NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。 地銀ばかりで被害 なぜ? 今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。 Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。 ユーザーが
大手SIerのSCSKは3月24日、松井証券のシステム開発を担当していた同社の元社員が、松井証券顧客15人のIDやパスワードなどを不正に取得し、顧客になりすまして、口座に預けられていた現金など総額2億円を不正出金していたと発表した。 元社員は、電子計算機使用詐欺・不正アクセス禁止法違反などの容疑で同日、警視庁に逮捕された。 SCSKは松井証券のシステム開発・保守、運用を担当。元社員は、松井証券のシステムを専任で担当していたという。 SCSKによると元社員は、松井証券顧客のID、パスワード、取引暗証番号などを不正に取得した上で、顧客になりすまして有価証券を売却し、売却代金を含めた証券口座に預けられていた現金を、不正出金していたという。被害にあった顧客は15人、被害総額は2億円と確認したという。 2020年1月、顧客から松井証券に「身に覚えのない取引があった」と報告があったため、松井証券とSC
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方|ハイクラス転職・求人情報サイト AMBI(アンビ)
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方 Webセキュリティ対策はなにかと面倒ですが、昨今はフレームワークが脆弱性に対応するなど、プログラミングは効率的になっています。その上でサービス全体の安全のため、開発チームがすぐ実施できるWebセキュリティ診断と要件定義について解説します。 こんにちは、松本(@ym405nm)です。 みなさんは業務やコミュニティ、趣味などでWebサイト作ってますか? SEO対策、ユーザビリティ、レスポンジブル、オートスケールなどなど、Webサイトを1つ作るだけでもさまざまな技術や考え方が必要であり、非常に奥深いものであるということは、このエンジニアHubの記事の多さが物語っているのではないでしょうか。 その中でもWebサイト開発者・運用者を悩ませるのは、Webセキュリティです。この記事では、開発フェーズから試すこと
デジタル庁は9月26日、同庁が運用する事業者向け共通認証サービス「GビズID」のメール中継サーバーが不正アクセスを受け、「gbiz-id.go.jp」ドメインから迷惑メールが1万3000件送信される問題が発生したと発表した。 GビズIDヘルプデスクのメール中継サーバーが、海外からとみられる不正アクセスを受け、24日午後4時半から5時までに迷惑メールが送られたという。 同庁は異常を検知してすぐ問題の通信を遮断し、被害の拡大を防いだとしている。個人情報の流出は確認していない。 GビズIDは、法人・個人事業主向け共通認証システム。IT導入補助金やe-Gov、ISMAPポータルサイトといった行政システムに、1つのID・パスワードでログインできる。 関連記事 2日連続のe-Gov障害、原因は別だった KILLNETの関与は“言及しない” 河野太郎デジタル大臣はe-Govで6日と7日に発生した接続障害
エン・ジャパンは今後、第三者機関と共同でセキュリティ対策を確認する他、データの定期的なバックアップなどを行い、再発防止に努めるとしている。ユーザー企業に対しては、画像や動画の掲載状況を確認し、必要があれば再設定するよう呼び掛けている。 関連記事 「仕事舐めてる若者多すぎ」Dr.ストレッチの“炎上”求人広告、原因は「元従業員の改ざん」 退職後もパスワード変更せず 「Dr.ストレッチ」の求人広告に「仕事舐めてる若者が多すぎ」などの文章が掲載され、炎上していた件で、フランチャイズ運営元のフュービックは、フランチャイズ店の元従業員が書き換えていたと発表した。元従業員の退職後も、求人サイトを編集できるアカウントのパスワードを変更していなかったという。 転職サービス「LINEキャリア」夏に開始 LINEとエン・ジャパンが新会社 転職情報を配信する新サービス「LINEキャリア」が夏に開始へ。LINEとエ
富士通の“政府認定クラウド”への不正アクセス、ロードバランサー内で任意のコマンドが実行できる状態だった 被害状況の調査結果
富士通の“政府認定クラウド”への不正アクセス、ロードバランサー内で任意のコマンドが実行できる状態だった 被害状況の調査結果 富士通クラウドテクノロジーズのパブリッククラウド「ニフクラ」「FJcloud-V」が不正アクセスを受け、一部ユーザーの認証情報などが盗まれた可能性がある件について、同社は6月7日、不正アクセスの原因となったロードバランサー(負荷分散用の装置)が、一時的に任意のコマンドが実行できる状態にあったことなどが分かったと発表した。 富士通や専門機関などと合同で行った調査で判明したという。調査では他にも、(1)不正アクセスは、ロードバランサーの脆弱性を悪用したものだったこと、(2)ロードバランサー上に、サーバ証明書をはじめとしたユーザー証明データが圧縮されたファイルがあったこと、(3)2022年5月4日~11日の一部タイミングで、ロードバランサーを経由した通信の情報を集めた痕跡が
7pay(7iD)のあまりに酷い仕様が判明したので不正利用されないように整理しておく【更新:二段階認証など小手先では解決できない、かなり深い問題の可能性】 - こぼねみ
7payの不正利用の問題が大きな話題となっています。 セブンイレブンは不正利用されたクレジットカードからのチャージは停止していますが、7payによる決済機能はまだ利用できる状態。 まだ7Payを利用していない方は、とりあえず利用開始をしないで不正利用の原因が判明し、完全に解決するまで待ちましょう。 すでに7payに登録してしまった方は、現時点分かっている問題点を確認し、パスワード変更やアカウント変更などで対処するしかなさそうです(むしろ退会してしまっても、とさえ思う)。僕も登録済みだったので調べてみました。 問題点については次の記事が詳しく、 7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - 個人 - Yahoo!ニュース その中で指摘されているのは、 7iDのパスワードリセット(再発行)がセキュリティ上最悪な仕様に なっていることです。 メールア
旅館やホテルを運営するオリックス・ホテルマネジメント(東京都港区)はこのほど、約20万9000件の個人情報を記録していたサーバを紛失したと発表した。何者かがサーバを外部に持ち出した可能性もあるとして、紛失に至るまでの経緯などを調査している。 サーバに記録していたのは、2010年7月14日~18年2月2日に同社が運営するホテル「ハンドレッドステイ 東京新宿」を利用・予約した顧客の氏名(約10万2000件)と住所、電話番号、メールアドレスなど(約10万7000件)。 クレジットカードやパスポートの情報は保存していなかった。20年12月7日時点では、紛失した顧客情報が第三者に不正利用された例は見つかっていないとしている。 10月に備品や設備の棚卸を行っていたところ、当該サーバが見つからず、調査した結果、12月2日に紛失を確認したという。同社は既に警察に被害届を提出済みで、全容が明らかになり次第改
オンライン学習用の教材などを配信する教育機関向けSaaS「Classi」を提供するClassiは4月13日、第三者の不正アクセスにより、約122万人分のIDなどが閲覧できる状態になっていたと発表した。現在は復旧済みで、今後は再発防止に努めるとしている。 不正アクセスがあった時期は、4月5日午後2時5分~午後4時19分。閲覧された疑いのある情報は、(1)ClassiのユーザーID(約122万人分)、(2)パスワードを暗号化した文字列(約122万人分)、(3)教員ユーザーが任意で公開している自己紹介文(2031件)――の3種類。パスワード本体が閲覧された恐れはないという。 これらの情報を第三者に悪用されないよう、同社はユーザーにパスワードを変更するよう呼びかけている。今後は他要素認証などを導入する他、サイバー攻撃への対策を強化し、再発を防ぐとしている。 Classiは「予期しない事象が発生した
現時点では流出した情報が悪用された例は確認していないという。SMBC信託銀行は21年2月12日にSalesforceの設定を変更し、外部からのアクセスを遮断済み。現在は暗証番号を閲覧された可能性のあるユーザーに向け、注意喚起や事態の説明を進めている。デビット用暗証番号を無料で変更できる手続きの案内も行っているという。 関連記事 SMBC日興証券・信託銀行、個人情報約12万件が閲覧可能な状態に Salesforce製品に設定ミス 一部で流出も SMBC日興証券とSMBC信託銀行が不正アクセスを受け、合計11万8764件の個人情報が閲覧可能になっていたと発表。情報の管理に使っていたCRMツール「Salesforce」の権限設定に不備があったという。 JICAのWebサイトに不正アクセス、個人情報8418件が流出 Salesforce設定に不備 国際協力機構(JICA)が運営するキャリア情報サイ
Z会グループのZ会ソリューションズはこのほど、生徒がチームで取り組む力を測るテスト「DiscoveRe Method」のWebシステムで2021年7月以降、生徒が受検結果を確認する画面から、他の受検者の結果が見える状態になっていたとし、謝罪した。 システム開発委託先が、教師(管理者)用の画面のソースコードを転用して受検者用画面を作った際、不要なコードを一部削除し忘れたことが原因という。 受検結果画面に表示される、全体傾向と個人の結果を表す散布図で、ソースコードを表示してさらに詳細を表示していくと、同じグループ(学校単位など)で受検した他の受検者の氏名とスコアの確認が可能になっていたという。 システムを刷新した2021年7月22日以降に受検した20団体4057人で、同じグループに属する受検者(最大65人)の情報を閲覧できる状態だった。 10月4日に顧客から連絡があり、システム開発、保守・運用
厚生労働省は5月29日、同省のサーバを経由し、第三者から約10万件の迷惑メールが送信されたと発表した。海外からの迷惑メール送信の踏み台に使われたとみている。 使われたメールアドレスは厚労省のもの(@mhlw.go.jp)ではないという。 5月27日午後8時ごろから、28日午後8時半ごろまでに、件名「Re: Can I trust you?」という件名、本文も英文のメールが約10万件、海外アドレスを中心に送信されたという。 問題を確認した後、メール中継サーバへのアクセスを遮断するなど対策を講じた。システム運用・保守事業者に原因究明・再発防止の徹底を求めているという。 関連記事 デジタル庁が運用するメール中継サーバに不正アクセス 迷惑メール1万3000件送信 自治体から迷惑メール91万件 SBテクノロジーのセキュリティクラウド、設定ミス突かれ踏み台に 自治体向けセキュリティクラウドが迷惑メール
美容商社インテンスは5月20日、美容室向けのショップサイト「fofo」が不正アクセスを受け、顧客のクレジットカード情報1万5198件が平文で漏えいした可能性があると発表した。 原因は、サイトのシステムの脆弱性をついたこと不正アクセスにより、Webサーバにバックドアのスクリプト(WebShell)が設置され、サーバ内を不正操作されたこと。 2020年12月24日~2023年12月8日に「fofo」で購入した顧客のカード情報で、カード番号と有効期限、セキュリティコード、会員氏名、DBデータ、ログイン情報が、平文で出力され、保存された可能性があるという。 同サイトのカード決済は2023年4月1日に停止していたが、約半年後の9月13日、一部のカード会社から情報漏えいの懸念があると連絡を受けた。調査はそれから半年弱の2024年1月17日に完了したという。 対象の顧客には5月20日からメールで個別に連
スキマバイト事業者に不正アクセス 個人情報など約50万件漏えいか 「情報転得した」と主張の人物がデータ入りUSBメモリ返還
スキマバイト事業者に不正アクセス 個人情報など約50万件漏えいか 「情報転得した」と主張の人物がデータ入りUSBメモリ返還 いわゆる“スキマバイト”募集プラットフォームを手掛けるネクストレベル社(大阪市)は5月24日、不正アクセスにより個人情報など50万件近くが漏えいした可能性があると発表した。なお事態の発覚後、「情報を転得した」と自称する人物から連絡があり、警察官立ち合いの下、情報を含むUSBメモリを受け取ったという。 漏えいした可能性がある情報は、プラットフォームに登録している個人ユーザーのID、氏名、性別、生年月日、住所、電話番号、メールアドレス、口座情報、勤務経歴や勤務条件、資格、緊急連絡先、同サービス上に登録されている身分証明書の写真にアクセスするためのURLなど49万6119件。 このうち、身分証明書の写真にアクセスするためのURLは変更済みという。情報の中にマイナンバーは含ま
NNIDは「ニンテンドー3DS」シリーズや「Wii U」で使用するアカウント。NNIDを経由して「Nintendo Switch」やスマートフォン、PCなどで利用するニンテンドーアカウントにログインする機能があった。 不正アクセスがあったのは4月上旬ごろ。任天堂は4月24日、約16万件のNNIDが不正アクセスを受け、ユーザーのニックネーム、生年月日、メールアドレス、国/地域の情報が閲覧されたと発表。ニンテンドーアカウントと連携していた場合は氏名や性別も閲覧された可能性があるとしていた。新たに分かった約14万件を合わせると、情報漏えいの可能性があるNNIDは約30万件に上る。 不正アクセスによるクレジットカード情報の漏えいはないとしている。しかし、NNID経由でニンテンドーアカウントにログインし、不正な取引が行われた可能性のあるアカウントは「全体の1%未満」(同社)ほどあったという。被害があ
LINEヤフーは4月1日、2023年10月に起きた個人情報流出についての総務省から行政指導をめぐり、同省に報告書を提出し、その概要(PDF)を公開した。 概要によると同社は、韓国NAVERのシステムとの分離を進めている他、「NAVER側から資本的な支配を相当程度受ける関係の見直し」について親会社などに働きかけていくという。 LINEヤフーの筆頭株主であるAホールディングス(持ち株比率65.3%)には、NAVERとソフトバンクが折半出資している。 情報流出は、同社と韓国の関連会社NAVER Cloud委託先企業の従業員PCがマルウェアに感染したことをきっかけに、NAVER CloudのADサーバも感染。その管理者権限や、LINEヤフーのADサーバの認証情報が奪取され、不正アクセス被害につながったとみられている。 流出を受け、総務省はLINEヤフーに、NAVERのシステムからのアクセスを最小限
SMBC日興証券・信託銀行、個人情報約12万件が閲覧可能な状態に Salesforce製品に設定ミス 一部で流出も
SMBC日興証券・信託銀行、個人情報約12万件が閲覧可能な状態に Salesforce製品に設定ミス 一部で流出も SMBC日興証券とSMBC信託銀行は3月8日、合計11万8764件の個人情報が外部から閲覧可能な状態になっていたと発表した。どちらも情報の管理に使っていたCRM(顧客関係管理)ツール「Salesforce」の権限設定に不備があったという。このうち151件は実際に流出を確認した。 【訂正履歴:2021年3月9日午後3時 当初、タイトルなどで「流出か」「漏えいした可能性があると発表した」としておりましたが、正しくは「閲覧可能な状態になっていた」でした。また、SMBC信託銀行で閲覧可能な状態になっていた情報について、当初は「デビットカードの暗証番号」としていましたが、正しくは「暗号化されたデビットカードの暗証番号」でした。お詫びして訂正します。】 【編集履歴:2021年3月9日午後
SlackやZoomは学生や教職員間のコミュニケーションに活用。学生が、一般企業でよく使われるITツールに慣れやすいようにするという。今回導入したシステムは大学の学生・教職員に加え、中学部や高等部の教員も利用する。各ツールの導入は日商エレクトロニクスや三井情報といったシステム開発事業者が支援した。 関連記事 新入生にiPad配布へ 名古屋文理大情報メディア学科 名古屋文理大学は、情報メディア学科に来春入学する新入生全員にiPadを無償配布すると発表した。iPadを学生に無償配布する大学は国内初という。 近畿大、全学生に「Slack」導入へ 絵文字もOK、教職員と気軽にやりとり目指す 近畿大学が、全学生に「Slack」を導入する計画を発表。2020年4月に830人の学生へ導入。対象範囲を順次広げていく。 近畿大、全教員が「Slack」利用へ “お堅い”やりとりなくす 近畿大学が、全教員向けに
トヨタモビリティサービスは2月16日、社用車専用クラウドサービス「Booking Car」ユーザーのメールアドレスや氏名、顔写真など約2万5000人分が漏えいした可能性があると発表した。 同サービスのデータを保管している「Amazon Web Services S3」(AWS)の領域で、過去の別プロダクトに用に設定していたAWSアクセスキーを無効化し忘れており、このアクセスキーを使えば顧客のメアドなどにアクセス可能だったことが判明したという。 漏えいした可能性があるのは、サービス開始当初の2020年10月から、問題発覚の2024年2月2日までに登録した企業・自治体の従業員・職員のメールアドレスと、顧客一人一人に割り振られた識別番号。 顔写真、車両キズ、車両の画像など顧客がアップロードした写真データ、メアド、氏名、電話番号、支店名、支店住所、部署名、役職、顔写真、IPアドレス、駐車場場所、行
川崎重工業は12月28日、同社の海外拠点から日本国内のデータセンターへ不正アクセスがあり、一部の情報が外部に流出した可能性があると発表した。 同社は6月、社内で実施したシステム監査で、本来は発生しないタイ拠点から日本国内のデータセンターへのアクセスを発見。同日中に不正アクセスと判断して通信を遮断した。その後、インドネシア、フィリピン、米国の各拠点からも不正アクセスがあったと判明したため、各拠点との接続を遮断、または通信を制限したという。 外部の専門機関と原因などを調査する中で、データセンターの一部情報が海外拠点を通じて外部に流出した可能性があると分かったが、内容などの特定はできていないとしている。現在は海外、日本国内の各拠点とも通信環境に異常はないという。 川崎重工は「個人情報や社会インフラ関連などの機密情報を扱うため、セキュリティ対策は最重要課題として取り組んできたが、今回の不正アクセス
講談社のヤングマガジン編集部は1月29日、「攻殻機動隊」公式X(旧Twitter)アカウント(@thegitsofficial)が28日朝から不正アクセスを受けて乗っ取られたため、利用を中止していると発表した。再開についてX社と調整しているという。 不正アクセスによる被害報告はないが、引き続き他の公式SNSを含めて調査し、セキュリティ強化を進めていくという。復旧予定が決まれば公式サイトなどで告知する。 関連記事 ドトール公式Twitterアカウントが乗っ取り被害に NFT関連サイトに誘導する投稿も ドトールコーヒーの公式Twitterアカウントが不正アクセスにより乗っ取られた。アイコンやヘッダ画像が削除され、アカウント名も「.」に変更されており、ドトールコーヒーとは関係のないツイートも見つかった。 公式Twitterアカウント狙うフィッシング増加 青バッジの騒乱に乗じなりすまし画策か 米セ
ヤフーは1月8日、長く使われていない「Yahoo! JAPAN ID」の利用を、2月から順次停止すると発表した。長期間利用実績のないIDは不正アクセスの対象になりやすいため、今回の措置によって被害を未然に防ぎ、ユーザーの個人情報を保護する。 対象のIDは、4年以上使われていないもの(一部を除く)。不使用の期間が4年未満でも、ヤフーが不正アクセスの可能性を検知したIDは利用を停止する場合がある。これらのIDは削除しないが、2月以降はログインできない状態にする。 IDの停止後も、ユーザーが過去に「Yahoo!知恵袋」「Yahoo!ニュース」などのYahoo! JAPAN関連サービスに書き込んだ内容は削除しない。 ヤフーは、条件を満たすIDの継続利用を望むユーザーに対し、1月中に再度ログインするよう呼び掛けている。 関連記事 「Yahoo!ブログ」がサービス終了 「ネット上の遺産が消えて悲しい」
株式会社ユーザーローカルは、開発者向けにシステム試験用の疑似個人情報データをワンクリックで自動生成できる「個人情報テストデータジェネレーター」を無償で提供開始した。本ジェネレーターは大量のダミーデータをすぐに生成し、システム開発における品質検査やセキュリティチェックに利用できる。 システム開発時には、本番運用を開始する前に動作テストやセキュリティチェックの実施が不可欠になる。しかし、実際の会員情報でチェックすることは危険なためダミーのデータを使ってテストを実施するが、ダミーデータ作成には大きな手間がかかる。 そこで、ユーザーローカルは、実在データと同品質のテストデータを大量に自動生成する「個人情報テストデータジェネレーター」を無償提供したという。個人情報は1度の生成で1万行(1万人)分まで対応しており、それ以上生成したい場合は問い合わせる必要がある。実データに極めて近い品質のデータを生成可
付録として、ECサイトの構築・運用時に気を付けるべきセキュリティ対策のチェックリストも公開している。いずれも、中小企業のECサイトからクレジットカード情報が盗まれるトラブルが相次いでいることを受けて作成したという。 関連記事 ファッションECでクレカ情報9000件漏えいか、個人情報も最大5万件が対象に 三京商会「情報保有はしていない」 ECサイト「三京商会 公式ショップ」が不正アクセスにより決済システムを改ざんされ、最大でクレジットカード情報約9000件、個人情報約5万件が漏えいした可能性があると発表した。 ChatGPTに「クレカ情報丸ごと漏えいって一式保存してたってことなんですか?」と聞いてみたら AIチャットbot「ChatGPT」に、人間には答えにくい質問や、答えのない問い、ひっかけ問題を尋ねてみたらどんな反応を見せるのか。ChatGPTの反応からAIの可能性、テクノロジーの奥深さ
不正アクセスによってユーザーの免許証データなど171万件が流出した可能性のある婚活マッチングサービス「Omiai」に関連して、新たな情報流出が発覚した。 Omiai運営元のネットマーケティングは5月23日、同社の企業サイトの問い合わせフォームを利用した37人の氏名など個人情報が、後からフォームにアクセスしたユーザーに閲覧されていた可能性があると発表した。サイトの不具合が原因で、不正アクセスではないという。 閲覧された可能性があるのは、5月19日午前11時~22日午後3時までにフォームに記入されたユーザーの会社名や氏名、電話番号、メールアドレス、問い合わせ内容の一部など。 同社が19日、企業サイトのサーバ増強のためサーバプラットフォームを移行した際、システム設定の不備により、問い合わせフォームに投稿されたキャッシュが残るケースが出てしまったという。 22日にユーザーから指摘を受けフォームを一
ヤフーは1月15日、モバイル決済サービス「PayPay」について、有効期限が60日の「PayPayボーナスライト」の配布を31日に終了すると発表した。これにより、PayPayの有効期限付き残高の付与は終了する。 ヤフーは「ヤフオク!」や「PayPayフリマ」といった同社サービスでのキャンペーン時にPayPayボーナスライトを配布している。2月以降は有効期限のない「PayPayボーナス」のみを付与する。1月31日までに付与するPayPayボーナスライトの有効期限は変更しない。 ヤフーは2019年7月、銀行口座やヤフオク!の売り上げ金からチャージした残高など、PayPayボーナスライトを除く全ての残高の有効期限を廃止していた。 関連記事 「PayPayフリマ」が手数料値下げ、販売価格の10%→5%に メルカリ・ラクマより安く ヤフーが、フリマアプリ「PayPayフリマ」の販売手数料を値下げ。こ
「7pay」の不正ログイン被害を受け、運営元がセキュリティ対策の強化を発表。今後、二段階認証の導入や、チャージ1回当たりの上限額の見直しを予定している。 モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、セブン&アイ・ホールディングスは7月5日、セキュリティ対策を強化すると発表した。既にサービス運営元のセブン・ペイで、モニタリングを行う人数と項目を増やした。今後は、二段階認証の導入や、チャージ1回当たりの上限額の見直しも予定している。 同日、被害状況の把握や原因究明のために「セキュリティ対策プロジェクト」を立ち上げた。社外のアドバイザーをメンバーに迎え、経産省などが決済事業者に求めるガイドラインに基づき、対策を講じていく方針だ。 関連記事 「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識” モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題
カタログギフト販売ECサイト「カタログギフトのハーモニック」(以下、ECサイト)を運営するハーモニック(新潟県三条市)は7月13日、第三者による不正アクセスを受け、利用者のクレジットカード情報と個人情報が漏えいした可能性があると発表した。カード情報は最大2万8700件、個人情報は最大15万236件漏えいした可能性があるという。 漏えいした可能性があるカード情報は、2020年11月14日~2021年11月11日にECサイトでカード決済をした人(最大2万8700人)のカード名義人名とカード番号、有効期限、セキュリティコード。 漏えいした可能性のある個人情報は、2020年11月14日までにECサイトで商品を購入、または会員登録した利用者全て(最大15万236人)の氏名と住所、電話番号、メールアドレス、性別、生年月日。また、名入れ商品の購入者(最大5445人)は、子どもの氏名と性別、生年月日、出産
NTTドコモは、身に覚えのないdアカウントのセキュリティコード通知が届く事象が確認されているとして、ユーザーに注意を呼び掛けた。送られてくるセキュリティコードは2段階認証のためのもので、不正ログインは確認していないが、ユーザーには、ID・パスワードの変更などのセキュリティ対策を呼び掛けている。 同社は7月17日、「不正アクセスが目的とみられる海外からのログイン試行が増えている」と判断。「身に覚えのないセキュリティコード通知が届いた」とするユーザーからの問い合わせも、18日までに601件あったという。不正ログインの被害は確認していない。 ユーザーに対しては、他社サービスと異なるID・パスワードを設定することや、第三者が容易に推測できるID・パスワードを使わないこと、2段階認証の設定を「強」にすることなどを呼び掛けている。 dアカウントをめぐっては昨年、外部からの不正ログインによる不正使用で、
カメラなどの修理・販売チェーンを運営するカメラのキタムラは6月15日、公式通販サイト「カメラのキタムラネットショップ」が外部から不正アクセスを受けたと発表した。第三者が顧客のメールアドレスとパスワードを不正に取得し、会員になりすましてログインする攻撃が相次ぎ、計約40万件の個人情報が閲覧された可能性があるという。二段階認証や多要素認証などの不正アクセス防止策は採用していなかったとしている。 不正アクセスは4月4日~5月27日に相次いで発生。第三者に閲覧された恐れのある個人情報は、顧客の氏名、住所、生年月日、電話番号、ニックネーム、注文履歴などで、5月28日に判明した。不正アクセスはその後も継続して確認している。 不正アクセスに使われたメールアドレスとパスワードは、カメラのキタムラから漏えいしたものではなく「第三者が何らかの方法で、外部から取得したID・パスワードをリスト化し、それに基づいて
令和2年7月18日(土)22時頃、弊社が提供するサービス「MITERAS」を装ったいわゆる「迷惑メール」が不正に送信されるという事実を確認いたしました。 メールの送信の対象となりました皆様には多大なご迷惑をお掛けしましたことを、深くお詫び申し上げます。 「迷惑メール」は、弊社が送信したものではございません。受信が確認された際は、メール本文のウイルス感染や不正アクセスなどの可能性がございますので、添付ファイルの開封やメール本文中のURLのクリックを行わず、メールごと削除していただくようお願いいたします。 尚、「MITERAS」が保有する情報が外部に持ち出された痕跡、不正流用等の事実は確認されておりません。 1 状況 悪意のある第三者により、弊社のメールサーバが利用され、不特定多数に対して迷惑メールが送信された事実が判明。不正メールの送信元アドレスドメインは「miteras.jp」となります。
24時間テレビチャリティー委員会(公益社団法人)は4月16日、不正に入手したとみられる他人のクレジットカードで、24時間テレビのキャッシュレス募金サイトに不正アクセスし、少額募金する事案が発生したとし、注意を呼び掛けている。 大量のセキュリティーコードを入力することで、カード番号が利用可能か確かめるのが目的とみられており、カード利用明細に身に覚えのない 「24時間テレビ(インターネット)募金」などと記載されていないかを確認してほしいという。 17日現在、24時間テレビのカードによるキャッシュレス募金 システムを一時停止し、対策を急いでいる。 不正アクセスは4月7日から13日に行われていたという。カードの不正利用を確認した場合は、返金を行っている。 不正利用されたと思われるカードは他サイトでも悪用される可能性があるとし、注意を呼び掛けている。 また、同サイトのシステムからカード情報が流出した
講談社ヤングマガジン編集部は1月30日、28日から第三者に乗っ取られていた「攻殻機動隊」公式Xアカウント(@thegitsofficial)について、X社の協力により30日正午に復旧したと発表した。 同社は今回の事態について「作品性と、被害を受けた時期も相まって、作品のプロモーション施策のような誤解を招くご報告になった」とし、「ファンの皆さまには大変なご迷惑とご心配をおかけした」と謝罪している。 2002年~03年に放送されたテレビアニメ「攻殻機動隊 STAND ALONE COMPLEX」では、2024年2月にサイバーテロ「笑い男事件」が発生している。タイミングが一致することもあり、今回の乗っ取り騒動は「笑い男事件に絡めたプロモーションではないか」と疑うファンもいた。 関連記事 「攻殻機動隊」公式Xが乗っ取り被害 不正アクセス受け 「攻殻機動隊」公式X(@thegitsofficial)
新生銀行、カードローンの顧客情報を委託先に誤提供 メアド8000件超、暗証番号含む口座情報一式37件、カード番号・暗証番号も2件流出
新生銀行と新生ファイナンシャルは9月27日、複数の業務委託先にカードローンサービスの顧客情報を誤って一部提供していたと発表した。中には顧客のメールアドレスが約8000件含まれる他、カードの暗証番号など口座情報一式を提供していた事例も37件あった。27日時点では、業務委託先からさらに流出した形跡はなく、不正利用も確認されていないとしている。 誤って提供したメールアドレスは、メール配信停止ページで手続きをした「新生銀行カードローンエル」会員の6293件と「レイク ALSA」会員の2108件。これとは別に、レイク ALSAのWeb契約手続きページで入力を受けた口座情報一式(金融機関名、支店名、預金種別、口座番号、口座名義人、カード暗証番号、メールアドレス)37件と、カード暗証番号とメールアドレスのセット54件を外部に提供していた。レイク ALSA会員のカードローンのカード番号とカード暗証番号、生
7&iは7月5日、外部の情報セキュリティ企業(社名非公表)と連携した「情報セキュリティ対策プロジェクト」を立ち上げ、7payの不正利用に関する調査を開始。その結果、先述の通りリスト型攻撃による被害である可能性が高いとの結論に至ったという。 リスト型攻撃は、その名の通りIDやパスワードの「リスト」の一覧を“総当たり”で入れていくハッキング(攻撃)だ。要するに、悪意のある第三者がリストに基づく7iDのログイン試行を行った結果、不正利用につながったということになる。 7&iグループのデジタル戦略を担うセブン&アイ・ネットメディアの田口広人社長によると、リリース翌日(7月2日)の早朝から数千万回のアタック(試行)があったという。不正利用が確認されている808人についてはログインの試行とエラーの回数の調査も済んでいる一方、その他の「入られてしまった(ログインが成功してしまった)」事例については、セキ
国際協力機構(JICA)は3月16日、同団体が運営するキャリア情報サイト「PARTNER」に不正アクセスがあり、個人情報8418件が流出したと発表した。情報の管理に使っていたCRM(顧客関係管理)ツール「Salesforce」の設定にミスがあったという。 流出したのは、同サイトに会員登録しているユーザーの氏名、生年月日、住所、電話番号、メールアドレス、希望勤務地や勤務経験など。 他社で相次いでいたSalesforceの設定ミスに起因する情報漏えいを受け、21年1月7日に点検を行ったところ、個人情報が外部から閲覧できる状態だったことを確認。20年12月24日に不正アクセスを受けたことが分かったという。 JICAは事態の発覚後、Salesforceの設定を変更した他、2月9日にシステムをアップデートし、第三者からのアクセスを遮断した。今後は設定を定期的に見直し、再発防止に努めるとしている。 S
東京ディズニーリゾートでスタッフが撮影した写真をネット上で注文できるサービス「東京ディズニーリゾート・オンラインフォト」で、一部の顧客が本人以外の写真を閲覧できる状態になっていた。写真にアクセスするための番号が印刷されたカード「フォトキーカード」のうち7438枚に、重複した番号が記載されていたため。うち1549枚で、データが実際に閲覧されたことを確認したという。 オリエンタルランドは6月26日、東京ディズニーリゾートの施設内でスタッフが撮影した写真をネット上で注文できるサービス「東京ディズニーリゾート・オンラインフォト」で、一部の顧客が本人以外の写真を閲覧できる状態になっていたと発表した。写真にアクセスするための番号が印刷されたカード「フォトキーカード」のうち7438枚に、誤って重複した番号を記載していたため。うち1549枚で、データが閲覧されたことを確認したという。 該当の写真は、24日
画材などを販売する世界堂のオンラインショップのサーバが8月19日に不正アクセスを受け、会員のメールアドレス最大18万6704件が流出した。サーバの脆弱性をつく攻撃を受けたという。世界堂が9月16日に発表した。 ECシステムの管理を委託している委託先企業のサーバが不正アクセスを受け、同日までに「世界堂オンラインショップ」に登録したユーザーのメールアドレスが流出した。 氏名や、住所、ログインパスワ-ド、注文履歴、決済情報などは流出していない。 漏えいしたメールアドレスに、スパムメールやフィッシング詐欺メールなどが送信される可能性があるとし、会員に注意を呼び掛けている。 関連記事 ジブリパークで個人情報流出 スタッフ応募の1525人、金銭の要求も ジブリパーク社はは9月24日、スタッフ募集に応募した1525人の個人情報が流出したと発表した。委託先の企業が金銭を要求される事件に発展している。 ニト
セブン&アイ・ホールディングスは、不正アクセスを受けたコード決済「7pay」のセキュリティ対策の一環で、7月30日に7iDパスワードの一斉リセットを行った。 同社によると、7payの不正アクセスの原因は、あらかじめ入手したIDとパスワードを用いて不正アクセスをする「リスト型攻撃」の可能性が高いという。そのため、パスワードとIDの情報が第三者に取得されていたとしても、パスワードをリセットすることで、リスクを最小化できると考えたとのこと。 7iDを利用するサービスは、7pay、セブン-イレブンやイトーヨーカドーなどのネットショッピングに利用するオムニ7、セブン-イレブンやイトーヨーカドーなどのアプリ、ネットコンビニ、セブンスポットなど。 これらのサービスは、パスワードを再設定しないと利用できない。パスワードを再設定せずに新規会員登録をすると、セブンマイルプログラム、各社アプリ、オムニ7の買い物
カプコンは11月16日、第三者からの不正アクセスで最大35万件の個人情報が流出した可能性があると発表した。国内外の顧客情報や株主名簿、従業員、採用応募者などの情報が含まれるという。 漏えいした可能性があるのは、国内顧客の氏名や住所など(約13万4000件)、採用応募者の氏名や顔写真など(約12万5000件)、株主名簿情報(約4万件)、退職者やその家族の氏名、顔写真など(約2万8000件)、社員の人事情報(約1万4000件)、北米向けに運営しているECサイト「Capcom Store」の会員情報(約1万4000件)、北米向けのeスポーツ大会の運営に使っているサイトの会員情報(約4000件)、売上情報、取引先情報、営業資料、開発資料など。 従業員や元従業員の個人情報9件と、社内の財務情報は実際に流出を確認した。これら以外の情報も漏えいした可能性があるという。ECサイトなどでの決済は外部業者に委
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は
松井証券のシステム開発委託先SE、顧客口座から2億円着服か パスワードなど不正使用して出金
デジタル庁が運用するメール中継サーバに不正アクセス 迷惑メール1万3000件送信
求人サービス「engage」の画像・動画が全て消失、復旧できず 原因は不正アクセス
オリックス孫会社、個人情報21万件入りサーバを紛失 外部に持ち出された可能性も
教育機関向けSaaS「Classi」に不正アクセス 約122万人のユーザーIDなど流出の恐れ
流出したSMBC信託のデビット用暗証番号が復号・閲覧された可能性
「他の生徒の受検結果が見える」Z会が謝罪 教師用画面のコードを生徒用に転用してミス
厚労省サーバから「Re: Can I trust you?」10万件 迷惑メールの踏み台に
クレカ情報1.5万件、平文で流出か 美容室向けECサイト「fofo」に不正アクセス
ニンテンドーネットワークID、追加で約14万件の漏えい明らかに 不正な取引も「1%未満」
LINEヤフー、NAVERとの通信を遮断へ 「資本的支配受ける関係見直しの働きかけ」も
Slack、Box、Zoom、Oktaを全学導入 脱PPAPや多要素認証を実現 関西学院大学
トヨタの社用車クラウドで情報漏えい 過去プロダクトのAWSアクセスキー無効化忘れ
川崎重工に不正アクセス、一部情報流出の恐れ 「痕跡がなく、高度な手口によるもの」
「攻殻機動隊」公式Xが乗っ取り被害 不正アクセス受け
ヤフー、長期間不使用の「Yahoo! JAPAN ID」を利用停止へ 不正アクセス対策で
ダミーの個人情報を自動生成するジェネレーター無償提供、最大1万人分を生成 | Ledge.ai
ECサイト運営の“危険ポイント”、IPAが79ページの資料を無料公開 クレカ情報の漏えい多発受け
「Omiai」運営元、企業サイトのフォームからも情報流出 「システム設定の不備」で
ヤフー、「PayPayボーナスライト」の配布を終了 有効期限付き残高を撤廃へ
7pay、二段階認証を導入へ チャージの上限額も見直し
カタログギフト販売サイトに不正アクセス 最大2万8700件のクレカ情報、最大15万236件の個人情報が漏えいか
「身に覚えのないdアカウントのセキュリティコード通知が届く」ドコモが注意喚起
「カメラのキタムラ」通販サイトに不正アクセス 個人情報40万件が閲覧された可能性 二段階認証を採用せず
ニュースリリース | パーソルプロセス&テクノロジー株式会社
身に覚えのない「24時間テレビ」募金履歴に注意 他人のカードの有効性確認目的か
「攻殻機動隊」公式X乗っ取りから回復 「笑い男事件」ではなかった
「7iD」のセキュリティは大丈夫? 7pay終了会見で残った疑問
JICAのWebサイトに不正アクセス、個人情報8418件が流出 Salesforce設定に不備
ディズニーリゾートで撮った写真データを他人が閲覧 閲覧用カードの番号が重複
世界堂オンラインショップに不正アクセス メアド最大18万件が流出
7pay不正アクセスの原因は「リスト型攻撃の可能性が高い」 7iDパスワードを一斉リセット
カプコン、最大35万件の個人情報が流出した恐れ 11月2日の不正アクセスで