Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

通販サイトのアカウント情報登録に公用/会社アドレスを使わないで

テレビ朝日の4月3日ニュースで、中央省庁の職員約2000名分のメールアドレスが流出していると報道されていました。 news.tv-asahi.co.jp 内閣サイバーセキュリティセンターによりますと、各省庁の職員が通販サイトなどに登録した公用のメールアドレスが流出し…

重要書類はシュレッダーしてから廃棄すべき

毎日新聞4月4日記事に国交省が重要書類を紛失してしまった件が出ていました。 mainichi.jp 国土交通省は4日、大阪航空局と気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたと発表した。国交省は散乱文書を回収したが、個人情報が書…

田舎の観光協会すらとりあえず狙われる時代

毎日新聞の4月7日記事に忍野村観光協会のサーバに不正アクセスがあった件が取り上げられていました。 mainichi.jp ■公式発表 忍野村観光協会HP (事件に関する直接の発表は見当たらず) 事件の状況 忍野ムラ観光協会のサーバへの不正アクセスにより、同協会…

ポルシェの不正アクセス最終報告

ポルシェ ジャパンが2月26日に公表した不正アクセス事件についての最終報告を4月9日に公表しました。 www.porsche.co.jp ■公式発表 不正アクセスによるお客様情報の流出に関するお詫びと調査報告の最終報告(4/9) 不正アクセスによるお客様情報の流出に関す…

プレミアム・アウトレット会員情報漏えい事件

日経xTECHの4月6日にプレミアム・アウトレットの会員情報が漏えいしている件を報じました。 tech.nikkeibp.co.jp 三菱地所・サイモンが運営するショッピングモール「プレミアム・アウトレット」の会員情報と思われる約43万件のデータが、海外のストレージサ…

九州商船の最終報告書が勉強になる

九州商船が1月にWeb予約システムへ不正アクセスを受けた件で3/30に最終報告書を出た旨、Zdnetに記事が出ていました。japan.zdnet.com 弊社WEB予約サービスに対する不正アクセスに関する最終報告|九州商船 結局1月から3月5日までWeb予約システムを止めなけれ…

ディズニーのTLS対応(PCI DSS)

Disney.JPサイトでTLS1.1以下の対応について発表されていました。 www.disney.co.jp このたび、インターネットで通信内容の保護に使用する暗号化方式「TLS1.0」および「TLS1.1 」において脆弱性が発見され、保護すべき通信内容の一部が漏えいする可能性があ…

Panera Breadが脆弱性を8ヶ月放置した結果

ITmediaの4月4日記事に、米国やカナダで2100店舗以上を展開するベーカリーチェーンのPanera Breadからの個人情報漏えいが取り上げられていました。 www.itmedia.co.jp ■公式発表 現在サイトを閉鎖している様で公式情報が見当たりませんでした。 事件の状況 …

オービッツはサードパーティ経由で情報漏えい

Expedia傘下の旅行予約サイトのオービッツがハッキングを受け、最大88万件の決済データが漏えいした可能性があると発表しました。 www.travelvoice.jp ■公式発表 INFORMATION ABOUT ORBITZ DATA SECURITY INCIDENT 事件の状況 旧ウェブサイトがハッキング被…

信頼ネットワークは狙われている

ロイターの3月29日記事に、マレーシア中央銀行がSwift経由の不正送金攻撃の試みを止めた件が報道されていました。 www.reuters.com 記事によると、不正送金の攻撃は3月27日に発生し、Swiftバンクメッセージネットワークに対し、不正送金のリクエストがあり、…

ギャンブルと内部不正

日経BPの3月28日記事に、パチンコ店の不正に関する内容が出ていました。内部不正という意味で興味深かったので取り上げてみます。 business.nikkeibp.co.jp べラジオ「サクラ」疑惑の概要 パチンコホールを運営するべラジオコーポレーションはべラジオ横堤店…

Saks Fifth AvenueのPOS侵害はフィッシングから?

米国のSaks Fifth Avenue等の高級百貨店を展開するHudson's Bay Company(HBC)が4月1日に米国の一部店舗で使われた決済カードデータが漏えいした件を発表しました。この件について少し調べてみました。 www.itmedia.co.jp ■公式発表 Saks Fifth Avenue - FAQ …

スパムだけでないメールアドレス漏えいの影響

ビジネス+ITの3月19日記事に役に立ちそうなサイト情報がありました。 www.sbbit.jp 下記のサイト(Have I Been Pwned)が自分のメールアドレスが過去に商用サイトから漏えいしたメールアドレスかどうか判別してくれます(漏えいしている情報を元にしたDBを…

ガスメータの集中管理

新しいマンション(賃借)が建っていたので、最近のマンションは綺麗だなぁと見ていたのですが、ガスメーターがこんな感じになっていました。 検針する方々(いつもお疲れ様です)にとっては楽だろうなぁ、と思った反面、道路に面している所にこのメータ群が…

委託先企業のセキュリティは無条件に信じてはいけない。

IPAの調査結果を見ると海外企業が考えているセキュリティと日本企業のソレに差分を感じました。 japan.zdnet.com ◆調査結果(IPA) 「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書について:IPA 独立…

東京の安全でない公衆無線LANは必要なのか?

レコードチャイナの3月22日の、東京の公衆無線LANの安全性についての記事は深刻に受け止める必要があるかもしれません。 www.recordchina.co.jp 2018年3月21日、在日本中国大使館は日本で生活を送っている中国系や日本を訪れた中国人観光客に対し、都内の公…

ゲーム感覚の軍隊

Gizmodeの3月23日記事に、米国海軍の最新鋭潜水艦の一部機器操作に「XBOX」のコントローラーが使われているとの内容がありました。 www.gizmodo.jp 使われる箇所は、潜望鏡の代わりに使われる「フォトニクスマスト」という部分で、以下の点でXBOXコントロー…

Under Armour子会社の会員サイトから1.5億件のデータ漏えい

下着メーカーで有名なUnder Armourが3/29に食べ物と栄養のアプリケーションとWebサービスを提供する「MyFitnessPal」でユーザ情報が漏えいしたと発表しました。 mainichi.jp ■公式発表 Under Armour Notifies MyFitnessPal Users Of Data Security Issue (NY…

産総研の北風ガバナンスは吉と出るか?

産総研が、3月26日付けで不正アクセス事件後で(多少は関連すると思われる)1職員を懲戒処分した旨を発表しました。 2月13日に発表があった、産総研の不正アクセス事件についてウォッチしているのですが、気になるお知らせが出ていたので、つぶやいてみます…

東京五輪のサイバー攻撃対策は公開する必要があったのか?

産経ニュースの3月22日記事に、東京五輪のサイバー攻撃対策の内容が記載されていました。 www.sankei.com きっと私は考えすぎ・・・と言われるかも知れませんが、 政府のまとめた「2020年東京五輪・パラリンピックを見据えたサイバー攻撃への対策」のリ…

ランサム支払いしても復旧は5割

3月13日のニッポン消費者新聞に、英国のランサム被害事情が載っていました。 www.jc-press.com 2017年に行われた世界1176社を対象とした調査によると、身代金を支払わずにデータ復旧ができた企業は53.8%、支払わなかったがデータ損失となった企業が8%あっ…

サードパーティ管理はやはり難しい

3月16日のニコニコニュースに中国でのiCloudからの個人情報漏えいに関する記事が載っていました。 news.nicovideo.jp 先月28日、20代の男性が今回のデータ移管についてAppleへ電話で問い合わせたところ、スタッフの態度が悪かったことから口論に発展したとい…

高校1年生が出し子になる時代

産経ニュースの3月16日記事に、オレオレ詐欺で高校1年生が逮捕された事が載っていました。 www.sankei.com 逮捕容疑は、何者かと共謀し、金融庁職員を名乗って結城市の女性(78)に「キャッシュカード情報が漏れている可能性がある」などと電話。14日午…

フューチャーアーキテクト社の営業秘密持ち出し事件を調べてみた

日経新聞が3月8日にITコンサル元役員が競合先企業に営業情報を漏えいされた疑いで逮捕されたとの記事を掲載していました。 www.nikkei.com ■公式発表 本日の当社元社員に関する報道について (フューチャーアーキテクト社) 当社元従業員の逮捕について (ベイ…

熊本県サイト個人情報流出事件を考えてみた。

熊本日日新聞3月20日記事に、熊本県の情報サイト「気になる!くまもと」の不正アクセス事件が載っていました。 this.kiji.is ■公式発表 熊本県メールマガジン「気になる!くまもと」のウェブサイトへの不正アクセスに関するご報告 / 熊本県 事件の状況 熊本…

日本の大学は攻撃対象の認識があるか?

産経デジタルの3月24日記事にイランからのサイバー攻撃でテヘランにあるMabna研究所に関連する9人のイラン人が起訴された件が載っていました。 www.iza.ne.jp 米国の大学144校が襲われたんだ・・・と記事を流し読みしていたのですが、320校の全世界の大学の…

英国National Lotteryの不正アクセス事件

DailyMailに英国の「National Lottery」が不正アクセス被害を受け、1050万人の登録プレイヤーに対してパスワード変更を促したとの3/16の記事がのっていました。 www.dailymail.co.uk National Lottery(国営宝くじ)はCamelot Groupによって運営されており、…

IPAの個人情報漏えい発表は実は試験問題にするため!?

ITパスポート試験のサイトで2つの団体申込者が同時にCSVファイルリクエストをかけたところ、二つの団体の情報が合わさった情報がそれぞれのファイルに落ちるという、あまり最近では聞いた事がない個人情報漏えいの発表がIPAから3月13日にありました。 tech.…

北京の顔認証メガネ

Business Insiderの3月14日記事に顔認証グラス実証が報じられていました。中国ではハリウッド映画の世界がもうすぐ現実のものとなりそうです。 www.businessinsider.jp スマートグラスの活用という点では各国で考えられているものと思いますが、こうした国規…

JJ Medsの脅迫メール対応に漢を感じた

カナダで医療用大麻の配送サービスを行っているJJ Medsが脅迫メールを受けたとの投稿がCanadianMOM!に掲載されていました。 投稿内容(=脅迫内容=下記参照)をざっくり書くと、こんな感じでしょうか。 JJMedsの保有するイメージファイルへのアクセス権を(…