ディスクユニオンは29日、同社のオンラインショップ「diskunion.net」および「audiounion.jp」で、大規模な顧客データの漏洩した可能性が高いことが発表された。被害規模は最大70万1000万件にも及ぶ可能性がある。漏洩の可能性が高いのは、「diskunion.net」および「audiounion.jp」に登録されたユーザーの氏名、住所、電話/FAX番号、メールアドレス、ログインパスワード、会員番号。決済を外部委託していることから、クレジットカード情報は漏れていないとしている（diskunion.net側の説明、audiounion.jp側の説明、INTERNET Watchslashdot）。

6月24日に第三者からの情報提供を受けて調査を実施したところ、個人情報の漏洩の可能性が高まったという。このことから同日23時にオンラインショップを停止する処置をおこなった。翌25日に外部調査機関への依頼を実施、28日に警察へ被害報告をおこなったとしている。タレコミによれば、ダークウェブ上に70万件超の顧客情報が流出しているとのこと（satoshi ojimaさんのツイート）。

すべて読む | セキュリティセクション | セキュリティ | 音楽 | 情報漏洩 |

関連ストーリー：
個人情報保護委員会が個人情報を漏えい 2022年01月21日
「ウェブページのソース閲覧はハッキング」、情報漏洩を指摘した人物をミズーリ州知事が起訴する意向 2022年01月06日
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
東大阪市の医療施設で不正アクセス発生。患者のCT画像などが閲覧できなくなる 2021年06月25日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日

先日、尼崎USBメモリ紛失騒動が大きな話題となったが、MAMORIOは24日、リモートワーク中の置き忘れや紛失の実態調査の結果を公表した。調査は、20~60代の男女200人を対象としたもので6月17~20日の期間、ネット上でおこなわれた（MAMORIOプレスリリース、CNET）。

この調査によるとリモートワーク経験者のおよそ半数の52.2％が、リモートワーク中に業務に関する物品の置き忘れや紛失を経験しているという。紛失事故を会社へ報告した割合は13％ほどで、残りの87％は報告をしていないとしている。紛失を経験した人のうち7.4％が紛失物を発見できなかったとしている。

なお先の騒動の発端となった兵庫県尼崎市は24日、USBメモリ紛失事件に便乗した詐欺に注意するよう警告した。市職員や警察をかたって金銭や個人情報を聞き出す電話やメールなどが懸念されているという。こうした行為は詐欺であり、求めに応じないよう注意喚起をおこなっている（尼崎市リリース、ITmedia）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
尼崎全市民の個人情報USBメモリが流出。設定されたパスワードの桁数を会見で公表→発見される 2022年06月24日
スコットランド北部で野鳥が落とした追跡デバイス、拾った旅行者をロンドンまで追跡 2022年06月19日
トイレのスマホ置き忘れを防ぐ画期的なドアロック機構 2021年03月24日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
BMWを盗んだ泥棒、遠隔からの位置追跡機能とドアロック機能によって捕まる 2016年12月08日

英内務省は 17 日、プリティ・パテル内務大臣がジュリアン・アサンジ氏の米国への身柄引渡命令に署名したことを明らかにした (ニュースリリース、 The Register の記事、 The Verge の記事、 BBC News の記事)。

2003 年身柄引渡法によれば、内務大臣は身柄引渡を裁判所が認めた人物について、身柄引渡先で死刑になる危険がないこと、要求理由以外の罪を裁かれることがないこと、他の国から身柄引渡または国際刑事裁判所 (ICC) から送致された人物であって、元の国や ICC が合意していること、といった要件を満たす場合に身柄引渡を命ずる必要がある。アサンジ氏は 14 日以内の異議申立が可能だ。

WikiLeaks で数多くの機密文書を公開したアサンジ氏について、米政府は国家安全保障法に違反してスパイや外交官を危険にさらした犯罪者とみなしているが、アサンジ氏の支持者は調査報道ジャーナリストかつ告発者とみなしている。アサンジ氏との間に2人の息子がいるパートナーのステラ・モリス氏は声明で、パテル氏が調査報道ジャーナリズムを犯罪扱いした米国の共犯者として永遠に記憶されるだろうと批判し、今後もアサンジ氏解放に向けた闘いを続ける意思を示している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | ニュース | アメリカ合衆国 | 英国 | 法廷 | スラッシュバック | 政治 | 政府 | 情報漏洩 |

関連ストーリー：
英最高裁、ジュリアン・アサンジ氏の米国への身柄引渡に反対する上告を棄却 2022年03月18日
英高等法院、ジュリアン・アサンジ氏の米国への身柄引渡が不可能ではないと判断 2021年12月12日
米政府、ジュリアン・アサンジ氏の身柄引き渡しを求めて英国で控訴手続きを開始 2021年11月02日
ジュリアン・アサンジ氏のエクアドル市民権、無効と判断される 2021年08月01日
英判事、米国によるジュリアン・アサンジ氏の身柄引渡要求を却下 2021年01月05日
英ファッションデザイナーのヴィヴィアン・ウエストウッド、ジュリアン・アサンジ解放を巨大な鳥かごの中で訴える 2020年07月23日
米当局、WikiLeaks創設者をスパイ活動法違反などで追起訴。これに対し言論の自由に反するとの批判 2019年06月04日
スウェーデンの検察、性的暴行容疑によるジュリアン・アサンジ氏の捜査を再開 2019年05月16日
ジュリアン・アサンジ氏逮捕、大使館で飼われていた猫の行方は？ 2019年04月14日
米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記 2018年11月18日
在英エクアドル大使館がジュリアン・アサンジ氏に出した館内での行動に関する指令書(猫の世話含む) 2018年10月20日
ジュリアン・アサンジ氏を外交官にして身柄拘束を防ぐというエクアドル政府の試み、英政府に断られる 2018年01月13日
WikiLeaks創設者のジュリアン・アサンジ氏の生存が確認される 2016年12月02日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
アサンジ氏、最悪の場合は死刑も 2011年01月13日
アサンジ氏の保釈金としてマイケル・ムーア氏が2万ドルを提供 2010年12月16日
WIkileaksの創設者が投獄されるか死亡すると公開される「情報の核爆弾」 2010年12月12日
Wikileaks創始者、ジュリアン・アサンジ氏が逮捕 2010年12月07日

Illumio の調査によると、ゼロトラストの考えが大半の組織に広がる一方で、実際にサイバーセキュリティ侵害を想定した運用をしていないという組織が半数近くに上るそうだ (BetaNews の記事、 Illumio のブログ記事、 プレスリリース、 日本語抄訳)。

調査は北米・欧州・日本を含むアジア太平洋地域の 1,000 組織を対象に行われたもので、90 % の回答者がゼロトラストを組織でのサイバーセキュリティ三大優先課題の一つであるとし、33 % は最大優先課題だと回答したという。しかし、サイバーセキュリティ侵害を想定した運用をしていないという回答も 47 % に上ったとのこと。

一方、日本の回答者は 83 % がゼロトラストをサイバーセキュリティ三大優先課題の一つに挙げており、セキュリティ予算の平均約 31 % がゼロトラストへの取り組みに当てているという。しかし、サイバーセキュリティ侵害を想定した運用をしていないという回答も 53 % に上る(PDF)。

これに対し、シンガポールの回答者ではサイバーセキュリティ侵害を想定していないという回答は 38 % にとどまり、日本は大幅に遅れをとっているとのこと。スラドの皆さんのところではいかがだろうか。

すべて読む | セキュリティセクション | セキュリティ | 統計 | 情報漏洩 |

関連ストーリー：
米消費者製品安全委員会、ガソリンをプラスチック製の袋に入れないよう注意喚起 2021年05月15日
政府がプラスチック新法案を閣議決定。使い捨てスプーン等の有料化も検討 2021年03月10日
レジ袋の有料化に合わせてなぜか対象外のはずの紙袋も有料化へ 2020年11月19日
レジ袋、ネット通販サイトで売り上げが3倍に増加 2020年08月14日
日本軽金属に対し、水力発電所を目的外に使用しているとの指摘 2020年01月02日
京都府亀岡市、プラスチック製レジ袋の提供を禁止する条例を制定へ 2018年12月17日
「準中型免許」新設へ　警察庁案 2015年01月20日
「認定情報処理技術者」制度創設へ 2013年06月04日
米共和党の党員集会、著作権保護法改革メモを巡り Derek Khanna 氏の退会を決定 2012年12月11日
10月1日より「違法ダウンロード」が罰則化されます 2012年10月01日
京急、高架化による羽田空港への直通列車大幅増強のダイヤ改定を発表 2012年08月02日
リニア中央新幹線、ルートを巡って論争に 2009年06月16日
ネットで相手を特定する新技術開発 - 総務省 2003年07月24日
地方自治体向け新セカンドレベルドメイン LG.JP 2002年10月01日
選挙の集票はフロッピーディスクで 2001年12月02日
国交省による電子入札、その具体的内容は 2001年08月08日

NHKの記事によれば、経済産業省は、日本の安全保障関連の技術流出を防止するための規制強化を1日から開始したそうだ。企業や大学などが対象となる。内容としては、年間所得の25％以上を外国政府などから受け取っている研究者などに重要な技術や情報を提供する場合、事前に国の許可が必要になるという。また日本国内の行動について海外から指示を受けている人なども規制の対象になるとしている（NHK）。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
政府、外交・防衛など国家機密の管理は国産プライベートクラウドを使用する方針へ 2022年02月10日
中国新興半導体企業、TSMCから100人以上の人材を引き抜きか 2020年08月18日
米軍技術向けに内輪運用されていた「秘密特許」を正式導入のため法改正へ　中国への対応が念頭に 2020年08月17日
政府が大学の技術流出防止へ。政府が支援する研究では資金提供元の開示を義務化 2020年06月27日
日本政府、技術流出防止へ外資規制強化へ 2019年09月19日

インド政府のサイバーセキュリティ当局 CERT-In は 4 月 28 日、サイバーインシデント発生を認識後 6 時間以内に報告するよう企業や政府組織に義務付ける指令を発表した (プレスリリース、 The Register の記事、 指令: PDF)。

報告が義務付けられるインシデントとしては、不正アクセスやマルウェア攻撃、DoS/DDoS、データ侵害、データ漏洩、ウェブサイト改変、偽モバイルアプリなど20 種類が挙げられている。報告には電子メールや電話、Fax が利用できる。6 時間以内の報告義務付けは EU (72 時間) や米国 (24 時間) と比べて大幅に短い。CERT-In ウェブサイトのインシデント報告に関するページには報告書式の PDF も用意されているが、書式で挙げられているインシデントの種類は報告が義務付けられるインシデントの種類とは異なる。指令は 60 日後に発効する。

すべて読む | セキュリティセクション | セキュリティ | バグ | 政府 | 情報漏洩 | ワーム |

関連ストーリー：
インド政府、国産モバイル OS 開発を模索 2022年01月30日
ハバナ症候群、インドでも発生か 2021年09月25日
インド政府、「インドの変異株」に言及するコンテンツを削除するよう、ソーシャルメディアプラットフォームに要請 2021年05月25日
インド最高裁、中央銀行による暗号通貨取引禁止命令を覆す 2020年03月10日
北朝鮮に所属するハッカーグループ、インドのATMをターゲットにしたマルウェア開発 2019年09月27日
インド政府、米国との貿易戦争による規制に対処できるよう独自の公務員向けメッセージングアプリの導入を検討中 2019年07月02日
インド政府、政府機関に対し暗号化通信などの傍受を認める 2018年12月28日
インド・デリーの偽コールセンター、偽のMicrosoftテクニカルサポートスタッフなど24名が逮捕 2018年10月09日
インド準備銀行、来年6月までに全ATMのOSをサポートが継続されているバージョンにアップグレードするよう勧告 2018年06月28日
インド政府、Windows 10へのアップグレードを格安で提供するようMicrosoftに要請 2017年07月01日

大阪市で市民からの情報公開請求が行われた結果、「新型コロナウイルス感染者等情報把握・管理システム（HER-SYS）」の認証情報がそのまま記載されてしまい、ログインに必要なIDやパスワードなどが外部に流出していたことが判明した（Security NEXT、産経新聞）。

情報公開請求に応じて交付した資料に本来行うべきマスキングしていなかったことが原因だった。4月20日に請求者に対して資料を送付したところ、問題が指摘されて発覚。遡って調査したところ、3月24日や4月20日に行われた情報公開請求を行った6人に対しても、マスキングなしで情報公開していたことが判明したとしている。同市ではすでにパスワードを変更し、新たなIDを厚生労働省に申請しているとのこと。

すべて読む | セキュリティセクション | セキュリティ | 政治 | idle | 政府 | 情報漏洩 |

関連ストーリー：
米カリフォルニア州裁判所、州の情報公開法で Waymo の企業秘密を公開しないよう事前差止命令 2022年02月26日
内閣情報調査室、インターネットでの情報収集を認める 2020年07月03日
香川県のゲーム規制条例パブコメ募集に対し寄せられた賛成意見で「ほぼ同じ文言の文章」が多く確認される 2020年04月14日
米市民権・移民局、難民のソーシャルメディア審査を担当する職員にオンライン翻訳サービスの活用を推奨 2019年10月02日
外務省、公開鍵の情報公開請求を拒否する 2019年04月25日

Anonymous がネスレのビジネスに関連するデータ 10 GB をリークしたと主張しているが、ネスレ側はダミーデータだと反論しているそうだ (The Register の記事、 @LatestAnonPress のツイート、 @YourAnonTV のツイート)。

Anonymous がサンプルとして公開しているデータは展開後のサイズが 50 MB 強のもので、example.com ドメインの電子メールアドレスなど明らかなダミーデータが目立つ。ネスレが The Register に語ったところによれば、データは本物でも機密情報でもなく、誤って同社の Web サイトで公開してしまったものだという。

同社のビジネステスト用 Web サイトで短時間の誤公開事故が発生したのは 2 月。大半は一般に入手可能なランダム化された B2B 用テストデータであり、事故後の調査では特に追加の対応は必要ないと判断しているとのこと。そのため、ネスレがサイバー攻撃を受けて情報を流出させたという主張は根拠のないものとのことだ。

ネスレはロシアに対する国際的な制裁措置に従うこと、ロシアでの宣伝活動や投資、輸出入を停止することなどを発表する一方、人道的に必要な食糧供給を継続すると述べたため、Anonymous のターゲットになったようだ。

同社はその後、ロシアで近い将来の間に利益を上げるつもりはなく、利益は人道支援組織にすべて寄付すると述べているが、ロシアでの人道的に必要な食料供給は同社の価値観に合うものだとして、継続する意思を示している。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
日本の医療Q&Aサイト、公開状態のAmazon S3バケットからおよそ30GBの顧客データが流出 2022年03月26日
Bing や Cortana のものとされる約 37 GB のソースコードが流出 2022年03月23日
ロシアでの営業を停止したマクドナルドがなぜか営業中。ネットでは高額転売も 2022年03月18日
YKK、ロシア国内でのファスナー生産と販売停止へ。ロシアの撤退企業への取り締まり強化も 2022年03月16日
Cloudflare 曰く、同社の全面的なロシア撤退はロシア政府を喜ばせるだけ 2022年03月11日
Samsung、データ侵害にあっていたことを認める 2022年03月08日
MicrosoftやAdobeなど、ロシアで全製品の販売とサービス停止へ 2022年03月07日
NVIDIAがサイバー攻撃を受ける。NVIDIA側もサイバー攻撃で反撃とも 2022年03月02日
オーストラリア・ビクトリア州、ネスレのミロに似せたビール缶のデザインを使用禁止 2021年08月14日
ネスレが猫アレルギーの原因物質を中和するキャットフードを開発。世界初 2020年10月19日
ネスレ日本、「キットカット」大袋の包装をプラスチックから紙に変更 2019年08月02日
ネスレ、プラスチック製ストローの全廃などプラスチック廃棄物への取り組みを加速 2019年01月25日
KitKatの絵文字キャンペーン、Unicodeを宣伝の場所にすることの是非は？ 2015年11月29日
ネスレ日本が「ソリュブルコーヒー」という名称を使うため業界団体から脱退 2014年07月25日

headless 曰く、

ハッキンググループ Lapsus$ がおよそ 37 GB のソースコードを Microsoft 内部の Azure DevOps サーバーから盗み出したものだと主張し、Torrent ファイルを放流したそうだ (Bleeping Computer の記事、 Cyber Kendra の記事、 The Register の記事、 Neowin の記事)。

Lapsus$ は先週末、本件に関連するスクリーンショットを Telegram に投稿し、その後削除した。Microsoft はLapsus$の主張を認識しており、調査を進めていると述べていた。

ソースコードは 7-ZIP アーカイブに格納されており、圧縮状態で約 9 GB。250 以上のプロジェクトが含まれるという。Lapsus$ の Torrent ファイル放流時のコメントによれば、Bing のソースコードの 90 % 、Bing Maps と Cortana のソースコードの 45 % を含むとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | 情報漏洩 |

関連ストーリー：
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
Google、Microsoftがライバルを蹴落とすためにオープンなWebを破壊すると批判 2021年03月14日
コンピュータソフトウェア協会、GitHub流出の件で利用萎縮にならないよう求める声明を発表 2021年02月03日
ソースコード流出事件を受けて、GitHubの監視サービスがスタート 2021年02月02日
年収を査定してもらうためとして、SMBC証券の業務コードを公開していたことが発見される 2021年01月29日
日産の社内ツールやソースコードがサーバーの設定ミスで流出 2021年01月08日

ロシアがウクライナに侵略行為を行ってからひと月が経過しようとしている。当初は大軍を率いたロシア軍が短期間でウクライナを制圧するとする見方が強かったが、実際にはウクライナ軍は苦しいながらも持ちこたえている状況にある。予想が外れた原因に関しては、ウクライナ側の強い防衛意識と西側の武器支援のほか、ロシア軍側の通信網の不備（ミリレポ[動画]）や士気の低さなどいろいろな要因が指摘されている。また前線部隊に食料や弾薬補給がうまく回っていないと言った問題も指摘されている。このためロシア側は中国に食糧の支援を求めたとの報道も出ている（ 、Yahoo!ニュース個人）。

一方でロシア軍の食料（軍用レーション）がAmazonなどで販売され（その1、その2）、日本国内などに出回っており、購入者の報告などがネット上にアップされている。Twitterで上げられた購入者の報告によれば2週間程度で届いたとのこと（クソ聖杯マイスター斑鳩氏のツイート、まとめぶ）。購入者によれば梱包も厳重な状態で送られてきたという。一方で前線の兵士には賞味期限切れのレーションが出回っているなどの報告も出ている（海外の反応）。

すべて読む | idleセクション | 軍事 | セキュリティ | idle | 情報漏洩 |

関連ストーリー：
ロシアでの営業を停止したマクドナルドがなぜか営業中。ネットでは高額転売も 2022年03月18日
キエフの自動車修理工場で鹵獲車載機銃の改造が進む 2022年03月17日
ロシア国営テレビの生放送中にスタッフが乱入。反戦を主張 2022年03月16日
ロシアが独自のTLS認証局を創設、主要ウェブブラウザベンダーの審査通過は難しいとの見方も 2022年03月15日
ウクライナのガス企業2社が生産停止、世界供給の約半分を占め半導体製造にも影響か 2022年03月15日
ウクライナ政府、国民に鹵獲したロシア戦闘車両等は所得申告の必要なしと発表 2022年03月03日
衛星インターネット「Starlink」、ウクライナで使用可能に設定変更。対応端末は輸送中 2022年03月01日
日本を含むG7主要国、ロシアの主要銀行を国際送金システム「SWIFT」から排除へ 2022年03月01日

ITmediaの記事によると、携帯通信キャリアの一部が自社のアカウントサービスの利用者に対してパスワードを平文で提示する機能が用意されているとして、記事ではセキュリティ上の懸念を提示している（ITmedia）。

記事によると、この機能はユーザーがログイン画面のパスワードを忘れたときのための機能で、電話番号や契約時に設定した4桁のネットワーク暗証番号などを入力すると、パスワードが掲示されるものとなっている。記事ではこうした事業者側がパスワードを平文保持している状況は、不正アクセスなどで情報漏えいが起きた際のリスクになるとしている。

掲示されるのはドコモ系列がdアカウントはポータル内で、ソフトバンク系列はSMSでの通知となっている。KDDI（au/UQ mobile）と、楽天モバイルの会員サービスに関しては、本人確認の後にパスワードの通知を行う方法ではなく、新規パスワードの設定画面に移行する方式であるとしている。またソフトバンクにおいては、パスワードを暗号化せず平文のまま保管していることも確認できたとしている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | 携帯通信 | 情報漏洩 |

関連ストーリー：
macOSの暗号化zipファイルはパスワード無しで比較的容易に解凍できる 2021年10月12日
ZOLLの除細動器管理ソフトウェア、リモートからの任意コード実行など6件の脆弱性が公表される 2021年06月19日
Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して 2021年02月09日
「宅ふぁいる便」サービス終了 2020年01月15日
情報漏洩で停止中の「宅ふぁいる便」の退会ができる特設サイト、利用可能時間は9時から17時45分まで 2019年04月10日
ユーザー情報漏洩事件を起こした「宅ふぁいる便」、当面サービス休止に 2019年03月19日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日

JJ5RBD / Code10-4 ﾌｧｲﾌｧｲﾓﾃﾞ完さんのツイートによると、ノートPCの動作中に発生するノイズに、PCの再生サウンドや周囲音が輻射される現象が発生していたそうだ。同氏が広帯域受信機でサーチしてたところ、自宅の室内音声がそのまま飛び込んできたことから分かったものだそうだ。PCの電源を落とすとノイズが消えることから、自宅PCが発生源であることはほぼ間違いないという（JJ5RBD / Code10-4 ﾌｧｲﾌｧｲﾓﾃﾞ完さんのツイート）。

スペアナの近くでノイズ源となっているPCを動作させ、ノイズ輻射の様子を観測してみたところ、PCから出力されたサウンドだけでなく、周囲の音声も拾っていることが判明した。このほか様々な調査が行われているが、その結果、音声は内蔵マイクで拾った信号が変調されており、デバイスマネージャーからサウンドデバイスやマイク系列を無効化しても止まらなかったという。最終的には内蔵カメラ関連のケーブルを外すというハードウェア的な対策を取って解決しているようだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | 情報漏洩 |

関連ストーリー：
メモリバスが発する電磁波を利用してエアギャップ環境からデータを盗む「AIR-FI」 2020年12月22日
電球の光を観察すれば、25メートル離れた場所の会話が盗聴できる。イスラエル 2020年06月18日
PCの冷却ファンを制御してPCの筐体を振動させ、その振動を使ってスマートフォンと通信する手法が開発される 2020年04月30日
リンク切断時間5秒でLANケーブルにパケット盗聴器を接続する手法 2020年04月14日
パソコンの発する電磁波をAMラジオで受信してRSA秘密鍵などを解析 2015年06月21日
熱を使ってネットワークから隔離されたマシンと通信する手法が考案される 2015年03月27日

headless 曰く、

ハッキンググループ Lapsus$ が Samsung のものだと主張する 190 GB 近いデータの Torrentファイル を週末に放流していたが、Samsung は攻撃者を特定せずにデータ侵害を認めたそうだ (HackRead の記事、 The Verge の記事、 9to5Google の記事、 SamMobile の記事)。

Samsung は社内データに対するセキュリティ侵害があったことを認め、セキュリティシステムを強化したと述べている。Samsung の初期の分析によれば、侵害されたのは Galaxy デバイスの動作に関連するソースコードで、消費者や従業員の個人情報は含まれないという。そのため、現時点では業務や顧客に影響しないとみているとのことだ。

Lapsus$ は NVIDIA のデータも侵害し、ドライバーのオープンソース化などを要求して注目されていた。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
NVIDIAのプロプライエタリ情報を盗み出したハッキンググループ、ドライバーのオープンソース化を要求 2022年03月05日
NVIDIAがサイバー攻撃を受ける。NVIDIA側もサイバー攻撃で反撃とも 2022年03月02日

ロシアによるウクライナへの侵略でロシア側は攻撃開始後、短時間で勝利を見込んでいたようだ。国営ロシア通信は2月26日午前8時1分、ウェブサイト上にロシアが勝利したことを前提とする記事を誤って公開してしまったそうだ。内容はロシアと新たな世界の到来とするもので、ウクライナ以外の占領地域の拡大も示唆するような内容となっている。事前に用意していた記事が設定ミスでアップロードされたものと見られている。記事は短時間で削除されたものの、Internet ArchiveのWayback Machineに補足されていたという。タレコミにもあるが、内容に関しては山形浩生氏が日本語訳を掲載している（毎日新聞、クーリエ・ジャポン[会員記事]）。

またウクライナ国防省が発表した内容によると、ロシア軍から押収した占領作戦資料から、ロシア側はウクライナ占領までの期間を15日間と見積もっていたらしいことが分かった。この資料はロシアの黒海艦隊所属部隊から押収したものだという。航空万能論GFの記事によれば、作戦命令書、コールサイン表、指揮管制用コード表、秘密コード表、人員リスト表などを入手したとしている。今回の作戦の承認に関しては2022年1月18日付で承認されていたことも判明しているとのこと（ウクライナ国防省情報局の公式Facebook、航空万能論GF）。

maia 曰く、

ロシアのウクライナ侵攻成功後（計画では2月26日）にロシア国営RIAノーボスチ通信で出すはずだった予定稿では「ロシアと新たな世界の到来」）の翻訳を紹介する。ウズベキスタンのスプートニクのサイトにまだ載ってたのと、パキスタンのメディアに英訳が載ってたというから、原文はまあ本物だろう。読むと、その世界観に疲れるかもしれないが、興味深いのは間違いない。一読と、できれば分析をお勧めする。原文は署名記事だが、プーチン大統領の意を体したものと見做してよいだろう。
「ロシアの攻勢と新世界」（山形浩生訳）

すべて読む | セキュリティセクション | EU | 政治 | idle | 情報漏洩 |

関連ストーリー：
ドイツが政策を大幅転換、国防費を大幅増額で脱原発・石炭も見直し議論へ 2022年03月03日
Apple、ロシアでの全製品の販売と政府系アプリの提供を停止。IT各社も同様の制限 2022年03月03日
ロスコスモス総裁、OneWebが非軍事確約＆英政府撤退なければ打ち上げないと恫喝 2022年03月03日
Twitter、ロシアの国家当局関係メディアへリンクするツイートにラベル付け開始 2022年03月03日
ウクライナ政府、国民に鹵獲したロシア戦闘車両等は所得申告の必要なしと発表 2022年03月03日
ロシアのウクライナ侵略、ノーベル平和賞受賞者が主筆を務めるロシアの独立系新聞はどう報じているのか 2022年03月03日

あるAnonymous Coward 曰く、

南米で活動する脅迫グループ「LAPSU$」が、「NVIDIAに侵入して1TB以上の独自データを盗み出した」と主張しているという。また興味深いことに、同グループは「NVIDIA側の反撃により同グループのマシンがランサムウェアに侵された」とも主張しているとのこと。なおタイミング的にウクライナ情勢の影響も疑われたが、本件は特に関係なさそうだとも報じられている（NVIDIA、ZDNet、Engadget、Bloomberg）。

なお1日時点ではNVIDIA側は正式なリリースを出していない。Engadgetの記事によれば、メールや開発者用ツールが使用できなくなる問題が2月25日に発生したものの復旧済みであるという。NVIDIAの広報担当者はZDNetに対し、業務には影響を及ぼしていないと話していた模様。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
トヨタ系部品製造会社がサイバー攻撃を受け、1日にトヨタ・日野・ダイハツが操業を停止 2022年03月01日
ウクライナに大規模なサイバー攻撃 2022年01月19日
欧州宇宙機関、超小型人工衛星に対するサイバー攻撃のアイディアを募集 2022年01月15日
中国軍指示で日本製セキュリティーソフトを購入しようとした元留学生に逮捕状 2021年12月29日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
ニップン、ランサムウェア被害で決算報告を再延期へ。帳票を手作業で作成中 2021年11月19日

クレジットカード基盤を提供するメタップスペイメントは28日、同社のデータベースから最大46万件のクレジットカード情報が流出したと発表した。外部からの不正アクセスを受けて流出したとされている（メタップスペイメントリリース、ITmedia）。

流出した情報は2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件。21年5月6日から22年1月25日までに実行された決済情報593件と加盟店情報38件であるとしている。同社の調査によれば、サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが判明しているという。今年の1月の段階で社内システムへの不正ログインやバックドアの存在などが確認されたとしている。

この影響で多くのサービスに影響が出ている。ITmediaの記事によれば、28日までにメタップスペイメントのクレジット決済サービス「トークン方式」や「イベントペイ」「会費ペイ」などを利用していた企業が謝罪のプレスリリースを公開する事態になっている。目立つものとしてAKB48グループチケットセンター、福山市スポーツ協会、日本赤十字社などの名前が挙がっている（ITmedia）。

あるAnonymous Coward 曰く、

攻撃の内容もサーバへの不正ログイン、SQLインジェクション、バックドアの設置など多岐にわたるようでいろいろ酷そうだ。カードの情報漏洩対策としては自前で実装せずに決済代行会社を使うのがまず定石だが、その決済代行会社がこれでは事態は深刻である。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 2021年12月07日
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日
オリックス系旅館・ホテル運用会社で個人情報入りのサーバーまるごと紛失 2020年12月10日
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日
ショップチャンネルの通販サイトで不正ログインが発生。22件の個人情報が流出した疑い 2020年07月31日

インフラエンジニアの「糟屋もふ」さんが、Amazonの公開中の欲しいものリストを元に、電話番号を取得できる手法が存在しているとの警告を行っている。セキュリティ上の問題があるため具体的な手法については触れられていないものの、同氏はセキュリティ資格保持者として、この手法が自アカで再現可能なことを確認したという。「ほしい物リスト」では、以前にも「本名が公開される問題」や「本名とメールアドレスがセットで公開される」といった問題が起きており、リストを公開中の方は警戒して置いた方が良いだろう（糟屋もふさんのツイート）。

なお同氏によると、発見された手法ではリストに「第三者の出品の商品の発送同意書」にチェックがなされていない場合でも機能するとのこと。問題に関してはすでにAmazon側に連絡済みだとしている。同氏はAmazon側で対策が行われるまで、欲しいものリストを非公開にすることを推奨している。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
Amazon.co.jpの注文履歴流出騒動、被害件数などの詳細は明らかにせず 2019年10月11日
Amazon.co.jpの「ほしい物リスト」で本名が公開される問題が発生 2018年02月08日
Amazonの「ほしい物リスト」に登録してある住所が第三者にバレる問題、発覚 2012年01月18日
Amazon.co.jpで「本名とメールアドレス」のセットの漏洩の危険性 2008年03月13日

学習塾大手の日能研が29日、同社のWebサイトのサーバーにSQLインジェクションを利用した外部からの不正アクセスが発生。保護者などのメールアドレス最大28万106件が、外部に流出した可能性があると発表した。脆弱性が発生した場所は特定しており、すでに対策を施しているとしている。共同通信などの報道によると迷惑メールが届いているとの相談を受け調査したところ、2021年12月上旬に不正アクセスを受けていたことが判明したという。同社では流出したメールアドレスがフィッシング詐欺などに使われる恐れがあるとして対象アドレスにメールで通知したとしている（日能研、共同通信、NHK）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 2021年12月07日
EVANGELION STOREで不正アクセス、1万7828件のクレカ情報漏洩の可能性 2021年12月02日
ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 2021年06月09日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Amazonの商品レビュー詐欺に関与した20万人以上の個人情報が流出 2021年05月11日