websec-room.com - このウェブサイトは販売用です! - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
PayPayで約50万円のクレカ不正利用の被害に遭いました【原因と対策】
PayPayの不正利用の原因は?PayPayの不正利用の対策方法を知りたいPayPayの不正利用に遭ったらどういう手続きを取ればいい? PayPayで約50万円の不正利用の被害に遭いました 2018年12月11日〜14日にかけてtwitterでなにやらPayPayの不正利用に関する不穏なツイートをたくさん見かけました。 PayPay 経由で僕のクレジットカードが不正利用されたようです。カード番号総当たりでたまたま被害にあった可能性があるとの事。みなさんもお気を付けて。 — 🍃🥜🗼sola🗼🥜🍃 (@sola_io) 2018年12月12日 paypay経由でクレカ不正利用された カスタマーセンターから不審な利用があったと連絡をもらって発覚して利用額約40マソ 海外サイトで利用トライ→セキュリティコード違いで使えないがカード番号の存在を確認→paypayの決済にカード番号を使用
セブンイレブン店員が女性客にnanacoカードを薦める → 10分後にFacebookで友達申請しナンパ : 痛いニュース(ノ∀`)
セブンイレブン店員が女性客にnanacoカードを薦める → 10分後にFacebookで友達申請しナンパ 1 名前: クロスヒールホールド(庭)@\(^o^)/:2016/01/16(土) 19:49:21.44 ID:5zg0/glf0●.net セブンイレブンと客との間でとんでもないことが起きたようだ。被害に遭ったのは女性で、セブンイレブンに行った際にnanacoカードを薦められ作ったという。nanacoカードを作ってから10分後に今度はFacebookにメッセージが飛んで来たという。 その内容は「間違ってたらすみません!先ほどセブンイレブン来てませんでした?」というもので、本人かどうか探っているようだ。女性客は「灯明寺のセブンなら…(笑)」と返事をしたところ相手は「そうです!そこでナナコカード進めた従業員です笑」と自ら従業員だと明かした。 更に「彼氏とかいなくて迷惑でなければLINE
パスワード一元管理のLastPassにハッキング、情報流出も
一方、LastPassの保管庫に保存された他のサイトのパスワードを変更する必要はないとしている。ただ、安易なパスワードを使っている場合や、マスターパスワードと同じパスワードを他のWebサイトでも使い回している場合は直ちに変更するよう呼び掛けている。 関連記事 Googleの二段階認証を3400円のUSBキーで試す Amazon.co.jpでFIDO 1.0仕様のUSBキーを購入しました。ようやく二段階認証が一般的になるのではないかと期待しています。 米連邦政府、400万人分の個人情報流出の可能性を発表 中国ハッカーの犯行との報道も 米連邦人事管理局が、同局のシステムに何者かが不正侵入し、約400万人の職員および元職員の個人情報が流出した可能性があると発表した。複数の米メディアが、当局がこれを中国ハッカーの犯行とみていると報じた。 年金情報125万件流出 年金機構に不正アクセス ウイルス入り
「番号」は漏れると危ないのか?
さて、マイナンバー対応バブル真っ盛りの夏を迎えつつありますが、皆さんいかがお過ごしでしょうか? 折しも年金番号が盛大に漏れて1、マイナンバーへの影響もあるのではないかとなども言われておりますが、そもそも「番号」が漏れることを「住所・氏名・生年月日」などの各種個人情報以上に大騒ぎするのには私は違和感があります。それは、こと漏洩に関して言うと、プライバシーインパクトは「番号」<「住所・氏名・生年月日」<<「付随する情報」だからです。 以下、簡単化のために「番号」<「住所・氏名・生年月日」に焦点を絞ります。 1. なりすましによる被害 「番号」それ自体は、その本人のデータを他の人のデータから区別するという能力しか無いはずです。米国のSSNなどは、誤った理解から番号自体を本人確認に使ってしまったりしてなりすまし事故を盛大に起こしております2が、日本のマイナンバーや年金番号はそんなことはしていないは
[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用
[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用 ルール上は「個人情報の格納は原則禁止」 日本年金機構から125万件の年金情報が漏洩した問題で、同機構は漏洩データを保管していたファイル共有サーバーを社会保険庁時代から恒常的に利用していたことが明らかになった。年金記録などを格納する基幹システム(社会保険オンラインシステム)から個人情報をファイル共有サーバーに移していたところ、標的型ウイルスに感染したパソコン経由で情報が漏れた(関連記事:日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出)。サーバー上に個人情報を置くことは原則禁止していたという。 同機構のシステム統括部によれば、少なくとも2010年1月の機構発足時には、基幹システムから抽出した個人情報をファイル共有サーバー内のフォルダに格納して、職員間や事務所間で共有していた。フォルダは階層構造であり
![[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
日本年金機構の情報漏えいについてまとめてみた - piyolog
2015年6月1日、職員PCがマルウェアに感染したことにより、情報漏えいが発生したことを日本年金機構が発表しました。ここでは関連情報をまとめます。 公式発表 日本年金機構 2015年6月1日 (PDF) 日本年金機構の個人情報流出について 2015年6月3日 (PDF) 個人情報流出のお詫び - 日本年金機構 理事長 水島藤一郎 (平成27年6月2日) 2015年6月3日 (PDF) 個人情報流出の報道発表を悪用した不審な電話等にご注意ください! 2015年6月3日 (PDF) 日本年金機構の個人情報が流出したお客様へのお詫びについて 2015年6月6日 (PDF) 日本年金機構ホームページの一時停止について 2015年6月8日 (PDF) 日本年金機構ホームページの暫定対応について 2015年6月22日 (PDF) 日本年金機構の個人情報が流出したお客様へのお詫びについて 2015年6月
第4回 実はカンタン、「プライバシー影響評価」
セキュリティ対策とプライバシー保護の対策は異なる。プライバシー保護は難しくない。実はマイナンバー制度は「我が社の、この業務」に最適な対策を検討できる方法を用意している。 情報システムだからできるプライバシー保護 企業から「セキュリティ対策なら分かるが、プライバシー保護のために何をすればよいか分からない」という声を聞くことがある。プライバシー保護というと、何やら雲をつかむような、打ち手の分かりにくい対策だと考える人もいるようだ。しかし、特殊な技術が求められるわけではない。 例えば、大量のマイナンバーを入手して売却するといった不正を防ぐことを考えてみよう。他人のマイナンバーを勝手に閲覧したり、データを入手したりするのを防止するには、個人情報にアクセスできる人の権限管理や証跡監査、ダブルチェックなどが有用だ。閲覧できる機器や場所を制限する、外部機器へデータを持ち出せないようにするといった、現実世
ベネッセ、非会員の情報も流出 カード情報も漏れた恐れ:朝日新聞デジタル
大量の顧客情報が流出した通信教育大手ベネッセホールディングス(HD)は22日、各地で開いたスタンプラリーや発行雑誌のアンケートで集めたが、会員にはなったことがない人の情報も流出していたと発表した。クレジットカード番号など重要情報が流出した可能性があることも公表。現時点で流出が確定したのは少なくとも約2300万件。なお流出の全容は把握できておらず、どこまで増えるのか見通せない状況だ。 ベネッセHDは21日夜、運営するインターネットの二つのサイト「ベネッセウィメンズパーク」と「ベネッセライフスマイルショップ」の顧客や会員の情報が流出していたと発表した。新たな流出は、不正競争防止法違反の疑いで逮捕された松崎正臣容疑者(39)が6月17日と同27日に社内データベースからスマートフォンにコピーした顧客データを精査したことから、判明した。 22日に会見した松本主税執行役員は「これまでは流出が確認されて
派遣社員「名簿は金になると思った」 NHKニュース
ベネッセコーポレーションの通信教育サービスを利用している顧客の個人情報が大量に流出した問題で、情報を持ち出した疑いがある外部業者の派遣社員が、警視庁の任意の事情聴取に関与を認めたうえで「金が欲しくてやった。名簿は金になると思った」などと話していることが、関係者への取材で新たに分かりました。 警視庁は不正競争防止法違反容疑での立件に向けて捜査を進めています。 この問題はベネッセコーポレーションの通信教育サービスを利用している子どもや保護者の名前や住所など、およそ760万件の個人情報が流出したものです。 警視庁のこれまでの調べなどから、ベネッセの顧客データベースの保守管理を委託されていた外部業者の派遣社員のシステムエンジニアが情報の持ち出しに関わった疑いが出ていますが、この派遣社員が警視庁の任意の事情聴取に対し、関与を認めたうえで「金が欲しくてやった。名簿は金になると思った」などと話しているこ
【続報】対象者は4000万人超か、ベネッセ個人情報漏えいの調査経緯 - ITpro.NikkeiBP.co.jp
ベネッセコーポレーションの顧客データベースから漏えいしたことが確実な個人情報は、同社の顧客、あるいは過去に顧客だった世帯約760万件で、保護者および子供の名前(漢字とフリガナ)、住所、子供の生年月日、性別が含まれるという。過去に顧客でなかった世帯は含まれない。 1世帯を1件とカウントしているため、少なくとも保護者1人、子供1人が含まれるとして、1500万人~2000万人分の個人情報が漏えいした計算になる。漏えいした可能性のある件数まで含めると約2070万件にのぼり、4000万人~5000万人が対象になる計算だ。 ベネッセホールディングス(HD)の原田泳幸会長兼社長は、都内で開いた記者会見で「信頼回復の第一歩として、情報の拡散防止に全力を尽くす」と言明(写真)。全容が判明し次第、ベネッセHD副会長の福島保氏、取締役兼CIOの明田英治氏は責任をとって辞任する。 史上空前といえる個人情報漏えいは
高木浩光@自宅の日記 - Tポイントは本当は何をやっているのか
■ Tポイントは本当は何をやっているのか Tポイントが実際のところ何をやっているのかは、以前から確認する必要があると考えていたのだが*1、その加盟店に公共図書館をを加えるという話が出てきて*2、いよいよ待ったなしの段階に入ったと思い、5月から6月にかけて「Tカードサポートセンター」に問い合わせて確認していた。 最初に問い合わせたのは5月8日で、「T会員規約にはこう書かれているが実際には何をやっているのか」と素朴に尋ねたところ、電話に出たオペレータからは、「ファミリーマートを利用した会員にガストでクーポンを出したり、ガストを利用した会員にファミリーマートでクーポンを出したりしている」という趣旨の説明があった。このオペレータは、このようなクーポン発行に、商品名レベルの購入履歴は使用しておらず、ファミリーマートの利用の有無(店舗レベル)に基づいてクーポンを発行しているという認識のようだった。 そ
Android向け無料アンチウイルスソフトは無意味
コンピュータを守るためにアンチウイルスソフトは不可欠。これと同じ考えから、スマートフォン向けにもアンチウイルスソフトがリリースされています。しかし、ウイルス検出率テストを行う第三者機関、AV-TEST.orgの検査によって、Android向けの無料アンチウイルスソフトの検出率の低さが白日の下にさらされることになりました。 Android antivirus apps are useless, here’s what to do instead | ExtremeTech (PDFファイル)Are free Android virus scanners any good? Authors: Hendrik Pilz, Steffen Schindler 今回、AV-TESTが使った無料アンチウイルスソフトは7つ。 ◆Antivirus Free Version 1.3.1 Creative
忘れたパスワードを問い合わせられるシステムなんて作っちゃいけない | 初代編集長ブログ―安田英久
今日は、ちょっとしたシステム構築を発注するときに重要なポイントとなる、顧客情報管理の話題を。テーマは「お客さんのパスワードをどう保存するか」です。 御社には、たとえばECサイトの会員や顧客向けSNSなどの、お客さんがユーザー登録をしてパスワードでログインするようなシステムがありますか? あるとしたら、そのシステム内で、お客さんそれぞれのパスワードはどんな風に管理されているか把握していますか? または、システム構築の発注時に、どんな風にパスワードを管理するような仕様にしましたか? クレジットカード情報や個人情報の管理には注意していても、パスワードの保存方法は、あまり気にしていないのではないでしょうか。しかし、それではまずいのです。システム構築時に正しい仕様で発注しないと、何かセキュリティ問題が発生したときに、思いがけぬ大きな範囲に影響する問題になってしまいかねないのです。 結論からいうと、お
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クレジットカード番号とセキュリティコードの生成アルゴリズムを調べ、紙とペンで計算・生成 | スラド セキュリティ
銀行ログイン時の秘密の質問が頭おかしい
TechCrunch
ジャストシステムのスマイルゼミから不自然なDMが届くと噂になってたら、ベネッセから最大2070万件の個人情報流出のお詫びちゃれんじが届いた件 : 市況かぶ全力2階建