Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

つぶやいてみた。

Amazonのレビュー評価の信頼性

アマゾンの内部不正が調査中とのWSJのスクープ記事が出ていました。 jp.wsj.com アマゾンの従業員が、主に仲介業者を通じて機密情報を外部に提供していることが分かった。これらの情報はアマゾンで製品を販売する独立業者にとって強みになる。データの売り込…

テスラ車はセキュリティの戦場になっている

テスラ・モデルSの脆弱性がまたホワイトハッカーによって暴露されたようです。 gigazine.net ベルギーにあるルーヴァン・カトリック大学のCOSIC(コンピューターセキュリティと産業暗号)研究チームが、テスラのモデルSのキーレスエントリーシステムを数秒でハ…

ドコモのdポイント不正は弱い輪を狙われた

ドコモのdポイント不正により、3万5000枚のdポイントカードが不正利用された可能性があるとして利用停止となりました。この攻撃を受けたとして非開示であった加盟店はローソンの様です。 k-tai.watch.impress.co.jp 不正利用の声を受けて進めた調査では、ド…

ベネッセの顧客情報漏えい事件を振り返る

ベネッセ事件がひとつの区切りを見せた記事が出ていました。 www.sankei.com ベネッセコーポレーションの顧客情報流出事件で、持ち株会社のベネッセホールディングスが巨額の損失を出したとして、東京都内に住む男性株主が、原田泳幸元会長や当時の役員ら6…

スクリーンセーバーは語る

先日、海外のセキュリティ担当の方とお話する機会がありました。その時に盛り上がったのが、意外にもスクリーンセーバの話でした。 その方は、外部企業の監査もされているのですが、脆弱性がある古いOSを短時間の監査で見つけるには、端末のスクリーンセーバ…

IoT機器はリモートアクセスさせる必要性を考えるべき

マイナビニュースに、Nakedsecurityの記事が出ていました。 news.mynavi.jp インターネットに接続された数千台の3Dプリンタが遠隔から悪用できる状況になっていると指摘した。 こうした3Dプリンタからは過去の印刷データを窃取することができるほか、細工さ…

脆弱なパスワードは蔓延している

西オーストラリア州政府の職員だけが、脆弱なパスワードを使っている・・・とは思えないのですが、tboの記事に気になる事実が載っていました。 www.tbo.com The legions of lazy passwords were exactly what you — or a thrilled hacker — would expect: 1,…

個人監視アプリが秘密情報を漏洩していては・・

Krebs on Securityの記事が元の様ですが、Gigazineの記事が気になりました。 gigazine.net モニタリングアプリを提供する「mSpy」が、有料顧客数百万人分のパスワード・通話記録・メッセージ・連絡先・位置情報などを流出していたことを明らかにしました。mS…

British Airwaysのカード情報流出は深刻かも知れない。

British Airwaysの情報漏えい事件、日本でも報じられていましたが、漏洩原因を考えるとかなり問題が拡大する恐れがあり、英国内を中心に色々なコメントが出てきています。 www.itmedia.co.jp ■公式発表 ◆キタきつねの所感 ウェブサイトとモバイルアプリが8/2…

日本企業16億件の『パスワード流出』はミスリードではないか?

日本を代表する企業グループ、ソニー、トヨタ、東芝などからメールアドレスとパスワードが漏洩している可能性があるとの日経ビジネスのスクープ記事について、少し騒ぎすぎかな・・と思います。 business.nikkeibp.co.jp ◆キタきつねの所感 ※以下、日経ビジ…

読者投稿こそ真実が眠っている?

カミアプの読者投稿記事がなかなか興味深いものでした。 www.appps.jp 自分の観測範囲だとネットを制限している企業ほど情報漏洩事故を起こしている。事故の再発防止で厳しくしていったんだろうが、でも報道発表資料読むとパソコン使えないので紙に印刷して…

チャリティ詐欺は人の脆弱性を突く

マイナビニュースに気になる記事がありました。 news.mynavi.jp 偽「国境なき医師団」による個人情報収集に注意 NGO団体「国境なき医師団」の関係者を装って、金銭をだまし取る詐欺が確認されている。今回の案件では、同団体の医師を騙って偽の投資を勧誘し…

日本語版BECが進化していきそう

IPAが日本語版のBEC(ビジネス詐欺メール)について注意喚起を出していました。 www.sankei.com ■IPAの発表 注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(続報) 国内企業の最高経営責任者(CEO)を装い、社内の担当者に送金を促す日本語…

高い所の窓拭き

高い所の窓拭きは梯子を使ったり、ビルのように上から紐つけて、あるいはゴンドラで降りてきて拭くものんかなと思っていたのですが、とある商業施設ではこんな道具を使っていました。 ◆キタきつねの所感 Amazonで調べてみると・・・、5m位だと、商品あるん…

チコちゃんに叱られそう

もう9月1日ですね。社会人となって電車が混むな位しか感覚がありませんが、2018年も残り4ヶ月となった事となります。と・・書いていて、お盆休みにビデオチェックしていたNHKで一部に根強い人気がある番組、チコちゃんに叱られる!が頭をよぎりました。 www4…

四国電力への不正アクセス

四国電力の会員制サービスがパスワードリスト攻撃の被害を受けたようです。 r.nikkei.com ■公式発表 よんでんコンシェルジュへの不正アクセスによるポイント交換について 当社の会員制Webサービス「よんでんコンシェルジュ」において、昨日、第三者が何ら…

逃げる容疑者はどこに?

大阪府警富田林署から”脱走”した樋田容疑者、記事を書いている8/25時点ではまだ見つかっていませんが、どこに居るのでしょうか? www.jiji.com ◆キタきつねの所感 まだ逃走が出来ている事について(どうして逃走が成功しているのか)興味深いものがあります…

セキュリティの6S

マンションらしき建築中の建物に、6S運動の表示がありました。多田建設の現場のようでした。 ◆キタきつねの所感 トヨタがカイゼン活動の柱として導入したと言わる5Sは良く聞くのですが、6Sでは「習慣」が追加されていました。PDCAの観点では、確かに「習…

場所を秘匿にするのも機密管理

ニュースチェックをしていて、自衛隊のサイバー防護隊の記事を見つけました。 jp.reuters.com 防衛省・自衛隊は陸上自衛隊西部方面隊(熊本市)に、サイバー空間への攻撃に対する防御を専門とする部隊「方面システム防護隊(仮称)」を本年度内に新設する方…

16歳の就職活動

Appleのサーバがオーストラリアの16歳ハッカーにハッキングを受けていたようです。 www.itmedia.co.jp オーストラリアのメルボルンに住む16歳の少年がAppleのサーバをハッキングし、顧客情報と、90GB以上もの秘密ファイルをダウンロードしていたことで逮捕さ…

AIの判断は咀嚼が必要

中国メディアがAI分析結果として、日本経済の不振を40代男性の非婚率が原因と導き出したと環球時報が報じているようです。 news.livedoor.com AIの思考回路に従えば、一定の道理があるといえる。AIの考える筋道はこうだ。「40歳の男性がいて、一般的に20年近…

悪玉ドローンor悪玉大統領?

ドローンを使った暗殺未遂事件、心配されていたドローンを使ったテロというのも現実性を帯びてきたのかも・・・と当初は思ったのですが、違った展開を見せ始めています。 mainichi.jp 政権側の発表によると、容疑者のうち1人は、兵士2人が死亡した2017…

ドコモは舵を切るか?

ドコモオンラインショップへの不正アクセスにより、iPhoneX1000台が不正購入された件が出ていました。 www3.nhk.or.jp 会社によりますと、先月下旬以降、このサイトにおよそ1800件の不正アクセスがあり、利用者が知らないうちに14万円台の端末などを購入させ…

米国はサイバー攻撃を容認へ

ウォール・ストリート・ジャーナルがトランプ政権がオバマ氏の大統領令を無効化し、サイバー攻撃に対しての制約を外したと報じています。 www.jiji.com 【ワシントン時事】米紙ウォール・ストリート・ジャーナル(電子版)は15日、米国が敵対勢力にサイバ…

カメラを止めるな!

オーシャンズ8を見に行きたかったのですが、諸事情により『カメラを止めるな!』を観てきました。多くの方々から高評価で異例の上映館拡大の理由が良く分かる映画で、個人的に楽しめました。 ◆キタきつねの所感 セキュリティ業界に身を置く1人として、徳丸…

Instagramのアカウント乗っ取り

ここ1週間程でInstagramのアカウントを乗っ取られた報告が色々なところに出ています。Gigazineにも記事がありましたが、パスワードリセットのE-mailアドレスも変更になってしまっている被害ユーザが多いようなのでInstagramユーザは注意が必要です。 gigazin…

オリンピックも顔が命

東京五輪でNECの顔認証システムが大規模運用される事が報じられていました。 japan.zdnet.com NECは8月7日、同社の顔認証システムが、東京2020オリンピック・パラリンピック競技大会での関係者の本人確認用システムとして採用されたと発表した。 人工知能(A…

PGAもBitPaymer被害を受ける

松山英樹選手の情報も、もしかしたら・・・という事件がAFPの記事に出ていました。日本ではAFP記事の翻訳位しか出ていませんが、米国ではもう少し多くの記事が出ています。PGA(全米プロゴルフ協会)のコンピュータ・サーバが不正アクセス(ランサム攻撃)を…

パスワードリスト攻撃へは遅延が有効か?

Security Nextでアンケートサイト「アンとケイト」サイトへのリスト攻撃(防衛)の記事が出ていました。 www.security-next.com みんなのアンケートコミュニティ アンとケイト 同社は、同社経由の情報流出について否定。8月に入り、海外のIPアドレスを発信元…

地方自治体のアンテナ感度

西日本新聞が公衆無線LANに関する調査記事を出していました。とても気になったのが・・この調査データの表です www.nishinippon.co.jp ◆キタきつねの所感 公衆無線LANが暗号かされてないのは、それはそれで問題ではあります。 個人情報が漏洩されるかも知れ…