Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

つぶやいてみた。

スプリントへの迂回攻撃

この米国通信キャリア大手のスプリントへの不正アクセスも、サプライチェーン攻撃と言えるかも知れません。サムソンのサイトから不正試行が試みられた影響で(念のため)顧客のPINが初期化されたとForbesが報じていました。 forbesjapan.com 米国の通信キャ…

ビットポイントの暗号鍵管理

ビットポイントの記者会見の映像を見ていたのですが、調査中という事もあるので仕方がない事だとは思いますが、肝心の鍵暗号化鍵の管理について、回答が控えられていたのは少し残念でした。 www.itmedia.co.jp 約30億円相当の仮想通貨不正流出を起こした仮想…

ランサム攻撃への7つのステップ

ITGovernance Blogにランサム攻撃への7つのステップ(対策)記事が上がっていましたので紹介します。 www.itgovernance.co.uk 1.データをバックアップして攻撃に備える身代金の支払いを避け、壊滅的な遅れを避ける唯一の方法は、あなたがあなたの機密情報の…

空きポートを物理的に塞ぐ必要はあるのか?

日経Networkさんの7月号、あまり訳に立たない対策ではないかと考えてしまいました。 tech.nikkeibp.co.jp LANスイッチの空いているポートは、パソコンを勝手に接続され、LANを流れる情報を盗まれる恐れがある。また会議室などにある使われていないLANケーブ…

GDPR違反で年間売上高の3%の罰金

マリオットが傘下に収めたスターウッドが予約DBの侵害を受け、800万件のクレジットカード情報等が漏洩した事件で英国のデータ保護当局(ICO)がマリオットに対して9900万ポンド(約134億円)の罰金を科す見込みと発表されました。 jp.techcrunch.com 英国のデ…

中部電力の不正ログイン

中部電力の顧客向けサイトがパスワードリスト攻撃の被害を受けていた件が報じられていました。 www.sanspo.com ■公式発表 「カテエネ」における不正ログインについて 中部電力は12日、家庭向けインターネットサービスで不正ログインがあり、顧客の氏名や住…

APT攻撃でもGDPR罰金は250億円

英国のブリテッシュエアウェイズ(BA)が2018年に受けたサイバー攻撃に対するGDPR違反の罰金が約250億円になると報じられていました。 www.nikkei.com 英国の個人情報保護当局は8日、英航空大手ブリティッシュ・エアウェイズ(BA)から2018年に大量の顧客情…

大学のOffice365はまだ狙われている

7Payなど、大きな注目を集めるニュースに流されてネタを拾うのが大変なのですが、東北工業大学のクラウドメール侵害が出ていました。 scan.netsecurity.ne.jp ■公式発表 不正アクセスによる個人情報漏洩の可能性及び迷惑メール送信に関するお詫び 東北工業大…

退職者管理がおざなりになっていないか

退職した会社のIDとパスワードを不正に別な会社で使う事件で、不動産コンサルタントが逮捕されたとの報道がされていました。 www.youtube.com 退職した会社のIDやパスワードを使って登記情報に不正にアクセスし情報を得ていたとして、不動産コンサルタント…

7Pay記事の影響(アクセス数過去最高)

セキュリティ業界(リサーチャー)の諸先輩方から見れば、大した話ではないかと思いますが、7Payの記者会見の記事が当ブログの過去最高アクセス数をたたき出しました。 foxsecurity.hatenablog.com アクセス数が午前中の段階で1000を超えてたので、いかに世…

AWSは設定ミスを意識しなければならない

世界最大の企業にデータ管理、倉庫保管、複製サービスを提供するイスラエルのIT企業Attunityが、Amazon S3の設定不備があり、顧客の情報まで意図せず公開していたと報じられていました。 www.zdnet.com 漏洩しやすいAWS S3バケットには、Attunity自身の業務…

「日本人のためのパスワード2.0」

本日は、宣伝です。 日本プライバシー認証機構(JPAC)様とご縁があり、 昨日ホワイトレポート『日本人のためのパスワード2.0』をリリース頂きました。 ■ホワイトペーパーダウンロード ※JPAC様 ホームページ 過去に(本業の方で)自分の書いた原稿が世に出た…

7Payの緊急会見を読み解く

週末のニュース番組を見ていても、7Payの事件が繰り返し流されていて、週末ブロガー(※ほとんどの記事は週末に書いています)の私としても、取り上げなければならないのではないかと思い始めました。とは言え、既に多くの識者の方々が様々な観点から事件を分…

猿に破られるセキュリティ

沖縄こどもの国から脱走した14匹の猿が無事に捕まったというニュースに、セキュリティ検証の重要性を感じました。 www.okinawatimes.co.jp 29日は朝から立て続けに捕獲。最後まで逃げていた「おはぎ」(雄8歳)は同日午前11時35分ごろ、北中城村島袋…

防犯カメラは一体型へ

東急電鉄がIoTube導入を検討する様です。 news.livedoor.com 東急電鉄とソフトバンクは、LED蛍光灯一体型の防犯カメラ「IoTube(アイ・オー・チューブ)」を東急大井町線の車両に試験導入する。 「IoTube」は、Wi-Fiや4Gのデータ通信によってカメラ映像を送…

カード漏洩はビジネスを止める可能性がある

1日2件のカード情報漏洩事件発表というのは珍しいかも知れません。デジブックオンラインがカード情報漏洩を発表していました。(※なので珍しく1日2件記事をUPします) www2.uccard.co.jp ■公式発表 弊社が運営する「みんなのデジブック広場」への不正アクセ…

NOTICEの結果発表

2月から実施されていたNOTICEの結果が公開されていました。正直・・・もっと悪い結果が出ると思っていました。 www.soumu.go.jp ■実施状況の概要 IoT機器調査及び注意喚起の実施状況について ◆キタきつねの所感 あれ、こんなもんですか?と言うのが正直な感…

富洋観光開発のカード漏えい

またECサイトからのクレジットカード漏洩事件です。とは言え、漏洩原因が「Heartbleed」というのは意表を突いてました。 www.security-next.com 洋菓子や和菓子の通信販売サイト「見波亭」の旧サイトが不正アクセスを受け、顧客のクレジットカード情報が流出…

ベネッセが受けた信用損害

2014年に発生したベネッセ個人情報漏洩事件の影響が未だに尾を引いている事は、日本企業のセキュリティ投資に対する警鐘と考えた方が良いのかも知れません。 mainichi.jp ベネッセコーポレーションの情報流出事件を巡り、被害に遭った顧客らが損害賠償を求め…

日本はスパイ天国で居続ける

日本は自由すぎる国である事を、この記事を読んで改めて感じます。 www.epochtimes.jp 中国当局の情報機関に協力しスパイ活動を働く公職員や軍関係者を厳罰する「国家安全法」改正案が19日、台湾の立法院(国会)の第三読会(三読)を通過し、可決した。改正…

ランサム被害は保険で拡大していく

ランサム被害の現実的な対策として「ランサム(身代金)」を払うケースが増えてきている様です。海外の話ですが、ランサムビジネスが成立する様になると、日本でも攻撃が強くなる可能性を感じます。 japan.zdnet.com 米フロリダ州にある人口3万5000人の都市…

マルウェア感染端末予備軍の方も対策を急ぐべきではないか

2019年2月実施のNOTICE・・・を受けて?だと思いますが、追加対策として感染端末に対する取り組みが総務省から発表されました。 www.nishinippon.co.jp ■公式発表 マルウェアに感染しているIoT機器の利用者に対する注意喚起の実施 総務省は14日、知らないう…

カナダの信用組合の内部犯行

世界最大の信用金庫Desjardinsは、内部犯行により290万件の個人情報が持ち出されたと発表しました。 www.zdnet.com 本日、カナダ最大の信用組合であり世界最大の銀行の1つであるDesjardinsは、元従業員によるセキュリティ侵害を発表しました。 銀行のウェブ…

19年分のデータ漏洩では?

朝日新聞さんの記事内容が間違っている気がします。誤植かなと思ったのですが、タイトルと本文の2か所に書かれているので少し気になります。 www.asahi.com オーストラリア国立大(ANU)はこのほど、19年間にわたって通信システムがハッキングの被害を…

リサーチャーには情報が必要

サイバーセキュリティのリサーチャーといっても様々な定義がありますが、情報という意味では分析に足りる情報がなければ、判断も変わってくると思うので、下記の記事には共感を覚えました。 www.darkreading.com より良いサイバーセキュリティ研究はより多く…

CSVファイルはメモ帳で開こう

APT10が関与すると疑われるフィッシング攻撃は、フィッシングメールの添付ファイルは誰かが開いてしまうのが当たり前と考えるべきだとの認識を強くさせます。 www.security-next.com 中国の関与が指摘されるサイバー攻撃グループ「APT10」のあらたな活動が観…

熊本ワインショップのカード情報漏えい

またカード情報漏えい事件が報じられていました。 www2.uccard.co.jp ■公式発表 「熊本ワインショッピングサイト」における情報流出に関するご報告とお詫び 2019 年 1 月 22 日、本サービスにおいてアプリケーションの機能を悪用した不正アクセスにより、本…

メジカルビューの最終報告

昨年10月に個人情報漏洩が発覚したメジカルビューの最終報告結果についての記事がSecurity Nextに出ていました。 www.security-next.com ■公式発表 メールアドレスおよびパスワード情報流出のお詫びとご報告 同社では、同社運営サイトが不正アクセスを受け、…

ロンドン#2

記事の水増しロンドン#2です。無理やり時間を取って大英博物館に行ってきました。 大英博物館に行く前に一風堂を見かけました。 内装が日本のソレとは違っておしゃれでした。(値段も高いのでしょうが)富士山ディスプレイが綺麗でした。 赤丸・白丸の基本…

ロンドン#1

先日、ロンドンを初めて訪問しました。ほぼセキュリティとは関係がありませんが、記事のストックも少なくなってきたので、印象に残った写真を貼ってみます。 最初にセキュリティっぽい所で、テロ事件やロンドン五輪の影響を受けて、街中に監視カメラがあるの…