パスワードを忘れた? アカウント作成
15234900 story
SNS

LINE個人情報問題が国や自治体へ影響。総務省も採用活動などへの使用中止へ 192

ストーリー by nagazou
無防備 部門より
LINEの個人情報問題(関連記事[1][2])で、同サービスをインフラとして利用してきた国や自治体で混乱が広がっている。野党はLINE責任者の国会招致にも言及しているという(時事ドットコム時事ドットコムその2朝日新聞FNNプライムオンライン)。

加藤官房長官は17日、記者会見でこの問題について問われ、記者団に「事実関係を確認している状況だ」と回答した。さらにLINEを「個人的に使っている」と話したという。政府や自治体の関係者の会話内容が閲覧されたのではないかとする記事も出てきている。現在は閣僚間のLINEに関する申し合わせはなく、政府機関などで利用を見直すかどうかもこれから議論するとしている。

現在、LINEは約8600万人が利用しており、多くの自治体では独自サービスをLINEと提携して利用していることも多い。滋賀県大津市ではLINEで水道・ガスの開栓・閉栓を受け付けるほか、LINE Pay経由で市税などの納入もできる奈良市も国民健康保険の手続きができるほか、身分証の画像や口座番号のやり取りにも使用していたとしている。また神奈川県はCOVID-19感染者の健康状態の確認などに利用していた。福岡市はLINEと連携協定を締結しており、粗大ごみの回収受け付けなどに利用していたという(SankeiBiz朝日新聞その2)。

全国で初めてLINEによる住民票の写しの申請受け付けを始めた千葉県市川市は17日、LINEを利用した行政サービスの受け付けを一時停止すると発表した。停止が発表されたのは、住民票関係証明書、駐輪場使用許可申請、り災証明交付申請の三つの手続き。市長は「リスクが払拭されない限り、市民に安心して利用していただけない」としているそうだ。

関連して菅義偉首相は19日の参院予算委員会で、「政府ではLINEを含めたインターネット提供サービスを利用する際は機密情報を取り扱わないことになっている」と述べたとしている。武田総務相は総務省はLINEのサービスを、採用活動や意見募集などで使っているが、運用を停止するとの方針を示した。同時に全国の自治体に対しても、利用状況を26日までに報告するよう求めているとのこと(SankeiBizその2SankeiBizその3)。
15233738 story
バグ

NVIDIA、RTX 3060の制限解除ドライバーを誤ってリリース。その影響でアキバから在庫消える 45

ストーリー by nagazou
イタタ 部門より
headless 曰く、

NVIDIAがRTX 3060のベータ版ドライバーで暗号通貨Ethereum採掘時のハッシュレート制限を解除したと話題になったが、誤って開発用コードをリリースしてしまったものだったそうだ(The Vergeの記事[1][2]Neowinの記事)。

NVIDIAではゲーマーが入手しやすくするためとして、ハッシュレート制限を発表。ドライバーだけの問題ではなく、ドライバーとチップ、BIOS(ファームウェア)のセキュアなハンドシェイクが行われるため容易には迂回できないと説明していた。しかし、PC Watchが具体的な内容には触れなかったもののドライバーやBIOSの改造なしに迂回する方法が発見されたと報じ、ComputerBaseがWindows Insider Programを通じてリリースされたベータ版ドライバーGeForce 470.05を使用するだけで迂回できることを確認していた。

NVIDIAによれば、470.05には内部の開発向けに一部の構成でRTX 3060のハッシュレート制限を解除するコードが誤って含まれていたという。ドライバーは削除されているが、既にオンライン上で共有されており、NVIDIAがこのドライバーの使用を止めることはできないとみられている。

AKIBA PC Hotline!によると、制限をかけたことで市場に出回っていたGeForce RTX 3060が、このベータ版ドライバ流出を受けて、秋葉原でも16日に一気に在庫がなくなったそうだ。記事によると16日だけで50本以上売れた店舗もあるそうだ(AKIBA PC Hotline!)。

15232973 story
日記

LINEのトークなどを含む個人情報、中国の委託先技術者が閲覧できる状況に 124

ストーリー by nagazou
丸見え 部門より
朝日新聞やNHKの報道によれば、国内のLINE利用者の個人情報が、中国企業の技術者からアクセス可能な状態であったことが分かったという(朝日新聞NHK)。

LINEの親会社Zホールディングスによれば、同社はサービスに使っているAIやシステムの運用のための社内ツールなどを上海の関連会社に委託していた。この委託先の中国人スタッフ4人が、2018年から開発の過程でトークや利用者の名前、電話番号、メールアドレス、LINE IDなどにアクセス可能であったとしている。朝日新聞の別の記事によれば、この中国人技術者4人が、日本国内の個人情報が含まれるデータベースに計32回接続していたとしている。どんなデータにアクセスしていたかは確認中であるとしている。なおZホールディングスは先月下旬にアクセスできない措置を取ったとしている(朝日新聞その2朝日新聞その3)。

個人情報保護法では、国外への個人情報の移転が必要な場合、利用者への同意が必要とされる。しかし、利用者に十分な説明をしていなかったとして、政府の個人情報保護委員会に報告したとしている。

jizou 曰く、

LINE 個人情報 十分な説明無く中国の委託先でアクセス可能に
https://www3.nhk.or.jp/news/html/20210317/k10012918871000.html

------------------
2018年から中国人の技術者が日本国内のサーバーに保管されている利用者の名前や電話番号、それにメールアドレスといった個人情報のほか、利用者の間でやりとりされたメッセージや写真などにアクセスできる状態になっていたということです。
------------------
全部もれていたということでいいんだろうね。

------------------
個人情報保護法は外国への個人情報の移転が必要な場合には利用者の同意を得るよう定めていて、親会社のZホールディングスは、説明が不十分だったとして改善を図る方針です。
------------------
利用者の同意があれば、何でもできるように読み取れるけれど、
そういうものかな....

15230420 story
情報漏洩

IPA、ブラウザの通知機能を悪用する手口が増加と警告。安易に通知を許可しないよう求める 39

ストーリー by nagazou
あの通知機能を使ってる人ってどれくらいいるのだろうか 部門より
情報処理推進機構(IPA)が、ブラウザの通知機能を悪用して偽の通知を表示させ、不審なサイトに誘導する手口が増えているとして、安易に通知を許可しないことや表示された通知表示の内容をよく確認する、誘導先のサイトでアプリをインストールや個人情報の入力を避けるといったことを求めている。TECH+のまとめを引用すると手口は次のとおりとされる(IPATECH+)。
  1. CAPTCHA認証などを装った画面を表示させ、通知表示の「許可」を押させるように誘導する
  2. 通知許可が得られたら、閲覧中に「パソコンがウイルスに感染した」「スマートフォンをクリーンアップしてください」などの通知を表示する
  3. 通知表示をクリックさせ、不審なサイトへ誘導する
15229810 story
マイクロソフト

Google、Microsoftがライバルを蹴落とすためにオープンなWebを破壊すると批判 48

ストーリー by headless
陽動 部門より
オーストラリアの「News media bargaining code」法案(2月25日に可決)の支持を打ち出し、米国でも取り入れるべきだと主張するMicrosoftに対し、ライバルを蹴落とすためにオープンなWebの仕組みを破壊するつもりだとGoogleが批判している(The Keywordの記事On MSFTの記事9to5Googleの記事The Vergeの記事)。

法案はニュースコンテンツ使用料の交渉にあたり、パブリッシャーが有利な条件でデジタルメディアプラットフォームと契約可能にする仲裁モデルを盛り込んでいる。最終的には商業的な契約を優先するなどの修正も加えられたが、Googleは修正されなければオーストラリアでのサービス提供を中止する可能性にも言及していた。しかし、スコット・モリソン首相がBingでGoogleの穴を埋めることが可能との見方を示し、Microsoftが法案の支持を表明した結果、Googleは強硬姿勢を改めざるを得なくなった。

GoogleはMicrosoftがLinkedInやMSN、Microsoft News、Bingなどのサービスで常にニュースコンテンツを消費・共有しているが、Googleと比べて大幅に少ない金額しかニュース産業に払っていないと指摘。Microsoftは自社のジャーナリストを支援することもなく、AIで置き換えている。それにもかかわらず法案を支持するMicrosoftの姿勢は、企業の日和見主義をむき出しにしたものだと批判する。さらに、MicrosoftがSolarWinds製ソフトウェアの脆弱性を悪用した攻撃を受けてソースコードを流出させたことや、Exchange Serverの脆弱性で大規模な被害が報じられる中、突如としてジャーナリズム支援を打ち出したのは偶然ではないという。

Exchange Serverの脆弱性を悪用した攻撃は1月から確認されていたにもかかわらず、Microsoftがパッチの提供を開始したのは3月に入ってからだ。最終的に1週間早く提供を開始したが、当初は3月の月例更新まで待つ計画だったとも報じられている。Googleによれば、Microsoftはダメージコントロールに努めており、一連の問題から目をそらすために昔の「Scroogled」作戦を再び持ち出してきたのは驚くべきことではないとのことだ。
15227924 story
プライバシ

監視カメラサービスがハッキングを受ける。企業や病院、警察、刑務所など15万台以上の映像が流出 10

ストーリー by nagazou
生々しい内容もあったようです 部門より
クラウド型のビル監視・運用ツールを提供しているスタートアップ企業のVerkadaが外部からハッキングされたそうだ。これにより同社の利用者15万台以上のカメラ映像が流出したと報じられている(BloombergブルームバーグEngadget)。

犯行はSuper Administratorの権限を入手する手法で実行されたとされる。被害は電気自動車メーカーのテスラが利用している222台ものカメラのほか、Cloudflareをはじめ病院、警察、刑務所、学校、そしてVerkada自身がオフィス等に設置している監視用ネットワークカメラに関しても映像が流出したとされる。また全顧客の映像記録全てにもアクセスできたそうだ。

病院を含む一部のカメラでは、Verkadaが提供している顔認識技術を使用して、映像でキャプチャされた人物を識別および分類することもできた。Bloombergの記事によれば、Verkadaは不正アクセスを防止するため、すべての内部管理者アカウントを無効にしたとする声明を出しているという。なおVerkadaの公式サイト上には今のところリリース等は出されていない。

この件に関して、被害にあった一社であるCloudflareが自社ブログで、事件の経緯や被害状況について解説する記事を掲載した。Cloudflareは、サンフランシスコ、オースティン、ニューヨーク、ロンドン、シンガポールのオフィスの監視にVerkadaのサービスを使用しているという。同社はVerkadaからハッキングの連絡を受けると、すべての場所のカメラをシャットダウンした。なお先の話題にあった顔認識アプリは同社では使用していないと説明している(CloudflareGIGAZINE)。
15227927 story
暗号

Linux Foundation、無料のソフトウェア署名サービス「sigstore」を発表 12

ストーリー by nagazou
発表 部門より
headless 曰く、

Linux Foundationは9日、無料のソフトウェア署名サービス「sigstore」を発表した( プレスリリースBetaNewsの記事Neowinの記事The Registerの記事)。

リリースするソフトウェアにデジタル署名する場合、鍵の管理や侵害発生時の失効処理、安全な公開鍵とハッシュの配布などに困難が伴うため、実行しているオープンソースプロジェクトは非常に少ない。sigstoreはすべてのソフトウェア開発者やソフトウェアプロバイダーが無料で容易に導入可能な署名サービスを提供し、サプライチェーンの安全性を高めるため、Red HatやGoogle、パデュー大学が中心となって設立された。sigstoreはコミュニティにより開発され、証明書を耐タンパー性のある公開ログに記録することで、ソフトウェア成果物への署名を安全に行うことが可能となる。

15227089 story
NTT

d払いの抜け穴を利用、約300万円相当のたばこをだまし取ろうとした詐欺未遂事件 55

ストーリー by nagazou
抜け穴 部門より
千葉県警は9日、NTTドコモの電子決済サービス「d払い」を不正利用した疑いで、ベトナム国籍の元技能実習生ら2人を逮捕した(千葉県警)。

読売新聞やテレ朝newsの報道によると、2人は昨年9月に他人名義のスマートフォン99台を使用、計約293万円分・567カートンのたばこなどを他人名義のd払いで購入しようとしたとしている。この事件でスマートフォン270台が押収されたという。大量のスマートフォンの入手方法については不明。また二人は容疑を否認しているとしている(読売新聞テレ朝news)。

この事件では、SIMカードが入っていないドコモのスマホが使用された。またd払いで利用可能な電話料金合算払いの仕組みを悪用したものだそうだ。電話料金合算払いは月々の携帯電話料金に合算して請求を行うもので、読売新聞の報道によれば、d払いではIMカードがなくてもWi-Fi環境があれば利用できるという仕組みを悪用したものだとしている。

また請求までのタイムラグが発生するため、しばらくは発覚しにくい利点あったとしている。ドコモはスマートフォンを転売するときは必ず端末の初期化を行うよう警告しているとのこと。
15227058 story
インターネット

レガシーMicrosoft Edgeのサポートが終了 32

ストーリー by nagazou
これで新しいEdgeが普通のEdgeになる? 部門より
headless 曰く、

デスクトップ版のレガシーMicrosoft Edgeのサポートが3月9日で終了した(Microsoft Edge Blogの記事)。

レガシーEdgeはInternet Explorerを置き換えるモダンブラウザーとしてWindows 10に導入された。MicrosoftはWebのモノカルチャーには貢献しないとしてレンダリングエンジンにはWebKitを採用せず、従来のMSHTML(Trident)エンジンをフォークしたEdgeHTMLエンジンを採用する一方で、WebKitとの完全互換を目指していた。しかし、期待された拡張機能サポートの搭載は遅れ、Windows 10の標準ブラウザーでありながら大きなシェアを獲得することはできなかった。その結果、より互換性が向上するなどとしてMicrosoft EdgeはChromiumベースへ転換することになる。

レガシーEdgeに対するセキュリティ更新プログラムは同日提供が始まった3月のWindows 10向け累積更新プログラム(Bリリース)が最後となる。Microsoftは4月の月例更新ではレガシーEdgeを完全に削除し、Chromiumベースの新Microsoft Edgeに置き換える計画を示している。

なお、3月の累積更新プログラムをインストールした環境でレガシーEdgeを起動すると、「このバージョンのMicrosoft Edgeは、サポートされなくなったか、セキュリティ更新プログラムを受信していません。今すぐ最新バージョンのMicrosoft Edgeをダウンロードしてください。」と通知が表示され、新Microsoft Edgeをダウンロードするよう促される。

15227055 story
ニュース

「Rakuten Link」で個人情報と通信の秘密の漏洩、楽天モバイルに半年ぶり7度目の行政指導 50

ストーリー by nagazou
プロ野球選手の記録みたいになってきた 部門より
総務省は3月10日、楽天モバイルに対して個人情報および通信の秘密の保護の徹底を行うよう指導を行う文書を発表した。この文書によると、楽天モバイルが提供している「Rakuten Link」アプリケーションにおいて、2020年10月に個人情報の漏洩が、11月には通信の秘密の漏洩が発生していたという(総務省楽天モバイル)。

10月に発生した第1事案では、回線契約を解約した利用者がRakuten Link上に登録してあった個人情報が、同じ電話番号を割り当てられた新たな契約者が閲覧できるようになっていたとしている。具体的には登録名、プロファイル画像、連絡先情報が見られるようになっていたとしている。

11月の第2事案では、Rakuten Linkの機能強化のためのサーバー側システムの再起動中、新たにアプリの利用を開始した利用者から、別の利用者の発着信履歴、登録名、プロファイル画像、電話帳、チャット履歴が閲覧可能な状態となっていたとしている。

総務省はこの二つの事案が個人情報および通信の秘密の保護に違反したとして、再発防止に努めるよう文書で指導を行った。総務省の発表後に楽天モバイルもリリースを出している。これによると第1事案が発生したのは2020年10月5日で個人情報が漏れたのは1名であるという。第2事案は2020年11月13日に発生、情報漏洩が確認されたユーザー数は15名だったとしている。なお日経新聞によれば、楽天モバイルへの行政指導が行われるのは今回で7度目だとしている(日経新聞)。
15225037 story
インターネット

SMBC信託銀行とSMBC日興証券で不正アクセスが発生 6

ストーリー by nagazou
不正アクセス 部門より
SMBC信託銀行とSMBC日興証券で、第三者から不正にアクセスがあったことが分かった。二社のシステムは同一企業が提供しているという(SMBC信託銀行[PDF]SMBC日興証券[PDF]SankeiBiz時事ドットコム)。

不正アクセスにより、Webサイト上から口座開設手続きを行ったユーザーの一部情報が外部に漏れていたとしている。流出した中には手続きを中断したユーザーの個人情報も含まれている可能性がある。原因はアクセス権設定の不備によるものだとしている。今年2月に安全対策を強化する対応を取ったとしている。

SMBC信託銀行で最大101人分の氏名や電話番号、住所、勤務先など、SMBC日興証券側では最大50人分の氏名やメールアドレスが漏えいした可能性がある。技術的な問題が発生しており、不正アクセスされたのは誰かについては把握できなかったことから、可能性のある顧客全員に連絡するとしている。
15224341 story
日本

2番艦が先行していた護衛艦FFM、1番艦の艦名は「もがみ」に 88

ストーリー by nagazou
こちらがネームシップに 部門より
2番艦である「くまの」が先に進水していた海上自衛隊の多機能フリゲート艦「FFM」。工事中のトラブルなどで進水が遅れていた本来の1番艦となる護衛艦が3日、三菱重工長崎造船所で命名・進水式を行った。艦名は艦名は山形県を流れる「最上川」に由来「もがみ」になった。もがみは2022年以降に就役する予定。同艦はネームシップとなり、今後建造される同型艦は「もがみ型護衛艦」という名称になる。今後は22隻の同型艦建造が予定されているとのこと(共同通信長崎経済新聞KyodoNews[動画])。
15224142 story
Windows

1bitずらしたドメインを取得してトラフィックを盗み見る方法 124

ストーリー by nagazou
なるほど 部門より

PC Watchの記事によれば、1bitずらしたドメインを取得することで、別ドメインのトラフィックを取得する「bitsquatting(ビットスクワッティング)」と呼ばれる手法があるそうだ。実際にこの手法を実験した人物がいるという(remy氏のサイト)。

その実験を行ったremy氏は「windows.com」を対象として検証をしたという。同氏によるとwindows.comの場合は、こうした32のドメインのうち、14は誰でも購入可能な状態だったことから、14のドメインをすべて購入し、アクセスしてくるパケットをキャプチャした。その結果、

その結果、「*.whndows.com」などを利用して、本来NTPサーバーの「time.windows.com」に対するアクセスの内、14日間で626のユニークなIPアドレスから、19万9,180のNTPクライアント接続が確認できたという。

同氏は、このようなアクセス数の多いドメインに関しては、bitsquattingという手法は実用性が十分にあるとしている。

15224108 story
セキュリティ

QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 23

ストーリー by nagazou
注意 部門より
あるAnonymous Coward 曰く、

中国のセキュリティ組織360 Netlabは5日、QNAP製NASの既知の脆弱性を狙った攻撃が観測されているとして利用者に注意を促している(360 Netlab Blog)。

同NASに搭載されているアプリ「Helpdesk」に存在するアクセス制御不備の脆弱性QSA-20-08(CVE-2020-2506, CVE-2020-2507)が悪用されているとみられ、攻撃者はCPU/メモリ使用率を隠匿しつつ暗号通貨マイニングを実行するという。

この脆弱性については昨年8月に修正版が提供され、昨年10月に概要が公表されていたが、脆弱性のあるオンラインのQNAP製NASが未だに数十万台あると推測されている。

対象となるモデルは広範に渡り、TS-221など日本で販売されていたモデルも含まれている。同社の調査によると日本の利用者は世界で6番目に多いようだ。

情報元へのリンク

15224169 story
バグ

Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 23

ストーリー by nagazou
SolarWinds並みにまずそう 部門より
米国で「Microsoft Exchange Server」のProxyLoginと呼ばれる脆弱性を突いた攻撃が広まっている。被害は米国企業だけでも3万の組織に及ぶとも報じられている。Microsoftによれば、中国に拠点を置くサイバー攻撃グループ「Hafnium」が米国に置かれているレンタルのVPSサーバーを経由して攻撃を行っているという(MicrosoftProxyLogon.comSecurity NEXT日経新聞)。

この脆弱性ProxyLoginは攻撃者が認証をバイパスして管理者になりすますことが可能なもの。共通脆弱性識別子はCVE-2021-26855が割り振られている。Microsoftによれば、「Exchange Server 2013」「Exchange Server 2016」「Exchange Server 2019」でセキュリティ上の問題が発生している。同社は米国時間の2日にセキュリティ更新プログラムをリリースしており、JPCERT/CCや情報処理推進機構(IPA)も早急に修正プログラムを適用するよう求めている(IPAJPCERT/CC)。

これに合わせて米サイバーセキュリティ・インフラセキュリティ庁(CISA)は3日、緊急指令「Mitigate Microsoft Exchange On-Premises Product Vulnerabilities」を発令。政府機関に直ちに脆弱性に対処することを求めている(ZDNetTECH+ )。
typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...