パスワードを忘れた? アカウント作成

最新から新しい日記やタレこみを確認できますよ。

12794558 story
マイクロソフト

Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗 40

ストーリー by headless
対抗 部門より
Microsoftでは他のWebサービスから流出したパスワードによる攻撃に対抗するため、ありがちなパスワードの使用を禁止する措置を取っているそうだ(Active Directory Team Blogの記事The Registerの記事Softpediaの記事)。

Webサービスから流出したアカウント情報がダークウェブで売買の対象になっていることがたびたび報じられるが、サイバー犯罪者は該当のアカウントを攻撃するだけでなく、多くのユーザーが共通して使うパスワードのリストを作成して別のアカウントへの攻撃にも使用しているという。

Microsoftは多くのユーザーに共通するパスワードのリストを元に、設定を禁止するパスワードを選択しているそうだ。また、Microsoftのアカウントに対する攻撃は1日1,000万件を超えており、ログイン試行に使われたパスワードのリストを使って設定を禁止するパスワードを動的に更新しているとのこと。

こういった措置はすでにMicrosoftアカウントに適用されている。Azure ADでは現在プライベートプレビューの段階だが、今後数か月の間にすべてのAzure ADテナントへロールアウトしていく計画とのことだ。

なお、Ars Technicaの調査によると、ありがちなパスワードの中にも「Pa$$w0rd1」のように設定可能なものがあるようだ。
12790452 story
情報漏洩

フェチ・愛好家向けサイトから10万件以上の個人情報が流出 41

ストーリー by hylom
皆様はこういった問題に対し対策を取っているでしょうか 部門より

「仕事中は検索を決してオススメしない」という会員制サイト「The Rosebutt Board」から、10万件以上の個人情報が流出したそうだ(GIGAZINE)。

流出したのはユーザー名およびメールアドレス、アクセス元IPアドレスなど。流出した個人情報を検索できる「';--have i been pwned?」というサイトが、同サイトの「anal fisting」フォーラムに関連する10万7000アカウントの情報が流出したと伝えたことから発覚したようだ。

12784746 story
情報漏洩

メールで「爆破予告」を送った男性、送信元に自分の名前が入っていたためその日のうちに逮捕される 59

ストーリー by hylom
それは本気で言っているのか案件 部門より

5月14日、埼玉県蕨市の地域活動支援施設に対し蕨駅の爆破予告メールを送った男性が威力業務妨害容疑で逮捕された(産経新聞)。

このメールの送信元には容疑者自身の氏名が入力されており、そこから容疑者が浮上したという(【ネタ倉庫】ライトニング・ストレージ)。

12774818 story
情報漏洩

ICIJ、「パナマ文書」および「オフショアリークス」内を検索できるデータベースを公開 98

ストーリー by hylom
調べてみよう 部門より
あるAnonymous Coward 曰く、

租税回避地として知られるパナマで法人登記などを手がける事務所から大量に流出した、通称「パナマ文書」を調べているICIJ(The International Consortium of Investigative Journalists、国際調査報道ジャーナリスト連合)が、パナマ文書およびそれ以前に流出していた通称「オフショアリークス」内を検索できるデータベース「Offshore Leaks Database」を公開した。約32万のオフショア企業などを検索できるという(産経新聞毎日新聞)。

国別での検索が可能で、検索ワードを指定せずに「Japan」を選択して検索を行えば日本の関係企業・個人が表示される。なお、表示される情報はその名称や登記を行った日付、関連する個人や企業といったものに限られる。

12763115 story
プライバシ

居酒屋チェーンの運営会社、車上荒らしでマイナンバーを含む個人情報流出 29

ストーリー by hylom
下手に火消ししようとすると爆発する例 部門より
あるAnonymous Coward 曰く、

居酒屋チェーン「鳥貴族」のフランチャイズ店を運営する「ダンク」の担当者が大阪市で車上荒らしに遭い、アルバイトを含む従業員およそ400人の個人情報が含まれた書類(扶養控除申請書)が盗まれたそうだ(FNNニュース)。また、同社はこのことを一般には公開せずにしようとしていたという。

ニュースではアルバイト男性と担当者のやり取りの内容までも報じられており、「1000円分のクオカード」がおわびとして渡されたことも明らかになっている。マイナンバーだけでなく、扶養控除申請書もかなりセンシティブな情報が掲載されている可能性があり単純に情報漏洩問題としてもひどい話である。

12751398 story
情報漏洩

アクセサリー通販サイトから個人情報流出、クレジットカードのセキュリティコードも流出した可能性 25

ストーリー by hylom
なぜセキュリティコードを保存するのか 部門より

アクセサリーのネット販売を行っているサイト「THE KISS ONLINE SHOP」が不正アクセスを受けた。これにより、最大で20万人の顧客情報が流出した可能性があるという(NHK運営会社によるお知らせとお詫び)。

流出した可能性があるのは、2016年1月16日から2016年3月2日までに同サイトでクレジットカード決済を利用した顧客537件の氏名およびクレジットカード番号、有効期限、セキュリティコードと、会員登録された顧客情報最大199,709件(ユーザーIDおよび暗号化されたパスワード、氏名、住所、電話番号、メールアドレス等の登録情報)。

2月10日に不正アクセスの痕跡が確認されたため調査を行ったとのこと。さらに2月24日に不正アクセスの犯人と見られる者から顧客情報を盗んだ旨が記された英語のメールが届いたという。

12748340 story
情報漏洩

「パナマ文書」はWordPressプラグインの脆弱性が原因で流出した? 67

ストーリー by hylom
まさかWebサーバー上にそんな重要なデータを置いておくとは 部門より

パナマの法律事務所から企業によるマネーロンダリングや租税回避に関する大量の文書が流出した、通称「パナマ文書」事件が話題だが、この文書の流出はWordPressのプラグインに存在した脆弱性によるものだったという話があるという(ASCII.jp)。

問題のプラグインは、Slider Revolutionというもの。このプラグインの古いバージョンにはリモートからシェルを操作できる脆弱性があるそうで、パナマ文書の流出元であるモサク・フォンセカ法律事務所のWebサイトではこの古いバージョンのSlider Revolutionが使われていたという。

12743442 story
情報漏洩

パナマの法律事務所から企業によるマネーロンダリングや租税回避に関する大量の文書が流出 61

ストーリー by hylom
世界が震撼 部門より
あるAnonymous Coward 曰く、

パナマのMossack Fonseca法律事務所から、企業によるマネーロンダリングや租税回避などに関する大量の文書が流出したという(TechCrunchAFPロイター)。

法律事務所側はサーバー攻撃による流出と主張、パナマ検察当局が捜査に乗り出すと発表したことも伝えられている(AFPCNET Japan)。

12735956 story
情報漏洩

ベネッセ個人情報流出事件、被告の元SEに懲役3年6か月の実刑判決 19

ストーリー by hylom
控訴するのか 部門より
あるAnonymous Coward 曰く、

一昨年に起きたベネッセからの個人情報流出事件について、東京地裁は29日、情報を持ち出した元システムエンジニアの男性に不正競争防止法違反(営業秘密の複製、開示)による懲役3年6か月、罰金300万円の実刑判決を下した(読売新聞TBSウォール・ストリート・ジャーナル)。弁護側は即日控訴した。

ベネッセから一千万件にも上る大量の個人情報が流出したこの事件では、当時顧客DBの保守管理を行っていた30代の派遣SEが情報を持ち出したとして逮捕されていた(逮捕時の記事)。弁護側は持ち出しは認めつつもコピーされた情報は営業秘密に当たらないとして無罪を主張したものの、会社側が情報へアクセスできる人員を限定するなど機密保持を行っていたことを根拠に営業秘密に当たると判断された。

被告は持ち出した個人情報を名簿業者に売却、競艇などに散財していたとみられており、判決では厳しく非難されている。この事件では、ベネッセは対策費として200億円を計上するなど、経営に甚大な影響を受けた。

12722118 story
プライバシ

マイナンバー通知カードの紛失や番号流出などが相次ぐ 51

ストーリー by hylom
想定内 部門より
あるAnonymous Coward 曰く、

1月より運用が開始されたマイナンバーだが、勤務先が集めた社員のマイナンバー通知カードを紛失したり、番号が流出するケースが確認されているという(朝日新聞)。

ニュースになっているものとしては、横浜市立新吉田小学校の職員が教職員38名とその家族16人のマイナンバーが書かれた書類を紛失した件や、鹿児島県ではマイナンバーカードの紛失届が2月19日時点で418件あったという話などがあるようだ。そのため、個人情報保護委員会などが厳重な管理を呼びかけているという。

12685641 story
情報漏洩

堺市、情報漏洩対策としてUSBポートをふさぐ 104

ストーリー by hylom
手軽な対策としては良いのでは 部門より
あるAnonymous Coward 曰く、

昨年堺市で不正に持ち出された有権者情報がネット上に流出する事件が発生したが(過去記事)、同市は対策として住民情報を扱う部署のPCのUSBポートをふさぐという対策を行ったそうだ(朝日新聞)。

情報流出事件では情報を扱うPCにUSB外付けハードディスクを接続して持ち出したことが確認されているが、このような行為を防ぐためにUSBポート自体を利用不能にしたとのこと。USBポートを物理的にふさぐ製品は市販されているが(サンワサプライの製品エレコムの製品など)、堺市で採用されたのは専用の鍵がないと外せないタイプとのこと。約1000台に対し導入され、また別の約600台にはUSBポートの使用を禁止するソフトウェアを導入したという。

12682773 story
情報漏洩

ECサイト「こまもの本舗」に不正アクセス、セキュリティコードを含むカード情報などが漏洩 28

ストーリー by hylom
持っていたらダメなやつ 部門より

ECサイト「こまもの本舗」が不正アクセスを受け、個人情報の流出が発生した(こまもの本舗運営の発表)。流出した情報にはクレジットカード番号やセキュリティコードも含まれるという。

同サイトで2010年4月から10月および2015年8月から12月の間に注文を行った利用者、計6532件の情報が漏洩した可能性があるという。流出した情報にはカード名義人名、カード番号、有効期限、セキュリティコード、メールアドレスが含まれるとのこと。流出の可能性がある顧客には封書で連絡を行っている。同社はこまもの本舗以外にも楽天市場やYahoo!ショッピングにも出店しているが、これら他社運営ショッピングモールは対象外。

漏洩はクレジットカード決済代行会社からの連絡で発覚したとのこと。インターネット上からデータベースを不正に操作する攻撃を受けたとのことで、ウイルス等による情報漏洩ではないという。

12652222 story
情報漏洩

北海道大学、学生の個人情報約など11万件が流出したおそれがあると発表 10

ストーリー by hylom
どこが狙われるかもう分からない 部門より
shibuya 曰く、

北海道大学の学内サーバーがサイバー攻撃を受け、不特定多数の外部サーバーと通信が行われていたことが明らかになった。このサーバーは学生の就職支援などを行うキャリアセンターで使われていたもので、学生および卒業生、企業の担当者などの情報合計11万件の個人情報が保管されていたという(NHK北海道大学の発表)。

このサーバーから外部に向けて約500件のメールが勝手に送信されていたとのことで、現在個人情報が流出していないかの調査が行われているとのこと。

12643143 story
情報漏洩

一部の教育機関ではネット接続された複合機等で不適切な設定によりデータ丸見え 52

ストーリー by hylom
まだまだよくある話 部門より
あるAnonymous Coward 曰く、

ネット接続された複合機やプリンターの安全設定が行われていないため、中のデータが見えていた教育機関が多数あったそうだ(朝日新聞の記事1記事2)。朝日新聞の取材を受けて各学校は対象機器のネット接続を遮断した。

ネット接続された印刷機器はPCに次いで情報が蓄積されているが、PCに比べて安全対策が甘い傾向にある。大手企業や有名大学では比較的対策が取られているものの、中小企業や自営業、中堅や地方の大学、高校以下の学校では比較的対策が遅れていると言われている。大学では、専門部署が一律に対策を取るのではなく、研究者の裁量に任されているところもあるため、対策に温度差があるところも多い。他大学の不祥事を受けて対策を取ったものの、機器入れ替え時に設定が行われなかった事例もある。皆様の職場や学校ではきちんと設定されているだろうか。

12638694 story
情報漏洩

米国の有権者約1億9,100万人分の情報を含むデータベースが公開状態になっていた 52

ストーリー by headless
全員 部門より
米国の有権者約1億9,100万人分の情報を含むデータベースが閲覧用パスワードなども設定されないまま、インターネット上で公開状態になっていたそうだ。誰がデータベースを設置したのかもわかっていないとのこと(DataBreaches.netの記事CSO Online - Salted Hashの記事The Registerの記事BetaNewsの記事)。

このデータベースには有権者のフルネームや性別、住所、生年月日、電話番号、支持政党、人種といった有権者登録時に記入する情報(PDF)に加え、2000年以降の投票履歴や投票の予測スコアも含まれるという。ただし、社会保障番号や運転免許証番号などは含まれていない。有権者データは基本的に公開されているが、用途や提供先などに制限が設けられている州もあり、こういった州の有権者データも含むデータベースはインターネット上での公開が可能なものではないとのこと。

データベースを発見したのは、先日サンリオタウンのユーザーアカウント情報が公開状態になっていることを発見したセキュリティ研究者のChris Vickery氏。確認のために自分のレコードを取り出したVickery氏は、自分を特定可能な詳細な情報が含まれていたのを見て強いショックを受けたという。

予測スコアの情報が含まれるところから、Vickery氏やDataBreaches.net、Salted Hashは、こういった情報を提供する政治関連のコンサルティング会社に問い合わせを行っているが、データベースの作成者や設置者は見つかっていない。また、Vickery氏とDataBreaches.netのDissent氏は司法当局にも通報しており、現在データベースはオフラインになっているとのことだ。

なお、データの形式や有権者に割り当てられているIDから、公開状態になっていたのはNationBuilderのデータを元に作られたデータベースとみられている。ただし、NationBuilderでは同社が提供したデータが含まれている可能性が高いものの、データベース自体は同社のものではないとの声明を発表している。
typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...