「県外の恋人とは会うな」「夫と別居するまで出勤停止」勤務先から指示されたという新型コロナウイルスの感染防止対策の例です。感染を防ぐための自由の制限。あなたはどこまで受けいれますか? (社会部 記者・高橋歩唯、植田治男、科学文化部 記者・水野雄太)
「県外の恋人とは会うな」「夫と別居するまで出勤停止」勤務先から指示されたという新型コロナウイルスの感染防止対策の例です。感染を防ぐための自由の制限。あなたはどこまで受けいれますか? (社会部 記者・高橋歩唯、植田治男、科学文化部 記者・水野雄太)
本記事では HTML タグに指定可能な crossorigin 属性について仕様を参照しながら詳しく解説します。crossorigin 属性は複数の意味を表しており、またそれを指定するタグの他の属性値によって振る舞いが変わってしまうことから、その挙動を正確に理解するのがなかなか難しい属性です。 HTML 仕様は日々進化しています。本記事で説明している内容は記事執筆時点のものであり、閲覧時点では古くなっている可能性があります。正確な情報を知りたい方は必ず最新の仕様を確認するようお願いします。 要点だけを知りたい方は最後の「まとめ」を読んでください。 目次 crossorigin 属性はどこで使われている? crossorigin 属性は何を意味するのか? request mode credentials mode crossorigin 属性の意味のまとめ crossorigin 属性の振る
2020年12月25日、セールスフォースドットコムは一部製品、または機能を利用するユーザーにおいて、Salesforce上の組織の一部情報が第三者より閲覧できる事象が発生していると案内を掲載しました。また、12月に入り外部への情報流出の可能性を発表した楽天、PayPayがこの影響を受けたユーザーに含まれていたことが報じられています。ここでは関連する情報をまとめます。 設定不備で第三者からの情報閲覧事象が発生 www.salesforce.com セールスフォースドットコムが公開したリリースをまとめると以下の通り。 影響を受ける対象機能、製品はExperience Cloud(旧 Community Cloud)、Salesforceサイト、Site.com。 既に当該機能、製品利用組織において第三者による閲覧行為が発生している。 脆弱性起因の問題で生じた事象ではなく、ゲストユーザーに対する
楽天は2020年12月25日、クラウド型営業管理システムに保管していた情報の一部が社外の第三者から不正アクセスを受けていたと発表した。楽天のほか、楽天カードや楽天Edyも被害に遭い、最大で延べ148万件超の顧客情報が不正にアクセスできる状態だった。日経クロステックの取材で、このクラウド型営業管理システムが米salesforce.com(セールスフォース・ドットコム)のシステムだったことが分かった。 不正アクセスの原因は、楽天がクラウド型営業管理システムのセキュリティー設定を誤ったことにある。2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わったという。再設定が必要だったが、できていなかった。2020年11月24日の社外のセキュリティー専門家からの指摘をきっかけに、設定の誤りが判明。社内のセキュリティー専門部署を中心に対応し、2020年11月26日までに正
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
超ユーザーファースト主義で成長。「Smooz」代表のリテンションマーケティングへのこだわりと使用ツールに迫る 事業をグロースさせてきた先駆者(Pathfinder)を取材する連載企画「Pluto pathfinder’s story」。 今回は、ブラウザアプリ『Smooz』を運用するアスツール株式会社(以後アスツール)。2016年3月に創業し、9月にSmoozをリリースすると多くの支持を集め、「App Store Best of 2016」を獲得。 競合が大きなシェアを獲得していたブラウザ市場に新規参入し、わずか3年でユーザー獲得、継続率、課金といった数字を改善し成長を続けている。ユーザーファーストを掲げマーケティングツールの最大化、最適化を徹底する先駆者、アスツール代表の加藤雄一氏にお話を伺った。 ※本記事に記載したアスツール、Smoozに関するデータ等はすべて2019年8月7日取材時点
新政権のデジタルガバメント構想の一環として、マイナンバーが日本でも再び注目を集めている。健康保険証や免許証との一体化や、銀行口座との紐づけなどを通して、国民IDとしての機能強化を目指す方向だ。 マイナンバーは、その仕組みの複雑さと不便さ、セキュリティに対する漠然とした不安、国家による監視強化への恐怖など、様々な観点と相反する国民感情が混然一体となるトピックであるため論点を整理しにくい。本稿は、このマイナンバーについて、米国の(実質的な)国民ID制度であるSSN(Social Security Number:社会保障番号)を参照点として理解を深めてみようという趣旨のテキストである。特に、国民IDのセキュリティの要衝である認証(本人確認)にフォーカスする。「マイナンバーとマイナンバーカードの違いってなに?」とか「なぜマイナンバーは他人に知られても大丈夫なの?」という素朴な疑問にも、認証における
追記: アクセスされた可能性のある最大件数については、詳細な調査分析により2,101件であったことが判明しております。 詳細は下記をご確認ください。 管理サーバーへのアクセス履歴の調査結果について(2021年5月7日) https://paypay.ne.jp/notice-merchant/20210507/01/ 2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。なお、ユーザー情報は別のサーバーで管理しているため、本事象における影響はありません。 <アクセスされた可能性のある情報> (1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、
3日前に、auじぶん銀行の巧妙な不正出金についてYouTube動画を公開しました。みんな見てねー。 auじぶん銀行アプリに対する不正出金の驚くべき手口 そうしたところ、先程私のiPhoneに以下のようなSMSが届きました。 ふーん、au自分銀行のときは宅配事業者を装ったSMSということでしたが、これはどうなんでしょうね。開いてみると… 詐欺サイトの警告が出ていますが、構わずに開いてみると… きたきたきたー。これですよ。auじぶん銀行のフィッシング(SMSの場合はスミッシングと言いますが)サイトのようですよー。「閉じる」をタップすると… うーむ、これがauじぶん銀行の本物のフィッシングサイトですよ。これかー。僕が作った偽サイトよりもきちんと作ってありますねー(笑い)。ちなみに、本物のauじぶん銀行サイトはこちら。 よく似ていますね。お客様番号とログインパスワードの欄は共通ですが、偽物の方は暗
応募者情報についてカプコンは自社の採用サイトで「採用選考の結果、採用に至らなかった方、採用を辞退された方の応募書類などは選考後、当社において責任をもって破棄致します」と記載していた。本来破棄されるはずの個人情報が破棄されていなかったことについて、Twitter上では同社の対応を疑問視する声が上がっている。 カプコンは「応募者の履歴書などをデータ化し、一定期間保管していた」と説明。「データ化についての言及がなく、表現が不足していたため誤解が生じた。おわびする」と陳謝した。保管理由については「応募者によっては複数回応募される方もいる。過去の応募履歴をスムーズに確認するためだった」と釈明した。応募者のデータを一律保管していたのかなどについては「現時点では不明」としている。 採用応募者の情報については、氏名、生年月日、住所、電話番号、メールアドレス、顔写真などが流出した可能性があるとしている。同社
ジェフリー・ポールのブログより。 ここにあります。それが起こりました。あなたは気付きましたか? リチャード・ストールマンが1997年に予言した世界のことを話しています。コリイ・ドクトロウも警告しました。 macOSの最新バージョンでは、アクティビティのログが送信されたり、保存されたりしない限り、コンピュータの電源を入れ、テキスト・エディタや電子書籍リーダを起動して、文書を書いたり読んだりすることはできません。 macOSの現在のバージョンでは、OSはそれを実行する時に、あなたが実行したすべてのプログラムのハッシュ(一意の識別子)をAppleに送信することが分かりました。多くの人はこれに気づいていませんでした。なぜなら、それは静かで目に見えず、オフラインのときに即座に、そしてうまく失敗するからが、今日はサーバが本当に遅くなり、フェイルファストのコードパスにヒットせず、インターネットに接続して
ご無沙汰しております。11月6日に、CNAMEレコードを使って付与された1st-party cookieの規制機能を搭載したiOS14.2がリリースされましたので、その内容をまとめます。いつものことですがマーケティングよりブラウザの細かい話です。正式発表前なので誤りの可能性がありますがご了承またはご指摘ください。 規制の仕組みまず規制されるのは、AppleのWebKitエンジニアJohn Wilanderさん(ITPの発明家)が「Third-party CNAME cloaking」として定義するものです。 Third-party CNAME cloaking means a first-party subdomain resolves to a third-party domain which does not match the resolution for the top frame
見ず知らずの人から突然、ダイレクトメールが送られてきた。 誰にも教えていないのに、他人に自分の住所を知られていた…。 こんな経験、ありませんか? ひょっとしたら、その裏には「特定屋」がいるかもしれません。 「特定屋」とは、SNSに投稿された画像などをもとに第三者の個人情報を割り出す人たちのこと。依頼者に情報を提供し、見返りとして報酬を受け取るケースも多いとされています。私たちは今回、その実態を徹底取材。見えてきたのは、彼らの意外な素顔と、そこに潜む“危うさ”でした。(社会部記者 安藤文音 江田剛章 徳田隼一)
欧州委員会はWebを破壊していると私は考えるようになりました。ユーザーのプライバシーを守ろうとする彼らの試み(GDPRやクッキー法とも呼ばれるeプライバシー指令)は、クッキー通知とプライバシーポリシーのオーバーレイの氾濫という予期せぬ結果を引き起こしました。 事実、平均的なユーザーの立場からすると、ネットワーク中立性の崩壊よりもクッキークライシスの方が、日々のWeb上での体験においてダメージが大きいと言えます。 それでも、ネットワーク中立性に関わるものと同じような組織的抵抗は、クッキー通知の異常性に対してはほとんど発生していません。私たちは、その意図が良いものであるために受け入れているのです。 誤解しないでほしいのですが、その意図自体は良いことです。どのサイトがトラッキングしてOKで、どの情報を収集しても良いかの主導権はユーザーが持つべきです。欧州委員会の取り組みは評価に値します。ただし、
報酬を受け取ってSNSの画像などをもとに、第三者の個人情報を割り出す動きが広がっていることが分かりました。こうした人は「特定屋」と呼ばれていますが、ストーカー行為に悪用されるケースも確認されていて、専門家は犯罪につながるおそれもあると指摘しています。 「住所割り出します」「特定してくれた人には報酬あげます」これはSNS上でやり取りされている内容です。 他人から依頼を受けて第三者の個人情報を割り出す動きが広がっていて、こうした行為をする人は「特定屋」と呼ばれています。 「特定屋」は投稿された画像やメッセージをもとに、主にSNSを使ってその人の住所などの個人情報を割り出し、多くの場合は数千円から数万円の報酬を得ています。 NHKが取材した複数の「特定屋」によると、ネットでの商品売買のトラブルなどで相手を特定してほしいという依頼が多い一方で、中には「元交際相手の住所を突き止めてほしい」という依頼
note_vuln.md noteとインシデントハンドリングと広報の仕事 前提 この文章はmalaが書いています。個人の見解であり所属している企業とは関係ありません。 noteには知り合いが何人かいるし、中の人と直接コンタクトも取っているし相談もされているが、(10月2日時点で)正規の仕事としては請け負っていない。 10月2日追記 正規の仕事として請け負う可能性もありますが、自身の主張や脆弱性情報の公開に制限が掛かるのであれば引き受けないつもりです。 脆弱性の指摘や修正方法以外にも意見を伝えることがありますが、公表されている文章については、あくまでnote社内で検討されて発信されているものであり、必ずしも自分の意見が反映されたものではありません。(事前に確認などはしてません) 重要 この記事には、9月30日付けと、10月1日付けでnoteに報告した脆弱性についての解説を後ほど追記します。誠
noteをやめて、こちらのブログに移ってきた理由を書きます。 noteは、最近、IPアドレス流出事件があったのですが、それに対する、経営層の態度が、あまりにひどすぎると思いました。 こういうトラブルが起きたときに、不誠実な態度を取る人は、まず人として信頼できないなーと思ったので、noteのサービス利用自体をやめることにしました。 以下、詳細を書きます。 不誠実1・不適切な説明 【お詫び】IPアドレスが他者からも確認できてしまう不具合について|note株式会社 https://note.jp/n/n3e6451c9b147 「一般的なIPアドレスから、個人情報を特定することはできません。」という、不適切な説明をしています。 ↓参考 「人によっては地域を特定されるだけでも困る人はいるでしょうし、IPアドレス単体ではなく、いくつかの情報を照合することによってより詳細な情報を入手する起点になり得ま
あの竹中平蔵氏が、中国で大いに人気を集めているらしい。中国の人々はいったい竹中氏の何に惹かれ、彼から何を得ようとしているのか。その背景を追っていくと、日中で共振する「新自由主義」の動きが見えてきた。神戸大学・梶谷懐教授による全3回のレポート。 スーパーシティ法案成立の陰で 本年5月27日に、国家戦略特区法の改正案、いわゆる「スーパーシティ法案」が国会で成立した。新型コロナウイルス禍の拡大に伴う緊急事態宣言発令中の成立であり、報道などでは、遠隔医療の本格導入を始めスマート技術を用いた感染対策の進展に期待する声も多く聞かれた。 このスーパーシティ構想の背景としてAIやビッグデータを活用して社会のあり方を根本から変えるような都市設計を目指す動き、すなわちスマートシティの建設が、世界各地で本格化していることが指摘されている。 それを踏まえた上で(1)生活を支える複数のサービスが導入されている(2)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く