「ドコモ口座」のドメインが第三者から購入可能な状態に 「本当にヤバい」「悪用される」と話題に
ドメインは、サービス終了ののちに失効したとみられ、GMOインターネットグループが展開するドメイン登録サービス「お名前ドットコム」内に開設されている「.jpドメインオークション」にて、オークション形式で出品されている。終了時刻は9月25日の午後7時。同日午後3時時点では40万円を超える入札が入っている。 もしドメインが第三者の手に渡ってしまうと、詐欺サイトや、ドコモ口座を模したフィッシングサイトが作られる可能性も考えられる。そのフィッシングサイトにかつて本物だったドメインが使用されているとすれば、ブラウザのセキュリティ機能をすり抜けたり、パスワード管理ツールが動いてID・パスワードを自動入力してしまったりする可能性も出てくる。 特に今回オークションに掛けられているドメインが金融サービスに関することから「税金で作ったサイトのドメインを手放して悪用されるのも大概だが、金融のドメインは本当にヤバい
ドコモ、本人確認で「健康保険証」が利用不可に 5月中旬から
NTTドコモは3月22日、携帯電話の新規契約や、各種注文時の本人確認手段において、「健康保険証等」(健康保険被保険者証)の取り扱いを5月に終了すると発表した。これまでは、補助書類が別途必要なものの、健康保険証でも契約することができた。 健康保険証等には、ひとり親家庭(母子家庭)等医療費受給者証、福祉医療費受給者証、遠隔地用健康保険被保険者証、介護保険被保険者証、学生用被保険者証(国民健康保険)、共済組合員証、後期高齢者医療被保険者証、公害医療手帳、国民健康保険被保険者証なども含まれる。 取り扱いを終了する理由として同社は「ご契約者本人の意図せぬ『不正な契約締結や不正利用等』が増加していることから」としている。なお、運転免許証、マイナンバーカード、身体障がい者手帳、精神障がい者保健福祉手帳、療育手帳の他、補助書類が必要になるが、住基カードや在留カード(+外国発行パスポート)での契約にも引き続
ニトリ、不正アクセスで13万2000件の個人情報流出か リスト型攻撃で
家具大手のニトリは9月20日、スマートフォンアプリ「ニトリアプリ」において不正アクセスが発生したと発表した。約13万2000アカウントが不正ログインを受け、個人情報の一部が流出した可能性があるとしている。 不正ログインは9月15日から20日まで発生。19日に流出が判明したという。対象ユーザーは、ニトリネット/ニトリアプリ/シマホアプリで会員登録したユーザーの他、シマホネットでニトリポイントの利用手続きをしたユーザー。 攻撃手法は、ニトリ以外のサービスから流出したユーザーIDとパスワードを使って不正ログインを仕掛ける「リスト型アカウントハッキング」(リスト型攻撃)と推測。ニトリネットのニトリアプリ認証プログラムに対して仕掛けられたとする。 流出した可能性のある個人情報は、メールアドレス、パスワード、会員番号、氏名、住所、電話番号、性別、生年月日、建物種別(戸建/集合住宅)、エレベーターの有無
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】 LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。 【編集履歴:2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】 【編集履歴:2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】
霞が関でパスワード付きzipファイルを廃止へ 平井デジタル相
平井卓也デジタル改革担当相は11月17日の定例会見で、中央省庁の職員が文書などのデータをメールで送信する際に使うパスワード付きzipファイルを廃止する方針であると明らかにした。政府の意見募集サイト「デジタル改革アイデアボックス」の意見を採用した。内閣府、内閣官房から取り組みを始め、他省庁については利用実態を調査する。 zipファイルの廃止は内閣官房が16日に開催した、河野太郎行政・規制改革担当相らとの対話の場で取り上げられ、その場で採用が決まった。アイデアボックスでの支持が最も高かったという。 霞が関の職員らは文書データを添付する際、zipファイルに加工してメールで送信しており、これまではセキュリティ対策として慣例的にパスワードを別メールで送信していた。 河野氏との対話の場で平井氏は「zipファイルのパスワードの扱いを見ていると、セキュリティレベルを担保するための暗号化ではない」と指摘。河
テレワークで使う「家庭用ルーター」が危ない! セキュリティ対策をあなどってはいけない理由
テレワークで使う「家庭用ルーター」が危ない! セキュリティ対策をあなどってはいけない理由(1/2 ページ) 新型コロナウイルス感染症対策として、国内でも多くの企業がテレワークを採用しています。いずれはオフィス勤務に戻す企業も多いと思いますが、中には日立製作所や富士通のように、今後はテレワーク主体で業務を進めると宣言する企業も出てきています。育児や介護といった家庭の事情を抱える従業員を中心に、部分的にテレワークを継続する企業もあります。 テレワーク中でもオフィスで働く時と同様、IT環境のセキュリティ対策は不可欠です。内閣サイバーセキュリティセンター(NISC)はこのほど公開した文書で、「新しい生活様式」に向けたセキュリティ対策の指針を紹介しています。 具体的には(1)テレワーカーの増加や対象業務の拡大があった場合はセキュリティリスクを再評価すること、(2)支給端末・支給外端末に関わらず、利用
HDDなど転売「7844個」──行政文書流出、ブロードリンクが謝罪 ずさんな管理体制明らかに
神奈川県庁が使っていたファイルサーバのHDDが転売され、個人情報を含むデータが流出した問題で、流出元の情報機器リユース業者ブロードリンク(東京都中央区)は12月9日、流出のいきさつと捜査の状況を記者会見で説明した。同社の独自調査によると、同社元従業員の高橋雄一容疑者は、2016年からHDDやUSBフラッシュメモリの他、スマートフォンやタブレットなどの情報機器を7844台転売していたという。 記者会見には、ブロードリンクの榊彰一社長、村上崇副社長、深田洋専務取締役、江川正彦取締役、萩藤和明執行役員が登壇した。 神奈川県庁のHDDが流出したいきさつ 神奈川県庁は6日、同庁が行政文書などを保存していたHDDを処分する過程で個人情報が流出したとして謝罪した。 神奈川県庁では、情報機器レンタルを手掛ける富士通リース(東京都千代田区)からレンタルしていたファイルサーバのHDDを、メンテナンスのため20
「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識”
モバイル決済サービス「7pay」で不正ログイン被害が相次いだ問題で、セブン&アイ・ホールディングスは7月4日、緊急会見を開いた。被害額は全額補償するという。運営元のセブン・ペイ小林強社長は「詳細については調査中。いろいろな角度から精査しないといけない」と語ったが、全体を通してセブン&アイ側の“認識の甘さ”が垣間見えた会見だった。 残高チャージ、新規登録を停止 決済機能はそのまま 7payは、1日のリリース当初から登録者が殺到し、アクセスしづらい状況に。3日ごろには、不正利用の報告がTwitterなどで相次いだ。ログインIDとパスワードを入手した第三者がアカウントを乗っ取り、残高チャージやセブン-イレブン店頭での支払いができる状態だった。 同社の試算によると、不正アクセスの被害者は約900人、被害額の合計は約5500万円に上る(4日午前6時時点、店頭決済額を想定)。登録者数は150万人強だっ
「お金を払ってセキュリティを学ぶ」のは平成で終わり? ある無料教本が神レベルで優れている件
毎日のように企業や組織を狙ったサイバー攻撃が繰り返され、その方法も次々と新しくなっています。皆さんの中にはひょっとして、小さな企業を十分守るだけのセキュリティの知識を身に付けるには「ある程度お金がかかるはず」と思っている方もいるのではないでしょうか? 実は、そんなことはありません! 内閣サイバーセキュリティセンター(NISC)は2019年4月19日、新たに「小さな中小企業とNPO向け情報セキュリティハンドブック 初版(Ver.1.00)」を公開しました。その内容は、セキュリティ本を上梓している筆者が「ぐぬぬ」とうなったほどです。これは、素晴らしい! 「どうしてこの人は、他人の本をそこまで推すの……?」と面食らった読者もいるかもしれません。この本を読んでほしいと私が考える根拠を、これから詳しく説明していきましょう。 NISCはこれまでも、個人向けに黄色い表紙の「インターネットの安全・安心ハン
「ラブライブは我々が頂いた!」 人気アニメの公式サイト乗っ取りか 公式「原因究明中」 ドメイン移管された?
人気アニメ「ラブライブ!」シリーズの公式サイトが、4月5日未明から正常に表示できない状態になっている。ページを開くと「ラブライブは我々が頂いた!」といったテキストが表示され、別アニメ作品の公式サイトに移動するように仕掛けられている。ラブライブ!の運営チームは「現在原因究明中」としている。 同日の午前2時ごろから、「ラブライブのページが開けない」「表示がおかしい」「ページが乗っ取られた?」といった報告がネット上で相次いだ。実際にページを開くと、本来表示されるアニメ紹介ではなく、以下のテキストが表示される。 「ラブライブは我々が頂いた! 我々がラブライブを入手する際、 手の込んだプログラミングを行なったり、 こっそりとデータを傍受したりする必要はなかった 我々の方法は、移管オファーを行い元所有者が移管オファーを承認しただけだった 元所有者はこれだけであっさりと、ラブライブ!を、我々へと移管して
「新世紀エヴァンゲリオン」の使徒がネルフ本部に仕掛けた“ハッキングの手口” (1/2) - ITmedia NEWS
この記事は認証セキュリティ情報サイト「せぐなべ」に掲載された「架空世界 認証セキュリティセミナー 第5回『架空世界のパスワードハッキング』」(2017年9月14日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。当時未発売だった製品やサービスの記述などは、本記事掲載時の状況に合わせて編集しています。 架空世界でもある「推測されやすいパスワード」 ……それでは講義を始める。 まずは前回のおさらいからだ。現実ではまだ実現していない認証として、「新世紀エヴァンゲリオン」の「精神感応認証」、「勇者ライディーン」の「血筋認証」を紹介し、「アーサー王伝説」の剣を抜いた力はどのような認証だったのか考察を行った。 さて、第4回までは認証の手法と実現例を紹介してきたが、架空世界でもパスワードを見破られ、認証を突破されたりするような事例はなかったのだろうか。いわば「認証システムのパスワー
イタリアの取引所から約200億円分の仮想通貨「Nano」流出 「全額補償は不可能」とCEO
イタリアの仮想通貨取引所「BitGrail」から200億円相当の仮想通貨「Nano」(単位はXRB)が流出。CEOのFrancesco Firano氏は同日、「残念ながら100%返す方法はない」とツイートし、波紋を呼んでいる。 イタリアの仮想通貨取引所「BitGrail」は2月9日(現地時間)、仮想通貨「Nano」(単位はXRB)が流出したと発表した。流出したのは1700万XRBで、日本円にして200億円相当。BitGrailのFrancesco Firano CEOは同日、「残念ながら100%返す方法はない」とツイートし、波紋を呼んでいる。 BitGrailは警察に報告済みで、捜査が進んでいるという。「Nano以外の仮想通貨に影響はない」としているが、9日以降、すべての入出金を停止している。 流出を受けてNano開発チームは声明を発表し、「Nanoプロトコルの問題ではなく、BitGrai
Windows 10へのアップグレード通知画面が変更 ユーザーがキャンセルしないとアップグレードが実行
マイクロソフトが、Windows 7/8.1に表示するWindows 10アップグレード通知画面を5月13日に変更しました。ユーザーがアップグレードの予定を変更・キャンセルしないと、指定時間にWindows 10にアップグレートされるようになっています。 Windows 10アップグレード通知画面の例 これまでもWindows 10へのアップグレードを促す画面は表示されていましたが、ユーザーが自分でOKを押した場合のみアップグレードが予約されるようになっていました。今回の変更では、ユーザーが自分でキャンセルの手順を踏まないと、画面に表示された日時にWindows 10へのアップグレードが実行されます。画面右上の「×」印をクリックして画面を閉じても、キャンセルしたことにはならないので注意が必要です。 Windows 10アップグレード通知画面の例 アップグレードをキャンセルするには、「ここを
ハッカー大会にCharlotteの友利奈緒コスプレ4人組が出場 文部科学大臣賞を受賞するなど“能力者”ぶりを見せつける
ハッキングの腕を競うコンテスト「SECCON 2015 決勝大会」が、東京電機大学東京千住キャンパス(足立区)で1月30~31日の2日間にわたって開催されました。4人1チームで戦うこの大会に、男の「友利奈緒」(ともりなお)が4人出場したと話題になっています。 友利奈緒(画像は公式サイトより) 友利奈緒は、テレビアニメ「Charlotte」のヒロイン。星ノ海学園の生徒会長を努めており、任意の1人から姿を消せるという“能力”の所持者です。 お前は一体何を言っているんだと言われてしまいそうですが、つまり男性4人で「友利奈緒」のコスプレをして出場したチームがいたというわけです。チーム名は「TomoriNao」で、出場者の登録名は「TomoriNao」「TomoriNao」「TomoriNao」「TomoriNao」。恐ろしいほどの「友利奈緒」推しです。誰が誰だよ。 ハッキングの大会に現れた4人の友
今どきの攻撃者は“怪しい”添付ファイルなんて送ってこない
年金機構で発生した大規模個人情報流出事件。あまりにもずさんな管理体制にあきれている読者も多いハズ。ところで、自社には関係ない話だと思っていませんか? 2015年6月1日、日本年金機構は大規模な個人情報流出事故を起こしたことを発表しました。職員のPCがマルウェア付きのメールに感染した結果、情報を外部に持ち出されたとのこと。基幹システム内の個人情報を内規に違反するかたちでファイルサーバに保管していたことも分かりました。現在、日本年金機構は公式Webサイトを一時的に停止(参照リンク)し、社内から社外へのメールの使用自体も禁止する(参考記事)という事態に発展しています。 「年金」というと、若手世代にとっては「返ってくるアテのないお金が毎月奪われている」と、それ自体にいい印象を持っていないでしょう。そんなところが事故を起こし、何かひとこと言ってやりたいという気持ちも分かります。でも、この事件から学ぶ
TLSに脆弱性「Logjam」発覚、主要ブラウザやメールサーバに影響
通信の内容を暗号化するHTTPS接続に使われているTLSプロトコルに、また重大な脆弱性が見つかった。3月に発覚したSSL/TLS実装の脆弱性「FREAK」に似ているが、今回の脆弱性はTLS自体に存在し、主要なWebブラウザや電子メールサーバなどに広範な影響が及ぶという。 今回発覚した脆弱性は「Logjam」と命名され、解説サイトが公開された。それによると、TLSでセキュアな接続を確立するための暗号アリゴリズム「Diffie-Hellman(DH)鍵交換」に脆弱性がある。同アルゴリズムはHTTPS、SSH、IPsec、SMTPSなど多数のプロトコルに使われている。 この脆弱性を悪用された場合、通信に割り込む中間者攻撃を仕掛けてTLS接続を512ビットの輸出グレード暗号に格下げさせ、通信の内容を攻撃者が傍受したり改ざんしたりすることが可能とされる。 脆弱性は「DHE_EXPORT」の暗号スイー
Googleドライブが無料で2Gバイトもらえる「セキュリティ診断」キャンペーン、2月17日まで
米Googleは2月10日(現地時間)、「Safer Internet Day」を記念して、Googleアカウントの「セキュリティ診断」をするだけでGoogleドライブ2Gバイト分を無料で提供するキャンペーンを開始すると発表した。 上記のリンク先からGoogleアカウントにログインし、数ステップの確認作業をするだけで、Googleドライブに2Gバイト追加される。この作業で無料ストレージがもらえるのは2月17日までだ。 セキュリティ診断では、アカウント復旧に必要な登録情報の確認、最近のアクティビティ、同じアカウントで使っているAndroidやChromecastなどを含むすべての端末や登録しているアプリの権限などを確認していく。 セキュリティ診断完了後すぐにGoogleドライブが増量されるわけではなく、今月末までに自動的に追加される見込みだ。この追加分は、QuickOfficeやChrome
Flash Playerにまたゼロデイ攻撃、未解決の脆弱性を悪用
Flash Playerの未解決の脆弱性を突く攻撃がまた発生。修正版が公開されるまではFlash Playerを無効にした方がいいかもしれないとTrend Microはアドバイスしている。 米Adobe SystemsのFlash Playerにまた新たな未解決の脆弱性が見つかり、Adobeが2月2日にセキュリティ情報を出して注意を呼び掛けた。この問題を突く攻撃の発生も伝えられている。Flash Playerには1月下旬にも同様のゼロデイの脆弱性が相次いで見つかり、Adobeが臨時パッチを公開して対処したばかりだった。 Adobeによると、今回の脆弱性は1月下旬にリリースされた最新版「Flash Player 16.0.0.296」までのバージョンに存在する。悪用された場合、攻撃者にシステムを制御される恐れがある。緊急度は最も高い「クリティカル」に分類している。 この脆弱性を突く攻撃は、現
Gmailのアドレス+パスワード約500万件が海外掲示板に貼られる → Google側にはハッキングの痕跡なし 有効なものは2%以下
9月9日夜、ロシアの掲示板サイトにGmailのアドレス+パスワード情報を含む大量の個人情報リストが投稿され、「Gmailのアカウントが大量流出か」と複数の海外ニュースサイトが報じています(threadpost / The Next Web)。ただしGoogle側に問い合わせてみたところ、Google側にハッキングを受けた痕跡はないとのこと。 Five Million Email Passwords, Addresses Appear on Russian Bitcoin Forum(threatpost) 今回投稿された個人情報は英語、スペイン語、ロシア語のアカウントを中心に約493万件にのぼり、大半がGmailのアドレスでしたが、中にはYahoo! やHotmailなどのアドレスも含まれていたそうです。 Google側でも事態は把握しているそうですが、前述のとおりGoogle側にハッキン
Gmail乗っ取りの報告相次ぐ
12月25日ごろから、Gmailのアカウントを乗っ取られたという報告が相次いでいる。 Gmailを乗っ取られてスパム送信に使われた、Googleから「不正なログインをブロックしました」というメッセージが来た、知人が乗っ取られた――25日ごろからTwitterでこのような被害報告が続出した。Togetterにもまとめられている。 Togetterのまとめ 今のところ、自分のGmailアドレスからアドレス帳のメールアドレスにスパムが送信されるのが主な被害のようだ。原因は今のところはっきりしておらず、Googleから公式な発表はない。被害に遭った人に聞いたところ「(不審なリンクをクリックしてしまったなどの)心当たりはない」と話していた。 Googleはアカウントのセキュリティ強化手段として、2段階認証プロセスを用意しており、以前から利用を強く推奨している。ログインの際に、パスワードに加え、Goo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
