国土交通省国土地理院におけるウイルス感染事案について

セキュリティ事故多発官公庁。。。

10月22日に国土地理院の職員が業務に使用しているパソコンがウイルスに感染し、情報が外部に送信された可能性があることが10月24日に判明しました。

http://www.gsi.go.jp/johosystem/johosystem60044.html

参考:
2008/07/24
[個人情報の流出に関するお詫びと報告について]
http://www.gsi.go.jp/johosystem/johosystem60006.html

2011/10/28
[サーバに対する不正アクセスについて]
http://www.gsi.go.jp/johosystem/johosystem65000.html
http://www.gsi.go.jp/johosystem/johosystem65001.html

2011/12/21
[国土地理院Webページの一部改ざんについて]
http://www.gsi.go.jp/johosystem/johosystem65002.html

2012/03/02
[「注意」国土地理院を標的型攻撃した不正なファイル]
http://jp-erteam.nprotect.com/80

2013/05/10
[メールアドレス表示に関するお詫びとお知らせ]
http://www.gsi.go.jp/buturisokuchi/buturisokuchi60002.html

2014/06/19
[メールアドレスの流出に関するお詫びとお知らせ]
http://www.gsi.go.jp/johosystem/johosystem60043.html

パロアルト日本語サイト改ざん

改ざんされた際のレピュテーションリスクが大きそうな例。

PaloAltoお詫び
PaloAltoお詫び

9月5日、パロアルトネットワークスは弊社日本語サイトが第三者によって改ざんされ不審な挙動を行っている事を検知致しました。このサイトは外部の会社に運営管理を委託しておりましたが、その外部のウェブ管理会社が運営している別の会社のウェブサイトでも同様の事象が確認されました。この 事象は弊社日本語サイトであるpaloaltonetworks.jpのみをターゲットにしたものではなく、多くのサイトに対する攻撃の一環として行われました。

 この事象による弊社の顧客への被害は報告されていません。また弊社の社内ネットワーク、技術およびテクノロジーへの侵害はありません。弊社はこの事象を検知後、すみやかに外部のウェブ管理会社と対応を開始し、弊社サイトの修正を行いました。弊社は事象確認から24時間以内に日本語サイトを閉鎖し、今後同様の事象を防ぐため日本語サイトを自社で運営する米国サーバー内に移行し再稼働させました。

弊社日本語サイト に関する重要なお知らせ

セキュリティ会社が。。。の誹りは免れないですね。
たとえ、大本のサービスによるものとしても、そのリスクを考えていなかったのか、と言われるわけで。。。

個人情報保護法、これまでに1.5万社が登録…マレーシア

2013年11月15日に施行された「2010年個人情報保護法(PDPA)」に基づき、個人情報保護局は今年4月末時点で1万4,884社から登録申請を受け付けた。南洋商報が報じた。

登録を怠ったにも関わらず個人情報を取り扱った場合は最大50万リンギの罰金刑または最長3年間の禁固刑が課される。

個人情報保護法、これまでに1.5万社が登録…マレーシア

これも忘れないように。。。

グーグルにリンク削除義務

【ブリュッセル共同】インターネット上に掲載された個人情報の削除を求める「忘れられる権利」をめぐり、欧州連合(EU)司法裁判所は13日、米検索大手グーグルに対し、自分の情報へのリンクを検索結果から削除するよう求めたスペイン人男性の請求を認める判決を言い渡した。

 個人情報保護やプライバシーに敏感な欧州では、忘れられる権利の必要性が活発に議論されている。EU域内に効果が及ぶ同裁判所の判断は、大きな影響を与えそうだ。

 同裁判所は「検索企業は一定の条件下で、個人名での検索で表示される結果からリンクを削除する義務がある」と指摘した。


グーグルにリンク削除義務 「忘れられる権利」認める

忘れないように記録

at HND (to HKG)

来週も飛ぶのですが。。。
疲れているときに判断力無く、逃亡を企画してしまい、少し反省。

at HND
at HND

特に目的はありません。。。

at SAKURA Lounge
at SAKURA Lounge

適当にごはんを食べて帰ってくる予定です。。。

Boeing 777
Boeing 777

いくつかネットワーク的に試したいこともありますし、いつも疑問だった香港の個人情報保護の実態も知りたいところです。。。

at NRT (to KUL)

PCI 3.0セミナーのために、日帰り弾丸でKLに。
まあ、夜便、シンガポールから夜帰りなので、そんなに負担はないかな。。。

at NRT
at NRT

昨日から、京都->愛知->静岡とめぐって、成田です。。。

at NRT
at NRT

いつもより早くつきました!!
でごはんを食べて。。。

at NRT
at NRT

出発まで。。。

ドクターイエロー(2)

二回目です。
今日は名古屋へ出張。
ドクターイエローがいました。やっぱり人だかりです。

ドクターイエロー@東京駅
ドクターイエロー@東京駅
ドクターイエロー@東京駅
ドクターイエロー@東京駅
ドクターイエロー@東京駅
ドクターイエロー@東京駅

今回は、先頭も末尾も撮影してみました。

2013 秋のサシバの渡り@石垣島

記録の意味もあると思うので。

バンナで鷹柱ができていました。

サシバ@石垣島
サシバ@石垣島
鷹柱@石垣島
鷹柱@石垣島
鷹柱@石垣島
鷹柱@石垣島

ちっちゃい点すべてが鷹です。

鷹柱@石垣島
鷹柱@石垣島

遠方にももう一柱。

上昇気流をつかむとものすごい勢いで上空にあがっていきます。

鷹柱@石垣島
鷹柱@石垣島
サシバ@石垣島
サシバ@石垣島

たまに遅れているのを撮影しつつ、都合で五集団くらい、目測で二百から三百くらいを見送りました。

8機関にサイバー攻撃…「衆参両院」にも関与か

2011年夏に衆参両院に対しサイバー攻撃を仕掛けたグループが、今年に入って再び日本と韓国の防衛関連企業や大手通信事業者などを攻撃し、少なくとも国内8機関から情報を抜き取っていたとみられることが、ウイルス対策会社「カスペルスキー」の調査でわかった。

 衆参両院への攻撃には中国軍関係者が関与した疑いもあり、同社は「機密を持つ組織に対し、長期的な攻撃が続いている実態が浮かび上がった」としている。

 26日、同社が米ワシントンの国際会議で発表する。

8機関にサイバー攻撃…「衆参両院」にも関与か

先週のフィリピンから「日本」を引き合いに出されないことはないですが。。。

これは
・日本が攻撃にさらされているから/日本のセキュリティが甘いから
なのか
・日本の保秘体制が甘くいろんな会社に好きに使われているから
なのか。。。

最近の事案でも、「機密性2」で出たであろう情報が、伝言ゲームで個人ブログに掲載されていましたし、警戒情報事案については、思い切って公開にしてもよいような。。。

追記
The Icefog APT: A Tale of Cloak and Three Daggers

でPDFも公開されています。
このIcefogとDeputy Dogに関してはマルウェア側からの解析結果を見ると、色々とギャップが埋まります。。。

米大手データ仲介業者がハッキング被害

 「あらゆる米国の居住者に関する」個人データを販売する(売られたデータはID窃盗に利用できる)違法サービスが、LexisNexisやDun & Bradstreetを含む複数の大手データ収集企業のサーバをハッキングしたとの報道があった。

 この報道によると、このサービスの顧客は「膨大な金額を費やして、400万人以上の米国人に関する社会保障番号、生年月日、運転免許証の記録を調べるとともに、信用や経歴に関する記録を不正に入手した」という。

米大手データ仲介業者がハッキング被害–大量の個人情報が流出か

新たな流出かと思ったらExpose.suの件ですね。
確かに「変な」情報の流出だったのですが、時間が経ってようやく全容が見えてきたということでしょうか。

市の職員の内部不正

二つ。

市によると、西野容疑者は約300回不正アクセスを繰り返し、うち約200回で侵入に成功。88回は人事室で、昇任試験の資料を閲覧した形跡もあったという。パソコンには上司が評価をつけた「人事考課シート」も保存されていた。他人のパスワードは「氏名や誕生日などから推測した」と話しているといい、府警が裏付けを進めている。

不正アクセス:庁内ネット侵入 25日に大阪市職員再逮捕

他人のパスワードの乗っ取りとはいえ、正当な組み合わせのアクセスのため、把握は大変だと思います。

そして、こちらも

元盛岡市幹部の60代男性が、市都南総合支所管内の出張所に非常勤で勤務していた昨年と今年、住民基本台帳システムに私的にアクセスし、知人男性の個人情報を入手していたことが24日の市議会総務常任委員会で明らかになった。市は市個人情報保護条例に抵触するとみて詳しい事実関係を調べている。


住基情報を私的に入手 元盛岡市幹部、条例抵触か

こちらは、正当な自分のアカウントを使った不正行為です。

どちらも通常プロセスでは発見しづらいですね。。。

シンガポール 個人情報保護法、委員会が最終指針を公表

35th International Conference of Data Protection and Privacy Commissionersに出てます。
夏休みなので、趣味のプライバシー研究です。

DNCには希望者が自らの意思で登録する。企業などからのテレマーケティングを望まない住民がDNCに登録していないケースも考えられる。

このためPDPCは指針で「DNCに登録してないからとの理由で、当人がテレマーケティングメッセージを受けることに同意したとはみなさない」とした。

続けて「DNCに登録しているかにかかわらず、テレマーケティングで広告、販売メッセージを伝えたい企業・団体は、メッセージを受け取ることに同意したとの明確な意思表示を当人から得なければならない」と説明した。


個人情報保護法、委員会が最終指針を公表

中身はこれですね。
Advisory Guidelines on Personal Data Protection

確認する時間があるかな。。。カンファレンスは回線の品質が悪くて。。。

Googleのクッキー警告

これは。。。

Google Suomi Cookie警告
Google Suomi Cookie警告

Finland
The law is in effect. Valid consent can be signalled through a browser.

Cookie Laws Across Europe

なるほど、フィンランドではcookie使用に同意が必要なんですね。日本語で出て来るとは驚き。

ヘルシンキ ヴァンター国際空港(HEL)

Boeing 787
Boeing 787

思えば今月は、日本から東へ行き、南へ行き、西へ行き、北半球の色んなところに行っています。。。
そして、フィンランドは15度。やばい、バンクーバより寒い!!

乗り継ぎとの分かれ道
乗り継ぎとの分かれ道

「EXIT」に向かって歩けばいいですが、途中乗り継ぎとの分かれ道があるので注意。

漢字も
漢字も

漢字もあったりします。

で、入国では
 何しに来た?
  バケーションだ
 何日ヘルシンキに滞在する
  四日
 それから
  ポーランド
 ポーランド何日
  五日
 十日ちかくいるんだ
  そだよ。長いよね
で終了。

 パスポートの最後のページに捺印しやがりました。。。

ヘルシンキ ヴァンター国際空港 見取り図
ヘルシンキ ヴァンター国際空港 見取り図

 見取り図を見れば複雑な形、歩いた理由がわかります。

税関
税関

生乾きの洗濯物しかないので、緑の出口から外へ。

出口
出口

ようやく着きました。

NRT to HEL

あ、787だ。

Boeing 787
Boeing 787

何かの競技の日本代表選手がいたらしく、取材が来てました。Japanのカバンを持っていたからの推察ですが。

J級 ハーブチキン&カレー
J級 ハーブチキン&カレー

軽食食べましたがごはん。

アイス
アイス

今月何回目かの機内アイス。

AIR 吉野家
AIR 吉野家

こういうシリーズなのでしょうか。(前はくまもんタイピーエンだったような)

AIR 吉野家
AIR 吉野家

作ってみましたが。。。絶対量が少ない!! 並みの半分くらい?

という感じでヘルシンキに着きました。

ブラジルのハッカー集団、NASAサイトを攻撃 NSAと勘違い

【9月18日 AFP】ブラジルのハッカー集団が、米国によるオンライン通信傍受への報復として米国家安全保障局(National Security Agency、NSA)を攻撃をするつもりが、誤って米航空宇宙局(NASA)のウェブサイトをハッキングしてしまった。ブラジルの報道サイトが17日、伝えた。


ブラジルのハッカー集団、NASAサイトを攻撃 NSAと勘違い

間違われたとしてもやられたらあかん組織だと思いますが。。。

おっと後で出すつもりだったこれを。
@rootcon7

I'm watching "you"!
I’m watching “you”!

このセンス大好きです!!

Information Security Notebook