パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

13408672 story
情報漏洩

信用情報会社Equifaxが個人情報漏洩、インサイダー疑惑もあり米政府が調査に乗り出す 4

ストーリー by hylom
これはひどい 部門より
あるAnonymous Coward曰く、

クレジットカードなどの信用情報を扱う米大手消費者信用情報会社Equifaxが不正アクセスによって個人情報を漏洩させたことが報じられている。流出したのは氏名や住所、生年月日のほか、社会保障番号や免許証番号、クレジットカード番号なども含まれているという。(ITmedia)。

これだけならまだ昨今ではよくある話なのだが、漏洩を知った同社役員らがメディアで報じられる前に同社の株式を売却していたことも発覚、批判されている(TechCrunchTHE HELL米エネルギー・商業委員会米下院金融サービス委員会Slashdot)。

また、利用規約には集団訴訟の権利を放棄するという条項が含まれており、こうしたことから政府からも批判を受けているとのこと。Tammy Baldwin上院議員は「Equifaxはこの重大な違反数週間にわたって被害者に伝えなかった」と発言している。また、米エネルギー・商業委員会が書簡で問い合わせを行い、米下院金融サービス委員会は聴聞会を開催すると発表、Equifaxにデータセキュリティ違反がなかったか調べる方針だそうだ。

13398062 story
情報漏洩

WikiLeaksのWebサイト、DNSポイズニングでOurMineのメッセージが表示される 16

ストーリー by headless
簡易 部門より
8月31日、WikiLeaksのWebサイト「wikileaks.org」にアクセスすると、OurMineがハックしたなどという内容のメッセージが一時的に表示される状態となっていたそうだ(The Hack Postの記事V3の記事The Vergeの記事The Guardianの記事)。

ただし、WikiLeaksのサーバーが侵入を受けてページが改変されたわけではなく、DNSポイズニングにより別のページが表示されていたようだ。攻撃者は「wikileaks.org」ドメインを登録しているレジストラをだますなどしてネームサーバー情報を変更したとみられる。その後、メッセージが表示されていたIPアドレスは、ホスティング会社によりオフラインとなっている。

この件について、ジュリアン・アサンジ氏WikiLeaksの公式Twitterアカウントではサーバーが侵入を受けたわけではないとツイートしているが、OurMine側から特に声明などは出ていないようだ。
13397712 story
Android

Essential、フィッシングメールのような通知を顧客に送り、さらに返信内容を他の顧客へ転送するトラブル 2

ストーリー by headless
転送 部門より
初の製品Essential Phone(Essential PH-1)の発送をようやく開始したEssential Productsだが、一部の顧客の個人情報を他の顧客と共有してしまうトラブルが発生し、CEOのアンディ・ルービン氏が謝罪している(Essentialのブログ記事The Vergeの記事[1][2])。

発端はEssential Products Customer Careから一部の注文者に対し、本人確認資料を返信するよう求める電子メールが送られたことだ。内容は支払い情報の不正利用を避けるためとして代替の電子メールアドレスと電話番号、写真入り身分証明書の画像を送るよう求めるもので、フィッシングメールではないかと騒ぎになった。

その後、本当にEssential Productsから送られたものと確認されたが、顧客の返信内容が他の顧客あてにEssentialのZendeskアカウントからCCで転送されていることが判明する。原因はZendeskアカウントの設定ミスでグループメールに設定されていたものとみられ、Customer Careあての電子メールが登録アドレスに転送されていたようだ。

Essentialでは問題のアカウントを無効化したうえで、今後同様のことが発生しないように対策を行ったという。影響を受けた約70人の顧客にはLifeLockの個人情報保護サービスを1年間提供するとのことだ。
13391595 story
情報漏洩

米国で大量のアトランティックサーモンが太平洋側に流出 40

ストーリー by headless
流出 部門より
米国・ワシントン州のピュージェット湾内、サイプレス島付近で、養殖業者Cooke Aquacultureが所有する養殖施設から大量のアトランティックサーモンが流出し、太平洋側の在来種への影響が懸念されている(Cooke Aquacultureの発表WDFWのニュースリリースThe Guardianの記事CBC Newsの記事The Seattle Timesの記事)。

養殖場は30年ほど前から使われていたもので、昨年Cooke Aquacultureが購入したという。同社は事故の発生を19日にワシントン州魚類野生生物局(WDFW)に報告し、異例の高潮や潮流により養殖場の構造が破損したと発表している。ただし、米海洋大気庁(NOAA)は19日の潮流について、非常に速かったが特別速かったわけではないと述べており、既に7月下旬には問題が発生していたとも報じられている。

養殖場に囲われていたアトランティックサーモンは305,000匹で、うち4,000~5,000匹が流出したとみられるが、実際の流出数は潮の状態が改善後に養殖場内に残っている数を確認する必要がある。個体は4kg前後であり、食用可能。既にキングサーモンなどパシフィックサーモンの漁で捕獲されているという。WDFWではアトランティックサーモンを侵略的外来種に指定しているが、流出による影響がどの程度のものかはわかっていないようだ。

WDFWは流出したアトランティックサーモンが釣り人により回収されることを期待しており、捕獲したアトランティックサーモンの数を報告するよう釣り人に求めている。漁獲可能なアトランティックサーモンの大きさや数に制限は設けられていないが、パシフィックサーモンやトラウトの漁が許可されている区域に限定し、パシフィックサーモンまたはトラウトの漁獲高が1日の制限に達したら漁を終了するようにとのことだ。
13376450 story
情報漏洩

関西経済同友会、「個人情報保護法特区」の設置を求める 35

ストーリー by hylom
何を言っているのか分かっているのだろうか 部門より
あるAnonymous Coward曰く、

関西経済同友会が、「個人情報保護法特区」を求める提言を行っている(産経新聞)。

万博やカジノの候補地となっている大阪市此花区の夢洲を特区とし、個人情報保護法での規制を緩和することを求めるという。訪問客の行動履歴や健康データなどを活用する狙いだそうだ。

しかし、個人情報保護法はプライバシーを守るためのものなわけで、それを特区では解除するというのはさすがに無理があるのではないだろうか?

13356392 story
IBM

スウェーデンで大規模な情報漏えい事故、IBMの下請けがデータを漏らす 23

ストーリー by hylom
多重下請けは日本だけの問題ではなかった 部門より

スウェーデン政府の情報システムに記録されていた同国民の個人情報が大量に流出する事故が発生していたとのこと(AFPIndependentFinancial Times)。

この情報漏洩事故は2015年に発生していたが、発覚したのは先週だという。流出したのはスウェーデン政府および警察のデータベースで、運転免許に関するデータに加え、軍人の個人情報、有事の際の対応計画なども含まれていた可能性があるという。影響はほぼすべての国民におよぶとされている。

このシステムはIBMスウェーデンが落札し、同社がチェコやルーマニアの企業に業務を外注していたという。その際の設定に不備があり、これらデータに誰もがほぼ無制限にアクセスできる状況になっていたという。システムを迅速に構築するため、いくつかの法律や内部手続きが省略されていたことが流出事故の引き金になった可能性もあるようだ。

13337004 story
アメリカ合衆国

トランプ大統領の長男、自らロシア政府との関係を示す文書を公開 28

ストーリー by hylom
マスコミに報道される前に自ら発表 部門より
あるAnonymous Coward 曰く、

大統領選の際にロシア政府から不適切な支援を受けていた可能性があるとして問題になっているトランプ大統領だが、その長男であるドナルド・トランプ・ジュニア氏がTwitterで自らロシア政府とのつながりをうかがわせる文書を公開した(BBCロイターハフィントンポスト)。

公開されたのはトランプ・ジュニア氏と、活動家とされるロブ・ゴールドストーン氏との間で交わされたメール。メールではロシア政府がトランプ候補(当時)を応援する意思があることや、「ハイレベルでデリケートな情報」を提供すること、「ロシア政府の弁護士」との会合を調整することなどが書かれている。これに対しトランプ・ジュニア氏は「話が本当なら素晴らしい」と返信している。 また、トランプ・ジュニア氏だけでなくほかのトランプ陣営の重要人物にもこのメールは送られており、彼らがこのことを知っていただろうことも示唆されている。

13336962 story
情報漏洩

高専が導入しているOffice 365、個人情報を含むファイルが全ユーザーから閲覧できる状態になっていた? 42

ストーリー by hylom
原因は分かるがどうしてこうなった 部門より
あるAnonymous Coward 曰く、

全国の高等専門学校(高専)ではMicrosoftのクラウドサービス「Office 365」が導入されているのだが、これによって利用できるファイル共有サービスで、アップロードされていた全国の高専の各種ファイルや学生の情報がシステムにアクセスできる全ユーザーからアクセスできる情報になっていたことが判明した(TogetterまとめITmedia)。

アクセス権限の設定が適切に行われていなかったのが原因と思われる。この問題を見つけた高専生がSNS(Twitter)にこのことを投稿したことで発覚し、システムが一時停止する事態になったという。

13328462 story
レッドハット

LinuxをターゲットにしたCIAのマルウェア「OutlawCountry」 19

ストーリー by hylom
原理は分かるがインストールされるのは簡単ではなさそうだ 部門より
headless曰く、

WikiLeaksは6月29日、米中央情報局(CIA)が作成したLinuxを狙うマルウェア「OutlawCountry」のドキュメントをVault 7プロジェクトで公開した(Vault 7 — OutlawCountryBetaNewsSoftpedia)。

OutlawCountryはLinux 2.6系向けのカーネルモジュールで、ターゲットマシンに秘密のDNATルールを追加し、ネットワークトラフィックをCIAの管理下にあるマシンへリダイレクトするというもの。モジュールが読み込まれるとnetfilterテーブルが作成され、既存のルールに優先する新たなルールをiptablesコマンドで追加できる。ルールを確認できるのはテーブル名を知っている管理者のみで、モジュールをアンインストールするとテーブルも削除される。

互換性のあるターゲットはCentOS/RHEL 6.x(カーネルバージョン2.6.32)で、netfiliterルール「nat」が必要だ。インストールにはルート権限でのシェルアクセスが必要となるため、実際のインストールには別途CIAのエクスプロイトなどを使用するものとみられる。

13319960 story
Windows

Windows 10のソースコードが流出、そのサイズは? 35

ストーリー by headless
証拠 部門より
Windows 10の未公開ビルドやツール、コア部分のソースコードがオンラインに流出したとThe RegisterのChris Williams氏が主張している(The Registerの記事The RegisiterのツイートThe Vergeの記事Ars Technicaの記事BetaArchiveの声明)。

この件について osdn 曰く、

流出していたのは Shared Source Kit で、ごく一部の開発者にライセンスされているものです。ドライバなど低レベル(つまり高位な権限)で動作する部分のコードも含まれるため、一般には参照できません。データがアップロードされていた BetaArchive からは既に削除されていますが、内部のコードがあればゼロデイ攻撃などが容易になりかねません。実際に2004年の流出脆弱性の発見に繋がりました。

Williams氏は流出したデータが合計32TBにおよび、圧縮後のサイズが8TBだと述べている。ただし、証拠として示されているのはBetaArchiveのフォーラム掲載されたリストのスクリーンショットのみだ。サイズの根拠も示されていないが、数字から見て3月24日にBetaArchiveで大量に公開されたWindows 10/Server 2016のベータビルドのことだと思われる。フォーラムでリストアップされているビルドの3分の2弱が未公開ビルドのようだが、あとはWindows Insider 10 Previewとして提供されたビルドだ。アップロード者は数多くのWindows InsiderビルドをMicrosoftから直接ダウンロードしたと述べている。未公開とみられるビルドは既に試用期限の切れた古いものが多く、Redstone 2(Creators Update)ビルドはすべてInsider Previewで提供されたビルドとなっている。

ソースコードが含まれるというShared Source Kitだが、Williams氏は実際に内容を確認していないとみられ、内容の説明も伝聞となっている。Williams氏への情報提供者についても、BetaArchiveで公開されていたファイルの内容を説明したのか、Shared Source Kit一般の話をしたのかは不明だ。なお、MicrosoftはShared Source Initiativeで提供しているソースコードの一部が含まれることを確認したと述べているそうだ。

一方、BetaArchiveではShared Source Kitフォルダーに含まれていたファイルは各100MBのリリースが12件、合計1.2GBであり、コアソースコードとしては小さすぎると述べている。また、3月24日付で大量に公開された未公開ビルドなどはフォーラムメンバーやWindows Insider Programメンバー、Microsoft Connectメンバーなどさまざまなソースから提供を受けたものだという。これらのファイルは公開しても問題ないと考えているが、Microsoftから要請があれば公開を中止するとも述べている。Shared Source Kitについては自主的に削除したもので、Microsoftから削除要請があったわけではないとのことだ。

13318727 story
インターネット

メルカリ、Webブラウザ向けサービスで54,180名の個人情報を流出 62

ストーリー by hylom
笑えないキャッシュ問題 部門より
ymasa 曰く、

メルカリのWebブラウザ向けサービスで、CDN(コンテンツデリバリネットワーク)サービス切り替えの際の設定不備によって54,180名の個人情報が流出したことをメルカリが発表した(INTERNET Watch)。

iOS/Androidアプリ版のメルカリは対象外という。流出したのは名前・住所・メールアドレス・電話番号、銀行口座、クレジットカードの下4桁や履歴・設定情報など。6月22日9時14分にWeb版メルカリのパフォーマンス改善のためキャッシュサーバーに切り替えを行ったとき、個人情報が他者から閲覧できる状態になっていたという。

時系列としては14時41分の発覚後15時5分に従来の設定に変更、15時16分メンテナンス状態にして15時36分キャッシュサーバーへのアクセスを遮断・問題解消。15時47分にメンテナンスモード終了、となっている。現在は対応を完了しているという。

また、問題の技術的な詳細も公開されている。これによると、メルカリでは個人情報などを扱うページについても、キャッシュを保持しない設定でCDN経由でのアクセスを行う仕様にしていたという。しかし、CDNの切り替えの際、切り替え前のCDNと切り替え後のCDNの仕様が異なっていたため、「キャッシュを保持しない設定」が無効になり、個人情報に関するページがキャッシュされ、本来表示されるべきではない人に対しそれが表示されてしまったという。

13315166 story
情報漏洩

Androidアプリの7割以上がなんらかの形でプライバシに関わる情報を送信している 57

ストーリー by hylom
塵も積もれば 部門より

研究者らが5000以上のAndroidアプリを対象に調査を行ったところ、その7割以上が第三者にプライバシに関わる情報を提供していたという(Forbes JAPANThe Conversation)。また、15%に当たる750のアプリが5つ以上の第三者にデータを送信しており、また25%のアプリが異なるデバイスをまたいで利用履歴を収集していたという。

これは、スマートフォンのプライバシについて研究するThe Haystack Projectによって明かされたもの。同プロジェクトは「Lumen Privacy Monitor」というAndroidスマートフォン向けのトラフィック分析アプリを公開しており、これを使ってアプリが送信するデータを調べている(昨年公開された論文)。

現在では、多くのサードパーティが分析や広告表示のためのライブラリを提供しており、アプリ開発者はこのライブラリを利用することで簡単にユーザーの情報を収集できるという。これら情報は多くの場合そのライブラリ提供者のサーバーに送信されるため、これらに多くのプライバシに関する情報がユーザーの自覚無しに送られている可能性があることが問題視されている。

13310754 story
情報漏洩

奈良市、BCCとTOを間違えて507人分のメールアドレス流出 61

ストーリー by hylom
2017年にもなってまだこういうトラブルが 部門より
あるAnonymous Coward 曰く、

奈良市がメールを送る際に「Bcc:」と「To:」を間違え、ほかの登録者のメールアドレスが見えてしまうというトラブルが発生したとのこと(産経新聞)。

問題が発生したのは、同市が実施している健康キャンペーンの参加者に対して送信されたメール。事業に参加していた同課の職員の指摘で発覚した。これにより、メールの受信者が登録者507人の氏名やメールアドレスを確認でき状態になっていたという。その後、削除を要請するおわびのメールを送信したそうだ。

13302873 story
情報漏洩

Struts 2を使用していた国交省サイトから情報流出、対策は2017年度予算待ち 38

ストーリー by hylom
これがお役所仕事か 部門より
あるAnonymous Coward曰く、

国土交通省は6月6日、Apache Struts 2の脆弱性により、同省の「土地総合情報システム」サイトからアンケートや登記情報など最大約20万件の情報が流出した恐れがあることを明らかにした(プレスリリース時事通信ITpro)。

Struts 2の脆弱性を利用した攻撃は3月上旬より相次いでおり、国交省も同月には運営委託業者の調査により同サイトがStruts 2を利用していることを認識していたという。しかし、肝心の脆弱性対策は2017年度予算での機能追加と合わせて行うものとされてしまい、5月の契約後にシステム改修が着手されたものの、既に悪意のあるプログラムが仕込まれていたことが判明、というお粗末な結果となった。

漏洩に対して同省の担当者は「もっと早く手を打てばよかった」と話しているという事だが、ネット社会において余りにも遅すぎる対応と言わざる得ないだろう。ただ、登記情報は公開もされており、アンケートも4月6日以前の分はサーバーから取り除かれていたということで、被害が限定されたのだけは救いである。

13294693 story
アメリカ合衆国

英爆弾テロ事件の情報が米当局から情報漏洩。英警察、米当局との情報交換を停止へ 21

ストーリー by hylom
これじゃ検閲も無意味ですね 部門より
あるAnonymous Coward曰く、

英マンチェスターの爆弾テロ事件で、現場で回収された証拠品(爆発物の現場写真)のものとされる写真が24日、米紙ニューヨーク・タイムズに掲載された。これに対し英政府が捜査を困難にするとして激怒しているという。さらに、実行犯とされるサルマン・アベディ容疑者(22)の名前が、攻撃の数時間後に米メディアにリークされたことも明らかになった。

英政府はこうした情報を米当局が情報をリークしたとみており、英警察は、米当局との情報交換を停止したという。メイ首相は25日、「英米の情報共有関係は厳重でなければならない」と話し、同日開催のNATO首脳会議でトランプ米大統領に再発防止を強く申し入れた。

この問題に関してトランプ大統領は声明を出した。「政府機関から漏れた疑いが高い。この問題を徹底的に再調査するよう、司法省や他の関連機関に要請しており、適切なら犯人を法の許す限り最大限の範囲で訴追すべきだ」と述べている(BBC日経新聞TPMロイターSlashdot)。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...