情報が漏れた経緯を調査するため明石市庁舎内の盗聴器の有無調査へ

2 days 5 hours ago
旧明石市立図書館の跡地利用に関する斎藤元彦知事と丸谷聡子市長の電話会話について、盗聴された疑惑が浮上しているという。会話内容を前市長の泉房穂氏がXでポストしたためだ。この問題について市は15日、情報漏洩の経緯を調査するため、庁舎内で盗聴器の有無を調べることを発表した(神戸新聞NEXT)。 市の説明によれば、丸谷市長は11日午後、庁舎内の応接室で斎藤知事からの電話を受け、受話器で会話をした。このとき部屋には高橋啓介政策局長のみがいたが、高橋局長は「知事との電話の件は話さなかった」と説明。丸谷市長も本会議で「泉氏とは話していない」と述べていた。 このため委員会は、2人でなければ盗聴器の可能性もあるとして、市は「業者を入れて盗聴器の有無を調査し、他に知り得た者がいるか聞き取り調査し、その結果を報告するとの方針を示しているという。

すべて読む | セキュリティセクション | セキュリティ | 政治 | 情報漏洩 | プライバシ |

関連ストーリー:
旧ソ連のスパイグッズが競売にかけられる。現代のロシアでも形を変えて 2021年02月20日
中国で盗聴器入りのモバイルバッテリーを販売していた業者が摘発される 2021年02月04日
リンク切断時間5秒でLANケーブルにパケット盗聴器を接続する手法 2020年04月14日
ドイツ連邦ネットワーク庁、リモートから周囲の音を聞くことのできる子供向けスマートウォッチを禁止 2017年11月19日

nagazou

ナイジェリア詐欺にもAIパワー

2 days 6 hours ago
headless 曰く、Abnormal Security の調査によると、ナイジェリア詐欺でも生成 AI が活用されるようになっているそうだ (Abnormal Security のブログ記事、 Beta News の記事)。 ナイジェリア詐欺は主にナイジェリアを舞台とし、当局に凍結された大きな資金の移動への協力を求める電子メールなどによる詐欺の手口だ。Abnormal Security によると、これまでのナイジェリア詐欺メールではスペルミスや文法ミスが多くみられたが、最近では生成 AI を使用したとみられるミスのない文面がみられるようになったという。 また、ナイジェリアや周辺のアフリカ諸国にとどまらず、国連やウクライナ、スイス、米国などの人になりすました同様の内容の詐欺メールも増えているとのこと。その一方で従来のスペルミスや文法ミスを含む詐欺メールも並行して送られており、犯罪組織がテクノロジーをテストしている様子がうかがえるとのことだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 人工知能 | お金 |

関連ストーリー:
米国ではAIによるクローン音声がすでに犯罪に使われている 2023年08月08日
サイバー犯罪用生成型AIツール「WormGPT」 2023年07月19日
NTT東西、70歳以上の人がいる契約を対象にナンバー・ディスプレイの月額料金と工事費を無料化 2023年03月23日
高解像度化技術「TecoGAN」でAVのモザイクを除去&販売していた人物が逮捕 2021年10月19日

nagazou

人工衛星のセキュリティ対策は不十分?プロトコルの隠蔽のみや脆弱なファームウェアも

2 days 22 hours ago
AC0x01 曰く、ドイツの研究者が人工衛星のサイバーセキュリティの現状を分析したところによると、現役の衛星の中にも適切なセキュリティ対策が施されていないとみられるものがあることが明らかになったという(UchuBizの記事)。 人工衛星のセキュリティ対策はもともと、そもそも人工衛星と通信することは難しく、そのアクセス手段なども知られていない、ということを前提とした「隠蔽によるセキュリティ」に頼ってきた傾向があるという。しかし今日では、超小型衛星やキューブサットを中心にオープン化したコンポーネントが用いられ、また教育機関などで衛星開発についてかかわった人も増えてきていることから、こうした過去の常識が通用しなくなっているとのこと。 今回の調査ではキューブサットに提供されている既存のファームウェアの脆弱性をエミュレータで調査。結果は任意コードの実行が可能で、外部から制御を奪うことが可能だったという。また衛星エンジニアへのアンケート調査では、セキュリティ対策をしているとの回答は約半数(17機中9機)に留まり、その他は対策されていないや分からないといった回答が寄せられたとのこと。また実施しているセキュリティ対策も、「プロトコルの隠蔽」と「プロトコルの暗号化」が半々で、隠蔽に頼った対策が現在でも多く取られているようだ。

すべて読む | セキュリティセクション | セキュリティ | 宇宙 |

関連ストーリー:
欧州宇宙機関、超小型人工衛星に対するサイバー攻撃のアイディアを募集 2022年01月15日
Facebook、高精度な時刻同期システムをオープンソース化 2021年08月18日
中国進出した企業に義務化されている税務ソフトにスパイウェア。ドイツとの関係も悪化 2020年12月11日

nagazou

Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大したという話

3 days 16 hours ago
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。 複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていったものの、結局ワンタイムパスワード (OTP) を教えてしまったという。 OTP を入手したことで攻撃者は自分のデバイスを従業員の Okta アカウントに追加することが可能となり、Google アカウントにもアクセス可能となる。Google は Google Authenticator を複数デバイスで利用可能にする OTP 同期機能を 4 月に追加しており、普通にセットアップすると同期が有効になるよう誘導される。同期を有効にした状態で Google アカウントが侵害されれば、OTP コードもすべて侵害されることになる。 Retool ではさまざまな場面で OTP を使用しており、攻撃者は内部の管理システムにもアクセス可能になったという。これにより、27 の顧客アカウントも乗っ取りの被害にあったとのことだ。

すべて読む | ITセクション | Google | セキュリティ |

関連ストーリー:
「Google認証システム」がアカウント同期対応に 2023年04月26日
Twitter、無料ユーザー向けのSMS経由の2要素認証を19日に終了 2023年02月20日
Microsoft Authenticatorの偽拡張機能、Chromeウェブストアで見つかる 2021年05月21日
Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 2020年11月13日
Google のトークン認証システム、オープンソースで公開中 2011年03月07日

headless

Amazonで不正アクセス多発か?

6 days 23 hours ago
14日頃からSNS上で多くのユーザーが「Amazon.co.jpを不正利用された」との報告が出ているという。一部の被害者は「Amazonギフトカードを大量購入された」または「二段階認証を設定していたにもかかわらず、それを突破された」と話している。中でも注文履歴が非表示にされ、被害者が不正利用に気付かないままクレジットカードの請求が届いたという報告もあったことが注目されている(ITmedia、Togetter)。 この被害者がAmazonのサポートに問い合わせたところ、似たような事例が多発していると説明されたという。最終的に被害額は全額返金されたと報告されている。Amazonはセキュリティ対策の一環として二段階認証機能を提供しているが、何らかの手段を使って二段階認証を突破されるケースが相次いでいる模様。また、不正利用分の購入履歴が非表示になることも共通しており、攻撃者はこれを利用して被害の発覚を遅らせている可能性があるとしている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | お金 | 情報漏洩 |

関連ストーリー:
欧州委員会、大手デジタルプラットフォーム6社をデジタル市場法のゲートキーパーに指定 2023年09月07日
アマゾンジャパン、Amazonプライム年会費を5900円に値上げ 2023年08月10日
米Amazon、アカウントごとに購入済み製品のリコール・安全性情報をまとめたページを提供開始 2023年07月29日
米連邦取引委員会、消費者を欺くような手法でAmazon Primeに加入させていたAmazonを提訴 2023年06月22日
フィッシング詐欺報告件数が過去最多に。ひと月で11万件超 2023年06月22日

nagazou

「体臭対策ドットコム」でカード情報流出

1 week ago
福井市に拠点を置く体臭対策関連サービス「ベネフィット-イオン」は9月4日、自社のECサイト「体臭対策ドットコム」が不正アクセスを受け、顧客のクレジットカード情報244件が漏えいした可能性があると発表した。漏えいした情報には、カードの有効期限とセキュリティコードも含まれている可能性があるという(ベネフィット-イオンリリース、ITmedia)。 2023年3月17日、一部のクレジットカード会社から、クレジットカード情報の漏洩懸念について連絡を受け、同日に「体臭対策ドットコム」でのカード決済を停止した。第三者調査機関による調査が5月19日に完了。その結果、2022年11月5日から2023年3月17日までの期間においてクレジットカード情報が漏洩、顧客情報が不正利用された可能性があることが確認されたとしている。

すべて読む | セキュリティセクション | セキュリティ | ニュース | 情報漏洩 |

関連ストーリー:
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日

nagazou

Raspberry Piを使ってATMのセキュリティを無効化、金を盗んだ3人組を逮捕

1 week 2 days ago
米テキサス州ルボックで、電子デバイスを使用して地域全体のATMから現金を盗んでいたとして2023年8月3日、3人の男が逮捕された。逮捕されたのはAbel Valdes(38歳)、Yordanesz Sanchez(41歳)、およびCarlos Jordano Herrera-Ruiz(33歳)(Nexstar)。 裁判所の文書によれば、彼らは西テキサス地域のATMを狙う窃盗グループとして知られていたという。裁判所の記録によれば、3人は犯行にRaspberry Piを使用、ラズパイをATMに接続してセキュリティシステムを無効にし、キャッシュドロアと呼ばれる現金の保管ブロックを取り外すことに成功していた。容疑者には逮捕される直前、50番街のATMから5700ドル以上を盗んでいたとされている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | アメリカ合衆国 | お金 |

関連ストーリー:
Raspberry Piを体内に埋め込むバイオハッキング 2019年09月12日
NASA、誰かが無許可でネットワーク内に設置したRaspberry Pi経由で不正アクセスを受けデータ流出 2019年06月25日

nagazou

LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方

1 week 5 days ago
昨年発生した LastPass の不正アクセスで攻撃者がコピー可能だったとされるパスワード保管庫について、実際にコピーされたデータの一部がクラックされ、暗号通貨の窃盗に用いられているとの見方が出ている (KrebsOnSecurity の記事、 The Verge の記事)。 ブロックチェーンワレットアプリ MetaMask の Taylor Monahan 氏によると、昨年末から 150 人以上が合計で 3,500 万ドル以上の暗号通貨盗難にあっているそうだ。被害者は長年の暗号通貨投資者でセキュリティ意識の高い人ばかりだといい、電子メールや携帯電話のアカウント侵害といった暗号通貨盗難の前触れとなるような攻撃も受けていない。 そのため、Monahan 氏は被害者の共通点を特定するのに苦労していたが、ほぼすべての被害者が「シードフレーズ」の保存に LastPass を使用しており、攻撃者が複数の被害者から盗んだ資金を同じブロックチェーンアドレスに送っているという結論に達したとのこと。 暗号通貨ワレット復元サービス Unciphered の Nick Bax 氏は Monahan 氏らが収集したデータを独自に分析し、Monahan 氏と同じ結論に達した。Bax 氏や Monahan 氏らはこのような特徴から新たな被害者を特定することにも成功している。 Bax 氏によればインタビューに合意した被害者の回答から得られた唯一の明白な共通点は LastPass にシードフレーズを保存していたことだといい、LastPass を使用する家族や知人にはパスワードの変更や暗号通貨の移行を強く勧めているとのことだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 暗号 | お金 |

関連ストーリー:
LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性 2023年03月05日
1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない 2023年01月03日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性 2022年12月05日
LastPass、8 月の不正アクセスに関する調査の続報を発表 2022年09月20日
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし 2022年08月28日
多額の盗難被害を出したブロックチェーンワレットアプリ、シードフレーズを無断で保存していたと指摘される 2022年04月23日

headless

企業サイトが「破産手続きを開始しました」 などと改ざんされる被害広がる

2 weeks 1 day ago
企業の公式サイトなどが改ざんされ、「破産手続きを開始しました」といったう虚偽の情報が表示される被害が相次いでいるという。鹿児島県で中華料理チェーン「餃子の王将」を運営する鹿児島王将は1日、不正アクセスによりホームページが改ざんされたと発表。破産手続きの情報はまったくの事実無根であると説明して警察に被害届を提出したとしている(ねとらぼ)。 ねとらぼの記事によれば、同様の被害が全国で報告されており、映像教材を提供する新宿スタジオや精肉店・ミートプラザニシジマ、多目的施設「湘南国際村センター」なども同様の改ざん被害を受けたとされる。改ざんされたページには実在する弁護士の名前が代理人として記載されているケースもあるが、そのような業務を受任したという事実はございませんと関係を否定している。

すべて読む | セキュリティセクション | ビジネス | 犯罪 | セキュリティ | ニュース |

関連ストーリー:
「全人類に対する罪 核下水排出」、業務用ルータで脆弱性つかれ画面改ざん被害 2023年09月01日
「恒心教」名乗り脅迫FAX30万件以上送信か、男性二人を逮捕 2023年08月25日
中国軍が防衛省の機密ネットワークに侵入か。米政府が日本に連絡との報道 2023年08月11日
各地の大学に再び爆破予告が相次ぐ 2021年05月28日
今年に入ってなんJ発祥のネタ宗教「恒心教」を名乗る爆破予告が急増。警視庁は捜査第一課を投入 2020年11月11日

nagazou

JR東日本が共通IDサービス「My JR-EAST」のサービスを終了へ

2 weeks 2 days ago
JR東の複数の連携サービスに対して一つのIDでログインできるようにするサービス「My JR-EAST」だが、公式ページによると来年以降にサービスの終了を検討しているという。このため新規会員登録を2023年10月3日から停止するとしている。終了時期と取り扱いについては後日通知される(My JR-EAST公式の新規会員登録の停止について)。 終了の理由等に関しては告知されていないものの、同じページ上でビューカードを装ったメールを送信し、偽のVIEW's NETログイン画面へ誘導するフィッシング詐欺への警告がおこなわれていること、2014年に「My JR-EAST」サービスで大規模な不正ログイン事件なども起きていたことも影響している可能性がある。 あるAnonymous Coward 曰く、JR東日本がグループの共通IDサービス「My JR-EAST」を廃止し、各サービスごと別々のIDでのログインのみに戻すとのこと。えきねっと、モバイルSuica、JREポイント、ビューカード、各種MaaSアプリなど、JR東日本グループは大量のネットサービスを抱えているが、共通IDの構築は失敗して乱立は解消できなかったようだ。 情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | アナウンス | 交通 |

関連ストーリー:
JR東日本の会員向けサービス「My JR-EAST」、約21,000アカウントに不正ログイン 2014年09月13日
JR東日本の会員向けサービスでも不正ログイン 2013年04月20日

nagazou

数種類のパスワードで大半のウェブサービスを利用するユーザーは8割、トレンドマイクロ調査

2 weeks 3 days ago
トレンドマイクロが8月31日に発表した「パスワードの利用実態調査 2023」によれば、Webサービスの利用者のうち83.8%がパスワードを複数のWebサービスで再利用しており、その中でも41.9%が2~3種類パスワードをほぼ全てのサービスで使用していることが明らかになった。このような行動をとる主な理由は、異なるパスワードを設定すると忘れてしまうがトップの72.8%、異なるパスワードを考えるのが面倒が48.6%を占めた。また、平均して1人あたり14種類のWebサービスを利用しており、異なるパスワードを管理する負担が依然として大きいことが示唆されている(日経クロステック)。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー:
BL特化SNSのpictBLandが不正アクセス、ユーザーのパスワードも流出で被害拡大 2023年08月17日
キーボード音から9割以上の確率でパスワードを推測 2023年08月14日
社内でのパスワード管理はどうしている? 2023年08月10日
隣接したキーを組み合わせたパスワード、欧文キーボード配列別調査結果 2023年07月22日

nagazou

渋谷に監視カメラを設置し顔認証で通行人を追跡するプロジェクト

2 weeks 3 days ago
あるAnonymous Coward 曰く、インテリジェンスデザイン株式会社は渋谷駅周辺に100台のAIカメラを設置してリアルタイムで人流データを取得・解析するプロジェクトを発表しているが、そのホームページで紹介されている事例が「ヤバい」と評判になっている。 「オフライン顧客の見える化」として紹介されているのが「性別・年代・同席者の性別・年代・着用している衣服のブランド・渋谷までの交通機関・昼食を取った場所・移動ルート・今月何回目の渋谷訪問か・前回の訪問日時・今年何度目の渋谷訪問か・商業ビルへの来店回数・前回の買い物履歴」などという実に生々しいもの。 「通年の行動データがリアルタイムで蓄積」とうたわれているだけあり、渋谷の公道を移動してるだけでこれだけの粒度で個人情報が保存されて前回訪問や同行者もデータ化されるというのは恐ろしい。 なおこの記述は高木弘光氏が https://twitter.com/HiromitsuTakagi/status/1697213910267642105 と、問題視したことを受けたのか https://idea.i-d.ai/shibuya-project/ 「当サイト内にて誤解を招く表現がある箇所について内容を一部修正致しました。」と削除されている。 過去のヤバイ記述はこちら。 https://web.archive.org/web/20230804024613/https://idea.i-d.ai/shibuya-project/ ニュースとして報道されたときにはイベント警備の問題解決が主目的のように報じられていたが、詳細な通行人のデータを企業に売ることが目的だったとはビックリだ。 https://www.excite.co.jp/news/article/Techable_210770/ 「渋谷駅周辺にAIカメラ100台設置!人流データを解析し、イベント混雑時の警備問題の解決へ」

すべて読む | セキュリティセクション | セキュリティ | 統計 | プライバシ |

関連ストーリー:
Twitter、電話番号や電子メールアドレスに関連付けられたアカウントが収集されていたことを認める 2022年08月12日
JR東日本、Suicaユーザーの利用データの販売へ。乗降車駅などの情報 2022年01月21日
機械学習を用い、犯罪者を顔写真から高い確率で識別できたとの研究結果 2016年11月27日

nagazou

銭湯にある下駄箱の鍵でパソコンをロック

2 weeks 3 days ago
伝統的な銭湯の下駄箱の鍵をデジタルガジェットにしてしまうというアイデアを実行した人がいるらしい。銭湯や居酒屋などでは、⽊札(下⾜札)を挿すタイプの下駄箱が使用されていることが多い。あの木製のカギはやや大きいが持ったときの物質感や⼿触り感があり独特の存在感がある(EMEDINE Style、動画)。 このため制作者であるNEKOPLA(ねこぷら)氏は、こうした下駄箱の鍵のデザインや感触に魅了され、これを日常的なアクションに応用できないか考えた。その結果、コンピュータのロック装置として使えるデジタル下駄箱を作成したという。木製の下駄箱の鍵を作り、この鍵をUSB接続してコンピュータに接続。鍵の挿抜動作を検知するスイッチを内部に組み込み、鍵を抜くとコンピュータがロックされ、鍵を挿すとロックが解除されるようにプログラムしたそうだ。実用性はなさそうだが記事では実際の制作過程についても紹介されている。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | 変なモノ |

関連ストーリー:
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される 2013年12月23日
台湾でバーチャルなタッチスクリーンを実現する眼鏡が開発される 2013年10月29日
Raspberry Pi をハードウェア的なバックドアとして悪用する 2013年03月21日

nagazou

英教育省、強化された軽量気泡コンクリートを含む教室等の使用中止を勧告、イングランドの104校に影響

2 weeks 6 days ago
英教育省は 8 月 31 日、強化された軽量気泡コンクリート (RAAC) に対する安全対策が行われていない教育機関の建物について、イングランドでの使用中止を勧告する新ガイダンスを発表した (ガイダンス、 ニュースリリース、 The Education Hub の記事、 The Guardian の記事)。 RAAC は教育機関の建物で 1950 年代から 1990 年代半ばにかけて用いられており、この期間に建設または増改築された学校などの建物には例外なく含まれているという。英政府ではこのような建物の危険性を認識して対策を進めてきたが、最近の状況から未対策の RAAC を含む場所を使用し続けるべきではないと判断したとのこと。 イングランドでは 156 の学校で RAAC が用いられているが、安全対策が行われているのは 52 校に過ぎない。ただし、残り 104 校でも全面閉鎖が必要になるわけではなく、中には教室単位での使用中止で済むものもあるとのことだ。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 教育 | 政府 |

関連ストーリー:
英教育省支給のノートPC、プリインストールのマルウェアで注目される 2021年01月28日
珪藻土製品から基準超のアスベストが検出、ニトリはバスマットなど240万個を回収へ 2020年12月23日
古い校舎へのエアコン設置を高騰化させる電気容量不足、弱い構造、隠蔽配管ルール 2018年07月25日
ドイツ連邦ネットワーク庁、リモートから周囲の音を聞くことのできる子供向けスマートウォッチを禁止 2017年11月19日
YouTubeで自分の子供の動画を公開することは安全か 2015年09月25日
1980年代製のAmiga、ミシガン州の公立学校19校の冷暖房を現在も制御 2015年06月14日
小学校で鉛筆の持ち込みを禁止 @ マサチューセッツ州 2010年11月26日
壁から剥離せずにアスベストを無害化 2008年01月24日

headless

「全人類に対する罪 核下水排出」、業務用ルータで脆弱性つかれ画面改ざん被害

2 weeks 6 days ago
朝日新聞などの記事によると、セイコーソリューションズが発売している業務用ルーター「SkyBridge」と「SkySpider」の脆弱性を突いて、東京電力福島第一原発の処理水放出に対する抗議メッセージが表示されるように画面が改ざんされる被害が多発しているそうだ。原因となった脆弱性に関しては2023年2月には問題が判明しており、セイコーソリューションズからは対応ファームウェア等は提供済みだった(IPA、朝日新聞、TECH+、【再掲】SkyBridge MB-A100/110/200・MB-A130シリーズ・SkySpider MB-R210の脆弱性と対応について)。 報道によると、ハッキングにより内部認証画面が改ざんされ、日本政府の行動に対する非難メッセージが表示されるという。朝日新聞側の状況確認によると、29日午前の段階で少なくとも約1500台の機器の被害が確認されたとしている。修正プログラム未適用の機器が影響を受けた可能性があると述べている。 被害に関与したと見られる人物らは27日、SNS上で改ざんした画面と共に「これは私たちの最初の警告である」などとするメッセージを投稿していたという。セイコーソリューションズは新たな被害を避けるためにも早急なプログラム修正を呼びかけている。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | ニュース | バグ |

関連ストーリー:
東電処理水問題で不審な国際電話が増加。総務省が注意勧告 2023年08月30日
日本産ホタテ、中国禁輸のおかげで異常な高値解消 2023年08月26日
福島第一原発の処理水の放出が始まる、完了まで30年の見通し 2023年08月25日
企業サイトが「破産手続きを開始しました」 などと改ざんされる被害広がる 2023年09月07日

nagazou

保守契約になくてもベンダーは医療機関にセキュリティ情報を提供すべき?

3 weeks ago
日本医師会総合政策研究機構(日医総研)が8月24日に公開した「サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために[PDF]」という文書が、SNS上で物議を醸しているようだ。その文章の内容は、医療機関とITベンダーの契約において、サイバー被害の責任をどのように分担するかについての内容。文書は、ベンダーからのリスク説明が不十分だった場合でも、「信義誠実の原則」に基づいて、既知の脆弱性についてベンダーが適切な情報提供を怠った場合、契約に明記されていなくても一定の責任を問うことができるように求めている(日医総研発表文書、上原 哲太郎氏のXポスト、ITmedia、The Key Questions)。 日医総研によると、保守契約の中に情報提供義務が明記されていないケースが多いという。こうした情報提供義務が明記されていない場合、ベンダー側に責任を問えるケースは「極めて少ない」。日医総研のアンケート調査(全数4件)によると、システムの保守契約において、ベンダーが脆弱性情報などのリスクについて医療機関に知らせる義務を明記している事例はなかったそうだ。実際に脆弱性情報を知らせた事例は1件で、サイバー攻撃による損害の一定割合をベンダーが負担した事例も1件にとどまったとしている。 この文章に対してSNS上では文章で出す前に、情報提供義務を契約に明記すべきだという意見が多く見られる。ただ過去記事でも取り上げているように医療業界では、ランサムウェアを利用したサイバー攻撃による被害が増加しており、具体的な事例として、徳島県の拠点病院がサイバー攻撃を受けたり、大阪の医療センターが被害を把握できなかったりした例も出ている。とはいえ、医療機関側ではセキュリティ対策に予算が限られており、政府やITベンダーによる支援も必要ではないかといった意見も見られる模様。

すべて読む | セキュリティセクション | セキュリティ | 医療 |

関連ストーリー:
全国280の大規模病院でIDとパスワード使い回しが判明。サイバー攻撃被害の一因に 2023年03月31日
昨年ランサムウェア被害に遭った大阪急性期・総合医療センターが復旧 2023年01月13日
大阪急性期・総合医療センターがランサムウェア感染、31日から診療が停止 2022年11月02日
徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった 2022年06月21日
2月16日以降、サイバー攻撃が最大25倍増との調査結果 2022年03月09日
ハッカーが医療業界への攻撃を強めている理由 2016年06月30日

nagazou

東武鉄道と日立製作所が生体認証による決済システムを開発

3 weeks 1 day ago
東武鉄道と日立製作所は8月29日、2023年度内に共通プラットフォームを立ち上げて、生体認証を利用した「手ぶら決済」を実現することで合意した。同プラットフォームに個人の属性情報を登録すると、プラットフォームと接続された施設では、スマートフォンやICカードを使うことなく生体認証のみで、キャッシュレス決済やポイント付与、年齢確認などをワンストップで行うことができるようになる(東武鉄道リリース[PDF]、日立製作所リリース、Impress Watch、ITmedia)。 認証方式は指整脈認証と顔認証の2つの方式が利用できる。スマートフォンのブラウザに表示したQRコードを用いての認証も可能だという。最初に東武ストアに対応するセルフレジを導入する計画。セルフレジは年齢確認にも対応しており、店員による確認無しで酒類などが購入可能(特許出願中)だそうだ。このプラットフォームは将来的には鉄道や他の施設への導入を視野に入れており、社会インフラとしての役割を果たすことを目指しているとのこと。

すべて読む | セキュリティセクション | テクノロジー | ビジネス | セキュリティ | お金 |

関連ストーリー:
1Password、パスワードを不要にする計画 2023年02月12日
ゆうちょ銀行、生体認証サービスを終了しスマホのアプリ認証へ移行 2022年11月19日
指紋認証や顔認証に続く「歯ぎしり認証」が提案される 2022年04月21日
EUで包括的なAI規制案が提案へ。ハイリスクAI技術の利用には事前審査も 2021年04月23日

nagazou

総務省がヤフーに行政指導、位置情報などをNAVERと試験共有

3 weeks 1 day ago
総務省は8月30日、ヤフーに対して行政指導を実施した。発表文書によると、ヤフーは、Yahoo! JAPANの検索エンジン技術の開発・検証を目的として、NAVERに対して、特定の期間内に検索関連データを提供する試験を実施していた。この際、位置情報などの重要な情報について、事前にユーザー側に周知せずにNAVER社に提供したとされ、その情報の安全管理が不十分であったことが判明したとしている(総務省、ケータイ Watch)。 提供されたデータのなかには、約410万件の位置情報を含む約756万件のユニークブラウザの検索クエリなどが含まれていた。この間、提供されていた情報はNAVERにより物理的にコピーが可能だったことから、総務省は安全管理措置が不十分だったと指摘している。 この問題に関して総務省は、利用者に対し、提供される位置情報や利用目的を事前に十分に理解できるよう適切な方法で周知すること、情報提供に同意しない手段を用意すること、NAVERによる位置情報のコピーを物理的に不可能な状態にする措置を講じること、NAVERへの監査体制を構築することなどの対応を求めている。

すべて読む | ITセクション | セキュリティ | 通信 | IT | Yahoo! | 情報漏洩 |

関連ストーリー:
ソフトバンクグループ、「ユーザープライバシーファースト」を基本方針として掲げる 2022年05月28日
政府、個人情報保護の規制強化案。個人情報管理責任者の設置を義務付け 2022年02月07日
LINE問題で調査員による最終報告書。韓国色を隠す意図があったなどと指摘 2021年10月19日
政府、LINE等のサービスで機密情報の取り扱いを決めるガイドライン策定 2021年05月07日

nagazou

プライバシーマークの審査員が審査関連資料を漏洩

3 weeks 3 days ago
日本情報経済社会推進協会(JIPDEC)は、プライバシーマークの審査員が、審査関連資料を漏洩したことを明らかにした。同協会に登録されたプライバシーマークの審査員1人が、同協会との契約に反して審査に関連する資料を自宅で保管。1事業者の審査関連資料が漏洩したことが判明したという。同協会では対象となる事業者に連絡、謝罪したとしている。詳細については外部協力のもと調査を進めているとのこと(JIPDECリリース、Security NEXT)。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | プライバシ |

関連ストーリー:
JIPDEC、社印の電子版という位置付けの「適格eシール」の普及を目指す 2020年05月22日
プライバシーマークを運用するJIPDEC、公表を希望しない審査員登録者175人分の氏名を誤掲載 2020年02月13日
CCC、プライバシーマークを返納していた 2015年11月20日
個人情報漏洩のベネッセ、プライバシーマーク認定取り消しに 2014年11月27日

nagazou

Google Play、システムクリーナーアプリを多数削除

3 weeks 6 days ago
Google Play で最近、不要ファイル削除や空きメモリ確保などを実行するシステムクリーナーアプリが多数削除されているようだ。 Internet Archive が昨年 10 月に保存した Google Play での「cleaner」検索結果のスナップショットをみると、リストアップされているアプリ 30 本のうち、現在は 20 本が削除されている。削除されたアプリの中にはインストール件数が 1 億回を超える「One Booster」や「Nox Cleaner」といったアプリも含まれる。また、「cleaner site:play.google.com」のGoogle検索結果では、最初の 10 本のアプリのうち 4 本が削除 (最初の 20 本では 10 本が削除) されている。 削除されたアプリ「SD Maid」「SD Maid 2/SE」の作者 Matthias Urhahn 氏 (darken) によれば、これらのアプリが「ストーカーウェア」ポリシーに違反するため公開を停止したという 2 件のメールが (おそらく 8 月 21 日の) 21 時 44 分に届き、16 分後の 22 時には 12 年間にわたりアプリを公開していた開発者アカウント darken の削除が通知されたという (作者の Google Play Developer Community 投稿、 Reddit のスレッド [1]、 [2]、 Android Police の記事)。 削除理由は開発者アカウントに関連付けられた高リスクまたは悪用のパターンを特定したため、Google Play デベロッパー販売 / 配布契約の 8.3 / 10.3 に従って削除する、というものだ。Reddit のスレッドでは明確にアプリ名は挙げられていないものの、他の開発者からもストーカーウェアポリシーでアプリが削除されたという報告がみられる。 Play Console ヘルプによれば、ストーカーウェアとは「適切な通知や同意なく、永続的な通知を表示せずに、デバイス上の個人情報や機密性の高いユーザーデータを収集、送信するコード」とされる。しかし、SD Maid のデータ セーフティ情報によれば収集するデータはアプリに関するもののみとなっており、プライバシーポリシーでも個人情報は収集しないと明記している。SD Maid 2/SE はオープンソースアプリでもある。 Urhahn 氏はGoogleに異議を申し立てているが、現在のところ受信確認と調査中の報告のみで、特に進捗はみられないとのこと。システムクリーナーアプリは効果が疑問視されることもあり、中には広告が多すぎると批判されるものもあるが、削除されていないアプリもある。最近削除されたすべてのアプリで実際にポリシー違反が確認されたのだろうか。スラドの皆さんのご意見はいかがだろう。

すべて読む | セキュリティセクション | Google | セキュリティ | ソフトウェア | デベロッパー | Android | プライバシ |

関連ストーリー:
Google、アプリのアカウント削除要件を Google Play ポリシーに追加 2023年04月08日
Google、ストーカーウェアの禁止事項が逆の意味になっていた英語版デベロッパーポリシーの誤字を修正 2020年09月20日
Microsoft、エラーを誇張して有料版購入を強要するアプリを「望まれないソフトウェア」として削除へ 2018年02月03日
Google Playで新規公開/更新するアプリ、最新APIをターゲットにすることが必須に 2017年12月23日
Google、ユーザーの合意なく個人情報を収集するAndroidアプリで警告を表示する計画 2017年12月06日
Google、13歳未満の子供によるデバイスの使用状況を保護者が管理できるアプリを発表 2017年03月19日
「端末が攻撃されている」という偽の表示を出してインストールを促すセキュリティアプリ、レビュー欄では大好評 2016年07月04日
MicrosoftのGov Maharaj氏、CCleanerについてはコメントしづらい 2015年10月12日
Google、人気ランキング入りした「見せかけだけのセキュリティアプリ」購入者に対し返金へ 2014年04月21日

headless
Checked
2 hours 58 minutes ago
slashdot(security)
アレゲなニュースと雑談サイト
Subscribe to slashdot(security) feed