タリーズコーヒージャパンは、同社のECサイトを利用したユーザーのクレジットカード情報が5万件以上漏えいした可能性があるとして謝罪しました。 タリーズECサイトでクレカ情報漏えいか(画像はタリーズ公式サイトより) 個人情報の流出可能性も 漏えいした可能性があるのは、2021年7月20日~2024年5月20日に「タリーズ オンラインストア」でクレジットカード決済をした5万2958人の「クレジットカード番号」「カード名義人名」「有効期限」「セキュリティコード」。 また2020年10月1日~2024年5月23日に会員登録をした9万2685人の名前や住所、ログインIDやログインパスワードなどの個人情報も漏えいした可能性があるとしています。 原因は「オンラインストアのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」と説明。上記に該当
【重要】弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告 |TULLY'S COFFEE - タリーズコーヒー
【重要】弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告 弊社が運営する「タリーズ オンラインストア(通信販売サイト)」におきまして、第三者による不正アクセスを受けたことを、5月30日に「不正アクセスによるシステム侵害発生のお詫びとお知らせ」として公表いたしました。このたび、第三者調査機関による調査の結果、お客様の個人情報(92,685件)、内クレジットカード情報(52,958件)が漏洩した可能性があることが判明いたしました。 お客様をはじめ、関係者の皆様に多大なるご迷惑及びご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 なお、個人情報及びクレジットカード情報が漏洩した可能性のあるお客様には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。また、電子メールが届かなかったお客様には
JF全漁連の通販サイト「JFおさかなマルシェ ギョギョいち 本店」が不正アクセスを受け、クレジットカード情報やセキュリティコードなどが1万件以上が流出した可能性がある問題で、JF全漁連は10月3日、休止中の同サイトを7日に閉鎖すると発表した。 5月に警視庁からサイト改ざんの恐れについて連絡を受けてサイトを休止し、調査や対応を行っていた。扱っていた商品は、「JFおさかなマルシェ ギョギョいち JAタウン店」で引き続き購入できる。 JF全漁連の8月の発表によると、サイトを構築サービスのクロスサイトスクリプティング(XSS)脆弱性を突いた第三者による不正アクセスにより、不正ファイルが設置され、ペイメントアプリケーションが改ざんされたことが原因で、ユーザー情報が流出した可能性がある。 流出の可能性があるのは、会員登録したユーザー2万1728件の氏名、性別、生年月日、メールアドレス、郵便番号、住所、
はじめに GuardDuty Malware Protection for Amazon S3は何が嬉しいのか GuardDuty Malware Protection for Amazon S3のコスト GuardDuty Malware Protection for Amazon S3によるスキャンコスト オブジェクトタグの使用コスト S3 API コールのコスト GuardDuty Malware Protection for Amazon S3の運用する上で直面した課題と解決策 AWS Security Hubに統合されていないため、検知に気づきにくい パスを柔軟に指定してスキャンができない マルウェアが検知された場合の隔離機能がない GuardDuty Malware Protection for Amazon S3の制限内でスキャン・隔離・削除する場合 柔軟なパス指定をしてスキ
Attacking PHP - PHP
2008年にまつもとゆきひろ氏によって書かれたエッセイ。 Attacking PHP - Matzにっき(2008-01-26) PHPがいかに駄目な言語か、という話。 2024年にはどうか 以下の見解は@tadsanによる私見である。 いろんなものがfalseだったりするせいで、新たな比較演算子「===」が必要 その通り hashやlistがobjectが区別できない objectは当時から区別できるので、事実誤認では。 hash(PHPでは連想配列)とlistはPHP 8.1でarray_is_list()関数が追加されて標準関数で識別できるようになった それまでもユーザーランドの静的解析でlist型として慣習的に扱われていた PHP 8でも型宣言として扱えるわけではない オブジェクト指向機能が壊れている PHP 4時代のOOPは「壊れていた」かはともかく、一般的なOOP言語の振る舞い
生成AIを活用したシステム開発の現状と展望
Copyright (c) The Japan Research Institute, Limited 生成AIを活用したシステム開発 の現状と展望 - 生成AI時代を見据えたシステム開発に向けて - 株式会社日本総合研究所 先端技術ラボ 2024年09月30日 <本資料に関するお問い合わせ> 伊藤蓮(ito.ren@jri.co.jp) 近藤浩史(kondo.hirofumi@jri.co.jp) 本資料は、作成日時点で弊社が一般に信頼できると思われる資料に基づいて作成されたものですが、情報の正確性・完全性を弊社で保証するもので はありません。また、本資料の情報の内容は、経済情勢等の変化により変更されることがありますので、ご了承ください。本資料の情報に起因して閲覧者 及び第三者に損害が発生した場合でも、執筆者、執筆取材先及び弊社は一切責任を負わないものとします。本資料の著作権は株式会社日
Automatticから159名が退職、WP Engineとの係争が深刻化 – Capital P – WordPressメディア
WordPress共同創業者のマット・マレンウェグは10月3日づけで “Automattic Alignment” と題したブログ記事を公開、それによると159名がAutomatticを退職したようだ。これは現在WP Engineとの争いが発端で、マットの方針に同意しなかった職員が辞職したようである。この人数はAutomatticの全従業員の8.4%にあたる。 そして、日本人WordPressユーザーとしてややショッキングなのは、長年にわたって日本のWordPressコミュニティの発展に寄与してきた高野直子氏もその1名に含まれていたということである! 辞める理由ですが、簡潔に言うとすれば「最近の WP Engineとの対立の中でマット (Automattic CEO・WordPressプロジェクトリード) が下した戦略的決定に賛同できないため」です。 Naoko Takano 「Autom
Malwarebytesは9月27日(米国時間)、「Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes」において、起亜(KIA)が2013年以降に製造したほぼすべての自動車に脆弱性が存在したと報じた。この脆弱性を悪用されると、自動車の主要な機能を遠隔操作される可能性がある。 Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes 脆弱性の概要 この脆弱性はセキュリティ研究者のSam Curry氏によって発見された。脆弱性の詳細はSam Curry氏のWebページ「Hacking Ki
タリーズECサイトでクレカ情報5万件以上流出か 不正アクセスで……「深くお詫び」(ねとらぼ) - Yahoo!ニュース
タリーズコーヒージャパンは、同社のECサイトを利用したユーザーのクレジットカード情報が5万件以上漏えいした可能性があるとして謝罪しました。 【画像】情報漏えいした可能性があるタリーズの公式オンラインストア 個人情報の流出可能性も 漏えいした可能性があるのは、2021年7月20日~2024年5月20日に「タリーズ オンラインストア」でクレジットカード決済をした5万2958人の「クレジットカード番号」「カード名義人名」「有効期限」「セキュリティコード」。 また2020年10月1日~2024年5月23日に会員登録をした9万2685人の名前や住所、ログインIDやログインパスワードなどの個人情報も漏えいした可能性があるとしています。 原因は「オンラインストアのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」と説明。上記に該当する9
Part2で紹介したランサムウエア攻撃のフェーズごとに、攻撃者の動きを検知したり食い止めたりする様々な対策が考えられる。 例えば(1)侵入~(2)対策ソフトの無効化では、端末やネットワーク機器の脆弱性を速やかに塞いでいればリスクを大きく減らせる。(3)通信の永続化~(6)横展開のフェーズでは、端末やネットワークのログを収集・分析*1することで不審な通信を検出し、遮断できる可能性がある。(7)ADの乗っ取りには脆弱性の修正やアカウントの安全性を高めるツールを使う手などがある。 いずれもランサムウエア対策として有用で、網羅的に導入できれば理想的だ。ただ、方策1つを実施するだけでも運用の手間がかかり費用もかさむ。ひとり情シスをはじめ中小企業の現場には荷が重い。コスパが良い手段に絞って採用するのが現実的だろう。 リスクベースで守る 守る対象を絞る際は、リスクベースの脆弱性管理(Risk Based
【セキュリティ ニュース】400近いエプソン製プリンタやスキャナに脆弱性 - 管理者パスワードの設定を(1ページ目 / 全2ページ):Security NEXT
400近いセイコーエプソン製品に脆弱性が明らかとなった。初期設定を行わずにネットワークへ接続している場合、機器を乗っ取られるおそれがあるという。 複数の同社製品では、ブラウザより本体の設定を確認、変更できる「Web Config(Remote Manager)」機能が提供されているが、初期状態では管理者パスワードが未設定となっている脆弱性「CVE-2024-47295」が判明した。 初期設定を行わずにネットワークへ接続している場合、機器にネットワーク経由でアクセスできる攻撃者が任意のパスワードを設定し、管理者権限で操作を行うことが可能となる。 インクジェットプリンタ220モデル、レーザープリンタ58モデルをはじめ、ドットインパクトプリンタ、大判プリンタ、レシートプリンタ、スキャナ、ネットワークインターフェイスなど、あわせて393製品が脆弱性の影響を受けるという。 共通脆弱性評価システム「C
はじめに ついにLoggol(ロゴル)の正式版をリリースすることが出来ました。それに合わせてLoggolブログも開始です。まず最初の記事として、そもそも何故このサービスを作ったのかについて書いてみようと思います。理由は複数あり、それらが複合的に混ざることで実際のサービス化を決心しました。 1. WAFの技術を活かせる 私はLoggolの開発以前より、継続して2つのクラウド型のセキュリティサービスの開発・運用に携わってきました。1つはWAFであるScutum、もう1つは脆弱性検査ツールであるVAddyです。どちらもおかげさまで順調にユーザを獲得でき、軌道に乗っています。 前者はWAFなので、受け取ったHTTPリクエストのデータを見て、それが「攻撃かどうか」を判断するという部分がサービスの中核になります。これはソフトウェアによって瞬時に行われる処理であり、人が判断するヒマはありません。ウェブア
責任ある発信者であり続けるために。C++高橋晶氏が考える、お金と情報発信のリアルな関係性 2024年9月30日 C++ライブラリアン 高橋 晶 C++日本語リファレンスサイトcpprefjpを運営し、C++の最新情報を日本語で発信している。株式会社Preferred Networksに所属し、スーパーコンピュータのソフトウェア開発に携わっている。 著書として、『C++テンプレートテクニック』(SBクリエイティブ)、『C++ポケットリファレンス』(技術評論社)、『プログラミングの魔導書』(ロングゲート)。 X: @cpp_akira GitHub: faithandbrave こんにちは。プログラミング言語C++に関する日本語情報の発信をしている高橋 晶です。 私は長年に渡って、おもにプログラミング言語C++に関する最新情報を、日本語で発信しています。プログラミングまたはソフトウェア開発の情
匿名化ブラウザのはずのTor、実はユーザー特定されるらしい2024.10.03 15:0015,638 湯木進悟 ネットで悪いことしてもバレないはウソ…? インターネット上には、ダークウェブともいわれる闇の世界が広がっています。そこまでヤバい領域に踏み込まずとも、オンラインだったら身元を隠してできるかなってことに、つい人は手を出しがち。 しかしPCMagは、匿名化ブラウザともいわれる「Tor」のユーザーが、どんなふうに身バレしていたのかを報じました。 Torブラウザのユーザーの身元特定どうやら発端は、ドイツのNDRによる逮捕事件報道。児童ポルノに関連した捜査の一環で、警察はTorの複数ユーザーにターゲットを絞り、暗号化された通信の解析に成功。どこからTorユーザーがネットワークへ接続しているかを割り出して、逮捕にいたりました。 警察が用いた手法について、ドイツのハッキング集団のChaos
新規事業「toitta」で導入したGoogle Cloudのセキュリティ機能の紹介 - Hatena Developer Blog
toittaチームSREのid:cohalzです。 この記事は、はてなのSREが毎月交代で書いているSRE連載の9月号です。8月の記事はid:walnuts1018さんのはてなブログや GigaViewer で使われている画像変換プロキシを EC2 から EKS に移行しましたでした。 はてなでは2024年7月に生成AIを活用したtoittaというサービスをベータ版でリリースしました。現在正式リリースに向けて準備中で、無料トライアルも実施中です。 ja.toitta.com このサービスはビジネス向けのSaaSアプリケーションで、インフラはGoogle Cloud上に構築しています。 ユーザーの皆様に安心してサービスをお使いいただくために、どうやってセキュアなサービスにしていったのかを、toittaで利用しているGoogle Cloudのセキュリティ系のサービスと合わせて紹介していきます。
タリーズコーヒージャパンは10月3日、直営の通販サイト「タリーズ オンラインストア」が不正アクセスを受けてペイメントアプリが改ざんされ、ユーザーのIDやパスワード9万2685件が流出した可能性があると発表した。 うち、クレジットカード番号を登録していたユーザー5万2958件は、カード番号やセキュリティコードなども流出したおそれがあるという。 サイトのシステムの一部に脆弱性があり、第三者の不正アクセスを受けてペイメントアプリが改ざんされたことが原因。 流出した可能性がある個人情報は、2021年7月20日~2024年5月20日にタリーズ オンラインストアで会員登録した9万2685人の氏名、住所、電話番号、性別、生年月日、メールアドレス、ログインID、ログインパスワード、配送先情報。 また、2021年7月20日~2024年5月20日に同ストアでクレジットカード決済した5万2958人のクレジットカ
ぬかるみの世界 - 叡智の三猿
かっての同僚と有楽町にある「千房(ちぼう)」でお好み焼きを食べに行きました。 仕事で関わっていたのは20代の頃でした。30年以上前の出来事も鮮明な記憶があります。 いまでも交流の場あるのは、嬉しい限りです。 宴もラストになり、同僚が注文したのは「ぬかるみ焼き」です。 独特なネーミングですが、これは千房のメニュー表には載ってないお好み焼きです。 その正体は、ミックス焼きです。ただ、メニュー表にあるミックス焼きより、安価な価格設定になってます。 「ぬかるみ焼き」は、千房の裏メニューとして知られています。 誕生のきっかけは、かって笑福亭鶴瓶が出ていた深夜ラジオ番組(ぬかるみの世界)からのようです。 昭和時代に大阪に住んでない人にとっては、馴染みはないと思います。 わたしも東京の人間です。大阪でやっていた鶴瓶のラジオ番組は聞いたことはありません。 ただ、わたしは大阪に本社がある会社に10年勤めてい
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月30日、「JVNVU#95133448: 複数のセイコーエプソン製品のWeb Configにおける初期パスワードに関する脆弱性」において、セイコーエプソンの複数の製品に脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、リモートからデバイスを乗っ取られる可能性がある。 JVNVU#95133448: 複数のセイコーエプソン製品のWeb Configにおける初期パスワードに関する脆弱性 脆弱性に関する情報 脆弱性に関する情報は次のページにまとまっている。 プリンター、スキャナーおよびネットワークインターフェイス製品のWeb Configにおける脆弱性について|エプソン 脆弱性の情報(CVE)は次
今月より晴れて、情報処理安全確保支援士(登録番号028693)を名乗れるようになりました。昨年取った医療情報技師と合わせて、医療情報システムの情報処理安全についてのプロフェッショナルであることをある程度の説得力を持って説明できるようになったと考えています。 とはいえ資格をとったら急に仕事ができるようになるかというとンなわけないので、より複雑な課題解決ができるように継続して学んでいきます。とりあえず今日は、なぜセキュリティなのかと、今後の抱負をここにまとめておこうと考えた次第です。 なぜ今セキュリティなのか 私はいままでCDワークフロー改善であるとか、ログ管理含めた保守性であるとか、エンタープライズアプリケーションの性能改善であるとか、どちらかと言えばシステム実装に寄った非機能要件を多く見てきました。 一応OSSライセンスの管理やビルドスクリプト改善から発展して、OSS脆弱性への対応も経験し
継続的デプロイメントの継続的な学習 - Continuous Deployment の読書感想文 - じゃあ、おうちで学べる
自動化は私の忍耐力の限界を補完してくれます。 はじめに 本書「Continuous Deployment」は、継続的デプロイメントの実践に焦点を当てた包括的なガイドです。継続的デプロイメントは、ソフトウェアパイプラインを完全に自動化し、手動介入を必要としない手法です。この方法により、クオリティーゲートを通過したすべてのコードコミットが自動的に本番環境にデプロイされます。 私は、ソフトウェア開発の現場で、オンプレミスの手動デプロイから始まり、Makefileによる自動化、JenkinsやCircleCI、GitHub Actions、GitLab CI/CD、AWS CodePipeline、Cloud Build 、ArgoCD、PipeCDなど、様々なツールや手法を経験してきました。この過程で、継続的デプロイメントが開発プロセスを改善し、ビジネス価値を創出する様子を目の当たりにしました。
「セキュリティ若手の会」とは 「セキュリティ若手の会」とは、将来セキュリティエンジニアになりたい学生やセキュリティ業務に携わる若手セキュリティエンジニアたちが、セキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える場として交流・情報交換できるコミュニティです。 ※本コミュニティの概要は、トップページをご覧ください。 X: @sec_wakate 参加対象 若手セキュリティエンジニア(社会人):新卒1~3年目の方 学生:16歳以上の方 こんな方におすすめ セキュリティに興味があり、セキュリティエンジニアになりたいと思う学生 セキュリティに関する業務に携わっている若手セキュリティエンジニアで、セキュリティに興味ある学生や同世代のセキュリティエンジニアと交流したい方 セキュリティ技術に関する業務に興味がある方 幹部メンバー 佐田 淳史(さだ あつし) ユーザー企業で働く24卒
【セキュリティ ニュース】「PHP」にアップデート - 悪用済み脆弱性の修正をバイパスされる問題に対処(1ページ目 / 全1ページ):Security NEXT
PHPの開発チームは現地時間9月26日、セキュリティアップデートとなる「PHP 8.3.12」「同8.2.24」「同8.1.30」をリリースした。 これらアップデートでは、CVEベースで4件の脆弱性を解消した。なかでも「CVE-2024-4577」の修正をバイパスされ、パラメータを不正に挿入できる脆弱性「CVE-2024-8926」への対処も含まれる。 「CVE-2024-4577」はWindows版に影響があり、「CVE-2012-1823」の修正を回避されることに起因。6月にリリースされた「PHP 8.3.8」「同8.2.20」「同8.1.29」にて修正されていた。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル(Critical)」と高く、ウェブシェルの設置やランサムウェア「TellYouThePass」の感染活動に悪
関連キーワード セキュリティ | 脆弱性 | 資格 ハッカーは必ずしも“悪者”ではない。攻撃者の目線でシステムのセキュリティの弱点を洗い出し、組織を攻撃から守る「ホワイトハッカー」(倫理的ハッカー)もいる。セキュリティ分野でのキャリア構築を目指すなら、ホワイトハッカーになるのも一つの手だ。セキュリティの認定資格を取得することは、ホワイトハッカーへの第一歩になる。本稿は厳選したホワイトハッカー認定資格5選のうち、4つ目と5つ目を紹介する。 ホワイトハッカー認定資格5選 併せて読みたいお薦め記事 連載:「ホワイトハッカー」認定資格5選 前編:ホワイトハッカーとして活躍できる「セキュリティ認定資格」はこれだ 今、注目の「セキュリティ資格」 有望なセキュリティエンジニアになれる「クラウド認定資格」はこれだ セキュリティエンジニアの実力を証明する「お薦め認定資格」はこれだ 4.CompTIAの認定資
Apple、iPhone 16モデルでタッチスクリーンが反応しなくなる不具合やパスワードアプリでパスワードが読み上げられる可能性のあるの脆弱性を修正した「iOS 18.0.1」をリリース。
AppleがiPhone 16モデルでタッチスクリーンやカメラが反応しなくなる/フリーズする不具合などを修正した「iOS/iPadOS 18.0.1」をリリースしています。詳細は以下から。 Appleは現地時間202 […] The post Apple、iPhone 16モデルでタッチスクリーンが反応しなくなる不具合やパスワードアプリでパスワードが読み上げられる可能性のあるの脆弱性を修正した「iOS 18.0.1」をリリース。 first appeared on AAPL Ch..
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 技術解説 > 「インシデント発生は今や日常、サイバーハイジーンの全社的な定着を」─JPCERT/CC セキュリティ セキュリティ記事一覧へ [技術解説] 「インシデント発生は今や日常、サイバーハイジーンの全社的な定着を」─JPCERT/CC 前提のゼロトラスト、不断のサイバーハイジーン 2024年10月3日(木)神 幸葉(IT Leaders編集部) リスト 今日、ゼロトラストやサイバーハイジーンといった情報セキュリティのコンセプトが示される中で、実際の導入には至っていない企業・組織は多い。2024年8月29日に都内で開催された「IT Leaders Tech Strategy 前提のゼロトラスト、不断のサイバーハイジーン」(主催:インプレス IT Leaders)の基調講演に、JPCERTコーディネーションセンター
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
タリーズECサイトでクレカ情報5万件以上流出か 不正アクセスで……「深くお詫び」
カード情報1.2万件流出か、全漁連の通販サイト閉鎖 XSS脆弱性からペイメントアプリ改ざん
GuardDuty の機能を使って S3 のウィルスチェックをしよう! - NRIネットコムBlog
ナンバープレートから自動車のエンジンを始動できる脆弱性、発見
VPN機器とADを優先して守る 対処する脆弱性はたった3%
Loggolというサービスを作った理由 - Loggol ブログ
「iOS 18.0.1」「iPadOS 18.0.1」が公開 ~iPhone 16で発見された問題や脆弱性に対処/ユーザーが保存したパスワードを「VoiceOver」が読み上げてしまう欠陥など
責任ある発信者であり続けるために。C++高橋晶氏が考える、お金と情報発信のリアルな関係性
匿名化ブラウザのはずのTor、実はユーザー特定されるらしい
「タリーズ オンラインストア」クレカ情報5万件流出、IDやパスワードなど9万件も ペイメントアプリ改ざんで
セイコーエプソンの393製品に脆弱性、デバイスを乗っ取られる可能性
情報処理安全確保支援士になりました - Kengo's blog
「Google Chrome」にレイアウトの整数オーバーフローなど、4件の脆弱性/Windows環境には修正版のv129.0.6668.89/.90が展開中
無料の定番メールクライアント「Thunderbird 128.3.0esr」が公開 ~11件の脆弱性を修正/OpenPGP暗号化メッセージが開けないなどの問題に対処
第1回 セキュリティ若手の会(LT&交流会) (2024/12/08 13:00〜)
「Microsoft Edge」にセキュリティアップデート、「Chromium」「V8」の脆弱性を修正/v129.0.2792.79への更新を
ホワイトハッカーのスキルを習得できる「セキュリティ認定資格」はこれだ
「インシデント発生は今や日常、サイバーハイジーンの全社的な定着を」─JPCERT/CC | IT Leaders