宅食「ナッシュ」に不正アクセス、約6000件の顧客情報流出か ランサムウェアに感染
ナッシュで約6000件の顧客情報が流出した可能性がある分かった。ランサムウェアにより社内PCの一部に保存されていた情報が暗号化され、一部システムに障害が発生した。 食事宅配サービス「ナッシュ」を展開するナッシュ(大阪市北区)は1月4日、第三者によるランサム攻撃を受け、約6000件の顧客情報が流出した可能性があると発表し、謝罪した。社内PCの一部に保存されていた情報が暗号化され、一部システムに障害が発生した。 問題を認識したのは2022年12月21日。社内システムで障害が発生したため調査したところ、ランサムウェアを使った不正アクセスとデータの暗号化があったと分かった。 暗号化されたのは当該PC内のデータのみ。顧客の氏名や会社名、住所、電話番号など6184件が第三者に閲覧された可能性がある。影響を受けた可能性がある顧客には個別に連絡済み。情報の不正利用などの二次被害は確認されていないという。
「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練
「アイティメディアの高橋と申します。今、Twitter上で、御社から顧客情報が漏えいしているのではないかという書き込みが複数流れているのですが、どういうことでしょうか?」──もし広報の窓口にこんな問い合わせが来たら、皆さんの会社ではどう対応するだろうか。クラウド型会計・人事サービスを提供するfreeeではこんな風に、広報や営業・顧客対応も含めた包括的な障害対応訓練を実施した。 顧客・マスコミなど社外とのやりとりにもフォーカス freeeには2018年10月、会計処理の集中する月末に2時間半にわたってサービスが停止するという大障害を発生させてしまった苦い経験がある。その反省を踏まえ、記憶を風化させず、いざというときに適切な対処を迅速に取れるよう、全社にまたがる障害対応訓練を毎年10月に実施している。 21年の障害対応訓練は、今まさに猛威を振るうランサムウェアを題材にしたものだった。サプライチ
「gmail」ドメインを「gmai」と誤記、10カ月気付かず2000件超の情報漏えいか 埼玉大が「ドッペルゲンガー・ドメイン」の毒牙に
2021年5月6日から22年3月3日にかけて、4890件のメールを誤配信していた。一連のメールには、教員の氏名・メールアドレスなどが485件、学生の氏名、学生番号、メールアドレスなどが849件、学外関係者の氏名、メールアドレスなどが788件含まれていたという。漏えいした可能性がある情報の悪用は確認していない。 @gmai.comなどタイプミス・誤認識しやすいドメイン名は「ドッペルゲンガー・ドメイン」とも呼ばれる。ユーザーが誤ってアクセスしたり、メールを誤送信したりするのを狙って取得されたものもある。 通常、存在しないアドレス宛てのメールにはエラーメッセージが返送されるので、タイプミスなどがあった場合は誤送信に気付ける。一方、ドッペルゲンガー・ドメイン宛てのメールは全て受信されてしまい、エラーメールが返ってこず、ミスに気付きにくい。 埼玉大も22年3月3日までタイプミスに気付かずメールを転送
ニトリ、不正アクセスで13万2000件の個人情報流出か リスト型攻撃で
家具大手のニトリは9月20日、スマートフォンアプリ「ニトリアプリ」において不正アクセスが発生したと発表した。約13万2000アカウントが不正ログインを受け、個人情報の一部が流出した可能性があるとしている。 不正ログインは9月15日から20日まで発生。19日に流出が判明したという。対象ユーザーは、ニトリネット/ニトリアプリ/シマホアプリで会員登録したユーザーの他、シマホネットでニトリポイントの利用手続きをしたユーザー。 攻撃手法は、ニトリ以外のサービスから流出したユーザーIDとパスワードを使って不正ログインを仕掛ける「リスト型アカウントハッキング」(リスト型攻撃)と推測。ニトリネットのニトリアプリ認証プログラムに対して仕掛けられたとする。 流出した可能性のある個人情報は、メールアドレス、パスワード、会員番号、氏名、住所、電話番号、性別、生年月日、建物種別(戸建/集合住宅)、エレベーターの有無
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。 第三者委員会調査報告書(公表版) クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省) 本稿では、主に第三者委員会の調査報告書(以下「報告書」と表記)をベースとして、この事件の攻撃の様子を説明します。 システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。 図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。 サーバ名概要 A社アプリ一般社団法人A 会員向け申込みフォーム 経産省改善命令では、「同社とコンビニ決済に係る契約を締結してい
海外製ルータの脆弱性検証 - ラック・セキュリティごった煮ブログ
※こちらの記事は2020年10月5日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です デジタルペンテストサービス部の魚脳、3dbd、カペルです。 コロナの影響で出社の機会が減った昨今、皆様いかがお過ごしでしょうか。リモートワークが広まってからというもの、ルータをはじめとするネットワーク機器の売り上げが好調らしいですね。いまやAmaz〇nで探せば5000円以下で買える海外製ルータがゴロゴロ見つかります。ポチれば数日後には手元に届く。本当に便利な時代になったものです。 でもそのルータって本当に安全なのでしょうか? あまりにも安すぎる、何かあるのでは?そもそも海外製のルータってセキュリティ面はどうなの?といった疑問に答えるべく、今回は安価で手に入れた海外製ルータの脆弱性検証を行ってみました。 ルータの役割 そもそもルータって何のための機器か良く分からない、という方のために説明し
東京五輪サイバー攻撃「想定内」 アクセス4.5億回―運営支障なく・組織委責任者:時事ドットコム
東京五輪サイバー攻撃「想定内」 アクセス4.5億回―運営支障なく・組織委責任者 2021年12月12日07時09分 東京五輪・パラリンピックで、大会組織委員会のセキュリティー担当者が勤務した「テクノロジーオペレーションセンター」の様子。大会期間中はサイバー攻撃などに24時間態勢で対応した(組織委提供) 今夏の東京五輪・パラリンピックをめぐり、大会組織委員会には約4億5000万回の不審なアクセスや幹部を装った偽メールといったサイバー攻撃があったが、運営に支障はなかった。組織委のサイバーセキュリティーの責任者は「攻撃は想定の範囲内。時間をかけて地道な準備を徹底したことが成功の要因だ」と強調した。 【詳報】4.5億回ものサイバー攻撃を防いだ組織委責任者が明かす 東京五輪 責任者はNECネクサソリューションズ(東京都港区)の中西克彦氏(45)。2015年から組織委に出向し、担当部長としてサイバー攻
セキュリティを一切考慮しないMMORPGを開発するとどうなるか
どうもご無沙汰しております。本Blogが私の年1回の生存報告、兼、アドベントカレンダー用と相成って久しいですが、今年も一発恒例行事として筆を取らせていただきたいと思います。 今年、私が話題に取り上げますのは、とあるゲームです。Amazon Game Studiosという会社が開発・リリースしました、New WorldというMMORPGについてご紹介させていただきたいのです。ゲームの話題には一切興味がない読者諸君も、どうか少し我慢して、私に騙されたと思って最後まで話を聞いていただけませんでしょうか。そもそも、あのAmazonが開発したMMORPGというのですから、どれほどゲームに興味がなくても、技術に興味のある方でしたら、少しは興味深く感じられるのではないでしょうか? けして後悔はさせませんよ。悪い方向にね。 さて、ゲームに何ら興味知識のない方にもわかるように少し解説を入れさせていただきます
‘Master Faces’ That Can Bypass Over 40% Of Facial ID Authentication Systems
‘Master Faces’ That Can Bypass Over 40% Of Facial ID Authentication Systems Researchers from Israel have developed a neural network capable of generating ‘master' faces – facial images that are each capable of impersonating multiple IDs. The work suggests that it's possible to generate such ‘master keys' for more than 40% of the population using only 9 faces synthesized by the StyleGAN Generative
約30万人のIDカードの顔写真データが流出(エストニア、欧州) | ビジネス短信 ―ジェトロの海外ニュース
エストニア国家情報システム庁(注)は7月28日、国民IDカードに登録されている28万6,438人分(エストニアの全人口の約2割に相当)の顔写真データが、ハッカーによって不正にダウンロードされたと発表した。同庁の発表によると、容疑者は偽のデジタル証明書を使用した上で、国家情報システム庁が運営する写真転送サービスのセキュリティ脆弱(ぜいじゃく)性を悪用し、個別に問い合わせを行うことで顔写真データを取得したとのこと。同庁は不正使用が発覚した直後に写真転送サービスを停止し、セキュリティ上の欠陥を修正した。また、警察は7月23日に同国の首都タリンで容疑者を逮捕した。 今回は容疑者がエストニアで活動していたため、容疑者を迅速に逮捕することができたと、国家刑事警察のサイバー犯罪局のオスカー・グロス局長は述べている。警察の捜索の結果、容疑者が所持していたデータベースからはダウンロードされた顔写真、氏名や個
‘-‘ という名前の、中身が無いのに70万回ダウンロードされてる謎のnpmパッケージ
– という名前の JavaScript/TypeScript パッケージについて警告を発している記事が話題となっています。 このパッケージ、中身はほとんど空で、Readme と、dev で TypeScript を動かせるようにするライブラリ群を呼ぶ箇所だけのもの。 しかし、この “-” を使っている他の npm パッケージが 50個以上あり、約一年前の公開時からのトータルのダウンロード数は72万回にもなります。 しかし、”-” を読み込んでいるパッケージを見てみても、”-” が必要そうには見えません。 警告記事では、この無名のパッケージが密かに使われるようになった原因が、npm コマンドのコマンドラインを打つときのミスタイプにあるのではないかとの仮説を立てています。 つまり、someFlag というオプションを使い npm i -someFlag somepackage と打つべきところ
読売新聞子会社でクレカ情報流出 すでに767万円の金銭的被害も確認
事態を受け、読売情報開発大阪は各カード会社に、情報が漏えいした可能性のある人に不正利用分の金額を請求しないよう要請。今後、追加の被害を確認した場合にも、同様の対応を取るとしている。 読売情報開発大阪はよみファネットをすでに閉鎖。6月24日には大阪府警に、28日には個人情報保護委員会に詳細を報告した。今後はセキュリティや不正アクセスへの監視体制を強化し、再発防止に努めるとしている。 同社が不正アクセスの可能性に気付いたのは3月2日。契約している決済代行事業者から流出の可能性を指摘されたため、よみファネットの全サービスを停止して調査したところ、不正アクセスを受けていたことが4月13日に発覚した。情報漏えいや、不正利用の可能性も明らかになったという。 読売情報開発大阪は発表が遅れた理由について、漏えいした可能性のある件数を特定するのに時間がかかっていたと説明。情報が流出した可能性のあるユーザーに
Please, don't use equality operator when comparing password hashes | Nowhere Reference - Random thoughts in the wild.
Please, don't use equality operator when comparing password hashes As you saw in the title, you shouldn’t be using the equality operator to compare password hashes, and you may ask why? The answer to that question is that it will open your application to timing attacks because of how the equality operator works. In the following sections, I will talk about timing attacks, how the equality operator
機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました (METI/経済産業省)
経済産業省では、セキュリティ検証サービスの高度化を目的とし、検証サービス事業者及び検証依頼者が実施すべき事項や、二者間のコミュニケーションにおいて留意すべき事項等について整理した「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公開しました。 背景・趣旨 経済産業省は、平成29年12月に「産業サイバーセキュリティ研究会」を設置し、ワーキンググループ3(サイバーセキュリティビジネス化)において、日本発のサイバーセキュリティビジネスの成長促進に向け、検討を行ってきました。 我が国が提唱する「Society 5.0」は、IoT機器等を通じてサイバー空間とフィジカル空間が高度に融合することによって、新たな価値が生み出していくものです。しかしその一方で、サイバー空間とフィジカル空間が相互に作用しあうことで、サイバー攻撃がフィジカル空間に及ぼす影響も増大していくことを意味しており、サ
twitterアカウント@yanmaが乗っ取られた - yanma
字下げ.iconTwitterで拡散され始めているため、誤解のないように補足しておきます。私のアカウントが乗っ取られたことは事実ですが、私はTwitterのセキュリティ設定のうち、「2要素認証」と「追加のパスワード保護」をいずれもデフォルト設定のままOFFにしていました。これらのいずれか一つでもONになっていた場合、今回の手口は使えない可能性があります(Twitterのセキュリティ周りの仕様が不明なため推定)。 字下げ.iconしかし、「2要素認証」はともかくとして、「追加のパスワード保護」がデフォルトでOFFになっているのはWebサービスのセキュリティ上正しい設計なのかどうかかなり疑問です。私はこの設定の存在を知らず、パスワードのリセット要求がされると少なくとも一回はログインアラートが来て阻止するチャンスがあると考えていました。
当社利用のドメイン登録サービスにおける不正アクセスについて(最終報)
第一報(2020年11月16日付)、第二報(2020年11月18日付)に関してはこちらよりご確認ください。 QUOINE株式会社(本社:東京都千代田区、代表取締役:栢森 加里矢、以下当社)は、2020年11月に発生した不正アクセスに関する事象について、さらに調査を進めた結果を以下のように報告致します。 このような事態が発生し、お客様に多大なご迷惑をおかけしましたことをあらためて深くお詫び申し上げます。 なお本事案に関しましては適宜監督官庁へ報告を行っております。 1.調査結果 2020年11月13日(金)に発生した当社アカウント・ドメインの登録情報が悪意のある第三者(以下、第三者)に変更されたことにより、当社のシステム・インフラの一部に不正アクセスが可能になった事案について以下のように報告致します。 データ格納業者の協力も含めて、綿密な社内調査と分析を行いました。 その結果、お客様の個人情
【独自】「レクサスLX」愛知で5台に1台が盗難、解体され海外にも持ち出しか : 社会 : ニュース : 読売新聞オンライン
新車価格が1000万円を超えるトヨタの高級車「レクサスLX」の盗難被害が今年、愛知県内で急増し、11月末時点で100台に達したことが県警への取材でわかった。LXの県内の登録台数は557台(2019年3月末時点)で、およそ5台に1台が盗まれている。県警は解体されて海外にも持ち出されているとみて警戒を強めている。 LXは5年前に販売が開始されたスポーツ用多目的車。悪路に強く海外でも人気が高い。電子キーの電波を増幅・中継してドアを解錠する「リレーアタック」などの手口で盗まれているとみられ、捜査幹部は「異常事態。窃盗グループの目に留まれば被害に遭っている状況」と危機感を募らせる。 県警はパトロールを強化し、販売店を通じて注意喚起もしているが、LXの被害は昨年の51台から倍増。他車種に比べ、被害車両の目撃情報はほとんどなく、捜査関係者は関東や関西に運んで解体し、海路で運び出している可能性を指摘。盗難
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メタップス、クレカ情報最大46万件漏洩事件で脆弱性診断の改ざんまでバレた子会社に業務改善命令 : 市況かぶ全力2階建
トヨタ関連6万社のうち、1社のセキュリティー破られ…「賭けはできない」全工場停止
LINE、台湾要人の情報流出 政治家・軍など100人以上 - 日本経済新聞
