情報セキュリティ企業ラックで、元社員の私物HDDが第三者に売却され、社内文書や個人情報が流出しかけるというトラブルが生じていたと報じられている。HDDを購入した人物が善意で同社に通報したため情報の流出はなかったとのこと。このHDDは元社員がビジネス文書等を個人所有のハードディスクに保管、その後HDDをフリーマーケットで売却していたという。中には業務上のビジネス文書約2000件と最大約1000件の個人情報が含まれていたとしている。同社は「情報流出事案」として14日午後、情報流出の経緯と概要についての発表を行っている（ラックの発表、朝日新聞その1、朝日新聞その2）。

あるAnonymous Coward 曰く、

ラック子会社のネットエージェント（現在はラックに吸収合併）がブロードリンクの事件を受けて「意外と難しいデータ消去」と題したブログを公開していたのは何とも皮肉な話である。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
HDD処理業者社員による神奈川県庁の使用済みHDD横流し事件、懲役2年・執行猶予5年の判決 2020年06月10日
ドスパラがHDD/SSD破壊サービスの郵送受付を開始、顧客は破壊工程を動画で閲覧可能 2020年06月05日
岡山県、今後のハードディスク破棄は職員が行う方針を決める 2019年12月23日
神奈川県庁のサーバーで使われていたHDD、廃棄業者社員が適切に処理せずに転売し情報流出 2019年12月06日
ドスパラ、中古HDDをデータを消さずに販売。回収へ 2012年06月27日

中国籍の元留学生男性が偽名でウイルス対策ソフト購入しようとしたとして、警視庁が逮捕状を取ったそうだ。警視庁が逮捕状を取ったのは、元留学生の王建彬容疑者。同容疑者は、非実在の日本企業の名前を名乗り、日本製の企業向けセキュリティ対策ソフトを不正に購入しようとした模様。なお同容疑者はすでに中国に帰国済みとのこと（読売新聞、産経新聞、TBS NEWS）。

読売新聞によると、中国人民解放軍のサイバー攻撃部隊「61419部隊」に所属する妻が「国に貢献しなさい」「国が守ってくれる」などとSNSやメールなどを通じて指示を出していたそうだ。企業向けのセキュリティ対策ソフトを研究し、日本企業のシステムの脆弱性を把握することが目的だとされている。

追記 by headless: 容疑は詐欺未遂とのこと。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
米国防総省によるXiaomiの「中国共産党の軍事企業」指定、正式に取り消される 2021年05月29日
イーロン・マスク曰く、Teslaが諜報活動にかかわることはない 2021年03月24日
Bloomberg、2年前に全方向から否定された「Super Microのマザーボードにスパイチップ」という話に再び挑戦 2021年02月13日
中国進出した企業に義務化されている税務ソフトにスパイウェア。ドイツとの関係も悪化 2020年12月11日
政府が大学の技術流出防止へ。政府が支援する研究では資金提供元の開示を義務化 2020年06月27日

LINE Payは6日、同社のキャンペーン参加に関わる情報が閲覧できる状態になっていたと発表した。流出したのはLINE Payユーザー13万3484アカウント分の情報。流出の内訳としては、ユーザーの識別子、加盟店管理番号、キャンペーン情報（キャンペーンコード等）となっている。このうちキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれている可能性がある。氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等の情報は含まれていないそうだ。委託先であるグループ会社の従業員が「GitHub」上にアップロードしたものだとしている。すでに情報は削除され、該当ユーザーに関しては個別に連絡済みだとしている（LINE Payのプレスリリース）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
中国電信が米国で免許取り消しへ。安全保障の観点から 2021年11月01日
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Facebook、過去に流出した世界5億3300万人の個人情報が閲覧可能に。日本からも42万8625人 2021年04月07日

東京都練馬区の中学校で、生徒に対してSNSのパスワードを書かせた書類を提出させようとしていたことが分かった。こうなった原因は複数あるが、最大の理由は東京都練馬区教委会が配布したSNS利用の啓発用のリーフレットに、SNSのパスワードを記入する欄があったこと。もともと区教委はパスワードを収集する意図があったが、パンフレットの内容がTwitterで出回り、人権侵害であるなどの指摘がでて炎上。その結果、区教委はパンフレットはそのままで提出時にパスワードを記載しない状態で提出してもらうと通知していたようだ（練馬区リリース[PDF]、弁護士ドットコム、毎日新聞）。

しかし練馬区内の中学校1校がこの通知を生徒や各家庭に伝達し忘れた。それによりパスワードが記載されたリーフレットが家庭に届き、学校側が生徒のパスワードを知り得る状態になってしまったという。練馬区のリリースによれば12月2日時点で276名からリーフレットの提出を受けていたとしている。このため区では3日、各家庭にあてて謝罪文を送付したとしている。

すべて読む | セキュリティセクション | セキュリティ | 教育 | 情報漏洩 |

関連ストーリー：
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入 2021年11月30日
2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 2021年11月21日
学習向けタブレット等を使用してのいじめ、全国の小中学校で増加 2021年11月11日
イスラエル・テルアビブ、家庭や小規模オフィスの Wi-Fi は 70 % が容易にクラックできるとの調査結果 2021年11月02日
macOSの暗号化zipファイルはパスワード無しで比較的容易に解凍できる 2021年10月12日
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日

グラウンドワークスは11月30日、同社が運営する「EVANGELION STORE」で、第三者による不正アクセスにより、利用者のクレジットカード情報1万7828件が流出した可能性があると発表した。同サイトはアニメ作品「エヴァンゲリオン」シリーズのグッズなどを扱う公式ストアとなっている（弊社株式会社グラウンドワークスが運営する「EVANGELION STORE(オンライン)」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ、ITmedia）。

流出は7月12日に一部のクレジットカード会社からの連絡で発覚、同日カード決済を停止した。第三者調査機関による調査が行われ、9月29日に一部のお客様のクレジットカード情報が不正利用された可能性があることが確認できたとしている。漏洩した可能性のある情報は以下の通りとなっている。

• カード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード
• ログオンID（EVANGELION STORE(オンライン)会員用メールアドレス）
• パスワード（EVANGELION STORE(オンライン)会員用）

すべて読む | セキュリティセクション | ニュース | アニメ・マンガ | 情報漏洩 |

関連ストーリー：
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日
Firefox Nightlyにクライアントサイドの機械翻訳機能が実装される 2021年05月31日

パスワードマネージャーの NordPass が 2021 年版の人気パスワードトップ 200 を公開している (NordPass の記事、 HackRead の記事、 Mashable の記事)。

調査は NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、4 TB のデータベースを調査したという。1 位は各社の調査で 10 年以上にわたってトップを独走している「123456」であり、2 位以下も「123456789」「12345」「qwerty」「password」といった常連ばかりだが、今回の調査では国別・性別のデータもまとめられている。

日本では 85,561,976 件のパスワードが流出しており、日本人 1 人あたり 0.68 件が流出した計算になる。人口 1 人あたりの流出件数はロシア (19.902 件)やチェコ (6.221 件)、フランス (6.025 件)、ドイツ (5.838 件)、米国 (5.158 件)などで多い。

日本のパスワード 1 位は「password」となっており、以下「123456」「123456789」「12345678」「1qaz2wsx」のように世界共通のパスワードが上位を占める。一方で、現地語の単語を使用したパスワードが数多く出現するのが国別データの特徴だ。日本の場合は「sakura (15位)」「takahiro (21位)」「fujitvpass (25位)」「doraemon (28位)」などが上位に入っている。

また、「nekoneko (35位)」「lovelove (38位)」「nikoniko (46位)」「tomotomo (53位)」「hirohiro (54位)」といった2音節を繰り返したパスワードも目立つ。トップ 5 のパスワードが 1 秒以内にクラック可能なのに対し、日本人の名前らしきパスワードの中にはクラックに 3 時間を要するものもあるが、日本に特化したパスワードリストを使用すればクラック時間は短縮されるだろう。

スラドの皆さんが使用しているパスワードは見つかっただろうか。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 情報漏洩 |

関連ストーリー：
小学校で一人一台端末、出席番号をもとに規則性のあるIDと全員共通のPWでなりすまし横行 2021年09月16日
最も使用されているパスワードは相も変わらず「123456」。漏洩データからの研究 2020年07月06日
2019年の最悪パスワードは1位は今年も「123456」、2位は「qwerty」に。 2019年12月23日
2018年・最悪のパスワードトップ50、今年も「123456」がナンバー1に 2018年12月17日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日
「最もよく使われているパスワード」、2016年調査でもトップは「123456」 2017年01月19日
Twitterアカウント情報3300万件が流出、もっとも多かったパスワードは「123456」 2016年06月13日
不倫サイトから流出したパスワードの解析が進む、罪悪感や言い訳のようなフレーズも多数 2015年09月18日
2014年最も人気のあったパスワード、相変わらず「123456」や「password」がトップに 2015年01月22日
「最悪なパスワード」、2013年版トップは「123456」 2014年01月22日
マルウェアの制御サーバにて200万件以上のパスワード発見。大手ウェブサービスなども被害 2013年12月10日
Adobeから漏洩した3000万以上のアカウント情報からのパスワード解析方法 2013年11月12日
Adobeアカウントで最もよく使われていたパスワードは「123456」 2013年11月09日
IEEEで会員10万人分のIDとパスワードが漏えい。人気のパスワードは「123456」 2012年09月29日
シリア大統領府、スタッフの多くが「12345」をパスワードとして使用 2012年02月12日
漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 2010年01月26日

あるAnonymous Coward 曰く、

週刊文春が今月報じたところによると、10月中旬ごろから中国のサイトに日本メーカーのアダルトビデオ (AV) の無修正動画が大量流出し、不正に販売される事態が起きているという（文春オンライン, MAG2NEWS）。

報道によると、流出したのは業界最大手のソフト・オン・デマンド (SOD) の作品約50本を始め、プレステージなどの人気メーカーも含め計約120本。過去に関係者がマスターテープを持ち出した事件などもあったが、これほどの本数が流出したことはなく、不正アクセスなどによるものではないかと言われているという。また、動画の中にはタイトルに「仮」と入っているなど編集途中のデータであることを伺わせるものもあったという。

こうした動画は、中国サイトでは1本50～100ドルでダウンロード販売されており、人気トップ女優の作品も多数含まれているとのこと。中国ということでサーバー運営者への削除依頼や法的措置も難しく、また出演者の中には本数が多いことからメーカーが組織的に流したのではないかと疑う声もあるとのことで、今後AV業界で大きな問題になるかもしれない。

すべて読む | セキュリティセクション | セキュリティ | 海賊行為 | 情報漏洩 |

関連ストーリー：
高解像度化技術「TecoGAN」でAVのモザイクを除去＆販売していた人物が逮捕 2021年10月19日
ディープフェイク技術を使って合成AVを作成、収益を得たとして男二人が逮捕。国内初 2020年10月05日
AIによるアダルトビデオのモザイク除去が実用レベルに 2020年02月13日
無修正ポルノ動画を国内で撮影、台湾経由で米国の動画サイトで販売した制作会社が摘発される 2017年01月12日
FC2の動画配信サービスを使って性行為を有料ライブ配信した男性、半年で3000万円を稼ぐ 2014年06月06日
わいせつな「エロSDカード」販売、摘発される 2010年05月21日
「違法なコンテンツ」は著作権保護の対象外？ 2009年08月18日
海外サーバーで児童ポルノを提供していたサイト運営者、逮捕される 2009年02月18日

izmさんの「社食がまずい、は業務上知り得た秘密に入るかどうか」というツイートが議論を呼んでいたようだ。これに対して様々なレスが行われているが、業務時間に社食を利用していたならば業務、バレると会社のイメージダウンにつながる、社員の士気に関わるなどといったものが多く、業務上の秘密に該当するとする見方が多いようだ。なお、外部の企業が社食を運用しているの場合は秘密に該当しないといった指摘もある。中には社食の値段からどの会社か特定されてしまったとする社食警察に捕まってしまった人もいた模様（izmさんのツイート、Togetter）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
厚労省と文科省、連携して求職や社食に指導。肥満ややせが増えたら改善を促す 2013年08月06日
米 Google、福利厚生に「死亡手当」を追加 2012年08月15日
カップ麺臭はやめてくれ、オフィスの臭気対策は？ 2010年10月14日
GoogleからMSに人材が移っている？ 2008年07月03日
Google東京オフィスの社食レポート 2007年02月11日

Amazon傘下のゲーム実況配信配信サイト「Twitch」が外部からハッキングされ、大規模な情報漏洩が発生している。犯行を行った人物は、Twitch全般に対して不満を持っていたとみられており、批判のコメントとジェフ・ベゾス氏を揶揄するような画像とともに流出したデータのリンクを「4chan」上にリンク（削除済み）したとしている（VGC、Game Spark 、ITmedia、日経新聞）。

Twitchの運営会社である米Video Games Chronicleはデータが本物であることを認めているという。今回、流出した情報の中には、Twitch自体に関連するソースコードや、動画配信者に支払われた金額、独自SDKと内部AWSサービス、Amazonが準備していたSteam対抗サービスのソースコード、セキュリティツールなどが含まれ、そのデータサイズは約125GBにも及ぶとしている。各メディアではTwitchユーザーにはパスワードの変更などを行うといった対策を推奨している。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
中国ゲーム規制に関する資料が流出、「原神」「アズレン」「信長の野望」等のゲームを名指し 2021年10月01日
ProjectWEB不正アクセスで中国系ハッカー関与の疑い。暴露サイトに新たなデータ掲載との報道も 2021年09月01日
Microsoft Power Apps で個人情報を含む計 3,800 万件のレコードが流出、その原因は仕様？ 2021年08月27日
過去最大の6.1億ドルの暗号資産流出が発生。犯人は「遊びでやった」とし一部は返金される 2021年08月13日
警視庁職員が運転免許データ26万人分を故意に削除、捜査資料の持ち帰りなども 2021年08月10日
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
五輪チケット購入者やボランティアの個人情報が流出。フィッシングサイト経由か 2021年07月26日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日

Apple CEO のティム・クック氏がリーカーへの不快感を従業員と共有した内部メモがリークしている (The Verge の記事、 Mac Rumors の記事、 Neowin の記事)。

この内部メモは先週開催された Apple 従業員全員会議の内容がメディアにリークしたことを受けたものだ。クック氏は新製品情報のリークにも触れ、多くの従業員が感じるフラストレーションを自身も共有していると語る。

クック氏は人々をチームとして結びつける非常に重要な機会だと全員会議を位置付ける一方で、その機会は会議の内容が Apple 社内にとどまってこそ機能すると指摘。知っての通り Apple は社外秘の情報をリークした人物を決して許さず、その特定に惜しまず力を注ぐと述べている。

リーカーが少数の人々で構成されていることはわかっており、社外秘の情報をリークする人々がここに所属していないこともわかっているとのことだ。

すべて読む | アップルセクション | アップル | 情報漏洩 |

関連ストーリー：
Apple、M1 Mac miniで画面にピンク色の四角い点々が表示される問題を調査中 2021年02月24日
Appleの最高セキュリティ責任者、贈賄罪で起訴される 2020年11月27日
ドコモショップが客を「クソ野郎」などと称する社内メモを作成、誤って客に渡して発覚 2020年01月15日
リーク防止を呼び掛けるAppleの内部メモがリーク 2018年04月16日
新iPhoneの名称は「iPhone X」？ 2017年09月08日
Surface Bookの発売当初は返品率が高かったというMicrosoftの内部メモが流出 2017年08月15日
非正規修理業者がディスプレイ交換を行ったiPhoneも製品保証の対象になる？ 2017年02月28日
米Yahoo!、社内スタッフでYahoo!メールを使っているのはたったの25％ 2013年11月27日

以前話題となった富士通の情報流出に関する報道が複数行われている。朝日新聞の記事によれば、ProjectWEBにアクセスしたハッカーが東京五輪や原発に関する情報を検索した履歴があることが判明したという。犯行を行った人物等が政府や重要インフラのネットワークに侵入する狙いがあった可能性があるとしている。この人物が中国系ではないかともしている（朝日新聞その1、朝日新聞その2）。

これとは別に、日経クロステックの記事によれば、富士通から流出したとみられるデータが暴露サイトに複数掲載されていることが分かったという。25日ごろから流出情報が掲載されたとしており、圧縮ファイルサイズで4GBほどあったという。データベース設計書などのシステム関連データが含まれており、東レなどの名前が含まれていたとのこと。流出経路などは分かっていない。東レ広報からは回答はなかった模様。ただし、富士通側は証拠はなく関連ないものと考えていると回答しているとのこと（日経クロステック）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日

Amazon Echo等のIoTデバイスも普及して製品も世代を重ねていることから、中古が市場に流れることが多くなった。しかし、ノースイースタン大学の研究者の研究によると中古で流れているAmazon Echo Dotは出荷時状態にリセットされていることは少ないそうだ。このため、元の所有者の無線LAN情報、Amazonアカウントの認証情報、ルーターのMACアドレスなどにアクセスできる事例も多かったそう。また出荷時状態にリセットされていた製品であっても、専門的な知識があれば個人情報を復元することはできたそうだ（ノースイースタン大学研究論文[PDF]、PC Watch、GIZMODO）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ロボットがエレベーターを操作するための共通規格が策定。経済産業省 2021年06月08日
中国が国際電気通信連合（ITU）に対し新たなInternet Protocolを提案、IETFはこれを拒否 2020年04月09日
ロシア連邦保安庁の下請け企業、IoT機器を狙った攻撃ツールを開発していた 2020年03月25日
WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 2020年03月02日
IPAが「情報セキュリティ10大脅威 2020」を発表、「スマホ決済の不正利用」1位に 2020年01月31日
ハッキングコンテスト「Pwn2Own」、優勝チームが獲得した賞金は合計約2,100万円 2019年11月15日
レーザーでスマートスピーカーを遠隔操作する攻撃手法 2019年11月06日
AmazonのスマートスピーカーがDVを通報したとされる事件、問題のスマートスピーカーには通報機能はなかった？ 2019年08月15日
Amazon、GDPRに基づいた個人データ開示請求に対し他人の大量の音声データを送付 2018年12月25日

デジタルアーツは23日、パスワード付きZIPファイルをメールで送信するPPAPに関する分析レポートを公開した。同社はオープンソースで誰でも入手できるパスワード回復のソフトウェアとCPUにCore i5-10210Uを搭載した一般的な仕様のPCを組み合わせて、どれくらいの時間でZIPファイルのパスワードを解読できるかテストしたという（デジタルアーツ、PC Watch、週刊アスキー）。

サンプルで設定した「zansin」という英語小文字6ケタのパスワードであれば、1秒未満で解読することができたとしている。パスワードを12ケタにした場合でも2分51秒で解読可能だとのこと。同社では何度でもパスワードの入力を試すことができることから総当り方式の解読が可能であり、偶発的な事故が起きやすいとして、自社の提供するソリューションを利用することを勧めている。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 情報漏洩 |

関連ストーリー：
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月04日
JetBrains日本総代理店のサムライズム、Zip添付メールに展開手数料を請求へ 2020年04月03日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日
ZIPのパスワードを直後のメールで送る不思議 2018年12月25日
GPU で ZIP パスワードを高速解析 2011年07月25日
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 2021年06月25日

先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事、 HackReadの記事、 Neowinの記事、 SlashGearの記事)。

グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookieを用いてSlackにログインしたハッカーはEAのSlackチャンネルへのアクセスが可能となり、チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手。EAの社内ネットワークに侵入して複数のサービスにログインし、ゲームやツールのソースコードを盗み出したとのこと。

グループはFIFA 21やFrostbiteエンジンなどのソースコード計780GBを入手したと主張し、さまざまなアンダーグラウンドフォーラムで売り出しているそうだ。EAは一部のソースコードが盗まれたことを認めたうえで、プレイヤーのデータにはアクセスされていないと説明し、セキュリティを改善したことやビジネスに影響がないなどとする声明をメディアに出している。

すべて読む | セキュリティセクション | セキュリティ | インターネット | ゲーム | 情報漏洩 |

関連ストーリー：
Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して 2021年02月09日
GitHub、内部向けSlackチャンネルでナチスへの懸念を示した従業員の解雇は誤りだったと謝罪 2021年01月19日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
今度は3DSのOSやソフトのソースコードが流出？ 2020年05月26日
Wiiの設計情報やソースコードが流出？ 2020年05月07日
Slack、2015年の不正アクセスに関連してアカウントの約1％でパスワードをリセット 2019年07月21日
Microsoftが日常業務でSlackを使用禁止し、GitHub.comを非推奨にしているとの報道 2019年06月26日
EA曰く、「ガチャ」は「驚きの仕組み」であり非常に倫理的 2019年06月21日
任天堂、loot box規制を受けてモバイルゲーム2本のベルギーでのサービス終了を発表 2019年05月24日
ベルギー当局がEAを捜査、ゲーム内アイテムがランダムで入手できるタイプの課金システムを問題視 2018年09月13日
EAの新作ゲーム「Star Wars バトルフロントII」、課金システムに対し強い批判が集まる 2017年11月20日
EA、PCやゲーム専用機の大型タイトルでもゲーム内課金で稼ぐ方針へ転換 2017年10月26日
Electronic Artsが標準ライブラリEASTLを公式にオープンソース化 2016年02月16日

自動車用品などを手掛けるユピテルは7日、同社の会員サイト会員サイト「My Yupiteru」が2017年10月にサーバが不正アクセスを受け、約52万件分の個人情報が外部に流出していたことを発表した。流出したデータは住所、氏名、性別、生年月日、電話番号、メールアドレスで、退会済みや入会途中のデータも含まれていたという（プレスリリース, ITmedia）。

ITmediaの記事によると、不正アクセスから3年以上も経過後という異例の状況で発表されたのは、当時の調査では不正アクセスはあったものの、個人情報がダウンロードされた痕跡は認められないとの結論に至ったためだったとしている。

ところが2021年5月になってから、犯人からと思われる「2017年末にサーバをハッキングし、顧客情報を持っている」との脅迫メールが届き、実際に流出されたデータを確認できたことから公開に踏み切った模様。要求金額については明言を避けたものの、「かなりの金額」であるとしている。

あるAnonymous Coward 曰く、

金額を支払ったかは報じられていない。発覚時点で公表すれば大きな問題にならなかっただろうに、こういう会社は結構ありそうである。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
カプコン、著作物の写真無断使用で提訴へ。昨年の不正アクセス事件により判明 2021年06月07日
富士フイルム、ランサムウェアによる攻撃を受けた可能性があると発表 2021年06月03日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
偽の裁判所令状を使用したドメイン乗っ取りが発生 2021年05月06日

富士通は25日、同社が運営する情報共有ツール「ProjectWEB」で大規模な不正アクセスが発生したと発表した（富士通、国土交通省、外務省、内閣サイバーセキュリティセンター[PDF]、ITmedia、成田国際空港、piyolog、iPhone Mania、NHK）。

現在ProjectWEBに関しては原因究明のため運用を停止しているという。この影響で顧客である企業や官公庁の情報流出が相次いでいるという。国土交通省は26日に内外関係者約7.6万件分のメールアドレスが流出したと発表、外務省もデジタルガバメントに関連する検討資料が流出。その中には個人を特定できる情報も含まれていたとしている。被害が出ていることから、内閣サイバーセキュリティセンターも情報システムを構成する機器類の情報が漏れていたと発表した。このほかにも成田空港も運航情報管理システムに関係する情報などが不正アクセスを受けたと発表している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
松井証券口座から委託先企業のSEが不正引き出し。被害総額は約2億円 2021年03月25日

内閣府は4月22日、内閣府の職員らが使用しているファイル共有サーバー（FileZen）に不正アクセスがあり、231人の個人情報が流出した可能性があると発表した。このFileZenはソリトンシステムズが提供しているもので、内閣府、内閣官房、個人情報保護委員会、復興庁の職員がファイルの送受信を行うために使用していた。内閣府のネットのワークの外に設置されていたものであるという（内閣府、piyolog、ITmedia）。

今回の不正アクセスは1月に発生したものであるという。ストレージの脆弱性を突く形で発生しているとしている。内閣府のリリースによると、

開発元において3月までに修正パッチの提供等所要の対応がとられました（同社から公表済み）。

ソリトンシステムズは昨年12月にFileZenの脆弱性が含まれていることを確認しており、至急アップデートするよう求めていた（ソリトンシステムズ）。タレコミによると、セキュリティアナリストのhiro_(@papa_anniekey)氏は、そのリリースの翌日となる12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた模様。この対策をしていなかったことが原因となっている可能性が高そうだ。なおpiyologの記事によれば、FileZenは主に国内で約1100台が稼働、その内6割は地方自治体など公共系組織が利用しているとのこと。

あるAnonymous Coward 曰く、

なお、セキュリティアナリストのhiro_(@papa_anniekey)氏は昨年12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた。

情報元へのリンク

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
9割の地域金融機関が営業担当者に個別のメールアドレスを設定していない。金融庁調査 2021年04月24日
Facebook、過去に流出した世界5億3300万人の個人情報が閲覧可能に。日本からも42万8625人 2021年04月07日
「Rakuten Link」で個人情報と通信の秘密の漏洩、楽天モバイルに半年ぶり7度目の行政指導 2021年03月11日
ホンダでサイバー攻撃が発生か。リモート勤務ができないので有給推奨 2020年06月12日
前橋市教委のサーバーで発生した不正アクセスによる情報漏洩被害、管理委託先のNTT東は損害賠償の支払いを拒否 2020年02月21日
堺市、情報漏洩対策としてUSBポートをふさぐ 2016年02月13日
宮崎県えびの市民図書館利用者の個人情報もパスワードなしのFTPで公開状態になっていた 2010年10月01日

あるAnonymous Coward 曰く、

4月5日の夜頃から、5chなどでAtlassian社のタスク管理ツール「Trello」を公開設定で使っている企業の情報がGoogle検索などで表示されることが見つかり、就活生の個人情報や不採用理由などが丸見えになっていると漏洩騒ぎになっているようだ（ITmedia、Twitterのまとめ）。

「Trello」は無料で使用可能なカード型のタスク管理ツール。ボードの公開範囲を「private」にすることで関係者のみに閲覧させることができるが、何故か「public」にしている例が多々あるようで（デフォルトがpublicという話もあるが、タレコミ子が確認した限り現時点ではデフォルトはprivateで、publicに変える時も警告がでる）、それがGoogle検索でヒットしてしてしまい、どうみても部外秘の情報が見えてしまっているらしい。

採用などに使われている例が多々あるようで、漏洩した情報としては「就活生の個人情報」「採用/不採用理由」「パスワードやクレカ情報のメモ書き」「パスワードリスト」「水商売やAV女優の個人情報」「ネタ帳」「社員の愚痴」「スケジュール表」「パパ活情報」「役所の情報」「アムウェイの勧誘リスト」等々多岐にわたっているという。Trelloを利用している方は、直ちに公開範囲を再チェックしましょう。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
イーロン・マスク曰く、Teslaが諜報活動にかかわることはない 2021年03月24日
「Rakuten Link」で個人情報と通信の秘密の漏洩、楽天モバイルに半年ぶり7度目の行政指導 2021年03月11日
福岡県が管理する新型コロナ陽性者数千人分の個人情報が流出、経緯に不可解な点も 2021年01月07日
河野大臣が"Zoom危険厨"にTPOでの使い分けを諭す 2021年01月04日
チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 2020年11月20日
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日