❌

ノーマルビュー

Received — 2020年12月8日 ⏭ スラド

スラド
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月8日 12:00

PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性

著者: nagazou

2020年12月8日 12:00

決済サービス「PayPay」は12月7日、ブラジルから不正アクセスを受けて加盟店の関連情報2007万6016件が流出した可能性があると発表した。不正アクセスがあったのは11月28日だという（PayPay）。

加盟店情報のみで一般ユーザーの情報に関しては別のサーバーであったことから流出していないとしている。不正アクセスに至った原因については、アクセス権限の設定で、2020年10月18日～12月3日の期間は不備のあった状態になっていた。外部からの連絡により判明したとしている。

同社によれば流出した可能性のある情報は以下の通り。

(1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、営業対応履歴
(2)加盟店営業先の店名、住所、連絡先、代表者名、営業対応履歴
(3)当社従業員の氏名、所属、役職、連絡先
(4)当社パートナー・代理店の社名、連絡先、担当者名、売上振込先
(5)加盟店向けアンケート回答者の氏名、電話番号、メールアドレス
アクセスされた可能性のある最大件数:20,076,016件

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
警察庁内にある端末で1年以上不正アクセス。民間の通報で発覚か 2020年12月01日
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日

Received — 2020年12月7日 ⏭ スラド

スラド
共通テスト「情報」試作問題はどこから漏れたのか？ 2020年12月7日 14:03

共通テスト「情報」試作問題はどこから漏れたのか？

著者: Dharma-store (posted by nagazou)

2020年12月7日 14:03

Dharma-store 曰く、

どういう所から入手してくるのか分からないのですが、大学入試センターが関係者に提示した「情報」の試作問題が報道されています（【独自】共通テスト「情報」で試作問題示す…プログラミングによる課題解決など : ニュース : 教育 : 教育・受験・就活 : 読売新聞オンライン）。
【独自】のアオリがなんとも勇ましい。
で、以下の設定のうち、動画サイズが小さい順に並べなさいというのが、設問だそうです。
1）16,777,216色(24bit) 60fps 1280× 720ピクセル
2）16,777,216色(24bit) 30fps 1920×1080ピクセル
3） 256色 30fps 3840×2160ピクセル
256で3840×2160って、どういう4K動画なんでしょうか。いっそ、白黒映画なんかは、グレースケールでこれで行くというのもアリなんですかね。
ちなみに解答は、1）＜ 2）＜ 3）ということで、やはり256は最強であるということで宜しいかと存じ上げる次第であるあるある（残響音含む）
とか書いてみたものの、「256が最強」というエビデンスが見当たらず、なんかアレを読んで、自分は２の倍数や二進法に心引かれてたような気がするのですが、もしかしたら別のナニかを見ていたのかも知れないと不安に駆られるのですが、30年近く前の記憶なので、もはや修正の仕様もなく。

すべて読む | セキュリティセクション | 情報漏洩 |

関連ストーリー：
大学入学共通テストに「情報」教科が新設される 2020年10月22日
入試で女性受験者に対し不利な条件を設定していたとされる4つの大学、指摘後に女性の合格率が向上 2020年06月06日
岡山理科大学獣医学部で入試不正疑惑 2020年03月06日
日本では「男子医大」は作れない？ 2020年01月21日
「わからない問題を検索しようと」センター試験中にスマホを使おうとした受験者 2020年01月21日
聖マリアンナ医科大、入試で女性や浪人生を一律に差別 2020年01月20日

Received — 2020年12月4日 ⏭ スラド

スラド
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月4日 13:02

パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件

著者: nagazou

2020年12月4日 13:02

パスワード付きZIPとパスワードを別メールで送信するPPAP廃止の動きが広まってきている。代替策として提案されるようになってきたのが、民間のストレージサービスでファイルを共有、圧縮ファイルを解凍するパスワードをメールで送信する、パスワードを電話などで口頭で伝えるという方法だ（過去記事、ITmedia）。

パスワードを電話で伝える方法は、相手がリアルタイムで電話に出なければならない、口頭で伝えられたパスワードをメモる必要がある等々面倒すぎることから、現実的ではないと思われていた。しかしTogetterのまとめによれば、実際にこの方法を採用している例も出ている模様。パスワードのアルファベットを間違いなく口頭で伝えるために

取引先「フォックスロット、タンゴ、アルファ、ナイン、ナイン。復唱お願いします」

といったフォネティックコードを使う必要があるのではという意見も出ている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 2020年11月20日
マルウェアEmotetの再拡大で米政府機関、パスワード付きzip添付ファイルはウイルスチェックできないとしてブロックを推奨 2020年10月13日
マルウエア「Emotet」を拡散させる攻撃メール、7月中旬から拡散再開を観測 2020年08月03日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日

Received — 2020年11月29日 ⏭ スラド

スラド
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日 15:32

Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出

著者: headless

2020年11月29日 15:32

Canon USAは11月25日、7月下旬から8月上旬にかけて同社のネットワークに不正アクセスがあり、従業員に関するデータが流出していたことを明らかにした(Canon USAの発表、 Softpediaの記事)。

Canon USAでは8月4日にランサムウェア攻撃を確認し、対策を行うとともに調査を進めていたそうだ。同社ネットワークでは7月20日から8月6日の間に不正な活動が確認されており、この間にファイルサーバー上のファイルへの不正なアクセスが行われていたという。ファイルサーバーの調査は11月2日に完了し、2005年～2020年にCanon USAまたは特定の子会社・前身会社・関連会社に勤務していた従業員(現・元)および、その受取人や扶養家族に関する情報を含むファイルへのアクセスが判明したとのこと。

ファイルには個人の名前および、その人の社会保障番号・運転免許証番号・政府発行の身分証明書番号・振込先金融機関の口座番号・電子署名・生年月日のうち少なくとも1つ以上のデータが含まれていたという。Canon USAでは影響を受けた人に謝罪するとともに、Experianの信用情報保護サービスIdentityWorksのメンバーシップ12か月分を無償提供すると述べている。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | 情報漏洩 | プライバシ |

関連ストーリー：
Spotifyでアカウントデータが流出。30～35万人規模 2020年11月26日
チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 2020年11月20日
フィリピン保健庁運営の医療従業者向けコロナアプリ、APIのURL直打ちで個人情報が見れる状態に 2020年11月16日
Mashable、ユーザーデータ流出に関する調査結果を報告 2020年11月10日
キヤノンUSAがサイバー攻撃を受け米国でのサービスに影響。一部ソフトウェア入手に問題も 2020年08月13日
キヤノンの写真クラウド「image.canon」、保存データの一部が消失 2020年08月07日
キヤノンのデジタルカメラにランサムウェア攻撃が可能な脆弱性 2019年08月15日

Received — 2020年11月26日 ⏭ スラド

スラド
Spotifyでアカウントデータが流出。30～35万人規模 2020年11月26日 12:00

Spotifyでアカウントデータが流出。30～35万人規模

著者: nagazou

2020年11月26日 12:00

音楽ストリーミングサービス「Spotify」で、一部顧客のユーザーアカウントデータが流出したようだ。セキュリティ企業vpnMentorの研究者であるNoamRotem氏とRanLocar氏が発見した（vpnMentor、ZDNet、Engadget、マイナビ）。

流出したのはメールアドレスおよびユーザー名とパスワードのログイン資格情報のデータベース。データベースがどういう経緯で流出したかは不明だが、データ容量にして72GB、アカウント数にして300,000から350,000ユーザー分のデータが流出していたという。すでにSpotifyは該当するユーザーに関してはアカウントのローリングパスワードリセットを実行、流出した資格情報ではログインができなくなっている。このため、該当したユーザーはパスワードの再設定が必要となる。

ただし、ほかのサービス上で同様のユーザー名やパスワードを使用している場合、流出した資格情報を元にして不正侵入が行われるリスクがあるとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
Mashable、ユーザーデータ流出に関する調査結果を報告 2020年11月10日
流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み) 2020年11月06日
noteで投稿者のIPアドレスが閲覧できる問題が発生。そこから5ちゃんねるなどの書き込みが検索される事態に 2020年08月17日
イラン支援のハッカー組織、新人育成用動画を流出させる。驚くほどの手際の良さが判明 2020年07月30日
保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性 2020年07月21日
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日

Received — 2020年11月20日 ⏭ スラド

スラド
カプコン、採用応募者の情報を破棄していなかったことが判明 2020年11月20日 17:05

カプコン、採用応募者の情報を破棄していなかったことが判明

著者: nagazou

2020年11月20日 17:05

あるAnonymous Coward 曰く、

カプコンのランサムウェア被害の絡みで流出した情報に採用応募者情報（氏名、生年月日、住所、電話番号、メールアドレス、顔写真など）が約12万5000件含まれていたが、これについて流出自体とは別に話題になっているそうだ（J-CASTニュース）。

話題になって理由としてカプコンの応募サイトには、「採用選考の結果、採用に至らなかった方、及び、採用を辞退された方の応募書類等は、選考後、当社において責任をもって破棄致します」と書かれていたためで、「（説明に反して）破棄されていなかったのでは?」という指摘が出ているようだ。

カプコン広報IR室によれば、履歴書などの書類は破棄した後も、「再応募いただける方もいらっしゃり、確認をスムーズにするため」電子化して一定期間（期間は非公表）保管しているという。流出の可能性があるのは電子データになる。」とのことだが、タレコミ人としてはそれ（電子データ）で保存していること自体、破棄していない事でしかないと思う。

そもそも、再応募事は再応募時で新しい履歴書来るのだからそれで判断すればいい話で保存する必要はないと思われ、（不採用や辞退後に）保管する必要性は見当たらない。

情報元へのリンク

すべて読む | セキュリティセクション | 犯罪 | 情報漏洩 |

関連ストーリー：
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
カプコンがランサムウェアの被害に。1100万ドルの身代金を要求 2020年11月10日
マテル、ランサムウェア攻撃の封じ込めに成功していた 2020年11月08日
ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査 2020年09月20日
Windows 10の9月の累積更新プログラム、Bitdefenderにブロックされる 2020年09月12日

スラド
チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 2020年11月20日 13:03

チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩

著者: nagazou

2020年11月20日 13:03

イベントチケット販売などを行っている「Peatix」は17日、外部からの不正アクセスによって顧客情報が流出したと発表した。不正アクセスは10月16～17日にかけて発生、氏名、メールアドレス、暗号化されたパスワードが最大で677万件引き出されたとしている。詳細については現在も調査中。すべてのユーザーにパスワードの再設定が必要となる措置を取ったとしている（Peatix、CNET）。

この影響でイベントやチケット販売などをPeatixに委託していた国内各自治体がお詫びと被害状況の告知などを行っている。TechCrunchの記事によれば、鹿児島県や埼玉県、栃木県宇都宮市、福井県福井市、宮崎県宮崎市などのイベント申込者の個人情報が流出したと見られている（TechCrunch）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
不正アクセスで連日発表の続くゆうちょ銀行、プレスリリースでUnicodeで互換用文字とされている半角カナを使用 2020年10月07日
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日
川崎市の野球場予約システムで不正アクセスが多発。利用不能となり紙での申し込みに変更 2020年09月24日
SBI証券、不正アクセスで利用者の資産9864万円流出　“本人名義の偽口座”へ送金される 2020年09月17日

Received — 2020年11月16日 ⏭ スラド

スラド
フィリピン保健庁運営の医療従業者向けコロナアプリ、APIのURL直打ちで個人情報が見れる状態に 2020年11月16日 13:03

フィリピン保健庁運営の医療従業者向けコロナアプリ、APIのURL直打ちで個人情報が見れる状態に

著者: nagazou

2020年11月16日 13:03

CitizenLabによると、フィリピンのCOVID-19の症例データ共有アプリが情報を漏えいしたと報じられている（CitizenLab、Threatpost）。

このシステムは「OVID-KAYA」プラットフォームと呼ばれており、フィリピンの最前線の医療従事者がCOVID-19感染者の症例を収集し、フィリピン保健省と共有するために使用するためのもの。ウェブアプリとAndroidアプリの両方に脆弱性が存在しており、許可されていないユーザーが感染者や潜在的な感染者の情報を閲覧できていたという。

ウェブアプリ側では認証ロジックに脆弱性が含まれていた。これにより、ヘルスセンターの名前と場所、およびアプリのサインアップ時に利用される30,000を超えるヘルスケアプロバイダーの名前が公開された可能性があるとされる。Androidアプリでは、医療提供者の名前や機密性の高い患者データにもアクセスできるハードコードされたAPI認証情報が使用されていたとのこと。

CitizenLabは8月18日にDure Technologies、フィリピン保健省、フィリピン世界保健機関（WHO）の関係者などのアプリ開発者にウェブアプリの脆弱性を開示、続いて9月14日にAndroidアプリの脆弱性を公開した。判明した欠陥は10月29日の時点で解消されているそうだ。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日
IPAが「情報セキュリティ10大脅威 2020」を発表、「スマホ決済の不正利用」1位に 2020年01月31日
トレンドマイクロの「パスワードマネージャー」に情報漏えいにつながる可能性のある脆弱性 2020年01月20日
英政府から流出した文書がRedditで拡散される、Reddit運営はロシアの工作と判断 2019年12月11日
IPA、「情報セキュリティ10大脅威 2019」を発表 2019年02月01日

Received — 2020年11月10日 ⏭ スラド

スラド
Mashable、ユーザーデータ流出に関する調査結果を報告 2020年11月10日 15:02

Mashable、ユーザーデータ流出に関する調査結果を報告

著者: nagazou

2020年11月10日 15:02

headless 曰く、

Mashableのユーザーデータベースとみられるファイルが4日、複数のハッカーフォーラムに投稿されて話題となっていた。これについてMashableが同サイトのものであることを認め、調査結果を報告している(Mashableの記事)。

Mashableによると、このデータベースはソーシャルメディアログインを利用するユーザーがMashableのコンテンツを容易に共有できるようにするため、かつて使われていたものだという。含まれるデータは姓名や大まかな場所(国名・都市名など)、電子メールアドレス、性別、登録日、IPアドレス、ソーシャルメディアのプロファイルページへのリンク、期限切れのOAuthトークン、ユーザーの誕生日(月日のみ)とのこと。

Mashableでは登録ユーザーに財務情報の入力を求めることはなく、保存することもない(ため、流出もしていない)。パスワードは流出したデータに含まれていなかったようだが、ユーザーのパスワードがアクセスされた形跡はないと説明している。

HackReadの記事によれば、データベースを投稿したのはShinyHuntersと名乗るハッカーで、データベースのサイズは5.22GBあったという。ShinyHunterは最近数か月の間にオンラインサービスなど十数件のユーザーデータベースを投稿して注目されている。

Mashableのデータベースにパスワードが含まれていなかったことはShinyHuntersも投稿時に説明していたそうだ。なお、HackReadではデータベースに含まれるアカウントの種類をスタッフ・ユーザー・サブスクライバーとしており、スクリーンショットでは mashable.comドメインの電子メールアドレスも確認できる。

すべて読む | セキュリティセクション | セキュリティ | インターネット | 情報漏洩 |

関連ストーリー：
中国のワクチン工場からブルセラ症原因菌が流出、周辺住民6620人の感染が確認 2020年11月07日
流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み) 2020年11月06日
過去最大の上場が一時停止。アリペイのアントグループ、上海・香港への上場を直前で停止発表 2020年11月04日
Microsoft、流出したWindows XPのソースコードをGitHubから削除するのに10日を要する 2020年10月12日

Received — 2020年11月6日 ⏭ スラド

スラド
流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み) 2020年11月6日 18:05

流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み)

著者: nagazou

2020年11月6日 18:05

「GitHub」のソースコードがGitHubのCEOであるNatFriedmanを名乗る人物によって公開された。もちろん偽物だ。このソースコードは削除されており、web archiveに残っていたものもアクセスできなくなっている。なお本物のNatFriedman氏は今回の経緯について、数か月前に一部の顧客宛に誤って出してしまったことがあり、それがアップされたものだとしている（Resynth、Hacker News、GIGAZINE）。

リポジトリの偽装については、もともとGitHubで課題とされていた「なりすまし」の方法が取られているという。GIGAZINEによれば、

手法としては、まず偽装したいリポジトリをフォークし、偽装したいアカウントのメールアドレスを利用してコミット。その後フォークしたリポジトリをGitHubに公開すれば、見た目上はリポジトリを偽装することができてしまいます。

とのこと。ただ、この流出を機にGitHubをオープンソースにすべきという意見も強まっているようだ。

あるAnonymous Coward 曰く、

1100人にフォークされた模様

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
GoogleのProject Zero、GitHub Actionsの脆弱性を公表 2020年11月05日
youtube-dl削除でGithub／DMCAがネタ荒らしされる。GitHubのフリードマンCEOは復活へ支援を表明 2020年10月30日
YouTube動画のダウンロードツール「youtube-dl」関連プロジェクトを削除 2020年10月27日
Linux向けプリンタードライバCUPS、昨年末からコミット数激減 2020年10月26日
Microsoft、流出したWindows XPのソースコードをGitHubから削除するのに10日を要する 2020年10月12日
「オープンソースソフトウェア」を俺流解釈する人が増えている？ 2020年09月08日

Received — 2020年10月27日 ⏭ スラド

スラド
本レビューサイト「ブクログ」、2年弱ソースコード上にメールアドレスが表示された状態に 2020年10月27日 08:01

本レビューサイト「ブクログ」、2年弱ソースコード上にメールアドレスが表示された状態に

著者: nagazou

2020年10月27日 08:01

ブクログは10月21日、読んだ本の感想などを投稿できる同社のサービス「ブクログ(booklog)」で、本棚の公開設定をしている場合、利用者のページのソースコード内にそのページ利用者のメールアドレスが記載されていたと発表した（ブクログリリース）。

20日16時頃に利用者からの指摘を受けて発覚したという。リリースによれば、2018年12月25日に行ったサイト改修が行われた時点から、2020年10月20日に修正されるまでの期間、メールアドレスが表示される仕様になっていたとしている。なお本棚を非公開にしている場合はメールアドレスが表示されることはないとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
Microsoft、流出したWindows XPのソースコードをGitHubから削除するのに10日を要する 2020年10月12日
不正アクセスで連日発表の続くゆうちょ銀行、プレスリリースでUnicodeで互換用文字とされている半角カナを使用 2020年10月07日
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日
Windows XP/Server 2003のソースコードが流出か 2020年09月26日
SBI証券、不正アクセスで利用者の資産9864万円流出　“本人名義の偽口座”へ送金される 2020年09月17日
リバースブルートフォース攻撃で狙われやすい暗証番号は？ RockYouから流出したパスワードから解析 2020年09月17日

Received — 2020年10月12日 ⏭ スラド

スラド
Microsoft、流出したWindows XPのソースコードをGitHubから削除するのに10日を要する 2020年10月12日 13:03

Microsoft、流出したWindows XPのソースコードをGitHubから削除するのに10日を要する

著者: nagazou

2020年10月12日 13:03

headless 曰く、

9月に流出が話題となったWindows XPのソースコードだが、GitHubに転載されたソースコードをMicrosoftが削除するまでに10日を要したようだ(TorrentFreakの記事、 BetaNewsの記事)。

GitHubリポジトリにソースコードがアップロードされたのは9月28日(Internet Archiveのスナップショット)。Microsoft Security Insident ResponseのスタッフがDMCA削除要請をGitHubに送ったのは10月8日となっている。同じユーザーはWindows XPと同時にリークしたWindows Server 2003のソースコードもGitHubに転載しているが、こちらのリポジトリは日本時間12日0時過ぎの時点でもアクセス可能な状態だ。

Microsoftは結果として、流出したWindowsのソースコードを傘下のGitHubでホストしていることになる。元々torrentで流出したため簡単に止めることはできないとはいえ、Microsoftが流出をあまり問題視していないようだとTorrentFreakは評している。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | スラッシュバック | Windows | 情報漏洩 |

関連ストーリー：
Windows XP/Server 2003のソースコードが流出か 2020年09月26日
noteで投稿者のIPアドレスが閲覧できる問題が発生。そこから5ちゃんねるなどの書き込みが検索される事態に 2020年08月17日
2009年に起きたカナダ・ノーテル破綻は中国のサイバー攻撃が原因か。市場を引き継いだのはファーウェイ 2020年07月07日
今度は3DSのOSやソフトのソースコードが流出？ 2020年05月26日
Wiiの設計情報やソースコードが流出？ 2020年05月07日

Received — 2020年10月6日 ⏭ スラド

東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存

著者: Dharma-store (posted by nagazou)

2020年10月6日 13:02

東映の子会社である東映ビデオは9月30日、同社が運営する「東映ビデオオンラインショップ」で、ユーザーのクレジットカード情報(10,395件)が漏えいした可能性があると発表した（東映ビデオ）。

原因は外部からの不正アクセスとみられ、漏洩はクレジットカード会社からの指摘で判明したという。クレジットカード会社から漏洩の指摘があったのは5月11日。その段階でサービスは停止している。5月29日に第三者機関による調査が完了したとのこと。最終報告書によれば、2019年5月27日から2020年5月11日の期間に不正アクセスが発生、利用者のクレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコードが流出した可能性があるとしている。

5月に判明していたにもかかわらず、9月まで発表が遅れた理由としてはカード会社と協議を重ねていたためだとしている。

Dharma-store 曰く、

クレカ情報、1万件が流出か　東映子会社DVD販売サイトから
https://news.yahoo.co.jp/articles/906c73ffff8b815b3636d475d97cfa81a29a8306
というのは、まぁありがちな話かなぁとおもったら、
> 同社によると、昨年5月から今年5月までに同サイトでカード決済した人の
> カード番号、名義人の氏名、有効期限、セキュリティーコードが漏れた可能性があるという。
とのこと。セキュリティコードが漏れるって、わざわざ保存してたんでしょうか。
決済システムの仕様が分かりませんが、そんな恐ろしいことしてて良いんですかねぇ。
可能性としては、システムいじられてて、入力データがダダ漏れになってたということも
あるかもしれませんが、それにしてもセキュリティコードもってかれたらたまりません。
実店舗でも、最近は店員にカードを渡さない感じになってきたので有り難いのですが、
昔は裏面のセキュリティコードは修正テープで隠したりしてたものです。
ああ、マイナンバーカードもそうすればいいんじゃないの。＞ナンバー隠してどうする。
とりあえず、東映には、仮面ライダーやら戦隊ヒーローやら、セーラームーンやらプリキュアやら
正義の味方がたんまりいるので、あの方たちになんとかしてもらうのが宜しいかと。
ああ、ショッカーもたんまりいいるんでしたっけ。
東映太秦映画村のイーッ！ところをショッカーがご紹介！！
https://www.youtube.com/watch?v=J-OYcziq_XU

すべて読む | セキュリティセクション | 情報漏洩 |

関連ストーリー：
ヤマダ電機のネットショッピングサイトが不正アクセスで改ざんされる。クレジット情報最大37,832件流出の可能性 2019年05月31日
PayPayの「セキュリティコード」入力し放題問題、実際に多数の試行があったのは13件 2018年12月30日
ネット通販のクレジット決済でセキュリティコードを間違えても決済できるという話 2018年12月20日
流出したクレジットカード番号がPayPay経由で使われる懸念 2018年12月17日

Received — 2020年9月18日 ⏭ スラド

スラド
テレフォンバンキングがリバースブルートフォース攻撃される可能性について 2020年9月18日 12:00

テレフォンバンキングがリバースブルートフォース攻撃される可能性について

著者: nagazou

2020年9月18日 12:00

複数の銀行やサービスで発生している不正引き出し事件だが、セキュリティ研究家の高木浩光氏は、インターネットバンキングの普及でだいぶ影の薄くなっているテレフォンバンキングでも、先の不正引き出し事件同様にリバースブルートフォース攻撃によるハッキングの危険性があると指摘している（高木浩光＠自宅（テレワークを除く）の日記）。

同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。

編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。

なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 2019年11月11日
HTTPS化されたe-Govサイト、HTTPでのアクセスはすべてアナウンスページに転送する残念な仕様 2019年07月11日
Yahoo!知恵袋への投稿を元に信用行動スコアを算出するのは目的外利用となり個人情報保護法違反の可能性があるとの指摘 2019年06月13日
兵庫県警による「無限Alert」摘発事件に対する支援金寄付募集、1日で700万円近くが集まり終了 2019年03月26日
毎日新聞のサイバー犯罪に関する報道に対し誤報との指摘 2019年03月08日

Received — 2020年8月22日 ⏭ スラド

スラド
国際宇宙ステーションで通常よりもわずかに高いレートの空気漏れ、全ハッチを閉じて調査へ 2020年8月22日 11:39

国際宇宙ステーションで通常よりもわずかに高いレートの空気漏れ、全ハッチを閉じて調査へ

著者: headless

2020年8月22日 11:39

国際宇宙ステーション(ISS)で通常よりもわずかに高いレートの空気漏れが確認されていることから、今週末に全ハッチを閉じて各モジュールの気圧変化を調べるテストを実施する(NASAのブログ記事)。

ISSはクルーが快適に過ごせるよう与圧されており、常時ごくわずかな空気漏れが発生している。そのため定期的に再与圧が行われているが、昨年9月に標準よりも若干高いレートでの空気漏れが確認されたという。しかし、ISSの運用には船外活動や宇宙船のドッキング・アンドッキングといった作業が伴うため、空気漏れレート増加の判断に十分なデータを収集するための時間がかかったとのこと。

現在ISSに滞在している第63次長期滞在クルー3名(NASAのクリストファー・キャシディ宇宙飛行士、ロスコスモスのアナトーリ・イヴァニシン宇宙飛行士とイヴァン・ヴァグナー宇宙飛行士)は金曜日の夜から月曜日の朝までロシア側の居住棟ズヴェズダサービスモジュールに滞在する。テスト中は全ハッチが閉じられるがクルーへの危険はなく、小型研究モジュールポイスクや地球帰還用の有人宇宙船ソユーズMS-16にはアクセスできる。

ISSでは2018年、ドッキングしていたソユーズMS-09の軌道モジュールに開いた直径2mmほどの穴が原因で空気漏れしている。今回の空気漏れは通常より多いものの基準内に収まっており、直ちにISS滞在クルーへ危険が及ぶことはないそうだ。

すべて読む | セキュリティセクション | 国際宇宙ステーション | サイエンス | 宇宙 | 情報漏洩 |

関連ストーリー：
ロシアの宇宙飛行士曰く、ISS空気漏れの原因となったソユーズの穴に関する尋問や拷問はまだ受けていない 2018年12月31日
国際宇宙ステーションの空気漏れの原因となったソユーズMS-09、地球に無事帰還 2018年12月22日
ISSで8月に空気漏れの原因となったソユーズの穴、ロシアの宇宙飛行士が船外活動で外側から確認 2018年12月15日
ソユーズMS-08、クルー3名を乗せて国際宇宙ステーションから無事地球に帰還 2018年10月08日
国際宇宙ステーションの空気漏れ、ソユーズの穴は内側から開けられたものだった 2018年09月08日
国際宇宙ステーションで空気漏れが発生するトラブル、NASAが補修作業をリポート 2018年09月02日
ISS気圧低下の原因が特定される 2004年01月13日

Received — 2020年8月13日 ⏭ スラド

スラド
米国国家安全保障局（NSA）、位置情報を漏らさないようにするためのガイダンスを公開 2020年8月13日 08:05

米国国家安全保障局（NSA）、位置情報を漏らさないようにするためのガイダンスを公開

著者: nagazou

2020年8月13日 08:05

あるAnonymous Coward 曰く、

米国国家安全保障局（NSA）が、位置情報を保護するためのガイダンス「Limiting Location Data Exposure」を発表したそうだ。このガイダンスは政府機関や一般ユーザーなどの位置情報漏洩を防ぐためのものだという（NSA、マイナビ、ガイダンス全文[PDF]）。

マイナビによると具体的な対策例としては、
デバイスの位置情報サービス設定を無効にする
Wi-FiやBluetoothを頻繁に使用していない場合にはオフにする
デバイスを使用していない時は機内モードにする
アプリには最低限必要な権限しか許可しないようにする
"デバイスを探す"などの追跡機能をオフにする
デバイスでのWebブラウジングは最小限にとどめ、ブラウザへの位置情報サービスへのアクセスは許可しない
匿名のVPNを使用する
可能であれば、クラウドに保存される位置情報を最小限にする
というものとなっている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
Android 11 Beta 3 リリース 2020年08月09日
米上院議員、行動ターゲティング広告を表示するサービスプロバイダーを米通信品位法230条の免責対象外にする改正案を提出 2020年08月02日
GMOタウンWiFiがTwitterの誹謗中傷投稿を非表示にするサービスを開始 2020年06月24日
AppleとGoogleが協力する新型コロナ接触追跡システム、旧型端末を使用する約20億人は利用できない 2020年04月24日

Received — 2020年7月31日 ⏭ スラド

スラド
ショップチャンネルの通販サイトで不正ログインが発生。22件の個人情報が流出した疑い 2020年7月31日 13:02

ショップチャンネルの通販サイトで不正ログインが発生。22件の個人情報が流出した疑い

著者: nagazou

2020年7月31日 13:02

あるAnonymous Coward 曰く、

やや旧聞に類する話だが、通販番組を手がける「ショップチャンネル」の通販サイトに不正ログインが発生していたそうだ。サイト上に登録されている顧客情報が流出した可能性があるという。7月15日に海外から不正ログインが試行されていることが定期チェックで判明、そこから調査した結果、不正ログインが判明したようだ（リリース[PDF]、ScanNetSecurity）。

運営会社ジュピターショップチャンネルによると、不正ログインはリスト型攻撃によって行われたと推測されている。発表によれば不正ログインされた情報は264件。そのうち22件が氏名、郵便番号、住所、電話番号、メールアドレス、生年月日、クレジットカード番号の下4桁と有効期限と本人以外へのお届け先として登録されている氏名や住所、郵便番号の情報も閲覧されている可能性があるとしている。

不正ログインされたユーザーのパスワードは7月16日にリセットされたとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ニンテンドーアカウントへの不正ログインが多発中？ 2020年04月23日
IPAが「情報セキュリティ10大脅威 2020」を発表、「スマホ決済の不正利用」1位に 2020年01月31日
効率的に不正接続を試みるリスト攻撃プログラムが見つかる 2020年01月17日
ID/パスワードに従業員番号が使われていたシステムに不正ログインして福利厚生を不正利用したドコモCS契約社員が逮捕される 2019年10月18日

EASA、エアバスA350型機の制御パネルにカバーを装備するよう命じる。操縦席でコーヒーが飲めるように

著者: nagazou

2020年7月31日 08:00

headless 曰く、

US航空安全機関(EASA)は7月21日、エアバスA350型機の制御パネルにカバーを装備するよう運航会社に命ずる耐航空性改善命令(AD)を発行した(AD、 The Registerの記事)。

同型機では2つの操縦席の間にある制御パネルの組み込まれた台に液体をこぼした場合、運航中にエンジンが停止して再始動できなくなる可能性がある。エアバスは操縦室内の液体禁止ゾーンを定義する航空機運航マニュアル(AFM)暫定リビジョン(TR)を発行しており、EATAはAFM TRに従ったAFM修正を運航会社に命ずるADを2月に発行していた。

その後、エアバスは制御パネルを完全に液体から保護できる取り外し可能なカバー(mod 116010)を開発し、作業指示書(SB)を発行している。また、液体禁止ゾーンの定義に加えてカバーの使用方法や誤って液体をこぼしたときの対応などを含むAFM TRも同時に発行したという。エアバスはさらに、制御パネル自体を耐水化するmod 116038も開発したとのこと。

今回のADは2月のADを置き換えるもので、mod 116038を適用済みのものを除くすべてのA350-941/1041にカバーを装備し、AFMを更新するよう運航会社に命じている。

すべて読む | セキュリティセクション | セキュリティ | EU | スラッシュバック | Java | 交通 | 情報漏洩 |

関連ストーリー：
エアバスA380のエコノミークラス席を一時撤去し貨物輸送を可能に。貨物機転用は世界初 2020年07月14日
三菱重工業、ボンバルディアのCRJ事業を6月1日承継へ 2020年05月10日
エアバス、A350型機で操縦室内の液体禁止ゾーンを定義 2020年02月09日
機長のコーヒーがこぼれて緊急着陸したエアバスA330 2019年09月15日

Received — 2020年7月21日 ⏭ スラド

スラド
保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性 2020年7月21日 15:02

保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性

著者: nagazou

2020年7月21日 15:02

あるAnonymous Coward 曰く、

VPNサービスのニュース・レビューサイト「vpnMentor」のブログ記事によると、香港を拠点とする複数の無料VPNアプリの個人情報が流出していたのを発見されたそうだ。各サービスの公称利用者数を合計すると約2000万人分の個人情報が流出している可能性がある（Digital Trends）。

各サービスでは本来はログは保存していないと説明されていたようだ。しかし、流出したデータには、ユーザ登録時のIPアドレスやアカウント名とパスワード、有料版利用者のビットコインの支払い情報やPayPalのURLなどが含まれていた。容量では1テラバイト、内容的には10億行のデータが含まれていたという。

これらのVPNサービスは異なる企業によって提供されていたものの、アプリの配布元はすべて同一の香港の会社だった。また支払いに関してはDreamfii HKという企業だったという共通点があった。さらに各サイトは同じIPアドレスで似たデザインになっていることから、同一提供者によるホワイトラベルだったのではないかとvpnMentorでは予想している。

それぞれのVPNサービスのアプリ名をアプリストアで見てみると、iOS版やGoogle Playでも日本語のレビューが見られることから、日本でも利用者が結構いた可能性があるようだ。利用していた方はパスワード変えるなど対策が必要だろう。

今回データが流出したのは以下のサービス
UFO VPN
FAST VPN
Free VPN
Super VPN
Flash VPN
Secure VPN
Rabbit VPN

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
利用サービスで情報漏洩が発生しても、パスワードを変えるユーザーは3分の1程度 2020年06月05日
アイ・オー・データのNAS管理サービスに不正アクセス、6万件の個人情報流出 2020年05月19日
日経グループの社員がメール経由でウイルスに感染、社員ら1万2514人分の個人情報流出 2020年05月15日
SODの成人向け動画サービスでほかのユーザーのメールアドレスや閲覧履歴などが見えてしまうトラブル 2020年03月19日
Facebook、従業員29,000人分の給与情報を保存したハードディスクを盗まれる 2019年12月18日

Received — 2020年7月6日 ⏭ スラド

スラド
最も使用されているパスワードは相も変わらず「123456」。漏洩データからの研究 2020年7月6日 16:52

最も使用されているパスワードは相も変わらず「123456」。漏洩データからの研究

著者: nagazou

2020年7月6日 16:52

taraiok 曰く、

過去に漏洩した10億を超える認証情報を元に分析したところ、未だに「123456」のパスワードが多く使われていることが分かった。この分析はコンピュータエンジニアリングの学生であるAtaHakçıl氏が先月実施したもの。さまざまな企業で発生したデータ侵害後、オンライン上に漏洩したユーザー名とパスワードの組み合わせを分析したという（ZDNet、分析に使われたデータセットなど、slashdot）。

同氏の分析結果によると、10億件以上のデータの中から重複していない一意のパスワードは168,919,919個であったという。さらに700万以上が毎度おなじみの「123456」文字列であったとしている。パスワード長に関しては平均で9.48文字であったことも分かったという。ほとんどのセキュリティ専門家は、16〜 24文字以上の長いパスワードを使うことを推奨しているが、9.48文字はとくに少ないはいえないとしている。

別の発見はパスワードに使われている文字の種類だ。特殊文字を含むと解析されにくくなるが、こうした特殊文字を使用しているのは全体の12％ほどだったという。ほとんどの場合、ユーザーは文字のみ（29％）や数字のみ（13％）だけのパスワードを使用している。
つまり10億個のデータセットに含まれていたすべてのパスワードのうち、約42％が辞書攻撃に対して脆弱であることを意味している。

すべて読む | ITセクション | セキュリティ | IT | 情報漏洩 |

関連ストーリー：
米インディアナ州最高裁判所、スマートフォンのロック解除強制は不利な証言の強制にあたると判断 2020年06月28日
今どきの探偵はスパイウェアやキーロガーを駆使する 2020年06月23日
ニンテンドーネットワークIDへの不正アクセス、約30万件 2020年06月11日
利用サービスで情報漏洩が発生しても、パスワードを変えるユーザーは3分の1程度 2020年06月05日