パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

15642812 story
情報漏洩

インド政府、企業や政府機関にサイバーインシデント認識後 6 時間以内の報告義務付けへ 9

ストーリー by headless
義務 部門より
インド政府のサイバーセキュリティ当局 CERT-In は 4 月 28 日、サイバーインシデント発生を認識後 6 時間以内に報告するよう企業や政府組織に義務付ける指令を発表した (プレスリリースThe Register の記事指令: PDF)。

報告が義務付けられるインシデントとしては、不正アクセスやマルウェア攻撃、DoS/DDoS、データ侵害、データ漏洩、ウェブサイト改変、偽モバイルアプリなど20 種類が挙げられている。報告には電子メールや電話、Fax が利用できる。6 時間以内の報告義務付けは EU (72 時間) や米国 (24 時間) と比べて大幅に短い。CERT-In ウェブサイトのインシデント報告に関するページには報告書式の PDF も用意されているが、書式で挙げられているインシデントの種類は報告が義務付けられるインシデントの種類とは異なる。指令は 60 日後に発効する。
15641482 story
情報漏洩

情報公開請求でコロナ患者管理システムの認証情報が漏洩、大阪市 47

ストーリー by nagazou
やらかし 部門より
大阪市で市民からの情報公開請求が行われた結果、「新型コロナウイルス感染者等情報把握・管理システム(HER-SYS)」の認証情報がそのまま記載されてしまい、ログインに必要なIDやパスワードなどが外部に流出していたことが判明した(Security NEXT産経新聞)。

情報公開請求に応じて交付した資料に本来行うべきマスキングしていなかったことが原因だった。4月20日に請求者に対して資料を送付したところ、問題が指摘されて発覚。遡って調査したところ、3月24日や4月20日に行われた情報公開請求を行った6人に対しても、マスキングなしで情報公開していたことが判明したとしている。同市ではすでにパスワードを変更し、新たなIDを厚生労働省に申請しているとのこと。
15609185 story
情報漏洩

ネスレ曰く、Anonymous がリークだと主張する 10 GB のデータはダミーデータ 31

ストーリー by headless
偽物 部門より
Anonymous がネスレのビジネスに関連するデータ 10 GB をリークしたと主張しているが、ネスレ側はダミーデータだと反論しているそうだ (The Register の記事@LatestAnonPress のツイート@YourAnonTV のツイート)。

Anonymous がサンプルとして公開しているデータは展開後のサイズが 50 MB 強のもので、example.com ドメインの電子メールアドレスなど明らかなダミーデータが目立つ。ネスレが The Register に語ったところによれば、データは本物でも機密情報でもなく、誤って同社の Web サイトで公開してしまったものだという。

同社のビジネステスト用 Web サイトで短時間の誤公開事故が発生したのは 2 月。大半は一般に入手可能なランダム化された B2B 用テストデータであり、事故後の調査では特に追加の対応は必要ないと判断しているとのこと。そのため、ネスレがサイバー攻撃を受けて情報を流出させたという主張は根拠のないものとのことだ。

ネスレはロシアに対する国際的な制裁措置に従うこと、ロシアでの宣伝活動や投資、輸出入を停止することなどを発表する一方、人道的に必要な食糧供給を継続すると述べたため、Anonymous のターゲットになったようだ。

同社はその後、ロシアで近い将来の間に利益を上げるつもりはなく、利益は人道支援組織にすべて寄付すると述べているが、ロシアでの人道的に必要な食料供給は同社の価値観に合うものだとして、継続する意思を示している。
15608959 story
情報漏洩

日本の医療Q&Aサイト、公開状態のAmazon S3バケットからおよそ30GBの顧客データが流出 43

ストーリー by headless
公開 部門より
日本の医療 Q&A サイト Doctors Me がおよそ 30 GB の顧客データを格納した Amazon S3 バケットを誤設定で公開状態にしていたと、発見したセキュリティ情報サイトの SafetyDetectives が報告している (SafetyDetectives のニュース記事HackRead の記事)。

Doctors Me は匿名でヘルスケアの専門家に直接相談できる Q&A サイトで、症状の写真をアップロードすることも可能だ。公開状態になっていたバケットは発見時にも更新が続けられており、ファイル 30 万点以上、患者の写真およそ 12,000 点が含まれていたという。写真は相談者が本人や家族の症状を撮影したもので、顔面を撮影したものは子供の写真が中心とのこと。少数ではあるが、動物の写真も含まれていたそうだ。SafetyDetectives ではこのトラブルで患者のプライバシーが侵害されただけでなく、脅迫の材料となる可能性や、未成年者のプライベートな写真が捕食者間で流通する可能性を指摘している。

SafetyDetectives は昨年 11 月 11 日に問題を発見し、同日 Doctors Me に通知している。反応がなかったのか、11 月 21 日には Doctors Me に加えて JPCERT/CC にも連絡。以降は JPCERT/CC を通じたやり取りになり、今年 1 月 11 日になって AWS に連絡したと通知を受けたとのことだ。
15605393 story
情報漏洩

Bing や Cortana のものとされる約 37 GB のソースコードが流出 18

ストーリー by nagazou
流出 部門より
headless 曰く、

ハッキンググループ Lapsus$ がおよそ 37 GB のソースコードを Microsoft 内部の Azure DevOps サーバーから盗み出したものだと主張し、Torrent ファイルを放流したそうだ (Bleeping Computer の記事Cyber Kendra の記事The Register の記事Neowin の記事)。

Lapsus$ は先週末、本件に関連するスクリーンショットを Telegram に投稿し、その後削除した。Microsoft はLapsus$の主張を認識しており、調査を進めていると述べていた。

ソースコードは 7-ZIP アーカイブに格納されており、圧縮状態で約 9 GB。250 以上のプロジェクトが含まれるという。Lapsus$ の Torrent ファイル放流時のコメントによれば、Bing のソースコードの 90 % 、Bing Maps と Cortana のソースコードの 45 % を含むとのことだ。

15590237 story
情報漏洩

Samsung、データ侵害にあっていたことを認める 7

ストーリー by nagazou
侵害バレ 部門より
headless 曰く、

ハッキンググループ Lapsus$ が Samsung のものだと主張する 190 GB 近いデータの Torrentファイル を週末に放流していたが、Samsung は攻撃者を特定せずにデータ侵害を認めたそうだ (HackRead の記事The Verge の記事9to5Google の記事SamMobile の記事)。

Samsung は社内データに対するセキュリティ侵害があったことを認め、セキュリティシステムを強化したと述べている。Samsung の初期の分析によれば、侵害されたのは Galaxy デバイスの動作に関連するソースコードで、消費者や従業員の個人情報は含まれないという。そのため、現時点では業務や顧客に影響しないとみているとのことだ。

Lapsus$ は NVIDIA のデータも侵害し、ドライバーのオープンソース化などを要求して注目されていた。

15585304 story
情報漏洩

NVIDIAがサイバー攻撃を受ける。NVIDIA側もサイバー攻撃で反撃とも 13

ストーリー by nagazou
反撃してたら話せないな 部門より
あるAnonymous Coward 曰く、

南米で活動する脅迫グループ「LAPSU$」が、「NVIDIAに侵入して1TB以上の独自データを盗み出した」と主張しているという。また興味深いことに、同グループは「NVIDIA側の反撃により同グループのマシンがランサムウェアに侵された」とも主張しているとのこと。なおタイミング的にウクライナ情勢の影響も疑われたが、本件は特に関係なさそうだとも報じられている(NVIDIAZDNetEngadgetBloomberg)。

なお1日時点ではNVIDIA側は正式なリリースを出していない。Engadgetの記事によれば、メールや開発者用ツールが使用できなくなる問題が2月25日に発生したものの復旧済みであるという。NVIDIAの広報担当者はZDNetに対し、業務には影響を及ぼしていないと話していた模様。

15585281 story
情報漏洩

メタップスペイメントの不正アクセスでクレカ情報46万件が流出。AKB48関連や日本赤十字社などが影響 50

ストーリー by nagazou
未発表のところも多そう 部門より
クレジットカード基盤を提供するメタップスペイメントは28日、同社のデータベースから最大46万件のクレジットカード情報が流出したと発表した。外部からの不正アクセスを受けて流出したとされている(メタップスペイメントリリースITmedia)。

流出した情報は2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件。21年5月6日から22年1月25日までに実行された決済情報593件と加盟店情報38件であるとしている。同社の調査によれば、サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが判明しているという。今年の1月の段階で社内システムへの不正ログインやバックドアの存在などが確認されたとしている。

この影響で多くのサービスに影響が出ている。ITmediaの記事によれば、28日までにメタップスペイメントのクレジット決済サービス「トークン方式」や「イベントペイ」「会費ペイ」などを利用していた企業が謝罪のプレスリリースを公開する事態になっている。目立つものとしてAKB48グループチケットセンター、福山市スポーツ協会、日本赤十字社などの名前が挙がっている(ITmedia)。

あるAnonymous Coward 曰く、

攻撃の内容もサーバへの不正ログイン、SQLインジェクション、バックドアの設置など多岐にわたるようでいろいろ酷そうだ。カードの情報漏洩対策としては自前で実装せずに決済代行会社を使うのがまず定石だが、その決済代行会社がこれでは事態は深刻である。

15554651 story
情報漏洩

日能研、不正アクセスによるメールアドレス流出の可能性。顧客の指摘で気がつく 17

ストーリー by nagazou
流出 部門より
学習塾大手の日能研が29日、同社のWebサイトのサーバーにSQLインジェクションを利用した外部からの不正アクセスが発生。保護者などのメールアドレス最大28万106件が、外部に流出した可能性があると発表した。脆弱性が発生した場所は特定しており、すでに対策を施しているとしている。共同通信などの報道によると迷惑メールが届いているとの相談を受け調査したところ、2021年12月上旬に不正アクセスを受けていたことが判明したという。同社では流出したメールアドレスがフィッシング詐欺などに使われる恐れがあるとして対象アドレスにメールで通知したとしている(日能研共同通信NHK)。
15528193 story
情報漏洩

中国軍指示で日本製セキュリティーソフトを購入しようとした元留学生に逮捕状 114

ストーリー by nagazou
指示 部門より
中国籍の元留学生男性が偽名でウイルス対策ソフト購入しようとしたとして、警視庁が逮捕状を取ったそうだ。警視庁が逮捕状を取ったのは、元留学生の王建彬容疑者。同容疑者は、非実在の日本企業の名前を名乗り、日本製の企業向けセキュリティ対策ソフトを不正に購入しようとした模様。なお同容疑者はすでに中国に帰国済みとのこと(読売新聞産経新聞TBS NEWS)。

読売新聞によると、中国人民解放軍のサイバー攻撃部隊「61419部隊」に所属する妻が「国に貢献しなさい」「国が守ってくれる」などとSNSやメールなどを通じて指示を出していたそうだ。企業向けのセキュリティ対策ソフトを研究し、日本企業のシステムの脆弱性を把握することが目的だとされている。

追記 by headless: 容疑は詐欺未遂とのこと。
15512529 story
法廷

英高等法院、ジュリアン・アサンジ氏の米国への身柄引渡が不可能ではないと判断 10

ストーリー by headless
判断 部門より
英高等法院は 10 日、米政府が要求するジュリアン・アサンジ氏の身柄引渡が不可能ではないとの判断を示した (裁判所文書The Register の記事Ars Technica の記事The Verge の記事)。

米政府は WikiLeaks で数多くの機密文書を公開したアサンジ氏をスパイ活動法違反などで起訴しており、英国で逮捕されたアサンジ氏の身柄引渡を要求している。アサンジ氏側は米国で公正な裁判を受けられない可能性や、過酷な環境に拘置される可能性を主張して身柄引渡に反対しており、1月に英中央刑事裁判所のバネッサ・バライツァー判事が後者の理由を認めて身柄引渡要求を却下したため、米政府が控訴していた。

米政府は控訴の根拠として
  1. 対象者の肉体的・精神的状態によって身柄引渡を免除する身柄引渡法 91 条を判事が誤って適用した
  2. 91 条の要件を満たすと判断するなら、米国側に判事の懸念解消を保証する提案の機会を与えるべきだった
  3. アサンジ氏の精神科医が判事をミスリードして 91 条の要件を満たすと判断させた
  4. 判事がアサンジ氏の自殺リスクに関する証拠を誤って評価した
  5. 米国はアサンジ氏を非常に制約された独房監禁状態にしないことや ADX フローレンス刑務所に送らないこと、オーストラリアでの実刑を可能にすることなど、判事の懸念を解消する保証パッケージを提案している

という 5 つを挙げている。高等法院では根拠 1 ・ 3 ・ 4 を却下してバライツァー判事の判断を支持する一方で根拠 2 と 5 を認め、これを踏まえて身柄引渡の是非を判断するよう中央刑事裁判所へ差し戻した。

15507092 story
情報漏洩

LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 84

ストーリー by nagazou
なぜアップしたのかは不明 部門より
LINE Payは6日、同社のキャンペーン参加に関わる情報が閲覧できる状態になっていたと発表した。流出したのはLINE Payユーザー13万3484アカウント分の情報。流出の内訳としては、ユーザーの識別子、加盟店管理番号、キャンペーン情報(キャンペーンコード等)となっている。このうちキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれている可能性がある。氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等の情報は含まれていないそうだ。委託先であるグループ会社の従業員が「GitHub」上にアップロードしたものだとしている。すでに情報は削除され、該当ユーザーに関しては個別に連絡済みだとしている(LINE Payのプレスリリース)。
15507024 story
情報漏洩

練馬区の中学校で生徒からSNSパスワードを収集し問題に。区教委が作成したリーフレットが発端 95

ストーリー by nagazou
問題になるのは分かりそうなものだけれども 部門より
東京都練馬区の中学校で、生徒に対してSNSのパスワードを書かせた書類を提出させようとしていたことが分かった。こうなった原因は複数あるが、最大の理由は東京都練馬区教委会が配布したSNS利用の啓発用のリーフレットに、SNSのパスワードを記入する欄があったこと。もともと区教委はパスワードを収集する意図があったが、パンフレットの内容がTwitterで出回り、人権侵害であるなどの指摘がでて炎上。その結果、区教委はパンフレットはそのままで提出時にパスワードを記載しない状態で提出してもらうと通知していたようだ(練馬区リリース[PDF]弁護士ドットコム毎日新聞)。

しかし練馬区内の中学校1校がこの通知を生徒や各家庭に伝達し忘れた。それによりパスワードが記載されたリーフレットが家庭に届き、学校側が生徒のパスワードを知り得る状態になってしまったという。練馬区のリリースによれば12月2日時点で276名からリーフレットの提出を受けていたとしている。このため区では3日、各家庭にあてて謝罪文を送付したとしている。
15491016 story
情報漏洩

2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 109

ストーリー by headless
人気 部門より
パスワードマネージャーの NordPass が 2021 年版の人気パスワードトップ 200 を公開している (NordPass の記事HackRead の記事Mashable の記事)。

調査は NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、4 TB のデータベースを調査したという。1 位は各社の調査で 10 年以上にわたってトップを独走している「123456」であり、2 位以下も「123456789」「12345」「qwerty」「password」といった常連ばかりだが、今回の調査では国別・性別のデータもまとめられている。

日本では 85,561,976 件のパスワードが流出しており、日本人 1 人あたり 0.68 件が流出した計算になる。人口 1 人あたりの流出件数はロシア (19.902 件)やチェコ (6.221 件)、フランス (6.025 件)、ドイツ (5.838 件)、米国 (5.158 件)などで多い。

日本のパスワード 1 位は「password」となっており、以下「123456」「123456789」「12345678」「1qaz2wsx」のように世界共通のパスワードが上位を占める。一方で、現地語の単語を使用したパスワードが数多く出現するのが国別データの特徴だ。日本の場合は「sakura (15位)」「takahiro (21位)」「fujitvpass (25位)」「doraemon (28位)」などが上位に入っている。

また、「nekoneko (35位)」「lovelove (38位)」「nikoniko (46位)」「tomotomo (53位)」「hirohiro (54位)」といった2音節を繰り返したパスワードも目立つ。トップ 5 のパスワードが 1 秒以内にクラック可能なのに対し、日本人の名前らしきパスワードの中にはクラックに 3 時間を要するものもあるが、日本に特化したパスワードリストを使用すればクラック時間は短縮されるだろう。

スラドの皆さんが使用しているパスワードは見つかっただろうか。
15477871 story
情報漏洩

AVの無修正動画が中国に大量流出、不正アクセスによる被害か? 73

ストーリー by nagazou
あらあら 部門より
あるAnonymous Coward 曰く、

週刊文春が今月報じたところによると、10月中旬ごろから中国のサイトに日本メーカーのアダルトビデオ (AV) の無修正動画が大量流出し、不正に販売される事態が起きているという(文春オンライン, MAG2NEWS)。

報道によると、流出したのは業界最大手のソフト・オン・デマンド (SOD) の作品約50本を始め、プレステージなどの人気メーカーも含め計約120本。過去に関係者がマスターテープを持ち出した事件などもあったが、これほどの本数が流出したことはなく、不正アクセスなどによるものではないかと言われているという。また、動画の中にはタイトルに「仮」と入っているなど編集途中のデータであることを伺わせるものもあったという。

こうした動画は、中国サイトでは1本50~100ドルでダウンロード販売されており、人気トップ女優の作品も多数含まれているとのこと。中国ということでサーバー運営者への削除依頼や法的措置も難しく、また出演者の中には本数が多いことからメーカーが組織的に流したのではないかと疑う声もあるとのことで、今後AV業界で大きな問題になるかもしれない。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...