京都大学は6月1日、同学大学院の工学研究科に所属する教職員のPC1台がマルウェアの「Emotet」に感染し、不審なメールを大量送信したとして謝罪した。メール内の添付ファイルやURLを開かないよう注意喚起している。 工学研究科のメールアドレス(~@***.kyoto-u.ac.jp)から不審なメールを送信していたが、すでにEmotetの駆除は完了し、メールの不正送信も停止している。 再発防止に向け、京都大学工学研究科は、全従業員に対してマルウェアに注意するよう呼び掛けるとともに再発防止の処置を講じるとしている。 関連記事 「Emotet」感染確認ツールに新たな検知手法 「EmoCheck v2.3」 JPCERT/CCがマルウェア「Emotet」の感染有無を確認するツール「EmoCheck」をアップデートし、新たな検知手法を追加した。 ランサムウェアの知識、古くなってない? 従来型とは別手法
酒造会社の日本盛(兵庫県西宮市)は10月25日、第三者による不正アクセスを受け、社内システムに障害が発生したと明らかにした。社内サーバがランサムウェアに感染していた。個人情報漏えいの有無は不明。 9月18日に、同社が利用しているデータセンターの管理会社から、サーバに不具合があるとの報告を受けた。社内で調査したところサーバがランサムウェアに感染していたことが分かった。 事態を受け、日本盛は9月19日に所轄警察署に被害を申告。20日には個人情報保護委員会に報告し、第三者機関での調査も始めた。 攻撃者は日本盛が導入していたSSL VPN機器の脆弱性を悪用して社内システムに侵入したとみられる。侵入後、ランサムウェアを設置して保存されていたデータを暗号化。社内システムに障害が発生した。 日本盛は障害の影響で、通信販売の商品の発送を一時見合わせた。現在は、問題となったVPNの利用を停止し、情報セキュリ
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。 複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていった
2023年1月13日、Gen Digitalよりリスト型攻撃によりアカウントが不正ログインされた可能性を知らせるアナウンスが利用者へ行われているとBleeping Computerが報じました。同社のパスワードマネージャーを利用している場合は影響を受ける恐れがあるとして注意が呼び掛けられています。ここでは関連する情報をまとめます。 侵害開始10日超で事態把握 既に外部へ流出している認証情報を使用するリスト型攻撃を行うことでNortonアカウントへの不正ログインが行われた。Bleeping Computerによれば、Gen Digitalは攻撃の標的となった可能性のある925,000件のNortonアカウント(非アクティブなものを含む)に対してパスワードリセットや追加的なセキュリティの対策といった保護措置を講じたとしている。*1 顧客宛に通知された内容によれば、Gen Digitalが攻撃に
MicrosoftのAI研究部門が2020年7月にオープンソースのAI学習モデルをGitHubのリポジトリに公開した際に38TBにおよぶ機密データを漏えいしていたことを、クラウドセキュリティ企業のWizが公表しました。機密データにはパスワードや秘密鍵、3万件を超えるMicrosoft Teamsの内部メッセージが含まれていました。 38TB of data accidentally exposed by Microsoft AI researchers | Wiz Blog https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers Microsoft mitigated exposure of internal information in a
なぜ被害公表時に原因を明示するのか/しないのか~個別被害公表と事案全体のコーディネーションの観点から~ - JPCERT/CC Eyes
はじめに 複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害公表がなされていますが、報道やSNS上では、どの製品の脆弱性が原因なのか明かされないことへの疑問などが指摘されています。悪用された脆弱性に関する情報の被害公表時の取り扱いは、サイバー攻撃被害に係る情報の共有・公表ガイダンス[1]検討会(事務局:NISC、警察庁、総務省、経済産業省、JPCERT/CC)で議論され、同ガイダンスにて示されています。あらためて、個別の被害公表時の扱い方と、複数組織がいる場合の全体のコーディネーションについて解説します。 ※なお、公表のあった事案の詳細は不明ですが、現時点において関連する被害公表がなされた事案について弊センターは関与していないため、本稿については個別のインシデント対応に係る守秘義務契約等になんら影響するものではない点を記しておきます。 原因となった製品の脆弱性に関
Twitterの脆弱(ぜいじゃく)性を突いて盗み出したとされる4億人分のユーザーデータを、Ryushiと名乗るハッカーが売り出そうとしていることが分かりました。RyushiはTwitterやイーロン・マスクCEOを相手取ってデータの購入を迫り、「EUの一般データ保護規則(GDPR)による多額の罰金を食らう前に即刻購入せよ」と要求しています。 Hacker claims to be selling Twitter data of 400 million users https://www.bleepingcomputer.com/news/security/hacker-claims-to-be-selling-twitter-data-of-400-million-users/ ハッカーフォーラムに投稿されたRyushiの声明によると、Ryushiはメールアドレスや名前、電話番号などの非公
2億件を超えるTwitterアカウントのメールアドレスなどを含む個人情報がハッカーフォーラムでわずか2ドルで販売されている
2億件超のTwitterアカウントの電子メールアドレスなどを含む個人情報が流出し、ハッカーフォーラムでわずか2ドル(約260円)で販売されていることが明らかとなりました。一連のデータは2021年の時点で、TwitterのAPIの脆弱(ぜいじゃく)性を悪用して盗み出されていたとみられています。 200 million Twitter users' email addresses allegedly leaked online https://www.bleepingcomputer.com/news/security/200-million-twitter-users-email-addresses-allegedly-leaked-online/ Twitter leak of email addresses totals at least 200 million - The Washin
クラウド環境構築などを手掛けるネットワンシステムズ(東京都千代田区)は7月24日、東京都葛飾区立小中学校で個人情報の漏えいがあったとして謝罪した。葛飾区で使っていたID連携システムに個人情報が混入したことと、そのID連携システムを別の教育委員会などに流用したことが原因としている。 漏えいした情報は学校名、生徒管理コード、学籍、氏名、性別、生年月日、国籍、転入編入に関する情報など2万3508件。データは削除済みで、不正利用などの事実は確認されていないとしている。 ネットワンシステムズは葛飾区から学校教育総合システムを受託したベンダー。同システムの中のID連携システムは教育支援業のチエル(品川区)が担当していた。 チエルは2021年1月にID連携システムのメンテナンスを実施。その際に個人情報を含むファイルが修正プログラムの中に混入したが、同社は気付かずに修正プログラムを持ち帰ったという。 修正
パスワード管理ツール「LastPass」開発の親会社であるGoToが、顧客データの暗号化済みバックアップを保存したクラウドストレージへの不正アクセスが2022年11月に発生した件について、この不正アクセスでリモートコンピューター管理ソフトのLogMeIn CentralやLogMeIn Proなどの顧客データの一部がやはり盗み出されていたと発表しました。 Our Response to a Recent Security Incident- GoTo https://www.goto.com/blog/our-response-to-a-recent-security-incident GoTo says hackers stole customers' backups and encryption key https://www.bleepingcomputer.com/news/sec
ブラザー工業傘下のブラザー販売は、ブラザー製品のユーザー向け会員制サイト「ブラザーオンライン」が悪意のある第三者から不正ログインを受けたと発表した。犯人は、ユーザーが保有する「トク刷るポイント」を不正利用した可能性がある他、顧客の登録情報を閲覧した可能性があるという。 犯人は、何らかの方法で入手したユーザーIDとパスワードの組み合わせを利用し、不正なログインを試みたみられる。 被害アカウント数は最大12万6676件。第三者に閲覧された可能性があるのは、顧客の氏名、生年、メールアドレス、電話番号、法人情報(法人として登録した場合)と、任意で登録された住所、携帯電話番号、FAX番号、性別、プロフィール画像。 また、最大683件で、独自のポイント「トク刷るポイント」最大40万4900円相当が、換金性の高い別のポイントに交換され、取得された可能性があるという。 5月6日に不正ログインが判明し、ブラ
経済産業省は3月27日、アクセンチュアに運用・保守を委託している「産業保安システム」で情報が漏えいした可能性があるとして謝罪した。事業者が同システムを利用した際の手続き履歴に関する情報が第三者から閲覧できる状態になっていた。 産業保安システムは産業保安・製品安全法令に関する手続きをするためのオンライン申請システム。アクセンチュアが実施した改修作業で不備があり、約7000件の提出者名や、法人名、提出日、事業場番号、受理番号などの情報が10時間にわたり公開されていた。 経済産業省はアクセンチュアに対し、該当の期間にシステムを利用した150人に対し、謝罪と経緯説明をするとともに、公開されていた情報を見ていないか確認した上で削除を求めるように指導した。 関連記事 Microsoftの純正スクショツールにも情報漏えいの脆弱性 パッチ公開 MicrosoftはWindowsの純正スクリーンショットツー
足立区は5月1日、マイナンバーカードを使ってコンビニのマルチコピー機で住民票の写しを発行できるサービスで2件の誤交付があり、4人分の個人情報が漏えいしたと発表した。 3月28日に横浜市で発覚した住民票の誤交付を受け、システムを構築した富士通Japanが総点検を行ったところ、申請した区民とは別の人の証明書が発行される可能性のあるプログラムを4月21日に発見した。横浜市の誤交付の原因になったものとは別のプログラムだった。 その後、現在のシステムに変わった1月4日以降のデータを調査したところ、2件の証明書誤交付が判明した。 足立区によると、区の住民記録システムとコンビニ交付システムは個別に住民票データを保持していて、異動があると住民記録システムのデータベースからコンビニ交付システムへ情報を随時反映する仕組みだという。 しかし反映の処理中に2件以上のコンビニ交付の印刷が実行され、不具合が発生。コン
武田圭史 » 米国・韓国へのDDoS攻撃と北朝鮮
NHKのラジオで話した内容+αをせっかくなので関連資料とともに簡単にまとめておく。 【状況】 米国独立記念日の7/4頃より米国および韓国の政府機関、銀行、著名サイト等に対して大量の通信による分散型サービス妨害攻撃(DDoS攻撃)が発生、現在にいたるまで断続的に攻撃の通信が発生しているが特に7/7から9にかけて多くのサイトが過負荷によりサービス不能の状態に陥った模様 【参考】 ■米韓の政府系サイトなどにDDoS攻撃が発生(ITmedia, 2009/07/09) http://www.itmedia.co.jp/enterprise/articles/0907/09/news014.html ■米韓へのサイバー攻撃やまず 韓国で3回目の攻撃(NIKKEI NET, 2009/07/09) http://www.nikkei.co.jp/news/main/im20090709IMC79001
クラシエホールディングスは2月9日、同社グループで管理しているPCの一部が、メールを介して広まるマルウェア「Emotet」に感染したと発表した。グループ社員の従業員を装った成り済ましメールが、同日までに顧客や関係者へ送信されていたことが分かったという。 Emotetは、メールの添付ファイルやリンクを開くことで感染するマルウェア。感染すると、メールアドレスやメールの内容、Webブラウザに保存したID・パスワードなどを盗み取られたり、新たな成り済ましメールを勝手に送信し、被害を広げたりする。 通常、クラシエグループでは「○○@kracie.co.jp」を使っているが、Emotetに起因する成り済ましメールは別のアドレスから送られてくるという。ただし、送信者には同社グループの従業員の名前が使われており、添付ファイルを開くとEmotetに感染する可能性があることから、同社はメールを受け取ってもファ
月桂冠は5月26日、ランサムウェア被害を受け、ECサイトユーザーや取引先、従業員などの個人情報が合計約2万7700件流出した可能性があると発表した。 流出した可能性があるのは、同社ECサイトのユーザーや従業員、株主、採用選考参加者などの氏名、住所、電話番号と、取引先企業の社名、住所、電話番号など合計約2万7700件。 同社では4月2日に、同社のサーバが不正アクセスを受け社内システムに障害が発生。3日には被害拡大を防ぐため、サーバの停止とネットワークの遮断を実施した。4日には京都府警に相談し、5日には個人情報保護委員会に届け出た。 専門家との調査の結果、ランサムウェアによりデータが暗号化されていたことが分かった。インターネット回線に接続していたネットワーク機器の脆弱性を悪用された可能性が高いという。 今後は被害状況や原因の調査を継続するとともに、情報セキュリティ対策や監視体制の強化などを進め
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます PayPalが米国時間1月18日にメイン州の規制当局に届け出たところによると、2022年12月にクレデンシャルスタッフィング攻撃を受けた結果、同社のユーザー約3万5000人分の社会保障番号(SSN)をはじめとする個人情報が流出したという。 提出された報告文書によると、PayPalは12月6~8日に攻撃を受け、その発覚は20日だったという。窃取された可能性があるのは、SSNのほか、ユーザー名や住所、生年月日、個人用納税者番号だ。 同社によると、金融情報の盗難や、顧客のアカウントの悪用があった痕跡はないという。また、同社決済システムへの影響もないとされている。 PayPalは1月19日、米CNETに向けた声明で、影響を受けた顧客に連絡し、個
テスラの元従業員2人が、テスラの従業員7万5000人分の個人情報を含む機密情報をドイツのメディアに不正に引き渡したと、テスラが発表しました。 Office of the Maine AG: Consumer Protection: Privacy, Identity Theft and Data Security Breaches https://apps.web.maine.gov/online/aeviewer/ME/40/014ae6db-4cb7-464b-b827-5d73f0bbc911.shtml Tesla says data breach impacting 75,000 employees was an insider job | TechCrunch https://techcrunch.com/2023/08/21/tesla-breach-employee-ins
クラウドストレージサービスのDropboxが、フィッシングによりGitHubに保存されているコードの一部を盗み出されたことを公表しました。Dropboxによると、今回のデータ侵害によるユーザーの個人情報の流出は一切なく、流出したコードはDropboxのコアアプリおよびインフラストラクチャに影響を及ぼすものではないと説明しています。 How we handled a recent phishing incident that targeted Dropbox - Dropbox https://dropbox.tech/security/a-recent-phishing-campaign-targeting-dropbox Dropbox discloses breach after hacker stole 130 GitHub repositories https://www.blee
アフラック生命保険とチューリッヒ保険は、業務委託先で個人情報が合計約200万人分が流出したと発表した。不正アクセスで盗まれたとみられる情報が外部サイトに掲載されているのが見つかったという。 アフラック生命保険とチューリッヒ保険は1月10日、業務委託先で個人情報が合計で約200万人分流出したと明らかにし、謝罪した。不正アクセスで盗まれたとみられる情報が外部サイトに掲載されているのが見つかった。一部報道によると2社は米国の同じ事業者に業務を委託していたという。 流出したのは保険加入者の姓(名前は含まない)、性別、証券番号、契約情報、保障額、保険料など。流出した情報の量は、アフラック生命保険が132万3468人分、チューリッヒ保険が75万7463人分。アフラック生命保険は「掲載された情報のみで個人を特定することはできない」としている。 アフラック生命保険によると、流出元の委託先は同社から個人情報
日清紡グループで紳士シャツの販売などを手掛ける東京シャツ(東京都台東区)は6月7日、同社が運営するECサイト「東京シャツ公式オーダーサイト」が不正アクセスを受け、セキュリティコードを含むクレジットカード情報など計2218人分が漏えいした可能性があると発表した。ECサイトの脆弱性を突かれ、利用していたWebアプリを改ざんされたという。 漏えいした可能性があるのは、(1)2019年4月2日から22年3月8日にかけ、ECサイトにクレジットカード情報を入力した人のカード番号、名義人、有効期限、セキュリティコード、IPアドレス、氏名、住所、メールアドレスなど991人分、(2)19年4月2日から22年5月26日にかけてECサイトに登録した人の氏名や生年月日など33人分、(3)21年10月1日から22年3月8日にかけて、東京シャツの店舗にあるタブレット端末からシャツを注文した人の氏名や住所、メールアドレ
全日本スキー連盟は10月4日、クラウド型会員管理サービスなどを手掛けるしゅくみねっと(東京都目黒区)のシステムで管理していた会員情報11万件超について、権限のない会員が閲覧できる状態になっていたと発表した。一部の情報は権限を持たない会員が閲覧したという。問題はすでに修正済み。 原因は、全日本スキー連盟に加盟するクラブ・団体の管理者向け検索機能の不具合。日付から会員を検索するとき、カレンダーで選択できる「西暦/月/日」以外の値を入力して検索すると、本来その管理者が見られないものも含め、全ての情報を閲覧できたという。 「検索条件の入力値にエラーがあった場合、本来であれば管理配下の会員のみを表示対象とした上でエラーメッセージ出すところ、プログラムに誤りがあり、無条件での検索を行うよう設定されてしまっていた」(しゅくみねっと)という。その情報をCSVファイル化してダウンロードすることも可能だった。
世界有数の自動車メーカーであるトヨタグループの金融事業を統括するトヨタファイナンシャルサービスが、ランサムウェアグループ「Medusa」による攻撃を受け、ヨーロッパとアフリカの一部のシステムで不正アクセスが検出されたことを認めました。日本の組織や企業がランサムウェア攻撃を受ける事例は増えつつあります。 Toyota confirms breach after Medusa ransomware threatens to leak data https://www.bleepingcomputer.com/news/security/toyota-confirms-breach-after-medusa-ransomware-threatens-to-leak-data/ Toyota recovering from cyberattack on its financial services
マイナビ(東京都千代田区)は4月26日、自社で運営するIT・テクノロジー情報サイト「TECH+(テックプラス)において、過去のセミナーに参加した1210人分の個人情報が、およそ3年にわたり検索エンジンを介して閲覧できる状態になっていたと発表した。 過去のセミナーに登録した人の個人情報を含むデータを使って企画資料を作成したところ、一定の操作を行うと個人情報が閲覧できる状態になっていた。さらにこの資料をCRM(Customer Relationship Management)システムで営業代理店などに提供した際、設定の誤りから検索エンジンを介して閲覧できる状態になった。 個人情報は2019年11月と22年12月に開催したセミナーの参加登録者、合わせて1210人分。名前やメールアドレス、勤務先情報の他、職位や業務遂行立場なども含まれていた。 資料は20年3月から顧客企業や代理店に提供していた。検
讀賣テレビ放送(大阪市中央区、以下読売テレビ)は12月12日、同社番組スタッフが放送前の映像素材が入った記録媒体を紛失したと発表した。紛失したのは10日。記録媒体が入ったカバンごと電車内で紛失した。番組スタッフは電車内で居眠りをしており、その間に盗難に遭った可能性が高いとしている。 紛失した記録媒体は、番組スタッフが個人所有していたもので、ロックはかかっていなかった。記録媒体の中には、放送前を含む複数の番組のロケ取材やスタジオ収録した映像素材を収録していた。同社では番組映像素材を社外に持ち出す際、私物の記録媒体の使用を禁止していたが、このルールが守られていなかった。 記録媒体に含まれていたのは以下の映像素材 「大阪ほんわかテレビ」のロケ素材とスタジオ収録素材 「ベストヒット歌謡祭直前バズリ動画で徹底解剖SP」のスタジオ収録素材、MV素材 「カミオト-上方音祭-2022」のロケ素材 同社は「
PCメーカーのMSIが2023年4月、サイバー攻撃集団・Money Messageのサイバー攻撃を受けた件で、身代金の支払いが行われなかったため、Money Messageが盗み出したファイルを公開サーバーに掲載しました。中には、MSIのファームウェアに関する秘密鍵のほか、Intel Boot Guardの秘密鍵も含まれていて、専門家からはエコシステム全体に影響を与えるものだと指摘されています。 Hackers Leak Private Keys for MSI Products, Making It Easier to Attack Them | PCMag https://www.pcmag.com/news/hackers-leak-private-keys-for-msi-products-making-it-easier-to-attack-them MSI Breach Lea
英語技能試験「TOEIC」を実施する国際ビジネスコミュニケーション協会は1月11日、TOEIC申し込みサイトにおいて不正アクセスが発生したと明らかにした。会員の氏名や住所、メールアドレスなどが閲覧された可能性がある。 不正アクセスは8日から発生。漏えいした可能性があるのは、会員の氏名、生年月日、性別、住所、電話番号、メールアドレス。会員によっては出身国や母国語、秘密の質問と回答を閲覧された可能性もある。申し込み履歴やテスト結果、クレジットカード情報などは漏えいしていないとしている。 不正アクセスされた可能性があるアカウントは利用停止の上、対象の会員には個別に連絡。同協会は会員に対し、申し込みサイトでパスワードを変更するよう呼び掛けている。 関連記事 「日本の英語学習は非効率」 アイスランド人が日本向け英語学習システムを作ったワケ 「TOEIC」に特化した英語学習システム「cooori」では
近年は多くの企業がデータの保管やサービスの提供にクラウドホスティングサービスを利用しており、「データはクラウドで保管しているから安心」と思っている管理者も多いはず。ところが、デンマークのクラウドホスティング企業であるCloudNordicは2023年8月、「ランサムウェアによってほぼすべての顧客のデータが暗号化され、アクセスできなくなってしまった」と報告しました。 CloudNordic Ransomware Angreb https://www.cloudnordic.com/ Ransomware infection wipes all CloudNordic servers • The Register https://www.theregister.com/2023/08/23/ransomware_wipes_cloudnordic/ Danish cloud host says
マザーボード、グラフィックカード、デスクトップPC、ノートPC、サーバー、産業用システム、PC周辺機器、インフォテインメント製品などの製造・販売を行い、年間売上高が65億ドル(約8600億円)を超える世界的なハードウェアメーカーのMSIが、サイバー攻撃を受けたと公表しました。 MSI Confirms Cyberattack, Advises Caution With Firmware | Tom's Hardware https://www.tomshardware.com/news/msi-cyberattack-firmware-updates 2023年4月7日、MSIが公式サイト上で声明を発表し、サイバー攻撃を受けたことを明かしました。MSIによると、同社の情報システムの一部がサイバー攻撃を受けたそうです。ネットワークの異常を検出した情報部門は、関連する防御メカニズムを迅速に起動
「Alphv」あるいは「BlackCat」という名前で知られるランサムウェアグループが、金融機関・消費者向けのデータ企業であるMeridianLinkの顧客データと運用情報を盗み出し、身代金を要求しました。さらに、MeridianLinkがランサムウェアにデータを乗っ取られた事実を公表しなかったとして、アメリカ証券取引委員会(SEC)に苦情を申し立てました。 Ransomware Group Files SEC Complaint Over Victim's Failure to Disclose Data Breach - SecurityWeek https://www.securityweek.com/ransomware-group-files-sec-complaint-over-victims-failure-to-disclose-data-breach/ AlphV fil
愛知県は2月10日、PCR検査のデータを管理しているシステムにランサムウェア攻撃を受けたと発表した。個人情報漏えいなどの二次的被害はないとしている。 システムには、保健所の検査を受けた濃厚接触者の氏名や年齢、検査結果など約4万3000件分が記録されている。県職員が5日に同システムを立ち上げたところ、画面に英語が表記され、使用できない状態になっていたという。県が調査したところ、県が管理するサーバに不正アクセスがあったことが分かった。 県は「この攻撃に対する要求には応じず、引き続き、関係機関と連携しながら適切に対応する」とコメント。現在、攻撃を受けたサーバは、外部からアクセスできないように停止済み。システムの代替として電子メールを使い、PCR検査は継続する。 朝日新聞の報道によると、攻撃者はシステム復旧と引き換えにビットコインを支払うように要求。支払いが遅れるほど身代金が上がるとしているという
Data Compromise=情報流出は正解か
ITmediaで海外情報を長年翻訳している鈴木聖子さんが、IT関連記事に登場する英文の中からよく見かける単語や気になった表現について紹介するコーナー。第3回は「compromise」について。 民間企業や自治体、政府機関などから個人情報や顧客情報が流出する被害が後を絶たない。世界一守りが固そうなイメージの米国土安全保障省さえも、例外ではなかったらしい。 U.S. Customs and Border Protection officials said Monday that photos of travelers had been compromised as part of a “malicious cyberattack,” (Washington Postより) 米国境取締局(CBP)は月曜、渡航者の写真が「悪質なサイバー攻撃」に遭って流出したことを明らかにした。 サイバーセキュリテ
生成AIの利用が急増している。しかし、依然として生成AIに関する懸念はつきまとっており、生産性を改善しつつリスクをどう下げるのかが多くの企業のトピックとなっている。特に注目される「情報漏えい」をどう防ぐのか。続々と登場する新ソリューションを紹介しよう。 バークリー音大提携校で2年間ジャズ/音楽理論を学ぶ。その後、通訳・翻訳者を経て24歳で大学入学。学部では国際関係、修士では英大学院で経済・政治・哲学を専攻。国内コンサルティング会社、シンガポールの日系通信社を経てLivit参画。興味分野は、メディアテクノロジーの進化と社会変化。2014〜15年頃テックメディアの立ち上げにあたり、ドローンの可能性を模索。ドローンレース・ドバイ世界大会に選手として出場。現在、音楽制作ソフト、3Dソフト、ゲームエンジンを活用した「リアルタイム・プロダクション」の実験的取り組みでVRコンテンツを制作、英語圏の視聴者
Web制作ツールの開発を手掛けるショーケース(東京都港区)は10月25日、同社のクラウドサービスが第三者の不正アクセスにより改ざんされたと明らかにした。利用するWebサイトで、ユーザーの入力した情報が外部に流出した可能性がある。 7月26日に取引先から、入力フォームの操作性向上ツール「フォームアシスト」のソースコードに不審な記述があると指摘を受けて調査。同ツールの他、マーケティングツール「サイト・パーソナライザ」、スマートフォン版サイト作成ツール「スマートフォン・コンバータ」で改ざんが見つかった。 ソースコードは修正済み。再発防止策も講じているという。流出の恐れがある企業には対象となる情報や期間を連絡した。所轄の警察署にも被害申告をしており、今後の調査にも協力するとしている。 関連記事 日清紡Gでもセキュリティコードなどクレカ情報1000件漏えいか ECサイト改ざんで 日清紡のグループ企業
群馬県は5月23日、委託業務の書類提出などに使っている事務システムにプログラムミスがあり、利用者情報約3000件が流出した可能性があると明らかにした。 問題が判明したのは、工事などの委託業務の書類提出や確認ができる「ぐんま電子納品システム」。20日に、保守運用を担当するNECから、プログラムミスにより工事などの委託先業者がシステム利用者の情報をダウンロードできる状態になっていたとの報告があったという。 情報をダウンロードした利用者は26人。流出した情報はユーザーIDと氏名、メールアドレス、会社名、最終ログイン日など3003件。 県はシステム利用者に対して、ダウンロード操作の停止、ダウンロードした情報の削除、ユーザーIDの変更を求めると同時に、原因の究明とプログラムの改修を依頼している。 関連記事 学生の顔写真や評価など、個人情報約5800人分漏えいの可能性でエイチームが謝罪 「リンクを知っ
カシオ計算機は10月18日、教育アプリ「ClassPad.net」ユーザーの個人情報12万件超が漏えいした可能性があると発表した。開発環境のデータベースが「システムの誤操作、及び、不十分な運用管理により、ネットワークセキュリティ設定の一部が解除状態だった」(同社)ことから、不正アクセスを受けたという。 ClassPad.netは学生だけでなく学校教員も使える点が特徴のPC・スマートフォン・タブレット端末向け教育アプリ。教材を使った勉強に使える他、教員は複数の学生の回答を一覧で確認できる。漏えいした可能性があるのは、ユーザーの氏名、メールアドレス、学校名、学年、学級名、出席番号、注文明細、決済手段、サービスの利用履歴やニックネームなど12万6970件。このうち9万1921件は国内の個人もしくは1108の教育機関のもので、残り3万5049件は海外ユーザーの情報という。いずれもクレジットカード情
パスワード管理ツールを手掛けるカナダの1Passwordは10月23日(現地時間)、自社の従業員向けアプリの管理に使っている米Oktaのツールで不審なアクティビティが検出されたが、ユーザーデータやその他の機密システムが侵害されていないと判明したと発表した。 Oktaは20日、サイバー攻撃者が盗んだ認証情報を使ってサポートケース管理システムに侵入したと発表している。 1Passwordは23日に公開した報告書(PDF)で、攻撃者は盗んだセッションcookieを使ってOktaテナントに侵入したとしている。攻撃者は管理者アカウントを侵害し、認証フローを操作し、組織内のユーザーになりすますためのセカンダリIDプロバイダーを確立しようとしたことが確認されたという。 1Passwordは9月29日にこの侵害を検知し、Oktaと協力して侵害の特定に努め、10月20日に確認した。その後、従業員の資格情報を
個人情報保護委員会は7月12日、5月に発生したトヨタ自動車における個人情報漏えいについて行政指導したと発表した。「研修が不十分だった」「個人情報として認識していなかった」「取り扱い状況を把握していなかった」などと指摘している。 トヨタ自動車はユーザー向けサービスの個人情報の取り扱いを子会社のトヨタコネクティッドに委託していた。しかし、トヨタコネクティッドでクラウド環境の誤設定があり、約10年間にわたり外部から個人情報を閲覧できる状態になっていた。 漏えいしたと考えられるのは、車載器のID、車台番号、車両の位置情報、更新用地図情報など230万人分。トヨタ自動車は5月、情報漏えい事案について報告した際に、これらの情報のみでは顧客の特定はできず、車両へのアクセスに使うこともできないとしていた。 個人情報保護委員会は「個人情報を保存するサーバのクラウド環境設定を行う従業員に対する研修内容が不十分だ
11月7日に開かれたNTTの2023年度第2四半期決算会見では、NTT西日本グループ企業で発生した情報漏えいに関する質問が記者から飛び出した。これに対し同社の島田社長は「誠に申し訳ない」と謝罪。社内で定められた情報管理に関するルールの再確認と恒久的な対策の実施を明言した。 この漏えい問題はNTTマーケティングアクトProCXが発表したもので、コールセンター用システムの運用保守を依頼していたNTTビジネスソリューションズの元派遣社員が、クライアントから預かっていた顧客情報900万件を不正に持ち出していたとされている。これにより、NTTドコモなどのグループ企業やWOWOW、福岡県といった自治体の情報にも影響が出たことが分かっている。 テレマーケティング業務を委託されたNTTマーケティングアクトProCXは、NTTビジネスソリューションズ(NTT BS)のコールセンターシステムを利用。情報漏えい
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
京大大学院のPCがEmotetに感染 不審メールを大量送信
酒造会社にランサム攻撃 VPN機器の脆弱性を悪用 商品発送が一時見合わせに
Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大したという話 | スラド IT
Nortonアカウントへのリスト型攻撃についてまとめてみた - piyolog
MicrosoftのAI研究部門がMicrosoft Azure経由で38TBもの内部機密データを漏えいしていたと判明
ハッカー「Ryushi」が4億以上のTwitterアカウントの個人情報削除と引き換えに20万ドルを要求、自衛方法はコレ
葛飾区で小中学生の個人情報が漏えい データが混入したシステムを別案件で流用
LastPass親会社が不正アクセスで顧客データの一部を盗み出されていたことを認める
「ブラザーオンライン」に不正ログイン 最大12万件の個人情報・40万円相当のポイント流出した可能性
経産省で情報漏えいの可能性 情報が外部から閲覧できる状態に システム改修で不備
コンビニ交付システムによる情報漏えい、足立区でも2件確認 ただし原因は「別のプログラム」
クラシエ、マルウェア「Emotet」に感染 ライオンや積水ハウスに続き
月桂冠がランサムウェア被害に 関係者の個人情報など約2.77万件が流出した可能性も
PayPal、サイバー攻撃で3万5000人分の個人情報が流出
テスラから7万5000人分以上の個人情報が流出、テスラは元従業員2人の犯行と断定
Dropboxが130のGitHubリポジトリからコードを盗まれた被害を公表
大手保険2社で計200万件の情報漏えい、アフラックとチューリッヒ 委託企業に不正アクセス
日清紡Gでもセキュリティコードなどクレカ情報1000件漏えいか ECサイト改ざんで
全日本スキー連盟、権限のない会員が全会員の個人情報を閲覧できる状態に 管理システムに不具合
トヨタがランサムウェアグループ「Medusa」の攻撃を受けデータ漏えいしたことを認める
「日本の重要インフラに影響を及ぼした」〜名古屋港へのランサムウェア攻撃をトレンドマイクロが解説
マイナビ「TECH+」で個人情報漏えいの可能性 セミナー参加者1210人分
読売テレビ、記録媒体を紛失 番組スタッフが電車で居眠り、その間に盗難か 放送前の映像素材などを収録
Intel Boot Guardの秘密鍵など1.5TBの機密ファイルがMSIへのハッキングで流出
TOEIC申し込みサイトで情報漏えいか 不正アクセス被害で パスワード更新呼び掛け
ランサムウェアの被害を受けたクラウドホスティングサービスが「ほぼすべてのデータ」を失ってしまったと報告
MSIがサイバー攻撃の被害を公表、公式はファームウェアおよびBIOSのアップデートについて警告
企業のデータを盗んだサイバー犯罪集団が被害企業を「データの盗難を公表しなかった」と証券取引委員会に告発
愛知県PCR検査システムにランサムウェア攻撃 個人情報漏えいなど二次被害はなし
ChatGPTの情報漏えいをどう防げばいいのか? 続々登場する新ソリューションの仕組み
Web制作サービスが改ざん被害に 利用したサイトで情報流出の恐れ
群馬県の事務システムにプログラムミス 利用事業者情報3003件流出か
カシオの教育アプリに不正アクセス 個人情報など12万件超漏えいの可能性
1PasswordにOkta悪用のサイバー攻撃 「ユーザーデータなどは侵害されていない」
個人情報委、トヨタ情報漏えい事案で行政指導 「個人情報と認識していなかった」と指摘
USBメモリーは原則禁止→全面禁止に NTT西子会社の情報漏えいで、NTT島田社長が表明