NHKの記事によれば、経済産業省は、日本の安全保障関連の技術流出を防止するための規制強化を1日から開始したそうだ。企業や大学などが対象となる。内容としては、年間所得の25％以上を外国政府などから受け取っている研究者などに重要な技術や情報を提供する場合、事前に国の許可が必要になるという。また日本国内の行動について海外から指示を受けている人なども規制の対象になるとしている（NHK）。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
政府、外交・防衛など国家機密の管理は国産プライベートクラウドを使用する方針へ 2022年02月10日
中国新興半導体企業、TSMCから100人以上の人材を引き抜きか 2020年08月18日
米軍技術向けに内輪運用されていた「秘密特許」を正式導入のため法改正へ　中国への対応が念頭に 2020年08月17日
政府が大学の技術流出防止へ。政府が支援する研究では資金提供元の開示を義務化 2020年06月27日
日本政府、技術流出防止へ外資規制強化へ 2019年09月19日

インド政府のサイバーセキュリティ当局 CERT-In は 4 月 28 日、サイバーインシデント発生を認識後 6 時間以内に報告するよう企業や政府組織に義務付ける指令を発表した (プレスリリース、 The Register の記事、 指令: PDF)。

報告が義務付けられるインシデントとしては、不正アクセスやマルウェア攻撃、DoS/DDoS、データ侵害、データ漏洩、ウェブサイト改変、偽モバイルアプリなど20 種類が挙げられている。報告には電子メールや電話、Fax が利用できる。6 時間以内の報告義務付けは EU (72 時間) や米国 (24 時間) と比べて大幅に短い。CERT-In ウェブサイトのインシデント報告に関するページには報告書式の PDF も用意されているが、書式で挙げられているインシデントの種類は報告が義務付けられるインシデントの種類とは異なる。指令は 60 日後に発効する。

すべて読む | セキュリティセクション | セキュリティ | バグ | 政府 | 情報漏洩 | ワーム |

関連ストーリー：
インド政府、国産モバイル OS 開発を模索 2022年01月30日
ハバナ症候群、インドでも発生か 2021年09月25日
インド政府、「インドの変異株」に言及するコンテンツを削除するよう、ソーシャルメディアプラットフォームに要請 2021年05月25日
インド最高裁、中央銀行による暗号通貨取引禁止命令を覆す 2020年03月10日
北朝鮮に所属するハッカーグループ、インドのATMをターゲットにしたマルウェア開発 2019年09月27日
インド政府、米国との貿易戦争による規制に対処できるよう独自の公務員向けメッセージングアプリの導入を検討中 2019年07月02日
インド政府、政府機関に対し暗号化通信などの傍受を認める 2018年12月28日
インド・デリーの偽コールセンター、偽のMicrosoftテクニカルサポートスタッフなど24名が逮捕 2018年10月09日
インド準備銀行、来年6月までに全ATMのOSをサポートが継続されているバージョンにアップグレードするよう勧告 2018年06月28日
インド政府、Windows 10へのアップグレードを格安で提供するようMicrosoftに要請 2017年07月01日

大阪市で市民からの情報公開請求が行われた結果、「新型コロナウイルス感染者等情報把握・管理システム（HER-SYS）」の認証情報がそのまま記載されてしまい、ログインに必要なIDやパスワードなどが外部に流出していたことが判明した（Security NEXT、産経新聞）。

情報公開請求に応じて交付した資料に本来行うべきマスキングしていなかったことが原因だった。4月20日に請求者に対して資料を送付したところ、問題が指摘されて発覚。遡って調査したところ、3月24日や4月20日に行われた情報公開請求を行った6人に対しても、マスキングなしで情報公開していたことが判明したとしている。同市ではすでにパスワードを変更し、新たなIDを厚生労働省に申請しているとのこと。

すべて読む | セキュリティセクション | セキュリティ | 政治 | idle | 政府 | 情報漏洩 |

関連ストーリー：
米カリフォルニア州裁判所、州の情報公開法で Waymo の企業秘密を公開しないよう事前差止命令 2022年02月26日
内閣情報調査室、インターネットでの情報収集を認める 2020年07月03日
香川県のゲーム規制条例パブコメ募集に対し寄せられた賛成意見で「ほぼ同じ文言の文章」が多く確認される 2020年04月14日
米市民権・移民局、難民のソーシャルメディア審査を担当する職員にオンライン翻訳サービスの活用を推奨 2019年10月02日
外務省、公開鍵の情報公開請求を拒否する 2019年04月25日

Anonymous がネスレのビジネスに関連するデータ 10 GB をリークしたと主張しているが、ネスレ側はダミーデータだと反論しているそうだ (The Register の記事、 @LatestAnonPress のツイート、 @YourAnonTV のツイート)。

Anonymous がサンプルとして公開しているデータは展開後のサイズが 50 MB 強のもので、example.com ドメインの電子メールアドレスなど明らかなダミーデータが目立つ。ネスレが The Register に語ったところによれば、データは本物でも機密情報でもなく、誤って同社の Web サイトで公開してしまったものだという。

同社のビジネステスト用 Web サイトで短時間の誤公開事故が発生したのは 2 月。大半は一般に入手可能なランダム化された B2B 用テストデータであり、事故後の調査では特に追加の対応は必要ないと判断しているとのこと。そのため、ネスレがサイバー攻撃を受けて情報を流出させたという主張は根拠のないものとのことだ。

ネスレはロシアに対する国際的な制裁措置に従うこと、ロシアでの宣伝活動や投資、輸出入を停止することなどを発表する一方、人道的に必要な食糧供給を継続すると述べたため、Anonymous のターゲットになったようだ。

同社はその後、ロシアで近い将来の間に利益を上げるつもりはなく、利益は人道支援組織にすべて寄付すると述べているが、ロシアでの人道的に必要な食料供給は同社の価値観に合うものだとして、継続する意思を示している。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
日本の医療Q&Aサイト、公開状態のAmazon S3バケットからおよそ30GBの顧客データが流出 2022年03月26日
Bing や Cortana のものとされる約 37 GB のソースコードが流出 2022年03月23日
ロシアでの営業を停止したマクドナルドがなぜか営業中。ネットでは高額転売も 2022年03月18日
YKK、ロシア国内でのファスナー生産と販売停止へ。ロシアの撤退企業への取り締まり強化も 2022年03月16日
Cloudflare 曰く、同社の全面的なロシア撤退はロシア政府を喜ばせるだけ 2022年03月11日
Samsung、データ侵害にあっていたことを認める 2022年03月08日
MicrosoftやAdobeなど、ロシアで全製品の販売とサービス停止へ 2022年03月07日
NVIDIAがサイバー攻撃を受ける。NVIDIA側もサイバー攻撃で反撃とも 2022年03月02日
オーストラリア・ビクトリア州、ネスレのミロに似せたビール缶のデザインを使用禁止 2021年08月14日
ネスレが猫アレルギーの原因物質を中和するキャットフードを開発。世界初 2020年10月19日
ネスレ日本、「キットカット」大袋の包装をプラスチックから紙に変更 2019年08月02日
ネスレ、プラスチック製ストローの全廃などプラスチック廃棄物への取り組みを加速 2019年01月25日
KitKatの絵文字キャンペーン、Unicodeを宣伝の場所にすることの是非は？ 2015年11月29日
ネスレ日本が「ソリュブルコーヒー」という名称を使うため業界団体から脱退 2014年07月25日

headless 曰く、

ハッキンググループ Lapsus$ がおよそ 37 GB のソースコードを Microsoft 内部の Azure DevOps サーバーから盗み出したものだと主張し、Torrent ファイルを放流したそうだ (Bleeping Computer の記事、 Cyber Kendra の記事、 The Register の記事、 Neowin の記事)。

Lapsus$ は先週末、本件に関連するスクリーンショットを Telegram に投稿し、その後削除した。Microsoft はLapsus$の主張を認識しており、調査を進めていると述べていた。

ソースコードは 7-ZIP アーカイブに格納されており、圧縮状態で約 9 GB。250 以上のプロジェクトが含まれるという。Lapsus$ の Torrent ファイル放流時のコメントによれば、Bing のソースコードの 90 % 、Bing Maps と Cortana のソースコードの 45 % を含むとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | 情報漏洩 |

関連ストーリー：
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
Google、Microsoftがライバルを蹴落とすためにオープンなWebを破壊すると批判 2021年03月14日
コンピュータソフトウェア協会、GitHub流出の件で利用萎縮にならないよう求める声明を発表 2021年02月03日
ソースコード流出事件を受けて、GitHubの監視サービスがスタート 2021年02月02日
年収を査定してもらうためとして、SMBC証券の業務コードを公開していたことが発見される 2021年01月29日
日産の社内ツールやソースコードがサーバーの設定ミスで流出 2021年01月08日

ロシアがウクライナに侵略行為を行ってからひと月が経過しようとしている。当初は大軍を率いたロシア軍が短期間でウクライナを制圧するとする見方が強かったが、実際にはウクライナ軍は苦しいながらも持ちこたえている状況にある。予想が外れた原因に関しては、ウクライナ側の強い防衛意識と西側の武器支援のほか、ロシア軍側の通信網の不備（ミリレポ[動画]）や士気の低さなどいろいろな要因が指摘されている。また前線部隊に食料や弾薬補給がうまく回っていないと言った問題も指摘されている。このためロシア側は中国に食糧の支援を求めたとの報道も出ている（ 、Yahoo!ニュース個人）。

一方でロシア軍の食料（軍用レーション）がAmazonなどで販売され（その1、その2）、日本国内などに出回っており、購入者の報告などがネット上にアップされている。Twitterで上げられた購入者の報告によれば2週間程度で届いたとのこと（クソ聖杯マイスター斑鳩氏のツイート、まとめぶ）。購入者によれば梱包も厳重な状態で送られてきたという。一方で前線の兵士には賞味期限切れのレーションが出回っているなどの報告も出ている（海外の反応）。

すべて読む | idleセクション | 軍事 | セキュリティ | idle | 情報漏洩 |

関連ストーリー：
ロシアでの営業を停止したマクドナルドがなぜか営業中。ネットでは高額転売も 2022年03月18日
キエフの自動車修理工場で鹵獲車載機銃の改造が進む 2022年03月17日
ロシア国営テレビの生放送中にスタッフが乱入。反戦を主張 2022年03月16日
ロシアが独自のTLS認証局を創設、主要ウェブブラウザベンダーの審査通過は難しいとの見方も 2022年03月15日
ウクライナのガス企業2社が生産停止、世界供給の約半分を占め半導体製造にも影響か 2022年03月15日
ウクライナ政府、国民に鹵獲したロシア戦闘車両等は所得申告の必要なしと発表 2022年03月03日
衛星インターネット「Starlink」、ウクライナで使用可能に設定変更。対応端末は輸送中 2022年03月01日
日本を含むG7主要国、ロシアの主要銀行を国際送金システム「SWIFT」から排除へ 2022年03月01日

ITmediaの記事によると、携帯通信キャリアの一部が自社のアカウントサービスの利用者に対してパスワードを平文で提示する機能が用意されているとして、記事ではセキュリティ上の懸念を提示している（ITmedia）。

記事によると、この機能はユーザーがログイン画面のパスワードを忘れたときのための機能で、電話番号や契約時に設定した4桁のネットワーク暗証番号などを入力すると、パスワードが掲示されるものとなっている。記事ではこうした事業者側がパスワードを平文保持している状況は、不正アクセスなどで情報漏えいが起きた際のリスクになるとしている。

掲示されるのはドコモ系列がdアカウントはポータル内で、ソフトバンク系列はSMSでの通知となっている。KDDI（au/UQ mobile）と、楽天モバイルの会員サービスに関しては、本人確認の後にパスワードの通知を行う方法ではなく、新規パスワードの設定画面に移行する方式であるとしている。またソフトバンクにおいては、パスワードを暗号化せず平文のまま保管していることも確認できたとしている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | 携帯通信 | 情報漏洩 |

関連ストーリー：
macOSの暗号化zipファイルはパスワード無しで比較的容易に解凍できる 2021年10月12日
ZOLLの除細動器管理ソフトウェア、リモートからの任意コード実行など6件の脆弱性が公表される 2021年06月19日
Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して 2021年02月09日
「宅ふぁいる便」サービス終了 2020年01月15日
情報漏洩で停止中の「宅ふぁいる便」の退会ができる特設サイト、利用可能時間は9時から17時45分まで 2019年04月10日
ユーザー情報漏洩事件を起こした「宅ふぁいる便」、当面サービス休止に 2019年03月19日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日

JJ5RBD / Code10-4 ﾌｧｲﾌｧｲﾓﾃﾞ完さんのツイートによると、ノートPCの動作中に発生するノイズに、PCの再生サウンドや周囲音が輻射される現象が発生していたそうだ。同氏が広帯域受信機でサーチしてたところ、自宅の室内音声がそのまま飛び込んできたことから分かったものだそうだ。PCの電源を落とすとノイズが消えることから、自宅PCが発生源であることはほぼ間違いないという（JJ5RBD / Code10-4 ﾌｧｲﾌｧｲﾓﾃﾞ完さんのツイート）。

スペアナの近くでノイズ源となっているPCを動作させ、ノイズ輻射の様子を観測してみたところ、PCから出力されたサウンドだけでなく、周囲の音声も拾っていることが判明した。このほか様々な調査が行われているが、その結果、音声は内蔵マイクで拾った信号が変調されており、デバイスマネージャーからサウンドデバイスやマイク系列を無効化しても止まらなかったという。最終的には内蔵カメラ関連のケーブルを外すというハードウェア的な対策を取って解決しているようだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | 情報漏洩 |

関連ストーリー：
メモリバスが発する電磁波を利用してエアギャップ環境からデータを盗む「AIR-FI」 2020年12月22日
電球の光を観察すれば、25メートル離れた場所の会話が盗聴できる。イスラエル 2020年06月18日
PCの冷却ファンを制御してPCの筐体を振動させ、その振動を使ってスマートフォンと通信する手法が開発される 2020年04月30日
リンク切断時間5秒でLANケーブルにパケット盗聴器を接続する手法 2020年04月14日
パソコンの発する電磁波をAMラジオで受信してRSA秘密鍵などを解析 2015年06月21日
熱を使ってネットワークから隔離されたマシンと通信する手法が考案される 2015年03月27日

headless 曰く、

ハッキンググループ Lapsus$ が Samsung のものだと主張する 190 GB 近いデータの Torrentファイル を週末に放流していたが、Samsung は攻撃者を特定せずにデータ侵害を認めたそうだ (HackRead の記事、 The Verge の記事、 9to5Google の記事、 SamMobile の記事)。

Samsung は社内データに対するセキュリティ侵害があったことを認め、セキュリティシステムを強化したと述べている。Samsung の初期の分析によれば、侵害されたのは Galaxy デバイスの動作に関連するソースコードで、消費者や従業員の個人情報は含まれないという。そのため、現時点では業務や顧客に影響しないとみているとのことだ。

Lapsus$ は NVIDIA のデータも侵害し、ドライバーのオープンソース化などを要求して注目されていた。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
NVIDIAのプロプライエタリ情報を盗み出したハッキンググループ、ドライバーのオープンソース化を要求 2022年03月05日
NVIDIAがサイバー攻撃を受ける。NVIDIA側もサイバー攻撃で反撃とも 2022年03月02日

ロシアによるウクライナへの侵略でロシア側は攻撃開始後、短時間で勝利を見込んでいたようだ。国営ロシア通信は2月26日午前8時1分、ウェブサイト上にロシアが勝利したことを前提とする記事を誤って公開してしまったそうだ。内容はロシアと新たな世界の到来とするもので、ウクライナ以外の占領地域の拡大も示唆するような内容となっている。事前に用意していた記事が設定ミスでアップロードされたものと見られている。記事は短時間で削除されたものの、Internet ArchiveのWayback Machineに補足されていたという。タレコミにもあるが、内容に関しては山形浩生氏が日本語訳を掲載している（毎日新聞、クーリエ・ジャポン[会員記事]）。

またウクライナ国防省が発表した内容によると、ロシア軍から押収した占領作戦資料から、ロシア側はウクライナ占領までの期間を15日間と見積もっていたらしいことが分かった。この資料はロシアの黒海艦隊所属部隊から押収したものだという。航空万能論GFの記事によれば、作戦命令書、コールサイン表、指揮管制用コード表、秘密コード表、人員リスト表などを入手したとしている。今回の作戦の承認に関しては2022年1月18日付で承認されていたことも判明しているとのこと（ウクライナ国防省情報局の公式Facebook、航空万能論GF）。

maia 曰く、

ロシアのウクライナ侵攻成功後（計画では2月26日）にロシア国営RIAノーボスチ通信で出すはずだった予定稿では「ロシアと新たな世界の到来」）の翻訳を紹介する。ウズベキスタンのスプートニクのサイトにまだ載ってたのと、パキスタンのメディアに英訳が載ってたというから、原文はまあ本物だろう。読むと、その世界観に疲れるかもしれないが、興味深いのは間違いない。一読と、できれば分析をお勧めする。原文は署名記事だが、プーチン大統領の意を体したものと見做してよいだろう。
「ロシアの攻勢と新世界」（山形浩生訳）

すべて読む | セキュリティセクション | EU | 政治 | idle | 情報漏洩 |

関連ストーリー：
ドイツが政策を大幅転換、国防費を大幅増額で脱原発・石炭も見直し議論へ 2022年03月03日
Apple、ロシアでの全製品の販売と政府系アプリの提供を停止。IT各社も同様の制限 2022年03月03日
ロスコスモス総裁、OneWebが非軍事確約＆英政府撤退なければ打ち上げないと恫喝 2022年03月03日
Twitter、ロシアの国家当局関係メディアへリンクするツイートにラベル付け開始 2022年03月03日
ウクライナ政府、国民に鹵獲したロシア戦闘車両等は所得申告の必要なしと発表 2022年03月03日
ロシアのウクライナ侵略、ノーベル平和賞受賞者が主筆を務めるロシアの独立系新聞はどう報じているのか 2022年03月03日

あるAnonymous Coward 曰く、

南米で活動する脅迫グループ「LAPSU$」が、「NVIDIAに侵入して1TB以上の独自データを盗み出した」と主張しているという。また興味深いことに、同グループは「NVIDIA側の反撃により同グループのマシンがランサムウェアに侵された」とも主張しているとのこと。なおタイミング的にウクライナ情勢の影響も疑われたが、本件は特に関係なさそうだとも報じられている（NVIDIA、ZDNet、Engadget、Bloomberg）。

なお1日時点ではNVIDIA側は正式なリリースを出していない。Engadgetの記事によれば、メールや開発者用ツールが使用できなくなる問題が2月25日に発生したものの復旧済みであるという。NVIDIAの広報担当者はZDNetに対し、業務には影響を及ぼしていないと話していた模様。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
トヨタ系部品製造会社がサイバー攻撃を受け、1日にトヨタ・日野・ダイハツが操業を停止 2022年03月01日
ウクライナに大規模なサイバー攻撃 2022年01月19日
欧州宇宙機関、超小型人工衛星に対するサイバー攻撃のアイディアを募集 2022年01月15日
中国軍指示で日本製セキュリティーソフトを購入しようとした元留学生に逮捕状 2021年12月29日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
ニップン、ランサムウェア被害で決算報告を再延期へ。帳票を手作業で作成中 2021年11月19日

クレジットカード基盤を提供するメタップスペイメントは28日、同社のデータベースから最大46万件のクレジットカード情報が流出したと発表した。外部からの不正アクセスを受けて流出したとされている（メタップスペイメントリリース、ITmedia）。

流出した情報は2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件。21年5月6日から22年1月25日までに実行された決済情報593件と加盟店情報38件であるとしている。同社の調査によれば、サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが判明しているという。今年の1月の段階で社内システムへの不正ログインやバックドアの存在などが確認されたとしている。

この影響で多くのサービスに影響が出ている。ITmediaの記事によれば、28日までにメタップスペイメントのクレジット決済サービス「トークン方式」や「イベントペイ」「会費ペイ」などを利用していた企業が謝罪のプレスリリースを公開する事態になっている。目立つものとしてAKB48グループチケットセンター、福山市スポーツ協会、日本赤十字社などの名前が挙がっている（ITmedia）。

あるAnonymous Coward 曰く、

攻撃の内容もサーバへの不正ログイン、SQLインジェクション、バックドアの設置など多岐にわたるようでいろいろ酷そうだ。カードの情報漏洩対策としては自前で実装せずに決済代行会社を使うのがまず定石だが、その決済代行会社がこれでは事態は深刻である。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 2021年12月07日
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日
オリックス系旅館・ホテル運用会社で個人情報入りのサーバーまるごと紛失 2020年12月10日
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日
ショップチャンネルの通販サイトで不正ログインが発生。22件の個人情報が流出した疑い 2020年07月31日

インフラエンジニアの「糟屋もふ」さんが、Amazonの公開中の欲しいものリストを元に、電話番号を取得できる手法が存在しているとの警告を行っている。セキュリティ上の問題があるため具体的な手法については触れられていないものの、同氏はセキュリティ資格保持者として、この手法が自アカで再現可能なことを確認したという。「ほしい物リスト」では、以前にも「本名が公開される問題」や「本名とメールアドレスがセットで公開される」といった問題が起きており、リストを公開中の方は警戒して置いた方が良いだろう（糟屋もふさんのツイート）。

なお同氏によると、発見された手法ではリストに「第三者の出品の商品の発送同意書」にチェックがなされていない場合でも機能するとのこと。問題に関してはすでにAmazon側に連絡済みだとしている。同氏はAmazon側で対策が行われるまで、欲しいものリストを非公開にすることを推奨している。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
Amazon.co.jpの注文履歴流出騒動、被害件数などの詳細は明らかにせず 2019年10月11日
Amazon.co.jpの「ほしい物リスト」で本名が公開される問題が発生 2018年02月08日
Amazonの「ほしい物リスト」に登録してある住所が第三者にバレる問題、発覚 2012年01月18日
Amazon.co.jpで「本名とメールアドレス」のセットの漏洩の危険性 2008年03月13日

学習塾大手の日能研が29日、同社のWebサイトのサーバーにSQLインジェクションを利用した外部からの不正アクセスが発生。保護者などのメールアドレス最大28万106件が、外部に流出した可能性があると発表した。脆弱性が発生した場所は特定しており、すでに対策を施しているとしている。共同通信などの報道によると迷惑メールが届いているとの相談を受け調査したところ、2021年12月上旬に不正アクセスを受けていたことが判明したという。同社では流出したメールアドレスがフィッシング詐欺などに使われる恐れがあるとして対象アドレスにメールで通知したとしている（日能研、共同通信、NHK）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 2021年12月07日
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 2021年06月09日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Amazonの商品レビュー詐欺に関与した20万人以上の個人情報が流出 2021年05月11日

情報セキュリティ企業ラックで、元社員の私物HDDが第三者に売却され、社内文書や個人情報が流出しかけるというトラブルが生じていたと報じられている。HDDを購入した人物が善意で同社に通報したため情報の流出はなかったとのこと。このHDDは元社員がビジネス文書等を個人所有のハードディスクに保管、その後HDDをフリーマーケットで売却していたという。中には業務上のビジネス文書約2000件と最大約1000件の個人情報が含まれていたとしている。同社は「情報流出事案」として14日午後、情報流出の経緯と概要についての発表を行っている（ラックの発表、朝日新聞その1、朝日新聞その2）。

あるAnonymous Coward 曰く、

ラック子会社のネットエージェント（現在はラックに吸収合併）がブロードリンクの事件を受けて「意外と難しいデータ消去」と題したブログを公開していたのは何とも皮肉な話である。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
HDD処理業者社員による神奈川県庁の使用済みHDD横流し事件、懲役2年・執行猶予5年の判決 2020年06月10日
ドスパラがHDD/SSD破壊サービスの郵送受付を開始、顧客は破壊工程を動画で閲覧可能 2020年06月05日
岡山県、今後のハードディスク破棄は職員が行う方針を決める 2019年12月23日
神奈川県庁のサーバーで使われていたHDD、廃棄業者社員が適切に処理せずに転売し情報流出 2019年12月06日
ドスパラ、中古HDDをデータを消さずに販売。回収へ 2012年06月27日

中国籍の元留学生男性が偽名でウイルス対策ソフト購入しようとしたとして、警視庁が逮捕状を取ったそうだ。警視庁が逮捕状を取ったのは、元留学生の王建彬容疑者。同容疑者は、非実在の日本企業の名前を名乗り、日本製の企業向けセキュリティ対策ソフトを不正に購入しようとした模様。なお同容疑者はすでに中国に帰国済みとのこと（読売新聞、産経新聞、TBS NEWS）。

読売新聞によると、中国人民解放軍のサイバー攻撃部隊「61419部隊」に所属する妻が「国に貢献しなさい」「国が守ってくれる」などとSNSやメールなどを通じて指示を出していたそうだ。企業向けのセキュリティ対策ソフトを研究し、日本企業のシステムの脆弱性を把握することが目的だとされている。

追記 by headless: 容疑は詐欺未遂とのこと。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
米国防総省によるXiaomiの「中国共産党の軍事企業」指定、正式に取り消される 2021年05月29日
イーロン・マスク曰く、Teslaが諜報活動にかかわることはない 2021年03月24日
Bloomberg、2年前に全方向から否定された「Super Microのマザーボードにスパイチップ」という話に再び挑戦 2021年02月13日
中国進出した企業に義務化されている税務ソフトにスパイウェア。ドイツとの関係も悪化 2020年12月11日
政府が大学の技術流出防止へ。政府が支援する研究では資金提供元の開示を義務化 2020年06月27日

LINE Payは6日、同社のキャンペーン参加に関わる情報が閲覧できる状態になっていたと発表した。流出したのはLINE Payユーザー13万3484アカウント分の情報。流出の内訳としては、ユーザーの識別子、加盟店管理番号、キャンペーン情報（キャンペーンコード等）となっている。このうちキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれている可能性がある。氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等の情報は含まれていないそうだ。委託先であるグループ会社の従業員が「GitHub」上にアップロードしたものだとしている。すでに情報は削除され、該当ユーザーに関しては個別に連絡済みだとしている（LINE Payのプレスリリース）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
中国電信が米国で免許取り消しへ。安全保障の観点から 2021年11月01日
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Facebook、過去に流出した世界5億3300万人の個人情報が閲覧可能に。日本からも42万8625人 2021年04月07日

東京都練馬区の中学校で、生徒に対してSNSのパスワードを書かせた書類を提出させようとしていたことが分かった。こうなった原因は複数あるが、最大の理由は東京都練馬区教委会が配布したSNS利用の啓発用のリーフレットに、SNSのパスワードを記入する欄があったこと。もともと区教委はパスワードを収集する意図があったが、パンフレットの内容がTwitterで出回り、人権侵害であるなどの指摘がでて炎上。その結果、区教委はパンフレットはそのままで提出時にパスワードを記載しない状態で提出してもらうと通知していたようだ（練馬区リリース[PDF]、弁護士ドットコム、毎日新聞）。

しかし練馬区内の中学校1校がこの通知を生徒や各家庭に伝達し忘れた。それによりパスワードが記載されたリーフレットが家庭に届き、学校側が生徒のパスワードを知り得る状態になってしまったという。練馬区のリリースによれば12月2日時点で276名からリーフレットの提出を受けていたとしている。このため区では3日、各家庭にあてて謝罪文を送付したとしている。

すべて読む | セキュリティセクション | セキュリティ | 教育 | 情報漏洩 |

関連ストーリー：
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入 2021年11月30日
2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 2021年11月21日
学習向けタブレット等を使用してのいじめ、全国の小中学校で増加 2021年11月11日
イスラエル・テルアビブ、家庭や小規模オフィスの Wi-Fi は 70 % が容易にクラックできるとの調査結果 2021年11月02日
macOSの暗号化zipファイルはパスワード無しで比較的容易に解凍できる 2021年10月12日
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日