[B! security] yukattiのブックマーク

マイナカードをカメラで読み取り本人確認　アプリをデジタル庁開発

yukatti 2024/07/23

リンク

世界大混乱の元凶、謎のセキュリティー企業　クラウドストライクの誤算：日経ビジネス電子版

yukatti 2024/07/23

リンク

セキュリティーソフト世界シェア１位があだ…ウィンドウズ障害、「過去最大規模」の見方も

【読売新聞】　米マイクロソフトの基本ソフトウェア（ＯＳ）「ウィンドウズ」で１９日に発生したシステム障害は、社会システムにも影響を与えた。デジタル技術に過度に依存することの危険性を改めて浮き彫りにした。障害は米クラウドストライクによ

yukatti 2024/07/21

リンク

クラウドストライクが「Windowsブルスク化」システム障害の解析結果を発表

yukatti 2024/07/21

リンク

サポートを装った怪しい警告にご注意を : 読売新聞

【読売新聞】　パソコンで読売新聞オンライン（YOL）を閲覧している際、「ファイアウォールの更新が必要」「スパイウェアに感染していると報告されました」などの警告が表示され、「画面が変えられなくなった」という報告が、読売新聞に複数寄せら

yukatti 2024/07/20

リンク

詐欺電話にとって“最悪な悪夢”──悪質業者と長電話するAI　「ええと、何だったかな？」＆自慢話を繰り返す

﹁あなたのコンピュータがウイルスに感染しています。今すぐコンピュータのスイッチを入れてください﹂──米Microsoftの名をかたる男がそう促す。電話を受けているのは高齢の男性と思われる声。﹁ええと、何だったかな、もう一度言ってくれないか？﹂。そう言って男に何度も何度も説明を繰り返させ、話がかみ合わないまま延々と電話が続く。実はこれ、詐欺電話を受けているのは人間ではなく、AIである。 AIvs. 詐欺電話　AIは“自慢話”で対抗電話で被害者をだまして信頼させ、現金などを詐取する特殊詐欺は世界中で問題になっている。そうした手口に対し、AIに相手をさせて詐欺電話をかけてきた相手をだまし、延々と会話を続けて時間を浪費させることで被害者を減らそうという取り組みが進められている。冒頭の詐欺電話に応対しているのは、実はAIチャットbotの﹁Lenny﹂だった。相手をだまして指示に従わせようとす

yukatti 2024/07/19

リンク

政府、能動的サイバー防衛へ新法を検討　「通信の秘密」を制限：朝日新聞デジタル

","naka5":"","naka6":"","naka6Sp":"","adcreative72":"\n\n\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"

yukatti 2024/07/19

リンク

スマホ本人確認「マイナカード一本化」は本当？　実情とSIMスワップ詐欺問題を知る

6月18日に﹁国民を詐欺から守るための総合対策﹂の報道で、﹁スマホ本人確認をマイナンバーカード一本化﹂という実際の施策とは異なるタイトルの話題が盛り上がった。5月には﹁偽造マイナンバーカード﹂を用いた﹁SIMスワップ﹂と呼ぶ手法で他人のスマートフォンの電話番号︵SMS︶を乗っ取り不正決済に利用される事件も話題になった。﹁スマホ本人確認をマイナンバーカード一本化﹂報道のもとになった政府の﹁国民を詐欺から守るための総合対策﹂の概要では、赤線のように﹁マイナンバーカード“等”﹂となっている。後述するが、これはICチップを搭載する運転免許証や在留カードなども含む。﹁原則一本化﹂は法律上の本人確認方法が券面の提示のみという偽造に弱い状況を一新し、ICチップでの真贋確認を義務付けることを意味する5月には偽造マイナカードを用いた﹁SIMスワップ詐欺﹂が話題になった。偽造の本人確認書類で他人のSIMカ

yukatti 2024/07/15

リンク

アメリカの大手通信キャリアが1億1000万人の顧客「ほぼすべて」の電話記録を盗まれたことが発覚

携帯電話やインターネット回線などを提供する大手通信企業のAT&Tは現地時間の2024年7月12日、サイバー攻撃により約1億1000万人いる顧客のデータを「ほぼすべて」盗み出されたと発表しました。 Unlawful Access of Customer Data - AT&T Bill & account Customer Support https://www.att.com/support/article/my-account/000102979 AT&T says criminals stole phone records of 'nearly all' customers in new data breach | TechCrunch https://techcrunch.com/2024/07/12/att-phone-records-stolen-data-breach/ Ame

yukatti 2024/07/15

リンク

AT&T、新たなデータ侵害で“顧客のほぼ全員”の通話記録を盗まれる

米通信キャリア大手のAT&Tは7月12日︵現地時間︶、約1億900万人、“ほぼ全員の”モバイル顧客データがサードパーティのクラウド上のワークスペースから違法にダウンロードされたことが判明したと発表した。 AT&Tは米Bleeping Computerなどに対し、﹁サードパーティのクラウド﹂が米Snowflakeであることを明らかにした。 AT&Tが米証券取引委員会︵SEC︶に提出した書類によると、盗まれたデータには、2022年5月1日から10月31日までと2023年1月2日に行われた、AT&Tのほぼすべてのモバイル顧客とMVNOの顧客の通話記録とテキストメッセージ記録が含まれていた。通話やテキストの内容、顧客名、社会保障番号や生年月日などの個人情報は含まれていなかったとしている。顧客はFAQページで自分の電話番号も含まれているかどうかを確認できる。 Snowflakeは、法人顧客向けに

yukatti 2024/07/13

リンク

東京海上日動委託先から顧客情報など6万件余漏えいか | NHK

東京海上日動火災保険は、業務委託先の税理士法人のサーバーでコンピューターウイルス﹁ランサムウエア﹂の被害が発生し、グループの顧客情報など、あわせて6万件あまりが漏えいしたおそれがあると発表しました。東京海上日動火災保険と同じグループの2社の発表によりますと、漏えいしたおそれがあるのは、顧客情報などあわせておよそ6万3200件です。6月4日に業務委託先の税理士法人のデータサーバーに異常を検知し、調査した結果、身代金要求型のコンピューターウイルス、﹁ランサムウエア﹂の被害を受けていたことが判明したということです。漏えいしたおそれのある情報の中には、顧客の名前、住所、電話番号などが含まれているということで、会社は特定でき次第、該当者に通知しているということです。会社では﹁ご迷惑をおかけすることとなり、深くおわび申し上げます﹂としています。

yukatti 2024/07/10

リンク

富士通の社内パソコン４９台がマルウェア感染、顧客の業務情報など流出の可能性

【読売新聞】　富士通は９日、社内の業務用パソコンがマルウェア（悪意あるプログラム）に感染し、個人情報や顧客の業務に関する情報が流出した可能性があると発表した。流出件数や顧客の業種などは明らかにしていない。９日時点で悪用された事例は確

yukatti 2024/07/10

リンク

Google フォームの共同編集設定に起因して発生していた情報流出についてまとめてみた - piyolog

2024年6月以降、Google フォームの設定に起因する情報流出が生じたとして複数の組織より公表されました。ここでは関連する情報をまとめます。回答情報を第三者に参照される恐れのあった共同編集設定 Google フォームの設定次第で外部から回答者の情報を閲覧することが可能な状態が発生し、実際に影響を受けたとして複数の組織が6月以降公表を行っている。事案公表した組織が行っていた設定とは、Google フォームの﹁共同編集者の追加﹂において﹁リンクを知っている全員﹂が選択されている場合。 Googleのアカウントにログインした状態で当該設定が行われたGoogle フォームに回答を行った後、自身のGoogleアプリからGoogle フォームの画面を表示した際に、﹁最近使用したフォーム﹂の欄にそのGoogle フォームが表示されるようになっていた。そこよりGoogle フォームを通じて入力され

yukatti 2024/07/08

リンク

マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話

マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話やられました。一応，全容がわかってきたので記録として残しておきます。クレジットカードの不正利用されてしまった︻マックデリバリーでセゾンアメックスが被害に︼｜モチのブラックカードが欲しい！かなりの部分は上記の方と類似していましたので，こちらもご参照ください。セゾンポータルアプリへの通知で気付く最初に気付いたのは，セゾンポータルアプリへの通知でした。この時点では﹁ショッピング利用﹂としかわからなかったので，身に覚えがなく不審には思いましたが，まだ不正利用を確信できませんでした。続いてクレディセゾンモニタリング担当からSMSがセゾンポータルアプリへの通知とほぼ同じタイミングで，クレディセゾンからSMSが届きました。上記，ものすごくフィッシングっぽいですが，﹁0366883248﹂からのSMSは本物で

yukatti 2024/07/08

リンク

JAXA、2023年10月に発生したサイバー攻撃について説明。「未知のマルウェアが複数使用され、Microsoft 365に不正アクセス」　漏えいした情報については個別に謝罪を実施

yukatti 2024/07/08

リンク

KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できず

出版大手のKADOKAWAが大規模なサイバー攻撃を受けた。ランサムウエアによって複数サーバーのデータが暗号化。子会社のドワンゴが運営する﹁ニコニコ動画﹂などがサービス停止に追い込まれた。KADOKAWAの業務サーバーも使えなくなり、業務に影響が出た。取引先や従業員の情報漏洩も確認されている。 KADOKAWAへの大規模なサイバー攻撃が分かったのは、2024年6月8日土曜日の午前3時30分ごろ。グループ内の複数サーバーにアクセスできない障害が発生していることが検知された。子会社のドワンゴが運営する動画配信サービス﹁ニコニコ動画﹂﹁ニコニコ生放送﹂をはじめとする一連の﹁ニコニコ﹂サービスのほか、チケット販売の﹁ドワンゴチケット﹂などが提供不能になった。8日午前8時ごろには、不具合の原因がランサムウエアを含むサイバー攻撃であることを確認。グループ企業のデータセンター内におけるサーバー間通信の

yukatti 2024/07/06

リンク

サイバー犯罪の相談窓口が不正アクセス被害に…「大失態だ」 | 毎日新聞

京都府警は4日、府警サイバー企画課が事務局を務めるサイト﹁京都中小企業情報セキュリティ支援ネットワーク︵ksisnet︶﹂が不正アクセス被害に遭ったと発表した。府警によると、ログ上では個人情報が流出した記録は現時点ではないが、サーバーにはサイトが配信するメールマガジンの会員のアドレス315件が保管されている。サイトは現在、停止している。2日午後5時ごろ、同課がサイトを更新する際にページの異変に気づいた。再度検索エンジンからアクセスすると、中国語でスポーツ賭博を紹介するようなサイトにつながったという。サイトでは、府内の中小企業向けにサイバー犯罪被害や情報セキュリティーに関する相談を受け付けるなどしている。府警サイバー対策本部は﹁大失態だ。事態を重く受け止め徹底して捜査する﹂とコメントした。︻日高沙妃︼

yukatti 2024/07/05

リンク

「KUMON」委託先事業者のランサムウェア被害により、会員と指導者の個人情報が漏えい　

yukatti 2024/07/05

リンク

Webサービス公開前のチェックリスト

個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。セキュリティ認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていることサブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお