JR東の複数の連携サービスに対して一つのIDでログインできるようにするサービス「My JR-EAST」だが、公式ページによると来年以降にサービスの終了を検討しているという。このため新規会員登録を2023年10月3日から停止するとしている。終了時期と取り扱いについては後日通知される（My JR-EAST公式の新規会員登録の停止について）。 終了の理由等に関しては告知されていないものの、同じページ上でビューカードを装ったメールを送信し、偽のVIEW's NETログイン画面へ誘導するフィッシング詐欺への警告がおこなわれていること、2014年に「My JR-EAST」サービスで大規模な不正ログイン事件なども起きていたことも影響している可能性がある。 あるAnonymous Coward 曰く、 JR東日本がグループの共通IDサービス「My JR-EAST」を廃止し、各サービスごと別々のIDでのログ

はてな匿名ダイアリーに他人のTカードを乗っ取れる脆弱性があるという話が掲載されている。記事の筆者はTカードの運営や着信認証を提供している企業への問い合わせもしたが回答はなく、IPAなどにも連絡したものの報告を受理してもらえなかったので記事として掲載したとしている（はてな匿名ダイアリー）。 あるAnonymous Coward 曰く、 - モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある - 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される - ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。 証拠動画 080-1234-5677 とい

昨年 8 月に発生した LastPass の開発環境への不正アクセスは 11 月の不正アクセスにつながり、攻撃者は顧客のパスワード保管庫のバックアップを保存したクラウドストレージにアクセスしているが、この 2 回目の攻撃は DevOps エンジニアがサードパーティソフトウェアを更新していれば防げた可能性があるようだ (PCMag の記事、 Android Police の記事)。 LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワード

カナダ・グェルフ大学の研究グループが電子機器修理サービスプロバイダーによる個人ファイルの扱いを調べたところ、修理担当者が作業に必要ない個人ファイルにしばしばアクセスしており、修理依頼者が女性の場合は特に多いことが判明したそうだ (U of G News の記事、 Ars Technia の記事、 PCMag の記事、 論文アブストラクト)。 研究グループの調べによると、カナダで利用可能な電子機器修理サービスプロバイダーでは規模の大小にかかわらず、デバイスに顧客が保存した個人データを保護するプライバシーポリシーが用意されていないという。また、Windows 10 のプリインストールされた新品のノート PC を 6 台を購入し、オーディオドライバーを無効化して実際に修理を依頼する実験も行っている 実験では 3 台ずつ男性と女性の所有者という設定で個人ファイルやインターネットサービスのアカウント

JR東日本は6月から運転士向けの時刻表を電子化し、タブレット端末に切り替えていたそうだ。ところが同社が21日に発表したところによると、福島県郡山市の水郡線の運転士が、業務用タブレットのパスワードを忘れて時刻表が見られなくなり、普通列車が最大23分遅れ、乗客約60人に影響が出るトラブルがあったという（福島民報、朝日新聞、iPhone Mania）。 福島民報の記事によると、この業務用タブレット端末は、端末の起動やアプリの利用に使うパスワードが複数あり、端末を起動するためのパスワードを運転士が失念してしまったことから起きたトラブルだそうだ。JR側は「パスワードを忘れないようにするなど指導を徹底する」としている。

政府は長射程ミサイルとして開発中の地対艦ミサイルに関して、開発完了前でも一定の性能を獲得できた段階で導入する「アジャイル開発」を用いて、配備の時期を前倒しする方針を固めたそうだ。12式地対艦誘導弾の改良型がそれにあたり、計画では12式の約200キロを大きく上回る900~1500キロの射程延長を目標としている。政府は従来は26年度以降の量産・配備開始を目指していたが、23年度以降に前倒しすることを目指すとしている（毎日新聞、Yahoo!ニュース）。 あるAnonymous Coward 曰く、 開発完了を待たず100%の性能が得られなくても実戦配備をおこなってアジャイル化・スパイラル開発をおこなうそうです ＃射程1500kmの対艦ミサイルを対地攻撃に転用すれば日本列島からソウル、ピョンヤン、台北、北京、南京、ウラジオストックに届く

ストーリー by nagazou 2022年03月15日 16時10分 ますますロシア国外情報にアクセスしにくくなりそう 部門より ロシアが独自のTLS認証局を創設したとの報道が出ている。ロシアは現在、ウクライナ侵略を受けて世界各国からさまざまな制裁を受けているが、欧米の企業や政府による制裁措置により、既存のTLS証明書を更新することができない状況に陥っている。証明書の有効期限が切れてしまえば、ブラウザ側でサイトへのアクセスがブロックされてしまう。このため独自のTLS認証局を創設し、期限切れもしくは無効化された場合の代替となる証明書を無料で発行するとしている（Bleeping Computer、TECH+）。 ロシアの公共サービスポータルである「Gosuslugi」によれば、新たなサービスでは、5営業日以内に証明書を無料サイト所有者である法人に提供するとしている。ただし、こうした新しい認証

もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ（安全性の低いアプリと Google アカウント）。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる（窓の杜）。 なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類

スマートホームカメラ「ATOM Cam」を開発・販売するATOM Tech（アトムテック）は6月12日、同社の提供する「ATOM – スマートライフ」アプリ（Android版、iOS版）において、事前の説明と異なる目的で位置情報を利用していたことを謝罪し、位置情報の利用を停止した修正版のアプリを公開した（ATOM Techのニュースリリース）。 発端は5月29日、Googleのソフトウェアエンジニアである河本健氏がAndroid上でのパケットキャプチャにより、同アプリが起動時に端末の緯度・経度をアトムテックのサーバーに送信していることを発見したことに始まる。 同アプリでは事前に「スマートフォンのWi-Fi情報を取得するため」として初期設定時に位置情報の取得の許可を求めていたが、そのために位置情報を送信する必要性を同社に問い質したところ、実は「ユーザーのタイムゾーンを判定するため」という回答

Yahoo! JAPANはセキュリティ向上のため、「秘密の質問と答え」を2021年6月に廃止することを発表した(Yahoo! JAPAN IDガイド)。携帯電話番号もメールアドレスも登録していないアカウントはパスワードを忘れるとログインできなくなるため、登録を促している。 「秘密の質問」はかねてからスラドでは不評であったが、とくにYahoo! JAPANの「秘密の質問」は変更が不可能という致命的な問題を抱えていた。スラドの諸氏は「秘密の質問」を導入しているサイトをいくつ利用しているだろうか。

カプコンは16日、同社のサーバーが不正アクセスを受け情報が流出していたことが確認されたと発表した（カプコン、PC Watch）。同社は11月4日のリリース段階では不正アクセスがあったことは認めていたものの、情報の流出等には触れていなかった。経緯については過去記事で触れた内容に準じたものであり、ランサムウェアを用いてサーバー暗号化されていたことや「Ragnar Locker」を名乗る集団から身代金要求があったことなどを認めた内容となっている。 リリースによれば、11月16日段階で判明している情報流出は以下の通り。 1. 流出を確認した情報 (1) 個人情報9件 元従業員の個人情報5件 （氏名・サイン2件、氏名・住所1件、パスポート情報2件） 従業員の個人情報4件 （氏名・人事情報3件、氏名・サイン1件） (2) その他 販売レポート 財務情報 2. 流出の可能性がある情報 (1) 個人情報（

Internet Archiveからnote関連のキャッシュがまるごと消えてしまったそうだ（5ちゃんねるの書き込み）。新たな登録もできないという。noteの以前のドメインであるnote.muに関しても完全にブロックされているとのこと。 5ちゃんねるのInternet Archive総合スレの書き込みによると、8月上旬まではnote.comドメインのキャッシュが共有されていたという。8月に発生したnoteのIPアドレス流出事故の後に対処されたのではないかとしている。実際にnote.comのrobots.txtを見るとInternet Archiveとウェブ魚拓のクロールを拒否する記述がされている。 あるAnonymous Coward 曰く、

旅客機内への持込・預入の禁じられた除菌製品「クレベリン」を乗客が旅客機内に持ち込むトラブルが相次いでいるそうだ(NHKニュースの記事)。 二酸化塩素や亜塩素酸ナトリウムを含むものは航空法で航空機内への持ち込みが禁止されており、大幸薬品のクレベリンもこれに該当する。しかし、新型コロナウイルスによる感染症(COVID-19)が拡大する中、乗客が知らずに持ち込むケースが増加しているという。 クレベリンなど二酸化塩素による空間除菌製品に対しては2014年、密閉された空間でのみ効果が確認されているにもかかわらず、人の出入りや空気の流れがある生活空間でも除菌できるように宣伝したとして、消費者庁が景品表示法違反(優良誤認)で措置命令を出している(PDF)。 大幸薬品が2月12日にクレベリンの航空機での扱いに関する注意喚起をしたためか、国内航空各社はクレベリンのみ名指しで持込・預入不可を明記している。多く

43人のフリーランス開発者を対象にWeb登録フォームを作らせるという調査を行ったところ、そのうち26人がパスワードを平文保存していたという論文が発表された（柴田淳氏のTweet）。 この論文では、開発者を次の4グループに分けて依頼を行った。その結果、22歳から68歳の43人の開発者がこの「業務」を請け負ったという。 報酬100ユーロ、「パスワードを安全に保存するように」との指示あり報酬200ユーロ、「パスワードを安全に保存するように」との指示あり報酬100ユーロ、「パスワードを安全に保存するように」との指示なし報酬200ユーロ、「パスワードを安全に保存するように」との指示なし その結果、ハッシュ関数を使って不可逆な形でパスワードを保存したのは17人の開発者のみで、残りの26人は可逆的な暗号化もしくは単純なBase64エンコーディングでパスワードを変換して保存していたという。また、可逆的な暗

ストーリー by hylom 2016年10月20日 7時00分 2年でディスコン、というわけにはいかなかった 部門より 2年前に登場した、Androidを狙ったトロイの木馬「Ghost Push」による被害が未だに続いているという（ZDNet Japan）。 Ghost pushは勝手にアプリをインストールしたり、個人情報の窃取などを行うマルウェア。「Google Play」以外のアプリストアでこのマルウェアが含まれるアプリが配信されているという。Android 6以降では動作しないとされているが、Androidユーザーの半数以上がAndroid 5以前を使用しているとされており、そのため現在でも被害は続いているという。