「ジャムおじさんのパン工場」教室で、応募者約1万人の個人情報漏えいか セガ子会社への不正アクセスで続報
セガサミーホールディングス傘下で、玩具事業などを手掛けるセガ フェイブ(東京都品川区)は5月13日、4月24日に公表した不正アクセスによる個人情報漏えいについての調査が完了し、新たに約1万件の個人情報漏えいの可能性が判明したと発表した。前回発表分と合わせると、漏えいの可能性がある個人情報は約1万4900件となる。 新たに漏えいの可能性が判明したのは、2017年5月2日から19年4月23日にジャムおじさんのパン工場 横浜店のパン教室に応募した人の氏名、電話番号、メールアドレスなどが1万100件と、18年8月20日から23年1月30日にセガトイズ(当時)お客さま相談センターにメールで問い合わせをした人のうち、21年10月から23年1月まで継続して連絡していた人の氏名、住所、電話番号、メールアドレスが48件。 個人情報にクレジットカード情報は含まれておらず、5月13日時点で個人情報の不正利用など
Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した
症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント
政府サイバー司令塔に攻撃 メールアドレス5千件流出か
内閣サイバーセキュリティセンター(NISC)は4日、外部からの不正なアクセスで、メールアドレス約5千件が外部に漏洩した可能性があると発表した。メールの文面も流出した恐れがある。NISCは政府のサイバーセキュリティー戦略の司令塔で、個人情報の漏洩が疑われる事案は初という。 外国からサイバー攻撃を受けた可能性もあるとみて、原因を調査している。現時点で個人情報悪用などの被害は確認されていない。 NISCによると、漏洩の恐れがある期間は、昨年10月上旬~今年6月中旬。NISCとやり取りしていたIT関係の民間事業者や学術関係者のメールアドレスなどが流出した可能性がある。 不正アクセスはNISCが使用している機器の脆弱性を利用したもので、外国でも同様の被害が確認されているという。攻撃元や機器の名前は明らかにしていない。 6月13日に職員が電子メールシステムで不正通信の痕跡を発見した。同14日にシステム
Windowsリモートデスクトッププロトコル(RDP)に複数の脆弱性、注意を
The Hacker Newsは7月20日(米国時間)、「A Few More Reasons Why RDP is Insecure (Surprise!)」において、リモートデスクトッププロトコル(RDP: Remote Desktop Protocol)の危険性について伝えた。RDOが安全ではないことを示す最近の脆弱性が紹介されており、システムを保護するためのセキュリティ対策が重要であることが強調されている。 A Few More Reasons Why RDP is Insecure (Surprise!) 現在、RDPはWindowsベースのシステムのリモートアクセスや管理に広く使われている。リモートワーク、ITサポート、システム管理を実現する上で重要な役割を果たしており、さまざまなリモートデスクトップや仮想デスクトップインフラ(VDI: Virtual Desktop Infr
Azure AD のセキュリティを強化するために今すぐできること (Quick Win)
こんにちは、Azure Identity サポート チームの 五十嵐 です。 本記事は、2023 年 4 月 3 日に米国の Azure Active Directory Identity Blog で公開された Quick Wins to Strengthen Your Azure AD Security を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 どの組織も、インフラの安全性と信頼性を高めるために、攻撃の対象範囲を縮小するべく取り組んでいらっしゃると存じます。 Microsoft Global Compromise Recovery Security Practice (CRSP) のチーム メンバーとして、セキュリティの態勢を改善し、侵入を平均よりも難しくすることで、低スキルの攻撃者がすぐに攻撃を諦めて次のターゲットに移る事例をこれま
要注意!?本当に怖いCloudFront - Qiita
はじめに 先日、海外向けに運用していた個人ブログがDDoS攻撃を受けてしまいました。 こういったサイバー攻撃は、企業に対して行われるものという先入観がありました。 しかし、調べてみると、最近では個人ブログも標的になってきていると報告があがっていました。 CloudFrontとS3で作成する静的サイトが人気になっており、特にCloudFrontの危険性について紹介したいと思います。 DDoS攻撃って? ざっくり説明すると、ウェブサイトやサーバーに対して過剰なアクセスやデータを送付するサイバー攻撃です。 インフラストラクチャーレイヤー攻撃(レイヤー3、4)とアプリケーションレイヤー攻撃(レイヤー6、7)の2つに分類されます。 ご指摘を頂きましたので、訂正いたします。 厳密には、EDoS攻撃でした。 AWS Shield Standard AWSを利用した場合、defaultでAWS Shiel
安くなくても採用が2年間で3倍に、SASEは日本企業のセキュリティーを変えるか
日本企業は欧米と比べてセキュリティー技術の採用が遅れている――。セキュリティー分野の原稿を執筆するとき、記者はついこんな表現を挿入しがちだ。だが最近は注意しないといけない。日本企業の採用が相次ぐ技術が出てきたからだ。「SASE(セキュア・アクセス・サービス・エッジ、サシー)」と呼ばれるサービスである。 SASEは各種のセキュリティーやネットワークの機能を統合して提供するクラウド型のサービス。マルウエアのダウンロードや危険なWebサイトへの接続を遮断する「セキュアWebゲートウエイ」や、IDを基に社内外の通信の可否を制御する「ZTNA(ゼロ・トラスト・ネットワーク・アクセス)」、クラウドの通信を可視化・制御する「CASB(クラウド・アクセス・セキュリティー・ブローカー、キャスビー)」などの機能を備える。 米ガートナーが2019年に提唱してから3年と歴史の浅いサービスにもかかわらず、日本企業の
DNSリバインディング(DNS Rebinding)対策総まとめ
サマリ DNSリバインディングが最近注目されている。Google Chromeは最近になってローカルネットワークへのアクセス制限機能を追加しており、その目的の一つがDNSリバインディング対策になっている。Googleが提供するWiFiルータGoogle Nest WiFiはデフォルトでDNSリバインディング対策機能が有効になっている。 DNSリバインディング対策は、攻撃対象アプリケーションで行うべきものであるが、ブラウザ、PROXYサーバー、リゾルバ等でも保護機能が組み込まれている。本稿ではそれら対策機能の状況と対策の考え方について説明する。 DNSリバインディング(DNS Rebinding)とは DNSリバインディングはDNS問い合わせの時間差を利用した攻撃です。DNSのTTL(キャッシュ有効期間)を極めて短くした上で、1回目と2回目の問い合わせ結果を変えることにより、IPアドレスのチ
ゼロトラストをベースにセキュリティを考えてみた - Gaudiy Tech Blog
こんにちは!エンタメ領域のDXを推進するブロックチェーンスタートアップ、Gaudiyでエンジニアをしている土居(@taro_engineer)です。 最近はバックエンドからインフラ周りを担当していますが、今回は「ゼロトラスト」の考えをベースにしたセキュリティの構築をテーマに書いてみたいと思います。 ゼロトラストの定義やセキュリティに関する説明は難しい部分もあるので、正直このテーマで書くべきか僕自身も悩みました(笑)。 ただ、今回導入を検討するにあたり、ネットを調べてもほとんど実例が見当たらなかったので、僕らが調べたことや考えたことがどなたかのご参考になれば嬉しいです。 1. Gaudiyのマイクロサービスアーキテクチャ 2. セキュリティを「今」考えるべき理由 3. ゼロトラストとGaudiyでの採用背景 3-1. ゼロトラストとは? 3-2. BeyondCorpとBeyondProd
CORSの仕組みをGIFアニメで分かりやすく解説
クロスオリジンのリクエストを安全にするための同一生成元ポリシーとオリジン間のリソース共有(CORS)の仕組みをGIFアニメで解説した記事を紹介します。 ✋🏼🔥 CS Visualized: CORS by Lydia Hallie 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記事は、元サイト様にライセンスを得て翻訳しています。 はじめに ✋🏼同一生成元ポリシー(Same-Origin Policy)とは 🔥クライアントサイドのCORS 💻サーバーサイドのCORS 🚀プリフライト リクエスト(Preflighted Requests) 🍪認証 はじめに 「Access to fetched to fetched has been blocked by CORS policy error」と赤い文字がコンソールに表示されると、デベロッパーなら誰でもフラストレーションが
NURO光はセキュリティ的にやばいって話 (安全に使うための方法) - Qiita
要約 NUROひかりのHGWはデフォルトでIPv6ファイアウオール機能が 無効 または 未搭載 の可能性がある ので、そのまま使うと家庭内LANがインターネットから見えちゃうからちゃんと設定か対策して使おうぜって話。 このドキュメントの対象とする人たち 何も考えずに速度が速いだけでNURO光を使っている、「いんたぁねっとが何かよく分かっていない」人向けです。 ネットワークやセキュリティを理解していて、自分のルータでセキュリティを維持しつつ使える!って人には全く関係ない話なので気にしなくていいです。読まなくていいです。 IPv6 と IPv4 のセキュリティ ここでは IPv6 と IPv4 のアドレスが割り当てられたPCやスマホとかがインターネットからどう見えるのか?について説明します IPv4 の場合 一般的にIPv4アドレスは1契約につき1アドレスが付与され、それをルータ呼ばれる機器を
「Tポイント」でなりすましログインによるポイントの不正利用
Tポイントを運営するTポイント・ジャパンは、Tポイント提携先でなりすましログインによる不正利用が確認されたと報告した。 Tポイント不正利用を発表 悪意ある第三者が、TSUTAYAアプリのモバイルTカードを提示して、Tポイントを不正利用する事象が確認されたとしている。同社はこの問題を受けて、モバイルTカードでのポイント利用時にTカードの提示を求める場合があると説明している。Tカードの提示が難しい場合は、ポイントの利用ができない場合もあるという。 またTSUTAYAアプリログイン時のセキュリティ強化を実施するとともに、不正ログインの疑いがあるユーザーのログインIDを停止する措置も行うとしている。 同社はTポイント利用者に、身に覚えがないポイントの利用履歴がないか確認するよう呼びかけ。利用履歴はTサイトから確認できる。身に覚えがないポイント利用があった場合は、お問合せフォームから連絡できる。 な
AWS運用でよく聞く不安とその対策を書き出してみた | DevelopersIO
はじめに 皆さまがシステムを運用にするあたり、様々な不安を抱えていらっしゃると思います。 そういったよくある「不安」を書き出し、解消するための対策や参考ページなども記載しましたので、本記事をご覧いただいている皆さまには抱えている不安を淡々と潰していただければと思います。 【ケース1】大量のアクセスによる高負荷への不安 近日中に Web サイトの広告を出す予定だが、現状のままで増加するアクセスに対応できるのか不安がある 以下のような対策が考えられます ELB(Elastic Load Balancing)を使用し、Webサーバー(Amazon EC2)の複数台構成にする アクセス数や負荷に応じて自動で Webサーバー(Amazon EC2)の台数を増やす(スケールアウト)、減らす(スケールイン)ために AWS Auto Scaling を使用する ELB の暖機申請(予め AWS へ連絡して
ぬいぐるみから80万人のユーザー情報が流出、つながる玩具に警鐘
「ほかにも多数のつながる玩具に深刻な脆弱性が存在しているのは間違いない。メーカーや保護者の知らないうちに不正アクセスされ、データが盗まれているかもしれない」と研究者は警鐘を鳴らしている。 インターネットに接続して、親子で音声メッセージをやりとりできる玩具から、ユーザー80万人あまりの情報が流出していたことが分かったとして、セキュリティ研究者が調査結果を公表した。この玩具を使って交わされた、親子間の会話200万件あまりも流出した可能性があるといい、同じような脆弱性は他の玩具にも存在するかもしれないと警告している。 問題が報告されているのは玩具メーカーの米Spiral Toysのぬいぐるみ「CloudPets」。離れた所にいる家族がスマートフォンのアプリを使ってCloudPets経由で子供と音声メッセージをやりとりできる。 この玩具からの情報流出に関する調査結果は、セキュリティ研究者のトロイ・
【11月第3週】セキュリティ関連ニュース。拡大するランサムウェア被害
最近話題にのぼったセキュリティ関連のニュースを取り上げます。 フィッシングメールやランサムウェアの頒布などの攻撃が続いています。 近頃は不自然ではない日本語による攻撃メールも届いており、 件名だけでは瞬時に判別するのが難しいものも登場しつつあります。 どのような内容の攻撃が出回っているのか、まずは現状を把握することが大切です。 不正ログイン試行を騙ったフィッシングメール 『NEXONをかたるフィッシングメールが出回る、フィッシング対策協議会が注意喚起』 (2016年11月21日INTERNET Watch記事より) 件名は「【警告】異常な回数のログイン試行がありました」というもの。 オンラインゲームサイトのNEXON(ネクソン)のサポートを騙った このメールは、不正なログイン試行があったとしてフィッシング サイトへのリンクに誘導、情報を盗み取ろうとするものです。 不正なサイトは正規のサイト
【お知らせ】不正アクセスによるお客様契約情報流出に関するお詫びとご報告 | 新着情報| レンタルサーバーのカゴヤ・ジャパン
弊社システムへの不正アクセスに関するFAQ お客様各位 カゴヤ・ジャパン株式会社 代表取締役 北川貞大 不正アクセスによるお客様契約情報流出に関するお詫びとご報告 このたび、弊社がお客様に提供しております契約情報データベースサーバーに対し第三者による 不正アクセスがあったことが発覚し、不正アクセスの全容解明ならびに被害状況の調査を進めてま いりました。 調査の結果、サーバーに保管していたお客様のクレジットカード情報を含む個人情報が不正アクセ スにより外部に流出した可能性があることが判明いたしました(以下、「本件」といいます)。 本件の詳細につきましては、下記のとおりご報告いたしますとともに、 お客様ならびにご関係者の 皆様に、多大なるご不安とご迷惑をお掛けいたしますこと、ここに深くお詫び申し上げます。 記 1.事案概要 (1)流出の対象期間:2015年4月1日~2016年9月21日 ※脆弱
【悲報】auかんたん決済 21歳にかんたんに不正アクセスされ被害数千万円か
1: キングコングニードロップ(dion軍)@\(^o^)/ [CN] 2016/11/07(月) 12:44:05.26 ID:u2qDhJYK0.net BE:448218991-PLT(13145) 大手通信会社KDDIの「auかんたん決済」と呼ばれる携帯電話を使った代金決済システムに、他人になりすまして不正にアクセスし代金を決済していたなどとして、都内の21歳の男が逮捕されました。警視庁は、契約者が気付かないうちに代金を勝手に決済されてしまい、被害は全国で数千万円に上るのではないかと見て調べています。 警視庁によりますと、KDDIの「auかんたん決済」と呼ばれる携帯電話を使った代金決済システムに、他人になりすまして不正にアクセスし、登録した有料の映像配信サイトの代金を勝手に決済していたなどの疑いが持たれています。 「auかんたん決済」は、インターネットで購入した商品やサービスの代金
無償SSLサーバー証明書Let's Encryptの普及とHTTP/2および常時SSL化 2ページ | OSDN Magazine
Let’s Encryptで証明書を取得する Let’s Encryptでの基本的な利用手順をまとめると以下のようになる。 Gitを導入 証明書取得ツールを導入 /.well-known/のアクセス確認 root権限のあるユーザーで証明書取得ツールを実行して証明書を取得 取得した証明書をWebサーバーに適切に設定する (証明書更新用のスクリプトなどをcronなどに仕掛ける) Let’s Encryptでのドメイン認証は、Webサーバーに認証用のファイルがあるかどうかでチェックしている。 図5 証明書取得ツールの動作 ドメイン認証の際、証明書取得ツールの実行によってドキュメントルートへの動的書き込みが発生することになるので、基本的には証明書取得ツールはWebサーバー上で実行することになる(Webサーバーと証明書を取得するサーバーを分ける例については後述)。認証用ファイルが設置される場所はドキ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Twitter、イーロン・マスク氏に全投稿のアクセス権 買収前進狙い - 日本経済新聞
「Webmin」の脆弱性を標的としたアクセスを警察庁が観測 
