結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。 予想より反響が大きかったので文末にgmailを使った対策を追記した。 なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。 Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE http://gigazine.net/news/20160125-amazon-customer-service-backdoor/ こーんな記事があったものだから、嘘くせえと思って実際に(英語めんどくさいので日本の)カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。 なお、ニセの住所
1.ジュンク堂書店が顔認証データを万引き犯をとらえることに利用 少し前に、池袋などに店舗をかまえる書店大手のジュンク堂書店に関して、つぎのような興味深い記事が日経新聞に掲載されていました。 ・万引き常習犯の来店、顔認証で自動検知 ジュンク堂書店 生体情報は仕事を変える|日本経済新聞 ■関連するブログ記事 ・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで ・補足:ジュンク堂書店の来店客すべての顔認証データの無断取得について ・プライバシー権からジュンク堂書店が来店者に無断で顔認証データを取得していることを考える この記事によると、ジュンク堂書店は池袋の店舗を訪れた来店客すべての顔を、防犯カメラで撮影し、撮影するだけでなく、その画像をもとにサーバーに装備された「顔認証エンジン」により数値化された「顔認証データ」を作成し、さらに、サーバー内に格納されている、万引き常
情けない話ですが、自分の大チョンボで AWS の個人アカウントが第三者にアクセスされた結果 190万円相当のリソースが使われ、最終的に AWS さんに免除を頂きました。反省込みで本件のまとめを書きます。 自分が馬鹿を幾つも重ねた結果であって、AWS 自体は怖くないというのが伝われば幸いです はじめにまとめ S3 実験してた時に SECRET KEY を見える場所に貼っていた事があり、第三者がそれでアクセスし大量の高性能インスタンスを全力で回す (恐らくBitCoin採掘) AWS さんから不正アクセスの連絡があり、急いで ACCESS KEY 無効&パスワード変更、インスタンス全停止、イメージ削除、ネットワーク削除 免除の承認フェーズを進めて、クレジットカードの引き落とし前に完了して助かる AWS さんのサポート AWS さんは最大限サポートしてくれました 承認フェーズが進まない時もあまり
警察からの照会電話がたびたびかかってくる職場で働いていたことがある。 警察からの照会だからこたえることが許される、あるいはこたえなければならない照会が多かったのだが、必ず守らなければならないルールがあった。 それは、その電話ではこたえず、一旦、電話を切ることだった。その後、ネットなりで警察本部や警察署の代表番号を調べて、回答の電話をかけるのだ。それはもちろん、警察をかたる電話を警戒してのことだが、この警察からの問い合わせへの回答ルールには続きがあった。 問い合わせ電話の担当を把握していても、その人物を電話口に呼び出さず、「こういう照会があったのですが、担当者を失念しました。問い合わせされたのはどなたですか」というのだ。これは、照会者が真正な警察官であっても、公務でない照会をしていることを恐れるためだ。乱暴な要約をすれば、悪徳警官でないかを心配しているということだ。前段の警察の代表番号にかけ
エコーニュース>国内>みずほFG「LINE利用の決済サービスで発生した損害の補償主体は、みずほ銀行ではなくLINE社のみ」 みずほFG「LINE利用の決済サービスで発生した損害の補償主体は、みずほ銀行ではなくLINE社のみ」 LINE社とみずほ銀行が提携して行う予定と発表されたLINE利用の決済サービスで顧客に損害が生じた場合、補償の主体はみずほ銀行ではなくLINE社になる、との見解がみずほフィナンシャルグループ(FG)より出された。 これはみずほFGと提携して、年内にもLINE社が開始すると発表したラインを通じた口座情報の照会や、送金取引サービスについての補償主体を尋ねた弊社への回答。この見解に従えば、LINE社に十分な補償能力がないときは、損害を受けた顧客は満額の補償を受けられなくなる。 みずほFGの回答では、(現時点においてはサービス提供前であるため、詳細な回答は出来ないのの)「LI
スマートフォンでメッセージをやりとりするアプリを手がける「LINE」は、利用者のアカウントが乗っ取られ、電子マネーをだまし取られる被害が相次いでいることから、これまで任意だった暗証番号の設定を22日からすべての利用者に義務づけ、セキュリティ対策を強化することになりました。 LINEのサービスを巡っては、利用者のアカウントが何者かに乗っ取られ、その友人などが電子マネーの購入を依頼され、それをだまし取られる被害が相次いでいます。 このためLINEは22日の午後から、通常のメールアドレスとパスワードの入力に加え、利用者が任意で行っていた本人確認のための4桁の暗証番号の設定をすべての利用者に義務づけることになりました。 LINEはこれまでも利用者のアカウントが乗っ取られる被害を防ぐための対策を繰り返し打ち出してきましたが、今回の対策によって本人の電話番号とは違う別のスマートフォンから接続した場合に
自身のAppleアカウントから写真が盗まれたJennifer Lawrenceさん。6月にParis Fashion WeekでChristian Diorのショーにおいて撮影。 提供:Pascal Le Segretain/Getty Images カリフォルニア州クパチーノを拠点とするエレクトロニクス大手のAppleは米国時間9月2日、著名人の「iCloud」アカウントに対する最近の攻撃について、女優のJennifer Lawrenceさんなどを対象としたターゲット攻撃の結果であり、広範囲な侵害行為に起因するものではなかったと述べた。 「40時間以上にわたる調査の末、一部の著名人のアカウントが、ユーザー名、パスワード、セキュリティ質問に対する集中的なターゲット攻撃という、インターネット上で非常に一般的に実行される攻撃の被害に遭ったことを発見した」とAppleは声明で述べた。「われわれが
近年、日常茶飯事になりつつある個人情報の漏えい事件。 ベネッセや日本航空の事例などなど、セキュリティ意識の高い大手企業であっても個人情報流出を防ぐことが出来ないわけですから、対策にお金をかけられない中小企業や個人商店からの流出は、もはや星の数ほど発生してると考えるのが自然…。 酷いケースだと企業側が流出に気付けない場合すらあることを考えると、住所、氏名、電話番号、クレジットカード情報といった大切な個人情報は自分自身で守るほかないのかもしれません。 大量の情報漏えい: ニュースになるので気付きやすい&企業側からの連絡が期待できる 小規模な情報漏えい: 被害者が少ないので気付きにくい&場合によっては流出したことすら通知すらされない(そもそも企業側が流出を認識できていないことも) では、どうすれば個人情報流出から身を守ることが出来るのか? 今回は参考までに、自分が登録した個人情報がどこから流出し
Appleは21日、iOSのソフトウェアアップデート7.0.6をリリースした。 iOS 7.1が早ければ3月中旬にもリリースされるとみられていたが、SSL接続の検証に関して、半月以上も待つことができない重大なバグが見つかったためだ。 SSLとは、「ウェブサイトで入力する個人情報やクレジットカード情報などを暗号化し、安全に送受信する技術」(Symantec)だ。データを安全にやりとりするために利用されている非常に重要な技術となっている。 そして今回、クライアント(ユーザ側)とサーバ(ウェブサイト側)の間をSSL接続する際のプログラムに、「BASIC初心者でも一目で分かるようなミス」(Wired)が見つかり、修正されることになったようだ。ミスがあったのは、以下の部分。 Appleが公開しているソースコード 「goto fail;」が2行続けて記述されている箇所に注目してほしい。2行目の「got
■ 本当はもっと怖いGoogleマイマップ 適当に検索して見つけたブログで(既に消えているようだが)こんな発言があったようだ。 Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ... Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日 しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか(パブリッシュされるのか)、そのタイミングを理解している人はどれだけいるだろうか。 Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。
みなさまこんにちは、ネットきのこと申します。 この季節、毎日のようにゲリラ豪雨が降りますよね。 そんな中こんなツイートが話題になりました。 「ゲリラ豪雨」とか呟くと、わりとピンポイントで住んでる範囲が特定されやすいので、特に女性の方は注意してくださいね。 http://t.co/6qxslwJOXa — 中迎聡(エターナル18歳) (@nakamukae) July 7, 2013 「ゲリラ豪雨」とか呟くと、わりとピンポイントで住んでる範囲が特定されやすいので、特に女性の方は注意してくださいね。 はい、その通りです。 東京アメッシュというほぼリアルタイムで降雨情報を公開しているサイトがあります。 関東民にはお馴染みなサイトですね。 雨の量に応じて色が濃くなっていきます。 具体的に掘り下げてみましょう。 こんなツイート、よくありますよね。 アウトーーーー!!!! 例えば下の画像の場合、武蔵村
ほこたて:ハッカーVSセキュリティまとめ。ミッション「3つのPCから3つの画像を探せ」 →1台目→30分で侵入成功するもダミーの同名画像5万枚。2台目→余裕で侵入するも指定された「yuko.jpg」をリネームする(操作履歴は閲覧されている」 →ハッカー「クソゲーだわ。やめるわ」— マンハッタンPさん (@s_matenro) 2013年6月9日 ほこ×たてのハッカーVSセキュリティ。セキュリティの勝ちとなったけど、パソコンに侵入されている時点でセキュリティの負けじゃね?しかもファイル名変更するとかちょっと卑怯だしセキュリティ関係なくない?— くまこさん (@kumako300) 2013年6月9日 ほこたてwwwww速攻セキュリティ破られてましたよね?^^;たくさんダミー入れとけば大丈夫ってことなのかな?— 毬藻?さん (@marimo812) 2013年6月9日 ほこたて… twi
3月20日に韓国で発生した大規模サイバー攻撃(関連記事1、関連記事2)。同時多発的に発生していることから、ウィルスを用いたサイバーテロ(サイバー戦争)という話が最も有力になっている。 筆者は、今回の事件は、韓国における非正規Windowsの存在が引き金になったと推測している。なぜ、そのように判断したか、順を追って解説してきたい。 まず、2003年に大流行したSQL Server 2000に感染するSQL Slammerというウィルスの存在を思い出してほしい。あのときは、米国と並んで韓国でも大きな騒動となり、一時インターネットが使えないなどの大混乱となった(関連記事3、関連記事4)。その大きな要因は韓国内で大量の海賊版Windowsを利用されていたことで、複数のサーバーで適切な運用及びセキュリティパッチが適用されておらず、そのため韓国内でウィルス感染が一気に広がり、韓国内のインターネットがダ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く