パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

12894389 story
情報漏洩

Dropbox、4年以上パスワードを変更していないユーザーにパスワード変更を促す 17

ストーリー by headless
変更 部門より
Dropboxでは、4年以上パスワードを変更していないユーザーに対し、パスワード変更を促している(DropboxヘルプセンターNeowinの記事The Registerの記事BetaNewsの記事)。

これは2012年に発生したメールアドレス流出に関連するもののようだ。この件は他のWebサイトから流出したユーザー名とパスワードがDropboxアカウントへのサインインに使われたとの結論が出ているが、当時取得されたとみられるDropboxの認証情報(メールアドレスとソルトを加えてハッシュ化されたパスワード)の存在が確認されたとのこと。対象は2012年半ば以前にDropboxに登録し、2012年半ば以降パスワードを変更していないユーザーとなっている。

Dropboxによると現在のところ不正アクセスの発生は確認されていないが、該当するユーザーには予防措置としてパスワード変更を必須としているとのこと。対象ユーザーにはメールで通知されるほか、dropbox.comへの次回ログイン時にパスワード変更が促される。ただし、対象とならないアカウントのユーザーにもメールで通知されることがあるようだ。

詳しくはDropboxヘルプセンターの記事に記載されているが、日本語版にはあいまいな部分があるため、不明な点が出た場合は英語版もあわせて参照してほしい。言語設定はページ下部のリンクから変更できる。
12890542 story
情報漏洩

東京電力パワーグリッドの社員、執務室内で法人情報入りHDDを紛失 48

ストーリー by hylom
いったいどうして 部門より
あるAnonymous Coward 曰く、

東京電力傘下で送配電事業を行う東京電力パワーグリッドで、顧客情報が格納された外付けHDDを社員が執務室内で紛失するという事件が発生したとのこと(東京電力パワーグリッドの発表)。

問題のHDDに含まれていた情報は約21万軒の法人情報(契約名義、住所、郵送先、連絡先情報)や社内文書。外部のPC等では容易にデータ閲覧が行えないよう、セキュリティ対策が行われているためデータ流出の可能性は低いとしている。

しかし、外付けHDDを外に持ち出して紛失、という話なら分かるが、オフィス内で紛失して行方不明というのはどういう状況なのかよく分からない。さすがにこのご時世で清掃スタッフがゴミとして捨てる、ということはないだろうし。

12877124 story
Windows

Windowsマシンのセキュアブートを無効化できるセキュアブートポリシーが流出、解析結果が公開される 7

ストーリー by headless
無効 部門より
適用することでWindowsマシンのセキュアブート機能を無効化できるというセキュアブートポリシーが流出し、解析結果が公開されている(Secure Golden Key BootThe Registerの記事Threatpostの記事Ars Technicaの記事)。

セキュアブートはUEFIファームウェアの機能の1つ。有効にするとブート時に実行するソフトウェアの署名が確認され、認証された証明書で署名されていなければ実行できない。セキュアブートポリシーはバイナリ形式のファイルで、Windowsの起動プロセスの非常に初期の段階にbootmgrが読み込む。デバイスの中にはセキュアブートを無効にできないものもあるが、発見したセキュリティ研究者が「golden key」と呼ぶセキュアブートポリシーを読み込ませることでテスト署名を有効化し、セキュアブートをバイパス可能になるという。

golden keyの入手経路は明らかにされていないが、何らかの製品に誤って同梱されていたものとみられる。発見者は3月~4月にgolden keyの存在を確認してMicrosoft Security Response Centerに連絡したが、当初の反応は鈍かったという。しかし、6月~7月に再び返信があり、バグ発見の報奨金プログラムの対象になる。Microsoftでは7月(MS16-094)と8月(MS16-100)に修正プログラムをリリースしているが、影響を受けるポリシーやブートマネージャーをブラックリストに登録するといった内容であり、この方法での完全な修正は難しいと発見者はみているようだ。

セキュアブートポリシーは開発時などに必要なものだが、ブートキットなどのインストールに使われる可能性もある。発見者は政府機関などが要求するようなバックドアの設置が行われ、その鍵が流出した場合の問題を示す実例だと述べている。

一方、Microsoftは、この問題がデスクトップや企業のPCには適用されないと述べ、ARMおよびRTデバイスでも物理的アクセスおよび管理者権限が必要になる点を指摘。暗号化による保護が破られることはないとThreatpostに説明したとのことだ。
12875365 story
情報漏洩

デンマークの政府系研究所、暗号化されていない個人情報が入ったディスクを誤って別のビルに郵送 18

ストーリー by hylom
どうしてこうなった 部門より
nemui4曰く、

デンマークで、デンマーク国民約530万人分の個人情報が、手違いで本来送られるはずだったデンマーク統計局ではなく、中国のビザ申請局に郵送されるというトラブルが起きていたそうだ(GIGAZINE)。

このデータはCD-ROM2枚に格納されており、また暗号化はされていなかったとのこと。データには社会保障番号および健康に関する情報が含まれてていたという。受け取った中国のビザ申請局の職員はこれを誤って開封後、間違いに気付いて統計局に届けたそうだ。

お漏らししたデンマーク保健省傘下の研究所って民間なのかな。どこの国でも個人情報取り扱う仕事はプレッシャーきつそう。

12856503 story
情報漏洩

利根川の堤防でキツネの巣穴が見つかる、決壊の原因になる危険性があるため埋め戻しへ 50

ストーリー by hylom
キツネの穴から 部門より

利根川の堤防で狐の巣穴が次々と見つかっているそうだ。大雨の際に堤防が決壊する原因になる危険性もあるという(朝日新聞茨城新聞)。

茨城県古河市の利根川河川敷堤防では巣穴3か所が発見され、うち2か所は少なくとも3メートル以上の奥行きがあったという。そのため、河川事務所は埋め戻しを進めるそうだ。

12843272 story
情報漏洩

顧客の情報を勝手に別の会社に横流ししたシステム開発・運用会社が摘発される 44

ストーリー by hylom
やってることはベネッセ事件と同じ 部門より
あるAnonymous Coward 曰く、

「電話を使った占いサービス」のシステム開発や保守を請け負っていた企業「アンサー」が、保守を請け負っていたシステムから営業情報を不正に複製して同業他社に提供したとして、その取締役が不正競争防止法違反(営業秘密の複製、開示)容疑で逮捕された(時事通信NHK)。

不正に複製された営業情報は電話占いサービスの利用状況や金額などとのこと。容疑者は容疑を認めているという。

システムやネットワークにどんな対策を施していたところで、システム会社に情報を横流しされてしまってはどうしようもないと思うのだが、こういうリスクにはどのように取り組むべきなのだろうか?

12826577 story
情報漏洩

有料放送を無料視聴可能にするプログラムを公開していた少年、佐賀県教委のシステムに不正アクセスしていた 74

ストーリー by hylom
どれだけのセキュリティだったのか 部門より
あるAnonymous Coward 曰く、

佐賀県教育委員会のシステムに不正アクセスを行い、氏名や住所と言った個人情報および成績情報などを不正に入手した疑いで17歳少年が再逮捕された。(NHK)。

この少年は、B-CASカード不要で有料放送を視聴できるプログラムを独自に開発・公開して逮捕されている。警視庁が少年のPCなどを調べたところ、流出したと見られるデータが発見されて発覚したようだ。また、この情報流出について佐賀県教育委員会は今まで公表していなかったという。

佐賀県は教育システムのデジタル化を進めており、「ICT化が最も進んでいる」とも言われていたようだ(Yahoo!ニュース)。

12818523 story
情報漏洩

米民主党、ロシア系組織からサイバー攻撃を受けトランプ氏の調査資料を流出させる 26

ストーリー by hylom
セキュリティ関連でもトランプ氏が話題に 部門より
caret曰く、

米民主党全国委員会 (DNC) のコンピュータが、ロシア政府系とみられる2つの組織からのサイバー攻撃を受けたという。この攻撃によって、米大統領選の共和党候補であるドナルド・トランプ氏について同党が調査した資料が盗み出されていたそうだ。ワシントン・ポスト紙(電子版)が6月14日、DNC関係者やセキュリティ専門家の話を元に報じた(Washington PostEndpoint Protection Blog from Crowdstrikeの投稿時事通信日経新聞CNN.co.jpAFPロイターブルームバーグ)。

同紙によれば、一連のサイバー攻撃は1年間にわたって行われた非常に大規模なもので、DNCのシステム内の電子メールやチャットが外部からすべて読める状態になっていたという。この攻撃の痕跡をDNCが発見したのは今年4月で、その後調査依頼を受けたセキュリティ企業・米クラウドストライク社によると、攻撃を行ったのは「コージー・ベア」と「ファンシー・ベア」という名称だそうだ。ロシアの情報機関と密接な関係を持ち、ロシア政府に有利な政治的・経済的スパイ活動を行っており、高度な技術を有しているという。

うち1つはホワイトハウスや国務省の非機密ネットワークの侵入にも成功していたという。また、両グループは協力しておらず、それぞれ独立して侵入したとみられるという。さらに民主党の大統領候補指名を確実にしたヒラリー・クリントン氏やドナルド・トランプ氏本人、共和党の複数の政治活動委員会も標的にしていたとワシントン・ポストは報じている。なお、財務データや資金提供者などの個人情報を盗まれた形跡はないとしている。

先週末にDNCのシステム修正が行われ、またクラウドストライク社による監視も行われているとのこと。なお、ロシアのペスコフ大統領報道官は、モスクワで「政府または政府機関がこの件に関与していた可能性を全面的に否定する」と述べたという。

なお、今回盗まれた200ページ超のドナルド・トランプ氏に関する調査資料が、「Guccifer 2.0」を名乗る人物により、ネットメディア企業Gawkerに送付されたという(GawkerCNET Japan)。この人物は100GBに及ぶ財務報告書、資金提供者の一覧、選挙綱領、共和党対策、個人のメールなどのデータを所有していると主張しており、Gawkerが報じたところによれば、ほかにも寄付の登録台帳や戦略ファイルなどさまざまな文書が送られてきたという。この報道は、前述の財務データや個人情報は盗まれていないというワシントン・ポスト紙の報道と矛盾する。

なお、ロシア政府系クラッカーとしては、今回の動きは異例だという。

12806031 story
情報漏洩

Facebookのマーク・ザッカーバーグCEO、アカウントを乗っ取られる。複数のサービスで同じパスワードを設定していた? 13

ストーリー by hylom
Facebookアカウントじゃなくて良かったですね 部門より
headless 曰く、

マーク・ザッカーバーグ氏のTwitterアカウントPinterestアカウントが一時乗っ取られた。実行したOurMine Teamでは、LinkedInから流出したパスワードを使用したと主張しているそうだ(VentureBeatGuardianSoftpedia)。

LinkedInでは2012年に情報流出事件が発生したが、この際に別途取得したというアカウント情報が売りに出されていたことが5月に報じられている。2012年当時は約650万件の暗号化されたパスワードファイル(SHA-1、ソルトなし)のみがオンラインで公開され、LinkedInでは具体的な流出数を明らかにしていなかった。しかし、ダークウェブで売り出されたアカウント情報は1億6,700万件。このうち1億1,700万件はメールアドレスと暗号化されたパスワードが含まれていたという。

LinkedInでは影響を受けるユーザーのパスワードをリセットするなどの措置を取っているが、共通のパスワードを使用している他のWebサービスは放置されるケースも多い。

OurMine Teamはサウジアラビアのハッキンググループで、現在凍結されているTwitterアカウント(Googleキャッシュ)では、このほかにもビル・ゲイツ氏のアカウントなどを乗っ取ったとも主張している。また、ザッカーバーグ氏のInstagramアカウントも乗っ取ったと述べていたらしいが、Facebookでは同社の運営する各サービスに関しては不正にアクセスされた形跡はないとコメントしているとのこと。

なお、ザッカーバーグ氏のTwitterアカウントは2012年以来投稿がなく、Pinterestについてもあまり使っていなかったようだ。

12794558 story
マイクロソフト

Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗 42

ストーリー by headless
対抗 部門より
Microsoftでは他のWebサービスから流出したパスワードによる攻撃に対抗するため、ありがちなパスワードの使用を禁止する措置を取っているそうだ(Active Directory Team Blogの記事The Registerの記事Softpediaの記事)。

Webサービスから流出したアカウント情報がダークウェブで売買の対象になっていることがたびたび報じられるが、サイバー犯罪者は該当のアカウントを攻撃するだけでなく、多くのユーザーが共通して使うパスワードのリストを作成して別のアカウントへの攻撃にも使用しているという。

Microsoftは多くのユーザーに共通するパスワードのリストを元に、設定を禁止するパスワードを選択しているそうだ。また、Microsoftのアカウントに対する攻撃は1日1,000万件を超えており、ログイン試行に使われたパスワードのリストを使って設定を禁止するパスワードを動的に更新しているとのこと。

こういった措置はすでにMicrosoftアカウントに適用されている。Azure ADでは現在プライベートプレビューの段階だが、今後数か月の間にすべてのAzure ADテナントへロールアウトしていく計画とのことだ。

なお、Ars Technicaの調査によると、ありがちなパスワードの中にも「Pa$$w0rd1」のように設定可能なものがあるようだ。
12790452 story
情報漏洩

フェチ・愛好家向けサイトから10万件以上の個人情報が流出 41

ストーリー by hylom
皆様はこういった問題に対し対策を取っているでしょうか 部門より

「仕事中は検索を決してオススメしない」という会員制サイト「The Rosebutt Board」から、10万件以上の個人情報が流出したそうだ(GIGAZINE)。

流出したのはユーザー名およびメールアドレス、アクセス元IPアドレスなど。流出した個人情報を検索できる「';--have i been pwned?」というサイトが、同サイトの「anal fisting」フォーラムに関連する10万7000アカウントの情報が流出したと伝えたことから発覚したようだ。

12784746 story
情報漏洩

メールで「爆破予告」を送った男性、送信元に自分の名前が入っていたためその日のうちに逮捕される 59

ストーリー by hylom
それは本気で言っているのか案件 部門より

5月14日、埼玉県蕨市の地域活動支援施設に対し蕨駅の爆破予告メールを送った男性が威力業務妨害容疑で逮捕された(産経新聞)。

このメールの送信元には容疑者自身の氏名が入力されており、そこから容疑者が浮上したという(【ネタ倉庫】ライトニング・ストレージ)。

12774818 story
情報漏洩

ICIJ、「パナマ文書」および「オフショアリークス」内を検索できるデータベースを公開 98

ストーリー by hylom
調べてみよう 部門より
あるAnonymous Coward 曰く、

租税回避地として知られるパナマで法人登記などを手がける事務所から大量に流出した、通称「パナマ文書」を調べているICIJ(The International Consortium of Investigative Journalists、国際調査報道ジャーナリスト連合)が、パナマ文書およびそれ以前に流出していた通称「オフショアリークス」内を検索できるデータベース「Offshore Leaks Database」を公開した。約32万のオフショア企業などを検索できるという(産経新聞毎日新聞)。

国別での検索が可能で、検索ワードを指定せずに「Japan」を選択して検索を行えば日本の関係企業・個人が表示される。なお、表示される情報はその名称や登記を行った日付、関連する個人や企業といったものに限られる。

12763115 story
プライバシ

居酒屋チェーンの運営会社、車上荒らしでマイナンバーを含む個人情報流出 29

ストーリー by hylom
下手に火消ししようとすると爆発する例 部門より
あるAnonymous Coward 曰く、

居酒屋チェーン「鳥貴族」のフランチャイズ店を運営する「ダンク」の担当者が大阪市で車上荒らしに遭い、アルバイトを含む従業員およそ400人の個人情報が含まれた書類(扶養控除申請書)が盗まれたそうだ(FNNニュース)。また、同社はこのことを一般には公開せずにしようとしていたという。

ニュースではアルバイト男性と担当者のやり取りの内容までも報じられており、「1000円分のクオカード」がおわびとして渡されたことも明らかになっている。マイナンバーだけでなく、扶養控除申請書もかなりセンシティブな情報が掲載されている可能性があり単純に情報漏洩問題としてもひどい話である。

12751398 story
情報漏洩

アクセサリー通販サイトから個人情報流出、クレジットカードのセキュリティコードも流出した可能性 26

ストーリー by hylom
なぜセキュリティコードを保存するのか 部門より

アクセサリーのネット販売を行っているサイト「THE KISS ONLINE SHOP」が不正アクセスを受けた。これにより、最大で20万人の顧客情報が流出した可能性があるという(NHK運営会社によるお知らせとお詫び)。

流出した可能性があるのは、2016年1月16日から2016年3月2日までに同サイトでクレジットカード決済を利用した顧客537件の氏名およびクレジットカード番号、有効期限、セキュリティコードと、会員登録された顧客情報最大199,709件(ユーザーIDおよび暗号化されたパスワード、氏名、住所、電話番号、メールアドレス等の登録情報)。

2月10日に不正アクセスの痕跡が確認されたため調査を行ったとのこと。さらに2月24日に不正アクセスの犯人と見られる者から顧客情報を盗んだ旨が記された英語のメールが届いたという。

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...