「情報漏洩」を含む日記 RSS

はてなキーワード: 情報漏洩とは

2017-08-06

ベネッセ情報漏洩事件はDevOpsの先駆け

開発と運用共通化(というより同一人物)している、DevOpsを元から実現していたのがベネッセ

ベネッセは御存知の通り、その体制を取っていたせいで情報漏洩やらかし、いまだその影響はくすぶっている。更なる追加賠償が起きそうだ。

https://www.bengo4.com/saiban/n_6470/

これで日本のDevOpsはまた5年遅れる

2017-07-26

増田情報漏洩

なんてことになったら、

パンドラの箱を開けたみたいな感じかな。

2017-07-10

仕事をしてると、自分情報漏洩当事者にならないか不安になる。

ウイルス対策してるし、個人情報オフラインパソコン使用してるけど、ネットワークに詳しくないし、詳しい人もいない中小企業から何してても怖い

有りえないけど、オフラインパソコン勝手ネットに繋がるんじゃないなとか考えてしま

オフラインパソコンウイルス感染したらって不安になる

最悪なことばっかり考えて夜寝れなくなったり吐きそうになったりする

ネットワークに詳しい人に相談できる大手企業が羨ましい

2017-07-06

人知れず

こどもの通うスイミングスクールで、事故があった。

いつ、どの時間帯のレッスンで、どんな状況で溺れ、どうやって発見されたか、今後の対策、などを簡単に記したA4の紙が一枚、人知れずひっそり掲示されていた。

事故から10日後の日付のそれは、事故から2ヶ月経った今日、ようやく私の目に止まった。

近所でも同じスイミングスクールに通う子たちは多いが、どこの親御さんもこの事故を知らなかった。

そのくらい、ひっそりと掲示されていた。

スクールから私たちに知らされたのは、これだけだ。

個別プリント配布されるでも、説明会があるでもなく、未だ事故を知らない保護者も多い状態で、スクールは通常営業している。

溺れた子は心肺停止し、ICUで数日過ごし、どうにか一命を取り留め、ようやく最近学校へも行きはじめた。

そのときのレッスン担当だったコーチは、人知れず退職

人の命が消えかかったのに、現場コーチを解任して、ペライチ掲示して、おしまいなのか。

どこぞの企業情報漏洩問題よりよっぽど重い事故だと思うのだけど、スクールはそうは思ってないのだろうか。

2017-06-23

情報漏洩やらかし場合言い訳

メルカリみたいにキャッシュ漏れたと言えば許してもらえるのかー。

ウチも真似しよう

2017-06-07

NHK加計学園の事やってるけど

メールがあると情報漏洩した職員を表に出して証言させればええやん

処罰されるのは仕方がないが自分身分よりも正義の実現をして欲しい

職をかけてNHK民進党情報提供したんだから最後までしっかりやるべき

2017-05-18

会員情報を削除してもらいたい

日々の生活費ほとんどをカード決済しているヘビーユーザーです。

クレジットカード家計管理にとても便利で助かっています

しか大手企業から個人情報流出が続く現状に、過去に仕方なくカード決済したサイトやもう使っていないサービスから個人情報を消してもらうようにできないのかと思います

名前と生年月日、利用履歴くらいは残ってもいいです。

せめてクレカ情報くらいは消してもらえないのだろうか…

現状ではサービスや会員から退会しても退会した人として情報が残ってしまっているのではと思います(うちの会社サービスはそうなってます。後からクレーム対応トラブル回避するためという名目で)

最低限カードや口座の使い分け、個人サイトはなるべく使わない、明細の確認はしているけれど、サービスも移り変わるし、決済方法指定されていると使わざるを得ないのが現状です。PayPalが使えるサイトばかりでもないし。このままだと情報漏洩リスクは増すばかりな気がする。

皆はどうやって管理している?

2017-03-01

クレカを持っていなくて、ときどき肩身が狭い

クレジットカード決済必須通販が多くて、カードを持っていない身としては地味に困る。

自分ADDで(ADHDの多動性がないバージョンのような発達障害簡単に言えばおっちょこちょいハードモード)落し物や無くし物が多いから、財布を落としたりする危険性が普通の人よりも高い。

それに計画性や自己管理力がある方でもないので、うっかり買い物しすぎて返済に追われるかもしれない、と考えた上でクレカを作っていない。

そもそも、ここ半年業務委託派遣収入を得ているから、こんな状態審査下りるかもわからないし。

支払い方法のいくつかの中にクレカがあるのは当然だと思うんだけど、たまにクレカだけのショップがあると残念だ。振り込みじゃだめなのか。理由があるんだろうけどさ。

特にチケット類ではクレカ決済に限るものがあったりして、その公演自体を諦めたこともあった。

大抵はコンビニで買えるプリペイドクレジット番号で対処できるけど、たまにプリペイド不可の所もあるんだよね。

もしも自分が財布も落とさず毎日家計簿を付けられるような人間だとしたら、まあ作るかもしれない。便利なのはわかる。ポイントも貯まるし。

でも、ネット経由の買い物ではあまり使いたがらないだろうなとも思う。どうしても情報漏洩などが怖い。

みんな怖くないんだろうか。そんなことよりも便利さの方が上回るのかな。

今日さぼっていたiOSのアプデをしたら「クレジットカード登録してね!Apple Pay便利だよ!登録登録!」と繰り返しポップアップで言われて、かわいい自分iPhoneから責められているような気分になってしまった。

そういやApple Musicときクレカ必須で利用諦めたんだったなあと思い出したり。

海外現金持たないでクレカ決済する方がポピュラーなんだろうね。もし海外に行きたくなったら、慣れない通貨でもたもたして迷惑かけそうな気もするし、その場合は流石に作るかなー

自分が少数派なのはわかっているから、決済方法を増やせと無理を言うつもりはない、けど、たまに肩身が狭いような気持ちになる。

2017-01-27

情報漏洩を防ぐためにインターネット切断

送信を防ぐためにファックス原則使用禁止

誤廃棄を防ぐために書類廃棄には部長決済が必要

2017-01-15

画期的()ソリューション セキュリティフォントへの期待

自治体から情報漏洩は、僕らの大切な情報漏れることにつながる。総務省の人が言うように、「自治体セキュリティー強化は待ったなし」とはそのとおりだが、ではどうやって?
どうせどんなにセキュリティーウォールを高くしたって、横浜市役所で見られたように職員の手順ミスでの情報漏洩だったり、佐賀県公立学校情報Wi-Fiから故意に盗まれたり、絶対に、情報漏洩は防ぐことはできない。
ではどうすれば良いのか。発想の大転換。
2月に会社を立ち上げるが、「情報漏洩しても大丈夫。」そう、情報漏れた瞬間に、その漏れ情報ホワイトアウト化(蒸発)すれば良いだけの話。その特許技術を世の中に広めたいと思っています。
夏頃から本格化させようと思ったけど、情勢は思った以上に焦眉の急。急ぎます!!あなたの大切な情報を守るために。

2016-11-24

http://anond.hatelabo.jp/20161124175032

いえ〜い

見てる〜

と言いたいところだが真面目な話、情報漏洩でどのアカウントが書いてたかとかわかったら面白いな〜

多分釣り記事かいっぱいあるから

そんな私も情報漏洩したら速攻でインターネットからはてなアカウント消すけど

2016-11-11

http://anond.hatelabo.jp/20161111222710

お前プログラム系の仕事したことある

情報漏洩対策で「持ち帰る」事自体不可能場合が多くあるんだが。

例えばIPアドレス制限しているGithubでどうやって仕事するんだ。

 

学習すれば仕事が出来るようになる」ってほどの空想欺瞞を見ると反吐が出るな。

2016-09-08

http://anond.hatelabo.jp/20160908012910

そもそもだけど、サーバログアクセスされてる時点で、クレジットカード以外にも情報漏洩してない?

書いてある内容だけだと詳しいことはわからないけど、

ログ見える状況だとすると攻撃者はファイルにはアクセスできてるんだよね?

ってことはきっとDBへの接続パスワードも見えちゃってるだろうしDBへもアクセスされちゃってない?

自分攻撃者側だとするとログからクレジットカード情報さがす前にDBから個人情報抜くと思うんだけどな。

ようするにこのECショップサーバアクセスされてログから最低でもクレジットカード情報

それ以外にも顧客情報漏洩した可能性があるにもかかわらず公表しなかったってことだよね?

被害者っぽく書いてるけど被害者消費者だよね?

キュレーションメディアでDeNA炎上しているがペイジェントも炎上すればいいのに

http://mecchanikukyu.hatenablog.com/entry/2016/09/06/125318

DeNA炎上している。

そこで自分が思うのは決済サービスペイジェント。言わずと知れたDeNAの子会社である

これは4年ほど前のことになる。

ある日、自社の運営していたオンラインショップで、ペイジェントの担当E氏からこのような連絡をもらった。

本日、弊社接続カード会社より、

貴社サイトにおけるカード情報流出懸念の連絡を受けております

当日のうちにカード決済はすぐに停止した。

データベースネットワークからの切断しろと言われたが、

データベースにはカード情報を保持していないので意味が無い。

その後第三者機関調査しろ脅迫され、ベライゾン調査を頼んだ。(ちなみに費用は100万以上して小さなショップとしては大打撃だった)

その間もいきなり決算報告書を出させられたり、カード番号流出事件対応が遅れたばかりに炎上した会社の話を聞かされ、まるで犯罪者扱いだった。

E氏はさっさと調査をして公表しろの一点ばり。

その件について、弊社内の担当役員カード関係各社たちへ共有しましたところ、

結論しまして、やはりフォレンジック調査会社レポート結果→対外公表、と

いうステップでないとカード決済の利用再開はできない、ということでした。

(情報漏洩の影響範囲特定できかねる為。また、再発防止策を立てれない為)

調査費用は分割の支払いなど一切できず、ちょうど大きな仕入れが発生していた時なので、やっと月末に調査を依頼することができた。

結果が出てみれば、うちではカード番号を保存しない仕様にしていたのに、ペイジェントのモジュール勝手ログを吐き出す仕様になっていた。

この仕様がなければ……カード番号流出などしなかったのではないか

ベライゾンの方が言うには「意外と決済モジュールが原因でカード番号流出するのが最近多くなっている。今回、ペイジェントさんが原因なのは始めてなのでどう出ますかねえ」

と笑っていた。

この報告書を提出すると、次の日にE氏は出向元のDeNAに戻ると言い出し、S氏に担当が変わった。

異様なスピードだった。

担当がS氏になってから挨拶もなく、2週間近く音沙汰なし。苦情を送ると、

対策をしていた」

と言われた。

何の対策だ。

まず、カード会社側の判断についてですが、御社の件に関しては対外公表不要という判断となりました。

え……えー!?

その件について、弊社内の担当役員カード関係各社たちへ共有しましたところ、

結論しまして、やはりフォレンジック調査会社レポート結果→対外公表、と

いうステップでないとカード決済の利用再開はできない、ということでした。

じゃなかったのか!?

原因はペイジェントのモジュールってなってるんだから

公表されたらこまるのだろう。

しかしそれにしても、

連休お客様対応が1週間遅れただけで炎上する、とか脅していたのはなんだったんだろうか?

ペイジェントの一存でどうにかなる問題だったのか。

その後、自己問診票にチェックをすると、カード決済は再開した。

ペイジェントおすすめリンクタイプモジュールは次月に開発予定だという。

もちろんベライゾン調査料の賠償とかも何もない。

数ヶ月後、そのままペイジェントとは契約を解約した。DeNAはそうやって大きくなった会社だよ。

2016-09-03

アイナナやべえ

アイナナの炎上がやべえ

現代の闇特盛って感じ

(以下はフレフレ新規マネのただの吐き出しです。)

たぶんほとんどの問題点は「現状グレーのものが謝ることでブラックになる」タイプことなので

運営側対応を渋っているんだろうなーと思うんだけど、

対応しなくていいとは思っていない)

これだけは最低限さっさと対応してくれよって感じるのは

ツイッターでの情報漏洩問題事実確認

・騒ぎになって問い合わせが行きまくってかなりたっているのに表立って対応しない、

 (公式ツイッターも急に黙ってRTコラボについて以外ほとんど発言していない)

の2点。

あと別問題として・課金時のエラーボッシュートされた金の調査・返金

明確に守秘義務ヤバいし、

表立った対応がないおかげで不信感がまして、かするレベルでも関係したところに

情熱のこもったマネージャーからの連絡がバンバン行ってめちゃくちゃ業務迷惑かけてる

(これは公式ではなくマネージャーによる二次被害で、そういうところに問い合わせをした返答を持ってきて

 「○○に謝らせて運営最低」とか言っているあなたが謝らせているんですよ)

と金は明確にヤバい ほんとにボッシュートされた人がいるならチュンカの番号なりクレジットカードの明細なり出して

 オタクITに強い弁護士さんに相談すべき

調査と調整で時間かかってるのかと好意的に捉えてたけど

企業責任というかモラル問題でいいかげん対応してほしい……

他の問題ぶっちゃけ逃げられると思う

(し、その選択をしたらそういう体質の会社なんだなあと納得する)けど、

上のやつは企業としての信頼問題に直結してるんだよな

以下は他の問題について、ただの文句

パクリについては、感情論で言うと一番ヤバいけど

アイデアのもの著作権がないのと

(たとえば)デレステカードポージングをパクったことでデレステの売り上げが落ちたとは簡単には言えない以上

著作権ですぐに白黒付けられる問題ではないという風に認識していて、

そうなると参考にしすぎた他ゲーのものを正直に「パクりました」って言う必要がなさそうなんだよな

ただモラル感情問題気持ちいから、言い訳してでも

心配の声が多かったので一定ガイドラインを設けて他ゲーム確認したうえで

 誤解を与えると判断したものは絵を差し替えます」とかで

アイドルイラストを身綺麗にしてあげてほしい……

パクリアイテムに関しては、どんなに責めても

「うちはライセンス許諾してるだけです、業者¥がやらかさないよう指導します」って言わせるだけな気がする

件のPのネーミングの件は、如月については名前法則から大和専用モブ」ってことなのかと認識してたので

夢豚説を見かけてめちゃくちゃ笑ってしまった アイドルの好みが私とまったく合わない

ただ大多数の人が怒るポイントなのもわかるから、今後のストーリーからはひっそり消えるといいね

ダグラスファミリーネーム使わないようにしようね

ハーレム説よりかはネーミングセンスが壊滅的にヤバいイメージ認識してる

きなこの声優は誰でもいいけど鳴きだすと急に素人っぽい声が入ってびっくりするからミュー機能だけ入れてほしい

しんどい芸人の方々は問い合わせの時に内容をまとめて一通のメールで送るんじゃなくて、

内容ごとに別のメールにした方がいいのでは

色々書いていたらどうでもよくなってきたしすっきりした

ます

みんな頑張ってね

2016-08-30

アイナナのお花畑ファン運営アンチの皮を被ったうたプリオタクに告

あのさ、いい加減お前らで言い合うのやめてくんない?

そこ言い合いしたって何の得にもならないのはお互いわかってるでしょ

ここは一つ論点整理マンが今の状況を、お花畑なアイナナちゃんファンにも腸煮えくり返ってるうたプリオタクにも分かるように図解してあげよう

パクリ疑惑

言わずもがなカードの構図パクリ疑惑やグッズのパクリ疑惑

 これは運営対応が悪い。パクリならパクリでさっさと認めればいい。

 パクリじゃないならパクリじゃないとはっきり言ったらいい。

 うたプリの某○花さんだってジャニから衣装パクった事実はないってすぐ言ったでしょ?

 それで騒動が沈静化するのはうたプリの例からして明らかなんだから、さっさと対応したらいい。

プロデューサー作品私物化疑惑

 →これも運営が悪い。そもそも簡単にバレるようなところに自分チラ裏置くな。

 これはお花畑ファンだってそうじゃない人だって反吐が出るでしょう。

 一部のうたプリオタクが某○松さんの曲についての自己語りで作品私物化されたように思ってるのと同じような思いだろ、察しろ

情報漏洩疑惑

 →これも運営が悪い。危機管理能力なさすぎ。これを擁護するお花畑ファンもいないだろ。

以上のことからして運営が悪いことは明らかなので、さっさと運営謝罪しろ別にここの疑惑が全部白だったとしても、こんだけ混乱を生み出したことに謝罪必要

そんで、お花畑ファンはさっさとその口縫い付けろ。これ以上頭の悪いアイナナファンが多いと思われる前にさっさと界隈から消えてくれ。

運営アンチの皮被ったうたプリオタクは一度自分ツイートを全部見直せ。アンチ臭が漏れ出てるぞ。あわよくば、この騒動でアイナナ潰したいんだろ?そうじゃなきゃ本当にツイート見直せ。余計なところまで攻撃して煽るな。それをしたらお前らもお花畑同類だ。

好き放題言わせてもらえば、お前ら同じ穴の狢だぞ。臭いものに触れたら同類だ。

花畑の奴らも何言ってんのか理解できないし、それを上から正論叩きつけて「目を覚まさせてあげてるんだから感謝しなさい」とか言いながらクソ空リプ投げてんのも理解できない。それただのインターネットお節介マンな。全く実にならない。

本当に運営のことを思うなら今は黙っとけクソババアども。

自分記事も含め、この件は全くもって不毛な争いを引き起こしてるからさっさと運営謝罪しろ

テクシはアイナナひいては運営の為に、作品の為に、ファンの為にとか言ってる奴が居たらそれは詭弁だ。

作品の為に人を煽って騒動拡大する意味ないだろ。こう言ったらアテクシどもは「煽ってない」って言うけど頭に水掛けたら?騒動全く関係ない人から見たら明らかに煽ってることは確かだぜ?

自分含め、関係者はさっさと頭冷やせ

2016-07-29

マイナンバー住基ネット

血税3兆円がムダに!?総務官僚が引き起こした、マイナンバーという名の「人災」 カードが発行できない、届かない… | 賢者の知恵 | 現代ビジネス [講談社]

ものすごい記事である。なにしろ、冒頭のマイナンバーカード発行に関するトラブルに関する部分以外に正しい箇所が一つも無い。((天下りの規模、とかの不確定情報を除く。))

専門家どころか、マイナンバー関連のニュース普通に追ってきていればそんなことは言わないような基礎的な部分から間違っている。

住基ネットとは2000億円を超える巨額の税金を投入しながらほとんど普及せず、しか情報漏洩など数々の問題を起こした天下の大愚策

現在発行されている住民票はすべて住基ネットを介して処理されている。普及しなかったと言えるのは住基カードである

ひょっとして住基ネット住基カードを使うためのシステムだとでも思っているのだろうか?

しかし、そんな住基ネットカード発行が'15年末に終了することが決定。総務官僚住基ネット利権がなくなることを回避すべく、起死回生の一計を案じる必要が出てきた。そこで考え出されたのが、住基ネットシステム活用して新しくマイナンバーシステムを構築するというものだったのです

住基カードが終了することが決まったのは、後継であるマイナンバーカードの発行が決まったかである時系列が全く間違っている。

簡単に分かることとして、マイナンバーカードという後継なしに住基カード廃止した場合電子申請による確定申告などが出来なくなるわけであるマイナンバーカードの発行が遅れたことで一番問題だったのは、次の確定申告に間に合うかどうかという点であった。

住基ネットシステムを無理に活かそうとしたために

マイナンバーとはそもそも住基ネットの「住民基本台帳番号」を直接使うのは危険からワンクッション置こうという趣旨で作られたものである

住基ネット接続するのは本来データを引き出すためである

住基ネットが使われていない」という間違った前提があるのでそんな発想になるのだろう。

なお、会社勤めの人は会社マイナンバーを提出したので分かっていると思うが、マイナンバー徴税管理に使われる。


こちらと読み比べるのも味わい深い。

血税1兆円をドブに捨てた「住基ネット」〜元祖マイナンバー、あれはいったい何だったのか? 【怒りのレポート】 | 賢者の知恵 | 現代ビジネス [講談社]

この記事では「住基ネットを捨てた」となっている。同じ編集部なら、こちらには訂正は出したのだろうか。

2016-07-13

benesse マナビジョン

子供benesse マナビジョンログインできなくなったとかで

学校先生に聞いたら、あっさりパスワードを教えてくれたらしい。


情報漏洩臭いがプンプンするけど benesse ってまだ個人情報管理グダグダなの?

2016-06-06

怪文書

入社して数ヶ月で転職した人がいたんだけど

データ持ち出ししてたのを理由社長窃盗だの賠償だの騒いでる

情報漏洩したわけじゃないか警察には行ってないらしいが(というか情報漏洩だったらこっちの責任も問われる)

まだ給料払ってないらしいしスラップ訴訟しか見えない

本当は転職活動してたことや残業しなかった事に対して激怒してるみたいだし

認知症の物取られ妄想にそっくりというか

統合失調症の人が大声で威嚇するのに似ていて

臨時職員で働いてた頃に部長訴訟をちらつかせて団体間の争いを仲裁利益誘導)してたのを思い出して

ワンマンというか強権的な人だとよくあるのかなというか

こういうのも田舎特有なのかなと

転職した人は東京に行ったらしいが

俺も東京行きてえ

2016-01-19

会社に利することをしたら社畜

はてな的にはそれが常識

自分一時的に我慢してでも会社に利することが、結局長い目で見て自分の利になるとしても、それは会社搾取されてることになるから社畜

社員教育投資してもらって、会社の金で資格をとって、実力がついたところで慰留を無視して転職して一人前の社会人。その時辞めた会社罵倒するエントリを書いたら有能な社会人

会社に恩義を感じようものならブラック社会に貢献する社会悪はてなーにあったら殺されても文句は言えない。

殺したはてなー賞賛され名誉互助会古参により運営されるなぜか互助会にならない互助会証拠として「最初に私がブクマしますのであとは流れでお願いします」というメーリングリストLINEインストールしていると情報漏洩剤で殺されるので)が発見されている。)入りし年間500ブクマ約束される。

2015-12-01

銀行から1万4000件の情報流出」を当事者目線解説したい

出会い系サイト運営者と繋がりのある方より直接話を聞くことができました。

文才がないながらも出来るだけ当事者から目線解説したいと思います

先に言いますが、本件は出会い系サイト自身被害者でもありますので、「出会い系サイトなんて全部サクラサイトだろ?」みたいな先入観をお持ちの方は一旦捨てて頂くと理解やすいかと思います。真っ当に運営されている出会い系サイト被害者です。

まず流出したであろう情報とは何なのか?

「残高照会ダイヤル」は、契約者が持つ口座の残高や、通帳に「印字されうる」取引明細も音声で知ることができます。例えば

「27-11-27 振込 フグタマスオ *30,000」

「27-11-30 振込 イソノカツオ *10,000」

このような入出金の取引を、音声で知ることができます

もちろん契約者(契約団体)自身しかアクセスできないはずの情報なわけですが、この残高照会ダイヤル操作において恐らくセキュリティホールがあり、かなり長い間第三者が通帳情報を知ることができていました。

ここから得ることのできる個人情報で、何が起こったのか?

振込をするときの「振込人名義」は、たいてい「フグタマスオ」のような人名か「カ)ウミヤマショウジ」のような社名です。ということは、通帳情報から漏れうるのは「誰が、どの口座に、何円振り込んだ」という情報になるはずです。

では、この流出した通帳情報だけを使って架空請求できるのかと言われても、恐らく何もできないはずです。

よほどレアな氏名でもない限り、氏名だけを悪用するのは難しいです。どこに住んでる人かも分からないですので。

「振込人名義」を知ったところで、本人と連絡の取りようがない。ここが重要です。

銀行不祥事なのに、なぜ出会い系サイトとセットで報道される必要があったか?

この答えは最後にまとめますが、出会い系サイトでは、会員に対して「周りに秘密で、匿名で使える」ことをアピールするため「銀行振込をするとき名前の代わりに電話番号入力すれば、それで照合しますよ」という案内をして利用料を支払わせる方法をとる場合が多いです。

「氏名の代わりに電話番号を書かせる」を実際にやると、通帳の情報はこうなります

:

「27-11-27 振込 090xxxx3634 *10,000」

「27-11-30 振込 090xxxx2005 *30,000」

「27-11-30 振込 090xxxx3634 *10,000」

「27-11-30 振込 080xxxx2309 * 5,000」

:



まり何が1万4000件あったのか?

出会い系サイトお金を払った人の入金履歴電話番号」です。

同一人物が複数回振り込むことのほうが多いため、ユニークでは数千人であろうと推測します。これはスマホの重課金者の比率と大体同じと思って頂いていいかと思います

どのように悪用されたと考えられるか?

上記のリストが「出会い系サイト運営者ですらない第三者」に漏れました。

架空請求被害者の話からすると、通帳の情報は恐らくかなり高い頻度で(1日に数十回以上)チェックされていたのではないかと思います

:

「27-11-27 振込 090xxxx3634 *10,000」

「27-11-30 振込 090xxxx2005 *30,000」

「27-11-30 振込 090xxxx3634 *10,000」

「27-11-30 振込 080xxxx2309 * 5,000」

:

大事なのはリアルタイム(新鮮)なデータを入手できていた可能性が高い」ということです。振り込め詐欺師であれば、この情報を使って巧みに話すことができます

実際にあった架空請求電話内容を教えてもらいましたので、以下に示します。

もしもしありがとうございます出会いサイトセンターの者ですが、つい先ほどご入金頂きました件です、ええ、今ちょっとだけお時間よろしいでしょうか。

お客様携帯番号は090-xxxx-3634でお間違えなかったでしょうか。

お客様11/27と11/30にそれぞれ1万円ずつ入金頂いておりますよね、ありがとうございます

ただですね、入会金が未払いのままなんです。

入会金をお支払いただかないとせっかくご購入頂いたポイントがもうすぐ使えなくなっちゃうんですよ。

システムの都合でお客様に正しく伝わってないかもしれません、ご存じなかったとしたら申し訳ございません。

弊社のシステムはちゃんとした出会い保証しておりまして、入会金5万円頂戴しているんですね。

今日中にお支払いただければ、今ご購入いただいたポイントはそのままお使い頂けますので、今すぐご入金頂けますか?

から口座お伝えしますね。

序盤でパーソナルな内容を吹き込まれています。ほんの数時間~数日前の振込を知っているわけで、これはうっかり信用しちゃうのではないでしょうか。

出会い系サイト運営者は、セキュリティ面で何に心がけるべきだったか?

振り込め詐欺師にとって、最低限、詐欺を行うために必要データは、以下の3パターンです。

世の中のシステム管理者は覚えておくべきです。

以下のどれかを入手できれば振り込め詐欺師は詐欺を試すことができます振り込め詐欺師にとって、氏名なんて全くいらないようです。

今回はここに「入金履歴」という非常にパーソナルな情報がセットで漏れました。素晴らしいデータです。出会い系サイトお金を払う勇気のある人リストです。

これ一般企業でも、取引履歴の主キー電話番号を使うようなリストを使ってる会社は超ヤバいですよね。

また、振込人名義に電話番号を書かせるシステム採用しているECサイトなどは、出会い系サイトに限らず今回のようなセキュリティリスクを負うことになります

実際に被害を受けた出会い系サイト運営者の顛末

情報源の方は2010年前後出会い系サイト運営を実際に行っていました。今回のような被害2011年に受け、ネット上で「あのサイトは入会金の後払い請求をしてくる」と悪評が一気に広がってしまい、開設から1年半で閉鎖することになりました。

当時「振込履歴流出してるらしいが、どこから流出しているかが分からない。出会い系システムのせいか?ショルダーハックか?」と騒動になったそうです。流出源として社員全員に疑いを掛けられ、社内の風通しも悪くなり、企業対外関係にまで悪影響があったそうです。

運営者も指をくわえて眺めているわけではなく、色々な情報漏洩対策検討しました。そんな中、

架空請求被害を受けている人は銀行振込の経験者だけで、クレジットカード払いの人には架空請求が行われていないらしい。出会い系サイト自体クラッキングされてるとしたら、カード払いの人にも架空請求するはずだ。なぜだろう。じゃあ試しに、出会い系登録していない電話番号でわざと\3,000口座に振込んでみるか?」

という所に気付いた社員が現れました。

この条件で振込をしたところ、その20分後、実際にその番号に架空請求が来ました。

システムクラッキングされてるわけではなく、通帳の情報けが漏洩しているぞ!」という所まで、なんとかこの企業特定したのです。

あとは通帳の情報がどう漏洩たかルートです。これが結局最後まで特定できませんでした。

最初は「無通帳口座であったとしても、国内の誰かが通帳を持っていて、定期的に記帳しているのではないか?」と銀行を疑いました。

しか銀行からは「無通帳口座なのでどこかのATMで印字したログ的なものは一切ない」と一蹴され、この筋は無いということになりました。

最後まで、流出源の特定ができませんでした。

いずれにしても運営者は電話番号を振込人名義にするのをやめ、代わりに「振込む時は、あなたの会員ID入力して下さい」などとし、IDの照合でポイントなどを購入させるようにシステム改善しました。これにより架空請求の新たな発生がゼロになったようです。

架空請求ゼロになったことで、この企業銀行に対するこれ以上の追及をしませんでした。

しかったのは「三菱東京UFJの口座だけが被害を受けている」という所まで突き詰めることができなかったことです。

ここからは推測かつ創作ですが。

新たな架空請求の発生を止めることはできても、すでに会員の信頼を失いきってしまった出会い系サイト被害は甚大でした。

しかし、この運営者側から警察被害届が出されることはありませんでした。

出会い系サイトから、あまり警察のお世話になりたくない。そういう気持ちが働いたのではないかと思います

振り込め詐欺師は、この微妙な所を逆手に取ったのではないかと推測します。

攻撃しても表沙汰にならなそうで都合のいい出会い系サイト口座だけを、意図的に狙ったのではないかと思うのです。

銀行不祥事なのに、出会い系サイトとセットで語らないといけない根本的な理由はおそらくこのあたりですし、これが「残高照会ダイヤル」の不具合を長いこと放置することになった最大の要因ではないかと思います

http://www3.nhk.or.jp/news/html/20151130/k10010324671000.html

http://www.bk.mufg.jp/news/news2015/pdf/news1130.pdf

2015-08-11

仕事バグを見つけたけど黙っておこう

VB+Oracleのクラサバのプロジェクトのところに派遣された。

↓これみたいに、SQLを実行する前後を BeginTransaction〜commit/rollback で挟んでいるのだけど、

        transaction = connection.BeginTransaction(・・・)
        command.CommandText = "INSERT INTO ・・・"
        command.ExecuteNonQuery()
        transaction.Commit()

↓のように、commandとtransactionを関連付けないと、トランザクション関係なく実行されちゃうよな。

        transaction = connection.BeginTransaction(・・・)
        command.Transaction = transaction
        command.CommandText = "INSERT INTO ・・・"
        command.ExecuteNonQuery()
        transaction.Commit()

プロジェクトトランザクションを使っているところを全部確認したけど、一箇所もcommandとtransactionを関連付けてるところがなかったわ。

まあ何年もまえからやってるプロジェクト問題になってないんだから、俺が指摘して問題にすることもないかな。

あと、Oracle接続するユーザーパスワードが.iniに保存されていて、それもいいのかよって感じだったわ。

アプリ自体にはログイン機能とか権限によってデータアクセス制限があるのに、アプリ経由しないで直接Oracle接続したら全部の情報見放題になるわ。

開発現場は、派遣PCネット接続させないとか生データは見せないとか情報漏洩に神経を使ってるに、実際に運用されるであろう現場ではゆるゆるっていう。

2015-07-08

年金機構情報漏洩があってよかったこと

催告の手紙電話があれ以来なくなった。

2015-06-16

個人情報漏洩報道規制をするべき

一般にセキュリティに関する情報積極的に公開するということが求められているけど、情報漏洩に関しては、規制をするべき。正直、詐欺ネタしかなってない。

どれだけ漏洩たか、どんな情報漏洩たかなんて関係ない。漏洩したという事実があればいい。100件だって別に構わない。何かのIDだけでも構わない。とにかく、漏洩したという事実けがあれば(いや、もう事実じゃなくても、事件をでっちあげればいいのだけど)、それだけで詐欺は可能だ。

漏洩した情報を使って詐欺をするなら、年金機構場合は50万人程度しか対象にならないけど、漏洩したという事実を使えば、1億人が対象になる。技術知識もいらない、エクセルを立ち上げる必要もない、適当なところに公衆電話電話すればいいだけだ。マスコミがどんな情報漏洩たかを懇切丁寧に解説してくれるので、ネタには困らない。今頃、オレオレ詐欺関係者なんて、高笑いしているだろうね。

実は、個人的詐欺にあったことがある。あいつらは、本当に狡猾で、それ相応に適当なことをでっち上げるのがうまい。そして、ひとつ被害にあってわかったのは、あいつらは、金を取るだけが目的じゃない。弱い人をいたぶるのが目的なのだあいつらはレイピストと同じだと考えている。

なので、今、政府マスコミに近い人は、早急に対策を立ててもらいたい。注意喚起なんて生ぬるいことを言ってないで、国民財産をきちんと守ってくれ。セキュリティ対策を立てるときクラッカーの心理を読みながら対策を立てるように、漏洩したという事実がどう悪用されるのかを考えながら対策を立ててほしい。

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん