“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。 多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。 これは、Webサイト
Jリーグはなぜテストデータを本番環境に出したのか 今後は“誰も不快にさせない”テストデータ作成へ
日本プロサッカーリーグ(Jリーグ)の公式Webサイトで、誤った試合結果を表示する問題が発生した件を巡り、Jリーグが6月10日、原因の詳細を説明した。サイトの不具合修正の過程で本番環境に接続したまま切断しなかったため、テストデータを開発環境に取り込むはずが、本番環境に取り込んでしまったとしている。 問題があったのは6~7日に開催された3試合。試合結果が逆転した他、ある選手が一発退場になるという誤情報を表示。影響を受けた鹿島アントラーズの小泉文明社長は「原因の説明を求めて抗議する」としていた。 Jリーグによると、公式Webサイトでは7日以前に、一部の試合データにおいて適切なページに遷移できない不具合が発生していたという。サイト運営会社で調査した際に、問題のデータを確認するため本番環境のデータベースに接続。その後、修正のためテストデータを開発環境に取り込もうとしたが、本番環境のデータベースに接続
ニトリ、不正アクセスで13万2000件の個人情報流出か リスト型攻撃で
家具大手のニトリは9月20日、スマートフォンアプリ「ニトリアプリ」において不正アクセスが発生したと発表した。約13万2000アカウントが不正ログインを受け、個人情報の一部が流出した可能性があるとしている。 不正ログインは9月15日から20日まで発生。19日に流出が判明したという。対象ユーザーは、ニトリネット/ニトリアプリ/シマホアプリで会員登録したユーザーの他、シマホネットでニトリポイントの利用手続きをしたユーザー。 攻撃手法は、ニトリ以外のサービスから流出したユーザーIDとパスワードを使って不正ログインを仕掛ける「リスト型アカウントハッキング」(リスト型攻撃)と推測。ニトリネットのニトリアプリ認証プログラムに対して仕掛けられたとする。 流出した可能性のある個人情報は、メールアドレス、パスワード、会員番号、氏名、住所、電話番号、性別、生年月日、建物種別(戸建/集合住宅)、エレベーターの有無
スイパラ、セキュリティコードなどクレカ情報一式7000件以上漏えいか 不正アクセスで決済システム改ざん
アニメ作品などのコラボカフェを手掛ける井上商事は6月7日、ECサイト「スイーツパラダイス オンラインショップ」で、利用者のクレジットカード情報7645件が漏えいした可能性があると明らかにした。同サイトは2021年12月にカードが不正利用されたとの報告が相次ぎ、半年に渡り閉鎖したままの状態になっている。 情報漏えいの可能性があるのは、21年8月28日から21年12月8日までの期間に同サイトでクレジットカード決済を行った利用者のカード番号、名義人名、有効期限、セキュリティコード7409人分。サイトの脆弱性を突いた不正アクセスにより、決済システムが改ざんされたことが原因という。なお、クレジットカード情報は同社で保有していなかったとしている。 井上商事は21年12月、サイト利用者やカード会社から不正利用の恐れがあるとの連絡を受け、9日にサイトを閉鎖。第三者機関による調査を始めた。調査結果が出た22
「iPhoneにサイドローディングさせろ」を国が言うのは妥当か
内閣官房デジタル市場競争本部事務局は4月26日、「モバイル・エコシステムに関する競争評価 中間報告」に対するパブリックコメントを開始した。資料はここからダウンロードできる。 280ページにも及ぶ労作で、スマートフォンのエコシステムについて詳細な分析を行なっており、これに関わる事業をやっている方にとっては参考になる部分も多いだろう。 ご承知の通り、スマートフォンのOSはAppleのiOSとGoogleのAndroidに2分されている。一時期MicrosoftもWindows Phoneで再参入した時期もあったが、2019年に「Windows 10 Mobile」のサポート終了を以て撤退。以降はiOSとAndroidの寡占状態が続いている。 もともと内閣官房デジタル市場競争本部事務局が、市場競争を加速し、最終的に消費者の利に資する目的の組織であることから、中間報告はこの寡占状態による市場競争の
エディオングループに不正アクセス 約8万件のデータが消される 流出の可能性も
家電量販店のエディオンは4月11日、同社グループが運用するサーバが不正アクセスを受け、8万件近いデータが削除されたと発表した。データが流出した可能性もあるとして原因の調査を行う。 不正アクセスを確認したのは8日正午ごろ。同社グループのHampstead(東京都品川区)から「サーバ内に保管していた情報が削除された」との報告を受けたという。対象データは7万7656件。エアコンなどの配送設置作業の際に取得した氏名や住所、電話番号などの情報や、荷物受け取り時のサイン画像、写真など。クレジットカード情報は含まれない。 攻撃を受けたのは配送管理システムを運用するサーバ。すでに情報セキュリティ対策を施したとしている。エディオンは外部の有識者とともに対策チームを設置し、個人情報の取り扱いについて管理体制の厳重化を徹底する。 関連記事 メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリテ
メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。 流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。 同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベー
トレースはもはや「つみ」状態なのか 引用とオマージュと再構築の果てに浮かび上がった問題とは?
トレースはもはや「つみ」状態なのか 引用とオマージュと再構築の果てに浮かび上がった問題とは?:小寺信良のIT大作戦(1/3 ページ) 2月に入ってからというもの、おそらく一生分の「トレパク」という言葉を目にしたように思う。 人気イラストレーター「古塔つみ」氏の多くの作品が、既存の写真や画像をトレースしたものではないか、またその利用許諾もとっていないのではないかとして、炎上状態にある。 「古塔つみ」氏本人はこの騒動について、「引用・オマージュ・再構築として制作した一部の作品を、権利者の許諾を得ずに投稿・販売してしまったことは事実」という声明をTwitterで出している。その一方で、「写真そのものをトレースしたことはございません。模写についても盗用の意図はございません」と、トレースではなく模写であると主張している。 YOASOBIなどを描いたイラストレーターがトレース疑惑で謝罪 「盗用の意図
サンライズが社名変更 4月から「バンダイナムコフィルムワークス」に
テレビアニメ「機動戦士ガンダム」などで知られるサンライズは2月8日、社名を4月1日付けで「バンダイナムコフィルムワークス」に変更すると発表した。サンライズとバンダイナムコアーツの映像部門、バンダイナムコライツマーケティングを統合する。 新会社の代表取締役社長には、サンライズ社長の浅沼誠氏が就任。バンダイナムコアーツ社長の河野聡氏が取締役副社長に、バンダイナムコライツマーケティング社長の垰義孝氏が専務取締役に就任する。 サンライズは「『サンライズ』という40年以上かけて磨き上げてきた個性はこれからも最重要ブランドとして成長させる。それだけではなく、これまでとは違う別の色を持った新たな個性も生み出していきたい」とコメントしている。 併せて、サンライズの子会社で音楽事業などを手掛けるサンライズミュージックも、バンダイナムコアーツの音楽部門、バンダイナムコライブクリエイティブと統合。4月1日から「
「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな
国内5万人の決済情報漏えい「技術的解析で個人を特定できる可能性」 LINE Payが見解
スマートフォン決済サービス「LINE Pay」で国内5万人の決済情報などが外部に漏えいした問題で、運営元のLINE Pay(東京都品川区)は12月7日、漏えいした情報に関し「技術的解析で個人を特定できる可能性がある」との見解を示した。同社は「弊社を装ったメールに注意してほしい」とユーザーに注意を呼び掛けている。 韓国企業の社員が個人用の「GitHub」に誤って公開 情報漏えいは、LINE Payの子会社で、同社の受託開発などを手掛ける、韓国LINE biz Plusで発生。1月と4月にLINE Payで行ったキャンペーンのポイント付与漏れを9月に調査した際、同社の社員が調査を行うためのプログラムとその対象になる決済情報を、ソフトウェア開発プラットフォーム「GitHub」に誤って公開した。 LINE PayはGitHubについて「閲覧制限を設けた企業用のアカウントを、ソースコードの保存など社
日本の製粉大手に「前例ない」大規模攻撃 大量データ暗号化 起動不能、バックアップもダメで「復旧困難」
「システムの起動そのものが不可能で、データ復旧の手段はない」――製粉大手のニップン(東証一部上場)は8月16日、7月7日に受けたサイバー攻撃の詳細と影響を明らかにした。 グループ会社を含むサーバの大半が同時攻撃を受け、バックアップを含む大量のデータが暗号化されて復旧不能に。外部専門家に「前例のない規模」と報告を受けたという。 財務システムも被害を受け、早期の復旧が困難なため、8月5日に発表予定だった2021年4~6月期の決算は、約3カ月延期。8月16日が提出期限だった四半期報告書の提出も、11月15日に延期する。 サイバー攻撃を受けたのは7月7日未明。グループの情報ネットワークのサーバや端末が同時多発的な攻撃を受け、大量のファイルが暗号化された。 ニップン単体の財務・販売管理データを保管しているファイルサーバに加え、グループ企業で同じ販売管理システムを使っていた11社と、同じ財務会計システ
読売新聞子会社でクレカ情報流出 すでに767万円の金銭的被害も確認
事態を受け、読売情報開発大阪は各カード会社に、情報が漏えいした可能性のある人に不正利用分の金額を請求しないよう要請。今後、追加の被害を確認した場合にも、同様の対応を取るとしている。 読売情報開発大阪はよみファネットをすでに閉鎖。6月24日には大阪府警に、28日には個人情報保護委員会に詳細を報告した。今後はセキュリティや不正アクセスへの監視体制を強化し、再発防止に努めるとしている。 同社が不正アクセスの可能性に気付いたのは3月2日。契約している決済代行事業者から流出の可能性を指摘されたため、よみファネットの全サービスを停止して調査したところ、不正アクセスを受けていたことが4月13日に発覚した。情報漏えいや、不正利用の可能性も明らかになったという。 読売情報開発大阪は発表が遅れた理由について、漏えいした可能性のある件数を特定するのに時間がかかっていたと説明。情報が流出した可能性のあるユーザーに
官僚アンケートで発覚 未だに「残念すぎる」霞が関の働き方と、改革を阻むカベ
官僚アンケートで発覚 未だに「残念すぎる」霞が関の働き方と、改革を阻むカベ:働き方の「今」を知る(1/4 ページ) 5月7日、政府は東京、大阪など4都府県に発令中の緊急事態宣言の延長と、対象に愛知、福岡両県を追加することを決定した。この決定を受けて、翌8日にテレビ出演した西村経済再生相は、「緊急事態宣言下の新型コロナウイルス対策として、平日の出勤者数を減少させることが重要」との考えを示した。その際に大臣が述べた「大企業には(出勤者数を)どれだけ減らしているか開示を求める」との発言が話題になっている。 テレワークが可能な業態や会社なら、人流を減らすためにも積極的にテレワークを活用できることが望ましいし、政府からの要請とあれば、ようやく重い腰を上げようとする経営者も出てくることだろう。一方で、「国会議員や霞が関は全然テレワークになっていないのに、どの口がいうのか」「まずは自分たちがテレワークを
ユピテル、40万人分の会員情報流出 不正アクセス確認から3年以上報告せず、脅迫メール受信で公開
自動車用品などを手掛けるユピテル(東京都港区)は6月7日、2017年10月にサーバが不正アクセスを受け、同社が運営する会員サイト「My Yupiteru」に登録する約40万人分の個人情報が外部に流出したと発表した。攻撃者とみられる人物から、金銭要求の脅迫メールを受信していることも併せて公表した。クレジットカード情報は含まれておらず、7日時点で、個人情報の悪用も確認されていない。 流出したのは、17年10月以前に同サイトへ会員登録した40万5576人分の住所、氏名、性別、生年月日、電話番号、メールアドレスを含む、52万8563件のデータ。残り12万件余りのデータについて同社は、既に退会済みで閲覧できない情報や入会手続きを途中で取り消したユーザーの情報などとし「情報流出を確認した会員には、個別に連絡する」としている。 同社が不正アクセスを確認したのは2017年10月31日。不正アクセス元からの
ITエンジニアが使いたいエディタトップ10 「Visual Studio Code」は3位 1位は?
ITエンジニアが最も使いたいエディタは?──パーソルキャリアは5月26日、こんなランキングを発表した。1位は「サクラエディタ」(38.0%)、2位は「秀丸エディタ」(20.8%)、3位は「Visual Studio Code」(9.4%)だった。 4位は「Atom」(5.2%)、5位は「TeraPad」(5.0%)、6位には「EmEditor」(3.0%)がランクイン。7位は「Brackets」「Notepad++」「Vim」が同率(2.7%)。10位は「CotEditor」(1.7%)、11位は「Emacs」(1.5%)で、12位は「Liveweave」と「Sublime Text」が同率(1.0%)だった。 エディタを選ぶ上で重視するポイントを聞いたところ、1位は「ソフトの軽さ」(34.2%)。以降は「機能性の高さ」(28.3%)、「日本語対応」(14.4%)、「外部ツールとの連携」(
「LINEの通信を韓国が傍受」への反論記事をLINE前社長が削除 理由は「差し控える」
「韓国の情報機関がLINEの通信を傍受している」とした2014年の報道に対し、当時LINE社の社長だった森川亮氏が反論していた記事が、21年3月30日までに削除されていたことが分かった。森川氏は削除した理由などについて「回答を控える」としている。 「FACTA」電子版は14年6月に「韓国国情院がLINE傍受」という記事を公開し、「韓国の国家情報院が、LINEの通信を通信回線とサーバの間で傍受し、収集したデータを欧州で保管、分析している。LINEの日本人のデータは中国Tencentに漏れた恐れもある」と報道した。 これに対し、森川社長(当時)は自身の公式ブログで「そのような事実はない」と反論。「LINEはシステム内でもシステム外の通信ネットワーク上でも安全。国際基準を満たした最高レベルの暗号技術を使って通信しているので、記事に書かれている傍受は不可能」と説明していた。 反論記事は現在閲覧でき
サーバ管理会社が契約更新ミス 「ふくいナビ」全データがクラウドから消失、復旧不能に
福井県の産業を支援する公益財団法人ふくい産業支援センターが運営するポータルサイト「ふくいナビ」の全データが、サーバ管理会社であるNECキャピタルソリューションの社内手続きミスにより、完全に消失した。データの復旧も不可能という。同センターが11月5日付で発表した。 発表によると、同センターとNECキャピタルソリューションは、今年10月31日までふくいナビのクラウドサーバの賃貸借契約を結んでおり、10月13日にその契約を更新していたが、NECキャピタルソリューションの社内手続きのミスで更新の手続きがされておらず、貸与期間が終了したとして全データが削除されたという。 これにより、システムの全プログラムが完全に消失。同センターが登録したデータや、ユーザーが登録したデータ(メールマガジンの配信先や配信内容など)も完全に消失した。 プログラムの再構築は可能だが「相当の期間が必要」で復旧のめどは立ってお
ラズパイ一体型キーボード「Raspberry Pi 400」登場 国内では2021年以降に発売
英国の非営利団体Raspberry Pi Foundationは11月2日(現地時間)、キーボードにマイクロコンピュータ「Raspberry Pi」を組み込んだ「Raspberry Pi 400」を発表した。価格はデバイス単品が70ドル、有線マウスやケーブルをセットにした「Personal Computer Kit」が100ドル。日本では2021年以降に発売予定。 19年6月に発売した「RaspberryPi 4」をベースに、より高性能なSoCを採用したとしている。プロセッサは1.8GHzの4コアARM Cortex A72で、RAMの容量は4GB。インタフェースとしてUSB3.0×2、USB2.0×1、micro-HDMI×2、microSDスロットも備え、4K動画にも対応する。充電ポートはUSB Type-C。 キーボード配列は英語配列、AZERTY配列(フランス語)など6種類で、サイ
「伝達ミスだった」「ステマではないと認識」 アナ雪2の“ステマ疑惑”にディズニーがコメント
Twitter上で複数の漫画家がディズニー映画「アナと雪の女王2」を宣伝する漫画を一斉に投稿し、一部のユーザーからステルスマーケティングが疑われていた問題で、同作品の国内展開を手掛けるウォルト・ディズニー・ジャパンは12月4日、ITmedia NEWSの取材に対し、「依頼の段階で伝達ミスがあり、広告表示がなされなかった。意図して起きたものではない」と回答した。 ウォルト・ディズニー・ジャパンは、複数のパートナー企業にアナと雪の女王2の広告、宣伝を依頼。SNSを使った宣伝には、投稿に広告であることが分かる表示を行うように求めていたが、「どこかでコミュニケーションミスがあり、抜け落ちてしまった」(同社)としている。 ネット上でステマ疑惑が指摘され始めた4日朝、一部の漫画家らは試写会に招待されて描いたPR漫画であることを釈明するツイートを行っていた。同社は「レビュー漫画の掲載を依頼した漫画家らに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
