パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

13277795 story
情報漏洩

仏大統領選挙、マクロン陣営流出文書はTwitterボットによって拡散された 24

ストーリー by hylom
日本政府や政治家のあんな文書も狙って欲しい 部門より
あるAnonymous Coward曰く、

移民問題な右派ルペン氏の登場で注目度の高かったフランス大統領選挙は、マクロン氏の勝利に終わった。しかし、この選挙でも米大統領選同様にハッキング事件があったことが明らかになった。マクロン陣営は選挙活動最終日の5日夜、「大規模で組織的なハッキングの被害を受けた」と発表した。実際、ネット上にはメールやビジネス関連の文書など約14.5GBのファイルが何者かによって公開されている(CNNSlashdot)。

流出した文書はTwitter上でbotを使用して拡散されていたという。New York TimesのサイバーセキュリティリポーターであるNicole Perlroth氏によれば、ハッシュタグ#MacronGateを使用したつぶやきの約40%がbotによるものだった。特定のアカウントは24時間で1668ツイートしていたそうだ。同氏はTwitterは批判があるにもかかわらず、Bot攻撃の対策をまったく取っていない。今回の事件はTwitterが終了する原因になるのではないかとの指摘も出ているる(recodeNicole Perlroth氏のTweetその1その2)。

13263979 story
情報漏洩

WikiLeaksに情報を流した裏切り者を探すCIAとFBI 17

ストーリー by hylom
闇に葬られるのだろうか 部門より
あるAnonymous Coward曰く、

3月、WikiLeaksによって、CIAのハッキング技術とされる資料が公開された(過去記事)。CIAとFBIはWikiLeaksに機密文書を渡した人間が内部にいると見て、裏切り者の捜索を進めているという。公開された機密文書の多くは、安全性の高いセクションで保管されていた。ただ、この資料にアクセスした人間は数百人に及ぶため、CIA側は接触者の名前を調査中だとしている。

WikiLeaks側は、情報機関で働いていた元請負業者からのCIA情報を入手したと説明している。なお、CIAは、WikiLeaksの開示した機密文書の真贋や調査の状況についてはコメントしていない(CBSSlashdot)。

13262878 story
情報漏洩

ぴあの運営するBリーグチケットサイトで個人情報15万件が流出、Struts2の脆弱性が原因 24

ストーリー by hylom
またStrutsか 部門より
あるAnonymous Coward 曰く、

ぴあが運営する、プロバスケットボールリーグ「Bリーグ」の公式チケットサイトおよびファンクラブサイトが不正アクセスを受けた。最大で15万4599件の個人情報流出の可能性があるという(ITmediaぴあの発表)。

攻撃はApache Struts 2の脆弱性を狙ったもの。攻撃されたサーバーにはセキュリティコードを含むクレジットカード決済情報も含まれていたという。流出した情報を使ったクレジットカードの不正利用があり発覚した。

13207971 story
情報漏洩

JINSのオンラインショップ、Strutsの脆弱性を付かれた不正アクセスで個人情報漏洩の可能性 41

ストーリー by hylom
またStrutsか 部門より

メガネの販売などを手がけるJINSのオンラインショップが不正アクセスを受けたことを発表している(JINSの発表)。不正アクセスが発覚したのは3月22日で、23日には修正を行ったとのこと。これによって顧客の氏名や住所、電話番号、生年月日、性別と言った個人情報が漏洩した可能性があるという。クレジットカード情報についてはサーバー上には保管していなかったために漏洩は確認されていないとのこと。

サイトが改ざんされ、データベース内のデータを列挙するようなページが設置されていたとの報告もある

同社は2013年にもStruts 2の脆弱性を狙った攻撃によって顧客情報を漏洩させていた

13194591 story
情報漏洩

作業用品店の会員情報、金庫を盗まれて漏洩 43

ストーリー by hylom
プロの犯行 部門より

北海道や東北を中心に作業服等販売店「プロノ」を展開するハミューレで、従業員通用口が破壊されて顧客情報などを含むデータを保管していた金庫(約100kg)が持ち去られるという情報漏洩事件が発生した(ハミューレの発表PDFSecurity NEXT)。

盗難された個人情報は同社のポイントカード利用者および通信販売利用者のもので、氏名および住所、メールアドレス、購入履歴など。通信販売を利用した顧客についてはクレジットカード番号やカード有効期限も含まれている。

再発防止策として「データセンターにバックアップを委託するなど、情報セキュリティの更なる強化を徹底」とされている。

13191929 story
情報漏洩

再利用や共有、パターンなどが複雑なパスワードを台無しにする 46

ストーリー by hylom
間違った使用文字制限は止めて欲しい 部門より
headless 曰く、

過去にLinkedInから流出したパスワードについてセキュリティ企業Preemptが調査したところ、約35%にあたる63,588,381件が既にパスワードクラック用の辞書に含まれるものだったそうだ(PreemptのブログBetaNews)。

Preemptでは具体的な流出時期などを明記していないが、件数からみて2012年に発生したLinkedInの情報流出に伴って取得され、昨年5月に1億6,700万件が販売されていると報じられたアカウント情報のようだ。

パスワードクラック用の辞書に載っているのであれば、パスワードの複雑さは意味をなさない。パスワードを再利用する人も多いため、過去に流出したパスワードを再度設定してしまう可能性もある。組織内のシステムではパスワードの有効期限が無効化されていることも多く、複数のユーザーがパスワードを共有したり、そのパスワードを外部サービスに設定したりすることで、パスワードが流出する可能性や、既に流出しているパスワードを使用する可能性が増す。

また、パスワードには大文字小文字の英字と記号、数字(ULSD)を組み合わせることが推奨されるが、大文字から始めて数字で終わるといったパターンが多くのパスワードで使われているという。個人的なデータや日常的に使われる単語を含める人も多い。そのため、企業内のパスワードの大半は、上位100パターンでクラックできるものが多いそうだ。

Preemptの調査によれば、特にセキュリティに注力している組織を除き、90%以上の組織が8桁よりも長いパスワードを要求せず、10桁以内のパスワードが多く使われているとのこと。標準的なハードウェアでULSDを組み合わせた10桁のパスワードをクラックするのに要する時間は、よくあるパターンを使ったものでは1週間以内なのに対し、よくあるパターンを避けたものでは1か月近くかかるとのことだ。

13186885 story
情報漏洩

Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か 66

ストーリー by headless
後手 部門より
あるAnonymous Coward 曰く、

GMOペイメントゲートウェイは10日、同社が運営を委託されている東京都の「都税クレジットカードお支払いサイト」と住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」がApache Struts 2の脆弱性を悪用した不正アクセスを受け、最大約72万件のクレジットカード情報が流出した可能性があると発表した(不正アクセスに関するご報告と情報流出のお詫びNHKニュースの記事ITproの記事ITmediaビジネスオンラインの記事)。

同社はIPAJPCERTが相次いでApache Struts 2の脆弱性に対する注意喚起を行ったことを受け、社内システムの調査を9日に実施したところ、不正アクセスの痕跡が確認されたという。都税サイトではクレジットカード番号と有効期限が最大67万件以上、住宅金融支援機構サイトではカード番号と有効期限に加えセキュリティコードや住所・氏名・電話番号・生年月日など最大4万件以上が流出した可能性がある。決済サービスからの漏洩ということで範囲が大きくなっているようだ。

Apache Struts 2の脆弱性S2-045最初に公表されたのは3月2日7日には既にエクスプロイトが出回っていたようだ。

13186043 story
spam

米スパム業者、バックアップの設定ミスで14億件の電子メールアドレスなどを流出させる 17

ストーリー by hylom
SPAMメールって今でも効果はあるのだろうか 部門より
headless 曰く、

先週末、電子メールアドレス14億件を含む出所不明のデータが公開状態になっていることをMacKeeperのChris Vickery氏が公表して話題となっていたのだが、スパム業者が適切な設定をせずにデータをrsyncでバックアップしたため、外部からのアクセスが可能になっていたようだ(MacKeeperのブログCSO OnlineThe Register)。

このスパム業者「River City Media(RCM)」はインターネットマーケティング企業を名乗っているが、実態はSpamhausのスパマーワースト10で9位に入るほど名の知れたスパマーがスパム送信の隠れ蓑にしている会社の1つだという。流出した電子メールアドレスは、氏名や住所、IPアドレスなどと組み合わせたデータベースに格納されている。RCMは偽のプレゼントキャンペーンなどを利用して、このように大量の個人情報を収集したものとみられる。

また、RCMのスタッフが作成した大手プロバイダーの電子メールアカウント数万件も見つかっている。これらのアカウントは、新たなスパムキャンペーンを開始する際に「ウォームアップ」用として使われるものだという。キャンペーン開始前、スパム業者はウォームアップ用の電子メールアドレスにメッセージを送信する。これらのメッセージは当然ながらスパムとして報告されることはない。これにより問題のない送信者としてプロバイダーに認識させてから、実際のスパム送信を行うそうだ。

流出したデータにはRCM内部のさまざまな情報も含まれている。該当のサーバーは既にアクセスできなくなっているが、Vickery氏は本件を捜査当局にも知らせており、当局による捜査も行われているようだ。

13171330 story
情報漏洩

Cloudflareのバグで別のユーザーのCookieやパスワードが送信される 17

ストーリー by headless
通過 部門より
CloudflareのHTMLパーサーのバグにより、同社のリバースプロキシを使用するWebサイトにアクセスすると、別のユーザーのCookieや認証トークン、パスワード、APIキーなどを含むデータが送信される状態になっていたそうだ(Cloudflareのブログ記事Project Zero — Issue 1139The Registerの記事The Vergeの記事)。

このバグはバッファー終端のチェックで「>=」ではなく「==」を使用していたため、ポインターがバッファー終端を超えていることを認識できないというものだ。そのため、破損したHTMLタグを含むページを処理するとバッファーオーバーランによるメモリーリークが発生し、別のユーザーのデータが一緒に送信されることになる。バグを発見したGoogleのTavis Ormandy氏は、Heartbleedのようなバグと説明しつつ、「Cloudbleed」と呼ばないように求めているが、既にロゴも作られてしまっている。
13157952 story
インターネット

Torなどの匿名化技術を使って構築された「ダークウェブ」上のホスティングサービスがハックされデータ流出 32

ストーリー by hylom
アレなセキュリティ 部門より
あるAnonymous Coward 曰く、

Torなどの匿名化技術を使って構築されたネットワークは「ダークウェブ」などと呼ばれ、違法コンテンツを提供するサイトや違法商品の販売サイトなどがダークウェブ上で運営されていると言われている。このダークウェブで多く使われているWebホスティングサービス「Freedom Hosting II」が攻撃され、ホスティングされているサイトのデータ流出などが発生した(ギズモード・ジャパンComputerWorld)。

攻撃者によると、Freedom Hosting II上でサイトを開設した上で、自身に割り当てられたディレクトリ内にルートディレクトリへのシンボリックリンクを作成したという。これだけでそのサーバー上でホスティングされているすべてのデータに対して読み取り権限が得られたとのこと。その後この攻撃者はサーバー上にあったデータをBitTorrentを使って公開。公開されたデータには74GBのファイル、2.3GBのデータベースが含まれてり、その中には児童ポルノコンテンツや詐欺サイト、違法な物品を販売するサイトに関するコンテンツも含まれていたという。

また、Freedom Hosting IIの利用者やオンラインフォーラムへの投稿内容も含まれていたとのことで、法執行機関などがこのデータを使った捜査に乗り出す可能性も高いという。

13147436 story
情報漏洩

コピーガードを開発するDenuvo社、顧客からのメールや営業情報などを流出させる 18

ストーリー by hylom
ガードできなかったか 部門より
insiderman 曰く、

コピーガードを開発するDenuvo社のWebサイトから、顧客からのメールや営業情報などが流出した模様(TorrentFreakArs Technica)。

Webサイトの公開設定に不備があったようで、一部のディレクトリに対して制限無しにアクセスができる状態になっていたようだ。流出したファイルの1つである「Ajax.log」(ファイル名と内容から見るに、問い合わせフォーム等のログと思われる)にはカプコンなど複数のゲームメーカーやGoogleが同社の技術に対して興味を持ち問い合わせを行う内容が含まれていたという。そのほか、営業用の資料なども含まれていたようだ。

流出した情報の中にDenuvoのコピーガードをクラックするために使える情報が含まれているかどうかは不明。今回の件は単にWebサーバーの権限設定ミスのようなので、これ以上の重要な情報はない気はする。

13133280 story
テレビ

流出したタクシー車内のドライブレコーダー映像のTV放映は放送倫理違反ではないとの判断 40

ストーリー by hylom
公益性があるのか 部門より

流出したタクシー車内のドライブレコーダー映像を放送した放送局に対し、放送倫理・番組向上機構(BPO)の放送倫理検証委員会はこの問題を同組織での審議対象にはしないことを明らかにした。「報道内容について公益性も否定できない」という理由から、放送倫理違反を問うことは難しいと判断したという(読売新聞朝日新聞)。

問題となったのは、昨年11月末に歌手のASKA氏が覚醒剤使用の疑いで逮捕された事件。容疑者が逮捕直前に乗ったタクシー車内のドライブレコーダー映像が放送局に流出、複数の放送局でこの映像が放映された(過去記事)。

タクシー業者側は不適切な提供と認めていたほか、視聴者からはプライバシー侵害では無いかと行った声が寄せられていたという。

13127502 story
情報漏洩

「最もよく使われているパスワード」、2016年調査でもトップは「123456」 42

ストーリー by hylom
みんな大好き123456 部門より
headless 曰く、

パスワードマネージャー「Keeper」を開発するKeeper Securityの調査によると、2016年も最もよく使われているパスワードは「123456」だったそうだ(Keeper Securityのブログ記事BetaNewsの記事The RegisterSoftpedia)。

今回の調査は、2016年に発生したさまざまな情報流出により公開されたパスワード1,000万件を対象としており、2016年に公表された過去の情報流出は除外されている。また、1件の情報流出でのみ出現するパスワードも対象外にしているという。記事では特に説明されていないが、流出したパスワードはハッシュ化されていることが多いため、クラック済みのパスワードのみが調査対象とみられる。

パスワード「123456」は全体の17%近くを占めるという。上位8件には6桁の「123456」から10桁の「1234567890」まで、キーボード上段の数字を順に並べたものがすべて入っており、逆行パターンや繰り返し、往復を含めると上位19件中9件。「111111」のように同じ数字を6つ並べただけのものも4件あり、数字だけのパスワードは上位20件中13件を占める。

「qwerty」のようにキーボード上の英字を順に並べたものは3件、「1q2w3e4r」のような2列を交互に並べたパターンも4件ある。単語を使用したパスワードは「password」と「google」で、「mynoob」というパスワードはゲーム関連サイトの2件の情報流出でのみみられるパターンだという。

上位25件の中には「18atcskd2w」「3rjs1la7qe」というパスワードも含まれるが、これらはボットがスパムを投稿する目的で作成したアカウントのパスワードとみられるとのこと。

よく使われるパスワード上位25件は以下の通り。

  1. 123456
  2. 123456789
  3. qwerty
  4. 12345678
  5. 111111
  6. 1234567890
  7. 1234567
  8. password
  9. 123123
  10. 987654321
  11. qwertyuiop
  12. mynoob
  13. 123321
  14. 666666
  15. 18atcskd2w
  16. 777777
  17. 1q2w3e4r
  18. 654321
  19. 555555
  20. 3rjs1la7qe
  21. google
  22. 1q2w3e4r5t
  23. 123qwe
  24. zxcvbnm
  25. 1q2w3e
13123305 story
情報漏洩

Cellebriteから顧客情報が流出、ロシアやトルコなどの政府機関に販売していた可能性も指摘される 2

ストーリー by headless
秘密 部門より
モバイルフォレンジックを専門とするCellebriteのサーバーが不正アクセスを受け、情報が流出したとMotherboardが報じている。Motherboardはハッカーから900GBのデータを入手したという(Motherboardの記事[1][2]Cellebriteのプレスリリース)。

Cellebriteは2015年12月に米国で発生した銃乱射事件の犯人が使用していたiPhone 5cロック解除技術を持つ企業として注目を集めた。実際にはこのiPhone 5cのロック解除にCellebriteの技術は使われなかったとも報じられているが、米国ではFBIなどの連邦捜査機関だけでなく、各州の警察もCellebrite製品を利用しているという。

世界各国の捜査機関が導入し、テロ事件の捜査などで使われているというCellebrite製品だが、バーレーンでは拷問にかけた反体制活動家を起訴するのに使われたと12月にThe Interceptが報じている

Motherboardが入手したデータにはCellebriteのユーザーアカウント情報やサポートチケットなどが含まれているという。これらのデータからMotherboardでは、バーレーンのほかにもロシアやトルコ、UAEなど抑圧的な政権下の政府機関がCellebrite製品を購入している可能性を指摘する。

Cellebriteでは抑圧的な政権に製品を販売しているかどうかについて回答を拒否しており、同社の重役もその質問には答えられないとBBCのインタビューで述べている。しかし、CellebriteのEULAには人権尊重に関する言及はなく、ジャーナリストなど特定の人々への使用も禁じていないとのこと。

Cellebriteではライセンス管理システムデータベースのバックアップを保存したWebサーバーが不正アクセスの被害にあったことを認めたうえで、既に新しいユーザーアカウントシステムに移行しているため、流出したのは基本的な情報のみであり、ユーザーに重大なリスクをもたらすものではないとの見解を示している。
13081298 story
Yahoo!

米Yahoo!、今度は10億人分のユーザー情報を漏洩。以前のものとはまた別 16

ストーリー by hylom
またしても 部門より

今年9月、米Yahoo!が5億人以上のユーザー情報が流出したことを明らかにしたが、これとは別に10億人分のユーザー情報が流出したことが明らかになった(ITmedia産経新聞)。

流出の原因は2013年8月に行われたサイバー攻撃で、流出した情報にはユーザー名や生年月日、メールアドレス、電話番号など。クレジットカード番号や銀行口座情報は含まれていないとのこと。Yahoo!は対象となったユーザーに対しパスワード変更などを促しているという。なお、米Yahoo!とYahoo! JAPANは運営が異なっているので、Yahoo! JAPANユーザーについては漏洩の影響はない。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...