「OCNに不正アクセスがあって400万件の個人情報が盗まれてしまったんだにゃーの巻」(7月29日版)Scan名誉編集長 りく君の セキュリティにゃークサイド | ScanNetSecurity
2024.05.07(火)

「OCNに不正アクセスがあって400万件の個人情報が盗まれてしまったんだにゃーの巻」(7月29日版)Scan名誉編集長 りく君の セキュリティにゃークサイド

7月24日には大手ISP、OCNのIDサーバーに不正アクセスがあり、最大約400万のOCNのIDとして使うメールアドレスと、暗号化されたパスワードが流出した可能性があるんだって。今のところは被害は確認されてないんだにゃー。

特集 コラム
facebookLINE
パラボラアンテナ使って遠くの動きもしっかり監視してやるんだにゃー
パラボラアンテナ使って遠くの動きもしっかり監視してやるんだにゃー 全 2 枚 拡大写真
管理者のみんなおはようさんだにゃー。

Scan編集部を陰で操っている名誉編集長(※自称です)のりくくんだよ。

今週も編集部をうろうろして作業を後ろから見張っているんだけど、そこでチラ見したニュースの中から気になったことを、編集部には内緒でお伝えするよ。

●OCNに不正アクセス。400万件の個人情報が盗まれてる可能性

7月24日には大手ISP、OCNのIDサーバーに不正アクセスがあり、最大約400万のOCNのIDとして使うメールアドレスと、暗号化されたパスワードが流出した可能性があるんだって。今のところは被害は確認されてないんだにゃー。

OCNの発表によると、外部からの攻撃によってサーバーでメールアドレスとパスワードを抽出して送信しようとする不審なプログラムが動いてたんだってにゃー。最近流行しているStruts2の脆弱性を突く攻撃と関係あるのかにゃー。
http://www.ntt.com/release/monthNEWS/detail/20130724.html

●不正Androidアプリで3700万のメアドを盗み取り逮捕される

ウイルス対策をしないウイルス対策アプリなんかをダウンロードさせて、そのアプリを使って電話帳のデータを盗み取っていた人が逮捕されたんだにゃー。盗み取ったアドレスに対して36万もスパムメールを送りつけたことによる、特定電子メール法違反なんだにゃー。

猫はおもちゃにすぐに騙されるから、人に偉そうなことはいえないけど、こういう不審なアプリに騙されないようにしなきゃいけないにゃー。Androidは大変だにゃー。

●Yahoo!知恵袋でゼロデイXSS脆弱性公開される

7月22日には有名な質問サイトの「Yahoo!知恵袋」にXSS脆弱性が見つけられて、質問にJavaScriptが埋め込まれてたんだにゃー。その質問を見た人が他の質問を見るとアラートがポップアップされるようになってたんだにゃー。

ただアラートがポップアップされるだけだったからよかったけど、本当にCookieが盗まれたり、攻撃予告を書き込むようなスクリプトが埋め込まれてたら大変だったんだにゃー。他の人が悪用する危険もあるからゼロデイは公開しない方がいいと思うにゃー。

●Outlook.comやSkyDriveにはアメリカ政府監視用バックドアがあるらしい

エドワード・スノーデン氏によると、マイクロソフトはOutlook.comやSkyDrive、Skypeにアメリカ政府が監視するためのバックドアを用意してたんだって。これによって、たとえ暗号化されていたとしても、データの傍受が簡単にできるようになってたんだってにゃー。

アメリカの国家安全のためとはいえ、秘密にしているつもりのデータやメールでのやり取りまでもが監視されてると思うと、タダでもちょっと使いたくないと思うけどにゃー。

・Snowden の暴露:米政府のため Microsoft がOutlook.com にバックドアを追加~ NSA、レドモンドの「協力的なチームワーク」を絶賛(The Register)
http://scan.netsecurity.ne.jp/article/2013/07/22/32125.html

●SIMカードにDES暗号化技術を利用している携帯電話の4分の1に完全に乗っ取られる危険性があることが判明

SIMカードに旧来のDES暗号化技術を利用している携帯電話は、その4分の1がSMSによって端末を完全に乗っ取られることがわかったんだって。DESなんて古い暗号… と思った人も多いと思うけど、現在利用されている携帯電話の約半分には、まだDES暗号技術が使われているんだってにゃー。

テキストメッセージを携帯電話へ送信することにより、その端末のSIMカードに利用されているDES暗号化キーが取得できるんだって。そして、このキーを使って携帯電話を完全に乗っ取るソフトウェアをインストールできるんだにゃー。詳しいことは8月にラスベガスで開催されるBlack Hatカンファレンスで説明されるんだにゃー。怖いけど楽しみだにゃー。

・たった一通のテキストで SIM の暗号は破られ、携帯電話にはスパイウェアが詰めこまれる~ドイツの科学者の SMS 攻撃が、あなたのポケットから DES の暗号化キーを抜き出す(The Register)
http://scan.netsecurity.ne.jp/article/2013/07/24/32139.html

先週はこんなことがあったけど、今週はどんな編集部をどきどきさせるような出来事が起きるのかな。

楽しみだにゃー。

(りく)

筆者略歴:猫。情報セキュリティ専門誌 ScanNetSecurity の名誉編集長を務めるかたわら、ITセキュリティの専門ライター 吉澤亨史の指導にあたる

(翻訳・写真:山本洋介山)

猫の写真を撮っています。たまにセキュリティの記事も書いたりしています。
http://twitmatome.bogus.jp/

週刊セキュリティにゃークサイド
http://scan.netsecurity.ne.jp/special/3252/recent/

《》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  3. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  4. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  7. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  8. 「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

    「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

  9. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  10. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

ランキングをもっと見る
ホーム 特集 コラム 記事
TOP