Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

ダートバイクプラスオンラインストアもEC-CUBE

バイク用品通販サイトからのカード情報漏えいが報じられていました。またEC-CUBEサイトの様です。 www.security-next.com ■公式発表 「ダートバイクプラスオンラインストア」への不正アクセス発生についてのご報告とお詫び 1.漏洩の可能性のある期間ならび…

ペットハグサイトは2度攻撃を受けた(EC-CUBE)

ペットフード通販サイトからのカード情報漏えい事件が報じられていました。 www.security-next.com ■公式発表 不正アクセスに関するお詫びとお知らせ 1.経緯 2019年5月7日、一部のクレジットカード会社から、「ペットハグサイト」を利用したお客様のクレジッ…

3.6億円事件の実害は150万円

この地方記事を読んで、少し懐かしく感じましたが令和初の3億円事件にしては、あっさりとした報じられ方だなと思います。www.jiji.com 埼玉県三郷市内の警備会社の金庫から現金3億6000万円を盗んだとして、窃盗罪に問われた同社の元社員、伊東拓輝被告…

北海道へ行ってきた

正月休みを少し延長して北海道に行ってきましたので、無駄に撮りためた写真をUPしてみたいと思います。(※本日はセキュリティには関係が無い記事となります) 新千歳空港から電車で向かったのは、登別。行きはバスで登別温泉まで向かったのですが、日本人率…

ハードオフへのリスト型攻撃

IDとパスワードだけで会員サイトを守るのには限界がある、そんな想いを改めて強くするハードオフのリスト型攻撃の発表でした。 www.hardoff.co.jp 弊社が運営するオンライン通販サイト(ハードオフネットモール)において、お客様ご本人以外の第三者から「リス…

米国のセキュリティ人材不足がもたらす影響

総務省が平成30年に発表したレポートによると、2020年の日本のセキュリティ人材は約19.3万人不足するとされていますが、米国では31.4万人が不足していて、今後さらに不足が拡大すると予想されています。www.ktvb.com サイバーセキュリティ教育のための国家イ…

市進教育グループの即日対応

首都圏を中心に学習塾を展開する市進教育グループが年末に不正アクセスを受け一部ページが改ざんされていた事が報じられていました。 www.security-next.com ■公式発表 弊社マイページ改ざんに関するお詫び 同社によれば、サイトの更新に用いているアプリケ…

EC-CUBEユーザへの注意喚起

EC-CUBEに関しては、去年末(12/20)に経産省が、個社の提供サービスに対して異例の注意喚起を出しています。それに合わせてイーシーキューブ社も注意喚起を更新(12/23)し、またIPAも少し遅れて注意喚起を出しました(12/25)。 EC-CUBEを利用しているECサ…

ジュノエスクベーグルオンラインもEC-CUBE

今年に入って2件目のカード情報漏えいが発表されていました。 www.security-next.com ■公式発表 弊社が運営する「ジュノエスクベーグル」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 2.個人情報流出状況(1)原因弊社が運営する「ジュノエス…

サイバー冷戦がやってくる

サイバー冷戦・・・またサイバー戦争の真っ最中な気がするのですが、CheckPointの予想は「冷戦」だそうです。 www.ehackingnews.com 新しい冷戦は2020年に世界で始まり、サイバースペースで勃発します。選挙前の偽ニュースは、政治におけるインターネットの…

ランサム倒産も現実的になりつつある

ランサム被害を受けたが故に従業員が一時解雇される、そんな事件が報じられていました。 threatpost.com 非営利組織と協力している61歳のテレマーケティング会社であるHeritage Companyは、攻撃により数十万ドルを失ったと300人以上の従業員に手紙を送りまし…

GGインターネットショップのカード情報漏えい

2020年最初のカード情報漏えい事件はクラシックギター専門出版社の現代ギター社のネットショップからでした。 www2.uccard.co.jp ■公式発表 弊社が運営する「GGインターネットショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このた…

キタきつね的 セキュリティ関連予想

◆キタきつね的 2020年のセキュリティ関連予想 当ブログでも様々な専門家の予想を記事にしてきてますが、私個人として2020年、特に日本はどうなるか?を考えてみると、防御側である日本企業や組織が後手に廻る事が多くなるのではないかと想像しています。私が…

CCPAについて知っておくべきこと

GDPR以降、個人情報に対する規制は各国で強化され始めていますが、2020年1月1日からは米国カリフォルニア州の消費者プライバシー法が施行されました。 www.cnet.com 1月1日、同国で最も包括的なデータプライバシー法が施行されます。CCPAは、カリフォルニア…

北朝鮮のハッカーグループThallium

マイクロソフトが去年末に北朝鮮が関与すると思われるハッカー集団「Thallium」関係の50ドメインをテイクダウンしたと発表していました。 www.sankei.com 米マイクロソフト(MS)は30日、北朝鮮と関係があるハッカー集団が不正アクセスで機密情報を盗ん…

2020年のパスワード強化策

2020年に向けた記事を色々と見ているのですが、パスワード強化もテーマに上がっている所がいくつもありました。(きちんと強化すれば安上がりである事は間違いありませんが)その1つを取り上げてみます。 www.cisomag.com 優れたパスワード衛生を実践するこ…

初日の出を見に行ってきた

元旦には朝早くからスカイツリーに上ってきました。(※本日はセキュリティには関係が無い記事となります)元旦と言う事もあり、まだ夜が明けぬ内からスカイツリーのライトアップがされています。 早朝にスカイツリーに居たのは、元旦特別営業(初日の出)チ…

セキュリティ情報収集法の記事について

去年に引き続き、多くの方に元旦の記事を閲覧•評価(ブックマーク、リツイート等々)頂きました。この場を借りて御礼申し上げます。 foxsecurity.hatenablog.com 前か去年も同じ様に3賀日で多くの方にご来訪頂いたのですが、、1/2に4000アクセスを超えてい…

2019年のインシデントを振り返る

温故知新というにはちょっと事例が新しいかも知れませんが、2020年のセキュリティを考えるのにあたり、去年何があったか?を考えるのに丁度良い記事が出ていました。 www.cnet.com ◆キタきつねの所感 機会翻訳が少し読みずらいですが、CNET記事にコメントし…

2020年に避けるべき間違い

年末にPCが壊れてしまい、年末に記事に追われていたりします。さて、2020年に向けての記事は日本でも多く出ていますが、海外記事でもいろいろと出てましたので、その一部をご紹介します。 www.digitalmunition.me ①あなたがターゲットであることを否定するこ…

私のセキュリティ情報収集法を整理してみた(2020年版)

新年あけましておめでとうございます。早いものでこの記事を書くのも3回目になります。毎年年頭に更新している「私の情報収集法」について、今年も更新UPします。 ※私の方法はpiyokangoさんが2013年に書かれた「私のセキュリティ情報共有術を整理してみた。…

MI6の重要書類管理

英国のSUNが元ソースなので、本当かなぁと思って記事を読んでたのですが、CNNやその他のソースも同じ内容で報じていたので、やはりMI6の重要機密(の一部)が漏えいしたと考えて良さそうです。 www.cnn.co.jp 英情報機関・対外情報部(MI6)の改装工事中の本…

最悪なパスワード2019(SplashData)

今年もSplashDataの最悪なパスワード2019が出ました。少し遅れましたが、この内容を見てみたいと思います。元ソースは下記になるかと思います。 The Worst Passwords of 2019 50-1 | SplashData Password Managers The Worst Passwords of 2019 100-50 | Spl…

物理破壊への立ち合い?

安全ではあると思いますが、実務を考えると無駄な作業を増やすだけな気もします。 www.sankei.com 事件を受けて総務省は12月6日、個人情報が大量保存された記録装置の処分について、物理的に壊すなどして使えなくするよう全国の自治体に通知。作業完了ま…

日本が”切り子”天国になってはいけない

国際的な犯罪での「騙す先」が日本市場になりつつある、そうした事をこの事件は表しているのではないでしょうか。 mainichi.jp 捜査関係者によると、府警が12月5日、国内のリーダー格で、埼玉県川越市の配管工、ウー・チー・マン容疑者(35)を詐欺容疑で逮…

時代は「情報セキュリティ・アナリスト」

世のセキュリティ担当者に一筋の光を与える様なビジネスインサイダーの予想記事が出ていました。 www.businessinsider.jp アメリカで急成長中の仕事の多くは、比較的な自由な勤務時間だったり、自宅のソファでくつろいだまま行うことができたりするものだ。…

顔認証は更なる精度向上が必要

NISTが顔認証アルゴリズムの調査結果を開示した件が記事に出ていました。 www.jiji.com 【ワシントン時事】米政府機関の国立標準技術研究所(NIST)は19日、本人確認や犯罪捜査で用いられる顔認証システムについて、人種によって識別の正確さに大きな…

HTTPSにしないのは何故ですか?を調べてみた

安全でないとChrome等が判定しているのに、大手のサイトでは何故HTTPSにしないのか?そんな意図でこのデータベースは公開されている様です。日本でもいくつものサイトが掲載されていましたので、少しみて見ました。 whynohttps.com HTTPSは現在、無料で簡単…

最悪なパスワード200(Nordpass調べ)

パスワード管理ソフト等を販売しているNordpass社の調べによる、2019年の最悪な(よく使われる)パスワードリストが出ていました。 nordpass.com ◆キタきつねの所感 まだ最悪なパスワードと言うと、SplashDataが毎年発表しているものが有名な気がしますが、…

FULLSPECもEC-CUBE

福島県郡山市の衣服店もカード情報漏えい被害に遭った様です。 www2.uccard.co.jp ■公式発表 弊社が運営する「FULLSPEC. WEB SITE」への不正アクセスによる個人情報流出に関するお詫びとお知らせ ◆キタきつねの所感 まだ今年が終わった訳ではありませんが、E…