Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?

Google, Microsoft can get your passwords via web browser’s spellcheck

2022/09/17 BleepingComputer — Web ブラウザ Google Chrome/Microsoft Edge の拡張スペルチェック機能は、個人情報 (PII:Personally Identifiable Information) や、場合によってはパスワードを含むフォームデータを、Google と Microsoft に送信することが判明した。これは、これらの Web ブラウザの一般的な機能かもしれない。しかし、送信後のデータの取り扱いについては、特にパスワード・フィールドに関しては、どれほどの安全性が担保されるのかという点で懸念が生じる。

Continue reading “Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?”

YouTube ユーザーが標的:RedLine という自己増殖型のスティーラーは危険だ!

YouTube Users Targeted By RedLine Self-Spreading Stealer

2022/09/15 InfoSecurity — RedLine スティーラーを用いる脅威アクーたちが、YouTube ユーザーをターゲットにしたキャンペーンを実施している。今日の未明に Kaspersky のサイバー・セキュリティ研究者たちが、このキャンペーンに関するアドバイザリを発表した。その一方で Oleg Kupreev は、「2020年3月に発見された RedLine は、ブラウザ/FTP クライアント/デスクトップ・メッセンジャーなどから、パスワードや認証情報を盗むために使われる最も一般的なトロイの木馬の1つだ。

Continue reading “YouTube ユーザーが標的:RedLine という自己増殖型のスティーラーは危険だ!”

Web サイトの 80% に問題:入力された検索ワードはビジネスに流用される

Over 80% of the top websites leak user searches to advertisers

2022/09/08 BleepingComputer — セキュリティ研究者たちの調査によると、検索バーを備えた Web サイトの 80% が、訪問者が入力した検索ワードを、Google などのオンライン広告主に対して漏えいしていることが判明した。このような慣行は、ユーザーのプライバシーを侵害し、サードパーティの巨大なネットワークに機密情報を漏えいすることを意味する。したがって、そのサードパーティ・ネットワークは、ターゲット広告の配信や、Web 上でのユーザー行動を追跡に、それらのデータを使用できることになる。

Continue reading “Web サイトの 80% に問題:入力された検索ワードはビジネスに流用される”

Instagram に €405M の罰金:アイルランド規制当局が不適切なアカウント保護を摘発

Irish Watchdog Fines Instagram 405M Euros in Teen Data Case

2022/09/06 SecurityWeek — 欧州連合の厳格なデータプライバシー規則に違反して、Instagram が 10代の若者の個人情報を誤って扱っていたことが判明した後に、このソーシャルメディア・プラットフォームは、アイルランドの規制当局により多額の罰金を科されることになった。 この月曜日のメールで、アイルランドのデータ保護委員会は、Instagram に €405 million ($402 million) の罰金を科す最終決定を、先週に下したことを明らかにした。

Continue reading “Instagram に €405M の罰金:アイルランド規制当局が不適切なアカウント保護を摘発”

Facebook の Meta Pixel:ミスコンフィグレーションで 130万人分の医療データが流出

Misconfigured Meta Pixel exposed healthcare data of 1.3M patients

2022/08/22 BleepingComputer — 米国の医療機関である Novant Health は、Meta Pixel 広告トラッキング・スクリプト Meta Pixel により誤って機密情報を収集してしまった、136万2296人に影響をおよぼすデータ侵害を公表した。Meta Pixel (旧 Facebook Pixel) とは、Facebook の広告主が広告のパフォーマンスを追跡するためにサイトに追加する、JavaScript 追跡スクリプトのことである。

Continue reading “Facebook の Meta Pixel:ミスコンフィグレーションで 130万人分の医療データが流出”

FBI 警告:クレデンシャル・スタッフィング攻撃で家庭用プロキシが悪用される

FBI warns of residential proxies used in credential stuffing attacks

2022/08/22 BleepingComputer — 米連邦捜査局 (FBI) は、大規模なクレデンシャル・スタッフィング攻撃を実行するサイバー犯罪者たちは、追跡/フラグ付け/ブロックなどを回避するために、家庭用プロキシを悪用する傾向にあると警告している。この警告は、先週末に、同局のインターネット犯罪苦情センター (IC3:Internet Crime Complaint Center) から民間企業への通知として発行された。その目的は、クレデンシャル・スタッフィング攻撃への防御策を実施する必要のある、インターネット・プラットフォーム管理者の意識を高めることにある。

Continue reading “FBI 警告:クレデンシャル・スタッフィング攻撃で家庭用プロキシが悪用される”

Google に $60M の罰金:豪の公取委が主張する Android の不正な位置情報収集

Google fined $60 million over Android location data collection

2022/08/13 BleepingComputer — Australian Competition and Consumer Commission (ACCC) は Google に対して、$60 million の罰金を科したことを発表した。その理由は、2017年1月〜2018年12月の約2年間において、位置情報の収集/利用の説明に不備があり、オーストラリアの Android ユーザーに誤解を与えたと言うものだ。ACCC によると、 ユーザーが端末の設定で位置情報履歴を無効にしていたにも関わらず、Google は一部のユーザーの Android デバイスを、追跡し続けていたという。

Continue reading “Google に $60M の罰金:豪の公取委が主張する Android の不正な位置情報収集”

米 FTC の新たな規制:大手 IT 企業のデータ収集/利用の方法が疑問視される

FTC Looking at Rules to Corral Tech Firms’ Data Collection

2022/08/12 SecurityWeek — 手首に巻きつけたフィットネス・トラッカーも、居間に置かれたスマート家電も、子どもたちが夢中になるオンライン・ビデオでの流行も、その全てが、大手ハイテク企業にとっては個人データの宝庫となっている。これらのデータが、どのように利用され、どのように保護されているかについて、社会的な関心が高まっており、政府関係者の怒りも広がっている。そして今、連邦規制当局は、商業的で有害な監視と、がさつなデータ・セキュリティを取り締まるために、新たな規則の起草を検討している。

Continue reading “米 FTC の新たな規制:大手 IT 企業のデータ収集/利用の方法が疑問視される”

GitHub の新しいプライバシーポリシー:Tracking Cookie への反発で大騒動

GitHub’s new privacy policy sparks backlash over tracking cookies

2022/08/11 BleepingComputer — GitHub のプライバシー・ポリシーが変更され、GitHub によるサブドメインへのトラッキング・クッキーの設置が可能になることに、開発者たちが激怒している。今月に、Microsoft の子会社である GitHub は、9月から一部のマーケティング用 Web ページに Non-essential クッキーを追加し、さらに、ユーザーに対して 30日間のコメント期間を提供すると発表した。

Continue reading “GitHub の新しいプライバシーポリシー:Tracking Cookie への反発で大騒動”

Amex と Snapchat にオープンリダイレクトの脆弱性:対応を間違えると悪用の範囲が拡大

American Express, Snapchat Open-Redirect Vulnerabilities Exploited in Phishing Scheme

2022/08/03 DarkReading — American Express と Snapchat のドメインに存在するオープン・リダイレクトの脆弱性を悪用する脅威アクターたちが、Google Workspace や Microsoft 365 のユーザーをターゲットにした、フィッシング・メールを送信していることが明らかになった。 INKY が発表した調査結果によると、どちらのケースにおいてもフィッシング詐欺師たちは、個人を特定できる情報 (PII) を、URL に含んでいたことが判明している。 また、PII を Base 64 に変換し、ランダムな文字列に変換することで、それを隠蔽していた。

Continue reading “Amex と Snapchat にオープンリダイレクトの脆弱性:対応を間違えると悪用の範囲が拡大”

Meta (FB) と米病院が提訴された:ターゲティング広告のために医療データを収集/使用?

Meta, US hospitals sued for using healthcare data to target ads

2022/07/30 BleepingComputer — ターゲット広告のために、患者の機密医療データを違法に収集しているとして、Meta (Facebook) /UCSF Medical Center/Dignity Health Medical Foundation に対し、カリフォルニア州北部地区で集団訴訟が起こされている。このトラッキングとデータ収集は、患者が自身の病状/担当医師/処方された薬などに関する、非常に機密性の高い情報を管理する、医療ポータルで行われているとされる。

Continue reading “Meta (FB) と米病院が提訴された:ターゲティング広告のために医療データを収集/使用?”

Google の計画変更:Chrome のサードパーティ・クッキー廃止を 2024年まで再延期

Google Delays Blocking 3rd-Party Cookies in Chrome Browser Until 2024

2022/07/28 TheHackerNews — Google は水曜日に、Google Chrome のサードパーティ・クッキーを無効にする計画を、2023年後半から 2024年後半へと再延期することを発表した。Privacy Sandbox チームの Vice President である Anthony Chavez は、「私たちが受け取った最も一貫したフィードバックは、Chrome のサードパーティ・クッキーを廃止する前に、新しいプライバシー・サンドボックス技術の、評価/テストの時間が必要だというものだった」と述べている。

Continue reading “Google の計画変更:Chrome のサードパーティ・クッキー廃止を 2024年まで再延期”

Chrome の使用制限:オランダの教育機関でセキュリティへの懸念が指摘される

Chrome use subject to restrictions in Dutch schools over data security concerns

2022/07/23 BleepingComputer — オランダの教育省は、データ・プライバシーへの懸念から、2023年8月まで Chrome OS/Chrome Web ブラウザの使用停止を決定した。Google サービスが、生徒たちのデータを収集し、大規模な広告ネットワークに提供するなど、教育支援以外の目的で使用することを、同教育省は危惧している。

Continue reading “Chrome の使用制限:オランダの教育機関でセキュリティへの懸念が指摘される”

Google Play が複数の悪質アプリを削除:Joker などのマルウェアを 10万人以上に配布

Several apps on the Play Store used to spread Joker, Facestealer and Coper malware

2022/07/19 SecurityAffairs — Google Play ストアから数十の悪質なアプリが削除されたが、それらは Joker/Facestealer/Coper という3つのマルウェア・ファミリーを配布していたという。セキュリティ企業 Pradeo の研究者たちは、Androidマルウェア Joker を拡散している複数のアプリを発見した。Joker マルウェアは、システム・アプリとして偽装された悪意のコードであり、Google Playプロテクト・サービスの無効化/悪意のアプリのインストール/偽レビューの生成/不正広告の表示など、広範な悪意の操作を実行できるようにする。

Continue reading “Google Play が複数の悪質アプリを削除:Joker などのマルウェアを 10万人以上に配布”

Google Play に新たな Data Safety セクションが登場:App Permissions の削除は妥当なのか?

Google Removes “App Permissions” List from Play Store for New “Data Safety” Section

2022/07/15 TheHackerNews — Google は、Play ストアで Android アプリの Data Safety セクションを開始したのに続き、モバイル/Web のアプリの両方から、App Permissions セクションを削除する準備を進めているようだ。これは、今週の初めに、 Esper の Mishaal Rahman により言及されたものだ。

Continue reading “Google Play に新たな Data Safety セクションが登場:App Permissions の削除は妥当なのか?”

Tor Browser 11.5 が登場:検閲回避の自動化や設定の可視化などに対応

Tor Browser now bypasses internet censorship automatically

2022/07/15 BleepingComputer — Tor Project は、検閲を自動的に検出して回避するという、新機能を搭載した Tor Browser 11.5 をリリースした。Tor Browser は、The Onion Router (Tor) ネットワークを介してサイトにアクセスするために、特別に作られたブラウザであり、ユーザーがインターネット上の情報にアクセスする際の、匿名性とプライバシーを提供するものだ。

Continue reading “Tor Browser 11.5 が登場:検閲回避の自動化や設定の可視化などに対応”

政府系 Web サイトと Cookie の関係:大半でサードパーティ・トラッカーが使われている

Nearly all governmental websites serve cookies or third-party trackers

2022/07/11 HelpNetSecurity — いくつかの国々では、政府系 Web サイトの 90% ほどが、ユーザーの同意なしにサードパーティのトラッカー・クッキーを追加している。Matthias Götze (TU Berlin)/Srdjan Matic (IMDEA Software)/Costas Iordanou (Cyprus University of Technology)/Georgios Smaragdakis (TU Delft)/Nikolaos Laoutaris (IMDEA Networks) といった研究者たちは、「ユーザーのプライバシーに関する厳しい法律のある国でも、この種のことが起こっている」と述べている。

Continue reading “政府系 Web サイトと Cookie の関係:大半でサードパーティ・トラッカーが使われている”

Amazon S3 バケットで繰り返されるミスコンフィグレーション:空港機密データ 3TB が流出

Cloud Misconfig Exposes 3TB of Sensitive Airport Data in Amazon S3 Bucket: ‘Lives at Stake’

2022/07/07 DarkReading — Amazon S3 バケットのミスコンフィグレーションにより、3TB の空港データ (150万以上のファイル) が漏洩し、アクセスに認証が不要なオープン状態となった。それにより浮き彫りになったのは、旅行業界が直面している、安全性が確保できないクラウド・インフラの危険性である。Skyhigh Security が公開した情報には、コロンビアとペルーの、少なくとも4つの空港の従業員の個人識別情報 (PII) や、その他の機密企業データが含まれているという。

Continue reading “Amazon S3 バケットで繰り返されるミスコンフィグレーション:空港機密データ 3TB が流出”

米FCC 対 TikTok:Apple/Google のアプリストアからの追放を要求

U.S. FCC Commissioner Asks Apple and Google to Remove TikTok from App Stores

2022/06/30 TheHackerNews — 米国連邦通信委員会 (FCC) の委員の一人が Apple と Google に対して、人気の動画共有プラットフォーム TikTok について、「その密かなデータ処理のパターン」を理由にアプリ・ストアから追放するよう求め始めている。FCC のメンバーであり、共和党員でもある Brendan Carr は、Apple と Google の最高経営責任者への書簡で、「TikTok の機密データと、北京による広範囲なデータ採取とが組み合わさることで、容認できないレベルの国家安全保障リスクがもたらされる」と述べている。

Continue reading “米FCC 対 TikTok:Apple/Google のアプリストアからの追放を要求”

米 FTC が Twitter に $150M の罰金:2FA のための情報をターゲティング広告に使っていた

FTC fines Twitter $150M for using 2FA info for targeted advertising

2022/05/25 BleepingComputer — 米連邦取引委員会 (FTC) は、二要素認証を運用するために収集した電話番号や電子メールアドレスを、Twitter がターゲット広告に使用したとして、$150 million の罰金を科した。裁判資料 [PDF] によると、2013年から Twitter は 1億4千万人以上のユーザーに対して、そのアカウントを保護するための情報を求めたが、そのデータがターゲット広告にも使われることを伝えていなかった。

Continue reading “米 FTC が Twitter に $150M の罰金:2FA のための情報をターゲティング広告に使っていた”

Fortune 1000 従業員のセキュリティを調査:64% に達するパスワード再利用率などが判明

Password reuse is rampant among Fortune 1000 employees

2022/05/11 HelpNetSecurity — SpyCloud は、テクノロジー/金融/小売/通信などの主要分野に属する、Fortune 1000 企業の従業員を対象とする、ID 漏洩に関する年次分析を発表した。2000億を超える漏洩資産のデータベースから、研究者たちは Fortune 1000 企業の従業員に関連する、6億8700万件以上の暴露された認証情報/個人情報を特定し、昨年の分析結果と比較して 26% 増であることを明らかにした。

Continue reading “Fortune 1000 従業員のセキュリティを調査:64% に達するパスワード再利用率などが判明”

米企業のプライバシー管理:お粗末な CCPA/CPRA/GDPR コンプライアンス対応

Companies poorly prepared to meet CCPA, CPRA and GDPR compliance requirements

2022/04/29 HelpNetSecurity — California Consumer Privacy Act (CCPA) および、California Privacy Rights Act (CPRA)、EU の General Data Protection Regulation (GDPR) への各企業の対応状況について、CYTRIO が 2022年 Q1 に行った独自調査の結果が発表された。2022年3月31日の時点において 90% の企業が、CCPA/CPRA の Data Subject Access Request (DSAR) 要件に対して、完全に準拠していないことが調査結果で明らかになった。さらに、95% の企業が、GDPR の DSAR の要件に対して、エラーの起こりやすい、時間のかかる手動プロセスを使用していることが分かった。

Continue reading “米企業のプライバシー管理:お粗末な CCPA/CPRA/GDPR コンプライアンス対応”

Palo Alto Networks の Firewall/VPN に OpenSSL の脆弱性が影響をおよぼす

Palo Alto Networks firewalls, VPNs vulnerable to OpenSSL bug

2022/04/07 BleepingComputer — 4月2日に、米国のサイバー・セキュリティ企業である Palo Alto Networks は、同社の Firewall/VPN/XDR 製品の一部に、3週間前に公開された深刻度の高い OpenSSL 無限ループの脆弱性 CVE-2022-0778 が存在すると顧客に警告した。この脆弱性の悪用に成功した脅威アクターは、サービス拒否状態を引き起こし、未パッチのソフトウェアを実行しているデバイスを、リモートからクラッシュさせることが可能となる。

Continue reading “Palo Alto Networks の Firewall/VPN に OpenSSL の脆弱性が影響をおよぼす”

メッセージング・アプリの選び方:利便性と安全性をビジネス目線で考察する

Which Third-Party Messenger App Is Best for Secure Business?

2022/04/07 SecurityIntelligence — 2021年10月のこと、世界中で Facebook/Instagram/WhatsApp/Messenger が最大で6時間にわたり停止し、数十億人がメッセージ・サービスを受けられなくなった。Facebook のエンジニアたちが問題解決に奔走する間、ユーザーは他のアプリに移行してつながりを維持した。Telegram の創設者である Pavel Durov によると、この停止の後に、7000万人のユーザーが増加したという。

Continue reading “メッセージング・アプリの選び方:利便性と安全性をビジネス目線で考察する”

GitHub にトークン保護機能が追加:リポジトリ・プッシュの前に自動判定

GitHub can now auto-block commits containing API keys, auth tokens

2022/04/04 BleepingComputer — 月曜日に GitHub は、GitHub Advanced Security の顧客向けに、コード・ホスティング・プラットフォームのシークレット・スキャン機能を拡張し、秘密漏えいを自動的にブロックすると発表した。 シークレット・スキャンは、GitHub Enterprise Cloud を Advanced Security ライセンスで使用している組織が、リポジトリのスキャンに追加できる高度なオプションである。

Continue reading “GitHub にトークン保護機能が追加:リポジトリ・プッシュの前に自動判定”

ロシア政府による TLS 認証局 (CA) の設立:Yandex/Atom ブラウザで経済制裁に対抗

Russian Pushing New State-run TLS Certificate Authority to Deal With Sanctions

2022/03/11 TheHackerNews — ロシア政府は、ウクライナへの軍事侵攻に伴う西側諸国の制裁措置により発生した、Web サイトへのアクセスに関する問題に対処するため、独自の TLS 認証局 (CA) を設立した。Gosuslugi パブリック・サービス・ポータルに掲載されたメッセージによると、ロシアの Ministry of Digital Development は、TLS 証明書の取消/失効に際して、発行/更新を処理する国内代替機関を提供する予定とされる。このサービスは、ロシアで活動する全て法人に提供され、要求に応じて5営業日以内にサイト・オーナーに証明書が届けられるという。

Continue reading “ロシア政府による TLS 認証局 (CA) の設立:Yandex/Atom ブラウザで経済制裁に対抗”

Twitter が立ち上げた Tor Web サイトでロシア政府の検閲をバイパス!

Twitter launches Tor website to tackle Russian censorship

2022/03/08 BleepingComputer — Twitter が Tor ネットワーク上でアクセス可能になり、禁止されている国々のユーザーも引き続き、このソーシャル・ネットワーク・サイトにアクセスできるようになった。この新しい Onion URL は、セキュリティ・エンジニアである Alec Muffett が本日に発表したものであり、Twitter が Tor ブラウザを介して世界中からアクセスできるようになったと表明している。

Continue reading “Twitter が立ち上げた Tor Web サイトでロシア政府の検閲をバイパス!”

Salt Security の調査:API の広大な攻撃面積を保護するためには?

Salt Security Survey Surfaces API Security Weaknesses

2022/03/02 SecurityBoulevard — 今日、Salt Security が発表した、セキュリティ/アプリケーション/DevOps 関連の、250人以上の役員および専門家を対象とした調査によると、回答者の 95% が過去 12ヶ月間に API に関わるセキュリティ・インシデントを経験し、62% が API セキュリティの懸念からアプリケーションの展開を遅らせたと報告していることが判明した。

Continue reading “Salt Security の調査:API の広大な攻撃面積を保護するためには?”

FCC 提示:健康保険会社によるロボコールに対して $45 M の反則金

FCC proposes $45 million fine for health insurance robocaller

2022/02/18 BleepingComputer — 今日、米国連邦通信委員会 (Federal Communications Commission:FCC) は、Telephone Consumer Protection Act (法) に違反したロボコール業者に対して、過去最大の罰金額を提示した。FCC は、フロリダ州を拠点とする Lead Generator である Interstate Brokers が、緊急の目的のためではなく、また、消費者の事前の同意を得ることもなく、50万件以上の違法なロボコールを行ったとして、$45 million の TCPA 反則金を科したいとしている。

Continue reading “FCC 提示:健康保険会社によるロボコールに対して $45 M の反則金”

Google の方針転換:Cookie の代替としての FLoC は諦めて Topics API を提示

Google Drops FLoC and Introduces Topics API to Replace Tracking Cookies for Ads

2022/01/25 TheHackerNews — 火曜日に Google は、物議を醸したサードパーティー・クッキーの置き換え計画を断念し、ユーザーの閲覧履歴を約350のトピックに分類する、Topics というプライバシー・サンドボックスの新提案を行うことを発表した。FLoC (Federated Learning of Cohorts) に代わる、この新しい仕組みでは、ある週のユーザーの閲覧履歴を、あらかじめ指定された上位の関心事 (Topics) にスロットし、3週間だけデバイス上にのみに保持される。

Continue reading “Google の方針転換:Cookie の代替としての FLoC は諦めて Topics API を提示”

Tor Project が抗議:ロシアの裁判所が Tor ノードと Web サイトをブロック

Tor Project appeals Russian court’s decision to block access to Tor

2022/01/24 BleepingComputer — 米国の Tor Project と ロシアのデジタル著作権保護団体 RosKomSvoboda は、公開されている Tor ノードとプロジェクトの Web サイトへのアクセスをブロックした、ロシアの裁判所の決定を不服としている。非営利団体である Tor Project は、インターネット上で動作する分散型ネットワーク Tor を運営しており、検閲の回避/Web サイトへの匿名アクセス/Tor だけがアクセスできる特別な「Onion」URL(.onion)などをユーザーに提供している。

Continue reading “Tor Project が抗議:ロシアの裁判所が Tor ノードと Web サイトをブロック”

奇妙な SMTP スパイウェアにより産業界の ICS から認証情報が盗まれている

‘Anomalous’ spyware stealing credentials in industrial firms

2022/01/20 BleepingComputer — 研究者たちにより、産業界をターゲットにした、いくつかのスパイウェア・キャンペーンが発見された。電子メールアカウントの認証情報が盗みだされたが、その目的は、金融詐欺や認証情報の転売だと考えられる。攻撃者は、既製のスパイウェア・ツールを使用しているが、検出を逃れるために、それぞれの亜種を、きわめて限られた時間において展開している。攻撃に使用される汎用マルウェアの例としては、AgentTesla/Origin Logger/HawkEye/Noon/Formbook/Masslogger/Snake Keylogger/Azorult/Lokibot などがある。

Continue reading “奇妙な SMTP スパイウェアにより産業界の ICS から認証情報が盗まれている”

米連邦通信委員会 FCC による新たな規則の提案:データ侵害の開示方式を厳しく

FCC Proposes Stricter Regulations for Data Breach Disclosure

2022/01/20 SecurityBoulevard — 米連邦通信委員会 (Federal Communications Commission : FCC) は、企業がデータ漏洩を開示する際の要件を、より厳格にすることを提案した。この提案によると、企業は不注意によるデータ漏洩の影響を受けた顧客に通知することが義務付けられ、開示前の1週間の待機期間は廃止される。この変更により FCC の規則は、他のセクターを対象とした連邦/州のデータ漏洩法の最近の動向と、より良く一致することになる。

Continue reading “米連邦通信委員会 FCC による新たな規則の提案:データ侵害の開示方式を厳しく”

赤十字の国際委員会からハッカーへ:直接かつ内密に話し合いたい

Red Cross Appeals to Hackers After Major Cyberattack

2022/01/20 SecurityWeek — 1月12日に赤十字の国際委員会 (ICRC : International Committee of the Red Cross) は、個人情報が大量に窃取されたインシデントに関して、サイバー攻撃の背後にいる人物と「直接かつ内密に」話をする用意があるとアピールした。このハッカーは、紛争を逃れた人々や拘留中の人々など、51万5,000人以上の弱い立場にある人々の ICRC データを窃取していると、ジュネーブを拠点とする同組織は発表している。

Continue reading “赤十字の国際委員会からハッカーへ:直接かつ内密に話し合いたい”

米国諜報機関からのアドバイス:スパイウェア攻撃を防ぐための TIPS

US counterintelligence shares tips to block spyware attacks

2022/01/07 BleepingComputer — 米国の National Counterintelligence and Security Center (NCSC) と Department of State (国務省) は、商用の監視ツールを悪用する攻撃に対して、共同で防御策を発表した。この共同勧告では、監視キャンペーンの標的となる恐れのある人々が、モバイル機器に導入された傭兵用スパイウェアを悪用して、位置情報の追跡や、会話の録音、個人情報などの収集を試みようとする動きを、阻止するためのヒントが示されている。

Continue reading “米国諜報機関からのアドバイス:スパイウェア攻撃を防ぐための TIPS”

フランスのプライバシー保護機関が F と G に合計で 210 M Euros の制裁金

France hits Facebook and Google with $210 million in fines

2022/01/06 BleepingComputer — フランスのデータプライバシー保護機関である National Commission on Informatics and Liberty (CNIL) は、Facebook に対して 60 million Euros ($68 million)、Google に対して 150 million Euros ($170 million) の制裁金を科すことを発表した。これらの制裁金の背景には、Web サイトの訪問者に対して、トラッキング・クッキーの拒否に複数回のクリックを要求することで、拒否し難くしたことを違法と判断したことがある。

Continue reading “フランスのプライバシー保護機関が F と G に合計で 210 M Euros の制裁金”

Xiaomi の新たなモバイル OS:いくつかのアプリがブロックされるという問題

Xiaomi’s new smartphone OS update blocks some apps, users say

2022/01/06 SCMP — 中国の Xiaomi スマートフォンのユーザーから、同社が一部のモバイル・アプリのインストールを阻止しているのではないかという懸念の声が上がっており、同社の最新 OS に導入された新機能についても疑念が渦巻いている。

Continue reading “Xiaomi の新たなモバイル OS:いくつかのアプリがブロックされるという問題”

SEGA Europe が AWS S3 バケットを誤って公開:データとインフラが危険に

SEGA Europe left AWS S3 bucket unsecured exposing data and infrastructure to attack

2022/01/03 SecurityAffairs — サイバー・セキュリティ企業の VPN Overview の報告によると、年末にゲーム大手の SEGA Europe が、Amazon Web Services (AWS) の S3 バケットにユーザーの個人情報を誤って公開し、放置していたことが分かった。この S3 バケットには、複数の AWS キーが含まれており、これらのキーを使用することで、SEGA Europe の複数のクラウド・サービスにアクセスすることが可能だった。また、MailChimp や Steam のキーも含まれており、これらのサービスに SEGA の名前でアクセスすることもできた。

Continue reading “SEGA Europe が AWS S3 バケットを誤って公開:データとインフラが危険に”

Facebook ページの管理者情報が漏れる脆弱性:ネパールの 19歳が発見して報奨金をゲット

Facebook Patches Vulnerability Exposing Page Admin Identity

2021/12/21 SecurityWeek — Facebook は、ページの管理者の身元を明らかにするために、悪用される可能性のある脆弱性について、ネパールの 10代の研究者に $4,750 のバグバウンティ報酬を支払った。このソーシャル・メディア上で、自社ブランドの認知度を高めようとする企業は、この Facebook ページを利用きまるが、ページの管理権限を持つ Facebook の個人アカウントは非公開となっている。

Continue reading “Facebook ページの管理者情報が漏れる脆弱性:ネパールの 19歳が発見して報奨金をゲット”

Facebook がサイバー傭兵企業7社に圧力:5万人のユーザーに対するスパイ行為

Facebook Bans 7 ‘Cyber Mercenary’ Companies for Spying on 50,000 Users

2021/12/17 TheHackerNews — 木曜日に Meta Platforms は、監視技術への批判が高まる中、100カ国以上でジャーナリスト/反体制派/権威主義政権批判者/人権活動家などを「無差別に」標的にしていたとして、サイバー傭兵7社のプラットフォームを廃止する措置をとったと表明した。

Continue reading “Facebook がサイバー傭兵企業7社に圧力:5万人のユーザーに対するスパイ行為”

14種類の XS-Leaks 攻撃:Chrome/Edge/Safari/Firefox などに影響する

14 New XS-Leaks (Cross-Site Leaks) Attacks Affect All Modern Web Browsers

2021/12/06 TheHackerNews — 研究者たちは、Tor Browser/Mozilla Firefox/Google Chrome/Microsoft Edge/Apple Safari/Opera などの最新 Web ブラウザに関連する、14種類の新しいクロス・サイト (X S) データリーク攻撃を発見した。これらのバグは、 XS-Leaks と総称され、悪意の Web サイトを成立させるものだ。

Continue reading “14種類の XS-Leaks 攻撃:Chrome/Edge/Safari/Firefox などに影響する”

Clearview の顔認識は違法:英当局は £17 Million の罰金を課すのか?

Clearview Faces £17 Million Penalty For Breaching Data Laws

2021/12/02 CyberSecurityIntelligence — 英国のデータ規制当局は、Clearview AI に対して、同社の顔認識ソフトウェアを強化するために人々のデータを使用していたことで、少なくとも £17m ($22.5m) の罰金に直面していると警告した。Information Commissioner’s Office (ICO) は、英国のデータ保護法に対する重大な違反の疑いがあるとして、英国内の人々の個人データのさらなる処理を停止し、削除するよう暫定的な通知を出した。

Continue reading “Clearview の顔認識は違法:英当局は £17 Million の罰金を課すのか?”

イタリアの独占禁止当局:攻撃的なデータ慣行に対して Google と Apple に罰金

Italy’s Antitrust Regulator Fines Google and Apple for “Aggressive” Data Practices

2021/11/26 TheHackerNews — イタリアのアンチ・トラスト当局は、Apple と Google に対して、攻撃的なデータの取り扱いと、個人データの商業利用に関する明確な情報を、アカウント作成時に消費者に明示しなかったことで、それぞれに €10 million の罰金を科した。AGCM (Autorità Garante della Concorrenza e del Mercato) は、「Apple と Google は、ユーザー・データの取得と商業目的での使用について、明確かつ迅速な情報を提供していない。ハイテク企業はデータ収集を、自社サービスの向上とユーザー体験のパーソナライズに必要なものとして強調し、データが他の理由で転送/使用される可能性があることを一切示唆していない」と述べた

Continue reading “イタリアの独占禁止当局:攻撃的なデータ慣行に対して Google と Apple に罰金”

NSO Group や Positive Technologies など4社が米政府により制裁される

NSO Group, Positive Technologies and other firms sanctioned by the US government

2021/11/03 SecurityAffairs — 米国の Commerce Department’s Bureau of Industry and Security (BIS) は、国家機関が使用するスパイウェアの開発や、ハッキングツールの販売を行ったとして、4社を制裁した。制裁を受けたのは、イスラエルの NSO Group (Pegasus) および Candiru と、シンガポールの Computer Security Initiative Consultancy PTE. LTD、そしてロシアの Positive Technologies である。

Continue reading “NSO Group や Positive Technologies など4社が米政府により制裁される”

米上院議員が提出したデータ保護法案:中国に対する規制を強化

US senators introduce bill to further restrict Chinese acquisitions of American personal data

2021/11/03 SCMP — 火曜日に、2人の米上院議員が、国家安全保障への脅威を理由に、中国による米国人の個人情報の取得を、さらに制限するという超党派の法案を提出した。フロリダ州選出の Marco Rubio (共和党) とジョージア州選出の Raphael Warnock (民主党) が提出した、Protecting Sensitive Personal Data Act of 2021 は、米国企業を所有する外国人バイヤーに対して、購入品の審査提出を強制することができる。それにより、省庁間規制機関である Committee on Foreign Investment in the US (CFIUS)の監視権限が拡大していく。

Continue reading “米上院議員が提出したデータ保護法案:中国に対する規制を強化”

EU の匿名ドメイン禁止法案:サイバー犯罪対策とプライバシー保護の対峙

EU legislation introduced to ban anonymous domain registration

2021/10/13 BleepingComputer — 欧州連合 (EU) は、この大陸では、個人が匿名でドメインを登録することを、禁止する可能性のある法案を作成している。インターネット・ドメインを登録する際、レジストラは購入者の氏名/住所/電子メール/電話番号などの情報を収集する。しかし、これらの情報は正確であることが確認されておらず、虚偽の情報が含まれている可能性がある。

Continue reading “EU の匿名ドメイン禁止法案:サイバー犯罪対策とプライバシー保護の対峙”

Cookie 同意の Pop-Up:すべてを受け入れることのリスクとは?

Don’t Click On Pop-Ups

2021/10/13 CyberSecurityIntelligence — この1年半ほどの間に、大きな変化があった。スマホやパソコンで新しい Web サイトを訪れた際に、おそらく、誰もが目にしたことがあると思う。そのページが Cookie を使ってあなたを追跡していることが知らされ、それに同意するよう求められるようになった。現在、ユーザーが訪問するほとんどの Web サイトでは、そのユーザーに関する情報を保持するために、同意を求めるポップアップが表示される。

Continue reading “Cookie 同意の Pop-Up:すべてを受け入れることのリスクとは?”

中国最大のフードデリバリー Meituan のプライバシー保護を Wanda の息子が痛烈批判

Chinese tycoon’s socially influential son adds to Meituan’s antitrust woes with claims of data breach, stolen Dianping account

2021/10/11 SCMP — Dalian Wanda Group の創業者の息子であり、ソーシャルメディアで 4,000万人のフォロワーを持つ Wang Sicong は、国内で圧倒的なシェアを誇るフードデリバリー・サービスが、独占禁止法違反で罰金を科せられようとしている最中に、その Meituan のデータポリシーを非難した。

Continue reading “中国最大のフードデリバリー Meituan のプライバシー保護を Wanda の息子が痛烈批判”

中国のデータ保護法:Core と定義される産業/通信データは国外へ持ち出せない

China to block ‘core’ industrial, telecoms data from leaving the country

2021/10/01 SCMP — 中国の Ministry of Industry and Information Technology (MIIT) は、重要な産業データや通信データが国外に流出するのを防ぐための、新たな規則を作成した。この動きは、世界第2位の経済大国である中国での、多国籍企業の活動に大きな影響を与える可能性がある。

Continue reading “中国のデータ保護法:Core と定義される産業/通信データは国外へ持ち出せない”