【転載】保育士派遣などのアスカ、サイバー攻撃受け個人情報3万件流出か

保育士派遣などのアスカ、サイバー攻撃受け個人情報3万件流出か:

人材派遣会社大手のアスカグループのウェブサイトが何者かの不正アクセスを受け、労働者情報の仮登録を済ませたユーザー最大3万件のデータが外部に流出した可能性が浮上しています。

情報によると、アスカグループへのサイバー攻撃は2020年5月に発生し、同社に登録していた派遣労働仮登録者の氏名や住所、連絡先に資格などの個人情報が、インターネット掲示板に不正にアップロードされた可能性があるとのこと。

なお、攻撃者はウェブサービスに本来想定されていない不正なコードを注入する「SQLインジェクション」と呼ばれる手口で情報を抜き取ったものと見られています。同社はウェブサイトのセキュリティを外注業者に一任しており、セキュリティ対策が不十分だった可能性が指摘されています。

今回は、サイバー攻撃の1種である「SQLインジェクション」について解説します。SQLインジェクションは特に中小企業のECコンテンツにとって脅威であり、登録ユーザーのカード情報などの、致命的な情報漏洩に繋がります。 SQLインジェクションとは？ SQLインジェクションとは、管理サーバのデーターベースを...

「要人殺害募集」求人に法外な時給など改ざん相次ぐ、不審電話も…

今回発生したアスカグループへのサイバー攻撃被害は、ウェブサイトの改ざんや不審電話などにも繋がっており、情報流出のみに留まっていません。

情報によると、公式ウェブサイトの改ざん被害は特にひどく、同社案件の求人情報の一部が「要人殺害募集」などに書き換えられたり、労働単価において「時給150000〜300000円」など法外など金額に変更される事象が確認されています。

また、サイバー攻撃との因果関係は不明ですが、同社へ登録した一部ユーザーには発信元不明の不審な電話が架電される事象も発生。被害は甚大と言える状況です。

流出から1か月以上公表せず

アスカグループは記事発表時点でサイバー攻撃による情報流出の可能性について、正式な告知をしていません。また、流出から既に1か月が経過しているにも関わらず、被害者への個別連絡等の対応を取っていませんでした。

なお、情報によると、同社は対応が遅れた理由として、「ある程度こちらの調査が終わった時点で連絡をすることを考えていた」と説明しているとのことです。

参照人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず/dmenuニュース

【転載】MGMリゾート不正アクセス、流出被害者1億4千万件の情報が販売される

MGMリゾート不正アクセス、流出被害者1億4千万件の情報が販売される:



2020年7月に入り、米国ラスベガスのリゾートホテルなどを運営する「MGMリゾート」から流出したと見られる約1億4千万人もの個人情報が、ハッカーフォーラムにて販売されている事象が確認され、海外メディアを中心に波紋を呼んでいます。

「MGMリゾート」は2019年、海外ハッカーにより大規模な不正アクセスを受け、情報流出の懸念が生じていた企業です。

これまで「MGMリゾート」から流出した個人情報は、ハッカー自身が無料公開した過去の宿泊客など1,060万人分のデータと見られていました。ところが2020年7月に入り、問題のハッカーが「MGMリゾート」の更なる流出情報として、約1億4千万人にも及ぶ個人情報を約30万円程度で有償販売を開始。関係企業に混乱を与えている状況です。

政府関係者や有名人などの情報も

情報によると、ハッカーが公開した個人情報は、氏名や住所、メールアドレスや電話番号などの基本的な個人情報で、クレジットカード情報は含まれていませんでした。

しかし流出情報の中には、政府関係者やTwitterCEOのジャックドーシーやジャスティンビーバー、主要技術企業の従業員情報などの個人情報が内在している事実も判明。また、氏名や住所などの情報は、標的型のフィッシング攻撃などへ転用されるリスクも有しているため、危険な状況に変わりはありません。

これに対して、「MGMリゾート」は一連の事案は2019年夏に把握しており、適切に対処したとの認識を示しています。

参照NightLion hacker is selling details of 142 million MGM Resorts hotel guests/securty affairs

【転載】日本クレジット協会が不正利用被害の集計結果を公表。不正利用されたらやるべきことは？

日本クレジット協会が不正利用被害の集計結果を公表。不正利用されたらやるべきことは？:

クレジットカードの業界団体の1つである一般社団法人日本クレジット協会は、2020年6月30日に2020年第1四半期（2020年1月～3月）における不正利用の被害状況を取りまとめ、公開しました。

クレジットカードの不正利用の状況

同協会の発表によれば2020年第1四半期の各種指標は以下の通りです。

• 不正利用被害額：61.0億円（2019年第4四半期（10月～12月）より11.3%減少）
• 不正利用被害額のうち偽造被害額：43億円（4.4％減少）
• 不正利用被害額のうち番号盗用被害額 ：49.2億円（12.0％減少）
• 不正利用被害額のうちその他の被害額： 7.5億円（10.7％減少）

番号盗用被害額がやはり多い

今回の結果からもわかるように、クレジットカードの不正利用の原因で一番多いのは、番号盗用被害です。つまり「番号を盗み出して、それを元に不正利用する」と考えましょう。

従来のクレジットカードは、磁気ストライプにすべての情報を記録させる単純な作りだったために、スキミングという特殊な機械を用いて情報を盗み出すことさえできれば、偽造カードを作るのは簡単にできました。しかし、今はすべてのクレジットカードにICチップが搭載されているため、昔ながらの偽造は難しくなっています。

一方で、オンラインショッピングなど非対面かつクレジットカードの実物を必要としない取引も増えてきたため、クレジットカードの番号や有効期限、会員名やセキュリティコードなど、かなり記憶力のいい人なら暗記できてしまう情報だけで不正利用ができるようになったのも事実です。

teacher

最近では、バイト先のスーパーでレジ打ちをしていた高校生が、客のクレジットカードを見て不正利用するという事件まで起きました。どこで何があるかわかりませんよね。詳しい報告は、以下のリンク先からも読めますよ。

https://www.j-credit.or.jp/download/news20200630b.pdf - www.j-credit.or.jp

クレジットカードが不正利用された！どうすべき？

クレジットカードが不正利用されないようにするには、普段の心がけが非常に大事です。

• 買い物をする際は店員にクレジットカードを渡さない
• 渡すよう求められた場合は理由を聞き、適切に対応する
• 端末に怪しげな仕掛けがしてあったら使わない
• 利用明細はこまめにチェックし、覚えのない請求がないか調べる
• アプリやメールで利用通知が届くようにする
• クレジットカード情報は自分以外には見せない

など、不正利用を防ぐためにすぐにできることはたくさんあります。しかし、それでも不正利用されてしまった場合、どうすればいいかおさらいしておきましょう。

１．何はなくともまずは連絡する

必ずやらなくてはいけないのが、クレジットカード会社への連絡です。不正利用の場合、盗難・紛失の対応を行うコールセンターでも受け付けてくれます。24時間365日対応なので、気づいた時点ですぐに連絡しましょう。犯罪かどうかわからなくても、身に覚えがない支出なら、一度コールセンターに聞いてみたほうがいいでしょう。

２．警察に被害届を出す

不正利用の原因が、詐欺、盗難などの犯罪行為であった場合は、被害届も提出しなくてはいけません。最寄りの警察署や警視庁サイバー犯罪相談窓口に相談し、適切案対応を仰いでください。

３．クレジットカードの再発行を受ける

不正利用された場合、同じ番号でクレジットカードを使い続けることはできません。再発行してもらいましょう。なお、再発行にあたっては、手数料がかかるのが一般的です。500円～1,000円程度なので、コールセンターでのやり取りの際に確認しておきましょう。

４．クレジットカード情報を変更する

携帯電話料金や公共料金、月額コンテンツの支払いなど「毎月支払う義務があるもの」をクレジットカードで支払っていた場合は、番号が変わると支払いができなくなります。番号が変更になった場合の手続きをしておきましょう。

teacher

不正利用の手口と対処法については、こちらの記事でまとめました！

クレジットカードの不正利用の手口は様々。被害にあっても、100％補償は受けられると限らないので要注意！ - xn--lckh1a7bzah2hphpa1m7710eeitd.xyz

【転載】三越伊勢丹の顧客アカウントが不正アクセス被害、一部カード情報流出か

三越伊勢丹の顧客アカウントが不正アクセス被害、一部カード情報流出か:



画像：株式会社エムアイカードより引用

株式会社 三越伊勢丹のグループ企業であるクレジットカード会社「株式会社エムアイカード」は2020年8月5日、三越伊勢丹が運営するオンラインショッピングサイト「三越伊勢丹オンラインストア」のユーザーアカウント15,336件および、エムアイカードウェブサイトのユーザー情報3,583件について、第三者のサイバー攻撃による不正閲覧が発生したと明らかにしました。

同社によると、発覚のきっかけは被害者からの通知です。

これまで同社ウェブサービスを利用してきたユーザーから「身に覚えのない通知メールが届いた」と連絡があり、これを同社が調査したところ、2020年7月6日～2020年8月3日にかけて、各サイトに対する不正なログイン履歴が検出されたとしています。

手口はリスト型ハッキング

エムアイカードは攻撃者の手口について「リスト型アカウントハッキング」と分析しています。

同社によると、攻撃者は何らかの手法で他社のサービスから流出したID・パスワードをまとめたリストを入手し、これを同社サイトに機械的に入力した疑いがあるとのこと。ウェブユーザーの一定割合は「複数のサービスで同じID・パスワードを使用する」傾向にあるため、該当ユーザーが被害を受けたものと見ています。

このため、同社は被害アカウントのユーザーに対してメールで通知した上で、パスワードを変更し、他のサービスとの使いまわしを避けるよう呼び掛ける方針です。

なお、今回の被害の内訳は次の通りです。

対象サービス	「三越伊勢丹オンラインストア」のユーザー	エムアイカード ホームページのユーザー
期間	2020年7月6日～2020年8月3日	2020年7月6日～2020年8月3日
件数	15,336件	3,583件
内訳	氏名 住所 電話番号 メールアドレス 生年月日 カード番号の下4桁 有効期限	会員氏名 ご請求予定額 現在の保有ポイント

参照「リスト型アカウントハッキング（リスト型攻撃）」による不正ログインの発生とパスワード変更のお願い/株式会社エムアイカード

【転載】在宅勤務時にＰＣウイルス感染 不正アクセス、従業員情報が流出―三菱重工

在宅勤務時にＰＣウイルス感染　不正アクセス、従業員情報が流出―三菱重工：時事ドットコム:







　三菱重工業は７日、名古屋地区のネットワークに外部から不正アクセスがあり、従業員の個人情報などが漏えいしたと発表した。在宅勤務中に外部ネットワークへ直接接続した従業員の社用パソコンがウイルスに感染したことが原因。在宅勤務時のセキュリティー対策の重要性が改めて浮き彫りになった。 　三菱重工によると、流出したのは同社のネットワークを利用する名古屋地区など一部従業員の氏名やメールアドレスなどで、件数は明らかにしていない。取引先や、防衛、航空機開発関連など機密性の高い情報の漏えいはなかったと説明している。

　不正アクセスは５月２１日に名古屋地区のサーバーを通して外部不正通信を検知したことで発覚。調査の結果、４月２９日に従業員が社用パソコンで外部ネットワークに直接接続し、インターネット交流サイト（ＳＮＳ）を利用した際にウイルスに感染。社内ネットワークを通じて被害が広がった。

【転載】ホームページに対する不正アクセス及びお客様情報の流出の疑いに関するお知らせとお詫び（ 株式会社城南進学研究社）

[PDF] ホームページに対する不正アクセス及びお客様情報の流出の疑いに関するお知らせとお詫び
株式会社城南進学研究社
2020年7月16日
contents.xj-storage.jp/xcontents/AS70…: [PDF] ホームページに対する不正アクセス及びお客様情報の流出の疑いに関するお知らせとお詫び

株式会社城南進学研究社

2020年7月16日

contents.xj-storage.jp/xcontents/AS70…




バックアップ

78:22の宇宙法則（ユダヤの商法）

 

ウラケンさんがいつぞやのツィートでこの「ユダヤの商法」という本を紹介されていたので、図書館で借りて読んでみた。

ウラケンさん紹介の書籍だけあって、いろいろ勉強になることがあった。

日本マクドナルドの創業者として藤田田は有名だが、図らずして彼の半生も知ることができた。

最近の中国は中共による独裁化により、世界とのデカップリングが進みつつあるが、4000年の歴史がある。

しかし、ユダヤにはそれそ超える5000年の歴史があるという。

そんなユダヤの法則に「78:22の宇宙法則」というものがある。

これ、厳密には78にも22にもプラスマイナス1の誤差が生じるようで、厳密に考える必要はない。

この法則は正方形とその正方形に内接する円の関係（正方形の面積を100とした場合、内接する円の面積は78.5）から始まり、空気中の成分（窒素78、酸素等22）、人体（水分78、その他の物質22）、お金の貸借受容（貸したい人78、借りたい人22）といろいろ表現されている。

個人的に思いついたのはインバスケットの攻略法で出てくる2:8の法則（インバスケットで出てくる課題は2割だけを深くやればよい）とか、会社組織における2:8の法則（従業員のうちまじめに働くのは2割だけで8割は怠けるという法則）なんかもこれに当たるのかと思った。

その他気になったのは、「きれいな金」とか「きたない金」というものは存在しないということ。

これは難波金融伝でも「汚い銭でも銭は銭や」という名セリフが残るが、同じ話である。

次は必ずメモを取るという事。

ある意味仕事の基本なのかもしれない。

ユダヤ人は特にメモ帳を持つようなことはしないが、必要に応じてタバコの空き箱とかを代用してメモを取っていた。自分は昔、佐々木常夫氏の講演にてメモを取ることの重要性を聞き、ワイシャツのポケットの入るサイズのメモ帳を買って常に忍ばせている。

雑学を積むべし

雑学と言っても雑談のネタではない。政治、経済、歴史、スポーツ、レジャーとあらゆる分野にわたって豊富な知識を持つことは人生を豊かにしてくれる。

今日のケンカは明日に持ち越さない

「人間の細胞は刻々と変化し、日々に新しくなっている。だから昨日ケンカした時の相手の細胞は、今朝は新しい細胞と入れ替わっている。」

ユダヤ人はそんな考えのもと、商談とかで大ゲンカしても翌日の朝はケロリとした態度で「グッド・モーニング」と言ってくる。

昨日の興奮を引き継いで翌日も動揺しているのは敵の術中にはまっていると認識しなければならない。

不意の客は泥棒と思え

日本には「人を見たら泥棒と思え」という格言があるが、これと同じような位置づけかもしれない。

アポイントメントを取らない人は失礼な奴である。

働くために食うな。食うために働け。

日本だと食べるために働く「ライスワーク」が多いと思う。

自分は社会人になった際、働く目的について、「食べること」の上を目指さなければならないと言われ、職業人として何を目指すかを考えたことがある。

ユダヤ人の「食うために働け」は上記とは根本的に意味が異なる。

ユダヤ人の「食う」とは、晩餐を2時間くらいゆっくりとって楽しむことである。毎日晩餐を2時間楽しむにはそれなりの財力がいる。

それゆえに働く目的になるのである。

日本文化である「早メシ早グソ」は外道中の外道なのである。

上記の事もあり、メシの時には仕事の話をしないのもルールであり、「ランチョンミーティング」もまた、外道中の外道である。

金銭教育は小さい時から行うべし

おこづかいは年功序列ではなく、同一労働同一賃金の歩合給とすべきである。

こうすると、子供も積極的に家事を手伝うのではなかろうか。

【転載】SSL/TLSサーバ証明書、最大有効期間 398 日へ短縮（フィッシング対策協議会）

SSL/TLSサーバ証明書、最大有効期間 398 日へ短縮（フィッシング対策協議会）:

フィッシング対策協議会は7月14日、サーバ証明書の有効期限の短縮に関するお知らせを公開した。Apple社がサーバ証明書の最大有効期間の短縮を発表しており、9月1日以降に発行されるサーバ証明書から適用される。これは、Apple製品ユーザの利益の向上とWebセキュリティの向上のために実施されるもので、398日を超える有効期間のサーバ証明書が使用されたWebサイトにSafariでアクセスした場合に、信頼されない旨の注意喚起や警告が表示されるようになる。



サーバ証明書の有効期間は、業界団体であるCAブラウザフォーラムによる議論で決定されるが、6月の会合ではGoogleもこの動きに追随する計画を発表しており、Mozillaも同様の発表を行っている。他の主要ブラウザも同様の発表を行う可能性がある。SSL/TLSサーバ証明書は、公開鍵暗号方式を使用している。暗号化と復号に公開鍵と秘密鍵の2種類の鍵を利用することが特徴となっている。



この暗号方式では、素因数分解問題や離散対数問題といったコンピュータの苦手な計算を使用することで、容易に解読できない暗号強度を実現している。そして、コンピュータの性能の向上により暗号が解けてしまう可能性から、難易度（強度）を上げている。しかし、そのためには端末側の強度を上げることと、サーバに実装する証明書の強度を上げる必要がある。現在では、端末に家電やPOS、IoT機器も含まれるようになり、アップデートが難しくなっている。



6月時点で、サーバ証明書の有効期間は最長825日（27カ月）と規定されている。当初のCAブラウザフォーラムでの提案は、最長有効期間であった39カ月を1年（398日）に短縮するというものであったが、認証局メンバーの自社ユーザへのヒアリング情報をもとに、825日が現状で市場に受け入れられる限度という状況を訴求し、決定を見たという経緯がある。

《吉澤 亨史（ Kouji Yoshizawa ）》