「leakage」カテゴリーアーカイブ

3人に1人が退職後も元職場のファイルやメールにアクセスできる

セキュリティソフトウェアなどを手がけるKasperskyが世界14か国・7000人を対象に調査を行ったところ、33%(日本では34%)の回答者が、退職した職場の共有ファイルや共同作業向けサービス、メールに退職後もアクセスできると答えたそうだ(Kasperskyの発表Security NEXT)。

プロジェクトや会社に所属している人が抜けるたびにファイル共有や共同作業向けサービスのアクセス権を削除すると回答したのは37%(日本は22%)、定期的にアクセス権を確認・変更していると回答したのは43%(日本は30%)だという。

そのほか、37%(日本は14%)の回答者が社内の機密情報(同僚の給与・ボーナスや口座情報、パスワードなど)を偶然こういったシステム上で見たことがあると答えたという。

すべて読む | セキュリティセクション | セキュリティ | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
鈴鹿のコミュニティFM、給料遅配で全社員が退職届を出し放送できない状況に 2015年06月24日
退職前に職場のパソコンから個人情報を消去するには? 2012年07月28日
「仕事が評価されずに立腹」して元勤務先のデータを破壊したシステム管理者、逮捕される 2010年02月01日
元派遣社員が新生銀行内部ネットワークに不正アクセスで逮捕 2008年07月17日

ディズニーリゾートのオンラインフォトサービスでアクセス番号重複により写真が流出

東京ディズニーランドや東京ディズニーシー(東京ディズニーリゾート)では、スタッフやアトラクション内のカメラで撮影された写真をオンラインで閲覧・購入できるシステム(オンラインフォト)を提供している。このシステムへのログインには施設内で配布される16桁のアクセスナンバーが記載された「フォトキーカード」が必要となるが、このフォトキーカードに記載されたアクセスナンバーが重複するというトラブルが発生した。その結果、同一のアクセスナンバーが割り当てられた別の顧客の写真を閲覧できる状態になっていたという。(オリエンタルランドの発表ITmedia)。

フォトキーカードの印刷を請け負っている会社がアクセスナンバーの管理を誤り、一度使用したアクセスナンバーを再度印刷してしまったのが原因とのこと。このトラブルの影響で、一部のフォトキーカードに記載されたアクセスナンバーが無効にされているとのことで、オリエンタルランドは問い合わせ用のサイトへのリンクを同サービストップページで案内している。

すべて読む | セキュリティセクション | IT | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
iOS の UDID 漏洩事件、漏洩元を特定したのは 1 人のプログラマだった 2012年09月13日
他人名義のSIMカードを不正に取得してアカウントを乗っ取る詐欺事件、米国で増加 2018年07月26日
他人のビックカメラポイントが不正入手されて使われる事件が発生 2016年03月16日
他人のアカウントで無断でFacebookにログインした男性が逮捕される 2015年11月11日

米当局、WikiLeaks創設者をスパイ活動法違反などで追起訴。これに対し言論の自由に反するとの批判

あるAnonymous Coward曰く、

内部告発サイト「WikiLeaks」では、米政府機関などの機密情報などのリーク情報を公開していたが、これに対し米政府は同サイトの創設者であるジュリアン・アサンジ氏をスパイ活動法違反などの疑いで追起訴した。これに対し、米国では報道の自由を侵害する行為ではないかとの批判が高まっているという(日経新聞WIRED)。

批判の内容は、「この国の歴史で初めて政府は、本当の情報を公開した者を公訴した」「もしこの訴訟でアサンジを有罪にするなら、政府は誰でも有罪にできる」といったもの。これが前例となり、政府が隠している情報を公開したジャーナリストが今後訴えられる可能性も危惧されている。

すべて読む | セキュリティセクション | 検閲 | アメリカ合衆国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ウィキリークス、2回目の米大統領討論会に合わせてクリントン陣営責任者のメールとされる内容を公開 2016年10月14日
ウィキリークス、複数の政府や米大統領選に関連する文書を年内公開へ 2016年10月07日
WikiLeaksが公開したトルコ・公正発展党からの流出メール、添付ファイルのマルウェアもそのまま公開されていた 2016年08月21日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
アサンジ氏、最悪の場合は死刑も 2011年01月13日
WIkileaksの創設者が投獄されるか死亡すると公開される「情報の核爆弾」 2010年12月12日

ユニクロやGUに不正ログイン46万件、住所など流出の可能性

やや旧聞となるが、衣料品店「ユニクロ」や「GU」を手がけるファーストリテイリングが、同社の通販サイトに不正アクセスがあったことを明らかにした毎日新聞INTERNET Watch日経xTECH)。

他のサービスなどから流出したID・パスワードのリストを使ってログインを試みる、いわゆる「リスト型攻撃」によって不正ログインを試みるという手法で、攻撃は4月23日から5月10日にかけて行われたという。顧客からの問い合わせで発覚した。不正ログインによって氏名や住所、クレジットカード番号の一部といった登録情報が閲覧された可能性があるという。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 2019年04月01日
意図的に間違ったID/パスワードを入力し、他のユーザーがログインできなくなるようにする嫌がらせ 2019年02月06日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日
仮想通貨取引所Zaif、不正アクセスで約67億円相当の仮想通貨を流出させる 2018年09月21日
産総研が不正アクセス被害の調査報告書を公開、2要素認証はやはり効果的 2018年08月03日

トレンドマイクロ、サイバー攻撃を受け情報漏洩を起こしていたことを認める。ソースコード漏洩は否定

5月9日、大手ウイルス対策ソフトベンダー3社がハッカー集団「Fxmsp」からサイバー攻撃を受けて製品ソースコードや機密情報などの流出が起きていたと米セキュリティ企業のAdvanced Intelligenceが伝えたpiyolog過去記事)。その後この3社がTrendMicro、Symantec、McAfeeだったことが明らかになったが、これに対しトレンドマイクロは実際にサイバー攻撃を受けたことを認めたものの、ソースコードの流出は否定している(朝日新聞トレンドマイクロの発表)。

トレンドマイクロは、「流出したものはデバック目的で利用される情報の一部」と述べている。これに対しFxmspとコンタクトを取ったAdvanced IntelligenceのYelisey Boguslavskiy氏はトレンドマイクロの発表について正しくないと主張、ハッカー集団がソースコードにアクセスした証拠があると述べている(Bleeping Computer

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ハッキング集団、米大手アンチウィルス企業3社からソースコードなどを入手したと主張 2019年05月12日
トレンドマイクロがCoinhiveの実演時に細工をして意図的にCPU負荷を上げていた疑惑が出る 2019年03月06日
トレンドマイクロ、無断での個人情報収集について「必要なもの」と主張し批判を浴びる 2018年11月02日
九州大学、セキュリティ対策ソフトの不具合により約500件のトラブル発生 2018年06月18日
Kaspersky Internet Security のソースコードの一部がインターネットに流出 2011年02月03日

英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開

headless曰く、

英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)は21日、繰り返し使われているパスワード上位10万件のリスト「PwnedPasswordTop100k.txt」を公開した(NCSCのブログ記事BetaNewsThe Guardian)。

リストはTroy Hunt氏の協力の元、Have I Been Pwned?が収集した流出データから抽出したものだ。トップの「123456」毎年のように最悪のパスワードに挙げられているが、Have I Been Pwned?のデータでは2,300万回出現するそうだ。49,562位の「oreocookie」でも3,000回以上出現するといい、リストに含まれるパスワードを使用している場合は即刻変更する必要があるとのこと。

弱いパスワードは使用者のデータが侵害される原因となるだけでなく、組織のネットワークが侵害される可能性もある。そのため、以前からGCHQでは繰り返し使われるパスワードのブラックリストを用い、システム側で設定できないようにすることを推奨している。リストの件数を100万件ではなく10万件にとどめたのは、ユーザーによる良いパスワードの選択を難しくしすぎず、弱いパスワードの選択を避けられるようにできるようバランスを考慮したものとのことだ。

自分が使用しているパスワードはリストに含まれていなかったが、スラドの皆さんが使用しているパスワードはいかがだろうか。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
2018年・最悪のパスワードトップ50、今年も「123456」がナンバー1に 2018年12月17日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
パスワードで重要なのは記号を含むことよりも長くすること 2018年08月28日
中国の掲示板サイトで日本人のものと見られる大量のメールアドレス/パスワードが販売される 2018年05月21日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日
「最もよく使われているパスワード」、2016年調査でもトップは「123456」 2017年01月19日
英GCHQ、複雑すぎるパスワードの使用中止を推奨 2015年09月22日

半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった?

あるAnonymous Coward曰く、

半田ごてメーカーの白光が運営するECサイトで不正アクセスが発生し、利用者の情報が漏洩とのこと。企業トップページには何にも書いていないが、ECサイトは閉鎖されて説明文が出ている

この内容からすると、パスワードも平文で、しかも見えるところに置いていた?とも思えるが、第三者の不正アクセスが原因と、なんとも意味がわからない。未だに平文保存(少なくともハッシュ値ではない)されていたり、見える場所に置いていたりとお粗末さに驚く限りだが、諸兄の見たお粗末な事例はどんなものであろうか。

流出した可能性のあるユーザー情報は9,793名で、流出の可能性がある情報は氏名/住所/電話番号/生年月日/企業名/メールアドレス/ユーザーID/パスワードとのこと。利用者からWebサーバー上に個人情報の含まれたファイルが設置されているとの指摘があり発覚したという。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ユーザー情報漏洩事件を起こした「宅ふぁいる便」、当面サービス休止に 2019年03月19日
「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 2019年01月30日
情報漏洩で妥当と考える補償額、本人特定が難しい情報には寛容 2018年12月28日
聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される 2018年10月17日
大阪大学の不正アクセス事件、その後 2018年07月20日

Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開

Googleは5日、任意のWebサイトへログインする際、過去に流出したユーザー名とパスワードの組み合わせを使用していないかどうか確認するChrome拡張機能「Password Checkup」をChromeウェブストアで公開した(Google Security Blogの記事GoogleアカウントヘルプThe Keywordブログの記事Ars Technicaの記事)。

Mozillaは任意のブラウザーで利用可能な個人情報流出を通知するサービス「Firefox Monitor」や、個人情報が流出したWebサイトにアクセスすると通知するデスクトップ版Firefox限定機能の「Firefox Monitor Notification」でHave I Been Pwned?のデータを使用しているが、Googleは独自に収集したデータを使用しているそうだ。

Googleはデータ侵害により流出したユーザー名とパスワードを発見すると、ハッシュ化したうえで暗号化し、ハッシュの先頭2バイト分(プリフィックス)とともに保存しているという。Password Checkupはユーザーが任意のWebサイトにログインする際、ユーザー名とパスワードをハッシュ化してからユーザー側の暗号鍵で暗号化し、ハッシュのプリフィックスと暗号文をGoogleへの問い合わせに使用する仕組みだ。

問い合わせを実行するとプリフィックスが一致するデータに加え、暗号文をGoogleの暗号鍵でさらに暗号化した暗号文が返される。この暗号文をユーザー側の暗号鍵で復号すれば、Google側の暗号鍵のみで暗号化された状態となる。これによりGoogleにユーザー名やパスワードを知らせることなく、ローカルでGoogleのデータとの照合を実行可能になるとのこと。

現在公開されているのは最初のバージョンであり、今後数か月の間にさらなる改善が行われるとのことだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 2019年01月30日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Instagram、平文パスワードが含まれたURLを生成してしまう不具合 2018年11月21日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日

60万サイトで使われるWordPress多言語プラグインWPML、サイトがハッキングされ情報流出

サイトを多言語対応させるためのWordPress向けプラグイン「The WordPress Multilingual Plugin(WPML)」の開発チームで働いていた元従業員がWPMLのWebサイトを乗っ取り、その顧客に修正されていないセキュリティホールの存在を知らせるメールを大量送信したそうだ(ZDNetwelivesecurity)。

このメールでは、プラグインを利用することで脆弱性が生じる可能性があるということを伝えていたという。WPMLの開発者によると、WPMLのサイトに元従業員によってバックドアが仕掛けられており、これが悪用されたという。

また、これに関連して顧客の氏名やメールアドレス、さらにWPMLのアカウントが流出した可能性もあるとし、顧客に対してはパスワード変更などを行うことを推奨している。

すべて読む | セキュリティセクション | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
WordPress 4.7.0および4.7.1 に認証なしでコンテンツをアップロードできる深刻な脆弱性 2017年02月07日
自力でトラブルシューティングできない人や組織は、自前でWordPresでサイトを構築してはいけない? 2016年06月25日
「パナマ文書」はWordPressプラグインの脆弱性が原因で流出した? 2016年04月11日
WordPressプラグイン「WP-Slimstat」に致命的な脆弱性、暗号化パスワード漏洩の危険も 2015年02月27日

宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩

オージス総研は25日、同社が運営するファイル転送サービス「宅ふぁいる便」のサーバーが不正アクセスを受け、約480万件のユーザー情報が漏洩したことを発表した(オージス総研のお知らせYOMIURI ONLINEの記事)。

同社は22日に宅ふぁいる便のサーバーに不審なアクセスログを確認し、23日からサービスを停止している。漏洩した約480万件のユーザー情報のうち、漏洩が確定しているのはユーザーのメールアドレス(ユーザーID)とログインパスワード、生年月日。氏名、性別、業種・職種、居住地(都道府県のみ)も漏洩した可能性があるという。有料会員のクレジットカード情報などは別会社に料金請求システムを委託しているため、今回の漏洩には含まれないとのこと。

パスワードが平文だったのかどうかについては書かれていないが、他社サービスで宅ふぁいる便と同じユーザーIDとパスワードを使用している場合はパスワードを変更するよう求めている。また、1月13日~23日にファイルを送信した場合、相手に届いていない場合もあるとして確認を呼び掛けている。

現在、宅ふぁいる便のWebサイトにアクセスすると、オージス総研のお知らせと同じ内容が表示される。現時点でサービス再開のめどはたっていないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く 2018年11月23日
フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 2018年10月16日
中国の掲示板サイトで日本人のものと見られる大量のメールアドレス/パスワードが販売される 2018年05月21日
再利用や共有、パターンなどが複雑なパスワードを台無しにする 2017年03月14日

宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩

オージス総研は25日、同社が運営するファイル転送サービス「宅ふぁいる便」のサーバーが不正アクセスを受け、約480万件のユーザー情報が漏洩したことを発表した(オージス総研のお知らせYOMIURI ONLINEの記事)。

同社は22日に宅ふぁいる便のサーバーに不審なアクセスログを確認し、23日からサービスを停止している。漏洩した約480万件のユーザー情報のうち、漏洩が確定しているのはユーザーのメールアドレス(ユーザーID)とログインパスワード、生年月日。氏名、性別、業種・職種、居住地(都道府県のみ)も漏洩した可能性があるという。有料会員のクレジットカード情報などは別会社に料金請求システムを委託しているため、今回の漏洩には含まれないとのこと。

パスワードが平文だったのかどうかについては書かれていないが、他社サービスで宅ふぁいる便と同じユーザーIDとパスワードを使用している場合はパスワードを変更するよう求めている。また、1月13日~23日にファイルを送信した場合、相手に届いていない場合もあるとして確認を呼び掛けている。

現在、宅ふぁいる便のWebサイトにアクセスすると、オージス総研のお知らせと同じ内容が表示される。現時点でサービス再開のめどはたっていないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く 2018年11月23日
フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 2018年10月16日
中国の掲示板サイトで日本人のものと見られる大量のメールアドレス/パスワードが販売される 2018年05月21日
再利用や共有、パターンなどが複雑なパスワードを台無しにする 2017年03月14日

どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半

電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータがオンラインストレージサービスMEGAで公開(削除済)されていたそうだ(Troy Hunt氏のブログ記事KrebsOnSecurityの記事Ars Technicaの記事Mashableの記事)。

Have I Been Pwned?のToy Hunt氏によれば、ユニークな電子メールアドレス7億7,290万件以上、ユニークなパスワード2,122万件以上が含まれており、電子メールアドレスとパスワードのユニークな組み合わせは11億6,025万件以上だという。The Guardianの記事などでは過去最大の流出データなどと報じているが、大半は過去の個人情報流出でデータが公開されていたものらしく、Hunt氏が電子メールアドレス数十万件分をHave I Been Pwned?のデータと照合した結果、80%以上が既知のものだったとのこと。それでも1億4,000万件前後はこれまでに流出が知られていない電子メールアドレスとなる。パスワードに関しては、およそ半数が既知のものだったそうだ。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日
Mozilla、個人情報が流出したWebサイトの通知機能をFirefoxに追加する計画 2017年11月26日
米Yahooで2013年に発生していた情報漏洩、全利用者のアカウント情報が流出していた可能性 2017年10月05日
米Yahoo!、今度は10億人分のユーザー情報を漏洩。以前のものとはまた別 2016年12月17日
米Yahoo、ユーザー5億人超の個人情報が流出したことを発表 2016年09月27日
Dropbox、4年以上パスワードを変更していないユーザーにパスワード変更を促す 2016年08月27日
フェチ・愛好家向けサイトから10万件以上の個人情報が流出 2016年05月25日
ロシアのサイバー犯罪グループが12億件以上のアカウントを不正入手していた? 2014年08月12日
Adobeアカウントで最もよく使われていたパスワードは「123456」 2013年11月09日
LinkedInから650万件のパスワードが漏洩か 2012年06月07日

情報漏洩で妥当と考える補償額、本人特定が難しい情報には寛容

IPAが「2018年度情報セキュリティに対する意識調査」報告書を公開している。これによると、クレジットカードなどの個人情報漏洩に対する補償額として「妥当と考える」金額の最多は「50,001円以上」だった(IPAの発表)。

この設問は「あなたが利用しているサービスにおいて提供側の不適切な運用による情報漏えいが発生した場合、その補償として妥当と考える(お詫びとして納得できる)金額についてそれぞれあてはまるものを選択してください。」というもの。この中で、「クレジットカード情報」「パスポートの情報」「氏名と、住所や電話番号などの連絡先」「氏名と、生年月日や血液型などの個人に関する情報」については「50,0001円以上」が最多となった。一方で「0円(特に補償などは不要)」と答えた人も多い。

また、IDとパスワード、メールアドレス、「趣味や嗜好に関する情報」、「学歴または職歴」、「既往歴や健康診断結果などの情報」などについては「0円(特に補償などは不要)」と答えた人が多いという結果となっている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ベネッセ、個人情報漏洩の補償として500円の金券送付へ 2014年09月10日
注目される「個人情報漏洩保険」 2014年08月22日
米シティグループ、流出したカード情報の不正利用で 2 億円を超える被害 2011年06月27日
PlayStation Networkの個人情報流出に関し、米国で訴訟 2011年04月30日

ZIPのパスワードを直後のメールで送る不思議

maia曰く、

@ITの連載記事「こうしす!@IT支線」の「21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?」が、今更だが興味深い。

添付ファイルをパスワード付ZIPにして直後のメールでパスワードを別送する手順が、企業や政府等(市区レベルでも)に広くみられるようだ。セキュリティ的には意味がないと思われるが、それとも何か計り知れない事情があるのだろうか。パスワードはまったく別の手段・経路で送る、というのなら分かるが。

すべて読む | セキュリティセクション | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
イオン銀行、ワンタイムパスワードを送信できるメールアドレスにGmailを追加 2018年09月12日
安全かつ手軽にファイルをやりとりしたい場合、どうすればよい? 2008年09月05日

国税庁からデータ入力を委託された業者、契約に反して再委託していたことが発覚

国税庁からデータ入力を委託されていた業者が、別の業者に無断でこの業務を再委託していたことが明らかになった。契約では再委託が禁止されており、契約違反としてすでに契約は解除されているという(毎日新聞時事通信)。

11月に行なった定期監査で発覚した。再委託された業務は源泉徴収票などのデータ入力で、少なくとも約55万人分のマイナンバーを含む情報の取り扱いも含まれているという。再委託先からの漏洩は確認されていないという。

入力業務の再委託に関しては、今年3月にも日本年金機構から業務委託を受けていた業者が無断で再委託を行い問題となっていた

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
日本年金機構、無断でデータ入力業務の再委託を行なった業者に対し損害賠償を求める 2018年05月07日
中国業者に入力業務を再委託していた業者、OCRでのデータ電子化が問題に 2018年03月27日
日本年金機構から入力業務を委託されていた業者、契約で禁止されていたにも関わらず中国の業者に再委託 2018年03月22日
電子政府関連システム調達における安値落札の問題点 2001年10月16日

復号された警察無線とみられる音声がネットで公開されているのが見つかる

警察無線を傍受したと見られる音声がYouTubeで公開されていたという。すでに警視庁がGoogleに削除を要請、現在では閲覧できない状況になっているようだ(NHK毎日新聞日経新聞)。

警察無線は暗号化されており、通常は電波を傍受しても音声を聞くことはできない。そのため、警視庁は音声流出の敬意を調べているという。

なお、2004年の電波法の改正により、暗号化された通信を復号してその内容を漏らす/窃用する行為は違法とされている(過去記事)。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ドローンの映像を傍受して撮影対象を解析するシステム 2018年03月07日
総務省、暗号化されていない公衆無線LANアクセスポイントを原則禁止にする方針 2017年11月17日
総務省、無線LANの暗号鍵を解読して無断で使用する行為は電波法に違反する可能性があるとの見解 2017年05月15日
暗号通信傍受を禁止する改正電波法が成立 2004年05月13日

Amazon、顧客の名前や電子メールアドレスをWebサイトで誤って公開したとの通知を送って混乱を招く

米国や欧州のAmazonが電子メールアドレスなどをWebサイトで誤って公開したことを謝罪する通知を顧客に送り、受信者を驚かせたようだ(BetaNewsの記事The Vergeの記事GeekWireの記事CNBCの記事)。

内容としては、技術的な問題であなたの電子メールアドレス(または名前と電子メールアドレス)をうっかりAmazonのWebサイトに表示してしまったというもの。さらに、既に問題は修正済みであること、あなたがしたこと(設定など)が原因ではなく、パスワード変更やその他の対応は不要であることが記載されている。

しかし、具体的にどのページで公開されたのか、誰がアクセスした可能性があるのか、といった情報がないうえ、お知らせするが何もすることはないという文面が混乱を招くことになる。米国版の通知のフッターに記載されたURLが「http://Amazon.com」という表記である点も指摘されている。

通知を受信したという報告は米国英国イタリアフランスの出品者向けフォーラムに投稿されているが、影響範囲が出品者だけなのかどうかは不明だ。Amazonはメディアの問い合わせに対し、問題は修正済みであり、影響を受けた可能性のある顧客に通知したとのみ回答しているという。

すべて読む | セキュリティセクション | セキュリティ | EU | アメリカ合衆国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記 2018年11月18日
Google、GDPRに違反しているとのBraveの主張に反論 2018年09月16日
米郵便公社、自由の女神の写真を間違えて350万ドル以上の賠償金を支払うことに 2018年07月08日
Sony、予告編と間違えて(?)映画本編をYouTubeで無料公開 2018年07月06日
GMOインターネットから漏洩した個人情報、Amazonで販売される 2017年11月07日

米連邦検事補、ジュリアン・アサンジ氏が刑事告発されたとの情報を無関係な裁判所文書に誤記

米連邦検事補のミスにより、米政府が既にジュリアン・アサンジ氏を刑事告発したのではないかとの憶測が広がっている(The Guardianの記事The Washington Postの記事The Registerの記事The Telegraphの記事)。

発端となったのは、連邦検事補が作成し、連邦検事の名前でバージニア西地区連邦地裁へ8月に提出されたアサンジ氏と無関係な事件に関する文書(PDF)だ。この文書は児童虐待事件に関するもので、被疑者のKokayi氏による証拠隠滅や逃亡などを防ぐため刑事告発状や宣誓供述書、逮捕状の秘匿を申し立てている。しかし、文書の「3」と「5」では唐突に「Assange」という人物を対象とした記述が出現する。

文書には「Assange」としか書かれていないが、事件の注目度が高い点や国外からの身柄引き渡しに言及していることから、ジュリアン・アサンジ氏について書かれているようだ。アサンジ氏が実際に刑事告発されているのか、刑事告発の準備が進められている段階なのかは不明だが、この連邦検事補はWikiLeaksの事件も担当しており、今回の文書は過去の秘匿申立書を元に作成されたものとみられる。

本来はこの文書自体も秘匿の対象だが、不明な理由で秘匿が解除され、存在が明るみに出ることとなった。バージニア西地区連邦検事局の報道官は、文書が誤って作成されたものであり、(アサンジ氏の名前は)この申し立てで意図した名前ではないと述べているとのこと。なお、この件と前後して、米司法省がアサンジ氏を米国の法廷に立たせるべく起訴する準備を進めている、とWSJが報じている

すべて読む | セキュリティセクション | セキュリティ | 法廷 | アメリカ合衆国 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
在英エクアドル大使館がジュリアン・アサンジ氏に出した館内での行動に関する指令書(猫の世話含む) 2018年10月20日
ジュリアン・アサンジ氏を外交官にして身柄拘束を防ぐというエクアドル政府の試み、英政府に断られる 2018年01月13日
WikiLeaksに情報を流した裏切り者を探すCIAとFBI 2017年04月28日
オバマ大統領、大統領選挙を狙ったロシアのサイバー攻撃を調査するよう命令 2016年12月16日
ウィキリークス、2回目の米大統領討論会に合わせてクリントン陣営責任者のメールとされる内容を公開 2016年10月14日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
新たなtypoスタイル「Mis-paste」 2011年11月12日
アサンジ氏、最悪の場合は死刑も 2011年01月13日
アサンジ氏の保釈金としてマイケル・ムーア氏が2万ドルを提供 2010年12月16日
Wikileaks創始者、ジュリアン・アサンジ氏が逮捕 2010年12月07日
Wikileaks、Amazonから締め出されDNSサーバーも停止。アサンジュ氏は逮捕間近? 2010年12月03日

TSUTAYAのアルバイト店員、Twitterに顧客の個人情報を暴露できると投稿。TSUTAYAが謝罪

KAMUI曰く、

TSUTAYAが、アルバイト店員による「Twitter上での脅迫発言」について謝罪している(TSUTAYAによる謝罪文ニッカンスポーツJ-CASTニュース

件のアルバイトは原爆Tシャツなどが騒動になっていた韓国の防弾少年団(BTS)のファンだったらしく、店内で男性客がBTSに否定的な話をしていたのを聞いて「個人情報を取り扱う仕事上、名前から性癖まで暴露可能だ」とツイートしたという。これだけでも大概なのだが、他にも「大学を燃やす」や「大学の講師を殺す」といったツイートも行なっていた。しかも別のツイートでは地震のアルバイト先の店名を出していたそうで、まぁ何というか……頭悪いなぁとしか。

れはさて置き、先の謝罪文では「社員・アルバイトスタッフへの啓蒙教育を通じて、再発防止に努める」旨の内容になっているのだけど、そもそも「アルバイトが顧客の個人情報にフルアクセス可能」ならば、それはTSUTAYAの情報管理体制に問題ありと言えるんでないかぃ?

すべて読む | セキュリティセクション | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
アルバイト店員の悪ふざけ写真がネットで話題になった宅配ピザフランチャイズ店、破産に 2016年08月18日
居酒屋チェーンの運営会社、車上荒らしでマイナンバーを含む個人情報流出 2016年04月27日
1割の学生は、ネットに悪ふざけ写真を投稿するバイトテロを「容認」している 2013年09月13日

韓国海軍駆逐艦のコンピュータシステムは0.8日に1回クラッシュする?

朝鮮日報日本語版によると、2000年代に建造された韓国海軍の「KDX-Ⅱ」駆逐艦に搭載されているコンピュータ指揮システムは最悪の場合0.8日に1回の頻度で作動停止しているという。

この「0.8日に1回」というのは駆逐艦「王建」のケースだが、このシステムの2013年の作動停止頻度は21.7日に一回のペースだったとのことで、年々作動停止の間隔が短くなっているようだ。他の駆逐艦についても、平均停止件数は2013年時点で5.3日に1回、今年は1.4日に1回とのことで、全体的にシステム停止が増加している模様。また、KDX-Ⅱの前身となるKDX-Ⅰについても同様にシステム停止が頻繁に発生しているという。

なお、システム停止後の再起動には10〜30分ほどが必要になるそうだ。そのため、韓国海軍は2〜3日1回手動でシステムを再起動しているとのこと。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米海軍、潜望鏡の操作にXbox 360コントローラーを使用する計画 2017年09月23日
DARPAの小型艦搭載無人航空機計画、試作機の開発段階へ 2016年01月09日
中国のハッカーによって米国の兵器システム情報が盗まれていた 2013年05月31日
英海軍、原潜へのWindowsベース管制システムの配備を完了 2008年12月18日

聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される

聖教新聞社のECサイト「SOKAオンラインストア」が不正アクセスを受けて改ざんされ、利用者のクレジットカード番号が不正に窃取される事件が発生した(日経xTECH)。セキュリティ研究者の徳丸浩氏によると、ここで使われたのは「新しい手口」だという。

今回の攻撃手法については、サイトの運営を委託されていたトランスコスモスが調査結果を発表している(発表PDF)。これによると、偽のカード決済画面の設置とECサイトのシステムの改ざんが行われており、決済時に偽の決済画面に遷移するようになっていたという。偽の決済画面ではカード情報を入力するとその情報を記録、もしくは攻撃者に送信した上で決済エラーが発生した旨を表示して正規の決済画面に遷移させていたようだ。

昨今ではセキュリティ対策としてカード情報を保持しないことが一部で推奨されているが、こういった「偽の決済画面」を使った手法ではカード情報を保持しなくとも攻撃によって情報漏洩が発生してしまうとし、徳丸氏は『クレジットカード情報「非保持化」では対策できないものであり、今後のクレジットカード情報漏洩事件の主流となる可能性があります。』と述べている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
NHKの受信料クレジットカード払い申込み書類、段ボール一箱分が行方不明に 2017年10月26日
信用情報会社Equifaxが個人情報漏洩、インサイダー疑惑もあり米政府が調査に乗り出す 2017年09月15日
JINSのオンラインショップ、Strutsの脆弱性を付かれた不正アクセスで個人情報漏洩の可能性 2017年03月27日
作業用品店の会員情報、金庫を盗まれて漏洩 2017年03月16日

AppleのDevice Enrollment Program、弱点が指摘される

headless曰く、

AppleのDevice Enrollment Program(DEP)で見つかった弱点をDuo Labsが解説している(Duo Labs調査リポートVentureBeatArs Technica)。

DEPは組織で使用するiOS/macOS/tvOSデバイスをモバイルデバイス管理(MDM)へ自動登録できるようにするサービスだ。利用にはAppleやApple正規代理店がDEPに登録したデバイスが必要だが、認証にはシリアル番号のみが使われるため、パターンから生成したシリアル番号を総当り的に試すことで認証を突破できるという。認証の突破後はDEP APIを使用してデバイスプロファイルを取得可能となる。デバイスプロファイルには電話番号や電子メールアドレスといった企業の情報が含まれており、ソーシャルエンジニアリング攻撃に使われる可能性がある。

また、MDMサーバーではユーザー認証の仕組みが用意されているが必須ではない。そのため、ユーザー認証を有効にしていない組織も多いようだ。このような場合、攻撃者はシリアル番号だけでデバイスをMDMに登録し、アクセス可能な情報が制限されていなければ証明書やアプリケーション、Wi-Fiパスワード、VPNの設定などを取得できるという。

Duo Labsでは5月に問題をAppleへ報告しており、認証の強化や試行回数の制限、APIから取得できる情報の制限などを推奨したそうだ。一方、DEPを使用する組織の管理者に対してはMDMでの認証を確実に行うことや、MDMに登録されたデバイスを全面的に信用せず、アクセス可能な情報を制限することを推奨している。

すべて読む | アップルセクション | ハードウェア | セキュリティ | アップル | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Googleのセキュリティ研究者、Appleのセキュリティに対する姿勢を批判 2018年08月15日
WikiLeaksがApple製品を攻撃するCIAのドキュメントを公開、Appleは何年も前にすべて修正済みだと声明 2017年03月25日
iPhone 6s/6s PlusはA9チップのメーカーによってバッテリーの持ちが違う?Appleは否定 2015年10月10日

米Amazon.com社員が中国企業に内部情報を売り渡していたとの報道

米Amazon.com社員が、同サイトのマーケットプレイスに出品している業者から金銭を受け取って内部情報を提供していたと報じられている(ロイターウォール・ストリート・ジャーナルCNET Japan)。

こうした不正行為は中国の業者に対して行われており、また提供されていたのは販売や検索に関する情報とのこと。提供された業者はこれらを使って競合に対して有利になっていたという。さらに、Amazon社員とつながりのあるブローカーが否定的なレビューの削除や停止されたアカウントの復活などを手配していたという話もある。ブローカーはメッセージサービスWeChatを使ってAmazon従業員と連絡を取り作業を依頼していたそうだ。

すべて読む | セキュリティセクション | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米テスラの労働環境はAmazon.comの倉庫並み 2018年05月17日
ドイツのサンダルメーカー、中国製偽造品の横行を受けて米Amazonから撤退、直販のみに切り替え 2016年07月26日
Amazonにおける中国製偽造品問題、悪化中 2016年07月14日

NTTドコモ、「dポイント」の不正利用があったことを公表。約3.5万アカウントを利用停止に

NTTドコモが手がけるポイントサービス「dポイント」で、会員が保有するポイントが不正に使われるトラブルが発生していることが発表された(ケータイWatch日経新聞)。

dポイントサービス加盟店のWebサイトが攻撃され、dポイントカードの番号と残高が盗まれて不正に利用された可能性があるとのこと。これを受けてドコモは約3万5000件のdポイントカード番号を対象に利用停止措置を行ったとのこと。

dポイントカードはバーコードを利用しているため、簡単に番号を盗み取ることができるとの指摘もある。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
マックにサイバー攻撃、店頭で一部の電子マネーやポイントが利用不可に 2017年06月20日
Android版Ponta公式アプリ、ポイントが利用できない不具合が継続中 2017年03月16日
マイナンバーカード、保険証や図書館カードに利用拡大へ 2017年01月06日
マイナンバーカードをポイントカードとして使う「マイキープラットフォーム」 2016年02月18日

日経新聞社員、業務用PCを分解してHDDから個人情報を窃取。懲戒解雇に

あるAnonymous Coward曰く、

日本経済新聞の社員男性が別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していたことが明らかになった(読売新聞朝日新聞時事通信)。

窃取されたデータは日経新聞社員約3000人の賃金などのデータ。このデータは昨年12月にこの男性によって別の組織に提供され、その組織がこの情報を公開したことで発覚した。この社員は情報漏えいを理由に6月5日に懲戒解雇されるとともに、警視庁への刑事告訴も行われているとのこと。

この男性はこれ以外にも、日経新聞電子版の読者の個人情報(約34万人分)や日経ヴェリタスの読者情報(約3万6000人分)も持ち出していたという。

分解したPCは情報をコピーした後元に戻していたとのことで、そのため発覚が遅れたようだ。この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。

なお、この事件を受けて日経新聞は謝罪記事を公開したが、公開当初は有料会員以外は記事の一部しか読めない「会員限定」の記事となっており、「お詫び記事も有料か」などとの指摘が出ていた(J-CASTニュース)。

すべて読む | セキュリティセクション | 犯罪 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
中国の掲示板サイトで日本人のものと見られる大量のメールアドレス/パスワードが販売される 2018年05月21日
大阪大学、不正アクセスを受けて個人情報約7万件を漏えい 2017年12月14日
日本郵政から約7500人分の個人情報が漏洩、メールサービス登録者全員に誤送信 2015年06月12日

中国の掲示板サイトで日本人のものと見られる大量のメールアドレス/パスワードが販売される

セキュリティ企業FireEyeによると、中国の掲示板サイトで大量の日本人の個人情報が販売されていたそうだ(ITmediaNHK)。

このデータは国内の複数のWebサイトから流出したものと推測されている。2億件の個人情報が含まれているとしており、販売価格は1000人民元(約1万7,400円)だったそうだ。

FireEyeがこのデータを入手して分析したところ、含まれているメールアドレスの大半は過去の大規模な情報漏えい事件で流出したものだったそうだ。また、うち36%以上が重複したデータで、偽のメールアドレスも多数確認されたという。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
Uberから5700万件の個人情報が流出、2016年に把握するも公表せず 2017年11月28日
GMOインターネット、「サイトM&A」の登録情報を漏洩 2017年10月31日
信用情報会社Equifaxが個人情報漏洩、インサイダー疑惑もあり米政府が調査に乗り出す 2017年09月15日
メルカリ、Webブラウザ向けサービスで54,180名の個人情報を流出 2017年06月23日

大阪航空局と大阪管区気象台の機密書類が路上に散乱

hylom 曰く、

国土交通省は4日、大阪航空局と気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたことを明らかにした(毎日新聞の記事産経WESTの記事日テレNEWS24の記事)。

文書には個人情報が含まれる機密性の高い文書も含まれていたといい、廃棄書類を処理する業者が運搬中に落としたとみられている。本来機密性のある文書は裁断することになっているが、今回の書類は裁断されていなかったという。

報じられた内容を見る限り、業者は機密書類の処理を依頼されたのではなく、単なるゴミとして引き取っていたようだ。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
国土交通省、メールについて送受信後1年後にすべて破棄する方針 2018年01月16日
NHKの受信料クレジットカード払い申込み書類、段ボール一箱分が行方不明に 2017年10月26日
Struts 2を使用していた国交省サイトから情報流出、対策は2017年度予算待ち 2017年06月07日
過去5年間で日本の上場企業から流出した個人情報は単純計算で7545万件 2017年04月14日
財務省理財局には「データが短期間で自動的に削除される」システムが導入されている? 2017年04月10日

ITパスポート試験から団体申込者の個人情報が漏洩、排他制御漏れが原因

あるAnonymous Coward曰く、

独立行政法人情報処理推進機構 (IPA) は13日、同機構が実施するITパスポート試験の団体申込者用のシステムの不具合により、別の団体の申込情報が混入する形で計137件の個人情報が漏洩したことを明らかにした(プレスリリースITmedia日経xTECH)。

発表によると、団体向けのWebサイトにおける申込情報のCSVダウンロード機能に不具合があり、別々の利用者が同じタイミングでCSVダウンロード機能を実行したところ、双方の申込情報が混ざったCSVがダウンロードされてしまったということである。CSVファイルには「受験番号、氏名、受験日、支払い用のチケット番号、成績及び合格証書番号」等が記載されていたとのこと。利用者の申告により明らかになった。

IPAではシステムの改修を行うとともに、今回の問題が発生した団体を訪問、漏洩した個人情報の破棄を確認したとのことで実害はなかったようである。ただし、過去に同様の事象が発生していなかったかは引き続き確認するとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
IPAが未踏IT人材発掘・育成事業で量子コンピュータ関連の支援へ、これに対し提供する金額が少なすぎるとの声が出る 2018年01月03日
IPAの「安全なウェブサイト運営入門」に脆弱性 2017年03月17日
IPAの脆弱性体験学習ツール「AppGoat」に脆弱性が見つかる 2017年02月10日
東横INNの予約サイトのセキュリティが改善 2016年04月23日

オーストラリア政府で使われていた機密書類の収納棚、丸ごと流出して中古家具店で販売される

オーストラリアの中古家具販売店で販売されていた収納棚から、大量の機密文書が見つかった(NHK)。この棚には鍵がかけられていたが、購入した男性が鍵をこじ開けたところ大量の文書を発見、公共放送ABCにこれらの文書が持ち込まれたという。

ABCから政府はこれらの文書を回収、警察とともに経緯の調査を行っているとのこと。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
パナマ文書の次は「パラダイス文書」、租税回避地における法人に関する文書が流出 2017年11月07日
ロンドン・ヒースロー空港のセキュリティに関する機密文書入りUSBメモリー、道に落ちているのが見つかる 2017年11月03日
米当局からの機密資料漏えい、「目に見えない追跡ドット」が証拠に 2017年06月10日
東京電力パワーグリッドの社員、執務室内で法人情報入りHDDを紛失 2016年08月25日

T会員6,500万人の購買データを元に、その活用法を考えるイベントが告知される

会員の購買情報を収集する「Tカード」サービスなどを提供するカルチュア・コンビニエンス・クラブ(CCC)グループが、「DATA DEMOCRACY DAYS」なるプロジェクトを発表している。これは収集したデータを参加者に提供して新たな事業やサービスの企画を募集するというものだが(CCCの発表)、参加者全員に対し会員6,500万人の購買データやTポイントの利用状況などを提供するという点について議論になっている(TogetterまとめITmedia)。

CCC側は「特定の会員を識別できる情報はない」とし、会員番号を直接推測できないように暗号化するとしているものの、いわゆる「名寄せ」を行うことで会員個人を特定できる可能性がある。提供されるデータには利用日時や利用店舗、購入した商品のカテゴリーなどといった情報が含まれており、さらに郵便番号の上3桁や誕生日のうち年および月も含まれる可能性がある。そのため、本人を容易に特定できる可能性がある(なか2656の法務ブログ)。

さらに、今回は不特定多数の応募者に対しこのデータが公開される可能性がある点も疑問視されている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
CCC、ユニークなTカード会員数が6000万人を超えると発表 2016年09月13日
Tカードの購買記録などを活用した物価指数 2015年04月27日
Tカードの個人情報提供方針が11月より変更、オプトアウト受付も開始 2014年10月29日
ヤフーがプライバシポリシを改訂、Tカードの購買履歴とヤフーの収集したWeb閲覧履歴の共有へ 2014年05月22日