中国企業が「世論工作システム」開発か、Xアカウントを乗っ取り意見投稿…ネットに資料流出【読売新聞】 中国政府と取引関係にあるIT企業(本社・上海)が、X(旧ツイッター)のアカウントを通じて、世論工作を仕掛けるシステムを開発した疑いがあることがわかった。このシステムを紹介する営業用資料とみられる文書がインターネットに流
「日銀が宮崎駿さんを提訴」などと掲載…悪質すぎる「偽ニュースサイト」に要注意、絶対にクリックしないで! - 弁護士ドットコムニュース
弁護士ドットコム 消費者被害 「日銀が宮崎駿さんを提訴」などと掲載…悪質すぎる「偽ニュースサイト」に要注意、絶対にクリックしないで!
Twitterカードが貼られたツイートはすべて詐欺です、という時代 - Qiita
最近見つけた現象で既に論じられているかと思ったがちょっと解説が見つからなかったのでまとめておく。 手短に X(旧Twitter)クライアントで表示されるTwitterカードについてカードに表示されるドメインとは違うページにリンクさせる手法が存在する この手法は第三者のTwitterカードを利用することができる つまり悪用者は第三者のTwitterカードを表示させながら自身の意図するページに閲覧者を誘導することができる これはフィッシングの手法になりうる 見つけたツイート 以下のツイートはGoogle、Bloomberg、日経ビジネスのTwitterカードが添付されているがクリックするとそれらとは異なる情報商材サイトにジャンプする。リンク先に危険な仕組みはないと思われるがクリックは自己責任で。念を入れたい人は curl -L で。 PCブラウザでカーソルを合わせてもXの短縮URLサービスであ
Xがユーザーの生体情報や職歴・学歴も収集へ-ポリシー改定
ソーシャルネットワークのX(旧ツイッター)は、プライバシーポリシーを改定し、新たに生体情報なども収集する方針を示した。 同社は新たなポリシーで、「ユーザーの同意に基づき、当社は安全およびセキュリティーの確保や、身元確認を目的にユーザーの生体情報の収集や使用を行う」ことがあると説明。Xは何を生体情報と見なすかは定義していないが、他社は人の顔や目、指紋から得られるデータを指す言葉として使用している。 Xの担当者は新たなポリシー改定を確認したが、それ以上の説明は行わなかった。 ソーシャルメディア各社は以前から、個人の関心や検索履歴に合わせた広告の販売など、収集する情報やそのデータの使用方法を巡り、世界中のユーザーや規制当局から批判を受けてきた。Xがどのように生体情報を収集し、それをどう使用する可能性があるかは不明だ。 Xはユーザーの職歴や学歴に関する情報も収集する方針を示している。改定版プライバ
中国軍、日本の最高機密網に侵入 情報共有に支障―米報道:時事ドットコム
中国軍、日本の最高機密網に侵入 情報共有に支障―米報道 2023年08月08日07時08分配信 ポッティンジャー前米大統領副補佐官(国家安全保障担当)=2022年7月、ワシントン(EPA時事) 【ワシントン時事】米紙ワシントン・ポスト(電子版)は7日、中国人民解放軍のハッカーが日本の防衛省の最も機密性の高い情報を扱うコンピューターシステムに侵入していたと報じた。2020年秋に米国家安全保障局(NSA)が察知し、日本政府に伝達した。しかし、日本のサイバー対策は依然として十分ではなく、日米間の情報共有の支障となる可能性が残っている。 米大使らのメール流出か 中国発サイバー攻撃で―報道 同紙によると、中国軍によるネットワーク侵入は「日本の近代史上、最も有害なハッキング」となった。元米軍高官は「衝撃的なほどひどかった」と語ったという。 報道では、米政府は20年秋、当時のポッティンジャー大統領副補佐
「gmail」ドメインを「gmai」と誤記、10カ月気付かず2000件超の情報漏えいか 埼玉大が「ドッペルゲンガー・ドメイン」の毒牙に
2021年5月6日から22年3月3日にかけて、4890件のメールを誤配信していた。一連のメールには、教員の氏名・メールアドレスなどが485件、学生の氏名、学生番号、メールアドレスなどが849件、学外関係者の氏名、メールアドレスなどが788件含まれていたという。漏えいした可能性がある情報の悪用は確認していない。 @gmai.comなどタイプミス・誤認識しやすいドメイン名は「ドッペルゲンガー・ドメイン」とも呼ばれる。ユーザーが誤ってアクセスしたり、メールを誤送信したりするのを狙って取得されたものもある。 通常、存在しないアドレス宛てのメールにはエラーメッセージが返送されるので、タイプミスなどがあった場合は誤送信に気付ける。一方、ドッペルゲンガー・ドメイン宛てのメールは全て受信されてしまい、エラーメールが返ってこず、ミスに気付きにくい。 埼玉大も22年3月3日までタイプミスに気付かずメールを転送
声を“匿名化”するシステム「V-CLOAK」 人間っぽさを残した声に変換、声紋の個人情報漏えいを防ぐ
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 中国のZhejiang UniversityとWuhan Universityの研究チームが発表した論文「V-CLOAK: Intelligibility-, Naturalness- & Timbre-Preserving Real-Time Voice Anonymization」は、音声の明瞭性と自然性、音色を保持したまま、リアルタイムに音声を匿名化するシステムを提案した研究報告だ。機械的な声ではなく人間っぽさを残した声に変換し、声紋から個人が特定されることを防ぐ。 声紋は、個人を一意に特定できる重要なバイオメトリクスだ。一方でオンラインサービスによって膨大な音声データを収集・処理で
見分けが不可能な偽サイトがGoogle検索最上位に堂々と表示されてしまう、「i」をURLに含む全てのサイトが信用できなくなる極悪手法
Googleは独自のルールに従って検索結果の表示順位を決めていますが、Googleの広告枠を購入すれば任意のウェブサイトを検索結果の最上部に表示することができます。この広告枠を悪用して人気画像処理ソフト「GIMP」の公式サイトになりすました偽サイトが検索結果の最上部に表示されてしまう事態が発生しました。偽サイトはドメインの見た目までソックリで、インターネットに慣れている人でも見分けることは困難となっています。 Dangerous Google Ad Disguising Itself as www.gimp.org : GIMP https://www.reddit.com/r/GIMP/comments/ygbr4o/dangerous_google_ad_disguising_itself_as/ Dangerous Google Ad Disguising Itself as www
至急、Windows Updateの適用を - IPA
情報処理推進機構(IPA: Information-technology Promotion Agency, Japan)は1月13日、「Microsoft 製品の脆弱性対策について(2021年1月):IPA 独立行政法人 情報処理推進機構」において、Microsoftから提供された2021年1月の修正プログラムを至急適用するように呼びかけた。修正対象となっている脆弱性「CVE-2021-1647」を悪用した事実が確認されており、今後被害が拡大するおそれがあると指摘している。 Microsoft 製品の脆弱性対策について(2021年1月):IPA Windows Updateの利用方法ついては次のサイトが紹介されている。 Windows Updateの利用的– Windows 10の利用– Microsoft Security Response Center Windows Update
テレワークで利用者急増のZoom、安全性には問題だらけ
<テレワークやオンライン授業のため利用者が急増中のビデオ会議アプリだが、セキュリティーとプライバシー保護の甘さから炎上中> 新型コロナウイルスの感染拡大によってテレワークやオンライン授業が激増するなか、テレビ会議アプリ「ズーム(Zoom)」の人気が急上昇中だ。しかし専門家からは、セキュリティーやプライバシー保護の問題点が次々に指摘されている。 ズームを提供するズーム・ビデオ・コミュニケーションズ社によれば、昨年12月には1日当たり約1000万人だった利用者が、今年3月には約2億人に急増した。利用者の増加はネットセキュリティー専門家の関心も集め、調査によって安全面の不安要因が次々と浮上している。 米ニューヨーク州のレティシャ・ジェームズ司法長官は3月30日にズームに書簡を送り、高まる需要に対応するには「現在のセキュリティーでは不十分だ」と不満を述べた。 同日、FBIは「ズーム・ボミング(爆撃
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影:7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。 Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。
【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か
Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。 開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった「セキュリティー不備」につながる慌ただしい開発現場の姿が浮かび上がる。 7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン&アイHDが記者会見で被害推定額を「約5500万円」と発表。同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。 セブン&アイHDはセキュリティー対策の甘さへの指摘を受ける形で、5日にはセキュリティー対策強化を目的とした新組織発足と二段階認証導入、1回あたりのチャージ
「7pay」 不正アクセスで中国人逮捕 組織解明へ | NHKニュース
不正アクセスの被害が相次いだ、スマホ決済サービス「7pay」をめぐって、利用者になりすまし、20万円分の商品をだまし取ろうとしたとして、中国人2人が逮捕されました。「指示されてやった」と供述しているということで、警視庁は一連の被害との関連を調べています。 警視庁によりますと、2人は3日、新宿・歌舞伎町のセブンイレブンで「7pay」の利用者のIDとパスワードを不正に使い、電子タバコのカートリッジ20万円分をだまし取ろうとした詐欺未遂の疑いが持たれています。 決済を終えると「あとで商品を取りに来る」としていったん店を出ましたが、不正に使われた記録に気付いた利用者が、セブンイレブン側に相談したということです。 その後、戻ってきたところを、通報を受け駆けつけた警察官に逮捕されました。 警視庁によりますと、調べに対して張容疑者は容疑を認め、「通信アプリで指示されてやった。店に入る直前に7、8人分のI
セブンペイ、抱えていた「不発弾」の代償
セブン&アイ・ホールディングスが7月1日に開始したスマホ決済サービス「7pay(セブンペイ)」で不正アクセス被害が発生した。SNS上で「30万円を不正利用された」「19万円を不正にチャージされて使われた」などの被害が相次いで報告され、セブン&アイは7月3日にクレジットカードとデビットカードからの入金手続き停止を発表。7月4日には全ての入金手続きを止めた。セブン&アイの発表によると、7月4日の午前6時時点の試算で被害者は約900人、被害額は約5500万円に上る。 4日に会見したセブン&アイ傘下のセブン・ペイの小林強社長は「詳細な原因を調査中」と話した。だが、原因の一つとしてセブン-イレブン・ジャパンのアプリ「セブン-イレブンアプリ」が使っていた会員システム「7iD」のお粗末ともいえる仕様が考えられる。 セブンペイはこれまでもあったセブン-イレブンアプリに決済機能として組み込まれた。セブン-イ
7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - エキスパート - Yahoo!ニュース
セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。 メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できることが判明したのです。 さらにSMS認証など2つ目の認証がないため、第三者が乗っ取ることも可能になります。 7payクレジットカード不正利用が7月3日から発生7月3日早朝から、セブンイレブンの7payでクレジットカード不正利用の被害が出ています。Twitterで複数の人が報告しているもので、3日午前中にはセブンイレブンも注意喚起を出しました。 7payに関する重要なお知らせ(セブンイレブン) クレジットカードからのチャージは止めていますが、決済機能自体は生きています。現時点では原因は発表されていません。 パスワードリスト攻撃(
兵庫県警、サイト訪問者の情報を約3年にわたり無断収集か ネットユーザーの指摘で物議 → 翌日削除も告知なし
兵庫県警のWebサイトで、2016年から約3年にわたり、利用者の訪問データを無断で収集していたことが分かりました。インターネット上での指摘がきっかけで発覚したもので、兵庫県警はその後、当該コード部分をサイトから削除しましたが、今のところ告知や謝罪などは行われていません。編集部では兵庫県警にコメントを求めました。 兵庫県警が使用していたのは、Googleが提供しているアクセス解析ツール「Googleアナリティクス」。これ自体は多くのサイトで使われているごく一般的なツールですが、利用規約ではデータ収集のためにCookieを使用していることや、Googleアナリティクスを使用していることなどをサイト訪問者に開示するよう定めており、兵庫県警のサイトではこれを行っていませんでした。 web.archive.orgより、3月2日時点のアーカイブ。赤枠がGoogleアナリティクスが埋め込まれていた部分の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
TechCrunch
コインハイブ事件で無罪判決 弁護人「警察の暴走、食い止められることを願う」 - 弁護士ドットコムニュース
