  |
はてなキーワード: 漏えいとは
弊社サービスをご利用いただいているお客様への重要なご報告とお詫び
このたび、弊社のサービス「WelcomeHR」におきまして、弊社のお客様の個人データが、限定された特定の条件下において外部から閲覧可能な状態にあり、これにより個人データが漏えいしていたことが判明いたしました(以下「本件」といいます。)。その内容と現在の状況について、下記のとおり、お知らせいたします。
お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。
1. 本件の概要
本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。
当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者によるファイルのダウンロードが行われていたことが発覚いたしました。
氏名、性別、住所、電話番号、お客様がアップロードした各種身分証明書(マイナンバーカード、運転免許証、パスポート等)、履歴書等の画像
162,830人(うち、第三者によるダウンロードが確認されたものは、154,650人)
なお、本件で漏えいした情報は、弊社と直接契約しているお客様環境のものです。OEM契約又は再使用権許諾契約に基づくお客様に関しては、別環境であるため、対象ではありません。
3. 期間
(1)ダウンロードが確認された期間 2023年12月28日から2023年12月29日
(2)閲覧が可能であった期間 2020年1月5日から2024年3月22日
4. 原因
5. 経緯
2024年3月22日、セキュリティ調査を実施していたところ、サーバーのアクセス権限の誤設定が報告され、同日、直ちに是正いたしました。その後の調査の結果、2024年3月28日、上記期間において第三者によるダウンロードが確認されました。
逆にこんなガバガバな意識とオペレーションで個人情報扱うSaaS立ち上げてるとこもあるんだなと逆に感心してしまった
やったもん勝ちなとこあるな
ハラスメント担当の女性教授、相談内容を漏えいし対応も怠り減給処分に
https://www.yomiuri.co.jp/national/20240321-OYT1T50246/
あー、やっぱりこういう事件が起きたねー。
当方、KKDRのどれかの教員。東京の大規模私大からいまの大学に来て驚いたことのひとつが、大学に独立したハラスメント相談室がないこと。代わりにいるのがハラスメント相談員。学部とか部署ごとに、メンバーの一人がハラスメント相談員ということになってる。ハラスメントに遭った時には、まずその人に相談するんだって。
いやしないだろ、そんな同じ部署にいる人に相談なんて。研修は受けてるそうだけど、普通の教員や事務職員が他の仕事に加えて引き受けるものなのよ。そんな人に秘密を話せるかってーの。小規模大だと独立相談室を置く予算がないというのもわかるけどさ。
●国民総背番号制へ
国による国民監視が強まるとの不安にたいし、政府は「国民を管理する仕組みになっていない」と説明します。
しかし、住基ネットが始まる前に、国の利用事務を恩給・共済年金の支給、建設業許可など現在の九十三から、旅券発給や婚姻届など二百六十四に広げる法案(継続審議)を出してきました。
住民基本台帳法「改正」のさい、国会は「安易な拡大を図らない」と付帯決議しましたが、これに反するものです。
来年八月からは希望者に「住基カード」が交付されます。これには市町村が図書館の利用や印鑑登録など独自のサービスを付加できます。政府は、納税者番号にも利用できないかと考えています。
収入や財産、思想信条から病歴、犯歴まで個人情報がまるごと集められることになります。情報が集まれば集まるほど、漏えいしたときの被害は大きくなります。
さまざまな個人情報が住民票コードを介してつながることになります。国民一人ひとりの個人情報が中央の情報センターで一元的に把握でき、国民監視の道具として使えることになるのです。
日本ペンクラブ(梅原猛会長)は、「国民総背番号制につながるプライバシー侵害や市民生活のじゅうりん等、容認しがたい」として住基ネットに反対しています。
里見。
このメールを持って僕のサイバーセキュリティ担当者としての最後の仕事とする。
まず、僕の失敗を解明するために、大河内チーフにログ分析とセキュリティ監査をお願いしたい。
セキュリティの根本を考える際、第一選択はあくまで予防であるという考えは今も変わらない。
しかしながら、現実には僕自身の場合がそうであるように、発見した時点で既に侵害や漏えいが広がっていた状況がしばしば見受けられる。
その場合には、リアクティブな対策、つまり事後対応が必要となるが、残念ながら今だ満足のいく成果には至っていない。
これからのサイバーセキュリティの飛躍は、予防以外の対策の発展にかかっている。
能力を持ったものにはそれを正しく行使する責務がある。君にはサイバーセキュリティの発展に挑んでもらいたい。
遠くない未来にサイバー攻撃による被害がこの世から無くなることを信じている。
ひいては、僕の失敗をログ分析の後、君のセキュリティ研究の一石として役立ててほしい。
『失敗は成功の元』
誰だよーん→辞めた人だよーん
なんの事だよーん→防a省入隊直後に右浴論脚の公園を受けたよーん
いつの話だよーん→数年前もしくは10年以上前ないしはそれ以上前の話
飽きたわ普通に喋るね。
入隊の数日前、私は故郷を遠く離れたとある町へと引っ越してきた。
如何にも「自衛隊が落とすお金でなんとか食べています」と言わんばかりの寂れた町並み。
住むだけなら困ることはない程度の商店街。
その町の少し外れに築何年とも分からないヒビの入り始めたアパートが桜並木に囲まれて建っていた。
公務員試験合格直後に聞いていた話では、『最初数年は地元に住める』と言われていたはずだ。
が、予定が急遽変わったのが2ヶ月前。
(中略)
入隊したてのスーツ組は市ヶ谷までやってきて講堂にすし詰めにされていた。
内容は聞くに堪えない。
「君たちは意識を高く生きろ」「俺を右翼だと言う失礼な人がいた。俺は愛国心があるだけなのに」「自衛隊アンチのカスどもと何度言い合いになったか」「俺達がついてるから頑張れ」「何度も言うが俺は右翼ではなく普通に日本を愛している人間だ」「日本を愛しているのに自衛隊が嫌いな奴はおかしい」「自分の国が嫌いな奴はおかしい」「産まれた国が嫌いな奴はおかしい」「俺のアンチは自衛隊のアンチだ」「普通の日本人なら自衛隊が好きになる」「俺は右翼じゃない。俺を批判するような奴らが左翼なだけだろ」
自覚なき右翼が延々と自分は右翼でないと言っているのを2時間も聞かされた。
泣きそうだった。
今この瞬間もこの右翼とそれを盲信する意味不明な連中が血税をゴミに捨て、同時に自分たちの人生も俺たちの時間もゴミにしている。
悲しくて仕方がなかった。
入隊して最初の月にこんな講演を聞かせて何がしたいんだ?
2つ説がある。
①自分の思想の偏りに自覚のない人間の醜さを見せて「こうはなるなよ」と暗に諭している
②自衛隊のお偉いさん達はこの右翼思想に強く共感していて、本気で素晴らしい話として聞かせている
分からない。
答えはない。
どっちだ?
どっちの確率が高いのかは分かってる。
「本気で右翼の言い分が正しいと思っている」の確率が漠然とした手触りで8割を越えている。
ゾワッと来たね。
朝霞にトイレットペーパー持参してボロボロのベットで寝泊まりして、監獄の中で囚人みたいに扱われ家族からの電話も受けられない暮らしをいきなりさせられたことなんかよりもずっとずっとだ。
俺の働くことになった田舎町にいる人達は「いやーマジ自衛隊ってアホらしいよね。でも俺ら氷河期組やし簡単に辞められんわ」とか言ってたから、ああなんだ意外と右翼っぽくないなと思ってた。
それは地方だけ。
そうじゃなきゃこんな講演を新人のスーツ組全員に聞かせるってかい?
まあその時はまだ確信はなかったんだけど、そのあとに始まった入隊教育の中で「根底に流れる思想の旧帝国軍しぐさ」を感じてさ、マジでこれはもう無理だなと。
そんで辞めたよ。
辞めた直後はこういう話をしたら情報漏えいで捕まると思って言わんかった。
辞めてそこそこ経って、冷静に考えてみたら「別に業務上知り得た秘密とかではねーな」と気づいたのでなんとなく書いてる。
自衛隊は右翼の公演を隊員に聞かせてるよ。 事務方の職員にもね。
入隊直後の単なる事務員連中に「思想教育」みたいな名前で右翼の公演を聞かせてる。
そんなことありませんって自衛隊が言ったらもうマジで見限っていいよ。
流石にそこまで堕ちてはない感じではあったけどね。
昔にしばらく働いた体感としてはだが。
強制性交罪を「不同意性交罪」に罪名変更へ…「同意なしは処罰対象」を明確化(読売新聞オンライン)
https://news.yahoo.co.jp/articles/bff1dc9f11bbaeb877233110d11606168d5edaed
こちらのニュースが出ていたので、取り急ぎ性交渉の承諾を取る際に使用する契約書のドラフトを作ってみました。
ちなみに以下のドラフトの文書は、法律に関しての専門家ではない筆者が作成したあくまでジョークの文書であり、
使用に伴って起こりうる一切のトラブルに関して筆者が責任を負うことはありません。
性交渉についての同意を取る際は、各自最寄りの弁護士さんなどに依頼して、正式な文書を作成してもらった上で、
公証役場等で正式に契約を交わしてからことに及ぶようにしてください。
-----------
第1条(目的)
本名:__________(以下、「甲」とします)は本名:__________(以下、「乙」とします)と性交渉を行うことを承諾して、本契約を締結します。本契約は、甲と乙の双方が納得して性交渉を行うことを目的とします。
第2条(承諾する行為)
1.甲は、乙より第3条で定める本件性交渉について、台本あるいはシナリオなどの具体的内容を開示され確認し、また自らが乙との間で本性交渉承諾書(以下、「本承諾書」とします)の案文を示され、その内容について説明を受け自らの意思に基づいて性交渉を行うことを承諾します。
2.甲は、性交渉を承諾するにあたり、乙、その他第三者から事実に反する説明(例えば、必ず気持ちよくなれる、さきっぽだけだから等の事実に反する説明)をされたり、何らかの理由により性交渉を強要されたり、脅迫を受けたこと、あるいはこれらの事情を言うなと成約されたことは一切ありません。
3.甲は、乙その他第三者から、本契約の締結に至るまでの間、性交渉をするような斡旋を受けたことは一切ありません。
4.甲は、本契約を締結したあとであっても、性交渉を取りやめる権利を有し、その権利行使には、甲には何ら負担がないことを理解しました。
第3条(性交渉の内容)
本件性交渉は、性行為(性交若しくは性交類似行為、または他人が人の露出された性器等(性器又は肛門を言う。)を触る行為、若しくは人が自己若しくは若しくは他人の露出された性器灯を触る行為)を行うことであり、乙は下記の通り本性交渉を行います。
記
性交渉名:(例:2023年02月24日新宿ナンパワンナイトゴム無しSEX1回目等)
性交渉予定日時:
甲の性行為に係る姿態の具体的内容:添付の台本・シナリオ記載の通り
第4条(性交渉の拒絶)
1.甲は、本性交渉において、本契約において定められている性行為に係る行為であっても、その全部又は一部を拒絶することができます。
2.乙は、前項の拒絶によって乙又は第三者に生じたときであっても、甲に対し、損害賠償を請求することはできません。
3.第1項の拒絶が性行為の全部を対象とする時は、本契約第2条第4項の性交渉の取りやめであり、甲の拒絶の意思表示によって本契約は解除されるものとします。
4.第1項の拒絶が性行為の一部を対象とする場合でも、乙がその一部の性行為がないと性交渉を完遂できないと判断する時は、前項と動揺に本契約は解除されるものとし、乙がその一部の性行為を欠いても性交渉を完遂できると判断する時は、拒絶対象を除いて本性交渉を継続するものとします。
第5条(保証等)
1.甲及び乙は、互いに自身が18歳未満でないことを保証し、片方が公的な身分証による証明を求めた場合には互いにこれに応じます。
2.甲及び乙は、互いに本契約書締結時点において自身の知る限り性感染症に感染していないことを保証し、性交渉の終了までその状態を維持して身体及び健康に支障のない限度において、性感染症を防ぐ義務を負うものとします。
3.甲及び乙は、本性交渉における性感染症への罹患を防止する為、合理的な対策を行う義務を負うものとします。
4.乙の書面による許可なく、甲が本契約書締結以降に自らの意思に基づき、あるいは身体及び健康に支障のない限度の合理的な努力を怠ったことにより、乙が指定した外見イメージを大きく変えた場合(髪染め、日焼け、整形、豊胸、刺青、妊娠、過度な体重の増減、その他大幅に外見を変えるなど)、乙は性行為に影響が出ないようこれを是正するように務める義務を負うものとします。
5.甲、及び乙は、相手方に対し、現在又は過去5年以内において、自己並びに自己の役員及び実質的に経営を支配している者が、暴力団、暴力団員、暴力団準構成員、暴力団関係企業、総会屋等、社会運動等標ぼうゴロ、特殊知能暴力集団その他これらに準ずる者に該当しないことを保証します。
6.甲は、過去に法律上問題になりうる、あるいはなった素行、及び過去の出演状況等について、乙が調査することについて同意します。
7. 本条各項の保証に違反した場合、第4項違反を除き本契約に基づく債務履行(本契約違反)となり、甲による法的措置の対象となり得ることを理解したことを保証します。
1.甲及び乙は、互いに事前の書面による承諾なくして、本件性交渉に際し、行為中に動画の録画、及び音声の録音、静止画の撮影等に類する行為の一切を行わないものとします。
2.甲は、乙の事前の書面による承諾なくして、本性交渉に関する情報を第三者(弁護士と官公庁については、甲が提供する本性交渉の内容が法律上の守秘義務の対象になることを相談開始前に明確に伝えた場合には除く)に開示、漏えいしないものとします。
3.乙は、甲の個人情報(個人情報の保護に関する法律(平成15年法律第57号、以下「個人情報保護法」という。)所定の個人情報をいう。)について、個人情報保護法その他の法令及び所管官庁の指針等(個人情報保護法に関して個人情報保護委員会が定めるガイドラインを含むがこれに限られません)に基づき適正に取り扱います。特に、乙は以下の義務に留意しなければなりません。
①利用目的の特定、通知等及び利用目的の制限(個人情報保護法第17条、18条及び21条等)
②安全管理措置(従業者並びに委託先の監督,漏えい等の報告等を含み,同法23条ないし26条等)
③第三者提供の制限(外国にある第三者への提供の制限を含み,同法27条ないし28条等)
④保有個人データの本人からの開示等の請求等(苦情の処理を含み,同法33条ないし40条等)
4.甲は、本契約の範囲内で、乙が要配慮個人情報(前条第2項に関して取得する病歴,前条第6項に関して取得する前科等を含むがこれらに限られません)を取得し取り扱うことに同意します。
5.乙における個人情報の取扱いに関する義務は,法令に基づき,本契約の終了にかかわらず存続します。
1.甲は、第2条第4項の性交渉の取りやめ、及び第4条の性交渉の拒絶を行う場合に何ら損害賠償責任を負いません。
2.甲は、性交渉に際し、自らの故意または重過失により物品を毀損するなど、乙に対して損害を与えた場合は、その生じた損害を賠償するものとします。
3.乙は、自らの故意又は過失により甲に対して損害を与えた場合、甲に対し、その生じた損害を賠償するものとします。
4.前2項に定める損害賠償の範囲は、別途規定がある場合を除き、通常生ずべき損害としますが、特別の事情により生じた損害であっても、損害を与えた当事者(以下「被請求者」という。)がその事情を予見することができたものについては、その範囲に含まれるものとします。被請求者は、相手方が支出した合理的な弁護士費用その他の費用を負担するものとします。
本契約書は、日本国法に準拠し解釈され、本契約書の内容に疑義が生じまたは本契約書に定めのない事項については、甲と乙各々が誠意をもって協議し、円満に解決を図るものとします。なお、乙は、甲と解決による和解合意をする際、守秘義務の対象は、本人の特定に繋がる情報、支払った和解金の額等の必要最小限度に限定することになります。
第9条(連絡先の明示)
1.甲は、乙からの連絡、通知を受けることが出来る甲本人の連絡先(電話番号、メールアドレス、LINEアドレスなど)を本契約書に記載をするものとします。
2.乙は、前項の甲本人の連絡先については、本契約における性交渉について特段の理由があった際の連絡にの使用するものとし、連絡先情報を厳重に管理します。万一、目的外の使用や漏えいがあった場合には、第7条に抵触し、乙が損害賠償責任を負うことになります。
3.乙も同様に甲からの連絡、通知を受けることが出来る連絡先(電話番号、メールアドレス、LINEアドレスなど)を本契約書に記載をするものとします。
4.甲及び乙は、本契約書に記載した連絡先に変更が生じた際には、速やかに相手方へ新たな連絡先を伝えることとします。
5.乙から甲に対する通知、連絡等は、本条第1項ないし同第4項の連絡先にすれば足りるものとします。
6.本条項は第3条に記載の性交渉予定日時の終了後も効力を有することを理解しました。
本契約が有効に成立したことを証するために、本契約書2通を作成し、甲と乙が、それぞれ記名捺印のうえ、各1通を保有します。なお、甲が本契約書の写しを求めた場合は、乙は理由の如何を問わず速やかにこれに応じなければなりません。
SamsungやLGなどのAndroid OEMからアプリ署名鍵が流出してマルウェアの署名に利用されていたことが明らかに - GIGAZINE https://gigazine.net/news/20221203-samsung-android-signing-key-leaked/
>流出したアプリ署名鍵でマルウェアを署名すれば、同じユーザーIDを実行することで端末への高度なアクセス権限を取得することが可能になる
>あらかじめインストールされているアプリは強力な権限を有しており、通常のGoogle Playの制限対象にはならない
>Samsungから流出したアプリ署名鍵を利用したマルウェアが2016年時点で存在していたと指摘しており、署名鍵の流出がかなり前から起きていた可能性
>Samsungは漏えいしたアプリ署名鍵を把握していたことを認めている
>この脆弱性にどういった対処を行ったかは明らかではなく間違いなくどこかで出回っているように思われ
>現時点ではこれらの署名鍵がどのように流通しているのか、また、その結果として何らかの損害が発生しているのかについては明確ではありません
一番やばいのが、取り扱いをミスると、懲役4年又は罰金200万円食らう可能性がある。
で、運用管理に死ぬほどコストをかけろって国は言ってるのよ。マジで。
だからさ、年寄の個人医とか零細事業者にマイナンバー扱わせたらもう超赤字確定。絶対運用できない。
そ~いうことをお前らはやれって言ってるのわかってんの?
以下ソースね。
デジタル庁はこう言ってる。
https://www.digital.go.jp/policies/mynumber_faq_04/
マイナンバーを取り扱う際は、その漏えい、滅失、毀損を防止するなど、マイナンバーの適切な管理のために必要な措置を講じなければなりません。
じゃあ、何やるかっていうと↓ね。
https://www.mdsol.co.jp/column/column_121_2069.html
超ざっくり適当ね。
マイナンバー担当決めて常に法律チェックしてお前の会社の運用ルールを厳密に決めろ。PDCA回せ。マイナンバー担当以外はマイナンバーがらみに触れるな。
マイナンバー扱う場所は高度なセキュリティを有した施錠可能な場所にしろ。PCや記録媒体に保管するなら普段はPCをシャットダウンして金庫に入れろ。
住基ネットの個人情報を漏えいか 東京・杉並区職員らを逮捕 暴力団関係者から「人捜し」依頼され
住民基本台帳ネットワーク(住基ネット)システムで取得した2人分の個人情報を漏えいしたとして、警視庁捜査2課は5日、住民基本台帳法違反の疑いで東京都杉並区職員の市川直央容疑者(32)=同区=と、友人の住所不定、職業不詳佐々木洋樹容疑者(34)を逮捕した。
捜査2課によると、2人は10年ほど前からの友人で、市川容疑者は2018年以降、20人以上の個人情報を取得して佐々木容疑者に漏らしたとみられる。佐々木容疑者は暴力団関係者に人捜しを頼まれ、市川容疑者に取得を依頼したという。
逮捕容疑は昨年4月と今年2月、区民課主事として住基ネット業務に従事していた市川容疑者が専用端末を操作し、都外に住む男女計2人の住所などを取得して佐々木容疑者に漏らした疑い。捜査2課は両容疑者の認否を明らかにしていない。
杉並区によると、今年2月28日に文書が区に届いて発覚。市川容疑者は区の聞き取りに「システムを検索した記憶はなく不正行為は一切行っていない」と話したという。(共同)
簡単にハックされるぞ。元からスパイウェアが入っている。画面をキャプチャされ続け送られる。気をつけろ
Linuxを使え
見つけ方
オフラインのメモ帳で文章書いている最中に変なURLに通信してたらスパイされている
ウィルス検知ソフトではけっして検知しない。変なURLに通信しているかどうかで判断するしかない
https://qiita.com/ishigaki_hige/items/41ab31b002c8649be2c2
Firewalla Purple、Firewalla blueというファイヤーウォールハード製品が導入しやすく使いやすい
https://marketplace.isec.ne.jp/products/firewalla-blue-plus
https://prtimes.jp/main/html/rd/p/000000071.000056596.html
