宇宙航空研究開発機構（JAXA）が昨年以降4回にわたり受けたサイバー攻撃で、昨年6月の攻撃では職員らの個人データ約5千人分が盗まれ、そのうち約200人のアカウントが乗っ取られて情報の不正閲覧などに悪…

宇宙航空研究開発機構（JAXA、本社・東京都調布市）が昨年から今年にかけて複数回のサイバー攻撃を受け、機密指定を含む大量の情報が外部に流出した恐れがあることが複数の関係者への取材でわかった。流出の可…

昨年１２月中旬から今年１月上旬にかけ、少なくとも全国１８大学にある研究室などのウェブサイトが、ハッカーに書き換えられる被害に遭っていたことが朝日新聞の調べでわかった。大学側は機密情報の流出はなかったとしているが、文部科学省は情報管理に問題があるとして、すべての大学に注意を呼びかけた。 大学には、機密を要する研究や、知的財産につながる研究に関する情報が蓄積されており、情報流出が大きな被害につながりかねない。文科省は「組織の信頼を損ないかねない事態だ」として、１３日、サイトを点検し、セキュリティー対策を徹底するよう全国の大学に注意喚起した。警察も情報収集に乗り出している。 朝日新聞がネット上の情報などをもとに大学側に個別に取材したところ、東大や慶大、名古屋大、近畿大、鹿児島大など、少なくとも全国１２都府県の計１８大学で改ざん被害が確認された。被害は学部や研究室、公式サークルなど計３２のサイトに

電気通信大学は6月3日、学内のPC端末が不正アクセスを受け、外部にフィッシングメールを送信する踏み台とされた事案があったと発表した。端末に学生のデータなどは保存されておらず、個人情報流出の痕跡はないという。 5月3日にレーザー新世代研究センターが管理する端末PCが不正アクセスを受け、翌4日にかけて、同大学のドメインから学外の約280万のアドレスに向けフィッシングメールが送信された。海外銀行のインターネットバンキングからの通知になりすまし、ログインIDとパスワードを盗み取る目的の内容だった。 不正アクセスの要因は、パスワードを安易なものに設定していたことと、アクセス制限が不適切だったことという。 再発防止に向け、学生や教職員に対しパスワード変更の啓発、不要なサービスの停止、不要アカウントの削除、学外からのアクセス制御の厳格化――などのセキュリティ対策の強化に取り組むとしている。 関連記事 「

■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境（JRE）やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX（地方税ポータルシステム）にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL

■ CCCはお気の毒と言わざるをえない 驚きのニュースが舞い込んできた。CCCがプライバシーマーク（Pマーク）を返上したというのである。日経コンピュータの取材によれば、CCC社の「管理本部法務部リーダー」と、「経営戦略本部リスク・コンプライアンス統括部情報管理Leader」と、「経営戦略本部法務部会員基盤Leader」の3氏もそろってこれを認めているという。 CCC（ツタヤ）がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎) - Y!ニュース https://t.co/BKKhMTRyqX — やまもといちろう (@kirik) 2015, 11月 19 書きました。後編は来週掲載です。/ なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか（前編） https://t.co/mJFLHTEnvK — Naoki Asakawa / 浅川直輝 (@n

首都大学東京は1月19日、学生や教員らのべ約5万1000人分の個人情報が流出した可能性があると発表した。データを保存していた学内のNAS（ネットワーク接続ストレージ）が4カ月以上外部に公開された状態になっており、データには閲覧制限をかけていなかったという。 同大によると、流出した可能性があるのは（1）「英語クラス編成試験」に関する氏名・TOEICスコア約1万5000人分、（2）入学手続き予定者の氏名・住所・電話番号・生年月日約1万人分（うち学外1500人）、教員（非常勤含む）の氏名・住所・メールアドレス約9000人分──など。 学外から1月1日に情報提供があり、5日に確認したところ、外部からアクセス可能な状態（FTP共有が有効）になっているNASが見つかったため、FTP共有を無効にした。 NASは同大南大沢キャンパス（東京都八王子市）の教務課事務室内に置かれており、FTP共有が有効の状態で

■ 情報経済課は恥を知って解散せよ（パーソナルデータ保護法制の行方 その12） また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会　参加者募集開始！ http://t.co/JRFplpoiWP #プレスリリース — （株）共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会　参加者募集開始！, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、

Hiromitsu Takagi @HiromitsuTakagi 解説 メール受信には90年代からAPOPプロトコルが使われてきた。これは、パスワードを生で送信せずチャレンジレスポンス方式でMD5ハッシュして送信するもので、ネットワークが盗聴されても大丈夫なものとされてきた。そのため、メール送受信にSSLを使わないのが普通という時代が続いた。 Hiromitsu Takagi @HiromitsuTakagi 公衆Wi-Fiの普及で盗聴リスクが高まり、メール送受信にもSSLをとの機運が高まり、メールソフト側の対応も済んでいたのに、日本のISPはなかなかSSL化を進めなかった。彼らの言い分は、メールはどのみち暗号化されずに流れるし、パスワードはAPOPで保護されているというものだった。 Hiromitsu Takagi @HiromitsuTakagi その後、電通大の研究グループによりA

昨日、Chromeに突然セキュリティ警告が出た、という記事を書いたのですが、そのセキュリティ警告が出た原因をせっせとたどった結果、はてなブックマークボタンが利用するb.st-hatena.comサーバが改ざんされ、多数のサイトを、マルウェアを配布する状態にしていた形跡があったので、説明します。最初に書いておきますが、10/17現在は改ざんされていない、正規のファイルが取得できる状態です。 ※はてなから、公式発表がありました。記事の最後にその記事についてのことを追記しました。 目次 1. Chromeに出たエラー2. 経緯3. マルウェア配布サイト java-se.com へ接続するまで4. 改ざん内容5. bookmark_button.js の正体は、はてぶボタン用 JavaScript6. Googleセーフブラウジング情報の照合6.1. java-se.com6.2. b.st-ha

米ワシントン（Washington D.C.）のホテルで講演する米連邦捜査局（FBI）のジェームズ・コミー（James Comey）長官（2014年9月19日撮影、資料写真）。(c)AFP/Getty Images/Chip Somodevilla 【10月1日 AFP】携帯端末のプライバシーをめぐり、新たな戦いが起きようとしている──米グーグル（Google）とアップル（Apple）が携帯端末の暗号化強化を発表したことが、米法執行機関の批判の口火を切った。 IT機器がプライバシー保護の暗号化技術を搭載するべきか否かという議論には、長い歴史がある。暗号化技術を搭載していると、法執行機関が時間との競争になる捜査活動で、これらの機器にアクセスするのが困難になる。 米連邦捜査局（FBI）のジェームズ・コミー（James Comey）長官は先週、この議論を再燃させ、スマートフォン（多機能携帯電話）

7/31、JALが2段階認証を導入したという発表がありました。 JALマイレージバンク（JMB）会員の方に安心してJALホームページのサービスをご利用いただくため、一部機能のご利用時に、生年月日による2段階認証を実施しております。 2段階認証の対象となる機能をご利用の際には認証画面が表示されますので、画面表示に従い生年月日（西暦8桁）のご入力をお願いします。 JAL - JALホームページにおける2段階認証の実施について 以前、取り上げましたがJALの認証には不安を感じていたので、「これは良いニュース」と思ったのですが……。 JALで不正ログイン発生！ 2700万人にパスワード変更を依頼するもそのパスワードはなんと数字6桁（ANAは数字4桁） : I believe in technology 日本航空（JAL）が運営する「JALマイレージバンク」のWebサイトで、不正に「Amazonギフ

ハローキティ総統とポムポムプリン社長が率いるサンリオ帝国、上場来高値のスッ高値で株を下々に放流することを決行

Microsoftは攻撃発生が確認されていたIEの脆弱性を修正。例外的に、4月でサポートを打ち切ったWindows XPも更新の対象とした。 米Microsoftは米国時間の5月1日（日本時間2日）、攻撃発生が確認されていたInternet Explorer（IE）のゼロデイの脆弱性を修正する更新プログラムを緊急リリースした。例外的に、4月でサポートを打ち切ったWindows XPも更新の対象としている。 脆弱性はIE 6～11までの全バージョンに存在する。削除されたメモリ内、または適切に割り当てられていないメモリ内のオブジェクトにアクセスする方法に問題があり、細工を施したWebサイトをユーザーが表示すると、任意のコードを実行される恐れがある。 修正のための更新プログラム（MS14-021）は、Windows XP SP3～Windows 8.1／RT 8.1にインストールされたクライアン

EnterpriseZine（エンタープライズジン）編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。