パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

12934503 story
Yahoo!

米Yahoo、ユーザー5億人超の個人情報が流出したことを発表 22

ストーリー by hylom
続報はあまりないのですが 部門より

米Yahoo!が22日、同社サービスの利用者5億人超の個人情報が流出していたことを発表した(読売新聞朝日新聞TechCrunch)。

流出したのは名前および電話番号、生年月日、メールアドレス、暗号化されたパスワード、本人確認のために利用者が設定した質問と答えなど。銀行口座やクレジットカードなどについては流出していないという。

5億件以上の個人情報流出というのは最大規模で、政府の支援を受けたサイバー攻撃の可能性もあるという。また、いつ流出が確認されたかは明らかにされていない(ロイター)。Yahoo!は米Verizonとの間で事業売却に合意しており、これに影響が出る可能性もある。さらに、ユーザーらがYahoo!に対し、顧客データの保護を怠ったとして提訴する動きも相次いでいる(ブルームバーグ)。

12925826 story
情報漏洩

ロシア系ハッカー、世界反ドーピング機関をサイバー攻撃して米国選手のドーピング結果を窃取 21

ストーリー by hylom
サイバー冷戦 部門より

ロシア系のハッカーが世界反ドーピング機関(WADA)に不正アクセスを行って内部文書章を盗み取ったという。この内部文書には、複数の米国選手がドーピング検査で陽性反応を示していたという情報が含まれているという(時事通信)。

ロシアは国家ぐるみのドーピング疑惑によってリオデジャネイロ五輪で一部選手が追放され、またパラリンピックではロシアの全選手が出場できない事態となったが、今回の攻撃はこれに対する報復の可能性があるという。

12913885 story
インターネット

印刷通販を手がけるグラフィック、クレジットカード情報を流出させる 40

ストーリー by hylom
どうしてこうなった 部門より

印刷通販を行っているグラフィックが「中国籍サーバー」からの不正アクセスを受けて個人情報を流出していたことを発表した(グラフィックの発表)。

流出した個人情報は395件で、流出の疑いがある情報はクレジットカード番号とセキュリティコード、有効期限、同社の会員ID。7月11日に法人向け決済サービスの決済代行会社より指摘を受けて調査を行ったところ、不正アクセスがあったことが判明したという。また、流出した個人情報は特定できていないとのこと。

なお、同社は当初顧客データベース内にカード情報を記録していないとしていたが、その後顧客データベースのログにカード情報が記録される状態になっていたことが判明したという。同社はこれを認識していなかったとのことだが、指摘を受けて修正をおこなったとのこと。

12899778 story
情報漏洩

軒先パーキングからセキュリティコードを含むクレジットカード情報や会員情報が流出 47

ストーリー by hylom
傍受された的なやつでしょうか 部門より
あるAnonymous Coward曰く、

自宅などの駐車スペースの貸し借りを仲介するサービス「軒先パーキング」からセキュリティコードを含むクレジットカード情報、パスワードなどの会員情報が流出したそうだ(運営者である軒先の発表)。

流出した可能性がある個人情報はクレジットカード情報最大38,201件、会員報最大111,959件。データベースサーバー内の会員情報が流出したわけではなく、WEBサイト上でデータをやりとりする過程においてシステムの脆弱性をついた不正アクセスによって流出したという(同社による説明)。このため、生のパスワードや、スラドでも何度も保持し続けてはいけないと指摘されているセキュリティコードも流出したと考えられる。

12894389 story
情報漏洩

Dropbox、4年以上パスワードを変更していないユーザーにパスワード変更を促す 25

ストーリー by headless
変更 部門より
Dropboxでは、4年以上パスワードを変更していないユーザーに対し、パスワード変更を促している(DropboxヘルプセンターNeowinの記事The Registerの記事BetaNewsの記事)。

これは2012年に発生したメールアドレス流出に関連するもののようだ。この件は他のWebサイトから流出したユーザー名とパスワードがDropboxアカウントへのサインインに使われたとの結論が出ているが、当時取得されたとみられるDropboxの認証情報(メールアドレスとソルトを加えてハッシュ化されたパスワード)の存在が確認されたとのこと。対象は2012年半ば以前にDropboxに登録し、2012年半ば以降パスワードを変更していないユーザーとなっている。

Dropboxによると現在のところ不正アクセスの発生は確認されていないが、該当するユーザーには予防措置としてパスワード変更を必須としているとのこと。対象ユーザーにはメールで通知されるほか、dropbox.comへの次回ログイン時にパスワード変更が促される。ただし、対象とならないアカウントのユーザーにもメールで通知されることがあるようだ。

詳しくはDropboxヘルプセンターの記事に記載されているが、日本語版にはあいまいな部分があるため、不明な点が出た場合は英語版もあわせて参照してほしい。言語設定はページ下部のリンクから変更できる。
12890542 story
情報漏洩

東京電力パワーグリッドの社員、執務室内で法人情報入りHDDを紛失 48

ストーリー by hylom
いったいどうして 部門より
あるAnonymous Coward 曰く、

東京電力傘下で送配電事業を行う東京電力パワーグリッドで、顧客情報が格納された外付けHDDを社員が執務室内で紛失するという事件が発生したとのこと(東京電力パワーグリッドの発表)。

問題のHDDに含まれていた情報は約21万軒の法人情報(契約名義、住所、郵送先、連絡先情報)や社内文書。外部のPC等では容易にデータ閲覧が行えないよう、セキュリティ対策が行われているためデータ流出の可能性は低いとしている。

しかし、外付けHDDを外に持ち出して紛失、という話なら分かるが、オフィス内で紛失して行方不明というのはどういう状況なのかよく分からない。さすがにこのご時世で清掃スタッフがゴミとして捨てる、ということはないだろうし。

12877124 story
Windows

Windowsマシンのセキュアブートを無効化できるセキュアブートポリシーが流出、解析結果が公開される 7

ストーリー by headless
無効 部門より
適用することでWindowsマシンのセキュアブート機能を無効化できるというセキュアブートポリシーが流出し、解析結果が公開されている(Secure Golden Key BootThe Registerの記事Threatpostの記事Ars Technicaの記事)。

セキュアブートはUEFIファームウェアの機能の1つ。有効にするとブート時に実行するソフトウェアの署名が確認され、認証された証明書で署名されていなければ実行できない。セキュアブートポリシーはバイナリ形式のファイルで、Windowsの起動プロセスの非常に初期の段階にbootmgrが読み込む。デバイスの中にはセキュアブートを無効にできないものもあるが、発見したセキュリティ研究者が「golden key」と呼ぶセキュアブートポリシーを読み込ませることでテスト署名を有効化し、セキュアブートをバイパス可能になるという。

golden keyの入手経路は明らかにされていないが、何らかの製品に誤って同梱されていたものとみられる。発見者は3月~4月にgolden keyの存在を確認してMicrosoft Security Response Centerに連絡したが、当初の反応は鈍かったという。しかし、6月~7月に再び返信があり、バグ発見の報奨金プログラムの対象になる。Microsoftでは7月(MS16-094)と8月(MS16-100)に修正プログラムをリリースしているが、影響を受けるポリシーやブートマネージャーをブラックリストに登録するといった内容であり、この方法での完全な修正は難しいと発見者はみているようだ。

セキュアブートポリシーは開発時などに必要なものだが、ブートキットなどのインストールに使われる可能性もある。発見者は政府機関などが要求するようなバックドアの設置が行われ、その鍵が流出した場合の問題を示す実例だと述べている。

一方、Microsoftは、この問題がデスクトップや企業のPCには適用されないと述べ、ARMおよびRTデバイスでも物理的アクセスおよび管理者権限が必要になる点を指摘。暗号化による保護が破られることはないとThreatpostに説明したとのことだ。
12875365 story
情報漏洩

デンマークの政府系研究所、暗号化されていない個人情報が入ったディスクを誤って別のビルに郵送 18

ストーリー by hylom
どうしてこうなった 部門より
nemui4曰く、

デンマークで、デンマーク国民約530万人分の個人情報が、手違いで本来送られるはずだったデンマーク統計局ではなく、中国のビザ申請局に郵送されるというトラブルが起きていたそうだ(GIGAZINE)。

このデータはCD-ROM2枚に格納されており、また暗号化はされていなかったとのこと。データには社会保障番号および健康に関する情報が含まれてていたという。受け取った中国のビザ申請局の職員はこれを誤って開封後、間違いに気付いて統計局に届けたそうだ。

お漏らししたデンマーク保健省傘下の研究所って民間なのかな。どこの国でも個人情報取り扱う仕事はプレッシャーきつそう。

12856503 story
情報漏洩

利根川の堤防でキツネの巣穴が見つかる、決壊の原因になる危険性があるため埋め戻しへ 50

ストーリー by hylom
キツネの穴から 部門より

利根川の堤防で狐の巣穴が次々と見つかっているそうだ。大雨の際に堤防が決壊する原因になる危険性もあるという(朝日新聞茨城新聞)。

茨城県古河市の利根川河川敷堤防では巣穴3か所が発見され、うち2か所は少なくとも3メートル以上の奥行きがあったという。そのため、河川事務所は埋め戻しを進めるそうだ。

12843272 story
情報漏洩

顧客の情報を勝手に別の会社に横流ししたシステム開発・運用会社が摘発される 44

ストーリー by hylom
やってることはベネッセ事件と同じ 部門より
あるAnonymous Coward 曰く、

「電話を使った占いサービス」のシステム開発や保守を請け負っていた企業「アンサー」が、保守を請け負っていたシステムから営業情報を不正に複製して同業他社に提供したとして、その取締役が不正競争防止法違反(営業秘密の複製、開示)容疑で逮捕された(時事通信NHK)。

不正に複製された営業情報は電話占いサービスの利用状況や金額などとのこと。容疑者は容疑を認めているという。

システムやネットワークにどんな対策を施していたところで、システム会社に情報を横流しされてしまってはどうしようもないと思うのだが、こういうリスクにはどのように取り組むべきなのだろうか?

12826577 story
情報漏洩

有料放送を無料視聴可能にするプログラムを公開していた少年、佐賀県教委のシステムに不正アクセスしていた 74

ストーリー by hylom
どれだけのセキュリティだったのか 部門より
あるAnonymous Coward 曰く、

佐賀県教育委員会のシステムに不正アクセスを行い、氏名や住所と言った個人情報および成績情報などを不正に入手した疑いで17歳少年が再逮捕された。(NHK)。

この少年は、B-CASカード不要で有料放送を視聴できるプログラムを独自に開発・公開して逮捕されている。警視庁が少年のPCなどを調べたところ、流出したと見られるデータが発見されて発覚したようだ。また、この情報流出について佐賀県教育委員会は今まで公表していなかったという。

佐賀県は教育システムのデジタル化を進めており、「ICT化が最も進んでいる」とも言われていたようだ(Yahoo!ニュース)。

12818523 story
情報漏洩

米民主党、ロシア系組織からサイバー攻撃を受けトランプ氏の調査資料を流出させる 26

ストーリー by hylom
セキュリティ関連でもトランプ氏が話題に 部門より
caret曰く、

米民主党全国委員会 (DNC) のコンピュータが、ロシア政府系とみられる2つの組織からのサイバー攻撃を受けたという。この攻撃によって、米大統領選の共和党候補であるドナルド・トランプ氏について同党が調査した資料が盗み出されていたそうだ。ワシントン・ポスト紙(電子版)が6月14日、DNC関係者やセキュリティ専門家の話を元に報じた(Washington PostEndpoint Protection Blog from Crowdstrikeの投稿時事通信日経新聞CNN.co.jpAFPロイターブルームバーグ)。

同紙によれば、一連のサイバー攻撃は1年間にわたって行われた非常に大規模なもので、DNCのシステム内の電子メールやチャットが外部からすべて読める状態になっていたという。この攻撃の痕跡をDNCが発見したのは今年4月で、その後調査依頼を受けたセキュリティ企業・米クラウドストライク社によると、攻撃を行ったのは「コージー・ベア」と「ファンシー・ベア」という名称だそうだ。ロシアの情報機関と密接な関係を持ち、ロシア政府に有利な政治的・経済的スパイ活動を行っており、高度な技術を有しているという。

うち1つはホワイトハウスや国務省の非機密ネットワークの侵入にも成功していたという。また、両グループは協力しておらず、それぞれ独立して侵入したとみられるという。さらに民主党の大統領候補指名を確実にしたヒラリー・クリントン氏やドナルド・トランプ氏本人、共和党の複数の政治活動委員会も標的にしていたとワシントン・ポストは報じている。なお、財務データや資金提供者などの個人情報を盗まれた形跡はないとしている。

先週末にDNCのシステム修正が行われ、またクラウドストライク社による監視も行われているとのこと。なお、ロシアのペスコフ大統領報道官は、モスクワで「政府または政府機関がこの件に関与していた可能性を全面的に否定する」と述べたという。

なお、今回盗まれた200ページ超のドナルド・トランプ氏に関する調査資料が、「Guccifer 2.0」を名乗る人物により、ネットメディア企業Gawkerに送付されたという(GawkerCNET Japan)。この人物は100GBに及ぶ財務報告書、資金提供者の一覧、選挙綱領、共和党対策、個人のメールなどのデータを所有していると主張しており、Gawkerが報じたところによれば、ほかにも寄付の登録台帳や戦略ファイルなどさまざまな文書が送られてきたという。この報道は、前述の財務データや個人情報は盗まれていないというワシントン・ポスト紙の報道と矛盾する。

なお、ロシア政府系クラッカーとしては、今回の動きは異例だという。

12806031 story
情報漏洩

Facebookのマーク・ザッカーバーグCEO、アカウントを乗っ取られる。複数のサービスで同じパスワードを設定していた? 13

ストーリー by hylom
Facebookアカウントじゃなくて良かったですね 部門より
headless 曰く、

マーク・ザッカーバーグ氏のTwitterアカウントPinterestアカウントが一時乗っ取られた。実行したOurMine Teamでは、LinkedInから流出したパスワードを使用したと主張しているそうだ(VentureBeatGuardianSoftpedia)。

LinkedInでは2012年に情報流出事件が発生したが、この際に別途取得したというアカウント情報が売りに出されていたことが5月に報じられている。2012年当時は約650万件の暗号化されたパスワードファイル(SHA-1、ソルトなし)のみがオンラインで公開され、LinkedInでは具体的な流出数を明らかにしていなかった。しかし、ダークウェブで売り出されたアカウント情報は1億6,700万件。このうち1億1,700万件はメールアドレスと暗号化されたパスワードが含まれていたという。

LinkedInでは影響を受けるユーザーのパスワードをリセットするなどの措置を取っているが、共通のパスワードを使用している他のWebサービスは放置されるケースも多い。

OurMine Teamはサウジアラビアのハッキンググループで、現在凍結されているTwitterアカウント(Googleキャッシュ)では、このほかにもビル・ゲイツ氏のアカウントなどを乗っ取ったとも主張している。また、ザッカーバーグ氏のInstagramアカウントも乗っ取ったと述べていたらしいが、Facebookでは同社の運営する各サービスに関しては不正にアクセスされた形跡はないとコメントしているとのこと。

なお、ザッカーバーグ氏のTwitterアカウントは2012年以来投稿がなく、Pinterestについてもあまり使っていなかったようだ。

12794558 story
マイクロソフト

Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗 42

ストーリー by headless
対抗 部門より
Microsoftでは他のWebサービスから流出したパスワードによる攻撃に対抗するため、ありがちなパスワードの使用を禁止する措置を取っているそうだ(Active Directory Team Blogの記事The Registerの記事Softpediaの記事)。

Webサービスから流出したアカウント情報がダークウェブで売買の対象になっていることがたびたび報じられるが、サイバー犯罪者は該当のアカウントを攻撃するだけでなく、多くのユーザーが共通して使うパスワードのリストを作成して別のアカウントへの攻撃にも使用しているという。

Microsoftは多くのユーザーに共通するパスワードのリストを元に、設定を禁止するパスワードを選択しているそうだ。また、Microsoftのアカウントに対する攻撃は1日1,000万件を超えており、ログイン試行に使われたパスワードのリストを使って設定を禁止するパスワードを動的に更新しているとのこと。

こういった措置はすでにMicrosoftアカウントに適用されている。Azure ADでは現在プライベートプレビューの段階だが、今後数か月の間にすべてのAzure ADテナントへロールアウトしていく計画とのことだ。

なお、Ars Technicaの調査によると、ありがちなパスワードの中にも「Pa$$w0rd1」のように設定可能なものがあるようだ。
12790452 story
情報漏洩

フェチ・愛好家向けサイトから10万件以上の個人情報が流出 41

ストーリー by hylom
皆様はこういった問題に対し対策を取っているでしょうか 部門より

「仕事中は検索を決してオススメしない」という会員制サイト「The Rosebutt Board」から、10万件以上の個人情報が流出したそうだ(GIGAZINE)。

流出したのはユーザー名およびメールアドレス、アクセス元IPアドレスなど。流出した個人情報を検索できる「';--have i been pwned?」というサイトが、同サイトの「anal fisting」フォーラムに関連する10万7000アカウントの情報が流出したと伝えたことから発覚したようだ。

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...