KDDI、「DION」の顧客情報約400万人分流出（ﾟ∀℃(　｀Д´)ﾏﾁﾞﾃﾞｽｶ!?

今日は KDDI を筆頭に情報漏えい祭り？ (；´∀｀)…ｳﾜｧ…

KDDIによれば、氏名、住所、連絡先電話番号が漏れた顧客の人数は399万6,789人分。うち、性別、生年月日、連絡先メールアドレスも漏れていた顧客もあるという。細かい内訳は性別が2万6,493人分、生年月日が9万8,150人分、連絡先メールアドレスが44万7,175人分。DIONメールアドレスおよびパスワード、口座番号などの信用情報、通信記録については流出していないとしている。プロバイダーの顧客情報流出では、2004年にYahoo! BBの顧客情報が451万7,039件漏えいした事件が過去最大で、今回の流出件数は、それに次ぐ規模と見られる。
>> お客様情報の流出に関するお知らせ (KDDI)

KDDI、顧客情報400万人分流出　社内関係者関与か (asahi.com)

同社によると、情報が不正に持ち出されたとみられる03年12月当時、顧客情報は同社の「テクニカルセンター」内にある「作業ルーム」に置かれた保守用コンピューターでしか操作できず、入室できるのは同社社員48人とシステム開発を担当した委託会社の177人に限られていたという。同社は「当社社員か関係者が意図的にデータを記録して持ち出したと推定せざるを得ない」と判断。社内に調査委員会を設けて流出経路を調べている。

結局アクセスできる人数を絞るっていう対策だけでは不十分ということだな。「認可の数を絞る」というのは最低限の管理策で不十分であるというよい事例である。経理なんかに用いられる「職務の分離」などの手法を使って、情報を操作するには複数の目が入るようにしないとダメだ。 (´Д⊂ ﾓｳﾀﾞﾒﾎﾟ

セガトイズからメールアドレス1万2639件流出 (ITmedia)

セガトイズは、誤ってCCで配信したアンケートメールにより顧客のメールアドレス1万2639件分が流出。
>> 個人情報の流出に関するお詫びとお知らせ

愛知県の小学校のホームページを閲覧するためのパスワードが流出 (NetSecurity)

愛知県半田市にある市立小学校のホームページを閲覧するためのパスワードが、インターネット上の掲示板に掲載されていることが6月9日に判明した。このパスワードによって、同小学校5年生児童35名分の氏名や顔写真などが閲覧できた。

九電の子会社でまたWinny流出、火力発電所の点検作業手順書 (impress)

九州電力の子会社で発電所の設備を手がける西日本プラント工業は12日、九電の苅田発電所（福岡県）の点検作業手順書が、P2Pファイル共有ソフト「Winny」のネットワーク上に流出したことを明らかにした。2004年1月頃に同社社員が点検作業手順書のデータをUSBメモリに保存し、自宅に持ち帰っていたという。その後、社員は自宅のPCでWinnyを使用していたところ、2006年1月25日頃にウイルスに感染したと見られる。 >> 火力発電設備に関する点検作業手順書様式の情報流出について

06月12日のWeb改竄情報 (NetSecurity)

6月12日、2件のWebサイト改竄が確認されている。改竄を行ったのは「Spy_Pc1」と名乗るグループだと思われる。

財団法人港区スポーツふれあい文化健康財団 (Spy_Pc1：不明) http://www.kissport.or.jp/Spy.txt
Fourseason (Spy_Pc1：不明) http://www.fourseason.jp/Spy.txt

Yahoo! メールにゼロデイの脆弱性 Σ（ﾟдﾟlll）ｱﾌﾞﾅｯ !

Yahoo!メールの脆弱性を突く“ゼロデイ”ウイルス出現，メールを開くだけで感染 (ITpro)

Yahoo!のWebメール・サービス（Yahoo!メール）には，メールに細工が施されていると，メール本文を開くだけで，添付されたHTMLファイルを勝手に開いてしまう脆弱性が見つかった。HTMLファイルにスクリプト（JavaScript）が含まれている場合には，そのスクリプトも勝手に実行されてしまう。今回のウイルスはこの脆弱性を悪用するもので，HTMLファイルに含まれるスクリプトがウイルスの実体である。なお，今回の脆弱性は未知のもので，ウイルスの出現によってその存在が明らかになった。いわゆる「0-day（ゼロデイ）」である。
>> Yahoo! mass-mailer (SANS)　>> JS.Yamanner@m (Symantec)