UJP - 事故・事件カテゴリのエントリ

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ 事故・事件 の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - 事故・事件カテゴリのエントリ

東京ガスの事件で思う

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2021/7/29 23:00
 この記事.

東京ガスが顧客情報不正取得
https://nordot.app/785454317918191616

引用:
1都3県の一部の販売店が、電気の切り替え営業の際、ガス契約で得た氏名や住所などを

 この事案とは類似の別案件だけど,今年の3月頃のある日,訪問があって東京ガスの検針票を見せてくれと言って名刺を差し出されたので渡した事がある.渡してしばらくしてガス会社を切り替えないかと言う営業だと分かったので,電力を東京ガスに切り替えたばかりだったのでお断りしたけれど,最初東京ガスの人だと思って検針票を渡したのでそこには当然住所氏名が書かれている.
 もらった名刺で会社名を調べると訪問販売なので悪評も皆無では無いが総じて悪い会社では無さそう.

 かつて,ADSL回線やフレッツ,ケーブルテレビインタネットの契約とか,ケータイもインセンティブ目的に営業会社を通して契約件数を伸ばしていた.お金が絡むのでトラブルもありつつ,契約取ったもん勝ちの世界.

 これは古典的で古くは新聞紙がそうだった.新聞は地域の販売所から配達を受けて買っているけれど新聞社とは全くの別会社.そして新規契約を取るのは団と言われる別組織に委託の形を取っていた.新聞販売店は人手不足から素性の良く無い人を雇っていたし,そう言う人が大なり小なり刑事事件を起こすと販売店と契約を打ち切って切り捨て.契約を取る団の人も同じ.今で言う業務委託なので契約時にトラブルがあったら,その実態が不明な団の責任として謝って終わり.トカゲの尻尾は最初から切られるために構成されている.
 話題にはなっていないけれど,悪手の例なのか.

患者情報の管理に関するご報告とお詫び
https://www.ho.chiba-u.ac.jp/hosp/info/20210430info.html

  • 職員が大学の規定に反して、患者様586名の個人情報を自分のPCに保存しクラウドサービスに保存
  • 宅配業者を装ったフィッシングメールでIDパスワードが搾取により,個人情報が閲覧できる状態になる
  • 全職員に対し、定期的に研修を実施していたが実施されていなかった.
  • 情報管理の方法を改めて周知徹底

     対策が「周知徹底」だけの模様.
  • インターネット史上最大規模? 80億を超えるパスワードが流出か
    https://realsound.jp/tech/2021/06/post-789835.html

    引用:
     ハッカーがフォーラムに投稿したデータは、100GBにものぼる超巨大なテキストファイルだ。そしてコメント欄で「パスワードは6〜20文字の範囲で、ASCII文字(アスキー文字)を使用したもののみ収集した」と述べ、リストには820億のパスワードが含まれると主張した。

     「パスワードは6〜20文字の範囲」ということで「サーバサービスなどで利用される認証用パスワードは32文字以上にしましょう,どうせ人間が打ち込むわけでも無いし」という目安は,確かに一理あるようだ.
    サイバー訓練参加者の個人情報流出 政府
    https://www.jiji.com/jc/article?k=2021060201110

    引用:
     内閣サイバーセキュリティセンターは2日、富士通の情報共有システムへの不正アクセスに絡み、同センターが実施したサイバーセキュリティーに関する訓練に参加した政府や民間企業約90組織、約170人分の役職、氏名などの個人情報が流出したと発表した。


    五輪組織委の個人情報が流出
    https://nordot.app/773462424593596416

    引用:
    関係者によると、新たに流出が確認されたのは、内閣官房の内閣サイバーセキュリティセンターが東京五輪開催中のサイバー攻撃に備えて実施した情報共有訓練の参加者の所属先や役職、名前など。


    五輪開会式を想定して70社がサイバー演習、意外すぎる盲点に会場がざわつく
    https://xtech.nikkei.com/atcl/nxt/column/18/00001/03208/

    引用:
    11月8日のNISC演習の攻撃シナリオは「東京オリンピックの開会式当日にサイバー攻撃を受けた」というもので、過去最高となる約5000人が参加したという。これに対しNCAはNISCの攻撃シナリオを一般企業向けに変更した。演習会場は東京の3カ所に、今回初めて大阪の1カ所を加えた。

     これだと五千人参加しているらしいから,その一部か.サイバーセキュリティ専門家の連絡先が漏れたとしてもフィッシングなどは通用しないだろうし,実質,転職の一本釣りくらいにしか利用価値なさそう

    LinkedInから個人情報漏洩

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/6/14 10:33
     ちょっと古いけれど.

    LinkedInからスクレイピングされた約5億人分の公開個人情報も犯罪フォーラムで販売
    https://www.itmedia.co.jp/news/articles/2104/09/news047.html

    引用:
     米Microsoft傘下のLinkedInのものとみられる約5億人分の個人情報が米Facebookの5.33億人の個人情報公開と同じ犯罪フォーラムで販売されているとリトアニアのニュースメディアCyberNewsが4月6日(現地時間)に報じた。

     転職に活用しているので,経歴の生データをカジュアルに掲載している人も多いSNSと言えますね.ある意味,公開したい情報が漏洩しているだけなら,問題ないのかもしれない.

    Classiの不正アクセス その2

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/5/29 23:00
     ステイホームが始まった&新学期時期に発生したClassiの不正アクセス事件から1年.みんな忘れていると思うけれど,以前のブログでは「詳細不明」と書いたけれど,1ねんちょっと経って詳細が明らかにされた模様.

     この姿勢は信頼できる会社っぽいな.

    より安全にご利用いただけるようになったClassiのご報告と今後の取り組みについて
    https://corp.classi.jp/news/2416/?_ga=2.124249226.1844188968.1622256005-561176556.1622256005

     これみてわかるのが,

    引用:
    2020年4月5日(日)
    13:30 フィッシング攻撃を受ける
    14:06 攻撃者が侵入用サーバーを作成
    14:44侵入用サーバー経由でデータベースサーバーへ侵入
     日曜日にこのスピード感でやられたら,もう誰も止められないわな...

    ProjectWEB

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/5/28 1:11
     最初は成田空港だけかと思ったら,もっと範囲が広かった.


    富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2021/05/26/053332

     どういうものなのかみたことないので調べてみた.2009年の論文なので

    SEのビジネス基盤を目指すProjectWEBの新たな取組み

     適当にピックアップ.

  • ライブラリ機能
  • todo list機能
  • プロジェクト管理支援機能(富士通の標準プロセス体系「SDEM(エスデム)」を基盤として開発)

     Microsoft Project+Slack+継続的インテグレーションが一緒になったようなものだろうな(嘘)

     歴史は20年以上.

    引用:
    富士通は2001年以降,インターネット環境で構築されたProjectWEBをお客様・ビジネスパートナと利用する環境を提供している。そのため,ProjectWEBをセキュアに運用するための取組みは不可欠である。

     これ.

    引用:
    IPアドレスによるアクセス制御は,アクセス拒否,あるいはアクセス許可をかける端末IPアドレスの指定を可能にする。とくに後者の活用により,指定された端末からのみProjectWEBへのアクセスを許可することが可能となる。IPアドレスによるアクセス制御を活用することにより,ProjectWEBへのアクセスを,プロジェクトが許可したセキュリティ対策済みの端末からのみ実施することが可能となる。
     利用者側がこの機能を徹底的に設定していたとすると,犯人は利用者の中にいる可能性も?!


     誰も言わない?けれど,これ.

    プロジェクト情報共有ツールへの不正アクセスについて
    https://pr.fujitsu.com/jp/news/2021/05/25.html

    引用:
    本事案の影響範囲および原因は現在調査中であり、更なる不正アクセスが発生しないよう「ProjectWEB」の運用を停止しております。

     富士通の対応策は正しい,と思うけれど,これで日本中の大きなシステムのプロジェクト管理が停止してしまっているという事実...止まっていても影響がないのか,多大なる影響があるのか.

    おまけ

    システム構築の標準プロセス体系:SDEM
    https://www.fujitsu.com/downloads/JP/archive/imgjp/jmag/vol63-2/paper15.pdf
  •  日本ではワクチン接種の話題ばかりで,視聴率優先の一般テレビ報道ではノーマークのようだけれど.

    米石油パイプライン企業へのサイバー攻撃についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2021/05/12/051650

    引用:
    2021年5月7日、米国の石油パイプライン企業Colonial Pipelineはランサムウエアによる影響をうけ業務全体を一時停止する措置を講じたことを発表しました。停止された輸送サービスは12日に再開され、15日までに供給網全体が復旧されました。
     ここで興味があるのは,今回ランサムウェアだったそうで身代金を支払った,,,けれども復号化が遅くてバックアップから戻したそうだ.
     「予防的措置としてパイプライン全体の停止」というのも興味深い.


    米国で発生した浄水システムの不正操作についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2021/02/10/181319

    引用:
    2021年2月5日、米フロリダ州タンパ近郊オールズマー市の浄水システムに対し、何者かがリモートから不正に操作を行い、システムで添加制御が行われていた水酸化ナトリウムの量を危険な水準に引き上げる行為が一時行われました。
     この件の水酸化ナトリウムは,苛性ソーダとも呼ばれ,日本では毒物及び劇物取締法により原体および5%を超える製剤が劇物に指定されるような危ないもの.

     もう忘れてしまっているけれど,東日本大震災直後,乳児の飲料に向かない濃度の水道水から放射性ヨウ素が測定されたので,水道水の摂取を控えましょうという事件があったことを思い出した.

     これらの事件を見ると,あっという間に生活が脅かされるね.

    内閣府に不正アクセス

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/25 23:00
    内閣府に不正アクセス
    https://this.kiji.is/757998150644727808

    引用:
     内閣府は22日、内閣官房などと共同で利用しているファイル共有のストレージサービスに不正アクセスがあり、

    〜略〜

    1月に内閣府のネットワークを運用する事業者が不正アクセスを検知し、調査を進めていた

     この脆弱性自体は,2021年2月に発表されていたけれど,いわゆるゼロデイ.

    FileZenの脆弱性(CVE-2021-20655)に関する注意喚起
    https://www.jpcert.or.jp/at/2021/at210009.html

     興味深いのはここ.

    引用:
    III. 対策

    脆弱性に対応したバージョンは2021年2月16日の段階で提供されていません。株式会社ソリトンシステムズによると、脆弱性に対応したバージョンを2021年3月に提供する予定とのことです。

    更新: 2021年3月5日追記
    2021年3月5日、株式会社ソリトンシステムズより脆弱性(CVE-2021-20655)について修正済みのバージョンが公開されました。修正済みバージョンの適用をご検討ください

    内閣府のFileZenへの不正アクセスについてまとめてみた
    https://piyolog.hatenadiary.jp

    追記2021/05/20

     インターネット上で稼働しているデバイスの情報を収集する以前紹介したSHODANを使っての,FileZenの探索がまとめられています.

    [OSINT]Shodanを使ってFileZenを探せ その3(番外編: 運用状況の分析)
    https://note.com/hiro_shi_note/n/ne0be0fb4b517

    カプコンは素晴らしい

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/22 0:20
     継続的に被害情報で判明したことを報告する姿勢は,カプコンは素晴らしい.世の中の役に立ってる! バイオハザードに食べさせてもらっていたこともあるし感謝w

    カプコンへの不正アクセス、侵入経路は予備に残した以前のVPN機器
    https://www.security-next.com/125237

    引用:
    別にあらたなVPN機器を導入済みだったが、米カリフォルニア州における新型コロナウイルス感染の急拡大に起因するネットワーク負荷の増大にともない、通信障害など備え、緊急避難用のインフラとして同法人にのみ旧システムのVPN機器1台を残していた
     わかる.非常に気持ちはわかる.

    Trelloからの情報漏洩

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/14 10:46
     設定ミスによって情報漏洩状態になることは,少し前にセールスフォースでも騒がれたので記憶に新しい.

    Trelloの公開ボードについて
    https://www.atlassian.com/ja/blog/trello-public-board

    引用:
    Trelloの初期設定ではボードは非公開になっており、ユーザーの任意で公開範囲を選択することが可能です。詳細は、こちらの記事にて確認いただけます。

    Trelloは豪Atlassianが運営するプロジェクト管理ツール。付せんのようなユーザーインタフェースで簡単にToDoやプロジェクトの進行状況を管理できるのが特徴。米Fog Creek Softwareが2011年に立ち上げ、14年に企業としてスピンアウト。Atlassianが17年2月に買収した

     Atlassianのプロダクトだと,高機能RedmineみたいなJIRAとか,Confluence(Wiki)を使っていたことがあるな.

     漏れた情報が話題という・・・

    タスク管理ツールの情報漏洩事件 マルチ商法や新興宗教団体のデータまで漏れていた
    https://news.livedoor.com/article/detail/20016046/

    引用:
    取材した大手新聞社の経済担当記者によれば、一般企業や官公庁のデータではないかと思われる資料まで確認できたという。

    〜略〜

    「マルチ商法グループが管理していると思われる情報が出てきて、そこにはターゲットとなる人物の実名や勤務先、ターゲットにいつ誰が接触し、どういう反応をしたか、どれくらいモノを買わせることができるかなど詳細なメモもありました」(大手紙経済担当記者)

    〜略〜

    一方で、「人生が終わる」レベルの被害がおよびつつある人もいると話すのは、関東地方の風俗店経営者の男性(40代)。

    「どこかの人材業者らしきアカウントが、コロナワクチンの治験に参加を希望している人の名前、住所、電話番号や免許証の写真をアップしていました。業者は手広く『女性のスカウト』もやっていたようで、水商売で働きたいと希望している未成年の個人情報、風俗店で働いている成人女性の写真や個人情報、借金の有無などの記載もあり、自分の名前を入れてヒットしないかと業界で働く女性はびくびくしていますよ」(性風俗店経営者の男性)



    プロジェクト管理ツール「Trello」で運転免許証など個人情報流出 閲覧範囲の設定ミスが原因か
    https://www.itmedia.co.jp/news/articles/2104/06/news080.html

    引用:
    大学生の顔写真付き履歴書や住所がダダ漏れ 採用・不採用の理由までもが情報漏洩し、面接担当が顔採用していた事まで判明

    「Trello」で機密情報が漏洩していてもアカウントを削除するのは絶対NG!
    https://forest.watch.impress.co.jp/docs/serial/yajiuma/1317736.html

    引用:
    ここで 一番やってはいけないことは、慌ててアカウントを削除してしまうこと です。公開ボードが削除できなくなり、どうしようもなくなる可能性があります

    facebookで情報漏洩5億人分

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/5 23:52
     もう何度目かわからないけれど.

    5億人以上のフェイスブック個人情報が漏洩 携帯番号も 2019年の流出データが再浮上
    https://jp.cointelegraph.com/news/half-a-billion-people-just-had-their-facebook-data-leaked

    引用:
    SNS大手フェイスブックを利用する5億人以上のユーザー個人情報が4月3日、ハッカー向けサイト上で無料公開されたようだ。アカウントに紐づく個人の携帯番号もこれまでより広範囲に流出した可能性があるため、仮想通貨を取引するユーザーは今後SIMスワップ攻撃などのIDベースの攻撃に注意が必要だ。

     念のためにHave I Been Pwnedでドメインサーチを使って新たに漏洩してないか確認してみた.
     今のところ,未登録の模様.

     テレビでも一般ニュースとしてやってた.(時間は短いが) facebookは40〜50代向けらしいから,テレビで視聴率取りに行くのにちょうど良いかも.

    追記2021/04/09

    Facebook、5.33億人のユーザー情報公開問題について説明(謝罪はなし)
    https://www.itmedia.co.jp/news/articles/2104/07/news073.html

    引用:
     同社は「このデータはFacebookのシステムをハッキングすることによってではなく、2019年9月以前にスクレイピングによって集められたことを理解するのが重要だ」としている。ユーザーにとって重要なのは、自分の個人情報も5.33億人に含まれているのか、含まれているとして、電話番号などもふくまれているのかのはずだが、Facebookは今のところ、流出したユーザーに通知してはいない。

     「通知していない」からの・・・

    フェイスブック、5億人超の情報流出で利用者に通知しない方針
    https://jp.reuters.com/article/facebook-data-leak-idJPKBN2BV054

    引用:
    過去に流出した利用者5億3000万人以上の個人情報がインターネット上で最近閲覧可能になっていた問題について、当該の利用者に通知しておらず、通知する予定もないと、広報担当者が7日、明らかにした

     pwndが対応したそうで,自分の電話番号を入れても検索できるようになりました.

    個人情報流出チェックサイト「Have I Been Pwned?」が電話番号での検索に対応
    https://gigazine.net/news/20210407-facebook-phone-numbers-have-i-been-pwned/

    LINEの問題

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/3/28 22:46
     LINEのサービスが韓国・中国と日本にとってリスクの高い国においてあることが問題だったら,LINEを国有化したらどうだろう.新しいサービスで置き換える能力があるのかというと...たとえば「+メッセージ(プラスメッセージ)」は,誰も使ってないような...と思ったけれど,2000万契約はあるようだ.(店頭でスマホを買うときにインストールさせられただけと思うが)

    LINEの個人情報問題に政府が敏感に反応した理由--「行政のデジタル化」遅れの懸念も
    https://japan.cnet.com/article/35168122/

    引用:
     LINEユーザーの個人情報が、同社の委託先の中国企業でアクセスできる状態にあったことが判明した。それを受けて、総務省がLINEを活用した行政サービスを停止すると公表するなど大きな影響が出ているようだ。


    LINE Payの個人情報が韓国に…決済内容から企業情報まで アクセス権は韓国の子会社社員
    https://www.fnn.jp/articles/-/159363

    引用:
    LINEの個人情報問題で新たな事実が判明。LINE Payで何をどこで買ったかといった情報や加盟店の銀行口座の番号などが韓国国内のサーバーにあることが分かった。


    LINEが発表した個人情報に関する今後の方針と日本のユーザーがチェックすべきポイント
    https://dime.jp/genre/1109365/

    引用:
    日本ユーザーに安心いただくための2つの国内化

    ・中国における開発拠点および外部委託先における個人情報へのアクセスコントロール等の実施
    ・LINEトークルームおよびLINE公式アカウント、LINE Payにおけるデータの国内移転
    ・4月19日(月)総務省への報告

    以降の情報は、以下ページにて定期更新するという。

    LINE:プレスリリース「LINEにおける個人情報の取り扱いに関連する今後の主な予定について」
    https://linecorp.com/ja/pr/news/ja/2021/3680

     中国がグレートファイヤーウォールとかfacebookなどのSNSアクセス禁止を言論の自由を奪う行為として報道されてきたように思うけれど,中国がとっている「国防」としてのソーシャルメディアのコントロールは,参考にしても良いのだろうなと思う.

     個人情報だとかプライバシーだとか言っても,あちこちに公設・私設によらず監視カメラが設置されているけれど,あのデータもどこに保存されているのか...


    2021.05.11追記

    総務省、LINEに行政指導 - 安全管理や利用者への説明不十分
    https://www.security-next.com/125654

    引用:
    4月19日に報告を徴収したが、報告内容より安全管理措置や利用者に対する説明など一部不十分な点があると判断し、文書により指導を行ったもの。

    〜略〜

    利用者が理解できるよう措置を講じることなども指導内容に含まれ、5月31日までに対応状況を報告するよう同社へ求めている。
     まだ現在進行中だけれど,2021/05/17現在,コロナ禍におけるワクチン接種申し込みにLINE
    は使われてますね.
     先日,中国人がアクセスできることで誤解を招くような?あおり報道も多かったけれど,ベッキーのゲス不倫事件以来の?LINEが話題に...?


    日本のLINE利用者の画像・動画全データ、韓国で保管
    https://www.asahi.com/articles/ASP3K64ZCP3KUHBI01W.html

    引用:
    国内の月間利用者が8600万人に上る無料通信アプリを運営する「LINE(ライン)」(本社・東京都)が、利用者間でメッセージをやりとりするサービス「トーク」に投稿されたすべての画像と動画を韓国内のサーバーに保管していることがわかった。
     AWSを使ったサービスも多くあると思うけれど,どこのリージョンを使っているかは,利用者からは明確でない場合が多いね.リージョンを変えている場合もあるだろうし.

    引用:
    データは複数のサーバーに分散化する特殊な処理がなされており、アクセス権を持つ社員も具体的な画像内容は見られないという。
     なるほど.

     そしてこれ.

    【全文】五輪式典で不適切演出案の佐々木宏氏「大失言…渡辺直美さんに伝わる時が来たら辞表を」
    https://www.tokyo-np.co.jp/article/92221

    引用:
    東京五輪・パラリンピックの開閉会式の企画、演出で全体の統括役を務めるクリエーティブディレクターの佐々木宏氏(66)が、式典に出演予定だったタレントの渡辺直美さんの容姿を侮辱するような内容の演出を関係者に提案していたと「文春オンライン」が17日報じた。

     謝罪文の冒頭.

    引用:
     ○謝罪⽂
    昨年3⽉の私のLINEのグループラインの中において、オリンピック開会式のアイデアフラッシュを仲間うちでやり取りする中で、私のアイデア及び、発⾔内容に、⾮常に不適切な表現がありました。
     誰もが知っているソフトバンクの白戸家のお父さん犬や,トミー・リー・ジョーンズが長年出演しているBOSSのCMなどの奇抜なアイディアで賞賛されていた人が,奇抜なアイディア,それも社内会議的な関係者だけでのグループラインでの発言が,1年後に暴露されて辞任に追い込まれる.

     1つ前の事例から,LINEのデータな解読できないわけだから内部犯行は明らか.こういうのは,

  • 一番得するやつが犯人.(サスペンスでは古典)
  • 最も疑われる人を追い落とすための第三の登場人物.(火サス)
  • 全く関係がなさそうな人が真犯人.(犯人はヤス)
  • 佐々木宏氏は電通出身だそうだから,過去の仕事がらみの復讐劇.
  • 東京オリンピック・パラリンピックを中止にさせたい勢力の陰謀.(AKIRA予言信者過激派)

     どれにしても,森元会長辞任劇もそうだけれど,足元を救う情報攻撃は,ずっと続くのだろうな.

     どっちかというとこっちが問題.

    自治体、対応追われる LINE個人情報問題受け
    https://www.jiji.com/jc/article?k=2021031800933

    引用:
     対話アプリLINEの個人情報保護に不備があり、利用者情報が中国の委託企業で閲覧できる状態になっていた。自治体は住民へのサービスや情報提供でLINEを多く活用しており、情報確認などに追われている。

     LINEは行政サービスと連携しているので,一時的に行政サービスを停止している所も多い模様.
     そのほぼ無意味で何も生み出さない対応で貴重な公務員の労力を今使うことの意味.

    LINEを活用した新型コロナワクチン接種予約システムを提供
    https://linecorp.com/ja/pr/news/ja/2021/3606

     小さい地方自治体はこういうのを採用したいのだろうと思うけれど.ジジババはLINE利用率低いか.

     お! LINE以外にも,雨後の筍のようなワクチン接種管理システムが多数ある! これはスタンダードになれれば永久機関並みに稼げる可能性があるから,そういう陰謀か.
  • ドコモ口座事件 その3

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/3/8 23:37
     リバース・ブルーと・フォース・アタックなどの手口にも焦点が上がった,ドコモ口座事件.犯人が逮捕されたと報道があったけれど,調べたらソフトバンクショップの人間が情報を持ち出していたというオチだった.
     盗んだ人は直接はドコモ口座事件に絡んでないようだけれど,鮮度・濃度が良いデータだと別の犯罪に利用される良い例かな.
     
    ソフトバンクで6347人の顧客情報流出。ドコモ口座事件などに悪用される
    https://security.srad.jp/story/21/03/04/0033240/

    引用:
    容疑者が取得した情報は、最終的にドコモ口座事件の主犯とされる被告に渡り、それが犯罪に悪用されたと見られている。

    追記2021/03/28


    600のメールアカウントを無断使用 ドコモ口座不正引き出し
    https://mainichi.jp/articles/20210318/k00/00m/040/047000c

    引用:
    アカウントは、特定のプロバイダー(接続事業者)1社に集中していた。

    〜略〜

    アカウントのパスワードの多くは、インターネット上に流出していた。定期的にメールを送受信しないとアカウントが勝手に使われても気付きにくいことが悪用されたとみられる。
     休眠アカウントも管理しておくべきだな.あとはちゃんと削除する.

    利用者の多いクラウドサービスは

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/3/3 11:42
     このニュースを見て感じたのは...

    AWSアカウント攻撃ツールをSalesforceがリリースするも速攻で削除される
    https://gigazine.net/news/20210217-salesforce-endgame/

    引用:
     EndgameはAWS用のペネトレーションテストツールで、SalesforceのエンジニアであるKinnaird McQuade氏が開発しました。Endgameを用いると、あるAWSアカウントのリソースを他のAWSアカウントで悪用したり、インターネット上に公開したりできるとのこと。
     AWS(Amazon Web Service)とかGCP(Google Cloud Platform)とかMicrosoft Azureとか,利用者の多いサービスだと,利用者は「中の人」なので「中の人」が気付きやすい盲点のようなものも共有されがちなんじゃないかな.
     善意だろうが,悪意だろうが.
     ちょっとだけ話題に.

    三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】
    https://www.itmedia.co.jp/news/articles/2101/29/news107.html

    引用:
     委託先のSEとみられる人物が、自身の書いたソースコードから年収を診断できるWebサービスを利用するため、SMBCなどから委託を受けて開発したコードをソースコード共有サービス「GitHub」に公開したのが原因。
     年収査定システムとしては,たぶんオープンソース・コミュニティに対する貢献度を図る際に,githubへのコミット数やリアクションを「参考にする」程度であって,何でもかんでもアップロードすれば良い,と言うわけではないけれど,若気の至りでやってしまった,と言う事だろうな.

     どんな罪になるのだろう.漏洩は瑕疵ではあるが故意では無いでしょう.
     記事によるとソースコードの中に登場した各社は「影響がない」的なコメントを出しているから,被害は無いと言うことになる? 納品したものを流出させた場合と,納品前の開発中時点のソースの所有者は誰?ということか.

    コインチェック その3

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/1/25 2:07
     最近,テレビCMでコインチェックをよく見るようになった.

    流出NEM交換容疑、31人立件 ダークウェブで計188億円
    https://this.kiji.is/725032557304709120

    引用:
     2018年に暗号資産(仮想通貨)交換業者「コインチェック」から約580億円分のNEM(ネム)が流出した事件で、警視庁は22日、盗まれたネムと知りながら他の仮想通貨に交換したとして、組織犯罪処罰法違反(犯罪収益収受)の疑いで、これまでに13都道府県に住む23~43歳の男31人を立件したと明らかにした。

     そしてJK17という人の話題は忘れていたけれど,この事件の捜査協力していたという肩書きの人が,今日のバラエティ番組で「野良WiFiを探す」コーナーにでてた.
     テレビでも実名報道だったし,結構な扱いだったかな.

  • 楽天「転職元の機密流出で社員逮捕」仰天の弁明
    真っ向からぶつかるソフトバンクと楽天の主張
    https://toyokeizai.net/articles/-/403493

    引用:
    2019年12月31日までソフトバンクに在籍していたエンジニアが、最新の5Gネットワークに関する営業秘密を不正に持ち出し、翌日の2020年1月1日には競合の楽天モバイルに転職していたという事件だ。
     転職は経験者採用なので経験を期待しているけれど,情報持ち出しは期待してないはず.自分用のメモ的なものだろうな.

     以前,勤めていたソシャゲーの会社が倒産した直前,仕事が取れないモヒカン頭の営業が,PCを持ってトンズラ.トンズラの際に重要な取引先へ花見で口が滑ったとかで情報を漏洩して,倒産の引き金を引いた事件があった.

     その後,弁護士を通してPCを返却してもらい,PCのファイル復活をさせたらSVNからソースコードを抜き出していた痕跡がでてきた.

     その証拠を元に社長が機密情報漏洩による損害賠償をしようと破産弁護士と話をしていたのだけれど,ソースコードをSVNにダウンロードした証拠はあっても「別のPCに持ち出しせずに消した」と言われれば成立しないから,訴えるのは厳しいと言ってた.
     そもそも,花見で口が滑った件も周りからの証言で録音とか物的証拠もないので,これも難しい.社長が悔しそうにしていたな...そのモヒカン,盗んだソースコードでキャラクターもそのままのアプリをリリースしているけれどやっぱるヒットせず,中国にトンズラしたみたいだ.

     そしてなんか既視感があるとおもったら・・・

  • ソフトバンク機密情報漏洩 露幹部職員が出国か
    元社員は自宅からサーバーにアクセス疑い
    https://www.sankei.com/affairs/news/200210/afr2002100033-n1.html

    引用:
     在日ロシア通商代表部の幹部職員の求めに応じ、大手通信会社「ソフトバンク」の元社員が機密情報を持ち出したとされる事件で、情報を受け取ったとみられる同部幹部職員で外交特権を持つ男が10日、日本を出国したとみられることが分かった。警視庁公安部は男が元社員をそそのかしたとみており、近く不正競争防止法違反の教唆容疑で書類送検する方針。
     1年前か.この時は「逮捕されたソフトバンク元社員」とされているけれど,今回は元ソフトバンクで,今回は「楽天モバイル社員」ということだな.

     ここで気になるのは,ログ保存期間だな.
  •  設定不備によるセキュリティ事故,最近のトレンドになったな.

  • コロナ陽性者の個人情報9500人分が流出 クラウドのアクセス権を誤って公開状態に 福岡県が謝罪
    https://www.itmedia.co.jp/news/articles/2101/06/news130.html

    引用:
     福岡県は1月6日、県が管理していた新型コロナウイルス感染症の陽性者9500人分の氏名、住所などの個人情報がクラウドサービス上で外部から閲覧できる状態だったと発表した。
     機微すぎるデータ...

  • トヨクモ、メールアドレスなど最大1948件流出 外部サーバー設定の検証不足
    https://www.jiji.com/jc/article?k=2021010801015
    引用:
     トヨクモは8日、顧客のメールアドレスなど最大1948件の情報が流出した可能性があると発表した。同社は、災害時に社員の安否などを確認するメール送信システムを企業に提供している。流出した可能性があるのは、メールアドレスやメールの件名などで、外部からこれらの情報を見られる状態となっていた。

    トヨクモという会社,トヨタと関係あるのかと思ったらサイボウズ系だった.
  •  自分のメアドと本名がセットで漏洩してしまい,その直後からフィッシングメールやFacebookへの不正ログイン試行が増えたピーティックスの不正アクセス事件.
     その後,どういう対応を取るのかと,不定期にチェックしていたのですが,しれっとトップページから情報が消えていました.


     公式ツイッターに,アナウンスがでていました.気付かないよ...



     PDFでレポートが出てたので確認してみる.

    弊社が運営する「Peatix( https://peatix.com/ )」への不正アクセス事象に関する 第三者調査機関による調査結果のご報告と今後の対応について
    https://announcement.peatix.com/20201216_ja.pdf

     以下,時系列文をピックアップ.

  • 2020年11月9日に情報流出を確認
  • 2020年11月12日に2020年10月16日から10月17日にかけて不正アクセスが判明
  • 2020年11月15日パスワードリセット
  • 2020年11月17日〜23日にかけて電子メールで利用者に連絡.

     おかしいなぁ.Pwnedで私のメアドを調べると,2019年1月の漏洩となっている.

    引用:
    Peatix: In January 2019, the event organising platform Peatix suffered a data breach. The incident exposed 4.2M email addresses, names and salted password hashes. The data was provided to HIBP by dehashed.com.

    Compromised data: Email addresses, Names, Passwords

    Peatixです。2019年1月、イベント開催プラットフォームPeatixがデータ漏洩に見舞われました。このインシデントでは、4.2Mのメールアドレス、名前、塩漬けのパスワードハッシュが公開されました。データはdehashed.comによってHIBPに提供されました。

    侵害されたデータ メールアドレス、名前、パスワード

     2020年10月16日から10月17日にかけても不正アクセスがあったのだろうけれど,それ以外にもアクセスがあったのだろう.そしてログがないから調べられない的なことかな.

  • 攻撃者の属性及び不正アクセスの具体的方法の詳細については、技術的に特定できない

     こうあるし.

     お客様に対しては,お詫び文と,パスワードリセットのお願いしかないね.この程度だと金銭的保障などは無いのか.
  • ドコモ口座事件 その2

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/1/2 16:02
     本人確認があまいことが発端となった「ドコモ口座事件」の詐欺で男が逮捕.

    「ドコモ口座」不正で詐欺G主犯格の男を再逮捕へ、警視庁など合同捜査本部
    http://news.tbs.co.jp/newseye/tbs_newseye4164086.html

     2020年の1月に2016年の事件で逮捕された人と指名年齢が同一ということで話題.

    神戸の1000万円強盗、主犯格の男ら逮捕
    https://www.iza.ne.jp/kiji/events/news/200116/evt20011619020029-n1.html

     人の金を奪う性分なのはわかるけれど,二つの事件を考えるとドコモ口座を使った犯罪計画については,別の人の手引きか情報があったとしか思えないな.
     この前,「デフォルト設定が弱い場合は脆弱性ではないのか」と,軽くつぶやきをブログにしたばかりだけれどこんな事件があった.

    楽天情報漏えい、SalesforceのExperience Cloudの設定不備が原因か?
    https://news.yahoo.co.jp/byline/ohmototakashi/20201226-00214542
    引用:
     楽天、楽天カード、楽天Edyは12月25日、利用中のクラウド型営業管理システムに不正アクセスを受け、保管していた個人情報など最大148万6291件が流出した可能性があると発表した。
     楽天の情報漏えいと同日に、Salesforce社が同社製品利用顧客による「設定ミス」が発生したことを発表した。楽天の発表には「クラウド型営業管理システム」としか記載されていないが、一部報道では既に「Salesforce社のサービスだった」との指摘があり、Salesforce社が同日に発表した「お客様」は「楽天」ではないかと推測される。
     東証システム障害の長期化の原因の時にもあったけれど,設定の正しさ,仕様に変更がないか,みたいな部分は定期的にチェックが必要ということかな.

     まぁ,提供側が「バグ修正」といいつつしれっと何か機能や設定を修正していることも多いから,そういう部分も明らかにする,という文化が浸透する必要があるな.
     そんな浸透は無理だから,自動化してチェックする必要があるのかな.

     んー,ただ,設定値1つ1つ全て確認・理解している人なんて皆無だし,普通はデフォルトが最適と信じて変更箇所のみ設計書に記録し,説明をしない事が多いんじゃなかろうか.

     意図しない設定変更などを検出するためには,設定ファイルのdiffが基本だけれど,GUI設定画面のスクショ撮って画像ファイルを見比べて変化が大きい場合,設定変更や仕様変更とみなす,みたいなのもあっても良いのかもしれない.

    追記2021.02.02
     ベンダからのお知らせ.

    Salesforceサイトおよびコミュニティにおけるゲストユーザのアクセス制御の権限設定について
    https://www.salesforce.com/jp/company/news-press/stories/salesforce-update/

    引用:
    すでにコミュニティならびにサイトをご利用のすべてのお客様にお伝えしている通り、ゲストユーザのアクセス制御の権限設定の再確認を支援するパッケージ「Guest User Access Report Package」(英語)を利用することをお勧めします。また、以下のヘルプ記事「ゲストユーザプロファイルを設定する際のベストプラクティスと考慮事項」を確認することもあわせてお勧めします。

    アクセス制御の権限設定の見直しや構成に支援が必要なお客様は、いつでも Salesforce ヘルプからケースを起票いただくか、SIパートナーにご相談ください。

    電子計算機使用詐欺罪

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/12/28 12:48
     気になった記事.

    スーパーで「半額シール」付け替えた高齢女性 問われたのが「詐欺罪」ではなかった理由
    https://www.bengo4.com/c_1009/n_12201/

     騙した相手が人間だと詐欺,無人POSレジだと電子計算機使用詐欺罪なのね.刑法系は「10年以下の懲役」で同等だけれど,「電子計算機使用詐欺罪」となるとハッカーっぽくて知的犯罪に思える.

     以前,スーパーで,隣の商品の割引シールが偶然くっついたような惣菜があって,もしかしてこれをレジに通すとそのまま割引になりそうな気がしたけれど,カミさんと顔を見合わせて,そのシールが貼ってない方を会計したことがある.スーパーも馴染みの店員もいるから,あの夫婦は「やる人だ」と思われると生活圏が狭くなるしね.

     その意味でこの本事件で逮捕された「女性(83)」は,認知能力も問われたりするのかもしれないな.

    神奈川県のハードディスク

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/12/28 0:14
     約1年前に世間を騒がせていた事件ですが,和解になった様です.

    神奈川、文書保存HD流出で和解 富士通リースが県に2370万円
    https://this.kiji.is/715136149587083264

     従業員による盗難で盗み出されたハードディスクだけれど中のデータ流出が無かったという事で、相殺の手打ち金額なのかな.

    追記 2021/02/03
  • 神奈川HDD流出事件から1年 データ消去の新ガイドライン改定内容とは
    https://www.keyman.or.jp/kn/articles/2101/20/news115.html

    引用:
     情報記憶媒体の適正な処分について注目が集まってからおよそ1年、2020年12月28日に総務省は「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」を改定し、公表した。

     新ガイドラインは、複数のセキュリティ関連の分野について見直された。改定されたのは主に次の7点だ。

    ・情報資産及び機器の廃棄(データ消去)
    ・マイナンバー利用事務系の分離の見直し(いわゆる三層分離の見直し)
    ・LGWAN接続系とインターネット接続系分割の見直し
    ・リモートアクセスのセキュリティ
    ・LGWAN接続系における庁内無線LANの利用
    ・クラウドサービスの利用に当たっての注意点
    ・セキュリティ人材の育成や体制について

     本稿では、改定ポイントの一つであるデータ消去を取り上げる。データ消去について、「情報の機密性に応じた機器の廃棄等の方法」と「確実な履行方法」について、約2ページ分の記述が追加、改定された。
  •  ピーティックスでメアドと暗号化されたパスワードが漏洩されてしまった事件.pwnedのサイトに登録されているのを確認.


     2週間前に見た時には未登録だったので,pwnedのサイトで掲載されるタイムラグはそんなもんなのかなと確認.

     そしてpwnedのドメインサーチでPwned email accounts.xlsxもダウンロードしてみたけれど,peatixのドメインだけでした.


     その後,定期的にpeatixのサイトを見ているのだけれど,不正アクセスに対応する内容は更新されてないな. パスワード変えさせて終了で逃げ切る感じだろうな.
     facebookからログイン失敗通知が来た.


     こ,これは,先日調べた本物のfacebookからのメールだ.

     ログイン失敗の履歴は,[設定][セキュリティとログイン][セキュリティとログインに関する最近のメール]で確認.



  • 前回メールが来たのが11月10日だった.
  • それ以前は5年ほどログインしてないし,セキュリティ通知も来てない
  • Peatixのサーバが不正アクセスを受けたのは10月16日〜17日にかけてだ.
  • Peatixの漏洩したメアドと,このフェイスブックのメアドは同じ.

     あとは,わかるな...orz
  • カプコンの件

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/11/18 10:02
    カプコン、標的型攻撃被害で顧客情報など約35万件流出の可能性
    https://cybersecurity-jp.com/news/45639

    引用:
    株式会社カプコンは2020年11月16日、同社にて発生していた第三者による不正アクセスに関連して、同社グループシステムが保有する顧客情報、従業員情報、採用応募者情報、関係先情報など合計約35万件が外部流出した可能性があると明らかにしました。

    不正アクセスによる情報流出に関するお知らせとお詫び - CAPCOM
    http://www.capcom.co.jp/ir/news/html/201116.html

     そしてVirusTotalにアップロードされた検体から,三井物産セキュアディレクションがニーモニックレベルで分析した結果.

    企業名を名指しで脅迫する「Ragnar Locker」ランサムウェアの解析
    https://www.mbsd.jp/research/20201111.html

     まぁ,ホンダの時もそうだけれど,これをみると完全に標的型なのでもう防ぎ用がない.やはり早期に安全なバックアップへシステムへの切り替えやリストアができる体制が必要かな.瞬時の首都移転みたいなイメージで.

    追記 2021.01.20

    「カプコン」にサイバー攻撃…テロ集団が突きつける「身代金要求」のヤバすぎる中身
    https://gendai.ismedia.jp/articles/-/78545

    引用:
    会社のメールさえ使えない

    〈システムの異常が検知されました〉
    ゲームメーカーとして日本有数の規模を誇るカプコンの社内コンピューターに突如、警告画面が表示されたのは、11月2日未明のことだった。

    〜略〜

    「従業員への連絡もままならず、ふだんは使用しない緊急時用の安否確認サービスを使って、起きている事態が社員に一斉に通知されました」
     メールシステムが安全だと言い切れない以上,別の手段で連絡を取ったというのはよかったんじゃ無いかな.「そういうセカンダリの連絡網を整備している」というのは大事ですな.

    不正出金問題

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/9/18 0:43
     「ドコモ口座から引き落とされてドコモや銀行に問い合わせたけれど取り合ってくれない」というツイートから発展して,いまは被害や手口の全容が明らかになってない不正出金問題.

     ドコモ口座でも2段階認証を入れている銀行は被害がなかったという話があったけれど,2段階認証を入れている銀行でも被害にあったものはあるようだ.

     手口の1つとされているリバースブルートフォース攻撃についてAERA dot.の記事.

    暗証番号決め撃ちの「逆総当たり」で口座番号も名義もバレバレ! 誰もが被害者になり得る恐怖の手口が判明
    https://dot.asahi.com/aera/2020091600026.html

    引用:
    「1234」などと暗証番号を固定した上で、それに合う7桁の口座番号をコンピューターのツールなどを使って総当たりで探っていく。これだと一つの口座番号に対しては1度ずつしかパスワードを試さないので、ロックされずに済むというわけだ。
     パスワードを総当たりで検証して見つける攻撃がブルートフォース.半沢直樹でも登場していました.ずいぶん昔からパスワードを複数回間違えるとアカウントロックされますが,今回の想定はパスワードを固定してIDを変化させている感じですからね.記事では「1万回試せば」とあったけれど,誕生日にしている人も多いということから,実際にはもっと少ないとおもいます.

     そしてカミさんが言ってたけれど銀行のATMで振り込みしようとすると番号を入れると振り込み先の名前が表示される.名前がわかればfacebookとかで誕生日を公開している人もいるので,そこから漏れるという話も.4桁だと電話番号の氏も4桁とか,車の番号とかも多いと聞くけど.

     また,今日聞いた話だと「テレフォンバンキング」という仕組みで,銀行に電話をかけて口座番号とパスワードを入れると残高を教えてくれる仕組みがあって,それを悪用されるかもということでした.それもフリーダイアルらしいし.

     こういうのを発見するには,普通に攻撃検知と同じく,同じIPアドレスから大量にアクセスが来ているとか,エラー率が上がっているとかを監視できれば発見できたのかなぁと思うけれど,毎日コツコツゆっくりくるアクセスだと発見しづらいね.

    即時振替サービス

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/9/16 0:27
     ドコモ口座の不正出金事件の全容が明らかになってない中、ドコモ口座で連携している,ゆうちょ銀行の「即時振替サービス」を使った不正利用が多数見つかっているそうだ.

    即時振替サービス・双方向即時振替サービス
    https://www.jp-bank.japanpost.jp/kojin/sokin/sokujifurikae/kj_sk_sj_index.html
    引用:
    即時振替サービスおよび双方向即時振替サービスとは、収納機関のWebサイトなどであらかじめお持ちのゆうちょ銀行の総合口座(キャッシュカード利用で、かつ個人の通常貯金口座に限ります)をご登録いただくと、決済時に口座情報を入力することなく、お客さまの総合口座から即時に収納機関口座へ入金またはお客さまの口座へ返金(双方向即時振替サービスのみ)が利用できるサービスです。
     このサイトを見ると利用サービスとして決済サービスのドコモ口座、PayPay,楽天Payなどもあるけれど,JRAとかBOAT RACE振興会などもあるのね.即時に振り返られるから賭け事の底なし沼に・・・

     ペーパレス推進もありクレカの利用明細も郵送がなくなって,確認するにはWebにログインする必要がある.定期的にきっちり確認していない人も多いと思うな.

     ドコモ口座の剣は,今回は30万引き出された金額が大きかったから騒がれたけれど,これは少額で隔月引き落としだったら気づかないかもしれないな. 

    追記 2021.01.20

    ミヂカ廃止、来春新ブランド 社長ら報酬返上―ゆうちょ銀行の不正出金問題への対応
    https://www.jiji.com/jc/article?k=2021010801143

    引用:
     ゆうちょ銀行の池田憲人社長は8日、電子決済サービスを通じた不正出金問題への対応に関して記者会見し、月額報酬の10%を3カ月間、自主返上すると発表した。多額の被害を発生させた経営責任を明確にする。安全対策上の不備が複数見つかった自行のキャッシュレス決済サービス「mijica(ミヂカ)」は廃止し、2022年春をめどに新ブランドのサービスに移行する。
     セブンペイに続き,サービス終了か.というかブランド洗浄かな.不正出金はあることだろうから,それまでの顧客からの問い合わせが良くなかった点も反省点だろうな.

    ドコモ口座事件

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/9/10 1:56
     ドコモ口座を持ってないのにお金が搾取されるようなことになってしまった事件. 

    ドコモ口座を悪用した不正送金についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2020/09/08/054431

     みんな忘れているけれど,2019年7月,似たような事件があった.

    セブンペイ - wikipedia

    引用:
    2019年(令和元年)

    7月1日 - 「7pay」サービス開始。
    7月2日 - 「身に覚えのない取引があった」との問い合わせが寄せられる[10][11]。

    10月1日 - 7pay残高の払い戻しを開始。払い戻し期間は2020年1月10日まで。払い戻しの申請完了にはおよそ16ステップ必要であることなどが指摘された。申請後2019年11月中旬から順次払い戻しが開始されるとされ、払い戻しの受け取りには申請とは別に4ステップ必要であるとされた。

    2020年
    1月9日 - 9日時点で払い戻しを受けていないユーザーは約25万人、未払い残高は約7000万円に上った[22]。
    1月10日 - 7pay残高の払い戻し期間が終了
     25万人が総額7000万円を諦めたのか.16ステップあったら面倒だ.入会も16ステップくらいだったのかなぁ.

     さらにもう1年前になるのか.

    PayPay - wikipedia

    引用:
    2018年12月17日、日本放送協会の問い合わせに対してPayPay広報は、この問題は「(セキュリティコードの入力について)現時点でリトライ上限がないのは事実ですが、本日以降速やかに対処する予定です」と回答。セキュリティコードを一定回数以上間違えた場合、ロックがかかってクレジットカードが使用できなくなるよう修正された。

     7payは業務をあきらめ,PayPayは対策前進.ソフトバンク/ヤフーの資本や魂が入っているだけあるな.さて,ドコモはどうするのだろうか.

    ガーミンは身代金を払ったそうだ

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/8/13 23:53
     GPSデバイスメーカとして有名なガーミン,今はウェラブルデバイスとしてランニング用腕時計を愛用している人も多いけれど,ランサムウェアによるシステムダウンが報道されていたけれど,身代金払ったそうだ.


    次のターゲットはどこ? Garminも10億超の身代金を払うまでサービス停止していた…
    https://www.gizmodo.jp/2020/08/garmin-ransom.html

     ランサムウェアは「身代金」目的のマルウェアで,ファイルを暗号化して業務を妨害し,お金を払うと解除キーを渡すぞという脅しをしてくるもの.支払いはビットコインが多い.

     先日聞いたセミナーで最近の流行りとしてはランサムウェアの脅迫文書でお試しキーが提供されたりするそうだ.
     古典的な誘拐ドラマで「生きている証拠に声を聞かせろ」的なことと同じ.ハッキング集団の人たちも払ってもらわないと困るしね.

     今回ユニークなのは,支払おうとしても相手がロシアのハッキング集団だったためにアメリカの経済制裁が影響して支払えなかったということ.これは振り込め詐欺の影響でATMでの現金取り扱いが50万とか100万円に制限されたのと同じかな.ハッキング集団にそういう理由で遅れている的なことは伝えづらいだろうし...

    データ消去について考える その2

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/6/20 0:29
     世界最悪級の情報流出として報道されていた件.
     元従業員が,廃棄予定のHDDを持ち出して中古部品として販売.購入した第三者がファイル復活させたら神奈川県の公文書が出て着て大騒ぎだった.

     あの頃,コロナ禍前の2019年12月のこの事件,全く話題にならなかったけれど,懲役2年,執行猶予5年の判決が出ていたようです.

    神奈川県HDD転売のブロードリンク元従業員、東京地方裁判所で判決
    https://cybersecurity-jp.com/news/36969

     そもそも54テラバイト分の容量のハードディスクだったらしいけれど,データ空き領域0%で使っていることなんてないので,報道は大げさだったかな.

     そしてそのもう1つの被害を受けた会社,ブロードリンンクはどうなったのか.
     転売された物品は3,904個.オークションサイトを通じて回収を呼びかけたりしたものの回収したものは29個.ただし,犯人が販売前に一般的なデータ消去して売っていたり既に再利用していたりもあり,データ流出はない(未発見)なようだ.
     そしてその後,体制を強化してISMS停止の解除,官公庁との取引再開と復活は進んでいるようだ.

    ホンダへのサイバー攻撃 その2

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/6/19 1:22
     三井物産セキュアディレクションのこのブログ.

    SNAKE(EKANS)ランサムウェアの内部構造を紐解く
    https://www.mbsd.jp/blog/20200616.html

     VirusTotalにアップロードされたホンダへのサイバー攻撃した時に使われたと思われる検体を入手して,解析した記事.

     Go言語で作られていることや,標的型であるがゆえに直にサーバを狙っているところ,そして気にいった?のは,サンドボックスを使った解析・調査を妨害するための仕組みが入っていることを解析した点.

     なんどもサイバー攻撃被害にあっているホンダがまたやられたのか!ということで,第一印象は残念企業だったけれど,攻撃されてからの被害確認,安全確認,復旧まで時間が4日程度だと,とても速いと考える.

     piyologでまとめられている情報だと,6月8日(月曜日)(JST? UTCだと日曜日になるのか?)の朝にシステム障害発生とあって,6月12日に復旧とある.

    国内外の工場に影響したホンダへのサイバー攻撃についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2020/06/10/030123
     

    ホンダへのサイバー攻撃

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/6/16 0:12
     年末年始くらいだったか,産業系の企業がサイバー攻撃で狙われていて,プロコンなどの脆弱性情報もたくさん出ていると言う話もあったけれど,自動車会社のホンダがサイバー攻撃を受けていたそうで.

     工場のシステムも停止に追い込まれ従業員には有給休暇で休めと通達.ホンダとしては公式に報道発表する予定もないらしく,つまりランサムウェアに感染して被害が出ていると言う情報が漏洩しているということか.

     そうじゃなくて,以前に紹介したVirusTotalを使ったところから,今回のマルウェアの詳細が解析された模様.

     VirusTotalはファイルをアップロードするとハッシュ値からマルウェアかどうか調べて結果を出してくれるわけだが,有償会員用のサービス「VirusTotal Intelligence」ではアップロードされたファイルが入手できてしまうので,今回のような標的型攻撃の場合,アップロードされたファイルにホンダのサーバを攻撃するFQDNとかが埋め込まれている場合,その情報が漏洩してしまう.

     諸刃の剣とまでは言わないけれど,ツールは使いこなしてこそのものなので,ファイルはアップロードせずにハッシュ値を取り出して検索するのがセオリー.
     ただ,標的型の場合,カスタムオーダーメイドなので,ハッシュ値に一致するものは無いだろうから,それだけでいうと「悪性ではない」となって判断を誤る.

     VirusTotalにアップロードした方が世界中のホワイトハッカーが分析してくれるから,その点を生かす体制などがあればいいんだろうな.


    ホンダがアップロードしたと思われるファイルの解析情報 - VirusTotal

    ...続きを読む

    Classiの不正アクセス

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/4/16 23:53
     Classi社のクラウドサービスが不正アクセスを受け,122万人分のIDやパスワード(暗号化巣済)が漏洩した事件が発生.
     全国の高校の約半数に導入されているというのも驚きだけれど,過去に大人数の個人情報漏洩事故を起こしているベネッセホールディングスとソフトバンクの合弁会社として設立されているClassi社ということで話題に.

     過去の事件は,ベネッセ個人情報流出事件(3504万件;2014年)とYahoo! BB顧客情報漏洩事件(約450万件;2004年)どちらも内部犯行(持ち出し)だったわけだから,今回の事件とはちょっと違うけれど,系列の会社が事件を起こしたということで批判が多い.

     場合によっては,2004年に結婚して新居にYahoo! BBを引いて使っていて情報漏洩していた家庭の子供が,9歳ごろにベネッセの漏洩に巻き込まれ,それから6年経って15歳で高校入学とともに学校に行ってないのに漏洩した,というようなこともあるのだろうな.

     どうも,評判を聞くと大量アクセスで負荷が高く,また学校の新学期で使い始めた人が多かったようです.
     新型コロナウイルス感染症の為に休校状態だけれどオンライン授業を進めるためにこのClassiが提供するサービスを利用しようとしたようで,また一部機能を無償提供するということで利用する学校も増えていた模様.

     とりあえずは,初回ログイン時の強制パスワード変更でしのぐようだけれど,詳細は不明だ.

    NECへのサイバー攻撃

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/2/1 18:26
     先日,三菱電機もサイバー攻撃を受けていた事が公表されたけれど,今回はNEC.

    当社の社内サーバへの不正アクセスについて
    https://jpn.nec.com/press/202001/20200131_01.html

     国防に関わる企業のその部門のサーバが侵害されていたようだ.

    NECにサイバー攻撃 防衛省関連ファイル約2万7000件に不正アクセス
    https://www.itmedia.co.jp/news/articles/2001/31/news088.html

     取材に対してのコメントの抜粋.

    問題のサーバで管理していたのは防衛省との取引に関する情報のみであり、
    機密情報を保存してはいけない決まりもあったため、
    不正アクセスを受けたファイルに機密や個人情報などは含まれていないとしている。
    その後の外部専門機関との調査でも、
    情報が外部に漏えいした痕跡はなかったという。」
    
     一般的に,ファイルサーバはルール通りに運用されなくて無法地帯になりがちだけれど,今現在は痕跡が見つからないから無いという事らしい.痕跡が確実に残る仕組みを入れていれば,その理論は成り立つだろうけど.

     いつものpiyolog.

    防衛装備品情報も影響を受けたNECへの不正アクセスについてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2020/01/31/051958

     三菱電機件もそうだけれど,サイバー攻撃を受けていた事実が,報道機関によって暴露される.その情報を伏せていた事が情報漏洩したという事実については,誰も指摘しないようだ.

     防衛関係で漏洩が起こった際には,直ちに問題が無い場合には,その仕組みを全部入れ替えたのちに公表できればいいんだけれど,その報道によって「情報持っているよ」的な自慢話をするような人がダークネットに,今は現れてないから,No Detectなんだろう.

    三菱電機の情報漏洩

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2020/1/21 0:46
     三菱電機といえば,日本を代表する企業.でも,これ!っていう商品は思い浮かばない? 霧ヶ峰くらいかなぁ.ディスプレイも評判良かった時代があったが撤退.
     そしてpiyologに詳しくまとめられています. 

    ログ消去もされていた三菱電機の不正アクセスについてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2020/01/20/172436

     そうだ,軍事産業企業だから,零戦やら戦車,ミサイルなどMRJはうまく進捗してないけれど,たくさんやばいものがあるね.
     防衛省を狙うより,その取引先周辺である三菱グループの方が狙いやすかったかも.

     そしてこの時系列.
    2019年6月28日	情報技術総合研究所のサーバーで不審ファイルを検出。
    2019年秋	三菱電機の社内調査により情報流出の可能性が判明。
    
     3ヶ月程度はかかっている.量が多すぎるということもあるだろうなぁ.続報を待つしか無いね.
     データ消去会社から内部犯行による盗難したハードディスクですが,ネットオークションで販売しているから,トレースは簡単だろうな.これが秋葉原の露店とかだと足取りが取れない.不幸中の幸いかな.

    データ消去について考える

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2019/12/9 1:06
     ネットオークションで購入したハードディスクの,消去されたファイルを復活させたら,神奈川県の情報がわんさか出てきた件.

     テレビのニュースでも大きく報道されていた.「桜を見る会」のデータは復活できないようだけれど,それとの対比的なこともあるかな.

    「世界最悪級の流出」と報じられた廃棄ハードディスク転売事案についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2019/12/07/091332
     これをみると,富士通リースの下請けになるブロードリンク社は,表面上,かなり厳格に管理していたようだけれど,噂によると実態は・・・

    http://kan3.hateblo.jp/entry/2019/12/07/151750


    買った中古HDDはBlanccoで消去済みだった


     廃棄ハードディスクを盗んでオークションで売っていた犯人が悪いのだけれど,落札したIT関連の人が簡単位ファイルを復活することができたということは,フォーマット程度のことしかしてなかったということだろう.

     10年ほど前に中古ハードディスクを買った時は,blanccoというソフトウェアを使っていたのを見たことがある.

     データの消去は,次の2つが代表的.

  • NSA消去方式
     NSA:National Security Agency:米国国家安全保障局が定義した,ランダムデータを2回書き込み,最後にゼロで書き込む方法.

  • DoD消去方式
     DoD:Department of Defense:米国国防総省が定義した,ゼロで上書きし,1で上書きし,最後に乱数で上書きする方式.

     これ,どっちも3回書き込むのでこれを実施するのは非常に時間がかかる.非効率.それだったら,もったいなくても破壊してしまうのが手っ取り早い.粉砕破壊した際にその部品の個数なんて数えないから,そこが今回の犯罪の発生起源だとおもう.

     今回データを復活されたハードディスクはファイルサーバとして使われたいたということだけれど,普通RAIDにしていると思うけれど,RAID1だったのかな.これがRAID5だったら,そのセットが揃わないとデータが取り出せたとしても完全ではない.
     それでも断片的に取り出せる可能性はあるから,そういうことでファイルシステムを暗号化した上で利用すべきだっただろう.
  •  「別の利用者の注文履歴、住所、名前が一部表示されたり、エラーが表示される事象が9月26日未明ごろから発生していた」のですが,2日後の9月28日に不具合解消したらしい.
     気になるのは「問い合わせを行ったユーザーには連絡を行っている」とか「個人情報流出やエラーの被害規模などについては、「現在調査中」」となっていたりとか,

     公式見解を見てみようとプレスリリースを確認.


     何もなかった.漏洩事故があった事さえ記載がない.

     そしてプラポリを確認.


     10月1日に,何かが更新されている模様...

     いわゆる「Pマーク」とかを取得してなければ,報告義務とかないだろうしなぁ.漏洩規模がわからないから即時発表の必要性すら感じさせないプレスリリースといえるかな.「現在調査中」だが「いつまでの報告するとは言ってない」ということか.


    ITmedia ビジネスオンライン
    アマゾン、他人の注文履歴や氏名が表示されるエラー解消 原因は「技術的な不具合」
    https://www.itmedia.co.jp/business/articles/1909/28/news018.html

    ぴあ 15万件情報流出の件

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2017/4/25 23:00
     ぴあが運営委託しているチケットサイト,Bリーグの個人情報が盗まれ,クレカの不正利用されたという報道があった.

     Apache Struts2フレームワークの脆弱性を突かれているのだけれど,再現情報を見ているとセキュリティホールの穴の大きさ(簡単さ)から危険すぎるもの.
     脆弱性情報が発表されて修正対応済みのバージョンアップをするまでの,わずかな期間だったようだ.
     擁護すべきものでもないけれど,今回のものは,運が悪かったと言えるものかな.

     あるべき姿としては脆弱性が発見されてから対応が終わるまで,安全が確認されるまでは間はサービスを停止するのが良いでしょう.たぶん鉄道関係の考え方はそれになる.命に直結するし.けれど,チケット販売サイトだと,なるはやローリングアップデートになるとおもう.それもプロバスケットボールのチケットサイトなので.

    ・脆弱性情報のキャッチ
    ・バージョンアップの検証
    ・バージョンアップの実施

     この三段階を踏むのは,運営をやっていると大変難しいと知っているけれど,世間はそれを許さないとおもう.こうなると汎用的なフリーソフトを使って構築するというのは,攻撃対象として狙われやすいから,マイナーなメーカ製の方が良いのではないかと,思えてくる.

    ベネッセの情報漏洩問題に思う

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2014/7/16 9:52
     760万件のデータ流出は,派遣社員のシステムエンジニアが逮捕される方向に進んでいるようだ.

     大抵,こういう情報漏洩問題の犯人は派遣社員等の外部の人が多い.今回も原田永幸会長兼社長は当初から「グループ社員ではない」と発言していた.これは発表時点でデータベースへの接続等を記録するログ管理システムが導入されて解析される内部調査が進んでいた事を示す.

     漏洩から発覚まで半年かかっているという部分を指摘する場合もあるが,ここから思うのは半年分以上のログを保管し,それを早く検索出来る仕組みがあり,そもそもアカウントの共有等の不適切な運用が行われてなかった事がわかる.ただし,大量データ抽出時のアラームを検知する仕組みは無かったのだろう.

     テレビの報道では「プライバシーマーク取得済なのに」という部分を責め立てる所もあった.たしかに結果として流出した事は良くないが,適切に管理していた方なんじゃないかと思います.「漏洩を防止する」事を求められている訳ではなく「管理する」事を求められている訳なので.

     データを持ち出してやろうとするシステムエンジニアがいれば,高度な技術力を持っていなくても取り出す事は容易にできる.今回も形跡を残していた時点で並の,もっと言えばログを取られている事を解ってなかった低能なエンジニアによる犯罪のようだ.
     実はこの問題はもっと社会問題が根本にあると思う.このエンジニアはベネッセの情報システム子会社のシンフォームに出入りしていた派遣社員とのこと.この手の問題があると度々言われている事だけれど,そういう立場なのでベネッセに対して帰属意識が無いわけだ. 3年後5年後もこの職場で仕事をするイメージが無いと,そういう損害を出した事で会社が被害を受けても問題ないと思っている.これは派遣社員に頼る経営をやっている現在の雇用形態の変化から,予測され繰り返された事態.個人情報を扱う部分ですら,派遣社員に任せなければ行けない台所事情.別にベネッセが珍しい訳でもないが,専門職と言う事でデータベースエンジニアを外注化している所は多い.会社としても専門職を育てようとして無いので,外からエンジニアを呼んでくるしか無いのだとおもう.


     結局今回は760万件とされているが統計局の人口ピラミッドをみると,0歳から10歳くらいを合計した半分くらいが760万件に近いのではないかな.1件が親子で1件なのか,1件=1人なのか解らないけれど.
     最大2070万件という報道があった.日本の人口が1.276億人なので5人に1人のデータを扱っているようだ.重複したり死亡除外不足等もあるとは思うが,2000万件規模だと取り扱っている会社も少なくなる.これらの会社は情報システムのセキュリティ対策を大きく見直すべきでしょうね.

    統計局ホームページ/人口推計(平成23年10月1日現在)
    http://www.stat.go.jp/data/jinsui/2011np/

    警視庁 サイバー事件簿

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2011/11/16 1:51
     この前,音楽サイトでの不正利用の被害連絡がカード会社からあったと同僚が言ってた.こういうのは警視庁サイバー犯罪対策課だろうなぁと思ってみてみたら,出てました.

    警視庁 情報セキュリティ広場
    http://www.keishicho.metro.tokyo.jp/jiken/kenkyo/jiken.htm

    ●検挙年月日 平成23年10月31日(月)
     他人名義のクレジットカード情報を使用して音楽データを不正に購入した被疑者を逮捕

    他にも,

    ●検挙年月日 平成23年10月18日(火)
      通販会社のサーバに不正アクセスして通販会員を無断で退会させた被疑者を逮捕
    ●検挙年月日 平成23年10月17日(月)
      他人を装って銀行から現金を引き出した被疑者を逮捕

    というか,結構頻繁に捕まえてますなぁ.10年くらい前は遅くて批判の多かった警視庁ハイテクですが,かなりがんばっているようです.こんな風に悪いやつは元から絶たなきゃダメですが.

     この3つは「他人」としてアクセスしたあとの行為というのが特徴的.最近の事件で言うとソニーの情報漏洩事件がありますが,あのようにメアドやパスワードが盗まれた場合はそれを使って不正アクセスされる可能性が高いわけなので,自己防衛としては定期的にパスワードを変更するというのはやっぱり意味のある対策だな〜って思いますね.

    三井情報株式会社のレポート

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2011/1/14 0:40
     今年度何度目かの,企業向けセキュリティポリシー策定を行っています.プライバシーマークのような審査ものを取得する事が目的ではないので,企業の実態に即したものをカスタマイズで作るわけです.

     そこで今回,調査していて見つけたのが,三井情報株式会社(MKI)の発表資料.

    「情報セキュリティ調査・改善委員会」の調査報告書について
    http://www.mki.co.jp/corp_news/corp_news_2010/100426_01.html

     大きな事件に発展していないので大きく報道されてないとおもいますが,ルール違反して個人情報の入ったPCを持ち出して,飲酒会食中に無くしたという,よくあるやつです. ナノメディアがジャニーズの顧客データを無くしたのも同じようなものでした.

     普通にお侘びしてすませている会社が多い中,MKIは,最近合併して大きくなったSIerですがちゃんと分析しているんですね.

     そこで,形ばかりのWebBTとか,甘えが出ていた事が原因というふうに分析しているわけです. 素直に分析した結果で,とても参考になりました.

     この件の様にPCを無くした場合,出てくる事が無いですね.パソコンは換金が楽なので出てこない事が多いです. つまり,暗号化をしていればかなりリスクを下げられそうです. 最近は,iPhoneやAndroidも2.2以降では,数回パスワードを間違えたら,データを消去するワイプ機能を持っていますし.

     意外な盲点としては,業務継続性です.パソコン無くした,暗号化している,でもパソコンにしかデータが入ってないので仕事ができない・・・そんな時の為にバックアップが必要な訳ですね.

    広告スペース
    Google