github informationleakage GitHub が全ての公開リポジトリへのシークレットスキャン*1をデフォルトで有効化するようなのでメモ。
これによりコミットにシークレットが含まれているとリポジトリへの push に失敗するようになり、シークレットを削除するか、ブロックを解除して push するかが選択できるようになります。現在でも自分で有効化はできるようなので、デフォルトの有効化を待たずに自分で設定することもできます。これらの措置は公開リポジトリのみで、プライベートなリポジトリに同様な設定をしたい場合には GitHub Enterprise を導入する必要があるようです。
Keeping secrets out of public repositories - The GitHub Blog
This week, we began the rollout of push protection for all users. This means that when a supported secret is detected in any push to a public repository, you will have the option to remove the secret from your commits or, if you deem the secret safe, bypass the block.
ppc informationleakage 「STOP!名簿流出」の啓発のため、TVアニメ『進撃の巨人』とコラボし、バナーやデジタルサイネージなどを活用して情報発信します。
— 個人情報保護委員会 (@PPC_JPN)February 14, 2024
闇バイト強盗、特殊詐欺などに使われないよう、個人情報取扱事業者は適切に名簿を管理しましょう。https://t.co/yvzPhN3ryk#STOP名簿流出#進撃の巨人#shingekipic.twitter.com/w0PSyjmui3
今年もサイバーセキュリティ月間がスタートしています。昨年からはアニメコラボがなくなってしまって随分と地味になってしまった印象がありましたが、サイバーセキュリティ月間と関係しているかどうかは分かりませんが、個人情報保護委員会のSTOP!名簿流出が進撃の巨人とコラボしているのを見つけてしまいました。
流出などと婉曲的な表現を使わずに漏洩と正しい日本語を使って欲しいところです。
informationleakage okta 
Okta から自分が情報漏洩の対象となっている旨の通知が届きました。
僕はトライアルのみで、本格的な導入には至りませんでしたが「顧客サポートシステムの全ユーザー情報が漏洩している」という報道があったので、このような通知が自分に届くのは時間の問題でした。
それにしても、通知まで 3 週間も要しているというスピード感のなさは IdP として残念な限りです。そもそも 10 月のインシデントとか言ってますが、発生したのも 9 月末ですしね。
informationleakage okta Okta の顧客サポートシステムに脅威者が侵入した件についてアップデートを公表していたのでメモ。
当初は一部の情報が漏洩したという説明でしたが、その範囲が全ユーザーとなっています。
Okta は IdP としては老舗のはずですが、今回のインシデントについては情報が小出しにかつ後手後手感が拭えなないのが残念なところです。
某所で設計していたシステムに Okta を組み込む検討をしていましたが、結果的には見送って正解でした。
10月公表のカスタマーサポート管理システムのセキュリティインシデントに関する最新情報と対策 | Okta
追加調査の結果、脅威者がOktaカスタマーサポート管理システムのユーザーの名前と電子メールアドレスを含むレポートをダウンロードしたことを確認しました。FedRamp HighとDOD IL4環境(これらの環境では、脅威者がアクセスしたシステムとは別のサポート管理システムを使用)のお客様を除く、すべてのOktaのWorkforce Identity Cloud (WIC)とCustomer Identity Solution (CIS)のお客様が影響を受けております。
informationleakage humanerror 今月上旬の話ですが、豊田市でライセンス更新忘れ*1によるメールアドレス漏洩が発生していたようなのでメモ。
このメールアドレスの漏洩はファイルをばらまいてしまったというようなインシデントではなく、メール送信時のTo: にメールアドレスを列挙してしまったので、他のユーザーにメールアドレスが見えてしまったというもの。
これ自体はそれほど珍しくないですが、理由のライセンス更新忘れというのはちょっと珍しいですね。
メール系の誤送信防止ソリューションは正直しょうもないものが多いと思っていますが、「強制 BCC システム」というのは初めて聞きました。おそらくですがTo に複数のアドレスが列挙されていた場合にこれを BCC に強制的に書き換えて送信する仕組みだと思います。漏洩したメールアドレス 652 件に対して、メールは 24 通なので、システムに頼って日常的に BCC を使っていなかったことが窺えます。安全のためのシステムが、基本的な IT リテラシーを低下させていたのはなんとも皮肉な話です。
以下に再発防止策が書いてありますが、これ完全に現場猫のパロディに使えそうな感じになっています。正直、メールというシステム上、こういうのは情報漏洩の対象から外すべきだと思っているんですよね。
報道発表資料 個人情報(電子メールアドレス)の流出について (最終報)|豊田市
- 市からシステム提供元の事業者に、ライセンス有効期限の管理及び更新手続きを徹底するよう指導(4月5日実施済み)
- 同事業者において、「強制BCCシステム」のソフトウェアライセンスの有効期限が近づいたことを社内メール上で知らせるアラート機能を導入予定
- 情報システム課及び事業者において日々の業務開始前に「強制BCCシステム」の稼働状況を双方で確認する
- 市の職員に対し、「強制BCCシステム」の稼働状況にかかわらず、複数人宛に同時にメールを送信する際は「宛先(To)」や「CC」にアドレスを入力せず、「BCC」に入力するよう、研修等を実施し、徹底させる
informationleakage 先日、パリで日大の教員が PC を盗まれるインシデントが発生していましたが、類似の事例が発生しているようなのでメモ。
とりあえず成蹊と和洋女子が以下のようなプレスリリースを出していますが、直接的な関連はなさそうです。
パリでノートPC・USBメモリを盗まれる被害相次ぐ 日大、和洋女子、成蹊大など 関連不明 - ITmedia NEWS
フランス・パリでノートPCとUSBメモリを盗まれる事案が相次いでいる。2月20日には日本大学、3月3日には和洋女子大学と成蹊大学が同様の報告をしている。それぞれ大学での業務とは無関係の活動で、関係性は不明だった。
informationleakage 日大生物資源科学部の教員がパリ(フランス)で PC や USB メモリなどが盗難に遭ったことに伴う情報漏洩*1がニュースになっていたのでメモ。
これは僕も先日までノート PC を持って海外出張していたので人ごとではありません。
ただ、PC なしで発表しに行くことはできないので対策といっても難しい問題にはなりそうです。
ちょっと盗難の状況がよく分かりませんが、海外だとホテルの客室内でも泥棒が入ったりするパターンもありますからね(実際に学生時代のトルコ出張では、自分の先生の部屋に深夜泥棒が入ってしまい現金を盗難されたというケースがあります)。
日大、パリでPCとUSBメモリを盗まれる 学生情報655人分保存 - ITmedia NEWS
保存していたのは生物資源学部に2008年度から22年度までに在籍していた学生など271人分の学生証番号、氏名、成績、20年度以降に提出されたレポートと、国際関係学部に08年度から11年度に在籍していた学生などの学生証番号、氏名、成績384人分。
informationleakage 昨年、埼玉大で問題になったドッペルゲンガードメイン問題が鹿児島大でも発生していたようなのでメモ。
埼玉大は教員のメール転送でしたが、こちらはメーリングリストみたいですね。
メールアドレス誤登録による情報漏洩について | 重要なお知らせ | 国立大学法人 鹿児島大学~進取の気風にあふれる総合大学~
2. 漏洩した情報(3つのメーリングリストの合計)
(1)漏洩していた恐れのある期間:2020年6月26日~2022年11月24日
(2)「@gmai.com」宛に転送された電子メール 702件
(3)電子メール及び添付ファイルに含まれていた個人情報等(実人数)829名
intrusion 2fa informationleakage 熊本県立大で二要素認証の例外から不正アクセスが発生した事案がニュースになっていたのでメモ。
ユーザー対応が面倒だと例外を作りがちになりますが、それがまずいというのがこういう事例をみているとハッキリと分かりますね。
例外規定が不正ログインの一因に 熊本県立大が被害 2要素認証なしの名誉教授が狙われ - ITmedia NEWS
熊本県立大学は原則として2要素認証を求めているが、名誉教授はスマートフォンを持っていなかったため例外的に免除していた。使っていたパスワードは短く、他サイトでも使っていたもので、これらが不正ログインの原因になったとみている。
問題判明後は、パスワードの変更やウイルススキャン、警察への相談、関係者への謝罪などの対応をとったという。再発防止策としては、2要素認証の免除を一切認めないこと、情報管理ルールを周知徹底するとしている。
informationleakage humanerror 埼大で@gmail.com を@gmai.com と打ち間違えて転送設定を行ったため、4,890 件の情報漏洩が発生していました。
こういう打ち間違えを前提としたドメイン(ドッペルゲンガードメイン)は沢山あるのでシステム部門でも定期的にブラックリストを更新するなどの対策が必要です。
個人メールへの転送は過去にもフィッシングによる個人情報漏洩の原因にもなったりしたので、それを機に禁止されたりチェックが厳しくなったところが多いと思いますが、埼大は特にそういう対策がなかったということでしょうかね。
(1)2021年5月6日(木)に、本学教員が大学のメールアカウントからGmailへの自動転送設定を行った際に、転送先メールアドレスのドメインを「@gmail.com」とすべきところを誤って「@gmai.com」としていた。
(2)「@gmai.com」はドッペルゲンガー・ドメインと呼ばれるもので、転送先のメールアドレスが存在しない場合も当該ドメインはエラー等を返さずにメールを全て受信するため、メール転送先のミスに直ちに気付くことができなかった。
Academic[574]
Book[155]
Diary[522]
Disaster[101]
Foodlogue[1425]
Game[284]
Goods[805]
Healthcare[341]
Hobby[32]
IT[1195]
Military[343]
misc.[1570]
Mobile[510]
Music[38]
Neta[106]
News[95]
Photo[391]
RealEstate[120] Security[1178]
SEO Contest[36]
Software[634]
Tips[1886]
Travelogue[1238]
Web[675]
Work[193]
