米国国家安全保障局（NSA）が、位置情報を保護するためのガイダンス「Limiting Location Data Exposure」を発表したそうだ。このガイダンスは政府機関や一般ユーザーなどの位置情報漏洩を防ぐためのものだという（NSA、マイナビ、ガイダンス全文[PDF]）。

マイナビによると具体的な対策例としては、

• デバイスの位置情報サービス設定を無効にする
• Wi-FiやBluetoothを頻繁に使用していない場合にはオフにする
• デバイスを使用していない時は機内モードにする
• アプリには最低限必要な権限しか許可しないようにする
• "デバイスを探す"などの追跡機能をオフにする
• デバイスでのWebブラウジングは最小限にとどめ、ブラウザへの位置情報サービスへのアクセスは許可しない
• 匿名のVPNを使用する
• 可能であれば、クラウドに保存される位置情報を最小限にする

というものとなっている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
Android 11 Beta 3 リリース 2020年08月09日
米上院議員、行動ターゲティング広告を表示するサービスプロバイダーを米通信品位法230条の免責対象外にする改正案を提出 2020年08月02日
GMOタウンWiFiがTwitterの誹謗中傷投稿を非表示にするサービスを開始 2020年06月24日
AppleとGoogleが協力する新型コロナ接触追跡システム、旧型端末を使用する約20億人は利用できない 2020年04月24日

やや旧聞に類する話だが、通販番組を手がける「ショップチャンネル」の通販サイトに不正ログインが発生していたそうだ。サイト上に登録されている顧客情報が流出した可能性があるという。7月15日に海外から不正ログインが試行されていることが定期チェックで判明、そこから調査した結果、不正ログインが判明したようだ（リリース[PDF]、ScanNetSecurity）。

運営会社ジュピターショップチャンネルによると、不正ログインはリスト型攻撃によって行われたと推測されている。発表によれば不正ログインされた情報は264件。そのうち22件が氏名、郵便番号、住所、電話番号、メールアドレス、生年月日、クレジットカード番号の下4桁と有効期限と本人以外へのお届け先として登録されている氏名や住所、郵便番号の情報も閲覧されている可能性があるとしている。

不正ログインされたユーザーのパスワードは7月16日にリセットされたとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ニンテンドーアカウントへの不正ログインが多発中？ 2020年04月23日
IPAが「情報セキュリティ10大脅威 2020」を発表、「スマホ決済の不正利用」1位に 2020年01月31日
効率的に不正接続を試みるリスト攻撃プログラムが見つかる 2020年01月17日
ID/パスワードに従業員番号が使われていたシステムに不正ログインして福利厚生を不正利用したドコモCS契約社員が逮捕される 2019年10月18日

US航空安全機関(EASA)は7月21日、エアバスA350型機の制御パネルにカバーを装備するよう運航会社に命ずる耐航空性改善命令(AD)を発行した(AD、 The Registerの記事)。

同型機では2つの操縦席の間にある制御パネルの組み込まれた台に液体をこぼした場合、運航中にエンジンが停止して再始動できなくなる可能性がある。エアバスは操縦室内の液体禁止ゾーンを定義する航空機運航マニュアル(AFM)暫定リビジョン(TR)を発行しており、EATAはAFM TRに従ったAFM修正を運航会社に命ずるADを2月に発行していた。

その後、エアバスは制御パネルを完全に液体から保護できる取り外し可能なカバー(mod 116010)を開発し、作業指示書(SB)を発行している。また、液体禁止ゾーンの定義に加えてカバーの使用方法や誤って液体をこぼしたときの対応などを含むAFM TRも同時に発行したという。エアバスはさらに、制御パネル自体を耐水化するmod 116038も開発したとのこと。

今回のADは2月のADを置き換えるもので、mod 116038を適用済みのものを除くすべてのA350-941/1041にカバーを装備し、AFMを更新するよう運航会社に命じている。

すべて読む | セキュリティセクション | セキュリティ | EU | スラッシュバック | Java | 交通 | 情報漏洩 |

関連ストーリー：
エアバスA380のエコノミークラス席を一時撤去し貨物輸送を可能に。貨物機転用は世界初 2020年07月14日
三菱重工業、ボンバルディアのCRJ事業を6月1日承継へ 2020年05月10日
エアバス、A350型機で操縦室内の液体禁止ゾーンを定義 2020年02月09日
機長のコーヒーがこぼれて緊急着陸したエアバスA330 2019年09月15日

VPNサービスのニュース・レビューサイト「vpnMentor」のブログ記事によると、香港を拠点とする複数の無料VPNアプリの個人情報が流出していたのを発見されたそうだ。各サービスの公称利用者数を合計すると約2000万人分の個人情報が流出している可能性がある（Digital Trends）。

各サービスでは本来はログは保存していないと説明されていたようだ。しかし、流出したデータには、ユーザ登録時のIPアドレスやアカウント名とパスワード、有料版利用者のビットコインの支払い情報やPayPalのURLなどが含まれていた。容量では1テラバイト、内容的には10億行のデータが含まれていたという。

これらのVPNサービスは異なる企業によって提供されていたものの、アプリの配布元はすべて同一の香港の会社だった。また支払いに関してはDreamfii HKという企業だったという共通点があった。さらに各サイトは同じIPアドレスで似たデザインになっていることから、同一提供者によるホワイトラベルだったのではないかとvpnMentorでは予想している。

それぞれのVPNサービスのアプリ名をアプリストアで見てみると、iOS版やGoogle Playでも日本語のレビューが見られることから、日本でも利用者が結構いた可能性があるようだ。利用していた方はパスワード変えるなど対策が必要だろう。

今回データが流出したのは以下のサービス

• UFO VPN
• FAST VPN
• Free VPN
• Super VPN
• Flash VPN
• Secure VPN
• Rabbit VPN

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
利用サービスで情報漏洩が発生しても、パスワードを変えるユーザーは3分の1程度 2020年06月05日
アイ・オー・データのNAS管理サービスに不正アクセス、6万件の個人情報流出 2020年05月19日
日経グループの社員がメール経由でウイルスに感染、社員ら1万2514人分の個人情報流出 2020年05月15日
SODの成人向け動画サービスでほかのユーザーのメールアドレスや閲覧履歴などが見えてしまうトラブル 2020年03月19日
Facebook、従業員29,000人分の給与情報を保存したハードディスクを盗まれる 2019年12月18日

過去に漏洩した10億を超える認証情報を元に分析したところ、未だに「123456」のパスワードが多く使われていることが分かった。この分析はコンピュータエンジニアリングの学生であるAtaHakçıl氏が先月実施したもの。さまざまな企業で発生したデータ侵害後、オンライン上に漏洩したユーザー名とパスワードの組み合わせを分析したという（ZDNet、分析に使われたデータセットなど、slashdot）。

同氏の分析結果によると、10億件以上のデータの中から重複していない一意のパスワードは168,919,919個であったという。さらに700万以上が毎度おなじみの「123456」文字列であったとしている。パスワード長に関しては平均で9.48文字であったことも分かったという。ほとんどのセキュリティ専門家は、16〜 24文字以上の長いパスワードを使うことを推奨しているが、9.48文字はとくに少ないはいえないとしている。

別の発見はパスワードに使われている文字の種類だ。特殊文字を含むと解析されにくくなるが、こうした特殊文字を使用しているのは全体の12％ほどだったという。ほとんどの場合、ユーザーは文字のみ（29％）や数字のみ（13％）だけのパスワードを使用している。
つまり10億個のデータセットに含まれていたすべてのパスワードのうち、約42％が辞書攻撃に対して脆弱であることを意味している。

すべて読む | ITセクション | セキュリティ | IT | 情報漏洩 |

関連ストーリー：
米インディアナ州最高裁判所、スマートフォンのロック解除強制は不利な証言の強制にあたると判断 2020年06月28日
今どきの探偵はスパイウェアやキーロガーを駆使する 2020年06月23日
ニンテンドーネットワークIDへの不正アクセス、約30万件 2020年06月11日
利用サービスで情報漏洩が発生しても、パスワードを変えるユーザーは3分の1程度 2020年06月05日

Anonymous Coward曰く、

NTTコミュニケーションズは5月28日、攻撃者からの不正アクセスを受けたことを5月7日に検知し一部の情報が外部に流出した可能性があることを発表した（プレスリリース）。

NTTコミュニケーションズが提供する企業向けクラウドサービスBHE/ECL1.0において、ラテラルムーブメント（水平移動）タイプのアタックによりシンガポールのサーバからサービス管理セグメントの運用サーバを経てNTTコミュニケーションズ社内のActiceDirectoryサーバが不正操作された模様。情報流出の可能性があるユーザは621社であるとのこと。

またNTTコミュニケーションズ社内のサーバ群への不正アクセスも認められるため影響を調査しているとのこと。撤去予定のサーバが踏まれたような記述があるが、同業社としては注意したいところである。

すべて読む | セキュリティセクション | セキュリティ | IT | 情報漏洩 |

関連ストーリー：
日経グループの社員がメール経由でウイルスに感染、社員ら1万2514人分の個人情報流出 2020年05月15日
三菱電機、不正アクセスによる攻撃を受け情報漏洩 2020年01月20日
中国のサイバー攻撃集団によるものとみられる医療業界を狙った攻撃、2013年より継続中との分析 2019年08月28日
NECも不正アクセスによる攻撃を受け情報漏洩 2020年01月31日

日本経済新聞社に対しサイバー攻撃が行われ、同社やグループ会社の社員の個人情報が流出した（日経新聞の発表、プレスリリース）。

同社グループ従業員のPCがメールの添付ファイル経由でウイルスに感染し、そこから流出が発生したという。流出したのは同社のネットワーク端末を利用した同社および関連会社・団体、派遣社員、アルバイト、業務委託先社員など1万2514人分の情報で、氏名や所属、メールアドレスが含まれていた。読者や顧客、取材先に関連する情報の流出はないとのこと。

セキュリティソフトなどは導入しているが、今回のウイルスは検出できていなかったようだ。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
三菱電機へのサイバー攻撃とそれによる情報漏洩、発覚したきっかけは不審な「Chrome.exe」 2020年05月08日
NECも不正アクセスによる攻撃を受け情報漏洩 2020年01月31日
三菱電機、不正アクセスによる攻撃を受け情報漏洩 2020年01月20日
米大手銀行から1億人分の個人データが漏洩、元Amazon従業員が容疑者として拘束される 2019年07月31日