昨日1月15日は、新年最初のWindowsアップデートリリース日（日本時間）でしたね。

新年最初ということもあって、私はトラブルが生じないことを祈りつつ作業を始めました。

いつも通りトラブルが生じない可能性が高い順に作業を進めましたが、昨日の作業は今までで一番と言えるくらい順調に進み、1台もトラブルがないままアップデート作業を終了しました。

ここ数年、必ずと言って良いほどアップデートにはトラブルが生じていましたから、「これからトラブルが起きるのかも」という疑いを持ちながらバックアップまで済ませましたが、1日経った今日までトラブルは生じていません。

ネットでも大きな不具合情報が見当たりませんでしたので、このまま無事に過ぎることを願いたいです。

ちなみに先月のアップデート時に記したヤマトシステム開発の担当者からは未だに連絡がなく、私は腹立ちを通り越して騙されたような気分になっています

昨日、次の記事が目に留まり、年末年始の慌ただしさの中で事件の記憶が薄らいでいることに気づきました。

ブロードリンク、従業員１割に解雇通知　ＨＤＤ流出事件

事件の発覚からもう1か月になりますが、記憶が薄らいだのは、納税記録などの個人情報が大量に流出した可能性があるにもかかわらず、神奈川県庁からはそれについての報告が何もないためではないかと、記憶が薄らいだ自分を擁護したい気分になっています。

上記事に次が記されていましたが、神奈川県側は被害者という認識しかないようです。

県はこれまでに、ネットオークションで転売されたＨＤＤ１８個を回収。ただ、ブロードリンクがリース元の富士通リース（同千代田区）との契約で県から引き取ったＨＤＤのうち、残る３７８個のデータ消去を証明する書類については富士通リースから提出されておらず、黒岩知事は「一日も早く出していただきたい」と述べた。

記事には次もありましたが、県庁で使用していたHDDが外部に流出したことは事実なのですから、データ消去の証明を待たずとも経過報告なり何らかの報告をすべきなのではないかと、ブロードリンクの従業員解雇の記事から県民のことがなおざりになっている神奈川県に対しての怒りが生じています。

神奈川県庁で使われていたハードディスク（ＨＤＤ）が外部に流出した問題で、ＨＤＤの処理を請け負ったブロードリンク（東京都中央区）の元社員、高橋雄一被告（５１）＝窃盗罪で起訴＝の逮捕容疑となった１２個のＨＤＤについて、黒岩祐治知事は「（県で使っていたものとは）シリアル番号も型式も異なる」と説明した。７日の定例会見で明らかにした。

昨日、次の記事が目に留まりました。

Facebookユーザー2億6700万人以上の個人情報、ネットに流出

「またか」という思いで上記事を読みましたが、今回は取り上げたメディアが少ないように感じました。

私のように「またか」と思うだけで、多くの人が気に留めないニュースとなってしまったからでしょうか。

記事には次の記載がありましたから、流出したのは最近ではないようです。

フェイスブックは「この問題について調査を行っている」とした一方、流出した情報について、個人情報保護強化のための対策が取られたここ数年以前に入手された可能性が高いとの見解を示した。

最近の流出ではない情報が発覚したのは、

2億6700万人以上のフェイスブックユーザーの名前や電話番号を含んだデータベースがオンライン上に公開されていた

からであって、「その中に自分の情報も入っていたかもしれない」と思えてゾッとしました。

今年も個人情報の流出が数回ありましたから、「Facebookに登録した情報はいつ流出するかわからない」と思うようになったのですが、「退会」の文字が頭を過りつつも未だに手続きボタンを押せず、使いまわしのないパスワードを設定するのみに留まっています。

年々、個人情報流出の事件が多くなるような気がしますが、次はHDD転売の記事を読んだ際にブックマークしてあったもので、後で読みながら背筋が寒くなる思いがしました。

「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説

上記事の冒頭に次が書かれていました。

ECサイトからクレジットカードや個人情報などの情報漏えいが相次いだ2019年。記憶に新しいところでは象印、19年前半ではヤマダ電機などのECサイトからクレジットカード情報が漏えいした。

上記事でセキュリティ専門家の徳丸浩氏は、19年に目立った攻撃手法として「入力画面の改ざん」と「偽の決済画面」という2つの手法を挙げています。

そして、次が書かれていました。

攻撃を受けるECサイトは、決済方法について2種類に分けられる。1つは、クレジットカード情報をECサイトの画面で受けつつも直接決済サーバに送り、決済サーバからECサイトのサーバに返ってきたトークンを使って決済処理を行う「トークン型」。もう1つは決済自体を決済会社側で行う「リダイレクト型」だ。

私もトークンを使っているため、他人事とは思えずに記事を読み進むと、トークンを利用した攻撃について書かれていました。

決済方法にトークン型を用いていた場合。攻撃者は、ECサイト管理者が間違って誰でも見られる状態にしてしまっている「あるページ」から情報を抜き、管理コンソールにログイン。手順を踏んでバックドアを設置し、決済画面でクレジットカード番号を入力する欄に10行程度の攻撃コードを追加する。
これにより、ユーザーが入力欄に番号を入力すると、番号が攻撃者のサーバにも送られることになってしまう。

次にリダイレクト型の攻撃について書かれていたのですが、トークン型もリダイレクト型も手口の巧妙さに驚くとともに、徳丸氏の「消費者側で改ざんを見破るのは実質不可能」という言葉に大きなショックを受けました。

徳丸氏は対策として次を挙げていましたが、今後のECサイト利用には慎重にならざるを得ないと感じました。

消費者側で被害を食い止めるなら、セキュリティ的に怪しそうなECサイトではプリペイドカードに必要金額を都度チャージして購入するという方法はある。仮に番号が漏えいしても、チャージ金額以上には使われないため被害を小さくできる。

ちなみに被害額について記事には次がありましたが、クレジットカード番号の漏えいは今後も増え続けるのではないかという危惧が更に大きくなっています。

クレジットカード番号の漏えいによる被害金額が、2014年から現在まで右肩上がりに増えていると指摘する。特に16年は89億円だったところ、17年には177億円に急増。18年6月に割賦販売法改正があったが、結局18年の被害金額は17年を上回り188億円となった。19年は半年で112億円のペースで、年間では200億円に届く勢いだ。

先日HDD転売という投稿をしましたが、その後に次の記事が目に留まりました。

神奈川県庁HDD情報漏洩、トップページに記載される

上記事に次がありました。

納税などに関する大量の個人情報や秘密情報を含む神奈川県庁の行政文書が蓄積されたハードディスク（ＨＤＤ）が、ネットオークションを通じて転売され、流出していた。

私も神奈川県民ですから、私自身の個人情報が流出した可能性もあるわけで、それまでも腹立たしさを感じていたのですが、上記事の情報から神奈川県庁のサイトを確認したところ、更に腹立たしさが増しています。

腹立たしさが増した要因は、神奈川県庁サイトでのアナウンスは、上記事の筆者も書いているように県民の気持ちを全く無視してように感じたためです。

そのことについて記事の筆者は次のように書いていますが、私も同感です。

このハードディスクの情報漏えい事件はトップページで、しっかりと顛末と現状と今後の対応をお知らせする案内を掲示しなければならない。該当のページは、記者発表の項目で見ることができる。遺憾の意よりも、まずは県民への謝罪だ。

神奈川県庁のアナウンスには次がありましたが、上記にあるように県民への謝罪の意が感じられず、「自分たちは悪くない」という責任逃れの釈明としか受け取れませんでした。

県民の皆様に不安を与え、県への信頼を揺るがすものであり、誠に遺憾であるとともに、皆様に、深くお詫びいたします。

私以外にも「自分の個人情報も流出したのか」と不安に思っている県民も多いと思いますから、県には今後の対策を講じると共に、流出情報の中の個人情報に関しては各々に対して流出の有無の連絡（私は今までに二度ほど個人情報の流出に遭っているのですが、その二度とも業者から情報流出の旨の連絡と謝罪がありました）まで行ってほしいと願います。