Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Amazonのレビュー評価の信頼性

アマゾンの内部不正が調査中とのWSJのスクープ記事が出ていました。 jp.wsj.com アマゾンの従業員が、主に仲介業者を通じて機密情報を外部に提供していることが分かった。これらの情報はアマゾンで製品を販売する独立業者にとって強みになる。データの売り込…

テスラ車はセキュリティの戦場になっている

テスラ・モデルSの脆弱性がまたホワイトハッカーによって暴露されたようです。 gigazine.net ベルギーにあるルーヴァン・カトリック大学のCOSIC(コンピューターセキュリティと産業暗号)研究チームが、テスラのモデルSのキーレスエントリーシステムを数秒でハ…

ドコモのdポイント不正は弱い輪を狙われた

ドコモのdポイント不正により、3万5000枚のdポイントカードが不正利用された可能性があるとして利用停止となりました。この攻撃を受けたとして非開示であった加盟店はローソンの様です。 k-tai.watch.impress.co.jp 不正利用の声を受けて進めた調査では、ド…

ベネッセの顧客情報漏えい事件を振り返る

ベネッセ事件がひとつの区切りを見せた記事が出ていました。 www.sankei.com ベネッセコーポレーションの顧客情報流出事件で、持ち株会社のベネッセホールディングスが巨額の損失を出したとして、東京都内に住む男性株主が、原田泳幸元会長や当時の役員ら6…

スクリーンセーバーは語る

先日、海外のセキュリティ担当の方とお話する機会がありました。その時に盛り上がったのが、意外にもスクリーンセーバの話でした。 その方は、外部企業の監査もされているのですが、脆弱性がある古いOSを短時間の監査で見つけるには、端末のスクリーンセーバ…

IoT機器はリモートアクセスさせる必要性を考えるべき

マイナビニュースに、Nakedsecurityの記事が出ていました。 news.mynavi.jp インターネットに接続された数千台の3Dプリンタが遠隔から悪用できる状況になっていると指摘した。 こうした3Dプリンタからは過去の印刷データを窃取することができるほか、細工さ…

脆弱なパスワードは蔓延している

西オーストラリア州政府の職員だけが、脆弱なパスワードを使っている・・・とは思えないのですが、tboの記事に気になる事実が載っていました。 www.tbo.com The legions of lazy passwords were exactly what you — or a thrilled hacker — would expect: 1,…

個人監視アプリが秘密情報を漏洩していては・・

Krebs on Securityの記事が元の様ですが、Gigazineの記事が気になりました。 gigazine.net モニタリングアプリを提供する「mSpy」が、有料顧客数百万人分のパスワード・通話記録・メッセージ・連絡先・位置情報などを流出していたことを明らかにしました。mS…

British Airwaysのカード情報流出は深刻かも知れない。

British Airwaysの情報漏えい事件、日本でも報じられていましたが、漏洩原因を考えるとかなり問題が拡大する恐れがあり、英国内を中心に色々なコメントが出てきています。 www.itmedia.co.jp ■公式発表 ◆キタきつねの所感 ウェブサイトとモバイルアプリが8/2…

日本企業16億件の『パスワード流出』はミスリードではないか?

日本を代表する企業グループ、ソニー、トヨタ、東芝などからメールアドレスとパスワードが漏洩している可能性があるとの日経ビジネスのスクープ記事について、少し騒ぎすぎかな・・と思います。 business.nikkeibp.co.jp ◆キタきつねの所感 ※以下、日経ビジ…

SOKAオンラインサイトのカード情報漏えい

聖教新聞のSOKAオンラインサイトからクレジットカード情報が漏洩していたとカード会社が発表していました。 www2.uccard.co.jp ■公式発表 このたび、SOKAオンラインストアにてクレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレ…

日本はセキュリティの専門家を6割以上失ったのか?

ZDNetで情報セキュリティ国家資格「情報処理安全確保支援士」が1.7万人を超える見込みと報じていました。 japan.zdnet.com ◆キタきつねの所感 9月4日のIPA資料を見ると、新制度の情報セキュリティスペシャリスト(SC)合格者の累計が、2.7万人であるようです…

読者投稿こそ真実が眠っている?

カミアプの読者投稿記事がなかなか興味深いものでした。 www.appps.jp 自分の観測範囲だとネットを制限している企業ほど情報漏洩事故を起こしている。事故の再発防止で厳しくしていったんだろうが、でも報道発表資料読むとパソコン使えないので紙に印刷して…

チャリティ詐欺は人の脆弱性を突く

マイナビニュースに気になる記事がありました。 news.mynavi.jp 偽「国境なき医師団」による個人情報収集に注意 NGO団体「国境なき医師団」の関係者を装って、金銭をだまし取る詐欺が確認されている。今回の案件では、同団体の医師を騙って偽の投資を勧誘し…

日本語版BECが進化していきそう

IPAが日本語版のBEC(ビジネス詐欺メール)について注意喚起を出していました。 www.sankei.com ■IPAの発表 注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(続報) 国内企業の最高経営責任者(CEO)を装い、社内の担当者に送金を促す日本語…

店舗従業員によるクレジット情報窃取

Security Nextにセキ薬品の内部不正のニュースが出ていました。 www.security-next.com ■公式発表 弊社 愛宕店 元従業員によるお客様情報の不正利用について 同社によれば、ドラッグストアセキ愛宕店で3月1日から5月21日にかけて、クレジットカード決済を利…

例外運用はセキュリティホールになりやすい

モスバーガーの北海道でのFC店舗展開をしているフジタコーポレーションが個人情報を意図しない形で公開していたと発表してました。 www.security-next.com ■公式発表 個人情報閲覧の可能性に関するお詫びとお知らせ 2. 経緯 2018年8月29日(水)18時56分にモ…

エアーカナダの不正アクセス

エアーカナダのモバイルアプリが不正アクセス被害を受けた可能性があるようです。 www.itmedia.co.jp ■公式発表 Notice to Air Canada Mobile App users カナダの航空会社Air Canadaは8月28日、同社のモバイルアプリに対する異常なログインの挙動が検出され…

高い所の窓拭き

高い所の窓拭きは梯子を使ったり、ビルのように上から紐つけて、あるいはゴンドラで降りてきて拭くものんかなと思っていたのですが、とある商業施設ではこんな道具を使っていました。 ◆キタきつねの所感 Amazonで調べてみると・・・、5m位だと、商品あるん…

チコちゃんに叱られそう

もう9月1日ですね。社会人となって電車が混むな位しか感覚がありませんが、2018年も残り4ヶ月となった事となります。と・・書いていて、お盆休みにビデオチェックしていたNHKで一部に根強い人気がある番組、チコちゃんに叱られる!が頭をよぎりました。 www4…

ソーシャルハッキングは防ぎきれないのか?

Wiredの8/17記事を読んで色々と考えさせるところがありました。 wired.jp ハッキング集団の「Fin7」は、ある推計によると少なくとも10億ドル(約1,100億円)以上[日本語版記事]を世界中の企業からかすめ取ってきた。米国だけでも3,600を超える店舗から1,50…

セキュリティチェーンは性善説

サプライチェーン攻撃に対して日本企業の動きが鈍いとの記事が日経BPに出ていました。 tech.nikkeibp.co.jp 大企業のサイバー攻撃対策が万全でも、取引先の対策に不備があれば、管理を委託した顧客情報が流出したり、取引先を経由して自社のシステムに侵入さ…

Cheddar Scratchの情報漏えい事件

米国東海岸を中心に展開するレストランチェーンCheddar's Scratch Kitchenがカード情報を漏えいした可能性があるとロイターが報じていました。 www.reuters.com The Olive Garden owner said its systems and networks were unaffected by the incident, as …

四国電力への不正アクセス

四国電力の会員制サービスがパスワードリスト攻撃の被害を受けたようです。 r.nikkei.com ■公式発表 よんでんコンシェルジュへの不正アクセスによるポイント交換について 当社の会員制Webサービス「よんでんコンシェルジュ」において、昨日、第三者が何ら…

逃げる容疑者はどこに?

大阪府警富田林署から”脱走”した樋田容疑者、記事を書いている8/25時点ではまだ見つかっていませんが、どこに居るのでしょうか? www.jiji.com ◆キタきつねの所感 まだ逃走が出来ている事について(どうして逃走が成功しているのか)興味深いものがあります…

セキュリティの6S

マンションらしき建築中の建物に、6S運動の表示がありました。多田建設の現場のようでした。 ◆キタきつねの所感 トヨタがカイゼン活動の柱として導入したと言わる5Sは良く聞くのですが、6Sでは「習慣」が追加されていました。PDCAの観点では、確かに「習…

場所を秘匿にするのも機密管理

ニュースチェックをしていて、自衛隊のサイバー防護隊の記事を見つけました。 jp.reuters.com 防衛省・自衛隊は陸上自衛隊西部方面隊(熊本市)に、サイバー空間への攻撃に対する防御を専門とする部隊「方面システム防護隊(仮称)」を本年度内に新設する方…

16歳の就職活動

Appleのサーバがオーストラリアの16歳ハッカーにハッキングを受けていたようです。 www.itmedia.co.jp オーストラリアのメルボルンに住む16歳の少年がAppleのサーバをハッキングし、顧客情報と、90GB以上もの秘密ファイルをダウンロードしていたことで逮捕さ…

AIの判断は咀嚼が必要

中国メディアがAI分析結果として、日本経済の不振を40代男性の非婚率が原因と導き出したと環球時報が報じているようです。 news.livedoor.com AIの思考回路に従えば、一定の道理があるといえる。AIの考える筋道はこうだ。「40歳の男性がいて、一般的に20年近…

悪玉ドローンor悪玉大統領?

ドローンを使った暗殺未遂事件、心配されていたドローンを使ったテロというのも現実性を帯びてきたのかも・・・と当初は思ったのですが、違った展開を見せ始めています。 mainichi.jp 政権側の発表によると、容疑者のうち1人は、兵士2人が死亡した2017…