近年クレジットカードの不正利用に関する犯罪が増えているが、その利用スタイルの変化や対策手段の登場にともない、以前とは違う形での不正利用が増加している現状がある。 以前までであればスキミングや番号の盗み見などの手段で入手したカード番号を元に偽造カードを作成する手法が多かったと思われるが、ICチップ利用の必須化により偽造カード作成は困難になり、盗んだカード番号をオンライン取引で利用するケースが一般化してきている。 まずユーザーにフィッシングメールを送信してカード情報の入力を促したり、あるいは決済サービスを提供する企業のサイトをハッキングしておき、そこに入力された情報をかすめ取るといった手法だ。 このようにして盗んだカード番号をオンラインの決済で利用して換金性の高い商品を購入し、売却することで利益を得るのが犯人の狙いだが、もともとオンラインでの取引は、人と人が店頭で行う対面取引に比べても不正利用

Webサイトのアーカイブ図書館を目指す米非営利団体Internet Archiveの「Wayback Machine」に10月10日前後に訪問したユーザーに、サイトがハッキングされたというポップアップメッセージが表示されていた。「Internet Archiveが不安定で、常に壊滅的なセキュリティ侵害を受けそうになっていると感じたことはないかな？　それが今起こった。HIBPで3100万人の皆さんにお会いしよう！」とあった。 HIBPとは、アカウント情報の流出を確認できる無料サービス「Have I Been Pwned」のことだ。HIBPで確認したところ、本稿筆者のメールアドレスも被害に遭っていた。 HIBPを運営するセキュリティ研究者のトロイ・ハント氏は米BleepingComputerに対し、攻撃者は9日前にInternet Archiveの認証データベース（6.4GのSQLファイル）を

情報通信研究機構（NICT）は10月9日、大規模な太陽フレアの発生とコロナガスの地球方向への放出を確認したとして注意喚起した。10日深夜から数日間、人工衛星の障害やGPSの誤差拡大といった影響が出る可能性がある。 9日の午前10時56分、太陽面の中央付近に位置していた「13848」と呼ばれる黒点群でX1.8の太陽フレアが発生した。太陽フレアの規模を示す“クラス”の中で最も規模が大きいXクラスに分類される。 1日に発生したX7.1や、3日のX9.0の太陽フレアに比べると規模は小さいものの、今回は地球方向へ噴出したコロナガスが「けっこう大きい」（NICT）。 コロナガスが地球に到達すると地磁気嵐が発生し、その影響で地球周辺を飛ぶ人工衛星やGPSを用いた高精度測位、短波通信などに障害が発生するおそれがある。NICTは「宇宙システムの利用には注意が必要」としている。

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X： ＠shiropen2 「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所（NIST）が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。 多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。 これは、Webサイト

IT系Webサイトを運営するZiff Davisは2024年9月13日（現地時間）、「Windows」ユーザーを標的とする新たなマルウェア攻撃の手法が、セキュリティ研究者によって発見されたと報じた。 「あれ」を装った新たな手法　Windowsユーザーが標的 同社によると、この攻撃が成功すると、「Lumma Stealer」という情報窃取型のマルウェアがインストールされ、パスワードやWebブラウザのCookie、暗号通貨ウォレットの詳細情報などが盗まれる危険性がある。 この攻撃は、Webブラウザを利用していると頻繁に出現する「ある機能」を装って仕掛けられている。ある機能とは何か。 Ziff Davisは、今回発見された攻撃方法には、一見無害に見える偽の「CAPTCHA」が利用されているとしている。 CAPTCHAは、通常Webサイトのbot対策として訪問者が人間であることを証明するために使わ

サポート詐欺は「PCがウイルスに感染した」といった偽の警告を出すことで、表示した電話番号に電話をかけさせて架空のサポート窓口に誘導し、金銭を請求する手口だ。偽の警告はESCキー長押しなどのキーボードショートカットで閉じられたが、新しい手口では通用しないという。 IPAによれば「インターネットを閲覧中、クリックも何もしていないのに突然表示された」「PCを起動したまま放置していたら、デスクトップの通常表示と、操作不能の偽メッセージの表示を数十分間隔で繰り返した」などの相談が寄せられているという。偽メッセージの一例も公開している。 さらに、偽メッセージが出現した際、もしくはその後に「遠隔地のコンピュータを監視や操作するソフトウェアによって、PCを遠隔操作されていた」「Windowsシステムの設定を改ざんされていた」「不審なプログラムやバッチ処理がスタートアップに登録されていた」「デスクトップが表

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X： ＠shiropen2 イスラエルのBen-Gurion University of the Negevに所属する研究者が発表した論文「RAMBO: Leaking Secrets from Air-Gap Computers by Spelling Covert Radio Signals from Computer RAM」は、インターネットに接続していないコンピュータ（エアギャップPC）から機密情報を漏えいさせる新たなサイドチャネル攻撃手法を提案した研究報告である。 「RAMBO」と呼ぶこの攻撃は、物理的に隔離したコンピュータのRAM（Random Access Mem

セットアップには「My JCB」アプリが必要 Google PayでJCBカードのタッチ決済を利用するには、以下の要件を“全て”満たす必要がある。 対応するカード会社が発行するJCBカード 現時点ではJCBグループの発行するもののみ Android 9以降をプリインストールするおサイフケータイ対応Androidスマホ 「おサイフケータイ」アプリ（バージョン9.0.0以降）や「Google ウォレット」アプリ（バージョン3.0.0以降）も必要 現時点ではWear OS搭載デバイスには非対応 今回対応するJCBグループのクレジットカード／デビットカード／プリペイドカードでは、Google ウォレットアプリを通してセットアップすると「QUICPay」「QUICPay＋」が登録されてしまう。JCBのタッチ決済を利用したい場合は、「My JCB」アプリを通してセットアップを行う必要がある（この点は三

実は始まっていた「povo3.0」への布石　povo2.0は他社対抗も含め“完成形”に：石野純也のMobile Eye（1/2 ページ） KDDIは9月3日～4日の2日間にわたり、「KDDI SUMMIT 2024」を開催した。会期2日目の4日には、オンライン専用ブランドpovoを運営するKDDI Digital Life（KDL）の代表取締役社長、秋山敏郎氏や、同社とともにpovoの運営に携わるシンガポールのCircles CEO、ラメーズ・アンサル氏らが登壇。povo3.0の目指す姿が明らかになった。 “povo3.0構想”は2月にスペイン・バルセロナで開催された「MWC Barcelona 2024」で初めて公開されたコンセプト。そのより具体的な形が、KDDI SUMMITで明かされた格好だ。その間、KDLは着実にpovo2.0を進化させ、3.0へのアップデートに向けた布石を打ってき

中国のインターネット検閲（グレートファイアウォール）が市民の情報取得や意識にどのような影響を与えているかを明らかにするため、北京の大学生約1800人を対象とした大規模なフィールド実験を行った。研究者らは、参加者の一部に検閲されていないインターネットへのアクセスを18カ月間提供し、その影響を追跡した。 実験の結果、単に検閲されていないインターネットへのアクセスを提供するだけでは、学生たちの政治的に機密性の高い情報の取得にほとんど影響を与えないことが明らかになった。アクセス権を持った学生の約半数はツールを全く使用せず、使用した学生もほとんどが外国のニュースサイトを閲覧しなかった。この結果は、中国の若者が政治的に機密性の高い情報に対して低い需要を持っていることを示唆している。 しかし、外国の特定のニュースサイトにいかないと正解が分からないクイズに金銭がもらえるインセンティブを与えると状況は大きく

サイバーセキュリティツールなどを提供する日本プルーフポイント（東京都千代田区）は8月29日、米国、英国、日本などの税務当局になりすまし、マルウェア感染を目的にフィッシングメールを送る攻撃キャンペーンを各国で確認したとして警告した。同社はマルウェアの内部ファイル名と文字列から、マルウェアを「Voldemort」（ヴォルデモート）と命名。攻撃の特徴をまとめた調査結果を公開している。 攻撃を観測したのは8月5日。2万件を超えるメールが70以上の組織に送られたという。文言は全てカスタマイズされており、言語も国ごとに合わせたものだった。ターゲットとなった組織は保険会社や航空宇宙、運輸系の事業者、大学など。このうち保険会社への攻撃が最も多く、全体の4分の1近くを占めた。 Windowsユーザーがメール中のリンクをクリックすると、エクスプローラーを開くよう求めるポップアップが表示され、許可すると悪意ある

サイバー攻撃者たちの攻撃手法は日々巧妙化しています。何と最近、頼みの綱だった2要素認証ですら突破された事例まで報告されました。サイバー攻撃者は果たしてどのような手法を使ったのでしょうか。 コンシューマーとしての利用者、そして組織の一員としての従業員個人に対するサイバー攻撃の主流は「フィッシング」だと思います。フィッシングも偽サイトに誘導するという、これまでよく知られるものから、サポート詐欺として偽のセキュリティ警告を執拗（しつよう）に表示し、表示される番号に電話をかけさせるという新たな手法も登場しています。「怪しいWebサイトにはアクセスしない」という基本的なものではなく、もう一段踏み込んだ対策が必要です。 新たな標的型攻撃についても注意が必要です。一部のかいわいで流行している手口としては、海外からのインタビュー依頼が届き、取材に必要な翻訳やビデオ通話といったツールを指定され、これをダウン

三井住友銀行をかたるフィッシングメールが増加しているとして、フィッシング対策協議会が8月28日に注意を呼び掛けた。メールに記載したQRコードからフィッシングサイトに誘導する手口の報告が増えているという。 件名は「【重要】不正利用監視通知（三井住友カード）」、サイトのURLは「https://tinyurl.com/●●●●」や「https://qr.codes/●●●●」など。確認されたURLは他にも複数あり、フィッシング対策協議会が例を紹介している。本文では「カードの利用明細を確認するため、以下のQRコードをスキャンしてほしい」などとし、コード経由でフィッシングサイトに誘導。ID・パスワードやカード情報などの入力を求めるという。

金融機関や携帯電話の契約、中古品買い取り、自治体窓口などの本人確認での利用を想定したアプリ。オフラインで利用可能だ。 事業者が顧客のカードを預かり、カード表面をスマホカメラで読み取った後、スマホのNFC機能を使ってICチップの情報を読み取る。 すると、カードに格納された、顔写真（白黒）や氏名、住所、生年月日、性別、有効期限、セキュリティコードをアプリ画面に表示できる。 関連記事 「マイナンバーカード対面確認アプリ」、河野大臣が実際に体験　偽造対策の切り札になるか？ デジタル庁は、事業者がスマートフォンで運用する「マイナンバーカード対面確認アプリ」を、8月末をめどに提供する。スマートフォンやSIM購入時、銀行口座開設時などの本人確認に利用することを想定しているが、アプリ自体は一般公開され、誰でもダウンロードして利用できる。現在実施中の実証実験の様子を、河野太郎デジタル大臣が8月1日に視察した

LINEヤフーは8月5日、同社のメールサービス「Yahoo!メール」において、第三者から閲覧された可能性があると発表した。SMS認証を使った「Yahoo! JAPAN ID」のログインに不具合があったとしている。 Yahoo! JAPAN IDのSMS認証には、登録された携帯電話番号の持ち主が変更されていないかを確認する仕組みが組み込まれているが、それが一定期間中（6月13日午後1時11分から27日午前11時30分まで）一部正常に動作しなかったという。現在、不具合は解消している。 このため、ユーザーが登録した携帯電話番号を解約するなどして使用しなくなり、Yahoo! JAPAN IDに登録していた番号を変更せずにいた場合、新たに携帯番号を取得したユーザーがその番号でYahoo! JAPAN IDにログインできてしまう事象が一部のユーザーに発生したという。 閲覧された可能性がある情報は、Ya

日本サイバー犯罪対策センターは7月10日、「サポート詐欺の電話番号に電話をかけてみた」と題した動画を公開した。サポート詐欺の手口を周知するために制作したという。 タイトル通り、サポート詐欺の電話番号に電話をかけ、出てきた人物と会話しながら、あえて指示に従う内容。動画では、電話に出た人物が電話をかけた人を誘導し、遠隔操作ツールをインストールさせたり、金銭を要求したりする様子が確認できる。 電話に出た人物はカタコトの日本語をしゃべっており「六桁」を「ロケッタ」、「100パーセント」を「ハヤクパーセント」と発音。電話をかけた側の質問には答えない、Google Play Cardで金銭を支払うよう促しつつ「パソコンのために（買う）というと税金がかかる、アプリのために買うと言ってください」と伝え、コンビニ店員による注意喚起を回避しようとするといった手口も確認できる。 関連記事 「ぎえ～！　お使いのP

ここ最近、日本企業へのランサムウェア攻撃が相次いでおり、攻撃者が手に入れた個人情報をダークウェブ上に公開する事例も増えている。 米Googleの「ダークウェブレポート」を使えば、自身のメールアドレスなどがダークウェブに流出していないかどうかを確認でき、自衛につなげることができる。

デジタル庁は6月21日、オンラインサービスの本人確認にマイナンバーカードのICチップを使えるようにする「デジタル認証アプリ」を発表した。24日に公開する。オンラインでの本人確認は、券面やカードの厚みを撮影して送る方法が一般的だが、手間がかかる上に偽造カードを利用されるリスクもあった。カード内のIC情報を使うことで、より正確な本人確認ができるようになる。 例えば、オンラインで銀行口座の開設や限定商品の販売、マッチングアプリなど本人であることが重要なサービスで、手軽かつ正確な本人確認が実現する。デジタル認証アプリに対応する無料のAPIも公開するので、これを組み込むことで、オンラインサービス側は強固な本人確認の仕組みを低コストで導入できるようになる。 すでに横浜市の子育て応援アプリ「パマトコ」や、三菱UFJ銀行の「スマート口座開設」での導入が予定されている。パマトコであれば、横浜市で子育てしてい

デジタル庁は6月21日、行政機関や民間企業が提供する各種Webサービスで利用できる本人確認アプリ「デジタル認証アプリ」の提供を6月24日から開始することを発表した。同庁と契約を締結した機関／企業が提供するWebサービスなどで利用可能で、認証時にはマイナンバーカード（個人番号カード）が必要となる（※1）。 なお、本アプリの利用を希望する機関／企業からの申請も6月24日から始まる。 （※1）提供開始時点ではAndroidスマートフォンの電子証明書には対応しない デジタル認証アプリの概要 デジタル認証アプリは、マイナンバーカードの「電子証明書」を活用した本人確認用アプリだ。行政機関や民間企業がWebサービスにおいてより簡便かつ厳格な本人確認を行えるようにすることで、安心／安全な社会の実現につなげることが目的だ。 本アプリは、あくまでもサービスの利用者（申し込み者）が本人であることを確認することが

カオナビ子会社で、3月に約15万人分のユーザー情報漏えいを発表したワークスタイルテック（東京都港区）は5月31日、漏えいした情報の中にクレジットカードやデビットカードの情報が含まれることを発表した。調査の結果詳細が分かったとして、当初発表した漏えい件数も変更した。 ワークスタイルテックは当初、労務管理クラウドサービス「WelcomeHR」について、サーバの設定ミスによりユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書（マイナンバーカード、運転免許証、パスポートなど）や履歴書の画像など16万2830人分の情報が2020年1月5日から24年3月22日にかけて外部から一時閲覧可能で、うち15万4650人分の情報が実際に第三者にダウンロードされたと発表していたが、これを修正。 正しくは、顧客がWelcomeHRを通してクラウドストレージにアップロードしていた身分証のPDF