パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明
パスワード管理アプリ「LastPass」では、2022年8月の不正アクセスによってソースコードが盗まれて以降、ハッカーによる顧客データへの不正アクセスが発生しています。LastPassは2022年12月22日に不正アクセスによってユーザーの個人情報やパスワードなどのデータが漏えいしたことを発表しています。 Notice of Recent Security Incident - The LastPass Blog https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/ LastPass says hackers stole customers’ password vaults | TechCrunch https://techcrunch.com/2022/12/22/lastpass-customer-p
Amazonから注文していない商品が次々と届く、しかし代引きではない… - xckb的雑記帳
さて、先日から自分のもとに、全く身に覚えの無い謎の雑貨の類が次々とAmazonから届くようになった。これが代引きなら典型的な送りつけ詐欺なのだけれども、代引きではない。 そんな体験をしたことがあるだろうか。 と言うことで、このような現象が何を目的として、どのような人によって引き起こされているかの推理し、対応策を考えるのがこのブログ記事の目的だ。こんな感じの目次でいってみようか。 なにが起こったのか 突然送られてくる謎の商品 Amazonのカスタマーサービスに連絡 さらに次々と送られてくる不審な商品 再びカスタマーサービスに連絡 よくありそうな疑問への回答 配送拒否すればいいのでは? 返品すればいいのでは? 何が原因なのか 在庫処分説 ソーシャルハッキング説 仮説の検討 在庫保管にかかる費用 在庫保管制限 返送・廃棄にかかる費用 そもそものAmazonに出品するための手数料 以上の数字の分析
不正アクセスによる情報流出に関するお知らせとお詫び | プレスリリース | 株式会社カプコン
2020年11月16日 大阪市中央区内平野町三丁目1番3号 株式会社カプコン 代表取締役社長 辻本 春弘 (コード番号:9697 東証第1部) 株式会社カプコンは、第三者からのオーダーメイド型ランサムウェアによる不正アクセス攻撃を受け、当社グループが保有する個人情報流出の発生を確認いたしました。 また、この攻撃により、当社が保有している個人情報・企業情報が流出した可能性があることを確認しましたので、「2.流出の可能性がある情報」にて併せてお知らせいたします。 なお、現時点ではコンテンツ開発や事業遂行において支障はございません。 お客様はじめ多くのご関係先にご迷惑とご心配をおかけしておりますことを、深くお詫び申しあげます。 現在も調査を続けており、今後新たな情報が判明する可能性がございますが、現時点で概ね確認できた事実関係(2020年11月16日現在判明分)の概要は次の通りです。 1. 流出
【お詫び】IPアドレスが他者からも確認できてしまう不具合について|note株式会社
経緯と再発防止策について追加のご報告をいたしました。くわしくはこちらをご覧ください。https://note.jp/n/naf3775e93a58 (2020年8月14日 22:33追記)noteサービスにおいて、記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できてしまう不具合が存在していました。 なお、一般的なIPアドレスから、個人情報を特定することはできません。 現在は、該当部分を修正し問題なくご利用いただける状態です。ご迷惑をおかけして、大変申し訳ありませんでした。 今回の不具合により、名誉毀損などの被害をこうむったクリエイターに対しては、ご本人と連携して法的措置を含めてnote社がサポートいたします。 以下、発生内容と今後の対策についてご報告します。 IPアドレスとは? インターネットでの通信先の情報です。一般的にはIPアドレスは地域や建物、組織で同一の値が共有され
LANケーブルをニッパーで切断し5秒でネットワークへ侵入・盗聴できるか実験してみました
サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか?本稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか? 本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。 ご自身の環境以外では試さないようお願いします。 なぜLANケーブルからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず
リンクを作る時の target="_blank" の危険性 - 隙あらば寝る
html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
PayPayで約50万円のクレカ不正利用の被害に遭いました【原因と対策】
PayPayの不正利用の原因は?PayPayの不正利用の対策方法を知りたいPayPayの不正利用に遭ったらどういう手続きを取ればいい? PayPayで約50万円の不正利用の被害に遭いました 2018年12月11日〜14日にかけてtwitterでなにやらPayPayの不正利用に関する不穏なツイートをたくさん見かけました。 PayPay 経由で僕のクレジットカードが不正利用されたようです。カード番号総当たりでたまたま被害にあった可能性があるとの事。みなさんもお気を付けて。 — 🍃🥜🗼sola🗼🥜🍃 (@sola_io) 2018年12月12日 paypay経由でクレカ不正利用された カスタマーセンターから不審な利用があったと連絡をもらって発覚して利用額約40マソ 海外サイトで利用トライ→セキュリティコード違いで使えないがカード番号の存在を確認→paypayの決済にカード番号を使用
海外からDDoS攻撃してくるカメラをシャットダウンしてしまうのは不正アクセスなのか?自首してみたが返答がない!そして泥沼のDDoSへ
海外からDDoS攻撃してくるカメラをシャットダウンしてしまうのは不正アクセスなのか?自首してみたが返答がない!そして泥沼のDDoSへ 顛末を記録した雑多なログになっているので整理されていない部分が多々あります. 2万文字を超えているので気合を入れて読むか適当に読み飛ばしてください. これでも不要な調査データを省いたりしてスリム化したのですが超巨大化してしまいました. 2018-11-07から自宅のネットワークの調子が悪すぎる 自宅のネットワークが死んでいました. J:COMの回線現在98%パケットロスするという状態になっています pic.twitter.com/Vfe0O3p5j2 — エヌユル (@ncaq) 2018年11月7日 今日の私 14時 サーバが落ちていることが通知される,サーバにDHCPがアドレス振ってくれてない 15時 ucomがついに死んだかと思いjcomに移行する 1
仮想通貨マイニング(Coinhive)で家宅捜索を受けた話 - Webを楽しもう「ドークツ」
表題の通り、お恥ずかしい限りではありますが、人生ではじめて警察(神奈川県警!)のお世話になる運びとなりました。 罪状としては「不正指令電磁的記録 取得・保管罪」、通称ウイルス罪とのことで、まさに青天の霹靂の思いです。 以下ではこの度起こったことを可能な範囲でありのまま共有できればと思います。 この記事の目的 まず、この記事を公開した目的は「他のクリエイターの人に同じ経験をして欲しくない」という一点に尽きます。 手前味噌ではありますが、私はこれまで多くの尊敬するクリエイターの方々と同じように「良いクリエイターであろう」と腐心し、できうるかぎりの努力をしてきたつもりです。 今回の件に関しても決して私利私欲のためではなく、あくまでユーザーのためにできることを、と模索した結果でした。 それがこのような形で取り沙汰されることとなり、残念という他ありません。 忸怩たる思いではありますが、この件から何か
弊社WEB予約サービスに対する不正アクセスに関する最終報告|九州商船
2018年3月30日 お客様 各位 九州商船株式会社 代表取締役社長 美根 晴幸 この度、弊社WEB予約サービスに対する不正アクセスにつきましては、お客様に多大なるご心配とご迷惑をお掛けいたしましたこと、深くお詫び申し上げます。 弊社では、今回の不正アクセスにつきまして、社外の専門家により構成される調査委員会を設置し、本件不正アクセスの事実関係の調査、原因究明、お客様情報漏えいの蓋然性の評価、再発防止策の提言について調査、検討してまいりましたが、この度、最終的な報告書を受領いたしましたので、下記の通りご報告させて頂きます。 1.不正アクセスに関する調査について WEB予約サービスに対して第三者による不正アクセスが行われたことが判明しております。 今回、不正アクセスの対象となったサーバーは、WEB予約サービスを提供しているサーバーです。 本システムでは、お客様情報はWEBサーバーには保存せず
九州商船の「弊社WEB予約サービスに対する不正アクセスに関する最終報告」は全てのエンジニアに読んでほしい - orangeitems’s diary
最終報告書を読む 九州商船株式会社のWEB予約サービスに対する不正アクセスについて、最終報告書が公開されました。報告書を読ませていただきましたが、その内容に関して大変勉強となることが多く含まれています。 弊社WEB予約サービスに対する不正アクセスに関する最終報告|九州商船 ※ITmediaでニュースにもなっていましたので追記しておきます。 japan.zdnet.com 不正アクセスの目的は、linuxに不正侵入し仮想通貨マイニングを行うというものです。データを盗み出すのではなくマイニングというところが2018年っぽいです。ただCPUが100%に張り付くのですぐに見つかってしまっていますが。 この報告書について考察してみます。 原因についての考察 原因はvsftpdで使っているFTPプロトコルをANYで開けていて、ブルートフォースでパスワードが割れてしまったこと。かつ、OS/ミドルウェアの
パスワード「頻繁に変更はNG」 総務省が方針転換 - 日本経済新聞
定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述
プレス発表 ITパスポート試験における個人情報等の漏えいについて:IPA 独立行政法人 情報処理推進機構
ITパスポート試験の団体申込者が利用するシステムに不具合があり、二つの団体申込者が申込情報のダウンロードを同時に行った結果、自らの情報のほかにもう片方の団体申込者に係る申込情報が記載されたファイルがダウンロードされ、個人情報等が漏えいしたという事案が発生しました。すでに漏えいした情報は破棄されたことを確認し、再発防止措置も講じましたので、ご報告いたします。 このような事態が発生したことは誠に遺憾であり、関係者の皆様に多大なご迷惑をおかけしたことを深くお詫び申し上げます。 1.経緯 2018年2月26日に二つの団体申込者が、ウェブサイトから申込情報をCSVファイルでダウンロードできる機能を同時に利用したところ、双方の申込情報が合わさって記載されたCSVファイルが双方でダウンロードされました。当該CSVファイルには、ITパスポート試験の受験申込者の受験番号、氏名、受験日、受験料金の支払いに用い
GitHub に AWS キーペアを上げると抜かれるってほんと???試してみよー! - Qiita
🤔 前書き 稀によくある 、AWS を不正利用されちゃう話、 AWSで不正利用され80000ドルの請求が来た話 - Qiita 初心者がAWSでミスって不正利用されて$6,000請求、泣きそうになったお話。 - Qiita AWSが不正利用され300万円の請求が届いてから免除までの一部始終 - Qiita ブコメ等で GitHub にはアクセスキーを検索するBOTが常に動いていて、公開するとすぐに抜かれて不正利用される 的なコメントがつくのを何度か目にしたのですが、 本当にそんな BOT が動いているの? どのくらいの時間でキーを抜かれて、不正利用が始まるの? というのが気になったので、検証してみました。 GitHub にそれっぽいパブリックリポジトリを作成、権限が一つもついてない AWS のアクセスキー&シークレットアクセスキーをうっかり公開、外部から利用されるまでの時間を計測します。
以前いた大学で使用していた Dropbox のアカウントが突然解約され10年分のデータがフォルダごと消えた話「想像するだけでゾっとする」
石松拓人🛰 @notactor あ…ありのまま今起こった事を話すぜ!MITを離れて1年半、今日になって突然おれのDropboxのMITアカウントが予告なく解約されフォルダごと消されたんだ…そこには10年分の研究データやソースコードが入っていた…それが全て跡形もなくPCから消えちまった!無慈悲なポップアップメッセージだけを遺して… 2018-02-25 09:11:27 石松拓人🛰 @notactor な…何を言っているのかわからねーと思うが、おれも何をされたのかわからなかった…だがおれにはまだ一縷の望みが残されていることに気付いたんだ!自宅のPCにはまだ同期済みのファイルが全て残っている!しかし電源を入れた途端ネットに接続して同期が始まるとそれも全て消されてしまう… 2018-02-25 09:11:44 石松拓人🛰 @notactor おれは帰宅して、まず無線LANルーターの電源を
エンジニアなら知っておきたい、絵で見てわかるセキュア通信の基本 - Qiita
TLS 1.3は現在策定中ですが、 前方秘匿性 の問題から RSAのみ を用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは 次に、HTTPSです。 HTTPS - Wikipedia HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。 厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供される セキュアな接続の上でHTTP通信を行うこと をHTTPSと呼んでいる。 とのことです。 HTTPの説明を割愛するとすれば、「SSL/TLSでセキュアにHTTPをやる」というだけの説明で済んでしまいます。 最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった
AWS運用担当者のためのセキュリティ入門 | DevelopersIO
はじめに AWSの運用構築をまかされたインフラエンジニアのかたに向けて、セキュリティで考えるべき視点と代表的なソリューションをご紹介します。 AWSでのセキュリティを考える前に、私達自身のセキュリティを考えてみましょう。 "外出前に鍵をかける"、"ひとけのない道はなるべく通らない"など最低限やっておくべき対策があります。 たくさんのお金をかけてボディガードを雇っても、鍵をあけて外出しては意味がありません。 AWSのセキュリティ対策も同様です。 追加のコストを払ってセキュリティソリューションを導入する前に、最低限やっておくべき対策があります。 特に代表的なものをご紹介します。 出所が不明なAMIは使わない EC2の作成元となるAMI(マシーンイメージ)は誰でも公開できます。 中には悪意のあるソフトウェアが含まれるAMIも含まれます。 AWSや信頼できるベンダーが提供するAMIを使いましょう。
ウェブアプリをソースごとパクる業者に対する対策 - Qiita
こんにちは。みなさんもウェブアプリをリリースしたあとに同業者にソースごとパクられたことってありますよね。難読化しても難読化されたまま同業者のサーバで動くので困ったものです。そこで、私がとった解析しずらい対策をまとめてみたいと思います。 前提 多機能な画面をJavaScriptでゴリゴリ作ったのにもかかわらず、HTMLやCSS、JavaScriptファイル一式を自社サーバにまるごとコピーして、ライセンス表記だけ書き換えて使うような業者を罠にはめるということを想定しています。 当然通信をリバースエンジニアリングする人もいるので、自社サーバでは防げないという前提です。 HTMLにはauthorメタタグ よくあるMETAタグで権利者を明記します。これは権利の主張もそうですが、JavaScript自体に権利者が認定した権利者でなければ無限ループを起こすという処理のためにも使用します。逆に、権利者が我
イケハヤ氏のブログがアクセスしてきたユーザーのPCを使って勝手にマイニング - はらですぎ
追記:2017/11/2 0:07 結論から言うと、イケハヤ氏が自身のブログに設置したcoinlabという会社のコードに誤りがあり、確認の際に「いいえ」を押しても、ページを再読み込みしたり他のページを開いたりするとマイニングが開始されてしまうということでした。 ※現在は撤去されています コインラボ運営チームです。 「コインラボWebマイナー」に関する以下の問題点を修正致しました。 ・サイト訪問時に最初に表示されるポップアップ内で、「いいえ」を 押下後に他のページへ遷移した際にマイニングが開始されてしまう問題 ・ポップアップが毎回表示されてしまう問題 — coinlab (@coinlab_) 2017年10月31日 はてブを見てみると「イケハヤ悪くないじゃん」的なコメントを書かれている方が何人かおられましたが、僕はそうは思いません。 イケハヤ氏にとっては、ある種もらい事故のようなものなのか
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Analyse your HTTP response headers
