セキュリティホール memo - 2014.07
》 Chinese military “hacked” Israel’s Iron Dome (ars technica, 7/29) 》 マウント・ゴックス方面 ビットコイン:「事業引き継ぎ利益還元」買収提案の湯氏 (毎日, 7/17)。ビットオーシャンジャパンの湯順平氏。 マウント・ゴックス:債権者集会 社長謝罪 負債87億円 (毎日, 7/23) ビットコイン16億円相当を不正引き出し 警視庁が捜査 (朝日, 7/30) 》 上海福喜食品期限切れ肉関連 (前ねた: 7/22, 7/28) 日本マクドナルド、安全・安心な商品を提供するための取り組みを強化、 メニューの原材料の最終加工国、主要原料原産国 (日本マクドナルド, 7/29) 「毒食肉」の源はアメリカ? (ニューズウィーク日本版, 7/30)。OSI グループ、US 国内工場でも似たりよったりのひどい実態の模様。 先週まで6年
ベネッセの報告書を読んで浮かんだ違和感
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 報告書の概要 7月に発覚したベネッセコーポレーション(コーポレーション)の情報漏えいについての再発防止策を含む調査報告書(報告書)が公開されました。 本報告書は9月12日にコーポレーションからベネッセホールディングス(ホールディングス)に提出されたものを公開用にまとめたもので、一般の方にベネッセの取組を紹介する目的で公開されたものです。 報告書で記載されていることは概ねこれまでに公開されていたもので、調査結果については特段新しいものはありません。ただ、情報が二転三転している部分があったのと、多くの情報が公開される中でソースがわからなくなっているものがありましたので、それをまとめて読めるという点で良い報告書となっています。 報告書の内容と
USB Devices and Media Transfer Protocol
USB Devices and Media Transfer Protocol Identifying the Existence of Data Exfiltration Artifacts Nicole Ibrahim G-C Partners, LLC Importance Increasing adoption of MTP in portable devices Android Windows Blackberry Its easy to copy files from a computer to a USB attached MTP device Not fully understood in the forensic community MTP devices create different Windows artifacts Your an
Windows へのスマートフォンの接続を禁止する
ベネッセの個人情報漏洩事件が世間を騒がせていますが、個人情報を持ち出すきっかけになったのは「スマートフォンを充電するためパソコンに専用ケーブルを通じて接続したら、偶然パソコンがスマートフォンを認識したためデータをコピーすることを思いついた」と報道されています。おそらく通常の USB メモリの接続は許可しない設定になっていたのでしょうが、残念ながら Windows Vista 以降の Windows とここ数年のスマート フォンの組み合わせでは、その設定では接続を禁止できません。 ※上掲図版はNHK ホームページ (http://www3.nhk.or.jp/news/html/20140718/k10013103401000.html) から引用 USB メモリの場合、サポート技術情報の「USB 記憶装置を使用できないようにする方法」やこちらの記事の「グループポリシーを利用したUSBメモリ
ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
社内のUSBメモリ管理って大丈夫!? この事件ですが、漏えいしたデータはデータベースの管理に関わっていた派遣社員(後に業務委託と訂正がありました)が、USBメモリを使って何度も少しずつデータを抜き出していたことが判明し、逮捕されます。犯人は普通のユーザーではアクセスできないデータにアクセスする権限を持っていたため、情報を盗み出せたようです。 当初は被害者に賠償しないつもりに見えたベネッセですが、長期にわたりデータが抜き出されていたことを見つけられなかったというずさんな情報管理が明らかになるにつれ、態度を変化、平謝りとともに賠償の準備を行っています。 この点に関しては、派遣社員に機密データを扱わせることに問題があるという意見が多かったです。派遣社員の待遇を改善していれば犯罪は起きなかったのではという意見もありましたが、そこそこの収入があり、ギャンブルなどによる借金返済のための犯行であることが
ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか、IT部門は設定の再点検を
ベネッセコーポレーションによる個人情報漏洩事件では、容疑者は大量のデータを貸与PCから私物のスマートフォンにコピーし、持ち出していたとされる。貸与PCはUSBメモリーへのデータ書き込みを禁止する設定だったとされるが、なぜ容疑者はスマートフォンにデータを書き込めたのか。 複数のセキュリティ技術者が「有力な可能性」として指摘するのが、USBマスストレージの使用は制限できていた一方、デジタルカメラや携帯音楽プレーヤ、スマートフォンに特有のファイル転送方式「MTP(Media Transfer Protocol)」の使用を制限できていなかった可能性である。 一般的なUSBメモリーは、Windowsのデバイスクラスでは「USBマスストレージ」として認識され、ドライブ名が割り当てられる。一方でスマートフォンでは、USBマスストレージのほか、ドライブ名が割り当てられないWPD(Windows Porta
【改訂】一部機器におけるUSB接続時の使用制限動作「デバイス種別」について|SKYSEA Client View
別表1:デバイスを接続した際に、SKYSEA Client Viewで識別されるデバイス種別について SKYSEA Client View Ver.7.0以降の環境において、接続したデバイスは下記のような種別に分類され登録されます。
ベネッセ事件容疑者はなぜスマホでデータを持ち出せたか、IT部門は設定の再点検を | 日経 xTECH(クロステック)
ベネッセコーポレーションによる個人情報漏洩事件では、容疑者は大量のデータを貸与PCから私物のスマートフォンにコピーし、持ち出していたとされる。貸与PCはUSBメモリーへのデータ書き込みを禁止する設定だったとされるが、なぜ容疑者はスマートフォンにデータを書き込めたのか。 複数のセキュリティ技術者が「有力な可能性」として指摘するのが、USBマスストレージの使用は制限できていた一方、デジタルカメラや携帯音楽プレーヤ、スマートフォンに特有のファイル転送方式「MTP(Media Transfer Protocol)」の使用を制限できていなかった可能性である。 一般的なUSBメモリーは、Windowsのデバイスクラスでは「USBマスストレージ」として認識され、ドライブ名が割り当てられる。一方でスマートフォンでは、USBマスストレージのほか、ドライブ名が割り当てられないWPD(Windows Porta
個人情報の管理徹底を要請 経産省、業界3団体に - 日本経済新聞
経済産業省は15日、全国学習塾協会と全国学習塾協同組合、日本通信販売協会に対し、取り扱う個人情報が外部に流出しないよう管理の徹底を要請した。ベネッセホールディングス傘下のベネッセコーポレーションで顧客情報が漏洩した問題を受け、個人情報保護法の順守を改めて求めた。経産省の松岡建志サービス政策課長が3団体に要請書を手渡した。全国学習塾協同組合の森貞孝理事長は「名簿業者から適正に取
ベネッセ個人情報流出事件 - Wikipedia
ベネッセ個人情報流出事件(ベネッセこじんじょうほうりゅうしゅつじけん)とは、2014年7月9日に発覚した、「進研ゼミ」や「こどもちゃれんじ」を運営する、通信教育の最大手企業であるベネッセコーポレーションの個人情報流出事件。流出した顧客情報は最大で3504万件に及ぶ。 概要[編集] 2014年6月ごろより、ベネッセの顧客に、ベネッセのみに登録した個人情報を使って他社からダイレクトメールが届くようになり、ベネッセから個人情報が漏洩しているのではないかという問い合わせが急増した[1]。 ベネッセは社内調査を行い、同年7月9日、原田泳幸会長が記者会見し、「データベースの顧客情報が外部に持ち出され、最大約2070万件の情報が漏洩した可能性がある」と発表した[2]。流出した情報は、進研ゼミなどの顧客の情報であり、子供や保護者の氏名、住所、電話番号、性別、生年月日など。 7月19日、警視庁は、ベネッセの
ベネッセ情報流出から考える--権限を持つ社員の犯行をいかに防ぐか
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ベネッセコーポレーションにて先日発生した、外部委託会社や契約社員による大規模情報流出事件が連日世間を騒がせています。事件に関連した考察や企業側の視点でこうした事例の予防・回避策、被害者側からの視点でこうした事件から自分の身を守る方法などなど、さまざまに報道されています。 本件の概要などについては他でもさんざん語られていますし、未解明の部分も少なくないため、ここでは触れません。ここから先は、技術的に少々気になった点と、本質的に考えなくてはならないことを執筆します。 技術的観点 内部からの情報流出では、例えばUSBメモリのような「データ記憶に特化したデバイス」ではなくて、例えばデジタルカメラであったりスマートフォンであったり、どちらかという
ベネッセの情報漏えいをまとめてみた。 - piyolog
2014年7月9日、ベネッセホールディングス、ベネッセコーポレーションは同社の顧客情報が漏えいしたと発表を行いました。ここではその関連情報をまとめます。 (1) 公式発表と概要 ベネッセは同社の顧客情報が漏えい、さらに漏えいした情報が第三者に用いられた可能性があるとして7月9日に発表をしました。また7月10日にDM送付を行ったとしてジャストシステムが報じられ、それを受けて同社はコメントを出しています。またさらにその後取引先を対象として名簿を販売したと報じられている文献社もコメント及び対応について発表しています。7月17日にECCでも漏えい情報が含まれた名簿を使ってDMの発送が行われたと発表しています。 ベネッセホールディングス(以下ベネッセHDと表記) (PDF) お客様情報の漏えいについてお詫びとご説明 (PDF) 7月11日付株式会社ジャストシステムのリリースについて (PDF) 個人
ベネッセが埋めた名簿屋のミッシング・ピース - 雑種路線でいこう
数百万件規模の個人情報漏洩であれば、過去にも10年前のYahoo! BB事件を筆頭に諸々あったけれども、それが実際に名簿屋で売買され、漏洩元の競合他社からDMが届くなど、露骨なデータ活用まで確認された事案としては史上最大規模ではないか。我が家にもジャストシステムからDMが届いたし、子持ちの知り合いには軒並み届いているようだ。データを販売した名簿屋が堂々と宣伝しているのも新時代の到来を感じさせる。別会社までつくって大層な力の入れようだが、社名と代表者を変えても同じCMS、キャッチフレーズ、代表挨拶、住所では頭隠して尻隠さず、よほど大きなビジネスチャンスと期待したのだろうか。こうやっていくつもの会社をつくって個人データを転売されてしまうと、個別にオプトアウトしても意味がなくなってしまう。 弊社が提供する通信教育サービス等のお客様に関する情報 約760万件(最大可能性 約2070万件) ・郵便番
ベネッセ以上にジャストシステムが問題 - INSIGHT NOW!プロフェッショナル
/数日前からベネッセの大量情報流出が問題になっている。だが、顧客が怒っているのは、情報を盗まれた同じ被害者の側のベネッセより、盗んだ情報を使って広告を送りつけてきたジャストシステムだ。/ 説明:この記事は、7月10日朝8時のものです。この時点では、前日のベネッセの情報漏洩だけが報道され、マスコミは、例年の一太郎キャンペーンの大スポンサーであるジャストシステムの名前を出そうとしませんでした。しかし、自分の個人情報を盗まれ、DMを送りつけられた本当の被害者である子供たちからすれば、もともと、誰がワルなのか、は、最初から、はっきりしており、だからこそ、事件が発覚したのです。そして、その状況は、いまも変わっていません。どういう入手経路であれ、ジャストシステムは、ストーカーのようにかってに子供たちの個人情報を調べ上げ、自分の商売に利用しようとしたのであり、それは邪悪な不正です。子供たちに謝るべきです
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2014年7月18日のtwitterセキュリティクラスタ – twitterセキュリティネタまとめ
茂木経済産業大臣の閣議後記者会見の概要(METI/経済産業省)
【ベネッセ情報漏洩】経産省が関係業界団体に要請 個人情報保護法の順守 - MSN産経ニュース