SafelinksはただのURLチェックリダイレクタだから元URLがそのままエンコードされて中間者流出がある、と。Safelinks自体はTeamsでの利用を無効化できるポリシーがあるようなので直近ヤバいならグループポリシーで適用かなぁ
裁判所以外はどうしてんの?って疑問
ここ数年のMSはどうにもポンコツ感が拭えない。何でこうなった。
山本一郎様のお陰で政府情報漏洩している件。口が軽い人間はセキュリティホールなので潰さないとな。議員に請願しようぜ!
TeamsのSafe Linksが逆に仇となってるとか皮肉すぎる。MSの仕様以前に、これを使い続けるお役所のIT音痴ぶりが絶望的だわ
“Microsoft Teams” https://www.wowtalk.jp/
ん?temasの付随サービスにリンク先の情報が送られているとして、問題はブラウザ拡張を入れて他者にそのURLを送信している奴がいる問題なら、MSじゃなくてそんな拡張をインストールできるようにしてる側の問題では?
この問題構造だとMS Teamsが書き換えてなかったとしても拡張機能経由でアクセス先漏れてるのでMS関係なくない?
それで流出してるならTeams関係なしに単にメール本文に入れたURLが流出してるって話では?
この人はずっとこんなことをして生きていくのだろうか……
何がどう問題なのかわからんのでちゃんとした人が何か言うまで保留やろ
会話が推測できるレベルでリンクをやり取りしてしかも外部に漏れるってどんな状況?漏れてなくても推測できるなら元URLが含まれてるかどうかは関係ないし。
ん?山本一郎氏っていつから“セキュリティクラスタの人間”になったの?知らんかった
サイバーノーガード戦法だ
Safelinksにすると解析されやすいURLの構造になるから広告ブロックやアクセス解析などのブラウザ拡張ツールが外部送信するターゲットにされやすくなるということか。外部送信する拡張機能が悪いけどMSの設計も良くないと
全然MS関係なくて草
とりあえず政府系は全てMacとiPhoneにしよう。
中身は読んでないが、はてなの識者の見解をとりあず信じておこう。こういう所がはてなの良いところ。
他国はどうしているのだ
うわー
端末内プロキシでSafe LinksのURLから個人、会話スレッド、セッションの識別子を取り除けよ、フィッシング対策もM$外して。政府はBYODなのか?というヘソ茶案件に聞こえるが俺が間違っているのだろう
Google Workspaceなら使えるChrome機能拡張の制限はできるが
ところで砂浜でそんな服着て暑そう
たぶんぼかしている部分に関係あるのかもだけど、Safe Linksがなければ元URLがむき出しなのだから、ブラウザ拡張経由でURLを見られるリスク自体は変わらないのでは?それともSafeLinkで梱包するとセキュが弱くなるのか?
はてぶもURL入っているから一緒だな
Microsoftのせい、政府のせいじゃないもん!ですかね、ほんと醜悪だなぁ
YouTube出して
ミカン星人とかまた懐かしいネタを…
この人、よくわからないことをわかってる風に話してる感がある。MSが悪いようには見えん。
ひろみちゅ先生にバカにされるブクマカたちhttps://x.com/hiromitsutakagi/status/2048710856259801521
Safelinkはリンク先が危険かどうかを判別するための機能であって、URL隠蔽するための機能ではないでしょ。漏れてるならその穴を塞ぐべき。洗濯機買っておいて「アイロンかかってないじゃないか」とか言ってるようなもの
インターネットおもしろんちゅとしか思っていなかったけど、監視レベルが上がってしまった
どんな内容であるにせよ、信用しない方がいい人というのはいる。いつも何かを操作することしか考えてない人の言葉に耳を傾けるのはリスクしかない。
URLリダイレクタを素直に実装するとそうかもしれんが、厳しい。/まあなんだTeamsやめたいならみんなでElement/Matrixをセルフホストしようず。官公庁端末全部Chromebookでも面白いけど
"本社に不正ログイン、個人情報流出か 外部から「Slack」に" を思い出してしまったがそこまではひどくなった
ブクマカたちの集合知?最高 はてな無くならないでくれ もう11億振り込まないでくれ
ブラウザのアドオンが原因?それはMicrosoftは仕方なくない?業務PCにソフトインストールしちゃいけないよ
ブラウザ拡張なんて一律禁止、最低でもホワイトリスト運用であるべきだと思う。業務に必須のブラウザ拡張ってどんなのがあるかしら。
ADかIntune使えばChromeもEdgeも拡張機能の使用制限できるよ / ちゃんと中身読んだら、なるほどsafelinkはURLでセッション管理してるのが問題ってことか。safelinkはTeamsだけじゃなくOutlookでも使われるからな…
裁判所の個人情報、かつ実際は裁判所以外も漏れてそうでヤバイという話が問題なのでは?で流出元はTeamsでマイクロソフト以外誰が対処するの?(米国政府向けだけは対処済とのこと)
技術はわからなくても「情報流出」にはナイーヴそうな役所がその反応ってことは、実際にそこまでの大事ではない可能性もわりとありそう
デジタルに関する仕事をオレにもまわせ、と言いたいんだよ
へーOSINTでもう何でもできるんやな
パブリッシュでないドキュメントの文章作成プロパティに含まれてるあれかとおもったら違った。
このコスプレ写真はなんなんだろう……
DoDであってもそんな拡張機能入れさせていたら同じように漏れるんじゃないの?(一般Internetのoutboundがある場合)拡張機能で漏れるのなら先にそっちのような。
不安をあおるだけの、トランプおじさん。
逆なでしてくる語り口のせいで入ってこないが、かなりの大ごとだよねこれ?業務に関してはTeamsだけやめればいいのか?
TeamsのSafe LinksはURLを書き換えないよ。MS公式くらい読め。だから記事全体が「それっぽい陰謀論」になっている。危険なブラウザ拡張機能を業務端末に許す組織運営が本丸でしょう。情報漏洩以前の問題だよ。
裁判所のTeamsは裁判手続等IT化で裁判に参加する弁護士も利用するから、裁判所職員のブラウザで制限しても弁護士が変なextension入れてたらアウトなのかも。なのでTeams側で絞れれば良いのにという話かな
生成AIでアイキャッチ画像生成している暇があったら、このあきらかに論理に穴がある本文をレビューさせてから公開するべきだった
法務省セキュリティ担当部署瑕疵だね、クラウド利用のリスクを理解せず採用する部局が数年前から増えたのは確かだ、大昔法務省のホルダーが丸見えで裁判官資料が丸見えだった事もあるし現在も昔のままかお笑いだね。
おらの出番か? by 一太郎 という冗談はさておき、民間でも考えないといけないな。これ。
このおっさんはセキュリティというかプライバシー関係は昔から取り扱っとるぞ
“Symbian搭載のガラケー” こんなの使っている奴がまだいるの? 司法関係に? というか本当に動くのか
一見して個人情報が流出しなさそうな機能だが利用すると複合的に個人情報が流出するトラップになる仕組み。個別機能ではセーフであっても組み合わせで見ると期待される機密が守られていない。危機認識を更新しないと
そもそもURLに個人や機密に関わる情報が入ってるのが💩なのでは。。。
私はひろみちゅ先生を信じる > https://x.com/i/status/2048710856259801521
“私が書いているのは鍵がかかっておらず、外から泥棒やクロマティ高校部活民や高木浩光がお咎めなく笑顔で出入りできるという問題です”
三位一体の漏洩
URLがわかれば開けるURLが色んなところで共有されてるってこと?
観測しているのは、第三者の商用データベース(市販の合法サービス)に通常の契約に基づいてアクセスしている主体です。システム攻撃も侵入もございません。不正アクセス禁止法の枠組みでは捕捉できない
Microsoft様のお陰で政府情報漏洩している件の最新状況――裁判所の職員情報がダダ漏れ |山本一郎(やまもといちろう)
SafelinksはただのURLチェックリダイレクタだから元URLがそのままエンコードされて中間者流出がある、と。Safelinks自体はTeamsでの利用を無効化できるポリシーがあるようなので直近ヤバいならグループポリシーで適用かなぁ
裁判所以外はどうしてんの?って疑問
ここ数年のMSはどうにもポンコツ感が拭えない。何でこうなった。
山本一郎様のお陰で政府情報漏洩している件。口が軽い人間はセキュリティホールなので潰さないとな。議員に請願しようぜ!
TeamsのSafe Linksが逆に仇となってるとか皮肉すぎる。MSの仕様以前に、これを使い続けるお役所のIT音痴ぶりが絶望的だわ
“Microsoft Teams” https://www.wowtalk.jp/
ん?temasの付随サービスにリンク先の情報が送られているとして、問題はブラウザ拡張を入れて他者にそのURLを送信している奴がいる問題なら、MSじゃなくてそんな拡張をインストールできるようにしてる側の問題では?
この問題構造だとMS Teamsが書き換えてなかったとしても拡張機能経由でアクセス先漏れてるのでMS関係なくない?
それで流出してるならTeams関係なしに単にメール本文に入れたURLが流出してるって話では?
この人はずっとこんなことをして生きていくのだろうか……
何がどう問題なのかわからんのでちゃんとした人が何か言うまで保留やろ
会話が推測できるレベルでリンクをやり取りしてしかも外部に漏れるってどんな状況?漏れてなくても推測できるなら元URLが含まれてるかどうかは関係ないし。
ん?山本一郎氏っていつから“セキュリティクラスタの人間”になったの?知らんかった
サイバーノーガード戦法だ
Safelinksにすると解析されやすいURLの構造になるから広告ブロックやアクセス解析などのブラウザ拡張ツールが外部送信するターゲットにされやすくなるということか。外部送信する拡張機能が悪いけどMSの設計も良くないと
全然MS関係なくて草
とりあえず政府系は全てMacとiPhoneにしよう。
中身は読んでないが、はてなの識者の見解をとりあず信じておこう。こういう所がはてなの良いところ。
他国はどうしているのだ
うわー
端末内プロキシでSafe LinksのURLから個人、会話スレッド、セッションの識別子を取り除けよ、フィッシング対策もM$外して。政府はBYODなのか?というヘソ茶案件に聞こえるが俺が間違っているのだろう
Google Workspaceなら使えるChrome機能拡張の制限はできるが
ところで砂浜でそんな服着て暑そう
たぶんぼかしている部分に関係あるのかもだけど、Safe Linksがなければ元URLがむき出しなのだから、ブラウザ拡張経由でURLを見られるリスク自体は変わらないのでは?それともSafeLinkで梱包するとセキュが弱くなるのか?
はてぶもURL入っているから一緒だな
Microsoftのせい、政府のせいじゃないもん!ですかね、ほんと醜悪だなぁ
YouTube出して
ミカン星人とかまた懐かしいネタを…
この人、よくわからないことをわかってる風に話してる感がある。MSが悪いようには見えん。
ひろみちゅ先生にバカにされるブクマカたちhttps://x.com/hiromitsutakagi/status/2048710856259801521
Safelinkはリンク先が危険かどうかを判別するための機能であって、URL隠蔽するための機能ではないでしょ。漏れてるならその穴を塞ぐべき。洗濯機買っておいて「アイロンかかってないじゃないか」とか言ってるようなもの
インターネットおもしろんちゅとしか思っていなかったけど、監視レベルが上がってしまった
どんな内容であるにせよ、信用しない方がいい人というのはいる。いつも何かを操作することしか考えてない人の言葉に耳を傾けるのはリスクしかない。
URLリダイレクタを素直に実装するとそうかもしれんが、厳しい。/まあなんだTeamsやめたいならみんなでElement/Matrixをセルフホストしようず。官公庁端末全部Chromebookでも面白いけど
"本社に不正ログイン、個人情報流出か 外部から「Slack」に" を思い出してしまったがそこまではひどくなった
ブクマカたちの集合知?最高 はてな無くならないでくれ もう11億振り込まないでくれ
ブラウザのアドオンが原因?それはMicrosoftは仕方なくない?業務PCにソフトインストールしちゃいけないよ
ブラウザ拡張なんて一律禁止、最低でもホワイトリスト運用であるべきだと思う。業務に必須のブラウザ拡張ってどんなのがあるかしら。
ADかIntune使えばChromeもEdgeも拡張機能の使用制限できるよ / ちゃんと中身読んだら、なるほどsafelinkはURLでセッション管理してるのが問題ってことか。safelinkはTeamsだけじゃなくOutlookでも使われるからな…
裁判所の個人情報、かつ実際は裁判所以外も漏れてそうでヤバイという話が問題なのでは?で流出元はTeamsでマイクロソフト以外誰が対処するの?(米国政府向けだけは対処済とのこと)
技術はわからなくても「情報流出」にはナイーヴそうな役所がその反応ってことは、実際にそこまでの大事ではない可能性もわりとありそう
デジタルに関する仕事をオレにもまわせ、と言いたいんだよ
へーOSINTでもう何でもできるんやな
パブリッシュでないドキュメントの文章作成プロパティに含まれてるあれかとおもったら違った。
このコスプレ写真はなんなんだろう……
DoDであってもそんな拡張機能入れさせていたら同じように漏れるんじゃないの?(一般Internetのoutboundがある場合)拡張機能で漏れるのなら先にそっちのような。
不安をあおるだけの、トランプおじさん。
逆なでしてくる語り口のせいで入ってこないが、かなりの大ごとだよねこれ?業務に関してはTeamsだけやめればいいのか?
TeamsのSafe LinksはURLを書き換えないよ。MS公式くらい読め。だから記事全体が「それっぽい陰謀論」になっている。危険なブラウザ拡張機能を業務端末に許す組織運営が本丸でしょう。情報漏洩以前の問題だよ。
裁判所のTeamsは裁判手続等IT化で裁判に参加する弁護士も利用するから、裁判所職員のブラウザで制限しても弁護士が変なextension入れてたらアウトなのかも。なのでTeams側で絞れれば良いのにという話かな
生成AIでアイキャッチ画像生成している暇があったら、このあきらかに論理に穴がある本文をレビューさせてから公開するべきだった
法務省セキュリティ担当部署瑕疵だね、クラウド利用のリスクを理解せず採用する部局が数年前から増えたのは確かだ、大昔法務省のホルダーが丸見えで裁判官資料が丸見えだった事もあるし現在も昔のままかお笑いだね。
おらの出番か? by 一太郎 という冗談はさておき、民間でも考えないといけないな。これ。
このおっさんはセキュリティというかプライバシー関係は昔から取り扱っとるぞ
“Symbian搭載のガラケー” こんなの使っている奴がまだいるの? 司法関係に? というか本当に動くのか
一見して個人情報が流出しなさそうな機能だが利用すると複合的に個人情報が流出するトラップになる仕組み。個別機能ではセーフであっても組み合わせで見ると期待される機密が守られていない。危機認識を更新しないと
そもそもURLに個人や機密に関わる情報が入ってるのが💩なのでは。。。
私はひろみちゅ先生を信じる > https://x.com/i/status/2048710856259801521
“私が書いているのは鍵がかかっておらず、外から泥棒やクロマティ高校部活民や高木浩光がお咎めなく笑顔で出入りできるという問題です”
三位一体の漏洩
URLがわかれば開けるURLが色んなところで共有されてるってこと?
観測しているのは、第三者の商用データベース(市販の合法サービス)に通常の契約に基づいてアクセスしている主体です。システム攻撃も侵入もございません。不正アクセス禁止法の枠組みでは捕捉できない