ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
ネット時代の婚活方法! 婚活女性のための男性情報共有モバイルサイト「男の子牧場」を開始 - NIKKEI NET マネー&マーケット 企業からのお知らせ[IR]
1:ミツウロコG+12.15% 2:コカBJH+9.83% 3:フルサト+9.64% 4:九州リース+8.92% 5:東亜DKK+8.65% もっと見る
![ネット時代の婚活方法! 婚活女性のための男性情報共有モバイルサイト「男の子牧場」を開始 - NIKKEI NET マネー&マーケット 企業からのお知らせ[IR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/4ed221e21be35a2c3f944d7c858b6738e00bab43/height=288;version=1;width=512/https%3A%2F%2Fassets.nikkei.jp%2Frelease%2Fv3.1.78%2Fparts%2Fds%2Fimages%2Fcommon%2Ficon_ogpnkd.png)
発熱疑いの外国人女性が検疫ゲート突破…成田空港 社会:ZAKZAK
発熱疑いの外国人女性が検疫ゲート突破…成田空港 メキシコを中心に豚インフルエンザの感染者が広がる中、成田、関西両空港では水際での防止に躍起だ。成田空港のゲートでは、検疫所が体温を測定するサーモグラフィーを設置、検疫所の医師らが機内から降りる旅客に異常がないか呼び掛け、任意で体温などのチェックを行っている。 ただ、あくまで任意のため、ゲートをすり抜ける人も。成田空港に25日に到着したメキシコ発バンクーバー(カナダ)経由の航空機から降りた外国人女性は、サーモグラフィーの画面で顔が赤く表示されたが、関係者が体温の確認を要請しても、その場を立ち去ってしまったという。任意の壁が立ちはだかっているようだ。
3D画像ベースのCAPTCHAが実用化される | スラド
本家/.でも取り上げられていますが、SNSサイトのYUNiTi.comが3D画像を使ったCAPTCHAを実用化させました。従来の英数字ベースのCAPTCHAとは違い、YUNiTi.comのサイトには3つの立体の画像が表示されており、ユーザーに違う角度から見た同じ被写体を選択させることで認証を行うという仕組みです。 タレコミ子は、最近のCAPTCHAがボット排除のためにあまりにも見にくい英数字を生成するので、1回で通ったことはありませんでした。そのため、CNETの記事にある In the end, I'd rather have to prove that I am human than prove that I am not a machine. And yes, they are two different things. (私訳) とどのつまり、私がマシンでないことよりも、私が人間であ
BBCがTV番組内の実験でボットネットを使用、議論を呼ぶ | スラド
英国BBCが、コンピュータ犯罪の脅威を伝えるTV番組の中でボットネットを使用したデモンストレーションを行い、議論を呼んでいる(本家/.、The Register、読売新聞の記事)。 この番組「BBC Click」では、2万2,000台のゾンビPCを支配下に置くボットネットをアンダーグラウンドなサイトで入手。実際にそれを使用して、特定サイトへのDDoS攻撃や数千通のスパム・メール送信実験を行い、放映した(番組サイトの内容紹介/動画)。DDoSの攻撃対象サイトやスパム・メールの送信先アドレスは番組側で用意したものだったが、ゾンビPCの所有者に対しては無断で実験が行われた。また実験後、同番組はゾンビPCの壁紙を変更し、ボット感染を通知するメッセージを掲示している。 こうした行為に対し、英国の法律(Computer Misuse Act)に抵触しているのではとの指摘がなされている。番組側は「PC内
指定暴力団資料が流出 組織名簿や心構え、香典支給基準…
ファイル交換ソフトによる情報流出が相次ぐ中、指定暴力団関係者のものと思われるファイルの流出が確認され、大騒ぎになっている。流出したのは、構成員の名簿や、シフト表など。珍しいものでは、過払い金返還訴訟の訴状や、組織運営上の心構えを書いた「訓示」のようなものもある。 「通常の場合は香典50万円」 流出が確認されたのは、2009年2月27日ごろ。流出したファイルの内容を見る限りでは、指定暴力団「九州誠道会」(本部・福岡県大牟田市)の中心勢力である「村上一家」関係者のPCがウイルスに感染したものとみられる。 構成員の肩書き、電話番号などが一覧になった「連絡表」をはじめとする、名簿関係が多く流出している。また、「組織と運営」というファイルには、 「一家内での私闘は厳禁である」 「若い者が無益な事件を惹き起こし、これにより逮捕される場合もあり得る為、少しでも服役者が出ぬように努力に務める事」 「総長宛
ざれぶろ: サンシャインクリエイション42全体反省会レポート
サンシャインクリエイション42全体反省会レポート 参加レポートをアップするたびに、サンクリへの愛と忠誠を綴ってきた者として。 -- (16時20分) 「ちゃんと説明しろよ!」との怒号、カメラのシャッター音。 代表から「全体反省会は参加者全員による反省会です」「取材許可のない方の撮影、録音はご遠慮願います」とのアナウンス。文化会館4階のBホールに集合した参加者、スタッフは通常の3倍くらい。 (16時25分) 個人情報流出事件によって初めて参加する人が少なくないであろうことから、「全体反省会の元々の趣旨は、参加者皆で意見を出し合って運営に活かすことです」と、改めて代表のひとこと。 ところで、会場が使用できるのは17時まで。時間は限られていた。そして、 【16時27分】 代表が「時間はまだ少し早いですが」と断った上で、全体反省会ははじまった。 ■ サンシャインクリエイション42全体報告 特に大き
「社内の人間は安全だ」という神話
数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。 過去の連載記事はこちらで読めます! 最近、大手企業では清掃の回数が「作業の効率化」「無駄な間接費を極力減らす」という大義名分の下で減り、請け負う会社でも「仕事の邪魔にならないように」と、週末に実施する傾向が強まっているようです。当初は人海戦術で迅速にごみを回収していたものの、人件費を抑制するために人員を減らし、3人チームから2人チームに、ついには1人でフロア全体を清掃するという会社も少なくありません。その結果、とんでもない事を考える人が出てきました。 「社内なら安全」という油断 ある建築設計事務所では、コンペティションで発表する予定だった設計図が盗まれる事件が起きました。幸いにもシステムが異常を検知して事なきを得ましたが、
高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない
■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ
フィッシング業者に余計なメッセージを送るのは禁物
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008-09-01 07:07 偽の(悪意のある)ウェブサイトのフィッシング業者に怒りのメッセージを送りたい衝動に駆られたとしても、考え直した方がいい。それが、研究者Joe Stewart氏が発見したことだ。 Asproxボットネットの背後にいるフィッシング業者は、フィッシングサイトにあざけりのメッセージを検知する余分のロジックを組み込んでおり、それらのユーザーをマルウェアの自動ダウンロード攻撃の対象にする。 「Windowsを使っており、最近セキュリティアップデートをインストールしておらず、ブラウザのプラグイン/ActiveXコントロールに関するすべてのパッチを適用していない場合、自分自身がAsproxのコピーに感染してしまう可能性がある」とStewart氏は警告している。 そうなれば、ユー
高木浩光@自宅の日記 - グーグル株式会社の広報姿勢が嘘八百なことを示す事例
■ グーグル株式会社の広報姿勢が嘘八百なことを示す事例 ストリートビューについて、グーグル株式会社は、公道から撮影していて私道や敷地内には入っていないと説明している。このことは次のように報道されている。 グーグル地図新機能、削除要請次々 職質中の男性写真も, 朝日新聞, 2008年8月6日 グーグルは「公道から撮影した画像は基本的に公開が可能と判断した」と説明。 ネットで路上風景検索、京などでスタート グーグル新サービス 波紋, 京都新聞, 2008年8月18日 グーグル広報部は「公道から視覚的に見えているものだけを使っている。削除要請にも個別に応じ、個人情報保護に努めている」としている。 「ストリートビュー」のプライバシー問題、グーグルが方針説明, INTERNET Watch, 2008年8月5日 河合氏(引用時註: グーグル株式会社地図製品担当プロダクトマネージャー河合敬一)は、画像
個人だから甘いのかな - ぼくはまちちゃん!
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿
犯行予告収集サイト「予告.in」に8月3日、不正なコードが埋め込まれ、アクセスと同時に「警視庁爆破する」という犯行予告文を「2ちゃんねる」に強制的に投稿させる問題が起きた。約1時間半後に修正されたが、運営者の矢野さとるさんは「利用者に迷惑をかけて申し訳ない」と謝罪している。 問題が発生したのは、3日の午前2時18分から3時55分。PCで予告inにアクセスすると、2ちゃんねるのVIP板に、タイトル「警視庁爆破する」、本文「嘘です」、名前欄にアクセス元リモートホストを書いたスレッドを、強制的に投稿させる状態になっていた。 クロスサイトスクリプティング(XSS)の脆弱性をつき、予告投稿欄に不正なコードが埋め込まれていたことが原因。投稿欄のURL部分にエスケープ処理(不正な文字列を無効化する処理)を行っていなかったため、悪意あるコードを投稿欄のURL部分に埋め込んだ場合、コードを実行させる危険性が
あぷ速 予告.inがクロスサイトスクリプティング攻撃を受けたっぽい
1 : 露華濃(関西地方):2008/08/03(日) 03:14:23.58 ID:7TPSf6W+0 ?S★(717781) ポイント特典 3日午前3時頃、予告inに通報(予告inでのスレ立て)しようとすると、 VIP板にフシアナで「警視庁※※する」というスレを立ててしまうスクリプトが埋め込まれる。 ↓ 通報した本人が犯行予告して通報されるという永久機関が完成。VIP荒れる ↓ 便乗して本当に犯行予告するアホが現われる ↓ 他サイトでも、今回の脆弱性を利用したスクリプトが発見される ↓ 矢野涙目でスクリプト修正中?←今ここ + 「今回の犯行予告はスルーなの?通報しろ」「スクリプトだウイルスだ言えばセーフ?」 「矢野の責任追求しろ」、「また矢野は都合の悪い事はスルーか」等々
企業のメール、「180日以上前のメールは削除」だったらどうする? | スラド セキュリティ
ストーリー by hayakawa 2008年07月29日 12時49分 届いたメールをWordファイルに変換するマクロを作らねば…… 部門より 本家/.の記事(Are There Any Smart E-mail Retention Policies?)によると、訴訟や訴訟時の証拠開示に関する企業の法的リスクを下げる試みとして、メールの強制破棄という方針を打ち出す企業が出てきているようだ。 本家タレコミ人の勤める大企業でも、180日以上前のメールは破棄するとの方針を決定したとのこと。ハードディスクなどにアーカイブして削除を免れたいところだが、Exchangeサーバのコンフィグで.PSTファイルへのオフラインコピーが出来ないよう設定されている。なお、会社のポリシーでは重要なメールはWordドキュメントとして保存することを推奨しているという。このようなポリシーを本当に実施している企業などある
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
秋葉原のマジコン露店 「売れてます!噂の無銭LAN」 : アキバBlog
またもMac標的のトロイの木馬、今度はPhotoshopの海賊版内に
トヨタ車の連続盗難、専用合鍵作製ソフトが使われる | スラド セキュリティ
Adobe Edge: 2008年8月 次期バージョンFlash Player 10のセキュリティに関する変更について
顔がよく見えない状態ではATMが使えないようにする | スラド セキュリティ