デジタル庁は6月21日、オンラインサービスの本人確認にマイナンバーカードのICチップを使えるようにする「デジタル認証アプリ」を発表した。24日に公開する。オンラインでの本人確認は、券面やカードの厚みを撮影して送る方法が一般的だが、手間がかかる上に偽造カードを利用されるリスクもあった。カード内のIC情報を使うことで、より正確な本人確認ができるようになる。 例えば、オンラインで銀行口座の開設や限定商品の販売、マッチングアプリなど本人であることが重要なサービスで、手軽かつ正確な本人確認が実現する。デジタル認証アプリに対応する無料のAPIも公開するので、これを組み込むことで、オンラインサービス側は強固な本人確認の仕組みを低コストで導入できるようになる。 すでに横浜市の子育て応援アプリ「パマトコ」や、三菱UFJ銀行の「スマート口座開設」での導入が予定されている。パマトコであれば、横浜市で子育てしてい

デジタル庁は6月21日、行政機関や民間企業が提供する各種Webサービスで利用できる本人確認アプリ「デジタル認証アプリ」の提供を6月24日から開始することを発表した。同庁と契約を締結した機関／企業が提供するWebサービスなどで利用可能で、認証時にはマイナンバーカード（個人番号カード）が必要となる（※1）。 なお、本アプリの利用を希望する機関／企業からの申請も6月24日から始まる。 （※1）提供開始時点ではAndroidスマートフォンの電子証明書には対応しない デジタル認証アプリの概要 デジタル認証アプリは、マイナンバーカードの「電子証明書」を活用した本人確認用アプリだ。行政機関や民間企業がWebサービスにおいてより簡便かつ厳格な本人確認を行えるようにすることで、安心／安全な社会の実現につなげることが目的だ。 本アプリは、あくまでもサービスの利用者（申し込み者）が本人であることを確認することが

カオナビ子会社で、3月に約15万人分のユーザー情報漏えいを発表したワークスタイルテック（東京都港区）は5月31日、漏えいした情報の中にクレジットカードやデビットカードの情報が含まれることを発表した。調査の結果詳細が分かったとして、当初発表した漏えい件数も変更した。 ワークスタイルテックは当初、労務管理クラウドサービス「WelcomeHR」について、サーバの設定ミスによりユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書（マイナンバーカード、運転免許証、パスポートなど）や履歴書の画像など16万2830人分の情報が2020年1月5日から24年3月22日にかけて外部から一時閲覧可能で、うち15万4650人分の情報が実際に第三者にダウンロードされたと発表していたが、これを修正。 正しくは、顧客がWelcomeHRを通してクラウドストレージにアップロードしていた身分証のPDF

同日の午後1時26分ごろに流出を検知したという。事態を受け、新規口座開設の審査や暗号資産の出庫処理といったサービスを一時停止した。原因など被害状況の詳細は調査中としている。 関連記事 流出NEM「完売」　資金洗浄完了か　販売サイトに金正恩氏の写真と「Thank you!!!」 「Coincheck」から流出したNEMの全額が、3月22日までに他の仮想通貨に交換されたようだ。犯人が開設したとみられるNEM販売サイトの在庫がなくなり、金正恩氏が札束に囲まれたコラージュ写真が掲げられている。 コインチェックから盗まれた「580億円分のNEM」今どこに？　ブロックチェーンで“一目瞭然” コインチェックが運営する仮想通貨取引所「coincheck」から1月26日、580億円相当の仮想通貨「NEM」が盗まれた。このNEMは今、どこにあるのか――その“ありか”は実は、誰でも簡単にたどることができる。 コ

国民生活センター越境消費者センター（CCJ）は5月29日、Webサイトに表示される「スタート」ボタンなどを模した広告についての注意喚起を公開した。広告と気が付かずにクリックし、意図せず海外事業者とのサブスクリプション契約が成立するなどのトラブルが多数発生しているという。 CCJによると、国内事業者のWebサイト閲覧時に表示される「スタート」「OK」「今すぐ視聴する」などのボタンを模した海外事業者の広告を、利用中のWebサイトの表示だと思ってクリックする消費者が多いという。広告だと気が付かないままクレジットカード情報などを入力すると、海外事業者との意図しない契約が成立してしまう。 同センターには「国内のオンラインストレージサービスの利用手続きをしたつもりが、知らない海外事業者から登録完了メールが届き、サブスク契約してしまったことに気が付いた。解約したい」「会員カードを更新しようと『スタート』

IIJmioとmineoが“スマホ乗っ取り”で注意喚起　副業などを口実にだまされ、eSIMを他人に渡してしまう事案 インターネットイニシアティブのIIJmioと、オプテージのmineoが、eSIMにまつわる“スマートフォンの不正な乗っ取り”に関して注意喚起をしている。どちらもMNO（国内の大手キャリア）から回線設備の一部を借り受けて、割安な価格でサービスを提供するMVNOだ。IIJで技術広報を担当する堂前清隆氏もX（旧Twitter）で利用者に注意を促している。 スマートフォンの持ち主や回線の契約者ではない、第三者にeSIMプロファイル設定用のQRコードが渡ってしまい、eSIMが不正に利用される事案が確認されたという。 eSIMは物理SIMカードのように差し替えなくても、ネットワーク経由で契約者情報（プロファイル）を書き換えたり、プランを変更したりできるのが特徴だ。最近ではeSIMの申し込

非営利調査機関の米Pew Research Centerは5月17日（現地時間）、「When Online Content Disappears」（オンラインコンテンツが消滅するとき）と題する調査レポートを公開した。「2013年に存在したWebページの38％が10年後にはアクセス不能に」というサブタイトルがついている。 この調査では、非営利プロジェクト「Common Crawl」のリポジトリから2013年から2023年までの毎年の約9万ページ、合わせて約100万のWebページをサンプリングした。調査結果は、この期間の全ページの25％が現在アクセス不能であることを示している。このうち、16％はルートドメインはアクティブだがアクセスできず、残り9％はルートドメインが廃止されたものだ。 政府の公的サイトでは、サンプリングした約50万ページのうち、21％に少なくとも1つのリンク切れが含まれていた。

楽天モバイルで「身に覚えのないeSIM再発行」の危険性　緩すぎる2つのプロセスは改善すべき：石野純也のMobile Eye（1/3 ページ） 楽天モバイルは、4月23日にあるお知らせをWebサイトに掲載した。タイトルは、「【重要】身に覚えのないeSIMの再発行にご注意ください」。ユーザー自身が気付かない間に、eSIMを再発行され、楽天モバイルの回線を乗っ取られてしまった事例があり、それに対する注意喚起を行った格好だ。悪意のある第三者がSIMカードやeSIMの情報を盗み取る犯罪は「SIMスワップ」や「SIMハイジャック」などと呼ばれることがあり、世界各国で問題視されている。 こうした事例に対し、楽天モバイルはユーザーにIDのメールアドレスからの変更や、他のサービスとのパスワードの使い回しをやめるよう案内している。ただ、これで本当に十分な対応といえるのだろうか。モバイル回線は単に電話やデータ通

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: ＠shiropen2 中国の武漢大学やシンガポールの南洋理工大学などに所属する研究者らが発表した論文「LocCams: An Efficient and Robust Approach for Detecting and Localizing Hidden Wireless Cameras via Commodity Devices」は、スマートフォンを使用して、隠しワイヤレスカメラの検出と位置特定を行う手法を提案した研究報告である。 ユーザーはスマートフォンを検出器として、体の正面に両手で固定して持ち、約5秒間静止した後に右方向に回転する動作を4回実行する。こ

100m先からQRコードに“肉眼で見えない”レーザーを当て偽物にする攻撃　読み込むと悪性サイトへ：Innovative Tech 東海大学に所属する研究者らは、最大100m離れた場所からQRコードに不可視光レーザーを照射し、偽装QRコードに変更する手法を提案する研究報告を発表した。ユーザーが攻撃中のQRコードをスキャンすると、悪性サイトへ誘導されるリスクがある。

Analyst1は2023年11月17日（現地時間）、ランサムウェアグループLockBit 3.0が同年10月に身代金支払いの確率を引き上げるために新たな交渉ルールを定めたと報じた。 新たなガイドラインでは、身代金の最終決定については、アフィリエイト（RaaS《Ransomware as a Service》の利用者）が犠牲者に与えた被害を評価しつつ、一定のガイドラインに沿うことが推奨されること、元の要求金額から50％以上の割引を禁止することなどが盛り込まれている。

オートバックスセブンは11月13日、会員向けダイレクトメールで会員制度のリニューアルのページを案内するQRコードから、予定していない広告サイトに飛ばされる事例が発生しているとして、読み取りを行わないように呼び掛けた。一部の顧客は、カード番号など決済情報の入力を求められたという。 学習院大学では、5月から配布している「大学案内2024」に掲載した「受験生応援サイトintro！」のQRコードから不正なリンク先へ転送されていることが判明。QRコードを使わず、併記したURLを直接入力してほしいと呼び掛けている。 リンク先が後から変えられた？ いずれも最初から不正なサイトに飛ばされていたのではなく、途中からリンク先が変わったとみられるが、なぜそのようなことが起こるのか。パスワード管理サービス「Keeper」の国内販売などを手掛けるZUNDA（東京都渋谷区）の澤田翔代表は自身のXアカウントで、いなげや

X（旧Twitter）のiOS版に10月26日（日本時間）、音声／ビデオ通話機能が加わった。発信は有料の「X Premium」ユーザーのみだが、受信は全ユーザーが可能。初期設定では全ユーザーで、フォロー相手からの着信がオンになっている。 Xのオーナー・イーロン・マスク氏が8月に実装を予告していたもの。マスク氏はXにあらゆる機能を実装する「スーパーアプリ化」を企図している。 X Premiumユーザーは、ダイレクトメッセージ画面に電話アイコンを表示。タップして音声通話かビデオ通話を選んで発信できる。 デフォルトでは全ユーザーが、フォローしているアカウントの着信を受けられる。アドレス帳へのアクセスを事前に許可している場合は、アドレス帳登録アカウントからの着信も受け付ける。 機能を利用したくない場合は、設定画面からオフにできる。ダイレクトメッセージ画面の右上の歯車または、「設定とプライバシー」→

米Googleは10月10日（現地時間）、パスワード不要のサインイン機能「パスキー（passkey）」を、Googleアカウントのデフォルト（初期設定）オプションに設定すると発表した。アカウントにサインインしようとすると、パスキーの作成を求めるプロンプトが表示されるようになる。 パスキーはパスワードより安全ではあるが、「新技術が普及するには時間がかかることが分かっているため」、ユーザーにはパスワードを引き続き使い続けるオプションも提供する。設定画面で「可能な場合はパスワードをスキップする」をオフにすれば、パスキーをオプトアウトできる。 パスキーは、Googleが昨年5月に米Appleと米Microsoftとともに発表したFIDO Allianceの「マルチデバイス対応FIDO認証資格情報」の通称。業界標準のAPIとプロトコルに基づく公開鍵暗号化を使い、面倒なログイン名とパスワードの入力を省

このコラムでは「導入するだけで全ての脅威を防ぐ完璧なソリューションは存在しない」ということを繰り返しお伝えしています。しかしフィッシングや詐欺となると、どうしても“銀の弾丸”を求める人が出てきてしまうようです。 ITの世界では「銀の弾丸」（Silver Bullet）という表現がよく使われます。元ネタは、米国の著名なエンジニアであるフレデリック・ブルックス氏が1986年に公開した論文『No Silver Bullet - essence and accidents of software engineering』で、「プログラミングにおいて特効薬となる技術はしばらく登場しない」ということを指しています。 しかしセキュリティにおいては、皆が銀の弾丸の探しているだけでなく、“ハリボテ”の弾丸を“銀”だと言う論調も見かけます。もはや銀の弾丸のような万能のソリューションはなく、銀の弾丸かどうかの見

公式Webサイトが改ざんされ「破産した」などの偽情報を載せられたとする被害の報告が、8月31日から9月4日にかけて相次いでいる。いずれも実際には破産しておらず、事態の確認・調査を進めている。被害の関連性は不明。 被害を報告しているのは中華料理の鹿児島王将（鹿児島市）、研修宿泊施設の湘南国際村センター（神奈川県三浦郡）、コンサルティング企業のコミュニケーションコンサルティング（東京都杉並区）、映像制作の新宿スタジオ（東京都渋谷区）、精肉店の西島畜産（東京都中野区）などの企業。このうち鹿児島王将、湘南国際村センター、新宿スタジオは復旧済み。 いずれも公式Webサイトが改ざんされ「2023年8月31日付で破産手続きを開始いたしました」のようにうその破産報告が掲載されたという。湘南国際村センター、新宿スタジオ、西島畜産においては迷惑メールの配信もあったとしている。 湘南国際村センターと西島畜産は迷

メールが送られたのは8月30日午後2時ごろ。本文の出だしは「お客さまの口座の入出金を規制させていただきましたので、お知らせします。本人確認後、制限を解除することができます」（原文ママ）とした上で、このような文面で偽のログイン画面へ誘導するメールが急増していると説明。これらのリンクには絶対アクセスしないように訴えている。 メール本文下部には「詐欺被害防止を目的として、詐欺メールの実態をより一層ご理解いただくために、実際の詐欺メール同様の文言を一部に記載しております」（原文ママ）の記載も見られる。 このメールはX（元Twitter）上でも話題に。受け取ったユーザーからは「肝が冷えたので、ちゃんと注意しようと思った」「メールが秀逸すぎる」などの肯定的な声や、「紛らわしい」「このメールを考えた人は2時間正座してほしい」などの否定的な意見も上がった。これを受け、午後4時20分ごろには「三井住友銀行」

X（旧Twitter）の公式クライアント「TweetDeck」の名称が8月2日ごろ、「XPro」になった。機能面の大きな変更はない。設定画面から旧TweetDeckに戻すこともできる。 7月3日にX公式サポートアカウントが発表した“新しい改良版”のロゴが「XPro」に変わったものとみられる。設定画面の「XPro version」を選択すると「Leave XPro？（XProを終了しますか？）」というポップアップが表示される。「終了する」ボタンを押すと、TweetDeckに戻る。 関連記事 TweetDeck 2.0リリース　30日以内にTwitter Blue加入が必須に？ Twitterの公式クライアント「TweetDeck」でも混乱が続く中、Twitterは“新しい改良版”をリリースした。30日の試用期間があるが、利用を続けるには「ユーザーが認証される必要がある」となっている。 「フォ

デジタルバンク「みんなの銀行」アプリの“秘密の質問”のUIがTwitter上で話題になっている。3文字以上でしか回答を設定できず、「両親の旧姓は何ですか？」という質問に2文字の名字では答えられない。なぜこのような仕様になっているのか、運営会社のみんなの銀行（福岡市）に話を聞いた。 みんなの銀行は、スマートフォンアプリから口座開設ができるサービス。アプリのダウンロード後、初期設定を進めていくと本人認証の手段の一つとして、秘密の質問の設定を求められる。質問は「母親または父親の旧姓は何ですか？」「小学校の修学旅行先はどこですか？」「初恋の人の名前は何ですか？」など6種類から選べる他、自分で質問の作成することもできる。 しかし、いずれの質問に対しても設定できる回答の文字数は3文字からとなっている。そのため、両親の旧姓を求める質問の場合、漢字2文字で「松浦」などは設定できず、「まつうら」のように平仮

国民生活センターは7月26日、役所などをかたって「税金や保険料等が還付される」などと説明し、お金をだまし取る還付金詐欺で、ATMに誘導する手口だけでなく、インターネットバンキングを悪用する手口も出ているとして、注意を呼び掛けた。 「役所などから『お金が返ってくる』という電話がかかってきたら、それは還付金詐欺です」と注意喚起している。 還付金詐欺に関する相談は年々増えている。多くは、役所や年金事務所などの職員をかたり、ATMに行くよう誘導して指定の振込先にお金を振り込ませるものだが、ネットバンクを悪用する手口もあるという。 2022年10月に70歳代の女性から受けた相談では、市役所の保険担当課の職員を名乗る人から「健康保険料の返金が約4万円ある。書類を送ったが、申請がないので連絡した」という電話があり、「インターネットバンキングを利用すると、送金がお得になる。口座番号と暗証番号を教えてもらえ