【セキュリティ ニュース】LINEヤフーに再度行政指導 - 報告受けるも対応や計画不十分(1ページ目 / 全1ページ):Security NEXT
LINEヤフーにおいて通信の秘密を含む個人データ流出の可能性が判明し、3月に総務省が行政指導を行ったが、対策が不十分であるとして同省は同社に対し、あらためて行政指導を行った。 同省では、3月5日付けで同社に対し行政指導を実施。4月1日に同社から再発防止策の実施状況や今後の計画について報告書を受領したが、現状の対策は不十分であり、具体的な計画が示されていない点も見られたことから、4月16日に再度行政指導を行ったもの。 同省は報告内容について、実施計画はあるものの未実施のものも多く、NAVERとのネットワーク完全分離が2年以上先とされるなど、依然として通信の秘密の保護、セキュリティの確保の観点から安全管理措置や委託先管理が不十分であると指摘。 また同社とNAVERにおける委託関係を順次縮小し、終了する方針は示されているものの、具体的な計画の言及がなく、親会社を含むグループ全体においてセキュリテ
Microsoft Will Switch Off Recall by Default After Security Backlash
After weeks of withering criticism and exposed security flaws, Microsoft has vastly scaled back its ambitions for Recall, its AI-enabled silent recording feature, and added new privacy features. When Microsoft named its new Windows feature Recall, the company intended the word to refer to a kind of perfect, AI-enabled memory for your device. Today, the other, unintended definition of “recall”—a co
【セキュリティ ニュース】住民関連の情報をLINEグループに投稿、職員を懲戒処分 - 湖南市(1ページ目 / 全1ページ):Security NEXT
滋賀県湖南市は、執務時間中に業務と関係ない撮影をして、写真と住民の名字をSNSアプリ「LINE」のグループに投稿した職員に対し、懲戒処分を行った。 同市によれば、同職員は2023年度、執務時間中に私用のスマートフォンで業務と関係のない写真を撮影。写真と住民の名字を「LINE」のグループに投稿していた。 プライバシーの情報を含み、住民からの要望もあり、写真の内容や対象者の人数、発生日時など詳細は明らかにしていない。 匿名で市役所に連絡があり、5月に問題が発覚。職員にヒアリングを行ったところ、事実であることが判明した。わいせつな情報などは含まれていないとしている。 同職員は「思慮に欠けた行動をして大変申し訳ない」「公務員としての自覚に欠けていた」と反省の弁を口にしているという。 同市では同問題を受け、同職員に対し5月31日付けで減給とする懲戒処分を実施した。 (Security NEXT -
【セキュリティ ニュース】固定資産税下げようとシステム改ざん、職員を停職処分 - 上尾市(1ページ目 / 全1ページ):Security NEXT
埼玉県上尾市は、「総合行政システム」のデータを不正に改ざんしたとして職員を懲戒処分とした。 2021年3月、当時行政経営部資産税課に所属していた職員が、固定資産税に関する「総合行政システム」の土地課税台帳を改ざんしたもの。 課税事務において、職員の兄が所有、職員自身が納税管理人である土地に対し、固定資産税や都市計画税における評価額や税額を引下げるよう数字を不正に操作していた。 別の職員が確認作業中に気付き、改ざん前の数値に戻したことで実被害は生じなかったが、同市では2021年6月に同職員を警察へ告発。2024年4月に起訴猶予による不起訴処分となったという。 同問題の発覚を受け、同市では同職員を5月28日付けで停職5カ月とする懲戒処分を行った。 (Security NEXT - 2024/05/31 ) ツイート
Improve security incident response times by using AWS Service Catalog to decentralize security notifications | Amazon Web Services
AWS Security Blog Improve security incident response times by using AWS Service Catalog to decentralize security notifications Many organizations continuously receive security-related findings that highlight resources that aren’t configured according to the organization’s security policies. The findings can come from threat detection services like Amazon GuardDuty, or from cloud security posture m
【セキュリティ ニュース】障がい者就労支援センター、企業担当者向けメールで誤送信 - 福岡市(1ページ目 / 全1ページ):Security NEXT
福岡市は、福岡市立障がい者就労支援センターにおいてメールの送信ミスがあり、企業担当者のメールアドレスが流出したことを明らかにした。 同市によれば、指定管理者である福岡市社会福祉事業団において誤送信が発生したもの。 10月2日14時過ぎから15時過ぎにかけて、障がい者就労支援セミナーの案内メールを企業担当者など543件に送信したが、送信先のメールアドレスを誤って宛先に設定したため、受信者間でメールアドレスが閲覧できる状態が発生した。 同日誤送信が判明。対象となる担当者へメールで謝罪するとともに、誤送信したメールの削除を依頼した。 今後は、送信前に必ず複数で確認し、送信時にもあらためて宛先を目視でチェックするなど、再発防止に取り組むとしている。 (Security NEXT - 2024/10/15 ) ツイート
【セキュリティ ニュース】シャープと東芝テックの複合機146モデルに脆弱性 - 半数はサポート終了(1ページ目 / 全3ページ):Security NEXT
シャープ、東芝テックが提供する複合機(MFP)に複数の脆弱性が明らかとなった。両社あわせて対象モデルは146モデルにのぼるが、約半数についてはサポートが終了しており、ファームウェアの提供はないという。 認証をバイパスされる脆弱性「CVE-2024-47406」や、管理者以外も「設定登録API」を実行できる「CVE-2024-47005」のほか、「CVE-2024-42420」「CVE-2024-43424」「CVE-2024-45829」「CVE-2024-45842」「CVE-2024-47549」「CVE-2024-47801」「CVE-2024-48870」の脆弱性9件が判明した。 共通脆弱性評価システム「CVSSv3.1」のベーススコアを見ると、今回判明した脆弱性においてもっとも高い「CVE-2024-47406」が「9.1」とされており、「CVE-2024-47005」が「8.1
Decoding Intentions - Center for Security and Emerging Technology
How can policymakers credibly reveal and assess intentions in the field of artificial intelligence? Policymakers can send credible signals of their intent by making pledges or committing to undertaking certain actions for which they will pay a price—political, reputational, or monetary—if they back down or fail to make good on their initial promise or threat. Talk is cheap, but inadvertent escalat
GitHub - macadmins/nudge: A tool for encouraging the installation of macOS security updates.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
【セキュリティ ニュース】複数サイトに攻撃、DBのテーブル名を取得された痕跡 - 紀伊國屋書店(1ページ目 / 全2ページ):Security NEXT
紀伊國屋書店は、同社が運用する複数サイトがサイバー攻撃を受けたことを明らかにした。情報が流出した可能性もあるという。 同社によれば、図書館に和雑誌の納品データを提供する「和雑誌アクセス納品情報」、海外雑誌の納品情報を管理する「INTERMAX納品管理システム」、学術雑誌の納品情報について管理を支援する「Access Web Service System」の3サイトに関する情報が流出した可能性があることが判明したもの。 11月1日に「和雑誌アクセス納品情報」に対してサイバー攻撃が行われたとの連絡が警察からあり、調査を行ったところ、同サイトと「INTERMAX納品管理システム」よりデータベースの「テーブル名」を取得されたことが判明。同じデータベースを使用する「Access Web Service System」を含めた3サイトがサイバー攻撃の影響を受けた可能性がある。 データベースにおいてデー
Security Innovation Conference 〜情報漏えいから自社を守る方法〜 - BUSINESS LAWYERS
2024年6月にKADOKAWAグループへのランサムウェアを含む大規模なサイバー攻撃が話題になるなど、企業における個人情報の漏えい・紛失事故は年々増え続けています。2023年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は、前年比6.0%増の175件。事故件数は2012年以降の12年間で、3年連続で最多を更新しました。また大型の事故が相次ぎ、漏えいした個人情報は前年の約7倍の4,090万8,718人分と事故の規模も大きくなってきています。 近年の事故の原因は、従業員が不正に個人情報を持ち出して流出させる「ガバナンス」が焦点になるものや、深刻化する「ランサムウェア」によるウイルス感染・不正アクセスによるものなど様々です。 このような大規模情報漏えいは対岸の火事ではなく、いつどの企業にも起こり得る可能性があり、企業にはこれら多様な原因によって発生する情報漏えいリスクへの対策が強く求
日本マイクロソフト(以下、マイクロソフト)は2024年4月7日、生成AIソリューション「Microsoft Copilot for Security」(以下、Copilot for Security)の一般提供を同年4月1日から開始したと発表した。スタンドアロンのCopilot for Securityには「ユーザーの詳細」「グループの詳細」「サインインログ」「監査ログ」「診断ログ」といった「Microsoft Entra」の新しいスキルが搭載されている。 Copilot for Securityをどう使えばいい? プロンプトの例を公開 マイクロソフトによると、Copilot for Securityに搭載された新しい機能によって、ID関連のリスクとサインイン問題の解決を支援し、ID管理者は侵害を保護できるようになる。 マイクロソフトは、ID管理者が自然言語のプロンプトを使ってCopilo
GitHubが脆弱性のあるコードの修正機能β版を「GitHub Advanced Security」利用者に提供開始
GitHubは2024年3月20日(米国時間)、「GitHub Advanced Security」の利用者を対象に、コードをスキャンし自動修正する機能のパブリックβ版を提供開始した。この機能では、「GitHub Copilot」と「CodeQL」を活用してコードをスキャンし、修正候補のコードを生成している。GitHubによると、「JavaScript」「TypeScript」「Java」「Python」のアラートのうち90%以上をカバーし、発見された脆弱(ぜいじゃく)性の3分の2以上を、ほとんど編集することなく、直ちに修正できるコード案を提供するという。 脆弱性を見つけると修正可能なコードを生成 関連記事 GitHub、脆弱性のあるリポジトリの修正でセキュアコーディングを学ぶ「Secure Code Game」シーズン2を開始 GitHubはセキュアコーディングをゲーム感覚で学ぶことがで
【セキュリティ ニュース】「iOS」「iPadOS」のゼロデイ脆弱性について注意喚起 - 米当局(1ページ目 / 全1ページ):Security NEXT
「iOS」および「iPadOS」にゼロデイ脆弱性が明らかとなったことを受け、米当局は注意喚起を行った。 米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が現地時間3月6日に、「悪用が確認された脆弱性カタログ(KEV)」へ「iOS」「iPadOS」に判明した脆弱性「CVE-2024-23225」「CVE-2024-23296」を追加したもの。 Appleでは、これら脆弱性に関する悪用の報告があるとし、前日5日に公開したセキュリティアップデート「同17.4」にて修正したことを明らかにしている。旧端末向けには「同16.7.6」を公開した。 いずれもカーネルにおいて読み取りや書き込み権限を持つ場合に悪用が可能としており、メモリ保護をバイパスされるおそれがあるという。 同リストに追加された脆弱性は、悪用を防止するため米行政機関では一定期間内に対応することが求められる。また脆弱性そ
How QUIC Is Displacing TCP for Speed and Security ?
Image from upslashIntroductionOver the past three decades, HTTP (Hyper Text Transfer Protocol) has been the backbone of the internet. We are able to browse the web, download files, stream movies, etc due to HTTP. The protocol has evolved over the years and witnessed major enhancements. The HTTP protocol is an application protocol and works on top of TCP (Transmission Control Protocol). The TCP pro
【セキュリティ ニュース】東急Gへの不正アクセス、検証用環境経由で侵入(1ページ目 / 全2ページ):Security NEXT
東急は、同社のネットワークが不正アクセスを受けた問題で、子会社である東光食品のファイルサーバから個人情報が流出した可能性があることを明らかにした。 同社では、同社ネットワークを侵害されたことが4月28日に判明。ログなどを調査したところ、東急ストアの子会社で同一ネットワーク環境を利用していた東光食品のファイルサーバなどから一部データを読み出されたことが判明し、事態を公表するとともに調査を進めていた。 同社は、不正アクセスを受けた原因について、構築中だったあたらしい社内ネットワーク基盤の検証用環境が脆弱な状態だったと説明。 検証用環境を経由して同社既存ネットワークへアクセスが行われ、脆弱な設定にあった東光食品が管理するファイルサーバが侵害されたという。 同社は、同ファイルサーバに含まれるすべてのデータが持ち出されたと想定。含まれるすべての個人情報を精査し、流出した可能性のある個人情報として取り
Phish-Friendly Domain Registry “.top” Put on Notice – Krebs on Security
The Chinese company in charge of handing out domain names ending in “.top” has been given until mid-August 2024 to show that it has put in place systems for managing phishing reports and suspending abusive domains, or else forfeit its license to sell domains. The warning comes amid the release of new findings that .top was the most common suffix in phishing websites over the past year, second only
【セキュリティ ニュース】個人情報含む書類を市サイトに誤掲載 - 尼崎市(1ページ目 / 全1ページ):Security NEXT
兵庫県尼崎市は、産業廃棄物処理事業者の関係者に関する個人情報が記載された書類を、同市ウェブサイトに誤って掲載したことを明らかにした。 同市によれば、本来非公表である産業廃棄物処理計画実施状況報告書の提出シートを、3月28日から6月27日にかけて誤って同市ウェブサイトに掲載するミスがあったという。 事業者より指摘があり、6月27日11時半ごろ、問題が判明した。問題の書類には、61事業所の担当者に関する氏名、メールアドレス、所属、電話番号、ファックス番号のほか、一部会社印、代表者印の印影なども含まれる。 同市では、誤掲載した書類を削除。関係者に対して謝罪を行っている。 (Security NEXT - 2024/07/12 ) ツイート
【セキュリティ ニュース】日帰り温泉施設の会員システムで個人情報流出の可能性(1ページ目 / 全1ページ):Security NEXT
日帰り温泉施設「瀬戸内温泉たまの湯」のサーバが侵害され、顧客に関する個人情報が外部に流出した可能性があることがわかった。 同施設を運営する宇野港土地によれば、7月11日に従業員よりシステムへアクセスできないとの報告が寄せられ、業務委託先が調査を行ったところ、サーバにおいて外部より侵害された形跡を確認したという。 今回のサイバー攻撃により、たまの湯LINEの有料会員情報6612件が流出した可能性がある。氏名、住所、電話番号、生年月日、性別などが含まれる。 くわえてレストランやレンタルサイクルのウェブ予約サービス利用者に関する4235件の氏名、住所、電話番号、団体名、メールアドレス、予約システムのログインパスワードなども被害に遭ったおそれがある。 同社ではサーバを停止し、警察と個人情報保護委員会へ報告。外部協力のもと、被害状況の確認など調査を進めている。同じパスワードを他サイトで使い回している
【セキュリティ ニュース】鹿児島県の過去使用ドメイン4件、第三者が取得(1ページ目 / 全1ページ):Security NEXT
鹿児島県は、同県が過去に使用した4件のドメインが、事業終了後に第三者によって取得され、利用されているとして注意を呼びかけている。 同県によれば、過去に「かごしまのウェルネス」「ぐりぶークーポンに関する広報」のほか、2021年度、および2022年度の「らくらく鹿児島巡り事業」の4サイトで利用していたドメイン4件を第三者が取得したもの。 いずれも「.net」や「.com」「.jp」といった属性が設定されていないドメインを利用。「らくらく鹿児島巡り事業」に関しては事業年度によって別のドメインを取得、利用していた。 これらドメインを用いた現在のサイトなどについて、同県とは無関係であるとし、公式サイトを通じて注意喚起を行った。またこれらドメインに対するリンクを行っているウェブサイトの管理者に対して、リンクの削除を依頼している。 今回の問題を受け、同県では職員に対し、ウェブサイトの運用にあたっては、取
【セキュリティ ニュース】実際に確認された巧妙な「ビジネスメール詐欺」 - IPAが事例集(1ページ目 / 全1ページ):Security NEXT
情報処理推進機構(IPA)は、実際に報告された「ビジネスメール詐欺(BEC)」の事例集を公開した。具体的な攻撃の流れや手口を紹介し、類似被害の防止に役立ててほしいと活用を呼びかけている。 「ビジネスメール詐欺(BEC)」は、メールで組織内の関係者や取引先になりすまし、言葉巧みにだまして金銭などをだまし取るソーシャルエンジニアリングの手口。海外はもちろん、国内でも被害が発生している。 既遂、未遂など同機構が報告を受けた実際に発生したBECの事例7件をレポートに取りまとめ、公開した。 レポートでは攻撃の流れを踏まえた上で、具体的な攻撃者とのやり取りや、攻撃に用いられた手口などを解説している。 取引先のメールアカウントが乗っ取られ、正規メールアカウントから口座変更が求められた事例や、「国内企業」と「海外取引先企業」のやりとりにおいて、攻撃者が双方関係者になりすますケースなど手の込んだやり口が詳し
New RCE vulnerability in Apache Struts 2 fixed, upgrade ASAP (CVE-2023-50164) - Help Net Security
Please turn on your JavaScript for this page to function normally. The Apache Struts project has released updates for the popular open-source web application framework, with fixes for a critical vulnerability that could lead to remote code execution (CVE-2023-50164). About CVE-2023-50164 CVE-2023-50164 may allow an attacker to manipulate file upload parameters to enable path traversal. Under some
【セキュリティ ニュース】「Trend Micro Apex One」に11件の脆弱性 - 早急に更新を(1ページ目 / 全1ページ):Security NEXT
トレンドマイクロが提供するエンドポイント向けセキュリティ対策製品「Trend Micro Apex One」に複数の脆弱性が明らかとなった。いずれも権限昇格が生じるおそれがあり、脆弱性を修正するアップデートが提供されている。 リンクの解釈に問題があり権限の昇格が生じるおそれがある「CVE-2023-47192」や、「CVE-2023-47193」「CVE-2023-47194」をはじめ同一生成元ポリシー違反により権限昇格が生じるおそれがある7件など、あわせて11件の脆弱性が明らかとなった。 いずれも共通脆弱性評価システム「CVSSv3.0」におけるベーススコアを「7.8」と評価。重要度を「高(High)」とレーティングしている。 同社では11月1日にリリースした「同Service Pack 1 Critical Patch ビルド12526」にてこれら脆弱性を修正。できるだけ早期にアップデ
偽アップデート(Fake Update)とは、偽のアップデートページを表示してアクセスしたユーザーを騙してマルウェアをダウンロードさせる(実行させる)、という攻撃を指します。 【図1】偽アップデートページ例 ひとくちに偽アップデートといってもいくつか異なるパターンがあり、今年になって観測されているものだと下記のような種類があります。 SocGholishClearFakeSmartApeSG(ZPHP)FakeSG(RogueRaticate)FakeUpdateRU 米国では2022年に250以上のニュースサイトが改ざんされ、偽アップデートページを表示させるようになっていたとのことで話題になりました。特に今年2023年は "偽アップデート業界" に新規参入が続々と現れ、日本でも偽アップデートがこれまで以上に観測されています。下図はデジタルアーツが観測した偽アップデートの URL 件数です
【セキュリティ ニュース】「FortiOS」に複数の脆弱性 - 「curl」の脆弱性なども影響(1ページ目 / 全2ページ):Security NEXT
Fortinet製品に搭載されている「FortiOS」や「FortiProxy」に複数の脆弱性が明らかとなった。アップデートにて修正されている。 「FortiOS」において入力検証の不備により悪意のあるイメージを起動し、ファイルシステムの整合性チェックをバイパスして不正なコードを実行されるおそれがある「CVE-2023-28002」が判明した また「SSL VPN」において認証されたユーザーが細工したHTTPリクエストを送信することでサービス拒否を引き起こすことが可能となるNULLポインタ参照の脆弱性「CVE-2023-36641」が明らかとなった。 「FortiProxy」も脆弱性の影響を受ける。同社ではこれら脆弱性の重要度を5段階中、上から3番目にあたる「中(Medium)」とレーティングした。 共通脆弱性評価システム「CVSSv3.1」のベーススコアについては、「CVE-2023-3
How AWS uses active defense to help protect customers from security threats | Amazon Web Services
AWS Security Blog How AWS uses active defense to help protect customers from security threats AWS is deeply committed to earning and maintaining the trust of customers who rely on us to run their workloads. Security has always been our top priority, which includes designing our own services with security in mind at the outset, and taking proactive measures to mitigate potential threats so that cus
EDRSilencer red team tool used in attacks to bypass security
A tool for red-team operations called EDRSilencer has been observed in malicious incidents attempting to identify security tools and mute their alerts to management consoles. Researchers at cybersecurity company Trend Micro say that attackers are trying to integrate EDRSilencer in attacks to evade detection. “Our internal telemetry showed threat actors attempting to integrate EDRSilencer in their
【セキュリティ ニュース】コーヒーチェーンの公式サイトが改ざん被害 - 旧版CMSの脆弱性突かれる(1ページ目 / 全1ページ):Security NEXT
関西圏を中心にコーヒーチェーン「ホリーズカフェ」を運営するホリーズは、公式サイトが不正アクセスを受け、改ざんされたことを明らかにした。 同社によれば、9月19日12時半ごろ、旧バージョンのWordPressに存在した脆弱性を突く不正アクセスがあり、公式サイトにおいて一時改ざんされる被害が発生したもの。 無関係なサイトに対して誘導するリダイレクトや、検索サイトに対する不正なインデックス登録などが確認された。 問い合わせフォームより入力された個人情報は、データベースに保存しておらず、ログを調査した結果、メールサーバに対する不正アクセスもなかったとして、個人情報の流出については否定した。 同社では、改ざんの判明を受けてウェブサーバに設置された不正プログラムを削除。利用するサーバの移行とセキュリティ対策の強化を行った。また同社のオンラインストアに関しては異なるサーバで運営しており、不正アクセスの影
【セキュリティ ニュース】クラウドの誤設定で顧客情報がアクセス可能に - 衣料品メーカー(1ページ目 / 全1ページ):Security NEXT
衣料品メーカーのシンゾーンは、クラウドにおいて設定ミスがあり、顧客情報や従業員の個人情報が、外部からアクセスできる状態だったことを明らかにした。 同社によれば、社内向けのポータルサイトで管理していた顧客情報や従業員の個人情報が、外部からアクセス可能な状態にあったもの。対象期間は、最長で2023年8月2日から2024年5月15日までとしている。 対象となる顧客は最大約4万2400人。氏名や住所、電話番号、メールアドレス、生年月日、性別、購入履歴、職業、婚姻歴、問い合わせ内容などが含まれる。同社従業員については最大75人の氏名と顔写真が閲覧可能だった。 5月15日に問題が発覚し、非公開設定へ変更。サイトに紐づく関連システムのパスワードを変更した。原因については調査を進めている。 同社では5月22日より、対象となる顧客に説明を行っており、対象となる従業員に対しては、説明会を実施した。個人情報保護
【セキュリティ ニュース】「Wantedly」で設定不備 - 非公開ページや個人情報が閲覧可能に(1ページ目 / 全2ページ):Security NEXT
求職者と企業のマッチングプラットフォームである「Wantedly」においてシステムに設定不備があり、本来閲覧できない第三者によってページやユーザーの個人情報を閲覧できる状態だったことがわかった。 同サービスを運営するウォンテッドリーによれば、未公開であったり、削除された募集記事や企業ページにおいて、直接URLを指定することで権限がない第三者から閲覧できる状態となっていたもの。4月10日にシステムの保守点検作業を行った際に判明した。 企業ページは2016年12月19日、募集記事は2017年6月14日より閲覧可能な状態が発生。同社は4月11日までに対策を講じた。募集記事は1万3982件が対象で、メンバーとして登録されたユーザー1万6158人の氏名、所属企業、職種、プロフィール画像が閲覧できる状態だった。 さらに企業ページ1796件についても第三者により閲覧された可能性がある。同ページへメンバー
【セキュリティ ニュース】「AirPods」や 「Beats Fit Pro」などに脆弱性 - アップデートを公開(1ページ目 / 全1ページ):Security NEXT
Appleは、同社イヤフォンやヘッドフォン向けにファームウェアのセキュリティアップデートをリリースした。 今回のアップデートでは、「Bluetooth」に関する脆弱性「CVE-2024-27867」を修正した。 第2世代以降の「AirPods」をはじめ、「AirPods Pro」「AirPods Max「Powerbeats Pro」「Beats Fit Pro」が影響を受ける。 以前ペアリングしたことがある機器への接続要求を行った際、要求した機器になりすましてイヤフォンやヘッドフォンへのアクセスが可能となる。 同社では、「AirPods」向けにアップデートとなるファームウェア「6A326」「6F8」、「Beats」向けに「6F8」をリリースした。 (Security NEXT - 2024/06/27 ) ツイート
【セキュリティ ニュース】監視システムに個人情報を誤保存、委託先から閲覧可能に - ファストリ(1ページ目 / 全2ページ):Security NEXT
ユニクロやジーユーを傘下に持つファーストリテイリングは、本来個人情報の取り扱いを委託していない一部委託事業者において、同社情報システム内の顧客情報を閲覧できる状態だったことを公表した。委託先とは秘密保持契約を締結しており、不正な持ち出しなどは確認されていないとしている。 同社によれば、同社サービスの稼働状況を監視するシステムにおいて、委託先が本来閲覧できないはずの個人情報を閲覧できる状態となっていたもの。 1月に判明し、同社ではアクセスを遮断して調査したところ、2023年6月以降、同社グループのオンラインストアを含む複数のサービスにおいて、一部の顧客の個人情報が同システム上へ保存される設定となっていたことがわかった。 同問題により、個人情報の取り扱いについて委託していない一部の委託業者より、同システムに保存された顧客の個人情報を閲覧できる状態にあったという。 具体的には、2023年6月から
【セキュリティ ニュース】不審者情報メールに被害児童の個人情報を誤記載 - 新潟市(1ページ目 / 全1ページ):Security NEXT
新潟市は、秋葉区において不審者情報提供メールに被害児童の個人情報を誤って記載し、区内保育園へ送信するミスがあったことを明らかにした。 同市によれば、6月19日に秋葉区の職員が速報として「不審者情報」を区内25の保育園にメールで送信したが、被害に遭った児童3人に関する氏名などがマスキング処理されていなかったという。 同月21日にメールを見た保育園園長から電話で連絡があり問題が判明した。同日メール送信先である保育園にメールの削除を依頼。対象者に経緯の説明と謝罪を行った。 今回の問題を受け、今後は情報提供された書類の修正、メール送信を異なる職員が担当し、ダブルチェックを徹底して再発の防止を図るとしている。 (Security NEXT - 2024/07/02 ) ツイート
【セキュリティ ニュース】ランサム被害で個人情報流出の可能性 - ダイヤモンド社(1ページ目 / 全1ページ):Security NEXT
出版事業を手がけるダイヤモンド社は、ランサムウェアによるサイバー攻撃を受けた問題で、個人情報が流出した可能性があることを明らかにした。 同社では、ランサムウェアにより、サーバやパソコンに保存されていた一部ファイルを暗号化され、開けなくなる被害を2023年12月7日に確認。事態を公表するとともに、外部協力のもと、情報の流出の有無や影響を受けた機器などについて調査を進めていた。 調査において個人情報の外部流出は確認されていないが、ランサムウェアによりファイルが暗号化された状況を踏まえ、保有する約7万件の個人情報が外部に流出した可能性があると結論付けた。 顧客の氏名、住所、メールアドレスのほか、取引先の会社名、代表者名、担当者名、住所、メールアドレスなどが対象だという。ただし、定期購読者情報、各種オンラインサービスの会員情報などは含まれていない。 同社は、連絡が取れる関係者に対してメールや書面を
【セキュリティ ニュース】「glibc 2.39」がリリース - 複数の脆弱性を修正(1ページ目 / 全2ページ):Security NEXT
Linuxで広く利用されているCライブラリ「GNU C Library」のアップデート「glibc 2.39」が現地時間1月31日にリリースされた。複数の脆弱性が修正されている。 今回のアップデートでは、仕様の見直し、バグの修正のほか、ヒープベースのバッファオーバーフローの脆弱性「CVE-2023-6246」をはじめ、CVEベースであわせて7件の脆弱性が修正された。 「CVE-2023-6246」は、関数「syslog()」「vsyslog()」から呼び出される「__vsyslog_internal()」に判明した脆弱性。2023年8月にリリースされた「glibc 2.37」より存在するが、「同2.36」に対する修正として提案されたため、バックポートも行われたという。 Qualysが2023年11月にRed Hatへ報告した。リモートより悪用されるリスクはないが、ローカル環境より悪用された
Critics question tech-heavy lineup of new Homeland Security AI safety board
On Friday, the US Department of Homeland Security announced the formation of an Artificial Intelligence Safety and Security Board that consists of 22 members pulled from the tech industry, government, academia, and civil rights organizations. But given the nebulous nature of the term "AI," which can apply to a broad spectrum of computer technology, it's unclear if this group will even be able to a
【Security Hub修復手順】[Inspector.3] Amazon Inspector の Lambda コードスキャンを有効にする必要があります | DevelopersIO
【Security Hub修復手順】[Inspector.3] Amazon Inspector の Lambda コードスキャンを有効にする必要があります 皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修復手順をご紹介します。 本記事の対象コントロール [Inspector.3] Amazon Inspector Lambda コードスキャンを有効にする必要があります [Inspector.3] Amazon Inspector Lambda code scanning should be enabled 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容となります
![【Security Hub修復手順】[Inspector.3] Amazon Inspector の Lambda コードスキャンを有効にする必要があります | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ad9624ef3c3eec726d644036ee7ce06f3a9792ac/height=288;version=1;width=512/https%3A%2F%2Fimages.ctfassets.net%2Fct0aopd36mqt%2Fwp-thumbnail-e71a738589e583b65670923628e8b6f4%2F45568b9fd457506bd2f3d6fd304d4b6a%2Faws-security-hub)
【セキュリティ ニュース】ボランティアによる撲滅競技 - フィッシングサイト約2200件が停止(1ページ目 / 全3ページ):Security NEXT
日本サイバー犯罪対策センター(JC3)は、7月に「第2回フィッシングサイト撲滅チャレンジカップ」を開催した。同イベントを通じて約2200件のフィッシングサイトが停止された。 同イベントは、全国都道府県警察のサイバー防犯ボランティアがフィッシングサイトの報告、テイクダウン数を競うもので、46団体、359人が参加。7月22日正午より同月29日18時までの対処件数を競った。 3人1組のチーム戦で、フィッシングサイトテイクダウン支援ツール「Predator」を活用。ドメイン事業者やホスティング事業者に対し、フィッシングサイトへ悪用された1万2072件の「Abuse」を報告。2201件がテイクダウンされた。 京都府警の「ネット安心アドバイザー」の所属メンバーによるチーム「アクノくん」が最優秀賞を獲得。山口県警の「U3CPV」メンバーによるチーム「U3CPV」、群馬県警の学生サイバーパトロールコラボレ
US security adviser urges Netanyahu to connect war to 'political strategy'
Palestinians are sheltering in the shattered city of Khan Younis and near the beach after being told to leave Rafah US President Joe Biden's national security adviser has urged Israeli Prime Minister Benjamin Netanyahu to connect the war in Gaza to a "political strategy" for the territory's future. Jake Sullivan met Mr Netanyahu in Israel after holding talks in Saudi Arabia on Saturday. His interv
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
Digital Arts Security Reports|デジタルアーツ株式会社
Spring Security Sample~ユーザー追加~
