏には著名な顧客の環境に対する攻撃が相次ぎ(注1)(注2)、第三者のベンダーに対する攻撃では、Oktaの現従業員および元従業員約5000人分の健
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ
「200万人以上の情報が丸見え」報道の位置情報アプリ「NauNau」、調査結果を発表 300万人以上の現在地などが丸見えだった
200万人以上のユーザーの位置情報やチャット履歴が外部から閲覧できた可能性があるとして、提供元による調査が進んでいた位置情報アプリ「NauNau」。提供元のSuishow(東京都品川区)と親会社のモバイルファクトリー(同品川区)は12月7日、調査で分かった、外部から不正に閲覧可能な状態だった情報を公開した。 アクセス可能だった時期と情報、影響囲の推定値は下記の通り。ただし、いずれも実際に情報が漏えいした事実は確認できなかったとしている。 2022年9月29日から2023年5月8日:推定304万ユーザーの現在地 2022年9月29日から2023年3月2日:推定167万ユーザーのチャット内容と画像 2022年9月29日から2023年10月20日:推定283万ユーザーの生年月日 2022年9月29日から2023年10月20日:推定380万ユーザーの個人情報に当たらない情報(アプリの起動回数など)
新MacBook Pro(M3)でも機密情報が漏えい 2020年以降のApple製品全てに脆弱性 米国チームが発表
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 米ジョージア工科大学などに所属する研究者らが発表した論文「iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices」は、Mac、iPad、iPhoneなどのApple製品に搭載のSafariを標的としたサイドチャネル攻撃に関する研究報告である。 この攻撃は、最近発売されたM3チップを搭載した新型MacBook Proでも成功し、ソフトウェアの更新状況に関わらず、Apple製品にとって依然として脅威であることを示した。 「iLeakage」
GPT-4でコードを生成するなら“日本語”と“英語”どっちがいい? 日立製作所が検証
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 この研究では、ChatGPT(GPT-4)に対して日本語と英語の両方でコード生成を指示し、その結果で生成した450個のコードサンプルの安全性を詳細に分析した。具体的には、英語、日本語の命令形と日本語の丁寧語の3種類でそれぞれ同一の内容を示すタスクのコー ドをGPT-4で生成した。 いくつかの条件で安全性を比較するため、暗号化と復号、サンドボックス化されたディレクトリの2つのシナリオを用意し、同じシナリオ内でPython、C、JavaScriptの3種類のプログラミング言語で25回コードを生成した。出力されたコードの安全性と、コード以外の部分
「nanaco」コールセンターで顧客の電子マネー残高を詐取、NTTネクシア元社員
コンタクトセンターの構築や受託運営を手掛けるNTTネクシア(本店:北海道札幌市)は11月2日、「nanacoお問い合わせセンター」業務において、元社員が一部顧客の情報を不正に利用し、残高を私的に詐取していたと公表した。 内部調査を進めていたところ、この社員が不正行為を認め、約400枚のカードを提出したという。社員は懲戒解雇処分とした。被害額などは公表していない。 被害者に対しては、セブン&アイグループの決済事業を担当しているセブン・カードサービス社から個別に連絡をとっている。なお現在、電子マネーを利用できているユーザーは対象ではないという。 同社は今後、原因の究明と被害状況の把握に注力する。また再発防止のためコンプライアンス強化を図るとしている。 関連記事 ガンダムメタバース、3Dデータの漏えいを確認 「クライアントファイル内のデータが外部から解析」 ガンプラの3Dデータが漏えいした可能性
ビッグモーターに不正アクセス、個人情報漏えいか フォームからの問い合わせ、約7年分
中古車販売などを手がけるビッグモーター(東京都多摩市)は10月30日、自社Webサイトが第三者による不正アクセスを受け、「お問い合わせフォーム」から同社に連絡していた顧客の個人情報の一部が漏えいした可能性があると発表した。クレジットカード情報などは含まれていない。 同社によると、今年8月18日にWebサイトへの不正アクセスの痕跡を確認。該当するサーバーには、2016年11月から23年8月までにお問い合わせフォームを利用した人の住所、氏名、電話番号、メールアドレスなどの情報が含まれていた。クレカ情報やマイナンバー情報は収集していなかった。 ビッグモーターは不正アクセスを確認後、フォームを含むWebサイトの一部を停止。外部の専門家を交え、保管していた全ての個人情報を削除した。また個人情報保護委員会への報告や警察への相談も行ったという。 ビッグモーターは、「事態を重く受け止め、外部専門家の助言も
米国の巨大ホテル企業が被害に遭った、Oktaユーザーを狙った“古くて新しい”攻撃とは?
ホテル事業を営むMGM ResortsとCaesars Entertainmentに対するソーシャルエンジニアリング攻撃は、脆弱(ぜいじゃく)性を悪用する攻撃者の過去の活動に疑問を投げかける。 セキュリティ研究者の間では、MGMへの攻撃を主張する脅威グループ「AlphV」(別名:BlackCat)が別の脅威グループ「Muddled Libra」と連携しているとの見方が強まっている。 サイバーセキュリティ事業を営むPalo Alto NetworksのUnit 42によると(注1)、Muddled Libraは2022年の中頃から続くサイバー攻撃に深く関与しており、価値の高い暗号通貨を扱う企業や個人にサービスを提供するアウトソーシング企業を標的にしている。 攻撃者が狙うのは“人間が関わる”ポイント この脅威グループはScattered Spider、Scatter Swine、Oktapus
岡山県「過去に使ったドメインを第三者に再取得された」 管理者にリンク削除を要請
岡山県は10月17日、県が過去に使っていた5つのドメインが、オークションなどを通じて第三者に再取得されたと公表した。各ドメインを使ったサイトについて「県とは無関係」と注意を呼び掛けている。 各ドメインにリンクを張っている管理者に対して、Webサイトへのリンクの削除を依頼しているという。また、庁内へドメイン管理の注意点を周知徹底したとしている。 再取得されたのは、「みんなで晴れの国 コロナ情報サイト」(fight-okayama.jp)、「もんげー部」(8092fun.jp)、「岡山県飲食店感染防止対策第三者認証事業」(okayama-ninsho.jp)、「おかやまプレミアム付食事券発行事業」(okayama-eat.com)の4ドメイン。また、「留学促進バーチャルフェア OKAYAMA2021」(ryugaku-sokushin.jp)のドメインは現在、オークションサイトで入札が受け付け
全銀ネット障害、いまだ根本原因特定できず メモリ不足の指摘には「分からない」
全国銀行協会(以下、全銀)は10月18日、銀行間の送金を行う「全国銀行データ通信システム」(全銀ネット)で10日から11日にかけて発生した障害について会見を行い、現状を説明した。未だに根本的な原因は特定できず、暫定的な“代替対応”のまま運用しているという。 不具合はシステムのリプレース直後に発生した。全銀は7~9日の3連休を利用し、加盟14銀行の中継コンピュータを「23シリーズ」と呼ぶ新機種に更新した。それまでの「17シリーズ」は各機関に設置していたが、今回は全銀センターに集約して運用する形にした。 9日までに製品単体試験から相互運転試験までいくつもの試験を行っていたが、不具合は見られなかったという。 しかし10日午前8時30分。システムが通信を始めると、10行の中継コンピュータで電文の送受信ができなくなった。りそな銀行や三菱UFJ銀行などで他行宛の振込取引ができない状態になった。 バック
「ドコモ口座」のドメイン、ドコモが取り戻す 出品の経緯をGMO含め聞いた
ドコモは現在、各サービスのドメインを「docomo.ne.jp」へ統合する作業を進めており、現在使用しているもの、すでに使用をやめたものを含め同社の専門部署で一括管理しているという。そのうえで「docomokouza.jp」については、社内管理の不手際により、一時的にドコモの保有ではなくなっていたとしている。 今回の「docomokouza.jp」はドコモが取り戻したため不正利用される心配はなくなったが、こうしたドコモ保有のドメインを失った場合はどういった対応を取るのだろうか。同社は「弊社の商号、商標を含むドメインが第三者に取得されて不正に利用された場合は、JP-DRP(JPドメイン名紛争処理方針)という公的な指針によって必要な措置をすみやかに取る」としている。 JP-DRPは、ドメインにまつわる商標権者とドメイン登録者の紛争処理に関する規約を定めたもの。ドメイン名の不正登録・使用を回避す
「サークルK・サンクス」公式サイトの中古ドメイン、約6000万円で落札される
ファミリーマートに統合され、2018年11月に営業を終えたコンビニ「サークルK・サンクス」の公式サイトで使われていた中古ドメイン「circleksunkus.jp」が、6月18日午後8時30分ごろ、ネットオークションで競り落とされた。落札額は6000万300円。 サークルK・サンクスの公式サイトは、営業終了に合わせて閉鎖。更新期限を迎えて手放されたドメインはGMOインターネットが取得し、同社のドメイン登録サイト「お名前.com」上で1日からオークションにかけていた。 開始価格は6000円だったが、18日間で自動入札を含めて1250件の入札があり、落札額は約1万倍にまで膨れ上がった。 中古ドメインを取得すると、旧Webサイトが得ていた検索エンジンの評価や外部サイトからの被リンク数などを引き継げるため、SEO対策で高い効果を発揮する。そのため、検索上位の表示を狙ったアフィリエイトサイトの構築に
Wi-Fiからスマホの入力キーを盗む攻撃 他人のパスワード取得に成功 中国チームなどが発表
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 中国の湖南大学、シンガポールの南洋理工大学などに所属する研究者らが発表した論文「Password-Stealing without Hacking: Wi-Fi Enabled Practical Keystroke Eavesdropping」は、Wi-Fiハードウェアをハッキングすることなく、Wi-Fi経由でスマートフォンのキーストロークからパスワードを特定する攻撃を提案した研究報告である。 この方法は、ターゲットとなるスマートフォンと、そのスマートフォンが接続しているアクセスポイントとの間のWi-Fi信号を傍受し、その信号からキー入力
WebPコーデックの重大な脆弱性対処でChromeなど主要Webブラウザが緊急更新
米GoogleのChromeや米MicrosoftのEdgeなど、主要Webブラウザが9月11日から重大なゼロデイ脆弱性に対処するアップデートをリリースしている。この脆弱性「CVE-2023-4863」は、GoogleのWeb向け画像フォーマット「WebP」のヒープバッファオーバーフローに関するもので、既に悪用されているという。 この脆弱性は、米Apple Security Engineering and Architecture(SEAR)と加トロント大学のCitizen Labが6日に報告した。 本稿執筆現在、Chrome、Mozilla Firefox、Brave、Microsoft Edgeがこの脆弱性に対処するアップデートをリリースしている。 Googleは公式ブログで、「CVE-2023-4863のエクスプロイトが存在することを認識している」とした。 また、米Stack Dia
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
公式ストア以外いる? 国のスマホ「サイドローディング」論争で多数の指摘、あぶり出された問題点とは
