Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

セキュリティの通信簿

脆弱性価格は実情に合ったものかも知れません。 gigazine.net 様々な「脆弱性」をクラッカーから買い取っているZERODIUMが、買取対象としている脆弱性の大部分の価格を引き上げました。ただ、バグや脆弱性の発見に対する企業の報奨金プログラムと比べてZEROD…

仮想通貨を預けるのはリスキーなのか

仮想通貨を取引所に預ける事のリスクは、日本でも韓国でも同じ様です。 crypto-lab.info 韓国の政府機関(科学情報通信省、インターネット庁、経済財政省)が実施した仮想通貨取引所のセキュリティ調査で、21社のうち7社しか安全基準をクリアできなかったこ…

インシデント分析のメリット

(雑談記事です) 既に2019年が始まってしばらく経ちますが、ある人と話していて、何でインシデントを分析する必要があるの?と聞かれてふと考えてしまいました。 インシデント分析をやり始めて数年経ちますが、本格的にとなるとこのブログを書くようになっ…

暗証番号の紙は性善説では守れない

宅配ボックスからの盗難事件が増えているとの記事がありましたが、マンション管理組合がリスク管理が出来てない事が問題なのかなと思いました。 www.huffingtonpost.jp 宅配物が届いたときに不在でも、受け取ることができる宅配ボックス。その中から届いた商…

フィッシングは更に悪化していく

研究熱心なホワイト側の方は時にしてブラック側になってしまう。まるでスターウォーズのダースベーダーの様な記事が出ていました。 www.zdnet.com セキュリティ研究者によって今年の初めに公開された新しい侵入テストツールは、かつてないほど簡単にフィッシ…

学研の広報対応

学研は子供の頃にお世話になっており、信頼できる会社というイメージがありましたが、下記の記事を読むとセキュリティへの感度は弱いのかも知れません。 www.security-next.com 学研プラスが運営する電子書籍配信サイト「Beyond Publishing」が不正アクセス…

WindowsXPは隠れている

OSシェアから見るとWindowsXPが3ヶ月連続で何故かシェアを増やしているのはノーガード戦法なのでしょうか。 news.mynavi.jp Net Applicationsから2018年12月のデスクトップOSのシェアが発表された。2018年12月はMac OSとLinuxがシェアを増やし、Windowsがシ…

根岸さんのインパクト

1月2日の記事のアクセスに根岸さんのインフルエンサーとしての大きさを感じました。発端は昨日のTwitter(だと思います)。にゃん☆たくさんと、根岸さんが記事を評価してくれていました。 アクセス推移を見ると、1日で2,469アクセスあった事が分かります。普…

東京五輪でのドローン攻撃

ドローンで成功した攻撃事例が出てしまったなという印象です。 japan.zdnet.com ガトウィック空港は19日夜、ドローンが近くに飛来したことを受け、24時間以上にわたって閉鎖された。その後、21日朝になって再開されたが、再びドローンが目撃されたため、また…

OWASP TOP10 IoT版がリリース

ぼーっとニュースを見ていて、年末にOWASP TOP10 (IoT版)が12月30日にリリースされていたのに気づきました。日本語の記事を見つけられませんでしたが、正月休み等の長期休暇にはマスコミ、セキュリティ関係者の感度が極端に落ちる日本市場らしい気がします…

パスワードを100回試行

新商品の紹介で「?」と思う所がありました。(そういうものだと知りませんでした) internetcom.jp USB 3.1 Gen 1(USB 3.0)/2.0準拠。データの保存領域を、設定したパスワードで強制ロックできる。不正アクセス防止のため、パスワード入力に100回連続失…

組長も狙われる時代

気になるローカルニュースがありました。 jp.reuters.com 兵庫県姫路市に拠点を置く指定暴力団神戸山口組系傘下組織の組長が、姫路市内の自宅マンションから数百万円を盗まれたという通報が兵庫県警にあったことが3日、捜査関係者への取材で分かった。県警…

セキュリティトレンド2019

2019年はどんなサイバーセキュリティトレンドとなるのでしょうか。海外の専門家がどんな事を懸念しているのかを少し調べてみました。 www.computerworlduk.com Computerworld UKは、IoTのボットネットが進化すると予想しています。今は仮想通貨マイニングの…

リスクアセスは目をつぶってはいけない

年始の記事を書くために調べていて気づきました。またクレジットカード情報が漏洩していた様です。 ■公式発表 クレジットカード情報流出についてのお知らせ | サンワ食研 温効生姜オンラインショップ 1.流出の可能性のある期間2016 年 11 月 14 日から 2018 …

私のセキュリティ情報収集法を整理してみた。

年始にここ2年程、更新している『私のセキュリティ情報収集法』ですが、今年も少し書いてみます。 ※私の方法はpiyokangoさんの次の記事を受けて試行錯誤しているものであり、必ずしも全ての方に向いている情報収集のやり方ではないかと思います。 私のセキュ…

謹賀新年

2019年、明けましておめでとうございます。4ヶ月ちょっとしかない平成31年はどんな年になるでしょうか? セキュリティという視点で(主に)ブログ記事を書いてきていますが、2018年で考えると、正直取り上げたい出来事や事件が多すぎて手が廻らなかったなぁ…

PayPayは金融の洗礼を受ける

年末までこんな記事を書いてなくても・・・と思わなくはないのですが、PayPayは多くのセキュリティ専門家の方が取り上げた”事件”だったので、その対応策について考えてみたいと思います。 www.itmedia.co.jp ■公式発表 3Dセキュア(本人認証サービス)の対応…

非保持は来年も狙われる

カード情報非保持を狙った攻撃。ECサイトは狙われている存在である事を今一度思い出すべきかも知れません。 www.nikkei.com ■公式発表 不正アクセスによる個人情報流出に関するご報告とお詫び 電子書籍などのデジタルコンテンツを扱うマーケットプレイス「DL…

カナダのパーキングシステムのデータ侵害

サードパーティのソフトウェアが大規模データ侵害を起こすケースは日本でも海外でも同じかも知れません。 nationalpost.com NB、セントジョン州の6,000人もの人々が個人情報を公開されている可能性があるとアナリストグループは述べた。システム。 同市は、C…

2要素認証も中間者攻撃に要注意

海外のセキュリティ専門家が多数反応していた、2要素認証(SMS)に対する攻撃キャンペーンの記事を取り上げます。thestack.com Amnesty Internationalは、中東から北アフリカの人権活動家やジャーナリストを狙った複数の認証情報フィッシングキャンペーンを…

グローバルトップ企業はセキュリティ担当役員を重要視してない

気になる記事がKrebs on Securityに挙がっていました。 A Chief Security Concern for Executive Teams — Krebs on Security KrebsOnSecurityは用のWebサイトを見直し グローバルトップ100企業の 市場価値によって、見つかった 最高情報セキュリティ責任者(…

マイナンバーは漏洩し続ける。

またマイナンバー情報の入力が不正に再委託されていた事が報じられていました。 mainichi.jp 両国税局から委託されていた会社はシステムズ・デザイン(東京都杉並区)。両局が企業から提出を受けた、給与や住所、氏名、マイナンバーが記載されている源泉徴収…

Caribou Coffeeのデータ漏洩

先週末で年内中の大きな締め切り仕事の山を越えたので、ようやく海外記事を読む気力がでてきました。日本ではあまり報道されてない漏洩事件も発生していたので取り上げてみます。 www.adweek.com Customer data was stolen from more than 200 Caribou Coffe…

兵庫教育大学の脆弱点

大学の情報は狙われている。その認識が当の大学側に希薄なのは残念です。兵庫教育大学からの個人情報流出は、大学側の危機感の無さを改めて考えさせられます。 www.kobe-np.co.jp 兵庫教育大学(本部・兵庫県加東市)は17日、40代の男性事務職員が業務用…

プールに見るリスク管理

プールの水栓閉め忘れは、リスク管理の教材となりそうです。 www.asahi.com 神奈川県綾瀬市は17日、市立綾西小学校で10月にプールの給水栓を19日余り、閉め忘れたため、約4千立方メートルの水道水が流出し、同月の上下水道料金が約116万円になった…

サプライチェーンは日本でも弱点

サプライチェーンが狙われている。この事実は日本企業も真剣に考える必要があるかも知れません。 www.sankei.com 米紙ウォールストリート・ジャーナル(電子版)は14日、中国のハッカーが過去約1年半にわたって米海軍の請負業者のコンピューターシステム…

カード情報非保持はゴールではない

カード情報非保持のECサイトからまたカード情報が漏えいしました。 www.security-next.com 銀座ウエストオンライン通販サイトが不正アクセスにより改ざんされ、クレジットカード情報を詐取する偽ページがサイト内に設置されていたことがわかった。一部顧客の…

Twitterは異常検知の役割も果たす

誰でも音楽を売る事ができるBeatStarsへの不正アクセスにより、危なく全てのファイルを削除されそうになっていたとZDNetが報じてました。 www.zdnet.com BeatStars, a marketplace for selling music production beats, has disclosed a security breach tod…

ダイドードリンコの不正アクセス

ダイドードリンコの不正アクセスによる個人情報閲覧が報じられていました。 www.security-next.com 11月21日に不審なメールが届いたとの連絡が外部から寄せられ、調査したところ、ダイドードリンコが新卒採用活動で使用しているメールアカウントが関係ない第…

最悪のパスワード2018

今年もこの季節がきました。SplashDataの発表する年次の最悪なパスワード。残念ながら状況がほとんど変わってない事を確認する行事となりつつあります。 www.businessinsider.jp 1 123456 (-) 2 password (-) 3 123456789 (+3) 4 12345678 (▲1) 5 12345 (-) …