UJP - 事故・事件カテゴリのエントリ

I hope this helps.

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ 事故・事件 の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - 事故・事件カテゴリのエントリ

 もう忘れていたことだけれど,サッカーワールドカップの話題の隙間にニュースが配信されてきた.

【速報】全市民の情報入り「USBメモリー紛失」第三者委が調査結果公表「チェック機能不十分」業者に損害賠償を請求へ 市は幹部を処分 尼崎市
https://news.yahoo.co.jp/articles/87ba82908b8ad59b5d193ad344445448af5ac150

引用:
 報告書では、USBメモリーや関係するパソコンなどを調査した結果、個人情報の漏えいは確認されなかったということです。

 また、市が契約書等で定めていたにもかかわらず、承諾を得ることなく委託業務の再委託や再々委託が行われていたほか、メモリの運搬については「鍵付きの金属ケース」での運搬が規定されていましたが、行われていなかったと指摘。

 さらに委託先の従業員がデータ移転作業後の飲み会について異議や注意喚起を行わなかったなど委託業者側の管理監督が行き届いていなかったとしています。

 また、市側も外部業者の濫用を抑止し、データの管理者としてチェック機能を効かせられなかったとも指摘してます。

 飲酒運転の同乗者が罪になるのと同じ理屈かなぁ.前例として厳しい判断となった事を事実として,今後のセキュリティ自己防止策の例となって取り上げられる事案になるってことかな.

540万件のTwitter漏えいデータ

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/11/29 18:24
 

540万件のTwitter漏えいデータが公開される 1700万件以上の新たな流出の可能性も 米報道
https://www.itmedia.co.jp/news/articles/2211/29/news138.html

引用:
米Twitter社から漏えいしたTwitterアカウントデータ約540万件が、ハッカーフォーラムで公開されていると、米メディアBleeping Computerが報じている。公開されたのはアカウントのID、名前、ログイン名、電話番号、メールアドレスなど。1月に見つかったTwitterの脆弱性を突いた攻撃により盗まれたもので、8月には3万ドル(約405万円)で販売されていた。

 405万円・・・

 早速調べてみた.



引用:
In January 2022, a vulnerability in Twitter's platform allowed an attacker to build a database of the email addresses and phone numbers of millions of users of the social platform. In a disclosure notice later shared in August 2022, Twitter advised that the vulnerability was related to a bug introduced in June 2021 and that they are directly notifying impacted customers. The impacted data included either email address or phone number alongside other public information including the username, display name, bio, location and profile photo. The data included 6.7M unique email addresses across both active and suspended accounts, the latter appearing in a separate list of 1.4M addresses.

This only contains 5.4 Million users, and is missing the 1.4 Million suspended accounts mentioned in the description.

Compromised data: Usernames, Display names, Bios, Locations, Email addresses, Phone numbers


2022年1月、Twitterのプラットフォームの脆弱性により、攻撃者がソーシャルプラットフォームの数百万人のユーザーの電子メールアドレスと電話番号のデータベースを構築することができました。その後2022年8月に共有された開示通知で、Twitter社は、この脆弱性は2021年6月に導入されたバグに関連しており、影響を受けた顧客に直接通知していることを助言しました。影響を受けたデータには、ユーザー名、表示名、経歴、所在地、プロフィール写真などの公開情報とともに、メールアドレスや電話番号のいずれかが含まれていました。このデータには、有効なアカウントと停止中のアカウントの両方で、670万件のユニークなメールアドレスが含まれており、後者は140万件のアドレスの別リストに表示されています。

このデータには540万人のユーザーしか含まれておらず、説明にある140万人の停止中のアカウントは含まれていません。

漏洩したデータ。ユーザー名、ディスプレイ名、経歴、所在地、電子メールアドレス、電話番号

 漏洩したユーザにはTwitter社から通知が来ているそうだけれど,うちには通知は来ていない.そして入手した3.1GBのJSONデータで検索してみたけれど,漏洩してない模様.漏洩したデータが全て漏洩しているとは限らないけどね.

 試しに,漏洩しているデータの1行目にあったメールアドレスをHave I Been Pwnedで調べてみた.


 しっかり登録されていました.

 と言うかそれだけでなく,このメールアドレスの人はたくさんのサイトで漏洩しているようです.


 漏洩被害者のプロ...米国の学生だった人のようだけれど...

トヨタのT-Connect

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/10/9 19:03
 T-Connectの情報が漏洩した可能性があると発表されたそうです.

トヨタ、T-Connect契約ユーザー29万6019件の情報漏洩の可能性を報告
https://car.watch.impress.co.jp/docs/news/1445996.html

引用:
セキュリティ専門家による調査の結果、お客さまのメールアドレスおよびお客様管理番号が保管されているデータサーバーのアクセス履歴からは、第三者によるアクセスは確認することはできないものの、同時に完全には否定できない状況という。

 「ないと言えないのであるかもしれない」と言う判断か.これがトヨタの安全性への考え方なのかもしれないな.

 T-Connectはこう言うサービスの模様.

引用:
「T-Connect(ティーコネクト)」とは、トヨタが展開する通信サポートサービスです。T-Connect(ティーコネクト)では、前身であるG-BOOKのサービスを継続しながら、専用アプリのダウンロードやAIによる案内、有人による対応など、様々な新サービスを追加しました。

T-Connect(ティーコネクト)対応車にはOSが装備されているので、エンジンをかけるとすぐに通信が始まります。T-Connect(ティーコネクト)の利用には「T-Connect(ティーコネクト)ナビ」の他に、モバイル回線を有しているスマホかケータイ、またはタブレットなどの機器が必要です。Wi-fi接続をする通信機器がない場合は「DCM」という専用機器を用意すればサービスを利用できます。
 もうみんな忘れている?あの事件について続報,というか個人情報保護委員会からのリリースが出た.

BIPROGY 株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について
(令和4年9月21日)
https://www.ppc.go.jp/news/press/2021/220921kouhou/

 この文書を見るとまだ終わってないねってことで.

引用:
同社の委託元及び再委託先等を
含めた関係者全体が個人情報の適正な取扱いを図ることが可能な状態を醸成することが、抜本的な問題解決に向けて重要である。この点に関して、今後公表予定とされる尼崎市等での調査結果を十分に踏まえて、今後も、当委員会の追加対応の要否を継続検討することとしたい

 「BIPROGY 株式会社は、多くの行政機関・地方公共団体・民間企業からシステム開発・保守業務の委託を受ける IT サービス事業者」と言うことで厳しくやるけれど,今更業者を取り替えられないのでこれからもよろしくって事だろうな.
 よくあるやつ.

リモートワーク中に貸与PC使い…去年3月まで勤務していた区役所のデータ削除し業務妨害か 市職員を逮捕
https://www.tokai-tv.com/tokainews/article_20220916_21813

・事件発生は2022年8月に港区役所の地域力推進室のデータが削除された
・容疑者は2021年3月まで港区役所に勤務
・逮捕時は名古屋市会計室出納課の職員
・リモートワーク中に市から貸与されたパソコンでサーバに接続
・容疑者は容疑を認めている

 どうなっていれば良かったのか.

・サーバ上の個人アカウントを消してなかった?
・サーバに接続するアカウントは共有のものだった?
・リモート接続しても必要なサーバにしか接続できないようアクセスコントロールしてなかった

 気になるのは動機かな.1年半前に異動した前の部署にデータを4年分消す,ということは多分自分が所属していた期間中のデータが消えているということでしょう.消したい何かがあったのかもしれない.不正な資金流用とか.地域力推進室で会計室出納課なのでね...

個人情報が記録されたUSBメモリ紛失

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/8/27 14:26
 たしろ薬品という会社が,USBメモリを紛失したそうだ.

個人情報が記録されたUSBメモリ紛失について ご報告とお詫び
https://www.tashiro-co.com/18408

・ルミネ横浜店のお店を閉店
・撤去作業のために顧客データをUSBメモリに退避
・顧客から問い合わせを受けたので調べたら紛失を確認
・警察や交通機関に届け出
・個人情報保護委員会へ報告
・データはバックアップから復旧
・対象となる顧客に書面で通知

 この時点で,USBメモリやデータファイルが暗号化されていたかの記載はありませんね.

ペンテストしてなかった?

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/8/9 18:58
 3月31日にサービス開始した事業者向けECサイトが,少なくとも4月12日には不正なサイトへ転送されるページを挿入されていた模様.
 サイトをベトナムで安く構築したようだけれど,ペンテストやセキュリティレビュー的なものもダイエットしちゃったのかなぁ.

事業者向けDIY通販サイトに不正アクセス - サービス開始から約2週間で被害
https://www.security-next.com/138595


弊社が運営するオンラインショップへの不正アクセスによる
クレジットカード情報漏えいに関するお詫びとお知らせ
https://shop.diyfactory.jp/

引用:
なお、「DIY FACTORY Business」のサービスは終了しております。今後の再開につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

大都、事業者向けEコマースサイト「DIY FACTORYビジネス」を開始
https://prtimes.jp/main/html/rd/p/000000037.000016894.html

引用:
また、システム開発からコンテンツ制作までをDAITO VIETNAM(システム開発をメインとした子会社)で行うことで高い生産性を実現。今後はビジネス登録された業種情報をベースに、顧客グループ~個々に最適化された検索結果・レコメンドアルゴリズムの開発、さらなる物流拠点の拡大による事業者向け商材の在庫を強化していくことで、高い利便性の実現に向けて尽力いたします。
 メタップスペイメントは裏方なので,実際の影響範囲はpiyoさんの記事にまとめられていますね.

メタップスペイメントの情報流出についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2022/03/04/193000


クレジットカード番号等取扱業者に対する行政処分を行いました
https://www.meti.go.jp/press/2022/06/20220630007/20220630007.html

・クレジットカード番号をデータベースに保存して保持していた.
・PCIDSS監査機関に対しての報告不足
・ペンテストして脆弱性があることがわかっていたが無かったものと改ざん
・情報セキュリティ管理担当役員が改ざん前及び改ざん後の報告書の承認をしていた
・クレジットカード決済システムのうち、少なくとも「会費ペイ」に係るシステムについては、令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについては、PCIDSSに準拠していない。
・クレジットカード決済システムの運用監視において、発生したアラートの全件を確認しない状況が継続していた。

 PCI DSSで定められていることをやってないって事で経産省も黙っていられなかったってことか.被害を受けた人は,クレジットカード番号の変更などの実害も出てるようだし.

 採用ページを見たら若い会社かと思ったら,もう創業20年以上の老舗ですな.

メタップスペイメント|採用サイト
https://www.metaps-payment.com/company/recruit/

沿革
https://www.metaps-payment.com/company/history.html
 この中の事情の詳しい人の話を読むと・・・

Kさん
https://twitter.com/aki_kanemoto/status/1540115220764700672?s=20&t=qxJ-x4n7VD1VPdWpLDiJJw

引用:
尼崎市の漏洩の件で情報セキュリティに詳しいという学識経験者がいろいろコメントしてるけど、自治体が置かれている状況を理解している学識経験者は皆無なんだなと実感
古いシステム、環境で良いなんて自治体関係者は誰も思っていない
そもそもなぜUSB等の可搬媒体を使用しているのかという問題は
各自治体が定めている個人情報保護条例に『外部とのオンライン結合を禁止』しているため、自治体から見ればどこともオンライン回線での接続は禁止されているためUSB等の可搬媒体を使用している
それでは個人情報保護条例を変えればいいという話になるが、それも簡単にはいかない
国が定めている個人情報保護法は平成14年に制定されたが、それ以前に各自治体で各自で自らの情報を守るために条例を定めている
一番早い自治体は確か神奈川県で昭和61年ぐらいに定めてたはず
国が法政化する遥か前から自治体は自ら情報漏洩の防衛を前提に条例を定めていた
 ツイートはもっと続くが,,,このニュース.

個人データ持ち出しにGPS付き専用ケース 尼崎USB紛失受け名取市が導入
https://kahoku.news/articles/20220629khn000029.html

引用:
 宮城県名取市は29日、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表した。ダイヤルキー付きで移動中の開封を制限するほか、衛星利用測位システム(GPS)で位置情報を追跡できる。
 他所との調整が必要で根本的解決策を待つ以前にアクションしているという点が評価できるのかな.
 尼崎で46万人分の個人情報入りUSBメモリが紛失した事件で,思わぬ社会問題が.

 重要なデータなのに委託先の委託先の委託先に委託したらしく,なすり合いとまでは言わないけれど,北の技術者に委託していた件と同じ構造.じゃぁ社員だったらミスはしなかったのか?というとそんなことも無く.

 ベネッセの事件があった後,業務委託で個人情報や機密情報を取り扱う業務はNGを出す下請け会社が続失していました.何かあったら責任取れないし責任があるほどの契約金でもないってね.


尼崎市のUSBメモリ紛失、役所への大量の苦情電話が「市民の迷惑」になりうる理由
https://gendai.ismedia.jp/articles/-/96774

...続きを読む

 うちのカミさんもビックリしていたけれど古典的な情報漏洩.
 路上で寝てたくらい泥酔していて持ち出したUSBメモリが無くなっていたそうだ.

兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫び
https://www.biprogy.com/pdf/news/info_220623-3.pdf

 泥酔とか書いてないな.お詫びってなんだろう.

 セキュリティ教育の一丁目一番地みたいなエピソードだけれど,意外とよくあるんだよね.身近でも2回あったし.一つは電車で荷物を忘れたのと,一つは車上荒らしだったけれど,結局カバンごと全部出てこなかったな.
 その時は個人情報も顧客情報も入ってなくてパソコンもBIOSとストレージが暗号化されているから大丈夫って事で終わったけど.落とした財布が戻ってきて日本は安全だ!エピソードは良く聞くけれど,失ったIT機材入りパソコンの返却率は相当低いと思う.でも見つかるといいな.

 今回話題になったのは二つ.

・ビプロジーは4月に社名変更した日本ユニシスのことだと認知された.
・記者会見でパスワードは13桁で尼崎市として意味のある単語と数字で始めだけ大文字にして年1回変更,文法的にも正しい

 13桁のパスワードは10万年かかるらしい.量子コンピュータだともっと速いそうだ.一緒に紛失した持ち物の中にパスワードのメモは無いのかな?
 Amagasaki2022だという予想も出ているそう・・・

 その件で,この件を思い出した.

230億円超相当のビットコインが入ったUSBのパスワードを忘れた人の末路

引用:
最高クラスの安全性を誇ると言われている暗号化USBデバイスの「IRONKEY(アイアンキー)」に入れ、保管することにしました。

ー略ー

その「アイアンキー」のパスワード入力失敗回数は10回まで…。最後の10回目まで間違えた場合には、この「アイアンキー」内のデータには永遠にアクセスできないようになってしまします。

 あ! 13桁で・・・というのは自爆コードでは? あるいは本当は8桁なのに13桁で始めたら永遠に解けないというブラフ...

 セキュリティ部門を統括する人たちは,USBメモリとか外付けディスクとかを嫌って,ログも残るファイル転送を推奨するけれど,容量が大きい場合はちょっと大変なので選択肢が狭くなってくる.でも今回の場合32GBメモリなので最大でもその程度.伝送にすべきだったね.

追記2022/06/24 17:00現在
 紛失した本人からカバンと共にUSBデバイスが見つかったと連絡があったそうだ.現時点で詳細不明.今回は良い教訓になった気がする.

追記2022/06/24 21:00現在
 NHKニュースで見つかったことがトップニュースになっている.無くしたのは40歳男性.スマホの位置情報をもとに警察と共に足取りを調べ自分で見つけたのだそう.路上で寝ていた場所の近くの住宅の一角にあったそうだ.投げ入れた?

 AIで小説を書いてもらった.

引用:
セキュリティ事故

その日は最後に住民データをUSBメモリにしまって作業終了.気の合う仲間と共にガッツリと気を失うまで飲み明かした. 気がついたのは路上,はて?いつから眠っていたのだろうか? 今は午前3時.あれ?持っていたカバンが見当たらない!お酒を飲みすぎたせいか頭が痛い.とりあえずコンビニで水を買って飲もうと思い歩き出した. しかし,歩いているうちに自分がどこを歩いていたのか分からなくなってきた. そして,気づいた時には見知らぬ場所に立っていたのだ.
「ここは一体どこだ?」
まずは一旦自分の行動を振り返ってカバンを探してみる.どうするどうする?こんな時,社員教育では……
『迷ったらその場を動くな!』
そうだ,まずは動かないことが大切だ.じっとしていれば誰かに見つけてもらえるかも.でもこの場から動いてしまった方が早く見つけられるかも?そんな事を考えながらしばらくウロウロしていると,目の前に大きな未来像が見えてきた.そう,テレビで大々的に報じられて取引先の上長が頭を下げている姿だ.
「あの時は大変だったよ」
「えっ!?何ですかいきなり!」
部下の一人が驚いている.
「あぁすまないね.ちょっと思い出しただけさ」
私は今,会社からの帰り道にある公園にいる.ベンチに座ってぼんやりと夜
 アンダーラインを入れたところが自分で書いたところ.なんだ,AIが結果を予測しているではないか!

年金通信メール通知サービス利用者

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/6/9 15:46
 第一生命保険株式会社の「年金通信メール通知サービス」について登録情報を閲覧できる可能性があったとして発表があった.

個人情報流出の可能性についてのお詫びとお知らせ
https://www.dai-ichi-life.co.jp/information/pdf/index_076.pdf

引用:
5月 30 日、セキュリティ関連の第三者より、本サービスの登録者情報を閲覧する機能を悪用できる可能性がある旨、注意喚起がありました。

 外部のバグハンター?からの注意喚起から発表までの間が短いですね.
 流行りの技術会社にジョブホッパーして,過去の顧客を引き連れて行くという手法をとっていた ITの営業さんがいたけれど,そういう手法は今は通用しないのかな.

従業員が退職時に顧客情報を持ち出し、入居者へ挨拶 - 東急コミュニティー
https://www.security-next.com/136876

 退職前に,新しい連絡先を通知する程度か.それが許されるかどうかは,わからないけど.
 集めた名刺を持って行くというのもよくある話だと思うけれど,それも許されないのだろうな.

 昔,取引した会社からプロジェクト終了後「機密情報,個人情報を破棄すること」と通知が来て,名刺もシュレッダーさせられたことがある.仲良くなった人もいなかったし,永遠の別れだったのでその時はそれで良かったけど.

サイト休止

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/6/3 16:32
 対応が悪くて炎上しているそうだ.

ファッション通販サイトに不正アクセス、個人情報1万6093件が漏えいか
https://www.tsuhannews.jp/shopblogs/detail/68936

 machattは神戸系の雑誌モデル出身の正中雅子さんが運営するブランドとオンラインストアのようで,Instagramで今回の件でクレームした人をブロックしまくっていruそうで,そういう対応も炎上に拍車をかけている模様.可愛さ余って憎さ百倍という感じか.

 それ以上に速く対処しないと事業ストップで固定費の浪費で会社に資金に負担がかかりまくるね.

githubライブラリ改ざんで漏洩

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/6/3 12:04
githubで公開しているライブラリが乗っ取られて改竄されるとか作者が暴挙に出て悪意のあるライブラリに改変されるとか削除されるとか,性善説だけでどうにも成らないことが多くなってきた.

AWS認証情報が盗まれる2つのライブラリ改ざんについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2022/05/26/232906

引用:
所有者のメールアドレスのドメインが無効であったことを確認し、当該ドメインを5ドル支払い取得。その後所有者と同じメールアカウントを作成しPyPIのパスワードリセットを実行して所有者のアカウントを掌握。
 うちもドメインが廃止にならないよう頑張らなければ.
感染者5人の個人情報、迷惑メール発信元に誤送信 さらに履歴を削除
https://www.asahi.com/articles/ASQ5Z7QCFQ5ZPITB00J.html

引用:
広島県は30日、県東部の新型コロナウイルス感染者の宿泊療養施設で、患者5人の個人情報が流出したと発表した。スタッフが患者の氏名や生年月日、保険者番号などが記された健康保険証の写真を迷惑メールの発信元に誤送信したという。
 手元のメールを消したらもう誤送信先情報の証拠がないという点を改善しないといけないなぁ.

 漏洩とは関係ないけれど,数日前,JTBが黒字だと発表していたけれど,こういう役所の委託業務を受けて生き延びていたということか.行政側か会社側か知らないけれど,臨機応変にリソースを利用することも大事か.

JTB、今期営業黒字へ 国内旅行はコロナ前まで回復
https://www.nikkei.com/article/DGXZQOUC276ML0X20C22A5000000/

コピー機に原本忘れがちな件

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/5/22 1:52
 コピー機で原本を忘れる事はままある事なので,職場で使っている際には原稿カバー部分を上げた状態にする習慣があったな.最低でもそれは20年以上昔から.
 ただ,その状態を商業施設(コンビニ含む)で見た事はないので,事故は起こるべくしてって感じか.

個人情報含む調査関係の名簿原本をコピー機に置き忘れ - 山口県
https://www.security-next.com/136490

引用:
5月6日に調査員が防府市内の商業施設で単位区別世帯名簿をコピーした際、名簿原本をコピー機に置き忘れたもの。
 気になるのは,そもそもなぜコピーしたのか.

引用:
山口県は、国からの委託で実施する国民生活基礎調査の調査員が、個人情報含む世帯名簿をコピーした際、原本をコピー機に置き忘れたことを公表した。

国民生活基礎調査 - Wikipedia

引用:
世態票

単独世帯の状況、5月中の家計支出総額、世帯主との続柄、性、出生年月、配偶者の有無、医療保険の加入状況、公的年金・恩給の受給状況、公的年金の加入状況、就業状況等
 現在絶賛調査中ということなのか.

FJcloud-V,ニフクラへの不正アクセス

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/5/19 11:37
 富士通の「政府認定クラウド」のニフクラにて,不正アクセスが発生.

ロードバランサーへの不正アクセスについて
https://pfs.nifcloud.com/cs/catalog/cloud_news/catalog_202205161000_1.htm

 ニフクラは,富士通クラウドテクノロジーズという会社が運営しているクラウドプラットフォームで,そこで使っているロードバランサの脆弱性発表が5月4日,不正アクセスが5月7日と時間が無い感じが.

 使っているロードバランサはこれかなぁ...

F5 BIG-IPに緊急の脆弱性、ただちにアップデートを
https://news.livedoor.com/article/detail/22117174/

引用:
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月4日(米国時間)、「F5 Releases Security Advisories Addressing Multiple Vulnerabilities|CISA」において、F5ネットワークスのロードバランサー「F5 BIG-IP」に脆弱性が存在すると伝えた。

 5月9日にパロアルトネットワークスがこの情報の分析結果を公表しています.

脅威に関する情報: CVE-2022-1388 BIG-IP製品のiControlRESTコンポーネントにおけるリモートコード実行の脆弱性
https://unit42.paloaltonetworks.jp/cve-2022-1388/

引用:
F5は2022年5月4日、CVE番号CVE-2022-1388でトラッキングされるBIG-IP製品のiControlRESTコンポーネントにおけるリモートコード実行の脆弱性についてのセキュリティアドバイザリを公開しました。脅威アクターがこの脆弱性を悪用すると、パッチ未適用のシステムで認証を回避して任意のコードを実行可能です。この脆弱性はCVSSスコア9.8となっており緊急の対応が必要です。当該アドバイザリの公開以降、パッチ未適用のシステムを探して大量のスキャン活動が行われ、実際の悪用も始まっています。
 公開直後から大量スキャンだなんて.まさにゼロデイ.運悪く日本ではゴールデンウィークだから手薄になっていたかもしれない...

 去年のProjectWEBと言い,日本の根幹なんだなって思います.

紙の個人情報の取り扱い

カテゴリ : 
セキュリティ » 事故・事件
ブロガー : 
ujpblog 2022/5/17 20:16
 騒がれてないけれど,こんな事件があった模様.

【独自】集合住宅のゴミ捨て場に430人分の住所、電話番号、家財リスト…「引越のサカイ」社員が家に持ち帰りポイッ
https://www.tokyo-np.co.jp/article/175665

引用:
 引っ越し大手のサカイ引越センター(堺市)の利用者の住所や電話番号などの個人情報延べ約430人分が3月、川崎市宮前区の集合住宅のごみ捨て場に出されていたことが、関係者への取材で分かった。同社は事実を認め「真摯しんしに対応する」としているが、4月施行の改正個人情報保護法では、より厳しい管理が必要とされる。
 幸いにも被害の大きな事故になってない.改正個人情報保護法に対応が遅れているというニュースもあったけれど,その象徴としての報道なのかな.

引用:
 同社は本紙の取材に、この事実を把握していると認めた。従業員1人が本来シュレッダー処分すべき書類を自宅へ持ち帰り、一般ごみとして捨てていたという。

 「個人情報の記載書類については、社内マニュアルに基づき、シュレッダーなどをして持ち帰らないように指導教育を行っている」と説明。外部からの通報を受けて回収したといい、「詳細は調査中だが、お客さまへ真摯に対応を行ってまいります」と回答した。

 社内マニュアルに「持ち帰らない」「シュレッダーなどをする」という指導教育に意味がなかったのか理解不足だったのか,どちらにしても,個人情報への意識が無さすぎるのが問題だけれど,本質的には紙に印刷するから事故が起こるって事でオンラインとかタブレット化みたいなのが必要になるのかな.今,サカイがそういう機械を持っているのかどうかわからないけれど,それらはコストアップになる.

 サカイのような引越し会社だと,実作業のノウハウが反映された社内マニュアルがたくさんあって実践的に学ぶ・覚えることが多いから,個人情報うんぬんについての重要度は高いと従業員に認識され無さそう.
 引越しノウハウはそのうち体で覚えてくる事が期待されるけれど個人情報保護法について勝手に知識が増えるとか定着することはないと思うから,繰り返し繰り返し教育していく感じがいいのかな.
 管理者権限を持っている人の内部犯行を防ぐ仕組みか.

羽田空港の“顔パス搭乗システム”で情報持ち出し事案発生 元従業員PCから約1000人分のデータ発見
https://www.itmedia.co.jp/news/articles/2204/12/news149.html

引用:
 情報を持ち出したのはFace Expressの運用を担当するエアリンク(東京都港区)の元従業員。同社によると、元従業員は職務怠慢や社内規定違反により1月末で退職勧告を受け退職したが、その後に元従業員の個人PCにFace Expressのデータが保存されていることが分かったという。
 悪用するつもりがあったなら,ベネッセの個人情報漏洩事件のような事件になるけれど,今回は「事案」と言っているから犯罪にはならないってことか.

Face Express システムの取り扱いについて
https://www.tokyo-airport-bldg.co.jp/files/news_release/000011987.pdf
 「エアリンク社(本社:米国)」というのも気になった.持ち出したのは外人さんだったりして?!

 ちなみにFace ExpressというのはこのNECのシステムだそうです.

NECの顔認証システムを活用した搭乗手続き「Face Express」が成田空港・羽田空港で稼働開始
~国際線のご搭乗がスムーズかつコンタクトレスに~
https://jpn.nec.com/press/202103/20210325_02.html
 TOKYO2020で使った顔認証システムに近いのかな.
 何かのサービスを使っていてもその先の決済会社について気にしている人はあまりいないと思うけれど,メタップスというSEOやマーケティング会社の子会社の,メタップスペイメントで最大46万件のクレジットカード番号が漏洩した模様.

 メタップスペイメントを使っているサービスはpiyokangoさんのpiyologに記載がありますね.

メタップスペイメントの情報流出についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2022/03/04/193000

 色々言われているのは,セキュリティコードが漏洩したこと.これについてのインタビューもあります.

セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く
https://www.itmedia.co.jp/news/articles/2203/02/news126.html

引用:
 クレジットカード業界向けの情報セキュリティ基準「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている。

 これに対して,

引用:
メタップスペイメントによれば、保持期間は非公開だが「長期間保存していた事実はない」としている。

 保管と保存と保持について,macOSに標準搭載の三省堂 スーパー大辞林で調べてみた.

保存(keep)
(1) そのままの状態でとっておくこと。「史蹟を―する」「塩に漬けて―する」
(2) 〔save〕内容を変更したファイルを補助記憶装置に書き戻すこと。

保管(storage)
金銭や品物などをあずかって,こわれたりなくなったりしないように管理すること。「金庫に―しておく」

保持(retain)
保ちつづけること。持っていること。「第一人者の地位を―する」

 「持っている」って状態も難しいな.破棄と廃棄も言われるまでは意識してなかった...
 今回は保管はしてないけれど,短期間保存はしていたということか.

 昔,街中で流れている音楽を検索するエンジンのサービスをする時に,営業さんが悩んでいたのは,分析中のために楽曲をサーバに取り込むが,JASRAC?に曰く,それをハードディスクに保存するのは一時的でも著作権使用料がかかると言われ,計算のために主記憶メモリ(揮発メモリ)上に記録されている状態なら料金がかからない(とその時は判断した:グレー?)というのを訊いたことがある.
 事件の詳細内容は,順次発表されていく?だろうけれど,興味深いのはこれ.

トヨタのサイバー攻撃対応、慎重な企業文化を反映
https://jp.wsj.com/articles/toyota-shutdown-over-cyberattack-at-a-supplier-reflects-cautious-culture-11646190118

引用:
 トヨタの工場では通常、全作業員が、潜在的な問題を発見した場合にライン全体を停止させる権限を持つ。作業を止めて問題を即時に解決することで、最終的には無駄な時間を減らせるという考え方だ。

 あらかじめ全作業員が権限を持っていると言うのが良いね.それと実際に停止できるかどうかは企業文化次第.
 2021年末のニュースなので,まとめると.


中国軍関係者指示でソフト不正購入未遂か 元留学生に逮捕状
https://www3.nhk.or.jp/news/html/20211228/k10013406991000.html

「国に貢献せよ」と迫られた…中国人元留学生、偽名でウイルス対策ソフト購入図る
https://www.yomiuri.co.jp/national/20211227-OYT1T50295/

  • 30代の中国人元留学生が中国軍人の妻からの指示で日本企業向けのウイルス対策ソフトを不正に購入しようとしていた疑い
  • 事件があったのは5年前の2016年.元留学生から任意で事情を聴いたがその後出国.
  • 宇宙航空研究開発機構( JAXAジャクサ )や航空関連企業などが2016年にサイバー攻撃を受けた事件の捜査過程.
  • 軍人の妻の夫は中国軍のサイバー攻撃部隊「61419部隊」に所属.中国のハッカー集団Tickと思われる.
  • 警視庁公安部は、詐欺未遂容疑で男の逮捕状.国際刑事警察機構(ICPO)を通じて国際手配の方針.

     このニュースを発表した時点で終了かな? 帰国していたら手が出せないもんね.
  • コインハイブ事件

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2022/2/3 15:14
     この様なニュースが.

    コインハイブ事件が最高裁で無罪判決「原判決を破棄しなければ著しく正義に反する」
    https://scan.netsecurity.ne.jp/article/2022/01/24/46992.html

    引用:
     同事件は、被告人が音声合成ソフトウェアを用いて作られた楽曲の情報を共有するインターネット上のWebサイト「X」運営に際し、閲覧者の同意を得ずに使用する電子計算機のCPUに仮想通貨モネロの取引履歴の承認作業等の演算を行わせて報酬を取得しようと考え、2017年10月30日から11月8日までの期間にプログラムコードをサーバコンピュータ上のXを構成するファイル内に蔵置して保管したというもの。

     「勝手にコンピュータ資源を使って収益を得る」と言う行為を禁じると,広告表示,動画広告表示などもコンピュータリソースを使っているとも言えるので違法となる.
     極端にCPUを使うプログラムを送り込んでいたわけでもないと言う点が悪意として評価されなかったのでしょう.

     それでこれ.

    「ノートン 360」で仮想通貨マイニング機能が自動インストールされる件に批判の声
    https://gigazine.net/news/20220107-norton-cryptominer-complain/

     アンチウイルスソフトはCPUをよく消費する代表格のような存在だったけれど,この機能はユーザの同意によってオンにできるそう.そんな機能を組み込む事に問題を感じているのかと思ったら,そうでも無い様で.

    引用:
    ただし、仮想通貨のマイニングや取引にかかる手数料はノートンによって固定化されているものではなく、市況やその他の要因により変動します。そのため、ユーザーが引き出そうとする仮想通貨の額が手数料を下回る場合に引き出しがブロックされてしまい。このことがユーザーを混乱させていると、セキュリティニュースサイトのKrebs on Securityは説明しています。

    老舗アンチウイルスソフト「ノートン」のブランドに仮想通貨のマイニング機能が実装へ
    https://gigazine.net/news/20210603-norton-mine-cryptocurrency/

     個人用のマルウェア対策ソフトとしてはWindows Defenderも優秀と言う事で,別の収益減を得ることを模索していると言うことかな.
     USBメモリなんて失くすものだろうから,連絡先を記載しておくのが正しいのかな.
     テプラで連絡先と管理番号を貼っておいて,拾ったら連絡くれと.その時に所有者を記載しておくかどうかは,微妙だが.
     システム手帳を持ち歩いていたときは,手帳に「拾ったら連絡してください.謝礼します」と書いといたもんだが.

    患者情報含むUSBメモリを紛失、拾得者の連絡で判明 - 昭和大病院
    https://www.security-next.com/133083

    引用:
    同大によれば、2021年12月6日にUSBメモリの拾得者からの連絡で紛失していたことが判明したという。本誌取材に対し、USBメモリの所有者や利用目的、セキュリティ対策の実施状況、紛失した原因についてはコメントを避けている。

    保管文書が所在不明

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2022/1/29 22:17
     運輸会社は輸送の過程で荷物の一時保管をする設備を持っていると思うけれど,その設備を利用して保管業務をやっていたのかな.

    預かった保管文書が箱ごと所在不明に - 丸和運輸機関子会社
    https://www.security-next.com/133262

    引用:
    所在不明となっているのは、前日15日に預かった文書保管箱19箱のうちの1箱で、同団体の年金関係書類である「退職届」や「組合員期間等証明書」など個人情報を含む872人分の書類が収納されていたという。

     前日に預かったものが無くなったというのは災難だけれど,どの箱に何が入っているかは厳格に預け入れた側が把握しておく必要がありますね.

     そういえば富士通の優勝旗は,やっぱり出てこないのかな?

     ちなみに,機密文書も手軽に処分できるサービスも拡充された模様.

    機密文書の廃棄サービス、テレワーク環境にも対応 - ヤマト運輸
    https://www.security-next.com/133343

    引用:
    オフィス以外で発生した機密文書の廃棄にもあらたに対応する。

     ヤマト運輸の紛失率がどれくらいなのだろう? 自分自身は被害に遭ったことはないですが.

    HDD紛失発表に思う

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2022/1/25 1:26
     興味深い.

    HDD紛失を公表、顧客情報が含まれる可能性 - 北海道ガス
    https://www.security-next.com/133199

    引用:
    社内関係者に対するヒアリングでは、ハードディスクの内部にデータは存在しなかったとする証言もあるが、消去した記録が残っておらず確認できないことから事態を公表した。

     前の現場のボスは,USBメモリとか外付けHDDとか,可搬性のある記憶媒体を圧倒的に嫌っていたなぁ.

     この事件の教訓は,USBメモリとか外付けHDDを会社で買うとそのライフログを全部取得する必要がある場合があるので,見た目以上にコストがかかることを認識するということかな.
     クラウドストレージを使えば「ログが残るハズだから」という.

    車上荒らしの疑いの件

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2022/1/2 20:03
     時折ある車上荒らしでの個人情報の紛失.

    個人情報含むパソコンを紛失、車上荒らしか - 名古屋電機工業
    https://www.security-next.com/132789

    引用:
    車両よりパソコンを持ち去られた車上荒らしと見られるが、ほかの場所に置き忘れた可能性も否定できないという。車両の施錠についても記憶が曖昧としている。窓ガラスが割られるといった被害はなかった。

     電車で移動中の網棚へ置き忘れなども,年末年始によくあるね.

    引用:
    紛失判明後に端末に対するログインパスワードを変更した。パソコン内のデータは、暗号化されていないという。

     多分この手の事故の場合,紛失したPCのロックを解除して情報が拡散したと言うのは聞かないのだけれど,ファイルシステムの暗号化は必須だろうね.Windowsだろうとおもうから,BitLockerで.

     そうすると,後は業務の継続性の部分だけれど,いまどきはみんなメールはIMAPにしているだろうけど?

    フロッピーディスク2枚紛失

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/12/27 18:24
     気になったのは,今の時代にフロッピー・・・じゃなくて.

    警視庁、フロッピーディスク2枚紛失 38人の個人情報入り
    https://mainichi.jp/articles/20211227/k00/00m/040/078000c

    引用:
     警視庁は27日、東京都目黒区にある区営住宅の申込者38人分の個人情報が入ったフロッピーディスク(FD)2枚を紛失したと発表した。申込者が暴力団関係者かどうか照会するため、同区から個人情報を提供されていた。

     区営住宅の申し込みをすると,暴力団関係者かどうか確認されるプロセスが漏洩.
     足を洗ってお金がない元暴力団,みたいなのは区営住宅に申し込みする前に,警察に「足を洗いました」的なことを言うと良いのかな?

    郵便事故の例

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/12/25 1:14
    個人情報含む書類が郵便事故で所在不明に - 大和リビング
    https://www.security-next.com/132539

    引用:
    大和リビングは、自社宛てに郵送した顧客情報含む書類が、郵送の過程で所在不明になったことを公表した。

    同社によれば、10月8日に名古屋東営業所から東海支店宛てにレターパックプラスで郵送した書類が、所在不明となったもの。
     日本郵便のレターパックは,追跡サービスがあるというけれど,拠点拠点の通過情報しかわからないだろうと想定.
     また,レターパックの利用シーンとして請求書や業務用サンプルの送付などは想定されているけれど,個人情報を送ることは想定してない模様.ただし,禁止されているわけでもない.

    レターパック
    https://www.post.japanpost.jp/service/letterpack/

     
     取るべき手段は,電子データで送付する事なのだろうか.

    郵便物等の損害賠償制度
    https://www.post.japanpost.jp/service/songai_baisyo.html

     レターパックは損害補償の対象では無い.

     上記損害賠償精度の紹介の中にこのように記載がある.
    引用:
    現金、宝石等の貴重品を送る場合
    必ず一般書留・現金書留(簡易書留を除きます。)としてください。
     個人情報は貴重品と捉えることができるので,ゆうぱっくのセキュリティサービスが良かったのかもしれない.

    セキュリティサービス - ゆうパック
    https://www.post.japanpost.jp/service/fuka_service/security/index.html

     運賃+380円.
     運賃が60サイズで東京から東京だとして計算すると,運賃810円+380円となる.レターパックの520円よりは高いが,30万円から50万円の価値がある場合は,これで送るのが良い.

     しかし,どちらにしても紛失したら公式発表が必要なら,安い方が良いのか.このあたりは組織としてどうするかを想定しておくのが良いのだろう.

    紙多すぎで日本郵便

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/12/17 11:56
    日本郵便、約21万人分の顧客情報を紛失 “紙多すぎ”で扱いきれず
    https://www.itmedia.co.jp/news/articles/2112/15/news148.html

    引用:
     日本郵便は12月15日、金融商品について顧客の取引内容を記載した「金融商品仲介補助簿」などを紛失したと発表した。合わせて約21万4000人分の顧客情報が記載されていたという。仲介補助簿には、氏名や記号番号、取引内容(購入・解約)、取引金額、銘柄などを記載しているという。

     金融商品なのに,日本郵便が先頭なんだな.ゆうちょ銀行は連名だけど,「郵便局」で管理することのようだから,責任は日本郵便の方が重いということなのか?

    引用:
     仲介補助簿については保存場所や期間を定めていたが、各郵便局での保存期間の認識の違いや、保存する箱の入れ間違いにより、保存期間内に誤って廃棄してしまった。その他の書類についても「紙媒体で作成・保存すべき書類が膨大な環境にあることが、取扱いのミスにつながった」とした。
     既に電子データ化し失われたデータもなく紙は誤って廃棄されたという見込みなので問題ないという認識のよう.
     誤って廃棄だから,適切に処理(裁断・溶解など)されたかわからないけれど,それが落とし所なのだろう.

     電子化するとルールに沿ったフローしかできないので「コレ特急で処理して!」が使えない世界w

    LINE PAYで5万件の決済情報が漏洩

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/12/9 11:18
     これ.

    LINE Pay、国内約5万アカウントの決済情報が「GitHub」に漏えい
    https://www.itmedia.co.jp/mobile/articles/2112/07/news135.html

    引用:
     LINE Payは、12月6日に一部ユーザーのキャンペーン情報がソフトウェア開発プラットフォーム「GitHub」上で閲覧できる状態になっていたと発表。氏名/住所/電話番号/メールアドレス/クレジットカード番号/銀行口座番号などは含まれておらず、現時点でのユーザーへの影響は確認されていない。

     似たような事があったなーと思って振り返ると,今年の2月にSMBCで“年収診断”したさにGitHubに公開かってのがあった.
     やはり発生した対岸の火事をベースに自分たちがどう対応できるかを考える必要があるのだろう.

     そして空いこれ.

    LINEにおける個人情報の取り扱いに関連する主な予定について
    https://linecorp.com/ja/pr/news/ja/2021/3680

    院内のシステムがサイバー攻撃

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/11/27 13:51
     ランサムウェアも病院を狙うのは人道的にどうなのかな,っていうふうに思うけれど,お金が取れればなんでもいいのか.
     被害にあって2ヶ月近くになるけれど,動きがありました.

    病院にサイバー攻撃、新規患者受け入れ2か月停止…身代金払わず2億円で新システム
    https://www.yomiuri.co.jp/national/20211126-OYT1T50244/

    引用:
     徳島県つるぎ町の町立半田病院(120床)で、院内のシステムがサイバー攻撃を受けて電子カルテを使用できなくなる被害があり、同病院は26日、システムを新しくした上で、停止していた新規患者の受け入れを来年1月4日に再開すると発表した。個人情報の保護と引き換えに求められていた「身代金」は支払わない。

     ニップンの事件もそうだったけれど,この対応は正しい.

    引用:
     同病院はシステムの復旧を模索してきたが、地域医療への影響が長期化する恐れがあるとして断念。別のサーバーを用いるなどしてシステムを再構築することに決めた。システムの構築などにおよそ2億円かかるという。

     バックアップもだめだったということだから,バックアップはオフラインにするというセオリーが有効ですな.

    追記2022/01/03
    サーバー復旧、通常診療へ 徳島のサイバー攻撃被害病院
    https://www.nikkei.com/article/DGXZQOUF0316J0T00C22A1000000/

    引用:
    病院によると21年12月29日に復旧が確認された。

    病院は復旧方法について「今後のセキュリティー対策に関わるので公表しない」としている。

     復旧方法がセキュリティ対策に関わる? まぁ再開できて良かった.

    東京ガスの事件で思う

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/7/29 23:00
     この記事.

    東京ガスが顧客情報不正取得
    https://nordot.app/785454317918191616

    引用:
    1都3県の一部の販売店が、電気の切り替え営業の際、ガス契約で得た氏名や住所などを

     この事案とは類似の別案件だけど,今年の3月頃のある日,訪問があって東京ガスの検針票を見せてくれと言って名刺を差し出されたので渡した事がある.渡してしばらくしてガス会社を切り替えないかと言う営業だと分かったので,電力を東京ガスに切り替えたばかりだったのでお断りしたけれど,最初東京ガスの人だと思って検針票を渡したのでそこには当然住所氏名が書かれている.
     もらった名刺で会社名を調べると訪問販売なので悪評も皆無では無いが総じて悪い会社では無さそう.

     かつて,ADSL回線やフレッツ,ケーブルテレビインタネットの契約とか,ケータイもインセンティブ目的に営業会社を通して契約件数を伸ばしていた.お金が絡むのでトラブルもありつつ,契約取ったもん勝ちの世界.

     これは古典的で古くは新聞紙がそうだった.新聞は地域の販売所から配達を受けて買っているけれど新聞社とは全くの別会社.そして新規契約を取るのは団と言われる別組織に委託の形を取っていた.新聞販売店は人手不足から素性の良く無い人を雇っていたし,そう言う人が大なり小なり刑事事件を起こすと販売店と契約を打ち切って切り捨て.契約を取る団の人も同じ.今で言う業務委託なので契約時にトラブルがあったら,その実態が不明な団の責任として謝って終わり.トカゲの尻尾は最初から切られるために構成されている.
     話題にはなっていないけれど,悪手の例なのか.

    患者情報の管理に関するご報告とお詫び
    https://www.ho.chiba-u.ac.jp/hosp/info/20210430info.html

  • 職員が大学の規定に反して、患者様586名の個人情報を自分のPCに保存しクラウドサービスに保存
  • 宅配業者を装ったフィッシングメールでIDパスワードが搾取により,個人情報が閲覧できる状態になる
  • 全職員に対し、定期的に研修を実施していたが実施されていなかった.
  • 情報管理の方法を改めて周知徹底

     対策が「周知徹底」だけの模様.
  • インターネット史上最大規模? 80億を超えるパスワードが流出か
    https://realsound.jp/tech/2021/06/post-789835.html

    引用:
     ハッカーがフォーラムに投稿したデータは、100GBにものぼる超巨大なテキストファイルだ。そしてコメント欄で「パスワードは6〜20文字の範囲で、ASCII文字(アスキー文字)を使用したもののみ収集した」と述べ、リストには820億のパスワードが含まれると主張した。

     「パスワードは6〜20文字の範囲」ということで「サーバサービスなどで利用される認証用パスワードは32文字以上にしましょう,どうせ人間が打ち込むわけでも無いし」という目安は,確かに一理あるようだ.
    サイバー訓練参加者の個人情報流出 政府
    https://www.jiji.com/jc/article?k=2021060201110

    引用:
     内閣サイバーセキュリティセンターは2日、富士通の情報共有システムへの不正アクセスに絡み、同センターが実施したサイバーセキュリティーに関する訓練に参加した政府や民間企業約90組織、約170人分の役職、氏名などの個人情報が流出したと発表した。


    五輪組織委の個人情報が流出
    https://nordot.app/773462424593596416

    引用:
    関係者によると、新たに流出が確認されたのは、内閣官房の内閣サイバーセキュリティセンターが東京五輪開催中のサイバー攻撃に備えて実施した情報共有訓練の参加者の所属先や役職、名前など。


    五輪開会式を想定して70社がサイバー演習、意外すぎる盲点に会場がざわつく
    https://xtech.nikkei.com/atcl/nxt/column/18/00001/03208/

    引用:
    11月8日のNISC演習の攻撃シナリオは「東京オリンピックの開会式当日にサイバー攻撃を受けた」というもので、過去最高となる約5000人が参加したという。これに対しNCAはNISCの攻撃シナリオを一般企業向けに変更した。演習会場は東京の3カ所に、今回初めて大阪の1カ所を加えた。

     これだと五千人参加しているらしいから,その一部か.サイバーセキュリティ専門家の連絡先が漏れたとしてもフィッシングなどは通用しないだろうし,実質,転職の一本釣りくらいにしか利用価値なさそう

    LinkedInから個人情報漏洩

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/6/14 10:33
     ちょっと古いけれど.

    LinkedInからスクレイピングされた約5億人分の公開個人情報も犯罪フォーラムで販売
    https://www.itmedia.co.jp/news/articles/2104/09/news047.html

    引用:
     米Microsoft傘下のLinkedInのものとみられる約5億人分の個人情報が米Facebookの5.33億人の個人情報公開と同じ犯罪フォーラムで販売されているとリトアニアのニュースメディアCyberNewsが4月6日(現地時間)に報じた。

     転職に活用しているので,経歴の生データをカジュアルに掲載している人も多いSNSと言えますね.ある意味,公開したい情報が漏洩しているだけなら,問題ないのかもしれない.

    Classiの不正アクセス その2

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/5/29 23:00
     ステイホームが始まった&新学期時期に発生したClassiの不正アクセス事件から1年.みんな忘れていると思うけれど,以前のブログでは「詳細不明」と書いたけれど,1ねんちょっと経って詳細が明らかにされた模様.

     この姿勢は信頼できる会社っぽいな.

    より安全にご利用いただけるようになったClassiのご報告と今後の取り組みについて
    https://corp.classi.jp/news/2416/?_ga=2.124249226.1844188968.1622256005-561176556.1622256005

     これみてわかるのが,

    引用:
    2020年4月5日(日)
    13:30 フィッシング攻撃を受ける
    14:06 攻撃者が侵入用サーバーを作成
    14:44侵入用サーバー経由でデータベースサーバーへ侵入
     日曜日にこのスピード感でやられたら,もう誰も止められないわな...

    ProjectWEB

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/5/28 1:11
     最初は成田空港だけかと思ったら,もっと範囲が広かった.


    富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2021/05/26/053332

     どういうものなのかみたことないので調べてみた.2009年の論文なので

    SEのビジネス基盤を目指すProjectWEBの新たな取組み

     適当にピックアップ.

  • ライブラリ機能
  • todo list機能
  • プロジェクト管理支援機能(富士通の標準プロセス体系「SDEM(エスデム)」を基盤として開発)

     Microsoft Project+Slack+継続的インテグレーションが一緒になったようなものだろうな(嘘)

     歴史は20年以上.

    引用:
    富士通は2001年以降,インターネット環境で構築されたProjectWEBをお客様・ビジネスパートナと利用する環境を提供している。そのため,ProjectWEBをセキュアに運用するための取組みは不可欠である。

     これ.

    引用:
    IPアドレスによるアクセス制御は,アクセス拒否,あるいはアクセス許可をかける端末IPアドレスの指定を可能にする。とくに後者の活用により,指定された端末からのみProjectWEBへのアクセスを許可することが可能となる。IPアドレスによるアクセス制御を活用することにより,ProjectWEBへのアクセスを,プロジェクトが許可したセキュリティ対策済みの端末からのみ実施することが可能となる。
     利用者側がこの機能を徹底的に設定していたとすると,犯人は利用者の中にいる可能性も?!


     誰も言わない?けれど,これ.

    プロジェクト情報共有ツールへの不正アクセスについて
    https://pr.fujitsu.com/jp/news/2021/05/25.html

    引用:
    本事案の影響範囲および原因は現在調査中であり、更なる不正アクセスが発生しないよう「ProjectWEB」の運用を停止しております。

     富士通の対応策は正しい,と思うけれど,これで日本中の大きなシステムのプロジェクト管理が停止してしまっているという事実...止まっていても影響がないのか,多大なる影響があるのか.

    おまけ

    システム構築の標準プロセス体系:SDEM
    https://www.fujitsu.com/downloads/JP/archive/imgjp/jmag/vol63-2/paper15.pdf


    追記2022/01/07
    富士通が情報流出招いたProjectWEBの廃止を発表、「名無し」の代替ツールを提供へ
    https://xtech.nikkei.com/atcl/nxt/news/18/11844/

    引用:
     富士通は2021年12月9日、同社が運営するプロジェクト情報共有ツール「ProjectWEB」を廃止すると発表した。同ツールを巡っては、不正アクセスを受けて複数の法人顧客の情報が流出するなどの問題が相次ぎ、運用を停止していた。
     廃止するのは良いけれど.

    引用:
     日経クロステックは過去の報道で、ProjectWEBに多要素認証を実装していなかったことや、ログの収集が不十分で不正アクセスを受けた原因や時期が特定できていない同社の問題点について報じている。富士通はProjectWEBで発覚した複数の脆弱性について「セキュリティーに関することであり、回答は差し控える」(同)とした。
     まだ調査は進めている?ようだから,続報がでてくるのだろうか.こういうコストも,対策不足による負のコスト,リスクとして計上しておく必要があるのだろうな.

    プロジェクト情報共有ツールへの不正アクセスについて(第四報)
    https://pr.fujitsu.com/jp/news/2021/12/9-1.html

    引用:
    なお、本事案の原因に関しては、脆弱性を悪用した侵入、運用管理者や一般利用者の端末のマルウェア感染等、これまであらゆる可能性を考慮して調査を実施し、当社内においてはその調査は既に完了しております。その結果、ProjectWEBに数種類の脆弱性が存在していたことが確認されており、悪用された脆弱性の特定には至りませんでしたが、第三者がそのいずれかを用いるなどして、正規のIDとパスワードを窃取し、これを使用することで正常認証および正常通信と見える形で、ProjectWEBに対して外部から不正アクセスを行ったものであると判断しております。

     調査は完了となっている.ログを追いかける作業は終了ということか.

    引用:
    現在、本事案の原因および当社の対応について外部有識者の「検証委員会」に検証頂いております。また、これまで実施した原因調査や被害範囲の確認の妥当性等を検証すべく、客観的・技術的な観点から、内閣サイバーセキュリティセンター様等にご相談しております。当社といたしましては、検証委員会の検証結果や内閣サイバーセキュリティセンター様等のご助言も踏まえて、改めてしかるべき時期に本事案に関する総括を行うとともに、
     結果を内閣サイバーセキュリティセンターに投げて判断待ち.

     富士通の出した回答以上には答えられないと思うけれど,何か明確な攻撃被害があったと紐づけられているわけでも無いから,そのまま鎮静化かな.
     これは根拠がないけれど,なんだか古臭いシステムだし混乱もなさそう?だから,旧式のシステム開発に関わる情報を掲載していただけだったんじゃなかろうか.

    追記2022/03/10
     まさかの進展あり.

    「ProjectWEB」の被害組織数を上方修正 - 富士通
    https://www.security-next.com/134678

    引用:
    同社によると継続的に連携してきた外部機関の協力があり、2022年1月から調査を進めてていたところ、あらたに13件の顧客で不正アクセスを受けていたことが2月17日に判明したという。
     

     地味に進めてるんだな...
  •  日本ではワクチン接種の話題ばかりで,視聴率優先の一般テレビ報道ではノーマークのようだけれど.

    米石油パイプライン企業へのサイバー攻撃についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2021/05/12/051650

    引用:
    2021年5月7日、米国の石油パイプライン企業Colonial Pipelineはランサムウエアによる影響をうけ業務全体を一時停止する措置を講じたことを発表しました。停止された輸送サービスは12日に再開され、15日までに供給網全体が復旧されました。
     ここで興味があるのは,今回ランサムウェアだったそうで身代金を支払った,,,けれども復号化が遅くてバックアップから戻したそうだ.
     「予防的措置としてパイプライン全体の停止」というのも興味深い.


    米国で発生した浄水システムの不正操作についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2021/02/10/181319

    引用:
    2021年2月5日、米フロリダ州タンパ近郊オールズマー市の浄水システムに対し、何者かがリモートから不正に操作を行い、システムで添加制御が行われていた水酸化ナトリウムの量を危険な水準に引き上げる行為が一時行われました。
     この件の水酸化ナトリウムは,苛性ソーダとも呼ばれ,日本では毒物及び劇物取締法により原体および5%を超える製剤が劇物に指定されるような危ないもの.

     もう忘れてしまっているけれど,東日本大震災直後,乳児の飲料に向かない濃度の水道水から放射性ヨウ素が測定されたので,水道水の摂取を控えましょうという事件があったことを思い出した.

     これらの事件を見ると,あっという間に生活が脅かされるね.

    内閣府に不正アクセス

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/25 23:00
    内閣府に不正アクセス
    https://this.kiji.is/757998150644727808

    引用:
     内閣府は22日、内閣官房などと共同で利用しているファイル共有のストレージサービスに不正アクセスがあり、

    〜略〜

    1月に内閣府のネットワークを運用する事業者が不正アクセスを検知し、調査を進めていた

     この脆弱性自体は,2021年2月に発表されていたけれど,いわゆるゼロデイ.

    FileZenの脆弱性(CVE-2021-20655)に関する注意喚起
    https://www.jpcert.or.jp/at/2021/at210009.html

     興味深いのはここ.

    引用:
    III. 対策

    脆弱性に対応したバージョンは2021年2月16日の段階で提供されていません。株式会社ソリトンシステムズによると、脆弱性に対応したバージョンを2021年3月に提供する予定とのことです。

    更新: 2021年3月5日追記
    2021年3月5日、株式会社ソリトンシステムズより脆弱性(CVE-2021-20655)について修正済みのバージョンが公開されました。修正済みバージョンの適用をご検討ください

    内閣府のFileZenへの不正アクセスについてまとめてみた
    https://piyolog.hatenadiary.jp

    追記2021/05/20

     インターネット上で稼働しているデバイスの情報を収集する以前紹介したSHODANを使っての,FileZenの探索がまとめられています.

    [OSINT]Shodanを使ってFileZenを探せ その3(番外編: 運用状況の分析)
    https://note.com/hiro_shi_note/n/ne0be0fb4b517

    カプコンは素晴らしい

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/22 0:20
     継続的に被害情報で判明したことを報告する姿勢は,カプコンは素晴らしい.世の中の役に立ってる! バイオハザードに食べさせてもらっていたこともあるし感謝w

    カプコンへの不正アクセス、侵入経路は予備に残した以前のVPN機器
    https://www.security-next.com/125237

    引用:
    別にあらたなVPN機器を導入済みだったが、米カリフォルニア州における新型コロナウイルス感染の急拡大に起因するネットワーク負荷の増大にともない、通信障害など備え、緊急避難用のインフラとして同法人にのみ旧システムのVPN機器1台を残していた
     わかる.非常に気持ちはわかる.

    Trelloからの情報漏洩

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/14 10:46
     設定ミスによって情報漏洩状態になることは,少し前にセールスフォースでも騒がれたので記憶に新しい.

    Trelloの公開ボードについて
    https://www.atlassian.com/ja/blog/trello-public-board

    引用:
    Trelloの初期設定ではボードは非公開になっており、ユーザーの任意で公開範囲を選択することが可能です。詳細は、こちらの記事にて確認いただけます。

    Trelloは豪Atlassianが運営するプロジェクト管理ツール。付せんのようなユーザーインタフェースで簡単にToDoやプロジェクトの進行状況を管理できるのが特徴。米Fog Creek Softwareが2011年に立ち上げ、14年に企業としてスピンアウト。Atlassianが17年2月に買収した

     Atlassianのプロダクトだと,高機能RedmineみたいなJIRAとか,Confluence(Wiki)を使っていたことがあるな.

     漏れた情報が話題という・・・

    タスク管理ツールの情報漏洩事件 マルチ商法や新興宗教団体のデータまで漏れていた
    https://news.livedoor.com/article/detail/20016046/

    引用:
    取材した大手新聞社の経済担当記者によれば、一般企業や官公庁のデータではないかと思われる資料まで確認できたという。

    〜略〜

    「マルチ商法グループが管理していると思われる情報が出てきて、そこにはターゲットとなる人物の実名や勤務先、ターゲットにいつ誰が接触し、どういう反応をしたか、どれくらいモノを買わせることができるかなど詳細なメモもありました」(大手紙経済担当記者)

    〜略〜

    一方で、「人生が終わる」レベルの被害がおよびつつある人もいると話すのは、関東地方の風俗店経営者の男性(40代)。

    「どこかの人材業者らしきアカウントが、コロナワクチンの治験に参加を希望している人の名前、住所、電話番号や免許証の写真をアップしていました。業者は手広く『女性のスカウト』もやっていたようで、水商売で働きたいと希望している未成年の個人情報、風俗店で働いている成人女性の写真や個人情報、借金の有無などの記載もあり、自分の名前を入れてヒットしないかと業界で働く女性はびくびくしていますよ」(性風俗店経営者の男性)



    プロジェクト管理ツール「Trello」で運転免許証など個人情報流出 閲覧範囲の設定ミスが原因か
    https://www.itmedia.co.jp/news/articles/2104/06/news080.html

    引用:
    大学生の顔写真付き履歴書や住所がダダ漏れ 採用・不採用の理由までもが情報漏洩し、面接担当が顔採用していた事まで判明

    「Trello」で機密情報が漏洩していてもアカウントを削除するのは絶対NG!
    https://forest.watch.impress.co.jp/docs/serial/yajiuma/1317736.html

    引用:
    ここで 一番やってはいけないことは、慌ててアカウントを削除してしまうこと です。公開ボードが削除できなくなり、どうしようもなくなる可能性があります

    facebookで情報漏洩5億人分

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/4/5 23:52
     もう何度目かわからないけれど.

    5億人以上のフェイスブック個人情報が漏洩 携帯番号も 2019年の流出データが再浮上
    https://jp.cointelegraph.com/news/half-a-billion-people-just-had-their-facebook-data-leaked

    引用:
    SNS大手フェイスブックを利用する5億人以上のユーザー個人情報が4月3日、ハッカー向けサイト上で無料公開されたようだ。アカウントに紐づく個人の携帯番号もこれまでより広範囲に流出した可能性があるため、仮想通貨を取引するユーザーは今後SIMスワップ攻撃などのIDベースの攻撃に注意が必要だ。

     念のためにHave I Been Pwnedでドメインサーチを使って新たに漏洩してないか確認してみた.
     今のところ,未登録の模様.

     テレビでも一般ニュースとしてやってた.(時間は短いが) facebookは40〜50代向けらしいから,テレビで視聴率取りに行くのにちょうど良いかも.

    追記2021/04/09

    Facebook、5.33億人のユーザー情報公開問題について説明(謝罪はなし)
    https://www.itmedia.co.jp/news/articles/2104/07/news073.html

    引用:
     同社は「このデータはFacebookのシステムをハッキングすることによってではなく、2019年9月以前にスクレイピングによって集められたことを理解するのが重要だ」としている。ユーザーにとって重要なのは、自分の個人情報も5.33億人に含まれているのか、含まれているとして、電話番号などもふくまれているのかのはずだが、Facebookは今のところ、流出したユーザーに通知してはいない。

     「通知していない」からの・・・

    フェイスブック、5億人超の情報流出で利用者に通知しない方針
    https://jp.reuters.com/article/facebook-data-leak-idJPKBN2BV054

    引用:
    過去に流出した利用者5億3000万人以上の個人情報がインターネット上で最近閲覧可能になっていた問題について、当該の利用者に通知しておらず、通知する予定もないと、広報担当者が7日、明らかにした

     pwndが対応したそうで,自分の電話番号を入れても検索できるようになりました.

    個人情報流出チェックサイト「Have I Been Pwned?」が電話番号での検索に対応
    https://gigazine.net/news/20210407-facebook-phone-numbers-have-i-been-pwned/

    LINEの問題

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/3/28 22:46
     LINEのサービスが韓国・中国と日本にとってリスクの高い国においてあることが問題だったら,LINEを国有化したらどうだろう.新しいサービスで置き換える能力があるのかというと...たとえば「+メッセージ(プラスメッセージ)」は,誰も使ってないような...と思ったけれど,2000万契約はあるようだ.(店頭でスマホを買うときにインストールさせられただけと思うが)

    LINEの個人情報問題に政府が敏感に反応した理由--「行政のデジタル化」遅れの懸念も
    https://japan.cnet.com/article/35168122/

    引用:
     LINEユーザーの個人情報が、同社の委託先の中国企業でアクセスできる状態にあったことが判明した。それを受けて、総務省がLINEを活用した行政サービスを停止すると公表するなど大きな影響が出ているようだ。


    LINE Payの個人情報が韓国に…決済内容から企業情報まで アクセス権は韓国の子会社社員
    https://www.fnn.jp/articles/-/159363

    引用:
    LINEの個人情報問題で新たな事実が判明。LINE Payで何をどこで買ったかといった情報や加盟店の銀行口座の番号などが韓国国内のサーバーにあることが分かった。


    LINEが発表した個人情報に関する今後の方針と日本のユーザーがチェックすべきポイント
    https://dime.jp/genre/1109365/

    引用:
    日本ユーザーに安心いただくための2つの国内化

    ・中国における開発拠点および外部委託先における個人情報へのアクセスコントロール等の実施
    ・LINEトークルームおよびLINE公式アカウント、LINE Payにおけるデータの国内移転
    ・4月19日(月)総務省への報告

    以降の情報は、以下ページにて定期更新するという。

    LINE:プレスリリース「LINEにおける個人情報の取り扱いに関連する今後の主な予定について」
    https://linecorp.com/ja/pr/news/ja/2021/3680

     中国がグレートファイヤーウォールとかfacebookなどのSNSアクセス禁止を言論の自由を奪う行為として報道されてきたように思うけれど,中国がとっている「国防」としてのソーシャルメディアのコントロールは,参考にしても良いのだろうなと思う.

     個人情報だとかプライバシーだとか言っても,あちこちに公設・私設によらず監視カメラが設置されているけれど,あのデータもどこに保存されているのか...


    2021.05.11追記

    総務省、LINEに行政指導 - 安全管理や利用者への説明不十分
    https://www.security-next.com/125654

    引用:
    4月19日に報告を徴収したが、報告内容より安全管理措置や利用者に対する説明など一部不十分な点があると判断し、文書により指導を行ったもの。

    〜略〜

    利用者が理解できるよう措置を講じることなども指導内容に含まれ、5月31日までに対応状況を報告するよう同社へ求めている。
     まだ現在進行中だけれど,2021/05/17現在,コロナ禍におけるワクチン接種申し込みにLINE
    は使われてますね.
     先日,中国人がアクセスできることで誤解を招くような?あおり報道も多かったけれど,ベッキーのゲス不倫事件以来の?LINEが話題に...?


    日本のLINE利用者の画像・動画全データ、韓国で保管
    https://www.asahi.com/articles/ASP3K64ZCP3KUHBI01W.html

    引用:
    国内の月間利用者が8600万人に上る無料通信アプリを運営する「LINE(ライン)」(本社・東京都)が、利用者間でメッセージをやりとりするサービス「トーク」に投稿されたすべての画像と動画を韓国内のサーバーに保管していることがわかった。
     AWSを使ったサービスも多くあると思うけれど,どこのリージョンを使っているかは,利用者からは明確でない場合が多いね.リージョンを変えている場合もあるだろうし.

    引用:
    データは複数のサーバーに分散化する特殊な処理がなされており、アクセス権を持つ社員も具体的な画像内容は見られないという。
     なるほど.

     そしてこれ.

    【全文】五輪式典で不適切演出案の佐々木宏氏「大失言…渡辺直美さんに伝わる時が来たら辞表を」
    https://www.tokyo-np.co.jp/article/92221

    引用:
    東京五輪・パラリンピックの開閉会式の企画、演出で全体の統括役を務めるクリエーティブディレクターの佐々木宏氏(66)が、式典に出演予定だったタレントの渡辺直美さんの容姿を侮辱するような内容の演出を関係者に提案していたと「文春オンライン」が17日報じた。

     謝罪文の冒頭.

    引用:
     ○謝罪⽂
    昨年3⽉の私のLINEのグループラインの中において、オリンピック開会式のアイデアフラッシュを仲間うちでやり取りする中で、私のアイデア及び、発⾔内容に、⾮常に不適切な表現がありました。
     誰もが知っているソフトバンクの白戸家のお父さん犬や,トミー・リー・ジョーンズが長年出演しているBOSSのCMなどの奇抜なアイディアで賞賛されていた人が,奇抜なアイディア,それも社内会議的な関係者だけでのグループラインでの発言が,1年後に暴露されて辞任に追い込まれる.

     1つ前の事例から,LINEのデータな解読できないわけだから内部犯行は明らか.こういうのは,

  • 一番得するやつが犯人.(サスペンスでは古典)
  • 最も疑われる人を追い落とすための第三の登場人物.(火サス)
  • 全く関係がなさそうな人が真犯人.(犯人はヤス)
  • 佐々木宏氏は電通出身だそうだから,過去の仕事がらみの復讐劇.
  • 東京オリンピック・パラリンピックを中止にさせたい勢力の陰謀.(AKIRA予言信者過激派)

     どれにしても,森元会長辞任劇もそうだけれど,足元を救う情報攻撃は,ずっと続くのだろうな.

     どっちかというとこっちが問題.

    自治体、対応追われる LINE個人情報問題受け
    https://www.jiji.com/jc/article?k=2021031800933

    引用:
     対話アプリLINEの個人情報保護に不備があり、利用者情報が中国の委託企業で閲覧できる状態になっていた。自治体は住民へのサービスや情報提供でLINEを多く活用しており、情報確認などに追われている。

     LINEは行政サービスと連携しているので,一時的に行政サービスを停止している所も多い模様.
     そのほぼ無意味で何も生み出さない対応で貴重な公務員の労力を今使うことの意味.

    LINEを活用した新型コロナワクチン接種予約システムを提供
    https://linecorp.com/ja/pr/news/ja/2021/3606

     小さい地方自治体はこういうのを採用したいのだろうと思うけれど.ジジババはLINE利用率低いか.

     お! LINE以外にも,雨後の筍のようなワクチン接種管理システムが多数ある! これはスタンダードになれれば永久機関並みに稼げる可能性があるから,そういう陰謀か.
  • ドコモ口座事件 その3

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/3/8 23:37
     リバース・ブルーと・フォース・アタックなどの手口にも焦点が上がった,ドコモ口座事件.犯人が逮捕されたと報道があったけれど,調べたらソフトバンクショップの人間が情報を持ち出していたというオチだった.
     盗んだ人は直接はドコモ口座事件に絡んでないようだけれど,鮮度・濃度が良いデータだと別の犯罪に利用される良い例かな.
     
    ソフトバンクで6347人の顧客情報流出。ドコモ口座事件などに悪用される
    https://security.srad.jp/story/21/03/04/0033240/

    引用:
    容疑者が取得した情報は、最終的にドコモ口座事件の主犯とされる被告に渡り、それが犯罪に悪用されたと見られている。

    追記2021/03/28


    600のメールアカウントを無断使用 ドコモ口座不正引き出し
    https://mainichi.jp/articles/20210318/k00/00m/040/047000c

    引用:
    アカウントは、特定のプロバイダー(接続事業者)1社に集中していた。

    〜略〜

    アカウントのパスワードの多くは、インターネット上に流出していた。定期的にメールを送受信しないとアカウントが勝手に使われても気付きにくいことが悪用されたとみられる。
     休眠アカウントも管理しておくべきだな.あとはちゃんと削除する.

    利用者の多いクラウドサービスは

    カテゴリ : 
    セキュリティ » 事故・事件
    ブロガー : 
    ujpblog 2021/3/3 11:42
     このニュースを見て感じたのは...

    AWSアカウント攻撃ツールをSalesforceがリリースするも速攻で削除される
    https://gigazine.net/news/20210217-salesforce-endgame/

    引用:
     EndgameはAWS用のペネトレーションテストツールで、SalesforceのエンジニアであるKinnaird McQuade氏が開発しました。Endgameを用いると、あるAWSアカウントのリソースを他のAWSアカウントで悪用したり、インターネット上に公開したりできるとのこと。
     AWS(Amazon Web Service)とかGCP(Google Cloud Platform)とかMicrosoft Azureとか,利用者の多いサービスだと,利用者は「中の人」なので「中の人」が気付きやすい盲点のようなものも共有されがちなんじゃないかな.
     善意だろうが,悪意だろうが.
     ちょっとだけ話題に.

    三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】
    https://www.itmedia.co.jp/news/articles/2101/29/news107.html

    引用:
     委託先のSEとみられる人物が、自身の書いたソースコードから年収を診断できるWebサービスを利用するため、SMBCなどから委託を受けて開発したコードをソースコード共有サービス「GitHub」に公開したのが原因。
     年収査定システムとしては,たぶんオープンソース・コミュニティに対する貢献度を図る際に,githubへのコミット数やリアクションを「参考にする」程度であって,何でもかんでもアップロードすれば良い,と言うわけではないけれど,若気の至りでやってしまった,と言う事だろうな.

     どんな罪になるのだろう.漏洩は瑕疵ではあるが故意では無いでしょう.
     記事によるとソースコードの中に登場した各社は「影響がない」的なコメントを出しているから,被害は無いと言うことになる? 納品したものを流出させた場合と,納品前の開発中時点のソースの所有者は誰?ということか.

    広告スペース
    Google