Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

つぶやいてみた。

顔パス改札をもう破った人がいる

自動改札は阪急電鉄が初めて導入した様に、新たな技術導入は西日本の方が意欲的なのかも知れません。顔認証改札の実証実験がどんな結果になるのでしょうか。 www.fnn.jp 大阪府内を走る「大阪メトロ(「大阪市高速電気軌道株式会社)」が、改札を「顔認証改…

米国カリフォルニア州のプライバシー法

米国も個人情報管理強化に向かっていく様です。来年1月からのプライバシー保護法はアメリカに進出している日本企業にも大きな影響を与えるかも知れません。 www3.nhk.or.jp アメリカのカリフォルニア州では、企業に厳格なプライバシーの保護を義務づける州の…

役員は代表電話にはかけてこない

楽天もグループ会社が増えすぎて教育が追い付いてないのかも知れません。 www.nishinippon.co.jp 楽天グループの複数の従業員が、グループ会社役員を名乗る人物から電話で虚偽の指示を受け、従業員の情報を管理する社内システムに登録された氏名や役職、メー…

Windows7で生き延びられるか

師走に入り、OS更新も急ピッチで進む・・・事はなさそうです。1月14日のWindows7サポート切れまであと1カ月ですが、、Windows7ユーザは4台に1台程度の割合でその日を迎えそうです。 news.mynavi.jp Net Applicationsから2019年11月のデスクトップOSのシェア…

求人サイトへの攻撃

この記事を見て、求人サイトも(今後)攻撃対象となり得るな・・と感じました。ハッカーがロシアの求人サイトから50万件の個人情報を窃取した様です。 www.ehackingnews.com ハッカーフォーラムは、ポータルjobinmoscow.ruのユーザーのデータベースを取得し…

象印の「システムの一部の脆弱性」を考えてみる

象印の顧客情報流出の発表は、有名企業でも不正アクセスを受けて情報流出する可能性がある、その事を改めて認識させました。 www.nikkei.com 象印マホービンは5日、子会社が運営するインターネット通販サイト「象印でショッピング」が外部からの不正アクセス…

ハッキングでは無く管理不備

家の鍵を開けっぱなしで外出した際に泥棒にあった、そんな状態が管理レスカメラは近い気がしますが、地方紙のこの記事は、ハッキングされた!と騒ぎ立てる前にすべき事が多い事を改めて考えさせられます。 www.the-miyanichi.co.jp 都農町の東児湯消防組合消…

米国レストランチェーンのカード情報漏えい

米国の4つのレストランチェーンからカード情報が窃取され、ハッキングフォーラムのJoker's Stashで販売されていたと報じらえていました。 krebsonsecurity.com 11月23日に、盗まれたペイメントカードデータを売買するためのサイバー犯罪の地下最大のバザー…

シンガポールのセキュリティ強化策

シンガポールが何度かのサイバー攻撃を受けて、新たなセキュリティ強化対策に乗り出す様です。 www.cisomag.com サイバーセキュリティを強化し、次世代のサイバー脅威に取り組むため、シンガポール政府は新しいデータ保護対策を採用することを決定しました。…

日本のセキュリティ思考は時代遅れになりつつある

日本の組織は事件の検知から回復にかけてが非常に遅い、似た様な統計はいくつかあった気がしますが、クラウドストライク社の最新調査でもこうした傾向が顕著に出た様です。 www.nikkei.com 日本ではセキュリティー上の脅威となる事象を検知・解析してから修…

Magentoが狙われるという事は・・・

アドビが2018年に買収したMagentoのマーケットサイトが侵害を受けた様です。 thehackernews.com アドビ(Magento eコマースプラットフォームを所有する会社)は本日、Magentoマーケットプレイスユーザーのアカウント情報を未知のハッカーや個人のグループに…

ランサムは穴を突いてくる

Krebs on Securityで獣医病院へのランサム攻撃が報じられていました。 krebsonsecurity.com 国立獣医協会(NVA)は、世界中に700以上の動物医療施設を所有しているカリフォルニアの企業であり、先月後半にこれらの施設の半分以上に影響を及ぼし、多くの獣医…

ベネッセ判決1000円の重み

ベネッセの内部犯行事件から5年以上経つ事に驚きます。そして裁判で新たな判例が積み重なりました。 www.sankei.com ベネッセコーポレーション(岡山市)の顧客情報が委託先から流出し精神的苦痛を受けたとして、兵庫県の男性が同社に慰謝料10万円を求めた…

ロシア鉄道システムへの攻撃

Wifi経由で20分もあれば自分のデータが漏えいする、日本の新幹線などでもFree-Wifiの導入が進んでますが、きちんとセキュリティ設計がされてないと、漏えいリスクがあるサービスを利用しているかも知れない事には警戒すべきかも知れません。 www.ehackingnew…

セシールの壁

ディノスではなく、セシールが狙われるのは、攻撃者の意図がある気がしてなりません。記事を書いている時点(11/23)では、Security Nextさんの記事も出されていませんでしたが、不正アクセスの発表が出てました。 ■公式発表 弊社「セシールオンラインショッ…

Macy'sのMagecart被害

先日、JPAC様でセミナーをさせて頂いたのですが、その資料をまとめる際もMagecartの被害の大きさに改めて驚きましたが、また攻撃事例が増えた様です。 jp.techcrunch.com 老舗百貨店のMacy’s(メイシーズ)は、わずかな期間に二度目となるデータ漏洩で大量の…

ユニコーン企業になるにはサイバーセキュリティが重要

スタートアップ企業にとって、サイバーセキュリティ対策の重要性が増している事を指摘する記事が出ていました。 www.ipwatchdog.com サイバー攻撃はどの企業にとっても歓迎されないイベントですが、その影響は新興企業にとって特に有害であり、小規模企業の6…

NOTICEの続報

総務省とNICTが5年間の事件措置で実施しているNOTICEの続報が発表されていました。 www.soumu.go.jp 3 実施状況 2019年度の第2四半期までの実施状況は以下のとおりです(括弧内は2019年度の第1四半期までの実施状況)。・参加ISP:34社(33社)・調査対象IP…

プロフェッショナルの条件

RIZAPの記事を書いている時に、この記事を見つけました。元RIZAPのCSO/CIOの岡田氏の逆行動規範は、非常に良い事が書かれていて、とても参考になりました。 tech.nikkeibp.co.jp 逆行動規範を作った 顧客企業の優れたブレーンになるため、どんな方針で仕事に…

RIZAPはセキュリティにコミットできるか?

少し前に発表があった、RIZAPのメールアカウント乗っ取り事件を少し考えてみます。 www.security-next.com ■公式発表 弊社子会社RIZAP株式会社における 不正アクセスによる迷惑メールの送信に関するお詫びとお知らせ | RIZAP GROUP[ライザップグループ] ◆…

ゼロフィットもEC-CUBE

キリが無い・・・そう強く感じているのはフォレンジック調査会社の方だろうと思いますが、私も同感です。またEC-CUBE利用サイトからカード情報が漏えいした様です。 www2.uccard.co.jp ■公式発表 【重要】個人情報流出に関するお詫びとお知らせ (2)個人情報…

日経のビジネス詐欺はVECだったのか?

日経の米国子会社がビジネス(メール)詐欺事件で32億円を香港に流出させた事件、非常に詐欺事件だと思うのですが、国内では続報がありません。一方海外では少し違った書き方がされている所がありましたので、そこを拾ってみます。 threatpost.com 現在、「…

「5pb. Records div2 official shop」もEC-CUBE

またEC-CUBE案件が出ていました。 www2.uccard.co.jp ■公式発表 弊社が運営する「5pb. Records div2 official shop」への不正アクセスによる個⼈情報流出に関するお詫びとお知らせ 2019 年 4 ⽉ 24 ⽇、ヤマトフィナンシャル株式会社から弊社サイトがフィッ…

ArmoniaもEC-CUBE

またカード情報漏えいが発表が出ていました。 www2.uccard.co.jp ■公式発表 クレジットカード情報流出に関するお詫びとお知らせ 2 - 個人情報流出の可能性があるお客様2018年8月20日~2019年4月26日の期間中に「Armonia本店」においてクレジットカード決済を…

多要素認証でもパスワードを強化しないと危ない

Krebs氏のブログ記事で非常に気になるものが出ていました。APT攻撃が恐ろしいというよりも、利便性を高める為に連携が強くなったプラットフォームが攻撃対象となるという事なのかも知れません。 krebsonsecurity.com 銀行業界の大手であるNCR Corp. [ NYSE:…

ドローン部品までの国産化は現実的でない

ここまでセキュリティを考えなければいけない時代なのか・・と記事を読んで感じました。 japan.cnet.com 米内務省は、中国によるスパイ活動やサイバー攻撃に対する懸念から、保有する800機以上のドローンの利用を停止する。内務省は米国時間10月31日、David …

FBIが警戒する中国の情報窃盗

FBIが米国内の大学に中国によって研究成果や企業秘密が窃盗されてないか、あるいは研究資金の「悪用の可能性」について調査している様です。 www.voanews.com FBIは、米国当局が中国によって盗聴された研究者による技術と企業秘密の大規模な窃盗として描写し…

中部電力のセキュリティ強化策

中部電力の会員サイトがパスワードリスト(スプレー)攻撃を受けていた事が報じられていました。今年2回目の不正アクセスの発表となります。 www.security-next.com ■公式発表 「カテエネ」における不正ログインについて 同社によれば、第三者が本人になりす…

Armoniaと AKIBA-HOBBYのカード漏えい(仮記事)

また2件カード情報漏えい事件が報じられています。調査は終わり、両方共に、EC-CUBEである事は把握しましたが、詳細記事UPが来週になりそうですので、仮記事としてUPします。 www2.uccard.co.jp www.security-next.com ◆キタきつねの所感 先に漏えい事件のま…

日経はビジネスメール詐欺(BEC)に警鐘を鳴らした

こんなタイトルを付けると各所から怒られそうな気がしますが、日経でも被害を受ける時代なのです。もっと日本企業は「人の脆弱性」について考えるべきなのかも知れません。 www.nikkei.com ■公式発表 当社米国子会社における資金流出について : 最新情報 | …