|
|
|
|
|
||
|
||
すべて | Virus | Network&Security | Computer
■ 2024.11.21
》 デンマーク海軍、中国の貨物船 Yi Peng 3 を拘束。 バルト海海底ケーブル切断の件。
Danish Navy Stopped a Chinese Ship Suspected of Damaging Undersea Cables (defence24.com, 11/20)
Danish Navy Shadows Chinese Cargo Ship After Baltic Sea Cable Damage (The War Zone, 11/21)
Danish military says it's staying close to Chinese ship after data cable breaches (reuters, 11/21)
Swedish police focus on Chinese ship after suspected undersea cable sabotage (Guardian, 11/20)
》 米グーグルに「クローム」売却要求、検索独占解消に向け-司法省 (ブルームバーグ, 11/21)。反トラスト法への対応。
司法省と各州の反トラスト法執行担当者は、グーグルのウェブブラウザーの「強固な支配」が判決で指摘された事実を踏まえ、クロームを同社は売却せざるを得ないと主張。スマホ基本ソフト(OS)「アンドロイド」も売却が望ましいが、グーグルなどが反対しかねないとの認識に基づき、一連の制限を課す是正措置を代わりに提示した。
(中略)
司法省と各州は、潜在的ライバル企業の自社製品改善に役立つよう基礎となる「クリック&クエリー(検索要求)」データと検索結果のライセンシング(使用許可)をグーグルに義務付ける案も示した。人工知能(AI)製品からオプトアウトできる能力をウェブサイトにさらに持たせ、広告主が掲載先をもっと管理できるようにすべきだと裁判所に要請した。
関連: U.S. Proposes Breakup of Google to Fix Search Monopoly (NYTimes, 11/20)
》 イオンカード、不正利用に関するテレビ報道受け声明 「一日も早く安心してもらえる環境整備に努める」 (ITmedia, 11/21)。テレ朝「グッド!モーニング」 で取り上げられたそうで。
本日の一部報道について (イオンカード, 11/21)
イオンカード、不正利用の対応遅れを謝罪 「カード止めてと依頼しても止まらず、数十万円請求された」などの声 (ITmedia, 10/9)。この件がようやくテレビ報道されたということですかね。
「イオンカード」の不正利用が急増した根本原因 なぜここまで返金対応が遅れているのか (ITmedia, 10/10)
今回のイオンカードの不正利用について大枠での動きをまとめると、フィッシングメールなど何らかの手段でユーザーから得たカード番号やログイン情報を使って悪意のある第三者がApple Payへのクレジットカード登録を行い、この際に強制的にひも付けられる「iD」を利用してリアル店舗での買い物を連日繰り返した点にある。上限金額にして1万円ほど、これを連日異なる店舗での買い物に利用し、買い物通知は本来の利用者には届かず、後で請求が送られてきた時点で初めて気付くといった具合だ。
さらに、「クレカを止めても請求が止まらない」という事態まで発生している。ここで用いられているのが「オフライン取引」と呼ばれるものだが、複雑なメカニズムなので本稿での解説は省く。詳細について興味ある方は手前味噌だが筆者の別記事を参照してほしい。
複数のシステムを安易に連接したところ予期しない攻撃を受けた、
という話のようだ。
「イオンカード」・「イオンフィナンシャルサービス」・「イオン銀行」の名前を装った不審なメールにご注意ください。 (イオンカード)
》 電動キックボード「LUUP」の「交通違反」目撃続出 運営会社は「見つけたら警察に通報を」 (弁護士ドットコムニュース, 11/16)
関連こたつ: 「対策を丸投げ」電動キックボードLUUP「交通違反は通報を」他人事回答にあふれる憤激「警察をコールセンター扱い」 (FLASH / Yahoo, 11/19)
今週のはてなブックマーク数ランキング(2024年11月第3週)
2024/11/19
ランキング
JPCERT/CC Eyes「ETW Forensics - Event Tracing for Windowsを活用したインシデントレスポンス -」
このドメインを購入する。
2024 著作権. 不許複製
》 イランがイスラエルを弾道ミサイル (200 発?) で無警告攻撃 (10/1)
イランがイスラエルにミサイル発射、アメリカが迎撃支援と発表 (BBC, 10/2)
イランがイスラエルにミサイル180発以上発射 イスラエル軍が発表 (BBC, 10/2)
イラン 大規模ミサイル攻撃 イスラエル首相は対抗措置の考え (NHK, 10/2)
A Wider War in the Middle Eas
2024/10/01 21:38:34 IPAセキュリティセンター(IPA/ISEC)トップページ
セキュリティ要件適合評価及びラベリング制度(JC-STAR)
デジタルトランスフォーメーション(DX)実現に向けて
データ利活用の推進
システム/ソフトウェア開発の革新
ソフトウェア開発関連調査
複雑化したシステムの安全性確保(STAMP)
2024年10月1日
企業・組織からのインシデント等に関する相談/届出/情報提供窓口の案内ページを公開しました
2024年9月30日
セキュリティ要件適合評価
2024/09/22 06:36:37 OpenSSH
OpenSSH 9.9 released September 20, 2024
2024/09/21 05:35:18 CERT Coordination Center
VU#138043: A stack-based overflow vulnerability exists in the Microchip Advanced Software Framework (ASF) implementation of the tinydhcp server
September 19, 2024
2024/09/20 07:55:13 BeyondTrust | Privileged Account Management and Vulnerability Management
Pardon Our Interruption
As you were browsing something about your browser made us think you were a bot. There are a few reasons this might happen:
You've disabled JavaScript in your web browser.
You'r
2024/09/19 09:37:59 japan.linux.com: Linux without Limits!
Linux Foundation Announces OpenSearch Software Foundation to Foster Open Collaboration in Search and Analytics
The Linux Foundation September 16, 2024
AWS transfers OpenSearch to the Linux Foundation
2024/09/18 21:53:36 極楽せきゅあ日記
2024-09-18
生成AIが作ったモノを検知・特定すること
詐欺などの文脈で、「生成AIが作った文章等がどんどん精巧になってきて、生成AIが作成した、と特定できなくなってきている」ことを社会的な課題としている意見があった。生成AIの生成物であるかどうかを検知・特定することは研究テーマとしてはおもしろいと思うけど、社会的課題としては詐欺的文章などがきちんと検知できるかどうか、特徴モデルを作れるか
2024/08/30 18:58:03 Security Friday
Skip to main content
Search
+1-720-593-6478
Home
FAQs
About us
Contact us
My account
My favorites
Shopping cart
SecurityFriday.com Buy now:$7,595 ▸ Buy now Processing
or ▸ Start payment plan Processin
検索する
2024年07月07日
■ 個人情報保護法第2期「3年ごと見直し」が佳境に差し掛かっている
個人情報保護委員会の3年ごと見直しの検討は既に昨年11月の時点から始まっており、事務局が示す方向性も3月の時点で公表されていたが、とくに表立って何も言わなかったのは、意見は公式に言うつもりだったからだ。しかし、前回(5年前)は4月に中間整理が公表され5月にヒアリングに呼ばれたのに、今年はトラブルがあったようで中間整理が出てこないし、何の連絡も来ないので、はたして呼ばれるのだろうか?呼ばれない可能性の要因もいくつか考えられるよな?と戦々恐々としていたのだったが、突如お呼び出しがあり、6月12日の委員会で意見表明の機会をいただき、無事にお話ししてきた。
いつもだとスライドを資料とするのだが、スライドでは真意が伝わりそうにないと考え、今回は頑張って文章にした意見書を書いて資料とすることにした。なにぶん2週間前に依頼があり、資料提出期限まで8営業日しかなかったので、12頁目まではがっつり書いた(いつも1日に1頁しか進まない)ものの、後ろの5頁は突貫で1日で済ませたので不完全な内容となっているが、どうにか言うべきことは書き切った。以下で公表されている。
「個人情報保護法3年ごと見直し令和6年に対する意見」, 第289回個人情報保護委員会(令和6年6月12日)資料1-2
そして、その2週間後、中間整理が6月27日に発表され、パブコメ募集が開始されている。
個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理
「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」に関する意見募集について
月末には中間整理が出るとのことだったので、2週間で中間整理だなんて、言ったことを反映できるわけもないよなと思っていたら、やはりほとんど反映されていないというか、4月の時点の事務局整理と大して違わないものが出てきた。
この状況をどう見るかだが、背景には色々ある。まあ、多くは語るまい。いずれにせよ、前回(5年前)もまあこんなもんだったとも言える。前回は、4月に中間整理が出て、かなりおかしい方向性も示されていたのだったが、5月のヒアリングで述べた意見がいくつか通り、おかしかったところは撤回されている。つまり、中間整理後にけっこう変更されたのだ。そのことからすると今回も変更の余地があると考えられるのだが、2か月遅れで進行している(前回はパブコメ期限が5月27日だった)ところに難がある。それからもう一つ難があったのだが、多くは語るまい。
というわけで、パブコメ募集期間の今、JILISで緊急シンポジウムを企画した。有識者ヒアリングの8名全員にお声がけをしたのだったが、なにぶん急だったので残念ながら3人だけの登壇となった。マスコミの方々にはぜひご来場いただきたい。
緊急シンポジウム「個人情報保護法改正に向けて」(現地会場とオンライン配信の併催), 2024年7月19日(金)
私からは、上記の意見書の内容を解説するつもりだ。しかしまあ、この意見書、読めばわかるように書いたつもりだったのに、どういうわけかネット上では全く反応がない(役所の方などからは絶賛の声も頂くのだが)。難解だっただろうか?
もう理解してくれるのは生成AIだけだよな、というわけで、今回もClaude 3 Opusに解説してもらった。これならば一般の人々にもご理解いただけるのではないかしら?
(ppc20240612-takagi.docxを添付して)
私:これは、個人情報保護法の3年ごと見直しで個人情報保護委員会のヒアリングに呼ばれた際に陳述した意見を文章にした意見書です。内容を把握できますか。
Claude:はい、提出された意見書の内容を把握しました。主な論点は以下の通りです。
目的内の提供に対する規制が過剰であり、「契約の履行」「正当な利益」に基づく第三者提供を可能にするべきだが、そのためには個人データ処理による個人に対する評価・決定の適切性確保という法目的の理解に立ち返り、関連性の原則と正確性の原則を導入し、第三者提供時の利用目的拘束の仕組みを整備する必要がある。
統計量への集計に際して第三者提供の制限が過剰であり、複数事業者が保有する個人データの突合を可能にする制度改善が必要である。
要配慮個人情報の取得制限が過剰であり、特にLLMの学習目的での取得は制限対象とすべきではない。要配慮個人情報に上乗せ規制を設ける意義自体を再検討すべきである。
散在情報に対する規制が過剰であり、個人データに統一すべきである。
経済界の要望を実現するには、上記の「過剰な規制」と「不足する規制」を一度に直す大掛かりな改正が必要であり、来年ではなく再来年の法案提出を目指すべきである。
意見書の背景として、個人情報保護法
標準
拡大
IPAホーム
産業サイバーセキュリティセンター
ソフトウェア高信頼化
未踏/セキュリティ・キャンプ
情報処理技術者試験・情報処理安全確保支援士
国際標準の推進
お探しのページ・ファイルが見つかりませんでした。
リニューアル等に伴い、ページ・ファイルのURLが変更された、または、削除された可能性があります。
大変お手数をおかけしますが、「トップページ」「サイトマップ」から再度お探しいただくか、「お問い合わせ」画面をご利用ください。
IPAウェブサイトトップページ
サイトマップ
お問い合わせ
情報公開
リンク
Copyright © IPA, Japan. All rights reserved.
2017/07/19 17:12 (H:00s) 日経 IT Pro - セキュリティ
2017/07/19 17:12 (H:00s) Sophos product advisories
2017/07/19 17:10 (H:00s) Red Hat Enterprise Linux Server (v. 6) General Advisories
2017/07/19 17:10 (H:00s) SANS ISC (Internet Storm Center)
2017/07/19 17:10 (H:00s) JCA-NET
2017/07/19 17:10 (H:00s) penetration technique research site
2017/07/19 17:10 (H:00s) US CERT/CC
2017/07/19 17:10 (H:00s) Red Hat Enterprise Linux (v. 5 server) General Advisories
2017/07/19 17:08 (H:00s) クリエイティブ・コモンズ・ジャパン
2017/07/19 16:56 (H:00s) US-CERT - Cyber Security Tips
2017/07/19 16:54 (H:00s) US-CERT - Technical Cyber Security Alerts
2017/07/19 16:49 (H:00s) McAfee Labs Blog
2017/07/19 15:51 (H:00s) セキュリティホール memo
2017/07/19 15:44 (H:00s) JPCERT/CC Vendor Status Notes (JVN)
2017/07/19 15:12 (H:01s) Sophos AntiVirus
2017/07/19 15:12 (H:00s) シスコ 技術サポートサービス Japan TAC Web
2017/07/19 15:01 (H:00s) IPA セキュリティセンター (IPA ISEC)
2017/07/19 14:25 (H:00s) IPA ISEC - 脆弱性関連情報の取扱い - 技術情報
2017/07/19 13:05 (H:02s) FreeBSD VuXML
2017/07/19 12:44 (H:01s) Debian Security Information
2017/07/19 12:39 (H:00s) 防災情報のページ (内閣府防災部門ホームページ)
2017/07/17 03:32 (H:01s) Cryptome
2017/07/15 03:12 (H:00s) The Center for Internet Security (CIS)
2017/07/13 18:12 (H:00s) 水無月ばけらのえび日記
2017/07/12 02:30 (H:00s) Microsoft Security Response Center Blog
2017/06/08 12:11 (H:01s) 高木浩光@自宅の日記
2017/05/15 23:03 (H:00s) てっしーの丸出し
2017/04/30 20:36 (H:02s) うさぎ文学日記
2017/04/26 16:07 (H:01s) 極楽せきゅあ日記
2017/04/17 09:08 (H:00s) OpenBSD Security
2017/01/03 09:36 (H:01s) ハニーポッターの部屋
2016/04/11 01:30 (H:02s) だめだめ日記
2016/03/14 18:55 (H:01s) Georgi Guninski Security Research
2016/02/01 23:37 (H:01s) 武田圭史 (motivate.jp)
2016/01/01 16:00 (H:01s) 中村正三郎のホットコーナー
2014/06/06 18:11 (H:01s) Oracle Technology Network - Security
2013/03/18 23:11 (H:01s) 災害緊急情報 (内閣府防災部門)
2011/08/04 23:31 (H:00s) 異分子(仮) -dissident- チョムスキー・アーカイヴ日本語版
2008/09/12 04:14 (H:00s) securemac.com
----/--/-- --:-- (-N01s) OpenBSD VuXML
----/--/-- --:-- (-N01s) CTC セキュリティ情報
----/--/-- --:-- (-E01s) News
インターネット治安情勢更新(平成28年3月期報を追加)(2016年04月28日)
Google「さあ世界のみんな、我々の『エンドツーエンド』の暗号化ツールを耐スパイ仕様にしてくれ〓ソー...
Google「さあ世界のみんな、我々の『エンドツーエンド』の暗号化ツールを耐スパイ仕様にしてくれ〓ソースコードは公開された。さっさと調べてしまおう(The Register)
Googleはソースコードを提供しているだけだ。それは Google のバグ報奨金プログラムを通して、このツールに存在するかもしれないセキュリティの欠陥を見つけ出すよう、研究者たちを奮励させるという考えである。
The Register 特集
[ 2014年6月18日(水) 08時30分 ]
chkrootkit の slapper() 関数の実装に起因する権限昇格の脆弱性(Scan Tech Report)
chkrootkit には、slapper() 関数の実装に起因して、権限昇格が可能な脆弱性が存在します。
ラック 特集
[ 2014年6月18日(水) 08時00分 ]
りそな銀行を騙るフィッシングメールを確認(フィッシング対策協議会)
Google「さあ世界のみんな、我々の『エンドツーエンド』の暗号化ツールを耐スパイ仕様にしてくれ〓ソースコードは公開された。さっさと調べてしまおう(The Register)
chkrootkit の slapper() 関数の実装に起因する権限昇格の脆弱性(Scan Tech Report)
研修医が無断でコピーした患者の情報が入った私物USBメモリを紛失(都立広尾病院)
Android 版アプリ「050 plus」に情報管理不備の脆弱性(JVN)
自動車や医療・ヘルスケア、AV家電へのサイバー攻撃や脅威に関する研究の事例集をまとめ公表(重要生活機器連携セキュリティ研究会)
次なるプライバシーの混乱を巻き起こすのは自動販売機だ〓あなたが笑顔で写るのはコカコーラのカメラか、コーヒーのカメラか、あるいは監視カメラか(The Register)
企業のマルチデバイス環境に対応するモバイル向けセキュリティ製品を発売(ウェブルート)
三菱東京UFJ銀行を騙るフィッシングメールを確認(フィッシング対策協議会)
車上荒しにより水道使用者情報が盗難(千葉県我孫子市)
エンド・ユーザ向け
ネットワーク・セキュリティ・ニュース
業務多忙のため,最近のセキュリティ情報を追いきれていません。すみません。 当面は,間欠的な内容になると思います。
このページでは,各セキュリティサイト,ニュースサイト等で公開された,エンド・ユーザ向け OS のネットワーク・セキュリティ情報を主として扱っています。基準としては,
マイクロソフト Windoes 9x/Me/NT/2000/XP, MacOS 9.x/X (アップル)
OS および OS パッケージに起因するエンドユーザ向けネットワーク関連のセキュリティ情報については,重要度にかかわらず,できるだけ網羅して記載します。
その他のアプリケーション
マイクロソフト Office 製品,ウェブ・ブラウザおよび Eudora 等電子メールクライアントについては,重要度にかかわらず,できるだけ網羅して記載します。その他のアプリケーションについては,重要度の高いもののみ記載します。
電子メール・ウィルス,ワーム,トロイの木馬
エンドユーザ向け OS に関わるものについて記載します。
サーバ製品
マイクロソフト Windows NT/2000 について,重要度の高いもののみ記載します。 unix のセキュリティ・ホールについては MacOS X を除き,扱いません(あまり意味無いかも...)。
その他
ネットワーク・セキュリティ,およびプライバシー保護等に関するニュースへのリンクを適宜記載します。
各メーカーのセキュリティ情報:
アップル:Apple Product Security,マイクロソフト:マイクロソフト セキュリティ情報一覧,TechNet, 絵でみるセキュリティ情報: 重要な更新情報一覧
Common Vulnerabilitoes and Exposures, JPCERT/CC Vendor Status Notes
ウィルス情報:
ソフォス,トレンドマイクロ,シマンテック SARCJ,エフセキュア, アンラボ, 日本ネットワークアソシエイツ
定期的に見にいくサイト:
Tea Room for Conference,セキュリティホール memo,中村正三郎のホットコーナー,がんばれ!!ゲイツ君,常時接続の宴,セキュリティ情報(京大),Georgi Guninski Security Research,BugTraq Archive (1),BugTraq Archive (2),日本のくらっくサイト情報,Mac News 4 U,リンクとか備忘録とか日記とか,バーチャルネットハッカーっ娘 沙耶16歳,けんのぼやき, 高木浩光@自宅の日記
加入しているセキュリティ系メーリングリスト/メールマガジン(リンク整理中):
Security Focus News Letter,セキュリティホール memo,connect-24h,Security-Talk,Harden Mac,JPCERT/CC,Apple Security Announce,FreeBSD Security Advisories,OCN セキュリティ・ニュース
パソコン OS 別ネットワーク・セキュリティ早見表
「Windows Update による重要な更新 Q&A」
MSBlast / Nachi 観測 (2004.03.31 更新終了)
Sasser 観測 / Bobax/Kibv.B 観測 / ポート 135 台風 (2004.10.19)
日本語 SPAMspam メールのデータ (2005.01-)ZOTOB / IRCBot 観測
ネットワーク関連の文書とリンクへ
2006.4.12
MS月例パッチ公開、IEの脆弱性10件を修正 (ITmedia) (危険度最大)
米MicrosoftがIE向け累積セキュリティ・アップデートを公開,最大重要度は「緊急」 (IT Pro)
IEの修正パッチがようやく公開,ActiveXの処理が変更されるので注意 (IT Pro)
2006.4.4
Mac OS X: 10.4.6 アップデートが配布されています
2006.3.28
ワインショップ「萬屋」の顧客情報Winny流出、楽天市場では5件 (INTERNET Watch)
トレンドマイクロの営業資料がWinnyに流出 (INTERNET Watch)
2006.3.28
KDDIに似せたフィッシング・サイト、警告発したKDDIが「内容を検証中」 (IT Pro)
2006.3.28
IEの脆弱性狙う実証コード出現 (ITmedia)
IEのパッチ未公開ホールを突くWebサイトが続出,スパイウエアを勝手にインストール (IT Pro)
「IEのパッチは,できるだけ早く公開する」---米MSの
MS04-031 Windows の重要な更新 (2004/10/13)
MS04-030 Internet Information Service の重要な更新 (2004/10/13)
MS04-027 Office の重要な更新 (2004/9/15)
MS04-029 Windows の重要な更新 (2004/10/13)