UJP - 事故・事件カテゴリのエントリ

I hope this helps.

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ 事故・事件 の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - 事故・事件カテゴリのエントリ

 この中の事情の詳しい人の話を読むと・・・

Kさん
https://twitter.com/aki_kanemoto/status/1540115220764700672?s=20&t=qxJ-x4n7VD1VPdWpLDiJJw

引用:
尼崎市の漏洩の件で情報セキュリティに詳しいという学識経験者がいろいろコメントしてるけど、自治体が置かれている状況を理解している学識経験者は皆無なんだなと実感
古いシステム、環境で良いなんて自治体関係者は誰も思っていない
そもそもなぜUSB等の可搬媒体を使用しているのかという問題は
各自治体が定めている個人情報保護条例に『外部とのオンライン結合を禁止』しているため、自治体から見ればどこともオンライン回線での接続は禁止されているためUSB等の可搬媒体を使用している
それでは個人情報保護条例を変えればいいという話になるが、それも簡単にはいかない
国が定めている個人情報保護法は平成14年に制定されたが、それ以前に各自治体で各自で自らの情報を守るために条例を定めている
一番早い自治体は確か神奈川県で昭和61年ぐらいに定めてたはず
国が法政化する遥か前から自治体は自ら情報漏洩の防衛を前提に条例を定めていた
 ツイートはもっと続くが,,,このニュース.

個人データ持ち出しにGPS付き専用ケース 尼崎USB紛失受け名取市が導入
https://kahoku.news/articles/20220629khn000029.html

引用:
 宮城県名取市は29日、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表した。ダイヤルキー付きで移動中の開封を制限するほか、衛星利用測位システム(GPS)で位置情報を追跡できる。
 他所との調整が必要で根本的解決策を待つ以前にアクションしているという点が評価できるのかな.
 尼崎で46万人分の個人情報入りUSBメモリが紛失した事件で,思わぬ社会問題が.

 重要なデータなのに委託先の委託先の委託先に委託したらしく,なすり合いとまでは言わないけれど,北の技術者に委託していた件と同じ構造.じゃぁ社員だったらミスはしなかったのか?というとそんなことも無く.

 ベネッセの事件があった後,業務委託で個人情報や機密情報を取り扱う業務はNGを出す下請け会社が続失していました.何かあったら責任取れないし責任があるほどの契約金でもないってね.


尼崎市のUSBメモリ紛失、役所への大量の苦情電話が「市民の迷惑」になりうる理由
https://gendai.ismedia.jp/articles/-/96774

...続きを読む

 うちのカミさんもビックリしていたけれど古典的な情報漏洩.
 路上で寝てたくらい泥酔していて持ち出したUSBメモリが無くなっていたそうだ.

兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫び
https://www.biprogy.com/pdf/news/info_220623-3.pdf

 泥酔とか書いてないな.お詫びってなんだろう.

 セキュリティ教育の一丁目一番地みたいなエピソードだけれど,意外とよくあるんだよね.身近でも2回あったし.一つは電車で荷物を忘れたのと,一つは車上荒らしだったけれど,結局カバンごと全部出てこなかったな.
 その時は個人情報も顧客情報も入ってなくてパソコンもBIOSとストレージが暗号化されているから大丈夫って事で終わったけど.落とした財布が戻ってきて日本は安全だ!エピソードは良く聞くけれど,失ったIT機材入りパソコンの返却率は相当低いと思う.でも見つかるといいな.

 今回話題になったのは二つ.

・ビプロジーは4月に社名変更した日本ユニシスのことだと認知された.
・記者会見でパスワードは13桁で尼崎市として意味のある単語と数字で始めだけ大文字にして年1回変更,文法的にも正しい

 13桁のパスワードは10万年かかるらしい.量子コンピュータだともっと速いそうだ.一緒に紛失した持ち物の中にパスワードのメモは無いのかな?
 Amagasaki2022だという予想も出ているそう・・・

 その件で,この件を思い出した.

230億円超相当のビットコインが入ったUSBのパスワードを忘れた人の末路

引用:
最高クラスの安全性を誇ると言われている暗号化USBデバイスの「IRONKEY(アイアンキー)」に入れ、保管することにしました。

ー略ー

その「アイアンキー」のパスワード入力失敗回数は10回まで…。最後の10回目まで間違えた場合には、この「アイアンキー」内のデータには永遠にアクセスできないようになってしまします。

 あ! 13桁で・・・というのは自爆コードでは? あるいは本当は8桁なのに13桁で始めたら永遠に解けないというブラフ...

 セキュリティ部門を統括する人たちは,USBメモリとか外付けディスクとかを嫌って,ログも残るファイル転送を推奨するけれど,容量が大きい場合はちょっと大変なので選択肢が狭くなってくる.でも今回の場合32GBメモリなので最大でもその程度.伝送にすべきだったね.

追記2022/06/24 17:00現在
 紛失した本人からカバンと共にUSBデバイスが見つかったと連絡があったそうだ.現時点で詳細不明.今回は良い教訓になった気がする.

追記2022/06/24 21:00現在
 NHKニュースで見つかったことがトップニュースになっている.無くしたのは40歳男性.スマホの位置情報をもとに警察と共に足取りを調べ自分で見つけたのだそう.路上で寝ていた場所の近くの住宅の一角にあったそうだ.投げ入れた?

 AIで小説を書いてもらった.

引用:
セキュリティ事故

その日は最後に住民データをUSBメモリにしまって作業終了.気の合う仲間と共にガッツリと気を失うまで飲み明かした. 気がついたのは路上,はて?いつから眠っていたのだろうか? 今は午前3時.あれ?持っていたカバンが見当たらない!お酒を飲みすぎたせいか頭が痛い.とりあえずコンビニで水を買って飲もうと思い歩き出した. しかし,歩いているうちに自分がどこを歩いていたのか分からなくなってきた. そして,気づいた時には見知らぬ場所に立っていたのだ.
「ここは一体どこだ?」
まずは一旦自分の行動を振り返ってカバンを探してみる.どうするどうする?こんな時,社員教育では……
『迷ったらその場を動くな!』
そうだ,まずは動かないことが大切だ.じっとしていれば誰かに見つけてもらえるかも.でもこの場から動いてしまった方が早く見つけられるかも?そんな事を考えながらしばらくウロウロしていると,目の前に大きな未来像が見えてきた.そう,テレビで大々的に報じられて取引先の上長が頭を下げている姿だ.
「あの時は大変だったよ」
「えっ!?何ですかいきなり!」
部下の一人が驚いている.
「あぁすまないね.ちょっと思い出しただけさ」
私は今,会社からの帰り道にある公園にいる.ベンチに座ってぼんやりと夜
 アンダーラインを入れたところが自分で書いたところ.なんだ,AIが結果を予測しているではないか!

年金通信メール通知サービス利用者

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/6/9 15:46
 第一生命保険株式会社の「年金通信メール通知サービス」について登録情報を閲覧できる可能性があったとして発表があった.

個人情報流出の可能性についてのお詫びとお知らせ
https://www.dai-ichi-life.co.jp/information/pdf/index_076.pdf

引用:
5月 30 日、セキュリティ関連の第三者より、本サービスの登録者情報を閲覧する機能を悪用できる可能性がある旨、注意喚起がありました。

 外部のバグハンター?からの注意喚起から発表までの間が短いですね.
 流行りの技術会社にジョブホッパーして,過去の顧客を引き連れて行くという手法をとっていた ITの営業さんがいたけれど,そういう手法は今は通用しないのかな.

従業員が退職時に顧客情報を持ち出し、入居者へ挨拶 - 東急コミュニティー
https://www.security-next.com/136876

 退職前に,新しい連絡先を通知する程度か.それが許されるかどうかは,わからないけど.
 集めた名刺を持って行くというのもよくある話だと思うけれど,それも許されないのだろうな.

 昔,取引した会社からプロジェクト終了後「機密情報,個人情報を破棄すること」と通知が来て,名刺もシュレッダーさせられたことがある.仲良くなった人もいなかったし,永遠の別れだったのでその時はそれで良かったけど.

サイト休止

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/6/3 16:32
 対応が悪くて炎上しているそうだ.

ファッション通販サイトに不正アクセス、個人情報1万6093件が漏えいか
https://www.tsuhannews.jp/shopblogs/detail/68936

 machattは神戸系の雑誌モデル出身の正中雅子さんが運営するブランドとオンラインストアのようで,Instagramで今回の件でクレームした人をブロックしまくっていruそうで,そういう対応も炎上に拍車をかけている模様.可愛さ余って憎さ百倍という感じか.

 それ以上に速く対処しないと事業ストップで固定費の浪費で会社に資金に負担がかかりまくるね.

githubライブラリ改ざんで漏洩

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/6/3 12:04
githubで公開しているライブラリが乗っ取られて改竄されるとか作者が暴挙に出て悪意のあるライブラリに改変されるとか削除されるとか,性善説だけでどうにも成らないことが多くなってきた.

AWS認証情報が盗まれる2つのライブラリ改ざんについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2022/05/26/232906

引用:
所有者のメールアドレスのドメインが無効であったことを確認し、当該ドメインを5ドル支払い取得。その後所有者と同じメールアカウントを作成しPyPIのパスワードリセットを実行して所有者のアカウントを掌握。
 うちもドメインが廃止にならないよう頑張らなければ.
感染者5人の個人情報、迷惑メール発信元に誤送信 さらに履歴を削除
https://www.asahi.com/articles/ASQ5Z7QCFQ5ZPITB00J.html

引用:
広島県は30日、県東部の新型コロナウイルス感染者の宿泊療養施設で、患者5人の個人情報が流出したと発表した。スタッフが患者の氏名や生年月日、保険者番号などが記された健康保険証の写真を迷惑メールの発信元に誤送信したという。
 手元のメールを消したらもう誤送信先情報の証拠がないという点を改善しないといけないなぁ.

 漏洩とは関係ないけれど,数日前,JTBが黒字だと発表していたけれど,こういう役所の委託業務を受けて生き延びていたということか.行政側か会社側か知らないけれど,臨機応変にリソースを利用することも大事か.

JTB、今期営業黒字へ 国内旅行はコロナ前まで回復
https://www.nikkei.com/article/DGXZQOUC276ML0X20C22A5000000/

コピー機に原本忘れがちな件

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/5/22 1:52
 コピー機で原本を忘れる事はままある事なので,職場で使っている際には原稿カバー部分を上げた状態にする習慣があったな.最低でもそれは20年以上昔から.
 ただ,その状態を商業施設(コンビニ含む)で見た事はないので,事故は起こるべくしてって感じか.

個人情報含む調査関係の名簿原本をコピー機に置き忘れ - 山口県
https://www.security-next.com/136490

引用:
5月6日に調査員が防府市内の商業施設で単位区別世帯名簿をコピーした際、名簿原本をコピー機に置き忘れたもの。
 気になるのは,そもそもなぜコピーしたのか.

引用:
山口県は、国からの委託で実施する国民生活基礎調査の調査員が、個人情報含む世帯名簿をコピーした際、原本をコピー機に置き忘れたことを公表した。

国民生活基礎調査 - Wikipedia

引用:
世態票

単独世帯の状況、5月中の家計支出総額、世帯主との続柄、性、出生年月、配偶者の有無、医療保険の加入状況、公的年金・恩給の受給状況、公的年金の加入状況、就業状況等
 現在絶賛調査中ということなのか.

FJcloud-V,ニフクラへの不正アクセス

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/5/19 11:37
 富士通の「政府認定クラウド」のニフクラにて,不正アクセスが発生.

ロードバランサーへの不正アクセスについて
https://pfs.nifcloud.com/cs/catalog/cloud_news/catalog_202205161000_1.htm

 ニフクラは,富士通クラウドテクノロジーズという会社が運営しているクラウドプラットフォームで,そこで使っているロードバランサの脆弱性発表が5月4日,不正アクセスが5月7日と時間が無い感じが.

 使っているロードバランサはこれかなぁ...

F5 BIG-IPに緊急の脆弱性、ただちにアップデートを
https://news.livedoor.com/article/detail/22117174/

引用:
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月4日(米国時間)、「F5 Releases Security Advisories Addressing Multiple Vulnerabilities|CISA」において、F5ネットワークスのロードバランサー「F5 BIG-IP」に脆弱性が存在すると伝えた。

 5月9日にパロアルトネットワークスがこの情報の分析結果を公表しています.

脅威に関する情報: CVE-2022-1388 BIG-IP製品のiControlRESTコンポーネントにおけるリモートコード実行の脆弱性
https://unit42.paloaltonetworks.jp/cve-2022-1388/

引用:
F5は2022年5月4日、CVE番号CVE-2022-1388でトラッキングされるBIG-IP製品のiControlRESTコンポーネントにおけるリモートコード実行の脆弱性についてのセキュリティアドバイザリを公開しました。脅威アクターがこの脆弱性を悪用すると、パッチ未適用のシステムで認証を回避して任意のコードを実行可能です。この脆弱性はCVSSスコア9.8となっており緊急の対応が必要です。当該アドバイザリの公開以降、パッチ未適用のシステムを探して大量のスキャン活動が行われ、実際の悪用も始まっています。
 公開直後から大量スキャンだなんて.まさにゼロデイ.運悪く日本ではゴールデンウィークだから手薄になっていたかもしれない...

 去年のProjectWEBと言い,日本の根幹なんだなって思います.

ブラザーオンライン その3

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/5/19 1:29
 ゴールデンウィーク明けに報告のあったブラザーオンラインの不正ログインの件について追加のメールが来ました.

「ブラザーオンライン」における不正ログインの調査結果および対策 サービス再開時期についてのお知らせ
https://www.brother.co.jp/notice/220516-bol/index.aspx

引用:
原因

外部の専門機関の協力を得て調査を行った結果、第三者がブラザー以外から不正に入手したID(メールアドレス)とパスワードの組み合わせリストを利用した、不正プログラムによる「リスト型攻撃(リスト型アカウントハッキング)」と判断しました。

調査結果について

1.第三者に対し、ブラザーの管理システム(サーバー)からお客様のログイン情報(メールアドレスおよびパスワード)は漏えいしていないことが確認されました。
2.第三者に対し、ブラザーの管理システム(サーバー)からお客様の登録情報(お名前、ご住所、お電話番号など)は漏えいしていないことが確認されました。
3.不正と判断されるアクセスが集中した時間に不正プログラムが使用されたことが確認されました。なお、不正プログラムによるお客様の登録情報は漏えいしていないことが確認されました。

 リスト型攻撃ということだけれど,「ブラザーの管理システムから漏洩してない」と言い切れることがすごいね.ちゃんと裏付けがあるのだろう.

 しかし利用者は金銭的な被害にあっている.

引用:
1.不正ポイント交換が行われたと推測されるアカウント数:最大683件
2.換算金額:最大404,900円相当
3.不正ログインが行われたと推測されるアカウント数:最大126,676件

 ブラザーの管理するシステムからの漏洩では無く,パスワード使い回ししている利用者の管理責任とも言えるけれど,ブラザーの対応はこうしたようだ.

引用:
  • ブラザーホームページに状況を掲載したうえで、ブラザーオンラインの全会員に対し経緯のご説明とお詫びをするとともに、ブラザーの対応についてご報告しました。
  • 本件に関する専用お問い合わせ窓口を用意し、お問い合わせに対して個別に対応しました。
    不正ログインが行われたと推測されるアカウントおよびトク刷るポイントを保有する全アカウントのパスワードを初期化しました。パスワードの再設定方法につきましては、5月18日のブラザーオンラインのサービス再開時にメールでご連絡いたします。
  • 不正に利用された可能性のある「トク刷るポイント」(683件、404,900ポイント)を再発行しました。なお、「トク刷るポイント」から換金性の高い他社ポイントへの交換サービスにつきましては、追加のセキュリティ対策を検討しています。ポイント交換時におけるより強固なセキュリティ対策が完了するまで、他社ポイントへの交換受付を全面停止させていただいております。ご迷惑をおかけしますが、何とぞご了承下さいますようお願い致します。

  •  「ポイントを再発行」というのは利用された分を補填したということだろうけど,ブラザーは悪くないのに補填しているのが腑に落ちない.被害額が40万円程度だからかなぁ.
     調査や対策,これからの不正ログイン検知などの総コストで考えると40万円相当は少ないとは思うけれど,被害にあってない私のパスワードもリセットされているからパスワード変更処理が面倒だな.

     で,パスワードを再設定しようとして気づいた点が2つ.

    ...続きを読む

    紙の個人情報の取り扱い

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2022/5/17 20:16
     騒がれてないけれど,こんな事件があった模様.

    【独自】集合住宅のゴミ捨て場に430人分の住所、電話番号、家財リスト…「引越のサカイ」社員が家に持ち帰りポイッ
    https://www.tokyo-np.co.jp/article/175665

    引用:
     引っ越し大手のサカイ引越センター(堺市)の利用者の住所や電話番号などの個人情報延べ約430人分が3月、川崎市宮前区の集合住宅のごみ捨て場に出されていたことが、関係者への取材で分かった。同社は事実を認め「真摯しんしに対応する」としているが、4月施行の改正個人情報保護法では、より厳しい管理が必要とされる。
     幸いにも被害の大きな事故になってない.改正個人情報保護法に対応が遅れているというニュースもあったけれど,その象徴としての報道なのかな.

    引用:
     同社は本紙の取材に、この事実を把握していると認めた。従業員1人が本来シュレッダー処分すべき書類を自宅へ持ち帰り、一般ごみとして捨てていたという。

     「個人情報の記載書類については、社内マニュアルに基づき、シュレッダーなどをして持ち帰らないように指導教育を行っている」と説明。外部からの通報を受けて回収したといい、「詳細は調査中だが、お客さまへ真摯に対応を行ってまいります」と回答した。

     社内マニュアルに「持ち帰らない」「シュレッダーなどをする」という指導教育に意味がなかったのか理解不足だったのか,どちらにしても,個人情報への意識が無さすぎるのが問題だけれど,本質的には紙に印刷するから事故が起こるって事でオンラインとかタブレット化みたいなのが必要になるのかな.今,サカイがそういう機械を持っているのかどうかわからないけれど,それらはコストアップになる.

     サカイのような引越し会社だと,実作業のノウハウが反映された社内マニュアルがたくさんあって実践的に学ぶ・覚えることが多いから,個人情報うんぬんについての重要度は高いと従業員に認識され無さそう.
     引越しノウハウはそのうち体で覚えてくる事が期待されるけれど個人情報保護法について勝手に知識が増えるとか定着することはないと思うから,繰り返し繰り返し教育していく感じがいいのかな.

    ブラザーオンライン その2

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2022/5/12 0:48
     ブラザーオンライン不正アクセスの可能性についての続報.

    「ブラザーオンライン」に不正ログイン 最大12万件の個人情報・40万円相当のポイント流出した可能性
    https://www.itmedia.co.jp/news/articles/2205/11/news172.html

    引用:
    最大683件で、独自のポイント「トク刷るポイント」最大40万4900円相当が、換金性の高い別のポイントに交換され、取得された可能性があるという。
     なるほど.印刷してインクを買うとポイントが貯まってそれを別のポイントに交換できたのね.こういうのって,中小企業の情シスの人しか貯められないような気がするけれど...
     ま,ソレは置いといて私にも案内メールが来ました.

    引用:
    =======================================
    当メールはお客さまにご登録いただいている「ブラザーオンライン」への不正ログイン発生に関する重要なお知らせのため、
    弊社からのメール受信をご承諾いただけていない方にもお送りしております。
    何卒ご容赦くださいますようお願い申し上げます。

    当メールは現時点の外部の専門機関を交えた弊社調査・解析において不正ログインの痕跡が発見されず、
    不正ログインの対象外と判断されるアカウントをお持ちのお客さまへのご案内となります。
     対象外ということで一安心かな.オンラインサービスが再開したら,住所とか登録したか確認しておかねば・・・

    会員向けサービスサイト「ブラザーオンライン」における不正ログインの発生について
    https://www.brother.co.jp/news/2022/incident0510/index.aspx

    ブラザーオンライン

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2022/5/9 17:14
    piyokangoさんのTwitterで以下の事件を知りました・・・

    ブラザーオンライン不正アクセスの可能性に関するお知らせとブラザーオンラインサービス停止のご案内
    https://www.brother.co.jp/notice/2205-bol/index.aspx

    引用:
    平素はブラザー製品をご愛用頂きまして誠にありがとうございます。

    現在弊社にて状況確認を行っておりますが、誠に遺憾ながら一部のお客さまのアカウントへ不正なアクセスの可能性が高いことが確認されました。調査と合わせて被害の拡大を防ぐため、ブラザーオンラインのログインを含む一部サービスを5月6日21時より停止させていただきました。

    現在、不正アクセスに対する暫定策としてブラザーオンラインのサービスを停止しておりますので、会員サイトへのログインはできない状態となっております。サービス再開は、さらなる調査を進めた上で決定してまいります。対策を決定次第すみやかにHPでご案内させていただきますので、大変恐縮ですがいましばらくお時間をいただければ幸いです。

    お客様におかれましては、多大なるご不便とご迷惑、ご不安をおかけしますこと、あらためまして深くお詫び申し上げます。今回の事態を厳粛に受け止め、情報セキュリティ対策及び監視体制のさらなる強化を行い、再発防止に全力を尽くしてまいります。

     頻繁に送ってくるブラザーからのメールも止まっていますね.通知もなしにまずは停止が先ってことか.実質,ブラザーのサイトへのログインは製品ユーザ登録すると保証期間が伸びると言うのと,交換用インクを買うと?ポイントが増える的なサービスがある程度.(それ以上のメリットの詳細はわかってないのだが・・・)

     これかな.

     管理者権限を持っている人の内部犯行を防ぐ仕組みか.

    羽田空港の“顔パス搭乗システム”で情報持ち出し事案発生 元従業員PCから約1000人分のデータ発見
    https://www.itmedia.co.jp/news/articles/2204/12/news149.html

    引用:
     情報を持ち出したのはFace Expressの運用を担当するエアリンク(東京都港区)の元従業員。同社によると、元従業員は職務怠慢や社内規定違反により1月末で退職勧告を受け退職したが、その後に元従業員の個人PCにFace Expressのデータが保存されていることが分かったという。
     悪用するつもりがあったなら,ベネッセの個人情報漏洩事件のような事件になるけれど,今回は「事案」と言っているから犯罪にはならないってことか.

    Face Express システムの取り扱いについて
    https://www.tokyo-airport-bldg.co.jp/files/news_release/000011987.pdf
     「エアリンク社(本社:米国)」というのも気になった.持ち出したのは外人さんだったりして?!

     ちなみにFace ExpressというのはこのNECのシステムだそうです.

    NECの顔認証システムを活用した搭乗手続き「Face Express」が成田空港・羽田空港で稼働開始
    ~国際線のご搭乗がスムーズかつコンタクトレスに~
    https://jpn.nec.com/press/202103/20210325_02.html
     TOKYO2020で使った顔認証システムに近いのかな.
     何かのサービスを使っていてもその先の決済会社について気にしている人はあまりいないと思うけれど,メタップスというSEOやマーケティング会社の子会社の,メタップスペイメントで最大46万件のクレジットカード番号が漏洩した模様.

     メタップスペイメントを使っているサービスはpiyokangoさんのpiyologに記載がありますね.

    メタップスペイメントの情報流出についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2022/03/04/193000

     色々言われているのは,セキュリティコードが漏洩したこと.これについてのインタビューもあります.

    セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く
    https://www.itmedia.co.jp/news/articles/2203/02/news126.html

    引用:
     クレジットカード業界向けの情報セキュリティ基準「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている。

     これに対して,

    引用:
    メタップスペイメントによれば、保持期間は非公開だが「長期間保存していた事実はない」としている。

     保管と保存と保持について,macOSに標準搭載の三省堂 スーパー大辞林で調べてみた.

    保存(keep)
    (1) そのままの状態でとっておくこと。「史蹟を―する」「塩に漬けて―する」
    (2) 〔save〕内容を変更したファイルを補助記憶装置に書き戻すこと。

    保管(storage)
    金銭や品物などをあずかって,こわれたりなくなったりしないように管理すること。「金庫に―しておく」

    保持(retain)
    保ちつづけること。持っていること。「第一人者の地位を―する」

     「持っている」って状態も難しいな.破棄と廃棄も言われるまでは意識してなかった...
     今回は保管はしてないけれど,短期間保存はしていたということか.

     昔,街中で流れている音楽を検索するエンジンのサービスをする時に,営業さんが悩んでいたのは,分析中のために楽曲をサーバに取り込むが,JASRAC?に曰く,それをハードディスクに保存するのは一時的でも著作権使用料がかかると言われ,計算のために主記憶メモリ(揮発メモリ)上に記録されている状態なら料金がかからない(とその時は判断した:グレー?)というのを訊いたことがある.
     事件の詳細内容は,順次発表されていく?だろうけれど,興味深いのはこれ.

    トヨタのサイバー攻撃対応、慎重な企業文化を反映
    https://jp.wsj.com/articles/toyota-shutdown-over-cyberattack-at-a-supplier-reflects-cautious-culture-11646190118

    引用:
     トヨタの工場では通常、全作業員が、潜在的な問題を発見した場合にライン全体を停止させる権限を持つ。作業を止めて問題を即時に解決することで、最終的には無駄な時間を減らせるという考え方だ。

     あらかじめ全作業員が権限を持っていると言うのが良いね.それと実際に停止できるかどうかは企業文化次第.
     2021年末のニュースなので,まとめると.


    中国軍関係者指示でソフト不正購入未遂か 元留学生に逮捕状
    https://www3.nhk.or.jp/news/html/20211228/k10013406991000.html

    「国に貢献せよ」と迫られた…中国人元留学生、偽名でウイルス対策ソフト購入図る
    https://www.yomiuri.co.jp/national/20211227-OYT1T50295/

  • 30代の中国人元留学生が中国軍人の妻からの指示で日本企業向けのウイルス対策ソフトを不正に購入しようとしていた疑い
  • 事件があったのは5年前の2016年.元留学生から任意で事情を聴いたがその後出国.
  • 宇宙航空研究開発機構( JAXAジャクサ )や航空関連企業などが2016年にサイバー攻撃を受けた事件の捜査過程.
  • 軍人の妻の夫は中国軍のサイバー攻撃部隊「61419部隊」に所属.中国のハッカー集団Tickと思われる.
  • 警視庁公安部は、詐欺未遂容疑で男の逮捕状.国際刑事警察機構(ICPO)を通じて国際手配の方針.

     このニュースを発表した時点で終了かな? 帰国していたら手が出せないもんね.
  • コインハイブ事件

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2022/2/3 15:14
     この様なニュースが.

    コインハイブ事件が最高裁で無罪判決「原判決を破棄しなければ著しく正義に反する」
    https://scan.netsecurity.ne.jp/article/2022/01/24/46992.html

    引用:
     同事件は、被告人が音声合成ソフトウェアを用いて作られた楽曲の情報を共有するインターネット上のWebサイト「X」運営に際し、閲覧者の同意を得ずに使用する電子計算機のCPUに仮想通貨モネロの取引履歴の承認作業等の演算を行わせて報酬を取得しようと考え、2017年10月30日から11月8日までの期間にプログラムコードをサーバコンピュータ上のXを構成するファイル内に蔵置して保管したというもの。

     「勝手にコンピュータ資源を使って収益を得る」と言う行為を禁じると,広告表示,動画広告表示などもコンピュータリソースを使っているとも言えるので違法となる.
     極端にCPUを使うプログラムを送り込んでいたわけでもないと言う点が悪意として評価されなかったのでしょう.

     それでこれ.

    「ノートン 360」で仮想通貨マイニング機能が自動インストールされる件に批判の声
    https://gigazine.net/news/20220107-norton-cryptominer-complain/

     アンチウイルスソフトはCPUをよく消費する代表格のような存在だったけれど,この機能はユーザの同意によってオンにできるそう.そんな機能を組み込む事に問題を感じているのかと思ったら,そうでも無い様で.

    引用:
    ただし、仮想通貨のマイニングや取引にかかる手数料はノートンによって固定化されているものではなく、市況やその他の要因により変動します。そのため、ユーザーが引き出そうとする仮想通貨の額が手数料を下回る場合に引き出しがブロックされてしまい。このことがユーザーを混乱させていると、セキュリティニュースサイトのKrebs on Securityは説明しています。

    老舗アンチウイルスソフト「ノートン」のブランドに仮想通貨のマイニング機能が実装へ
    https://gigazine.net/news/20210603-norton-mine-cryptocurrency/

     個人用のマルウェア対策ソフトとしてはWindows Defenderも優秀と言う事で,別の収益減を得ることを模索していると言うことかな.
     USBメモリなんて失くすものだろうから,連絡先を記載しておくのが正しいのかな.
     テプラで連絡先と管理番号を貼っておいて,拾ったら連絡くれと.その時に所有者を記載しておくかどうかは,微妙だが.
     システム手帳を持ち歩いていたときは,手帳に「拾ったら連絡してください.謝礼します」と書いといたもんだが.

    患者情報含むUSBメモリを紛失、拾得者の連絡で判明 - 昭和大病院
    https://www.security-next.com/133083

    引用:
    同大によれば、2021年12月6日にUSBメモリの拾得者からの連絡で紛失していたことが判明したという。本誌取材に対し、USBメモリの所有者や利用目的、セキュリティ対策の実施状況、紛失した原因についてはコメントを避けている。

    保管文書が所在不明

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2022/1/29 22:17
     運輸会社は輸送の過程で荷物の一時保管をする設備を持っていると思うけれど,その設備を利用して保管業務をやっていたのかな.

    預かった保管文書が箱ごと所在不明に - 丸和運輸機関子会社
    https://www.security-next.com/133262

    引用:
    所在不明となっているのは、前日15日に預かった文書保管箱19箱のうちの1箱で、同団体の年金関係書類である「退職届」や「組合員期間等証明書」など個人情報を含む872人分の書類が収納されていたという。

     前日に預かったものが無くなったというのは災難だけれど,どの箱に何が入っているかは厳格に預け入れた側が把握しておく必要がありますね.

     そういえば富士通の優勝旗は,やっぱり出てこないのかな?

     ちなみに,機密文書も手軽に処分できるサービスも拡充された模様.

    機密文書の廃棄サービス、テレワーク環境にも対応 - ヤマト運輸
    https://www.security-next.com/133343

    引用:
    オフィス以外で発生した機密文書の廃棄にもあらたに対応する。

     ヤマト運輸の紛失率がどれくらいなのだろう? 自分自身は被害に遭ったことはないですが.

    HDD紛失発表に思う

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2022/1/25 1:26
     興味深い.

    HDD紛失を公表、顧客情報が含まれる可能性 - 北海道ガス
    https://www.security-next.com/133199

    引用:
    社内関係者に対するヒアリングでは、ハードディスクの内部にデータは存在しなかったとする証言もあるが、消去した記録が残っておらず確認できないことから事態を公表した。

     前の現場のボスは,USBメモリとか外付けHDDとか,可搬性のある記憶媒体を圧倒的に嫌っていたなぁ.

     この事件の教訓は,USBメモリとか外付けHDDを会社で買うとそのライフログを全部取得する必要がある場合があるので,見た目以上にコストがかかることを認識するということかな.
     クラウドストレージを使えば「ログが残るハズだから」という.

    車上荒らしの疑いの件

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2022/1/2 20:03
     時折ある車上荒らしでの個人情報の紛失.

    個人情報含むパソコンを紛失、車上荒らしか - 名古屋電機工業
    https://www.security-next.com/132789

    引用:
    車両よりパソコンを持ち去られた車上荒らしと見られるが、ほかの場所に置き忘れた可能性も否定できないという。車両の施錠についても記憶が曖昧としている。窓ガラスが割られるといった被害はなかった。

     電車で移動中の網棚へ置き忘れなども,年末年始によくあるね.

    引用:
    紛失判明後に端末に対するログインパスワードを変更した。パソコン内のデータは、暗号化されていないという。

     多分この手の事故の場合,紛失したPCのロックを解除して情報が拡散したと言うのは聞かないのだけれど,ファイルシステムの暗号化は必須だろうね.Windowsだろうとおもうから,BitLockerで.

     そうすると,後は業務の継続性の部分だけれど,いまどきはみんなメールはIMAPにしているだろうけど?

    フロッピーディスク2枚紛失

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/12/27 18:24
     気になったのは,今の時代にフロッピー・・・じゃなくて.

    警視庁、フロッピーディスク2枚紛失 38人の個人情報入り
    https://mainichi.jp/articles/20211227/k00/00m/040/078000c

    引用:
     警視庁は27日、東京都目黒区にある区営住宅の申込者38人分の個人情報が入ったフロッピーディスク(FD)2枚を紛失したと発表した。申込者が暴力団関係者かどうか照会するため、同区から個人情報を提供されていた。

     区営住宅の申し込みをすると,暴力団関係者かどうか確認されるプロセスが漏洩.
     足を洗ってお金がない元暴力団,みたいなのは区営住宅に申し込みする前に,警察に「足を洗いました」的なことを言うと良いのかな?

    郵便事故の例

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/12/25 1:14
    個人情報含む書類が郵便事故で所在不明に - 大和リビング
    https://www.security-next.com/132539

    引用:
    大和リビングは、自社宛てに郵送した顧客情報含む書類が、郵送の過程で所在不明になったことを公表した。

    同社によれば、10月8日に名古屋東営業所から東海支店宛てにレターパックプラスで郵送した書類が、所在不明となったもの。
     日本郵便のレターパックは,追跡サービスがあるというけれど,拠点拠点の通過情報しかわからないだろうと想定.
     また,レターパックの利用シーンとして請求書や業務用サンプルの送付などは想定されているけれど,個人情報を送ることは想定してない模様.ただし,禁止されているわけでもない.

    レターパック
    https://www.post.japanpost.jp/service/letterpack/

     
     取るべき手段は,電子データで送付する事なのだろうか.

    郵便物等の損害賠償制度
    https://www.post.japanpost.jp/service/songai_baisyo.html

     レターパックは損害補償の対象では無い.

     上記損害賠償精度の紹介の中にこのように記載がある.
    引用:
    現金、宝石等の貴重品を送る場合
    必ず一般書留・現金書留(簡易書留を除きます。)としてください。
     個人情報は貴重品と捉えることができるので,ゆうぱっくのセキュリティサービスが良かったのかもしれない.

    セキュリティサービス - ゆうパック
    https://www.post.japanpost.jp/service/fuka_service/security/index.html

     運賃+380円.
     運賃が60サイズで東京から東京だとして計算すると,運賃810円+380円となる.レターパックの520円よりは高いが,30万円から50万円の価値がある場合は,これで送るのが良い.

     しかし,どちらにしても紛失したら公式発表が必要なら,安い方が良いのか.このあたりは組織としてどうするかを想定しておくのが良いのだろう.

    紙多すぎで日本郵便

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/12/17 11:56
    日本郵便、約21万人分の顧客情報を紛失 “紙多すぎ”で扱いきれず
    https://www.itmedia.co.jp/news/articles/2112/15/news148.html

    引用:
     日本郵便は12月15日、金融商品について顧客の取引内容を記載した「金融商品仲介補助簿」などを紛失したと発表した。合わせて約21万4000人分の顧客情報が記載されていたという。仲介補助簿には、氏名や記号番号、取引内容(購入・解約)、取引金額、銘柄などを記載しているという。

     金融商品なのに,日本郵便が先頭なんだな.ゆうちょ銀行は連名だけど,「郵便局」で管理することのようだから,責任は日本郵便の方が重いということなのか?

    引用:
     仲介補助簿については保存場所や期間を定めていたが、各郵便局での保存期間の認識の違いや、保存する箱の入れ間違いにより、保存期間内に誤って廃棄してしまった。その他の書類についても「紙媒体で作成・保存すべき書類が膨大な環境にあることが、取扱いのミスにつながった」とした。
     既に電子データ化し失われたデータもなく紙は誤って廃棄されたという見込みなので問題ないという認識のよう.
     誤って廃棄だから,適切に処理(裁断・溶解など)されたかわからないけれど,それが落とし所なのだろう.

     電子化するとルールに沿ったフローしかできないので「コレ特急で処理して!」が使えない世界w

    LINE PAYで5万件の決済情報が漏洩

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/12/9 11:18
     これ.

    LINE Pay、国内約5万アカウントの決済情報が「GitHub」に漏えい
    https://www.itmedia.co.jp/mobile/articles/2112/07/news135.html

    引用:
     LINE Payは、12月6日に一部ユーザーのキャンペーン情報がソフトウェア開発プラットフォーム「GitHub」上で閲覧できる状態になっていたと発表。氏名/住所/電話番号/メールアドレス/クレジットカード番号/銀行口座番号などは含まれておらず、現時点でのユーザーへの影響は確認されていない。

     似たような事があったなーと思って振り返ると,今年の2月にSMBCで“年収診断”したさにGitHubに公開かってのがあった.
     やはり発生した対岸の火事をベースに自分たちがどう対応できるかを考える必要があるのだろう.

     そして空いこれ.

    LINEにおける個人情報の取り扱いに関連する主な予定について
    https://linecorp.com/ja/pr/news/ja/2021/3680

    院内のシステムがサイバー攻撃

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/11/27 13:51
     ランサムウェアも病院を狙うのは人道的にどうなのかな,っていうふうに思うけれど,お金が取れればなんでもいいのか.
     被害にあって2ヶ月近くになるけれど,動きがありました.

    病院にサイバー攻撃、新規患者受け入れ2か月停止…身代金払わず2億円で新システム
    https://www.yomiuri.co.jp/national/20211126-OYT1T50244/

    引用:
     徳島県つるぎ町の町立半田病院(120床)で、院内のシステムがサイバー攻撃を受けて電子カルテを使用できなくなる被害があり、同病院は26日、システムを新しくした上で、停止していた新規患者の受け入れを来年1月4日に再開すると発表した。個人情報の保護と引き換えに求められていた「身代金」は支払わない。

     ニップンの事件もそうだったけれど,この対応は正しい.

    引用:
     同病院はシステムの復旧を模索してきたが、地域医療への影響が長期化する恐れがあるとして断念。別のサーバーを用いるなどしてシステムを再構築することに決めた。システムの構築などにおよそ2億円かかるという。

     バックアップもだめだったということだから,バックアップはオフラインにするというセオリーが有効ですな.

    追記2022/01/03
    サーバー復旧、通常診療へ 徳島のサイバー攻撃被害病院
    https://www.nikkei.com/article/DGXZQOUF0316J0T00C22A1000000/

    引用:
    病院によると21年12月29日に復旧が確認された。

    病院は復旧方法について「今後のセキュリティー対策に関わるので公表しない」としている。

     復旧方法がセキュリティ対策に関わる? まぁ再開できて良かった.

    東京ガスの事件で思う

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/7/29 23:00
     この記事.

    東京ガスが顧客情報不正取得
    https://nordot.app/785454317918191616

    引用:
    1都3県の一部の販売店が、電気の切り替え営業の際、ガス契約で得た氏名や住所などを

     この事案とは類似の別案件だけど,今年の3月頃のある日,訪問があって東京ガスの検針票を見せてくれと言って名刺を差し出されたので渡した事がある.渡してしばらくしてガス会社を切り替えないかと言う営業だと分かったので,電力を東京ガスに切り替えたばかりだったのでお断りしたけれど,最初東京ガスの人だと思って検針票を渡したのでそこには当然住所氏名が書かれている.
     もらった名刺で会社名を調べると訪問販売なので悪評も皆無では無いが総じて悪い会社では無さそう.

     かつて,ADSL回線やフレッツ,ケーブルテレビインタネットの契約とか,ケータイもインセンティブ目的に営業会社を通して契約件数を伸ばしていた.お金が絡むのでトラブルもありつつ,契約取ったもん勝ちの世界.

     これは古典的で古くは新聞紙がそうだった.新聞は地域の販売所から配達を受けて買っているけれど新聞社とは全くの別会社.そして新規契約を取るのは団と言われる別組織に委託の形を取っていた.新聞販売店は人手不足から素性の良く無い人を雇っていたし,そう言う人が大なり小なり刑事事件を起こすと販売店と契約を打ち切って切り捨て.契約を取る団の人も同じ.今で言う業務委託なので契約時にトラブルがあったら,その実態が不明な団の責任として謝って終わり.トカゲの尻尾は最初から切られるために構成されている.
     話題にはなっていないけれど,悪手の例なのか.

    患者情報の管理に関するご報告とお詫び
    https://www.ho.chiba-u.ac.jp/hosp/info/20210430info.html

  • 職員が大学の規定に反して、患者様586名の個人情報を自分のPCに保存しクラウドサービスに保存
  • 宅配業者を装ったフィッシングメールでIDパスワードが搾取により,個人情報が閲覧できる状態になる
  • 全職員に対し、定期的に研修を実施していたが実施されていなかった.
  • 情報管理の方法を改めて周知徹底

     対策が「周知徹底」だけの模様.
  • インターネット史上最大規模? 80億を超えるパスワードが流出か
    https://realsound.jp/tech/2021/06/post-789835.html

    引用:
     ハッカーがフォーラムに投稿したデータは、100GBにものぼる超巨大なテキストファイルだ。そしてコメント欄で「パスワードは6〜20文字の範囲で、ASCII文字(アスキー文字)を使用したもののみ収集した」と述べ、リストには820億のパスワードが含まれると主張した。

     「パスワードは6〜20文字の範囲」ということで「サーバサービスなどで利用される認証用パスワードは32文字以上にしましょう,どうせ人間が打ち込むわけでも無いし」という目安は,確かに一理あるようだ.
    サイバー訓練参加者の個人情報流出 政府
    https://www.jiji.com/jc/article?k=2021060201110

    引用:
     内閣サイバーセキュリティセンターは2日、富士通の情報共有システムへの不正アクセスに絡み、同センターが実施したサイバーセキュリティーに関する訓練に参加した政府や民間企業約90組織、約170人分の役職、氏名などの個人情報が流出したと発表した。


    五輪組織委の個人情報が流出
    https://nordot.app/773462424593596416

    引用:
    関係者によると、新たに流出が確認されたのは、内閣官房の内閣サイバーセキュリティセンターが東京五輪開催中のサイバー攻撃に備えて実施した情報共有訓練の参加者の所属先や役職、名前など。


    五輪開会式を想定して70社がサイバー演習、意外すぎる盲点に会場がざわつく
    https://xtech.nikkei.com/atcl/nxt/column/18/00001/03208/

    引用:
    11月8日のNISC演習の攻撃シナリオは「東京オリンピックの開会式当日にサイバー攻撃を受けた」というもので、過去最高となる約5000人が参加したという。これに対しNCAはNISCの攻撃シナリオを一般企業向けに変更した。演習会場は東京の3カ所に、今回初めて大阪の1カ所を加えた。

     これだと五千人参加しているらしいから,その一部か.サイバーセキュリティ専門家の連絡先が漏れたとしてもフィッシングなどは通用しないだろうし,実質,転職の一本釣りくらいにしか利用価値なさそう

    LinkedInから個人情報漏洩

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/6/14 10:33
     ちょっと古いけれど.

    LinkedInからスクレイピングされた約5億人分の公開個人情報も犯罪フォーラムで販売
    https://www.itmedia.co.jp/news/articles/2104/09/news047.html

    引用:
     米Microsoft傘下のLinkedInのものとみられる約5億人分の個人情報が米Facebookの5.33億人の個人情報公開と同じ犯罪フォーラムで販売されているとリトアニアのニュースメディアCyberNewsが4月6日(現地時間)に報じた。

     転職に活用しているので,経歴の生データをカジュアルに掲載している人も多いSNSと言えますね.ある意味,公開したい情報が漏洩しているだけなら,問題ないのかもしれない.

    Classiの不正アクセス その2

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/5/29 23:00
     ステイホームが始まった&新学期時期に発生したClassiの不正アクセス事件から1年.みんな忘れていると思うけれど,以前のブログでは「詳細不明」と書いたけれど,1ねんちょっと経って詳細が明らかにされた模様.

     この姿勢は信頼できる会社っぽいな.

    より安全にご利用いただけるようになったClassiのご報告と今後の取り組みについて
    https://corp.classi.jp/news/2416/?_ga=2.124249226.1844188968.1622256005-561176556.1622256005

     これみてわかるのが,

    引用:
    2020年4月5日(日)
    13:30 フィッシング攻撃を受ける
    14:06 攻撃者が侵入用サーバーを作成
    14:44侵入用サーバー経由でデータベースサーバーへ侵入
     日曜日にこのスピード感でやられたら,もう誰も止められないわな...

    ProjectWEB

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/5/28 1:11
     最初は成田空港だけかと思ったら,もっと範囲が広かった.


    富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2021/05/26/053332

     どういうものなのかみたことないので調べてみた.2009年の論文なので

    SEのビジネス基盤を目指すProjectWEBの新たな取組み

     適当にピックアップ.

  • ライブラリ機能
  • todo list機能
  • プロジェクト管理支援機能(富士通の標準プロセス体系「SDEM(エスデム)」を基盤として開発)

     Microsoft Project+Slack+継続的インテグレーションが一緒になったようなものだろうな(嘘)

     歴史は20年以上.

    引用:
    富士通は2001年以降,インターネット環境で構築されたProjectWEBをお客様・ビジネスパートナと利用する環境を提供している。そのため,ProjectWEBをセキュアに運用するための取組みは不可欠である。

     これ.

    引用:
    IPアドレスによるアクセス制御は,アクセス拒否,あるいはアクセス許可をかける端末IPアドレスの指定を可能にする。とくに後者の活用により,指定された端末からのみProjectWEBへのアクセスを許可することが可能となる。IPアドレスによるアクセス制御を活用することにより,ProjectWEBへのアクセスを,プロジェクトが許可したセキュリティ対策済みの端末からのみ実施することが可能となる。
     利用者側がこの機能を徹底的に設定していたとすると,犯人は利用者の中にいる可能性も?!


     誰も言わない?けれど,これ.

    プロジェクト情報共有ツールへの不正アクセスについて
    https://pr.fujitsu.com/jp/news/2021/05/25.html

    引用:
    本事案の影響範囲および原因は現在調査中であり、更なる不正アクセスが発生しないよう「ProjectWEB」の運用を停止しております。

     富士通の対応策は正しい,と思うけれど,これで日本中の大きなシステムのプロジェクト管理が停止してしまっているという事実...止まっていても影響がないのか,多大なる影響があるのか.

    おまけ

    システム構築の標準プロセス体系:SDEM
    https://www.fujitsu.com/downloads/JP/archive/imgjp/jmag/vol63-2/paper15.pdf


    追記2022/01/07
    富士通が情報流出招いたProjectWEBの廃止を発表、「名無し」の代替ツールを提供へ
    https://xtech.nikkei.com/atcl/nxt/news/18/11844/

    引用:
     富士通は2021年12月9日、同社が運営するプロジェクト情報共有ツール「ProjectWEB」を廃止すると発表した。同ツールを巡っては、不正アクセスを受けて複数の法人顧客の情報が流出するなどの問題が相次ぎ、運用を停止していた。
     廃止するのは良いけれど.

    引用:
     日経クロステックは過去の報道で、ProjectWEBに多要素認証を実装していなかったことや、ログの収集が不十分で不正アクセスを受けた原因や時期が特定できていない同社の問題点について報じている。富士通はProjectWEBで発覚した複数の脆弱性について「セキュリティーに関することであり、回答は差し控える」(同)とした。
     まだ調査は進めている?ようだから,続報がでてくるのだろうか.こういうコストも,対策不足による負のコスト,リスクとして計上しておく必要があるのだろうな.

    プロジェクト情報共有ツールへの不正アクセスについて(第四報)
    https://pr.fujitsu.com/jp/news/2021/12/9-1.html

    引用:
    なお、本事案の原因に関しては、脆弱性を悪用した侵入、運用管理者や一般利用者の端末のマルウェア感染等、これまであらゆる可能性を考慮して調査を実施し、当社内においてはその調査は既に完了しております。その結果、ProjectWEBに数種類の脆弱性が存在していたことが確認されており、悪用された脆弱性の特定には至りませんでしたが、第三者がそのいずれかを用いるなどして、正規のIDとパスワードを窃取し、これを使用することで正常認証および正常通信と見える形で、ProjectWEBに対して外部から不正アクセスを行ったものであると判断しております。

     調査は完了となっている.ログを追いかける作業は終了ということか.

    引用:
    現在、本事案の原因および当社の対応について外部有識者の「検証委員会」に検証頂いております。また、これまで実施した原因調査や被害範囲の確認の妥当性等を検証すべく、客観的・技術的な観点から、内閣サイバーセキュリティセンター様等にご相談しております。当社といたしましては、検証委員会の検証結果や内閣サイバーセキュリティセンター様等のご助言も踏まえて、改めてしかるべき時期に本事案に関する総括を行うとともに、
     結果を内閣サイバーセキュリティセンターに投げて判断待ち.

     富士通の出した回答以上には答えられないと思うけれど,何か明確な攻撃被害があったと紐づけられているわけでも無いから,そのまま鎮静化かな.
     これは根拠がないけれど,なんだか古臭いシステムだし混乱もなさそう?だから,旧式のシステム開発に関わる情報を掲載していただけだったんじゃなかろうか.

    追記2022/03/10
     まさかの進展あり.

    「ProjectWEB」の被害組織数を上方修正 - 富士通
    https://www.security-next.com/134678

    引用:
    同社によると継続的に連携してきた外部機関の協力があり、2022年1月から調査を進めてていたところ、あらたに13件の顧客で不正アクセスを受けていたことが2月17日に判明したという。
     

     地味に進めてるんだな...
  •  日本ではワクチン接種の話題ばかりで,視聴率優先の一般テレビ報道ではノーマークのようだけれど.

    米石油パイプライン企業へのサイバー攻撃についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2021/05/12/051650

    引用:
    2021年5月7日、米国の石油パイプライン企業Colonial Pipelineはランサムウエアによる影響をうけ業務全体を一時停止する措置を講じたことを発表しました。停止された輸送サービスは12日に再開され、15日までに供給網全体が復旧されました。
     ここで興味があるのは,今回ランサムウェアだったそうで身代金を支払った,,,けれども復号化が遅くてバックアップから戻したそうだ.
     「予防的措置としてパイプライン全体の停止」というのも興味深い.


    米国で発生した浄水システムの不正操作についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2021/02/10/181319

    引用:
    2021年2月5日、米フロリダ州タンパ近郊オールズマー市の浄水システムに対し、何者かがリモートから不正に操作を行い、システムで添加制御が行われていた水酸化ナトリウムの量を危険な水準に引き上げる行為が一時行われました。
     この件の水酸化ナトリウムは,苛性ソーダとも呼ばれ,日本では毒物及び劇物取締法により原体および5%を超える製剤が劇物に指定されるような危ないもの.

     もう忘れてしまっているけれど,東日本大震災直後,乳児の飲料に向かない濃度の水道水から放射性ヨウ素が測定されたので,水道水の摂取を控えましょうという事件があったことを思い出した.

     これらの事件を見ると,あっという間に生活が脅かされるね.

    内閣府に不正アクセス

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/25 23:00
    内閣府に不正アクセス
    https://this.kiji.is/757998150644727808

    引用:
     内閣府は22日、内閣官房などと共同で利用しているファイル共有のストレージサービスに不正アクセスがあり、

    〜略〜

    1月に内閣府のネットワークを運用する事業者が不正アクセスを検知し、調査を進めていた

     この脆弱性自体は,2021年2月に発表されていたけれど,いわゆるゼロデイ.

    FileZenの脆弱性(CVE-2021-20655)に関する注意喚起
    https://www.jpcert.or.jp/at/2021/at210009.html

     興味深いのはここ.

    引用:
    III. 対策

    脆弱性に対応したバージョンは2021年2月16日の段階で提供されていません。株式会社ソリトンシステムズによると、脆弱性に対応したバージョンを2021年3月に提供する予定とのことです。

    更新: 2021年3月5日追記
    2021年3月5日、株式会社ソリトンシステムズより脆弱性(CVE-2021-20655)について修正済みのバージョンが公開されました。修正済みバージョンの適用をご検討ください

    内閣府のFileZenへの不正アクセスについてまとめてみた
    https://piyolog.hatenadiary.jp

    追記2021/05/20

     インターネット上で稼働しているデバイスの情報を収集する以前紹介したSHODANを使っての,FileZenの探索がまとめられています.

    [OSINT]Shodanを使ってFileZenを探せ その3(番外編: 運用状況の分析)
    https://note.com/hiro_shi_note/n/ne0be0fb4b517

    カプコンは素晴らしい

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/22 0:20
     継続的に被害情報で判明したことを報告する姿勢は,カプコンは素晴らしい.世の中の役に立ってる! バイオハザードに食べさせてもらっていたこともあるし感謝w

    カプコンへの不正アクセス、侵入経路は予備に残した以前のVPN機器
    https://www.security-next.com/125237

    引用:
    別にあらたなVPN機器を導入済みだったが、米カリフォルニア州における新型コロナウイルス感染の急拡大に起因するネットワーク負荷の増大にともない、通信障害など備え、緊急避難用のインフラとして同法人にのみ旧システムのVPN機器1台を残していた
     わかる.非常に気持ちはわかる.

    Trelloからの情報漏洩

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/14 10:46
     設定ミスによって情報漏洩状態になることは,少し前にセールスフォースでも騒がれたので記憶に新しい.

    Trelloの公開ボードについて
    https://www.atlassian.com/ja/blog/trello-public-board

    引用:
    Trelloの初期設定ではボードは非公開になっており、ユーザーの任意で公開範囲を選択することが可能です。詳細は、こちらの記事にて確認いただけます。

    Trelloは豪Atlassianが運営するプロジェクト管理ツール。付せんのようなユーザーインタフェースで簡単にToDoやプロジェクトの進行状況を管理できるのが特徴。米Fog Creek Softwareが2011年に立ち上げ、14年に企業としてスピンアウト。Atlassianが17年2月に買収した

     Atlassianのプロダクトだと,高機能RedmineみたいなJIRAとか,Confluence(Wiki)を使っていたことがあるな.

     漏れた情報が話題という・・・

    タスク管理ツールの情報漏洩事件 マルチ商法や新興宗教団体のデータまで漏れていた
    https://news.livedoor.com/article/detail/20016046/

    引用:
    取材した大手新聞社の経済担当記者によれば、一般企業や官公庁のデータではないかと思われる資料まで確認できたという。

    〜略〜

    「マルチ商法グループが管理していると思われる情報が出てきて、そこにはターゲットとなる人物の実名や勤務先、ターゲットにいつ誰が接触し、どういう反応をしたか、どれくらいモノを買わせることができるかなど詳細なメモもありました」(大手紙経済担当記者)

    〜略〜

    一方で、「人生が終わる」レベルの被害がおよびつつある人もいると話すのは、関東地方の風俗店経営者の男性(40代)。

    「どこかの人材業者らしきアカウントが、コロナワクチンの治験に参加を希望している人の名前、住所、電話番号や免許証の写真をアップしていました。業者は手広く『女性のスカウト』もやっていたようで、水商売で働きたいと希望している未成年の個人情報、風俗店で働いている成人女性の写真や個人情報、借金の有無などの記載もあり、自分の名前を入れてヒットしないかと業界で働く女性はびくびくしていますよ」(性風俗店経営者の男性)



    プロジェクト管理ツール「Trello」で運転免許証など個人情報流出 閲覧範囲の設定ミスが原因か
    https://www.itmedia.co.jp/news/articles/2104/06/news080.html

    引用:
    大学生の顔写真付き履歴書や住所がダダ漏れ 採用・不採用の理由までもが情報漏洩し、面接担当が顔採用していた事まで判明

    「Trello」で機密情報が漏洩していてもアカウントを削除するのは絶対NG!
    https://forest.watch.impress.co.jp/docs/serial/yajiuma/1317736.html

    引用:
    ここで 一番やってはいけないことは、慌ててアカウントを削除してしまうこと です。公開ボードが削除できなくなり、どうしようもなくなる可能性があります

    facebookで情報漏洩5億人分

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/5 23:52
     もう何度目かわからないけれど.

    5億人以上のフェイスブック個人情報が漏洩 携帯番号も 2019年の流出データが再浮上
    https://jp.cointelegraph.com/news/half-a-billion-people-just-had-their-facebook-data-leaked

    引用:
    SNS大手フェイスブックを利用する5億人以上のユーザー個人情報が4月3日、ハッカー向けサイト上で無料公開されたようだ。アカウントに紐づく個人の携帯番号もこれまでより広範囲に流出した可能性があるため、仮想通貨を取引するユーザーは今後SIMスワップ攻撃などのIDベースの攻撃に注意が必要だ。

     念のためにHave I Been Pwnedでドメインサーチを使って新たに漏洩してないか確認してみた.
     今のところ,未登録の模様.

     テレビでも一般ニュースとしてやってた.(時間は短いが) facebookは40〜50代向けらしいから,テレビで視聴率取りに行くのにちょうど良いかも.

    追記2021/04/09

    Facebook、5.33億人のユーザー情報公開問題について説明(謝罪はなし)
    https://www.itmedia.co.jp/news/articles/2104/07/news073.html

    引用:
     同社は「このデータはFacebookのシステムをハッキングすることによってではなく、2019年9月以前にスクレイピングによって集められたことを理解するのが重要だ」としている。ユーザーにとって重要なのは、自分の個人情報も5.33億人に含まれているのか、含まれているとして、電話番号などもふくまれているのかのはずだが、Facebookは今のところ、流出したユーザーに通知してはいない。

     「通知していない」からの・・・

    フェイスブック、5億人超の情報流出で利用者に通知しない方針
    https://jp.reuters.com/article/facebook-data-leak-idJPKBN2BV054

    引用:
    過去に流出した利用者5億3000万人以上の個人情報がインターネット上で最近閲覧可能になっていた問題について、当該の利用者に通知しておらず、通知する予定もないと、広報担当者が7日、明らかにした

     pwndが対応したそうで,自分の電話番号を入れても検索できるようになりました.

    個人情報流出チェックサイト「Have I Been Pwned?」が電話番号での検索に対応
    https://gigazine.net/news/20210407-facebook-phone-numbers-have-i-been-pwned/

    LINEの問題

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/3/28 22:46
     LINEのサービスが韓国・中国と日本にとってリスクの高い国においてあることが問題だったら,LINEを国有化したらどうだろう.新しいサービスで置き換える能力があるのかというと...たとえば「+メッセージ(プラスメッセージ)」は,誰も使ってないような...と思ったけれど,2000万契約はあるようだ.(店頭でスマホを買うときにインストールさせられただけと思うが)

    LINEの個人情報問題に政府が敏感に反応した理由--「行政のデジタル化」遅れの懸念も
    https://japan.cnet.com/article/35168122/

    引用:
     LINEユーザーの個人情報が、同社の委託先の中国企業でアクセスできる状態にあったことが判明した。それを受けて、総務省がLINEを活用した行政サービスを停止すると公表するなど大きな影響が出ているようだ。


    LINE Payの個人情報が韓国に…決済内容から企業情報まで アクセス権は韓国の子会社社員
    https://www.fnn.jp/articles/-/159363

    引用:
    LINEの個人情報問題で新たな事実が判明。LINE Payで何をどこで買ったかといった情報や加盟店の銀行口座の番号などが韓国国内のサーバーにあることが分かった。


    LINEが発表した個人情報に関する今後の方針と日本のユーザーがチェックすべきポイント
    https://dime.jp/genre/1109365/

    引用:
    日本ユーザーに安心いただくための2つの国内化

    ・中国における開発拠点および外部委託先における個人情報へのアクセスコントロール等の実施
    ・LINEトークルームおよびLINE公式アカウント、LINE Payにおけるデータの国内移転
    ・4月19日(月)総務省への報告

    以降の情報は、以下ページにて定期更新するという。

    LINE:プレスリリース「LINEにおける個人情報の取り扱いに関連する今後の主な予定について」
    https://linecorp.com/ja/pr/news/ja/2021/3680

     中国がグレートファイヤーウォールとかfacebookなどのSNSアクセス禁止を言論の自由を奪う行為として報道されてきたように思うけれど,中国がとっている「国防」としてのソーシャルメディアのコントロールは,参考にしても良いのだろうなと思う.

     個人情報だとかプライバシーだとか言っても,あちこちに公設・私設によらず監視カメラが設置されているけれど,あのデータもどこに保存されているのか...


    2021.05.11追記

    総務省、LINEに行政指導 - 安全管理や利用者への説明不十分
    https://www.security-next.com/125654

    引用:
    4月19日に報告を徴収したが、報告内容より安全管理措置や利用者に対する説明など一部不十分な点があると判断し、文書により指導を行ったもの。

    〜略〜

    利用者が理解できるよう措置を講じることなども指導内容に含まれ、5月31日までに対応状況を報告するよう同社へ求めている。
     まだ現在進行中だけれど,2021/05/17現在,コロナ禍におけるワクチン接種申し込みにLINE
    は使われてますね.
     先日,中国人がアクセスできることで誤解を招くような?あおり報道も多かったけれど,ベッキーのゲス不倫事件以来の?LINEが話題に...?


    日本のLINE利用者の画像・動画全データ、韓国で保管
    https://www.asahi.com/articles/ASP3K64ZCP3KUHBI01W.html

    引用:
    国内の月間利用者が8600万人に上る無料通信アプリを運営する「LINE(ライン)」(本社・東京都)が、利用者間でメッセージをやりとりするサービス「トーク」に投稿されたすべての画像と動画を韓国内のサーバーに保管していることがわかった。
     AWSを使ったサービスも多くあると思うけれど,どこのリージョンを使っているかは,利用者からは明確でない場合が多いね.リージョンを変えている場合もあるだろうし.

    引用:
    データは複数のサーバーに分散化する特殊な処理がなされており、アクセス権を持つ社員も具体的な画像内容は見られないという。
     なるほど.

     そしてこれ.

    【全文】五輪式典で不適切演出案の佐々木宏氏「大失言…渡辺直美さんに伝わる時が来たら辞表を」
    https://www.tokyo-np.co.jp/article/92221

    引用:
    東京五輪・パラリンピックの開閉会式の企画、演出で全体の統括役を務めるクリエーティブディレクターの佐々木宏氏(66)が、式典に出演予定だったタレントの渡辺直美さんの容姿を侮辱するような内容の演出を関係者に提案していたと「文春オンライン」が17日報じた。

     謝罪文の冒頭.

    引用:
     ○謝罪⽂
    昨年3⽉の私のLINEのグループラインの中において、オリンピック開会式のアイデアフラッシュを仲間うちでやり取りする中で、私のアイデア及び、発⾔内容に、⾮常に不適切な表現がありました。
     誰もが知っているソフトバンクの白戸家のお父さん犬や,トミー・リー・ジョーンズが長年出演しているBOSSのCMなどの奇抜なアイディアで賞賛されていた人が,奇抜なアイディア,それも社内会議的な関係者だけでのグループラインでの発言が,1年後に暴露されて辞任に追い込まれる.

     1つ前の事例から,LINEのデータな解読できないわけだから内部犯行は明らか.こういうのは,

  • 一番得するやつが犯人.(サスペンスでは古典)
  • 最も疑われる人を追い落とすための第三の登場人物.(火サス)
  • 全く関係がなさそうな人が真犯人.(犯人はヤス)
  • 佐々木宏氏は電通出身だそうだから,過去の仕事がらみの復讐劇.
  • 東京オリンピック・パラリンピックを中止にさせたい勢力の陰謀.(AKIRA予言信者過激派)

     どれにしても,森元会長辞任劇もそうだけれど,足元を救う情報攻撃は,ずっと続くのだろうな.

     どっちかというとこっちが問題.

    自治体、対応追われる LINE個人情報問題受け
    https://www.jiji.com/jc/article?k=2021031800933

    引用:
     対話アプリLINEの個人情報保護に不備があり、利用者情報が中国の委託企業で閲覧できる状態になっていた。自治体は住民へのサービスや情報提供でLINEを多く活用しており、情報確認などに追われている。

     LINEは行政サービスと連携しているので,一時的に行政サービスを停止している所も多い模様.
     そのほぼ無意味で何も生み出さない対応で貴重な公務員の労力を今使うことの意味.

    LINEを活用した新型コロナワクチン接種予約システムを提供
    https://linecorp.com/ja/pr/news/ja/2021/3606

     小さい地方自治体はこういうのを採用したいのだろうと思うけれど.ジジババはLINE利用率低いか.

     お! LINE以外にも,雨後の筍のようなワクチン接種管理システムが多数ある! これはスタンダードになれれば永久機関並みに稼げる可能性があるから,そういう陰謀か.
  • ドコモ口座事件 その3

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/3/8 23:37
     リバース・ブルーと・フォース・アタックなどの手口にも焦点が上がった,ドコモ口座事件.犯人が逮捕されたと報道があったけれど,調べたらソフトバンクショップの人間が情報を持ち出していたというオチだった.
     盗んだ人は直接はドコモ口座事件に絡んでないようだけれど,鮮度・濃度が良いデータだと別の犯罪に利用される良い例かな.
     
    ソフトバンクで6347人の顧客情報流出。ドコモ口座事件などに悪用される
    https://security.srad.jp/story/21/03/04/0033240/

    引用:
    容疑者が取得した情報は、最終的にドコモ口座事件の主犯とされる被告に渡り、それが犯罪に悪用されたと見られている。

    追記2021/03/28


    600のメールアカウントを無断使用 ドコモ口座不正引き出し
    https://mainichi.jp/articles/20210318/k00/00m/040/047000c

    引用:
    アカウントは、特定のプロバイダー(接続事業者)1社に集中していた。

    〜略〜

    アカウントのパスワードの多くは、インターネット上に流出していた。定期的にメールを送受信しないとアカウントが勝手に使われても気付きにくいことが悪用されたとみられる。
     休眠アカウントも管理しておくべきだな.あとはちゃんと削除する.

    利用者の多いクラウドサービスは

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/3/3 11:42
     このニュースを見て感じたのは...

    AWSアカウント攻撃ツールをSalesforceがリリースするも速攻で削除される
    https://gigazine.net/news/20210217-salesforce-endgame/

    引用:
     EndgameはAWS用のペネトレーションテストツールで、SalesforceのエンジニアであるKinnaird McQuade氏が開発しました。Endgameを用いると、あるAWSアカウントのリソースを他のAWSアカウントで悪用したり、インターネット上に公開したりできるとのこと。
     AWS(Amazon Web Service)とかGCP(Google Cloud Platform)とかMicrosoft Azureとか,利用者の多いサービスだと,利用者は「中の人」なので「中の人」が気付きやすい盲点のようなものも共有されがちなんじゃないかな.
     善意だろうが,悪意だろうが.
     ちょっとだけ話題に.

    三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】
    https://www.itmedia.co.jp/news/articles/2101/29/news107.html

    引用:
     委託先のSEとみられる人物が、自身の書いたソースコードから年収を診断できるWebサービスを利用するため、SMBCなどから委託を受けて開発したコードをソースコード共有サービス「GitHub」に公開したのが原因。
     年収査定システムとしては,たぶんオープンソース・コミュニティに対する貢献度を図る際に,githubへのコミット数やリアクションを「参考にする」程度であって,何でもかんでもアップロードすれば良い,と言うわけではないけれど,若気の至りでやってしまった,と言う事だろうな.

     どんな罪になるのだろう.漏洩は瑕疵ではあるが故意では無いでしょう.
     記事によるとソースコードの中に登場した各社は「影響がない」的なコメントを出しているから,被害は無いと言うことになる? 納品したものを流出させた場合と,納品前の開発中時点のソースの所有者は誰?ということか.

    コインチェック その3

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/1/25 2:07
     最近,テレビCMでコインチェックをよく見るようになった.

    流出NEM交換容疑、31人立件 ダークウェブで計188億円
    https://this.kiji.is/725032557304709120

    引用:
     2018年に暗号資産(仮想通貨)交換業者「コインチェック」から約580億円分のNEM(ネム)が流出した事件で、警視庁は22日、盗まれたネムと知りながら他の仮想通貨に交換したとして、組織犯罪処罰法違反(犯罪収益収受)の疑いで、これまでに13都道府県に住む23~43歳の男31人を立件したと明らかにした。

     そしてJK17という人の話題は忘れていたけれど,この事件の捜査協力していたという肩書きの人が,今日のバラエティ番組で「野良WiFiを探す」コーナーにでてた.
     テレビでも実名報道だったし,結構な扱いだったかな.

  • 楽天「転職元の機密流出で社員逮捕」仰天の弁明
    真っ向からぶつかるソフトバンクと楽天の主張
    https://toyokeizai.net/articles/-/403493

    引用:
    2019年12月31日までソフトバンクに在籍していたエンジニアが、最新の5Gネットワークに関する営業秘密を不正に持ち出し、翌日の2020年1月1日には競合の楽天モバイルに転職していたという事件だ。
     転職は経験者採用なので経験を期待しているけれど,情報持ち出しは期待してないはず.自分用のメモ的なものだろうな.

     以前,勤めていたソシャゲーの会社が倒産した直前,仕事が取れないモヒカン頭の営業が,PCを持ってトンズラ.トンズラの際に重要な取引先へ花見で口が滑ったとかで情報を漏洩して,倒産の引き金を引いた事件があった.

     その後,弁護士を通してPCを返却してもらい,PCのファイル復活をさせたらSVNからソースコードを抜き出していた痕跡がでてきた.

     その証拠を元に社長が機密情報漏洩による損害賠償をしようと破産弁護士と話をしていたのだけれど,ソースコードをSVNにダウンロードした証拠はあっても「別のPCに持ち出しせずに消した」と言われれば成立しないから,訴えるのは厳しいと言ってた.
     そもそも,花見で口が滑った件も周りからの証言で録音とか物的証拠もないので,これも難しい.社長が悔しそうにしていたな...そのモヒカン,盗んだソースコードでキャラクターもそのままのアプリをリリースしているけれどやっぱるヒットせず,中国にトンズラしたみたいだ.

     そしてなんか既視感があるとおもったら・・・

  • ソフトバンク機密情報漏洩 露幹部職員が出国か
    元社員は自宅からサーバーにアクセス疑い
    https://www.sankei.com/affairs/news/200210/afr2002100033-n1.html

    引用:
     在日ロシア通商代表部の幹部職員の求めに応じ、大手通信会社「ソフトバンク」の元社員が機密情報を持ち出したとされる事件で、情報を受け取ったとみられる同部幹部職員で外交特権を持つ男が10日、日本を出国したとみられることが分かった。警視庁公安部は男が元社員をそそのかしたとみており、近く不正競争防止法違反の教唆容疑で書類送検する方針。
     1年前か.この時は「逮捕されたソフトバンク元社員」とされているけれど,今回は元ソフトバンクで,今回は「楽天モバイル社員」ということだな.

     ここで気になるのは,ログ保存期間だな.
  •  設定不備によるセキュリティ事故,最近のトレンドになったな.

  • コロナ陽性者の個人情報9500人分が流出 クラウドのアクセス権を誤って公開状態に 福岡県が謝罪
    https://www.itmedia.co.jp/news/articles/2101/06/news130.html

    引用:
     福岡県は1月6日、県が管理していた新型コロナウイルス感染症の陽性者9500人分の氏名、住所などの個人情報がクラウドサービス上で外部から閲覧できる状態だったと発表した。
     機微すぎるデータ...

  • トヨクモ、メールアドレスなど最大1948件流出 外部サーバー設定の検証不足
    https://www.jiji.com/jc/article?k=2021010801015
    引用:
     トヨクモは8日、顧客のメールアドレスなど最大1948件の情報が流出した可能性があると発表した。同社は、災害時に社員の安否などを確認するメール送信システムを企業に提供している。流出した可能性があるのは、メールアドレスやメールの件名などで、外部からこれらの情報を見られる状態となっていた。

    トヨクモという会社,トヨタと関係あるのかと思ったらサイボウズ系だった.
  •  自分のメアドと本名がセットで漏洩してしまい,その直後からフィッシングメールやFacebookへの不正ログイン試行が増えたピーティックスの不正アクセス事件.
     その後,どういう対応を取るのかと,不定期にチェックしていたのですが,しれっとトップページから情報が消えていました.


     公式ツイッターに,アナウンスがでていました.気付かないよ...



     PDFでレポートが出てたので確認してみる.

    弊社が運営する「Peatix( https://peatix.com/ )」への不正アクセス事象に関する 第三者調査機関による調査結果のご報告と今後の対応について
    https://announcement.peatix.com/20201216_ja.pdf

     以下,時系列文をピックアップ.

  • 2020年11月9日に情報流出を確認
  • 2020年11月12日に2020年10月16日から10月17日にかけて不正アクセスが判明
  • 2020年11月15日パスワードリセット
  • 2020年11月17日〜23日にかけて電子メールで利用者に連絡.

     おかしいなぁ.Pwnedで私のメアドを調べると,2019年1月の漏洩となっている.

    引用:
    Peatix: In January 2019, the event organising platform Peatix suffered a data breach. The incident exposed 4.2M email addresses, names and salted password hashes. The data was provided to HIBP by dehashed.com.

    Compromised data: Email addresses, Names, Passwords

    Peatixです。2019年1月、イベント開催プラットフォームPeatixがデータ漏洩に見舞われました。このインシデントでは、4.2Mのメールアドレス、名前、塩漬けのパスワードハッシュが公開されました。データはdehashed.comによってHIBPに提供されました。

    侵害されたデータ メールアドレス、名前、パスワード

     2020年10月16日から10月17日にかけても不正アクセスがあったのだろうけれど,それ以外にもアクセスがあったのだろう.そしてログがないから調べられない的なことかな.

  • 攻撃者の属性及び不正アクセスの具体的方法の詳細については、技術的に特定できない

     こうあるし.

     お客様に対しては,お詫び文と,パスワードリセットのお願いしかないね.この程度だと金銭的保障などは無いのか.
  • ドコモ口座事件 その2

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/1/2 16:02
     本人確認があまいことが発端となった「ドコモ口座事件」の詐欺で男が逮捕.

    「ドコモ口座」不正で詐欺G主犯格の男を再逮捕へ、警視庁など合同捜査本部
    http://news.tbs.co.jp/newseye/tbs_newseye4164086.html

     2020年の1月に2016年の事件で逮捕された人と指名年齢が同一ということで話題.

    神戸の1000万円強盗、主犯格の男ら逮捕
    https://www.iza.ne.jp/kiji/events/news/200116/evt20011619020029-n1.html

     人の金を奪う性分なのはわかるけれど,二つの事件を考えるとドコモ口座を使った犯罪計画については,別の人の手引きか情報があったとしか思えないな.

    広告スペース
    Google