パスワードマネージャーの NordPass が 2021 年版の人気パスワードトップ 200 を公開している (NordPass の記事、 HackRead の記事、 Mashable の記事)。

調査は NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、4 TB のデータベースを調査したという。1 位は各社の調査で 10 年以上にわたってトップを独走している「123456」であり、2 位以下も「123456789」「12345」「qwerty」「password」といった常連ばかりだが、今回の調査では国別・性別のデータもまとめられている。

日本では 85,561,976 件のパスワードが流出しており、日本人 1 人あたり 0.68 件が流出した計算になる。人口 1 人あたりの流出件数はロシア (19.902 件)やチェコ (6.221 件)、フランス (6.025 件)、ドイツ (5.838 件)、米国 (5.158 件)などで多い。

日本のパスワード 1 位は「password」となっており、以下「123456」「123456789」「12345678」「1qaz2wsx」のように世界共通のパスワードが上位を占める。一方で、現地語の単語を使用したパスワードが数多く出現するのが国別データの特徴だ。日本の場合は「sakura (15位)」「takahiro (21位)」「fujitvpass (25位)」「doraemon (28位)」などが上位に入っている。

また、「nekoneko (35位)」「lovelove (38位)」「nikoniko (46位)」「tomotomo (53位)」「hirohiro (54位)」といった2音節を繰り返したパスワードも目立つ。トップ 5 のパスワードが 1 秒以内にクラック可能なのに対し、日本人の名前らしきパスワードの中にはクラックに 3 時間を要するものもあるが、日本に特化したパスワードリストを使用すればクラック時間は短縮されるだろう。

スラドの皆さんが使用しているパスワードは見つかっただろうか。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 情報漏洩 |

関連ストーリー：
小学校で一人一台端末、出席番号をもとに規則性のあるIDと全員共通のPWでなりすまし横行 2021年09月16日
最も使用されているパスワードは相も変わらず「123456」。漏洩データからの研究 2020年07月06日
2019年の最悪パスワードは1位は今年も「123456」、2位は「qwerty」に。 2019年12月23日
2018年・最悪のパスワードトップ50、今年も「123456」がナンバー1に 2018年12月17日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日
「最もよく使われているパスワード」、2016年調査でもトップは「123456」 2017年01月19日
Twitterアカウント情報3300万件が流出、もっとも多かったパスワードは「123456」 2016年06月13日
不倫サイトから流出したパスワードの解析が進む、罪悪感や言い訳のようなフレーズも多数 2015年09月18日
2014年最も人気のあったパスワード、相変わらず「123456」や「password」がトップに 2015年01月22日
「最悪なパスワード」、2013年版トップは「123456」 2014年01月22日
マルウェアの制御サーバにて200万件以上のパスワード発見。大手ウェブサービスなども被害 2013年12月10日
Adobeから漏洩した3000万以上のアカウント情報からのパスワード解析方法 2013年11月12日
Adobeアカウントで最もよく使われていたパスワードは「123456」 2013年11月09日
IEEEで会員10万人分のIDとパスワードが漏えい。人気のパスワードは「123456」 2012年09月29日
シリア大統領府、スタッフの多くが「12345」をパスワードとして使用 2012年02月12日
漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 2010年01月26日

あるAnonymous Coward 曰く、

週刊文春が今月報じたところによると、10月中旬ごろから中国のサイトに日本メーカーのアダルトビデオ (AV) の無修正動画が大量流出し、不正に販売される事態が起きているという（文春オンライン, MAG2NEWS）。

報道によると、流出したのは業界最大手のソフト・オン・デマンド (SOD) の作品約50本を始め、プレステージなどの人気メーカーも含め計約120本。過去に関係者がマスターテープを持ち出した事件などもあったが、これほどの本数が流出したことはなく、不正アクセスなどによるものではないかと言われているという。また、動画の中にはタイトルに「仮」と入っているなど編集途中のデータであることを伺わせるものもあったという。

こうした動画は、中国サイトでは1本50～100ドルでダウンロード販売されており、人気トップ女優の作品も多数含まれているとのこと。中国ということでサーバー運営者への削除依頼や法的措置も難しく、また出演者の中には本数が多いことからメーカーが組織的に流したのではないかと疑う声もあるとのことで、今後AV業界で大きな問題になるかもしれない。

すべて読む | セキュリティセクション | セキュリティ | 海賊行為 | 情報漏洩 |

関連ストーリー：
高解像度化技術「TecoGAN」でAVのモザイクを除去＆販売していた人物が逮捕 2021年10月19日
ディープフェイク技術を使って合成AVを作成、収益を得たとして男二人が逮捕。国内初 2020年10月05日
AIによるアダルトビデオのモザイク除去が実用レベルに 2020年02月13日
無修正ポルノ動画を国内で撮影、台湾経由で米国の動画サイトで販売した制作会社が摘発される 2017年01月12日
FC2の動画配信サービスを使って性行為を有料ライブ配信した男性、半年で3000万円を稼ぐ 2014年06月06日
わいせつな「エロSDカード」販売、摘発される 2010年05月21日
「違法なコンテンツ」は著作権保護の対象外？ 2009年08月18日
海外サーバーで児童ポルノを提供していたサイト運営者、逮捕される 2009年02月18日

izmさんの「社食がまずい、は業務上知り得た秘密に入るかどうか」というツイートが議論を呼んでいたようだ。これに対して様々なレスが行われているが、業務時間に社食を利用していたならば業務、バレると会社のイメージダウンにつながる、社員の士気に関わるなどといったものが多く、業務上の秘密に該当するとする見方が多いようだ。なお、外部の企業が社食を運用しているの場合は秘密に該当しないといった指摘もある。中には社食の値段からどの会社か特定されてしまったとする社食警察に捕まってしまった人もいた模様（izmさんのツイート、Togetter）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
厚労省と文科省、連携して求職や社食に指導。肥満ややせが増えたら改善を促す 2013年08月06日
米 Google、福利厚生に「死亡手当」を追加 2012年08月15日
カップ麺臭はやめてくれ、オフィスの臭気対策は？ 2010年10月14日
GoogleからMSに人材が移っている？ 2008年07月03日
Google東京オフィスの社食レポート 2007年02月11日

Amazon傘下のゲーム実況配信配信サイト「Twitch」が外部からハッキングされ、大規模な情報漏洩が発生している。犯行を行った人物は、Twitch全般に対して不満を持っていたとみられており、批判のコメントとジェフ・ベゾス氏を揶揄するような画像とともに流出したデータのリンクを「4chan」上にリンク（削除済み）したとしている（VGC、Game Spark 、ITmedia、日経新聞）。

Twitchの運営会社である米Video Games Chronicleはデータが本物であることを認めているという。今回、流出した情報の中には、Twitch自体に関連するソースコードや、動画配信者に支払われた金額、独自SDKと内部AWSサービス、Amazonが準備していたSteam対抗サービスのソースコード、セキュリティツールなどが含まれ、そのデータサイズは約125GBにも及ぶとしている。各メディアではTwitchユーザーにはパスワードの変更などを行うといった対策を推奨している。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
中国ゲーム規制に関する資料が流出、「原神」「アズレン」「信長の野望」等のゲームを名指し 2021年10月01日
ProjectWEB不正アクセスで中国系ハッカー関与の疑い。暴露サイトに新たなデータ掲載との報道も 2021年09月01日
Microsoft Power Apps で個人情報を含む計 3,800 万件のレコードが流出、その原因は仕様？ 2021年08月27日
過去最大の6.1億ドルの暗号資産流出が発生。犯人は「遊びでやった」とし一部は返金される 2021年08月13日
警視庁職員が運転免許データ26万人分を故意に削除、捜査資料の持ち帰りなども 2021年08月10日
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
五輪チケット購入者やボランティアの個人情報が流出。フィッシングサイト経由か 2021年07月26日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日

Apple CEO のティム・クック氏がリーカーへの不快感を従業員と共有した内部メモがリークしている (The Verge の記事、 Mac Rumors の記事、 Neowin の記事)。

この内部メモは先週開催された Apple 従業員全員会議の内容がメディアにリークしたことを受けたものだ。クック氏は新製品情報のリークにも触れ、多くの従業員が感じるフラストレーションを自身も共有していると語る。

クック氏は人々をチームとして結びつける非常に重要な機会だと全員会議を位置付ける一方で、その機会は会議の内容が Apple 社内にとどまってこそ機能すると指摘。知っての通り Apple は社外秘の情報をリークした人物を決して許さず、その特定に惜しまず力を注ぐと述べている。

リーカーが少数の人々で構成されていることはわかっており、社外秘の情報をリークする人々がここに所属していないこともわかっているとのことだ。

すべて読む | アップルセクション | アップル | 情報漏洩 |

関連ストーリー：
Apple、M1 Mac miniで画面にピンク色の四角い点々が表示される問題を調査中 2021年02月24日
Appleの最高セキュリティ責任者、贈賄罪で起訴される 2020年11月27日
ドコモショップが客を「クソ野郎」などと称する社内メモを作成、誤って客に渡して発覚 2020年01月15日
リーク防止を呼び掛けるAppleの内部メモがリーク 2018年04月16日
新iPhoneの名称は「iPhone X」？ 2017年09月08日
Surface Bookの発売当初は返品率が高かったというMicrosoftの内部メモが流出 2017年08月15日
非正規修理業者がディスプレイ交換を行ったiPhoneも製品保証の対象になる？ 2017年02月28日
米Yahoo!、社内スタッフでYahoo!メールを使っているのはたったの25％ 2013年11月27日

以前話題となった富士通の情報流出に関する報道が複数行われている。朝日新聞の記事によれば、ProjectWEBにアクセスしたハッカーが東京五輪や原発に関する情報を検索した履歴があることが判明したという。犯行を行った人物等が政府や重要インフラのネットワークに侵入する狙いがあった可能性があるとしている。この人物が中国系ではないかともしている（朝日新聞その1、朝日新聞その2）。

これとは別に、日経クロステックの記事によれば、富士通から流出したとみられるデータが暴露サイトに複数掲載されていることが分かったという。25日ごろから流出情報が掲載されたとしており、圧縮ファイルサイズで4GBほどあったという。データベース設計書などのシステム関連データが含まれており、東レなどの名前が含まれていたとのこと。流出経路などは分かっていない。東レ広報からは回答はなかった模様。ただし、富士通側は証拠はなく関連ないものと考えていると回答しているとのこと（日経クロステック）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日

Amazon Echo等のIoTデバイスも普及して製品も世代を重ねていることから、中古が市場に流れることが多くなった。しかし、ノースイースタン大学の研究者の研究によると中古で流れているAmazon Echo Dotは出荷時状態にリセットされていることは少ないそうだ。このため、元の所有者の無線LAN情報、Amazonアカウントの認証情報、ルーターのMACアドレスなどにアクセスできる事例も多かったそう。また出荷時状態にリセットされていた製品であっても、専門的な知識があれば個人情報を復元することはできたそうだ（ノースイースタン大学研究論文[PDF]、PC Watch、GIZMODO）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ロボットがエレベーターを操作するための共通規格が策定。経済産業省 2021年06月08日
中国が国際電気通信連合（ITU）に対し新たなInternet Protocolを提案、IETFはこれを拒否 2020年04月09日
ロシア連邦保安庁の下請け企業、IoT機器を狙った攻撃ツールを開発していた 2020年03月25日
WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 2020年03月02日
IPAが「情報セキュリティ10大脅威 2020」を発表、「スマホ決済の不正利用」1位に 2020年01月31日
ハッキングコンテスト「Pwn2Own」、優勝チームが獲得した賞金は合計約2,100万円 2019年11月15日
レーザーでスマートスピーカーを遠隔操作する攻撃手法 2019年11月06日
AmazonのスマートスピーカーがDVを通報したとされる事件、問題のスマートスピーカーには通報機能はなかった？ 2019年08月15日
Amazon、GDPRに基づいた個人データ開示請求に対し他人の大量の音声データを送付 2018年12月25日

デジタルアーツは23日、パスワード付きZIPファイルをメールで送信するPPAPに関する分析レポートを公開した。同社はオープンソースで誰でも入手できるパスワード回復のソフトウェアとCPUにCore i5-10210Uを搭載した一般的な仕様のPCを組み合わせて、どれくらいの時間でZIPファイルのパスワードを解読できるかテストしたという（デジタルアーツ、PC Watch、週刊アスキー）。

サンプルで設定した「zansin」という英語小文字6ケタのパスワードであれば、1秒未満で解読することができたとしている。パスワードを12ケタにした場合でも2分51秒で解読可能だとのこと。同社では何度でもパスワードの入力を試すことができることから総当り方式の解読が可能であり、偶発的な事故が起きやすいとして、自社の提供するソリューションを利用することを勧めている。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 情報漏洩 |

関連ストーリー：
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月04日
JetBrains日本総代理店のサムライズム、Zip添付メールに展開手数料を請求へ 2020年04月03日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日
ZIPのパスワードを直後のメールで送る不思議 2018年12月25日
GPU で ZIP パスワードを高速解析 2011年07月25日
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 2021年06月25日

先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事、 HackReadの記事、 Neowinの記事、 SlashGearの記事)。

グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookieを用いてSlackにログインしたハッカーはEAのSlackチャンネルへのアクセスが可能となり、チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手。EAの社内ネットワークに侵入して複数のサービスにログインし、ゲームやツールのソースコードを盗み出したとのこと。

グループはFIFA 21やFrostbiteエンジンなどのソースコード計780GBを入手したと主張し、さまざまなアンダーグラウンドフォーラムで売り出しているそうだ。EAは一部のソースコードが盗まれたことを認めたうえで、プレイヤーのデータにはアクセスされていないと説明し、セキュリティを改善したことやビジネスに影響がないなどとする声明をメディアに出している。

すべて読む | セキュリティセクション | セキュリティ | インターネット | ゲーム | 情報漏洩 |

関連ストーリー：
Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して 2021年02月09日
GitHub、内部向けSlackチャンネルでナチスへの懸念を示した従業員の解雇は誤りだったと謝罪 2021年01月19日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
今度は3DSのOSやソフトのソースコードが流出？ 2020年05月26日
Wiiの設計情報やソースコードが流出？ 2020年05月07日
Slack、2015年の不正アクセスに関連してアカウントの約1％でパスワードをリセット 2019年07月21日
Microsoftが日常業務でSlackを使用禁止し、GitHub.comを非推奨にしているとの報道 2019年06月26日
EA曰く、「ガチャ」は「驚きの仕組み」であり非常に倫理的 2019年06月21日
任天堂、loot box規制を受けてモバイルゲーム2本のベルギーでのサービス終了を発表 2019年05月24日
ベルギー当局がEAを捜査、ゲーム内アイテムがランダムで入手できるタイプの課金システムを問題視 2018年09月13日
EAの新作ゲーム「Star Wars バトルフロントII」、課金システムに対し強い批判が集まる 2017年11月20日
EA、PCやゲーム専用機の大型タイトルでもゲーム内課金で稼ぐ方針へ転換 2017年10月26日
Electronic Artsが標準ライブラリEASTLを公式にオープンソース化 2016年02月16日

自動車用品などを手掛けるユピテルは7日、同社の会員サイト会員サイト「My Yupiteru」が2017年10月にサーバが不正アクセスを受け、約52万件分の個人情報が外部に流出していたことを発表した。流出したデータは住所、氏名、性別、生年月日、電話番号、メールアドレスで、退会済みや入会途中のデータも含まれていたという（プレスリリース, ITmedia）。

ITmediaの記事によると、不正アクセスから3年以上も経過後という異例の状況で発表されたのは、当時の調査では不正アクセスはあったものの、個人情報がダウンロードされた痕跡は認められないとの結論に至ったためだったとしている。

ところが2021年5月になってから、犯人からと思われる「2017年末にサーバをハッキングし、顧客情報を持っている」との脅迫メールが届き、実際に流出されたデータを確認できたことから公開に踏み切った模様。要求金額については明言を避けたものの、「かなりの金額」であるとしている。

あるAnonymous Coward 曰く、

金額を支払ったかは報じられていない。発覚時点で公表すれば大きな問題にならなかっただろうに、こういう会社は結構ありそうである。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
カプコン、著作物の写真無断使用で提訴へ。昨年の不正アクセス事件により判明 2021年06月07日
富士フイルム、ランサムウェアによる攻撃を受けた可能性があると発表 2021年06月03日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
偽の裁判所令状を使用したドメイン乗っ取りが発生 2021年05月06日

富士通は25日、同社が運営する情報共有ツール「ProjectWEB」で大規模な不正アクセスが発生したと発表した（富士通、国土交通省、外務省、内閣サイバーセキュリティセンター[PDF]、ITmedia、成田国際空港、piyolog、iPhone Mania、NHK）。

現在ProjectWEBに関しては原因究明のため運用を停止しているという。この影響で顧客である企業や官公庁の情報流出が相次いでいるという。国土交通省は26日に内外関係者約7.6万件分のメールアドレスが流出したと発表、外務省もデジタルガバメントに関連する検討資料が流出。その中には個人を特定できる情報も含まれていたとしている。被害が出ていることから、内閣サイバーセキュリティセンターも情報システムを構成する機器類の情報が漏れていたと発表した。このほかにも成田空港も運航情報管理システムに関係する情報などが不正アクセスを受けたと発表している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
松井証券口座から委託先企業のSEが不正引き出し。被害総額は約2億円 2021年03月25日

内閣府は4月22日、内閣府の職員らが使用しているファイル共有サーバー（FileZen）に不正アクセスがあり、231人の個人情報が流出した可能性があると発表した。このFileZenはソリトンシステムズが提供しているもので、内閣府、内閣官房、個人情報保護委員会、復興庁の職員がファイルの送受信を行うために使用していた。内閣府のネットのワークの外に設置されていたものであるという（内閣府、piyolog、ITmedia）。

今回の不正アクセスは1月に発生したものであるという。ストレージの脆弱性を突く形で発生しているとしている。内閣府のリリースによると、

開発元において3月までに修正パッチの提供等所要の対応がとられました（同社から公表済み）。

ソリトンシステムズは昨年12月にFileZenの脆弱性が含まれていることを確認しており、至急アップデートするよう求めていた（ソリトンシステムズ）。タレコミによると、セキュリティアナリストのhiro_(@papa_anniekey)氏は、そのリリースの翌日となる12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた模様。この対策をしていなかったことが原因となっている可能性が高そうだ。なおpiyologの記事によれば、FileZenは主に国内で約1100台が稼働、その内6割は地方自治体など公共系組織が利用しているとのこと。

あるAnonymous Coward 曰く、

なお、セキュリティアナリストのhiro_(@papa_anniekey)氏は昨年12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた。

情報元へのリンク

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
9割の地域金融機関が営業担当者に個別のメールアドレスを設定していない。金融庁調査 2021年04月24日
Facebook、過去に流出した世界5億3300万人の個人情報が閲覧可能に。日本からも42万8625人 2021年04月07日
「Rakuten Link」で個人情報と通信の秘密の漏洩、楽天モバイルに半年ぶり7度目の行政指導 2021年03月11日
ホンダでサイバー攻撃が発生か。リモート勤務ができないので有給推奨 2020年06月12日
前橋市教委のサーバーで発生した不正アクセスによる情報漏洩被害、管理委託先のNTT東は損害賠償の支払いを拒否 2020年02月21日
堺市、情報漏洩対策としてUSBポートをふさぐ 2016年02月13日
宮崎県えびの市民図書館利用者の個人情報もパスワードなしのFTPで公開状態になっていた 2010年10月01日

あるAnonymous Coward 曰く、

4月5日の夜頃から、5chなどでAtlassian社のタスク管理ツール「Trello」を公開設定で使っている企業の情報がGoogle検索などで表示されることが見つかり、就活生の個人情報や不採用理由などが丸見えになっていると漏洩騒ぎになっているようだ（ITmedia、Twitterのまとめ）。

「Trello」は無料で使用可能なカード型のタスク管理ツール。ボードの公開範囲を「private」にすることで関係者のみに閲覧させることができるが、何故か「public」にしている例が多々あるようで（デフォルトがpublicという話もあるが、タレコミ子が確認した限り現時点ではデフォルトはprivateで、publicに変える時も警告がでる）、それがGoogle検索でヒットしてしてしまい、どうみても部外秘の情報が見えてしまっているらしい。

採用などに使われている例が多々あるようで、漏洩した情報としては「就活生の個人情報」「採用/不採用理由」「パスワードやクレカ情報のメモ書き」「パスワードリスト」「水商売やAV女優の個人情報」「ネタ帳」「社員の愚痴」「スケジュール表」「パパ活情報」「役所の情報」「アムウェイの勧誘リスト」等々多岐にわたっているという。Trelloを利用している方は、直ちに公開範囲を再チェックしましょう。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
イーロン・マスク曰く、Teslaが諜報活動にかかわることはない 2021年03月24日
「Rakuten Link」で個人情報と通信の秘密の漏洩、楽天モバイルに半年ぶり7度目の行政指導 2021年03月11日
福岡県が管理する新型コロナ陽性者数千人分の個人情報が流出、経緯に不可解な点も 2021年01月07日
河野大臣が"Zoom危険厨"にTPOでの使い分けを諭す 2021年01月04日
チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 2020年11月20日
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日

富士薬品は3月24日、ビジネス版LINEである「LINE WORKS」で、誤操作により友だち登録している顧客160人を含めたトークルームを作成、それによりニックネームとアイコンといった顧客情報が相互に閲覧できる状態となってしまったと発表した（富士薬品、Security NEXT）。

顧客側で公開範囲を「全体公開」として設定している場合、LINEタイムラインへの投稿が、トークルーム内の顧客間でお互いに見られる状態になっていた。ただしトークルーム内での投稿などは行われなかったとしている。Security NEXTの記事によれば、富士薬品側がLINE WORKSを提供しているワークスモバイルジャパンにトークルームの削除方法を問い合わせたところ、削除手段は提供されていなかったとしている。このため、富士薬品は対象となる160名の顧客に対して個別にトークルームから退出してもらうように電話で案内したとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
韓国政府によるLINE通信傍受を報じた記事への反論ブログが一度削除。指摘後に復活へ 2021年03月31日
LINE Payの出入金や購入先含む決済情報は韓国サーバーに保管。サーバー管理はNAVERが担当 2021年03月24日
LINE個人情報問題が国や自治体へ影響。総務省も採用活動などへの使用中止へ 2021年03月19日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
LINEのトークなどを含む個人情報、中国の委託先技術者が閲覧できる状況に 2021年03月17日
大阪府知事・大阪市長は公用メールを使わない 2020年11月25日

情報処理推進機構（IPA）が、ブラウザの通知機能を悪用して偽の通知を表示させ、不審なサイトに誘導する手口が増えているとして、安易に通知を許可しないことや表示された通知表示の内容をよく確認する、誘導先のサイトでアプリをインストールや個人情報の入力を避けるといったことを求めている。TECH+のまとめを引用すると手口は次のとおりとされる（IPA、TECH+）。

1. CAPTCHA認証などを装った画面を表示させ、通知表示の「許可」を押させるように誘導する
2. 通知許可が得られたら、閲覧中に「パソコンがウイルスに感染した」「スマートフォンをクリーンアップしてください」などの通知を表示する
3. 通知表示をクリックさせ、不審なサイトへ誘導する

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
東大が独自の新型コロナ感染対策アプリ「MOCHA」を開発。学校内専用 2021年03月02日
COCOAのような緊急アプリはデジタル庁で開発主導へ。平井デジタル改革担当相 2021年02月08日
watchOS 7.3配信へ。国内でもApple Watchで心電図や心拍の通知機能が利用可能に 2021年01月28日
Apple Watchの不規則な心拍通知機能、誤検知で医療現場の負担を高めているとの研究成果 2020年10月03日
YouTube、電子メールによる更新情報通知を13日で廃止 2020年08月10日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日

Salesforce関連の設定不備による情報流出が相次いでいる問題で、両備システムズが第三者による不正アクセスがあったと発表した（両備システムズ 2021.02.12、両備システムズ 2021.02.15）。

対象となったのは同社が提供している自治体向けの健診・検診インターネット予約システム「Web住民けんしん予約」、住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」の三つ。この3システムを導入しているのは71団体に上るという。2月12日の19時点でこの71団体様のうち13の団体から第三者からの不正アクセスがあったと発表しているという（毎日新聞、Security NEXT、ScanNetSecurity、NHK）。

同社では2月1日中にシステムの設定変更を行ったとしている。日経新聞によればトラブルの発端は、Salesforceが2016年1月に投入したUIに含まれる「Lightning Experience」にあった可能性が高いとしている（日経新聞）。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
Salesforce利用企業の複数が設定不備から情報流出。楽天、PayPay、イオン、バンダイなど 2021年02月04日
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月08日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
NTTコミュニケーションズで「水平移動」型の不正アクセス、621社の情報流出の恐れ 2020年05月30日
日経グループの社員がメール経由でウイルスに感染、社員ら1万2514人分の個人情報流出 2020年05月15日