パスワードを忘れた? アカウント作成

スラドのストーリを選ぶための補助をお願いします。

13771183 story
情報漏洩

米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記 2

ストーリー by headless
誤記 部門より
米連邦検事補のミスにより、米政府が既にジュリアン・アサンジ氏を刑事告発したのではないかとの憶測が広がっている(The Guardianの記事The Washington Postの記事The Registerの記事The Telegraphの記事)。

発端となったのは、連邦検事補が作成し、連邦検事の名前でバージニア西地区連邦地裁へ8月に提出されたアサンジ氏と無関係な事件に関する文書(PDF)だ。この文書は児童虐待事件に関するもので、被疑者のKokayi氏による証拠隠滅や逃亡などを防ぐため刑事告発状や宣誓供述書、逮捕状の秘匿を申し立てている。しかし、文書の「3」と「5」では唐突に「Assange」という人物を対象とした記述が出現する。

文書には「Assange」としか書かれていないが、事件の注目度が高い点や国外からの身柄引き渡しに言及していることから、ジュリアン・アサンジ氏について書かれているようだ。アサンジ氏が実際に刑事告発されているのか、刑事告発の準備が進められている段階なのかは不明だが、この連邦検事補はWikiLeaksの事件も担当しており、今回の文書は過去の秘匿申立書を元に作成されたものとみられる。

本来はこの文書自体も秘匿の対象だが、不明な理由で秘匿が解除され、存在が明るみに出ることとなった。バージニア西地区連邦検事局の報道官は、文書が誤って作成されたものであり、(アサンジ氏の名前は)この申し立てで意図した名前ではないと述べているとのこと。なお、この件と前後して、米司法省がアサンジ氏を米国の法廷に立たせるべく起訴する準備を進めている、とWSJが報じている
13769663 story
情報漏洩

TSUTAYAのアルバイト店員、Twitterに顧客の個人情報を暴露できると投稿。TSUTAYAが謝罪 80

ストーリー by hylom
まあバイト店員が身分証のコピーとか取ってますしねぇ 部門より
KAMUI曰く、

TSUTAYAが、アルバイト店員による「Twitter上での脅迫発言」について謝罪している(TSUTAYAによる謝罪文ニッカンスポーツJ-CASTニュース

件のアルバイトは原爆Tシャツなどが騒動になっていた韓国の防弾少年団(BTS)のファンだったらしく、店内で男性客がBTSに否定的な話をしていたのを聞いて「個人情報を取り扱う仕事上、名前から性癖まで暴露可能だ」とツイートしたという。これだけでも大概なのだが、他にも「大学を燃やす」や「大学の講師を殺す」といったツイートも行なっていた。しかも別のツイートでは地震のアルバイト先の店名を出していたそうで、まぁ何というか……頭悪いなぁとしか。

れはさて置き、先の謝罪文では「社員・アルバイトスタッフへの啓蒙教育を通じて、再発防止に努める」旨の内容になっているのだけど、そもそも「アルバイトが顧客の個人情報にフルアクセス可能」ならば、それはTSUTAYAの情報管理体制に問題ありと言えるんでないかぃ?

13748674 story
政治

在英エクアドル大使館がジュリアン・アサンジ氏に出した館内での行動に関する指令書(猫の世話含む) 13

ストーリー by headless
衛生 部門より
英国・ロンドンのエクアドル大使館が、長年保護しているジュリアン・アサンジ氏に対し、11日付で出したとされる大使館内での行動に関する指令書がリークしている(Código Vidrioの記事The Gateway Punditの記事The Guardianの記事The Vergeの記事)。

アサンジ氏は2010年にロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めてエクアドル大使館に入り、現在まで滞在を続けている。大使館の外では保釈中に逃亡したアサンジ氏を逮捕しようと英警察が待ち構えているため、アサンジ氏は大使館外に出ることはできないものの、大使館内では比較的自由に行動できていたようだ。しかし大使館は3月、アサンジ氏がエクアドルと他国の間で外交問題を引き起こすような政治的発言をしないという約束を破ったとして、アサンジ氏のインターネットアクセスをブロックする。また、訪問者をアサンジ氏の弁護団に限定し、警備会社の契約も打ち切ったという。

リークした文書は(PDF)はスペイン語で書かれたもので、全9ページ、規定は32項目におよび、守られない場合はアサンジ氏に対する外交的庇護を打ち切ると明記されている。英訳が添付されるとの記載もみられ、英訳の文書(PDF)も公開されているが、(文書自体が本物だとして)アサンジ氏に渡された英訳と同じものなのか、リークしたスペイン語の文書を英訳したものなのか明確ではない。

規定は訪問者・通信・医療の3つに大きく分けられており、訪問者に関しては事前に書面による承認が必要なことや、訪問者を大使館が記録すること、規定を守らない訪問者は英当局に通報することなどが定められている。通信についてはWi-Fiサービス提供やアサンジ氏が使用できる通信機器、3月にブロックの原因となった外交上の問題を引き起こす発言を控えることなどが記載されている。
13746400 story
情報漏洩

韓国海軍駆逐艦のコンピュータシステムは0.8日に1回クラッシュする? 78

ストーリー by hylom
何もしていないのに壊れる、のだろうか 部門より

朝鮮日報日本語版によると、2000年代に建造された韓国海軍の「KDX-Ⅱ」駆逐艦に搭載されているコンピュータ指揮システムは最悪の場合0.8日に1回の頻度で作動停止しているという。

この「0.8日に1回」というのは駆逐艦「王建」のケースだが、このシステムの2013年の作動停止頻度は21.7日に一回のペースだったとのことで、年々作動停止の間隔が短くなっているようだ。他の駆逐艦についても、平均停止件数は2013年時点で5.3日に1回、今年は1.4日に1回とのことで、全体的にシステム停止が増加している模様。また、KDX-Ⅱの前身となるKDX-Ⅰについても同様にシステム停止が頻繁に発生しているという。

なお、システム停止後の再起動には10〜30分ほどが必要になるそうだ。そのため、韓国海軍は2〜3日1回手動でシステムを再起動しているとのこと。

13746221 story
情報漏洩

聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される 24

ストーリー by hylom
改ざんされたならなんでもありな気はする 部門より

聖教新聞社のECサイト「SOKAオンラインストア」が不正アクセスを受けて改ざんされ、利用者のクレジットカード番号が不正に窃取される事件が発生した(日経xTECH)。セキュリティ研究者の徳丸浩氏によると、ここで使われたのは「新しい手口」だという。

今回の攻撃手法については、サイトの運営を委託されていたトランスコスモスが調査結果を発表している(発表PDF)。これによると、偽のカード決済画面の設置とECサイトのシステムの改ざんが行われており、決済時に偽の決済画面に遷移するようになっていたという。偽の決済画面ではカード情報を入力するとその情報を記録、もしくは攻撃者に送信した上で決済エラーが発生した旨を表示して正規の決済画面に遷移させていたようだ。

昨今ではセキュリティ対策としてカード情報を保持しないことが一部で推奨されているが、こういった「偽の決済画面」を使った手法ではカード情報を保持しなくとも攻撃によって情報漏洩が発生してしまうとし、徳丸氏は『クレジットカード情報「非保持化」では対策できないものであり、今後のクレジットカード情報漏洩事件の主流となる可能性があります。』と述べている。

13744831 story
インターネット

フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 37

ストーリー by hylom
どうしてこうなった 部門より
taraiok曰く、

フィットネス関連サービスを提供している米FitMetrixが、パスワードなしで顧客情報を管理するサーバーを運用していたためにユーザー情報が大量に漏洩する事態になったという(The TribuneTechCrunchHacken.ioSlashdot)。

漏洩したデータは数百万件にも上るようだ。同社は同社は心拍数やその他のフィットネスメトリック情報を表示するフィットネス追跡ソフトウェアを開発している企業。今年の初めにスポーツ関連サービスの予約・決済・スタッフ管理・顧客管理などを行う大手企業Mindbodyにより1530万ドルで買収されている。

10月5日にこのことを発見したセキュリティ研究者は、FitMetrixの3つのサーバーで顧客データが漏れていることを発見した。どのくらいの期間、サーバーが公開されたのかは不明だが、9月にIoT検索エンジンであるShodanにデータが登録されていたことが判明しているという。発見者であるHacken.ioのサイバーリスク研究担当ディレクターのBob Diachenko氏によると、1億1,350万のデータベースを発見した。

直接影響を受けるユーザー数は不明。各レコードにすべてにユーザーデータが含まれているわけではないものの、名前、電子メール、誕生日、電話番号、緊急連絡先、身長、体重、靴のサイズなどの情報が部分的に含まれていたとしている。Mindbodyの最高情報セキュリティ責任者Jason Loomisは、木曜日の電子メールで、リスクを認識しており、「この脆弱性を解消するための即時の対策」を講じたと述べている。

13741575 story
Google

Google+、終了へ 60

ストーリー by hylom
Linus氏が使っていたような 部門より

Googleが8日、Google+の一般向けサービスを終了すると発表した。Google+が消費者の期待に応えるようなサービスでありつづけるには大きなチャレンジが必要であり、その一方でGoogle+はあまり使われていないことからサービス終了を決めたという(AFPITmedia)。

また発表によると、GoogleはGoogle+のAPIの一部に不具合があり、ユーザーが一部ユーザーのみが閲覧できるように設定されたプロフィールが、API経由で本来閲覧権限のないユーザーからも閲覧できるようになっていたという。閲覧できたデータはPeaple APIで取得できるものだけとのこと。メッセージや電話番号、そのほかGoogleアカウントに紐付けたデータなどが対象外。この問題は2018年3月に修正されているとのこと。

Googleはこの問題が悪用された形跡はないとしている。この不具合の発表が遅れたのは、当時Facebookの情報流出問題が話題になっており、そのタイミングでの発表はまずいと思ったのが理由のようだ。

13733137 story
情報漏洩

AppleのDevice Enrollment Program、弱点が指摘される 4

ストーリー by hylom
あまり一般ユーザーには関係がない話 部門より
headless曰く、

AppleのDevice Enrollment Program(DEP)で見つかった弱点をDuo Labsが解説している(Duo Labs調査リポートVentureBeatArs Technica)。

DEPは組織で使用するiOS/macOS/tvOSデバイスをモバイルデバイス管理(MDM)へ自動登録できるようにするサービスだ。利用にはAppleやApple正規代理店がDEPに登録したデバイスが必要だが、認証にはシリアル番号のみが使われるため、パターンから生成したシリアル番号を総当り的に試すことで認証を突破できるという。認証の突破後はDEP APIを使用してデバイスプロファイルを取得可能となる。デバイスプロファイルには電話番号や電子メールアドレスといった企業の情報が含まれており、ソーシャルエンジニアリング攻撃に使われる可能性がある。

また、MDMサーバーではユーザー認証の仕組みが用意されているが必須ではない。そのため、ユーザー認証を有効にしていない組織も多いようだ。このような場合、攻撃者はシリアル番号だけでデバイスをMDMに登録し、アクセス可能な情報が制限されていなければ証明書やアプリケーション、Wi-Fiパスワード、VPNの設定などを取得できるという。

Duo Labsでは5月に問題をAppleへ報告しており、認証の強化や試行回数の制限、APIから取得できる情報の制限などを推奨したそうだ。一方、DEPを使用する組織の管理者に対してはMDMでの認証を確実に行うことや、MDMに登録されたデバイスを全面的に信用せず、アクセス可能な情報を制限することを推奨している。

13721715 story
情報漏洩

米Amazon.com社員が中国企業に内部情報を売り渡していたとの報道 26

ストーリー by hylom
ありそう 部門より

米Amazon.com社員が、同サイトのマーケットプレイスに出品している業者から金銭を受け取って内部情報を提供していたと報じられている(ロイターウォール・ストリート・ジャーナルCNET Japan)。

こうした不正行為は中国の業者に対して行われており、また提供されていたのは販売や検索に関する情報とのこと。提供された業者はこれらを使って競合に対して有利になっていたという。さらに、Amazon社員とつながりのあるブローカーが否定的なレビューの削除や停止されたアカウントの復活などを手配していたという話もある。ブローカーはメッセージサービスWeChatを使ってAmazon従業員と連絡を取り作業を依頼していたそうだ。

13715350 story
情報漏洩

NTTドコモ、「dポイント」の不正利用があったことを公表。約3.5万アカウントを利用停止に 24

ストーリー by hylom
狙われるドコモ 部門より

NTTドコモが手がけるポイントサービス「dポイント」で、会員が保有するポイントが不正に使われるトラブルが発生していることが発表された(ケータイWatch日経新聞)。

dポイントサービス加盟店のWebサイトが攻撃され、dポイントカードの番号と残高が盗まれて不正に利用された可能性があるとのこと。これを受けてドコモは約3万5000件のdポイントカード番号を対象に利用停止措置を行ったとのこと。

dポイントカードはバーコードを利用しているため、簡単に番号を盗み取ることができるとの指摘もある。

13710552 story
プライバシ

Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していた 67

ストーリー by hylom
これはマルウェアじゃないんですかねぇ 部門より

Trend Microなどによって提供されている複数のMac向けアプリケーションが、ユーザーに無断でWebブラウザの閲覧履歴などの情報をTrend Microのサーバーに送信していたことが明らかになった。

発端となったのは、Mac向けの「Adware Doctor」というアプリケーションがWeb閲覧履歴をユーザーに無断で中国内のサーバーに送信していたという問題(AAPL Ch.Engadget Japanese)。このアプリケーションは中国のYONGMING ZHANGというデベロッパーによって提供されていたものだが、その後同様の行為を行っているアプリケーションがほかにも複数存在することが発見された。その中にTrend Microの「Dr. Cleaner」や「Dr. Antivirus」、「Dr. Unarchiver」も含まれていたという(AAPL Ch.の続報9to5Mac山本一郎氏によるYahoo!ニュース記事GIGAZINE)。

これらのアプリケーションはユーザーに無断でWeb閲覧履歴やApp Storeの閲覧履歴、インストールされているアプリケーション情報などをtrendmicro.comドメインのサブドメインを使って運用されているサーバーに送信していたという。なお、これらアプリケーションは現在Mac App Storeからはダウンロードできない状況になっているようだ(AAPL Ch.の続報2)。

また、Trend Microが提供しているアプリケーションだけでなく、ほかのデベロッパーによるアプリケーションからも問題のサーバーへのデータ送信が行われていることも報告されている(この問題が報告されているMalwarebytesのフォーラム)。

13700803 story
国際宇宙ステーション

国際宇宙ステーションで空気漏れが発生するトラブル、NASAが補修作業をリポート 77

ストーリー by headless
補修 部門より
国際宇宙ステーション(ISS)で東部夏時間8月29日夜(日本時間30日朝)に検出され、翌日補修が行われた空気漏れについて、NASAがリポートしている(NASAのブログ記事)。

ヒューストンとモスクワのフライトコントローラーは東部夏時間29日19時頃、ISSで微量の空気漏れが発生している兆候に気付く。フライトコントローラーはデータを監視した結果、危険はないとして第56次長期滞在クルーを就寝させることを決定。翌朝定時に起床したクルーとともに、ヒューストンとモスクワ郊外のミッションコントロールセンターは空気漏れの発生場所を特定する作業を開始した。

ISSコマンダーのアンドリュー・フューステル宇宙飛行士をはじめとする6人の第56次長期滞在クルーは、ISSのロシア側セクションで広範な調査を実施。ロシア側のラスベットモジュールにドッキングしているソユーズMS-09の軌道モジュール(地球には帰還しない)に開いた直径2mmほどの穴が空気漏れの原因と特定する。カプトンテープによる仮補修により、午前中には空気漏れが減少した。
13695638 story
携帯電話

電話番号の流出はパスワード流出よりもタチが悪いかもしれない 44

ストーリー by hylom
電話番号を認証手段に使うな 部門より
あるAnonymous Coward曰く、

米T-Mobileで顧客情報の流出事件が発生した(ITmedia)。

不正アクセスが原因で、流出した個人情報は約200万件。流出した情報には氏名、郵便番号、電話番号、メールアドレス、ハッシュ化されたパスワードなどが含まれていたという。ハッシュ化アルゴリズムには容易にクラックが可能なMD5が使われていたという話もある。

この事件を受けて、WIRIDに掲載された記事では電話番号が流出したことは、パスワードの流出よりも大きな問題だと批判している。今の電話番号は他人と話すだけでなく、スマートフォンでの二要素認証などに使われているためだ。アイデンティティ管理の専門家は、電話番号の過度の依存について何年も前から警告してきた。電話番号が個人のロックとキーという両方の役割を果たしている現状は、攻撃者が電話番号を盗むいわゆるSIMスワップ攻撃を引き起こす原因ともなっているとしている(WIRIDSlashdot)。

13695619 story
携帯電話

スマホ監視アプリSpyFoneで取得されたデータ、ネットで誰もがアクセスできる状態になっていた 15

ストーリー by hylom
設定ミスかな 部門より
あるAnonymous Coward曰く、

子供や従業員などのスマートフォン利用状況を監視するアプリ「SpyFone」で収集されたデータが、ネット上で誰もがアクセスできる状態で公開されていたという(GIGAZINEMOTHERBOARD)。

このデータはAmazonのストレージサービス「S3」上にアップロードされていたもの。これを発見した研究者によると、このデータが実際にダウンロードできることや、少なくとも2208件の利用者のデータが格納されていたことが確認できたそうだ。このデータにはスマートフォン内の写真やテキストメッセージ、音声録音、連絡先、位置情報などが含まれていたという。

13640443 story
情報漏洩

日経新聞社員、業務用PCを分解してHDDから個人情報を窃取。懲戒解雇に 69

ストーリー by hylom
本気のやつだ 部門より
あるAnonymous Coward曰く、

日本経済新聞の社員男性が別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していたことが明らかになった(読売新聞朝日新聞時事通信)。

窃取されたデータは日経新聞社員約3000人の賃金などのデータ。このデータは昨年12月にこの男性によって別の組織に提供され、その組織がこの情報を公開したことで発覚した。この社員は情報漏えいを理由に6月5日に懲戒解雇されるとともに、警視庁への刑事告訴も行われているとのこと。

この男性はこれ以外にも、日経新聞電子版の読者の個人情報(約34万人分)や日経ヴェリタスの読者情報(約3万6000人分)も持ち出していたという。

分解したPCは情報をコピーした後元に戻していたとのことで、そのため発覚が遅れたようだ。この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。

なお、この事件を受けて日経新聞は謝罪記事を公開したが、公開当初は有料会員以外は記事の一部しか読めない「会員限定」の記事となっており、「お詫び記事も有料か」などとの指摘が出ていた(J-CASTニュース)。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...