パスワードを忘れた? アカウント作成
17453127 story
iPhone

iPhone全モデルと2020年以降のMacからパスワード等を盗み出す方法が発見される 52

ストーリー by nagazou
発見 部門より
iPhone全モデルと2020年以降のMacを対象とした「iLeakage」と呼ばれるサイドチャネル攻撃の手法が、ジョージア工科大学の研究チームによって発見された。iLeakageは、CPU性能の向上を図る「投機的実行」を悪用する攻撃で、攻撃手順は、ウェブサイトに悪意あるコードを組み込み、ウェブサイトにアクセスしたユーザーの行動を追跡して情報を盗み取るというもの(iLeakageHelp Net SecurityGIGAZINE)。

この攻撃手法を悪用するウェブサイトにアクセスすると、ウェブサービスのパスワードやメール情報などが盗まれる可能性がある。研究チームは2022年9月12日にiLeakageの存在をAppleに報告ずみとしているが、具体的な対策はおこなわれていないようだ。緩和策としてはロックダウンモードに切り替えるか、ブラウザーでJavaScriptを無効にするなどの手段があるが、いずれも運用上の制限が発生する。

hinatan 曰く、

iPhone向けには対応策がないようです。

17453096 story
バグ

iOS版『TVer』にバグ、ユーザーの意思に反してデータを外部提供 13

ストーリー by nagazou
提供というか流出というか 部門より
「TVer」のiOSアプリにおいて不具合が発生し、ユーザーデータが意図せず外部の企業に提供される事案が発覚した。この問題は、4月3日以降のiOSアプリバージョンにおいて、プライバシーポリシーの再同意を行うと、データ管理のオプトアウト設定が誤って書き換えられるバグが含まれていたことから発生したという。TVer側はこれを「アプリ開発上の人的ミス」と説明しているとのこと(10/26報告のアプリ不具合についてケータイ Watch)。

その結果、オプトアウトしていたにもかかわらず、TVerが「コンテンツ提供パートナー」「調査パートナー」「広告配信事業者」と定義する放送局や広告会社、調査会社、広告配信事業を行う事業者などに対して、生年月、郵便番号、性別などのデータが提供されてしまったという。約45万のiOS端末が影響を受け、そのうち約8.9万のTVerユーザーのデータが外部に提供されたとしている。現在は、不具合が発生する前のオプトアウト状態に戻されているとしている。

不適切に提供されたデータの項目には、端末識別子、視聴エピソード識別子、視聴時間、デバイス種別情報、撹拌された端末識別子、広告視聴時間、生年月、郵便番号、性別、興味関心が含まれる。
17451947 story
アナウンス

BM社 不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ 24

ストーリー by nagazou
問い合わせの多い会社なのに 部門より
ビッグモーターは10月30日、自社Webサイトが不正アクセスを受け、問い合わせフォームに登録された顧客の個人情報が漏えいした可能性があると発表した。2016年11月から23年8月までに同社の問い合わせフォームを利用した人の住所、氏名、電話番号、メールアドレスなどの情報が漏えいした可能性がある。クレジットカード情報やマイナンバー情報は含まれていない。個人情報保護委員会と警察に報告ずみとしている(ビッグモーターリリースITmedia)。

あるAnonymous Coward 曰く、

ああいったガバメントの会社が、まともに情報セキュリティーにリソースを投ずる訳は無いので、クラッカーの目の付け所が良かったと評すべきなのだろう。

17447115 story
情報漏洩

セイコーグループ、7月に発生したランサムウェア被害で6万人の個人情報流出を確認 14

ストーリー by headless
確認 部門より
セイコーグループは 10 月 25 日、7 月に発生したランサムウェア被害に関する第 3 報を公表した (重要なお知らせThe Register の記事)。

同社サーバーへの一部に対する第三者の不正アクセスが確認されたのは 7 月 28 日。8 月 2 日に外部専門機関に調査を依頼した結果、サーバーから同社及びグループ会社の情報が流出した可能性が判明した。その後の調査で不正アクセスがランサムウェア攻撃であり、同社グループ会社の従業員や関係者に関する一部の情報が漏洩したことが確認されていた。

今回の発表によれば、顧客の情報を含む約 60,000 件の個人データが外部に流出したことが確認されたという。

漏洩が確認された個人データは以下の通り。
  • セイコーウォッチ株式会社の顧客の連絡先 (クレジットカード情報は含まれない)
  • 同社とセイコーウォッチ株式会社およびセイコーインスツル株式会社の取引先担当者の連絡先等
  • 同社とセイコーウォッチ株式会社の採用応募者の連絡先や学歴等
  • 同社及びグループ会社の従業員および退職者の人事情報や連絡先等

同社は今後、不正アクセス被害の全容解明を行うとともに、セキュリティ強化等、再発防止に向けた取り組みを進めるとのことだ。

17429245 story
情報漏洩

カシオのICT教育アプリClasspad.net開発環境に不正アクセス、セキュリティ機能解除が原因か 8

ストーリー by headless
解除 部門より
カシオ計算機は 18 日、同社の ICT 教育アプリ「Classpad.net」のシステムが不正アクセスを受け、国内外の一部の登録ユーザーの個人情報が外部に漏洩したことを明らかにした (不正アクセスによる個人情報漏えいのお詫びとご報告質問と回答HackRead の記事Bleeping Computer の記事)。

不正アクセスを受けたのは開発環境のデータベース。10 月 11 日夕方に担当者が開発環境で作業しようとした際にデータベースの障害発生を確認し、翌 12 日夕方に個人情報漏洩を確認したという。開発環境ではネットワークセキュリティ設定の一部が解除状態になっていたことが確認されており、第三者が外部からアクセスできる状況にあったことが原因と考えられるとのこと。

不正アクセスの影響を受けたのは国内が個人と 1,108 教育機関の計 91,921 件、海外が 148 か国・地域の計 35,049 件。漏洩した個人情報は氏名・メールアドレス・国や地域・学校に関する情報・購買に関する情報・サービス利用履歴やニックネームなど。クレジットカード情報は保持していなかったという。漏洩の対象となったのは 2023 年 7 月 17 日以前に登録したユーザーで、ログインにメールアドレスを使用している場合は対象外となる。アプリ自体は不正アクセスを受けておらず、利用に関しては影響ないとのこと。

今後はセキュリティ強化施策を行うほか、セキュリティ運用ルール見直しやセキュリティ対策に関する教育を継続して行うとのことだ。
17399461 story
情報漏洩

Microsoft Outlookの「メッセージの取り消し機能」を誤使用しメールアドレスが再流出 56

ストーリー by nagazou
再再発防止 部門より
三重県の9月27日の発表によると、三重県立高校でメールを誤送信する問題が再発したという。最初の問題は、同校が9月19日に高校生活入門講座に参加登録した中学生421人に対してアンケートメールを送信。その際、BCCに記載するべきアドレスを宛先部分に誤って記載したことから、メールアドレスが漏洩。同校はこの問題を公表、謝罪していた。ところが同月26日に再び誤送信が発生しまったという(三重県リリースSecurity NEXT)。

2回目の誤送信の原因は、学校の教頭が「Microsoft Outlook」の「メッセージの取り消し機能」を誤って利用していたことにある。この機能は、同一ドメイン内で同じ「Microsoft Exchange」環境を使用している場合、一部の条件下でメールを削除できるものだが、外部宛のメールには適用されない。この際、19日付メールの送信先全員に「このメールを取り消します」という内容が自動的に送信される仕組みが発動したことで、再びメールアドレスが漏洩した。学校側は対象者に謝罪し、誤送信したメールの削除を依頼しているという。
17328220 story
プライバシ

情報が漏れた経緯を調査するため明石市庁舎内の盗聴器の有無調査へ 94

ストーリー by nagazou
見つかったらすごいことになるが 部門より
旧明石市立図書館の跡地利用に関する斎藤元彦知事と丸谷聡子市長の電話会話について、盗聴された疑惑が浮上しているという。会話内容を前市長の泉房穂氏がXでポストしたためだ。この問題について市は15日、情報漏洩の経緯を調査するため、庁舎内で盗聴器の有無を調べることを発表した(神戸新聞NEXT)。

市の説明によれば、丸谷市長は11日午後、庁舎内の応接室で斎藤知事からの電話を受け、受話器で会話をした。このとき部屋には高橋啓介政策局長のみがいたが、高橋局長は「知事との電話の件は話さなかった」と説明。丸谷市長も本会議で「泉氏とは話していない」と述べていた。

このため委員会は、2人でなければ盗聴器の可能性もあるとして、市は「業者を入れて盗聴器の有無を調査し、他に知り得た者がいるか聞き取り調査し、その結果を報告するとの方針を示しているという。
16741731 story
プライバシ

プライバシーマークの審査員が審査関連資料を漏洩 30

ストーリー by nagazou
eシール剥奪 部門より
日本情報経済社会推進協会(JIPDEC)は、プライバシーマークの審査員が、審査関連資料を漏洩したことを明らかにした。同協会に登録されたプライバシーマークの審査員1人が、同協会との契約に反して審査に関連する資料を自宅で保管。1事業者の審査関連資料が漏洩したことが判明したという。同協会では対象となる事業者に連絡、謝罪したとしている。詳細については外部協力のもと調査を進めているとのこと(JIPDECリリースSecurity NEXT)。
16719533 story
情報漏洩

中国軍が防衛省の機密ネットワークに侵入か。米政府が日本に連絡との報道 38

ストーリー by nagazou
侵入自体は否定していないなこれ 部門より
中国人民解放軍のハッカーが、日本の防衛省の高度に機密性のある情報を取り扱うコンピューターシステムに侵入したと、米ワシントン・ポストが7日に報じている。この報道によると、ハッキングは2020年秋に米国家安全保障局(NSA)によって察知され、その後日本政府に通報されていたのだという。日本側の対応が十分でなかったことから、2021年秋にも米国側が対策を促したなどとしている(時事ドットコム産経新聞)。

松野博一官房長官は8日の記者会見で、ワシントン・ポストの報道に関して、「サイバー攻撃により防衛省が保有する秘密情報が漏えいしたとの事実は確認されていない」とコメントした。浜田靖一防衛相も閣議後の記者会見で「サイバー攻撃によって任務の遂行に影響が生じる事態は生じていない」と強調している(時事ドットコム)。
16702981 story
情報漏洩

電話オペレーター経由で旅行契約した一部のクレジットカードで不正利用被害 9

ストーリー by nagazou
被害 部門より
JTBは20日、JTB旅物語中部販売センターで旅行商品を申し込み、電話でクレジットカード決済を行った一部顧客に対してクレジットカードの不正利用被害が発生したことが判明したと発表した。被害の対象となるのは、4月1日から7月3日にかけて、JTB旅物語中部販売センターへ電話で「JTB旅物語」の中部発商品を申し込み、電話口でオペレーターにクレジットカード情報を伝えて決済を行った一部顧客。不正利用が懸念される顧客には個別に連絡。被害を受けた顧客に対しては、書面により状況を報告するとともに、注意を呼びかけている。なお、ウェブサイト経由でクレジットカード決済した顧客は対象外としている(JTBリリースSecurity NEXT)。
16657851 story
情報漏洩

Minecraft用MODにウイルス感染、対策ツールを提供へ 14

ストーリー by nagazou
提供 部門より
あるAnonymous Coward 曰く、

Minecraft (マインクラフト / マイクラ)用MOD・プラグインにマルウェア・ウイルス感染されたものが配布されていた模様。6/7の時点で複数のコミュニティから報告があり(タレコミ子のフォローしていたminecraftmod作者からも報告があった)。マインクラフトMOD数十種類がマルウェア「Fractureiser」に感染していると判明。CurseForgeやCraftBukkit等MOD配布サイトのMODの中身が書き換えられ混入された(Prism LauncherGIGAZINE)。実際はこのgigazineのリストに載っていないものも感染があった。

約4日後、CurseForgeから続報があり、問題の対処とマルウェアの検出ツールを配布すると報告があった(CurseForge)。問題のMODリストはまだ更新中のため6月前後にMinecraft用MOD・プラグインをダウンロードした方はチェックすることを強く推奨する。以上、問題が収束に向かったのでタレコミ

# まさに呪われた鍛冶屋(これがいいたかっただけ)

タレコミにあるように、6月になってMinecraft用のMODがアップロードされたCurseForgeとBukkitに「Fractureiser」というウイルスが混入していることが判明したそうだ。CurseForgeは6月8日時点で感染したファイルを削除したが、感染したファイルは過去数週間から1か月程度の間に約6000回ダウンロードされたと見られている。この発表に伴い、CurseForgeはPCのウイルス感染をチェックする「Malware Detector」およびMOD/Jarファイルの感染をチェックする「Jar Malware Scanner」を公開しているとのこと(ニッチなPCゲーマーの環境構築Z[使い方説明など])。

16593072 story
ニュース

三井住友カード、圧着ハガキの表面にクレカ番号を誤印字し29万件郵送 29

ストーリー by nagazou
フィッシングに悪用されそうな事案 部門より
三井住友カードは16日、同社および提携しているクレジットカードの所有者に郵送したダイレクトメール(DM)に、誤ってクレジットカード番号を印字した状態で送付したと発表した。対象となるのは「AOYAMA VISAカード」「AOYAMA PiTaPaカード」 (VISA)「AOYAMA LiVE MAX VISAカード」「BLUE ROSE CARD」 (VISA)の4券種(三井住友カードリリースITmedia)。

DMはシーラーはがきタイプだったが、その表面宛先部にカード番号を印字してしまっていたそうだ。このDMは4月18日と4月20日に利用代金明細書のサービス内容の変更を告知するために発送されたもので、対象件数は29万771件に及ぶ。有効期限やセキュリティコードなどのカード番号以外の情報は記載していないとしている。
16589804 story
情報漏洩

トヨタ、約10年間約215万人分の車両情報が漏洩。クラウド設定ミスが原因 26

ストーリー by nagazou
漏洩 部門より
トヨタ自動車は12日、関連子会社のトヨタコネクティッド(TC)に管理を委託していた顧客データ約215万人分が漏洩した可能性があると発表した。TCのクラウド環境の誤設定により、一部のデータが10年近くネット上で公開状態になっていたとされる。漏れたとみられるのは2012〜23年に契約した顧客の車両番号や位置情報など。いずれも個人が特定できる内容ではないとし、現時点で悪用は確認されていないとしている(トヨタリリースロイター日経新聞朝日新聞)。

情報漏洩の対象となったのは、ネットで車の位置を把握したり、異常を検知したりするサービス「ティーコネクト」などを2012年1月~今年4月に契約した顧客。車載機(ナビ端末)ごとに割り振られた識別番号と車両一台ずつに割り当てられた識別番号が漏れていた。今年4月の点検で判明し、外部からのアクセスを遮断する処置を実施したとしている。
16582021 story
情報漏洩

Western Digitalのオンラインストア顧客情報を含むデータベース、不正アクセス者が取得 6

ストーリー by nagazou
漏洩 部門より
headless 曰く、

Western Digital は 5 日、3 月に確認されたネットワークセキュリティインシデントで不正アクセス者が顧客の個人情報を含むデータベースを取得していたことが判明したと発表した (プレスリリースNeowin の記事Ghacks の記事)。

このセキュリティインシデントは同社のシステム多数に権限のない第三者が不正アクセスしたというもので、3 月 26 日に確認され、4 月 2 日に公表されていた。当初は具体的な被害が確認されておらず、外部のセキュリティおよびフォレンジック専門家の協力により調査を進めていることや、念のため同社のシステムやサービスをオフラインにしたことなどの発表のみだった。My Cloud 製品の障害発生もこれに伴うものだったようだ。

不正に取得されたことが判明したのはオンラインストアの顧客情報を含むデータベースで、顧客の名前や請求先・送付先住所、電子メールアドレスや電話番号のほか、パスワードのソルト付きハッシュやクレジットカード番号の一部が暗号化された状態で含まれていたという。同社は影響を受けた顧客に個別連絡しているとのこと。

このほか、同社の情報とされるものが公開されている件については調査を進めており、同社のコンシューマー製品に関連するデジタル署名技術が不正に用いられる可能性については必要に応じて証明書を無効にすることが可能な状態であると説明している。

現在のところ日本向けサイトに本件の記載はないが、オンラインストアはダウンしている。英語版プレスリリースによれば、オンラインストアのアカウントアクセスは 5 月 15 日の週に復旧予定とのことだ。

16576314 story
情報漏洩

福井市、URLを推測し公開前の人事異動情報を閲覧した職員を戒告の懲戒処分 49

ストーリー by nagazou
あらら 部門より
福井市は28日、公開前の職員人事異動のファイルを不正に閲覧し、その閲覧方法を別の職員にも伝えたとして30歳代男性職員を戒告の懲戒処分にした。人事異動情報のファイルは職員専用の掲示板に保存されていたもので、ファイルは未公開の状態だったが、URLの一部を書き換えると閲覧できたという(読売新聞)。
typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...