teacup. [ 掲示板 ] [ 掲示板作成 ] [ 有料掲示板 ] [ ブログ ]

[ ケータイで使う ] [ BBSティッカー ] [ 書込み通知 ] [ 検索 ]


メルカリ

 投稿者:管理人  投稿日:2017年 6月23日(金)00時05分0秒
  https://headlines.yahoo.co.jp/hl?a=20170622-00000362-oric-ent

メルカリ、5万4千人分の個人情報流出 公式サイトで謝罪
6/22(木) 21:08配信
オリコン

 フリマアプリ「メルカリ」のWeb版で22日、一時5万4千人分の個人情報が流出したとして、同日、運営企業が公式サイトで謝罪。現在は対応が完了していることを発表するとともに、経緯を説明した。

 サイトでは「本日、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明しており、現在は対応も完了しております」と情報流出ならびにその後の対応を報告。「お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げるとともに、経緯について下記の通りお知らせいたします」と謝罪した。

 経緯については「Web版のメルカリにおけるパフォーマンス改善のためキャッシュサーバーの切り替えを行って以降、一部のお客さまの情報について、他者から閲覧できる状態になっていたことがお客さまからの問い合わせで発覚しました」とし、「発覚後、Web版のメルカリをメンテナンス状態とし、原因の究明と問題の解消を行うとともに、経緯や対象範囲の確認を行いました」と説明。対象サービスはWeb版の「メルカリ(日本/US)」でiOSとAndroidアプリ版のユーザーは対象外となる。

 さらに、個人情報を閲覧された可能性があるユーザーは5万4180人に及ぶと発表。「名前・住所・メールアドレス・電話番号」「銀行口座、クレジットカードの下4桁と有効期限」「購入・出品履歴」「ポイント・売上金、お知らせ、やることリスト」が閲覧できる状態となっていたという。

 今後の対応については「個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡いたします」と説明した。


■情報流出と対応の時系列(公式サイトより)

・9:41 キャッシュサーバーの切り替えを実施(問題発生)
・14:41 カスタマーサポートにてお客さまからの問い合わせ(「マイページをクリックしたら他人のアカウントのページが表示された」旨)を確認し、社内へ報告
・15:05 キャッシュサーバーの切り替えを中止し、従来の設定へ戻す
・15:16 Web版のメルカリをメンテナンスモードへ切り替え
・15:38 キャッシュサーバーへのアクセスを遮断し、問題を完全解消
・15:47 Web版のメルカリメンテナンスモードを終了

最終更新:6/22(木) 22:39
オリコン
 
 

ぴあ

 投稿者:管理人  投稿日:2017年 4月27日(木)18時14分54秒
  https://headlines.yahoo.co.jp/hl?a=20170426-00000001-netshop-sci

ぴあ受託のECサイトでカード情報3.2万件が漏えいか、セキュリティーコードも
ネットショップ担当者フォーラム 4/26(水) 6:01配信

ぴあが運営を受託しているチケット販売サイトなどが外部から不正アクセスを受け、カード情報3万2187件などが漏えいした可能性があることがわかった。クレジットカードの不正利用も判明。ぴあが4月25日に被害を公表した。

不正アクセスを受けたのは、ジャパン・プロフェッショナル・バスケットボールリーグ「B.LEAGUE」のチケット販売サイトとファンクラブ受付サイト。3月7日から15日の間、Webサーバとデータベースサーバに第三者による不正アクセスを受けた痕跡があったという。

漏えいした可能性があるのは、個人情報(住所・氏名・電話番号・生年月日・ログイン ID・パスワード・メールアドレスの登録情報)14万7093件と、カード情報(会員名・カード会員番号・有効期限・セキュリティコード)3万2187件。

クレジットカードの不正使用は4月21日までに判明しているものだけで197件で、金額は630万円。不正使用の被害者に対して、被害の全額をぴあが負担する。

□ 「Apache Struts2」の脆弱性が原因

使用していたアプリケーションワークフレーム「Apache Struts2」の脆弱性を突かれた。外部業者が構築・運用していたサーバで被害が発生。本来の発注仕様や運用ガイドラインと異なり、委託先のデータベース上と通信ログ上に個人情報などが保持されていたことが漏えいの原因としている。

「Apache Struts2」 はWebアプリケーションを作成するためのソフトウェアフレームワーク。「Apache Struts2」を利用していたECサイトの不正アクセスの被害が2017年3月初旬から多発している。

ぴあは再発防止のため「Apache Struts2」のバージョンアップとサーバーの再構築を実施。関連するすべての現行システムと、その運用に対するガイドラインの見直し、安全点検、監視の強化も進める。

外部からの攻撃に対する防御装置「Web Application Firewall」を4月20日に実装。クレジットカード情報の非保持・非処理・非通過化と、決済代行会社による処理方式への切り替えも進めている。

クレジットカード決済の再開時期は、再発防止策が完了してから慎重に判断するとしている。

なお、被害を受けたサイトはぴあの基幹システムとは別に専用の開発体制にて構築したため、主力サービスのチケット販売サイトといった他サービスは完全に切り離して運営しているという。

□ ECのセキュリティ対策について

経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCI DSS準拠)を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP(決済代行会社)が提供するカード情報の非通過型(「リダイレクト(リンク)型」または「Java Scriptを使用した非通過型」)の決済システムの導入を促進するとしている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。

最終更新:4/26(水) 6:01
ネットショップ担当者フォーラム
 

総務省

 投稿者:管理人  投稿日:2017年 4月14日(金)01時03分20秒
  https://headlines.yahoo.co.jp/hl?a=20170413-00000141-jij-pol

統計サイトにサイバー攻撃=登録者名など流出の恐れ―総務省
時事通信 4/13(木) 20:52配信

 総務省は13日、管理・運営する政府統計の総合窓口サイトがサイバー攻撃を受けたと発表した。

 統計情報に加え、サイトを活用するために利用者が登録していた住所や氏名など個人情報約2万3000人分が流出した恐れがあるという。同省は「個人情報を管理していたサーバーは攻撃されていない」とみているが、サイバー攻撃への対策を講じる一方、被害状況も調べる。

 攻撃を受けたのは、地図と国勢調査の人口データを組み合わせ地域の分析などができるサイト。11日の定期チェックで判明し、同日正午に利用を停止した。総務省は攻撃を受けた理由について、システムを開発するためのプログラムに脆弱(ぜいじゃく)性があったとみている。

最終更新:4/14(金) 0:05
時事通信
 

警視庁

 投稿者:管理人  投稿日:2017年 3月30日(木)01時42分51秒
  https://headlines.yahoo.co.jp/hl?a=20170328-00000128-jij-soci

広報関連資料を誤送信=被害少女名記載、報道機関に―警視庁
時事通信 3/28(火) 18:37配信

 警視庁は28日、青梅署が児童買春・ポルノ禁止法違反事件に関する広報文の関連資料を報道機関15カ所にファクスで誤送信したと発表した。

 資料には被害者の少女(17)の住所や氏名などが記載されていた。

 同庁少年育成課によると、資料は副署長が取材対応する際に事件内容を確認するための手持ち用文書。警務係の男性署員が報道機関に広報文を送る際、誤って資料4枚も送信してしまったという。

 同庁は誤送信先の報道機関に資料の廃棄を要請。同庁幹部は「最初から(警務係に)広報文だけを渡せば問題は起きなかった」と話している。
最終更新:3/28(火) 21:02
時事通信
 

千葉県八街市

 投稿者:管理人  投稿日:2017年 3月20日(月)22時18分50秒
  https://headlines.yahoo.co.jp/hl?a=20170317-00010000-chibatopi-l12&pos=4

DV被害女性の住所漏らす 市、窓口で元夫に /千葉・八街
千葉日報オンライン 3/17(金) 10:46配信

 千葉県八街市は16日、元夫からドメスティックバイオレンス(DV)被害を受けた女性の住所を元夫に伝えるミスがあったと発表した。女性はDV防止法に基づく支援措置を申請し、住所を第三者に開示しないよう求めていた。同市では2013年7月にもDV支援措置者の個人情報を漏えいするミスがあった。

◆4年前にも同様ミス

 市によると、昨年8月、市税を納めに来た元夫が、窓口応対した納税課の20代男性職員に「妻の税金も一緒に納めたいので、納税通知書の送付先を確認したい」と申し入れた。職員はDV支援措置者であることが表示されるシステムを確認する本来の手順を怠り、女性の住所を元夫に教えた。

 職員はすぐにミスに気付き上司に報告。市はその日のうちに女性にミスを伝えて謝罪し、一時避難してもらうとともに、次の転居先探しなどを支援した。元夫が女性に接触するなどのトラブルはなかったという。

 2月、転居費や一時避難時の生活費など約54万円を市が女性に支払うことで示談が成立。市は今月10日、該当職員と納税課長を訓告処分とし、総務部長を口頭での厳重注意とした。

最終更新:3/17(金) 16:46
千葉日報オンライン

DV支援措置者の住所漏えいについて陳謝する武井総務部長(中央)ら=16日、八街市役所

 

国際郵便サイト

 投稿者:管理人  投稿日:2017年 3月14日(火)23時47分4秒
  http://headlines.yahoo.co.jp/hl?a=20170314-00000073-zdn_mkt-bus_all

国際郵便サイトに不正アクセス 送り状など流出か
ITmedia ビジネスオンライン 3/14(火) 18:48配信

 日本郵便は3月14日、国際郵便に必要な書類を作成できる「国際郵便マイページサービス」サイトが不正アクセスを受け、サイト上で作成された送り状データ1104件とメールアドレス2万9116件が流出した可能性があると発表した。

 流出した可能性があるのは、3月12日から13日に作成した送り状のデータと、サイトに登録されているメールアドレス。13日夜にサービスを緊急停止し、対策を講じた上で14日朝に再開した。

 同社によると、不正アクセスはアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用していた。同フレームワークの脆弱性をめぐっては、東京都の都税支払いサイトなどからクレジットカード番号などが流出する事件が起きている。

最終更新:3/14(火) 18:48
ITmedia ビジネスオンライン
 

豊川市立赤坂保育園

 投稿者:管理人  投稿日:2016年12月19日(月)01時33分27秒
  http://headlines.yahoo.co.jp/hl?a=20161218-00001363-cbcv-soci

豊川で車上荒らし、園児の個人情報流出
CBCテレビ 12/18(日) 18:02配信

愛知県豊川市で、保育士の車が車上荒らしに遭い、園児6人の個人情報が書かれた書類が盗まれていたことが分かりました。

豊川市によりますと、盗まれたのは豊川市立赤坂保育園に通う園児6人の名前や身長、保育園での様子が記された書類です。
16日に保育士の女性が車上荒らしに遭い、盗まれたバッグの中に財布などと一緒に入っていました。

書類には園児の写真や住所はありませんでしたが、保育士は園長の許可なく書類を持ち出していて、豊川市は再発防止を徹底したいとしています。

最終更新:12/18(日) 18:08
CBCテレビ
 

米ヤフー

 投稿者:管理人  投稿日:2016年12月15日(木)10時29分52秒
  http://headlines.yahoo.co.jp/hl?a=20161215-00000027-reut-bus_all

米ヤフー、不正アクセス被害が新たに判明 10億人の情報流出
ロイター 12/15(木) 8:42配信

[14日 ロイター] - 米インターネット検索大手ヤフー<YHOO.O>は14日、2013年8月に10億人超のユーザーに関するデータが盗まれたことが新たに判明したと明らかにした。

同社は9月、2014年に少なくとも5億人のユーザーに関する情報が盗まれたことを明らかにしたが、今回の件はこれとは異なるとみられるとしている。

今回判明した情報流出では、第三者が不正にシステムにアクセスし、データを盗んだという。同社はまた捜査当局と緊密に連絡を取っていることも明らかにした。

盗まれたとみられるアカウント情報はユーザーの氏名、電子メールのアドレス、電話番号、生年月日、暗号化されたパスワードなど。

決済カードや銀行口座などの情報は、影響を受けたとみられるシステムには保存されていなかったと説明している。

ヤフーは、データが盗まれた可能性のあるユーザーに連絡していると明らかにした。

ヤフーの中核事業の買収で合意している米通信大手ベライゾン・コミュニケーションズ<VZ.N>は「最終的な結論に至る前に、この新たな展開による影響を調べる」とした。ベライゾンは9月の発表を受けて、買収から撤退する可能性があると10月に表明していた。

*内容を追加しました。

最終更新:12/15(木) 9:40
ロイター
 

富山大学『水素同位体科学研究センター』

 投稿者:管理人  投稿日:2016年10月10日(月)07時53分9秒
  http://headlines.yahoo.co.jp/hl?a=20161009-00050091-yom-sci

核融合研究、大量の情報流出か…サイバー攻撃で
読売新聞 10月10日(月)6時7分配信

 核融合炉の燃料になるトリチウムの研究で知られる富山大学の「水素同位体科学研究センター」が標的型サイバー攻撃を受け、今年6月に発覚するまでの約半年間に研究者の端末から情報が流出した恐れがあることが同大などの調査で分かった。

 サイバーセキュリティーの専門家は「日本の安全保障にとっても重要な情報が狙われている。情報資産を蓄積する大学のセキュリティーレベル向上が急務だ」と指摘する。

 特定の人物や機関を狙って情報窃取を狙う標的型攻撃の被害が判明したのは、トリチウム理工学が専門の研究者のパソコン。昨年11月にウイルス感染し、12月末までに遠隔操作で1000以上の圧縮ファイルが作成された。情報を外部に送信しやすいように攻撃者が作ったとみられ、この頃、大量通信が発生していた。

最終更新:10月10日(月)6時9分
読売新聞
 

世界反ドーピング機関(WADA)

 投稿者:管理人  投稿日:2016年 9月24日(土)08時55分37秒
  http://headlines.yahoo.co.jp/hl?a=20160924-00000007-asahi-spo

柔道・松本薫?の情報も流出 WADAハッキング
朝日新聞デジタル 9月24日(土)0時36分配信

 ロシア系のハッカー集団が世界反ドーピング機関(WADA)をサイバー攻撃し、ドーピングに関する機密情報を流出させている問題で、ハッカー集団は23日、リオデジャネイロ五輪柔道女子57キロ級で銅メダルを獲得した松本薫(29)のものと見られるデータをウェブサイト上に公開した。日本選手のデータ流出は初めて。

 今回データが流出したのは、松本を含め、米国、カナダ、英国など13カ国の41選手。けがや病気の治療のために選手が禁止薬物を使う承認を特別に受けるTUE(治療使用特例)と呼ばれる情報で、データによると、松本は2007年10月16日から同年11月20日までの間、禁止薬物デキサメタゾンの使用が許可されている。正規の手続きにのっとって日本アンチ・ドーピング機構(JADA)に申請し、週に1度、関節内注射で使用することが認められた。

 デキサメタゾンはステロイドの一種で、炎症を抑える薬として治療にも使われるが、競技会の時のみ使用が禁止されている。(ロンドン=河野正樹)

朝日新聞社
最終更新:9月24日(土)1時12分
朝日新聞デジタル

「ファンシーベア」と名乗るハッカー集団が米国選手のドーピング検査結果などを公表したウェブサイト

 

レンタル掲示板
/4