2014年7月9日、ベネッセホールディングス、ベネッセコーポレーションは同社の顧客情報が漏えいしたと発表を行いました。ここではその関連情報をまとめます。 (1) 公式発表と概要 ベネッセは同社の顧客情報が漏えい、さらに漏えいした情報が第三者に用いられた可能性があるとして7月9日に発表をしました。また7月10日にDM送付を行ったとしてジャストシステムが報じられ、それを受けて同社はコメントを出しています。またさらにその後取引先を対象として名簿を販売したと報じられている文献社もコメント及び対応について発表しています。7月17日にECCでも漏えい情報が含まれた名簿を使ってDMの発送が行われたと発表しています。 ベネッセホールディングス(以下ベネッセHDと表記) (PDF) お客様情報の漏えいについてお詫びとご説明 (PDF) 7月11日付株式会社ジャストシステムのリリースについて (PDF) 個人
連載目次 2014年4月はWindows XPのサポート終了が一番の話題であるはずが、それよりも大きな問題が2つも起こってしまいました。Heartbleedと呼ばれるOpenSSLの脆弱性、そしてApache Strutsの脆弱性です。 OpenSSLの脆弱性もApache Strutsの脆弱性も多数のWebサイトで発生したため、セキュリティクラスターのほとんどの人が何かしらの影響を受けたようでした。Apache Strutsの脆弱性では「修正が不十分である」との発表を行った会社が方々から叩かれるという、これまでにあまりないことが起こりました。 そして大型連休を控えた月末には、Windows XPにも影響がある危険な脆弱性が発見され……最後まで脆弱性に振り回された1カ月でした。
NTTデータ先端技術は2013年7月23日、Apache Struts 2に存在する脆弱性の検証レポートを公開した。 Apache Struts 2の脆弱性(S2-016)が明らかになったのは7月16日のこと。2.0.0から2.3.15までのバージョンには、DefaultActionMapperにおいてprefixパラメータを処理する際、値をOGNL式として評価するため、任意のJavaコードが実行できてしまう脆弱性が存在する(関連記事)。 NTTデータ先端技術では、Debian 6.0.7上のApache Tomcat 7.0.42、Apache Struts 2.3.15を利用したWebアプリケーション環境を用意し、細工したHTTPリクエストを送信して脆弱性について検証した。この結果、ターゲットシステムに外部サーバから制御用プログラムをダウンロードさせ、それを介してシステムの制御権限を奪
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
2011/01/21 情報処理推進機構(IPA)は1月21日、Andoroid OSを標的としたウイルスに対する注意を呼び掛けた。2010年末ごろから、Android OSを搭載した端末の乗っ取りが可能なウイルス(ボット)が確認されているという。 IPAが注意を呼び掛けているボット「Geimini(ゲイミニ)」に感染すると、攻撃者の命令に従うようになり、意図しない電話発信やメールの送受信、個人情報の漏えいといった被害を受ける恐れがある。複数のセキュリティ機関の調査によると、Geiminiの感染は主に中国で広まっており、今のところ国内での被害は確認されていない。だが、流通経路によっては国内でも同様に被害を受ける可能性がある。 IPAによると、Geimini感染経路の1つは、グーグルが運営している「Android Market」以外の、第三者によるアプリ配布サイト。こうしたサイトで配布されてい
米Facebookがソーシャル・ネットワーキング・サービス(SNS)サイト「Facebook」に最近施した変更について、セキュリティ会社の英Sophosは「重大なプライバシーの問題を引き起こす可能性がある」として、Facebookを批判するコメントを英国時間2011年1月16日に発表した。 Facebookは1月14日に、承認を得た外部サイトやアプリケーションが共有できるユーザー情報に、住所と携帯電話番号も含めたことを開発者向けブログで明らかにした。 Facebookでは、ユーザーがFacebookと連携する外部サイトやアプリケーションなどにFacebookアカウントでログインすると、そのサイトおよびアプリケーションがFacebook内の個人情報にアクセスしてよいか許可を求められる。許可を要求するダイアログでは今後、承認した場合に名前、性別、友だち情報など、Facebook内で公開している
すべてのCAが、どのような名称でも証明書を交付できるという現行モデルは、セキュアではあり得ない。有効なAuthenticodeコードサイニング証明書でサインされたファイルについて調査すると、このことを再認識させられる。 このようなものを、われわれは以前目にしたことがある。しかし今回のケースは、連絡先が非常に本物らしい点が奇妙だった。通常、有効だが悪意ある証明書では、詳細は明らかに虚偽であるか疑わしいものだ。 わたしは、この証明書にある名称とアドレスに該当する企業を探し、産業用プロセス制御とオプティマイゼーション関連のサービスを提供する小規模なコンサルティング会社を見つけた。 この会社に連絡をとり、彼らのコードサイニング証明書が盗まれたことに気づいているかどうかを尋ねた。そして彼らがコードサイニング証明書を有していないと回答したため、事態はわたしにとってより興味深いものとなった。実際、彼らは
米Intelは、デジタルコンテンツ保護に使われるHigh-bandwidth Digital Content Protection(HDCP)のマスタキーがインターネットに流出した経緯を調査している。 HDCPはIntelが開発したもので、Blu-rayプレーヤーやHD(高精細)テレビなどの間で転送される音声・映像コンテンツを保護し、コンテンツを受け取る側のデバイスがライセンスを受けていることを確認するためのプロトコル。 マスターキーは、民生機器向けの鍵を生成するために使われる。9月14日に、HDCPのマスターキーがインターネットに投稿されたと報じられた。Intelは16日に、流出したマスターキーは本物だと認めた。 「何者かがマスターキーをどのように入手したのか、どのように見つけ出したのかを調査している」とIntelの広報担当トム・ワルドロップ氏は語った。 マスターキーを知っている人なら誰
フィッシング対策協議会はこのほど、8月のフィッシング情報届出状況を発表した。8月の海外を含むフィッシング届出件数は58件で、7月から35件増加した。 また、フィッシングサイトのユニークなURL数は7月より13件増加の46件、ブランド名を悪用された海外を含む企業の数は7月より13件増加の19件となっている。軒並み増加しているが、推移でみると6月とほぼ同数だ。 8月は、VISAやマスターカードを騙るフィッシングサイトの報告が多く、またモバゲーやGREEといった携帯ユーザーを狙ったフィッシングサイトも増えており、月末にはオンラインゲームサービスの「PlayOnline」を騙ったフィッシングサイトも確認された。 メール自体が名前やカード番号などの入力を促すフォームになっているフィッシングメールの報告も寄せられた。同協議会では、不審なメールやサイトを見つけた場合は、サービス事業者か同協議会まで連絡す
文:Lance Whitney(Special to CNET News) 翻訳校正:矢倉美登里、福岡洋一2010年09月03日 14時26分 顧客データへのアクセスをめぐって、このところResearch In Motion(RIM)と対立していたインドが、今度はGoogleやSkypeにも手を伸ばそうとしている。 Bloombergその他の報道によるとインド政府は、RIM、Google、Skypeの3社に対し、インド国内にローカルサーバを設置して、暗号化されたメールなどの通信に治安当局がもっと簡単にアクセスできるようにすることを求める意向だという。 インドのG. K. Pillai内相は米国時間9月1日、GoogleとSkypeに対して、治安当局によるデータへの「合法的アクセス」を可能にするよう求める通知を送る、と記者団に語った。武装勢力やテロ組織が暗号化されたネットワークを利用して攻撃
自作のプログラムを使っていたら、突然警察に逮捕された。図書館ホームページからの情報入手を巡る事件では、IT技術者から不安や懸念の声が上がっている。逮捕の背景には、図書館がコンピューターの管理をメーカー任せにしている問題があるほか、捜査当局のITの知識を疑問視する声も上がっている。 ある自治体の図書館で働く職員は「図書館はシステム面で当事者意識が乏しすぎる」と図書館側の問題を指摘する。指定管理者制度で一般企業から図書館に入ったが、引き継ぎ時にシステムの仕様書がなかった。「文系が多く、メーカーに『難しいことはわからないからやっておいて』という態度が目立つ」という。 事件の舞台になった岡崎市立図書館と同じソフトを使う別の図書館では、朝日新聞が不具合を指摘したのに対し、「システムのことは全部メーカーに任せている。その件でもきちんとやってくれると思う」と回答した。 日本図書館協会の松岡要事務局
愛知県内の男性(39)が、自作プログラムで図書館ホームページから新着図書の情報を集めたところ、サイバー攻撃を仕掛けたとして逮捕された。しかし、朝日新聞が依頼した専門家の解析によると、図書館ソフトに不具合があり、大量アクセスによる攻撃を受けたように見えていたことが分かった。同じソフトを使う全国6カ所の図書館でも同様の障害が起きていたことも判明。ソフト開発会社は全国約30の図書館で改修を始めた。 この問題は同県岡崎市立図書館で起きた。ソフトには、蔵書データを呼び出すたびに電算処理が継続中の状態になり、電話の通話後に受話器を上げたままのような状態になる不具合があった。一定の時間がたつと強制的に切断されるが、同図書館では10分間にアクセスが約1千件を超えると、ホームページの閲覧ができなくなり、大量アクセスを受けたように見えたという。 男性はソフトウエア技術者で、岡崎市立図書館から年に約100冊
NTTコミュニケーションズは、パソコンのキーボードで入力する際のクセや特徴を見抜いて個人を認証するソフトを開発した。 不正アクセスなどによる「なりすまし」を発見できる利点があり、パソコンを使った遠隔教育などでの活用が見込まれている。今年度中に国内初の商用化を目指している。 「キーストローク・ダイナミックス」と呼ばれる生体認証技術の一種で、キーを押してから離すまでの時間や、次のキーを押すまでのタイミングやリズムなどで個人差が大きいことを利用した。 事前に1000文字程度のキー入力で様々なパターンのクセを登録し、その後入力される文章150文字程度ごとに、本人の打ち方との共通度を判定。打ち方のデータは、ネットワークにつながった利用者のパソコンから、同社の認証用サーバーに送られる仕組みだ。実証実験によると、本人か別人かをほぼ100%見分けることが可能という。 パソコン利用中は継続して認証できるため
iPhoneとiPadの脆弱性を悪用すれば、遠隔から情報を盗み見たり、不正操作できたりする。セキュリティ企業が攻撃を再現し、アップデートの重要性を呼び掛けた。 セキュリティ企業のラックは8月12日、iPhoneとiPadの脆弱性を悪用する攻撃が発生する可能性が高まったとして、米Appleが11日(現地時間)に公開したiOSの更新版の適用を呼び掛けた。脆弱性を悪用する方法をデモで再現し、iPhoneとiPadのリスクについて警鐘を鳴らしている。 Appleが公開した更新版の「iOS 4.0.2」(iPhone 3G以降と第2世代以降のiPod touchが対象)と「iOS 3.2.2」(iPadが対象)では、Compact Font Format(CFF)データを処理する際のスタックバッファオーバーフロー問題に起因するFreeTypeの脆弱性と、IOSurfaceプロパティを処理する際の整数
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
