SIMスワップ詐欺、日本でも広がる 68
恐ろしい世の中だ 部門より
TBS NEWS DIGによれば、このSIM再発行をアルバイトにさせるという闇バイトがSNS上で横行しているという。この報道によれば、報酬1回8万円ほどであるようだ。犯行をおこなっているグループは、貯金など現金を持っている人をリスト化してターゲットにし、端末の電話番号を乗っ取った上で2要素認証などをクリアし、ネットバンキングの口座から現金を奪うという方法を用いているとしている。
アナウンス:スラドとOSDNは受け入れ先を募集中です。
楽天グループは2023年1月17日付で「楽天会員規約」を一部改定するという(「楽天会員規約」改定のお知らせ)。改訂されるのはパスワードに関連する項目で、改定前では、
アカウントを利用するためのIDおよびパスワードは、他人に知られることがないよう定期的に変更する等
の記載があったものが、改訂後は
第三者に推測されにくい複雑なパスワードにする、ログイン状態の端末を第三者に利用させないようにする、第三者の端末を利用してログインした場合には利用後にログアウトする
といった内容に変更された。パスワードの定期的な変更はさまざまなサイトで推奨されていたが、2018年に総務省の「国民のための情報セキュリティサイト」の内容が変更され、その必要性がないことが明示されている。内閣サイバーセキュリティセンター(NISC)からも、パスワードを定期変更する必要はない旨が告知されている(インターネットの安全・安心ハンドブック - NISC)。
米教育出版大手マグロウヒルが Amazon S3 バケットの誤設定により、同社のオンライン学習プログラムを利用する学生 10 万人以上のデータを公開状態にしていたそうだ (vpnMentorのブログ記事、 The Register の記事、 HackRead の記事)。
発見した vpnMentor は今年 6 月 12 日、マグロウヒルのものとみられる 2 つの S3 バケットが公開状態になっているのを発見。1 つは本番用バケットでデータ量 12 TB 以上、4,700 万個以上のファイルを含む。もう 1 つは開発用バケットでデータ量 10 TB 以上、6,900 万個以上のファイルを含んでおり、合計でデータ量は 22 TB 以上、ファイルは 1 億 1,700 万個以上におよぶ。
vpnMentor では倫理的なルールに従って調査を行い、少数のサンプルのみを確認したため全容は不明だが、推定で学生 10 万人分以上の個人を特定可能な情報 (PII) が含まれていたという。データは 2015 年からアクセス可能な状態にあったが、実際に悪意ある第三者がデータにアクセスしたかどうかは不明だ。マグロウヒルは米三大教育出版社の一つで以前からオンライン学習プログラムを開発していたが、COVID-19パンデミックを受けて事業の拡大が加速したとのこと。
vpnMentor はマグロウヒルへの連絡を 6 月 13 日から 7 月 4 日までに 9 回試みたが返信はなく、US-CERT への連絡も 6 月 27 日から 7 月 4 日までに 4 回試みたが返信はなかったという。そのため、マグロウヒルのウェブサイトでライブチャットを通じてサイバーセキュリティ責任者の連絡先を入手。9 月 8 日・19 日・21 日と電子メールを送り、9 月 21 日にようやく届いた返信で個人情報を 7 月 20 日に削除したと知らされたとのことだ。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」