Anonymous がネスレのビジネスに関連するデータ 10 GB をリークしたと主張しているが、ネスレ側はダミーデータだと反論しているそうだ (The Register の記事、 @LatestAnonPress のツイート、 @YourAnonTV のツイート)。

Anonymous がサンプルとして公開しているデータは展開後のサイズが 50 MB 強のもので、example.com ドメインの電子メールアドレスなど明らかなダミーデータが目立つ。ネスレが The Register に語ったところによれば、データは本物でも機密情報でもなく、誤って同社の Web サイトで公開してしまったものだという。

同社のビジネステスト用 Web サイトで短時間の誤公開事故が発生したのは 2 月。大半は一般に入手可能なランダム化された B2B 用テストデータであり、事故後の調査では特に追加の対応は必要ないと判断しているとのこと。そのため、ネスレがサイバー攻撃を受けて情報を流出させたという主張は根拠のないものとのことだ。

ネスレはロシアに対する国際的な制裁措置に従うこと、ロシアでの宣伝活動や投資、輸出入を停止することなどを発表する一方、人道的に必要な食糧供給を継続すると述べたため、Anonymous のターゲットになったようだ。

同社はその後、ロシアで近い将来の間に利益を上げるつもりはなく、利益は人道支援組織にすべて寄付すると述べているが、ロシアでの人道的に必要な食料供給は同社の価値観に合うものだとして、継続する意思を示している。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
日本の医療Q&Aサイト、公開状態のAmazon S3バケットからおよそ30GBの顧客データが流出 2022年03月26日
Bing や Cortana のものとされる約 37 GB のソースコードが流出 2022年03月23日
ロシアでの営業を停止したマクドナルドがなぜか営業中。ネットでは高額転売も 2022年03月18日
YKK、ロシア国内でのファスナー生産と販売停止へ。ロシアの撤退企業への取り締まり強化も 2022年03月16日
Cloudflare 曰く、同社の全面的なロシア撤退はロシア政府を喜ばせるだけ 2022年03月11日
Samsung、データ侵害にあっていたことを認める 2022年03月08日
MicrosoftやAdobeなど、ロシアで全製品の販売とサービス停止へ 2022年03月07日
NVIDIAがサイバー攻撃を受ける。NVIDIA側もサイバー攻撃で反撃とも 2022年03月02日
オーストラリア・ビクトリア州、ネスレのミロに似せたビール缶のデザインを使用禁止 2021年08月14日
ネスレが猫アレルギーの原因物質を中和するキャットフードを開発。世界初 2020年10月19日
ネスレ日本、「キットカット」大袋の包装をプラスチックから紙に変更 2019年08月02日
ネスレ、プラスチック製ストローの全廃などプラスチック廃棄物への取り組みを加速 2019年01月25日
KitKatの絵文字キャンペーン、Unicodeを宣伝の場所にすることの是非は？ 2015年11月29日
ネスレ日本が「ソリュブルコーヒー」という名称を使うため業界団体から脱退 2014年07月25日

headless 曰く、

ハッキンググループ Lapsus$ がおよそ 37 GB のソースコードを Microsoft 内部の Azure DevOps サーバーから盗み出したものだと主張し、Torrent ファイルを放流したそうだ (Bleeping Computer の記事、 Cyber Kendra の記事、 The Register の記事、 Neowin の記事)。

Lapsus$ は先週末、本件に関連するスクリーンショットを Telegram に投稿し、その後削除した。Microsoft はLapsus$の主張を認識しており、調査を進めていると述べていた。

ソースコードは 7-ZIP アーカイブに格納されており、圧縮状態で約 9 GB。250 以上のプロジェクトが含まれるという。Lapsus$ の Torrent ファイル放流時のコメントによれば、Bing のソースコードの 90 % 、Bing Maps と Cortana のソースコードの 45 % を含むとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | 情報漏洩 |

関連ストーリー：
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
Google、Microsoftがライバルを蹴落とすためにオープンなWebを破壊すると批判 2021年03月14日
コンピュータソフトウェア協会、GitHub流出の件で利用萎縮にならないよう求める声明を発表 2021年02月03日
ソースコード流出事件を受けて、GitHubの監視サービスがスタート 2021年02月02日
年収を査定してもらうためとして、SMBC証券の業務コードを公開していたことが発見される 2021年01月29日
日産の社内ツールやソースコードがサーバーの設定ミスで流出 2021年01月08日

ロシアがウクライナに侵略行為を行ってからひと月が経過しようとしている。当初は大軍を率いたロシア軍が短期間でウクライナを制圧するとする見方が強かったが、実際にはウクライナ軍は苦しいながらも持ちこたえている状況にある。予想が外れた原因に関しては、ウクライナ側の強い防衛意識と西側の武器支援のほか、ロシア軍側の通信網の不備（ミリレポ[動画]）や士気の低さなどいろいろな要因が指摘されている。また前線部隊に食料や弾薬補給がうまく回っていないと言った問題も指摘されている。このためロシア側は中国に食糧の支援を求めたとの報道も出ている（ 、Yahoo!ニュース個人）。

一方でロシア軍の食料（軍用レーション）がAmazonなどで販売され（その1、その2）、日本国内などに出回っており、購入者の報告などがネット上にアップされている。Twitterで上げられた購入者の報告によれば2週間程度で届いたとのこと（クソ聖杯マイスター斑鳩氏のツイート、まとめぶ）。購入者によれば梱包も厳重な状態で送られてきたという。一方で前線の兵士には賞味期限切れのレーションが出回っているなどの報告も出ている（海外の反応）。

すべて読む | idleセクション | 軍事 | セキュリティ | idle | 情報漏洩 |

関連ストーリー：
ロシアでの営業を停止したマクドナルドがなぜか営業中。ネットでは高額転売も 2022年03月18日
キエフの自動車修理工場で鹵獲車載機銃の改造が進む 2022年03月17日
ロシア国営テレビの生放送中にスタッフが乱入。反戦を主張 2022年03月16日
ロシアが独自のTLS認証局を創設、主要ウェブブラウザベンダーの審査通過は難しいとの見方も 2022年03月15日
ウクライナのガス企業2社が生産停止、世界供給の約半分を占め半導体製造にも影響か 2022年03月15日
ウクライナ政府、国民に鹵獲したロシア戦闘車両等は所得申告の必要なしと発表 2022年03月03日
衛星インターネット「Starlink」、ウクライナで使用可能に設定変更。対応端末は輸送中 2022年03月01日
日本を含むG7主要国、ロシアの主要銀行を国際送金システム「SWIFT」から排除へ 2022年03月01日

ITmediaの記事によると、携帯通信キャリアの一部が自社のアカウントサービスの利用者に対してパスワードを平文で提示する機能が用意されているとして、記事ではセキュリティ上の懸念を提示している（ITmedia）。

記事によると、この機能はユーザーがログイン画面のパスワードを忘れたときのための機能で、電話番号や契約時に設定した4桁のネットワーク暗証番号などを入力すると、パスワードが掲示されるものとなっている。記事ではこうした事業者側がパスワードを平文保持している状況は、不正アクセスなどで情報漏えいが起きた際のリスクになるとしている。

掲示されるのはドコモ系列がdアカウントはポータル内で、ソフトバンク系列はSMSでの通知となっている。KDDI（au/UQ mobile）と、楽天モバイルの会員サービスに関しては、本人確認の後にパスワードの通知を行う方法ではなく、新規パスワードの設定画面に移行する方式であるとしている。またソフトバンクにおいては、パスワードを暗号化せず平文のまま保管していることも確認できたとしている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | 携帯通信 | 情報漏洩 |

関連ストーリー：
macOSの暗号化zipファイルはパスワード無しで比較的容易に解凍できる 2021年10月12日
ZOLLの除細動器管理ソフトウェア、リモートからの任意コード実行など6件の脆弱性が公表される 2021年06月19日
Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して 2021年02月09日
「宅ふぁいる便」サービス終了 2020年01月15日
情報漏洩で停止中の「宅ふぁいる便」の退会ができる特設サイト、利用可能時間は9時から17時45分まで 2019年04月10日
ユーザー情報漏洩事件を起こした「宅ふぁいる便」、当面サービス休止に 2019年03月19日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日

JJ5RBD / Code10-4 ﾌｧｲﾌｧｲﾓﾃﾞ完さんのツイートによると、ノートPCの動作中に発生するノイズに、PCの再生サウンドや周囲音が輻射される現象が発生していたそうだ。同氏が広帯域受信機でサーチしてたところ、自宅の室内音声がそのまま飛び込んできたことから分かったものだそうだ。PCの電源を落とすとノイズが消えることから、自宅PCが発生源であることはほぼ間違いないという（JJ5RBD / Code10-4 ﾌｧｲﾌｧｲﾓﾃﾞ完さんのツイート）。

スペアナの近くでノイズ源となっているPCを動作させ、ノイズ輻射の様子を観測してみたところ、PCから出力されたサウンドだけでなく、周囲の音声も拾っていることが判明した。このほか様々な調査が行われているが、その結果、音声は内蔵マイクで拾った信号が変調されており、デバイスマネージャーからサウンドデバイスやマイク系列を無効化しても止まらなかったという。最終的には内蔵カメラ関連のケーブルを外すというハードウェア的な対策を取って解決しているようだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | 情報漏洩 |

関連ストーリー：
メモリバスが発する電磁波を利用してエアギャップ環境からデータを盗む「AIR-FI」 2020年12月22日
電球の光を観察すれば、25メートル離れた場所の会話が盗聴できる。イスラエル 2020年06月18日
PCの冷却ファンを制御してPCの筐体を振動させ、その振動を使ってスマートフォンと通信する手法が開発される 2020年04月30日
リンク切断時間5秒でLANケーブルにパケット盗聴器を接続する手法 2020年04月14日
パソコンの発する電磁波をAMラジオで受信してRSA秘密鍵などを解析 2015年06月21日
熱を使ってネットワークから隔離されたマシンと通信する手法が考案される 2015年03月27日

headless 曰く、

ハッキンググループ Lapsus$ が Samsung のものだと主張する 190 GB 近いデータの Torrentファイル を週末に放流していたが、Samsung は攻撃者を特定せずにデータ侵害を認めたそうだ (HackRead の記事、 The Verge の記事、 9to5Google の記事、 SamMobile の記事)。

Samsung は社内データに対するセキュリティ侵害があったことを認め、セキュリティシステムを強化したと述べている。Samsung の初期の分析によれば、侵害されたのは Galaxy デバイスの動作に関連するソースコードで、消費者や従業員の個人情報は含まれないという。そのため、現時点では業務や顧客に影響しないとみているとのことだ。

Lapsus$ は NVIDIA のデータも侵害し、ドライバーのオープンソース化などを要求して注目されていた。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
NVIDIAのプロプライエタリ情報を盗み出したハッキンググループ、ドライバーのオープンソース化を要求 2022年03月05日
NVIDIAがサイバー攻撃を受ける。NVIDIA側もサイバー攻撃で反撃とも 2022年03月02日

ロシアによるウクライナへの侵略でロシア側は攻撃開始後、短時間で勝利を見込んでいたようだ。国営ロシア通信は2月26日午前8時1分、ウェブサイト上にロシアが勝利したことを前提とする記事を誤って公開してしまったそうだ。内容はロシアと新たな世界の到来とするもので、ウクライナ以外の占領地域の拡大も示唆するような内容となっている。事前に用意していた記事が設定ミスでアップロードされたものと見られている。記事は短時間で削除されたものの、Internet ArchiveのWayback Machineに補足されていたという。タレコミにもあるが、内容に関しては山形浩生氏が日本語訳を掲載している（毎日新聞、クーリエ・ジャポン[会員記事]）。

またウクライナ国防省が発表した内容によると、ロシア軍から押収した占領作戦資料から、ロシア側はウクライナ占領までの期間を15日間と見積もっていたらしいことが分かった。この資料はロシアの黒海艦隊所属部隊から押収したものだという。航空万能論GFの記事によれば、作戦命令書、コールサイン表、指揮管制用コード表、秘密コード表、人員リスト表などを入手したとしている。今回の作戦の承認に関しては2022年1月18日付で承認されていたことも判明しているとのこと（ウクライナ国防省情報局の公式Facebook、航空万能論GF）。

maia 曰く、

ロシアのウクライナ侵攻成功後（計画では2月26日）にロシア国営RIAノーボスチ通信で出すはずだった予定稿では「ロシアと新たな世界の到来」）の翻訳を紹介する。ウズベキスタンのスプートニクのサイトにまだ載ってたのと、パキスタンのメディアに英訳が載ってたというから、原文はまあ本物だろう。読むと、その世界観に疲れるかもしれないが、興味深いのは間違いない。一読と、できれば分析をお勧めする。原文は署名記事だが、プーチン大統領の意を体したものと見做してよいだろう。
「ロシアの攻勢と新世界」（山形浩生訳）

すべて読む | セキュリティセクション | EU | 政治 | idle | 情報漏洩 |

関連ストーリー：
ドイツが政策を大幅転換、国防費を大幅増額で脱原発・石炭も見直し議論へ 2022年03月03日
Apple、ロシアでの全製品の販売と政府系アプリの提供を停止。IT各社も同様の制限 2022年03月03日
ロスコスモス総裁、OneWebが非軍事確約＆英政府撤退なければ打ち上げないと恫喝 2022年03月03日
Twitter、ロシアの国家当局関係メディアへリンクするツイートにラベル付け開始 2022年03月03日
ウクライナ政府、国民に鹵獲したロシア戦闘車両等は所得申告の必要なしと発表 2022年03月03日
ロシアのウクライナ侵略、ノーベル平和賞受賞者が主筆を務めるロシアの独立系新聞はどう報じているのか 2022年03月03日

あるAnonymous Coward 曰く、

南米で活動する脅迫グループ「LAPSU$」が、「NVIDIAに侵入して1TB以上の独自データを盗み出した」と主張しているという。また興味深いことに、同グループは「NVIDIA側の反撃により同グループのマシンがランサムウェアに侵された」とも主張しているとのこと。なおタイミング的にウクライナ情勢の影響も疑われたが、本件は特に関係なさそうだとも報じられている（NVIDIA、ZDNet、Engadget、Bloomberg）。

なお1日時点ではNVIDIA側は正式なリリースを出していない。Engadgetの記事によれば、メールや開発者用ツールが使用できなくなる問題が2月25日に発生したものの復旧済みであるという。NVIDIAの広報担当者はZDNetに対し、業務には影響を及ぼしていないと話していた模様。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
トヨタ系部品製造会社がサイバー攻撃を受け、1日にトヨタ・日野・ダイハツが操業を停止 2022年03月01日
ウクライナに大規模なサイバー攻撃 2022年01月19日
欧州宇宙機関、超小型人工衛星に対するサイバー攻撃のアイディアを募集 2022年01月15日
中国軍指示で日本製セキュリティーソフトを購入しようとした元留学生に逮捕状 2021年12月29日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
ニップン、ランサムウェア被害で決算報告を再延期へ。帳票を手作業で作成中 2021年11月19日

クレジットカード基盤を提供するメタップスペイメントは28日、同社のデータベースから最大46万件のクレジットカード情報が流出したと発表した。外部からの不正アクセスを受けて流出したとされている（メタップスペイメントリリース、ITmedia）。

流出した情報は2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件。21年5月6日から22年1月25日までに実行された決済情報593件と加盟店情報38件であるとしている。同社の調査によれば、サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが判明しているという。今年の1月の段階で社内システムへの不正ログインやバックドアの存在などが確認されたとしている。

この影響で多くのサービスに影響が出ている。ITmediaの記事によれば、28日までにメタップスペイメントのクレジット決済サービス「トークン方式」や「イベントペイ」「会費ペイ」などを利用していた企業が謝罪のプレスリリースを公開する事態になっている。目立つものとしてAKB48グループチケットセンター、福山市スポーツ協会、日本赤十字社などの名前が挙がっている（ITmedia）。

あるAnonymous Coward 曰く、

攻撃の内容もサーバへの不正ログイン、SQLインジェクション、バックドアの設置など多岐にわたるようでいろいろ酷そうだ。カードの情報漏洩対策としては自前で実装せずに決済代行会社を使うのがまず定石だが、その決済代行会社がこれでは事態は深刻である。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 2021年12月07日
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日
オリックス系旅館・ホテル運用会社で個人情報入りのサーバーまるごと紛失 2020年12月10日
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日
ショップチャンネルの通販サイトで不正ログインが発生。22件の個人情報が流出した疑い 2020年07月31日

インフラエンジニアの「糟屋もふ」さんが、Amazonの公開中の欲しいものリストを元に、電話番号を取得できる手法が存在しているとの警告を行っている。セキュリティ上の問題があるため具体的な手法については触れられていないものの、同氏はセキュリティ資格保持者として、この手法が自アカで再現可能なことを確認したという。「ほしい物リスト」では、以前にも「本名が公開される問題」や「本名とメールアドレスがセットで公開される」といった問題が起きており、リストを公開中の方は警戒して置いた方が良いだろう（糟屋もふさんのツイート）。

なお同氏によると、発見された手法ではリストに「第三者の出品の商品の発送同意書」にチェックがなされていない場合でも機能するとのこと。問題に関してはすでにAmazon側に連絡済みだとしている。同氏はAmazon側で対策が行われるまで、欲しいものリストを非公開にすることを推奨している。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
Amazon.co.jpの注文履歴流出騒動、被害件数などの詳細は明らかにせず 2019年10月11日
Amazon.co.jpの「ほしい物リスト」で本名が公開される問題が発生 2018年02月08日
Amazonの「ほしい物リスト」に登録してある住所が第三者にバレる問題、発覚 2012年01月18日
Amazon.co.jpで「本名とメールアドレス」のセットの漏洩の危険性 2008年03月13日

学習塾大手の日能研が29日、同社のWebサイトのサーバーにSQLインジェクションを利用した外部からの不正アクセスが発生。保護者などのメールアドレス最大28万106件が、外部に流出した可能性があると発表した。脆弱性が発生した場所は特定しており、すでに対策を施しているとしている。共同通信などの報道によると迷惑メールが届いているとの相談を受け調査したところ、2021年12月上旬に不正アクセスを受けていたことが判明したという。同社では流出したメールアドレスがフィッシング詐欺などに使われる恐れがあるとして対象アドレスにメールで通知したとしている（日能研、共同通信、NHK）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 2021年12月07日
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 2021年06月09日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Amazonの商品レビュー詐欺に関与した20万人以上の個人情報が流出 2021年05月11日

情報セキュリティ企業ラックで、元社員の私物HDDが第三者に売却され、社内文書や個人情報が流出しかけるというトラブルが生じていたと報じられている。HDDを購入した人物が善意で同社に通報したため情報の流出はなかったとのこと。このHDDは元社員がビジネス文書等を個人所有のハードディスクに保管、その後HDDをフリーマーケットで売却していたという。中には業務上のビジネス文書約2000件と最大約1000件の個人情報が含まれていたとしている。同社は「情報流出事案」として14日午後、情報流出の経緯と概要についての発表を行っている（ラックの発表、朝日新聞その1、朝日新聞その2）。

あるAnonymous Coward 曰く、

ラック子会社のネットエージェント（現在はラックに吸収合併）がブロードリンクの事件を受けて「意外と難しいデータ消去」と題したブログを公開していたのは何とも皮肉な話である。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
HDD処理業者社員による神奈川県庁の使用済みHDD横流し事件、懲役2年・執行猶予5年の判決 2020年06月10日
ドスパラがHDD/SSD破壊サービスの郵送受付を開始、顧客は破壊工程を動画で閲覧可能 2020年06月05日
岡山県、今後のハードディスク破棄は職員が行う方針を決める 2019年12月23日
神奈川県庁のサーバーで使われていたHDD、廃棄業者社員が適切に処理せずに転売し情報流出 2019年12月06日
ドスパラ、中古HDDをデータを消さずに販売。回収へ 2012年06月27日

中国籍の元留学生男性が偽名でウイルス対策ソフト購入しようとしたとして、警視庁が逮捕状を取ったそうだ。警視庁が逮捕状を取ったのは、元留学生の王建彬容疑者。同容疑者は、非実在の日本企業の名前を名乗り、日本製の企業向けセキュリティ対策ソフトを不正に購入しようとした模様。なお同容疑者はすでに中国に帰国済みとのこと（読売新聞、産経新聞、TBS NEWS）。

読売新聞によると、中国人民解放軍のサイバー攻撃部隊「61419部隊」に所属する妻が「国に貢献しなさい」「国が守ってくれる」などとSNSやメールなどを通じて指示を出していたそうだ。企業向けのセキュリティ対策ソフトを研究し、日本企業のシステムの脆弱性を把握することが目的だとされている。

追記 by headless: 容疑は詐欺未遂とのこと。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
米国防総省によるXiaomiの「中国共産党の軍事企業」指定、正式に取り消される 2021年05月29日
イーロン・マスク曰く、Teslaが諜報活動にかかわることはない 2021年03月24日
Bloomberg、2年前に全方向から否定された「Super Microのマザーボードにスパイチップ」という話に再び挑戦 2021年02月13日
中国進出した企業に義務化されている税務ソフトにスパイウェア。ドイツとの関係も悪化 2020年12月11日
政府が大学の技術流出防止へ。政府が支援する研究では資金提供元の開示を義務化 2020年06月27日

LINE Payは6日、同社のキャンペーン参加に関わる情報が閲覧できる状態になっていたと発表した。流出したのはLINE Payユーザー13万3484アカウント分の情報。流出の内訳としては、ユーザーの識別子、加盟店管理番号、キャンペーン情報（キャンペーンコード等）となっている。このうちキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれている可能性がある。氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等の情報は含まれていないそうだ。委託先であるグループ会社の従業員が「GitHub」上にアップロードしたものだとしている。すでに情報は削除され、該当ユーザーに関しては個別に連絡済みだとしている（LINE Payのプレスリリース）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
中国電信が米国で免許取り消しへ。安全保障の観点から 2021年11月01日
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Facebook、過去に流出した世界5億3300万人の個人情報が閲覧可能に。日本からも42万8625人 2021年04月07日

東京都練馬区の中学校で、生徒に対してSNSのパスワードを書かせた書類を提出させようとしていたことが分かった。こうなった原因は複数あるが、最大の理由は東京都練馬区教委会が配布したSNS利用の啓発用のリーフレットに、SNSのパスワードを記入する欄があったこと。もともと区教委はパスワードを収集する意図があったが、パンフレットの内容がTwitterで出回り、人権侵害であるなどの指摘がでて炎上。その結果、区教委はパンフレットはそのままで提出時にパスワードを記載しない状態で提出してもらうと通知していたようだ（練馬区リリース[PDF]、弁護士ドットコム、毎日新聞）。

しかし練馬区内の中学校1校がこの通知を生徒や各家庭に伝達し忘れた。それによりパスワードが記載されたリーフレットが家庭に届き、学校側が生徒のパスワードを知り得る状態になってしまったという。練馬区のリリースによれば12月2日時点で276名からリーフレットの提出を受けていたとしている。このため区では3日、各家庭にあてて謝罪文を送付したとしている。

すべて読む | セキュリティセクション | セキュリティ | 教育 | 情報漏洩 |

関連ストーリー：
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入 2021年11月30日
2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 2021年11月21日
学習向けタブレット等を使用してのいじめ、全国の小中学校で増加 2021年11月11日
イスラエル・テルアビブ、家庭や小規模オフィスの Wi-Fi は 70 % が容易にクラックできるとの調査結果 2021年11月02日
macOSの暗号化zipファイルはパスワード無しで比較的容易に解凍できる 2021年10月12日
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日

グラウンドワークスは11月30日、同社が運営する「EVANGELION STORE」で、第三者による不正アクセスにより、利用者のクレジットカード情報1万7828件が流出した可能性があると発表した。同サイトはアニメ作品「エヴァンゲリオン」シリーズのグッズなどを扱う公式ストアとなっている（弊社株式会社グラウンドワークスが運営する「EVANGELION STORE(オンライン)」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ、ITmedia）。

流出は7月12日に一部のクレジットカード会社からの連絡で発覚、同日カード決済を停止した。第三者調査機関による調査が行われ、9月29日に一部のお客様のクレジットカード情報が不正利用された可能性があることが確認できたとしている。漏洩した可能性のある情報は以下の通りとなっている。

• カード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード
• ログオンID（EVANGELION STORE(オンライン)会員用メールアドレス）
• パスワード（EVANGELION STORE(オンライン)会員用）

すべて読む | セキュリティセクション | ニュース | アニメ・マンガ | 情報漏洩 |

関連ストーリー：
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日
Firefox Nightlyにクライアントサイドの機械翻訳機能が実装される 2021年05月31日

パスワードマネージャーの NordPass が 2021 年版の人気パスワードトップ 200 を公開している (NordPass の記事、 HackRead の記事、 Mashable の記事)。

調査は NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、4 TB のデータベースを調査したという。1 位は各社の調査で 10 年以上にわたってトップを独走している「123456」であり、2 位以下も「123456789」「12345」「qwerty」「password」といった常連ばかりだが、今回の調査では国別・性別のデータもまとめられている。

日本では 85,561,976 件のパスワードが流出しており、日本人 1 人あたり 0.68 件が流出した計算になる。人口 1 人あたりの流出件数はロシア (19.902 件)やチェコ (6.221 件)、フランス (6.025 件)、ドイツ (5.838 件)、米国 (5.158 件)などで多い。

日本のパスワード 1 位は「password」となっており、以下「123456」「123456789」「12345678」「1qaz2wsx」のように世界共通のパスワードが上位を占める。一方で、現地語の単語を使用したパスワードが数多く出現するのが国別データの特徴だ。日本の場合は「sakura (15位)」「takahiro (21位)」「fujitvpass (25位)」「doraemon (28位)」などが上位に入っている。

また、「nekoneko (35位)」「lovelove (38位)」「nikoniko (46位)」「tomotomo (53位)」「hirohiro (54位)」といった2音節を繰り返したパスワードも目立つ。トップ 5 のパスワードが 1 秒以内にクラック可能なのに対し、日本人の名前らしきパスワードの中にはクラックに 3 時間を要するものもあるが、日本に特化したパスワードリストを使用すればクラック時間は短縮されるだろう。

スラドの皆さんが使用しているパスワードは見つかっただろうか。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 情報漏洩 |

関連ストーリー：
小学校で一人一台端末、出席番号をもとに規則性のあるIDと全員共通のPWでなりすまし横行 2021年09月16日
最も使用されているパスワードは相も変わらず「123456」。漏洩データからの研究 2020年07月06日
2019年の最悪パスワードは1位は今年も「123456」、2位は「qwerty」に。 2019年12月23日
2018年・最悪のパスワードトップ50、今年も「123456」がナンバー1に 2018年12月17日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日
「最もよく使われているパスワード」、2016年調査でもトップは「123456」 2017年01月19日
Twitterアカウント情報3300万件が流出、もっとも多かったパスワードは「123456」 2016年06月13日
不倫サイトから流出したパスワードの解析が進む、罪悪感や言い訳のようなフレーズも多数 2015年09月18日
2014年最も人気のあったパスワード、相変わらず「123456」や「password」がトップに 2015年01月22日
「最悪なパスワード」、2013年版トップは「123456」 2014年01月22日
マルウェアの制御サーバにて200万件以上のパスワード発見。大手ウェブサービスなども被害 2013年12月10日
Adobeから漏洩した3000万以上のアカウント情報からのパスワード解析方法 2013年11月12日
Adobeアカウントで最もよく使われていたパスワードは「123456」 2013年11月09日
IEEEで会員10万人分のIDとパスワードが漏えい。人気のパスワードは「123456」 2012年09月29日
シリア大統領府、スタッフの多くが「12345」をパスワードとして使用 2012年02月12日
漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 2010年01月26日

あるAnonymous Coward 曰く、

週刊文春が今月報じたところによると、10月中旬ごろから中国のサイトに日本メーカーのアダルトビデオ (AV) の無修正動画が大量流出し、不正に販売される事態が起きているという（文春オンライン, MAG2NEWS）。

報道によると、流出したのは業界最大手のソフト・オン・デマンド (SOD) の作品約50本を始め、プレステージなどの人気メーカーも含め計約120本。過去に関係者がマスターテープを持ち出した事件などもあったが、これほどの本数が流出したことはなく、不正アクセスなどによるものではないかと言われているという。また、動画の中にはタイトルに「仮」と入っているなど編集途中のデータであることを伺わせるものもあったという。

こうした動画は、中国サイトでは1本50～100ドルでダウンロード販売されており、人気トップ女優の作品も多数含まれているとのこと。中国ということでサーバー運営者への削除依頼や法的措置も難しく、また出演者の中には本数が多いことからメーカーが組織的に流したのではないかと疑う声もあるとのことで、今後AV業界で大きな問題になるかもしれない。

すべて読む | セキュリティセクション | セキュリティ | 海賊行為 | 情報漏洩 |

関連ストーリー：
高解像度化技術「TecoGAN」でAVのモザイクを除去＆販売していた人物が逮捕 2021年10月19日
ディープフェイク技術を使って合成AVを作成、収益を得たとして男二人が逮捕。国内初 2020年10月05日
AIによるアダルトビデオのモザイク除去が実用レベルに 2020年02月13日
無修正ポルノ動画を国内で撮影、台湾経由で米国の動画サイトで販売した制作会社が摘発される 2017年01月12日
FC2の動画配信サービスを使って性行為を有料ライブ配信した男性、半年で3000万円を稼ぐ 2014年06月06日
わいせつな「エロSDカード」販売、摘発される 2010年05月21日
「違法なコンテンツ」は著作権保護の対象外？ 2009年08月18日
海外サーバーで児童ポルノを提供していたサイト運営者、逮捕される 2009年02月18日

izmさんの「社食がまずい、は業務上知り得た秘密に入るかどうか」というツイートが議論を呼んでいたようだ。これに対して様々なレスが行われているが、業務時間に社食を利用していたならば業務、バレると会社のイメージダウンにつながる、社員の士気に関わるなどといったものが多く、業務上の秘密に該当するとする見方が多いようだ。なお、外部の企業が社食を運用しているの場合は秘密に該当しないといった指摘もある。中には社食の値段からどの会社か特定されてしまったとする社食警察に捕まってしまった人もいた模様（izmさんのツイート、Togetter）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
厚労省と文科省、連携して求職や社食に指導。肥満ややせが増えたら改善を促す 2013年08月06日
米 Google、福利厚生に「死亡手当」を追加 2012年08月15日
カップ麺臭はやめてくれ、オフィスの臭気対策は？ 2010年10月14日
GoogleからMSに人材が移っている？ 2008年07月03日
Google東京オフィスの社食レポート 2007年02月11日