三重県の9月27日の発表によると、三重県立高校でメールを誤送信する問題が再発したという。最初の問題は、同校が9月19日に高校生活入門講座に参加登録した中学生421人に対してアンケートメールを送信。その際、BCCに記載するべきアドレスを宛先部分に誤って記載したことから、メールアドレスが漏洩。同校はこの問題を公表、謝罪していた。ところが同月26日に再び誤送信が発生しまったという（三重県リリース、Security NEXT）。

2回目の誤送信の原因は、学校の教頭が「Microsoft Outlook」の「メッセージの取り消し機能」を誤って利用していたことにある。この機能は、同一ドメイン内で同じ「Microsoft Exchange」環境を使用している場合、一部の条件下でメールを削除できるものだが、外部宛のメールには適用されない。この際、19日付メールの送信先全員に「このメールを取り消します」という内容が自動的に送信される仕組みが発動したことで、再びメールアドレスが漏洩した。学校側は対象者に謝罪し、誤送信したメールの削除を依頼しているという。

すべて読む | セキュリティセクション | セキュリティ | idle | 情報漏洩 |

関連ストーリー：
数百万通の米軍宛てメールがマリのアドレスに送られていたことが覚発 2023年07月19日
管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 2022年10月28日
トレンドマイクロが感謝しまくるメールを誤送信 2022年08月01日
Twitter、用もないのにアカウント確認メールを多数のユーザーへ送るトラブル 2021年04月25日

イギリスの研究者は、AIがオンライン会議中のキーボード入力を解読し、画面やキーボードが見えなくてもタイピング内容を判断できることに成功したと発表した（Hacker News、PCMag）。

パスワードを入力する際に画面やキーボードを隠すことはよくあるものの、キータイプの音を隠すことはあまり行われない。携帯電話で記録されたキーストロークをAIに学習させたところ、95％の精度で解読可能であることが判明したという。ビデオ会議システムのZoomから記録されたキーストロークを学習したAIに関しても93％の精度を達成することに成功したとしている。

AIが内容を解読できなかった場合でも、ほとんどの場合キーが一つずれる程度の誤差で、潜在的なハッカーがこの誤差を回避するのは容易だったという。研究者は対策として、タイピングスタイルを変えたり、ソフトウェアベースのキーストローク音声フィルターを使用してキーストローク音を偽装することなどを提案している。

すべて読む | YROセクション | セキュリティ | YRO | 情報漏洩 |

関連ストーリー：
指先に貼る絆創膏型発電機、発汗や押す動作で発電 2021年11月30日
漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 2010年01月26日

中国人民解放軍のハッカーが、日本の防衛省の高度に機密性のある情報を取り扱うコンピューターシステムに侵入したと、米ワシントン・ポストが7日に報じている。この報道によると、ハッキングは2020年秋に米国家安全保障局（NSA）によって察知され、その後日本政府に通報されていたのだという。日本側の対応が十分でなかったことから、2021年秋にも米国側が対策を促したなどとしている（時事ドットコム、産経新聞）。

松野博一官房長官は8日の記者会見で、ワシントン・ポストの報道に関して、「サイバー攻撃により防衛省が保有する秘密情報が漏えいしたとの事実は確認されていない」とコメントした。浜田靖一防衛相も閣議後の記者会見で「サイバー攻撃によって任務の遂行に影響が生じる事態は生じていない」と強調している（時事ドットコム）。

すべて読む | セキュリティセクション | 日本 | 軍事 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
内閣サイバーセキュリティセンター、8か月分のメールデータが流出の可能性 2023年08月07日
米政府、IoT向けセキュリティ認定・ラベルプログラム「US Cyber Trust Mark」を発表 2023年07月21日
「通信の秘密の保護」に制限検討。サイバー攻撃への対処、政府が強化 2023年06月27日

JTBは20日、JTB旅物語中部販売センターで旅行商品を申し込み、電話でクレジットカード決済を行った一部顧客に対してクレジットカードの不正利用被害が発生したことが判明したと発表した。被害の対象となるのは、4月1日から7月3日にかけて、JTB旅物語中部販売センターへ電話で「JTB旅物語」の中部発商品を申し込み、電話口でオペレーターにクレジットカード情報を伝えて決済を行った一部顧客。不正利用が懸念される顧客には個別に連絡。被害を受けた顧客に対しては、書面により状況を報告するとともに、注意を呼びかけている。なお、ウェブサイト経由でクレジットカード決済した顧客は対象外としている（JTBリリース、Security NEXT）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ドコモから「ぷらら」や「ひかりTV」の契約者情報最大529万件が漏えいした可能性 2023年04月03日
ソースネクストから最大12万人超の個人情報漏洩のおそれ 2023年02月15日
大手ECで使用中の入力フォームプログラムが改ざん、3800件以上のクレカ情報などが流出 2022年10月28日
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日

headless 曰く、

Western Digital は 5 日、3 月に確認されたネットワークセキュリティインシデントで不正アクセス者が顧客の個人情報を含むデータベースを取得していたことが判明したと発表した (プレスリリース、 Neowin の記事、 Ghacks の記事)。

このセキュリティインシデントは同社のシステム多数に権限のない第三者が不正アクセスしたというもので、3 月 26 日に確認され、4 月 2 日に公表されていた。当初は具体的な被害が確認されておらず、外部のセキュリティおよびフォレンジック専門家の協力により調査を進めていることや、念のため同社のシステムやサービスをオフラインにしたことなどの発表のみだった。My Cloud 製品の障害発生もこれに伴うものだったようだ。

不正に取得されたことが判明したのはオンラインストアの顧客情報を含むデータベースで、顧客の名前や請求先・送付先住所、電子メールアドレスや電話番号のほか、パスワードのソルト付きハッシュやクレジットカード番号の一部が暗号化された状態で含まれていたという。同社は影響を受けた顧客に個別連絡しているとのこと。

このほか、同社の情報とされるものが公開されている件については調査を進めており、同社のコンシューマー製品に関連するデジタル署名技術が不正に用いられる可能性については必要に応じて証明書を無効にすることが可能な状態であると説明している。

現在のところ日本向けサイトに本件の記載はないが、オンラインストアはダウンしている。英語版プレスリリースによれば、オンラインストアのアカウントアクセスは 5 月 15 日の週に復旧予定とのことだ。

すべて読む | セキュリティセクション | セキュリティ | ストレージ | 情報漏洩 |

関連ストーリー：
Western Digital、障害発生中のMy Cloud製品でローカルアクセスの使用方法を公開 2023年04月11日
ソースネクストから最大12万人超の個人情報漏洩のおそれ 2023年02月15日
eBay に出品された米軍の生体識別デバイス、2,600 人以上のデータが含まれていた 2022年12月30日
熊本県立大学で情報漏洩、2要素認証の例外扱いを突いたか？ 2022年12月16日
3.5″HDDはV字曲げ破壊、2.5″HDD/SSDは押しつぶし破壊。1個約6秒で連続破壊可能 2022年12月12日
杉並区職員が住基ネット閲覧で情報漏洩。暴力団関与か 2022年12月07日

報じているのは HackRead のみのようだが、Adobe がユーザーのパスワードをリセットしたと通知しているそうだ (HackRead の記事)。

Adobe から届いたというメッセージによると、Adobe ID で使われているものと同じユーザー名またはパスワードが他のオンラインサービスのデータ侵害で流出した可能性があるということのようだ。Adobe はウェブサイトごとに異なる認証情報を使うべきだと述べ、この機会に Adobe ID と同じユーザー名やパスワードを使用しているすべてのウェブサイトでパスワードを変更することを推奨している。さらにセキュリティ強化を図りたい場合は Adobe の二要素認証を有効化すればいいとも述べている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
全国280の大規模病院でIDとパスワード使い回しが判明。サイバー攻撃被害の一因に 2023年03月31日
SpyCloud が 2022 年に発見した流出認証情報は 7 億 2,150 万件 2023年03月17日
(自分を含む) 誰かの名前、パスワードに含めたことある？ 2022年11月20日
Uber や Rockstar Games への不正アクセスは「多要素認証疲れ」攻撃だった 2022年10月01日
AppleとGoogle、Microsoft、パスワードレスサインイン標準のサポート拡大を共同発表 2022年05月08日
米国とカナダでの調査、最近90日以内にパスワードを忘れてパスワードリセットが必要になったとの回答が78％ 2019年12月19日
Slack、2015年の不正アクセスに関連してアカウントの約1％でパスワードをリセット 2019年07月21日
再利用や共有、パターンなどが複雑なパスワードを台無しにする 2017年03月14日
IoTバービー人形でさまざまなセキュリティ上の問題が見つかる 2015年12月06日

headless 曰く、

2023 SpyCloud Identity Exposure Report によると、SpyCloud の研究者は 2022 年に流出した認証情報 7 億 2,150 万件を発見したそうだ (ニュースリリース、 Neowin の記事)。

2020 年にマルウェアに感染したデバイスは 2,200 万台が見つかっており、SpyCloud が確認した認証情報 7 億 2,150 万件の半数はボットネットから来たものだという。また、220 億台近いデバイスでは多要素認証のバイパスに利用可能なセッションクッキーが取得可能な状態にあり、14 億人分のフルネームや 3 億 3,200 万件の社会保障番号、6,700 万件のクレジットカード番号などを含む 86 億件の個人を特定可能な情報 (PII) が入手可能だったとのこと。

パスワードの安全性は相変わらず向上しておらず、2022 年にパスワードが流出したユーザーの 72 % が過去に流出したパスワードを再利用しており、話題の人物や出来事、製品等に関連するパスワードの人気も高い。SpyCloudが復元したパスワードのうち 327,000 件以上が歌手テイラー・スウィフトやバッド・バニーに関連する語句を含み、Netflix や Hulu に関連する語句を含むパスワードは 261,000 件以上、英国のエリザベス女王逝去や王室に関連する語句を含むパスワードも 167,000 件以上に上る。

政府関連組織では、昨年 2 件以上のパスワードが流出したユーザーのパスワード再利用率が 61 % に上り、最も多いパスワードは「123456」「12345678」「password」だったそうだ。政府関連組織は企業と比べてマルウェア感染デバイスによるリスクが高く、全世界の政府関連組織から 2022 年に流出した認証情報の 74 % 近くはマルウェアが送り出したものだったとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 | プライバシ |

関連ストーリー：
パスワードに『,』を含めておくと、流出時の被害確率が下がるかもしれない 2022年10月14日
マルウェアEmotetに盗み出された400万件以上の認証情報、Have I been pwned?で確認可能に 2021年05月01日
米ルイジアナ州地裁、ランサムウェア攻撃を受けて裁判所文書が流出 2020年09月14日
Google Playでダウンロード1億回を超えるアプリにマルウェアが混入 2019年08月30日
マカフィーが2018年10大セキュリティ事件を発表 2018年12月13日

ソースネクストは14日、同社サイトが第三者による不正アクセスを受け、利用者のクレジットカード情報11万2132件と個人情報12万982件が漏えいした可能性があると発表した。同社が依託した調査機関によると、2022年11月15日~2023年1月17日の期間にクレジットカード情報を登録した顧客のクレジットカード情報および個人情報が漏えい、一部に関してはクレジットカード情報が不正利用された可能性があるとしている（ソースネクストリリース、ケータイ Watch、NHK）。

漏えいした可能性のあるクレジットカード関連情報としては「カード名義人名」「クレジットカード番号」「有効期限」「セキュリティコード」が、個人情報に関しては「氏名」「メールアドレス」「郵便番号」「住所」「電話番号」となっている。パスワードの漏えいはないとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
eBay に出品された米軍の生体識別デバイス、2,600 人以上のデータが含まれていた 2022年12月30日
熊本県立大学で情報漏洩、2要素認証の例外扱いを突いたか？ 2022年12月16日
杉並区職員が住基ネット閲覧で情報漏洩。暴力団関与か 2022年12月07日
管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 2022年10月28日

headless 曰く、

米全国労働関係委員会(NLRB)がAppleのリーク防止ポリシーや重役の発言について、違法であるとの結論に達したそうだ (Bloomberg の記事、 Ars Technica の記事、 9to5Mac の記事、 Mac Rumors の記事)。

本件は 2021 年に Apple CEO のティム・クック氏がリーカーへの不快感を従業員と共有した内部メモなどを証拠として元従業員 2 名が NLRB に訴えたものだ。これについて NLRB 法務顧問室は Apple の就業規則や機密保持規定などが従業員の共同行動を起こす権利を制限すると判断。さらに、重役の発言等は全国労働関係法に違反するという。これについて Apple が和解しなければ、NLRB が Apple を提訴することになるとのことだ。

すべて読む | アップルセクション | アップル | アメリカ合衆国 | 政府 | 情報漏洩 |

関連ストーリー：
iPhone SE4は発売されない？ 2023年01月10日
ティム・クック氏がリーカーへの不快感を共有する Apple の内部メモがリーク 2021年09月26日

Twitter から 2021 年にスクレイピングされたとみられる 2 億件以上のユーザーデータがハッキングフォーラムで公開されているが、電子メールアドレスがこのリストに含まれているかどうかHave I Been Pwnedで確認可能になった (BleepingComputer の記事、 The Verge の記事、 Ghacks の記事、 Have I Been Pwned の流出サイト情報、 Troy Hunt 氏のツイート)。

このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。

すべて読む | セキュリティセクション | セキュリティ | Twitter | 情報漏洩 |

関連ストーリー：
マルウェアEmotetに盗み出された400万件以上の認証情報、Have I been pwned?で確認可能に 2021年05月01日
24時間で表示されなくなるTwitterのFleet、24時間過ぎても表示できるトラブル 2020年11月25日
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日
トロイ・ハント氏、自身が運営する「Have I been pwned?」の買収先を探す 2019年06月14日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
TwitterのAPIに不具合、本来非公開の投稿がサードパーティ開発者に送られていた 2018年09月28日
Twitterに、ある条件下でアカウントが破壊される不具合？ 2009年12月15日

Chaos Computer Club (CCC) がオンラインオークションに出品された米軍の生体識別デバイス 6 台を入手して調査したところ、その 1 台には 2,632 人分の名前や国籍、写真とともに指紋データや虹彩スキャンデータが保存されていたそうだ (CCC のブログ記事、 The Verge の記事、 The New York Times の記事、 Ars Technica の記事)。

CCC が入手したのは 4 台の SEEK II (Secure Electronic Enrollment Kit) と 2 台の HIIDE 5 (Handheld Interagency Identity Detection Equipment)。これらのデバイスはアフガニスタンとイラクで軍人や協力者、テロリスト、指名手配者などを識別するために用いられていたものだ。CCC ではタリバンが HIIDE を入手したという報道を受けて、調査を開始した。

2,600 人分以上の生体識別データが格納されていたのは 8 月に調査を率いる CCC の Matthias Marx 氏が eBay で入手した SEEK II で、2012 年半ばにカブールとカンダハールの間で用いられたのが最後だという。データは暗号化されておらず、既知の標準パスワードを入力するだけでアクセス可能なだけでなく、データベースは標準的なものであり、データフォーマットにも変わったところはなく、分析は容易だったそうだ。

このようなデータがテロリストの手に渡れば現地の協力者などが危険にさらされる。CCC では問題を SEEK II のメーカーや米国防総省、アフガニスタンでの生体識別情報収集に協力したドイツ連邦軍に報告したが、このような情報漏洩を誰も気にしていないとのこと。報告から 2 か月半経過し、CCC ではまた別の生体識別デバイスをオンラインで注文できたといい、Marx 氏はリスクの高いデータを無責任に取り扱うことを批判している。

すべて読む | セキュリティセクション | 軍事 | セキュリティ | アメリカ合衆国 | 情報漏洩 |

関連ストーリー：
タリバン、米軍生体認証デバイスを入手か。米英の協力者あぶり出しに悪用される可能性 2021年08月20日
B-43熱核爆弾の純正ノーズコーン、ebayに出品される 2020年12月14日
Wikileaks、40 万ページに及ぶ米軍機密文書を公開 2010年10月27日
WikiLeaks、アフガン紛争に関連する大量の米軍機密文書を公開 2010年07月28日
Wikileaks にイラク民間人へのヘリ攻撃動画をタレ込んだ人物、逮捕される 2010年06月07日
eBay に出品された中古ハードディスクから米軍機密情報見つかる 2009年05月12日
MI6の機密入りデジカメ、eBayで販売される 2008年10月02日
ヤフオクに米軍のヘリシミュレータ？が出品される 2007年03月09日

熊本県立大学は13日、学生や教職員などのべ5288人分の情報が漏洩したと発表した。同大名誉教授のメールアカウントが何者かに不正利用されたとみられている。今月7日に名誉教授から不審なメールが大量に送信されているとの連絡を受け、大学側が調査したところ、本人が把握していないメールが1276件送られていたという（朝日新聞）。

調査により8月30日以降、海外のサーバーを経由したログインが約1000件あったことも判明したとしている。同大では2要素認証を原則としているが、この名誉教授は携帯電話を所持していなかったことから、例外扱いになっていたとのこと。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
Facebookログイン情報を盗むアプリ400本以上、AppleとGoogleの公式ストアで見つかる 2022年10月11日
LINEのQRコードログインに脆弱性が見つかる。556件の被害が確認 2021年09月22日
Twitter、セキュリティキーだけで 2 要素認証を利用可能に 2021年07月03日
PHP、不正なコミット発生を受けてリポジトリをGitHubへ移行 2021年03月31日
大阪大学、不正アクセスを受けて個人情報約7万件を漏えい 2017年12月14日

11月末、東京都の杉並区職員が住基ネットにログインし、個人情報を知人に漏洩した事件で、警視庁は杉並区職員とその知人を再逮捕した（産経新聞、日刊ゲンダイ、朝日新聞）。

容疑者は20人以上の個人情報を不正に閲覧していたという。容疑者は暴力団関係者からの依頼を受けて人探しをしていたと見られている。閲覧対象の中には暴力団関係者や過去に逮捕されていた人物も含まれていた模様。区職員の容疑者は静脈認証で住基ネットにログインできる権限を持っており、2018年以降、二十数人の個人情報を業務目的以外で閲覧していたとされる。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
政府のワクチン接種記録システム、ITベンチャーのミラボが受注。4月までに稼働へ 2021年02月26日
マイナンバーカードは顔写真のない身分証と番号だけで取得できる 2016年02月03日
住基カード終了のお知らせ 2015年10月08日
マイナンバーの受け取りを拒否するとどうなるのか？ 2015年05月08日

NordPass が 2022 年版の流出パスワードトップ 200 を公開している (Top 200 Most Common Password List、 The Register の記事)。

今回のランキングは NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、3TB のデータベースを調査したという。各社調査では 10 年以上にわたり「123456」「12345」といったパスワードがトップを占めているが、今回の調査では「password」が約 493 万件で 1 位となった。2 位の「123456」は約 152 万件であり、大きな差がついた。3 位以下は「123456789」「guest」「qwerty」が続く。

日本では昨年「password」が 1 位だったが、今年は「123456」が逆転して 1 位になり、順位が入れ替わった。ただし、「123456」が 1,210 件、「password」が 926 件と流出件数が少なく、ランキングはトップ 50 までになっている。性別を含むデータでは男性の 1 位が「123456」で 2 位が「password」で昨年と順位が入れ替わったのに対し、女性は「mikeym0128」が初登場で 1 位となり、昨年 1 位の「password」が 2 位に後退している。女性のデータではトップ 10 に数字だけのパスワードが少ない(「123456」のみ)のも特徴的だ。性別を含まないデータでは 1 位が「123456」で 2 位が「1234」となっている。先日のストーリーで話題になった「159753qq」はトップ50に含まれていない。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | 情報漏洩 |

関連ストーリー：
(自分を含む) 誰かの名前、パスワードに含めたことある？ 2022年11月20日
2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 2021年11月21日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
2019年の最悪パスワードは1位は今年も「123456」、2位は「qwerty」に。 2019年12月23日
2018年・最悪のパスワードトップ50、今年も「123456」がナンバー1に 2018年12月17日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日
オンラインに流出した電子メールパスワードの半数近くがユーザーの名前を含むという調査結果 2016年12月10日
2014年最も人気のあったパスワード、相変わらず「123456」や「password」がトップに 2015年01月22日
英大手ECサイトの66%が単純なパスワードの使用を許可している 2014年03月15日
Adobeアカウントで最もよく使われていたパスワードは「123456」 2013年11月09日

マニュライフ生命保険は、一部契約者へ「マイページわくわくログインキャンペーン」のアンケートを回答するためのURLをメールで案内しようとしたところ、誤って管理者用サイトのURLを送信してしまったという。誤送信されたURLを開くと、アンケート回答者のメールアドレス2万1622件と回答結果を閲覧できる状態だったとしている。氏名やクレジットカード情報、契約情報などは含まれていないという。この管理者用サイトに対して複数のアクセスが判明しており、最大571件のメールアドレスを閲覧された可能性があるとしている（マニュライフ生命保険リリース、Security NEXT）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
Samsung、修理中のスマートフォンからの個人情報漏洩を防ぐ「修理モード」を発表 2022年07月31日
メタップスペイメントの不正アクセスでクレカ情報46万件が流出。AKB48関連や日本赤十字社などが影響 2022年03月02日
「ウェブページのソース閲覧はハッキング」、情報漏洩を指摘した人物をミズーリ州知事が起訴する意向 2022年01月06日
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日