Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Happy 8th Birthday to Krebs On Security !

定期的に巡回しているKrebs on Securtyが昨末(12/29)に8周年を迎えていた事に気づきましたので、つぶやいてみます。Congrats to Krebs !! Happy 8th Birthday, KrebsOnSecurity! — Krebs on Security ブライアン・クレブズ氏を知らない方もいらっしゃるか…

セキュリティ関係のお勧め本をつぶやいてみた。

年末の大掃除で本を整理していて、古い本を捨てたりしていたのですが、セキュリティ関係の本を久々に手に取る機会がありました。徳丸先生や辻さんの本もお勧めすべきところなのですが、今回は日本の本ではなく、海外(米国)の作者の本で、面白かった(捨て…

ロック機能付きクレジットカード

三井住友カードが米Dynamics社と共同発表を1月9日にした「ロック機能付きクレジットカード」がなかなかユニークな機能を搭載しそうでしたので、つぶやいてみます。 (三井住友カードニュースリリースよりカード画像引用) パスコードを入れないとカード番号…

東京五輪で狙われそうな脆弱点を少し考えてみた。

平昌冬季五輪に対するマカフィーの発表がAFPの1月7日記事に載っていましたので、つぶやいてみます。 www.afpbb.com ハッカーはウイルスメールを使ってパスワードやお金に関する情報を盗もうとしていると報告している。 報告書の中では平昌五輪に関わる複数の…

SAMURAI&J PARTNERS(UML教育研究所)の不正アクセス事件を考えてみた。

ソフトウェア開発を行うSAMURAI&J PARTNERSのWEBサーバが不正アクセスを受け個人情報31件を流出したと共に、「@sajp.co.jp」ドメインが不正利用され、迷惑メールが大量に送信された可能性がある事を発表しました。この件について考えてみます。 www.sajp.co.…

Jason's Deli のPOS侵害事件によるクレジットカード情報200万件流出

米国テキサス州が本部で、全米28州に266店舗を展開するカジュアルレストランチェーンのJason's DeliがPOSへのマルウェア侵害により、Dark Webにカード情報200万件が流出した可能性があることを1月11日に発表しました。この件についてまとめてみます。 公式発…

ATMがシフトキー5回で操作できる?

Security Affairsのロシアの銀行SberbankのATM(WindowsXP)に対するハッキング脆弱性の12月26日の記事が衝撃的でしたので、少しつぶやいてみます。 securityaffairs.co 記事にリンクがあったYoutube映像を見た方が分かりやすいかと思いますので、リンクを貼…

世界最小の携帯電話「Zanco tiny t1」が出資者募集中(8月出荷予定)

ガジェット通信に13gの世界最小の携帯電話がkickstarterにて出資者を募集している12月20日の記事がありました。 getnews.jp 価格は超早期割引30ポンド(¥4601)~ですが、もう枠が売り切れてそうなので、早期割引35ポンド(¥5368)、または39ポンド(¥598…

九州商船の不正アクセス事件について調べてみた。

1月9日に九州商船がインターネット予約サイトのWEBサーバが不正アクセスを受けたと発表した件について、つぶやいてみます。 this.kiji.is 公式発表 不正アクセスによるインターネット予約サービスの停止とお客様情報漏洩の恐れに関するお知らせ インシデント…

米国 国土安全保障省も安全ではなかった。

2001年の同時多発テロ事件を受けて設立された、米国の国土安全保障省(United States Department of Homeland Security:DHS)が不正アクセスにより、元職員24.6万人の個人情報を漏えいしたとの1月3日のリリースが出ていました。 www.dhs.gov インシデントタ…

ホワイトハウスの情報漏えい対策

1月5日のCNET Japanに面白い記事がありました。つまりトランプ政権におけるホワイトハウス内でのセキュリティ対策が不十分だった事を認めた意味になるのが興味深いところです。 japan.cnet.com 「来週から来客と職員の両方に対し、ウエストウイングにおける…

ECプラットフォームの拡張機能が狙われている

EC Cubeについて12/1の記事で少しコメントを書きましたが、今度はMagentoのヘルプデスクの拡張機能が狙われたようです。 Magento(マジェント)はECサイト構築向けに開発されたオープンソースソフトウェアで、日本での利用はそう多くない様ですが、世界シェ…

2017年に感銘を受けたワード「高い壷は買うな」「Take the Red Pill」「Door Stepmile」

2017年を振り返った時、セキュリティ関係だけという訳ではないのですが、心に残ったワードが3つあります。それが標題の3つなのですが、啓蒙的な言葉というのは伝わりにくいものではありますが、年の初めという事もあり、少し書いてみます。 まず1つ目です…

イタリアのスピードカメラDBがハッキングされた件をつぶやいてみる。

イタリア地域警察CorreggionのスピードカメラのデータベースがAnonymousによってハッキングされ、関連ファイルを消されたと、Gazzetta di Reggioが報じた件について、Security Affairsの1月3日記事があったので、つぶやいてみます。 securityaffairs.co ハッ…

パスワードは催眠術師にお任せ

WSJの2017年12月20日の記事に、高騰(と急落)を続けるビットコインにまつわる気になる話が載っていたので、つぶやいてみます。 jp.wsj.com 何年も前にビットコインを購入しておきながら、複雑なセキュリティーコードを忘れてしまうユーザーが増えている。一…

日本がセキュリティ人材のハンティング競争に負ける時代

SankeiBizの2017年12月29日の記事にインドのサイバー人材の需要拡大している件が載ってましたので、少し考えてみました。 www.sankeibiz.jp インドでは多くのITベンチャーが育っているだけでなく、IT立国として国を挙げてエンジニア・プログラマの教育に力を…

Forever21のPOS侵害事件(続報)

12月3日に海外で報じられたニュース記事を元に、Forever21のPOS侵害事件について記事を上げていますが、1月2日にForever21から正式リリースが出ていました。 ■公式発表 Forever 21 Reports Findings from Investigation of Payment Card Security Incident …

セキュリティ インテリジェンスへの挑戦

私の2018年の初出勤が本日1月5日ですので、今年の抱負を書いてみます。とは言え、社内の諸先輩方には「聞き飽きた」と言われる内容かも知れません。。。 今年は2つの事にウェイトを置いてみたいと考えています。1つがこのブログ。11月5日に開始して以来、…

オリンピックの偽アクセスポイント

総務省のサイバーセキュリティタスクフォース、「公衆無線LANセキュリティ分科会」が第3回目の会合を12月27日に行っており、資料3-1 「公衆無線LANセキュリティ分科会」論点整理の資料に過去のオリンピックにおける無線LANセキュリティの問題がよく整理され…

持ち物認証を考えさせられた。

2017年11月24日のengadgetさんの記事に詳しいレポートが書いてあり、興味をそそられた商品が、Diper IDという技術です。日本のグローブブランドであるEVOLGとDiper IDが共同開発した技術のようですが、寒い冬に手袋を外すことなくTouch IDの指紋認証を行える…

セキュリティ運用はハリボテではいけない。

写真を整理していたら、セキュリティを改めて考えるのに良い海外の写真が出てきたのでつぶやいてみます。 こちらはシンガポール某施設のセキュリティコントロールルーム(日本で言う警備室)入り口の写真。施設が古いのは仕方無いとして、警備室ドアの窓に黒…

私のセキュリティ情報収集法を整理してみた。

社内でもたまに、どうやってセキュリティ関連情報を拾っているのかを聞かれるので、自分の備亡録も兼ねて少し整理してみました。 私の方法はpiyokangoさんの次の記事を受けて、現在進行形で試行錯誤しているものであり、また必ずしも全ての方に向いている情…

ウォーキング・デットの情報漏えい対策

12月26日の海外ドラマナビに『ウォーキング・デッド』の情報漏えい対策として非常に興味深い記事が載っていたので、つぶやいてみます。 dramanavi.net 本シリーズはプリントされた脚本がキャストに渡されるのではなく、番組専用に作られたアプリを通して、各…

横浜市大付属病院の個人情報漏えい事件についてつぶやいてみた。

12月28日の産経ニュースにいかにも年末にありそうな個人情報漏えいの記事が出ていましたので、つぶやいてみます。 www.sankei.com 事件内容としては、個人の勉強目的で女性医師が症例が似た過去の手術記録の写しを取り、バックに入れて診療科の忘年会に参加…

斉藤ウィリアム氏について少し調べてみた。

12月9日、12月15日の山本一郎氏の記事はセキュリティ関係者の間、あるいはTwitterの中で大きな話題となりました。斉藤氏も自身のブログで「ブログ等におけるご指摘について」というコメント記事を日本語のみで書かれていますが、Twitterのフォロワー数水増し…

大麦工房ロアオンラインショップの不正アクセス事件

12月25日に大麦工房ロアのオンラインショップからクレジットカード情報が流出した可能性があると発表しました。この件について少しつぶやいてみます。 netshop.impress.co.jp ■公式発表 個人情報流出疑いに関するお詫びとご報告 インシデントタイムライン 日…

ヤマケイオンラインの不正アクセス事件

12月11日(続報12月19日)に山と溪谷社が「ヤマケイオンライン」の会員情報が漏えいした可能性があると発表しました。この件について少しつぶやいてみます。 www.yamakei.co.jp ■公式発表 「ヤマケイオンライン」会員情報流出の疑いに関するご報告 「ヤマケ…

ハワイアンズモール不正アクセス事件の最終報告

7月に不正アクセス被害を発表したハワイアンズモールを運営する常盤興産から最終報告が出ていましたので、その内容を少し見てみます。 今回の最終報告については、内容は他社に対して気づきを与えるような非常に参考になるものでした。原因部分と(今後の)…

トキワオンラインショップの不正アクセス事件をまとめてみた。

合わせ酢や万能だし、お酢飲料、ビネガーなどを販売する「トキワオンラインショップ」が第三者からの不正アクセスを受け、クレジットカード情報を含む個人情報漏えいを12月20日に発表した件について、まとめてみます。 インシデントタイムライン 日時 出来事…

SEMPRE.JPの個人情報漏えい事件をまとめてみた。

家具・雑貨販売のSEMPR.JPを運営するセンプレデザイン社が第三者からの不正アクセスを受け、クレジットカード情報を含む個人情報漏えいを12月22日に発表した件について、まとめてみます。 インシデントタイムライン 日時 出来事 2017年10月29日~30日 不正ア…