Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

カリフォルニア州はプライバシーを尊重する

警察官や政府関係機関の生体監視システムに関して、カリフォルニア州上院は使用禁止の法案を可決した様です。 threatpost.com カリフォルニア州上院は、顔認識を使用するボディカムの法執行機関による使用を禁止する法案(22〜15票)を可決しました。 (中略…

面前決済をしない高級ステーキ店の責任も重い

この事件は、単に悪さをした外国人が逮捕されたという内容だけでなく、カード決済が抱える様々な問題が凝縮されていると見る事が出来るかも知れません。 www.sankei.com 東京都千代田区の高級ステーキ店でアルバイト中、利用客の精算時にクレジットカード情…

JTAS StoreとNaturas Psychos Productを調査中(EC-CUBEユーザでした

出張中につき、記事を仕上げられないので仮記事としてUPします。9/17に2件のカード情報漏えいが発表されていました。簡易調査ではいずれもEC-CUBEユーザです。 www2.uccard.co.jp www2.uccard.co.jp 魚拓サイトで、EC-CUBEの痕跡を確認しましたが、加工して…

ビジネス詐欺はメールだけではなくなった

予想されていた事とは言え、ビジネスメール詐欺(BEC)は既にメールだけを警戒すれば良い時代ではなくなりつつある様です。 japan.zdnet.com 犯罪者が、人工知能(AI)で生成した音声を利用し、企業の最高経営責任者(CEO)の声をまねて部下をだまし、資金を…

政治的発言には注意が必要

記事を読んでいて米国の入国審査はここまでチェックしているのかと少し驚きました。レバノンからハーバード大学へ入るはずだった新入生がSNSへの投稿が元で入国を拒否されたと報じられていました。 www.washingtonpost.com イスマイル・B・アジャウィは、金…

充電ケーブルがリスクに

充電ケーブルの安全性について気になる記事がForbesに出ていました。 forbesjapan.com ラスベガスで先日開催されたハッキング会議「DEFCON(デフコン)」(ヘンダーソンは「ハッカーのサマーキャンプ」と呼んでいる)では、「MG」というニックネームのハッカ…

ペンはキーボードより強し

米国コロラド州デンバーのレジス大学がサイバー攻撃に苦しんでいる様です。 www.denverpost.com デンバーのレジス大学での法医学調査では、金曜日に私立大学の技術システムが国外からの「悪意のある脅威」によって攻撃されたことが確認されました。 「この問…

マグちゃんオンラインショップもEC-CUBE

EC-CUBEユーザからのクレジットカード情報漏洩事件はいつになった落ち着くのでしょうか。マグネシウムで日本一を目指している宮本製作所がカード情報を漏洩していた可能性があると発表しました。 www2.uccard.co.jp ■公式発表 【重要】クレジットカード情報…

キャッシュレス普及が遅れた理由はクレジットカードか?

専門分野がPCI系なので毎日新聞の記事は興味深く読みました。 mainichi.jp カード大手JCBが2018年に20~60代を対象にした調査では、クレジットカード保有率は84%で1人平均3.2枚を持っていた。一方、日本クレジット協会の17年調査では、消費に占めるカード決…

ビバリーもEC-CUBE

カード漏洩事件がまたSecurity Nextで報じられているのに気づきました。EC-CUBEの記事ばかりで飽きている方も読者の方には多いかも知れませんが、、記事を書きたいと思います。 www.security-next.com ■公式発表 弊社が運営する「ビバリーホームページ」への…

GEKIROCK CLOTHINGもEC-CUBE

またEC-CUBEだった様です。ロック系ファッショングッツ販売の「GENKIROCK CLOTHING」がカード情報を漏洩したと発表してました。 www.security-next.com 同サイトを運営する激ロックエンタテインメントによれば、同サイトが不正アクセスを受けて改ざんされた…

トヨタ紡績はJALを超えた

ビジネスメール詐欺にひっかかる企業・・・実は多いのかも知れません。トヨタ紡織が40億円の資金不正流出被害に遭った事を発表しました。 www.nikkei.com トヨタ紡織は6日、ベルギーの子会社「トヨタ紡織ヨーロッパ」で、外部の第三者による虚偽の指示によ…

ペット写真は飼い主情報も漏れているかも知れない

ペット写真のSNS等での取り扱いは人間と同じで慎重さが求められるのかも知れません。 forbesjapan.com 愛するペットの写真を連日のようにSNSに投稿する人は多い。しかし、ウェブでシェアした写真から、プライバシー情報が盗まれる危険について知る人は少ない…

SUWADAオンラインショップもEC-CUBE

またEC-CUBEだった様です。新潟の高性能ニッパー等の製造をしているSUWADAオンラインショップからカード情報が漏洩したと発表されていました。 www2.uccard.co.jp 1. 経緯2019 年 4 月 15 日、弊社が運営する「SUWADA オンラインショップ」において不正アク…

ちょうどよい塩梅が難しい

リクルートのCSIRTの記事が出ていました。残念ながらこのセミナーには出られませんでしたが、記事を読むと直接聞きたかったと思える内容でした。 japan.zdnet.com 投資額とリスクのちょうどいい“あんばい”を決める 鴨志田氏は、CSIRTの行動指針を3つ定めた。…

7Payの失敗はCISOを定着させるか?

JBPressの7Payの記事がよく事件背景がまとまっていました。しかし提言の部分にはちょっと違和感があったので少し考えてみます。 jbpress.ismedia.jp 4.提言 (1)適任者に求められる資質 では適任者とはどのような人物なのか。セキュリティビジネスには通…

全米歯科医院へのランサム攻撃

ランサムは依然として脅威であるのですが、WannaCryの様に多くの端末を狙った攻撃だけでなく、業務サービス提供を行うサードパーティを狙った攻撃によってランサムが拡大する、日本の医療系でも将来起こり得るのではないでしょうか。fox6now.com WEST ALLIS-…

SNSの外部連携設定を見直そう

有名人のTwitter、Facebook、インスタグラム等のSNSアカウントは攻撃対象になりやすい。しかし2要素認証を入れていても影響を受けてしまう事もある、このニュースはその事実を改めて認識させてくれました。が、その件についてはpiyokango氏が既に記事を書か…

本番データはテスト環境に使ってはいけない

セキュリティ関係者の方であれば、「ライブ(本番)データの取り扱い」には十分な気を付けなければいけないという事は常識といっても過言ではないかと思いますが、個人情報を取り扱う組織・運営受託する企業担当者には・・・必ずしも常識となってないところ…

利便性重視が引き起こす事故

雨後の筍の仮想通貨取引所には厳しい時代になったともいえるのかも知れませんが、テックビューロが廃業すると発表したのは、利便性重視の結果、あるいは金融世界の洗礼だったのかなと思います。 www.sankeibiz.jp ■公式発表 弊社仮想通貨交換業の終了に伴う…

量子暗号

政府の量子暗号導入の動きは、セキュリティを考えると必要な事だと思います。2025年の実用化に向けて予算がつきそうです。 jp.reuters.com 政府が、機密性の高い情報をサイバー攻撃から守る、解読困難な「量子暗号」と呼ばれる次世代技術の研究開発を加速し…

ビジネスメール詐欺にはゼロトラストが必要

ビジネスメール詐欺(BEC)がカナダの自治体で成功した様です。カナダのサスカトゥーン市で約8300万円の被害が出たと報じられていました。 www.afpbb.com カナダ西部の草原地帯に位置するサスカチュワン(Saskatchewan)州サスカトゥーン(Saskatoon)の自治…

Hy-Veeからのカードデータ漏洩

米国の中西部でスーパー等を展開するHy-Veeから漏洩したカード情報がDarkWebで販売されているとKrebs on Securityで報じられていました。krebsonsecurity.com 今週の火曜日に、ハッキングされた商人から盗まれたクレジットカードやデビットカードのデータを…

JIMOSもEC-CUBE

JIMOSが運営する3サイトに対して不正アクセスによるカード情報漏洩の懸念が発表されていました。 netshop.impress.co.jp 化粧品通販JIMOSは8月22日、運営するECサイト(マキアレイベル、Coyori、代謝生活CLUB)が不正アクセスを受け、顧客情報の一部が流出…

スマホアプリがリスト型攻撃の主戦場となる

大手のカード会社であっても、隙があれば襲われる時代になったと感じるニュースでした。三井住友カードもリスト型攻撃を受けてしまったと報じられていました。 www.nikkei.com 三井住友カードは23日、会員向けスマートフォンアプリ「三井住友カードVpassアプ…

小嶋屋もEC-CUBE

新潟のへぎそばで有名な小嶋屋総本店の通販サイトもカード情報を漏洩したと発表していました。 www2.uccard.co.jp ■公式発表 「小嶋屋総本店ショッピングサイト」への不正アクセス発生についてのご報告とお詫び 1、漏洩の可能性のある期間 2015年12月9日から…

警察も内部脆弱性診断をした方が良い

警察の失態がまた発生したか、とぼーっとニュースを見ていたのですが、警察病院とは言え5階から逃走が出来てしまうのは少し驚きました。 www.sankei.com 警視庁に窃盗容疑で逮捕された後、けがの治療のため釈放された韓国籍の60代の男が18日午前、入院…

くら寿司のバイトテロ続報

バイトテロ・・・現在は下火ですが、また1-2年もすれば出てくるかも知れません。一連のバイトテロの中でも多く取り上げられていた「くら寿司」の件について続報が出ていました。 www.jprime.jp 「実際に訴訟に至ったケースは今のところほとんどありません。…

HARIOもEC-CUBE

お盆休み中は1件も出て無かったかと思いますが、新たにまたカード漏洩事件が発表されていました。 www2.uccard.co.jp ■公式発表 弊社が運営する「HARIOネットショップ」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 5月8日に、一部のカード…

危険なパスワードは7割変更されない

Googleが今年2月にリリースしたChrome向けの拡張機能(無料です)であるPassword Checkupに関する記事が出ていました。大変興味深い調査データです。 japan.zdnet.com 危険なパスワードの使用について警告されたユーザーの26%がパスワードを変更し、新たに…