Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

つぶやいてみた。

ダートバイクプラスオンラインストアもEC-CUBE

バイク用品通販サイトからのカード情報漏えいが報じられていました。またEC-CUBEサイトの様です。 www.security-next.com ■公式発表 「ダートバイクプラスオンラインストア」への不正アクセス発生についてのご報告とお詫び 1.漏洩の可能性のある期間ならび…

ペットハグサイトは2度攻撃を受けた(EC-CUBE)

ペットフード通販サイトからのカード情報漏えい事件が報じられていました。 www.security-next.com ■公式発表 不正アクセスに関するお詫びとお知らせ 1.経緯 2019年5月7日、一部のクレジットカード会社から、「ペットハグサイト」を利用したお客様のクレジッ…

3.6億円事件の実害は150万円

この地方記事を読んで、少し懐かしく感じましたが令和初の3億円事件にしては、あっさりとした報じられ方だなと思います。www.jiji.com 埼玉県三郷市内の警備会社の金庫から現金3億6000万円を盗んだとして、窃盗罪に問われた同社の元社員、伊東拓輝被告…

北海道へ行ってきた

正月休みを少し延長して北海道に行ってきましたので、無駄に撮りためた写真をUPしてみたいと思います。(※本日はセキュリティには関係が無い記事となります) 新千歳空港から電車で向かったのは、登別。行きはバスで登別温泉まで向かったのですが、日本人率…

米国のセキュリティ人材不足がもたらす影響

総務省が平成30年に発表したレポートによると、2020年の日本のセキュリティ人材は約19.3万人不足するとされていますが、米国では31.4万人が不足していて、今後さらに不足が拡大すると予想されています。www.ktvb.com サイバーセキュリティ教育のための国家イ…

市進教育グループの即日対応

首都圏を中心に学習塾を展開する市進教育グループが年末に不正アクセスを受け一部ページが改ざんされていた事が報じられていました。 www.security-next.com ■公式発表 弊社マイページ改ざんに関するお詫び 同社によれば、サイトの更新に用いているアプリケ…

EC-CUBEユーザへの注意喚起

EC-CUBEに関しては、去年末(12/20)に経産省が、個社の提供サービスに対して異例の注意喚起を出しています。それに合わせてイーシーキューブ社も注意喚起を更新(12/23)し、またIPAも少し遅れて注意喚起を出しました(12/25)。 EC-CUBEを利用しているECサ…

ランサム倒産も現実的になりつつある

ランサム被害を受けたが故に従業員が一時解雇される、そんな事件が報じられていました。 threatpost.com 非営利組織と協力している61歳のテレマーケティング会社であるHeritage Companyは、攻撃により数十万ドルを失ったと300人以上の従業員に手紙を送りまし…

キタきつね的 セキュリティ関連予想

◆キタきつね的 2020年のセキュリティ関連予想 当ブログでも様々な専門家の予想を記事にしてきてますが、私個人として2020年、特に日本はどうなるか?を考えてみると、防御側である日本企業や組織が後手に廻る事が多くなるのではないかと想像しています。私が…

CCPAについて知っておくべきこと

GDPR以降、個人情報に対する規制は各国で強化され始めていますが、2020年1月1日からは米国カリフォルニア州の消費者プライバシー法が施行されました。 www.cnet.com 1月1日、同国で最も包括的なデータプライバシー法が施行されます。CCPAは、カリフォルニア…

北朝鮮のハッカーグループThallium

マイクロソフトが去年末に北朝鮮が関与すると思われるハッカー集団「Thallium」関係の50ドメインをテイクダウンしたと発表していました。 www.sankei.com 米マイクロソフト(MS)は30日、北朝鮮と関係があるハッカー集団が不正アクセスで機密情報を盗ん…

2020年のパスワード強化策

2020年に向けた記事を色々と見ているのですが、パスワード強化もテーマに上がっている所がいくつもありました。(きちんと強化すれば安上がりである事は間違いありませんが)その1つを取り上げてみます。 www.cisomag.com 優れたパスワード衛生を実践するこ…

セキュリティ情報収集法の記事について

去年に引き続き、多くの方に元旦の記事を閲覧•評価(ブックマーク、リツイート等々)頂きました。この場を借りて御礼申し上げます。 foxsecurity.hatenablog.com 前か去年も同じ様に3賀日で多くの方にご来訪頂いたのですが、、1/2に4000アクセスを超えてい…

2019年のインシデントを振り返る

温故知新というにはちょっと事例が新しいかも知れませんが、2020年のセキュリティを考えるのにあたり、去年何があったか?を考えるのに丁度良い記事が出ていました。 www.cnet.com ◆キタきつねの所感 機会翻訳が少し読みずらいですが、CNET記事にコメントし…

2020年に避けるべき間違い

年末にPCが壊れてしまい、年末に記事に追われていたりします。さて、2020年に向けての記事は日本でも多く出ていますが、海外記事でもいろいろと出てましたので、その一部をご紹介します。 www.digitalmunition.me ①あなたがターゲットであることを否定するこ…

MI6の重要書類管理

英国のSUNが元ソースなので、本当かなぁと思って記事を読んでたのですが、CNNやその他のソースも同じ内容で報じていたので、やはりMI6の重要機密(の一部)が漏えいしたと考えて良さそうです。 www.cnn.co.jp 英情報機関・対外情報部(MI6)の改装工事中の本…

最悪なパスワード2019(SplashData)

今年もSplashDataの最悪なパスワード2019が出ました。少し遅れましたが、この内容を見てみたいと思います。元ソースは下記になるかと思います。 The Worst Passwords of 2019 50-1 | SplashData Password Managers The Worst Passwords of 2019 100-50 | Spl…

日本が”切り子”天国になってはいけない

国際的な犯罪での「騙す先」が日本市場になりつつある、そうした事をこの事件は表しているのではないでしょうか。 mainichi.jp 捜査関係者によると、府警が12月5日、国内のリーダー格で、埼玉県川越市の配管工、ウー・チー・マン容疑者(35)を詐欺容疑で逮…

顔認証は更なる精度向上が必要

NISTが顔認証アルゴリズムの調査結果を開示した件が記事に出ていました。 www.jiji.com 【ワシントン時事】米政府機関の国立標準技術研究所(NIST)は19日、本人確認や犯罪捜査で用いられる顔認証システムについて、人種によって識別の正確さに大きな…

最悪なパスワード200(Nordpass調べ)

パスワード管理ソフト等を販売しているNordpass社の調べによる、2019年の最悪な(よく使われる)パスワードリストが出ていました。 nordpass.com ◆キタきつねの所感 まだ最悪なパスワードと言うと、SplashDataが毎年発表しているものが有名な気がしますが、…

FULLSPECもEC-CUBE

福島県郡山市の衣服店もカード情報漏えい被害に遭った様です。 www2.uccard.co.jp ■公式発表 弊社が運営する「FULLSPEC. WEB SITE」への不正アクセスによる個人情報流出に関するお詫びとお知らせ ◆キタきつねの所感 まだ今年が終わった訳ではありませんが、E…

受付エリアのLANケーブル保護

カスペルスキーのブログを読んでいて、確かに受付エリアのLANケーブルまでは保護してない会社が多いなと改めて思いました。 https://blog.kaspersky.co.jp/dangerous-ethernet-ports/24462/ LANコンセントが最適とは言いがたい場所に設置されていることがあ…

共通パスワードと退職者管理

地方紙で内部犯行事件が報じられていたのが気になりました。 www.saitama-np.co.jp 元勤務先の秘密情報を他社に開示するなどしたとして、県警生活経済課と熊谷署は10日、不正競争防止法違反(営業秘密侵害)と不正アクセス禁止法違反の疑いで、行田市に住…

トルコ金融機関カード情報漏えい

ブラックマーケットとして人気が高いJoker's Stashで、トルコの金融機関に紐づくカード情報が多数販売されていたとシンガポールのセキュリティ企業、Group IBの調査で判明しました。 securityaffairs.co 地下フォーラムやカードショップの監視、調査、分析に…

AWSの設定ミスは公的情報すら漏えいする

多くのサービスでクラウド利用が進んでいますが、米国のこの事件はクラウド利用の大前提である「情報保護」について改めて警鐘を鳴らしていると言えるかも知れません。techcrunch.com ユーザーが米国の州政府から出生証明書と死亡証明書のコピーを取得できる…

FIDOアライアンス東京セミナーに行ってきた

ここ数年参加しているFIDO東京セミナーに12/5に行ってきました。 www.sbbit.jp ◆キタきつねの所感 FIDO東京セミナーは、私が初めて参加したのが確か第2回だったかと思います。早いものでもう5年も前になります。毎年1回12月に開催されていますが、生体認証関…

偽装サンタに要注意

スマートホームの落とし穴は、もしかするとお子さんにトラウマを与えてしまうかも知れません。 www.cnn.co.jp (CNN) 米ミシシッピ州の一家が子ども部屋に設置していた防犯カメラに何者かが不正アクセスし、スピーカー機能を使って8歳の女の子に「サン…

顔パス改札をもう破った人がいる

自動改札は阪急電鉄が初めて導入した様に、新たな技術導入は西日本の方が意欲的なのかも知れません。顔認証改札の実証実験がどんな結果になるのでしょうか。 www.fnn.jp 大阪府内を走る「大阪メトロ(「大阪市高速電気軌道株式会社)」が、改札を「顔認証改…

米国カリフォルニア州のプライバシー法

米国も個人情報管理強化に向かっていく様です。来年1月からのプライバシー保護法はアメリカに進出している日本企業にも大きな影響を与えるかも知れません。 www3.nhk.or.jp アメリカのカリフォルニア州では、企業に厳格なプライバシーの保護を義務づける州の…

役員は代表電話にはかけてこない

楽天もグループ会社が増えすぎて教育が追い付いてないのかも知れません。 www.nishinippon.co.jp 楽天グループの複数の従業員が、グループ会社役員を名乗る人物から電話で虚偽の指示を受け、従業員の情報を管理する社内システムに登録された氏名や役職、メー…