ドコモ口座を使った詐欺事件、ドコモ口座自体の問題点が強く非難されているんだけど、もう一つの問題としてドコモ口座の口振契約を受け付けてしまった七十七銀行などの銀行の問題がかなりまずい話で、Fintechなどの決済コミュニティにとって… https://t.co/uMmS8iqsE2

Microsoftが発表した軽量版Windowsの「Windows 10 S」はGoogleのChromebookに対抗するためのOSともいわれています。Windows 10 Sで動作するソフトウェアは全てWindowsストアからダウンロードしてインストールする必要があるのですが、このストアにGoogleのChromeブラウザが登録できない状態になっているようです。 Google Chrome may not be able to come to Windows 10 S, even if Google wanted to - MSPoweruser https://mspoweruser.com/google-chrome-may-not-able-come-windows-10-s-even-google-wanted/ Google Chrome won't be allowed o

検索サイト「グーグル」で名前などを検索すると、過去の記事などで逮捕歴が分かるとして、男性が検索結果の削除を求めた仮処分申し立ての保全抗告審で、東京高裁（杉原則彦裁判長）は１２日、「忘れられる権利」を認めてグーグルに削除を命じた昨年１２月のさいたま地裁の決定を取り消した。 高裁決定は「プライバシー権に基づいてネット上での削除が認められる場合はある」と認めた上で、今回のケースについては「処罰を受けてからの期間などを考慮しても、削除の必要はない」と判断した。 決定などによると、男性は約５年前に女子高生に金を払ってわいせつな行為をしたとして逮捕され、児童買春・児童ポルノ禁止法違反の罪で罰金５０万円の略式命令を受けた。検索すると当時の実名入りの記事を転載した掲示板などが表示されるのは「更生を妨げられない権利」を侵害しているとして昨年、地裁に削除の仮処分を申し立てていた。

脆弱性は「Symantec Endpoint Protection」など法人向け製品と、「Norton」シリーズなどコンシューマー向けの製品すべてが影響を受け、ユーザーが何も操作しなくても悪用される恐れがある。 米Googleの研究者が6月28日、Symantecのセキュリティ製品に多数の深刻な脆弱性を発見したとして、ブログで詳細を公表した。Symantecは同日、この問題を修正するため各製品向けのアップデートを公開し、できるだけ早く適用するようユーザーに呼びかけている。 Googleの「Project Zero」のブログによると、脆弱性はSymantecのウイルス対策製品に共通するコアエンジンに存在することから、全プラットフォーム向けの「Symantec Endpoint Protection」など法人向け製品と、「Norton」シリーズなどコンシューマー向けの製品すべてが影響を受ける。

米連邦捜査局（FBI）は、全米の法執行機関に対し、事件解決に必要なiPhoneのロック解除を支援するという内容の書簡を送ったと、米Reutersが4月2日（現地時間）、入手した書簡に基いて報じた。 Reutersが4月1日に入手したという書簡には、FBIは暗号化されたモバイル端末を使う容疑者の取り調べに必要なツールが不足している各機関の問題を理解しているとし、「FBIはパートナー（米国の法執行機関のこと）を支援するあらゆるツールについて検討する。われわれが法律の許す限りパートナーを助けるつもりであることを知っておいてほしい」とある。 FBIは米Appleに対し、カリフォルニア州で起きた銃乱射事件で死亡した犯人のiPhone 5cをロック解除するためのツールを提供するよう要求していたが、3月28日に容疑者のiPhoneに保存されたデータにアクセスできたのでAppleの助けは必要なくなったとし

中国のモバイル広告プロバイダーYoumiのSDKを使ったアプリが、ユーザー情報を収集してYoumiのサーバに送信していることが分かった。 セキュリティ分析の新興企業SourceDNAは10月18日、Appleの「App Store」で禁止されているはずのプライベートAPIを呼び出して、ユーザーの個人情報を収集しているアプリが数百本見つかったと伝えた。 この指摘を受けてAppleは、中国のモバイル広告プロバイダーYoumiが開発したサードパーティー広告SDKの問題を確認、このSDKを使ったアプリをApp Storeから削除すると表明した。 SourceDNAによると、問題のプライベートAPIではインストールされたアプリの一覧やプラットフォームのシリアル番号、ユーザーのAppleIDといった情報を収集していることが分かった。この機能は難読化され、Appleによる審査をかわしてApp Store

SHA-1がこれまで考えられていたよりも大幅に安いコストで破れることが分かり、犯罪集団に悪用される危険が迫ったと指摘している。 Webサイトでの認証やデジタル署名に使われるハッシュ関数の「SHA-1」について、暗号解読の国際専門家チームが10月8日、廃止の時期を現在のスケジュールよりも前倒しする必要があると勧告した。SHA-1がこれまで考えられていたよりも大幅に安いコストで破れることが分かり、犯罪集団に悪用される危険が迫ったと指摘している。 SHA-1は以前から脆弱性が指摘され、MicrosoftやGoogleなど主要ブラウザメーカーや電子証明書の発行機関が段階的な廃止に向けたスケジュールを公表している。 しかし現在の計画では、SHA-1を使った証明書が主要ブラウザで安全と認識されなくなるのは2017年1月以降。これに対してオランダ、フランス、シンガポールの研究チームは、SHA-1に対する

iOS 9の人気有料広告ブロックアプリ「Crystal」、“ホワイトリスト化”でEyeoから報酬受け取りへ 米Appleが新モバイルOS「iOS 9」で追加した広告ブロック機能「コンテンツブロッカー」を利用する人気有料広告ブロックアプリ「Cyrstal」（120円）の開発者、ディーン・マーフィー氏が、“容認できる”広告をブロックしないオプション（初期設定で有効）を追加する計画を米Wall Street Journalに語った。 CrystalはiOS 9のリリースと同じ9月16日に公開され、App Storeの有料アプリランキングでしばらく首位を保った（本稿執筆現在は2位）人気アプリ。インストールすると、Safariで表示するWebサイト上の広告やクッキーによる追跡をブロックできる。 Wall Street Journalによると、同アプリは既に10万回以上ダウンロードされており、マーフィ

米連邦政府の人事管理局（OPM）は9月23日（現地時間）、6月に発表した約400万人（当時発表された数字）の職員および元職員の個人情報流出事件に関連し、560万人分の指紋データも流出していたことがその後の調査で判明したと発表した。 この事件が発覚したのは4月。OPMのITシステムに何者かが不正に侵入してデータを盗んだという。この犯行は中国のハッカー集団によるものとみられている。 6月の発表では影響を受けるのは約400万人とされていたが、23日の発表では2150万人の社会保障番号（SSN、日本のマイナンバーに当たる全国民が持つ背番号）が影響を受け、その中の560万人が指紋データも盗まれたとあり、かなり人数が増えている。 当局は指紋データの悪用の可能性は限定的だとしながらも、悪用の可能性を排除するために、国土安全保障省（DHS）、連邦捜査局（FBI）、国防総省（DOD）を含む関連組織を横断する

米Amazon.comは9月1日（現地時間）から、同社サイトおよび広告ネットワーク「Amazon Advertising Platform（AAP）」、運営ドメインへのFlash広告を受け付けなくなると、広告のテクニカルガイドラインで告知した。 これは、最近の各社WebブラウザのFlash Playerに関連する動きを受けたものという。米GoogleのChromeには6月、Flashコンテンツを含むWebページを開く際、場合によってはそのコンテンツを停止する機能が追加された。7月にはMozillaが、FirefoxでのFlash Playerの（一時的な）ブロックを発表した。米Appleは以前から、Safariの古いバージョンのFlashプラグインを遮断している。 ChromeのFlashコンテンツ停止機能は、現行の安定版ではオプトイン（設定変更で有効にする）だが、9月に予定されている次期

Androidのメディア再生エンジン「Stagefright」に重大な脆弱性が見つかった問題で、セキュリティ企業のExodusは8月13日、Googleが配布したパッチは不完全で、この脆弱性は依然として悪用される可能性があることが分かったと発表した。 Stagefrightの脆弱性は2015年4月にGoogleに報告され、7月に情報が一般に公表された。Googleはメーカーやキャリア向けの修正パッチ提供に続いて、8月から始めた「Nexus」向けの月例OTA（無線経由）アップデートにも修正パッチを盛り込んでいた。

ソフトウェアやサービスの脆弱性はユーザーだけでなくサービス提供者にとっても厄介な存在で、脆弱性についての指摘に対して報奨金が支払われることも多くなってきました。しかし、Oracle(オラクル)のChief Security Officer(CSO：最高セキュリティ責任者)はブログで、「脆弱性を探すためにコードを読解することは利用規約に反しているのでやめるべき」と書き込んだ後、非難の嵐を受けて投稿を速攻で削除しています。 No, You Really Can’t (Mary Ann Davidson Blog) https://web.archive.org/web/20150811052336/https://blogs.oracle.com/maryanndavidson/entry/no_you_really_can_t Oracle CSO goes against bug boun

Androidスマートフォンから指紋を収集できてしまう問題や、主要メーカーの端末に搭載されたリモートサポートアプリの特権が悪用できてしまう問題などが報告された。 米ラスベガスで開かれているセキュリティカンファレンス「Black Hat USA 2015」で、Androidの脆弱性などが相次いで発表されて注目を集めている。セキュリティ企業のFireEyeはAndroidスマートフォンから指紋を収集できてしまう問題を指摘。Check Point Software Technologiesは主要メーカーの端末に搭載されたリモートサポートアプリの特権悪用問題について報告した。 Black HatのWebサイトに掲載された講演要旨によれば、FireEyeはAndroidでマルウェアを使って指紋による決済認証を回避できてしまう問題や、TrustZoneの設計上の問題を突いて指紋を収集できてしまう問題を

LINEは8月5日、スマートフォン向けコミュニケーションアプリ「LINE」の脆弱性情報を公募し、報告者に報奨金を支払う「LINE Bug Bounty Program」を8月24日～9月23日に実施すると発表した。 LINEアプリ（ver 5.2以上）が対象。期間内に報告された脆弱性をLINEで確認・審査し、その内容が認められれば報告者名や脆弱性の概要を公表。重要度に応じて1件当たり最低500ドル～2万ドルの報奨金を支払う。 既に同社で把握しているものや他者が先に発見・報告しているものは審査対象外。脆弱性の公表と報奨金の支払いは、脆弱性への対応が完了した後に行う。 脆弱性情報提供者に報奨金を支払う制度は、米Googleなどが導入している。 また同日から、LINEのコーポレートサイトに「セキュリティ＆プライバシー」ページを追加。LINEのセキュリティ体制や、ユーザーがより安全にサービスを利用

「Adobe SystemsはFlashの終了日を宣言し、Webブラウザ企業にその日にFlashを無効化するよう依頼すべきだ」──。米FacebookのCSO（最高セキュリティ責任者）に就任したばかりのアレックス・スタモス氏は7月11日（現地時間）、自身のTwitterアカウントでこうツイートした。 これは、ここ最近相次いだFlashの脆弱性発覚を受けたもの。7日に伊Hacking Teamが発表した顧客データ流出で発覚した脆弱性に対処するパッチが提供されたのは発覚から1日後だった。 この後さらに2件の深刻な脆弱性が報告され、Adobeは12日の週に臨時セキュリティアップデートを実施すると発表した。 スタモス氏は別のツイートで「開発者の多くがFlashは永遠に提供され続けると思っているから、わざわざFlashからHTML5に移行するために時間を使おうとしないのだ。（終了の）期日を決める必要

Hacking Teamからの情報流出で発覚したFlash Playerの脆弱性をAdobeが修正した。既に攻撃ツールも出回っていることから、ユーザーはできるだけ早く対応する必要がある。 米Adobe Systemsは7月8日、Flash Playerの深刻な脆弱性を修正する臨時セキュリティアップデートをWindows、Mac、Linux向けに公開した。Flash Playerの脆弱性は、イタリア企業Hacking Teamから流出した情報の中にコンセプト実証コードが含まれていたことが判明。攻撃ツールも出回っていることから、ユーザーはできるだけ早くFlash Playerを最新版に更新する必要がある。 今回公開されたFlash Playerのセキュリティアップデートでは、Hacking Teamの情報流出で発覚した脆弱性のほかにも、相当数の脆弱性が修正された。悪用された場合、攻撃者にシステ

いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します — Yusuke OSUMI (@ozuma5119) 2015, 6月 30 Zaimの件、そもそも家計簿アプリごとき(と敢えて言う)に、銀行やクレカのログインパスワードを入れちゃう人があんなにたくさんいることの方がよっぽど問題だと思う https://t.co/pidZhtUbej pic.twitter.com/jpNw41MqK0 — Yusuke OSUMI (@ozuma5119) 2015, 6月 28 Zaimの「金融機関の連携」機能、新生銀行にいたっては暗証番号までナチュラルに入れさせようとしてくるので、控えめに言ってこのアプリは頭がおかしいと思う https://t.co/50guysHXIV pic.twitter.com/BQnIaUnfGo — Yusuke OSUMI (@ozuma5119

米Appleは6月30日に公開した「iOS 8.4」で、多数の深刻な脆弱性に対処した。同時にOS XとMac EFI、Safariの脆弱性を修正する更新版もそれぞれリリースされた。 iOS 8.4は、iPhone 4s以降とiPod touch（第5世代）以降、iPad 2以降が対象となる。5月に発覚した「Logjam」と呼ばれるTLSプロトコルの脆弱性を修正したほか、中国の認証局China Internet Network Information Center（CNNIC）によって不正な中間証明書が発行されていた問題に対応して、問題の中間証明書が発行される以前に発行された証明書のサブセットのみを信頼できる証明書として扱う仕組みを追加した。 この他にも、任意のコード実行に利用される恐れのある深刻な脆弱性が多数修正されているほか、HTMLメールの内容が任意のWebページに書き換えられてしまう

研究者グループによれば、パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるという。 米AppleのOS XとiOSのアプリ間認証問題に起因する未解決の深刻な脆弱性について指摘した研究論文が公開された。パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるとしている。 論文は米インディアナ大学やジョージア工科大学、北京大学の研究者が発表した。それによると、OS XとiOSの体系的なセキュリティ分析を行った結果、深刻なセキュリティ問題が発覚。Apple Storesに承認され、サンドボックス化されている悪質アプリを使って、他のアプリの重要データに不正アクセスできてしまうことが分かった。 この問題は、OS Xで使われているパスワード管理ツール