日本銀行が利上げを行ったが、誰もその声明を読むことができなかったら、金融政策は実際に引き締められたことになるのだろうか。 日銀が7月31日に重要な決定を下す直前のしばらくの間、これが現実になると危惧された。世界中のトレーダーやアナリスト、ジャーナリストが日銀のウェブサイトにアクセスすると、「現在アクセス集中などにより一時的に閲覧できません」というメッセージが表示された。 日銀は声明のリリースに間に合うようにサーバーを復旧させることができた。しかし、植田和男総裁がメッセージを伝えるのに苦労したのはこのせいばかりではない。 2007年以来2回目となる利上げで政策金利を0.25%にした後、植田総裁はこの決定を正当化するのに苦労した。決定は夜間に複数の国内メディアにリークされるまでは予想されていなかった(国債買い入れを減らす計画はほぼ予想通りで、前回の会合でも示唆されていた)。 総裁は幾つもの理由
note_vuln.md noteの独自ドメインセッションの脆弱性について報告した件 文責: mala 前置き note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する 個人の活動として行っており所属組織とは関係がない 自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。 公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません) note社のサービスに他の脆弱性が無いことを保証するものではありません。 経緯 2020年9月30日に公開されたnote社の記事で https:/
2022年盛夏―― 3年ぶりに開催された夏の、記念すべきコミックマーケット100は無事に閉会を迎えた。 そのコミックマーケット100にサークル参加し、壁やシャッター前ほどではないにせよ、それなりにまとまった売上を抱えたサークル参加者のひとりがいた。 私である。 頒布物の単価を1,000円としたため、ATMに一度で入らない200枚以上の千円札が手元にあった。近所のATMで何度かに分けて入れてもいいけれど、入れている途中で横からかっぱらわれるリスクを考えて、平日の銀行窓口に持ち込むことにした。 印刷費を払ったクレジットカードの利用代金が引き落とされるメインの口座は三井住友銀行高松支店のものである(注:現在は都内某所在住である)。なぜ三井住友かと言うと、父が転職したときに「一番長い名前の銀行に口座を作った」からである。そう、当時の名前は太陽神戸三井銀行であった。そういう事情で、家族内での金銭のや
(2022年9月26日追記) 本件に関する、セルフチェックページとお問合せ窓口の提供を終了いたしました。 この度は、お客さまをはじめ多くの関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。 株式会社メルカリは、当社が利用している外部のコードカバレッジツール※「Codecov」に対する第三者からの不正アクセスにより、当社のソースコードの一部および一部顧客情報(フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報17,085件、2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先等に関する情報7,966件、当社子会社を含む一部従業員に関する情報2,615件)が外部流
艦これユーザ「さぶれ」氏がツイッターで他のユーザと小競り合い ↓ ネットで面白がった連中に過去の言動が次々掘られる ↓ 「さぶれ」氏が仕事上で開発したSMBCのプログラムソースを、githubに勝手に公開していたことが分かる ↓ 直接企業に被害を与えることはあまり無いようなコードだが、そもそも流出してたという事実自体が 問題視され、ニュースになる ↓ twitterのIDが同じである「さぶれ」氏と思われる人物、賠償金700万円だと明かす 艦これのゲーム配信最大手である「きぃのん」 氏と今回の流出のきっかけとなったS氏がTwitterで論争となります(筆者はきぃのん氏の配信のリスナーです)。煽り合う中で、きぃのん氏の配信のリスナーがS氏の過去のTweetを調査し、S氏のGitHubアカウントを発見します。これを見た同じリスナーの「なぎ」氏 がGitHubに上がっているコードを見たところ「sm
サイバー空間で“最恐”と呼ばれた、コンピューターウイルス、エモテット。 かつてないほど猛威を振るっていたこのウイルスが、ことし1月、制圧された。 日本を含む世界の200以上の国と地域の端末が感染、25億ドルの損害をもたらしたとされる。 世界8か国の捜査機関のおよそ2年間に及ぶ合同捜査の結果だったが、そこに日本の捜査機関の名前はなかった。 だが、この作戦には、日本の有志のホワイトハッカーたちの活動が、大きく寄与していた。 “最恐ウイルス”VS“ガーディアンズ” その知られざる戦いを追った。 (ネットワーク報道部記者 鈴木有) ウクライナ東部の町ハリコフ。 集合住宅の狭い路地を武装した捜査員らが駆け入っていく。 一つの部屋のドアをバールでこじあけ、蹴破って突入する。 捜査員が目にしたのは、数十台はあると思われるコンピューターやハードディスク。 そして、大量の紙幣と金塊。 世界中で猛威を振るって
三井住友銀行(SMBC)が行内で使っている業務システムのソースコードの一部が流出していたことが2021年1月29日、明らかになった。Twitterなどのソーシャルメディアで、2021年1月28日の夜ごろから流出の可能性が指摘されていた。三井住友銀行が1月29日に事実関係を調査し、行内システムのソースコードの一部と一致したことを確認した。 一部のソースコードが公開されていたのは米ギットハブが運営する「GitHub」。日本在住で三井住友銀行のシステム開発に関係した人物が投稿した可能性が浮上している。三井住友銀行は日経クロステックの取材に対し、「当行が利用しているシステムのソースコードが公開されていたのは事実。顧客情報の流出はなく、セキュリティーに影響を与えるものではないことは確認済み」(広報部)と説明している。 三井住友銀行によれば、公開されていたコードは複数ある事務支援系システムの1つに含ま
ドコモ口座がトリガーを引いた、新型決済スキームの出口にWeb口振受付をおいてしまった過ちについてはおおよそ状況が出揃い始めましたね。官民挙げて推進しようとしていたキャッシュレスの波に少なからず水を差す事件であった、という総括はなされると思いますが、銀行はともかく、キャッシュレス事業者側としてはこの状況は気が気ではないですよね。もっとも、選択肢にクレカがあるものについては影響は少ないかもしれません。どう考えても現状のユースケースにおいてはクレカが安心ですよね(相対的に)。そのあたりについては去年に書いたこのエントリを読んでみて欲しい。 novtan.hatenablog.com まあ、予言ですね。 チャージをするということ ビットコインみたいな消費電力から生まれる通貨(表現は微妙…)を除いて、いわゆる電子マネーと言われるものはまず現金からの変換を行う必要があります。 XXポイントなんかも現金
複数の決済事業者の決済サービスを通して、ゆうちょ銀行の口座から不正に預金が引き出された問題を受け、ゆうちょ銀行は9月15日、被害者やサービスの利用者に謝罪した。同社が同日に開催した記者会見の内容の一部を一問一答でまとめた。 ――公開している被害額(約1811万円)と件数(109件)の期間は? 田中:各決済事業者から聞いているもの。主に2020年になってからの数字だ。 ――ドコモ口座の事案以降、(銀行と決済事業者の)セキュリティのシステムに問題があるように見える。どのように認識しているか、どちらに責任があると考えているか 田中:現時点で銀行サイドとしても、2要素認証を強力に実装していく必要があると強く考えている。セキュリティの問題は完全なゴールがない領域だ。技術の進歩にも目を配りながら、お客さまが安心して使えるサービスを引き続き提供していきたい。 ――技術の問題でなく、決済事業者とのやりとり
NTTドコモ提供の電子決済サービス「ドコモ口座」からの不正出金問題について、既に様々な専門家が問題点や防衛策を提示されていますが、アルゴリズム社会におけるプライバシーとセキュリティに強い関心を持つ法曹の身として、後学のためにも各プレイヤーの契約関係と本人確認手続に関する論点を整理してみたいと思います。 1.ドコモ口座の概要について「ドコモ口座」とは、公式サイト上では、「ネットやアプリ上で送金やお買い物ができるバーチャルなお財布です」と紹介されていますが、要するにオンラインで入出金、送金、決済が可能となるインターネットバンキング類似のサービスです(キャッシュレス決済サービスであると紹介する報道もありますが、「決済」のみに焦点を当てたサービスであると誤解を招き、本質を見誤ると考えますので、あえてこのように表現します)。 利用できるサービス内容は、通信キャリアがドコモか否かで異なり、公式サイトか
■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ
ドコモ口座の問題はシステム的な部分でいうと「本人確認と認証が甘い」に尽きるんですが、それ以前の問題として、このビジネススキームが何を根拠に成立していて、その根拠に基づいた対応が行われていたか、ということがありますね。なにぶん、それなりに新しいことをやろうとしている話なので必ずしも法整備は十分ではないし、抜け道というか、既存の制度だったらこうすれば使えるよね、というスキームをひねり出して実施していくわけです。なので、根本的な法律や制度の問題とは別に、2者間で成立させるための個別の契約が必ずあるわけです。それがどのくらい今回の事態を想定していたかは定かではないですけれども、少なくともここについて一般に開示されることはないでしょう。でも、そこがキモってのがこの話の難しいところ。 とはいえ、銀行との資金移動に持っていく部分については口振契約ということは明らかですので、そのへんをちょっと考察してみま
詳細不明なところもありますのでなんとも言えないんだけど、外部から見える範囲でわかる問題点について解説してみます。詳細を調べたら問題なかったり、中の人だけが知っている仕様によってクリアされている問題もあるかもしれません。 事実誤認があれば訂正しますのでよろしく。 そもそもドコモ口座って? ドコモユーザーならおなじみ、それ以外でも使えるアカウントサービスである「dアカウント」に紐づけてキャッシュレス決済などで使用できる電子マネー(だよね)のことです。 dアカウントは元々はドコモ契約者向けのアカウントサービスだったんですが、スマホを起点としたサービスを提供するに当たり、汎用的なアカウントサービス(ID提供サービスとも言えます)にするためにドコモの回線契約とのつながりを限定的にしたものです。GoogleアカウントやFacebookアカウントでのログインと同様、dアカウントでのログインができるように
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。 地銀ばかりで被害 なぜ? 今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。 Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。 ユーザーが
NTTドコモのドコモ口座を悪用し、不正に盗み出した口座番号、キャッシュカード暗証番号等の情報を使用した口座の不正利用が発生したと報じられました。ここでは関連する情報をまとめます。 勝手に作成したドコモ口座に送金 不正送金の手口 犯人が何らかの方法で口座番号、名義、キャッシュカード暗証番号等を入手。 銀行預金者の名義でドコモ口座を開設。 入手した銀行の口座番号、キャッシュカードの暗証番号を使って「Web口振受付サービス」を利用 サービスを通じて口座預金をドコモ口座にチャージ。 Web口振受付サービスは銀行提携先のWebサイトを通じて口座振替の申し込み手続きができるサービス。 ドコモ口座不正利用の発表相次ぐ 当初被害報告が上がった銀行は七十七銀行だが、その後も複数の地銀で不正利用に関する案内が相次ぎ公開された。 ドコモ口座登録等の受付停止を行った銀行 35行、全ての銀行 不正利用(疑い含む)発
顔認証関連ソリューションがブレーク ここ最近のニュースをざっくり眺めてみて発見がありました。 NECの顔認証技術がかなり売れているという事実です。 事例 LINE Pay (2019/5/7) japan.zdnet.com NECは4月24日、銀行口座や証券口座の開設時における本人確認(KYC)業務を支援するサービス「Digital KYC」を金融機関やFinTech事業者向けに提供開始すると発表した。 (中略) Digital KYC SDKは、LINE Payが提供する「LINE Pay かんたん本人確認」で先行して採用され、5月初旬から利用が始められる。 東京2020オリンピック・パラリンピック (2018/8/7) cloud.watch.impress.co.jp 東京オリンピック・パラリンピック競技大会組織委員会は、東京2020 オリンピック・パラリンピック大会において、大会
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
