報道発表資料 個人情報(電子メールアドレス)の流出について (第一報)|豊田市
豊田市から複数人宛に同時に送信したメールにおいて、メール受信者が他の受信者の電子メールアドレス(以下「アドレス」という。)を取得できる状態で送信していたことが判明しました。これにより一部の個人及び企業のアドレスが誤って流出してしまいました。 判明日 令和5年4月4日(火曜日) 発生した事象 令和5年4月1日(土曜日)頃(詳細は調査中)から4日(火曜日)午後4時56分までに市のメールアドレスから送信したメール(詳細は調査中)について、本市が導入している「強制BCCシステム」※の停止により、受信者同士のアドレスが見える状態で送信していた。 ※強制BCCシステムとは アドレスの入力先を誤る人的ミスを防止するため、「宛先(To)」や「CC」にアドレスが入力された場合も、メール送信サーバ側が強制的に「BCC」に変換し、受信者同士のアドレスを把握できない仕組み 経緯 4月4日(火曜日) 午前9時頃 市
それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 東京大学空間情報科学研究センター、大阪公立大学大学院情報学研究科、東京大学大学院情報理工学系研究科ソーシャルICT研究センター、株式会社国際電気通信基礎技術研究所に所属する研究者らは「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。 パスワード付き圧縮ファイルを添付したメールとそのパスワードを書いたメールを別々に送るセキュリティ対策手法(通称:PPAP)において、脆弱性が高いにもかかわらずまだ使い続けている有無や理由、脆弱性の認識はあるかなどの質問を組織344社に行い、分析した研究報告である。 取引先や顧客など社外の相手とファ
【悪用厳禁】mitmproxyを使えばSSL通信でも傍受できる
最初に言っておきます。 mitmproxyは、開発の生産性をUPさせるモノです。 上手く使えば、開発の生産性がかなり向上します。 しかし、悪用しようと思えば悪用も可能です。 SSL通信であっても、通信を傍受できてしまいます。 つまり、パスワードをのぞき見することが可能になります。 でも、これは確実に犯罪です。 したがって、決して悪用はしないください。 今回は、そんな危険な可能性を持ったmitmproxyを紹介します。 本記事の内容 mitmproxyとは?mitmproxyのシステム要件mitmproxyのインストールmitmproxyの動作確認 それでは、上記に沿って解説していきます。 mitmproxyとは? mitmproxyとは、SSL/TLS対応のインターセプトプロキシです。 わけがわからないですね。 もうすこしわかりやすく説明します。 インターセプトとは、通信の傍受という意味で
けしからんファイアウォールに負荷掛けたら警察から手紙きた 登大遊氏が光ファイバーの先に興味をもった理由
情報科学若手の会とは、情報科学に携わる学生、若手研究者、エンジニアのディスカッションと交流の会です。NTT東日本特殊局員の登氏が政府に配布停止要請されたVPNソフトの話など、シン・テレワークシステムの開発のもととなった数々の経験を開発秘話として講演しました。今回は登氏がNTT東日本に呼ばれるまでの経緯について。前回の記事はこちら。 村井研を真似た部屋を大学内に作る 登大遊氏(以下、登):しばらくして、どうも他にすごい大学があるという噂が回ってきました。「SFCの村井先生の研究室はすごいらしい」と。みんな知らなかったんのですが、ちょっと筑波大の学生が夜中に見学しに行ったら、あそこはすごいと。「村井研はすごい」と。 こういうものを作りたくて、我々も真似しようとヤフーオークションや大学廃棄で大量機材を持ってきました。あとは、先ほどの国のお話とかでの収益と、SoftEtherも売れていたので収益が
海賊版サイト接続を抑止、スマホにフィルタリング機能標準搭載へ 総務省 - 毎日新聞
漫画や書籍などを無断でインターネットに掲載する違法な海賊版サイト対策として、総務省は25日、スマートフォンなどの端末に、サイトへの接続制限機能の搭載を目指すと発表した。ウイルス感染を防ぐセキュリティー対策ソフトに海賊版へのアクセス抑止機能を加え、閲覧しにくくする仕組み。近くサービスが始まる見通しだ。 出版業界は海賊版サイトのリストを作っている。これをセキュリティー対策事業者に提供して「フィルタリング」という機能に取り込んでもらい、利用者が該当するサイトに接続しようとすると通信を遮断したり警告を出したりする。標準搭載を目指すが、利用者の選択を尊重し、解除も可能となる方向だ。 この記事は有料記事です。 残り212文字(全文502文字)
「お金を無限に増やせるバグ」を銀行に報告したホワイトハッカーが自身の受けた仕打ちについて解説
「残高をマイナスにしてから帳消しにして無限にお金を増やせる」というバグをJPモルガン・チェース銀行に報告したセキュリティ研究者が報告後に敵対的な仕打ちを受けたとして、「銀行がセキュリティ研究者をどのように扱うのか知っておくべき」と警告を発しています。 DISCLOSURE: Unlimited Chase Ultimate Rewards Points | Chad Scira https://chadscira.com/post/5fa269d46142ac544e013d6e/DISCLOSURE-Unlimited-Chase-Ultimate-Rewards-Points JPモルガン・チェース傘下の商業銀行であるJPモルガン・チェース銀行にお金の無限増殖バグを報告したのは、セキュリティ研究者のChad Scira氏。コンピューター上で並行して行われる処理のタイミングの違いによって
スマートフォンの顔認証がよろしくない理由
顔で画面ロックを解除できる機能がスマートフォン最新機種のほぼすべてに搭載されるようになりましたが、セキュリティ面ではよろしくありません。 顔を使った認証は、スマートフォンに関しては自然な選択に思われます。スマートフォンを使っていれば、どのみち画面に顔を向けるわけですし。 スマートフォン業界全体としても、これに同意のようです。スマートフォンのロック解除に顔認証を使うことを最初に思いついたのはAppleではありませんが、同社がiPhone Xに顔認証機能を導入すると、いつものことですがスマートフォン業界全体が後に続きました。Mobile World Congress 2018では、展示されていたスマートフォンのほぼすべてに、この機能が搭載されていました。これはよろしくない傾向です。なぜよろしくないか、理由を説明しましょう。 実のところ、個人的には顔認証機能自体が悪いとは思いません。逆に、適切に
何故お役所ってオワコンIEが大好きなの?|楠 正憲(デジタル庁統括官)
普通は役所のシステムって構築してから5年とか7年は塩漬けにして使うもので、一度やらかしてしまうと名誉挽回の機会なんて向こう数年は与えられないんだけど、こと本件に関しては高市総務大臣から「今すぐ私がマニュアルなしでも使えるように直しなさい」と叱責いただいて、しっかりと予算的なサポートも得られたことで、たったの数ヶ月で立て直すことができた。 この数ヶ月は外部のセキュリティやPKIの専門家の方から様々なサポートをいただいて何とか実現したんだけれども、役所のシステム開発としては非常識というか、極めて難易度が高い案件だった。「え?単にChromeやSafariをサポートするだけでしょ、難しい訳ないじゃん」と思う諸兄は、もうしばらくこの話に付き合って欲しい。 もともとマイナポータルは日本を代表するITベンダーと通信キャリアの3社が開発したんだけど、大臣からの叱責を受け「ちゃんとお金を払うから直してよ」
Let's encryptとSSL/TLSに関する誤謬 - Chienomi
全く以て意味不明な誤謬がはびこっていた上に、やたら上から目線だったので、消火しておこうと思う。 そもそもSSL, TLSとは何か SSL/TLSは暗号化技術である。 SSL/TLSのデータ通信自体は対称暗号である。ただし、暗号化に利用する暗号鍵は使い捨てる。 Cipherはかなり色々使えるのだけど、だいたいはTriple DES (3DES)かAESが使われる。 その手順は <- HelloRequest -> ClientHello <- ServerHello <- ServerCertificate <- ServerKeyExchange <- ServerHelloDone -> ClientKeyExchange -> Finished -> ChangeCipherSpec <- Finished <- ChangeChiperSpec <-> Application Dat
図解 X.509 証明書 - Qiita
はじめに X.509 証明書について解説します。(English version is here → "Illustrated X.509 Certificate") ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書(1)』と『#5 X.509 証明書(2)』で解説しているので、動画解説のほうがお好みであればそちらをご参照ください。 1. デジタル署名(前提知識) この記事を読んでいただくにあたり、デジタル署名に関する知識が必要となります。つまり、「秘密鍵を用いて生成された署名を公開鍵で検証することにより」、「対象データが改竄されていないこと」や「秘密鍵の保持者が確かに署名したこと
富士通リース、HDD処理を丸投げ データ消去確認せず:朝日新聞デジタル
大量の個人情報を含む神奈川県庁のハードディスク(HDD)が外部に流出した問題で、県が使用を終えたHDDについて、リース元の富士通リースがデータ消去を自ら確認せず売却していたことが分かった。同社は売却先のブロードリンクに、県庁からの搬出や処分など処理を「丸投げ」していた。県が富士通リースとブロードリンクをそれぞれ3カ月の指名停止としていたことも分かった。 「リース物件はそもそも富士通リースから借り受けたもの。データが完全消去されるのであれば、どう処理しようがものを言える立場ではない」。神奈川県の幹部は、重要なデータの消去を誰が実際に担っているのか確かめられない現状をこう受け止める。 富士通リースとブロードリンクの売買契約は、HDDが動作すればデータを専用ソフトで消去し、動かなければ物理的に破壊する、という内容だった。 ところが県は、富士通リースがブロードリンクとの間で売買契約を結んでいること
7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
Have I Been Pwned: Check if your email has been compromised in a data breach
Breaches you were pwned in A "breach" is an incident where data has been unintentionally exposed to the public. Using the 1Password password manager helps you ensure all your passwords are strong and unique such that a breach of one service doesn't put your other services at risk. Pastes you were found in A paste is information that has been published to a publicly facing website designed to share
写真一枚で場所特定できる人いる? : あじゃじゃしたー
1: 名無しさん@おーぷん 2016/06/04(土)00:56:32 ID:cJN こんなんでも分かっちゃうもんなのかね 3: 名無しさん@おーぷん 2016/06/04(土)00:58:04 ID:cJN >>2 違う 5: 名無しさん@おーぷん 2016/06/04(土)00:59:19 ID:lwE これ大阪だろ 6: 名無しさん@おーぷん 2016/06/04(土)00:59:47 ID:cJN >>5 なんでそう思った? 8: 名無しさん@おーぷん 2016/06/04(土)01:01:22 ID:lwE >>6 近所だもん 9: 名無し 2016/06/04(土)01:02:11 ID:PRd >>8 今からお前の家にイッチ来るぞ 鍵閉めとけよ 10: 名無しさん@おーぷん 2016/06/04(土)01:03:02 ID:cJN >>7 どこでそう判断したか聞き
お宅の車、キーレスですか? あ、そうですか…。(ヤバいよ、簡単にロック解除できちゃうよ)
お宅の車、キーレスですか? あ、そうですか…。(ヤバいよ、簡単にロック解除できちゃうよ)2015.08.12 22:0010,706 SHIORI ちなみに、車種はどちらですか? これを聞いてしまったらきっとあなたは、今すぐドアに鍵をかけて、大切な物を隠して、もう家から一歩も出たくないと思うようになるかもしれません。どんなセキュリティーも打破してしまうことで有名なセキュリティー研究者兼ハッカーのSamyKamkar氏が、キーレスの車やガレージのドアのロック解除コードを傍受できるというなんとも恐ろしいデバイスを開発してしまいました。しかもその費用はたった32ドル(約4,000円)。 ラスベガスで行われたハッカーの一大イベントDEFCONにて、Kamkar氏がお披露目したのはRollJamという名前のデバイスで、既製の部品を使って組み立てられた物だそうです。このデバイスで何ができるのかというと
年金機構の情報流出を見てちょっと思ったこと [ほほほのほ]
いつもならFaceBookに先に書いているんだけど、今日はこっちに。あとでFBにも貼る。 いつものごとく時間がないので、雑感を駄文で。 年金機構が所謂職員の失敗で、年金情報を流出するという事件が発生した。 詳しいまとめは、いつものごとく、高速に素晴らしいまとめをしてくれる日本年金機構の情報漏えいについてまとめてみたを参照。Kangoさん、いつも本当に素晴らしい。 さて。この事件とか事件について色々喋っている人とか、大臣と呼ばれる人とかを見ていて感じた雑感を。 非常に大量に情報を流出してしまった事件としては、ベネッセ事件があった。詳しくはベネッセの情報漏えいをまとめてみた。を参照。 この事件において、ベネッセは様々な方面から散々ぶん殴られた。マスコミもJIPDECも利用者も、好きなようにベネッセをサンドバッグにした。まぁ、自分も殴った側にいるのだから偉そうなことは言えない。この件について、株
Google、Android 4.3以下のWebView問題について声明を発表 | juggly.cn
Google が Android 4.3(Jelly Bean)以下の WebView コンポーネントをアップデートしないと伝えられていた件で、Google の Adrian Ludwig 氏が自身の Google+ ページでその真相や経緯を公表しました。 WebView は、Android アプリが独自のレンダリングエンジンを実装することなく WEB ページを表示できる機能のことです。Android 4.3 まではオープンソースの WebKit をベースにしていましたが、Android 4.4 で Google 主導で開発・メンテナンスされている Chromium ベースに変わり、Android 5.0 でシステムから切り離され Google Play ストアを通じてアップデートされるようになりました。 同氏は投稿の中で、Jelly Bean に統合されている Webkit のブランチが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NEC製Wi-Fiルーター「Aterm」シリーズに複数の脆弱性報告
https://m.srad.jp/story/16/10/04/0653200
Bluetooth経由でスマホからPCまで乗っ取れる攻撃手法が発覚 ~Bluetoothがオンになっているだけで攻撃可能
