スイングトレード ★ 日記.:不正アクセス

不正アクセス

2020年12月11日

カプコン、最大35万件の個人情報が流出した恐れ

身代金要求のサイバー攻撃増　企業情報暴露と脅迫、テレワーク背景か

https://www.sankeibiz.jp/business/news/201118/bsm2011180614003-n1.htm

2020.11.18 06:14　産経Biz

企業情報をコンピューターウイルスで暗号化し「身代金」を要求するサイバー攻撃の被害が日本企業でも目立ってきた。ゲーム大手カプコンでは、犯人側が社内文書や個人情報を匿名性が高いインターネット空間で次々と暴露し金銭を支払うよう揺さぶりをかけている。攻撃は今後も増える見通しで、日本企業は意識改革を迫られている。

犯人は会社のシステムにあらかじめ侵入し、パソコンを暗号化する前の情報を手元に送信して脅迫に使う。どうやって侵入するのか。情報セキュリティー会社「Ｓ＆Ｊ」の三輪信雄社長は、テレワークの社員らが社内システムに接続する際に必要な「ＶＰＮ（仮想私設網）」の欠陥や設定不備が狙われた可能性があるとみる。新型コロナウイルスの影響でテレワークが普及し、社員がウイルス付きメールをうっかり開封して感染する事例も増えた。三輪社長は「犯人も企業内に入りやすくなった。社員一人一人がセキュリティー意識を高めないといけない」と戒めた。

カプコン、標的型攻撃被害で顧客情報など約35万件流出の可能性

https://cybersecurity-jp.com/news/45639

2020.11.17　サイバーセキュリティ.com

株式会社カプコンは2020年11月16日、同社にて発生していた第三者による不正アクセスに関連して、同社グループシステムが保有する顧客情報、従業員情報、採用応募者情報、関係先情報など合計約35万件が外部流出した可能性があると明らかにしました。

あまり話題になってないけどこのカプコンの個人情報流出は極めて深刻ですよね

だって、カプコンの株主の名前・住所・保有株主数までダダ洩れしてんだもん。
それってつまり誰がいくら資産持ってるかまですべて把握されるんだおね

（むろんあくまでカプコンの株に限っての金額ですが）

保有株数が多いってことはその人物はより多くの資産を持ってるのがもろバレなので
もしその個人情報にすでに流出している可能性のある他の個人情報を繋げたら
あっさりと名前・生年月日・住所という重要な情報すべてを犯人が掴めてしまいます。
あとはその個人情報でニセモノの本人確認書類を用意すれば銀行口座を作り放題
もちろんメガバンとかは偽の個人情報で口座作るのは厳しいかもしれませんが、
ゆうちょ銀行とか地銀ならぶっちゃけ甘いんですぐに作れてしまうでしょう(´･ω･｀)

残念ながらセキュリティ意識が低い人ってのは世の中にいくらでもいます

パソコン操作になれてない高齢者層や不慣れな人たちは特に。
今でもパスワードの使い回しをしてる、あるいは放置してる人は沢山いるでそう。
これまでは出金先となる同名義の銀行口座を用意することの難易度が高くて
結果的にこれまでは証券口座から不正出金される事件は起きてなかったけど、
これからはSBI証券で起きた事件を参考にした事件が頻発するようになるでそφ(．． )
そしてそのような事件を頻発させる材料をカプコンが与えてしまったということ

2～3年後に必ず模倣事件が起きると予想しています(((( ;ﾟдﾟ)))

今回のカプコンの不正アクセスと流出事故についていえばテレワークの弊害だおね

本来どこの企業、組織、団体においても不正アクセスってのは絶対起きるんですよ。
ただ準備ができていれば即座に対応することで途中で侵入を防げてるだけで

もしそのタイミングで気がつくのが遅かったり、人手が足りないとこうなるわけです。
①まず侵入を自動検知して警報アラートがなって警告する
②24時間365日、待機しているセキュリティ担当部署が侵入経路を特定する
③侵入経路をふさいで機密情報や重要な情報へのアクセスを防ぐ
だいたいこんな流れでしょうφ(．． )

まず①の警告アラートってのは社内に常駐してることを準備して構築したもので
今回のように緊急で在宅テレワークしてる場合には機能しにくいんですよね。
まあメールが携帯に届くとかメッセージが送信される程度のことは準備してても
大音量で警告音がなって全メンバーが即座に気がつくような準備はしてないでそ。
でもこの最初の警告とその初動が一番重要なんですよね(´･ω･｀)

不正アクセスによるハッキングって大体30分～1時間で完了するので
もし最初の警告に気がつくのが遅くて初動が遅れたらすでに手遅れなんだおね

さらに侵入経路をメンバーを特定して、情報共有を即座に行うことも非常に重要です。
例え警報に気がついても侵入経路の特定の情報共有が少しでも遅れたらお終いです。

今回のカプコンで起きた事件は、セキュリティ担当の人員が少ない深夜を狙って
しかもテレワークに切り替えて出社してるメンバーが少ない時期を狙われたわけです

テレワーク下における不正アクセスへの対応訓練やマニュアル整備を行う前に
攻撃されてしまったからすべてが後手後手に回って手遅れになったってこと

そしてすべての情報は流出した後なのでどうしようもないのです(´･ω･｀)

ぶっちゃけ、セキュリティ担当だけは出社させてたら防げた事故だったんですよね

そう言いう意味では、カプコンにとって痛恨の判断ミスが原因と言えるでそ。
そして一番の被害者は本来なんの関係もないカプコンの株主だおね

カプコン（9697）　6,640円　＋310円（＋4.90％）
https://kabutan.jp/stock/chart?code=9697
https://stocks.finance.yahoo.co.jp/stocks/chart/?code=9697.T&ct=z&t=6m&q=c&l=off&z=n&p=m25,m75,b,e25,e75&a=v

2020年11月10日

SBI証券の顧客資金流出、中国籍の少年と少女を窃盗容疑で逮捕

https://ss2286234570.livedoor.blog/archives/2020-11-10.html

2020年10月30日

GMOクリック証券でも不正アクセス　被害者は1名、被害額は149万円

https://ss2286234570.livedoor.blog/archives/2020-10-30.html

2020年09月24日

SBI証券の自称被害者、ほぼ自業自得と判明したもよう

https://ss2286234570.livedoor.blog/archives/2020-09-24.html

2020年09月16日

【悲報】SBI証券さん、顧客資産9,864万円が偽口座に流出！

https://ss2286234570.livedoor.blog/archives/2020-09-16.html

タグ：: サイバー攻撃; カプコン; 犯罪・事件; 痛いニュース; 個人情報流出; 不祥事; 不正アクセス

ss2286234570 at 19:21｜Permalink│Comments(0)│

2020年11月10日

SBI証券の顧客資金流出、中国籍の少年と少女を窃盗容疑で逮捕

SBI証券の顧客資金流出、中国籍の少年と少女を窃盗容疑で逮捕

https://www.yomiuri.co.jp/national/20201110-OYT1T50219/

2020/11/10 20:30　読売新聞

ＳＢＩ証券で顧客の資金が流出した問題で、他人名義で不正に開設した銀行口座から現金を引き出したとして、埼玉県警は１０日、いずれも同県川口市に住む中国籍の専門学校生の少年（１９）とアルバイトの少女（１９）を窃盗容疑で逮捕した。

発表によると、２人は何者かと共謀して８～９月、川口市内などのコンビニ店の現金自動預け払い機（ＡＴＭ）で、不正に開設した銀行口座から現金計５６万３０００円を引き出して盗んだ疑い。うち５２万円は同県内の男性（４０歳代）名義のＳＢＩ証券の口座から、銀行口座に送金されていた。調べに、少年は「お金が欲しくてやった」、少女は「いくら引き出したかは覚えていない」と供述しているという。

SBI不正出金　組織的犯行か　窃盗容疑の中国籍少年ら2人「ネットで指示受けた」

https://mainichi.jp/articles/20201110/k00/00m/040/253000c

2020年11月10日20時21分　毎日新聞

インターネット証券「SBI証券」の顧客6人の6口座から計9864万円が流出した事件を巡り、不正に開設された銀行口座から現金を引き出したとして、埼玉県警は10日、いずれも同県川口市に住む中国籍の少年（19）と少女（19）を窃盗容疑で逮捕した。2人は容疑を認め、少年は「ネット上で知り合った中国人から指示を受けた」と説明しているといい、県警は組織的な犯行とみて調べる。

逮捕容疑は8月、川口市内のコンビニエンスストアの現金自動受払機（ATM）で、SBI証券の顧客だった埼玉県内の40代男性名義で開設されたゆうちょ銀行の口座から、現金計52万円を引き出したなどとしている。男性の証券口座からは約3370万円の出金が確認されており、不審に思った男性が9月に県警に相談していた。

SBI証券から1億円近くが不正アクセスによって偽の銀行口座に流出した事件ですが
偽の銀行口座からATMから現金を引き出してた受け子（中国人の犯罪者）の2人が
窃盗容疑でついに取り押さえられて逮捕されたようです(ﾟДﾟ≡ﾟдﾟ)ｴｯ!?
こんなあっさり捕まるんだってちょっと驚きですね

あんまりこんなこと書きたくはないんだけど受け子が中国人ってことは
大元の犯罪組織は思いっきり中国人の犯罪組織である可能性がかなり高いですね

なにより一番思うのが中国人の道徳心の根本的な欠如っていうか犯罪素行性ですよね

台湾はともかく、なつさんはこういう中国人の犯罪性向が非常に嫌いです。
アメリカでも企業の機密情報を盗むように中国共産党や本国の中国企業に指示されて
当たり前のように盗んで中国に逃げこむ犯罪者ってとんでもなく多いですおね

今回のSBI証券の1億円流出事件の帰責性が誰にあるかって話になると
おそらくパスワードを使い回してた当の本人の責任が80％あると思います

そもそも金融機関のパスワードを他のネットサービスのパスワードを流用するとか
とてもじゃないけど考えられないような浅はかな行為をしてますからね(´･ω･｀)
家の玄関に鍵つけたまま海外旅行行ったら泥棒に入られたって言ってるようなもの。

次に責任があるのが偽物の本人確認書類で同名義の口座を作らせた銀行です

どうもその偽の本人確認書類で偽の口座を作ったのはゆうちょ銀行みたいですね。
日経の記事にはっきりと銀行名まで書いてバラされてました(ﾟдﾟ)､ﾍﾟｯ
この時点ですでにゆうちょ銀行に15％くらい責任はあると思います
もし今回の偽口座に資金流出した先の6口座がすべてゆうちょ銀行だったとしたら
それはゆうちょ銀行がまともに本人確認書類のチェックをしてなかったということ。
ゆうちょ銀行の口座開設審査がザルだと見抜かれて犯罪に利用されてたってことでそ

ただでさえゆうちょ銀行はmijicaカードの不正送金や個人情報漏洩おこしてるんで
もし今回の6口座すべてがゆうちょ銀行だったら行政処分待ったなしだおね(´･ω･｀)
ゆうちょ銀行は他でも何件か不正アクセスやセキュリティー事故起こしてるんで
合わせ技一本でゆうちょ銀行に行政処分と経営陣の引責辞任がありそうです

今回の件についてのみでいえば、SBI証券からはなにも情報漏洩はしてないわけで
むしろ正しいIDと正しいパスワードでログインした人物が出金しただけでしかないので
SBI証券の責任って残りの5％しかなんじゃないでしょうかφ(．． )

SBIホールディングス（8473） 2,700円　＋35円（＋1.31％）

https://kabutan.jp/stock/chart?code=8473

https://stocks.finance.yahoo.co.jp/stocks/chart/?code=8473.T&ct=z&t=6m&q=c&l=off&z=n&p=m25,m75,b,e25,e75&a=v

2020年10月30日

GMOクリック証券でも不正アクセス　被害者は1名、被害額は149万円

https://ss2286234570.livedoor.blog/archives/2020-10-30.html

2020年09月24日

SBI証券の自称被害者、ほぼ自業自得と判明したもよう

https://ss2286234570.livedoor.blog/archives/2020-09-24.html

2020年09月16日

【悲報】SBI証券さん、顧客資産9,864万円が偽口座に流出！

https://ss2286234570.livedoor.blog/archives/2020-09-16.html

タグ：: SBI証券; パスワード使い回し; 個人情報流出; 犯罪・事件; ネット証券; 不正アクセス

ss2286234570 at 23:05｜Permalink│Comments(2)│

2018年12月29日

ペイペイ被害が数億円に　経産省など、本人確認指針策定へ

ペイペイ不正利用「ダークウェブ」でカード情報入手か

https://www.nikkei.com/article/DGXMZO39071890Y8A211C1CC1000/

2018/12/18 11:47　日経電子版

スマートフォン（スマホ）を使った決済サービス「ペイペイ」で、クレジットカードが不正に利用される被害が相次いで発覚した。セキュリティーの専門家によると、匿名性の高い闇サイト群「ダークウェブ」上では日本人のカード情報が大量に流出、流通しており、今回の不正利用との関連が疑われている。アプリにカード情報を登録する際の仕組みも悪用されており、不正対策の強化が求められている。

ペイペイのアプリの利用にはカード番号やセキュリティーコードなどを登録する必要があるが、これまではセキュリティーコードなどを複数回、間違えてもロックがかからず繰り返し入力できたという。

インターネットサイトのログイン時や、ネット上のカード決済時にはパスワードやセキュリティーコードを複数回間違えて入力すると、ロックがかかる仕組みの場合が多い。しかし、ペイペイのアプリでは間違ったセキュリティーコードを入力してもロックがかからず、何度でも入力できるシステムだった。

セキュリティーに詳しい国際大学GLOCOMの楠正憲客員研究員は、クレジット番号やセキュリティーコードについて「数字の組み合わせを手当たり次第に試し、正しいコードを探り当てる『総当たり攻撃』が行われた可能性がある」と話す。ダークウェブ上の情報に加え、こうした手法で入手した情報が不正利用に使われたとみられる。

ペイペイ被害が数億円に　経産省など、本人確認指針策定へ

http://www.tokyo-np.co.jp/article/economics/list/201812/CK2018122902000131.html

2018年12月29日　東京新聞

スマートフォンを使った決済サービス「ペイペイ」をめぐるクレジットカードの不正利用問題で、被害額が数億円にのぼる見込みであることが二十八日わかった。経済産業省関係者が明らかにした。ほかのＱＲコード決済サービスでも同様の被害があるといい、経産省と業界団体は三月末までに、決済サービス事業者に最低限の本人確認を求める指針を定める。

ペイペイはソフトバンクとヤフーが折半出資した合弁会社で、買い物時に客がスマホでＱＲコードを読み取り、登録したカードなどから代金を引き落とす決済サービスを十月に開始。しかし本人確認が甘く、今月に入って、第三者が何らかの手法で入手したカード情報を登録して利用する不正が急増した。

クレジットカードを使った通信販売の場合は商品の受け取り用に住所などを入力する必要がある。店頭で買う場合もカード現物が必要。これに対して、ＱＲコード決済は、住所入力もカード現物も不要なため不正に利用されやすい。特にペイペイは今月四～十三日に決済額の２０％分のポイントを還元する大規模キャンペーンを展開したため不正利用が増えたが、ほかのＱＲコード決済サービスでも同じ手口の被害はあるという。

PayPay、3Dセキュア対応へ　クレカ不正利用は「全額補償する」

http://www.itmedia.co.jp/news/articles/1812/27/news088.html

2018年12月27日 14時30分　ITmedia NEWS

はい、きました

今週にはいってから怒涛のようにPayPayの悪いニュースが出てきてますお

PayPayの不正アクセス事件の影響で予想通りの展開になってきたようです

責任感がゼロのバカ会社PayPayは未だに正確な情報開示をしてませんが、

12/14～12/16あたりに発生した不正アクセスによる情報取得によって

クレジットカードの不正利用がさらにどんどん増えているようですね(ﾟдﾟ)､ﾍﾟｯ

この問題はPayPayのセキュリティーがザルでまったく対応されてなかったことと

なによりPayPayという会社のセキュリティー意識がゼロだったことに原因があります

そして何よりも問題なのは、これからさらに被害者が増えて

被害額がどんどん増えていく可能性が非常に高いことを認識してなかったことです。

恐らく不正アクセスがあったのは中国からで、不正アクセス数は数万～数百万件の

可能性があると予想してます。これからさらに被害者の数が増え続けるでしょう

こういうセキュリティーの甘い会社ってのは問題が1か所で済むわけないんだおね

他にも問題のある個所があってPayPayはそれに気が付いてないだけの可能性が高い

今すぐにシステムを完全停止して外部監査も入れてセキュリティーをすべて見直すべき。

場合によっては1か月システムを停止させてでもシステムを改善すべきなんだおね。

今回のPayPayがやらかした不正アクセス事件はPayPayの利用者の話ではありません。

日本人のクレジットカードの利用者すべてにかかわる大きな問題です

PayPayは今すぐにどの国から何万～何百万件の不正アクセスがあったのかを開示して

どこに問題があってどのような対策をいつとったのか詳細に説明する責任があります。

そしてその被害が日本国内すべてのクレジットカード利用者に及ぶ可能性を指摘して

クレジットカード会社すべてに謝罪してその利用者に注意喚起すべきでそう

そしてそれを今すぐにやらないとこれからも被害者と被害額は増え続けるはずです

前回も書いてますがPayPayの経営陣は責任回避ばっかりです

①自分たちがやらかした問題の大きさを理解できてない。

②個人情報は漏えいしてないから問題ないと言い逃れをした。

③当初、原因はPayPayじゃないから責任は一切ないと説明した。

④文句があるならクレジットカード会社に言えと責任をなすりつけた。

⑤いまだにPayPayの完全なセキュリティーチェックを実行してない。

⑥初動が遅れた責任を認めてないし、問題の所在を明確にしてない。

ここまでくるとあとは問題が査覧に大きくなるだけですにょ(σ´∀`)σ

初動対応があまりに遅すぎたので完全に火消しを失敗してしまったパターンです。

来年になれば被害者と被害額がさらに増えていって

最終的には、PayPayというサービスの信用が地に墜ちてしまうだけ

危険だから誰にも利用されなくなる可能性がさらに高くなるでしょう。

ことここに至ってもソフトバンクの経営陣は

第2弾のPayPay大規模キャンペーンを年始からやるとか寝ぼけたコメントしています。

しかし、足元でこれほど延焼して被害が膨らんでるにもかかわらず

対応を放置してキャンペーンやるとか救いようのないバカとしか言いようがない

人に殴られなきゃ問題を理解できないんでしょうか

中卒のヤンキーよりバカでそ。

おそらくすでにPayPayの経営陣が経産省か総務省に呼びつけられて激怒されて

いますぐに徹底的に対応するようにと厳しい指示が出てるんだと思いますφ(．． )

だからいきなり被害者に全額補償とか言いだしたんでしょう

金融サービスをやる会社が情報管理責任をまったく理解せず

他人に責任を指摘されてから対応方法を考えるなんて最低最悪のことです。

一番問題なのはPayPay自身がやらかした問題の大きさを理解できていないことです

2018年12月16日

【悲報】PayPayで「クレジットカードを不正利用された」報告相次ぐ

http://blog.livedoor.jp/ss2286234570/archives/2018-12-16.html

タグ：: スマホ決済; 不正アクセス; 犯罪・事件; 痛いニュース

ss2286234570 at 12:51｜Permalink│Comments(1)│

2013年05月28日

ID連携という壮大な罠にはまったサイバーエージェントFX

ヤフー、暗号化したパスワードなど１４８万件流出可能性

不正アクセスで最大約２２００万件の利用者ＩＤの流出が懸念されていた日本最大級のポータルサイト「ヤフー！ジャパン」を運営するヤフーは２３日、１４８万６千件のＩＤについて、暗号化したパスワードなどが外部に流出した可能性が高いと発表した。暗号化されたパスワードを解読するのは困難という。

同社によると、ほかにパスワードを忘れたときの再設定に使う「秘密の質問」の一部も流出した可能性が高い。パスワードの再設定には生年月日などの情報も必要になるため、「（流出した可能性のある情報だけでは）ＩＤを使ってログインすることはできない」（広報）という。

ヤフーパスワード１４８万人分流出か
インターネット検索大手「ヤフー」のサーバーに対する不正なアクセスで、会員およそ２２００万人分のＩＤが流出したおそれがある問題で、ヤフーは２３日、このうち１４８万人分のパスワードも流出していた可能性が高いと発表しました。ヤフーの発表によりますと、先週、会員およそ２２００万人分のＩＤを抜き取ろうとするサーバーへの不正なアクセスがあった際に、このうちおよそ１４８万人分のパスワードが流出した可能性が高いということです。
ヤフーは当初、パスワードの流出のおそれはないとしていましたが、その後の調査で流出の可能性が判明したということです。

サイバーエージェントFX　Yahoo! JAPANでの不正アクセスに対する弊社対応につきまして
2013年5月17日に、お知らせ致しましたが、弊社の親会社であるヤフー株式会社にて、Yahoo! JAPAN IDを管理しているサーバに対し、外部からの不正アクセスがございました。
Yahoo! JAPAN IDをお持ちのお客様は、外貨exお取引画面内にてID連携の設定を行って頂く事により、Yahoo! JAPAN IDを用いて外貨ex口座にログインする事が可能でございますが、弊社では安全性を考慮し、本日21時以降、Yahoo! JAPAN ID連携の設定及び、Yahoo! JAPAN IDでのログインを停止させて頂きます。

「ID連携」って最近よく聞く単語ですおね

かなり便利なのですが、これが最悪の結果を招いたのがサイバーエージェントFXです。

知ってのとおり、サイバーエージェントFXはヤフーに買収されました。
その結果、サイバーエージェントFXはヤフーとの「ID連携」を導入しましたφ(．． )
ここまではよくありそうな話なのでどってことはありません。
問題はその先に壮大な罠が仕掛けられていたってことです(((( ;ﾟдﾟ)))

本来、金融機関のIDやパスワードなんてのはとんでもなく高いセキュリティーに守られてます

サイバーエージェントFXも「ID連携」さえしてなかったらなんの問題も起きませんでした。
サイバーエージェントFX自身には何の問題もなく過失は無かったのですが、
ところが、連携先であるヤフーの不正アクセスが発生してしまったことで事態は急変

あやうくヤフーID経由でIDとパスワードが駄々漏れという最悪の結果を招くところでした

まあ、実際には早急にヤフーが対応したことで最悪の結果だけは回避できたようですが、
後一歩遅かったらけっこう取り返しのつかない結果になっていた可能性も考えられます(´･ω･｀)

もし今回のような不正アクセスがGWやお正月のような長期連休に発生していて、
原因の特定や、対応策が遅れていたらぞっとするような話ですおね(((( ;ﾟдﾟ)))

現在、日本やアメリカで起きてる海外からの不正アクセスのうち
そのほとんどは中国本土やロシアなどにいるハッカー的な集団の犯行だといわれています

背景には犯罪組織や中国政府や中国軍まで絡んでるとも言われてる分野です。
そんなところに資産がらみのパスワードが漏れてたら怖いどころじゃないですおね

最近になっていろんなサービスを横断した「ID連携」というのが流行です。
SNS関連のサービスではこの連携サービスがかなりすすんできていますφ(．． )
実被害の起こりにくい、くだらないSNSサービスならどってことはないのですが、
ここに金融機関のサービスを連携してしまうと取り返しのつかなくなるリスクもあるって話です

どんなに金融機関自身が自社セキュリティーのレベルを上げたとしても、
連携先からIDやパスワードが漏れてたんでは処置なしですお(ﾟ皿ﾟﾒ)

楽天グループなんかもグループ内でID連携とかやってるようですが、
あれも実際のところけっこうリスクが高いので廃止すべきなんじゃないかと思います。
通常のサービスならどってことはないんですが、銀行・証券・カードに影響出ると怖いですおね。
連携した結果、漏れやすい箇所の面積が増えるってのが一番リスキーだと思います

タグ：: パスワード; 流出; 不正アクセス

ss2286234570 at 01:15｜Permalink│Comments(0)│TrackBack(0)│

スイングトレード ★ 日記.