パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2023年9月のセキュリティ人気記事トップ10
17328220 story
プライバシ

情報が漏れた経緯を調査するため明石市庁舎内の盗聴器の有無調査へ 94

ストーリー by nagazou
見つかったらすごいことになるが 部門より
旧明石市立図書館の跡地利用に関する斎藤元彦知事と丸谷聡子市長の電話会話について、盗聴された疑惑が浮上しているという。会話内容を前市長の泉房穂氏がXでポストしたためだ。この問題について市は15日、情報漏洩の経緯を調査するため、庁舎内で盗聴器の有無を調べることを発表した(神戸新聞NEXT)。

市の説明によれば、丸谷市長は11日午後、庁舎内の応接室で斎藤知事からの電話を受け、受話器で会話をした。このとき部屋には高橋啓介政策局長のみがいたが、高橋局長は「知事との電話の件は話さなかった」と説明。丸谷市長も本会議で「泉氏とは話していない」と述べていた。

このため委員会は、2人でなければ盗聴器の可能性もあるとして、市は「業者を入れて盗聴器の有無を調査し、他に知り得た者がいるか聞き取り調査し、その結果を報告するとの方針を示しているという。
17005677 story
プライバシ

渋谷に監視カメラを設置し顔認証で通行人を追跡するプロジェクト 107

ストーリー by nagazou
特定の表記を消しただけなのか 部門より
あるAnonymous Coward 曰く、

インテリジェンスデザイン株式会社は渋谷駅周辺に100台のAIカメラを設置してリアルタイムで人流データを取得・解析するプロジェクトを発表しているが、そのホームページで紹介されている事例が「ヤバい」と評判になっている。

「オフライン顧客の見える化」として紹介されているのが「性別・年代・同席者の性別・年代・着用している衣服のブランド・渋谷までの交通機関・昼食を取った場所・移動ルート・今月何回目の渋谷訪問か・前回の訪問日時・今年何度目の渋谷訪問か・商業ビルへの来店回数・前回の買い物履歴」などという実に生々しいもの。

「通年の行動データがリアルタイムで蓄積」とうたわれているだけあり、渋谷の公道を移動してるだけでこれだけの粒度で個人情報が保存されて前回訪問や同行者もデータ化されるというのは恐ろしい。

なおこの記述は高木弘光氏が
https://twitter.com/HiromitsuTakagi/status/1697213910267642105
と、問題視したことを受けたのか

https://idea.i-d.ai/shibuya-project/
「当サイト内にて誤解を招く表現がある箇所について内容を一部修正致しました。」と削除されている。

過去のヤバイ記述はこちら。
https://web.archive.org/web/20230804024613/https://idea.i-d.ai/shibuya-project/

ニュースとして報道されたときにはイベント警備の問題解決が主目的のように報じられていたが、詳細な通行人のデータを企業に売ることが目的だったとはビックリだ。
https://www.excite.co.jp/news/article/Techable_210770/
「渋谷駅周辺にAIカメラ100台設置!人流データを解析し、イベント混雑時の警備問題の解決へ」

17256453 story
お金

Amazonで不正アクセス多発か? 69

ストーリー by nagazou
何が起きているのか 部門より
14日頃からSNS上で多くのユーザーが「Amazon.co.jpを不正利用された」との報告が出ているという。一部の被害者は「Amazonギフトカードを大量購入された」または「二段階認証を設定していたにもかかわらず、それを突破された」と話している。中でも注文履歴が非表示にされ、被害者が不正利用に気付かないままクレジットカードの請求が届いたという報告もあったことが注目されている(ITmediaTogetter)。

この被害者がAmazonのサポートに問い合わせたところ、似たような事例が多発していると説明されたという。最終的に被害額は全額返金されたと報告されている。Amazonはセキュリティ対策の一環として二段階認証機能を提供しているが、何らかの手段を使って二段階認証を突破されるケースが相次いでいる模様。また、不正利用分の購入履歴が非表示になることも共通しており、攻撃者はこれを利用して被害の発覚を遅らせている可能性があるとしている。
17092348 story
アナウンス

JR東日本が共通IDサービス「My JR-EAST」のサービスを終了へ 30

ストーリー by nagazou
終了 部門より
JR東の複数の連携サービスに対して一つのIDでログインできるようにするサービス「My JR-EAST」だが、公式ページによると来年以降にサービスの終了を検討しているという。このため新規会員登録を2023年10月3日から停止するとしている。終了時期と取り扱いについては後日通知される(My JR-EAST公式の新規会員登録の停止について)。

終了の理由等に関しては告知されていないものの、同じページ上でビューカードを装ったメールを送信し、偽のVIEW's NETログイン画面へ誘導するフィッシング詐欺への警告がおこなわれていること、2014年に「My JR-EAST」サービスで大規模な不正ログイン事件なども起きていたことも影響している可能性がある。

あるAnonymous Coward 曰く、

JR東日本がグループの共通IDサービス「My JR-EAST」を廃止し、各サービスごと別々のIDでのログインのみに戻すとのこと。
えきねっと、モバイルSuica、JREポイント、ビューカード、各種MaaSアプリなど、JR東日本グループは大量のネットサービスを抱えているが、共通IDの構築は失敗して乱立は解消できなかったようだ。

情報元へのリンク

17362882 story
セキュリティ

NICTの業務委託先がノートPCを紛失、実施されていた情報漏洩対策の詳細を公開 77

ストーリー by nagazou
対策 部門より
国立研究開発法人情報通信研究機構(NICT)は9月21日、業務委託先であるTBSグロウディアが、NICTのセキュリティ人材育成プログラム「SecHack365」の2023年度受講生の情報を含むノートPCを9月16日に紛失したことが判明したと発表した。TBSグロウディアは警察署に遺失届を提出したが、現時点でノートPCは見つかっていない(NICT)。

このノートPCにはSecHack365の2023年度受講生の氏名、フリガナ、受講コース・ゼミの情報が保存されている。ただ、情報漏洩対策がされていたため、情報の不正使用の兆候は確認されていないという。情報漏洩対策としては、以下の措置が取られていたという。

・OSのディスク暗号化機能の有効化とPINによるデータの保護
・OSへのログインパスワードの長さと複雑さの確保
・OSへの2段階認証の設定(トークンなどの紛失はない)
・商用のIT資産管理ツールの導入によるログ管理
・紛失時にノートPCがシャットダウンし、OSからログオフされていたこと

以上の措置により、情報漏洩の危険性は最小限に抑えられたが、引き続き対策の強化に努めるとしている。
16929769 story
政府

英教育省、強化された軽量気泡コンクリートを含む教室等の使用中止を勧告、イングランドの104校に影響 38

ストーリー by headless
危険 部門より
英教育省は 8 月 31 日、強化された軽量気泡コンクリート (RAAC) に対する安全対策が行われていない教育機関の建物について、イングランドでの使用中止を勧告する新ガイダンスを発表した (ガイダンスニュースリリースThe Education Hub の記事The Guardian の記事)。

RAAC は教育機関の建物で 1950 年代から 1990 年代半ばにかけて用いられており、この期間に建設または増改築された学校などの建物には例外なく含まれているという。英政府ではこのような建物の危険性を認識して対策を進めてきたが、最近の状況から未対策の RAAC を含む場所を使用し続けるべきではないと判断したとのこと。

イングランドでは 156 の学校で RAAC が用いられているが、安全対策が行われているのは 52 校に過ぎない。ただし、残り 104 校でも全面閉鎖が必要になるわけではなく、中には教室単位での使用中止で済むものもあるとのことだ。
17362868 story
NTT

サービスを終了したNTTドコモのウォレットサービス『ドコモ口座』のドメインがオークションに 58

ストーリー by nagazou
あらら 部門より
ITmediaの記事によると、2021年にサービスを終了したNTTドコモのウォレットサービス「ドコモ口座」のドメイン「docomokouza.jp」が、購入可能な状態になっていたという。このドメインのリンクが現在でも金融機関などでリンクが掲載されているため、第三者の手に渡ると、詐欺サイトやドコモ口座を模倣したフィッシングサイトが作成されるリスクがある(ITmedia)。

フィッシングサイトに元々の本物のドメインが使用された場合、ブラウザのセキュリティ機能をすり抜けたり、パスワード管理ツールがIDやパスワードを自動入力したりする危険性も考えられる。このドメインは、ドコモ口座のサービスが終了した後に失効したと考えられ、このオークションは9月25日午後7時15分に終了した。132件の入札があり、最終的に402万円で落札されている(ITmedia)。
16840257 story
ニュース

「全人類に対する罪 核下水排出」、業務用ルータで脆弱性つかれ画面改ざん被害 60

ストーリー by nagazou
ご注意 部門より
朝日新聞などの記事によると、セイコーソリューションズが発売している業務用ルーター「SkyBridge」と「SkySpider」の脆弱性を突いて、東京電力福島第一原発の処理水放出に対する抗議メッセージが表示されるように画面が改ざんされる被害が多発しているそうだ。原因となった脆弱性に関しては2023年2月には問題が判明しており、セイコーソリューションズからは対応ファームウェア等は提供済みだった(IPA朝日新聞TECH+【再掲】SkyBridge MB-A100/110/200・MB-A130シリーズ・SkySpider MB-R210の脆弱性と対応について)。

報道によると、ハッキングにより内部認証画面が改ざんされ、日本政府の行動に対する非難メッセージが表示されるという。朝日新聞側の状況確認によると、29日午前の段階で少なくとも約1500台の機器の被害が確認されたとしている。修正プログラム未適用の機器が影響を受けた可能性があると述べている。

被害に関与したと見られる人物らは27日、SNS上で改ざんした画面と共に「これは私たちの最初の警告である」などとするメッセージを投稿していたという。セイコーソリューションズは新たな被害を避けるためにも早急なプログラム修正を呼びかけている。
17221538 story
暗号

LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方 26

ストーリー by headless
共通 部門より
昨年発生した LastPass の不正アクセス攻撃者がコピー可能だったとされるパスワード保管庫について、実際にコピーされたデータの一部がクラックされ、暗号通貨の窃盗に用いられているとの見方が出ている (KrebsOnSecurity の記事The Verge の記事)。

ブロックチェーンワレットアプリ MetaMask の Taylor Monahan 氏によると、昨年末から 150 人以上が合計で 3,500 万ドル以上の暗号通貨盗難にあっているそうだ。被害者は長年の暗号通貨投資者でセキュリティ意識の高い人ばかりだといい、電子メールや携帯電話のアカウント侵害といった暗号通貨盗難の前触れとなるような攻撃も受けていない。

そのため、Monahan 氏は被害者の共通点を特定するのに苦労していたが、ほぼすべての被害者が「シードフレーズ」の保存に LastPass を使用しており、攻撃者が複数の被害者から盗んだ資金を同じブロックチェーンアドレスに送っているという結論に達したとのこと。

暗号通貨ワレット復元サービス Unciphered の Nick Bax 氏は Monahan 氏らが収集したデータを独自に分析し、Monahan 氏と同じ結論に達した。Bax 氏や Monahan 氏らはこのような特徴から新たな被害者を特定することにも成功している。

Bax 氏によればインタビューに合意した被害者の回答から得られた唯一の明白な共通点は LastPass にシードフレーズを保存していたことだといい、LastPass を使用する家族や知人にはパスワードの変更や暗号通貨の移行を強く勧めているとのことだ。
17005943 story
セキュリティ

数種類のパスワードで大半のウェブサービスを利用するユーザーは8割、トレンドマイクロ調査 62

ストーリー by nagazou
相変わらず 部門より
トレンドマイクロが8月31日に発表した「パスワードの利用実態調査 2023」によれば、Webサービスの利用者のうち83.8%がパスワードを複数のWebサービスで再利用しており、その中でも41.9%が2~3種類パスワードをほぼ全てのサービスで使用していることが明らかになった。このような行動をとる主な理由は、異なるパスワードを設定すると忘れてしまうがトップの72.8%、異なるパスワードを考えるのが面倒が48.6%を占めた。また、平均して1人あたり14種類のWebサービスを利用しており、異なるパスワードを管理する負担が依然として大きいことが示唆されている(日経クロステック)。
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...