個情委が富士通Japanに行政指導、高松市でのコンビニ誤交付を受け
個人情報保護委員会は2024年7月17日、富士通Japan製システムを導入した高松市において住民票の写しが誤って交付された件で、富士通Japanに対して個人情報保護法に基づく行政指導を実施したと発表した。 誤交付は2024年4月4日に高松市で発生し、富士通Japanのコンビニ証明書交付システム「Fujitsu MICJET コンビニ交付」で、申請者と異なる別人の住民票の写しが発行されたという事案だ。誤交付は1件だった。 コンビニ証明書交付サービスを利用した際に別人の住民票の写しなどが発行されるトラブルは2023年3月から6月にかけて5自治体で発生した。一連のトラブルを受けて、富士通JapanはFujitsu MICJET コンビニ交付を利用する123団体を対象に総点検を実施。高松市が使用するシステムにおいても、一連のトラブルの発生原因となったプログラムを修正したはずだった。 しかし実際には
KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できず
出版大手のKADOKAWAが大規模なサイバー攻撃を受けた。ランサムウエアによって複数サーバーのデータが暗号化。子会社のドワンゴが運営する「ニコニコ動画」などがサービス停止に追い込まれた。KADOKAWAの業務サーバーも使えなくなり、業務に影響が出た。取引先や従業員の情報漏洩も確認されている。 KADOKAWAへの大規模なサイバー攻撃が分かったのは、2024年6月8日土曜日の午前3時30分ごろ。グループ内の複数サーバーにアクセスできない障害が発生していることが検知された。 子会社のドワンゴが運営する動画配信サービス「ニコニコ動画」「ニコニコ生放送」をはじめとする一連の「ニコニコ」サービスのほか、チケット販売の「ドワンゴチケット」などが提供不能になった。 8日午前8時ごろには、不具合の原因がランサムウエアを含むサイバー攻撃であることを確認。グループ企業のデータセンター内におけるサーバー間通信の
ネスペ試験の設問不備で全員が1問正解扱いに、何が問題だったのかを検証する
情報処理推進機構(IPA)が運営する情報処理技術者試験の1つ、ネットワークスペシャリスト(ネスペ)試験は、ネットワークに関する専門的な知識を有する証明として根強い人気を誇る。筆者は2022年から受験を始め2連敗中だ。「3度目の正直」と自分を奮い立たせて今年の試験に挑戦した。 ネスペ試験は選択式の「午前1」「午前2」、記述式の「午後1」「午後2」の4つの試験から成る。午前9時30分から絶え間なく続く試験、高難度の午後問題に直面し、午後1を受け終えた時点で結果も気力もボロボロだった。しかし、ここまできたからには、せめて最後まで受けてから散りたい――。祈るような気持ちで午後2の問題冊子を開いた。 問1はVXLANに関する問題。見た瞬間に諦めた。問2のページを開いたところ、目に飛び込んできたのはメールセキュリティーの問題だった。「ネスペ試験になぜ」と思ったが、送信ドメイン認証「SPF」や「DKIM
出前館サービスが利用不能に、原因はシステム更新作業に起因するデータベース障害
料理宅配大手の出前館は2024年6月20日、システム障害でサービスが利用できない状態だと発表した。6月20日午後0時50分時点で復旧していない。 出前館は日経クロステックの取材に対して、「(トラブルの)原因はシステム更新作業に起因するデータベースの障害だ」と回答した。現段階では「復旧のめどは未定だ」(出前館)。個人情報漏洩などの事象は発生していないという。 出前館のスマートフォンアプリやX(旧Twitter)の公式アカウントによれば、システム障害は6月19日の午後10時40分ごろから起きているという。出前館は「復旧次第ご連絡いたします。お客様にご迷惑おかけしておりますことを深くお詫び申し上げます」としている。
VMware問題でIIJやNTTコムなどが大幅値上げ、クラウド料金が2~3倍になる場合も
米Broadcom(ブロードコム)によるVMware製品ライセンスの変更による影響が、国産クラウドベンダーに波及している。VMware製品を使う国産クラウドベンダーが相次ぎ、値上げを始めたからだ。ユーザーが支払うクラウド利用料金が2~3倍に跳ね上がったケースもあるという。 IIJとNSSOLは値上げ済み、NTTコムは7月から値上げ 日経クロステックの取材によって、既にインターネットイニシアティブ(IIJ)と日鉄ソリューションズ(NSSOL)が値上げを実施済みであり、NTTコミュニケーションズも2024年7月に値上げ予定であることが分かった。 富士通とソフトバンクは、値上げの有無や予定についての回答を拒否した。しかし日経クロステックの取材では、富士通が既に複数の顧客に対して値上げを打診していることが分かっている。 ソフトバンクは2024年6月13日時点で、クラウドサービス「ホワイトクラウド
ジュエリー販売のトレセンテが「ドメイン乗っ取り」被害、公式サイトが閲覧不可に
衣料品や靴などのEC(電子商取引)事業を手掛ける夢展望は2024年6月3日、同社の連結子会社でジュエリー販売を営むトレセンテの公式Webサイトが閲覧できない状態にあると発表した。同社が使うドメイン管理サービスが不正アクセスを受け、公式Webサイトで使うドメイン「trecenti.com」が海外のドメイン管理会社へ移管されたという。 同社によれば、利用していたドメイン管理サービスはGMOインターネットグループが運営する「お名前.com」である。「攻撃者が、ドメイン管理サービスの管理画面にログインするためのIDとパスワードを不正に入手した可能性が高い」(夢展望総務担当)。ドメインは海外の管理会社を転々としており、取り返すのが難しい状況だという。 別のドメイン名を使ったトレセンテのECサイトは被害に遭っていない。公式Webサイトは、新しいドメイン名を取得し復旧させる予定だ。不正アクセスに伴う同社
積水ハウスが29万人超の個人情報漏洩、過去のページでセキュリティー設定に不備
積水ハウスは2024年5月24日、サイバー攻撃により顧客情報などが漏洩したと発表した。同社の住宅オーナー向けの会員制サイト「積水ハウスNetオーナーズクラブ」において、過去に使用していたページのセキュリティー設定に不備があり、同サイトのデータベースからパスワードなどが漏洩した。攻撃手法は、データベースに命令文(SQL文)を送りつけて情報を不正に入手する「SQLインジェクション」だった。 漏洩したのは顧客情報と従業員などの情報だ。顧客情報は、積水ハウスNetオーナーズクラブ会員として積水ハウスが取得した顧客のメールアドレスとログインID、パスワード10万8331人分が漏洩した。これに加えて漏洩の可能性がある人数は46万4053人に上る。 従業員に関しては、現在・過去に在籍していた積水ハウスグループの従業員と協力会社スタッフのメールアドレスと積水ハウスのシステムへのログイン時に使用するパスワー
マルカワみそで個人情報約9万人分が流出、原因は決済アプリの改ざん
老舗味噌メーカーのマルカワみそは2024年4月2日、自社が運営する「マルカワみそ公式サイト」に第三者の不正アクセスがあり、顧客のクレジットカード情報5447件分、個人情報8万9673人分が漏洩した可能性があると発表した。原因は第三者からの不正アクセスによるペイメントアプリケーションの改ざんだったという。 クレジットカード情報が漏洩した可能性があるのは、2023年3月11日~11月13日の間、公式サイトでクレジットカード決済した顧客およびサイトのマイページでクレジットカード情報を登録・変更した顧客4851人(5447件)。カード名義人名やクレジットカード番号、有効期限、セキュリティーコードの情報が漏洩した可能性があるという。また個人情報が漏洩した可能性があるのは、公式サイトの立ち上げから2023年11月13日までの間、同サイトで購入した顧客またはサイトのマイページに登録した顧客8万9673人
「最も使っている」プログラミング言語で異変、前年首位のJavaが王座陥落
ITシステムを効率良く開発するには、実装する機能に合わせたプログラミング言語の選定が重要になる。現在、多種多様なプログラミング言語が存在するが、言語によって実装しやすい機能が異なるためだ。 システムの機能が多岐にわたる中、日経クロステックの読者はどのような言語を利用しているのか。これを確かめるため、日経クロステックではアンケート調査「プログラミング言語利用実態調査2023」を実施した。調査期間は2023年9月21日~10月18日。358人から回答を得た。 Pythonが首位をキープ アンケートではまず、現在使っているプログラミング言語を3つまで挙げてもらった。利用言語の第1位は「Python」だった。回答者358人うち45.3%の162人が使っているという結果だった。 「あなたが現在使っているプログラミング言語は何ですか」という設問に対する回答の内訳。最大3つ選択してもらった。グラフには回
Oktaで大量の顧客情報漏洩、カスタマーサポート管理システムへの不正アクセス
米Okta(オクタ)は2023年11月28日(米国時間)、同社のカスタマーサポート管理システムが9月から10月に受けた不正アクセスについて情報を更新した。当初は全体の1%未満のユーザー企業の情報が漏洩したとしていたが、今回、一部を除くほとんどのユーザー企業の情報が漏洩したことを確認したと発表した。 攻撃者は、オクタのIDaaS(アイデンティティー・アズ・ア・サービス)製品である「Workforce Identity Cloud」と「Customer Identity Solution」においてユーザー企業向けに提供しているカスタマーサポート管理システム「Okta Help Center」に不正アクセスした。Okta Help Centerは、主にユーザー企業のシステム管理者が使用するものだ。 攻撃者はシステムが備えるリポート機能を使って、オクタの顧客データを盗み出した。盗み出されたデータに
CARDNET障害の原因はDB同期遅延による負荷増、9月の試験では想定せず
決済ネットワーク「CARDNET」を運営する日本カードネットワークは2023年11月24日、同月11日午後1時23分ごろから午後8時52分ごろに発生したシステム障害の原因について、システム更改の準備作業として実施していたデータベースの同期処理だったと発表した。同期処理が遅延し、オンライン取引と並走したことでシステムが高負荷に陥った。 発表によると、CARDNETでは11月13日にシステム更改を予定しており(障害発生に伴い11日に中止)、その準備作業として10日から現行システムと更改システムとの間でデータ同期処理を実施していた。11日午後1時23分ごろから午後5時30分ごろまでにかけて、特定接続先における一部のクレジットカード取引への影響を検知し、モニタリングを実施していた。モニタリングの詳細については「セキュリティーに関する事項のため、詳細説明は差し控える」(広報)とした。 サーバーOSの
「京大生でもx=x+1が分からない」、喜多教授が明かすPython教育の実態
プログラミング言語「Python」の大規模イベント「PyCon APAC 2023」が2023年10月27日と28日の2日間にわたって開催された。1日目に行われた京都大学国際高等教育院の喜多一教授による基調講演を中心に、イベントの内容をリポートする。 PyCon APAC 2023は、1日目の基調講演「Why University Teachers Wrote a Python Textbook?」で幕を開けた。京都大学でPythonを使ったプログラミング教育を担当している喜多教授が、その実態について英語で講演した。 喜多教授は、主に大学1年生向けの教養教育の一環として、Pythonを使ったプログラミングコースを2018年に始めた。そのための教科書をつくり、2019年に公開した。誰でも無償でPDFをダウンロードできる。教科書は毎年改訂しているが、一般向けに公開したのは2019年版と2021
全銀システム障害の原因判明、メモリー不足でインデックステーブルが不正確な状態に
銀行間送金を担う「全国銀行データ通信システム(全銀システム)」で2023年10月10~11日に発生した障害の原因が10月16日、分かった。全銀システムと各金融機関のシステムをつなぐ中継コンピューター(RC)において、メモリー不足に起因し、金融機関名などを格納したインデックステーブルに不正な値が紛れ込んだ。 インデックステーブルはRCのディスク上にあるファイルから展開する。このファイルを作成するプログラムを実行したタイミングで、一時的に確保するメモリー領域が不足し、ファイルの内容が不正確になったという。 全銀システムの障害を巡っては、三菱UFJ銀行やりそな銀行などで他行宛ての振り込みに遅れが生じた。全銀システムを運営する全国銀行資金決済ネットワーク(全銀ネット)によると、概算値ながら10月10~11日の2日間で仕向けと被仕向けを合わせて500万件超の送金に影響が出たとしている。
GPU進化でパスワード解読が加速、旧システムは保存方法の見直しを
サイバー攻撃の脅威が広まる中、Webシステム管理者はパスワードの保存方法をいま一度確認する必要がありそうだ。特に注意すべきなのは、最新のWebアプリケーションフレームワークを使わずに開発した、古いWebシステム。パスワードが漏洩した際に簡単に解読されてしまう可能性があるので注意が必要だ。 2023年8月15日、作品投稿サイト「pictBLand」やオンライン即売会サービス「pictSQUARE」を運営するGMWが不正アクセスを受けたと発表した。pictBLandは作品情報のデータが改ざんされ、pictSQUAREでは会員情報が窃取されていると判明。ユーザーアカウント情報が約80万件流出し、メールアドレスは約61万件、電話番号は約67万件、配送先住所は約22万件、銀行口座情報は883件、X(旧Twitter)のIDは約24万件が流出したという。GMWはユーザーに対して、IDやパスワードを使い
偽サイトもアドレス欄に鍵マーク、証明書を確認してフィッシング詐欺を見抜こう
万が一、偽サイトに誘導されてもまだ大丈夫。よく訪れるウェブサイトなら自動ログインによってユーザー名などが表示されるが、偽サイトでは当然表示されない(図31)。 図31 ECサイトなどは、定期的に訪れていればクッキーの働きで自動的にログインする(左)。一方、偽サイトは身元がわからないので当然ログインしない(右)。なお、金融機関などはセキュリティ上ログインが維持されない場合が多い
Microsoft従業員ですらセキュリティー事故、クラウド設定の「落とし穴」
クラウドの設定誤りに起因するセキュリティー事故が後を絶たない。なぜクラウドの設定誤りが発生し、それがセキュリティー事故につながるのか。原因は単なる「うっかり」とは限らない。ユーザー企業は事故が生じる原因を正しく理解し、対策を講じる必要がある。 クラウドの設定誤りに起因するセキュリティー事故は、世界最大級のクラウド事業者である米Microsoft(マイクロソフト)の従業員ですら起こしている。同社は2023年9月18日(米国時間)、ソースコード共有サービスGitHubでの誤りに起因して、Microsoft Azureのストレージサービスに保存していた社内情報が外部からアクセス可能な状態になっていたことを明らかにした。 ストレージサービスのクレデンシャルが漏洩 マイクロソフトの従業員がGitHub上で公開したMicrosoft Azureのストレージサービス「Azure Blob Storage
バックドアの存在に7年間気づかず、政策研究大学院大学がネット接続を8カ月間遮断
政策研究大学院大学がインターネット接続を遮断する事態に追い込まれた。攻撃者が公開Webサーバーにバックドアを設置。これを利用した不正アクセスを受けたことが原因だ。情報システム担当者がメンテナンス作業中に不正な通信を検知して発覚した。バックドアは7年前に仕掛けられたもので、システム更改時にも気づかなかった。 2023年8月22日、政策研究大学院大学の大田弘子学長が「本学で発生した情報セキュリティインシデントについてのお詫び」という文書を公表した。同大学は2022年8月29日に、不正アクセスによるセキュリティーインシデントが発覚。2023年5月までの約8カ月の間、大学内からインターネットが使えない事態に陥った。 同じ2023年8月22日には、インシデント対応から復旧までに従事した学外の専門家がまとめた「政策研究大学院大学の情報システムに対する不正アクセスの調査報告書」と題した文書を公表している
山形大学のWebサーバーで不正アクセス被害、150のサイトを一時閉鎖に
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。 今回取り上げるシステムトラブルは、山形大学のWebサイト改ざん被害、エフトリアへのランサムウエア攻撃、長崎県立大学への不正アクセスである。 Webサーバーに不正なプログラムを設置される 山形大学は2023年9月1日、大学の研究室のWebサーバーが不正アクセス被害に遭い、コンテンツを改ざんされ、不正なプログラムを設置されたことを明らかにした。 当該サーバーでは150のWebサイトが稼働していた。そのうち2つのWebサイトでは個人情報が保存されていたため、流出した可能性があるという。流出した可能性がある個人情報は、氏名やメールアドレスなどを含む380人分。発表時点で悪用された事実を確認していないという。 大学は2023年7月1日、コンテンツサポート業者からの指摘で被害を把握。調
日本企業のサーバーが「誤爆」される恐れはないのか、能動的サイバー防御の課題を探る
日本政府が新たな国家安全保障戦略の1つとして導入を発表した「能動的サイバー防御」。未然に攻撃者のサーバーに侵入して無害化することを可能にするなど、これまでの常識を覆すサイバーセキュリティー戦略である。 このため実現には多くの課題をクリアする必要がある。そこで本記事では、能動的サイバー防御を実現するうえでの課題を探った。 Q 一般企業は影響を受けないか 能動的サイバー防御は対象を国外のサーバーとはしていない。国内のサーバーも対象になり得る。このため国内企業のサーバーが攻撃者の踏み台にされたり、攻撃者のサーバーと誤認されたりした場合、侵入や無害化の対象になる可能性がありそうだ。 だが実際は、その心配はないというのが識者の一致した意見だ。能動的サイバー防御は、話し合いの余地などない相手に対する「最終手段」(JPCERTコーディネーションセンターの佐々木勇人脅威アナリスト)だからだ。 国内企業が運
JPCERT/CCがNISCに苦言? メール漏洩の情報公開巡り
JPCERTコーディネーションセンター(東京・中央、以下JPCERT/CC)は2023年8月7日、内閣サイバーセキュリティセンター(NISC)が公表した電子メール関連システムへの不正侵入被害に対し、JPCERT/CCとしての見解を示すプレスリリースを発表した。 NISCは2023年8月4日、電子メール関連のシステムへの不正通信で、個人情報を含むメールデータの一部が外部に漏洩した可能性があると発表した。その不正侵入を許した原因について「メーカーが確認できていなかった機器の脆弱性が原因」(NISC)と説明する一方で、脆弱性のあった機器や発見した痕跡などの詳細について日経クロステックの取材に対して「セキュリティー保安上答えられない」(NISC)と回答している。 JPCERT/CCは、プレスリリースの中で「どのような分野の被害組織であれ、被害公表だけでなく、情報共有や専門機関との連携含め、『サイバ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
