すべて読む | セキュリティセクション | セキュリティ | ニュース | ゲーム | 情報漏洩 |

関連ストーリー：
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
カプコン、採用応募者の情報を破棄していなかったことが判明 2020年11月20日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
カプコンがランサムウェアの被害に。1100万ドルの身代金を要求 2020年11月10日

IT導入補助金の事務局のウェブサイトが不正アクセスを受け、IT導入支援事業者約3.8万人の個人情報が漏えいした恐れがあることが判明した。IT導入補助金は、独立行政法人中小企業基盤整備機構が補助金を提供する事業で、不正アクセスを受けたのはTOPPANが実施する「IT導入補助金2023後期」の事業（ IT導入補助金2023（後期事務局）、ネットショップ担当者フォーラム）。

不正アクセスは、IT導入補助金2023後期事務局のウェブサイトで2023年8月1日から発生したとされ、漏えいの恐れのある個人情報は3万8269人分に相当する。漏えいした可能性のある情報には、一部個人情報を含む事業者の登録情報で、ITツール登録担当者の氏名とメールアドレス、実施者・販売者の氏名とメールアドレスも漏えいした可能性がある模様。漏えいの原因は、ウェブサイトで使用されているプログラムの設計不備によるものとしている。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | ニュース | インターネット | 政府 | お金 | 情報漏洩 |

関連ストーリー：
JAXAがサイバー攻撃か。警察から連絡受けるまで気がつかない状況 2023年11月30日

すべて読む | セキュリティセクション | セキュリティ | JAXA | 情報漏洩 | ワーム |

関連ストーリー：
中国共産党員の男を書類送検。JAXAらのサイバー攻撃に関与の疑いで 2021年04月21日

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方 2023年09月10日
BL特化SNSのpictBLandが不正アクセス、ユーザーのパスワードも流出で被害拡大 2023年08月17日
Adobe が他社サービスでの認証情報流出を受けてパスワードをリセットしたとの報道 2023年04月08日
ドコモから「ぷらら」や「ひかりTV」の契約者情報最大529万件が漏えいした可能性 2023年04月03日

すべて読む | セキュリティセクション | セキュリティ | idle | 情報漏洩 |

関連ストーリー：
数百万通の米軍宛てメールがマリのアドレスに送られていたことが覚発 2023年07月19日
管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 2022年10月28日
トレンドマイクロが感謝しまくるメールを誤送信 2022年08月01日
Twitter、用もないのにアカウント確認メールを多数のユーザーへ送るトラブル 2021年04月25日

すべて読む | YROセクション | セキュリティ | YRO | 情報漏洩 |

関連ストーリー：
指先に貼る絆創膏型発電機、発汗や押す動作で発電 2021年11月30日
漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 2010年01月26日

すべて読む | セキュリティセクション | 日本 | 軍事 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
内閣サイバーセキュリティセンター、8か月分のメールデータが流出の可能性 2023年08月07日
米政府、IoT向けセキュリティ認定・ラベルプログラム「US Cyber Trust Mark」を発表 2023年07月21日
「通信の秘密の保護」に制限検討。サイバー攻撃への対処、政府が強化 2023年06月27日

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ドコモから「ぷらら」や「ひかりTV」の契約者情報最大529万件が漏えいした可能性 2023年04月03日
ソースネクストから最大12万人超の個人情報漏洩のおそれ 2023年02月15日
大手ECで使用中の入力フォームプログラムが改ざん、3800件以上のクレカ情報などが流出 2022年10月28日
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日

Western Digital は 5 日、3 月に確認されたネットワークセキュリティインシデントで不正アクセス者が顧客の個人情報を含むデータベースを取得していたことが判明したと発表した (プレスリリース、 Neowin の記事、 Ghacks の記事)。

このセキュリティインシデントは同社のシステム多数に権限のない第三者が不正アクセスしたというもので、3 月 26 日に確認され、4 月 2 日に公表されていた。当初は具体的な被害が確認されておらず、外部のセキュリティおよびフォレンジック専門家の協力により調査を進めていることや、念のため同社のシステムやサービスをオフラインにしたことなどの発表のみだった。My Cloud 製品の障害発生もこれに伴うものだったようだ。

不正に取得されたことが判明したのはオンラインストアの顧客情報を含むデータベースで、顧客の名前や請求先・送付先住所、電子メールアドレスや電話番号のほか、パスワードのソルト付きハッシュやクレジットカード番号の一部が暗号化された状態で含まれていたという。同社は影響を受けた顧客に個別連絡しているとのこと。

このほか、同社の情報とされるものが公開されている件については調査を進めており、同社のコンシューマー製品に関連するデジタル署名技術が不正に用いられる可能性については必要に応じて証明書を無効にすることが可能な状態であると説明している。

現在のところ日本向けサイトに本件の記載はないが、オンラインストアはダウンしている。英語版プレスリリースによれば、オンラインストアのアカウントアクセスは 5 月 15 日の週に復旧予定とのことだ。

すべて読む | セキュリティセクション | セキュリティ | ストレージ | 情報漏洩 |

関連ストーリー：
Western Digital、障害発生中のMy Cloud製品でローカルアクセスの使用方法を公開 2023年04月11日
ソースネクストから最大12万人超の個人情報漏洩のおそれ 2023年02月15日
eBay に出品された米軍の生体識別デバイス、2,600 人以上のデータが含まれていた 2022年12月30日
熊本県立大学で情報漏洩、2要素認証の例外扱いを突いたか？ 2022年12月16日
3.5″HDDはV字曲げ破壊、2.5″HDD/SSDは押しつぶし破壊。1個約6秒で連続破壊可能 2022年12月12日
杉並区職員が住基ネット閲覧で情報漏洩。暴力団関与か 2022年12月07日

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
全国280の大規模病院でIDとパスワード使い回しが判明。サイバー攻撃被害の一因に 2023年03月31日
SpyCloud が 2022 年に発見した流出認証情報は 7 億 2,150 万件 2023年03月17日
(自分を含む) 誰かの名前、パスワードに含めたことある？ 2022年11月20日
Uber や Rockstar Games への不正アクセスは「多要素認証疲れ」攻撃だった 2022年10月01日
AppleとGoogle、Microsoft、パスワードレスサインイン標準のサポート拡大を共同発表 2022年05月08日
米国とカナダでの調査、最近90日以内にパスワードを忘れてパスワードリセットが必要になったとの回答が78％ 2019年12月19日
Slack、2015年の不正アクセスに関連してアカウントの約1％でパスワードをリセット 2019年07月21日
再利用や共有、パターンなどが複雑なパスワードを台無しにする 2017年03月14日
IoTバービー人形でさまざまなセキュリティ上の問題が見つかる 2015年12月06日

2023 SpyCloud Identity Exposure Report によると、SpyCloud の研究者は 2022 年に流出した認証情報 7 億 2,150 万件を発見したそうだ (ニュースリリース、 Neowin の記事)。

2020 年にマルウェアに感染したデバイスは 2,200 万台が見つかっており、SpyCloud が確認した認証情報 7 億 2,150 万件の半数はボットネットから来たものだという。また、220 億台近いデバイスでは多要素認証のバイパスに利用可能なセッションクッキーが取得可能な状態にあり、14 億人分のフルネームや 3 億 3,200 万件の社会保障番号、6,700 万件のクレジットカード番号などを含む 86 億件の個人を特定可能な情報 (PII) が入手可能だったとのこと。

パスワードの安全性は相変わらず向上しておらず、2022 年にパスワードが流出したユーザーの 72 % が過去に流出したパスワードを再利用しており、話題の人物や出来事、製品等に関連するパスワードの人気も高い。SpyCloudが復元したパスワードのうち 327,000 件以上が歌手テイラー・スウィフトやバッド・バニーに関連する語句を含み、Netflix や Hulu に関連する語句を含むパスワードは 261,000 件以上、英国のエリザベス女王逝去や王室に関連する語句を含むパスワードも 167,000 件以上に上る。

政府関連組織では、昨年 2 件以上のパスワードが流出したユーザーのパスワード再利用率が 61 % に上り、最も多いパスワードは「123456」「12345678」「password」だったそうだ。政府関連組織は企業と比べてマルウェア感染デバイスによるリスクが高く、全世界の政府関連組織から 2022 年に流出した認証情報の 74 % 近くはマルウェアが送り出したものだったとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 | プライバシ |

関連ストーリー：
パスワードに『,』を含めておくと、流出時の被害確率が下がるかもしれない 2022年10月14日
マルウェアEmotetに盗み出された400万件以上の認証情報、Have I been pwned?で確認可能に 2021年05月01日
米ルイジアナ州地裁、ランサムウェア攻撃を受けて裁判所文書が流出 2020年09月14日
Google Playでダウンロード1億回を超えるアプリにマルウェアが混入 2019年08月30日
マカフィーが2018年10大セキュリティ事件を発表 2018年12月13日

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
eBay に出品された米軍の生体識別デバイス、2,600 人以上のデータが含まれていた 2022年12月30日
熊本県立大学で情報漏洩、2要素認証の例外扱いを突いたか？ 2022年12月16日
杉並区職員が住基ネット閲覧で情報漏洩。暴力団関与か 2022年12月07日
管理者用の非公開URLを契約者へメールで送信してしまい情報漏洩、マニュライフ生命保険 2022年10月28日

米全国労働関係委員会(NLRB)がAppleのリーク防止ポリシーや重役の発言について、違法であるとの結論に達したそうだ (Bloomberg の記事、 Ars Technica の記事、 9to5Mac の記事、 Mac Rumors の記事)。

本件は 2021 年に Apple CEO のティム・クック氏がリーカーへの不快感を従業員と共有した内部メモなどを証拠として元従業員 2 名が NLRB に訴えたものだ。これについて NLRB 法務顧問室は Apple の就業規則や機密保持規定などが従業員の共同行動を起こす権利を制限すると判断。さらに、重役の発言等は全国労働関係法に違反するという。これについて Apple が和解しなければ、NLRB が Apple を提訴することになるとのことだ。

すべて読む | アップルセクション | アップル | アメリカ合衆国 | 政府 | 情報漏洩 |

関連ストーリー：
iPhone SE4は発売されない？ 2023年01月10日
ティム・クック氏がリーカーへの不快感を共有する Apple の内部メモがリーク 2021年09月26日