Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

つぶやいてみた。

Typeformユーザの情報漏えい(アオイゼミ)

Security nextにZ会グループが去年11月に買収したアオイゼミが個人情報を漏えいしていた事を報じてました。 www.security-next.com ■公式リリース お客様情報の流出に関するお詫びとお知らせ – 株式会社葵 June 2018 Data Breach www.bleepingcomputer.com …

ロサンジェルス五輪がもう動き出している

また東京五輪の記事か・・と思ったら違いました。毎日新聞によると2028年のロス五輪に向けてもう取り組みが始まっているようです。 mainichi.jp 01年9月の同時多発テロの翌年に開催されたソルトレークシティー冬季五輪では、セキュリティー予算が従来…

フレーバーライフの情報漏えい

通販ニュースにフレーバーライフ社が個人情報1万件を漏えいした件が出ていました。 www.tsuhannews.jp ■公式発表 弊社提携外部サーバーへの不正侵入について 事件の状況 2018年6月28日未明に不正アクセスを受け11,156件のお客様個人情報が漏えいした可能性…

学生のハッキングが称賛される時代に

朝日新聞に10代のサイバー犯罪が増えているとの気になる記事が出ていました。 www.asahi.com 警察庁のまとめによると、昨年に不正アクセス禁止法違反事件で検挙された全国255人のうち、14~19歳は92人と、年代別で最多だった。英国でも2015年…

コインランドリーの空調管理

セキュリティとはちょっと違うかも知れませんが、面白い話を聞きました。 洗濯機が不調だったので近所のコインランドリーのお世話になったのですが、メンテナンスの用事で管理人さんが居ました。 当たり障りのない雑談をしていたのですが、 24時間のコインラ…

重要インフラのサイバー対策不備

読売新聞にダムや鉄道などの遠隔操作監視のIoT機器がサイバー攻撃対策が出来てないとの記事が出ていました。 www.yomiuri.co.jp (読売新聞記事より引用) ダムや鉄道など重要インフラ(社会基盤)を遠隔地で監視するために設置している150件のインターネ…

第三者アプリに開放される権限を確認する

BBCの記事を読んで、Facebook事件の様な話は既に私たちのまわりに存在している事を改めて強く感じました。 www.bbc.com 第三者アプリを使って「Gmail」を利用した場合、アプリ開発スタッフにメールを読む権限を知らずの内に与えてしまった可能性があるという…

日経のお詫び記事がプチ炎上した件

日経の元社員が内部情報を不正に持ち出したとして、元社員を警視庁に告訴した旨を伝える日経の記事を取り上げようと思ったのですが・・・J-CASTの記事がなかなか面白かったので別な視点で取り上げてみます。www.j-cast.com だが、その後4日未明に改めて電子…

Have I Been Pwnedはメディア化している

The NEWS Minuteにインドのオンライン旅行予約プラットフォームを展開するYatra.comの500万件のデータ漏えい事件が載っていました。 www.thenewsminute.com ◆キタきつねの所感 記事を見ると、2013年のデータ侵害事件が、Have I Been Pwnedに掲載されたので調…

会員DBのログイン情報の流出は何故続くのか

Scan Netsecurityの7/2記事にジャパンレンタカーの情報漏えいの件が出ていました。 scan.netsecurity.ne.jp ■公式発表 WEB会員情報流出の可能性について 事件の状況 会員システムから流出した可能性のある情報としてメールアドレス及びパスワードが外部に存…

パスワード漏えいの被害を最小限に抑える

アカウントとパスワード漏えいは、既に毎日のように出てくるものであり、よく色々なところに登録するアドレスであれば、数回漏えい被害を受けている可能性すらある時代です。そんな中、Firefoxの新たなテストは少し期待できるものな気がします。 forbesjapan…

閉域網の古いOSを狙う攻撃

セキュアUSBを狙う新たな攻撃リスクについてPalo Altoによって公表されました。 japan.zdnet.com セキュリティ企業の米Palo Alto Networksは、重要インフラシステムや制御システムの保守などに利用されるセキュアUSBメモリへマルウェアを混入させる攻撃を報…

Flightradar24のデータ流出

フライトレーダー24というソフトをご存知でしょうか?このサーバの1つが攻撃を受け、情報流出した可能性があると報じられていました。 www.itnews.com.au このソフトは、北欧の航空機ファンによって作られたリアルタイムで航空機追跡ができるソフトで、航空…

大学のクラウドサービス利用

文部科学省が大学がフィッシングメールにひっかかっている旨の注意喚起を出している件が報じられていました。 www.sankei.com サイバー犯罪者は盗んだID、パスワードで不正ログインし、教職員や学生のメールを勝手に外部転送するよう設定を変更していたと…

アディダスのデータ侵害事件

6月28日にアディダスは米国のWebサイトでデータ漏えい事件が発生した可能性があると発表しました。 www.cbsnews.com 米国のWebサイトが6月26日に侵害を受けた(※事件発表は28日) 漏えいした可能性があるデータは、名前と暗号化されたパスワード クレジット…

iPhone認証のバイパス

ZdnetにiPhoneの認証を間違えてもデータ削除までされないケースについての興味深い記事がありました。 www.zdnet.com 記事を見ると、TwitterでPINが無制限に試行できるかも知れない事がTwitterで動画URL付きでつぶやかれているようでした。myhackerhouseとい…

SNSは知人限定でも拡散される

巨人だから大きく問題となったのでしょうか。紳士が裸の動画を上げるのは気をつけるべきと言えるのかも知れません。 www.nikkan-gendai.com 巨人は20日、二軍施設でSNSの勉強会を開いた。高橋監督ら首脳陣に加え、一、二軍選手が約1時間、リスクマネジ…

テスラも内部からの攻撃には弱かった

人が組織に不満を持つ時は、インシデントが発生した際の影響範囲が大きいと言われますが、テスラのCEOイーロン・マスク氏は改めてそう感じたに違いありません。 japan.cnet.com 米電気自動車メーカー、テスラのイーロン・マスク最高経営責任者(CEO)はこ…

QRコードの脆弱性?

NHKニュースでQRコードの脆弱性を発見したとの警告記事が出ていましたが、デモQRの内容を見る限り、そう大騒ぎするレベルでも無い気がしました。 www3.nhk.or.jp 電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキ…

事件を受けて前を向くには

昨年大型の情報漏えい事件があったEquifaxが、新たなCTOを雇用したとのニュースがZdnetに出ていました。 japan.zdnet.com 米信用情報大手のEquifaxは米国時間6月14日、IBM WatsonおよびIBMクラウドプラットフォーム担当の元最高技術責任者(CTO)Bryson Koeh…

サイバー攻撃が経営リスクだとようやく意識され始めた

PwCの「グローバル情報セキュリティ調査2018」が日経で取り上げられていました。 www.nikkei.com 日本の経営層の間ではサイバー攻撃が事業継続性(BCP)のリスクになるという認識が60%に達し、数年前より大幅に高まっていることが分かった。世界平均の49…

新幹線の手荷物検査の代替コントロールは可能か?

毎月仕事で新幹線を使う身としても気になる新幹線の凶行がまた発生しました。この件について、既に識者の方々が対策強化について語られていますが、私も少し考えてみます。 のぞみが新横浜駅を出発したのは9日午後9時40分過ぎ。小島容疑者はその後、ナタ…

ベルギー通信会社大手Orangeの顧客情報漏えい

ベルギー通信大手のOrangeが15000人の顧客情報が漏えいを発表していました。 www.vrt.be ◆キタきつねの所感 リークは2週間前(6月初旬)であったけれども、現在発表されている情報はデータ漏えいがあったという概要だけのようです。漏えいしたデータは請求書…

バイパスがありますか?

Twitterのフォロー先を少し変えた事によって、面白い情報もたまにひっかかある様になりました。例えば、指紋認証センサーが付いた物理鍵。 www.youtube.com 日本ではお見かけする事のなさそうな鍵ですが・・・この鍵の攻略法(脆弱性)は思いもしない所から…

黒塗り文章の漏えいは機能の誤用

Blogosに最近黒塗りデータが漏えいしている件についての解説が書かれていました。 blogos.com ミスのほとんどは注釈ツール「長方形」の誤用 「黒塗りが外せる!」と大騒ぎになる時は、本来使うべきツールではなく、無料で入手可能なPDF閲覧ソフト「Acrobat R…

シェアバイク(Bycyklen )システムへの攻撃

コペンハーゲンのシェアバイクネットワークがハッカーに襲われ、公共交通(バイク利用)1860台が5/4-5/5まで止まってしまったようです。 www.bleepingcomputer.com Bycyklen said on Facebook that fixing the problem required a manual update of all bike…

性善説思想では、もはや秘密は守れない

日産自動車の発売前のリーフ写真のリークした元取引先従業員が逮捕されていました。 www.sankei.com (EV)「リーフ」の新型モデルの写真をインターネットに投稿したとして、神奈川県警は15日、不正競争防止法違反(営業秘密侵害)と偽計業務妨害の疑い…

財布管理はセキュリティと同じ?

とある所で同僚とお酒を飲んでいたのですが、SNSで別な同僚が財布を無くしたと・・・悲壮なつぶやきがされている事に気づきました。今や高性能スマホがあればほとんど財布が要らない生活も送れる訳ですが、財布を無くした際の考え方は・・・実はインシデント…

AWS設定ミスで5万人のホンダ顧客情報が公開状態

またAWS設定ミスが発見されていました。ホンダのインド法人が影響を受けたようです。 gigazine.net 閲覧できる状態だったデータは、アプリに登録した名前・電話番号・パスワード・性別・メールアドレス・連絡先。また、車に関する情報の車両識別番号・アクセ…

平文パスワード保存するなら会員DBを持つべきではない

キルフェボンのECサイトが会員情報を漏えいしていたとの記事がSecurity Nextに出ていました。 www.security-next.com 取材に対し同社は、不正アクセスを受けた原因や経緯について委託しているシステム会社で調査を進めている状況と説明。影響を受けたアカウ…