Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

顔パス改札をもう破った人がいる

自動改札は阪急電鉄が初めて導入した様に、新たな技術導入は西日本の方が意欲的なのかも知れません。顔認証改札の実証実験がどんな結果になるのでしょうか。 www.fnn.jp 大阪府内を走る「大阪メトロ(「大阪市高速電気軌道株式会社)」が、改札を「顔認証改…

米国カリフォルニア州のプライバシー法

米国も個人情報管理強化に向かっていく様です。来年1月からのプライバシー保護法はアメリカに進出している日本企業にも大きな影響を与えるかも知れません。 www3.nhk.or.jp アメリカのカリフォルニア州では、企業に厳格なプライバシーの保護を義務づける州の…

役員は代表電話にはかけてこない

楽天もグループ会社が増えすぎて教育が追い付いてないのかも知れません。 www.nishinippon.co.jp 楽天グループの複数の従業員が、グループ会社役員を名乗る人物から電話で虚偽の指示を受け、従業員の情報を管理する社内システムに登録された氏名や役職、メー…

Windows7で生き延びられるか

師走に入り、OS更新も急ピッチで進む・・・事はなさそうです。1月14日のWindows7サポート切れまであと1カ月ですが、、Windows7ユーザは4台に1台程度の割合でその日を迎えそうです。 news.mynavi.jp Net Applicationsから2019年11月のデスクトップOSのシェア…

モーターマガジン社もEC-CUBE

先週は本業の方が忙しくて調査が出来ませんでしたが、もう1件カード情報漏えいが発表されていましたので、こちらの方もみて見ましたが、こちらは・・・EC-CUBEの様です。 www.security-next.com ■公式発表 モーターマガジン社より重要なお知らせ モーターマ…

求人サイトへの攻撃

この記事を見て、求人サイトも(今後)攻撃対象となり得るな・・と感じました。ハッカーがロシアの求人サイトから50万件の個人情報を窃取した様です。 www.ehackingnews.com ハッカーフォーラムは、ポータルjobinmoscow.ruのユーザーのデータベースを取得し…

象印の「システムの一部の脆弱性」を考えてみる

象印の顧客情報流出の発表は、有名企業でも不正アクセスを受けて情報流出する可能性がある、その事を改めて認識させました。 www.nikkei.com 象印マホービンは5日、子会社が運営するインターネット通販サイト「象印でショッピング」が外部からの不正アクセス…

(仮記事)ブロードリンクの記者会見

2時間の記者会見映像をみましたが、思った以上にブロードリンク社の管理体制はザルでした。 ヤフオクの落札履歴では充電器、中古iPhone、USBメモリ、中古デジカメ、イヤホン等が落札されているのですが、これらもブロードリンク社から不正に持ち出されている…

ブロードリンクは内部犯行に無策であった

先週一番インパクトがあったのは、このニュースだった気がします。既に多くのメディアが続報を出している中で取り上げるのはどうかなと思いましたが、内部犯行に対するセキュリティという視点で考えてみたいと思います。 www.nikkei.com 個人情報を含む神奈…

No More Ransom Projectについて

カスペルスキーの下記ブログ記事は(当面)保存版かも知れません。 ◆キタきつねの所感 良記事なので、詳しくはカスペルスキーの記事を読んで頂きたいのですが、記事の中で紹介されていた、No No more Ransomのサイトを少し調べてみました。 www.nomoreransom…

ハッキングでは無く管理不備

家の鍵を開けっぱなしで外出した際に泥棒にあった、そんな状態が管理レスカメラは近い気がしますが、地方紙のこの記事は、ハッキングされた!と騒ぎ立てる前にすべき事が多い事を改めて考えさせられます。 www.the-miyanichi.co.jp 都農町の東児湯消防組合消…

米国レストランチェーンのカード情報漏えい

米国の4つのレストランチェーンからカード情報が窃取され、ハッキングフォーラムのJoker's Stashで販売されていたと報じらえていました。 krebsonsecurity.com 11月23日に、盗まれたペイメントカードデータを売買するためのサイバー犯罪の地下最大のバザー…

シンガポールのセキュリティ強化策

シンガポールが何度かのサイバー攻撃を受けて、新たなセキュリティ強化対策に乗り出す様です。 www.cisomag.com サイバーセキュリティを強化し、次世代のサイバー脅威に取り組むため、シンガポール政府は新しいデータ保護対策を採用することを決定しました。…

日本のセキュリティ思考は時代遅れになりつつある

日本の組織は事件の検知から回復にかけてが非常に遅い、似た様な統計はいくつかあった気がしますが、クラウドストライク社の最新調査でもこうした傾向が顕著に出た様です。 www.nikkei.com 日本ではセキュリティー上の脅威となる事象を検知・解析してから修…

Magentoが狙われるという事は・・・

アドビが2018年に買収したMagentoのマーケットサイトが侵害を受けた様です。 thehackernews.com アドビ(Magento eコマースプラットフォームを所有する会社)は本日、Magentoマーケットプレイスユーザーのアカウント情報を未知のハッカーや個人のグループに…

老人ホームへのランサム攻撃

ランサムは老人ホームまで・・・とこのニュースを聞いて思ったのですが、身代金を払う動機になりやすい『生命』を預かる施設としては、病院同じですので、ハッカーに狙われるのは当然なのかも知れません。 coinchoice.net 暗号資産(仮想通貨)に対する犯罪…

ランサムは穴を突いてくる

Krebs on Securityで獣医病院へのランサム攻撃が報じられていました。 krebsonsecurity.com 国立獣医協会(NVA)は、世界中に700以上の動物医療施設を所有しているカリフォルニアの企業であり、先月後半にこれらの施設の半分以上に影響を及ぼし、多くの獣医…

ベネッセ判決1000円の重み

ベネッセの内部犯行事件から5年以上経つ事に驚きます。そして裁判で新たな判例が積み重なりました。 www.sankei.com ベネッセコーポレーション(岡山市)の顧客情報が委託先から流出し精神的苦痛を受けたとして、兵庫県の男性が同社に慰謝料10万円を求めた…

ロシア鉄道システムへの攻撃

Wifi経由で20分もあれば自分のデータが漏えいする、日本の新幹線などでもFree-Wifiの導入が進んでますが、きちんとセキュリティ設計がされてないと、漏えいリスクがあるサービスを利用しているかも知れない事には警戒すべきかも知れません。 www.ehackingnew…

セシールの壁

ディノスではなく、セシールが狙われるのは、攻撃者の意図がある気がしてなりません。記事を書いている時点(11/23)では、Security Nextさんの記事も出されていませんでしたが、不正アクセスの発表が出てました。 ■公式発表 弊社「セシールオンラインショッ…

Cardshop SerraもEC-CUBE

全世界で2000万人のプレイヤーが居ると言われる戦略的トレーデングカードゲームMTG(マジック・ザ・ギャザリング)のトレーディングサイトもカード情報漏えい被害を受けた様です。 www.security-next.com ■公式発表 弊社が運営する「Cardshop Serra」への不…

Macy'sのMagecart被害

先日、JPAC様でセミナーをさせて頂いたのですが、その資料をまとめる際もMagecartの被害の大きさに改めて驚きましたが、また攻撃事例が増えた様です。 jp.techcrunch.com 老舗百貨店のMacy’s(メイシーズ)は、わずかな期間に二度目となるデータ漏洩で大量の…

キャプテントムもEC-CUBE

毎週の様にカード情報漏えい事件が発表されておりますが、まだその勢いは続いている様です。アウトドアや米軍放出品などを取り扱っている「キャプテントム」からカード情報漏えいがあったと発表されていました。 www2.uccard.co.jp ■公式発表 弊社が運営する…

ユニコーン企業になるにはサイバーセキュリティが重要

スタートアップ企業にとって、サイバーセキュリティ対策の重要性が増している事を指摘する記事が出ていました。 www.ipwatchdog.com サイバー攻撃はどの企業にとっても歓迎されないイベントですが、その影響は新興企業にとって特に有害であり、小規模企業の6…

NOTICEの続報

総務省とNICTが5年間の事件措置で実施しているNOTICEの続報が発表されていました。 www.soumu.go.jp 3 実施状況 2019年度の第2四半期までの実施状況は以下のとおりです(括弧内は2019年度の第1四半期までの実施状況)。・参加ISP:34社(33社)・調査対象IP…

プロフェッショナルの条件

RIZAPの記事を書いている時に、この記事を見つけました。元RIZAPのCSO/CIOの岡田氏の逆行動規範は、非常に良い事が書かれていて、とても参考になりました。 tech.nikkeibp.co.jp 逆行動規範を作った 顧客企業の優れたブレーンになるため、どんな方針で仕事に…

Everisのランサム被害

NTTデータのスペイン子会社Everisがランサム攻撃を受けて、多くのシステムを止める羽目に陥ったと11/4のBleeping Computerが報じてました。日本で報じられていないランサムウェア被害は数多くありますが、日本のSIer企業が親会社だけに、この事件が日本でほ…

ハッカーへの対抗策は侵入テスト・DevOps・バグ報奨金

興味深い記事でした。脆弱点を先に潰す事でハッカーの攻撃コストは増加する、当たり前な事ではありますが、その有効性は高い様です。 www.darkreading.com ■元レポート Trust by Design: Synack 2019 Trust Report ◆キタきつねの所感 記事が引用しているセキ…

ANAクラウンホテル神戸の会員情報漏えい

地方紙の記事でしたが、色々考えさせられる記事でした。 www.kobe-np.co.jp ■公式発表 ニュースリリースは見当たらず ANAクラウンプラザホテル神戸(神戸市中央区)などで利用できる優待制度「プレミアクラブ」の会員情報が外部に流出し、それぞれのメー…

RIZAPはセキュリティにコミットできるか?

少し前に発表があった、RIZAPのメールアカウント乗っ取り事件を少し考えてみます。 www.security-next.com ■公式発表 弊社子会社RIZAP株式会社における 不正アクセスによる迷惑メールの送信に関するお詫びとお知らせ | RIZAP GROUP[ライザップグループ] ◆…